Topネットワーク  > 2008年01月03日

« ウィルスバスター2008になって良くなった? | | フルーツネットに接続できません »

拠点間インターネットVPN構築

インターネットVPNネットワーク構成図 I-O DATA社のVPNルータETX-VRTを使った拠点間インターネットVPN構築事例です。EXT-VRTは、インターネットVPN対応のブロードバンドルータです。1台で2点間のVPN接続とインターネット接続をシームレスに実現します。3万円弱で、2台同梱されています。通常のVPNルータですと、1台で3万円はしますので、大変コストパフォーマンスは、高いです。VPNの暗号化は、ハードウェアIPSecです。複数拠点間接続には対応していませんので、1対1のVPNとなります。

導入したお客さんの要望は、工場から本社のサーバ(経理販売システム)にアクセスできることと、本社LANディスクの読み書きでした。
本社にBフレッツ、工場にYahoo!BBのリーチDSLを使用しました。本社側は、ISDNで構築していたビジネスフォンをひかり電話オフィスタイプに変更して、電話料金の削減を実施しました。

ブロードバンドルータに割り当てられるグローバルIPアドレスは、動的割り当てですので、無料のiobb.netダイナミックDNSサービスを使用します。(ETX-VRTは、iobb.net以外のダイナミックDNSサービスには対応していません)

導入後の稼働状況ですが、Yahoo!BBリーチDSLのリンク切れが、結構な頻度で起こり、iobb.netへのDNS更新が頻繁に発生しました。それが災いしてなのか、ダイナミックDNSの更新がうまくいかないことがありました。
こうなると、通常のインターネット接続は問題ないのに、VPNだけがつながらないというトラブルとなってしまいます。この状態で、インターネットから、工場のDNS名に対してpingすると、応答が無くなります。pingの応答があるのに、VPNが接続できないこともありました。

一例ですが、VPN正常接続時と、VPN接続不可時のログを掲載します。

工場ルータVPNログ【正常接続時】

[==== IKE PHASE 1(to 221.184.138.73) START (initiator) ====]
**** SENT OUT FIRST MESSAGE OF MAIN MODE ****
PAYLOADS: SA,PROP,TRANS
**** RECEIVED IKE NOTIFY PAYLOAD(NO_PROPOSAL_CHOSEN) ****
[==== IKE PHASE 1(to 221.184.138.73) START (initiator) ====]
**** SENT OUT FIRST MESSAGE OF MAIN MODE ****
PAYLOADS: SA,PROP,TRANS
**** RECEIVED IKE NOTIFY PAYLOAD(NO_PROPOSAL_CHOSEN) ****
[==== IKE PHASE 1(to 221.184.138.73) START (initiator) ====]
**** SENT OUT FIRST MESSAGE OF MAIN MODE ****
PAYLOADS: SA,PROP,TRANS
**** RECEIVED IKE NOTIFY PAYLOAD(NO_PROPOSAL_CHOSEN) ****
[==== IKE PHASE 1(to 221.184.138.73) START (initiator) ====]
**** SENT OUT FIRST MESSAGE OF MAIN MODE ****
PAYLOADS: SA,PROP,TRANS
**** RECEIVED SECOND MESSAGE OF MAIN MODE ****
PAYLOADS: SA,PROP,TRANS
**** SENT OUT THIRD MESSAGE OF MAIN MODE ****
PAYLOADS: KE,NONCE
**** RECEIVED FOURTH MESSAGE OF MAIN MODE ****
PAYLOADS: KE,NONCE
Type = ID_IPV4_ADDR,ID Data=219.46.154.35
**** SENT OUT FIFTH MESSAGE OF MAIN MODE ****
**** RECEIVED SIXTH MESSAGE OF MAIN MODE ****
PAYLOADS: ID,HASH
**** MAIN MODE COMPLETED ****
[==== IKE PHASE 1 ESTABLISHED====]
***** このあと、pahase2~6と続きます *****

工場ルータVPNログ【接続不可時】

[==== IKE PHASE 1(to 221.184.138.73) START (initiator) ====]
**** SENT OUT FIRST MESSAGE OF MAIN MODE ****
PAYLOADS: SA,PROP,TRANS
**** RECEIVED IKE NOTIFY PAYLOAD(NO_PROPOSAL_CHOSEN) ****
***** pahse1を繰り返します *****

本社ルータVPNログ【正常接続時】

[==== IKE PHASE 1(from 219.46.154.35) START (responder) ====]
**** RECEIVED FIRST MESSAGE OF MAIN MODE ****
PAYLOADS: SA,PROP,TRANS
PAYLOADS: SA,PROP,TRANS
**** SENT OUT SECOND MESSAGE OF MAIN MODE ****
**** RECEIVED THIRD MESSAGE OF MAIN MODE ****
PAYLOADS: KE,NONCE
**** SENT OUT FOURTH MESSAGE OF MAIN MODE ****
**** RECEIVED FIFTH MESSAGE OF MAIN MODE ****
PAYLOADS: ID,HASH
Type = ID_IPV4_ADDR,ID Data=221.184.138.73
**** SENT OUT SIXTH MESSAGE OF MAIN MODE ****
**** MAIN MODE COMPLETED ****
[==== IKE PHASE 1 ESTABLISHED====]
***** このあと、pahase2~6と続きます *****

本社ルータVPNログ【接続不可時】

[==== IKE PHASE 1(from 219.46.154.35) START (responder) ====]
**** RECEIVED FIRST MESSAGE OF MAIN MODE ****
PAYLOADS: SA,PROP,TRANS
ERROR# NO MATCHING ISAKMP PROPOSAL FOR DIALUP CASE
SENDING NOTIFY MSG:NO_PROPOSAL_CHOSEN
**** SENT OUT INFORMATIONAL EXCHANGE MESSAGE(NOTIFY_PAYLOAD) ****
***** pahse1を繰り返します *****

工場がinitiatorで本社がresponderですので、工場から本社へVPN接続を張りにいっています。
接続不可時のログを見ると、工場ルータから本社ルータに対してISAKMPにてIKEの鍵交換方式と鍵交換の暗号・認証方式をネゴシエーションしようとしたが、ネゴシエーションができなかったというようなことが書かれています。
このようなとき、どちらかのルータを再起動することで、回復するケースがほとんどでした。

 

IT工房にんにく庵関連ページ

 

インターネットVPN構築

コメントを投稿

検索


Feed

Really Simple Syndication 2.0 The Atom Syndication Format Really Simple Discoverability