みんなの「教えて(疑問・質問)」にみんなで「答える」Q&Aコミュニティ

こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

解決済みの質問

VPN設定(クライアントにグローバルIP)

次のようなことを実現したいです。

<拠点A>
グローバルIPアドレス: 202.XXX.XXX.70 - 202.XXX.XXX.78
プライベートネットワークアドレス: 172.16.10.XXX

<拠点B>
グローバルIPアドレス: 207.XXX.XXX.50 - 207.XXX.XXX.58
プライベートネットワークアドレス: 172.16.30.XXX

拠点Aと拠点BはVPNで繋がっております。

都合上、拠点Aに202.XXX.XXX.74と固定のグローバルIPアドレスをクライアントに振り、同様に拠点Bにも207.XXX.XXX.55とクライアントに振ってあり、この間をVPNを通して通信する必要がでてきました。

このグローバルIPアドレスを固定に振っているもの同士のVPN接続ができなくて困っています。

VPNは繋がっておりますので、プライベート空間同様の設定をすればグローバルIPアドレスであっても繋がるのではと思ったのですが、うまくいきません、、、

拠点B(客先)からはVPNルーターのグローバルIPアドレスとクライアントに振られている固定のグローバルIPアドレスを情報としてもらっています。
上記以外、拠点B側の設定はまったく分かりません。

拠点A側で行ったこととしては、固定IPのクライアントにNICを2枚挿して、1つをグローバル、1つをプライベートでIP設定しました。
また、ルーティングテーブル中に拠点BのルーターとクライアントのIPへの通信はプライベート側のNICにパケットを転送するように設定しました。
ルーターの設定は、拠点Bからのパケットを固定IPのクライアントに送るようにファイヤーウォールに穴を開けました。
NATやIPマスカレードはグローバルIPをクライアントで持っているため、必要ないと思い設定していません。

トンネルはできていますので、そこへクライアントに固定で振っているグローバルIPが通れば・・・と考えているのですが、、、

行き詰まりました。ご教授頂けたらと思います。

VPNルーター: YAMAHA RTX1500
クライアントOS: WindowsXP

投稿日時 - 2007-09-28 23:45:17

QNo.3385334

すぐに回答ほしいです

質問者が選んだベストアンサー

> なぜ2枚さすことでPCに割り当てているグローバルIPで通信できるようになるのか、ここの理屈が分かっていません、、、

実は(2)の方式の場合、PC-A, PC-BはそれぞれグローバルIPアドレスを保持しているだけで、相互の通信にはグローバルIPは用いられません。そのほかのLAN内のPCと同じ経路で通信を行っていることになります。
なので、この方法で通信を行う際には、PC-A、PC-Bにそれぞれ経路情報を追加で与える必要があります。
PCがWindowsであれば、
PC-A: route -p add 172.16.30.0 mask 255.255.255.0 <拠点A VPNルータのLAN側IP>
PC-B: route -p add 172.16.10.0 mask 255.255.255.0 <拠点B VPNルータのLAN側IP>
また、PC-A, PC-Bは互いのPCのコンピュータ名を解決するときに、プライベートIPで解決できる必要があります。

もし、PC-A< PC-Bが相互に「グローバルIPを使って通信を行う」ことが要件の場合、上記の方法は使えません。
また、既存のVPNトンネルを使って通信を行うのもおそらく現実には無理でしょう。なぜなら、(これは完全に私の想像で根拠はないのですが)VPNトンネルの出入り口は双方の拠点のプライベートIPに対して開かれていて、グローバルIP同士の通信を通すことは想定していないと思われるからです(私がVPNの設計を行うならそうします)。

ちなみに私が想定している、質問者さんのネットワーク構成図はこんなの。(等幅フォントで見てください)

(LAN)-+--[VPN R]--+--[R]--(Internet)--[R]--+--[VPN R]--+-(LAN)
   +--[PC-A]---+             +---[PC-B]--+

R: Router
FW: Firewall

投稿日時 - 2007-09-29 16:00:47

このQ&Aは役に立ちましたか?

5人が「このQ&Aが役に立った」と投票しています

回答(3)

ANo.2

便宜上、拠点Aの固定IP端末をPC-A、拠点Bの端末をPC-Bとします。

質問者さんの環境がはっきりしないところもあるので推測が交じりますが、今回のケースでPC-A~PC-B間の通信を行うには以下の2つのパターンのどちらかになると思います。

1) PC-A、PC-BにVPNソフトを入れて、直接(端末自身で)VPN接続を行う
2) PC-BもPC-Aと同様にNIC 2枚ざしを行い、双方ともにプライベートIPで通信を行う

今回はどちらも中途半端だったためにつながらなかったんじゃないかと思います。

ちなみに、VPNを使わずにPC-A~PC-Bで直接通信する、という手段もなくはないです。この場合、途中のデータ暗号化とか安全性などはVPNとは別の手段で確保する必要があります。

投稿日時 - 2007-09-29 10:09:04

お礼

ご回答ありがとう御座います。

2)で行う必要があります。

NIC2枚ざしについて詳しくお聞きしたいのですが、よろしいでしょうか。
なぜ2枚さすことでPCに割り当てているグローバルIPで通信できるようになるのか、ここの理屈が分かっていません、、、
1枚をプライベートIP、もう1枚をグローバルIPで割り当てています。
プライベート側はDHCPを使っています。
IP: 172.16.10.80
MASK: 255.255.255.0
GATEWAY:172.16.10.200

グローバル側は手動です。
IP: 202.XXX.XXX.74
MASK: 255.255.255.0
GATEWAY:202.XXX.XXX.70

環境の不明点は言って頂ければ、可能な限り書きたいと思います。

以上、宜しくお願い致します。

投稿日時 - 2007-09-29 12:18:10

ANo.1

拠点AのNIC2枚差しのクライアントから、拠点Bのグローバル
IPアドレス保持のマシンに向けて traceroute,tracertした結果は
どうなっていますか?

また、拠点A,B双方の内部のルーティングを担当してる
ルータはそれぞれグローバルIPアドレスのネットワークセグメント
に対する経路をもっていますか?

投稿日時 - 2007-09-28 23:56:21

お礼

ご回答ありがとう御座います。

tracert をしますと、6行グローバルIPアドレスらしきものがずらずらとでてきますが、7行目から* * * Request timed out. となります。

拠点Bについてはまったく不明ですが、実績もありまず間違っていないと言えます。

問題のこちら側、拠点A側の経路情報ですが、次のようになっています。
あて先ネットワークアドレス GateWay    Interface kind
202.XXX.XXX.0/24      202.XXX.XXX.70 LAN1.3 implicit

グローバルIPアドレスを持つクライアントの設定で、ゲートウェイは202.XXX.XXX.70に設定されており、ゲートウェイまでtracertしますと、1行でまして、Trace complete. となります。

以上、宜しくお願いします。

投稿日時 - 2007-09-29 03:32:01

あなたにオススメの質問