Nedia What's up!

ネディアのエンジニアによるIT技術やサービスの紹介・検証などをお届け!

YAMAHAルータの実機・検証 第9回 インターネットVPNの構築

これまでのVPN構築例では、

などフレッツ網やVPNクライアントソフトウェアなどを使ったVPN構築を紹介しました。今回はRTX1210を使用した拠点間のインターネットVPNの構築を紹介します。

一般的にインターネットに接続する場合、プロバイダから動的IPアドレスが割り当てられます。
動的IPアドレスはルータの再起動やNTTやプロバイダのメンテナンスなどでインターネット通信を再接続した場合、IPアドレスが変わってしまうことがあります。
固定IPアドレスは通信が切断し再接続してもプロバイダから通知されている決まったIPアドレスが付与されます。

インターネットVPNは基本的に両拠点とも固定IPアドレスをプロバイダから取得してVPNを構築します。固定IPアドレスを取得するには一般的なプロバイダ費用の他に固定IPアドレス取得する為の費用が別途掛かります。ただし、動的IPアドレスでもVPNを構築する方法はあります。

これから紹介する2つの事例ですが、本社はプロバイダから固定IPアドレスを取得していることを前提とし、支店が固定IPアドレスの時と動的IPアドレスの時の構築例を紹介します。
まずはじめに支店が固定IPアドレスをプロバイダから取得したVPN構築を紹介します。

インターネットVPN設定(本社と支店が固定IPアドレスを取得)

本社および支店のIPアドレスはプロバイダから固定IPアドレスを取得したVPN構築例です。

ネットワーク構成

 case-9-2

本社およびY支店のWAN側はプロバイダから固定IPアドレスが付与されます。

ルータ設定内容

■本社 ルータAの設定内容

■Y支店 ルータYの設定内容

本社および支店のルータをそれぞれ設定することで、インターネットおよび本社とY支店間の通信が確立されます。
上記の設定はルータA、ルータYで登録された固定IPアドレスからの接続のみVPN接続を行うのでセキュリティが高く保たれます。

続いて、本社は固定IPアドレスでY支店が一般的な動的IPアドレスを用いた時のVPN構築例です。

インターネットVPN設定(本社は固定IPドレスで支店が動的IPアドレス)

まずは、本社はプロバイダから固定IPアドレスが付与され、支店は動的IPアドレスが割り当てられます。

ネットワーク構成

 case-9-1

本社はプロバイダから固定IPアドレス、支店が動的IPアドレスが付与されます。

ルータ設定内容

■本社 ルータAの設定内容

本社と支店が固定IPアドレス時の設定内容と異なる点は、VPN設定の一部を変更するだけでVPN接続ができるようになります。下記に具体的に説明します。

支店も固定IPアドレス時の設定の28行目に

が設定されていますが、支店が動的IPアドレス時は上記は必要ないのでを削除します。

また、支店も固定IPアドレス時の設定の30行目に

が設定されていますが、これを

に変更します。これでルータAの設定は完了です。

続いてY支店の設定です。

■Y支店 ルータYの設定内容

こちらもルータAと同様にVPN設定の一部を変更します。具体的には、

支店も固定IPアドレス時の設定で25行目に

がせて地されていますがこれを削除するだけで本社とVPN接続ができるようになります。

上記の設定は支店が移転などで移設することになっても設定を変更することなくそのまま使うことができます。
ただし、プロバイダによってはインターネット回線の種別変更、利用する都道府県が変わることでISPの接続アカウント、ISPのパスワードが変更になる場合もあるので注意が必要です。

ダイナミックDNS (動的DNS/DDNS)を使ったVPN構築

ダイナミックDNSとは固定IPアドレスを取得できない時にホスト名と動的IPアドレスを紐付けして対応させる仕組みです。このダイナミックDNSを利用することで固定IPアドレスをプロバイダから取得することなく拠点間のVPN構築することも可能です。
YAMAHAでは「ネットボランチDNSサービス」という名称でダイナミックDNSサービスを無償で提供しています。「ネットボランチDNSサービス」を利用したVPN構築については次の機会で紹介したいと思います。

まとめ

 支店側IPアドレスが動的IPアドレスの場合と固定IPアドレスの場合の比較表です。

利便性 セキュリティ 運用コスト
支店側が固定IPアドレス
支店側が動的IPアドレス

支店が動的IPアドレスの場合、支店のIPアドレスが不定期に変わってもVPN接続ができるので、支店の移転やルータを別の場所で再利用する時でもプロバイダ情報をインターネット回線の環境に合わせて変更するだけで使うことができます。また、運用コストもプロバイダから固定IPアドレスを取得する必要がないので低く抑えることができます。ただし、固定IPアドレスを使わないのでVPN情報が漏えいした場合、他の場所でVPN設定をしたルータを利用すると本社とのVPN接続ができてしまいます。セキュリティはどうしても固定IPアドレスを取得する方法より低くなってしまいます。

支店も固定IPアドレスの場合、プロバイダから固定IPアドレスを取得するのでプロバイダ費用の他に固定IPアドレス用の費用が掛かります。また、拠点間のルータで登録されたIPアドレスのみでしかVPN接続を許可しないので移転などの場合、移転先のインターネット回線の環境にあった固定IPアドレスをプロバイダから再取得する必要があります。
しかしながら、登録されたIPアドレスのみの接続を許可するので、VPN情報が漏えいした場合でも登録されたIPアドレスからしかVPN接続しないのでセキュリティは非常に高くなります。

支店のIPアドレスを固定IPアドレスにするか動的IPアドレスにするかはそれぞれメリットがあります。
しかしながら、最近の個人情報の取り扱いについて日々厳しくなっている現在、企業で取り扱っている情報をしっかりと守るためにも拠点間のIPアドレスはプロバイダから固定IPアドレスを取得して運用することをお勧め致します。