IX2025のVPN設定 – グローバルIP1本のサーバとの通信をトンネリングする

 我が家のVPNトンネリングの基本形態は、LANとVPSの間の通信暗号化で利用しています。
 RTXでの設定については以前の記事で書きましたが、先日導入したIX2025での設定について、我が家の利用形態(グローバルIP1本のサーバとLANのトンネリング)での設定例が見当たらないためここにメモっておきます。

 設定するトンネルはTunnel0.0、外はFE0/0.1で中はFE1/0.0です。 PPPoE固定IPグローバル1本のアクセス回線でNAPTを利用している前提でFE0/0.1にスタティックを設定してます。
 このメモではVPSのIPの代わりに8.8.8.8と表記しています。 同じく共通鍵について*SECRET*と表記しています。 それぞれ、環境に応じて適切な値を設定します。
 Windows側の設定については、RTXにて設定時の記事に同じです。
 基本的なIPSecの設定はIX設定例に従っていますが、最終的にポリシールーティングを使ってローカルとVPS間の通信をトンネル上に乗せています。

 onamae-ipsec-aclはIPSec受け入れ用のACLです。
 local2onamae,onamae2localのACLが通信をトンネルに乗せるためのACLです。 ローカル空間192.168.0.0/24からVPSのグローバル8.8.8.8/32を乗せる設定です。
 プロポーザルはPhase1/Phase2ともに3des-shaです。
※WS2008(Vista)以降ではPhase2のライフタイムはBothで有る必要があります。

 ルーティング設定をしていない状態でルータコンソールのshow ike sa, show ipsec saにて適切なSAが確立出来ていることを確認します。
 ルーティング設定を乗せる前の段階でtraceroute 8.8.8.8すると、通常のグローバルネットワーク経由の経路が表示されます。 乗せた段階でtracerouteすると、ルータのローカルIPの次が8.8.8.8になります。 これにより、トンネル上に通信が乗っていることが確認出来ます。
 お名前.com VPSフレッツ光回線ZOOT NEXTの固定IPサービスを利用した状態でWindowsファイル共有のスループットが7.5MB/s(IPSec外側で80Mbps程度)出る状態です。
 NECのUNIVERGE IX2025につていは、8.11.11のファーム適用でアイドル時のCPU負荷は8%、上記通信状態で79%程度でハードウェア上限がFEであることを考えると、そこそこの設定のIPSecでは帯域いっぱいまで利用可能で、ちょっと複雑なフィルタ等を乗せても大丈夫そうです。
 最近のNASほどスピードは出ないものの、FE環境や150Mbps無線LAN(11n single)環境であれば十分なスピードで、TS録画の再生にも耐えるスピードです。 NASを常時稼働すると電気代が1000円くらいはかかることを考えると、常時必要なドキュメントなどはVPSに乗せてしまって、高速大容量が必要なときだけUSB外付けHDDを使うなどの利用がコストパフォーマンス的に良いですね。

(137)


カテゴリー: LAMP[Linux, Apache, MySQL, PHP]   パーマリンク

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です