書籍情報 : ヤマハルータでつくるインターネット VPN
|
|
ヤマハルータでつくるインターネット VPN (ISBN4-8399-1319-6)
|
|
(株) 毎日コミュニケーションズ 様
|
\3,500- (税別)
|
2004/1/22 発売
|
ヤマハ製ルータが備えている、PPTP や IPsec を使った VPN ゲートウェイ機能を利用して、インターネット VPN を構築するためのノウハウをまとめた一冊。NetVolante シリーズと RTX シリーズの両方を対象にして、リモートアクセス VPN と LAN 間接続 VPN の設定例を多数収録。
VPN プロトコルやルーティングなどの理論面から手を抜かずに解説することで、ちゃんとつながる VPN の構築をサポートします。
(本書は 2006 年 11 月をもって、後継となる「ヤマハルータでつくるインターネット VPN 改訂第 2 版」に切り替わりました)
単色刷、424 ページ。
|
|
◎この書籍を購入する →
刊行後の追加情報
RTX1500 の VPN 機能について (2004/11/18 追加)
RTX1500 は、IPsec VPN やバックアップ関連機能に関しては RTX1000 と同様に利用できます。また、速度性能の向上、ショート パケット使用時の速度向上、強力な QoS 機能の装備、AES のハードウェア処理化、といった点が、RTX1000 と比べた利点となります。
PPTP 設定の共存について (2004/11/2 追加)
250 ページにある、PPTP 使用時の LAN 間接続 VPN とリモートアクセス VPN の共存に関する記述ですが、機種によって状況が異なります。
RT56v や RTW65b では、簡単設定で先にどちらか一方の設定を行うと、他方の追加はできなくなります。しかし、Rev.8.x 系のファームウェアを使用している RT57i や RTV700 では、先にどちらか一方を設定していても、他方がグレー表示になることはありません。
RTX1000 で複数拠点を結ぶ VPN 網を構成する場合の注意点 (2004/8/13 追加)
本文中では IPsec 関連の設定にしか言及していませんが、スター型でセンター側に配置されるルータと、メッシュ型で使用されるすべてのルータについて、複数の IPsec トンネルを同時に通すことになります。
そのため、IPsec 関連の設定に加えて、UDP 500 番に宛てた通信と ESP を通過させるフィルタ設定を増設する必要があります。具体的には、フィルタの入力側、あるいは出力側について、VPN トンネルごとにそれぞれ異なる IP アドレスを指定して、WAN 側インターフェイスの入力方向、あるいは出力方向に追加することになります。
それが面倒という場合、安全性の面ではネガがありますが、「ip filter 番号 pass * * udp 500」「ip filter 番号 pass * * esp *」というように、「*」でワイルドカード指定を行ったフィルタ設定を用意して、共用してしまう方法もあります。
リモートアクセス VPN の名前解決 (2004/5/1 追加)
PPTP を使ってリモートアクセス VPN を行う際に、接続先 LAN を対象にして WINS サーバで名前解決を行うには、クライアントと WINS サーバの間に、NBT (NetBIOS over TCP/IP) 関連の通信を阻害する要素が存在しないことが条件になります。
ヤマハルータを VPN ゲートウェイに使用している場合には、LAN 側のフィルタ設定が問題になります。LAN 側フィルタ設定で、既定値ではオンになっている NBT 関連のフィルタをすべて外して通過を許可することと、クライアント側の接続設定で WINS サーバ アドレスとして LAN 側にある WINS サーバの IP アドレスを指定することで、名前解決が可能になります。
参考 : マイクロソフト サポート技術情報 176321
刊行後の追加情報 (初版第 2 刷から修正)
誤記訂正 (2004/5/1 追加)
125 ページ・1 行目の「nat descriptor address inner 1 _____[5]_____」は、「nat descriptor address inner 1 _____[6]_____」の間違いです。
RTX1000 における、IPsec 利用時のホスト名指定について (2004/1/31追加)
RTX1000 の、ファームウェア Rev.7.01.08 から、IPsec 利用時のホスト指定手段として、IP アドレスに加えてホスト名を使った指定が可能になっています。ですから、これ以降のファームウェアとダイナミック DNS を組み合わせることで、動的 IP アドレスを使った IPsec の運用が可能になる理屈です。
しかし、この方法では DNS がダウンすると通信途絶するという問題があるほか、IP アドレスで対抗する相手側ルータを指定するよりも安全性の面で見劣りする (DNS がクラックされると第三者の接続が可能になるかもしれない) という問題があるため、確実性という面では、固定 IP アドレスの取得と IP アドレスによる指定の方が上です。
PPTP LAN間接続を利用する際の IP アドレスについて (2004/1/25 追加)
書籍の本文中では、PPTP を使った LAN 間接続 VPN では固定 IP アドレスの確保が必要、と記述していますが、実際には、ネットボランチ DNS のようなダイナミック DNS サービスを利用すれば、動的 IP アドレスの利用も可能です。この場合、エンド ポイントのアドレスとして、(IP アドレスではなく) ダイナミック DNS サービスに登録したホスト名を指定することになります。しかし、セキュリティという面から考えると、DNS をかましてホスト名で指定するよりも、特定の IP アドレスを決め打ちで指定する方が、無関係の第三者が勝手に接続するリスクを低減できます。その点に配慮して、本書では「固定 IP アドレスが必要」という書き方にしている点を、御了承ください。
なお、IPsec を利用する場合には、接続用のパラメータとして IP アドレスそのものを利用するため、事情が違います。本文中にあるように、少なくともレスポンダ側では固定グローバル IP アドレスが必須です。ただし、アグレッシブ モードを使用すれば、イニシエータ側に限って動的 IP アドレスの利用が可能です。
| |
