本文へジャンプします。

ニフティクラウドを Hub にして L2TPv3/IPsec VPN(L2 VPN)

こんにちは。まほろば工房の浅間です。前回に引き続き、今度は L2TPv3/IPsec VPN(L2 VPN) でニフティクラウドを Hub にしてオンプレ間をつなぐような構成を紹介したいと思います。
絵にするとこんな感じです。ニフティクラウド上のプライベート LAN とオンプレ 2カ所をひとつのスイッチングハブでつないだような感じです。

007_01

前回の IPsec VPN(L3 VPN) では裏技っぽい感じでニフティクラウドを Hub とするような構成をつくってみましたが、 L2TPv3/IPsec VPN(L2 VPN) ではふつうに(とくに工夫とかする必要なく) 2 カ所のオンプレをつなぐだけです。

同じく前回の IPsec VPN(L3 VPN) では、オンプレの YAMAHA RTX1210 間で IPsec VPN の設定したほうがいいかもしれません、というようなことを書きましたが、逆に L2TPv3/IPsec VPN(L2 VPN) ではそれをやると大変なことになります。 L2 ネットワークがループすると ARP 問い合わせ等のブロードキャスト・フレームが溢れて大変なことになります(良く分からないという方はブロードキャスト・ストームでググってみましょう)。

ではいつものとおり VPN ゲートウェイの設定からです。

VPN ゲートウェイの設定

プライベート LAN を作成します。上の図の通り 192.168.1.0/24 で作成します。

007_02

次に VPN ゲートウェイを作成します。今回は 2 拠点以上を接続するのでタイプは medium を選択しました。

007_03

ファイアウォールも前回までと同様設定します。今回も接続したい拠点が 2 カ所なので YAMAHA RTX1210 のグローバル IP アドレスをふたつとプライベート LAN の IP アドレス帯である 192.168.1.0/24 を登録しました。

007_04

そして VPN コネクションを作成します。まずは 1 カ所目(図の右側の YAMAHA RTX1210 用) の VPN コネクションを作成します。このへんは “YAMAHA RTX1210 で単一拠点 L2TPv3/IPsec VPN(L2 VPN)” と同じです。

007_05

トンネル設定はモードに Managed を選択し “確認へ” ボタンを押します。

007_06

2 カ所目の VPN コネクションも同じように作成します。

007_07
007_08

VPN コネクションの作成が完了したらオンプレ側の YAMAHA RTX1210 の設定に移りましょう。

右側の YAMAHA RTX1210 の設定

YAMAHA RTX1210 の設定は “YAMAHA RTX1210 で単一拠点 L2TPv3/IPsec VPN(L2 VPN)” とまったく同じ手順です。参考までに設定の全体を貼り付けておきます。

ip route default gateway pp 1
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.1.254/24
pp select 1
 pppoe use lan2
 pp auth accept pap chap
 pp auth myname xxx@yyy zzz
 ppp lcp mru on 1454
 ppp ipcp ipaddress on
 ppp ipcp msext on
 ppp ccp type none
 ip pp mtu 1454
 ip pp nat descriptor 1
 pp enable 1
tunnel select 1
 tunnel encapsulation l2tpv3
 tunnel endpoint address 192.168.1.254 198.51.100.123
 ipsec tunnel 101
  ipsec sa policy 101 1 esp aes-cbc sha-hmac
  ipsec ike duration ipsec-sa 1 3600
  ipsec ike duration ike-sa 1 28800
  ipsec ike encryption 1 aes-cbc
  ipsec ike group 1 modp1024
  ipsec ike hash 1 sha
  ipsec ike keepalive use 1 on dpd
  ipsec ike local address 1 192.168.1.254
  ipsec ike pfs 1 on
  ipsec ike pre-shared-key 1 text xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
  ipsec ike remote address 1 198.51.100.123
 l2tp always-on on
 l2tp hostname YAMAHA-RT1
 l2tp tunnel auth off
 l2tp tunnel disconnect time off
 l2tp keepalive use on 20 3
 l2tp keepalive log on
 l2tp syslog on
 l2tp local router-id 203.0.113.123
 l2tp remote router-id 198.51.100.123
 l2tp remote end-id vpn-0v3nmzof
 tunnel enable 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 ipcp
nat descriptor address inner 1 auto
nat descriptor masquerade static 1 1 192.168.1.254 esp
nat descriptor masquerade static 1 2 192.168.1.254 udp 500
nat descriptor masquerade static 1 3 192.168.1.254 udp 4500
ipsec auto refresh on
ipsec transport 1 101 udp 1701
dns server pp 1
dns private address spoof on
l2tp service on l2tpv3

左側の YAMAHA RTX1210 の設定

こちらも “YAMAHA RTX1210 で単一拠点 L2TPv3/IPsec VPN(L2 VPN)” と同様です。

ip route default gateway pp 1
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.1.253/24
pp select 1
 pppoe use lan2
 pp auth accept pap chap
 pp auth myname xxx@yyy zzz
 ppp lcp mru on 1454
 ppp ipcp ipaddress on
 ppp ipcp msext on
 ppp ccp type none
 ip pp mtu 1454
 ip pp nat descriptor 1
 pp enable 1
tunnel select 1
 tunnel encapsulation l2tpv3
 tunnel endpoint address 192.168.1.253 198.51.100.123
 ipsec tunnel 101
  ipsec sa policy 101 1 esp aes-cbc sha-hmac
  ipsec ike duration ipsec-sa 1 3600
  ipsec ike duration ike-sa 1 28800
  ipsec ike encryption 1 aes-cbc
  ipsec ike group 1 modp1024
  ipsec ike hash 1 sha
  ipsec ike keepalive use 1 on dpd
  ipsec ike local address 1 192.168.1.253
  ipsec ike pfs 1 on
  ipsec ike pre-shared-key 1 text xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
  ipsec ike remote address 1 198.51.100.123
 l2tp always-on on
 l2tp hostname YAMAHA-RT1
 l2tp tunnel auth off
 l2tp tunnel disconnect time off
 l2tp keepalive use on 20 3
 l2tp keepalive log on
 l2tp syslog on
 l2tp local router-id 203.0.113.234
 l2tp remote router-id 198.51.100.123
 l2tp remote end-id vpn-0xej1d7j
 tunnel enable 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 ipcp
nat descriptor address inner 1 auto
nat descriptor masquerade static 1 1 192.168.1.253 esp
nat descriptor masquerade static 1 2 192.168.1.253 udp 500
nat descriptor masquerade static 1 3 192.168.1.253 udp 4500
ipsec auto refresh on
ipsec transport 1 101 udp 1701
dns server pp 1
dns private address spoof on
l2tp service on l2tpv3

まとめ

L2TPv3/IPsec(L2 VPN) でニフティクラウドを Hub にオンプレ間の通信もできるような構成について紹介してみました。ニフティクラウド上のプライベート LAN と同じ L2 ネットワークが 2 カ所のオンプレに伸ばせるってなんだか不思議な感じがしますね。

次回はいままでとだいぶ雰囲気を変えて VPN ゲートウェイの性能について紹介したいと思います。お楽しみに。

ニフティクラウド 導入相談窓口
ニフティクラウド 無料セミナー

閉じる

閉じる

クラウドブログ編集部

クラウドブログ編集部

ニフティクラウド ユーザーブログ編集部のアカウントです。 編集部からのお知らせや、レギュラーライター以外のゲストによる寄稿記事を掲載していきます。

浜中 慶

浜中 慶

1980年、神奈川県生まれ。2003年ニフティ入社。 ポータルサイト開発を中心に、音楽配信サービス、CGMサービスなど様々なプロジェクトに企画/デザイン/システム担当として参加。現在は@niftyのポータルサービス向けコンテンツ管理システムの企画/開発/運用を担当。

吉田 雄哉

吉田 雄哉

株式会社co-meetingの創業メンバー。「取締役&External- facing Technologist」と名乗り新しいIT技術を広く伝える活動とWebアプリケーション開発を行う毎日。パッケージベンダーでのSaaS立上げ・製造業の情報システム部門で企画やPM・受託開発と従事してきたため、ベンダーサイドとユーザサイド の両方の視点を持ち合わせる。

石田 健亮

石田 健亮

株式会社ドリーム・アーツで小売事業者向けSaaS「Shopらん」を企画、開発。メインの仕事はプログラマーだがサーバー管理や営業もこなすユーティリティプレイヤー。最近好きな事はパフォーマンスチューニング。特に並列化プログラミングがマイブーム。キライなことはデータセンターでの作業。騒音と乾燥が弱点。ニフティクラウドでデータセンターに行く必要が無くなったことが本当の利点だ と思っている。

五月女 雄一

五月女 雄一

ニフティでは「インフラを守る簡単な様で奥が深いお仕事」をしています。 夢はインフラの気持ちが読めるエンジニアになること。

わたなべ かずひろ

わたなべ かずひろ

専門学校卒業後、ソフトウェア開発会社で電力系統制御システムの開発に従事。その後、CD-ROM等マルチメディア系PCソフトの開発を経て、1998年フリーランスに。 2000年8月に株式会社イーツーの設立に参画。携帯を含む様々なWeb系のシステム開発に携わる。現在はiPhone/Androidアプリなどの開発も手がけている。

市角

市角

ニフティクラウドのコントロールパネル設計・開発をメインに、たまにインフラの運用やお手伝いもやっていたりします。コントロールパネルや新機能の活用方法、アイデアなどを中心に書いていく予定です。

仲山 昌宏

仲山 昌宏

歌って踊れるインフラエンジニア兼、PHPもRubyもJavaも書くPerl使い。 物理サーバの運用に飽きて、フルラックに格安サーバ詰めて自宅プライベートクラウドを構築中。 今年は個人的には分散処理を攻めていきます。

猪飼 賢広

猪飼 賢広

1984年、愛知県名古屋市生まれ。大学は福島県にある某大学。2008年ニフティに入社。 開発系部署に配属後、主に各種テーマサイト開発のシステム面調整、開発進行管理役などとして参加。 現在もPC・ガラケーサイトの開発まわりを担当。インフラまわりを触る案件にも携わっており、日々修行中。 好きな芸人はなかやまきんに君とレイザーラモンRG。

久江 裕之

久江 裕之

ニフティクラウドのインフラ運用、OS提供の仕事をしています。 新しいOSやイメージが出る時にこのブログでご紹介いたします。入社5年目。一流のインフラエンジニアを目指して日々勉強中。

竹内 豪

竹内 豪

ニフティクラウド エンジニア

山口

山口

ニフティクラウドの基盤設計、新サービス/アライアンス/インフラ企画、その他雑用全般を担当しています。 クラウドに欲しい機能や、こんなふうに使ってほしいという想いが共有できれば良いですね。

芳中 隆幸

芳中 隆幸

ニフティクラウドの開発、運用を担当しています。

酒井 浩平

酒井 浩平

ニフティクラウドの中にいます。 ネットワークまわりの運用・開発や自動化などに取り組んでいます。 すべてのエンジニアを幸せにすることを目指しています。

higebu

higebu

ニフティクラウド IaaSのエンジニアです。 ネットワーク、DRサービス with VMware vCloud® Air™ Technology辺りの担当をしています。

武田

武田

ニフティクラウドの開発・運用を担当しています。 各種機能の内容についてなどで執筆させていただく予定です。

福澤真

福澤真

ニフティクラウドのコンパネ開発、運用をしています。

森藤 大地

森藤 大地

データに関する仕事が好きです。

宮原徹

宮原徹

日本仮想化技術株式会社 代表取締役社長兼CEO。仮想化技術に関するコンサルタントとして長年活動しており、特にベンチマークテストによる性能評価を得意としている。

荒谷翔

荒谷翔

株式会社はてなでMackerelのセールスデベロッパーとして勤務しています

東條 望

東條 望

2014年にニフティへ中途入社。 入社後から現在まで、ニフティクラウドのサービス企画・開発を担当しています。 各サービスの紹介を執筆させていただく予定です。

世良迪夫

世良迪夫

ニフティクラウドのRDBなどを担当しています