Nuro光 Biz 固定IPアドレスオプション環境下でL2TP/IPSec設定

テレワークで大活躍しているYAMAHA RTX1210ですが、入手困難で困ります。客先から12月までにやって!と言われておりますが、到底無理な話です。仕方が無いので先行して貸出機のRTX1200を入れるという2度手間が発生する始末でして・・・。
さて、そのRTX1210ですが、今回Nuro光 Biz 固定IPアドレスオプション環境下でL2TP/IPSec設定を初めて設定する事になりました。L2TP/IPSecというのは、リモートアクセスVPNと呼ばれるもので、Windows等のOS標準の機能でスマホのテザリングなどから暗号化して安全に社内ネットワークに接続するためのものです。
尚、Nuro光Bizの固定IPアドレスオプションではない方は、ここの記事は該当しません。また、固定IPアドレスオプションでも、DMZセグメントを設ける方はこの記事には該当しません。Nuroが発表している以下の設定例の「構成例5」で、サーバをローカル内に設置している場合に該当します。

NUROアクセス ルータ設定例

この記事では、以下の設定例が示されております。

ip route default gateway 118.1.1.1
ip lan1 address 192.168.1.254/24
ip lan2 address 118.1.1.2/27
ip lan2 nat descriptor 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 118.9.0.1
nat descriptor address inner 1 auto
nat descriptor static 1 1 118.9.0.2 192.168.1.10
nat descriptor masquerade incoming 1 reject
telnetd service on
dns service recursive
dns server 118.238.201.33 118.238.201.49
dns private address spoof on

※赤字は利用者によって変わる内容です。

これを見ますと、lan2に割り当てられたアドレスが「118.1.1.2/27」、固定オプションにアドレス変換に割り当てられているアドレスが「118.9.0.1」と別ネットワークである事がわかります(当方今までフレッツ光ばかりやってきたのでこういうのは見慣れなくて)。通常の拠点間LANですと、自分宛のIPアドレスを118.9.0.1にすると正常に接続できるんですが、どうもL2TP/IPSecがうまく行きません。また、Netvolante-DNSはInterfaceに設定するため、アドレス変換専用の118.9.0.1だとNetvolante-DNS設定ができないのでは?との懸念が残ります。DNSについてはDNS Serverに手動で118.9.0.1を割り当てたら良いのですが、既にNetvolante-DNSで設定済みの数十台のリモートアクセスPCが散らばっているので、修正していくのはこれまた大変です。
で、やった事と言うのがこれ。

nat descriptor address outer 1 primary

単純に接続用IPアドレスをNATに使っただけ。接続用IPアドレスもインターネットに接続されているのですね。接続用だけだと思ってた。これで万事解決。あ、もちろんファイアウォールのため、パケットフィルタの設定もお忘れなく。

2020/12/18追記
上記の設定をすると、内側LANからオプショングローバルIPアドレスにアクセスできない事が判明しました。これを回避するのに、ONUのLAN2にルーティングする等の処置が必要です。

2020-12-10 | Posted in 入江(社長), 備忘録Comments Closed 

関連記事