PPTPサーバーによるVPNと条件によるDefault Gatewayの切り替え

お世話になります。エフアイテックの梶です。

 

今回はYAMAHAルーターで面白いことをしてみます。

先日行ったNetvolante DNSを活用し、外出先からVPNで接続するというものです。

VPNの種類として、種類としてメジャーどころはPPTPとL2TP/IPSECの２つがあります。

昔は拠点間はIPSEC、モバイルでの接続はPPTPが使われていましたが、

PPTPには脆弱性があることより、現在後者が主流になりつつあります。

 

こちらのVPN環境もPPTPからL2TP/IPSECに移行する予定ですが、

とりあえず現状の設定でご紹介します。

 

 

ip lan1 proxyarp on　# lan1ネットワークのIPをPPTPクライアントに与える場合、これが必要

 

### PP anonymous ###

pp select anonymous
 description pp "PPTP Server"
 pp bind tunnel1
 pp auth request mschap-v2        # Windows7以降は本設定
 pp auth username user-id passwd
 ppp ipcp ipaddress on
 ppp ipcp msext on
 ppp ccp type mppe-any
 ip pp remote address pool 192.168.1.10-192.168.1.19
 ip pp mtu 1280
 pptp service type server
pp enable anonymous
 

### TUNNEL 1 ###

tunnel select 1
 description tunnel "Remote < = > Fi-Tech PPTP"
 tunnel encapsulation pptp
tunnel enable 1
 

この設定で、先日のnetvolante.dns ”suppon.aa0.netvolante.jp”で接続をします。

スマートホンでも簡単に設定できます。（以下Androidの場合）

タイプ=PPTP

サーバーアドレス=suppon.aa0.netvolante.jp

PPP暗号化（MPPE）＝チェック

ユーザー名＝user-id

パスワード＝passwd

 

ただし、VPN接続してしまうとインターネット接続ができなくなるため、

転送ルート（ここではVPN接続先のネットワーク 192.168.1.0/24）

もしWindowsであれば、TCP/IPの詳細設定にあるリモートゲートウェイのチェックを

外してください。

 

VPNでつないでしまえば、最近はWiFiでつながっている家電やWEBカメラなどを

外出先で制御できます。

（私はすっぽんや海水魚の観察、およびBDレコーダーの設定に使っています）

 

普通に使うのであれば、この設定でいいのですが、こちらのネットワークは少々変なことをしております。

社内、および家庭からのインターネット接続にはIPoE（IPv6)接続をしており、Netvolante DNSが使えないため

別にもう1セッションPPPoEで接続しています。こちらでNetvolante DNSとVPNの受けをします。

つまりDefault Gatewayを条件で切り替えてやる必要がでてきますが、市販のルーターではできません。

ところがYAMAHAはよくできており、これができます。以下に設定方法を説明します。

 

ip route default gateway pp 1 filter 10000 10001 10003 10004 10005 gateway tunnel 1 filter 10002 gateway 192.168.1.1 filter 10006

ip filter 10000 pass * * tcp 1723 *           # PPTP制御(PPPoE)
ip filter 10001 pass * * gre * *                # PPTPカプセリング(PPPoE)
ip filter 10002 pass 192.168.1.10-192.168.1.19 * * * *    # PPTPクライアント(tunnel1)
ip filter 10003 pass 192.168.1.1-192.168.1.9 * * * *        # PPPoE接続用IP(PPPoE)
ip filter 10004 pass 192.168.2.0/24 * * * *            # メンテナンス用(PPPoE)
ip filter 10005 pass 192.168.1.254 * * * *            # ルーター本体(PPPoE)
ip filter 10006 pass * * * * *                    # その他(IPoE接続）

 

Filter1000は、PPTPの制御ポートであるTCP:1723を示します。これはPPPoEに流します。

Filter1001はPPTPのトンネリングプロトコルGREをPPPoEへ流します。

Filter1002はPPTPクライアント（192.168.1.10-192.168.1.19）のパケットをPPTPのトンネルに流します。

Filter1005はYAMAHA自身はIPoEでなくPPPoEに流します。

1003,1004はデバッグ用の設定でPPPoEでネットにつなげたいときの試験用です。

1006はそれ以外について、IPoEで流します。

 

これで、内部からの接続は、原則IPoEですが、PPPoEも使用し、PPTPでのVPN接続が

可能です。

 

次回はフィルタリングの設定についてご説明します。