[WiFiルーター][VPN] ネットワーク間VPN(Net-to-Net)の設定方法 - BRTシリーズ
ネットワークダイアグラム
Net-to-Net VPNサーバーを設定する
1. ルーターの管理画面にログインし、WAN接続が正常に機能していることを確認します。
2. VPN > VPNサーバー > IPSec VPN の順にクリックします。
3. IPSec VPN サーバーを有効にする を[ON]にします。
4. [+]ボタンをクリックしVPNプロファイルを追加します。
5. VPNタイプ を[Net-to-Net VPNサーバー]に設定します。
6. Net-to-Net VPNサーバープロファイルを設定します。
6-1 VPNプロファイル名:プロファイル名を入力します。
6-2 ローカルパブリックインターフェース:インターネットからアクセス可能なWANインターフェースを選択します。
ご参考:選択したWANのIPアドレスがNATゲートウェイの背後にある場合は、IPアドレスに対してポートフォワーディング(ポート転送)またはDMZを設定する必要があります。
6-3 事前共有鍵:安全な暗号化トンネルを作成するために事前共有鍵を設定します。
6-4 ローカルプライベートサブネットとリモートプライベートサブネットを設定します。
ローカルプライベートサブネット:192.168.100.0/24
リモートプライベートサブネット:192.168.200.0/24
7. Net-to-Net VPNサーバープロファイルの詳細設定を行います。
7-1 IKEバージョン を選択します。
7-2 認証情報のハンドシェイクを可能にするためにエクスチェンジモードを設定します。
メインモード:複数のラウンドによる暗号化情報のハンドシェイク
アグレッシブモード:単一のラウンドによる非暗号化情報のハンドシェイク
ご参考:IKEv2はメインモードのみをサポートしています。
8. [保存]をクリックしてプロファイルを保存します。
9. 作成したVPNプロファイルを有効にするには[Activate]ボタンをクリックします。
Net-to-Net VPNクライアントを設定する
1. VPNクライアントゲートウェイとして使用しているルーターの管理画面にログインし、WAN接続が正常に機能していることを確認します。
2. VPN > VPNクライアント > プロファイルの追加 の順にクリックします。
3. [IPSec]タブをクリックし、Net-to-Net クライアントプロファイルを設定します。
3-1 VPNプロファイル名:プロファイル名を入力します。
3-2 リモートゲートウェイ:IPSec VPNサーバーのリモートゲートウェイのIPアドレスを入力します。(例 10.10.70.100)
ご参考:DDNSが正しく設定されている場合、IPアドレスの代わりにFQDN(Fully Qualified Domain Name)を入力することができます。
3-3 ローカルパブリックインターフェース:インターネットからアクセス可能なWANインターフェースを選択します。
ご参考:選択したWANのIPアドレスがNATゲートウェイの背後にある場合は、IPアドレスに対してポートフォワーディング(ポート転送)またはDMZを設定する必要があります。
3-4 事前共有鍵:安全な暗号化トンネルを作成するために事前共有鍵を設定します。
3-5 ローカルプライベートサブネットとリモートプライベートサブネットを設定します。
ローカルプライベートサブネット:192.168.200.0/24
リモートプライベートサブネット:192.168.100.0/24
4. Net-to-Net VPNクライアントプロファイルの詳細設定を行います。
4-1 IKEバージョン を選択します
4-2 認証情報のハンドシェイクを可能にするためにエクスチェンジモードを設定します。
メインモード:複数のラウンドによる暗号化情報のハンドシェイク
アグレッシブモード:単一のラウンドによる非暗号化情報のハンドシェイク
ご参考:IKEv2はメインモードのみをサポートしています。
5. [保存]をクリックしてプロファイルを保存します。
6. 作成したVPNプロファイルを有効にするには[Activate]ボタンをクリックします。
Net-to-Net VPNサーバーに接続する
1. VPNクライアントプロファイルがActivate(有効)にされると、VPN接続ができるようになります。
2. ウェブブラウザーでVPNゲートウェイのIPアドレスを入力しルーターの管理画面にログインすることで、VPNクライアントからリモートゲートウェイに接続することができます。
3. VPN > VPNサーバー > IPSec VPN の順に進み、IPSecサーバープロファイル一覧の「接続状態」から詳細な接続状態を確認することができます。
拡張機能の使用例
ドメイン名を使用してNet-to-Net VPNを設定する
1. リモートVPNゲートウェイにDDNSまたはDNSが設定されている場合は、IPアドレスの代わりにFQDN(Fully Qualified Domain Name)を使用することができます。
2. IPSec VPNサーバー設定のローカルID欄に、ドメイン名(例 headquarter.asuscomm.com)を入力します。
3. IPSec VPNクライアント設定のリモートゲートウェイおよびリモートID欄に、ドメイン名(例 headquarter.asuscomm.com)を入力します。
複数のNet-to-Net VPNクライアントを設定する
1. Net-To-Net VPNクライアントで複数のIPSec VPNトンネルを作成する必要がある場合、これらのVPNトンネルを区別するために、リモートサイトVPN接続を有効にします。この設定には、ローカルIDとリモートIDが必要です。
2. 例えば、Offices BranchとBransh2を使用して新しいVPNトンネルを作成する場合、新しく作成する接続設定では、両方のサイトのローカルIDとリモートIDを入力する必要があります。このローカルIDの値は、クライアント(ピア)サイトのリモートIDに指定された値と一致している必要があります。
3. Net-to-Net VPNサーバーで、新しいVPN接続のローカルIDとリモートIDを入力します。
ご参考:サーバーが複数のクライアントが接続できるように設定されている場合は、ローカルIDとリモートIDは空白のままにしておくことができます。
4. Net-to-Net VPNクライアントでは、新しいVPN接続のローカルIDとリモートIDを入力します。
ご参考:リモートサーバーが複数のクライアントが接続できるように設定されている場合は、クライアント設定でローカルIDとを空白のままにする必要があります。
5. [保存]をクリックしてプロファイルを保存し、作成したVPNプロファイルの[Activate]ボタンをクリックし有効にします。
複数の内部サブネットを持つNet-to-Net VPNを設定する
1. サイト間VPNを介した複数範囲のネットワークは、IKEv2でのみ使用することができます。
2. Net-to-Net VPNサーバーおよびNet-to-Net VPNクライアントの詳細設定で、IKEバージョンの[v2]を選択します。
Net-to-Net VPNサーバー
Net-to-Net VPNクライアント
3. IKEバージョンの選択後、VPNの詳細 で[全般]を選択すると、複数のネットワーク範囲を設定することができます。
Net-to-Net VPNサーバー
Net-to-Net IPSec VPNクライアント
スプリットトンネルを使用してNet-to-Net VPNを設定する
Net-to-Net IPSec VPNは、ネイティブでは「分割トンネル」であり、ローカルプライ別途サブネットとリモートプライベートサブネットで定義されたトラフィックのみがトンネルを通過します。その他の指定されていないトラフィック(例 Google.com、Amazon.com)は、ブランチASUS BRTデバイスからインターネットに直接送信されます。