- - PR -
LAN内にVPN、WANそれぞれの2台のルーターを設置の設定
1
投稿者 | 投稿内容 |
---|---|
|
投稿日時: 2008-06-27 21:30
現在下記の様な構成が出来ないか悩んでいます。
PC1 PC2 PC3 ... (DHCP) | +-------------------------------------+----+(192.168.1.0/24) .| | LAN | LAN | +---------+ +---------+ | RT58i | 192.168.1.191/ | ルーター. | 192.168.1.1(DHCP) +---------+ +---------+ WAN | PPPoEフレッツグループアクセス | WAN(ISP) | インターネット | (NTTグループアクセス網) | WAN | PPPoEフレッツグループアクセス +---------+ | RT58i | 192.168.100.1 +---------+ LAN | | +---------------------------+(192.168.100.0/24) | PC1 PC2 PC3 ... (DHCP) 192.168.100.0のグループのPCからグループアクセスを経由して192.168.1.1のルーターに 設定されたISPからインターネットが出来るようにしたい。 192.168.1.0グループのPC<=>192.168.100.0のグループのPCの双方にアクセス するにはISPの設定されているルーターのデフォルトゲートウェイ、DNSサーバー が設定されているとグループアクセスには通信できず、ゲートウェイ、DNSを 192.168.1.191に設定するとグループアクセスには通信できるがネットが使え無いと いう状態です。 双方のグループのPCすべてがネット、個々のPCにアクセスできるようにしたいのですが 解決策が見つからず困っています。 [ メッセージ編集済み 編集者: M&B 編集日時 2008-06-27 22:26 ] [ メッセージ編集済み 編集者: M&B 編集日時 2008-06-27 22:28 ] [ メッセージ編集済み 編集者: M&B 編集日時 2008-06-27 22:33 ] [ メッセージ編集済み 編集者: M&B 編集日時 2008-06-27 22:36 ] [ メッセージ編集済み 編集者: M&B 編集日時 2008-06-27 22:38 ] [ メッセージ編集済み 編集者: M&B 編集日時 2008-06-27 22:39 ] [ メッセージ編集済み 編集者: M&B 編集日時 2008-06-27 22:40 ] [ メッセージ編集済み 編集者: M&B 編集日時 2008-06-27 22:42 ] [ メッセージ編集済み 編集者: M&B 編集日時 2008-06-27 22:43 ] |
|
投稿日時: 2008-06-27 22:39
|(ISP) | 192.168.1.1 +−−−−−+−−−−−−+−−−−−−+ | | | | | PC1 PC2 PC3 |192.168.1.191 (rt58i) : :WAN(グループアクセス) : (rt58i) | 192.168.100.1 +−−−−−−−−−−−−−+ | | PC100 PC200 とう構成で宜しいですね。 192.168.100側からISPへアクセスできていないとの事なので 192.168.1.191のルータのルーティングテーブルでデフォルトルートを 192.168.1.1 として設定してください。 そして192.168.1.0/24側のPCのデフォルトゲートウェイを 192.168.1.191 に設定すれば良いでしょう。 また、併せてISP側のルータで「192.168.100.0/24のゲートウェイは 192.168.1.191」という設定を行えば、192.168.1.0/24側のPCのデフォルトゲートウェイを 192.168.1.1としても構いません。 |
|
投稿日時: 2008-06-27 22:50
非武装エリア様
早速のアドバイスありがとうございます。 現在ISP側のルーターでDHCPを有効にしていますが 192.168.1.191側のルーターでDHCPを有効にしてISP側は 無効にした方がいいのでしょうか? |
|
投稿日時: 2008-06-27 22:54
192.168.1.0/24側のDHCPはどちらか1つで構いません。
2つで動かすならリースする範囲を重複しないようにすれば、それでも構いません。 でも問題はDHCPではなく192.168.1.191 のルータでデフォルトゲートウェイが設定されていないのと、192.168.1.1のルータが192.168.100/0のセグメントを認識していないことです。 [ メッセージ編集済み 編集者: 非武装エリア 編集日時 2008-06-27 22:55 ] |
|
投稿日時: 2008-06-28 05:45
方法は、3つあると思います。
1.ISPルータのICMPリダイレクトを有効にする。 メリット○作業の手間が最小である。 デメリット▲ルータの管理がベンダだと有料作業。 リモート拠点(192.168.100.0)がインターネットと通信できるなら、 ISPルータには、すでに192.168.100.0/24への経路情報があるはずですが、 ICMPリダイレクトが有効になっていないように見えます。 ルータ製品では、デフォルトでICMPリダイレクトは有効なので、 デフォルトでICMPリダイレクトを無効にするファイアウォール製品かも。 2.192.168.0.0/24セグメントのPCに192.168.100.0/24をRouteAddする。 ○拠点2と通信できるPCを差別化しやすい。作業によるスキルアップ。 ▲PCの台数が多いと、管理が大変である。 PC1台あたりの作業は、Admin権限でコマンドプロンプトを起動して、 設定コマンド1行、確認コマンド1行で済みますが、PCの台数が多いと大変。 route (-p) add 192.168.100.0 mask 255.255.255.0 192.168.0.191 route print 3.192.168.0.0/24のセグメントに、プロキシを設置する。 ○セキュリティ上好ましい。URLフィルタなど柔軟な対応が可能になる。 ▲最もコストが大きい。 構成上で、欠けているものがあるとしたら、プロキシでしょうか。 というより、セキュリティ製品群の居場所がないのが問題かも。 PCの台数が充分なら、プロキシの設置も考慮の範囲内でしょうか。 PC1台あたり5000円以内の投資なら妥当な額かも。 とは言っても明日からプロキシと言うわけにも行かないので、 1.または2.の方法で急場を凌いで、将来的にはセキュリティ製品の 導入を検討するのが、ベスト運用でしょうか。 _________________ _福田太郎_ |
|
投稿日時: 2008-07-02 12:55
もう既に解決したかもしれませんが遅ればせながら・・・
同じような環境にてM&Bさんがやろうとしている事をしておりますが 私の場合はたらおさんの3つの方法の3番目(プロキシ設置)にて構築しております たしかフレッツグループアクセスは各拠点の払出しアドレス以外のサブネット宛の ルーティングは出来なかったと思うのですが・・・ この場合はインターネット宛のパケットは192.168.1.0/24宛でも192.168.100.0/24宛 でもないので192.168.100.0/24のPCからインターネット宛のパケットは 192.168.1.0/24のネットワークへはルーティングされません。 (間違っていたらすみません) ので192.168.1.0/24のネットワーク内にプロキシを設置して運用しています クライアント台数がどれくらいなのかわかりませんがプロキシサーバーのフリーソフトで 札幌ソフト開発工場様のBlackJumboDogというものもありますのでハードさえあれば 少ないコストで構築できるのではないかと思います あとはフレッツグループアクセスへの接続がLAN型接続ならすんなり出来ると思います。 仮に端末型接続の場合はrt58i同士なのでIPIPトンネルを張ってしまえば可能です。 非武装エリアさんの構成図を使わせていただくとこの様な感じになります |(ISP) | 192.168.1.1 | +−−−−−+−−−−−−+−−−−−−+ | | | | | PC1 PC2 プロキシ(192.168.1.x) | |192.168.1.191 (rt58i) : :WAN(グループアクセス) : (rt58i) | 192.168.100.1 | +−−−−−−−−−−−−−+ | | PC100 PC200 既に解決済みでしたらすみません |
1