お薦め ページ


メニュー

ハワイ島 遊覧飛行ツアー

ハワイ島 B&B・ホテル

ハワイ島 不動産情報

ハワイ島 情報・観光ガイド

ブログ(Blog)

その他

関連サイト

: カテゴリー :

VPN/Firewall/NAT

2005年9月18日

VPNクライアントのNAT越え調査(1)

前回の「ネットスクリーン(NetScreen)」で問題点をあげておいたが この件に関して、少し調査してみた。

先ず、ネットスクリーンのVPNクライアント・サポートページから 「Send traffic through the tunnel behind a Linksys router 」 この Note: には
Make sure IPSec Passthrough is disabled on the Linksys router. IPSec Passthrough will break NAT Traversal functionality
とある。 リンクシスのルータの「IPSecパススルー」の機能が無効になっていることを 確認すること。「IPSecパススルー」を使うと「NAT Traversal」機能に不具合がでる。 といった感じの内容である。確かに最近のNATルータには「IPSec Passthrough」ができるよ、 とうたっているルータがほとんどである。 でもその機能をわざわざ無効にしろ、というのである。

また、「NAT Traversal」という言葉、最近別件で見かけた言葉である。 「MSNメッセンジャーの問題解決(1) 」 を書くにあたって UPnP(Universal Plug & Play) ついて調査した際、 出くわした言葉である。日本語で言えば、いわゆる「NAT越え」という技術。 この辺について、もう少しクリアにする必要がある。

また、 「Create an IPSEC tunnel behind a NAT device without NAT traversal」というページ。 こちらは、「NAT越え」機能を使わずにIPSECトンネルを作る方法。 内容としては、VPNクライアントのPCに対するMIPを設定し、そこに対して、 IP Protocol 50 と UDP port 500 を通過できるようにしろ、 という感じ。 ここでいうMIPとは「Mapped IP」のことで、日本語では「静的NAT機能」と呼び 外側のIPと内側のIPの対応を固定で指定できる機能のことを指していると思われる。 でも、これを使うと、PCに対して、DHCPでIPをダイナミックに割り振るようなことが できなくなってしまう。これはこれで厄介である。

もう少し調査を続けてみることにしよう。

カテゴリー: VPN/Firewall/NAT     21:52 | コメント (0) | トラックバック (0)

2005年9月17日

ネットスクリーン(NetScreen)

ネットワークのセキュリティーデバイスの会社で「ネットスクリーン(NetScreen)」 という会社がある。正確に言うと「あった」と言った方がよい。 昨年、ジュニパーネットワークス(Juniper Networks, Inc.)に買収されたそうだ。 チョット古い記事だが詳細は「ジュニパーネットワークス、ネットスクリーンを40億ドルで買収へ」に書いてある。2004年の2月の記事である。

で、なんでこんな古い話しを今ごろするかというと、 私の周りにこの NetScreen の製品を使っている会社が いくつかあったりして、時々、ご相談を受けるのである。 ハッキリ言うと、このネットスクリーンについては 私はあまり経験がなかったので、いろいろ調査していたところ この事実に遭遇したわけだ。

特に今回受けたご相談は、というと 「NetScreen のファイアウォール・ルータに対してPCからリモートVPNで接続している。 LinksysのNATルータを通しては問題ないのに、 SonicWALL の ファイアーウォールの内側から、NetScreen の VPN先に接続しようとしても うまく繋がらない、どうしたらよいか」 というもの。NetScreen と SonicWALL のコンビネーション。 お互いよく似た製品同士の相性の問題といったところか。 チョット調べてみよう。 もし、既にこの手の問題をご経験の方がおられたら、 お助けいただきたい。

カテゴリー: VPN/Firewall/NAT     22:15 | コメント (0) | トラックバック (0)

2005年5月29日

SonicWall TZ 170 での VPN設定

先日、とある会社のVPNの設定のお手伝いをしたので、今回のブログはそれについて。

まず、VPNとは Virtual Private Network の頭文字からきている。 従来この言葉は電話回線(音声通話)で利用されてきていたが、最近は、インターネット経由でデータを暗号化することにより事務所間を専用線のごとく繋いだり(Site to Site VPN)、または、自宅や出張先のノートPC等から、オフィスにあるファイヤーウォール(ルーター)を通過して会社内のサーバーにアクセスしたりする場合(Remote Access VPN)によく使っているようだ。

その会社は、ファイヤーウォール・ルーターとして SonicWall という会社の TZ 170 という製品を使っていた。 SonicWallは日本でも販売されているのでこれを読んでいる方でSonicWallを使っていらっしゃる方もいるかもしれない。

この製品の25ユーザ版には、VPNクライアントのライセンスが1ライセンスついているのだが今までそれを使っていなかった。それはもったいないということで、これをきちんと設定してVPNがつかえるようにしようということだった。

では、実際のセットアップ作業となるのだが、その方法を調べるのがひと仕事である。 もちろん、製品のマニュアルを隅々まで読めばできるのだが、それでは時間が掛かりすぎるので、ちょっと虎の巻を探してみる。 すると、「SonicOS Standard: Configuring GroupVPN for Global VPN Clients」というドキュメントがあった。 残念ながらこれは英語のドキュメントで、この日本語訳はまだ出ていないようだが、これをみればTZ170本体側のVPNの基本的な設定方法がわかる。

クライアント側については、「SonicWALL グローバル VPN クライアント 2.1J 管理者ガイド」という日本語のドキュメントがあるのでそれに従えばよい。

基本的に、クライアント側では何もしなくてよい。ソフトをインストール後、入力した内容と言えば、TZ170本体のインターネット側のIPアドレスと、あとはユーザーIDとパスワードぐらいであった。

SonicWALL の VPN は結構よくできて、細かな設定、例えば暗号化方式の指定などはクライアント側で設定する必要がなく本体側から自動的に情報が取得され、それに従ってうまく動作してくれるようである。後で実験してみたが、いわゆるNAT越えも問題なかった。

カテゴリー: VPN/Firewall/NAT     14:47 | コメント (0) | トラックバック (0)

 
ハワイ島での遊覧飛行ツアーとB&Bのスペシャリスト、スカイメリカ
Copyright © 2003,2009 Skymerica Corp. All rights reserved.