システム奮闘記:その107
(2016年11月23日に掲載)
はじめに 今回はインターネットVPNからフレッツ・VPNワイドへ回線切り替えの話を書きます。 導入の経緯だけでなく、ルーターの設定や、導入時に起こった障害や問題点を書きました。
年々遅く感じる通信回線
本社と営業所間の拠点間通信。 2004年まではフレームリレー回線を使っていた。
フレームリレー回線での拠点間通信 |
---|
2004年まで使っていたフレームリレー回線。 遅い上、通信費用が高かった。 |
そこで2004年にフレームリレー回線から、インターネットVPNに切り替えた。 インターネットVPNを導入した話は「システム奮闘記:その35」(インターネットVPN導入)をご覧ください。
インターネットVPNでの拠点間通信 (2004年に導入) |
---|
安価で構築できる方法だが、帯域保証がない。 |
2004年当時は、インターネットVPNの導入により、拠点間通信が高速になり
快適になった
という声があがった。
ここでインターネットVPNの仕組みを詳しく書いてみる。
インターネットVPNの仕組み |
---|
末端の回線はNTT東西が提供しているフレッツ網を使っている。 そこからプロバイダーを接続して、インターネットに接続している。 拠点間の回線を専用線ではなく、インターネット回線を使う事で 回線費用を抑えているのだ。 |
だが、そのまま通信データを流すと、盗聴される恐れがある。
盗聴の恐れあり |
---|
本社と営業所間の通信をインターネット経由で行うと インターネット上には悪い奴がいて、盗聴される恐れがある。 |
そこで通信データを暗号化して、インターネットを経由させる事によって 盗聴防止を行っているのだ。
インターネットVPNで通信データを暗号化する理由 |
---|
本社と営業所間を行きかう通信データを暗号化する事によって インターネット上で悪い奴がいても盗聴できないようにする事ができる。 暗号化方式にはPPTP方式とIPSeC方式があるのだが うちの会社では、PPTPよりも安全とされるIPSeC方式を使っているのだ。 |
2004年当時は、回線速度があがり、大喜びだったものの それから年月が過ぎていくにつれ、メールの添付ファイルは、年々、大きくなるし、 外部のWeb閲覧の際、読み込むデータ量も増える一方だった。 当時は商品紹介の動画はなかったが、動画を作るようになってからは 通信回線を使って、動画を営業所に配布できないかという声も出てきた。 だが、動画データは、小さくても数十MBある。 数百MBのデータ量をインターネットVPN送るのに時間はかかるし、 ましてやギガ単位のデータを送る事は不可能だった。 そのためCDやDVDに焼いて営業所に送る事もしばしばあった。 インターネットVPNが遅い原因は、本社の回線にあった。
インターネットVPNが遅い原因 |
---|
本社のフレッツ網の部分が光回線ではなくADSL回線なのが インターネットVPNでの通信速度を落としている原因になっていた。 |
本社の回線を光回線にしたら解決しそうなのだが 身動きがとれない
本社がADSLになった理由 |
---|
2004年当時はADSLでも速度が問題なかった。 その上、インターネットVPN導入の際、光回線を敷く場合 申し込みから工事まで2ヶ月かかると言われた。 そのため光回線導入はあきらめ、余っていた電話線があったので その電話線とADSLが共用できるので、ADSL回線になった。 その後、回線が遅い問題が浮上してきたのだが 本社の回線をADSLから、光回線に変えると、 プロバイダーから割り当てられる本社のIPアドレスが 変更になってしまうため、光回線に切り替えをすると 全営業所のルーターの設定変更が迫られるため 身動きがとれず、ADSLのままだったのだ。 |
いつの間にか 通信が遅い になってしまったのだ。 そして、社内向けにyoutubeみたいな動画配信サイトを作ったのだが・・・ ぎこちない動き という声が出てしまった。
PHPmotionで構築した社内動画配信サイト |
---|
社内向けに構築した動画配信サイト。 まるでyoutubeそっくりなのだ。 社内向けの研修動画などに使えると思ったのだが 営業所で見れる状態でなかったため、活用できないままになった。 |
動画配信サイトについては「システム奮闘記:その95」(PHPmotion オープンソース動画配信サイト構築)をご覧ください。 2014年に、来客用のため、福岡営業所で無線LANを導入した物の・・ 使い物にならへん! だった。 無線LAN導入については「システム奮闘記:その104」(無線LANの基礎 無線LAN入門と導入事例)をご覧ださい。 本社と営業所のADSLを廃止して、光回線に切り替えて 通信の高速化を考えたのだが、その場合だと通信費用が上がるため 稟議を出しても却下 だったのだ。 現場からは遅いと言われるが、上層部は却下。 そこで横浜支店にいる部長に 部長、ネットは遅いでしょ。会議に時に訴えて と働きかけたりしたが、回線切り替えの気運にならなかった。 営業所からは「遅い」の苦情が来ても、稟議は却下される。 手の打ちようがない状態が続いていた。
本社と営業所との温度差 |
---|
営業所は「回線が遅い、なんとかしてくれ」の声を上げても 本社にいる上層部が、その遅さを体験しない限り、営業所の声が響かない。 上層部は回線切り替えの必要性が理解できず、目先の損得のために 営業所の業務効率化に投資しない状態が続いた。 |
フレッツ・VPNワイド導入のきっかけ
だが、2015年11月のある日の事、取引会社(A社)から VPNワイドの話が持ちかけられた。 実は、取引会社のA社がフレッツ・VPNワイドを持ちかけたのには理由があった。 2006年、A社と、うちの会社との間で、インターネットVPNで結ばれた。 私がルーターの設定を行った。 だが、時々、回線が切断される現象が起こったりしていた。 原因は不明だった。 A社の担当者は、対策をたてるため、光回線のプランを買えたり 私が、取引会社のルーターの設定変更を変えてみたり、 ルーターのファームウェアのバージョンアップをしたりなどしたが、 それでも解消できへんかった 2015年秋のある日、A社の担当者から NTTからフレッツVPNワイドを提案された という連絡があった。 A社の負担で、うちの会社に光回線を敷いてくれるという。 早速、VPNワイド導入の準備をする事にした。
フレッツ・VPNワイドの勉強
フレッツVPNワイドが何かのか知らなかった。 そこで勉強する事にした。 企業向け拠点間接続の定番「フレッツVPN」を知る - 企業向け拠点間接続の定番「フレッツVPN」を知る:ITpro(日経ITpro) プロバイダーを使わず、NTT東西の通信網を使った拠点間通信だ。
VPNワイドの概略 |
---|
インターネットVPNと違い、NTT内の通信網を使った拠点間通信ができる。 インターネットを経由しない分、通信速度の向上と安定性が見込める。 2004年、インターネットVPNを導入した際は、当時のNTT法では NTT内の通信網をつかって県をまたぐ通信ができなかったのだが NTT法改正のお陰で、VPNワイドができたのだ。 |
特徴としては NTT網で閉じた通信をしているため 通信データの暗号化する必要がない というのだ。 調べていくと、VPNワイドには、端末型払い出しとLAN型払い出しの2種類がある。
VPNワイド 端末型払い出し |
---|
端末同士の通信を行う場合に使われる。 そのため「端末型払い出し」と呼ばれるのだ。 |
そしてLAN型払い出しは以下の図のようになる。
VPNワイド LAN型払い出し |
---|
複数のパソコンを抱えるネットワーク(LAN)同士での通信を行う場合に使われる。 そのため「LAN型払い出し」と呼ばれるのだ。 |
うちで設定するのはLAN型払い出しだ。 ヤマハのサイトで設定例を探してみた。 フレッツ・VPNワイド(LAN型払い出し)を使用した拠点間接続(2拠点) + インターネット接続 : コマンド設定(YAMAHA) 設定内容を見ると、暗号化の部分がないため・・・ IPSeCと違い、簡素な設定 に思えた。 ヤマハのルーターの設定については「システム奮闘記:その37」(ヤマハルーター RTX1000設定入門)を ご覧ください。
ヤマハのルーターの設定(LAN型払い出し)
NTTから割り当てられたユーザーIDと企業識別子、パスワードが届いた。 そしてルーターの設定を行う。 幸い、既存のルーターが使えるので、購入する必要はなかった。
コンフィグ(config)の設定 |
---|
ip route default gateway pp 1 ip lan1 address 192.168.X.Y/24 pp select 1 pp always-on on pppoe use lan2 pp auth accept pap chap pp auth myname user01@yyy pass01 ppp lcp mru on 1454 ppp ccp type none ip pp mtu 1454 pp enable 1 |
上から説明すると、最初がデフォルトゲートウェイの設定だ。 全てのパケットがVPNワイドの回線に行くようにしている。 2番目は、ルーターのIPアドレスとサブネットマスク。 3番目以降は、フレッツ網とVPNワイドに接続する設定だ。 赤い部分はユーザーID 青い部分は企業識別子 桃色の部分はパスワード。 NTTから3つを割り当てられる。 ユーザーIDとパスワードは変更可能なのだが 企業識別子は変更できないのだ。 |
基本的には、これだけの設定なのだ。 フレッツVPNワイドには親子関係がある。 A社にはルーターの設定などができる人がいない。 私が管理する必要がある事から、うちの会社が親になった。
フレッツVPNワイドには親子がある |
---|
親子関係があり、親が拠点となり、子をぶらさげる形になるという。 |
親子の違い。この時は気にしなかったが、少し後になって重要性を知ったのだ。
通信ができない
NTTから送られてきたIPアドレスが、うちの会社と取引先が使っている プライベートIPとは異なるのだ。 NTT西日本のフレッツVPNワイドのサイトを見ていると ユーザーズマニュアルがある。 各種ダウンロード|フレッツ・VPN ワイド|フレッツ光公式|NTT西日本 マニュアルを読むと、NTTのサイトに入って IPアドレスとサブネットマスクの設定変更する必要があるようだった。 だが、どうやって接続して良いのか、わからない。 そこでNTTに確認すると・・・ 設定変更は必要ありません だった。 2015年12月、取引会社のA社へ向う。 A社でA社の担当者と、NTT西日本の営業担当者と技術担当者の立会いで ルーターの交換を行なったのだが・・・ 通信ができへん!! だった。 何が原因かわからない。 だが、ふと気づいた。 NTTが割り当てたIPとサブマスクと A社とうちの会社のIPとサブマスクが異なる だった。 立ち会ったNTT西日本の技術者に話をすると NTTのサイトに入って変更の必要があります だった。 A社に来る前に、事前にNTT西日本に確認した時は「不要」と言っていただけに・・・ NTT、うそつきやがった!! だった。 立ち会っていたNTT西日本の技術者に、NTTのサイトの接続方法を聞くが・・・ VPN管理者(親)からでないと接続できません と言われた。 VPN管理者(親)は、うちの会社だ。A社にいたのでは設定ができない。 色々、触ってみたが、全く通信ができなかった。 この日は諦める事にした。
NGNサービス情報サイトへの接続
VPNワイドを設定するために開くNTTのサイト。 NGNサービス情報サイトという所だ。 VPN管理者(親)からでないと接続できないサイトだ。 だが、どうやって接続して良いのか、わからないので、 A社で立ち会っていたNTT西の技術者に電話をかけて聞く事にした。 IPv4だと、インターネットからは接続できないサイトだという。 そのため、光回線終端装置(ONU)に、パソコンを直結して NTTのNGNサービス情報サイトに接続する必要があるという。
NTTのNGNサービス情報サイトに接続 |
---|
インターネットに出るのは、NTTを経由してプロバイダー接続が行われる。 NGNサービス情報サイトは、NTT網内にあるため、フレッツ網への接続だけ行うのだ。 反対に、プロバイダーに出てしまうと、NTT網内には接続できないため フレッツ網だけの接続を行うのだ。 |
ところで光回線の場合は・・・
なんでモデムと言わへんねん??
と思った。
調べみると、単純な理由だった。
光回線終端装置(ONU) |
---|
ADSL回線なら、ADSLモデムに該当する装置だ。モデムと呼ばない。 modem(モデム)は、デジタル信号をアナログ信号に変換(または逆)する装置だ。 光回線の場合、デジタル信号を送るため、「モデム」には該当しないのだ 蒸気機関車の事を、電車と言わないのと、全く同じなのだ。 |
ADSLモデムと比較してみた。
ADSLモデムと光回線終端装置(ONU) |
---|
光回線終端装置(ONU)は案外、小型なのだ。 |
さて、光回線終端装置(ONU)とパソコン(Windows7)を直結してみた。 そして接続を行ってみる。
NGNサービス情報サイトへの接続 |
---|
まずはネットワークと共有センターの画面を開ける。 |
「新しい接続またはネットワークのセットアップ」を選ぶと 以下の画面が出てくる。
「接続またはネットワークのセットアップ」の画面 |
---|
「インターネットに接続します」を選ぶ。 |
すると以下の画面が出てくる。
「インターネットに接続します」の画面 |
---|
ここではインターネットに接続するのではなく フレッツ光の回線から直接、NTTのフレッツ網のサイトに接続するため 赤く囲んだ「いいえ、新しい接続を作成します(C)」を選ぶ。 |
すると以下の画面が出てくる。
「インターネットへの接続」の画面 |
---|
「ブロードバンド(PPPoE)(R)」を選ぶしかない。 |
するとフレッツ網へ接続するためのIDとパスワードが出てくる。
フレッツ網へ接続するためのIDとパスワードの設定画面 |
---|
IDとパスワードは公開されている物なので、黒塗りしていません。 IDはNTT西日本の場合は「flets@v4flets-west.jp」になる。 パスワードは「flets」になる。 NTT西日本のサイト カスタマコントロールへの接続 |
すると、ネットワーク接続にNTT西日本の「カスタマコントロール」のサイトに
赤く囲んだのがVPN管理者がNTT |
これでNGNサービス情報サイトへ接続する準備ができた。
早速、接続してみる。
ちなみにNTT西日本の場合のURLは
https://www.v4flets-west.jp/
なのだ。
NGNサービス情報サイト(NTT西日本) |
---|
「お申し込み受付」を選ぶ。
(注意) あくまでも2016年5月時点でのサイトです。 体裁が変わっている場合があります。 |
サービス申込受付ページが出てくる。
そのまま下へスクロールさせる。 |
すると認証画面になる。
認証画面 |
---|
IDとパスワードを入力する。 |
次にサービス内容の選択画面が出てくる。
サービス内容の選択画面 |
---|
赤く囲んだ「フレッツ・VPNワイド」の「詳細・申込・変更」を選択する。 |
VPNワイドの管理者画面になる。
VPNワイドの画面 |
---|
ここではVPNワイドの設定変更するので「管理者メニュー」を選ぶ。 |
管理者メニューの画面になる。
VPNワイドの管理者メニュー画面 |
---|
ここで各アカウントのIPとサブネットマスクの設定を行うので ここで「アカウント設定」を選択する。 |
そしてアカウント一覧を出す画面が出てくる。
アカウント一覧を出す画面 |
---|
ここでは「ユーザID一覧」を選ぶ。 |
すると、VPNワイドの参加者(拠点)のIPとサブネットマスクなどの一覧が出てくる。
VPNワイドの参加者(拠点)のIPとサブネットマスクなどの一覧 |
---|
状態の部分で「利用中」になっているのは、既に動いているユーザーID(接続拠点) 「申込可能」は、使っていない状態なのだ。 |
この状態だと端末型払い出しのままだ。 図で表すと以下のようになっている。
初期設定は端末型払い出し |
---|
VPNワイド(NTT西日本)の初期設定では、上図のような接続形態になっている。 |
だが、設定したいのは以下の図のようなLAN型払い出しだ。
LAN型払い出しでのネットワークの状態 |
---|
拠点間のLAN同士の接続の場合 |
そこでLAN型払い出しに設定を変更する。
LAN型払い出しに設定を変更 |
---|
IPアドレスは、ルーターのアドレスを入れる。 サブネットマスクは、そのLANのサブネットマスクを入れる。 |
ルーターのIPとサブネットマスクを入力したら、確認画面が出てくる。
設定変更の確認画面 |
---|
確認画面を見て、問題なければ「更新」を押す。 |
設定が終わった。
だが、これで安心はできない。
そこで予備のルーターをA社に送り、導通確認を行なった。
見事、導通確認できた!!
だった。
これで一安心。
そして、再度、取引会社のA社まで行く事になった。
ルーターの設定を書き換える。
無事、通信回線がインターネットVPNからVPNワイドへ切り替わった。
ふと思った。
うちの会社経由で、インターネット接続はできるのか。
A社とうちの会社のネットワーク図(概略) |
---|
A社と、うちの会社はワイドVPNで接続できた。 ところA社は独自に別の光回線を使ってインターネット接続している。 |
そこでA社と、うちの会社のルーターの記述変更で、 うちの会社経由で、インターネット接続できないかと試してみた。
うちの会社経由でインターネット接続(概略図) |
---|
A社から、うちの会社経由で、インターネット接続ができないかと試してみた。 |
だが結果は・・・
全くつながらへん!!
だった。
この時、原因は不明だったが、A社の業務には支障がでないので
突き止める事はしなかった。
だが後で、同じような現象が出て、解決に手こずるハメになるとは
この時は夢にも思わなかった。
A社から帰る途中、天王寺で、あべのハルカスを眺める。
あべのハルカス |
---|
日本一高いビルだが、展望台に行く費用も高いので、展望台には昇らず。 地上では商業施設が並んでいて、賑わっていた すっかり観光地化された天王寺。昔とは違うため、隔世の感がある。 |
その後、取引会社のA社の担当者から 切断される問題が、ウソのように解消できました だった。 担当者の方も私も、VPNワイドが凄く安定した回線だというのを実感したのだった。
本社・営業所でVPNワイド導入
VPNワイド10プラン。 取引会社のA社と、うちの会社が接続している。 残り8ヶ所をぶら下がる事ができる。 これは渡りに船。 うちの会社の営業所も、VPNワイドに、ぶら下がる事ができる。 A社からは ぶらさがっても良いよ といわれたので、便乗する事にした。 だが、うちの会社はNTT東日本地区にも営業所がある。 VPNワイド10プランだと、東西接続はできない。 その上、VPNワイドの契約者は取引会社のA社だ。 A社に無理いって、高いプランに変更してもらう事はできない。 色々考えた末、行き着いたのは NTT西日本地区にある営業所はA社にぶらさがって NTT東日本地区にある営業所は、独自にワイドVPNを構築 だった。
2つのVPNワイドで本社・営業所を結ぶ(概略) |
---|
NTT西日本地区にある営業所は、A社のフレッツVPNワイドにぶらさがり NTT東日本地区にある営業所は、独自にフレッツVPNワイドを構築するという案なのだ。 |
通信費用を試算すると、この方法が一番安かった。
だが、なぜか上層部では慎重な意見が目立った。
回線は安定しているのか?
だった。
理解不能だった私 |
---|
A社の担当者からは「回線が劇的に改善された」と報告を受けた。 その上、インターネットVPNよりもフレッツVPNワイドの方が 通信費用も削減される事から、上層部からは「進めろ」と言われると思ったが 慎重な意見が目立っていた。理解不能だった。 |
まずはNTT西日本地区の営業所からフレッツVPNワイドの導入を行う事にした。 NTT西日本地区で、既に光回線を敷いている部署から行なう事にした。
フレッツ光を導入している部署から始めた理由は経費削減 |
---|
プロバイダー費用が、ADSLよりも光回線の方が高いため 少しでも経費削減のため、光回線を導入している部署から フレッツVPNワイドを導入して、インターネットVPNを廃止して できるだけ早くプロバイダーと解約したかっただけなのだ。 |
A社が申し込んだVフレッツPNワイドのプランは「プラン10」だ。 この場合、光回線の場合、ハイスピードタイプとBフレッツに限られてくる。 福岡営業所の光回線のプランがハイスピードタイプだった。 そして福岡には、パソコンの強い人がいるので、何かあっても電話で対応してもらると考え まずは、本社と福岡とをフレッツVPNワイドで結ぶことにした。 そして以下のネットワークにする事にした。
本社経由でインターネット接続する方法 |
---|
インターネットVPNの時と同様、営業所から外部に出る際は 本社経由にする事にした。 |
そこで福岡営業所に送るのルーターの設定を行う。
コンフィグ(config)の設定 |
---|
ip route default gateway pp 1 ip lan1 address 192.168.F.Z/24 pp select 1 pp always-on on pppoe use lan2 pp auth accept pap chap pp auth myname user01@yyy pass01 ppp lcp mru on 1454 ppp ccp type none ip pp mtu 1454 pp enable 1 |
上から説明すると、最初がデフォルトゲートウェイの設定だ。 全てのパケットがフレッツVPNワイドの回線に行くようにしている。 2番目は、ルーターのIPアドレスとサブネットマスク。 3番目以降は、フレッツ網とVPNワイドに接続する設定だ。 赤い部分はユーザーID 青い部分は企業識別子 桃色の部分はパスワード。 NTTから3つを割り当てられる。 ユーザーIDとパスワードは変更可能なのだが 企業識別子は変更できないのだ。 |
ヤマハのルーターを福岡営業所に送った。
だが・・・
福岡から外に出られへん!!
だった。
福岡営業所から本社経由でインターネット接続ができない。
A社と同じ現象が出たのだった。
だが、メールサーバーは、本社のLAN内にある。
Webはプロキシーサーバーを使えば閲覧できる。
業務に支障はでないので、VPNワイドを運用しながら
原因の調査を行う事にした。
考えられる原因は、NTT局内でルーティングに問題がある事だ。
NTT局内でルーティングに問題(私の仮説) |
---|
フレッツVPNワイドのネットワーク上で、外部のIPを見て パケットを振り分ける設定がされていない感じがする。 |
状況証拠は、NGNサービス情報サイトにあるVPN参加者の一覧にあった。
NGNサービス情報サイトにあるVPN参加者の一覧 |
---|
赤く囲んだ部分は、ルーティングテーブルではないかと推測した。 |
だからといって、外部のIPの振り分け方を記述できるわけではない。 数日後、ヤマハのルーター設定のサイトを見ていると、2種類の設定方法が見つかった。
フレッツVPNワイドとインターネット接続 |
---|
1つ目は、拠点ごとにプロバイダー契約を行って 本社を経由せずに、インターネットに出る方法だ。 これだと各拠点ごとにプロバイダー契約が必要になり、費用がかさむだけでなく ファイヤーウォールなどのセキュリティー設定を行う必要があり 安全面でも問題が出てくる。 |
もう1つの方法は、センター経由のインターネット接続の設定方法が載っていた。
フレッツVPNワイドとインターネット接続(センター経由) |
---|
営業所は、一度、本社を経由してインターネットに出る方法だ。 これだとプロバイダー契約は1つで済む上、ファイヤーウォールの設定も本社だけで済む。 |
具体的な設定方法(configの記述)を見た。
フレッツ・VPNワイド(LAN型払い出し)を使用した拠点間接続(2拠点) + センター経由インターネット接続 : コマンド設定(YAMAHA)
IPIPトンネルを構築すれば良い
だった。
IPIPトンネルは、暗号化を伴わないカプセリングだ。
まずは普通のTCP/IP通信(パケット送信)が、どのように行われているのか見てみる。
TCP/IP通信の階層とパケット送信との関係 |
---|
アプリケーション層で送りたいデータ(パケット)が生成される。 TCP層でTCPヘッダーが付けられる。自分(発信元)ポート番号、相手先のポート番号などがある。 IP層でIPヘッダーがつけられる。相手先IPアドレス、送信元(自分)のIPアドレスなどがある データリンク層で、MACフレームが付けられる。 物理層で、データ変調が行われて、データ送信されるのだ。 |
パソコンからルーターにパケットが送られたとする。
パソコンからルーターにパケットが送られた場合 |
---|
パソコンから送られてきたパケットをルーターが受信すると まずはMACフレームの中身を確認し、自分宛なら、MACフレームを除去して、IP層へ送り IP層でIPヘッダーの中身を確認して、自分宛なら、IPヘッダーを除去して、TCP層へ送る。 送信先のIPが自分と異なる場合は、転送するパケットだと認識して ルーティングテーブルに基づいて、他の装置(パソコンやルーター)へパケットを送るのだ。 |
IPヘッダーには、送信元のIPアドレスと、送信先のIPアドレスが記録されている。 フレッツVPNワイドの場合、IP層で付けられるIPヘッダーの中にある 相手先のIPアドレスが問題になる。
IPヘッダーには、送信元のIPアドレスと、送信先のIPアドレスが記録されている |
---|
IPヘッダーには、いくつかの情報が記録されるのだが そのうちの2つとして、送信元のIPと、送信先のIPがあるのだ。 パケットを送信する際、IP層では送信元(自分)のIPと、相手先(送信先)のIPが記録される。 |
ところでフレッツVPNワイドの場合、NTTの通信網の中にある ルーティングテーブルは、登録されている拠点のルーターのIPアドレスしかない。 そのため普通に設定した場合、以下のような問題が起こる。
通信可能範囲が拠点間同士のネットワーク内に限られる |
---|
NGNサービス情報サイトで設定した各拠点のルーターのIPとサブネットマスクが フレッツVPNワイド内にあるルーティングテーブルなのだ。 それ以外のネットワークへパケットを飛ばしたくても、フレッツVPNワイドの内部で パケットの転送先がわからず、パケットが送信できず、戻ってくるのだ。 |
そこでルーターに細工を行う必要があるのだ。
その細工とは
IPIPトンネル
なのだ。
ルーターのIP層で、カプセリングを行う |
---|
パソコンから送られてきたパケットがある。 ルーターのIP層でパケット全体を、ひとまとめにしてしまい 別のIPヘッダーをつけてしまうのだ。 そのIPヘッダーには、自分自身(発信元のルーター)のIPと フレッツVPNワイドのネットワーク網の先にあるルーターのIP(送信先のIP)を付けるのだ。 |
パケットの宛先を、ネット上の相手先のIPアドレスから VPNワイドを抜けた先のルーターのIPアドレスに置き換える事で 通信を可能にするというのだ。
カプセリングを行うと通信ができる |
---|
パソコンなどからルーターにパケットが送れてきた際 IP層で、独自のIPヘッダーをつけて、隣のルーター間の通信にしてしまうのだ これによって、NTT内のフレッツVPNワイドの通信網を通過する事ができるのだ。 要するに、NTTの通信網を騙して、パケット送信をする技術なのだ。 |
遠隔操作したまま、コンフィグの書き換えが可能だというのがわかった。 IPIPトンネルの設定は以下のようにすれば良いのだ。
ヤマハのルーターの設定(IPIPトンネル) |
---|
ip route default gateway tunnel 1 tunnel select 1 tunnel encapsulation ipip tunnel endpoint address 192.168.F.Z 192.168.Y.Z tunnel enable 1 |
桃色はデフォルトゲートウェイを「tunnnel 1」を通りなさいという指示 青い部分は発信元のルーター(自分自身)のIPアドレスで 赤い部分は相手先のルーターのIPアドレスだ。 ルーター間の通信に思わせて、フレッツVPNワイドの内部の ネットワークを騙して、円滑に通信を行う方法なのだ。 |
そこでヤマハのルーターの設定を以下のように変更したのだ。
変更前 |
---|
ip route default gateway pp 1 ip lan1 address 192.168.F.Z/24 pp select 1 pp always-on on pppoe use lan2 pp auth accept pap chap pp auth myname user01@yyy pass01 ppp lcp mru on 1454 ppp ccp type none ip pp mtu 1454 pp enable 1 |
変更後 |
ip route default gateway tunnel 1 ip route 192.168.Y.0/24 gateway pp 1 ip lan1 address 192.168.F.Z/24 pp select 1 pp always-on on pppoe use lan2 pp auth accept pap chap pp auth myname user01@yyy pass01 ppp lcp mru on 1454 ppp ccp type none ip pp mtu 1454 pp enable 1 tunnel select 1 tunnel encapsulation ipip tunnel endpoint address 192.168.F.Z 192.168.Y.Z tunnel enable 1 |
本社宛のパケットは「PP 1」に振り分け その他のパケットはIPIPトンネル(tunnel 1)に振り分ける設定だ。 |
次に本社のルーターの設定を行う必要がある。
本社のルーターの設定 |
---|
ip route 192.168.F.0/24 gateway pp 2 filter 100 gateway tunnel 10 ip filter 100 pass 192.168.Y.0/24 192.168.F.0/24 * tunnel select 10 tunnel encapsulation ipip tunnel endpoint address 192.168.Y.Z 192.168.F.Z tunnel enable 10 |
1行目は、福岡営業所に振り分けるパケットの選別だ。 赤い部分は、本社のサーバーやパソコンから福岡営業所に送られるパケットを 「pp 2」へ振り分ける設定だ。本社から福岡行きのパケットかどうかの判定には 2行目のフィルターが使われる 青い部分は、社外(インターネット上のサイト)から福岡営業所に送られるパケットを IPIPトンネル(tunnnel 10)を通す設定だ。 |
すると・・・ 外部に出れた!! これで外部につながらない問題は解決できたのだ。
ADSL回線の営業所
岡山営業所と広島営業所はADSL回線だった。 回線をフレッツ光にしたいが、いきなり光回線に切り替えると 面倒な事が起こる。 インターネットVPNの回線のまま、光回線に切り替えると プロバイダーから割り当てられている認証IDが変更になり ルーターの設定変更が必要になる からだ。 うちの金沢営業所が光回線を使っていたが、Bフレッツだった。 2017年に廃止されるプランなので、変更する必要がある。 インターネットVPNの場合だと、フレッツ網からプロバイダーに接続する際 識別子が回線プランによって異なってくる。
ADSL回線の場合のプロバイダーの識別子(NTT西日本) |
---|
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname aaaaaa@alpdsl01.odn.ne.jp bbbbbbbb
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp address XXX.YYY.ZZZ.RRR/32
ip pp mtu 1280
ip pp secure filter in 1 2 5 10 20 30 40 50
pp enable 1
|
赤い部分がADSL回線という識別子だ。 同じプロバイダーでも、NTTのフレッツ網で使っている回線プランによって 識別子が変わってくるのだ。 これを光回線に変える場合、識別子の変更が出てくる。 IP1個のプランなので、割り当てられているIPの変更も出てくる。 インターネットVPNを使っていると、NTTのフレッツ網の回線変更を行うと プロバイダーのプラン変更の手続きや、ルーターの設定変更が必要になり 結構、手間だったりする。 |
残りはNTT東日本地区にある営業所のADSL回線を光回線へ切り替えだった。 認証IDだけではない。 IPアドレス1個という契約なので、IPアドレスの変更も出てくる。 ところで、最初に光回線に切り替えた場合の、手続きの順序は、以下のようになるのだ。
最初に光回線に切り替えた場合の手続きの順序 | |
---|---|
(1) | フレッツ光の契約と導入 |
(2) | プロバイダー契約の変更 |
(3) | 設定変更したルーターを営業所へ送る IP変更のため、インターネットVPNの設定変更が必要になるため |
(4) | ADSL回線の解約 |
(5) | フレッツVPNワイドの申し込み |
(6) | 設定変更したルーターを営業所へ送る フレッツVPNワイド用に設定変更 |
(7) | プロバイダーの解約 |
2回、ルーターの設定の変更が必要になる。 ルーターを営業所に送ったりする手間がかかる。 それだけではない。危機管理の面でも問題が出てくる。 ADSL回線から光回線に変更した際に、プロバイダー契約は光回線用に変更されている。 その場合、ADSL回線で通信していた既存のルーターが使えなくなる。 もし、ルーターを交換の際、ルーターの設定不備にために通信ができなくなると ADSL回線に戻せないため、ルーターを送り返してもらい 調査をする必要が出てくる。 その間、本社と営業所との間で通信ができなくなり、業務に支障が出てくる。 |
営業所にルーターを触れる人がいれば良いのだが、そんな人はいない。 そこで手間を省きつつ、と接続できない問題から回避するため 先にフレッツVPNワイドを申し込む事にした。
先にフレッツVPNワイドを導入した場合 | |
---|---|
(1) | フレッツVPNワイドの申し込み |
(2) | 設定変更したルーターを営業所へ送る フレッツVPNワイド用に設定変更 |
(3) | プロバイダー解約 |
(4) | フレッツ光の申し込みと導入 |
(5) | ADSL回線の解約 |
ルーターの設定変更が1回で済む。 そして、フレッツVPNワイドに切り替えても、回線自体はADSLのままなので もし、ルーターの設定不備で接続できなくても、既存のルーターを使えば 引き続きインターネットVPNでの通信が可能だ その間、本社と営業所で通信ができなくなる問題は発生しないため 安心して調査ができるのだ。 |
危機管理とルーターの設定回数を減らす知恵なのだ。 だが、岡山営業所も広島営業所もフレッツVPNワイドを導入すると 案外、速度が出るようになった。 フレッツ光の工事費用の無料キャンペーンを狙って しばらく光回線導入は保留にする事になった。
例外は名古屋営業所
名古屋営業所のある場所は、NTT西日本の地域だ。 だが、厄介な事に、光回線のプランが スーパーハイスピードタイプ隼 だった。 この光回線プランだと、A社が申し込んだワイド10プランは使えない。 スーパーハイスピード隼から、ハイスピードへの変更する場合、費用がかかる。 だが、NTT東西連結ができるプラン10プラスだとスーパーハイスピード隼でも使える。 そこで考えたのが 名古屋は東日本地区のフレッツVPNワイドに入れてしまえ!! だった。
名古屋は東日本地区のネットワークに入れる事にした |
---|
名古屋営業所はNTT西日本地区なのだが、スーパーハイスピードタイプ隼を使っているため スーパーハイスピードタイプ隼でも使える、プラン10プラスの方に入れた。 |
手間をできるだけ削減する。 先に本社と名古屋だけをつなげる事にした。 フレッツ光を申し込んで光回線を敷き、本社と名古屋をつなげた。
ヤマハルーター RTX1210購入
NTT東日本地区を結ぶため、本社に光回線を敷くのだが もう1台ルーターが必要になった。 そこでヤマハの最新ルーターのRTX1210を購入する事になった。
ヤマハのルーターのRTX1210 |
---|
青い箱型なのには変わりはないが大きい上、金属製の箱になったのだ。 |
早速、ルーターの設定をしとうと思った矢先・・・
コンソールケーブルの口の形状が変わっとる
ヤマハのルーターのRTX1210のコンソールの口 |
---|
コンソールケーブルの口が、LANケーブルと同じ口になっている。 |
調べてみると
シリアルコンソールケーブル(RJ45-DB9)が必要
なのだ。
ちなみに、それ以前のルーターはRS232Cケーブルなのだ。
ヤマハのルーターのRTX1200のコンソールの口 |
---|
RTX1200までは、コンソールケーブルはRS232Cケーブルを使っていたのだ。 |
そのため、シリアルコンソールのケーブル(RJ45-DB9)を別に購入する必要になったのだ。 RTX1210の場合、ブラウザでルーターの状態を見る事ができたり ルーターの設定を行う事ができるという。
Firefoxの画面 |
---|
Firefoxの画面を開けてみる。 そしてURLの部分に、ルーターのIPアアドレスを打ち込むのだ。 |
すると、RTX1210の設定画面に変わった。
Firefoxを使ってRTX1210に接続 |
---|
CPUやメモリの状態や、LANの差込口の状態、通信量の状態などが、ひと目でわかるのだ。 今まで、手入力でconfigを入力していただけに、未来感覚のルーターという感じがした。 |
実際に、社内LANと接続して触ってみる。 インターフェイスの情報が気になった。
インターフェイスの情報 RTX1210 |
---|
LAN2の口の所が、橙色になっていた。 最初、故障なのかと思ったが、10Base-T/100Base-TX接続の場合 橙色に点灯するのだ。優れ物だ。 |
ファームウェアのバージョンアップ
初期状態のファームウェアは古いままなので、最新の物にする必要がある。 初めてRTX1000を触った2004年の頃は、少し手間がかかっていたが 今は簡単になっている。 更新方法は以下のサイトにあります。 ファームウェアのアップデート(その1) YAMAHAルータ実機で学ぶ 更新を支援するプログラムのダウンロードは以下のサイトからできる。 YAMAHA RTシリーズ専用ユーティリティ・プログラム
ルーター側の設定 |
---|
tftp host 192.168.X.Z |
TFTPプロトコルを使って、ファームウェアの更新を行うため TFTPプロトコルの接続許可の設定が必要になる。 上の設定だと「192.168.X.Z」のIPアドレスの端末からの接続のみ許可の意味だ TFTPプロトコルとは、FTPプロトコルを簡略化した物で データ送信のみができるのだ。 |
ヤマハのルーターのファームウェア更新のためのソフトの画面 |
---|
赤く囲んだ部分を選び、ダウンロードしたファームウェアを選択する。 |
次にルーターのIPアドレスを記入する。
ファームウェア更新の画面(ルーターのIPアドレスを記入) |
---|
ここでルーターのIPアドレスを指定するのだ。 |
ファームウェアのバージョンを上げたのだ。
インターネットの高速化
フレッツVPNワイドの導入が進み、導入した営業所からは ネット回線が早くなったという声が出る。 だが、インターネットの場合、速度が十分とは言えない状態だった。 なぜなら・・・ ADSL回線を使っているのらー!!
うちの会社とネットワーク概略図 |
---|
うちの会社のインターネット接続回線は、ADSL回線なのだ。 2002年、ISDNからADSLに切り替えた時は「早くなった」と言われたのだが 今では遅いといわれたりするし、たまに回線が落ちたりするため 光回線に変える必要が出ていたのだ。 |
2002年、N社の美人営業のH子さんに勧められ
インターネット回線を、ISDNからフレッツADSLに切り替えた。
詳しくは「システム奮闘記:その19」(ISDNからADSLへの移行大作戦)をごらんください。
この時、H子さんも私も20代だった。時間が過ぎるのが早く感じるのだ。
だが、ADSLから光回線に切り替えると、プロバイダーから
割り当てられているIPアドレスが変更になり、
グローバルIPを割り当てているサーバーのIPの変更や
DNSの設定変更をする必要がある。
そこで良い方法がないかと思いついたのが・・・
取引会社のA社のネットワークに便乗
なのだ。
A社と、うちの会社とネットワーク概略図 |
---|
A社はインターネット接続の際、光回線を使っている。 A社と、うちの会社は光回線とフレッツVPNワイドで結ばれている。 |
そこでA社経由でインターネット接続ができないかと考えた。
A社経由でインターネット接続 |
---|
A社経由にした場合、うちの会社とA社は光回線で結ばれている上 A社は光回線でインターネット接続をしているから、ADSLを使うよりかは 通信速度が速くなると判断したのだ。 事前にA社に伝えると「良いよ」と言ってくれた。 |
これだとルーターの設定変更だけでいけるのだ。 ここで役に立ったのは・・・ IPIPトンネルの設定 だったのだ。 切り替えは成功。 A社経由でインターネットをする事で、外部との通信速度があがったため Webが快適になった という声が出たのだ。 実際に、本社で、インターネット回線の速度の変化で 改善前と改善後の回線速度を比較してみる。 回線速度を測定するサイトで、上りと下りの速度を測定してみた。 BNR スピードテスト 回線速度/通信速度 測定
変更前の上りの回線速度(本社で測定) |
---|
変更後の上りの回線速度(本社で測定) |
170Kbpsだったのが、20Mbpsに改善されている。大幅改善だ。 ADSL回線は、上りが遅いのは知られているが、遅すぎただけに A社経由にして正解だと思った。 |
そして下りの回線速度を比較してみる。
変更前の下りの回線速度(本社で測定) |
---|
変更後の下りの回線速度(本社で測定) |
5.9Mbpsだったのが、20Mbpsに改善されている。 上りほど劇的ではないが、それでも大幅改善になっている。 |
これで全拠点がフレッツVPNワイドで結ばれたら、 営業所のインターネット利用環境も良くなるはずだ。 それに自社でサーバーを持っていたが、今後、外部との接続が 高速になれば、クラウドの道も開けるのだ。
詳しくは書かないが |
---|
うちの会社のWebサーバーなどは、DMZに置いている。 外部から、うちの会社のWeb閲覧や、外部とのメールのやりとりのデータは 従来通り、ADSL回線を使ってデータ通信している。 社内から外部へのWeb閲覧はA社経由で外に出て、メールは従来のADSL回線を使う この辺りの交通整理(ルーティング)は、結構、ややこしかった。 |
東日本地区の営業所でフレッツVPNワイド導入
無事、名古屋営業所が、フレッツVPNワイドに切り替わった。 そしてNTT東日本地区にある営業所の回線切り替えを行う事にした。 3月末に申し込んだ。 上司から納期を聞かれた。 NTTの事だから予想不可能だ。
上司とのやりとり | |
---|---|
私 | NTTの事だから、全くわからないですよ |
上司 | だいたいで良いので出してくれ |
私 | 光回線の設置を例にとれば、2週間の場合もあれば 1、2ヶ月の場合もあるので、全く読めないですよ。 |
上司 | でも、どの営業所から切り替えるなどはあるだろ。 どの営業所が何月に開通予定なのか示してくれ |
私 | NTT東日本地区にある営業所を一斉に申し込みました。 どの部署から開通されるのかは、全く予想ができないです。 |
上司 | わかった・・・ |
上司は困惑しながらも、全く読めない状況である事は理解してくれた。 このとき、NTTからは、遅くても2ヶ月後には東西がつながるという説明だった。 だが、1ヶ月半経っても、2ヶ月経っても、東西接続ができていない。 NTT西日本の担当者に対して・・・ いつになったら東西接続できるのですか! と言っても、「すんません」の連発ばかりだった。 6月になっても東西連結ができない。 NTT西日本の担当者に、NTT東日本の窓口の電話番号などを聞こうとするが 難色を示して、教えてくれない。 ついに上層部が切れてしまった。 切り替えが遅れた分の賠償請求をせねば と言い出した。 私がNTT西日本の担当者に、その事を伝えた。 NTT西日本の担当者が慌てて来社した。
NTT西日本の担当者の話 |
---|
NTT東日本の担当者が怠慢で作業が進んでいなかったという。 担当替えを強く要請して、別の人が担当になったという。 |
NTT東西の連絡の悪さと ずさんな企業体質 だった。相変わらずの企業体質だ。 NTT東日本の担当者から電話がかかる。 素早くフレッツVPNワイドの東西接続を依頼した。 以下の事を、NTT東日本の担当者から言われた。
NTT東日本の担当者から言われた内容 | |
---|---|
(1) | 横浜を東日本のフレッツVPNワイド拠点にする場合 光回線にする必要がある。 |
(2) | まずは光回線を敷く必要がある。 |
(3) | その後、フレッツVPNワイドの工事が始まる。 |
横浜支店はフレッツADSL回線のため、先に光回線を敷く必要がある。 そこでフレッツ光の申し込み手続きをした。 後日、NTT東日本から連絡があり、光回線の開通が7月19日になった。 私の誕生日に開通。ありたがくない誕生日プレゼントだ。 なかなかフレッツVPNワイドが開通しない。 どんどんイライラが溜まっていく。 光回線開通の後、NTT東日本の担当者から横浜支店のにフレッツVPNワイドの開通が 8月26日と言われた。 私は・・・ 3月末に申し込んで、それは、あらへんやろ! と電話越しで大声で叫んだ。 NTT東日本の担当者は こっちに話が来たのは6月です 私は・・・ 関係あらへんやろ!! 東の怠慢やん!! 完全に関西弁丸出しの私。(実は、関西弁しか話せないのだが・・・) しばらく応酬が続いたが、これ以上、早くできないので、8月26日開通にしてもらった。
インターネットVPNに障害発生
8月上旬、NTT東日本地区にある営業所から連絡が来る。 通信が極端に遅くなる だった。 本社から営業所のルーターにpingを打ってみる。
本社から営業所のルーターにpingを打った結果 |
---|
[suga@linux]$ ping 192.168.Q.Z PING 192.168.Q.Z (192.168.Q.Z) 56(84) bytes of data. 64 bytes from 192.168.Q.Z: icmp_seq=1 ttl=63 time=414 ms 64 bytes from 192.168.Q.Z: icmp_seq=2 ttl=63 time=355 ms 64 bytes from 192.168.Q.Z: icmp_seq=5 ttl=63 time=344 ms 64 bytes from 192.168.Q.Z: icmp_seq=7 ttl=63 time=382 ms 64 bytes from 192.168.Q.Z: icmp_seq=8 ttl=63 time=380 ms 64 bytes from 192.168.Q.Z: icmp_seq=9 ttl=63 time=381 ms --- 192.168.Q.Z ping statistics --- 10 packets transmitted, 6 received, 40% packet loss, time 9002ms rtt min/avg/max/mdev = 344.745/376.587/414.471/22.308 ms [suga@linux]$ |
timeの値が異常に大きくなっている上、40%のパケットが消失している。 |
他の営業所のルーターにもpingを打ってみた。
本社から営業所のルーターにpingを打った結果 |
---|
[suga@linux]$ ping 192.168.R.Z PING 192.168.Q.Z (192.168.R.Z) 56(84) bytes of data. 64 bytes from 192.168.R.Z: icmp_seq=1 ttl=59 time=471 ms 64 bytes from 192.168.R.Z: icmp_seq=2 ttl=59 time=224 ms 64 bytes from 192.168.R.Z: icmp_seq=3 ttl=59 time=422 ms 64 bytes from 192.168.R.Z: icmp_seq=4 ttl=59 time=504 ms 64 bytes from 192.168.R.Z: icmp_seq=6 ttl=59 time=490 ms 64 bytes from 192.168.R.Z: icmp_seq=7 ttl=59 time=533 ms --- 192.168.R.Z ping statistics --- 7 packets transmitted, 6received, 14% packet loss, time 7004ms rtt min/avg/max/mdev = 224.156/455.226/538.880/101.168 ms [suga@linux]$ |
timeの値が異常に大きくなっている上、一部のパケットが消失している。 |
原因はわからなかった。 ルーターの設定を見直してみても、おかしな所が見つからない。 そもそも設定を触っていないだけに、なぜ、こんな現象が出たのか 解決の糸口すらつかめない。 そこで1つの営業所だけ、ルーティングを変更してみる事にした。 インターネットVPNを設定した時は 動的ルーティングのRIP を使っていた。 そこで、RIPをやめて 静的ルーティング にしたのだが・・・ 全然、改善してへん だった。 次に思いついたのは回線を替える事だった。 ADSL回線が2本ある。インターネット用と、インターネットVPN用だ。
本社が使っている2本のADSL回線 |
---|
1本はインターネット接続用で、もう1本はインターネットVPN用だ。 |
そこでインターネットVPNの通信で問題があるなら インターネット用のADSL回線を使って、インターネットVPNを設定すれば 問題が解決できるかもしれない。
インターネット用のADSL回線を使って、インターネットVPNを設定 |
---|
簡単に書いているが、実は容易ではない。 インターネット用のルーターは、パケットフィルタリングの設定が複雑だったり DMZの設定をしていたりする。 そこにインターネットVPNの設定を行おうとすれば、ルーターの設定(config)が より複雑な記述になってしまう。個人的には、あまりしたくない事なのだ。 |
複雑な設定に加えて、ややこしい問題がある。 営業所のルーターの設定変更が必要だからだ。
営業所のルーターの設定(インターネットVPN)の一部抜粋 |
---|
ip lan1 address 192.168.K.Z/24 pp select 1 pp always-on on pppoe use lan2 pp auth accept pap chap pp auth myname aaaa@xxxx.yyyy.ne.jp password ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp address X.Y.Q.W/32 ip pp mtu 1454 ip pp secure filter in 1 2 3 5 7 23 23 34 52 91 pp enable 1 tunnel select 1 ipsec tunnel 1 ipsec auto refresh on ipsec ike always-on 1 on ipsec ike local address 1 X.Y.Q.W ipsec ike pre-shared-key 1 text toyo_honsha-sendai ipsec ike remote address 1 U.I.O.P ipsec sa policy 1 1 esp 3des-cbc md5-hmac tunnel enable 1 |
青い部分は営業所に割り当てられたグローバルIP。 桃色は本社に割り当てられたグローバルIPだ。 桃色の部分の設定変更をする必要がある。 |
どうやって通信が途絶える危険性を回避しながら
営業所のルーターの設定を変更するかを考えた。
思いついたのは
禁じ手
だった。
本社のパソコンからインターネット経由で、営業所のルーターに
telnetで侵入可能にしたのだ。
インターネット経由で、営業所のルーターにtelnetで侵入 |
---|
インターネット経由で、telnetでルーターにログインするのは禁じ手だ。 一応、ルーターには、本社のパソコンのIP以外からはtelnet禁止にしているが パスワードは平文で流れているのだ。盗聴の危険性もある。 素早く作業をした後、telnetできる侵入口を塞いで、パスワードを変更したのだ。 |
そして、1つの営業所だけ、本社からインターネット接続するためのADSL回線に切り替えて、 インターネットVPNで結んだのだ。
インターネットVPNの回線の切り替え後(1つの営業所のみ) |
---|
1つの営業所だけ、インターネットVPN回線の切り替えを行ったのだ。 |
危険を伴う作業を行ったのだが、結果は・・・ 改善されてへん だった。 NTT東日本地区のフレッツVPNワイドの開通が遅れている事で NTT東地区にある営業所の人達は、イライラしている。 その上、現行のインターネットVPNの通信の不安定と遅くなった問題が生じたため 怒りが爆発寸前だった。 ふと思いついた。 pingを営業所に連打してみては 0.5秒ごとに営業所のルーターにpingを飛ばし続けた。
0.5秒ごとに営業所のルーターにpingを飛ばすシェルスクリプト |
---|
#!/bin/sh ping -i 0.5 192.168.Q.Z & ping -i 0.5 192.168.R.Z & ping -i 0.5 192.168.S.Z |
0,5秒ごとに指定のIPにパケットを飛ばす設定なのだ。 最後の部分以外は、バックグラウンドで動くようにしたのだ。 |
バックグラウンドで pingを連打させながら、回線状況を見るために pingを打ってみた。 すると、通信状態が改善された。
本社から営業所のルーターにpingを打った結果 |
---|
[suga@linux]$ ping 192.168.Q.Z PING 192.168.Q.Z (192.168.Q.Z) 56(84) bytes of data. 64 bytes from 192.168.Q.Z: icmp_seq=1 ttl=63 time=80.1 ms 64 bytes from 192.168.Q.Z: icmp_seq=2 ttl=63 time=78.4 ms 64 bytes from 192.168.Q.Z: icmp_seq=3 ttl=63 time=80.2 ms 64 bytes from 192.168.Q.Z: icmp_seq=4 ttl=63 time=83.5 ms 64 bytes from 192.168.Q.Z: icmp_seq=5 ttl=63 time=82.7 ms --- 192.168.Q.Z ping statistics --- 5 packets transmitted, 5 received, 0% packet loss, time 4001ms rtt min/avg/max/mdev = 78.462/81.031/83.568/1.874 ms [suga@linux]$ |
timeの値が小さくなった上、パケット消失がなくなった。 実際、通信が極端に遅くなる現象が激減した。 でも、それでも、時々、遅くなったりはした。 |
急場しのぎの対策なのだが、これしか方法がない。 フレッツVPNワイドに切り替えするまでの、一時しのぎとして割り切ることにした。
横浜でフレッツVPNワイドの開通前
8月25日になった。明日、横浜でフレッツVPNワイドの開通なのだが ユーザーIDとパスワード 企業識別子 が届いていないのだ。 NTT西日本の担当者からユーザーIDとパスワードがメールで届いた。 だが、企業識別子が届かない。これがないとルーターの設定ができない。 NTT東日本の担当者に電話して、企業識別子を聞き出した。 事前に、NTT東日本の担当者に、NTT西日本と同様、NGNサービス情報サイトに接続して ユーザーのIPとサブネットの変更が必要なのかと問い合わせたり NTT西日本のNGNサービス情報サイトの設定が必要なのかを問い合わせたのだが 何ら返事が来ていない。 そんな状態で8月26日を迎えてしまったのだ。 この日、NTT西日本の担当者も、東日本の担当者も外出で連絡が取れなかった。 ユーザーのIPとサブネットの確認がとれない。 夕方になり、NTT東日本の担当者と連絡がとれた。 私が、ユーザーのIPとサブネットの話をすると 技術担当者が不要と言っていましたので と言い出した。 NTT東日本にも、ウソつき技術者がいる。 そこで私が・・・ NTT西でも同じ事があったんですわ。だから確認を求めたんですわ NTT東日本の担当者が「接続できなかったのですか」と言ったので 接続も何も必要な情報があらへんのに接続できませんやん 翌日、NTT東日本の担当者が横浜支店に行った。 横浜支店で確認してもらった所、案の定、私が依頼したIPアドレスとサブネットマスクになっておらず 初期設定のIPアドレスとサブネットマスク だった。 そこで変更してもらった。 変更した内容をハードコピーしてもらい、FAXで私がいる本社に送ってもらった。 だが、それを見た瞬間・・・ 今度はNTT西日本がウソつきやがった!! だった。 NTT西日本の担当者に電話をかけて事情を聞く。でも、怒鳴ったりしない。 担当者も、技術者からデタラメな事を伝えられているからだ。 横浜支店の人にルーターを送り返してもらうよう依頼した。 開通したのは、翌々日だった。
遠隔操作でルーター設定変更
横浜支店が開通した。 次に仙台営業所をつながようと考えて、NTT東の担当者に電話すると 開通しています だった。 東日本地区の親である横浜支店のフレッツVPNワイドの開通と共に 他の東日本地区の営業所のフレッツVPNワイドも開通したというのだ。 寝耳に水だ。 素早くインターネットVPNからフレッツVPNワイドに切り替えないと インターネットVPNの費用もフレッツVPNワイドの費用もかかってしまう。 そこで思いついたのは ルーターの遠隔操作で設定変更 だった。 フレッツVPNワイドが開通した時の、本社と営業所とのネットワークの状態
フレッツVPNワイドが開通時の、本社と営業所とのネットワークの状態 |
---|
インターネットVPNの回線と、フレッツVPNワイドの回線の2本ある。 この時点では、ルーターのルーティングの設定で、インターネットVPNを使った 通信が行われている。 |
手っ取り早くインターネットVPNからフレッツVPNワイドへ切り替えるには 遠隔操作でルーターの設定変更を行うのが一番だ。 だが、この作業は危険を伴う。 1つ間違えると通信ができなくなるからだ。 そこで妙案が浮かんだ。 本社の1台のパソコンのパケットだけ、先にルーティングを変えて 確認しながら前に進める方法だ。 そこで、営業所のルーターのルーティングを追加して 本社のパソコン(IPアドレスが「192.168.A.B」)へ送るパケットを フレッツVPNワイドを使って送るように設定してみる。
営業所のルーターの設定 |
---|
ip route default gateway tunnel 1 ip route D.E.F.G gateway pp 1 ip route 192.168.A.B gateway pp 2 pp select 1 pp always-on on pppoe use lan2 pp auth accept pap chap pp auth myname aaaaaaa@bbbbbbbbb ccccccc ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp address A.B.C.D/32 ip pp mtu 1454 ip pp secure filter in 1 2 21 22 23 30 52 91 pp enable 1 tunnel select 1 ipsec tunnel 1 ipsec auto refresh on ipsec ike always-on 1 on ipsec ike local address 1 A.B.C.D ipsec ike pre-shared-key 1 text PASSWORD ipsec ike remote address 1 D.E.F.G ipsec sa policy 1 1 esp 3des-cbc md5-hmac tunnel enable 1 pp select 2 pp always-on on pppoe use lan2 pp auth accept pap chap pp auth myname XXXX@YYYY ZZZZ ppp lcp mru on 1454 ppp ccp type none ip pp mtu 1454 ip pp secure filter in 1 2 11 12 92 pp enable 2 tunnel select 2 tunnel encapsulation ipip tunnel endpoint address 192.168.X.Z 192.168.A.Z tunnel enable 2 |
桃色の部分は、営業所から本社のパソコン(IPが「192.168.A.B」)にパケットを送る場合 フレッツVPNワイドの回線へパケットを流すためのルーティング部分。 赤い部分はフレッツVPNワイドへ接続するための設定 青い部分はフレッツVPNワイド内をパケットを通過させるための IPIPトンネルの設定部分。 |
本社のパソコン(IPが「192.168.A.B」)から営業所のルーターに対して pingを打った場合、返答がきたら、以下のようなパケット経路になっているのだ。
パケットの経路(インターネットVPNからフレッツVPNワイドへの切り替え作業) |
---|
本社のルーターは触っていないので、営業所のルーターにpingを打つと インターネットVPN回線を使って、パケットが送られる。 営業所から返ってくるpingの応答だが、フレッツVPNワイドの回線を使って 送り返されるのだ。 |
このまま営業所のルーターの設定変更と行きたい所だが、何らかの間違いを起こして、 もし、営業所のルーターと通信ができなくなるという事態になっては目も当てられない。 そこで慎重に作業を進めるため、本社のルーターの設定を行う。 本社のルーターの設定を以下のようにしてみる。
本社のルーターの設定 |
---|
ip route 192.168.X.Z/24 gateway pp 2 filter 110 gateway tunnel 10 ip filter 110 pass 192.168.A.0/24 192.168.X.0/24 * pp select 2 pp always-on on pppoe use lan3 pp auth accept pap chap pp auth myname xxxx@yyyy zzzz ppp lcp mru on 1454 ip pp mtu 1454 pp enable 2 tunnel select 10 tunnel encapsulation ipip tunnel endpoint address 192.168.A.252 192.168.X.252 tunnel enable 10 |
営業所へ送りパケットを、全てフレッツVPNワイドの回線へ振り分けるよう ルーティングと、IPIPトンネルの設定を行う。 |
本社のパソコン(IPが「192.168.A.B」)から営業所のルーターに対して pingを打った場合、返答がきたら、以下のようなパケット経路になっているのだ。
本社のパソコンから営業所のルーターにpingを打った場合の経路 |
---|
営業所のルーターにpingを打って応答が返ってきた場合 フレッツVPNワイドの回線を使っている事が言える。 |
そして営業所のルーターの設定変更を行う。
営業所のルーターの設定 |
---|
ip route default gateway tunnel 2 ip route 192.168.A.0/24 gateway pp 2 pp select 1 pp always-on on pppoe use lan2 pp auth accept pap chap pp auth myname aaaaaaa@bbbbbbbbb ccccccc ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp address A.B.C.D/32 ip pp mtu 1454 ip pp secure filter in 1 2 21 22 23 30 52 91 pp enable 1 tunnel select 1 ipsec tunnel 1 ipsec auto refresh on ipsec ike always-on 1 on ipsec ike local address 1 A.B.C.D ipsec ike pre-shared-key 1 text PASSWORD ipsec ike remote address 1 D.E.F.G ipsec sa policy 1 1 esp 3des-cbc md5-hmac tunnel enable 1 pp select 2 pp always-on on pppoe use lan2 pp auth accept pap chap pp auth myname XXXX@YYYY ZZZZ ppp lcp mru on 1454 ppp ccp type none ip pp mtu 1454 ip pp secure filter in 1 2 11 12 92 pp enable 2 tunnel select 2 tunnel encapsulation ipip tunnel endpoint address 192.168.X.Z 192.168.A.Z tunnel enable 2 |
桃色の部分は、ルーティング変更を行った部分。 ここを変更する場合は、192.168.A.Bのパソコンから行うのが重要。 何かあっても通信が行えるからだ。 赤い部分はフレッツVPNワイドへ接続するための設定 青い部分はフレッツVPNワイド内をパケットを通過させるための IPIPトンネルの設定部分。 |
これで通信が行える事が確認できたら、インターネットVPNの設定は削除しても問題はない。
ルーターの遠隔操作可能な所と、不可能な所(今だから書ける話) |
---|
インターネットVPNを導入した際、ルーターの設定はN社に丸投げだった。 5年間の保守契約を結ぶという前提だった上、ルーターの知識がないため、触らしてもらえなかった。 だが導入過程で、色々あったため、私も触っても良い事になった。 その後、N社の保守契約の際、私がルーターを触った事で ルーターに問題が発生しても責任はとれないという事で ルーターのパスワードを聞かない(聞けない)状態だった。 そのためルーターの遠隔操作ができなかった。 だが、N社の法務が怠慢だったため、保守契約の書類が作成できず 保守契約は結ばれないまま、月日は過ぎ去った。 今となっては、保守費用の節約になったので良かったのだ。 12年間に、ある営業所は移転に伴い、ルーターの設定変更が必要なり ある営業所はADSLが不安定のため光回線になった。 その際、ルーターの設定変更の際、パスワードも変更した。 そのため、いくつかの営業所のルーターは遠隔操作をできるようにした。 |
遠隔操作ができない営業所が2ヶ所あった。 ルーターを送り、返してもらったルーターを設定して、 次の営業所に送ると、その間、インターネットVPNとフレッツVPNワイドが 重複しているため、回線費用も重複してしまう。 そこで少しでも節約できないかと考えた。 ここで思った。 本社のADSL回線を2本あるが、それを1本に統合できないかと考えた。
本社が使っている2本のADSL回線 |
---|
1本はインターネット接続用で、もう1本はインターネットVPN用だ。 |
そこで以下のようにできないかと考えた。
本社の2本のADSL回線を、1本に統合 |
---|
ADSL回線を1本に統合する事で、回線費用を半分にできるのだ。 |
営業所のルーターへ遠隔操作できないのだが、上図の形態に変更の場合なら 営業所のルーターの設定変更は要らない。 本社のルーターの設定変更だけでいける。 なぜなら、営業所のルーターには、本社のプライベートIPに関する情報が入っていないからだ。
営業所のルーターの設定(インターネットVPN)の一部抜粋 |
---|
ip lan1 address 192.168.K.Z/24 pp select 1 pp always-on on pppoe use lan2 pp auth accept pap chap pp auth myname aaaa@xxxx.yyyy.ne.jp password ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp address X.Y.Q.W/32 ip pp mtu 1454 ip pp secure filter in 1 2 3 5 7 23 23 34 52 91 pp enable 1 tunnel select 1 ipsec tunnel 1 ipsec auto refresh on ipsec ike always-on 1 on ipsec ike local address 1 X.Y.Q.W ipsec ike pre-shared-key 1 text toyo_honsha-sendai ipsec ike remote address 1 U.I.O.P ipsec sa policy 1 1 esp 3des-cbc md5-hmac tunnel enable 1 |
青い部分は営業所に割り当てられたグローバルIP。 桃色は本社に割り当てられたグローバルIPだ。 単に本社のADSL回線を替えるだけで、プロバイダーまで変更しないため インターネットVPN用に割り当てられた本社と営業所のグローバルIPは、そのままだ。 |
本社のルーターの設定を変更して、ADSL回線を1本に統合した。 そして余ったADSL回線を解約した。僅かな期間だが、それでも少しは経費削減になる。 9月13日、ついに全ての営業所でフレッツVPNワイドが開通した。 それに伴い、最後まで残っていた営業所のプロバイダー契約と 本社のインターネットVPN用に申し込んだプロバイダー契約を解約した。
フレッツVPNワイドでの回線プラン変更
うちの金沢営業所が光回線を使っていたが、Bフレッツだった。 2017年に廃止されるプランなので、変更する必要がある。 インターネットVPNの場合だと、フレッツ網からプロバイダーに接続する際 識別子が回線プランによって異なってくる。
Bフレッツの場合の識別子(NTT西日本) |
---|
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname aaaaaa@bfmy01.odn.ne.jp bbbbbbbb
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp address XXX.YYY.ZZZ.RRR/32
ip pp mtu 1280
ip pp secure filter in 1 2 5 10 20 30 40 50
pp enable 1
|
赤い部分がBフレッツ回線という識別子だ。 同じプロバイダーでも、NTTのフレッツ網で使っている回線によって 識別子が変わってくるのだ。 ちなみにADSL回線の場合は「alpdsl01」だったりする。 IP1個のプランなので、ADSLと光ではプロバイダー料金も異なってくる。 プラン変更の届けが必要になる上、ルーターの設定変更まで迫られるのだ。 |
プロバイダーの契約変更の手続きに加え、ルーターの設定変更が必要になる。 非常に手間だ。それにルーターの設定変更をする場合 通信ができなくなる危険を承知で、ルーターを遠隔操作をするか それともルーターを営業所に送ったりする必要がある。フレッツVPNワイドだと設定変更不要
その点、フレッツVPNワイドの場合、回線プランの変更の際 ルーターの設定は不要だ。 金沢の場合、先にインターネットVPNからフレッツVPNワイドに切り替えた。 その後、NTTの光回線のプラン変更を行った。 残りはNTT東日本地区にある営業所のADSL回線を光回線へ切り替えだった。ADSL回線から光回線切り替えの場合
フレッツVPNワイドの場合、ADSLから光回線の切り替えも ルーターの設定変更は不要だ。 だが、NTT東日本の担当者に確認すると 光回線を開通させても、切り替えに最低数日は必要 だった。 だが、幸い、数日間、フレッツVPNワイドが使えなくなるのはない。 数日間に局内工事が行われ、最後の数時間だけ、切り替えのために フレッツVPNワイドが使えないだけだ。 ほとんど業務に支障が出なかった。 そして、10月22日、NTT東日本地区の全ての営業所で光回線に切り替わった。 感動も何もなく、あっさり終わった という感じだった。
最後に インターネットVPNに切り替えの際は、フレームリレー回線を導入した業者から 妨害工作があり、それを蹴散らした話とか、インターネットVPNに切り替えの際に 障害発生や問題発生など話などで、色々あった。 そのため思い出深いものがある。 だが、今回は、NTT西日本とNTT東日本の対応の、いい加減さを除けば 大きな問題もなく、順調に進んだ。 そのため、喜びも感動もなく、あっさりと終わってしまいました。