初版: 2003/12/21
最終更新日:
2003/12/21
このネットワークでは、RTX1000でNATを使っています。 このため、RTW65bやSL-C760からは、通常の状態では、 Server向けてパケットを投げる(通信の発呼を行う)ことはできません。 しかし、VPNを使ってSL-C760をRTX1000に接続すると、 NATを通り越して(迂回して??)SL-C760からServerへtelnetをかける ことができるようになります。
下図において、RTW65bの部分をインターネット、 RTX1000より下の部分をイントラネットと考えると、 出先からどこかのプロバイダ経由で社内イントラネットに インターネットVPNでアクセスする場合の 参考になるのではないでしょうか。
RTW65bは、単に 172.16.1.0/24 と 172.16.0.0/24 をつなぐために 置いているだけで、LAN1 (LAN) と LAN2 (WAN) のIPアドレスと 経路の設定ぐらいしかしていません。
+-------+ |SL-C760| +-------+ |172.16.1.2(DHCP) | +-------+-------+-------+ 172.16.1.0/24 | |172.16.1.1 +-------+(LAN1[LAN]) |RTW65b | +-------+(LAN2[WAN]) |172.16.0.1 | +-------+-------+-------+ 172.16.0.0/24 | |172.16.0.254 +-------+(LAN2) ↑ pseudo Internet |RTX1000| --↑NAT ===================== +-------+(LAN1) ↓ Intranet |192.168.1.254 | +-------+-------+-------+ 192.168.1.0/24 | |192.168.1.1 +-------+ |Server | +-------+
ip route default gateway 172.16.0.1 ip route 172.16.1.0/24 gateway tunnel 1 filter 1 2 3 hide ip lan1 address 192.168.1.254/24 ip lan2 address 172.16.0.254/24 ip lan2 nat descriptor 1 tunnel select 1 ipsec tunnel 101 ipsec sa policy 101 1 esp aes-cbc md5-hmac ipsec ike encryption 1 aes-cbc ipsec ike group 1 modp1024 ipsec ike local address 1 192.168.1.254 ipsec ike pre-shared-key 1 text himitsu ipsec ike remote address 1 any ipsec ike remote name 1 sl-zaurus tunnel enable 1 ip filter 1 reject * * udp * 500 ip filter 2 reject * * esp ip filter 3 pass * * nat descriptor type 1 masquerade nat descriptor address outer 1 primary nat descriptor masquerade rlogin 1 on nat descriptor masquerade static 1 1 192.168.1.254 udp 500 nat descriptor masquerade static 1 2 192.168.1.254 esp ipsec auto refresh on
ip lan1 address 172.16.1.1/24 ip lan1 routing protocol none ip lan1 rip listen none ip lan2 address 172.16.0.1/24 ip lan2 routing protocol none ip lan2 rip listen none syslog notice on httpd service off dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 172.16.1.2-172.16.1.194/24