YAMAHAルーターでLAN分割されたVLANにVPN接続する方法

この記事は公開から3年以上経過しています。

YAMAHAのファイァウォールルーターFWX120のGUIからVLAN1とVLAN2にLAN分割した環境でL2TP/IPsecによるVPNを構築したところ、デフォルト設定ではVLAN2側にVPN経由で接続できなかったので対応方法の備忘録。

RTX1210などでも同じ症状であれば同様に対応ができると思われます(未検証)。

設定を誤るとネットワークに接続できなくなったり、シリアルケーブル以外でルーター設定を変更できなくなるなど、最悪設定の初期化が必要になる場合もあります。設定を変更する前には必ずコンフィグを保存&バックアップするなど、いつでも復元できる状態で作業を行ってください。

対応

  1. ルーターにシリアルコンソール/SSH等でログインしてadminコマンドで管理ユーザーへ移行する。

  2. 以下のコマンドを実行してVLANの設定を確認する。

    show config | grep 'ip vlan'

    上記コマンドの実行結果

    Searching ...
    ip vlan1 address XXX.XXX.XXX.XXX/XX
    ip vlan1 proxyarp on
    ip vlan1 secure filter in 1010 500000
    ip vlan1 secure filter out 1011 500000
    .
    .
    .
    
    ip vlan2 address YYY.YYY.YYY.YYY/YY
    ip vlan2 secure filter in 1000 500000
    ip vlan2 secure filter out 1001 500000
    .
    .
    .
  3. 上記VLAN2の設定に`proxyarp on`が設定されていないことが確認できたら、以下のコマンドで代理ARPを設定する。

    ip vlan2 proxyarp on
  4. L2TP(anonymous)接続を行う場合は、以下のコマンドでリモートIPアドレスプールの設定を行う。
    (FWX120の場合はGUIの`[トップ] > [詳細設定と情報] > [VPN接続の設定] > [VPN接続設定の修正(Anonymous)]`の`接続先に割り当てるIPアドレス`から設定可能)

    pp select anonymous
    ip pp remote address pool YYY.YYY.YYY.10-YYY.YYY.YYY.20
  5. VPN接続してVLAN2のネットワークへアクセスできることが確認できたら、以下のコマンドでコンフィグを保存する。

    save

参考ウェブサイトなど

RTX/RT/SRTシリーズ コマンドリファレンス
9.1.29 代理 ARP の設定

RTX/RT/SRTシリーズ コマンドリファレンス
9.2.2 リモート IP アドレスプールの設定

ヤマハネットワーク製品 設定例
ルーターの設定例:複数のL2TPクライアント(アドレス不定)の接続を受け付ける場合

以上です。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする