拠点間VPNを設定する目的としてはいろいろあると思いますが、その多くは拠点先のLAN内にあるサーバーなどのPC内にあるファイルにアクセスしたりすることも多いかと思います。ここで、拠点元のLAN内の全てのPCが拠点先のサーバーにアクセスする場合は特には問題ありませんが、特定のPCだけを拠点先に接続したいような場合には、別途アクセス制限をかけなければなりません。ここでは、拠点元のPCのIPアドレスでアクセス制限をかけるフィルタリングの設定を行ってみたいと思います。もちろん各PCのファイアウォールでアクセス制限をかける事も可能ですし、拠点先のサーバーでアクセス制限をかけることも基本ですが、各PCのIPアドレスさえ適切に設定しておけば、ルータ側のIPフィルターで一元的に管理する事が可能となり、管理労力が一気に軽減されます。
例えば、拠点元(こちら側拠点)のLAN内ネットワークのIPアドレスが、192.168.100.0/24で、パソコンが60台あったとします。この60台のパソコンのうち、半分の30台は拠点先とVPN通信できるようにし、あとの30台は拠点先とは通信できないようにしたい場合を仮定して設定方法をやってみたいと思います。ルータ側で一元管理する場合には、事前にアクセス制限をかけたいPCのIPアドレスを一定の範囲にまとめておくと管理がしやすくなります。例えばアクセス制限したいPCは192.168.100.51~192.168.100.100の範囲内のIPアドレスを設定しておくなどです。この場合、これ以外のIPアドレスのPCは拠点先と通信できるということになります。このようにしておかないと、制限したいPCの数だけフィルターを作らなければならなくなる可能性が出てくるので、ルータでの作業数が多くなってしまいます。
今回は30台のPCに制限をかける例ですが、フィルターには少し多めに(今回の場合は50台分)IPアドレスの範囲を設定しておくことで、後でパソコンを追加する場合などに柔軟に対応できるようになります。こうして一定の範囲のIPアドレスでPCを管理しておけば、ルータのフィルタリングには、送信元IPアドレスが192.168.100.51〜192.168.100.100からのパケットは通信を遮断する1つのフィルターを設定すれば良い事になり、管理が簡潔になります。いずれにしても、ルータのIPフィルターでアクセス制限をかける場合には、LAN内のPCのIPアドレスはきちんと管理する必要があります。
とはいっても少しでも管理を楽にする方法として、DHCPサーバーのIPアドレス範囲を適切に設定する事により、追加PCの管理の軽減も可能です。例えば、DHCPサーバーの範囲を192.168.100.51-192.168.100.100というようにIPフィルターと同じに設定する事により、追加するPCのIPアドレスが自動取得のままでもLANに接続するだけで、自動的にアクセス制限範囲内のIPアドレスが振られることになります。また、DHCPサーバーの範囲を192.168.100.101-192.168.100.200のように設定しておけば、自動取得の設定のPCをLANに接続すると、拠点先と通信ができるIPアドレスが振られることになり、管理が楽になります。
1.RTX1210の設定画面を開く
では実際にIPフィルターを設定してみたいと思います。パソコンのブラウザのURL入力欄にRTX1210のLAN側のIPアドレス、例えば「192.168.100.1」などを入力して設定画面を開きます。(IPアドレスはLAN環境によって違いますので、RTX1210に設定したIPアドレスを入力します) 入力箇所は希望する内容によっても違うとは思いますが、基本的には指定されたもの以外はデフォルトで結構です。以下の画面はRTX1210設定のトップ画面です。YAMAHAの新しいGUI設定画面でダッシュボードが表示されています。VPNの設定は上部に並んでいるボタンの「詳細設定」から行います。(※もし以下の内容を実行する場合は当方では責任が取れませんので、あくまでも自己責任でお願い致します)
2.IPフィルター設定
ダッシュボード →詳細設定 →IPフォルター とクリックし、「TUNNEL1(これはVPN作成時に指定した名前)」にある「確認」をクリックします。
するとTUNNEL1に適用されているフィルターの一覧(下の画面)になります。一覧表示の切り替えで、送信と受信を切り替えますが、下の画面では、適用されているフィルターは送信、受信ともに一つも適用されておりません。フィルターが適用されていない状態では全てのパケットが通過する状態となります。ではフィルターを作ってみます。「一覧表示の切り替え」にある選択を「送信方向のフィルターを表示」を選択します。続いて、静的フィルターにある「編集」アイコンをクリックします。
インターフェースへの適用の設定画面で、静的フィルターにある「新規」をクリックします。
静的フィルターを1つでも適用すると、それ以外は全てreject(遮断)されるので、静的フィルターの設定画面で、最初に全てのパケットをpass(通過)するフィルターを作成します。作成されたフィルターは優先順位が上から適用されるので、全てをpassするフィルターは最下位に置くことになります。RTX1210では、作成時に設定した番号に関係なく、インターフェースへの適用の設定画面にてドラッグ&ドロップで順番を入れ替えできるので、特に番号にこだわる必要はありませんが、ルータによっては順序が番号順でしか管理できないものもあるので、フィルターの順番を意識して設定する癖をつける意味でも、この全てpassのフィルターは最終行にくるように大きな番号を指定して作成する事をおすすめします。
■番号: 任意の番号を選択(ここでは選択できる中で一番大きな番号:400999)
■タイプ: pass(ログなし) ※ログのありなしは必要に応じて設定
■プロトコル: 手動入力を選択し、左入力欄に「*」を入力
(*は全てのプロトコルやIPアドレス、ポート番号を示します。以下同じ)
■送信元IPアドレス: *
■送信元ポート番号: *
■宛先IPアドレス: *
■宛先ポート番号: *
入力後に確認ボタンをクリックし、入力の確認をしたら設定の確定ボタンをクリックします。
インターフェースへの適用の設定画面に戻りますので、先ほど設定した全てpassの設定(400999)が静的フィルターに表示されている事を確認します。続いてIPアドレスの範囲でrejectするフィルターを作成します。先ほどと同じように、インターフェースへの適用の設定画面の静的フィルターにある「新規」をクリックします。
■番号: 任意の番号を選択(ここでは小さな番号:400100)
■タイプ: reject(ログなし) ※ログのありなしは必要に応じて設定
■プロトコル: 手動入力を選択し、左入力欄に「*」を入力
■送信元IPアドレス: 192.168.100.51-192.168.100.100
■送信元ポート番号: *
■宛先IPアドレス: *
■宛先ポート番号: *
入力後に確認ボタンをクリックし、入力の確認をしたら設定の確定ボタンをクリックします。
次に、作成したフィルターを適用します。フィルターを作成しても、そのままでは適用されません。適用するには、インターフェースへの適用の設定画面の上枠内にある作成したフィルターを選択し、下枠内にマウスでドラッグ&ドロップで移動すればOKです。
下枠内にあるフィルターは、マウスでドラッグする事で、適用する順番を変更する事も可能です。rejectするフィルター(400100)が最上位、全てpass(400999)のフィルターは最下位にくるようにします。フィルターを移動したら確認ボタンをクリックします。
入力内容の確認画面で問題なければ設定の確定をすればフィルターが適用されます。
適用されているIPフィルターの一覧画面で、静的フィルター欄に、適用したフィルターが表示されていればOKです。これでフィルターの設定は完了しました。念の為、IPアドレスが192.168.100.51~100までのパソコンから拠点先のサーバーなどに接続できなくなっているか実際に確認します。
(記事配信:2017年3月)
関連記事
・RTX1210(YAMAHA製ルータ)を使用した感想レビュー
・RTX1210(YAMAHA製ルータ)にVPN(IPsec)拠点間接続を設定する方法
・RTX1210(YAMAHA製ルータ)にVPNリモートアクセスを設定する方法
・RTX1210(YAMAHA製ルータ)にIPフィルターを設定する方法