VPNで教えてください
1 :とある業界団体の場合:
初心者な質問で申し訳ないですがVPNについて教えてください。
XX連合会とか○○協会などといった業界団体での話なのですが
加盟している会員企業(全国各地に存在)さんとの事務手続きを
電子化しようという企画が進行中です。
セキュリティを確保する必要はありますが専用/直通線等を使用するような
レベルではないので下記のようなVPNサービスを採用しようかと考えています。
http://www.ocn.ne.jp/package/vpn/
このような場合は会員の企業さん達に当方と同一のVPNサービスに加入して
もらう必要があるのでしょうか?教えてください。
当然ながら会員の企業さん達は色々なプロバイダにすでに加入しています。
また直通回線は現在存在していません。
(新たに別のプロバイダと契約してもらうのは中々・・、それ用の新規機器も・・)
できれば会員さん達の追加負担はなるべく減らしたいと思っています。
ご存知の方はよろしくお願いします。
XX連合会とか○○協会などといった業界団体での話なのですが
加盟している会員企業(全国各地に存在)さんとの事務手続きを
電子化しようという企画が進行中です。
セキュリティを確保する必要はありますが専用/直通線等を使用するような
レベルではないので下記のようなVPNサービスを採用しようかと考えています。
http://www.ocn.ne.jp/package/vpn/
このような場合は会員の企業さん達に当方と同一のVPNサービスに加入して
もらう必要があるのでしょうか?教えてください。
当然ながら会員の企業さん達は色々なプロバイダにすでに加入しています。
また直通回線は現在存在していません。
(新たに別のプロバイダと契約してもらうのは中々・・、それ用の新規機器も・・)
できれば会員さん達の追加負担はなるべく減らしたいと思っています。
ご存知の方はよろしくお願いします。
|
|
|
2 :anonymous:2001/01/16(火) 02:18
アプリによるでしょ。Web アプリケーション主体なら SSL でいいだろうし、
セキュアな通信が実現されていないプロトコルを通過させる必要があるなら
VPN のような仕組みを実現する必要があるだろうね。
で、アプリケーションごとの通信経路の安全確保手段は以下のような感じになる。
- WWW(HTTP): いわずと知れた SSL。サーバー、クライアントともに実装は容易に入手できる。
- FTP: SSL でトンネルを掘る。環境が限定される。一般的でない。
- SMTP: SSL による暗号化を実現している実装がある。例えば sendmail の商用版。一般的ではない。
- Mail: PGP や S/MIME による暗号化が可能。ただしそれほど普及していない。
- POP/IMAP: TLS による暗号化が可能。ただし実装が極めて限定される。
- TELNET: 無理だが、SSH という代替手段がある。
あと何かあるかな。これらの手段で実現できないなら、Internet VPN を使うという
手段を考える必要があるだろうね。どのくらいお金をかけることができるかで、
全員が同じサービスに加入する必要があるか、ないかが決まるでしょう。
セキュアな通信が実現されていないプロトコルを通過させる必要があるなら
VPN のような仕組みを実現する必要があるだろうね。
で、アプリケーションごとの通信経路の安全確保手段は以下のような感じになる。
- WWW(HTTP): いわずと知れた SSL。サーバー、クライアントともに実装は容易に入手できる。
- FTP: SSL でトンネルを掘る。環境が限定される。一般的でない。
- SMTP: SSL による暗号化を実現している実装がある。例えば sendmail の商用版。一般的ではない。
- Mail: PGP や S/MIME による暗号化が可能。ただしそれほど普及していない。
- POP/IMAP: TLS による暗号化が可能。ただし実装が極めて限定される。
- TELNET: 無理だが、SSH という代替手段がある。
あと何かあるかな。これらの手段で実現できないなら、Internet VPN を使うという
手段を考える必要があるだろうね。どのくらいお金をかけることができるかで、
全員が同じサービスに加入する必要があるか、ないかが決まるでしょう。
3 :らうたまにあ:2001/01/16(火) 03:22
会員が既にいろいろなプロバイダーに接続してしまってるそうだけど、
当然、その中には、NAT付きのISDNルータで使っている人もいるよね?
例えば、MN128-SOHOシリーズとかYAMAHA RTA-5xiシリーズとかね。
でさ、VPNっていうかIPsecってNATとは、相容れないものがあるから
○IPsec -> セキュリティのため、アドレスの詐称を認めない
○NAT -> 少ないIPアドレスを、多数のマシンで利用するために敢えて
アドレス詐称して(書き換えて)いる。(ポートもね)
なので、NAT付きルータでIPsec出来るVPN製品ってけっこう少ないと思うよ。
CISCOのVPN5000とかならできるかもね。それでも、NAT掛けてIPsecで
セッション確立できるのは、そのネットワーク(同一NATテーブル)内の
1台のみだけどね。まぁ、適当な業者に案件ぶつけてみれば。
#あ、もうこんな時間、明日、VPNトンネリング設定しなくちゃなのに
当然、その中には、NAT付きのISDNルータで使っている人もいるよね?
例えば、MN128-SOHOシリーズとかYAMAHA RTA-5xiシリーズとかね。
でさ、VPNっていうかIPsecってNATとは、相容れないものがあるから
○IPsec -> セキュリティのため、アドレスの詐称を認めない
○NAT -> 少ないIPアドレスを、多数のマシンで利用するために敢えて
アドレス詐称して(書き換えて)いる。(ポートもね)
なので、NAT付きルータでIPsec出来るVPN製品ってけっこう少ないと思うよ。
CISCOのVPN5000とかならできるかもね。それでも、NAT掛けてIPsecで
セッション確立できるのは、そのネットワーク(同一NATテーブル)内の
1台のみだけどね。まぁ、適当な業者に案件ぶつけてみれば。
#あ、もうこんな時間、明日、VPNトンネリング設定しなくちゃなのに
YAMAHA RT100 シリーズって IPsec/NAT を同時にイネーブルできないの?
メーリングリストのログ見れば分かるんだろうけど、会社にいかないと見れない・・・。
ちなみに IPsec と Firewall/NAT 環境を共存させるためには
- Firewall/NAT Router で IPsec なパケットを素通しさせる
- IPsec Router を Firewall の外側に配備する
という手段が利用されているみたいね。
メーリングリストのログ見れば分かるんだろうけど、会社にいかないと見れない・・・。
ちなみに IPsec と Firewall/NAT 環境を共存させるためには
- Firewall/NAT Router で IPsec なパケットを素通しさせる
- IPsec Router を Firewall の外側に配備する
という手段が利用されているみたいね。
NATをどこ(内か外か)でかけてるかで決まります。
内側でやってるやつはNATとIPSec同時に使えますよ
あと、YAMAHAのRTA-52iはIPsec対応してます
内側でやってるやつはNATとIPSec同時に使えますよ
あと、YAMAHAのRTA-52iはIPsec対応してます
6 :らうたまにあ:2001/01/17(水) 02:29
同一の組織内で統制が取れるならともかく、
1さんが言うような、多数の組織の寄り合い所帯で、
じゃ、あなたの所はプライベートネットワークアドレスは
172.17.XX.0/16でお願いしますってわけにもいかないんじゃないかな?
アドレスは、あくまで例ね、べつになんでもいいけど、他の組織と
ぶつかっちゃいけないでしょ。
(組織統制が取れてて、ネットワークデザインにおいて発言力
を持てるなら別だけど。)
そう考えると、この場合MN128のPPTPやRTA5XiのIPsec
によるトンネリング接続は現実的じゃないと思うんです。
1さんが言うような、多数の組織の寄り合い所帯で、
じゃ、あなたの所はプライベートネットワークアドレスは
172.17.XX.0/16でお願いしますってわけにもいかないんじゃないかな?
アドレスは、あくまで例ね、べつになんでもいいけど、他の組織と
ぶつかっちゃいけないでしょ。
(組織統制が取れてて、ネットワークデザインにおいて発言力
を持てるなら別だけど。)
そう考えると、この場合MN128のPPTPやRTA5XiのIPsec
によるトンネリング接続は現実的じゃないと思うんです。
ところで 1 はどこ行った?
フォローがないと、このスレ終わるよ?
フォローがないと、このスレ終わるよ?
8 :名無しさん:2001/01/17(水) 08:09
9 :[email protected]:2001/03/28(水) 00:26
SonicWallとかつかった事ある人いますか?
VPN構築したいんだけど、機器の情報すくなくてこまってますです。
それにしてももうちょっと安くならないかなぁ・・・
VPN構築したいんだけど、機器の情報すくなくてこまってますです。
それにしてももうちょっと安くならないかなぁ・・・
10 :nanasi:2001/03/28(水) 00:49
11 : アナニいれマス:2001/03/28(水) 04:23
>>9
SonicWALL PRO なら触ったことあるよ。
ソニック間でVPN/IPsec の設定だったら激簡単だけど。
何で悩むのかなぁ?
FireWall-1(VPN-1) との IPsec でも事前conf があれば
3分もあれば開通するけど。
ソニックは モバイル用の VPN Client ライセンスが高いと
思うけど、本体はあんなもんじゃないの。適価だと思うな。
情報少ないなら、代理店(バンク、カテナ、ワールド)へ
聞けよ。それか、総代理店のsmisoft へ聞けば?
SonicWALL PRO なら触ったことあるよ。
ソニック間でVPN/IPsec の設定だったら激簡単だけど。
何で悩むのかなぁ?
FireWall-1(VPN-1) との IPsec でも事前conf があれば
3分もあれば開通するけど。
ソニックは モバイル用の VPN Client ライセンスが高いと
思うけど、本体はあんなもんじゃないの。適価だと思うな。
情報少ないなら、代理店(バンク、カテナ、ワールド)へ
聞けよ。それか、総代理店のsmisoft へ聞けば?
12 :まるみえくん:2001/03/29(木) 01:45
>>11
9です。
会社で遠隔地のWANを組むのにどうしようかと考えていたですが、
SonicWALLがなかなかよさそうだったので、調べていました。
カタログ的な情報はあるんですけど、2ch的な情報がないかな?
とかるい気持ちで書き込みしたのですが、まるみえとは・・・(苦笑)
とくにサポートに関して気になったもので・・・
悪評とかはないのでしょうか?
9です。
会社で遠隔地のWANを組むのにどうしようかと考えていたですが、
SonicWALLがなかなかよさそうだったので、調べていました。
カタログ的な情報はあるんですけど、2ch的な情報がないかな?
とかるい気持ちで書き込みしたのですが、まるみえとは・・・(苦笑)
とくにサポートに関して気になったもので・・・
悪評とかはないのでしょうか?
13 :あなほり:2001/03/29(木) 22:30
>CISCOのVPN5000とかならできるかもね。
VPN3000はNATは通ったような気がする。
あと、NATtraversalな接続もサポートしてたぞ。
IETF-draftとは全然違うけど。
>UNIXでは、IPsecじゃなくて、それを含んでいるL2TPでつかえや。
PPPoEからL2TPoverIPsec transportならわかるけどねぇ。
UNIX同士をend-endで繋いで何に使うんだ?
>組織統制が取れてて、ネットワークデザインにおいて発言力を持てるなら別だけど。
実は異組織VPNで苦労するのはここ、Layer8が一番つれぇ。
同じ機種なら設定すれば繋がるんだからLayer7以下は簡単。
VPN3000はNATは通ったような気がする。
あと、NATtraversalな接続もサポートしてたぞ。
IETF-draftとは全然違うけど。
>UNIXでは、IPsecじゃなくて、それを含んでいるL2TPでつかえや。
PPPoEからL2TPoverIPsec transportならわかるけどねぇ。
UNIX同士をend-endで繋いで何に使うんだ?
>組織統制が取れてて、ネットワークデザインにおいて発言力を持てるなら別だけど。
実は異組織VPNで苦労するのはここ、Layer8が一番つれぇ。
同じ機種なら設定すれば繋がるんだからLayer7以下は簡単。
14 :名無しさん:2001/08/07(火) 00:05 ID:uSXrjSGY
あげ
15 :ageage:2001/08/07(火) 21:48 ID:.SQTAVtg
http://mentai.2ch.net/test/read.cgi?bbs=network&key=979570044&st=4&to=4&nofirst=true
アライドのるーたがそうですね。
ルータ内臓のFireWall NAT使えば、UDP500番のみをNATの対象外として
設定できるので、融通きくのでマル。
H/Wで暗号処理するんでパフォーマンスも良。
アライドのるーたがそうですね。
ルータ内臓のFireWall NAT使えば、UDP500番のみをNATの対象外として
設定できるので、融通きくのでマル。
H/Wで暗号処理するんでパフォーマンスも良。
16 :NS fun:2001/08/10(金) 01:27 ID:6OloMoJw
ちょっとマイナーかもしれないが NetScreen という製品がある。
最近本支店のVPN化で実際に導入してみた。
http://www.netscreen.com/
FW/NAT/VPN/QoSがワンパッケージになっている。
特徴としてVPNはハードウェア化で10Mbitのスループットをもつ。
またQoSでは SMTP<HTTP<VPN というような帯域の割振りもできたりする。
PPPoEもサポートしているので今回はフレッツADSLと固定IP払い出しの
プロバイダを使って大変シンプルにVPN網を構築できた。
SonicWALLも検討したがローエンドモデルはVPNのスループットが芳しくない。
近い将来Bフレッツを導入したときにボトルネックになりそうで不安。
下のリンクは第三者機関によるNetScreen/SonicWALL/他のVPN性能比較。
http://www.netscreen.com/aboutus/pdf/TollyTS200230NetScreen-5Jan01.pdf
大変気に入ったので家庭用のブロードバンドルータとして一台買おうかと
思ってるぐらいである (藁
最近本支店のVPN化で実際に導入してみた。
http://www.netscreen.com/
FW/NAT/VPN/QoSがワンパッケージになっている。
特徴としてVPNはハードウェア化で10Mbitのスループットをもつ。
またQoSでは SMTP<HTTP<VPN というような帯域の割振りもできたりする。
PPPoEもサポートしているので今回はフレッツADSLと固定IP払い出しの
プロバイダを使って大変シンプルにVPN網を構築できた。
SonicWALLも検討したがローエンドモデルはVPNのスループットが芳しくない。
近い将来Bフレッツを導入したときにボトルネックになりそうで不安。
下のリンクは第三者機関によるNetScreen/SonicWALL/他のVPN性能比較。
http://www.netscreen.com/aboutus/pdf/TollyTS200230NetScreen-5Jan01.pdf
大変気に入ったので家庭用のブロードバンドルータとして一台買おうかと
思ってるぐらいである (藁
17 :Nnn:2001/08/10(金) 06:30 ID:SgOYoazw
いいスレだ。
みんな結構VPNでがんばってるのね。
みんな結構VPNでがんばってるのね。
18 :名無しさん:2001/08/10(金) 15:42 ID:Wu7q0aTI
19 :anonymous@ fndq124.live.canonet.ne.jp:2001/08/11(土) 12:21 ID:6h3z7262
20 :anonymous@ fndq124.live.canonet.ne.jp:2001/08/11(土) 12:25 ID:6h3z7262
あっつ。
21 :18:2001/08/11(土) 12:27 ID:9bRwGvjg
>平らなところにおいて使ってね。
言われてみれば....そんな訳ない!
米国本社で最上位機種(名前とかは知らない)を使い、日本では小さいやつを使っています。
トラフィックが増えると通信できなくなるのだ。
アメリカ側が死ぬ。一時は毎日落ちてた。
今は落ち着いてきましたけど、それでも週に1回程度落ちる。
米国本社の指定で他の機械に変えることができません(;_;)
言われてみれば....そんな訳ない!
米国本社で最上位機種(名前とかは知らない)を使い、日本では小さいやつを使っています。
トラフィックが増えると通信できなくなるのだ。
アメリカ側が死ぬ。一時は毎日落ちてた。
今は落ち着いてきましたけど、それでも週に1回程度落ちる。
米国本社の指定で他の機械に変えることができません(;_;)
22 :名無しさん:2001/08/11(土) 12:40 ID:9bRwGvjg
23 :NS fun:2001/08/11(土) 15:27 ID:OXFy6aeM
おおレスがついていたのか。
>>18
書いてないが電源を入れなおせば復帰するのかな?
それともトラフィックが減ってくると自然に復帰する?
もしQoSの設定を誤ると優先順位の低いトラフィックは完全に
無視される場合もあるよ。ひょっとしてその米国本社が日本側の
インターネット帯域を把握せずに一括でポリシーを設定しているとか。
NetScreenほどの製品が不安定になるかな〜
まあ俺は半分洗脳されかかっているから贔屓目にみすぎているかも
しれんが。 (藁
>>18
書いてないが電源を入れなおせば復帰するのかな?
それともトラフィックが減ってくると自然に復帰する?
もしQoSの設定を誤ると優先順位の低いトラフィックは完全に
無視される場合もあるよ。ひょっとしてその米国本社が日本側の
インターネット帯域を把握せずに一括でポリシーを設定しているとか。
NetScreenほどの製品が不安定になるかな〜
まあ俺は半分洗脳されかかっているから贔屓目にみすぎているかも
しれんが。 (藁
24 :18:2001/08/11(土) 16:28 ID:9bRwGvjg
>書いてないが電源を入れなおせば復帰するのかな?
>それともトラフィックが減ってくると自然に復帰する?
アメリカの設定はよくしらんが、IT担当者が対応しないと復旧
しません。リブートか電源入れ直しが必要みたいです。
死ぬときはアジア圏の朝に不安定になり、昼頃に死ぬのでアジ
アオセアニアのオフィスからのトラフィックが増えるとネットス
クリーンが死ぬのは間違いないようです。日本が死ぬときは
他国もしんでいるので、QOSの問題でなくボックスの問題みたい。
そもそもQOS設定なんてしてるのかどうかも知りませんが。
死ぬ時刻はアメリカの夜中だから、翌朝まで復旧しない....
>それともトラフィックが減ってくると自然に復帰する?
アメリカの設定はよくしらんが、IT担当者が対応しないと復旧
しません。リブートか電源入れ直しが必要みたいです。
死ぬときはアジア圏の朝に不安定になり、昼頃に死ぬのでアジ
アオセアニアのオフィスからのトラフィックが増えるとネットス
クリーンが死ぬのは間違いないようです。日本が死ぬときは
他国もしんでいるので、QOSの問題でなくボックスの問題みたい。
そもそもQOS設定なんてしてるのかどうかも知りませんが。
死ぬ時刻はアメリカの夜中だから、翌朝まで復旧しない....
25 :NS 不安:2001/08/11(土) 17:20 ID:.EEV.6p2
米国側が落ちるんだ・・・最上位機種が・・・
日本側のNetScreenが不安定で米国側が死んだようにみえると
いうことではないんだね。
確かにそう書いてらっしゃる。失礼しました。
>アメリカの設定はよくしらんが、IT担当者が対応しないと復旧
設定云々いったのは日本側のポリシー設定に不都合があるのかと
思ったわけです。
ところで死ぬって言うのは米国側とのVPNが不通になるという
風に解釈したが良かったのかな。
いずれにせよこれ以上はコメントのしようもないが。
頑張ってください (何を 藁
日本側のNetScreenが不安定で米国側が死んだようにみえると
いうことではないんだね。
確かにそう書いてらっしゃる。失礼しました。
>アメリカの設定はよくしらんが、IT担当者が対応しないと復旧
設定云々いったのは日本側のポリシー設定に不都合があるのかと
思ったわけです。
ところで死ぬって言うのは米国側とのVPNが不通になるという
風に解釈したが良かったのかな。
いずれにせよこれ以上はコメントのしようもないが。
頑張ってください (何を 藁
小さいやつってまさかNSR-5か?
get arpしてみな。arpテーブルが満杯になるとか。
ちなみにNSR5は32、10は512までだよ。
それを超えると極端に遅くなる。っていうかtimeoutする。
get arpしてみな。arpテーブルが満杯になるとか。
ちなみにNSR5は32、10は512までだよ。
それを超えると極端に遅くなる。っていうかtimeoutする。
27 :名無しさん:2001/08/12(日) 20:29 ID:GFYtjbo2
>いずれにせよこれ以上はコメントのしようもないが。
>頑張ってください (何を 藁
うん、とにかく全力で頑張るよ!!
>頑張ってください (何を 藁
うん、とにかく全力で頑張るよ!!
28 :名無しさん:02/01/29 23:11 ID:xKWsI7lm
あげさしてもらうわ。
29 :anonymous@ ntfkok025170.adsl.ppp.infoweb.ne.jp:02/07/18 00:08 ID:I0BxpOk9
age
30 : :
重複スレ。このスレは使用禁止。以下へ移動のこと。
VPN
http://pc.2ch.net/test/read.cgi/network/990103131/
>>29
意味もなく半年も沈んでいた単発質問スレをあげるな、アフォ。氏ね。
VPN
http://pc.2ch.net/test/read.cgi/network/990103131/
>>29
意味もなく半年も沈んでいた単発質問スレをあげるな、アフォ。氏ね。