今回のエントリは、私が個人的に質問を受けた内容で、でもネットには載っておらず一度断念した内容について、個人的に解決したのでその解決策を書くものです。
(このブログの趣旨からは外れておりますが、ご了承ください)

目次

何をしたかったのか?

YAMAHA(あの、バイクとか楽器を作っている会社です)が出しているRTXというVPNルータがあります。中小企業では比較的安い上に安定しているとして広く使われている機械なのですが、大企業で使用されているCiscoなどと違い、簡単設定で使用できるようにあえて設定を簡略化している(カスタマイズ)できない部分があります。その一つが、今回触れるDNSの設定です。

Active Directoryを今回導入する際、その会社では固定IPを一つもとらず、本社拠点を含め全てネットボランチDNSでつないで運用している状態でした。Active Directoryの運用の条件の一つとして「DNSは必ずActiveDirectoryを参照しているDNSを使用しなくてはならない(=基本的にActiveDirectoryに入っているDNSを使用しなくてはならない)」という制約があるのですが、だからと言って参照先DNSをADのIPアドレスにすればいいか、というと、そんなことは決してない。
停電すると同時に、VPN接続そのものが落ちてしまいしかもネットボランチDNSが復旧しない(=IPSecが機能せず、支店と本店のデータ通信が全て落ちてしまった)という事態が発生してしまいました。
そのため、この会社では固定IPを一つ導入することでなんとか「ネットボランチDNSに頼らない」IPSecを実現することができました。

でも、本当にそれしか方法がなかったのか?
というのが今回の話の前提です。

ヤマハでAD付きVPNを組む方法 ①センター拠点に固定IPを持たせる

一番安定するのは、センター拠点に固定IPを持たせることです。センター拠点さえ固定IPアドレスを保有していれば、周囲の拠点からはその拠点を目指してIPSEC通信をかけることができます(ネットボランチDNSを使用する必要がありません)。ネットボランチDNS自体が無保証のサービスなので、このやり方が一番スマートだと言えるでしょう。

ただし、固定IPをとるのには値段がかかります。プロパイダにもよりますが、asahiネットで800円、OCNだと7800円くらいの追加費用が月額でかかってきます。また、固定IPを狙っての攻撃であったり、固定IPから企業名が特定されマーケティングツールで活用される、といった副次的な問題もあります。

ヤマハでAD付きVPNを組む方法 ②全拠点でのDHCP配布設定にDNS設定をいれる

ルーター全体のDNS設定ではなく、DHCP配布設定の中にあるDNS設定のみを書き換える、という方法です。YAMAHAルータではネットボランチDNSを利用する上で「リカーシブサーバ」を必ず使用しなくてはなりませんが、リカーシブを使用すると強制的に第一優先DNSがルータのIPとして配布されます。
しかし、DHCPの配布設定の中にDNSサーバを指定する項目があり、こちらで配布することでDNSの値をActive DirectoryのDNSサーバに向けることができます。
(そのほかにもhostnameなどの情報も渡せるようです)

GUI(画面操作)の場合の設定例は以下の通りです。※RTX1200の場合

管理者画面に入り「DHCP認証」を左側のカラムから選択します。

オプション数の右側にある「設定」ボタンを押します。

オプションを「使用する」に設定し、プルダウンから「dns」を選択、入力欄にADのDNSサーバの値を入力します。

最後に保存し、全ての通信端末を再接続させてみてください。

なお、この方法では固定IPをプライベートでふっている端末でDNSの値を自動取得している物のDNSサーバを更新できません。
それらの端末に対してはDNSを設定する必要があります…。
固定IPを設定している端末が分からない!という場合には、以下のようなアプリをPCに入れて実行すると、接続している端末の一覧を取得することができ、便利です。

方法③ そもそもマネージドVPN(フレッツワイド)を使用する

NTT東日本/西日本では、月額1500円ほどを支払うことでVPNをNTTが整備してくれる仕組みが存在します。

1拠点当たりかかるので費用が嵩むのがネックですが、数拠点であれば固定IPをとるより安くつくような場合もあるので、検討してみるのもおすすめです。

まとめ

いかがでしたでしょうか。様々なやり方がVPNを組む上ではありますが、個人的には(技術者としては)マネージド…というよりかは、YAMAHAで簡易的にネットボランチで構成する方をお勧めしています。マネージドの場合多くを意識する必要は無くなりますが、何といっても業者への依存度が増してしまうのがネックでしょう。クラウド時代と言われる現代ですが、ネットワークについての技術があって初めて使えるものも多いです。この機会にぜひ一度、ネットワークについて再度学習してみるのはいかがでしょうか。

関連記事

日本での電子レシートはどの会社が提供している?4つのサービスを紹介いたします。
IT技術

日本での電子レシートはどの会社が提供している?4つのサービスを紹介いたします。

作成者: deruta1992
RPAに頼るな、APIを使い倒せ。プログラマによる「非プログラム」でのデータ連携のススメ
IT技術

RPAに頼るな、APIを使い倒せ。プログラマによる「非プログラム」でのデータ連携のススメ

作成者: deruta1992
高いメールサーバと安いメールサーバ何が違う?働き方改革に役立つGoogle/Microsoftサービスを紹介します
IT技術業務Hack

高いメールサーバと安いメールサーバ何が違う?働き方改革に役立つGoogle/Microsoftサービスを紹介します

作成者: deruta1992
電子契約導入前に確認したい「本当に必要な」タイムスタンプコストの計算の話
IT技術業務Hack法律税法雑記

電子契約導入前に確認したい「本当に必要な」タイムスタンプコストの計算の話

作成者: deruta1992
従業員の一部だけ別のメールサーバーを使わせたい!Microsoft365(Office365)/GoogleWorkspace導入でも役立つ「1つのドメイン」への「複数メールサーバ」設定方法について
IT技術

従業員の一部だけ別のメールサーバーを使わせたい!Microsoft365(Office365)/GoogleWorkspace導入でも役立つ「1つのドメイン」への「複数メールサーバ」設定方法について

作成者: deruta1992

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください