teratail
回答率
85.48%
質問するログイン新規登録

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.48%
トップVPNに関する質問
VPN

VPN(Virtual Private Network)は、仮想プライベートネットワークとも呼ばれ、インターネットに接続してるユーザー間に仮想的な通信トンネルを構築した組織内ネットワークです。認証や暗号化を用いて通信経路を保護し安全なネットワークの構築ができます。

Cisco IOS

Cisco IOSは、シスコシステムズ社が提供しているOSです。同社のほとんどのルーターやスイッチに使用されており、特徴のあるコマンドラインインターフェースをもちます。実行操作に制限があるユーザーモードと特権モードのセキュリティレベルがあります。

ネットワーク

ネットワークとは、複数のコンピューター間を接続する技術です。インターネットが最も主流なネットワークの形態で、TCP/IP・HTTP・DNSなどの様々なプロトコルや、ルータやサーバーなどの様々な機器の上に成り立っています。

Cisco

シスコ(Cisco Systems,Inc.)は、アメリカ合衆国に本社を置く、世界最大のコンピュータネットワーク機器開発会社及び同社の製品

Q&A

解決済

2回答

2903閲覧

VPN用IPアドレスが、社内PCにもDHCPで割り振られてしまう

SST8897
SST8897

総合スコア155

VPN

VPN(Virtual Private Network)は、仮想プライベートネットワークとも呼ばれ、インターネットに接続してるユーザー間に仮想的な通信トンネルを構築した組織内ネットワークです。認証や暗号化を用いて通信経路を保護し安全なネットワークの構築ができます。

Cisco IOS

Cisco IOSは、シスコシステムズ社が提供しているOSです。同社のほとんどのルーターやスイッチに使用されており、特徴のあるコマンドラインインターフェースをもちます。実行操作に制限があるユーザーモードと特権モードのセキュリティレベルがあります。

ネットワーク

ネットワークとは、複数のコンピューター間を接続する技術です。インターネットが最も主流なネットワークの形態で、TCP/IP・HTTP・DNSなどの様々なプロトコルや、ルータやサーバーなどの様々な機器の上に成り立っています。

Cisco

シスコ(Cisco Systems,Inc.)は、アメリカ合衆国に本社を置く、世界最大のコンピュータネットワーク機器開発会社及び同社の製品

0グッド

0クリップ

投稿2018/10/31 03:10

編集2018/10/31 04:49

0

0

実現したいこと

社内ネットワークは、192.168.30.0/24だとします。
固定IPアドレスで運用する範囲を192.168.30.1 ~ 192.168.30.127
社内PCにDHCPで動的に割り振る範囲を192.168.30.128 ~ 192.168.30.223
VPNでリモートアクセスしてきた端末に割り振る範囲を、192.168.30.224 ~ 192.168.30.254
にしたいです。

前提

使用している機器はcisco 841M Jというやつです。

現在、DHCPでは192.168.30.0/24のアドレスを、192.168.30.1 ~ 192.168.30.127(固定IPアドレスで運用する端末用)と192.168.30.224 ~ 192.168.30.254(VPN端末用)を除外して管理するようにしています。

DHCPの設定は、show runででてきたものから抜粋しますと以下のようになっています。

ip dhcp excluded-address 192.168.30.1 192.168.30.127
(...省略...)
ip dhcp excluded-address 192.168.30.224 192.168.30.254
!
(...省略...)
!
(...省略...)
!
ip dhcp pool vlan50
 import all
 network 192.168.30.0 255.255.255.0
 default-router 192.168.30.1 
 dns-server 192.168.30.1 192.168.30.1 
!
(...省略...)

show ip dhcp poolコマンドで表示したものは次の通りです。

------
gw02#show ip dhcp pool

(...省略...)

(...省略...)

Pool vlan50 :
 Utilization mark (high/low)    : 100 / 0
 Subnet size (first/next)       : 0 / 0
 Total addresses                : 254
 Leased addresses               : 24
 Pending event                  : none
 1 subnet is currently in the pool :
 Current index        IP address range                    Leased addresses
 192.168.30.248       192.168.30.1     - 192.168.30.254    24

(...省略...)

VPNの端末には、ciscoのマニュアルにあるとおり、VPN端末にIPアドレスを割り当てる方法が3つ(aaa,dhcp,local)あるうち、localを使用しています。
設定は以下の通りです。

gw02#show ip local pool

 Pool                     Begin           End             Free  In use   Blocked
 vpn-pool                 192.168.30.224  192.168.30.254    31       0       0

発生している問題・エラーメッセージ

タイトルにもある通りに、VPN端末用IPアドレスが社内PCにもDHCPで割り振られてしまいます。
本来、社内PCには192.168.30.128 ~ 192.168.30.223の範囲のアドレスが割り振られてほしいです。
しかし、VPN端末用の192.168.30.224 ~ 192.168.30.254が割り振られてしまう社内PCが存在します。
きちんと192.168.30.128 ~ 192.168.30.223の範囲が割り振られる社内PCもあります。

詳しい条件は不明ですが、
VPNで接続したあとに、出社し、社内LANに接続しなおした後、VPN端末用の192.168.30.224 ~ 192.168.30.254が割り振られてしまうようです。

全くVPN接続をしない習慣の人は、社内PC用の192.168.30.128 ~ 192.168.30.223が割り振られているみたいです。

試したこと

-なし-

補足情報(FW/ツールのバージョンなど)

機器はcisco 841M J です。バージョンは15.5と出ています。
VPNはL2TP/IPsecというやつを使っています。

ネットワーク機器のコンフィグに不慣れなため必要な情報が欠けているかもしれません。ご指摘いただければ追加します。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答2

0

ベストアンサー

VPN接続済みの端末で現象発生しているようですので、そのときに取得したアドレスを社内LANにつないだときに再利用しているのだと思います。

DHCPにはリース期間という「DHCPクライアントに配布したIPアドレスの有効期限」があり、この期間内に再接続された端末は同じIPアドレスを再利用します。リース期間のデフォルト値は24時間のようです。

(VPN接続→移動して社内LANへ接続の時間) > リース期間 となるよう(1時間とか)に設定を変更してあげると、移動の時間でリース期間を超えVPN接続時のIPは無効になり、社内LANに接続したときには新規にDHCPでIPアドレスを払い出されると期待できます。

投稿2018/10/31 05:02

yukky1201
yukky1201

総合スコア2751

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

taichi_0807
taichi_0807

2018/10/31 05:17

失礼します。 下記設定でDHCPの払い出し対象外になっているアドレスで発生している事象です。  ip dhcp excluded-address 192.168.30.224 192.168.30.254 それでもVPN向けアドレスレンジがDHCPのリース範囲として扱われる場合、やはり社内ネットワークとVPNを同一セグメントで運用すること自体、無理があるような気がします。
yukky1201
yukky1201

2018/10/31 05:30 編集

DHCPプロトコルのしくみで再利用時(リース期間内)は、使っていたものをそのまま再割り当てする。すなわち、新規にリクエストがあった時とは処理が異なり、どのアドレス範囲から割り当てればいいか(プールのレンジはどこからどこまでで、、今利用してないアドレスはどれで、除外アドレスはどれで。。。)という過程がない。 そのため、再利用時(リース期間内)は「ip dhcp excluded-address 192.168.30.224 192.168.30.254」の設定は意味を為さないと予想しています。 そのため、なるべく新規にアドレス取得処理が動くようにリース期間を短くしてみては?という助言となります。
SST8897
SST8897

2018/10/31 06:38

試しにリース期間を5分間に設定したところ、 2分30秒くらいで社内PCからDHCP REQUEST(今まで使ってたIPアドレスを引き続き使わせてくださいという内容) がとび、DHCPサーバからDHCP ACKが来て、DHCPリース更新が完了、 また2分30秒たつとDHCP REQUESTを行い...DHCPリース更新が完了、 という風に、つないでいる限りDHCPリース更新を行って、同じIPアドレスを使い続けてしまうようです。 なので、社内LANにつなぎっぱなしだと、DHCPリース期間を短くしても、VPN端末用のIPアドレスを使い続けてしまうようです。 (DHCPの正常な動作なのでしょうが、yukky1201さんのいう通り、DHCPリース更新のときはDHCPサーバは除外範囲とかチェックしないのですね。びっくりしました。) 社内LANに繋ぎっぱなしでなく、リース期間ぶん5分くらい社内PCを社内LANから切断しておいておくと、リーステーブルから削除されたんだと思いますが、ちゃんと社内PC用の別なIPアドレスが割り当てられました! 繋ぎっぱなしの場合は同じIPアドレスを使い続けてしまう(=繋ぎ始めた時点でVPN端末用IPアドレスが振られている場合は困る)のが問題点ですが、一定の範囲では解決できました。 ありがとうございました!
SST8897
SST8897

2018/10/31 06:41

書き忘れたのですが、VPN端末のIPアドレス割り振りは、ciscoだとvpn-addr-assignとかいう設定で行います。 それで、aaaか、dhcpか、localか、3つの方法を選べるのですが、質問に書いた通りlocalを使用しています。 マニュアルだと「ciscoASAが接続してきた端末にIPアドレスを割り振ります。」みたいに書いてあって、DHCPとは別な機能に読めてしまうんですが、DHCPなんでしょうかね。 説明書を見て、DHCPは関係ないんだとおもってましたが、足元をすくわれました。 まぁともかく、仕組みがわかってよかったです。ありがとうございました。
yukky1201
yukky1201

2018/10/31 06:50

事象解決と仕組みのご理解何よりです。 今回リース更新に原因があると理解いただいたので、ワークアラウンドをご案内します。 コマンドでリース解放、再取得するという方法です。ひとつめで解放、ふたつめで再取得できます。お試しください。 ipconfig /release ipconfig /renew
guest

0

まず、前提としてVPNと社内ネットワークは同一ブロードキャストドメインではないため、
両方を192.168.30.0/24に同居される設計は考え方としておかしいです。

今の設計は「社内ネットワーク(東京都)」の中の一部に「VPN(神奈川県)」が存在するような状況です。
そもそも両者は別のネットワークですので、セグメントも分かるのが普通です。

発生している問題も上記に起因していると思います。
恐らく、VPN向けのアドレスを一度使った端末はCiscoルータ側で記憶されていて、
新たにDHCPのレンジからアドレスが払い出されなくなっているような気がします。

改善策としては、両者のレンジを分けることですね。
⇒社内ネットワークを変更するのは色々影響ありそうなので、VPNのアドレスレンジを変えるほうが良いですかね。

投稿2018/10/31 04:37

taichi_0807
taichi_0807

総合スコア252

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

SST8897
SST8897

2018/10/31 04:49 編集

(質問にL2TP/IPsecを使用する旨を書き忘れてました、すみません) 回答ありがとうございます! ヤマハの公式サイトになりますが、[L2TP/IPsecを使用したリモートアクセスの設定例](https://network.yamaha.com/setting/router_firewall/vpn/vpn_client/vpn-smartphone-setup_rtx810_gui) を見ると、社内PCとVPNでリモートアクセスしてきた端末に、同じネットワーク`192.168.100.0/24` に属するIPアドレスを割り振っているようですが...。 こんな風にしたかったのです。 このやり方は本来はおかしい考え方の設定だということですか?
taichi_0807
taichi_0807

2018/10/31 05:08

こちらこそ失礼しました。 VPNの方式はL2TP/IPsecなのですね。 IPsec トンネルモード PSK/XAuth = CiscoのEasy VPN だと思ってました。 たしかにYAMAHAのサイトにはそのように記載がありますね。 L2TPを用いた場合は、もしかしたら社内NWと同Segでも不自然ではないのかも? すいませんが、L2TPでやったことないのでよく分からないです。 Configは誤っていないと思いますので、やろうとしていること対して 設定が不足しているのか、そもそもCiscoだと対応していないのか…。 検証環境ある or 本番環境でテストできるなら、VPN向けのアドレスレンジを 一度変えてみて、事象が解消するかどうかを見てみるのはいかがでしょうか。 仮にVPN向けのIPアドレスレンジを「192.168.31.1-31」にする場合は 以下のようなConfigになると思います。 #既存のVPN向けアドレスレンジのDHCP除外設定を削除(やらなくても影響はありませんが、やればDHCP払い出しのレンジが増えるメリットがあります) no ip dhcp excluded-address 192.168.30.224 192.168.30.254 #既存のVPN向けアドレスレンジpoolの削除 no ip local pool vpn-pool 192.168.30.224 192.168.30.254 #新規のVPN向けアドレスレンジpoolの追加 ip local pool vpn-pool 192.168.31.1 192.168.31.31 以上
yukky1201
yukky1201

2018/10/31 05:09

拠点間VPNではセグメントを別にするのが通例ですが、リモートアクセスVPNでは同セグメント利用はアリです
taichi_0807
taichi_0807

2018/10/31 05:25

>> 拠点間VPNではセグメントを別にするのが通例ですが、リモートアクセスVPNでは同セグメント利用はアリです なるほど、そうなんですね。 L2TPだと同一ブロードキャストドメイン配下になるということなんでしょうね。 あと、機種がcisco 841Mということなので、正規ルートで購入しているのであれば、 保守があると思うので、ここで聞くよりサポートに問い合わせるのはどうかな と(^^;
yukky1201
yukky1201

2018/10/31 05:45

例えば、個人が外出時にノートパソコンを自宅LANにVPN接続したいという時には、1台のみなので同一ブロードキャスト内にいる方がラクなんですよね。ルーティングとかファイアウォールとか考慮しなくてよいので。
taichi_0807
taichi_0807

2018/10/31 05:56

たしかにそれは便利ですね。 ただ、今回の件みたいにDHCPが賢く立ち回ってくれないとトラブる感じですね。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.48%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

トップVPNに関する質問

VPN用IPアドレスが、社内PCにもDHCPで割り振られてしまう