異なるメーカーの機器間でVPN

7,709 views
Skip to first unread message

tmae

unread,
Sep 4, 2011, 3:12:14 PM9/4/11
to きっかけはネットワーク #nwstudy
まえだです。

ふと疑問に思ったので質問させてください。

異なるメーカーの機器(ルータ)間でVPN(IPsec)をやろうとすると、いわゆる相性問題が発生しちゃんと設定しても疎通できないと聞いたことがあ
ります。
たとえば、アライドテレシスとヤマハはどうやってもできないと聞いたことがあります。
こういうことは実際にあるのでしょうか?都市伝説でしょうか?

ちなみに弊社で使っているのはアライドテレシスです。自分が入社前にすでにアライドでしたので、上記のウワサが本当か確かめる術もなく拠点が増える度に
アライドを増やし続けてます。
相性問題がないなら、今度の新拠点では別メーカーの機器もいじってみたいと思いまして…。
「えーマジアライド?」「シスコ以外の機器を使うなんて小学生までだよねー」「キモーイ」「キャハハハハハ」と言われるかもしれませんがご相談させてい
ただきたく。

よろしくお願いいたします。

Tsutomu SANO

unread,
Sep 5, 2011, 10:07:04 AM9/5/11
to nws...@googlegroups.com
ほっけこと佐野です。

On 2011/09/05, at 4:12, tmae wrote:
>
> 異なるメーカーの機器(ルータ)間でVPN(IPsec)をやろうとすると、いわゆる相性問題が発生しちゃんと設定しても疎通できないと聞いたことがあ
> ります。
> たとえば、アライドテレシスとヤマハはどうやってもできないと聞いたことがあります。
> こういうことは実際にあるのでしょうか?都市伝説でしょうか?

詳しい原因は忘れてしまいましたが Cisco vs Yamaha で Phase2 の認証あたりでこけた記憶があります。
#Cisco 1720 と RTX1000 辺りだった気が...

時間がなくて Cisco をレンタルして場をしのいだ気がします。
でももう10年くらい前の話しなので、もしかしそんな事はもうないのかもしれません...

> ちなみに弊社で使っているのはアライドテレシスです。自分が入社前にすでにアライドでしたので、上記のウワサが本当か確かめる術もなく拠点が増える度に
> アライドを増やし続けてます。
> 相性問題がないなら、今度の新拠点では別メーカーの機器もいじってみたいと思いまして…。
> 「えーマジアライド?」「シスコ以外の機器を使うなんて小学生までだよねー」「キモーイ」「キャハハハハハ」と言われるかもしれませんがご相談させてい
> ただきたく。

「えーきもーい」JK 風

と言う冗談はおいておいてw
ぐぐったらこげなのとかありましたけど?:-)
http://d-net.robata.org/build_ipsec_localnet.html

Yamaha は Cisco との接続例が何処かに有った気が...

メーカから借りて検証ってのはどでしょうかね?、Yamaha 直接は無理としても日商とかは
対応してくれる筈です。聞いてみては?

// Tsutomu "hokke" SANO
// ho...@hokke.jp

kaji hiroyuki

unread,
Sep 5, 2011, 1:42:27 PM9/5/11
to nws...@googlegroups.com
カジ (Twitter:cocacola917)と申します。

一般的に、IPsec接続可能なはずですが、再接続に時間がかかることがあると思います。
常時IPsec接続したいときにPeerとのヘルスチェック方法が各社独自のためフレッツ網内などインターネット内で通信断が発生すると、
自拠点と対抗拠点間で切断を認識できずIPsecSAの消去まで再接続できない場合があった記憶があります。
もし行う場合は、上記のテストを実施したほうが良いと思います。

検証している場合もあるのでSIやメーカのSEに問い合わせしてみることをお勧めします。
他社製品ということであれば、アライドテレシスで扱っているJuniper NetScreenシリーズはARルータと接続できると思います。

参考にならなかったらすみません。

2011年9月5日4:12 tmae <tomohir...@gmail.com>:

Toshihiro Nishihata

unread,
Sep 5, 2011, 6:52:17 PM9/5/11
to nws...@googlegroups.com

西端と申します。

ヤマハは、Phase2の設定が多少曖昧でも、
繋がっちゃたりしたことがありますね。

他社製品にリプレースしたときに、
「あれ、これ設定足りない…」ってことがあって、
しばらく悩みました。

ちなみに、弊社だと Century と Fortinet が
ヤマハと繋がってます。

# 会社の簿外品とかを持ち寄ってミニinteropとか、
# 勉強会のネタとして面白いかも

2011 9 5 04:12 "tmae" <tomohir...@gmail.com>:

Tak.suzukit

unread,
Sep 5, 2011, 7:14:16 PM9/5/11
to nws...@googlegroups.com
はじめまして。たかのりと申します。(Twitter:takanorisuzuki)

再接続時にIPSec SAを送るタイマーが異なるのはよく聞きました。
私が経験したときは丁度タイマーが合わない機器同士で、
手動リセットするまで永久に接続出来ませんでした。

確かアライドとJuniperのSSGか何かだったと思います。
昔のことなので今はどうなのかわかりません。

ご参考まで。


Takanori Suzuki from mobile



kaji hiroyuki <hiroyuki...@gmail.com> 作成:


カジ (Twitter:cocacola917)と申します。

一般的に、IPsec接続可能なはずですが、再接続に時間がかかることがあると思います。
常時IPsec接続したいときにPeerとのヘルスチェック方法が各社独自のためフレッツ網内などインターネット内で通信断が発生すると、
自拠点と対抗拠点間で切断を認識できずIPsecSAの消去まで再接続できない場合があった記憶があります。
もし行う場合は、上記のテストを実施したほうが良いと思います。

検証している場合もあるのでSIやメーカのSEに問い合わせしてみることをお勧めします。
他社製品ということであれば、アライドテレシスで扱っているJuniper NetScreenシリーズはARルータと接続できると思います。

参考にならなかったらすみません。

2011年9月5日4:12 tmae <tomohir...@gmail.com>:

Daisuke IHA

unread,
Sep 4, 2011, 8:12:48 PM9/4/11
to nws...@googlegroups.com
いはです。

経験則でしかないですが、相性問題は存在しました。
最近は試していないので直近は不明ですが、動くけど鍵の再交換時に通信が切れて不安定とかありましたね。

もっとも、相性云々より問題なのは、基本的にどのメーカも同一メーカ間しか動作保証して
いなかったような気がします、動作確認はしていても保証はしないというスタイルが殆どかと。

将来的に他担当者への引き継ぎが発生しうる以上、特別な事をするよりも
同一システム内は極力シンプルに、ある程度踏襲していくことを推奨します。
♯ アライドが潰れそう、ヤバいという事実があれば無論話は異なってくるでしょうが。。

個人的に「レイヤーの低い箇所ほど保険をかけるべし」をモットーとしてるので…。

昔はフレッツ・オフィスやSIP関連でメーカ機器間の接続試験とかあったんですが、
最近はそういうのやってないんですかね?

以上、よろしくお願いいたします。

2011年9月5日4:12 tmae <tomohir...@gmail.com>:

Reply all
Reply to author
Forward
0 new messages