NIP

PO

N T

EL

EG

RA

PH

AN

D T

EL

EP

HO

NE

EA

ST

CO

RP

OR

AT

ION

フレッツ・VPN ワイドモバイルバックアップ 設定ガイド

（YAMAHA機器）

目次

2

ページ 手順 備考

9 １．RTX1210の設定例(センタ:拠点1側)

必ず実施

12 ２．RTX1210の設定例(エンド:拠点2側)

15 ３．RTX1210の設定例(エンド:拠点2側) 拠点数に応じて実施

-3-

本開通ガイドの一部または全部を、東日本電信電話株式会社の許可なく複製することを禁じます。

本開通ガイドの内容は、予告なく変更することがあります。

本開通ガイドにおけるサービスや製品に関する記述は、あくまで情報を提供する目的で書かれたもので、保証もしくは推奨するものではありません。

その他のサービス名などの固有名詞は、各社の登録商標または商標です。

本文中の各社の登録商標または商標には®マークは表示しておりません。

本ガイドの位置付け

「モバイル接続サービス」は、NTT東日本が提供するフレッツ・ＶＰＮサービス※1

に対し、モバイル事業者が提供するモバイル回線※2から、インターネットを介さない閉域での接続を可能とする、定額制のオプションサービスです。

本ガイドでは「モバイル接続サービス」を、フレッツ・ＶＰＮ ワイド拠点のバックアップ回線として利用する場合の、ルータ（YAMAHA機器）の設定例についてご案内いたします。

ご利用にあたっては、当社が提供するフレッツ・ＶＰＮ プライオと株式会社インターネットイニシアティブが提供するIIJモバイルサービスの本サービス専用プランのご契約が必要です。

-4-

※1 「フレッツ・ＶＰＮ ワイド」及び「フレッツ・ＶＰＮ プライオ」※2 2020年6月30日時点では、株式会社インターネットイニシアティブ（IIJ）の「IIJモバイルサービス」に対応

5

■YAMAHA機器による構成例

フレッツ・ＶＰＮ ワイド モバイルバックアップ構成

[設計上の注意事項]

SIMのIPアドレスが、フレッツ・ＶＰＮ ワイドのIPアドレスと重複しないよう設計して下さい。

SIMのIPアドレスと、LAN側のIPアドレスは重複しないよう設計してください。

各機器の対象ファームウエアのバージョンは下記の通りです。

端末機器のファームウェアは、最新の状態に更新の上、検証・導入いただけますようお願い致します。

USBドングルをVPNルータに接続する構成の場合には、USBドングルの設定を「モデムモード」に変更頂く必要がございます。

【動作確認機器】■VPNルータ

- RTX1210 (ファームウェア Rev.14.01.34)

■USBドングル- FS040U(v2.2.0）

フレッツ・ＶＰＮ ワイド モバイルバックアップ構成

■バックアップ構成概要

• センターエンド型のトポロジを想定

• VPNワイドのIPアドレスはLAN型(/24)払い出し

• ONU下部にルータを設置

• センタ拠点回線：[メイン]光 [バックアップ]モバイル

• エンド拠点回線：[メイン]光 [バックアップ]モバイル

• センタ拠点側の光回線異常時は、センタ側拠点側のアクセスがモバイル回線に切り替わる

• エンド拠点側の光回線異常時は、異常のあったエンド拠点側のアクセスのみ、モバイル回線に切り替わる

• エンド拠点側の光回線も、センタ拠点側の光回線ともに異常時は、エンド拠点側、センタ拠点側のアクセスいずれも、モバイル回線に切り替わる

• 各拠点は、光回線が復旧し次第、モバイル回線から光回線に通信経路を自動で切り戻す

6

機種 備考

拠点1 RTX1210 センタ拠点

拠点2 RTX1210 エンド拠点1

拠点3 RTX1210 エンド拠点2

モバイル接続

サービス

拠点2(エンド拠点1)

拠点1(センタ拠点)

フレッツ・VPN ワイド（NTT東日本）

モバイル事業者ネットワーク

ONU

RTX1210

ONU

lan1:192.168.241.1

usb1:172.16.10.3/32

＜NW構成イメージ（正常時）＞

拠点3(エンド拠点2)

ONU

lan1:192.168.242.1

PC等 PC等 PC等 PC等

192.168.240.0/24

usb1:172.16.10.2/32

lan1:192.168.240.1

192.168.241.0/24

usb1:172.16.10.4/32

192.168.242.0/24

IPSecトンネル (メイン)

IPSecトンネル (バックアップ)※

※エンド拠点側アクセスは光、センタ拠点側アクセスはモバイル

RTX1210

RTX1210

サーバ・デスクトップPC等

lan2:172.16.0.1

lan2:172.16.1.1

lan2:172.16.2.1

モバイル接続

サービス

拠点2

拠点1

フレッツ・VPN ワイド（NTT東日本）

モバイル事業者ネットワーク

ONU

ONU

lan1:192.168.241.1

usb1:172.16.10.3

＜正常時＞

拠点3

ONU

lan1:192.168.242.1

PC等 PC等 PC等 PC等

192.168.240.0/24

usb1:172.16.10.2

lo: 192.168.240.2lan1:192.168.240.1

192.168.241.0/24

usb1:172.16.10.4

192.168.242.0/24

モバイル接続サービス

拠点2

拠点1

フレッツ・VPN ワイド（NTT東日本）

モバイル事業者ネットワーク

ONU

ONU

lan1:192.168.241.1

usb1:172.16.10.3

拠点3

ONU

lan1:192.168.242.1

PC等 PC等 PC等 PC等

192.168.240.0/24

usb1:172.16.10.2

lo: 192.168.240.2lan1:192.168.240.1

192.168.241.0/24

usb1:172.16.10.4

192.168.242.0/24

＜センタ拠点(拠点1)光異常時＞

バックアップ用トンネルの経路にゲートウェイを切り替えて通信する

フレッツ・ＶＰＮ ワイド モバイルバックアップ構成

• センタ拠点側光の障害時はメインのトンネルが全拠点において切断されるが、その際バックアップ用のトンネルに経路が切り替わる動作となる

IPSecトンネル (メイン)

IPSecトンネル (バックアップ)※

※エンド拠点側アクセスは光、センタ拠点側アクセスはモバイル

IPSecトンネル (メイン)

IPSecトンネル (バックアップ)※

※エンド拠点側アクセスは光、センタ拠点側アクセスはモバイル

センタ-エンド間通信の流れ センタ-エンド間通信の流れ

RTX1210

RTX1210 RTX1210

RTX1210

RTX1210 RTX1210

lan2:172.16.0.

1

lan2:172.16.0.

1

lan2:172.16.1.1

lan2:172.16.1.1

lan2:172.16.2.1

lan2:172.16.2.1

7

モバイル接続サービス

拠点2

拠点1

フレッツ・VPN ワイド（NTT東日本）

モバイル事業者ネットワーク

ONU

ONU

lan1:192.168.241.1

usb1:172.16.10.3

＜正常時＞

拠点3

ONU

lan1:192.168.242.1

PC等 PC等 PC等 PC等

192.168.240.0/24

usb1:172.16.10.2

192.168.241.0/24

usb1:172.16.10.4

192.168.242.0/24

モバイル接続サービス

拠点2

拠点1

フレッツ・VPN ワイド（NTT東日本）

モバイル事業者ネットワーク

ONU

ONU

lan1:192.168.241.1

usb1:172.16.10.3

拠点3

ONU

lan1:192.168.242.1

PC等 PC等 PC等 PC等

192.168.240.0/24

usb1:172.16.10.2

192.168.241.0/24

usb1:172.16.10.4

192.168.242.0/24

＜エンド拠点(拠点2)光異常時＞

フレッツ・ＶＰＮ ワイド モバイルバックアップ構成

• エンド拠点側光の障害時は、障害のあった拠点のみが、モバイル側のインタフェース(usb1)から、センタ側拠点に対してメインとバックアップ用のトンネルを接続し直す動作となる

IPSecトンネル (メイン)

IPSecトンネル (バックアップ)※

※エンド拠点側アクセスは光、センタ拠点側アクセスはモバイル

IPSecトンネル (メイン)

IPSecトンネル (バックアップ)※

※エンド拠点側アクセスは光、センタ拠点側アクセスはモバイル

センタ-エンド間通信の流れ センタ-エンド間通信の流れ

RTX1210

RTX1210 RTX1210

RTX1210

RTX1210 RTX1210

lan2:172.16.0.

1

lan2:172.16.0.

1

lan2:172.16.1.1

lan2:172.16.1.1

lan2:172.16.2.1

lan2:172.16.2.1

障害のないエンド拠点はゲートウェイは切り替わらない

ゲートウェイをモバイル側に切り替える

lo: 192.168.240.2lan1:192.168.240.1

lo: 192.168.240.2lan1:192.168.240.1

8

9

１．RTX1210の設定例(センタ:拠点1側) (1/3)

フレッツ・ＶＰＮ ワイド モバイルバックアップ構成

ゲートウェイの設定等 ip route change log onip route default gateway pp 1 filter 1 gateway pp 2 filter 2ip route 192.168.241.0/24 gateway tunnel 1 hide gateway tunnel 11 weight 0ip route 192.168.242.0/24 gateway tunnel 2 hide gateway tunnel 12 weight 0

LAN側I/Fの設定（lan1を使用）

ip lan1 proxyarp onip lan1 address 192.168.240.1/24ip loopback1 address 192.168.240.2/32

WAN(VPNワイド)側I/Fの設定（lan2を使用）

pp select 1pp keepalive interval 10 count=6pp always-on onpppoe use lan2pppoe auto disconnect offpp auth accept pap chappp auth myname [VPNワイド(拠点1)のユーザ名@企業識別子] [VPNワイド(拠点1)のパスワード]ppp lcp mru on 1454ppp ipcp ipaddress onppp ipcp msext onppp ccp type noneip pp nat descriptor 1pp enable 1

モバイル側I/Fの設定（usb1を使用）

pp select 2pp bind usb1pp keepalive interval 10 count=6pp always-on onpppoe auto disconnect offpp auth accept pap chappp auth myname [モバイル接続サービスユーザ名] [モバイル接続サービスパスワード]ppp lcp mru off 1792ppp lcp accm onppp lcp pfc onppp ipcp ipaddress onppp ipcp msext onppp ipv6cp use offip pp nat descriptor 11mobile auto connect onmobile access-point name kxm.iijmobile.jp cid=2mobile access limit length offmobile access limit time offpp enable 2

モバイル接続サービスのAPN名

タイプDの場合： kxm.iijmobile.jpタイプKの場合： k.iijmobile.jpタイプIの場合 ： h.iijmobile.biz

※赤字箇所は、とくに設計に応じて変更する必要のある設定値

10

１．RTX1210の設定例(センタ:拠点1側) (2/3)

フレッツ・ＶＰＮ ワイド モバイルバックアップ構成

IPSecトンネルの設定・拠点1-拠点2間通信用・メイン

tunnel select 1ipsec tunnel 1ipsec sa policy 1 1 esp aes-cbc sha-hmacipsec ike keepalive log 1 offipsec ike keepalive use 1 on heartbeat 10 6ipsec ike local address 1 192.168.240.1ipsec ike pre-shared-key 1 text test123ipsec ike remote address 1 anyipsec ike remote name 1 kyoten1-m key-idtunnel enable 1

IPSecトンネルの設定・拠点1-拠点3間通信用・メイン

tunnel select 2ipsec tunnel 2ipsec sa policy 2 2 esp aes-cbc sha-hmacipsec ike keepalive log 2 offipsec ike keepalive use 2 on heartbeat 10 6ipsec ike local address 2 192.168.240.1ipsec ike pre-shared-key 2 text test123ipsec ike remote address 2 anyipsec ike remote name 2 kyoten2-m key-idtunnel enable 2

IPSecトンネルの設定・拠点1-拠点2間通信用・バックアップ

tunnel select 11ipsec tunnel 11ipsec sa policy 11 11 esp aes-cbc sha-hmacipsec ike keepalive log 11 offipsec ike keepalive use 11 on heartbeat 10 6ipsec ike local address 11 192.168.240.2ipsec ike pre-shared-key 11 text test123ipsec ike remote address 11 anyipsec ike remote name 11 kyoten1-b key-idip tunnel tcp mss limit autotunnel enable 11

IPSecトンネルの設定・拠点1-拠点3間通信用・バックアップ

tunnel select 12ipsec tunnel 12ipsec sa policy 12 12 esp aes-cbc sha-hmacipsec ike keepalive log 12 offipsec ike keepalive use 12 on heartbeat 10 6ipsec ike local address 12 192.168.240.2ipsec ike pre-shared-key 12 text test123ipsec ike remote address 12 anyipsec ike remote name 12 kyoten2-b key-idip tunnel tcp mss limit autotunnel enable 12

11

１．RTX1210の設定例(センタ:拠点1側) (3/3)

フレッツ・ＶＰＮ ワイド モバイルバックアップ構成

フィルタ設定 ip filter 1 pass 192.168.240.1 *ip filter 2 pass 192.168.240.2 *ip filter 3 pass-log * * * *ip filter 200099 pass * 192.168.240.1 udp * 500ip filter 200100 pass * 192.168.240.1 esp * *ip filter 200101 pass * 192.168.240.1 udp * 4500ip filter 500000 restrict * * * * *

NAT設定 nat descriptor type 1 masqueradenat descriptor masquerade static 1 1 192.168.240.1 espnat descriptor masquerade static 1 2 192.168.240.1 udp 500nat descriptor masquerade static 1 3 192.168.240.1 udp 4500nat descriptor type 11 masqueradenat descriptor masquerade static 11 1 192.168.240.2 espnat descriptor masquerade static 11 2 192.168.240.2 udp 500nat descriptor masquerade static 11 3 192.168.240.2 udp 4500

DHCPの設定 dhcp service serverdhcp server rfc2131 compliant except remain-silentdhcp scope 1 192.168.240.3-192.168.240.191/24

IPSecの自動リフレッシュ設定

ipsec auto refresh on

USBドングルを使用する mobile use usb1 on

12

２．RTX1210の設定例(エンド:拠点2側) (1/3)

フレッツ・ＶＰＮ ワイド モバイルバックアップ構成

ゲートウェイの設定等 ip route change log onip route default gateway pp 1 hide gateway pp 2 weight 0ip route 192.168.240.0/24 gateway tunnel 1 hide gateway tunnel 11 weight 0ip route 192.168.242.0/24 gateway tunnel 1 hide gateway tunnel 11 weight 0ip keepalive 10 icmp-echo 20 6 192.168.240.2 ipsec-refresh-down=1,11

LAN側I/Fの設定（lan1を使用）

ip lan1 address 192.168.241.1/24ip lan1 proxyarp on

WAN(VPNワイド)側I/Fの設定（lan2を使用）

pp select 1pp keepalive use lcp-echopp keepalive interval 10 count=6pp always-on onpppoe use lan2pppoe auto disconnect offpp auth accept pap chappp auth myname [VPNワイド(拠点2)のユーザ名@企業識別子] [VPNワイド(拠点2)のパスワード]ppp lcp mru on 1454ppp ipcp ipaddress onppp ipcp msext onppp ccp type noneip pp nat descriptor 10pp enable 1

モバイル側I/Fの設定（usb1を使用）

pp select 2pp bind usb1pp keepalive interval 10 count=6pp always-on onpp auth accept pap chappp auth myname [モバイル接続サービスユーザ名] [モバイル接続サービスパスワード]ppp lcp mru off 1792ppp lcp accm onppp lcp pfc onppp ipcp ipaddress onppp ipcp msext onppp ipv6cp use offip pp nat descriptor 10mobile auto connect onmobile access-point name h.iijmobile.biz cid=2mobile access limit length offmobile access limit time offpp enable 2

モバイル接続サービスのAPN名

タイプDの場合： kxm.iijmobile.jpタイプKの場合： k.iijmobile.jpタイプIの場合 ： h.iijmobile.biz

13

２．RTX1210の設定例(エンド:拠点2側) (2/3)

フレッツ・ＶＰＮ ワイド モバイルバックアップ構成

IPSecトンネルの設定・拠点1-拠点2間通信用・メイン

tunnel select 1ipsec tunnel 1ipsec sa policy 1 1 esp aes-cbc sha-hmacipsec ike keepalive log 1 offipsec ike keepalive use 1 on heartbeat 10 6ipsec ike local address 1 192.168.241.1ipsec ike local name 1 kyoten1-m key-idipsec ike pre-shared-key 1 text test123ipsec ike remote address 1 172.16.0.1tunnel enable 1

IPSecトンネルの設定・拠点1-拠点2間通信用・バックアップ

tunnel select 11ipsec tunnel 11ipsec sa policy 11 11 esp aes-cbc sha-hmacipsec ike keepalive log 11 offipsec ike keepalive use 11 on heartbeat 10 6ipsec ike local address 11 192.168.241.1ipsec ike local name 11 kyoten1-b key-idipsec ike pre-shared-key 11 text test123ipsec ike remote address 11 172.16.10.2tunnel enable 11

センター拠点側に接続したモバイルSIMのIPアドレス(申込書に記載したもの)

14

２．RTX1210の設定例(エンド:拠点2側) (3/3)

フレッツ・ＶＰＮ ワイド モバイルバックアップ構成

フィルタ設定 ip filter 3 pass-log * * * *ip filter 200099 pass * 192.168.241.1 udp * 500ip filter 200100 pass * 192.168.241.1 esp * *ip filter 200101 pass * 192.168.241.1 udp * 4500ip filter 500000 restrict * * * * *

NAT設定 nat descriptor type 10 masqueradenat descriptor masquerade static 10 1 192.168.241.1 espnat descriptor masquerade static 10 2 192.168.241.1 udp 500nat descriptor masquerade static 10 3 192.168.241.1 udp 4500

DHCPの設定 dhcp service serverdhcp server rfc2131 compliant except remain-silentdhcp scope 1 192.168.241.2-192.168.241.191/24

IPSecの自動リフレッシュ設定

ipsec auto refresh on

ドングルを使用する mobile use usb1 on

15

3．RTX1210の設定例(エンド:拠点3側) (1/3)

フレッツ・ＶＰＮ ワイド モバイルバックアップ構成

ゲートウェイの設定等 ip route change log onip route default gateway pp 1 hide gateway pp 2 weight 0ip route 192.168.240.0/24 gateway tunnel 1 hide gateway tunnel 11 weight 0ip route 192.168.241.0/24 gateway tunnel 1 hide gateway tunnel 11 weight 0ip keepalive 10 icmp-echo 20 6 192.168.240.2 ipsec-refresh-down=1,11

LAN側I/Fの設定（lan1を使用）

ip lan1 address 192.168.242.1/24ip lan1 proxyarp on

WAN(VPNワイド)側I/Fの設定（lan2を使用）

pp select 1pp keepalive use lcp-echopp keepalive interval 10 count=6pp always-on onpppoe use lan2pppoe auto disconnect offpp auth accept pap chappp auth myname [VPNワイド(拠点3)のユーザ名@企業識別子] [VPNワイド(拠点3)のパスワード]ppp lcp mru on 1454ppp ipcp ipaddress onppp ipcp msext onppp ccp type noneip pp nat descriptor 10pp enable 1

モバイル側I/Fの設定（usb1を使用）

pp select 2pp bind usb1pp keepalive interval 10 count=6pp always-on onpp auth accept pap chappp auth myname [モバイル接続サービスユーザ名] [モバイル接続サービスパスワード]ppp lcp mru off 1792ppp lcp accm onppp lcp pfc onppp ipcp ipaddress onppp ipcp msext onppp ipv6cp use offip pp nat descriptor 10mobile auto connect onmobile access-point name h.iijmobile.biz cid=2mobile access limit length offmobile access limit time offpp enable 2

モバイル接続サービスのAPN名

タイプDの場合： kxm.iijmobile.jpタイプKの場合： k.iijmobile.jpタイプIの場合 ： h.iijmobile.biz

16

■2-1-3 ルータの設定例(エンド:拠点3側) (2/3)

フレッツ・ＶＰＮ ワイド モバイルバックアップ構成

IPSecトンネルの設定・拠点1-拠点3間通信用・メイン

tunnel select 1ipsec tunnel 1ipsec sa policy 1 1 esp aes-cbc sha-hmacipsec ike keepalive log 1 offipsec ike keepalive use 1 on heartbeat 10 6ipsec ike local address 1 192.168.242.1ipsec ike local name 1 kyoten2-m key-idipsec ike pre-shared-key 1 text test123ipsec ike remote address 1 172.16.0.1tunnel enable 1

IPSecトンネルの設定・拠点1-拠点3間通信用・バックアップ

tunnel select 11ipsec tunnel 11ipsec sa policy 11 11 esp aes-cbc sha-hmacipsec ike keepalive log 11 offipsec ike keepalive use 11 on heartbeat 10 6ipsec ike local address 11 192.168.242.1ipsec ike local name 11 kyoten2-b key-idipsec ike pre-shared-key 11 text test123ipsec ike remote address 11 172.16.10.2tunnel enable 11

センター拠点側に接続したモバイルSIMのIPアドレス(申込書に記載したもの)

17

■2-1-3 ルータの設定例(エンド:拠点3側) (3/3)

フレッツ・ＶＰＮ ワイド モバイルバックアップ構成

フィルタ設定 ip filter 3 pass-log * * * *ip filter 200099 pass * 192.168.242.1 udp * 500ip filter 200100 pass * 192.168.242.1 esp * *ip filter 200101 pass * 192.168.242.1 udp * 4500ip filter 500000 restrict * * * * *

NAT設定 nat descriptor type 10 masqueradenat descriptor masquerade static 10 1 192.168.242.1 espnat descriptor masquerade static 10 2 192.168.242.1 udp 500nat descriptor masquerade static 10 3 192.168.242.1 udp 4500

DHCPの設定 dhcp service serverdhcp server rfc2131 compliant except remain-silentdhcp scope 1 192.168.242.2-192.168.242.191/24

IPSecの自動リフレッシュ設定

ipsec auto refresh on

ドングルを使用する mobile use usb1 on