11月 042010
 

同じネットワーク帯でVPNをやる場合には、以下の2通りがあるみたい。

  1. out band NAT
    双方向でNATをする方法。拠点間VPNをする場合で、IPが重なった場合にやる。L2-VPNではない。
  2. Proxy ARP
    Proxy ARPを使用することで、L2でのVPNを行う。できるけど、相手側のIPを全て指定しないといけない。

L2VPNだと、Proxy ARPを使う方法になるのだが、対向側に設定しているIPを全て指定しないといけない。DHCPなどで配布している場合には、DHCPを転送しない設定(arp forward)を行い、対向側のFortigateでDHCP配布などして、IPレンジの調整する必要がある。

どちらにしても、かなりいけてない設定となるし、Fortigateの最大値によると200がVDOMでの最大値なので、24ビットマスクだと、200と54個での分割が最大になってしまう。

うーん、他にいい方法はないのだろうか・・・。

FortiGate導入ガイド―UTM製品の導入を考える人のために