marronです。

こたろー様、ご報告ありがとうございます。
プレミアムで必須のCTUが問題になっているのでしょうか？
YAMAHAのコールセンターではCTU以下でも利用できるとの回答だったのでしょうか？

光プレミアムを利用したVPNという記事は少なく、こたろー様の体験談が非常に参考になります。

今後ともよろしくお願いします。
プレミアム環境を
> 今日まで大阪の事務所に行っていました。
> とりあえずつながっているのですが、けっこうトンネルが切断されているみたいです。
> 不思議なのはIPsecでトンネルが確立されているのにPingが通らないとか・・・
>
> 一度SAを削除してから自動でつながるまで３０分以上かかったりと
> なんとなく安定しきれない感じです

こんにちは。
コールセンターの回答では、ＣＴＵ下でもグローバルＩＰをきちんと下ろしてくれれば、
問題なく使えるとの回答でした。
ＮＴＴ西の担当者は前のツリーで書いた設定をすればＲＴＸにグローバルアドレスを
下ろしてくれると言っておりました。

たしかにＩＰｓｅｃでトンネル構築できて通信確立できるのですが、朝出社すると
ステータスではＩＰｓｅｃが確立しているのにＰｉｎｇが通らなかったり、一度ルーターにログインして
ルーター内から一度Ｐｉｎｇを打つと元に戻ったりと今ひとつ安定して
動作してくれない状況です。

ＣＴＵとＲＴＸのファームアップをして若干良くなったのですが、
今もＳＡを削除すると再接続に３０分以上時間がかかります。
（ＮＴＴ東の光とテプコ光の組み合わせだと削除後すぐにつながります）

ＣＴＵの挙動がおかしいような気もしますが、どこに原因があるか
今ひとつわからない状態です。

またなにかわかりましたら報告します


> marronです。
>
> こたろー様、ご報告ありがとうございます。
> プレミアムで必須のCTUが問題になっているのでしょうか？
> YAMAHAのコールセンターではCTU以下でも利用できるとの回答だったのでしょうか？
>
> 光プレミアムを利用したVPNという記事は少なく、こたろー様の体験談が非常に参考になります。
>
> 今後ともよろしくお願いします。
> プレミアム環境を
> > 今日まで大阪の事務所に行っていました。
> > とりあえずつながっているのですが、けっこうトンネルが切断されているみたいです。
> > 不思議なのはIPsecでトンネルが確立されているのにPingが通らないとか・・・
> >
> > 一度SAを削除してから自動でつながるまで３０分以上かかったりと
> > なんとなく安定しきれない感じです

はじめまして。
私も光プレミアムでCTUの下にVPNルータを接続して
IPSECが接続できるか実験をしています。
こたろーさんと同様な症状でSAが張れてTunnelも
アップしているのに１０数分でpingが飛ばなくな
ってしまいます。CTUを再起動するとまた正常に
しばらく通信できるが相手側に双方向でpingが
飛ばなくなるの繰り返しでした。
このCTU（日立製）はIPSECパススルーに対応して
いないためこのような挙動をするのかもしれません。

IPSECはESPパケットで通信を行うためIPSECパス
スルーをサポートしていないCTUはESPを判別でき
ないのではないかと考えています。
UDPポート500とプロトコル番号50を静的アドレス
ポート変換で割り当てればESPパケットを正常に
転送できるのではないかと思いましたがCTUはプロ
トコル番号の指定ができません。

セキュリティ的に少し問題ですが下記の通りに
CTUの設定を変更すると18時間くらい安定して
接続しています。Expingでパケットロスが0.4%
です。

テストした環境

プレミアム側（固定IP）−−ファミリー100側（固定IP）
　　　　　　　RV082−−−−IX2010
MAINモードに設定しています。
CTUのIPアドレスは192.168.0.1
RV082は192.168.0.2

CTUの設定変更
静的アドレス変換設定（ポート指定）
優先
順位1 使用する　接続先1 LAN側端末IPアドレス 192.168.0.2
プロトコル UDP　WAN側ポート番号　500

優先
順位2 使用する　接続先1 LAN側端末IPアドレス 192.168.0.2
プロトコル 全プロトコル

静的アドレス変換設定（ポート変換）
ひょっとしてこれは必要ないかも

優先
順位1 適用する　接続先1 LAN側端末IPアドレス192.168.0.2
LAN側ポート番号 500　プロトコル　UDP WAN側　ポート番号500

ファイアウォール
詳細設定に変更
詳細設定画面
5個のルールを追加

1　許可 接続先1　IPv4　WAN→LAN　UDP 指定しない
すべてのアドレス すべてのポート 192.168.0.2　500
2　許可 接続先1　IPv4　WAN→LAN　50 指定しない
すべてのアドレス すべてのポート 192.168.0.2
すべてのポート
3　許可 接続先1 IPv4 LAN→WAN 50 指定しない
192.168.0.2 すべてのポート すべてのアドレス
すべてのポート
4　許可 接続先1 IPv4 LAN→WAN UDP 指定しない
192.168.0.2 すべてのポート すべてのアドレス 500

5　許可 接続先1 IPv4 LAN→WAN すべてのプロトコル 指定しない
192.168.0.2 すべてのポート すべてのアドレス すべてのポート

上記のようにUDP500とプロトコル番号50を双方向で
192.168.0.2への通信を許し、192.168.0.2から全ての
通信を許す設定を行いました。
いらない設定があると思うのでもう少しフィルタを
絞って実験してみます。

とりあえず今のところ通信はできているようです。
こたろーさんも是非トライしてみて下さい。
プレミアムの環境でIPSECがまともに動いたという
実績を他に見ないし。固定IP8サービスでunnumberedなら
苦労せずに接続できると思います。

> たしかにＩＰｓｅｃでトンネル構築できて通信確立できるのですが、朝出社すると
> ステータスではＩＰｓｅｃが確立しているのにＰｉｎｇが通らなかったり、一度ルーターにログインして
> ルーター内から一度Ｐｉｎｇを打つと元に戻ったりと今ひとつ安定して
> 動作してくれない状況です。
>
> ＣＴＵの挙動がおかしいような気もしますが、どこに原因があるか
> 今ひとつわからない状態です。
>
> またなにかわかりましたら報告します

> 静的アドレス変換設定（ポート変換）
> ひょっとしてこれは必要ないかも
> 5　許可 接続先1 IPv4 LAN→WAN すべてのプロトコル 指定しない
> 192.168.0.2 すべてのポート すべてのアドレス すべてのポート

とりあえず上記２個を削除して実験してみました。
問題なさそうです。
ファイアーウォール設定を中にしてテストしています。
たぶん問題は無いと思います。

明日にでもプレミアム側をセンターにしてアグッレシブモード
で接続して通信が安定するかテストしてみることにします。

はじめまして。q様

marronです。
詳しい情報提供ありがとうございます。

私自身、光プレミアム及びCTUを拝見したことがありませんのが
光プレミアムでVPN構築を考えている方には大変よい情報になるかと思います。

今後ともよろしくお願いいたします。
> > 静的アドレス変換設定（ポート変換）
> > ひょっとしてこれは必要ないかも
> > 5　許可 接続先1 IPv4 LAN→WAN すべてのプロトコル 指定しない
> > 192.168.0.2 すべてのポート すべてのアドレス すべてのポート
>
> とりあえず上記２個を削除して実験してみました。
> 問題なさそうです。
> ファイアーウォール設定を中にしてテストしています。
> たぶん問題は無いと思います。
>
> 明日にでもプレミアム側をセンターにしてアグッレシブモード
> で接続して通信が安定するかテストしてみることにします。

> はじめまして。q様
>
> marronです。
> 実に詳しい為になる情報提供ありがとうございます。
>
> 私自身、光プレミアム及びCTUを拝見したことがありませんのが
> 光プレミアムでVPN構築を考えている方には大変よい情報になるかと思います。
>
> 今後ともよろしくお願いいたします。

こちらこそよろしくお願いいたします。

私自身も光プレミアムの事例が少ないのでVPNが組めるのか
どうかもわからない状態でした。
CTUの詳細な仕様が見えないので非常に困りました。
IPSECを利用してVPNは組めないだろうと予測していました
が条件によってはできそうです。

＞プレミアム側をセンターにしてアグッレシブモード
で接続して通信が安定するかテストしてみることにします。

これを先ほどやってみましたがNGでした。
IPSECのネゴシェーションLOGを見ると拠点側にセンター側の
ローカルアドレス192.168.0.2が返ってくるためIPSECが確立
しませんでした。

センター側RV082、拠点側RV042という環境でテストを実施
しました。本当はNECのIX同士でテストしたかったのですけど。

拠点側をプレミアムサービスを利用してセンター側はCTUを
使わないサービスを使うことでIPSECによるVPNがなんとか
できそうですが。
プレミアムサービスで複数固定IPを利用すると確実にVPN
が組めるのではないかと思います。

> ファイアーウォール設定を中にしてテストしています。
> たぶん問題は無いと思います。

ファイアーウォール設定を中にすると通信が安定しませんでした。
結局、詳細設定に戻しました。

qさん　こんにちは

情報のご提供ありがとうございました。
月末に大阪に行きますのでさっそく試してみます。
貴重な情報ありがとうございました

> > ファイアーウォール設定を中にしてテストしています。
> > たぶん問題は無いと思います。
> > ファイアーウォール設定を中にすると通信が安定しませんでした。
> 結局、詳細設定に戻しました。

> qさん　こんにちは
>
> 情報のご提供ありがとうございました。
> 月末に大阪に行きますのでさっそく試してみます。
> 貴重な情報ありがとうございました

こたろーさん、こんばんは。

安定して通信できるといいですね。頑張って下さい。
結果を楽しみにして待っています。

私の環境でテストして駄目だったのが、フレッツ光プレミアムを
センター側（レスポンダー側）に持ってきてアグレッシブモード
の場合だとPHASE１が確立しませんでした。イニシエータ側に
CTU配下ルータのWAN側IPが返ってくるためIPアドレス相違でIPSEC
が確立しませんでした。
アグレッシブモードでIPアドレスの判別をしないルータであれば
IPSECが確立するのかもしれません。メーカによって細かい動きが
違うようで特に異機種間では問題が出ることが多々あります。

YAMAHAのルータでIPSECを張ったことがないのでRTXの動作はどう
なるのか私にはわかりません。

両者固定IPでメインモードだとなんとか安定して通信できて
います。それでもイニシエータは光プレミアム側です。

> 両者固定IPでメインモードだとなんとか安定して通信できて
> います。それでもイニシエータは光プレミアム側です。

ファミリー100側をイニシエータになるようにVPNルータの
電源をOFF/ONしてファミリー100側のPCからプレミアム側の
PCへPINGを打ち続けて見ました。ファミリー100側でも
イニシエータで接続できました。
RV042のアグレッシブモード時の動作がおかしいのかもしれません。
もしIXシリーズのルータを借りてこられたら同じ機種同士で
一度接続テストしてみることにします。

> こんにちは。
> コールセンターの回答では、ＣＴＵ下でもグローバルＩＰをきちんと下ろしてくれれば、
> 問題なく使えるとの回答でした。
> ＮＴＴ西の担当者は前のツリーで書いた設定をすればＲＴＸにグローバルアドレスを
> 下ろしてくれると言っておりました。
>
> たしかにＩＰｓｅｃでトンネル構築できて通信確立できるのですが、朝出社すると
> ステータスではＩＰｓｅｃが確立しているのにＰｉｎｇが通らなかったり、一度ルーターにログインして
> ルーター内から一度Ｐｉｎｇを打つと元に戻ったりと今ひとつ安定して
> 動作してくれない状況です。
>
> ＣＴＵとＲＴＸのファームアップをして若干良くなったのですが、
> 今もＳＡを削除すると再接続に３０分以上時間がかかります。
> （ＮＴＴ東の光とテプコ光の組み合わせだと削除後すぐにつながります）
>
> ＣＴＵの挙動がおかしいような気もしますが、どこに原因があるか
> 今ひとつわからない状態です。
>
> またなにかわかりましたら報告します

YAMAHAのRTXシリーズについての追記です。

今日まで気が付かなかったのですがRTXシリーズは
NAT-Traversalに対応しているようです。

http://www.rtpro.yamaha.co.jp/RT/docs/ipsec/spec.html#func10

コマンドはipsec ike esp-encapsulation で行うようです。
センター側、拠点側のRTXで設定をあわせておく必要があります。

NAT-Traversalを使えばCTUの静的アドレス変換を設定する
必要は無く、Firewall詳細設定にUDP500を双方向許可する
設定を追加すればNAT配下でIPSEC通信ができるかと思います。
ただCTUのSPIやNATテーブルのセッションが消えると通信が
途切れるかもしれません。
CTU配下のRTXから相手ルータのLANアドレスへPING監視を行うか
ipsec ike keepalive use コマンドでIKEキープアライブを
両サイドのRTXで有効にすればIPSEC通信が切断されにくい
かもしれません。RTXシリーズが手元に無いので実際の
動作確認はできていません。
PING監視はip keepaliveコマンドで設定してください。

時間があれば試してみてください＞こたろーさん

> 今日まで気が付かなかったのですがRTXシリーズは
> NAT-Traversalに対応しているようです。
>
> http://www.rtpro.yamaha.co.jp/RT/docs/ipsec/spec.html#func10
>
> コマンドはipsec ike esp-encapsulation で行うようです。
> センター側、拠点側のRTXで設定をあわせておく必要があります。
>
> NAT-Traversalを使えばCTUの静的アドレス変換を設定する
> 必要は無く、Firewall詳細設定にUDP500を双方向許可する
> 設定を追加すればNAT配下でIPSEC通信ができるかと思います。
> ただCTUのSPIやNATテーブルのセッションが消えると通信が
> 途切れるかもしれません。
> CTU配下のRTXから相手ルータのLANアドレスへPING監視を行うか
> ipsec ike keepalive use コマンドでIKEキープアライブを
> 両サイドのRTXで有効にすればIPSEC通信が切断されにくい
> かもしれません。RTXシリーズが手元に無いので実際の
> 動作確認はできていません。
> PING監視はip keepaliveコマンドで設定してください。

補足です。
光プレミアム側の相手側は固定グローバルIPが割り当てられて
いればNAT-Traversalが使えます。動的IPではできません。
光プレミアム側からIPSEC通信を開始する必要があるためです。

>
> YAMAHAのRTXシリーズについての追記です。
>
> 今日まで気が付かなかったのですがRTXシリーズは
> NAT-Traversalに対応しているようです。
>
> http://www.rtpro.yamaha.co.jp/RT/docs/ipsec/spec.html#func10
>
> コマンドはipsec ike esp-encapsulation で行うようです。
> センター側、拠点側のRTXで設定をあわせておく必要があります。
>
> NAT-Traversalを使えばCTUの静的アドレス変換を設定する
> 必要は無く、Firewall詳細設定にUDP500を双方向許可する
> 設定を追加すればNAT配下でIPSEC通信ができるかと思います。
> ただCTUのSPIやNATテーブルのセッションが消えると通信が
> 途切れるかもしれません。
> CTU配下のRTXから相手ルータのLANアドレスへPING監視を行うか
> ipsec ike keepalive use コマンドでIKEキープアライブを
> 両サイドのRTXで有効にすればIPSEC通信が切断されにくい
> かもしれません。RTXシリーズが手元に無いので実際の
> 動作確認はできていません。
> PING監視はip keepaliveコマンドで設定してください。
>
> 時間があれば試してみてください＞こたろーさん

qさん　情報ありがとうございます。
　ＲＴＸ所有者なのに自分で情報掘り出せなくて情けないっす（汗
　明後日から３日間大阪に行ってきますので試してみます。
　貴重な情報ありがとうございました

皆様のご意見大変参考にさせて頂いております。

私も今週末に
光プレミアム＋KDDI(IP1)Bフレッツ+KDDI(IP16)で
VPN構築を考えているのですが、光プレミアムの拠点の方に
悩んでいます。

使用しようとする機器は、両拠点とも、↓↓です。
http://www.fortinet.co.jp/products/telesoho.html(50Aと60)

上記製品は、NAT-Traversalに対応しているみたいなのですが、
光プレミアム拠点に関して、IPを１つしか取得していないのが
ネックになってくるのかな？と不安になっています。
(駆け出し技術者なもので、イメージが詳細に描けなくて・・・)

不勉強で、大変申し訳ございません。

CTUの設定変更＋NAT-Traversal機能を保有したルータで、
構築可能と考えてもよろしいのでしょうか？

(テスト機で、ローカル環境でNAT-Traversalの設定勉強中です・・・(涙))

> >
> > YAMAHAのRTXシリーズについての追記です。
> >
> > 今日まで気が付かなかったのですがRTXシリーズは
> > NAT-Traversalに対応しているようです。
> >
> > http://www.rtpro.yamaha.co.jp/RT/docs/ipsec/spec.html#func10
> >
> > コマンドはipsec ike esp-encapsulation で行うようです。
> > センター側、拠点側のRTXで設定をあわせておく必要があります。
> >
> > NAT-Traversalを使えばCTUの静的アドレス変換を設定する
> > 必要は無く、Firewall詳細設定にUDP500を双方向許可する
> > 設定を追加すればNAT配下でIPSEC通信ができるかと思います。
> > ただCTUのSPIやNATテーブルのセッションが消えると通信が
> > 途切れるかもしれません。
> > CTU配下のRTXから相手ルータのLANアドレスへPING監視を行うか
> > ipsec ike keepalive use コマンドでIKEキープアライブを
> > 両サイドのRTXで有効にすればIPSEC通信が切断されにくい
> > かもしれません。RTXシリーズが手元に無いので実際の
> > 動作確認はできていません。
> > PING監視はip keepaliveコマンドで設定してください。
> >
> > 時間があれば試してみてください＞こたろーさん
>
> qさん　情報ありがとうございます。
> 　ＲＴＸ所有者なのに自分で情報掘り出せなくて情けないっす（汗
> 　明後日から３日間大阪に行ってきますので試してみます。
> 　貴重な情報ありがとうございました

IP1でも、CTUのLAN側IPの払い出し設定と、
ルータのNAT-traversal機能でいけるらしいですね。

どのように設定するべきなのかは、
いまから探っている段階です。

> 皆様のご意見大変参考にさせて頂いております。
>
> 私も今週末に
> 光プレミアム＋KDDI(IP1)Bフレッツ+KDDI(IP16)で
> VPN構築を考えているのですが、光プレミアムの拠点の方に
> 悩んでいます。
>
> 使用しようとする機器は、両拠点とも、↓↓です。
> http://www.fortinet.co.jp/products/telesoho.html(50Aと60)
>
> 上記製品は、NAT-Traversalに対応しているみたいなのですが、
> 光プレミアム拠点に関して、IPを１つしか取得していないのが
> ネックになってくるのかな？と不安になっています。
> (駆け出し技術者なもので、イメージが詳細に描けなくて・・・)
>
> 不勉強で、大変申し訳ございません。
>
> CTUの設定変更＋NAT-Traversal機能を保有したルータで、
> 構築可能と考えてもよろしいのでしょうか？
>
> (テスト機で、ローカル環境でNAT-Traversalの設定勉強中です・・・(涙))
>

FortiGateは触ったことがほとんどないので詳しくはアドバイス
できませんが
　
http://kc.forticare.com/

ここの検索（左上のところ）でNAT　Traversalを入力して検索すると
FortiGate to SSH Sentinel IPSec VPNが表示されます。

http://kc.forticare.com/tmp/2005-11-21_4-56_9792_324_FortiGate_to_SSH_Tech_Note_4_September_2003.pdf

18ページのNAT-Traversal　enableを両方のFortiGateで設定するか
もしくはセンター側のNAT-Traversalをenableに設定するとできる
かもしれません。
NAT-Traversal対応VPN機器が手元にありませんのでテスト
できないので自信のないアドバイスで申し訳ありません。
設定例にNATルータ下にFortiGateを置いた例を見つけられ
無かったので推測でしかレスできなくて申し訳ないです。

テスト環境で動作検証してみて結果を教えてくださいね。

とりあえず実際の環境でVPNができても安定して
通信ができないと使い物になりませんので両サイトの
FortiGateの電源を片方ずつOFF/ONしたりしてVPN接続
ができるかいろいろとテストしてみて下さい。
1時間以上無通信状態にしてIPSECが双方向で張れるか
試験してみて下さい。

> CTUの設定変更＋NAT-Traversal機能を保有したルータで、
> 構築可能と考えてもよろしいのでしょうか？

私がテストした環境は両サイトともNAT-Traversal機能を
保有していないルータでテストしました。
機種はNECのIX2000シリーズです。

NAT-Traversalを使うならCTUの設定変更は必要無いとは
思うんですが。
CTUのデフォルトのアクセスフィルタがOUT方向でUDP化
されたIPSECパケットを遮断していないのであれば設定
変更は必要ないかと。

古河のfitelnetも参考にしてみてください。
http://www.furukawa.co.jp/fitelnet/f/nat-traversal.html

q様

丁寧なアドバイス大変有難うございました。
このような掲示板がある事と、ご自身の業務があるにも関わらず、
丁寧なアドバイスをして頂ける方がいらっしゃることに大変感激しております。

その後の経過と、今後の方の為にも
私で調査した内容を記載しておきます。

1:"NTT西日本お客様の声担当"からの回答
お問合せのＶＰＮ機能は、フレッツ・光プレミアムシリーズでは
ご利用が不可となっていますので、従来のＢフレッツ・ファミリー１００又はＢフレッツ・ベーシックタイプ等でご利用をお願いいたします。

　ＣＴＵの代わりに市販のルータの接続は出来ません。
光プレミアム回線はＩＰｖ６網（アドレスが１２８ビット）で、従来のＢフレッツ回線はＩＰｖ４（アドレス３２ビット）の為ＶＰＮ（３２ビット）はご利用がいただけません

2：0120-202-242(NTT西日本　営業さんが担当されてるそうです)
動作保証はありませんが、VPNを構築するには、次の2点です。
1>固定IP複数個の取得。
2>NAT-traversal対応機を使用し、CTU側でLAN側アドレスの払い出し設定の変更を行ってください。

ここで、1の回答の意味は分かったのですが、
2の仕組みについて、イマイチ理解出来なかった為、
0120-248995(IPカスタマーサポート)へも連絡を入れました。

3：0120-248995の回答
どうも、0120-202-242が回答するとは思わなかったらしく
色々調べて下さいまして、両者とも光プレミアム回線を使った場合の
VPN構築方法の検証資料を持っているみたいでした。(正式公表はしていないみたいですが・・・)

結果からいうと、・・・
お客様にBフレッツベーシックの回線に変更して頂いた次第です。
工事日前でしたので、工事のオーダーをストップして頂いて、
回線サービス種別の変更に取り掛かりました。

本当の事をいいますと、
NAT-traversal機能について、実際にテストして確かめたかったのですが・・・

色々アドバイスを頂き誠に有難うございました。

今後も、こちらを参考させて頂きます。
宜しく御願いいたします。

追伸：今回始めてKDDIを利用したのですが、対応の遅さに、ちょっと疲れちゃいました☆私が窓口の人を色々質問攻めにしたせいですかね・・・。

> その後の経過と、今後の方の為にも
> 私で調査した内容を記載しておきます。

詳細なご報告有難うございました。

> 1:"NTT西日本お客様の声担当"からの回答
> お問合せのＶＰＮ機能は、フレッツ・光プレミアムシリーズでは
> ご利用が不可となっていますので、従来のＢフレッツ・ファミリー１００又はＢフレッツ・ベーシックタイプ等でご利用をお願いいたします。

光プレミアムサービスはONUに直接VPN機器を接続しても
通信できませんのでこのような回答なのでしょうね。

> 　ＣＴＵの代わりに市販のルータの接続は出来ません。
> 光プレミアム回線はＩＰｖ６網（アドレスが１２８ビット）で、従来のＢフレッツ回線はＩＰｖ４（アドレス３２ビット）の為ＶＰＮ（３２ビット）はご利用がいただけません

こちらのサイトに光プレミアムの解説がありますので参考に
してみてください。
http://tomocha.net/docs/bflets/

> 2：0120-202-242(NTT西日本　営業さんが担当されてるそうです)
> 動作保証はありませんが、VPNを構築するには、次の2点です。
> 1>固定IP複数個の取得。
> 2>NAT-traversal対応機を使用し、CTU側でLAN側アドレスの払い出し設定の変更を行ってください。
>
> ここで、1の回答の意味は分かったのですが、
> 2の仕組みについて、イマイチ理解出来なかった為、
> 0120-248995(IPカスタマーサポート)へも連絡を入れました。

2の意味はおそらくCTUをUnnumberd設定にすることだと
思われますがIP1固定アドレスサービスでは利用できない
ので複数固定IPのサービスが必要です。

LAN型払い出しの解説はフレッツグループの設定例に
ありました。参考にURLを載せておきます。
http://flets.com/customer/tec/groupaccess/connect/pdf/ar230.pdf

> 3：0120-248995の回答
> どうも、0120-202-242が回答するとは思わなかったらしく
> 色々調べて下さいまして、両者とも光プレミアム回線を使った場合の
> VPN構築方法の検証資料を持っているみたいでした。(正式公表はしていないみたいですが・・・)

資料持っているんですね。

> 結果からいうと、・・・
> お客様にBフレッツベーシックの回線に変更して頂いた次第です。
> 工事日前でしたので、工事のオーダーをストップして頂いて、
> 回線サービス種別の変更に取り掛かりました。

回線種別を光プレミアム以外へ変更するほうが確実ですね。
私は社内にVPNを構築する時は光プレミアムを採用しない
ように通達しました。動作検証が取れれば解除するかも
しれませんがCTUが付く為障害切り分けが面倒になるので
光プレミアムで構築するのは避けたいです。

> 本当の事をいいますと、
> NAT-traversal機能について、実際にテストして確かめたかったのですが・・・

納期が差し迫っていれば難しいですね。

もし時間があれば簡単な構成（PPPoEを使わず）で
FortiGate間にBBルータを置いてSTATICでIPを
振ってテストを行えば動作検証ができます。

　PC(A)---FG60----BBルータ------FG50---PC(B)

PC（A)　　 　192.168.1.2/24
FG60　 LAN側 192.168.1.1/24
WAN側 220.1.1.1/24
BBルータ WAN側 220.1.1.2/24
LAN側 192.168.24.1/24
FG50 WAN側 192.168.24.2/24
LAN側 192.168.2.1/24
PC(B) 192.168.2.2/24

上記のような構成でブローバンドルータをCTUに見立てて
STATIC IPでアドレスを振ってテストすればいいかと思います。

NAT-traversal対応機器が手元にあれば自分でテストして
みるんですけど。

> 今後も、こちらを参考させて頂きます。
> 宜しく御願いいたします。
こちらこそ宜しくお願いします。

marronです。

＞＞ちくさ様
はじめまして。
光プレミアムでのVPN構築で参考になる実体験ありがとうございます。

＞＞q様
いつも当掲示板で的確なアドバイスありがとうございます。
光プレミアムでのVPN構築した経験が無く頭が下がります。

今後ともよろしくお願い致します。
> > その後の経過と、今後の方の為にも
> > 私で調査した内容を記載しておきます。
>
> 詳細なご報告有難うございました。
>
> > 1:"NTT西日本お客様の声担当"からの回答
> > お問合せのＶＰＮ機能は、フレッツ・光プレミアムシリーズでは
> > ご利用が不可となっていますので、従来のＢフレッツ・ファミリー１００又はＢフレッツ・ベーシックタイプ等でご利用をお願いいたします。
>
> 光プレミアムサービスはONUに直接VPN機器を接続しても
> 通信できませんのでこのような回答なのでしょうね。
>
> > 　ＣＴＵの代わりに市販のルータの接続は出来ません。
> > 光プレミアム回線はＩＰｖ６網（アドレスが１２８ビット）で、従来のＢフレッツ回線はＩＰｖ４（アドレス３２ビット）の為ＶＰＮ（３２ビット）はご利用がいただけません
>
> こちらのサイトに光プレミアムの解説がありますので参考に
> してみてください。
> http://tomocha.net/docs/bflets/
>
> > 2：0120-202-242(NTT西日本　営業さんが担当されてるそうです)
> > 動作保証はありませんが、VPNを構築するには、次の2点です。
> > 1>固定IP複数個の取得。
> > 2>NAT-traversal対応機を使用し、CTU側でLAN側アドレスの払い出し設定の変更を行ってください。
> >
> > ここで、1の回答の意味は分かったのですが、
> > 2の仕組みについて、イマイチ理解出来なかった為、
> > 0120-248995(IPカスタマーサポート)へも連絡を入れました。
>
> 2の意味はおそらくCTUをUnnumberd設定にすることだと
> 思われますがIP1固定アドレスサービスでは利用できない
> ので複数固定IPのサービスが必要です。
>
> LAN型払い出しの解説はフレッツグループの設定例に
> ありました。参考にURLを載せておきます。
> http://flets.com/customer/tec/groupaccess/connect/pdf/ar230.pdf
>
> > 3：0120-248995の回答
> > どうも、0120-202-242が回答するとは思わなかったらしく
> > 色々調べて下さいまして、両者とも光プレミアム回線を使った場合の
> > VPN構築方法の検証資料を持っているみたいでした。(正式公表はしていないみたいですが・・・)
>
> 資料持っているんですね。
>
> > 結果からいうと、・・・
> > お客様にBフレッツベーシックの回線に変更して頂いた次第です。
> > 工事日前でしたので、工事のオーダーをストップして頂いて、
> > 回線サービス種別の変更に取り掛かりました。
>
> 回線種別を光プレミアム以外へ変更するほうが確実ですね。
> 私は社内にVPNを構築する時は光プレミアムを採用しない
> ように通達しました。動作検証が取れれば解除するかも
> しれませんがCTUが付く為障害切り分けが面倒になるので
> 光プレミアムで構築するのは避けたいです。
>
> > 本当の事をいいますと、
> > NAT-traversal機能について、実際にテストして確かめたかったのですが・・・
>
> 納期が差し迫っていれば難しいですね。
>
> もし時間があれば簡単な構成（PPPoEを使わず）で
> FortiGate間にBBルータを置いてSTATICでIPを
> 振ってテストを行えば動作検証ができます。
>
> 　PC(A)---FG60----BBルータ------FG50---PC(B)
>
> PC（A)　　 　192.168.1.2/24
> FG60　 LAN側 192.168.1.1/24
> WAN側 220.1.1.1/24
> BBルータ WAN側 220.1.1.2/24
> LAN側 192.168.24.1/24
> FG50 WAN側 192.168.24.2/24
> LAN側 192.168.2.1/24
> PC(B) 192.168.2.2/24
>
> 上記のような構成でブローバンドルータをCTUに見立てて
> STATIC IPでアドレスを振ってテストすればいいかと思います。
>
> NAT-traversal対応機器が手元にあれば自分でテストして
> みるんですけど。
>
> > 今後も、こちらを参考させて頂きます。
> > 宜しく御願いいたします。
> こちらこそ宜しくお願いします。

> いつも当掲示板で的確なアドバイスありがとうございます。
> 光プレミアムでのVPN構築した経験が無く頭が下がります。
>
> 今後ともよろしくお願い致します。

こちらこそよろしくお願い致します。

>>　2NAT-traversal対応機を使用し、CTU側でLAN側アドレスの払い出　し設定の変更を行ってください。
> > > 2の仕組みについて、イマイチ理解出来なかった為、
> > > 0120-248995(IPカスタマーサポート)へも連絡を入れました。
> >
> > 2の意味はおそらくCTUをUnnumberd設定にすることだと
> > 思われますがIP1固定アドレスサービスでは利用できない
> > ので複数固定IPのサービスが必要です。

申し訳ありません。勘違いしていましたので訂正します。
CTUの設定画面を改めて見ていて気が付きました（汗）

DHCPサーバ機能設定（LAN側固定IP払い出し）
VPN機器のWAN側MACアドレスとIPアドレスを入力して
割り振られるIPアドレスを固定することだと思われます。

> NAT-traversal対応機器が手元にあれば自分でテストして
> みるんですけど。

NAT-traversal対応機器を入手したので光プレミアム環境で
接続テストをやってみました。
他のサイトにも同じ内容を書き込んでいますがこちらのサイトにも
情報を掲載しておきます。

リンクを張っておきます。

http://www.techogen.org/isp/treebbs.cgi?act=artsel&tree=116&art=1136088422

CTUのファイアウォール詳細設定でUDP 500、4500を
通すように設定しておきます。

テストで使用した機器等
ZYXEL　ZyWALL P1　2台
センチュリー・システムズ　XR-510/C
VPNクライアントソフト　DIT　NET-G（評価版）

固定IP側はBフレッツファミリー100

構成1　ZyWALL P1---internet---CTU---ZyWALL P1
IKEポリシー内のNAT Traversalにチェックを両方のP1に
設定することでMAIN　modeでIPSEC接続できます。
ちなみにaggressive modeでも接続できました。

設定のポイント
固定IP側　VPN GATEWAY POLICY EDIT
　　　　　My ZyWALL　固定IPアドレスを設定
　　　　Remote Gateway Address　0.0.0.0
CTU側 　 My ZyWALL　0.0.0.0
　　　　Remote Gateway Address　相手の固定IPを設定

構成2　XR510C---internet---CTU---ZyWALL P1
XR510Cは本装置の設定にあるNAT Traversalを使用するに
設定を変更します。
aggressive modeにしてリモート側IDをuser-fqdnを設定
することで接続できました。

構成3　XR510C---internet---CTU---NET-G
こちらもaggressive modeにしNET-Gの詳細設定にある
詳細オプションNAT装置を経由するにチェックを入れて
その下のNAT-Tにチェックが入っていれば接続可能でした。

光プレミアムでNAT-traversalを使ってIPSEC VPNを
構築する場合はプレミアム側は動的IPのサービスで
十分です。固定IP取っても意味が無いと思います。
またIPSECのセッション開始は常に光プレミアム側になる
ためPING監視機能等を持っているVPN装置を推奨します。

その他のVPN機器もNAT-traversal対応なら光プレミアムで
IPSECを構築できるかと思われます。

私の環境ではとりあえず安定しIPSEC接続しているようです。

> qさん　情報ありがとうございます。
> 　ＲＴＸ所有者なのに自分で情報掘り出せなくて情けないっす（汗
> 　明後日から３日間大阪に行ってきますので試してみます。
> 　貴重な情報ありがとうございました

こたろーさんへ
もしまだ見ていらっしゃいましたらテスト結果が駄目でも
ぜひ結果を教えて下さいね。

重要な部分を編集後したCONFIGを掲載して頂いたら
（パスワード、固定IPアドレスやPREKEY等を架空のものにして）
アドバイスできるかもしれません。
実記が無いので変更箇所しかアドバイスできませんが
CONFIGを確認してみます。