4G over IPSec VPN

Strong_Coffee1872 · May 31, 2025, 11:30pm

皆さん、こんにちは。

4G回線でサイト間VPNを運用することは可能でしょうか?

新しい拠点を開設しているのですが、各サイトに固定回線が設置されるまでの短期間にVPNの迅速な解決策が必要です。

過去にはCisco DMVPNを展開しており、これを最初は4G上で稼働させ、その後固定回線に切り替えることができました。

モバイルネットワークに固定IPがないため、IPSec VPNを運用することは可能でしょうか？これにADVPNは関係しますか？

最終的には専用回線と4GをSD-WANとして稼働させる計画です。

JasonDJ · May 31, 2025, 11:30pm

ADVPNはDMVPNのより標準準拠した代替手段です。気軽な会話では、両者は同じ意味で使われます。

4Gキャリアが着信トラフィックを許可し（制限している場合もあります）、ルーターを直接IP接続できる（NATの背後ではない）場合、ADVPNを運用し、4Gサイトへのショートカットトンネルを作成することに問題はありません。ただし、NATやファイアウォールが存在する場合は複雑になることがあります。

いずれの場合でも、動的IPでも真のハブアンドスポークの運用に問題はなく、ダイヤルアップトンネルを使用し、ハブのIPだけが必要となります。

RobinDec · May 31, 2025, 11:30pm

いつでもダイヤルアップVPNを作成し、本部またはデータセンターのFortiGateに自動で接続させることが可能です。以下のリンクは参考になるかもしれません:

私たちは4G経由の(Mikrotik)ルーターを使用していますが、「NAT Traversal」設定を「FORCED」にしています。

jantari · May 31, 2025, 11:30pm

はい、可能です:

固定IP付きのデータプランを購入し、通常のサイト間VPNを設定
固定IPがなくてもダイヤルアップVPN設定を利用できる
キャリアからプライベートIPを得て、ダブルNATや類似の仕組みがある場合、IPSecは利用できませんが、SSLVPN（fortios 7.0+推奨）を使用することは可能

選択肢はたくさんあります。

JH6JH6 · May 31, 2025, 11:31pm

固定IPアドレスをモバイルネットワークで支払うことができ、適切な静的APNを設定できます。

私たちはSDWANでバックアップ用にFortinetデバイスを使用しており、サイトが新設されたときに光ファイバーが敷設されていなかった場合でも、約2か月間の主要な接続手段でした。

Anonymous · May 31, 2025, 11:31pm

簡潔な回答です——

4G回線でサイト間VPNを運用可能ですか？

はい。

モバイルネットワークに固定IPがない場合、IPSec VPNは可能ですか？

SIMカードに静的IPv4を購入してください。キャリアの担当者がサポートしてくれるはずです。

Furcas1234 · May 31, 2025, 11:31pm

今あなたがやろうとしていることを実行しています。こちらの4G LTEはひどく、ほとんど機能しません。プロバイダーから静的アドレスを持っており、以前はこれらでトンネルを作成しましたが、LTEリンクの品質が悪いため頻繁にダウンします。正直お勧めできませんが、可能です。

johsj · May 31, 2025, 11:31pm

ダイナミックトンネルを設定できます。リモートサイトからのみ確立可能ですが、非常にうまく機能します。多くの車両で4Gルーターを使用して中央のFortiGateに接続しています。

karuviel · May 31, 2025, 11:31pm

まず区別しましょう

固定パブリックIPはクラシックなS2S IPsecトンネルを作成可能にします。ダイナミックパブリックIPはロードウォーリアーまたはダイヤルアップIPSECと呼ばれます。
どちらも非常に効果的です。

キャリアがプライベートIPのみを提供する場合、「ダブルNAT」の問題に直面します。

もう一つのポイントは、LTEの接続が不安定な場合があり、トンネルの再確立に問題が生じることです。
解決策として、専用アンテナや異なるベンダーの専用LTEモデム（例：Mikrotik LHGG LTE6キット）を使用することがあります。

ToferFLGA · May 31, 2025, 11:31pm

私はキャリア提供のUSBスティックをFortigateのUSBスロットに差し込む方法を強くお勧めします。エクステンダよりもはるかにトラブルが少なく、WWAN USBよりも多くの問題を解決してきました。でも、どちらもIPsecは問題なく運用可能です。

retrogamer-999 · May 31, 2025, 11:31pm

スピークが4Gでダイヤルアップしている限り、問題ありません。静的でなくても大丈夫です。上にルーティングプロトコル（BGPやOSPFなど）を実行することも可能です。

Strong_Coffee1872 · May 31, 2025, 11:31pm

ダイヤルアップVPNについては知らなかったですが、これなら解決できそうです。いじってみます。ありがとうございます。

illiad1213 · May 31, 2025, 11:31pm

ちょうどこれについて言おうと思って来ました。私たちはDCにFortiGateを設置し、リモートサイトは4GとFortiExtendersを使用してダイヤルアップIPsecトンネルを確立しています。設定さえできれば、迅速にサイトを立ち上げる簡単な方法です（または必要な場合は長期的な解決策も）。

JasonDJ · May 31, 2025, 11:31pm

はい、申し訳ありませんがわかりにくかったかもしれません。4Gのスピークは問題ありませんが、ショートカットトンネルの構築には問題があるかもしれません。逆方向のトンネルは問題なく動作します。

4Gのハブはトラブルを招きやすいです。

SHFT101 · May 31, 2025, 11:31pm

私たちはこれを頻繁に行っており、非常にうまくいっています。IKEv2を使用し、フェーズ2で実際のサブネットを指定すれば良いです。

DennisV_EXNL · May 31, 2025, 11:31pm

IKEv2はフェーズ1です。可能ならIKEv2を推奨します。IKEv1はメインモード、もし動作しない場合はアグレッシブモードで使用します。
クライアント側のNAT traversalを有効にしてください。

Fortigate-Fortigateは 0.0.0.0 0.0.0.0 in フェーズ2で完全に動作します。これは単なるセレクタ／フィルタですが、適切なルートをトンネルに追加する必要があります。
もちろんポリシーも必要です。

SHFT101 · May 31, 2025, 11:31pm

IKEv2は確かにフェーズ1です。私は文章を少し誤って書きました。

Strong_Coffee1872 · May 31, 2025, 11:31pm

これは少し混乱させるドキュメントを見ていて、ちょっと混乱しています。

サテライトオフィスはHQとリモートゲートウェイのトンネルを持ち、HQもダイヤルアップとしてトンネルを持つのでしょうか？

Strong_Coffee1872 · May 31, 2025, 11:31pm

今朝これを設定し、正常に動作しています。とても便利です！