Network Users' Group ``wheel'' / Dai ISHIJIMA's Page / RTシリーズルータ /
VPNを使わずにビデオ会議システムをつなぐ
構成| NATは面倒?| 前提条件| もしVPNが使えるなら| 設定例| Polycom設定| テスト|
PPTPでVPN2台のRTをPPTP接続PPTPを通すipfwの設定
IPsecでVPNRTとBSDをIPsecで接続

初版: 2008-06-15
最終更新日: 2017-03-18


拠点間でビデオ会議システムを使う

〜 VPNを使わずNATの内側にPolycom(ポリコム)を設置 〜
あなたは ec2-3-238-195-81.compute-1.amazonaws.com (3.238.195.81) から
IPv4 でアクセスしています。
IPv6も使ってみませんか。
Zoomのほうが楽かもしれませんねぇ…(2020-04-01)

☆ネットワーク構成

固定IPアドレスを使っている二つの拠点間で ビデオ会議システム(Polycom)を使う際の設定例を紹介します。
                +---- Internet ----+
                |                  |
                |                  |
    172.16.32.55|                  |172.16.32.65 (Global, fixed IP)
(LAN2[WAN])+---------+        +---------+(LAN2[WAN])
           |RT series|        |RT series| ↑NAT/masquerade
(LAN1[LAN])+---------+        +---------+(LAN1[LAN])
     192.168.1.1|                   |192.168.0.1
                |                   |
  192.168.1.0/24|                   |192.168.0.0/24
 Office-A +--+--+-----+       +-----+--+--+ Office-B
             |                         |
             |192.168.1.155            |192.168.0.165
         +-------+                 +-------+
         |Polycom|                 |Polycom|
         +-------+                 +-------+


☆ビデオ会議のNAT越えは面倒?

Polycomなどのビデオ会議システムで使われているH.323プロトコルは、 そのペイロードにIPアドレスが埋め込まれるため、 NATとの相性はよくないみたいです。 Polycomでは、設定よってNATの内側に配置することが可能ですが、 同じH.323を使うWindows Netmeetingなどでは、 そのような設定はないみたいです。

場合によっては、ビデオ会議システムを利用する拠点間を IPsecなりPPTPなりを使ってVPNでつないでしまうという方法が 簡単かもしれません。 ただし、接続先が増えていくと、いちいちVPNを設定するのは面倒です。

もっとも最近は、ASP型のビデオ会議システムも手軽に使えるようになり、 そういったシステムではNATの有無にかかわらず利用できることが多いようです。 ただし、防火壁の設定がガチガチだと使えないケースもあるようですが、 HTTP/HTTPSがとおる一般的な環境では問題も少ないでしょう。 ただし、Polycomのようなアプライアンス製品のほうが、 画像や音声の品質がよかったり、 利用者にとっては使い勝手がよかったりするかもしれません。


☆手短にいうと何をしたらいいのか

Polycomには以下の設定を行います。 ルータには以下の設定を行います。


☆前提条件

二つの拠点(図の左: Office-A、右: Office-B)では、 固定IPアドレスをもらい、 YAMAHA RTシリーズルータを使って FTTHやADSLなどでインターネットに接続しているとします。


☆もしVPNで直結されているなら

本ページの主旨からは外れますが、 二つの拠点(図の左: Office-A、右: Office-B)がVPNでつながっており、 192.168.0.0/24と192.168.1.0/24で直接(VPN経由)でパケットが届くなら このページに書いてあるようなPolycomの設定はむしろ不要です。 以下の設定は触らない(チェックを外す、設定しない)ほうがいいでしょう。


☆設定例

とりあえず左側だけ示します。 右側は適当にIPアドレスを変えてください。
	login password *
	administrator password *
	console character ascii
	console columns 200
	console lines infinity
	ip route default gateway pp 1
	ip filter source-route on
	ip filter directed-broadcast on
	ip lan1 address 192.168.1.1/24
	pp select 1
	 pp always-on on
	 pppoe use lan2
	 pp auth accept pap chap
	 pp auth myname * *
	 ppp lcp mru on 1454
	 ppp ipcp ipaddress on
	 ppp ccp type none
	 ip pp mtu 1454
	 ip pp secure filter in 1000 1010 … 4000 4010 4020 4030 … 9999
	 ip pp secure filter out 1000 1010 … 後略
	 ip pp nat descriptor 1
	 pp enable 1
	ip filter 1000 reject 127.0.0.0/8 * * * *
	ip filter 1010 reject * 127.0.0.0/8 * * *
	ip filter 1100 reject 192.168.0.0/16 * * * *
	ip filter 1110 reject * 192.168.0.0/16 * * *
	ip filter 1200 reject 172.16.0.0/12 * * * *
	ip filter 1210 reject * 172.16.0.0/12  * * *
	ip filter 2000 reject * * udp,tcp 135 *
	ip filter 2010 reject * * udp,tcp * 135
	ip filter 2100 reject * * udp,tcp netbios_ns-netbios_ssn *
	ip filter 2110 reject * * udp,tcp * netbios_ns-netbios_ssn
	ip filter 2200 reject * * udp,tcp 445 *
	ip filter 2210 reject * * udp,tcp * 445
	…
	ip filter 4000 pass * 192.168.1.155 tcp,udp * 1720
	ip filter 4010 pass * 192.168.1.155 tcp,udp 3200-3300
	ip filter 4020 pass * 192.168.1.155 icmp
	ip filter 4030 pass * 192.168.1.155 rsvp
	…
	ip filter 9999 reject * * * * *
	nat descriptor type 1 masquerade
	nat descriptor address outer 1 172.16.32.55
	nat descriptor masquerade static 1 1 192.168.1.155 tcp 1720
	nat descriptor masquerade static 1 2 192.168.1.155 udp 1720
	nat descriptor masquerade static 1 3 192.168.1.155 tcp 3200-3300
	nat descriptor masquerade static 1 4 192.168.1.155 udp 3200-3300
	nat descriptor masquerade static 1 5 192.168.1.155 rsvp
	syslog notice on
	dhcp service server
	dhcp scope 1 192.168.1.2-192.168.1.126/24
	dhcp server rfc2131 compliant except remain-silent
	dns private address spoof on


☆Polycomの設定

設定メニューから、 「ファイアウォール/LAN接続」などの設定画面を呼び出し、 以下のような設定を行います。 設定画面は機種によって微妙に異なるかもしれません。 あとはいろいろ試してみてください。

ViewStation SP PVS-1419あたりだと、設定メニュー画面は、 最初の画面→ システム情報→ 管理者設定→ LAN/H.323→ H.323→QoS→ QoS/ファイアウォール、 の順に呼び出します。

RTシリーズがUPnP対応モデルなら、 「NATはUPnP対応」という設定がいいのかもしれませんが、 てもとにはそういうのはない(あるいはUPnPは使っていない)ので、 よくわかりません(^^;


☆テスト

Polycomでは「www.polycom.com/videotest」に テスト用の接続先リストを公開しているようです。 適当に近そうなところにつないでみるといいでしょう。

それぞれテスト用の接続先にうまくつながるようであれば、 Office-AからOffice-Bへコールしたり、次はその逆と試してみましょう。 このとき、片方からしか呼び出せない、 片方からの音声や映像が出ない(あるいは品質が非常に悪い)場合は、 「双方の」ルータおよび「双方の」Polycomの設定を再確認しましょう。

テスト用アクセス先


☆トラブル発生時には

このような相互接続システムでトラブルが発生すると、 「こっちは間違ってない」、「そっちの設定がヘンなんだろう」と 不毛な議論が起こることがあります。 特に、双方の設定を別の人が行った場合にそうなることが多いようです。 なお、これはビデオ会議システムに限ったことではありません。

トラブルが発生したときは、冷静に何が原因なのかを調べる必要があります。 たとえば、ビデオ会議システムとLANの間に リピータハブ (スイッチはダメです。高級品でポートフォワーディング機能があれば別ですが) を接続して、 それに*BSDマシンやLinuxマシンをつないでtcpdumpして、 正常にパケットがやりとりされていることを確認しましょう。

パケットダンプには、

	# tcpdump -n -s 0 ether host PolycomのMACアドレス
みたいなコマンドを使うのがいいかもしれません。


☆RTシリーズ以外のルータだと

このページでは、RTシリーズルータのコンソールからの設定を示しました。 他社のブロードバンドルータでも、 ポートフォワーディングやポートマッピングと呼ばれる機能をがあれば、 その機種に応じて設定すればいいでしょう。 設定項目は、LAN側IPアドレス、プロトコル、ポート番号でリストアップすると、 こんな感じで。


☆関連リンク

  1. RTX1000とSL-Zaurus (C760) をIPsec/VPNで接続する例
  2. RTX1000とFreeBSD boxをIPsec/VPNで接続
  3. NetVolanteをPPTP VPNでつなぐ
  4. RT/RTA/RTXシリーズルータ関連情報
  5. LANケーブル導通テスタ
  6. ハードディスク消去ツール「wipe-out」



ご質問などありましたらお気軽に