• 締切済み

RTX1100でのVPN設定

こんにちは。 当方5拠点をNTTフレッツグループで接続していましたが、VPN用の改変が出来ないとの事で新たにRTX1100を使用してVPNを構築したいと考えています。 ルーター設定担当者が不在になり、私はGUIベースのルーターしか触ったことがないので、試行錯誤しているのですが、やはり繋がらない現状になりましたので、ご教授ください。 A地点は、gateway(RTX1100):192.168.33.254 B地点は、gateway(RTX1100):192.168.44.254 A地点のConfigは、 ip route default gateway pp 1 ip route 192.168.44.0/24 gateway tunnel 1 ip lan1 address 192.168.33.254/24 pp select 1 pp always-on on pppoe use lan2 pp auth accept pap chap pp auth myname ID PASS ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp mtu 1454 ip pp nat descriptor 1 netvolante-dns hostname host pp server=1 TEST01.aa1.netvolante.jp pp enable 1 tunnel select 1 ipsec tunnel 101 ipsec sa policy 101 1 esp 3des-cbc md5-hmac ipsec ike pre-shared-key 1 text TEST ipsec ike remote address 1 any ipsec ike remote name 1 kyoten1 tunnel enable 1 nat descriptor type 1 masquerade ipsec auto refresh on dhcp service server dhcp scope 1 192.168.33.101-192.168.33.149/24 dns server pp 1 dns private address spoof on B地点のConfigは、 ip route default gateway pp 1 ip route 192.168.33.0/24 gateway tunnel 1 ip lan1 address 192.168.44.254/24 pp select 1 pp always-on on pppoe use lan2 pp auth accept pap chap pp auth myname ID PASS ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp mtu 1454 ip pp nat descriptor 1 pp enable 1 tunnel select 1 ipsec tunnel 101 ipsec sa policy 101 1 esp 3des-cbc md5-hmac ipsec ike local address 1 192.168.44.254 ipsec ike local name 1 kyoten1 key-id ipsec ike pre-shared-key 1 text TEST ipsec ike remote address 1 TEST01.aa1.netvolante.jp tunnel enable 1 nat descriptor type 1 masquerade nat descriptor masquerade static 1 1 192.168.44.254 udp 500 nat descriptor masquerade static 1 2 192.168.44.254 esp ipsec auto refresh on dhcp service server dhcp scope 1 192.168.44.101-192.168.44 dns server pp 1 dns private address spoof on 必要であればログもとってあります。 よろしくお願いいたします。

みんなの回答

  • 100ban
  • ベストアンサー率0% (0/4)
回答No.5

たぶんですが ネットボランチをしようしているのに、アグレッシブモードになってます。 どちらを使うのでしょうか? ネットボランチするのであれば トンネルの方のポイントはここでしょうか ipsec ike remote address 1 xxx.aa0.netvolante.jp ネットボランチに一行追加してみてください netvolante-dns use pp server=1 auto a/bでネットボランチ取得してみては? それとAの方に nat設定ないような気がします udp 500 と esp の設定追加してみては? 間違っていたらごめんなさい、自分も昔同じような間違いしてましたので゜ 試すときはsaveファイルを複製してから試してくださいね

参考URL:
http://www.rtpro.yamaha.co.jp/RT/FAQ/NetVolanteDNS/netvolante-dns-use-command.html
回答No.4

すでに解決済とは思いますが、他にもはまっている人がいましたら参考にしてください。細かいチェックはしていませんのでつっこみどころがあったら、頭の中で整理してください。 ポイント RTX1100でのVPN設定で 「両拠点をDDNSで設定可能です。」 基本的にはグローバルipをDDNSに置き換えるだけです。 今回は投稿設定にあわせて片方をanyにしていますが、両方DDNS指定でもOKです。yamahaのDDNSは安定 しているので困ることは無いと思います。10分でもとまると困るというのであれば本店をグローバ ルIPにするしかないと思います。 A地点は、gateway(RTX1100):192.168.33.254 B地点は、gateway(RTX1100):192.168.44.254 1100同士ならaes+shaがいいでしょう 1000はaesをソフト処理しますのでその場合は3des+shaを。 A地点のConfigは、 ip route default gateway pp 1 ip route 192.168.44.0/24 gateway tunnel 1 ip lan1 address 192.168.33.254/24 pp select 1 pp always-on on pppoe use lan2 pp auth accept pap chap pp auth myname ID PASS ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp mtu 1454 ip pp secure filter in 100 101 102 1000 1001 フィルタ群適用(番号は各自ご勝手に) ip pp secure filter out 100 101 102 .....同じく ip pp nat descriptor 1 netvolante-dns hostname host pp server=1 TEST01.aa1.netvolante.jp pp enable 1 tunnel select 1 tunnel name B-point ここは好みで ipsec tunnel 1  わかり易い番号 ipsec sa policy 1 1 esp 3des-cbc sha-hmac shaの方がいいでしょう ipsec ike keepalive log 1 off ipsec ike keepalive use 1 auto 本店はautoでいいでしょう ipsec ike remote address 1 any ipsec ike pre-shared-key 1 text TEST ipsec ike remote name 1 kyoten1 ip tunnel tcp mss limit auto yamaha同士なら必要ないかもしれません tunnel enable 1 ip filter 100 番あたりからでもいいです。フィルタ群を記述 pp用のフィルタだけでok ip filter 101 内容 ip filter 102 適当 ip filter 1000 pass * 192.168.33.254 udp * 500 必要 ip filter 1001 pass * 192.168.33.254 esp 必要 nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp 通常はこれで nat descriptor address inner 1 192.168.33.1-192.168.33.254 ルータを含めて nat descriptor masquerade static 1 1 192.168.33.1 udp 500 ルータ向け 必要 nat descriptor masquerade static 1 2 192.168.33.1 esp  必要 ipsec auto refresh on dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.33.101-192.168.33.149/24 dns server pp 1 dns private address spoof on B地点のConfigは、 ip route default gateway pp 1 ip route 192.168.33.0/24 gateway tunnel 1 ip lan1 address 192.168.44.254/24 pp select 1 pp always-on on pppoe use lan2 pp auth accept pap chap pp auth myname ID PASS ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp mtu 1454 ip pp secure filter in 100 102 103.....1000 1001フィルタ適用番(号は各自) ip pp secure filter out 100 102 103 .....同じく ip pp nat descriptor 1 pp enable 1 tunnel select 1 tunnel name A-point ここは好みで ipsec tunnel 1 ipsec sa policy 1 1 esp 3des-cbc sha-hmac ipsec ike keepalive log 1 off ipsec ike keepalive use 1 on 支店はonでいいでしょう ipsec ike local address 1 192.168.44.254 ipsec ike local name 1 kyoten1 key-id ipsec ike pre-shared-key 1 text TEST ipsec ike remote address 1 TEST01.aa1.netvolante.jp ip tunnel tcp mss limit auto tunnel enable 1 ip filter 1000 pass * 192.168.44.254 udp * 500 ip filter 1001 pass * 192.168.44.254 esp nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor address inner 1 192.168.44.1-192.168.44.254 nat descriptor masquerade static 1 1 192.168.44.254 udp 500 nat descriptor masquerade static 1 2 192.168.44.254 esp ipsec auto refresh on dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.44.101-192.168.44 dns server pp 1 dns private address spoof on

  • hirasaku
  • ベストアンサー率65% (106/163)
回答No.3

こんにちは。 hirasaku です。 できると思うんですけどね。 まず、インターネットVPNで ということでよろしいでしょうか? フレッツワイドだと若干Config違くなりますけど。 ちなみにNetvolanteDNSで拾ったFQDNには疎通ができるんですよね? 上記Configで足りないところ A拠点でESPとUDP500のNAT越えをさせていないですね。 nat descriptor masquerade static 1 1 192.168.33.254 udp 500 と nat descriptor masquerade static 1 2 192.168.33.254 esp をA拠点にのConfigに追加。 とりあえずこれだけでつながると思うんですけど・・・ まぁできれば動的IP同士ということでKeepaliveしておいたほうがいいですね。 双方のルータに ipsec ike keepalive use 1 on を追加。 KeepaliveのLogを残したくないたら ipsec ike keepalive log 1 off も追加。 B拠点にLocal Address指定しているので、 A拠点に ipsec ike local address 1 192.168.33.254 を追加。 あとはFilterを適用させてください。 ※Filterのかけ方を間違えるとつながらなくなるので注意 では。

  • maesen
  • ベストアンサー率81% (646/790)
回答No.2

>AB双方で独自にプロバイダ契約しており、インターネット接続も必要なのでNAT設定は必須です。 >が、「適切な」が私にとっては問題なので、もう少し勉強しなければなりませんね(汗) 申し訳ありませんが、「適切な」と書いたのはこのケースでNATの設定が出来ないと思いましたので、このように書きました。 今回やりたい動的IPでA地点の設定で、「自分側セキュリティ・ゲートウェイのIP アドレス」が動的なグローバルIPになります。 (こうしないとB地点での相手側のセキュリティ・ゲートウェイ設定と合わなくなるため) NAT環境下でIPSecを行うためには、ルータ自身がIPSecの通信を占有するため、この「自分側セキュリティ・ゲートウェイのIP アドレス」に対して静的IPマスカレードを設定する必要があります。 しかし、マニュアルを見る限り静的IPマスカレードにはIPアドレスを指定しますが動的IPなので設定が出来ません。 このようなことから、YAMAHAルータの公式Webサイトでは動的IP-動的IPは設定出来るとは書いていないのかなと思います。 私が知らない設定方法があるという可能性もありますけれど。 参考にされたWebサイトの例ではA地点はNATの設定が無かったと思いますので、A地点をNATを使用しない状態で通信が出来るかを確認するのも一つの手だと思います。 最終的にやりたいことが出来るかとは別ですが。 >認証方式と暗号化に関しては、おっしゃるとおりコピペです(汗) >どこか参考になるサイトがあれば紹介いただけますでしょうか? http://www.rtpro.yamaha.co.jp/RT/FAQ/IPsec/faq_2_b.html 俗にいう暗号の2010年問題などにありますように、トリプルDES、MD5は望ましくないと思いますのでAES、SHAを使用したほうがいいのではと言いたかっただけです。 なおSHA1は既に脆弱性が報告されていますが、YAMAHAルータはSHA2が使えないのでより良い方を使うということで。 ipsec sa policy 101 1 esp aes-cbc sha-hmac >説明書とサイトを調べまくってまだこの状態です。 >どこかこの関係のフォーラムかメーリングリストなんかがあればいいのですが・・・ 基本的にはYAMAHAルータのWebサイトで解決出来ると思っています。 ただ、あくまでもルータの設定ということで、そこで使用している技術(IPSecやNAT)などについては理解しているのが前提になってしまいます。 IPSecなどの設定は業者に頼むと結構なお金を取られると思います。 なかなか、個別事情に合った回答を得るのは難しいですね。

yuubon
質問者

お礼

ご教授ありがとうございます。 その後、勉強しまして ip filter や、natの設定を行いました。 また、やはりセンター動的でのVPNは出来ないのでしょうかね・・・ nat descriptor address outer 1 TEST.aa1.netvolante.jp と設定しようとすると、はねられてしまいました。 Configを書き直して、Filter設定などをすると、とてもこの記事欄には収まらなくなってしまいました。 Configを見ていただいて指摘を受けられるようなサイトを探していますが、なかなか見つからないものですね(汗) 現状は、センターだけでも固定IPにしていただけるよう交渉中です。 固定IPになればかなり参考になるConfigもありますので、がんばって見ます。 また、解らないことがあればご教授ください。 ありがとうございました。

  • maesen
  • ベストアンサー率81% (646/790)
回答No.1

いきなりPPTPがIPSecに変わったようですね。 状態がどこまで進んでいるのかを見るためにもログはほしいところですね。 間違っていたらごめんなさいです。 ぱっと見は、A地点で ip pp nat descriptor 1 および nat descriptor type 1 masquerade でNATを使用するとコマンドを入れているのに、その設定が無いということでしょうか。 NAT設定をやめるか、適切に設定をいれてあげる必要がありそうです。 NAT設定をやめるとVPN以外の通信は実質出来なくります。 YAMAHAルータのWebサイトによると動的IP-動的IPでのIPSecは出来ないような記述がありますので、一旦は接続出来ても運用に耐えられるかは不明ですね。 やりかたを紹介しているサイトはあるようですがね。 (YAMAHAからの正式な回答はわからないです) あと余談ですが、 ipsec sa policy 101 1 esp 3des-cbc md5-hmac どこからかのコピペだと思いますが、実際に運用するのであれば、せっかくもっと強力な方式が使えるのでこの認証方式と暗号化方式はやめましょう。

yuubon
質問者

お礼

早速の回答ありがとうございます。 まずPPTPですが、現地に行かなくてもルーター設定が出来ないかと考えておりました。 あまり時間が無いので、まずはVPNを片付けてからPPTPに進むことにしました。 AB双方で独自にプロバイダ契約しており、インターネット接続も必要なのでNAT設定は必須です。 が、「適切な」が私にとっては問題なので、もう少し勉強しなければなりませんね(汗) 将来的には、センタ固定IPで接続の予定ですが、現状で早々に接続が必要で動的IP-動的IPに せざるを得ません。 認証方式と暗号化に関しては、おっしゃるとおりコピペです(汗) どこか参考になるサイトがあれば紹介いただけますでしょうか? 説明書とサイトを調べまくってまだこの状態です。 どこかこの関係のフォーラムかメーリングリストなんかがあればいいのですが・・・ 質問ばかりで申し訳ありません。 コメントありがとうございましたm(._.)m

関連するQ&A

  • RTX-1200でのPPTP設定

    こんにちは。 YAMAHAのRTX-1200のPPTP設定について質問します。 RTX1200のルータを 拠点1、拠点2に設置しipsecで通信し 外部からからPPTPにて接続ができるよう設定しました。 しかし拠点1、拠点2間はipsecVPN接続は出来ておりますが、 外部(WINDOWS7)からPPTP の接続が出来ない状態です。 ログを見ると 2013/08/12 17:33:36: PP[01] Rejected at NAT(1000): TCP AAA.AAA.AAA.AAA:55467 > BBB.BBB.BBB.BBB:1723 nat の設定間違いだと思うのですが アドバイスをお願いします ip route default gateway pp 1 ip route 192.168.114.0/24 gateway tunnel 1 ip filter source-route on ip filter directed-broadcast on ip lan1 address 192.168.200.5/24 pp select 1 description pp PRV/PPPoE/0: pp keepalive interval 30 retry-interval=30 count=12 pp always-on on pppoe use lan2 pppoe auto connect off pppoe auto disconnect off pp auth accept pap chap pp auth myname ***** ***** ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp mtu 1454 ip pp nat descriptor 1000 pp enable 1 pp select anonymous pp bind tunnel3-tunnel4 pp auth request mschap-v2 pp auth username user1 user1 ppp ipcp ipaddress on ppp ccp type mppe-any ip pp remote address pool 192.168.200.100-192.168.200.105 pptp service type server pp enable anonymous tunnel select 1 ipsec tunnel 101 ipsec sa policy 101 1 esp 3des-cbc sha-hmac ipsec ike keepalive use 1 on ipsec ike local address 1 192.168.200.5 ipsec ike nat-traversal 1 on ipsec ike pre-shared-key 1 text password ipsec ike remote address 1 ***.***.***.*** tunnel enable 1 tunnel select 3 tunnel encapsulation pptp tunnel enable 3 tunnel select 4 tunnel encapsulation pptp tunnel enable 4 nat descriptor log on nat descriptor type 1 masquerade nat descriptor masquerade static 1 1 192.168.200.5 udp 500 nat descriptor masquerade static 1 2 192.168.200.5 tcp 1723 nat descriptor masquerade static 1 3 192.168.200.5 udp 4500 nat descriptor masquerade static 1 4 192.168.200.5 esp nat descriptor masquerade static 1 5 192.168.200.5 gre nat descriptor type 1000 masquerade ipsec auto refresh on syslog notice on syslog debug on dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.200.150-192.168.200.230/24 dhcp scope bind 1 192.168.200.150 dns server pp 1 dns server select 500001 pp 1 any . restrict pp 1 pptp service on #

  • RTXでRAS接続設定

    RTX1000を使ってリモートアクセス(PPTP)接続後、同一ネットワーク内の共有ファイル(192.168.100.50)にアクセスする設定が、うまくいきません。現状では端末からルータまでpingが○、なのですが、端末→共有ファイルにpingが×状態です。 フィルタかとおもい全部のフィルタ記述を削除したのですが、変化ありませんでした。 ルータまでRAS接続が確認できるのですが、ルータより先にネットワークが疎通しない状態です。 ---構成----- ルータ 192.168.100.1 共有  192.168.100.50(NAS) 端末  192.168.100.121(接続後DHCP) RAS接続 拠点B 192.168.11.0/24(接続確認済) ----コンフィグ--------- ip route default gateway pp 1 ip route 192.168.11.0/24 gateway tunnel 1 ip lan1 address 192.168.100.1/24 pp select 1 pp always-on on pppoe use lan2 pppoe auto disconnect off pp auth accept pap chap pp auth myname 名前 パス ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp mtu 1454 ip pp nat descriptor 1 netvolante-dns use pp auto netvolante-dns hostname host pp 名前.aa0.netvolante.jp pp enable 1 pp select anonymous pp name RAS/VPN: pp bind tunnel3 pp auth request mschap-v2 pp auth username 名前 パス ppp ipcp ipaddress on ppp ccp type mppe-any ip pp remote address pool 192.168.100.121-192.168.100.135 pptp service type server pp enable anonymous tunnel select 1 ipsec tunnel 1 ipsec sa policy 1 1 esp 3des-cbc sha-hmac ipsec ike keepalive use 1 on ipsec ike local address 1 192.168.100.1 ipsec ike pre-shared-key 1 text aaaaaaaa ipsec ike remote address 1 固定IP tunnel enable 1 tunnel select 3 tunnel encapsulation pptp pptp tunnel disconnect time off tunnel enable 3 nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor address inner 1 auto nat descriptor masquerade static 1 1 192.168.100.1 tcp 1723 nat descriptor masquerade static 1 2 192.168.100.1 gre nat descriptor masquerade static 1 3 192.168.100.1 udp * nat descriptor masquerade static 1 4 192.168.100.1 tcp www nat descriptor masquerade static 1 5 192.168.100.1 tcp telnet nat descriptor masquerade static 1 6 192.168.100.1 esp ipsec auto refresh on syslog debug on dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.100.80-192.168.100.99/24 dns server DNS-IP pptp service on 末筆で恐縮ですが、ご教授いただけると幸いです。 よろしくお願いします。

  • RTX1200でLAN1/3でお互いVPN通信

    RTX1200において LAN1/LAN3 でそれぞれVPN通信を使用したいのですが。 NATの関係なのか うまく通信できてません。 ステータス確認するも正常っぽくでてるのですがpingで通信確認取れない状態です。 filterやファイアウォールも、していないのでその辺ではなさそうなのですが。 現状 自拠点(RTX1200)LAN1:192.168.48.10 → 拠点1:192.168.28.10(RTX1200) → PING:○ 自拠点(RTX1200)LAN3:172.31.48.10 → 拠点2:172.31.28.10(RTX1200)  → PING:× -----コンフィグ------ ip route default gateway pp 1 ip route 10.10.1.1 gateway pp 2(NTT-VPNサービス拠点2向け) ip route 172.31.28.0/24 gateway tunnel 2(拠点2向け) ip route 192.168.28.0/24 gateway tunnel 1(拠点1向け) ip lan1 address 192.168.48.10/24(LAN1:IP→拠点1と通信) ip lan3 address 172.31.48.10/24(LAN2:IP→拠点2と通信) pp select 1(ステータスは正常) pp keepalive use lcp-echo pp always-on on pppoe use lan2 pppoe auto connect on pppoe auto disconnect off pp auth accept pap chap pp auth myname xxxx@xxxx ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ip pp mtu 1454 ip pp nat descriptor 1 netvolante-dns use pp server=1 auto netvolante-dns hostname host pp server=1 hostname.aa0.netvolante.jp pp enable 1 pp select 2(ステータス正常) pp always-on on pppoe use lan2 pppoe auto disconnect off pp auth accept pap chap pp auth myname NTT-VPNワイドサービス@xxx.xxx ppp lcp mru on 1454 ppp ipcp msext on ppp ccp type none ip pp address 10.20.13.1/32(自拠点IP/NTT-VPNワイドサービス) pp enable 2 tunnel select 1(ステータス正常) ipsec tunnel 1 ipsec sa policy 1 1 esp 3des-cbc sha-hmac ipsec ike hash 1 sha ipsec ike keepalive log 1 off ipsec ike keepalive use 1 on ipsec ike local address 1 192.168.48.10(拠点1向け) ipsec ike pre-shared-key 1 text xxxxxxxxx ipsec ike remote address 1 hostname.aa2.netvolante.jp tunnel enable 1 tunnel select 2(ステータス正常) tunnel encapsulation ipip tunnel endpoint address 10.10.44.1 10.10.1.1(拠点2向け) ip tunnel tcp mss limit auto tunnel enable 2 nat descriptor type 1 masquerade  nat descriptor masquerade static 1 1 192.168.48.10 udp 500 nat descriptor masquerade static 1 2 192.168.48.10 esp ipsec auto refresh on dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.48.20-192.168.48.40/24 dhcp scope 2 172.31.48.101-172.31.48.199/24 dns server DNSサーバIP dns private address spoof on 末筆で恐縮ですが、お分かりの方ご教授のほどお願いします。

  • フリーソフトShrew Soft VPNを利用したRTX1000へのリ

    フリーソフトShrew Soft VPNを利用したRTX1000へのリモートアクセスVPN(動的IP⇔動的IP、RTX1000でDDNS利用) Shrew Soft VPN(IPsec)を用いて、イーモバイル接続のノートPCから自宅PC(192.168.0.4)のフォルダへアクセスすることが目的です。 現在ISACAMP SA、IPsecSA(2方向)が張れていますが イーモバイル接続のノートPC(192.168.0.254)からRTX1000のLAN側IP(192.168.0.1)へ PINGは通りますが、自宅PC(192.168.0.4)へPINGが通りません。 イーモバイル接続のノートPC(192.168.0.254)からRTX1000のLAN側IP(192.168.0.1)へ telnetで入り、そこから自宅PC(192.168.0.4)へPINGすると通ります。 RTXのコンフィグは以下の通りで、Shrew Soft VPNの設定は http://www.mediafire.com/imageview.php?quickkey=8lhuc431us1cd1a&thumb=6 の画像のように設定しています。 どなたか192.168.0.4のフォルダが参照出来るように ご教授お願い致します。 # show config # RTX1000 Rev.8.01.28 security class 2 on on ip route default gateway pp 1 ip route 192.168.0.254 gateway tunnel 1 ip icmp log on ip lan1 address 192.168.0.1/24 pp select 1 pp always-on on pppoe use lan2 pppoe auto connect on pppoe auto disconnect off pp auth accept chap pp auth myname ID Password ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp mtu 1454 ip pp nat descriptor 1 netvolante-dns hostname host pp XXXXXX.aa0.netvolante.jp pp enable 1 tunnel select 1 ipsec tunnel 1 ipsec sa policy 1 1 esp 3des-cbc sha-hmac ipsec ike keepalive log 1 on ipsec ike local address 1 192.168.0.1 ipsec ike log 1 key-info message-info payload-info ipsec ike payload type 1 3 ipsec ike pre-shared-key 1 text YYYYYYYYY ipsec ike remote address 1 any ipsec ike remote name 1 S101 ip tunnel tcp mss limit auto tunnel enable 1 nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor address inner 1 192.168.0.1-192.168.0.253 nat descriptor masquerade static 1 3 192.168.0.4 tcp 22 nat descriptor masquerade static 1 4 192.168.0.1 udp 500 nat descriptor masquerade static 1 5 192.168.0.1 esp ipsec auto refresh on telnetd service on telnetd listen 23 telnetd host any dhcp service server dhcp scope 1 192.168.0.2-192.168.0.253/24 dns server pp 1 dns private address spoof

  • VPN構築時ローカル機器にデフォルトGWかルーティングテーブルを追加しないといけない?

    こんにちは PPPoE固定GIP-モバイル機器ダイヤル回線間VPNを構築しましたが、 どうもローカルの機器の設定が変えられない制限条件があります。 現在デフォルトゲートウェイが設定されていなく、VPNのもう一方のPCからPingも通りません。 (ローカル機器にデフォルトGWかルーティングテーブルを設定すれば通信可能) この状態ってそもそもVPN構築して通信を可能にするにはどうすれば良いでしょうか? 具体的にはヤマハRTX1200を使って設定していますので、設定を貼っておきます。 Aサイトルータ: ip route default gateway pp 1 ip route 192.168.2.0/24 gateway tunnel 1 ip lan1 address 192.168.3.1/24 pp select 1 pp always-on on pppoe use lan2 pp auth accept pap chap pp auth myname user passwd ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp address aaa.aaa.aaa.aaa/32 ip pp mtu 1454 pp enable 1 tunnel select 1 ipsec tunnel 101 ipsec sa policy 101 1 esp des-cbc md5-hmac ipsec ike pre-shared-key 1 text secret ipsec ike remote address 1 any ipsec ike remote name 1 TEST tunnel enable 1 nat descriptor log on ipsec auto refresh on dns server pp 1 dns private address spoof on Bサイトルータ: ip route default gateway pp 1 ip route 192.168.3.0/24 gateway tunnel 1 ip lan1 address 192.168.2.254/24 pp select 1 pp bind usb1 pp auth accept pap chap pp auth myname test test ppp lcp mru off 1792 ppp lcp accm on ppp lcp pfc on ppp lcp acfc on ppp ipcp ipaddress on ppp ipcp msext on ppp ipv6cp use off ip pp nat descriptor 1 mobile auto connect on mobile disconnect time off mobile disconnect input time off mobile disconnect output time off mobile access-point name mopera.flat.foma.ne.jp cid=5 mobile access limit duration off mobile access limit length off mobile access limit time off mobile display caller id off pp enable 1 tunnel select 1 ipsec tunnel 101 ipsec sa policy 101 1 esp des-cbc md5-hmac ipsec ike keepalive use 1 on ipsec ike local address 1 192.168.2.254 ipsec ike local name 1 TEST key-id ipsec ike pre-shared-key 1 text secret ipsec ike remote address 1 aaa.aaa.aaa.aaa tunnel enable 1 nat descriptor log on nat descriptor type 1 masquerade nat descriptor masquerade static 1 1 192.168.2.254 udp 500 nat descriptor masquerade static 1 2 192.168.2.254 esp nat descriptor masquerade static 1 3 192.168.2.254 tcp 500 ipsec auto refresh on dns server pp 1 usbhost modem flow control usb1 off mobile use usb1 on 詳しい方がいましたら、ぜひご教示ください。 すごく困っています;

  • RTX1100でのIPSecVPN構築について

    はじめまして。 今までSoftEther2.0で構築していたのですが、ヤマハRTX1100に交換する事になりました。 本社―支社とを拠点間VPNで繋ぎ、Windowsにてファイル共有をしたいのですが、RTX1100を導入したのですがうまく通信ができません。 構成は… 本社ルーターLAN1(192.168.0.1/24)LAN2(01.aa0.netvolante.jp) 支社ルーターLAN1(192.168.5.1/24)LAN2(05.aa0.netvolante.jp) 本社側のクライアントは192.168.0.2-192.168.0.100 支社側のクライアントは192.168.5.2-192.168.5.30 何卒よろしくお願いいたします。 以下本社側のルーター設定です。(PPpoe部分省略) ip route default gateway pp 1 ip route 192.168.5.0/24 gateway tunnel 1 ip lan1 address 192.168.0.1/24 netvolante-dns hostname host pp 01.aa0.netvolante.jp pp enable 1 tunnel disable all tunnel select 1 tunnel name testvpn ipsec tunnel 1 ipsec sa policy 1 1 esp 3des-cbc md5-hmac ipsec ike always-on 1 on ipsec ike encryption 1 des-cbc ipsec ike esp-encapsulation 1 on ipsec ike group 1 modp768 ipsec ike hash 1 md5 ipsec ike keepalive log 1 on ipsec ike local address 1 192.168.0.1 ipsec ike pfs 1 off ipsec ike pre-shared-key 1 text test ipsec ike remote address 1 any ipsec ike remote name 1 05.aa0.netvolante.jp ipsec auto refresh 1 on ip tunnel mtu 1280 tunnel enable 1 nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor address inner 1 auto nat descriptor masquerade incoming 1 reject nat descriptor masquerade static 1 4 192.168.0.1 esp nat descriptor masquerade static 1 5 192.168.0.1 udp 500 ipsec auto refresh on dns server pp 1 dns private address spoof on

  • rtx1210でIPVPNが途中で切れる

    RTX1210でIPVPNで自社と本社Aで本社Bで通信してます。 本社A側でのみVPNが途絶えてしまいます。厳密にいうとVPNが途絶えたというより本社A向けのルーティングが×になってる感じなんです。 VPNが×になっても一度自社側ルータを再起動すればVPNは復帰するのですが、数時間経過すると×になります。 トンネルの状態をみても正常なのですが 通信できない状態にあります。 LAN1のIP1-100まではPP1で経由し、IP101-255までをpp2経由としているのですが フィルターにてPP1を経由するようにフィルターを記述してるつもりなんです。  何がだめなのかご指摘いただけると幸いです。 ************* ip route default gateway pp 1 filter 1 2 gateway pp 2 filter 3 4 ip route 172.24.61.0.0/24 gateway tunnel 61 対向本社B ip route 192.168.10.1.0/24 gateway tunnel 1 対向本社A ip filter source-route on ip filter directed-broadcast on ip lan1 address 192.168.1.1/24 ip lan1 proxyarp on ip lan1 secure filter in 10000 10001 20000 ip lan1 wol relay broadcast pp select 1 pp auth myname プロバイダーIDA ip pp address 固定IP/32  (本社A対向側とVPN) ip pp nat descriptor 1 pp enable 1 pp select 2 pp auth myname プロバイダーIDB ppp ipcp ipaddress on ip pp nat descriptor 2 netvolante-dns use pp server=1 auto netvolante-dns hostname host pp server=1 name.aa0.netvolante.jp pp enable 2 tunnel select 1 (×になってしまう方) ipsec tunnel 1 ipsec sa policy 1 1 esp aes-cbc sha-hmac ipsec ike keepalive log 1 off ipsec ike keepalive use 1 on ipsec ike pre-shared-key 1 text hogehogehoge ipsec ike remote address 1 対向本社A固定IP (本社対向側は自社固定IP【PP1側】を指定) ip tunnel tcp mss limit auto tunnel enable 1 tunnel select 61 ipsec tunnel 61(こちらは切断されない・・) ipsec sa policy 61 61 esp 3des-cbc md5-hmac ipsec ike keepalive log 61 off ipsec ike keepalive use 61 on ipsec ike pre-shared-key 61 text hogehogehoge ipsec ike remote address 61 対向本社B固定IP ip tunnel tcp mss limit auto tunnel enable 61 ip filter 1 pass-log 192.168.1.1-192.168.1.100 * * * * (1-100はpp1経由 ip filter 2 pass-log * 192.168.10.0/24 * *  ip filter 3 pass-log 192.168.1.101-192.168.1.255 * * * * ip filter 4 pass * * * * ip filter 10000 reject 192.168.1.0/24 192.168.10.199-192.168.10.240 (アクセス拒否リスト) ip filter 10001 reject 192.168.1.0/24 192.168.10.250(アクセス拒否リスト) ip filter 20000 pass * * nat descriptor type 1 masquerade nat descriptor address outer 1 固定IP nat descriptor address inner 1 auto nat descriptor masquerade static 1 1 固定IP udp 500 nat descriptor masquerade static 1 2 固定IP esp nat descriptor masquerade static 1 3 固定IP udp 4500 nat descriptor type 2 masquerade nat descriptor address outer 2 ipcp nat descriptor address inner 2 auto nat descriptor masquerade static 2 1 LAN1アドレス udp 500 nat descriptor masquerade static 2 2 LAN1アドレス esp nat descriptor masquerade static 2 3 LAN1アドレス udp 4500 dns service recursive dns server select 1 pp 1 any . restrict pp 1 dns server select 2 pp 2 any . restrict pp 2 dns private address spoof on

    • 締切済み
    • VPN
  • RTX1100でリモートVPNの設定について

    こんにちは。 WidowsXPを使ってPPTPクライアントによって、RTX1100にリモート接続する設定をしています。 下の例のようにRTX1100の設定をしていますが、WindowsXPで接続しますと、暫く時間がたってから、 「エラー800:VPN接続を確立できません。VPNサーバーに到達できない、またはセキュリティパラメータ がこの接続に対して正しく構成されていない可能性があります。」というエラーメッセージが出ています。 恐らくRTX1100の設定に間違いがあるかと思います。 何度も確認し、問題がどこにあるのか見つからなくて困っています。 ぜひご教授ください。 環境:YAMAHA RTX1100 リモート接続方法:WidowsXPを利用してPPTPクライアントによる接続 (ネットワーク構成) +-----------+ | WindowsPC | +-----------+ | 61.XX.XX.XX | | インターネット ######## # VPN # インターネット ######## | LAN2 | 61.YY.YY.YY +---------+ | RTX1000 | +---------+ LAN1 | 192.168.100.1 | -----+----+----+---- 192.168.100.0/24 | | login password * administrator password * security class 2 on on ip route default gateway 61.YY.YY.1 ip filter source-route on ip lan1 address 192.168.100.1/24 ip lan1 proxyarp on ip lan1 intrusion detection in on reject=on ip lan1 nat descriptor 1 ip lan2 address 61.YY.YY.YY/24 ip lan2 intrusion detection in on reject=on ip lan2 nat descriptor 2 pp select anonymous pp bind tunnel1 pp auth request mschap-v2 pp auth username ccskbe 1234 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type mppe-any ppp ccp no-encryption reject ip pp remote address pool 192.168.100.196-192.168.100.199 ip pp mtu 1280 ip pp secure filter in 1001 1002 pptp service type server pp enable anonymous tunnel select 1 tunnel encapsulation pptp tunnel enable 1 nat descriptor type 1 masquerade nat descriptor masquerade static 1 1 192.168.100.1 tcp 1723 nat descriptor masquerade static 1 2 192.168.100.1 gre nat descriptor type 2 masquerade nat descriptor address outer 2 primary nat descriptor address inner 2 192.168.100.1-192.168.100.254 nat descriptor masquerade incoming 2 reject

  • RTX1100にてPPTPの接続が不安定(+他も)

    お世話になります rtx1100を使用してVPNを構築しようとしており接続はpptpとip-secの両方を考えております 環境としましては以下のようになっております 動的IP(DDNS使用/PPPoE)  | (lan2) rtx1100 (lan1 - 192.168.1.1/24)  | 社内LAN - 192.168.1.10-30/24 VPNクライアント 192.168.1.50-55 色々なサイトを参考にさせて頂き一通り作業が終わりましたので外部からテスト接続をしたのですが VPN自体ip-secでは弾かれてしまいましたがpptpでは接続が出来ました その際、vpnクライアントはipアドレスは指定範囲でもらえていましたが サブネットは社内LANと同じ255.255.255.0ではなく255.255.255.255でした ただ、pptpで接続されてもrtx1100まではpingもロスなしで繋がっているのですが 社内LANへのアクセスが不安定であり VPNクライアントのwindowsからのpingも全部ロスだったり、全部返ってきたり 1回だけ返ってきたりとまったく安定しません 無事社内LANの共有フォルダにアクセスできていても不安定だからなのか 通信速度も遅く、ファイルを開いたりするのに時間がかかってしまいます 色々試してもみたのですが、全くわからず困り果ててしまいました お手数とは思いますが、ぜひご教授お願い致します また、以下に現状の問題点や当方がはまってしまっている内容も記載致します ・pptpが不安定(通信速度も遅い) ・ip-secが繋がらない ・vpnクライアントのサブネッが255.255.255.0ではなく255.255.255.255になってしまっている ・wan側のpingに反応しないようにしたい ・wan側の全ポートをステルスにしたい ・pptpのポートは動的フィルタで動作するのか? login password * administrator password * login user user * timezone +09:00 console prompt [RTX] login timer 1800 ip route default gateway pp 1 ip filter source-route on ip filter directed-broadcast on ip lan1 address 192.168.1.1/24 ip lan1 proxyarp on pp select 1 pppoe use lan2 pppoe auto connect on pppoe auto disconnect off pp auth accept pap chap pp auth myname user pass ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp mtu 1454 ip pp nat descriptor 1 pp enable 1 pp enable 2 pp select anonymous pp bind tunnel1-tunnel4 pp auth request mschap-v2 pp auth username user1 pass1 pp auth username user1 pass1 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type mppe-any ip pp remote address pool 192.168.1.50-192.168.1.55 ip pp mtu 1258 pptp service type server pp enable anonymous tunnel select 1 tunnel encapsulation l2tp ipsec tunnel 101 ipsec sa policy 101 1 esp aes-cbc sha-hmac ipsec ike keepalive use 1 off ipsec ike local address 1 192.168.1.1 ipsec ike nat-traversal 1 on ipsec ike pre-shared-key 1 text string ipsec ike remote address 1 any l2tp tunnel disconnect time off l2tp keepalive use on 10 3 l2tp keepalive log on l2tp syslog on ip tunnel tcp mss limit auto tunnel enable 1 tunnel select 2 tunnel encapsulation l2tp ipsec tunnel 102 ipsec sa policy 102 2 esp aes-cbc sha-hmac ipsec ike keepalive use 2 off ipsec ike local address 2 192.168.1.1 ipsec ike nat-traversal 2 on ipsec ike pre-shared-key 2 text string ipsec ike remote address 2 any l2tp tunnel disconnect time off l2tp keepalive use on 10 3 l2tp keepalive log on l2tp syslog on ip tunnel tcp mss limit auto tunnel enable 2 tunnel select 3 tunnel encapsulation pptp pptp tunnel disconnect time off pptp keepalive use on ip tunnel tcp mss limit auto tunnel enable 3 tunnel select 4 tunnel encapsulation pptp pptp tunnel disconnect time off pptp keepalive use on ip tunnel tcp mss limit auto tunnel enable 4 ip filter 1 pass * 192.168.1.1 gre * * ip filter 2 pass * 192.168.1.1 tcp * 1723 ip filter 3 pass * 192.168.1.1 esp * * ip filter 4 pass * 192.168.1.1 udp * 500 ip filter 5 pass * 192.168.1.1 udp * 1701 ip filter 6 pass * 192.168.1.1 udp * 4500 ip filter 8 reject * * icmp-info * * nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor address inner 1 auto nat descriptor masquerade static 1 3 192.168.1.1 esp nat descriptor masquerade static 1 4 192.168.1.1 udp 500 nat descriptor masquerade static 1 5 192.168.1.1 udp 4500 nat descriptor masquerade static 1 6 192.168.1.1 gre nat descriptor masquerade static 1 7 192.168.1.1 tcp 1723 ipsec auto refresh on ipsec transport 1 101 udp 1701 ipsec transport 2 102 udp 1701 syslog host 192.168.1.10 syslog notice on syslog debug on tftp host none telnetd service off dhcp service server dhcp scope 1 192.168.1.10-192.168.1.30/24 dns server pp 1 dns private address spoof on pptp service on l2tp service on httpd host 192.168.1.1-192.168.1.254 sshd service on sshd host 192.168.1.1-192.168.1.254 sshd host key generate *

  • RTX1200でのNAT設定

    RTX1200でのNAT設定 IPマスカレードについて質問です。RTX1200を使用してます。 プロバイダーからのIPが(動的)です innerの設定を記述してないのですが現状各機器が接続できている状態です。 この状態だとinnerのIPの範囲が1-254の設定に自動でなるのでしょうか? 一部抜粋 pp select 1 pppoe use lan2 pppoe auto disconnect off pp auth accept pap chap pp auth myname **** ppp lcp mru on 1454 ppp ipcp msext on ppp ccp type none ppp ipcp ipaddress on ip pp address ip pp nat descriptor 1 pp enable 1 nat descriptor type 1 masquerade nat descriptor masquerade static 1 1 XXX.XXX.XXX.XXX udp 500 nat descriptor masquerade static 1 2 XXX.XXX.XXX.XXX esp それと一部の端末だけ外部接続(インターネット)出来ない状態にしたい(なおかつDHCP取得で)とういうのは可能ですか? お分かりの方、ご教授いただければ幸いです。