- ベストアンサー
L2TP/IPSecのルータのポート開放
L2TP/IPSecのルータのポート開放なんですが ルータのポートフォワーディングで 1701 (udp) ・・・・l2tp 4500 (udp)・・・・ipsec-nat-t 500 (udp)・・・isakmp の3つを宅内サーバに向けて開放していますが、つながりません。 ポート開放の番号や数が違うんでしょうか? 同じようにサーバ側のパケットフィルタリングでも上記3つを開放しています。
- testmaster_x
- お礼率35% (132/371)
- ネットワーク
- 回答数4
- ありがとう数2
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
お尋ねの件ですが、1701ポートNoをトンネルトランスポートされるようにしていますか? 4500番はNATトラバーサル用ポート番号、500番はIPSEC認証キー用番号ですが、ポート開放以外にルーターのIPフィルタのパス登録コマンド、out登録コマンドにて通信透過されるようにしていますか? 上記のチェックでも駄目な場合、DMZホスト設定でルーターの着信データを全てサーバへ向けてみては如何でしょうか? DMZの場合、全てのデータ着信はサーバへ向きますので、セキュリティ設定はサーバ側にて破棄登録等実施された方が良いかもしれません。
その他の回答 (3)
- nnori7142
- ベストアンサー率60% (755/1249)
追加補足確認しました。そうすると、外部PCのルータの動的フィルター及びダイナミックルーティングにて、LAN内端末からTCP80番のルーティング許可を設定してあげる必要があるかと存じます。 Yamahaのルーター設定の例として、「ip filter dynamic 1001 * * www」といったコマンドを、「ip lan3 secure filter out 2000 2001 2002 dynamic 1001」といったIPフィルタのoutコマンドにdynamicルーティングコマンドにて、許可でしょうか。 サーバ側にてフィルタ解除で接続可能と言う事は、フィルターのoutコマンドルールで、TCP80のルーティングはサーバ側ではなく、外部PCのルーターからルーティングさせる設定かと存じます。
補足
サーバのローカルインタフェース(eth0)の転送設定を見てみたら Chain FORWARD (policy ACCEPT) num target prot opt source destination 1 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited とデフォルトでなっていて何も許可されていませんでした。これが原因だと思います。 異なるインタフェース間の転送(L2TP(仮想eth0)→物理インターフェース(eth0)の転送 (IP Fowarding)を有効にする設定として *** /etc/sysctl.conf *** net.ipv4.ip_foward=1 ※0から1に変更。 これで転送されるとばかり思っていて、勘違いしていました。 これは異なるインターフェース間の転送設定ですね。。。 仮想eth1から転送されてローカルインタフェースeth0に入ってきたものを さらに、パケットフィルタリングのローカル転送Chain FORWARDで転送させるのを忘れていました。 よって、 Chain FORWARD (policy ACCEPT) num target prot opt source destination 1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 2 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 4 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 5 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited これで無事転送され、ネットに繋がりました。勉強不足ですいません。
- pakuti
- ベストアンサー率50% (317/631)
ipsecを利用する場合、認証方法によって以下を許可する必要があります。 ESP TCP/50 AH TCP/51 L2TPはそのままで通ると思いますが、ダメですか?
お礼
17001updは1701の間違いです。
補足
1.ルータのポートフォワーディング 4500udp 500udp ※ルータは1701udpを開放しなくても大丈夫だった。 2.サーバのパケットフィルタリング 4500udp 500udp 1701udp ※この3つのどれか1つを外しても繋がりませんでしたので3つ開放しています。 とすることで外部からVPNサーバに接続でき認証まで通りました。 しかしこの状態で外部のクライアントからネットをするとネットにはつながりませんでした。 そこでサーバ側のパケットフィルタリングを無効(ファイアフォール無効)にすると ネットに繋がるようになりました。 ということはサーバ側で4500udp/500udp/1701upd以外に開放しないといけないこととして プロトコル番号50(esp)と書かれてあったのでそれも開放しましたが、VPN認証まではできていてもネットには繋がりませんでした。 そこでさらにルータ側もプロトコル50(esp)をサーバに向けて開放しましたが それでもだめでした。 ルータ側は50(esp)を開放しなくてもサーバ側でパケットフィルタリングを無効にすればネットに繋がったのでルータの50(esp)開放は関係なく、サーバ側のパケットフィルタリングに問題があるのかと思います。 ということであとはサーバ側のパケットフィルタリングで何がひっかかっているのかが 分からない状況です。 サーバ側開放(まとめ) 4500upd 500udp 17001upd ←ここまででVPN認証通過。(しかしネットには繋がらず) プロトコル番号50(esp)←これも追加しましたがネットには繋がらずです・・・ ※パケットフィルタリング無効(ファイアフォール無効)にすればネットに繋がります。
- Donotrely
- ベストアンサー率41% (537/1280)
探してみたらこんな情報がありましたが。 http://network.station.ez-net.jp/server/remote/Linux/l2tp-fw.asp この人はできたと言っています。 50番ポートも処置が必要で、クライアント側がルータを使う場合はそちらも処置が必要だと報告していますねえ。
補足
ありがとうございます。 実は、そちらで紹介があがっているサイトを参考にしなががら設定をやったんですよ。 プロトコル番号50(esp)もサーバ側もルータ側も開放しましたが駄目でした。
関連するQ&A
- DDNSとL2TP/IPsecを利用したVPN接続
画像のような構成でクライアント←→サーバー側ルータ間でL2TP/IPsecVPNを構築して Wake up On Lanでサーバーを起動させてから RDTでサーバーを操作したいと思うのですが 何点か疑問が浮かんだので質問させてください。 1、そもそもDDNSを使用して上記のようなこと(特にL2TP/IPsecVPN接続をしてからのWoLでのサーバーの起動)は可能なのでしょうか? 2、ルータ越えについて NATトラバーサルやIPsecパススルーは、各クライアント・サーバーでIPsecパケットからL2TPパケットを取り出す場合に必要な機能なのであって、 クライアント←→サーバー側ルータ間L2TP/IPsecVPNのサーバー側ルータ or ルータ←→ルータ間L2TP/IPsecVPNでは必要のない機能なのでしょうか? また、クライアント←→サーバー側ルータ間L2TP/IPsecVPNの構築が可能な場合ですが、サーバー側ルータにはL2TPパススルー機能が必須というとこでよろしいでしょうか? (ルータでIPsecパケットが復号され、実際にサーバー側LAN内を流れるのはL2TPパケットだと思ったため) 以上、よろしくお願いいたします。
- 締切済み
- その他(インターネット接続・通信)
- IPSECとL2TP/IPSECの違いについて
基本的な事ですいません。よくわからなくて困っておりますので助けていただけると助かります。 ヤマハのルータRTX1100と107eを使って2拠点間VPNを構築しようと思っています。ipsecを使う予定なのですが、ヤマハのサイトなど色々調べても、l2tp/ipsecでのVPNの設定例はiphoneやipadと拠点をつなぐ例になっているものばかりで、ルータを使っての拠点間VPNの場合はipsecの設定が紹介されています。 そもそもルータでつなぐ拠点間VPNの場合は選択肢としてl2tp/ipsecを使うことはできないのでしょうか? (意味ないのでしょうか?) l2tp/ipsecの方が新しいファームから実装されているようなので、スピードやセキュリティ面でもそちらを使った方がいいのかなと思っているのですが(単純ですいません) l2tp/ipsecを使うべきかipsecのみでいいのか教えていただけると幸いです
- ベストアンサー
- ルーター・ネットワーク機器
- RTX1200 L2TP/IPSec 見えない
自宅のPCから、会社にある YAMAHA のルータ RTX1200 に L2TP/IPsec でVPN接続しようとしているのですが、 RTX1200のルータまでは接続できて、 RTX1200 へのpingは通るのですが、 その先のPCにpingが通らず、またtracert コマンドで確認しても RTX1200まではいくのですが、その先はタイムアウトします。 自宅PC ( IP : 192.168.0.51/24) (Win7 の標準のネットワーク接続でVPN設定) | | [ルータ:NEC Aterm] | | ( INTERNET ) | | WAN ( IP : DDNS ) [ルータ:NTT NXSM-4BRU-2] udp 500,1701,4500 転送。 192.168.1.254 | LAN ( IP : 192.168.1.1/24) | | LAN2 ( IP : 192.168.1.254/24) [ルータ:YAMAHA RTX1200] | LAN1 ( IP : 192.168.11.1/24 ) | 会社PC ( IP : 192.168.11.100/24 ) RTX1200 CONFIG ファーム REV.10.1.48 ※テストのためフィルタを解除して全通し --------------------------------------------- ip route default gateway 192.168.1.1 ip route 192.168.1.0/24 gateway dhcp lan2 ip route 192.168.11.0/24 gateway dhcp lan1 tunnel 11 ip lan1 address 192.168.11.1/24 ip lan1 ospf area backbone ip lan1 proxyarp on ip lan1 secure filter in 1099 ip lan1 secure filter out 1099 ip lan2 address 192.168.1.254/24 ip lan2 rip send on version 2 ip lan2 ospf area backbone ip lan2 secure filter in 1099 ip lan2 secure filter out 1099 ip lan2 nat descriptor 1 ip lan2 proxyarp on pp disable all pp select anonymous pp bind tunnel11 pp auth request mschap-v2 pp auth username [user-id] [password] ppp ipcp ipaddress on ppp ipcp msext on ip pp remote address pool 192.168.11.51-192.168.11.59 ip pp mtu 1258 pp enable anonymous no tunnel enable all tunnel select 11 tunnel encapsulation l2tp ipsec tunnel 111 ipsec sa policy 111 11 esp aes-cbc sha-hmac ipsec ike keepalive use 11 off ipsec ike local address 11 192.168.11.1 ipsec ike nat-traversal 11 on ipsec ike pre-shared-key 11 text [公開キー] ipsec ike remote address 11 any l2tp tunnel disconnect time off l2tp keepalive use on 10 3 l2tp keepalive log on l2tp syslog on ip tunnel tcp mss limit auto tunnel enable 11 ip filter 1000 reject * * udp,tcp 135 * ip filter 1001 reject * * udp,tcp * 135 ip filter 1002 reject * * udp,tcp netbios_ns * ip filter 1003 reject * * udp,tcp * netbios_ns ip filter 1004 reject * * udp,tcp netbios_dgm * ip filter 1005 reject * * udp,tcp * netbios_dgm ip filter 1006 reject * * udp,tcp netbios_ssn * ip filter 1007 reject * * udp,tcp * netbios_ssn ip filter 1008 reject * * udp,tcp 445 * ip filter 1009 reject * * udp,tcp * 445 ip filter 1011 reject 192.168.11.0/24 * * * * ip filter 1012 reject * 192.168.11.0/24 * * * ip filter 1021 reject * * tcp * telnet ip filter 1022 reject * * udp * tftp ip filter 1030 pass * * icmp * * ip filter 1031 pass * * established * * ip filter 1032 pass * * tcp * ident ip filter 1033 pass * * tcp ftpdata * ip filter 1034 pass * * tcp,udp * domain ip filter 1035 pass * * udp domain * ip filter 1036 pass * * udp * ntp ip filter 1037 pass * * udp ntp * ip filter 1071 pass * * udp * 500 ip filter 1072 pass * * esp * * ip filter 1073 pass * * udp * 500 ip filter 1074 pass * * esp * * ip filter 1075 pass * * udp * 4500 ip filter 1076 pass * * udp * 4500 ip filter 1077 pass * * udp * 1701 ip filter 1078 pass * * udp * 1701 ip filter 1099 pass * * * * * ip filter 5000 reject * * * * * ip filter dynamic 10080 * * ftp ip filter dynamic 10081 * * domain ip filter dynamic 10082 * * www ip filter dynamic 10083 * * smtp ip filter dynamic 10084 * * pop3 ip filter dynamic 10098 * * tcp ip filter dynamic 10099 * * udp nat descriptor type 1 masquerade nat descriptor address outer 1 primary nat descriptor address inner 1 any nat descriptor masquerade static 1 1 192.168.11.1 esp nat descriptor masquerade static 1 2 192.168.11.1 udp 500 nat descriptor masquerade static 1 3 192.168.11.1 udp 1701 nat descriptor masquerade static 1 4 192.168.11.1 udp 4500 rip use on ospf area backbone ipsec auto refresh on ipsec transport 1 111 udp 1701 syslog notice on syslog debug on tftp host any dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.11.100-192.168.11.179/24 dns server 192.168.1.1 l2tp service on
- 締切済み
- ネットワーク
- ルータのポート開放について
ルータのポート開放について ルータのポート開放UDP6000~6009を開放したいのですが、 6000~6009にかけて一つずつ開放するしかないのでしょうか? 何かまとめて開放する方法があれば教えて下さい。
- ベストアンサー
- Windows XP
- 特定のポートを開放したい
東芝DynaBook T6/518CME Windows XP SP2 CATV回線 こんな環境ですが、 >MY-IPTV ANYWHERE では、サーバーソフトをインストールする側のPCでTCP 9401、TCP/UDP 9402 のポートを利用します。1つのインターネット接続に1台のPCが接続されている場合、ファイアウォールによるブロックが解除されていればお使いいただけますが、ポート・フォワーディングを設定している場合は、サーバーソフトウェアがインストールされているPCに対して、ルーター上の設定によりTCP 9401、TCP/UDP 9402ポートを開放する必要があります。 使いたいソフトのマニュアルで上記のような記述がありポートを開放したいのですが、現在ルーターは使用していません。ルーターを買ってきて取り付けなくてはいけないのでしょうか?それとも何か方法がありますでしょうか?教えてください。
- ベストアンサー
- Windows XP
- 複数台のポート開放について
SWITCHが2台あります。 フレンドとマイクラのクロスプレイをしたいが入れないため、1台目のSWITCHはBUFFALOのルーター設定画面からポート開放しNATタイプ「A」にできました。 もう1台もポート開放しNATタイプ「A」にしたいのですが、UDPポートが重複してるとなります。 2台ともポート開放するためには何が必要でしょうか?
- ベストアンサー
- ルーター・ネットワーク機器
- ポートの開放が出来ない
ネット対戦をするために(東方緋想天) ポートの7500、10800を開放しなければいけません。 OS WindowsXP ウイルスソフト ウイルスセキュリティZERO ルーター WD605CV ポートを開放するためにメーカーのマニュアルに書かれてる手順に 従い設定しました。 [ポートマッピング設定]→[NATエントリ編集] {エントリ番号} 1 {変換対象プロトコル} UDP {変換対象ポート} 7500 {宛先アドレス} 192.168~ {エントリ番号} 2 {変換対象プロトコル} UDP {変換対象ポート} 10800 {宛先アドレス} 192.168~ [編集]→[最新状態に更新]→[適用]→[登録] の順に作業しました。マニュアルだとこれでポートの開放が出来たはずなのですが 下のポート開放チェックで確認した所 http://anisong.dip.jp/ [ポートが閉じられています]とでてしまいます。 一応ファイアウォール、ウイルスセキュリティーのポート許可も ちゃんとしてると思います。 どうすればポート開放ができるのでしょうか? またホストではなくクライアント側でしたらポートの開放をしなくとも ネット対戦ができるのでしょうか? よろしくお願いします。
- 締切済み
- その他(インターネット接続・通信)
- ルーターPR-400NEでポートの開放
ルーターPR-400NEでポートの開放を行っていますが、 どの設定をしても外部からポート開放確認を行ってもできません。 IPマスカレードや静的NAT、 192.168.1.1:8888/enabler.ipv4/frame での設定を行いましたが、やはりできません。 ちなみに、https(443)はポート開放できましたが、 9000番台ではできません。 ポート番号に起因しているのでしょうか?
- ベストアンサー
- ルーター・ネットワーク機器
- ポート開放されなくなってしまいました。
so-netのADSLを使っているのですが、新しくパソコンをもう1台ネットにつなぐ為BUFFALOのBBR-4MGを買いました。 ポート開放をし直したいのですが、どうしてもうまくできません。 どうしたらよいのか教えていただけませんでしょうか。。。 よろしくお願いいたします。 1.ルータBUFFALO BBR-4MGの接続状態は未設定 (2台ともインターネットに繋がります) 正しい接続設定がどれだがわかりません。 PPPoEを選んで正しく入力してもうまく繋がりません。 2.IPアドレスを調べました。 IPAddress…192.168.11.3 SubnetMask…255.255.255.0 DefaultGateway…192.168.11.1 3.IPアドレスの固定をしました。 「次のIPアドレスを使う」にチェックを入れ IPアドレス:192.168.11.3 サブネットマスク:255.255.255.0 デフォルトゲートウェイ:192.168.11.1 「次のDNSサーバーのアドレスを使う」にチェックを入れ 優先DNSサーバー:192.168.11.1 4.BUFFALO BBR-4MGのポート開放しました。 ・TCPを設定しました。 グループ名入力 WAN側IPアドレスを「ブロードバンドステーションの WAN側IPアドレス」に設定 プロトコル(WAN側)の「TCP/UDP」にチェックをいれ 「任意のTCPポート」を選択しTCPポート番号を入力 LAN側IPアドレスを192.168.11.3 ・UDPを設定しました。 グループ名入力 WAN側IPアドレスをブロードバンドステーションの WAN側IPアドレスに設定 プロトコル(WAN側)の「TCP/UDP」にチェックをいれ 「任意のUDPポート」を選択しUDPポート番号を入力 LAN側IPアドレスを192.168.11.3 そして登録。(ちゃんと登録できています) モデムはNECのAtermWD735GVです。 ポート開放の為にポートマッピング>NATエントリで TCPとUDPをIPアドレス:192.168.11.3 で登録しています。 他はいじっていません。 どうかよろしくお願いいたします。
- ベストアンサー
- その他(インターネット・Webサービス)
- ポート開放について
[現在の環境] 光回線 ドコモ光 プロバイダ GMO 接続方法 v4 ルーター WRC-2533GST2 PC windows マインクラフトのサーバーを立てたくて、ポート開放について調べて いたのですが、なかなかうまくいかなく、IPアドレスの固定や 二重ルーター、ルーターの設定画面でポートフォワーディングを開いてやってみても、ポート開放ができなかったのでやり方を知っている方いらっしゃったら教えてください。 ※OKWAVEより補足:「エレコム株式会社の製品」についての質問です。
- ベストアンサー
- Wi-Fi・無線LAN
お礼
ありがとうございます。 具体的なポート開放状況は#2さんへの返信で書かせてもらいました。 >DMZホスト設定でルーターの着信データを全てサーバへ向けて DMZに置おいてサーバ側で制御するか、DMZに置かずルータで制御してサーバ側でファイアフォールなしにするかが一番簡単ですが 現在は、DMZには置かず、ルータで指定したもののパケットを許可しつつ、 サーバ側のパケットフィルタリングでもそれを許可するような2重設定にしています。
補足
テーブル: filter Chain INPUT (policy ACCEPT) num target prot opt source destination 1 ACCEPT ah -- 0.0.0.0/0 0.0.0.0/0 2 ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0 3 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:500 4 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:1701 5 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:4500 VPN認証は通過していますが、上記許可ではクライアントがネットには繋がりませんでした。(espを追加許可しました) サーバ側のファイアフォールを無効にすればネットに繋がるのですが。。 サーバ側のどのパケットでひっかかっているのやらです。。