• 締切済み

RTX1200 VPNでのポートフィルタについて

RTX1200同士でIPsecを使い、2拠点を接続しました。 LAN側はLAN1、WAN側はLAN2のLANポートを使用しています。 下記の解決方法は会ってますでしょうか。 セキュリティの観点から少々不安です。 やりたいことは、2点です。 1 拠点から本店のファイルサーバー(linux)に接続 2 本部から拠点の共有フォルダ(Windows8.1)に接続 現象 ルーティング設定は、出来ている pingは、お互い通る ファイルサーバーのGUIを開くことが出来る ただし、やりたい事が2点出来ない 解決方法 本部、拠点ともにLAN1の IN 側のパケットフィルタ(静的)を下記の設定にしました。 reject * * udp,tcp 135 * reject * * udp,tcp * 135 reject * * udp,tcp 445 * reject * * udp,tcp * 445 上記を全て削除 懸念点 元々、削除したreject内容がデフォルトだった為にセキュリティ的にどのようなリスクがあるのかが不安です。 LAN1側なのでそこまで神経質にならなくてもよいでしょうか。 ちなみにLAN2は、IN OUTともにreject の設定です。 以上よろしくお願いします。

みんなの回答

  • hirasaku
  • ベストアンサー率65% (106/163)
回答No.1

こんにちは。hirasaku です。 YAMAHAのWebUIにて設定を行った場合、大体のユーザー環境に適用できるようにセキュリティに関してのデフォルト設定が入ります。 結論から言うと、自分の環境でのセキュリティポリシーに合わせて設定しなおせばいいと思うのですが、それ自体が明確になっていないというのであれば明確にするか、明確にできないのであれば後手になるが問題が発生した時に対処する方法をとるかでしょう。 気になっている拒否のフィルターですが、RPCとCIFSです。 どちらもWindowsで使うポートですが、CIFSはファイル共有のポートなので、それを拒否したら共有フォルダにアクセスできないのは当たり前でしょう。 RPCはRPCを使うアプリを使用していなければ拒否でいいのでは。 個人的にですが、LAN側に先ほどのセキュリティポリシーがないのであれば、そもそもフィルターをかける必要はないと思います。 考え方としてWAN側でWindowsのファイル共有などすることはないでしょうし、そんな危険なことをするのはいかがかなと・・・ なので、WAN側にそのフィルタをデフォルトでかかっているのは当然だと思います。 懸念点のリスクに関してですが、リスクはない環境はありえないのでは。 すべてを許可するのが怖いのであれば、そのフォルダを共有しているホストだけ許可しそれ以外は拒否するフィルタを作成すればいいのでは。 どうでしょう。

wakaba312
質問者

お礼

回答、どうもありがとうございました。 おっしゃる通りだと思います。 自分としては、自信が無かったので非常に助かりました。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • ヤマハ RTX1100 フィルタ設定

    オークションにて、安くRTX1100を手に入れたのですが、 フィルタ設定について不安が残ります。 (現在、PPPoEと、VPN設定はなんとか設定できて、運用しています) ヤマハ サイトのこの辺りをみて丸パクリで、フィルタ設定を書きました。 http://jp.yamaha.com/products/network/solution/vpn/multiple_network/internet_vpn/ 外部からポートスキャンかけた所、25, 80, 110, 143ポートが開いていると 結果が返ってきます。 サーバは一切公開していないので、上記ポートを閉じたいのですが、 in フィルタで、「ip filter 2000 reject * *」となっているため、 閉じられていると思うのですが認識が間違っていますか? 現在の設定は以下です。 pp select 1 ip pp secure filter in 1020 1030 1040 1041 2000 ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106 107 ip filter source-route on ip filter directed-broadcast on ip filter 1010 reject * * udp,tcp 135 * ip filter 1011 reject * * udp,tcp * 135 ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 1014 reject * * udp,tcp 445 * ip filter 1015 reject * * udp,tcp * 445 ip filter 1020 reject 192.168.0.0/24 * ip filter 1030 pass * 192.168.0.0/24 icmp ip filter 1040 pass * 192.168.0.254 udp * 500 ip filter 1041 pass * 192.168.0.254 esp ip filter 2000 reject * * ip filter 3000 pass * * ip filter dynamic 100 * * ftp ip filter dynamic 101 * * www ip filter dynamic 102 * * domain ip filter dynamic 103 * * smtp ip filter dynamic 104 * * pop3 ip filter dynamic 105 * * netmeeting ip filter dynamic 106 * * tcp ip filter dynamic 107 * * udp すみませんが、ポートの閉じ方を教えて頂けますでしょうか。

  • 8個のグローバルIPをRTX1200に設定したい

    ヤマハのRTX1200に8個のグローバルIP設定で行き詰ってます。 状況は以下のようなものです。  aaa.bbb.ccc.120/29 のグローバルアドレスの設定を目指してます  aaa.bbb.ccc.121 でLAN側(192.168.XXX.254/24) の端末がインター ネットの利用、VPNの設定は動作を確認済  aaa.bbb.ccc.122 ~ aaa.bbb.ccc.126 の5IPと、LAN側にある 特定端末(固定IP)5台を関連付けしたい ← これが全て通りません そこで試行錯誤し、設定したCONFIGが以下のようなものです。 ip route default gateway pp 1 ip lan1 address 192.168.XXX.254/24 ip lan1 secure filter in 100000 100001 100002 100003 100004 100005 100006 100007 100099 ip lan3 nat descriptor 1 2 3 4 5 pp disable all pp select 1 description pp "PRV/PPPoE/0:NTT-ME 8IP" pppoe use lan3 ppp lcp mru on 1454 ip pp address aaa.bbb.ccc.120/29 ip pp secure filter in 200003 200020 200021 200022 200023 200024 200025 200030 200032 200080 200081 ip pp secure filter out 200013 200020 200021 200022 200023 200024 200025 200099 dynamic 200080 200081              200082 200083 200084 200098 200099 ip pp nat descriptor 1000 pp enable 1 ip filter 100000 reject * * udp,tcp 135 * ip filter 100001 reject * * udp,tcp * 135 ip filter 100002 reject * * udp,tcp netbios_ns-netbios_dgm * ip filter 100003 reject * * udp,tcp * netbios_ns-netbios_dgm ip filter 100004 reject * * udp,tcp netbios_ssn * ip filter 100005 reject * * udp,tcp * netbios_ssn ip filter 100006 reject * * udp,tcp 445 * ip filter 100007 reject * * udp,tcp * 445 ip filter 100099 pass * * * * * ip filter 200000 reject 10.0.0.0/8 * * * * ip filter 200001 reject 172.16.0.0/12 * * * * ip filter 200002 reject 192.168.0.0/16 * * * * ip filter 200003 reject 192.168.XXX.0/24 * * * * ip filter 200010 reject * 10.0.0.0/8 * * * ip filter 200011 reject * 172.16.0.0/12 * * * ip filter 200012 reject * 192.168.0.0/16 * * * ip filter 200013 reject * 192.168.XXX.0/24 * * * ip filter 200020 reject * * udp,tcp 135 * ip filter 200021 reject * * udp,tcp * 135 ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 200024 reject * * udp,tcp 445 * ip filter 200025 reject * * udp,tcp * 445 ip filter 200030 pass * 192.168.xxx.0/24 icmp * * ip filter 200031 pass * 192.168.xxx.0/24 established * * ip filter 200032 pass * 192.168.xxx.0/24 tcp * ident ip filter 200033 pass * 192.168.xxx.0/24 tcp ftpdata * ip filter 200034 pass * 192.168.xxx.0/24 tcp,udp * domain ip filter 200035 pass * 192.168.xxx.0/24 udp domain * ip filter 200036 pass * 192.168.xxx.0/24 udp * ntp ip filter 200037 pass * 192.168.xxx.0/24 udp ntp * ip filter 200080 pass * 192.168.xxx.254 esp * * ip filter 200081 pass * 192.168.xxx.254 udp * 500 ip filter 200099 pass * * * * * ip filter 500000 restrict * * * * * ip filter dynamic 200080 * * ftp ip filter dynamic 200081 * * domain ip filter dynamic 200082 * * www ip filter dynamic 200083 * * smtp ip filter dynamic 200084 * * pop3 ip filter dynamic 200098 * * tcp ip filter dynamic 200099 * * udp nat descriptor type 1 masquerade nat descriptor address outer 1 aaa.bbb.ccc.122 nat descriptor masquerade static 1 1 192.168.xxx.230 tcp 21,3389,49200,49500,49600 nat descriptor masquerade static 1 2 192.168.xxx.230 udp domain,tftp nat descriptor type 2 masquerade nat descriptor address outer 2 aaa.bbb.ccc.123 nat descriptor masquerade static 2 1 192.168.xxx.231 tcp 21,www,3389 nat descriptor type 3 masquerade nat descriptor address outer 3 aaa.bbb.ccc.124 nat descriptor masquerade static 3 1 192.168.xxx.14 tcp 21,www,3389 nat descriptor type 4 masquerade nat descriptor address outer 4 aaa.bbb.ccc.125 nat descriptor masquerade static 4 1 192.168.xxx.41 tcp 3389,9999 nat descriptor type 5 masquerade nat descriptor address outer 5 aaa.bbb.ccc.126 nat descriptor masquerade static 5 1 192.168.xxx.234 tcp 21,www,3389 nat descriptor type 1000 masquerade nat descriptor address outer 1000 aaa.bbb.ccc.121 nat descriptor address inner 1000 aaa.bbb.ccc.121 192.168.xxx.1-192.168.xxx.254 nat descriptor masquerade static 1000 101 192.168.xxx.254 udp 500 nat descriptor masquerade static 1000 102 192.168.xxx.254 esp 何が間違っているのかも判らぬ状況なので、ご指摘を頂ければ幸いです。 宜しくお願い申し上げます。

  • RTX1000でのポート解放について。

    NTT西日本Bフレッツで接続しています。 現状のconfigは ip route default gateway pp 1 ip lan1 address 192.168.1.200/24 ip lan1 nat descriptor 2 ip lan2 secure filter in 200017 200018 ip lan2 secure filter out dynamic 200098 200099 ip lan2 intrusion detection in on reject=on ip lan2 intrusion detection out on reject=on pp select 1 pp always-on on pppoe use lan2 pppoe auto connect on pppoe auto disconnect off pp auth accept pap chap pp auth myname ID PAWWRD ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp mtu 1438 ip pp nat descriptor 1 pp enable 1 ip filter 200014 pass * * icmp * * ip filter 200015 pass * * established * * ip filter 200016 pass * * tcp * ident ip filter 200017 pass * 192.168.1.201 tcp * 26508 ip filter 200018 pass * 192.168.1.201 udp * 26508 ip filter 200099 pass * * * * ip filter dynamic 200098 * * tcp ip filter dynamic 200099 * * udp nat descriptor type 1 masquerade syslog debug on dhcp service server dhcp scope 1 192.168.1.201-192.168.1.254/24 dns server pp 1 dns private address spoof on httpd host 192.168.1.1-192.168.1.254 としています。 ip filter 200017 pass * 192.168.1.201 tcp * 26508 ip filter 200018 pass * 192.168.1.201 udp * 26508 で特定ポートを解放しているつもりですが。。。 ip lan2 secure filter in 200017 200018 で設定も反映しています。 どこが間違っているかご教示頂きたいと存じます。

  • RTX1200のDMZ側からネット接続するには

    YAMAHAルータRTX1200で、 DMZに置いてあるWWWサーバーからインターネット接続とPOP3接続が出来ないので質問させて頂きます。 セキュリティを高めるため、DMZ側のWWWサーバーが外部のインターネットを閲覧できる必要性はないのですが、 利便性とダイナミックDNSを更新するために、WWWとPOP3接続を試みてます。 <現状> ※以下に現状のコンフィグを記します。 LAN1:社内LAN 接続OK LAN2:動的グローバルIP 接続OK LAN3:DMZ WWWサーバー 外部より接続(閲覧)OK <理由> WAN側が、動的グローバルIPですので、 ダイナミックDNSを利用してます。 http://www.mydns.jp/?MENU=040 WAN側のIPが変わった際に、POP3を定期的に走らせて IPを通知する仕組みになっているようなので、 DMZ側のWWWサーバーにメーラーを常駐させようと考えております。 LAN1側のクライアントPCに、上記のメーラー設定をすれば 解決しそうですが、DMZ側のWWWサーバーで実現しよと試みております。。 ip lan3 secure filter や ip pp secure filter に、 フィルターの追加や適応を試みてみましたが うまく行きませんでした。。 ご回答、 どうぞ宜しくお願い致します。 ---------------------------------------------------------------- ip route default gateway pp 1 ip filter source-route on ip filter directed-broadcast on ip lan1 address 192.168.100.1/24 ip lan3 address 192.168.131.1/29 ip lan3 secure filter in 2000 ip lan3 secure filter out 3000 dynamic 100 101 200 pp select 1 description pp FLETS pp keepalive use off pp always-on on pppoe use lan2 pppoe auto connect on pppoe auto disconnect off pp auth accept pap chap pp auth myname 【ユーザーID】 【パスワード】 ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ip pp mtu 1454 ip pp secure filter in 1020 1030 1031 1032 2000 dynamic 201 202 ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106 ip pp intrusion detection in on ip pp nat descriptor 1 pp enable 1 ip filter 1010 reject * * udp,tcp 135 * ip filter 1011 reject * * udp,tcp * 135 ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 1014 reject * * udp,tcp 445 * ip filter 1015 reject * * udp,tcp * 445 ip filter 1020 reject 192.168.100.0/24 * ip filter 1030 pass * 192.168.100.0/24 icmp ip filter 1031 pass * 192.168.131.2 tcpflag=0x0002/0x0fff * www ip filter 1032 pass * 192.168.131.3 tcpflag=0x0002/0x0fff * 21 ip filter 2000 reject * * ip filter 3000 pass * * ip filter dynamic 100 * * ftp ip filter dynamic 101 * * www ip filter dynamic 102 * * domain ip filter dynamic 103 * * smtp ip filter dynamic 104 * * pop3 ip filter dynamic 105 * * tcp ip filter dynamic 106 * * udp ip filter dynamic 200 192.168.100.0/24 * telnet ip filter dynamic 201 * 192.168.131.2 www ip filter dynamic 202 * 192.168.131.3 ftp nat descriptor type 1 masquerade nat descriptor masquerade static 1 1 192.168.131.2 tcp www nat descriptor masquerade static 1 2 192.168.131.3 tcp 21 dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.100.2-192.168.100.191/24 dns server 210.191.71.1 dns private address spoof on

  • RTX1200PPTPVPN接続が出来ない

    会社のRTX1200で、ネットボランチDNSサービスを使用して自宅よりPPTPVPN接続をしたいのですが、「エラー:629」が表示して接続することが出来ません。rtx1200の設定が悪いのかPC側なのかわからず困っています。ちなみにIPSECでの接続は出来ています。RTX1200の設定を以下に貼り付けますので見ていただけないでしょうか? ip route default gateway pp 1 ip lan1 address 192.168.100.1/24 ip lan1 proxyarp on ip lan1 secure filter in 100000 100001 100002 100003 100004 100005 100006 100007 100099 pp select 1 description pp PRV/PPPoE/0:ocn pp keepalive interval 30 retry-interval=30 count=12 pp always-on on pppoe use lan2 pppoe auto disconnect off pp auth accept pap chap pp auth myname *********** ************** ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp secure filter in 200003 200020 200021 200022 200023 200024 200025 200030 200032 200080 200081 200082 200083 200084 ip pp secure filter out 200013 200020 200021 200022 200023 200024 200025 200026 200027 200099 dynamic 200080 200081 200082 200083 200084 200098 200099 ip pp nat descriptor 1000 netvolante-dns hostname host pp server=1 **************.aa0.netvolante.jp pp enable 1 pp select anonymous pp bind tunnel91-tunnel94 pp auth request mschap-v2 pp auth username ************ *********** ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type mppe-any ppp ccp no-encryption reject ip pp remote address pool 192.168.100.72-192.168.100.79 ip pp mtu 1280 pptp service type server pp enable anonymous tunnel select 21 description tunnel ********** ipsec tunnel 1 ipsec sa policy 1 1 esp aes-cbc sha-hmac ipsec ike keepalive use 1 auto heartbeat ipsec ike local address 1 192.168.100.1 ipsec ike nat-traversal 1 on ipsec ike pre-shared-key 1 text ****************** ipsec ike remote address 1 any ipsec ike remote name 1 ************ key-id ipsec ike xauth request 1 on 1 ip tunnel tcp mss limit auto tunnel enable 21 tunnel select 91 tunnel encapsulation pptp pptp tunnel disconnect time 1800 tunnel enable 91 tunnel select 92 tunnel encapsulation pptp pptp tunnel disconnect time 1800 tunnel enable 92 tunnel select 93 tunnel encapsulation pptp pptp tunnel disconnect time 1800 tunnel enable 93 tunnel select 94 tunnel encapsulation pptp pptp tunnel disconnect time 1800 tunnel enable 94 ip filter 100000 reject * * udp,tcp 135 * ip filter 100001 reject * * udp,tcp * 135 ip filter 100002 reject * * udp,tcp netbios_ns-netbios_dgm * ip filter 100003 reject * * udp,tcp * netbios_ns-netbios_dgm ip filter 100004 reject * * udp,tcp netbios_ssn * ip filter 100005 reject * * udp,tcp * netbios_ssn ip filter 100006 reject * * udp,tcp 445 * ip filter 100007 reject * * udp,tcp * 445 ip filter 100099 pass * * * * * ip filter 200000 reject 10.0.0.0/8 * * * * ip filter 200001 reject 172.16.0.0/12 * * * * ip filter 200002 reject 192.168.0.0/16 * * * * ip filter 200003 reject 192.168.100.0/24 * * * * ip filter 200010 reject * 10.0.0.0/8 * * * ip filter 200011 reject * 172.16.0.0/12 * * * ip filter 200012 reject * 192.168.0.0/16 * * * ip filter 200013 reject * 192.168.100.0/24 * * * ip filter 200020 reject * * udp,tcp 135 * ip filter 200021 reject * * udp,tcp * 135 ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 200024 reject * * udp,tcp 445 * ip filter 200025 reject * * udp,tcp * 445 ip filter 200026 restrict * * tcpfin * www,21,nntp ip filter 200027 restrict * * tcprst * www,21,nntp ip filter 200030 pass * 192.168.100.0/24 icmp * * ip filter 200031 pass * 192.168.100.0/24 established * * ip filter 200032 pass * 192.168.100.0/24 tcp * ident ip filter 200033 pass * 192.168.100.0/24 tcp ftpdata * ip filter 200034 pass * 192.168.100.0/24 tcp,udp * domain ip filter 200035 pass * 192.168.100.0/24 udp domain * ip filter 200036 pass * 192.168.100.0/24 udp * ntp ip filter 200037 pass * 192.168.100.0/24 udp ntp * ip filter 200080 pass * 192.168.100.1 esp * * ip filter 200081 pass * 192.168.100.1 udp * 500 ip filter 200082 pass * 192.168.100.1 udp * 4500 ip filter 200083 pass * 192.168.100.1 tcp *

  • RTX1100 でインターネット接続できない。DNS

    YAMAHAのRTX1100のconfigを設定しているのですが。Bフレッツを使用しています。 まず手始めにインターネットをしたいのですが。 YAHAMAの設定例をそのまま利用しているのですが。 http://netvolante.jp/solution/int/case3.html 変えた部分は、DNSのところで。 dns server (ISPより指定されたDNSサーバのIPアドレス)  ↓ dns server pp 1 としたのですが。接続できません。アドバイスなどをいただけたら幸いです。 実際のconfigはこちら ↓ ip lan1 address 192.168.0.1/24 pp select 1 pp always-on on pppoe use lan2 pp auth accept pap chap pp auth myname (ISPに接続するID) (ISPに接続するパスワード) ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ip pp mtu 1454 ip pp nat descriptor 1 pp enable 1 ip route default gateway pp 1 nat descriptor type 1 masquerade dhcp service server dhcp scope 1 192.168.0.2-192.168.0.100/24 dns server pp 1 (<------ここを変更した) dns private address spoof on ip filter source-route on ip filter directed-broadcast on ip filter 1010 reject * * udp,tcp 135 * ip filter 1011 reject * * udp,tcp * 135 ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 1014 reject * * udp,tcp 445 * ip filter 1015 reject * * udp,tcp * 445 ip filter 1020 reject 192.168.0.0/24 * ip filter 1030 pass * 192.168.0.0/24 icmp ip filter 2000 reject * * ip filter 3000 pass * * ip filter dynamic 100 * * ftp ip filter dynamic 101 * * www ip filter dynamic 102 * * domain ip filter dynamic 103 * * smtp ip filter dynamic 104 * * pop3 ip filter dynamic 105 * * netmeeting ip filter dynamic 106 * * tcp ip filter dynamic 107 * * udp pp select 1 ip pp secure filter in 1020 1030 2000 ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106 107 pp enable 1

  • RTX1200 L2TP/IPSec 見えない

    自宅のPCから、会社にある YAMAHA のルータ RTX1200 に L2TP/IPsec でVPN接続しようとしているのですが、 RTX1200のルータまでは接続できて、 RTX1200 へのpingは通るのですが、 その先のPCにpingが通らず、またtracert コマンドで確認しても RTX1200まではいくのですが、その先はタイムアウトします。 自宅PC ( IP : 192.168.0.51/24) (Win7 の標準のネットワーク接続でVPN設定)    |    |  [ルータ:NEC Aterm]    |    | ( INTERNET )    |    | WAN ( IP : DDNS )  [ルータ:NTT NXSM-4BRU-2]  udp 500,1701,4500 転送。 192.168.1.254    | LAN ( IP : 192.168.1.1/24)    |    | LAN2 ( IP : 192.168.1.254/24)  [ルータ:YAMAHA RTX1200]    | LAN1 ( IP : 192.168.11.1/24 )    | 会社PC ( IP : 192.168.11.100/24 ) RTX1200 CONFIG ファーム REV.10.1.48 ※テストのためフィルタを解除して全通し --------------------------------------------- ip route default gateway 192.168.1.1 ip route 192.168.1.0/24 gateway dhcp lan2 ip route 192.168.11.0/24 gateway dhcp lan1 tunnel 11 ip lan1 address 192.168.11.1/24 ip lan1 ospf area backbone ip lan1 proxyarp on ip lan1 secure filter in 1099 ip lan1 secure filter out 1099 ip lan2 address 192.168.1.254/24 ip lan2 rip send on version 2 ip lan2 ospf area backbone ip lan2 secure filter in 1099 ip lan2 secure filter out 1099 ip lan2 nat descriptor 1 ip lan2 proxyarp on pp disable all pp select anonymous pp bind tunnel11 pp auth request mschap-v2 pp auth username [user-id] [password] ppp ipcp ipaddress on ppp ipcp msext on ip pp remote address pool 192.168.11.51-192.168.11.59 ip pp mtu 1258 pp enable anonymous no tunnel enable all tunnel select 11 tunnel encapsulation l2tp ipsec tunnel 111 ipsec sa policy 111 11 esp aes-cbc sha-hmac ipsec ike keepalive use 11 off ipsec ike local address 11 192.168.11.1 ipsec ike nat-traversal 11 on ipsec ike pre-shared-key 11 text [公開キー] ipsec ike remote address 11 any l2tp tunnel disconnect time off l2tp keepalive use on 10 3 l2tp keepalive log on l2tp syslog on ip tunnel tcp mss limit auto tunnel enable 11 ip filter 1000 reject * * udp,tcp 135 * ip filter 1001 reject * * udp,tcp * 135 ip filter 1002 reject * * udp,tcp netbios_ns * ip filter 1003 reject * * udp,tcp * netbios_ns ip filter 1004 reject * * udp,tcp netbios_dgm * ip filter 1005 reject * * udp,tcp * netbios_dgm ip filter 1006 reject * * udp,tcp netbios_ssn * ip filter 1007 reject * * udp,tcp * netbios_ssn ip filter 1008 reject * * udp,tcp 445 * ip filter 1009 reject * * udp,tcp * 445 ip filter 1011 reject 192.168.11.0/24 * * * * ip filter 1012 reject * 192.168.11.0/24 * * * ip filter 1021 reject * * tcp * telnet ip filter 1022 reject * * udp * tftp ip filter 1030 pass * * icmp * * ip filter 1031 pass * * established * * ip filter 1032 pass * * tcp * ident ip filter 1033 pass * * tcp ftpdata * ip filter 1034 pass * * tcp,udp * domain ip filter 1035 pass * * udp domain * ip filter 1036 pass * * udp * ntp ip filter 1037 pass * * udp ntp * ip filter 1071 pass * * udp * 500 ip filter 1072 pass * * esp * * ip filter 1073 pass * * udp * 500 ip filter 1074 pass * * esp * * ip filter 1075 pass * * udp * 4500 ip filter 1076 pass * * udp * 4500 ip filter 1077 pass * * udp * 1701 ip filter 1078 pass * * udp * 1701 ip filter 1099 pass * * * * * ip filter 5000 reject * * * * * ip filter dynamic 10080 * * ftp ip filter dynamic 10081 * * domain ip filter dynamic 10082 * * www ip filter dynamic 10083 * * smtp ip filter dynamic 10084 * * pop3 ip filter dynamic 10098 * * tcp ip filter dynamic 10099 * * udp nat descriptor type 1 masquerade nat descriptor address outer 1 primary nat descriptor address inner 1 any nat descriptor masquerade static 1 1 192.168.11.1 esp nat descriptor masquerade static 1 2 192.168.11.1 udp 500 nat descriptor masquerade static 1 3 192.168.11.1 udp 1701 nat descriptor masquerade static 1 4 192.168.11.1 udp 4500 rip use on ospf area backbone ipsec auto refresh on ipsec transport 1 111 udp 1701 syslog notice on syslog debug on tftp host any dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.11.100-192.168.11.179/24 dns server 192.168.1.1 l2tp service on

  • RT107eというルータの設定について

    RT107eというルータの設定について、解らない事だらけで誰か教えてください。 特定のポート(今回はFTP)のみVPN経由で外部へアクセスしたいです。 【拠点A】 LAN IP:192.168.1.0/24 ルータIP:192.168.1.1 クライアントPCAの設定 _IP:192.168.1.2 _NET MASK:255.255.255.0 _GW:192.168.1.1 【拠点B】 LAN IP:192.168.2.0/24 ルータIP:192.168.2.1 クライアントPCBの設定 _IP:192.168.2.2 _NET MASK:255.255.255.0 _GW:192.168.2.1 ※DNSはプロバイダから教えてもらったアドレスを設定しています。 課題が色々あって、簡単なところから始めています。 今までにできた事です。 ・拠点A、拠点Bともにインターネット接続ができていて、両拠点にあるクライアントPCから外部WEBサーバ(yahooとか)接続できるようになりました。 ・拠点Aと拠点BはVPNで接続できるよう設定できました。 ・ファイル共有は拠点Aと拠点Bで問題なく接続できるよう設定できました。 ・両拠点にあるWEBサーバ(クライアントAとBに構築)も相互にアクセスできるよう設定できました。 今度は、拠点AからFTPを使い外部のFTPサーバへアクセスする時、拠点Aから外部へ接続するのではなく、一旦、VPNにて拠点Bを介して外部のFTPサーバへアクセスさせたいです。 ルーティングの設定かと思うんですけど、さっぱり解りません。 (クライアントも何か設定する必要があるのでしょうか?) 一応、拠点Aから下記設定にて外部のFTPサーバへアクセスする事はできました。 拠点Aの設定は大体こんな感じです。 (何やってんの?っていう突っ込みは沢山あります・・・) ip route 192.168.2.0/24 gateway tunnel 1 ip lan1 address 192.168.1.0/24 provider filter routing connection provider lan1 name LAN: provider lan2 name PPPoE/0/1/5/0/0:Base1 pp select 1 ・・・ ip pp secure filter in 120 121 123 124 125 201 ip pp secure filter out 120 121 123 124 125 999 dynamic 301 302 ・・・ ip pp nat descriptor 10 pp enable 1 provider set 1 Base1 provider dns server pp 1 1 provider select 1 no tunnel enable all tunnel select 1 tunnel name Base2 ipsec tunnel 1 ipsec sa policy 1 1 esp aes-cbc sha-hmac ipsec ike keepalive log 1 off ipsec ike keepalive use 1 on heartbeat 10 6 ipsec ike local address 1 192.168.2.1 ipsec ike local id 1 192.168.2.0/24 ipsec ike pre-shared-key 1 text Base1_key ipsec ike remote address 1 192.168.2.1 ip tunnel tcp mss limit auto tunnel enable 1 ip filter 120 reject * * udp,tcp 135 * ip filter 121 reject * * udp,tcp * 135 ip filter 122 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 123 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 124 reject * * udp,tcp 445 * ip filter 125 reject * * udp,tcp * 445 ip filter 201 pass * 192.168.1.2 tcp * www ip filter 999 pass * * * * * ip filter dynamic 301 * * ftp ip filter dynamic 302 * * www nat descriptor type 10 masquerade nat descriptor masquerade incoming 10 forward 192.168.1.2 nat descriptor masquerade static 10 1 192.168.1.2 tcp www tftp host 192.168.1.2 どのような設定をすれば良いのでしょうか? その他、ツッコミなどもお願いします。 よろしくお願いします。

  • RT57iのVPN接続でLAN内につながらない

    PC1 -> RTX1100 -> Internet -> RT57i -> PC2 RT57iでpptp設定を行いPC1から接続はできましたが PC1からPC2へpingが通りません。 1:PC1からRT57iのVPN接続は完了している 2:PC1からRT57iへのpingは通る 3:RT57iからPC2へpingは通る 4:PC1からPC2へのpingは通らない RTX1100 : 192.168.12.0/24 PC1 : 192.168.12.4 (pptpで割り振られたIP:192.168.0.14) RT57i : 192.168.0.0/24 PC2 : 192.168.0.101 問題点はどこにありますでしょうか? ip route default gateway pp 1 filter 500000 gateway pp 1 ip lan1 address 192.168.0.1/24 ip lan1 proxyarp on ip lan1 secure filter in 100000 100001 100002 100003 100004 100005 100006 100007 100099 pp disable all pp select 1 pppoe use lan2 pppoe auto disconnect off pppoe call prohibit auth-error count off pp auth accept pap chap pp auth myname xxxxxxxx xxxxxxxx ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp secure filter in 200003 200020 200021 200022 200023 200024 200025 200030 200031 200032 200033 200035 200080 200081 200082 200083 ip pp secure filter out 200013 200020 200021 200022 200023 200024 200025 200026 200027 200099 ip pp nat descriptor 1000 netvolante-dns hostname host pp xxxxxxxxxxxx pp enable 1 pp select anonymous pp name RAS/VPN: pp bind tunnel1 pp auth request mschap-v2 pp auth username xxxxxxxxxxxx xxxxxxxxxxxx ppp ipcp ipaddress on ppp ccp type mppe-any ppp ipv6cp use off ip pp remote address pool dhcp pptp service type server pp enable anonymous tunnel disable all tunnel select 1 tunnel encapsulation pptp pptp tunnel disconnect time off tunnel enable 1 ip filter 100000 reject * * udp,tcp 135 * ip filter 100001 reject * * udp,tcp * 135 ip filter 100002 reject * * udp,tcp netbios_ns-netbios_dgm * ip filter 100003 reject * * udp,tcp * netbios_ns-netbios_dgm ip filter 100004 reject * * udp,tcp netbios_ssn * ip filter 100005 reject * * udp,tcp * netbios_ssn ip filter 100006 reject * * udp,tcp 445 * ip filter 100007 reject * * udp,tcp * 445 ip filter 100099 pass * * * * * ip filter 200000 reject 10.0.0.0/8 * * * * ip filter 200001 reject 172.16.0.0/12 * * * * ip filter 200002 reject 192.168.0.0/16 * * * * ip filter 200003 reject 192.168.0.0/24 * * * * ip filter 200010 reject * 10.0.0.0/8 * * * ip filter 200011 reject * 172.16.0.0/12 * * * ip filter 200012 reject * 192.168.0.0/16 * * * ip filter 200013 reject * 192.168.0.0/24 * * * ip filter 200020 reject * * udp,tcp 135 * ip filter 200021 reject * * udp,tcp * 135 ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 200024 reject * * udp,tcp 445 * ip filter 200025 reject * * udp,tcp * 445 ip filter 200026 restrict * * tcpfin * www,21,nntp ip filter 200027 restrict * * tcprst * www,21,nntp ip filter 200030 pass * 192.168.0.0/24 icmp * * ip filter 200031 pass * 192.168.0.0/24 established * * ip filter 200032 pass * 192.168.0.0/24 tcp * ident ip filter 200033 pass * 192.168.0.0/24 tcp ftpdata * ip filter 200034 pass * 192.168.0.0/24 tcp,udp * domain ip filter 200035 pass * 192.168.0.0/24 udp domain * ip filter 200036 pass * 192.168.0.0/24 udp * ntp ip filter 200037 pass * 192.168.0.0/24 udp ntp * ip filter 200080 pass * 192.168.0.1 tcp * 5060 ip filter 200081 pass * 192.168.0.1 udp * 5004-5060 ip filter 200082 pass * 192.168.0.1 tcp * 1723 ip filter 200083 pass * 192.168.0.1 gre * * ip filter 200099 pass * * * * * ip filter 500000 restrict * * * * * nat descriptor type 1000 masquerade nat descriptor masquerade static 1000 1 192.168.0.1 tcp 5060 nat descriptor masquerade static 1000 2 192.168.0.1 udp 5004-5060 nat descriptor masquerade static 1000 3 192.168.0.1 tcp 1723 nat descriptor masquerade static 1000 4 192.168.0.1 gre dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.0.2-192.168.0.99/24 dns server pp 1 dns server select 500001 pp 1 any . restrict pp 1 dns private address spoof on dns private name xxxxxxxxxxxx pptp service on

  • RTX1100のセキュリティー設定について

    RTX1100の設定なんですが、 たとえば、 Telnetは192.168.200.123しか通してないはずなのですが、 192.168.200.76にTELNETが出来てしまいます。 どなたかご教授願えませんか?今晩設置なんで少々焦っています。 ip lan1 address 192.168.200.1/24 ip lan1 secure filter in 2 3 4 1 dynamic 25 26 30 31 ip lan1 secure filter out dynamic 2 3 6 4 5 25 ip lan2 address 192.168.100.8/24 ip filter 1 reject * * * * * ip filter 2 pass * * icmp * * ip filter 3 reject * 192.168.200.123 established * telnet,www,ftpdata-21,smtp ip filter 4 pass * 192.168.200.123 tcp,udp * telnet,www,ftpdata-21,smtp ip filter 105 pass * * tcp 22 22 ip filter dynamic 2 * * telnet ip filter dynamic 3 * * www ip filter dynamic 4 * * tcp ip filter dynamic 5 * * udp ip filter dynamic 6 * * ftp ip filter dynamic 25 * * filter 105 ip filter dynamic 26 * 192.168.200.123 ftp ip filter dynamic 30 * 192.168.200.123 tcp ip filter dynamic 31 * 192.168.200.123 udp

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する