• 締切済み

VPNがパススルーしていない?

お世話になります。 VPN/パススルー機能について詳しい方どなたか教えて下さい。 現在 本社と支社でVPNをしており問題無く通信が出来ています。 今回、本社側のVPN化機能付きのAルータ(*1)の直上にVPNパススルー機能付きのBルータ(*2)を挟むと、VPNができません。この時どのホストからもInternetには繋がり,同セグメント,別セグメント間でPingが通ります。また検証の為別CルータをAルータのWAN側に直刺しすると同じ設定内容でのVPN通信が確立できます。 この検証用CルータをBルータのWAN側に刺すと上手く繋がりません。(Pingは双方向で出来ます) Bルータパススルーが機能してないのでしょうか? A・BどちらのルータにもVPNに関するログは残っていませんでした。 (*1)Persol社BSR14 WAN側PPPoE/VPN-IPsec/レスポンダー設定(アグレッシブモード/ESP/トンネルモード (*2)Buffalo社BBR-4MG IPsecパススルー(ESPトンネルモードのみ対応)→「使用する」/アクセス制限や静的ルーティングの設定は無し この様な設定です、どなたか是非対策方法をご教授下さい。

みんなの回答

  • Toshi0230
  • ベストアンサー率51% (836/1635)
回答No.8

状況は理解できました。 とりあえず、以下の構成で、 [PC1]--(L)[ルータA](W)--(L)[ルータB](W)--(W)[ルータC](L側)--[PC2] 以下の方向のping応答が確認できるようにしてください。 [PC1]→(W)[ルータC] ルータBが適切にルーティングできていないようだと、VPNもなにも出来ません。 (PC2からのping確認は、ルータBのNATではじかれてしまうと思うので、確認する必要はないと思います。) 検証環境でこの状態が出来るかどうか、確認してみてください。

ryukyutaro
質問者

補足

Toshi0230さん、レス遅くなってしまって申し訳ありません。 会社でN/Wを止めて検証する時間が取れないでおりますが、 前回の検証では、 [PC1]--(L)[ルータA](W)--(L)[ルータB](W)~(Internet)~(固定IP)[ルータC](L)--[PC2] の状態で[PC1]→(固定IP)[ルータC]にpingは通りました。 もちろん[PC1]⇔(Internet)も、 [PC2]⇔(Internet)もできました。 ですが[PC1]⇔[PC2]間でVPNは出来ませんでした。 [ルータB]を取ると[PC1]⇔[PC2]間でVPNが出来るようになりました。

  • Elgado
  • ベストアンサー率43% (174/404)
回答No.7

基本的な話ですが、ちょっと気になったので・・・・ ルータ間をVPN接続しない構成の場合、ルータA、ルータCにそれぞれ 相手のLAN側のルーティングが必要ですよ。 相手のルータのWAN側までPingが通っているてLAN側に届いていないので・・・ 多分、相手のLAN側のネットワークをルータが知りません。 Staticルート記述するか(デフォルトルートでも良いですが)、ルータ間で ダイナミックルーティングプロトコルを動かしてください。 VPNをやってると、ルーティングプロトコルの事を忘れがちになるので。

ryukyutaro
質問者

補足

Elgadoさん、ご協力ありがとうございます。 実は本題は、ルータA←→ルータC間でpingを通したいわけではなくて、ルータBを間に介した時に上手くパススルーさせて、ルータA⇔(ルータB)⇔ルータC間にVPNを通したいのです。。。(大変お手数なのですが、履歴をご参照下さい) 実際今でもプロトコルの巡回無しで、静的ルーティングも無しで、「本社」と「支社」のプライベートIPアドレス間でVPNを利用して通信が出来ています。 ところがルータBを間に介した配線をすると駄目なのです。(**)

  • Toshi0230
  • ベストアンサー率51% (836/1635)
回答No.6

> ルータA⇔ルータC間でもVPNが確立した後はPingが双方向で通るようになります。 ルータBが間に入っているときは、ルータA~ルータC間のVPNがつながらないんですよね? なのにVPNが確立した後にはPingが通るって??? おっしゃっていることに矛盾があるようです。 もう一度整理してください。 話を簡潔にするために、ルータA、B、Cを使った検証環境に対象を絞ります。 1. VPNを使わない状態で、ルータA←→ルータC間でPINGの疎通は確認できますか? あるいは別の方法で、通信が確立できていることを証明できますか? 2. 今回問題になっている側のインターネット接続回線は、IP1個の契約ですか?それとも複数の固定IPを持っていますか?

ryukyutaro
質問者

補足

Toshi0230さん、鋭いご質問ありがとうございます。 > ルータA⇔ルータC間でもVPNが確立した後はPingが双方向で通るようになります。 の説明をします。上記正確には検証時(直刺し)に、 [PC1]--(L)[ルータA](W)---(W)[ルータC](L側)--[PC2]の配線で、 【OK】[PC1]→(W)[ルータC] 【OK】[PC2]→(W)[ルータA] 【NG】[PC1]←→[PC2] という状態で、VPNを確立させた後は、 【OK】[PC1]←→[PC2]になるという意味でした。 説明が足りなくて申し訳ありませんでした。 尚、固定IPは1つの契約です。 宜しくお願いします。

  • ArukuMail
  • ベストアンサー率22% (115/510)
回答No.5

なるほど接続後は通りますか・・ すみませぬ、こうなると実機を見ないことには分からないので お役にたてませんです。

ryukyutaro
質問者

補足

ArukuMailさん、とんでもないです。ご協力ありがとうございました。 m(_ _)m

  • ArukuMail
  • ベストアンサー率22% (115/510)
回答No.4

>>ただ、VPNが確立するより前にプライベートIPアドレス間であるA⇔C間でPingは通らないという認識でおりますが。。。 経験した問題は◎[ルータA](W側)⇔(L側)[ルータB]間で ICMPが通らないとPPTPではまずかったです<無論 ホスト⇔ルータも 結論から言うと関係するセッションすべてICMPが通らないとうまくいかなかったです

ryukyutaro
質問者

補足

ArukuMail さん レスが遅れて申し訳ありません。 >経験した問題は◎[ルータA](W側)⇔(L側)[ルータB]間でICMPが通らないとPPTPではまずかったです。 上記◎[ルータA](W側)⇔(L側)[ルータB] 間でPingは通ります。ルータA⇔ルータC間でもVPNが確立した後はPingが双方向で通るようになります。

  • ArukuMail
  • ベストアンサー率22% (115/510)
回答No.3

一つやり方としては VPN同士のネットワークとインターネットのネットワークが分離することだと思います。 うーん、目の前に機材の設定を見ていないのでなんとも と言うことろですが 最後に、どちらのルータもICMPやPINGが通るようになっていますか? 私の場合IPSecではなくPOPTOPと言うマイクロソフトの VPNサービスを利用したことがありましたが その場合ICMPがとらないと 相互に通信ができなかったことがあります。 これでダメなら、すみませんわたしでは手におえませんm(__)m

ryukyutaro
質問者

補足

ArukuMailさん、たびたび迅速なご返答ありがとうございました。 Pingは以下の配線状態で、 [ルータA](W側)---(L側)[ルータB](W側)---(W側)[ルータC] ◎[ルータA](W側)⇔(L側)[ルータB] ◎[ルータB](W側)⇔(W側)[ルータC] NG[ルータA](W側)⇔(W側)[ルータC]  という感じです。 ただ、VPNが確立するより前にプライベートIPアドレス間であるA⇔C間でPingは通らないという認識でおりますが。。。 ありがとうございました。 m(_ _)m

  • ArukuMail
  • ベストアンサー率22% (115/510)
回答No.2

なるほど、臨海性能までつかうのかと思っていました。 ちなみに、NATを有効にすると、これまた動作に 影響が発生するかもしれません。<結局NATルーター側がVPNパケットの振り分け判断ができないから いや同時にVPNセッションをローカル側で行った場合 不具合がでたようなきがします<当方BBR-4HG 友人曰く、ホームユースのルータが 統一規格に合わない仕様が多く 規格では通ってはいけないパケットが通ったり その逆もあって、正常に動かなかった っときいたことがわります<そのときはVPNではない。 ぎゃくにBのBBR-4MGを抜くといけないのでしょうか? パーソルのルータだけでよいように思えるのですが ポート自体TCPはその番号でもなく UDP、TCP以外のプロトコルの透過も必要だったはずです

ryukyutaro
質問者

補足

ArukuMailさん たびたびありがとうございます。 >ぎゃくにBのBBR-4MGを抜くといけないのでしょうか? 当方,ルータBとルータAの間をDMZ化してWWWサーバを公開予定なので今回の配線となっております,,, >ちなみに、NATを有効にすると、これまた動作に影響が発生するかもしれません。 ヘルプによると『インターネットに接続する場合はアドレス変換機能を使用してください。』とあり、本機ルータBでTCPとUDPしか選べない(「プロトコル全て」とかの選択肢は無い)ので、結論として、ポートの開放ではなく、「IPsec パススルー機能」を『使用する』にして使うしかないのでしょうか? その場合は残念ながらA・B両ルータで定義しているパケット規格が一致してないので、もう別メーカのルータを利用するしかないという落ちになってしまいのでしょうか? う~ん、残念です。 ↓↓遅ればせながら参考までにイメージ図です↓↓ 【OKの時】 (本社)--[ルータ甲]--[ルータ乙]~(インタネット)~[ルータA]--(支社) VPN: [ルータ甲]⇔OK⇔[ルータA] ※[ルータ乙]=パススルー設定 【NGの時】 (本社)--[ルータ甲]--[ルータ乙]~(インタネット)~[ルータB]--[ルータA]--(支社) VPN: [ルータ甲]⇔NG⇔[ルータA] ※[ルータ乙]&[ルータB]=パススルー設定

  • ArukuMail
  • ベストアンサー率22% (115/510)
回答No.1

いやどれもホームユースのルータですよ。<パーソルのやつはなかなか面白い機能していましたが。 ビジネスユースのルータにするのが本来の事だと思います。 どのルータもVPNパスは本機にVPNの接続があって 通しますが、透過にはいかんせん簡易で作っています。 この簡易の仕様なので本来のVPNパケットをとうせない ことがあります。 ちなみにホームユースルータには、VPNパケット(IPSecの場合)通せる数に制限があったかも。 ちなみにこれは重要なことですが VPNはどのような仕様で相互を接続していますか? これによりBBR-4MGにあるESPトンネルモードが使えるか どうかにかかってくると思われます。 http://www.fmmc.or.jp/~fm/nwts/nwmg/keyword02/vpn/mode.htm

ryukyutaro
質問者

補足

ArukuMailさん 迅速なご回答ありがとうございます。 本社と支社と言っても、お恥ずかしながらSOHOですので暫定的・試験的に運用しております。(余裕ができしだいYAMAHA/RTX1100を設置する予定です) >VPNはどのような仕様で相互を接続していますか? VPNは現在『トンネルモード』で『ESP』を指定しています。 >ちなみにホームユースルータには、VPNパケット(IPSecの場合)通せる数に制限があったかも。 現在トンネル数は1本ですし、検証でBルータWAN側に直刺ししてもパススルーしないのも不思議な感じです,,, 現在も調査中で、先程ポート番号(500番)を明示的に開けてみたのですがやはり駄目でした。違うポート番号でしょうか? 宜しくお願いします。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • VPNパススルーの複数台接続について

    下記の環境で、VPNパススルーにより複数台本社と接続しています。 使用場所 仙台市 回線 光ネクストハイスピード プロバイダ auone-net ルータ webcaster v130 クライアントOS XP VPN設定 XPの接続設定による(L2TP IPSEC VPN) 接続先 本社側ルータcentrecom AR450S このうち、1台だけがVPN接続が不安定になり、接続直後は問題ないのですが、 時間が立つにつれ、VPNでの通信が途絶、やがて切断されるという状況が おきています。再接続すると問題なく通信可能です。 ルータの機能詳細ガイドではVPNパススルーでのIPSECは 1セッションのみ可能となっていますが、同様の説明のある他のルータを使用している 営業所では問題なく複数台使用できており、ルータ側の問題ではないのでは? と思います。 通信できなくなる場合、本社側のルータにコマンドプロンプトを使用してVPN経由の pingは通りますが、アプリケーションでの通信はできないという不思議な状況です。 EDITMTUを利用して、本社ルータに対するMTU探索を行うと、1400になりますが、 時間が立つと1400ではタイムアウトになります。その際でも32バイトのpingは通り 続けます。 また、問題の起きるPCのMTUの調整等も行いましたが変化はありません。 問題の起きていないほうのPCではMTUは初期値のままで問題はおこりません。 なにか原因として考えられることはありますでしょうか? とりあえず該当PCのNICを変えてみようかとは思っていますが...

  • SonicWALLグローバルVPNクライアントについて

     SonicWALLグローバルVPNクライアントについてご教授ください。    取扱説明書に、 「IPSec(プロコトルESP,ポート0)パススルー対応ルーターでのみ使用可」との表記があるのですが、 コンシューマ向けのルーターにあるIPSecパススルー機能では動作しないのでしょうか? ルーターはWeb Caster V110M OSはXP-SP2です。  よろしくお願いします

  • サイト間VPNで上位機器でIKE,ESPの許可設定

    下記のことを実施したいと考えていますが、YAMAHAのRTX1000同士でVPNが張れません。 原因及び対応方法がわからず、困っております。 ご教示頂けますようお願い致します。 【行いたいこと】 1.VPNルータAのLAN1のセグメント(192.168.5.0/24)の端末からVPNルータBのLAN1のセグメント(192.168.3.0/24)の端末へVPN接続を行いたい。VPM接続を行うのは、RTX1000同士だが、VPNルータBの上位にSonicWALL TZ100があり、VPN接続を行うため、IKE,ESPを許可する必要がある。 2.PNルータAのLAN1のセグメント(192.168.5.0/24)の端末からVPNルータBのLAN1のセグメント(192.168.3.0/24)にVPN接続した後にSonicWALL TZ100のX2(LAN)のセグメント(192.168.4.0/24)にアクセスをさせたい。 【構成】 192.168.4.0/24 (X2) --TZ100 (X1) ----- (LAN2) RTX1000 VPNルータA(LAN1) --192.168.5.0/24                (X0)                 |               (LAN2)              RTX1000 VPNルータB               (LAN1)                |              192.168.3.0/24 【YAMAHA RTX1000 ファームウェア:8.01.29 VPNルータA】 ip lan1 address 192.168.5.50/24 ip lan2 address 192.168.1.60/24 ip route default gateway 192.168.1.1 ip lan2 nat descriptor 1 nat descriptor type 1 masquerade nat descriptor address outer 1 192.168.1.60 nat descriptor address inner 1 auto tunnel select 1 ipsec tunnel 101 ipsec sa policy 101 1 esp 3des-cbc sha-hmac ipsec ike keepalive use 1 on ipsec ike local address 1 192.168.5.50 ipsec ike pre-shared-key 1 text password ipsec ike remote address 1 192.168.1.60 tunnel enable 1 nat descriptor masquerade static 1 1 192.168.5.50 udp 500 nat descriptor masquerade static 1 2 192.168.5.50 esp ipsec auto refresh on ip route 192.168.3.0/24 gateway tunnel 1 【YAMAHA RTX1000 ファームウェア:8.01.29 VPNルータB】 ip lan1 address 192.168.3.20/24 ip lan2 address 192.168.2.30/24 ip route default gateway 192.168.2.40 ip route 192.168.4.0/24 gateway 192.168.2.40 nat descriptor type 1 masquerade nat descriptor address outer 1 192.168.2.30 nat descriptor address inner 1 auto tunnel select 1 ipsec tunnel 101 ipsec sa policy 101 1 esp 3des-cbc sha-hmac ipsec ike keepalive use 1 on ipsec ike local address 1 192.168.3.20 ipsec ike pre-shared-key 1 text password ipsec ike remote address 1 192.168.1.60 tunnel enable 1 nat descriptor masquerade static 1 1 192.168.3.20 udp 500 nat descriptor masquerade static 1 2 192.168.3.20 esp ipsec auto refresh on ip route 192.168.5.0/24 gateway tunnel 1 【SonicWALL TZ100 ファームウェア:SonicOS Enhanced 5.8.1.12-65o.01.jpn】 X0(LAN) 192.168.2.40/24 X1(WAN) 192.168.1.50/24 G/W:192.168.1.1 DNS:4.2.2.2 X2(LAN) 192.168.4.40/24 アクセスルール(LAN > WAN) No.1 送信元:すべて 送信先:すべて サービス:すべて 動作:許可 アクセスルール(WAN > LAN) No.1 送信元:すべて 送信先:WANプライマリIP サービス:ESP(IPSec) 動作:許可 No.2 送信元:すべて 送信先:WANプライマリIP サービス:IKE 動作:許可 NATポリシー No.1 変換前の送信元:すべて 変換後の送信元:オリジナル 変換前の送信先:WANプライマリIP 変換後の送信先:192.168.2.30 変換前のサービス:ESP(IPSec) 変換後のサービス:オリジナル No.2 変換前の送信元:すべて 変換後の送信元:オリジナル 変換前の送信先:WANプライマリIP 変換後の送信先:192.168.2.30 変換前のサービス:IKE 変換後のサービス:オリジナル アドレスオブジェクト 名前:192.168.2.30 ゾーン:LAN タイプ:ホスト IPアドレス:192.168.2.30

  • ルータ経由でのVPN接続

    最近、BUFFALO製(BBR-4MG)を使い始めたのですが、以前までできていた大学とのVPN接続が出来なくなってしまいました。 http://buffalo.melcoinc.co.jp/products/catalog/item/b/bbr-4mg/ にVPNマルチパススルー機能対応と書いてあるのですが、これとは別なのでしょうか? IPsec パススルー機能も設定するにしたのですが。 いつもユーザー名とパスワードを検証中です...の所で止まってしまいます。 どうすればいいかわかる方いらっしゃいますでしょうか?

  • FortiGate50B VPN-IPSECの接続について

     FortiGate50Bで拠点間VPNの接続設定しているのですが、VRN>IPSEC>モニタ にて、各接続先の「トンネルがアップ状態」=「↑」(緑色)になっているのですが、各拠点先のルーターへpingが通りません。 設定内容が足りないのか・・・、ヒントになるような内容でも教えていただければと思います。 ■VPN>IPSEC>AutoKey(IKE) ・暗号化:AES 認証:SHA1 ・リプレイ検知を有効 ・PFSを有効にする ・DHグループ:"2" ・自動鍵キープアライブ:有効 ・Quick Mode Selector ※下記の各拠点ごとに送信元アドレス、宛先アドレスを設定 <A拠点アドレス> 172.26.12.0/24 <B拠点アドレス> 192.168.11.1/24 ■ファイアウォール>ポリシー>Internal>wan1 ・IPSECにて設定済み よろしくお願いします。

  • グローバルIPを使用したVPN接続について

    VPNとクライアントとVPNサーバに、グローバルIPを割り振って、PPTPによるVPN接続を行う場合、ルータにVPNパススルー機能は必要でしょうか? また、VPNサーバとVPNクライアントの配置を逆にした場合はどうでしょうか? ○構成 【VPNサーバ】- 【(WAN側) ルータ (LAN側)】- 【VPNクライアント】 どなたか、ご教授よろしくお願いします。

  • IPSec VPN のLANアドレス

    1.家庭と遠隔地(アパート:赴任先)でVPNを構築して、家庭内LANに接続したネットワークカメラ(サーバ機能あり)、LANDISK(MELCO製)にアクセスしたく、 2.planex製のVPNルータ(BRC14VとBRC14VG)を使用して 3.ADSL回線で、両者を接続したいのですが、 各ルータでの、IPアドレスはセグメントが分かれる(192.168.1.*と192.168.2.*等)ため、アパートからネットワークカメラを見ることができないと思うのでが、どうすればいいでしょうか? あれこれいじってますが、わかりません。 設定(状態表示)画面では、両ルータともipsec接続と表示されています。 WAN側IPは両方とも動的でDyndnsを使用して、URLで接続(?)しています。 片方を使用しないにすると、もう一方は接続待ちになりますから接続されてはいるようです。 見る側のアドレスを見られる側のセグメントにすればいいのでしょうか? そうすると、自分の側のルータとの関係は?? どなたか、よいアドバイスをお願いします。

    • ベストアンサー
    • ADSL
  • RT107eでIPSec VPN(メインモード)を設定しようとしていま

    RT107eでIPSec VPN(メインモード)を設定しようとしています。 本部側がRT107e、拠点側はルータを使用せずにWindows XP標準のIPセキュリティポリシーを使いたいのですが、送信フィルタ、受信フィルタ、認証用のフィルタを設定しても接続できません。 Webを検索し続けていますが、YAMAHAルータとの接続例もみあたりません。YAMAHAルータでWindows XPの標準機能でIPSecの接続成功例・推奨設定などわかる方がいらっしゃいましたら、教えていただけますでしょうか。 双方にはグローバルIPアドレスが割り当てられています。 WinXPはRT57iの内側にありますが、静的NATでグローバルIPが割り当てられesp、udp500は通過できます。 現在はPingすると「Negotiating IP Security.」で接続を確立できません。

  • YAMAHAルータのサイト間VPNの設定について

    1.YAMAHAのルータを使用してサイト間VPNを行おうとしていますが、VPNトンネルが張れません。 2.ルータAのLAN1の端末からルータBのLAN1の端末宛、ルータBのLAN1の端末からルータAのLAN1の端末宛にPingを実施しましたが応答がありません。 3.RTX1000のWebUIにアクセスしてIPSECの項目を確認しましたが、両方ともダウン状態でした。 4.ルータAのLAN1の端末からPR-200NEを通ってインターネットへアクセスできること、ルータBのLAN1の端末からPR-200NEを通ってインターネットへアクセスできることを確認しております。 何が原因になっているかわからず、困っております。 ご教示を頂けますようお願いいたします。 【NTT PR-200NE ファームウェア:18.34】 静的ルーティング設定:宛先:192.168.168.0/24 インターフェイス:LAN ゲートウェイ:192.168.1.60 静的ルーティング設定:宛先:192.167.167.0/24 インターフェイス:LAN ゲートウェイ:192.168.1.50 【YAMAHA RTX1000 ファームウェア:8.01.29 VPNルータA】 ip route default gateway 192.168.1.1 ip lan1 address 192.167.167.167/24 ip lan2 address 192.168.1.50/24 tunnel select 1 ipsec tunnel 101 ipsec sa policy 101 1 esp aes-cbc sha-hmac ipsec ike keepalive use 1 on ipsec ike local address 1 192.167.167.167 ipsec ike pre-shared-key 1 text password ipsec ike remote address 1 192.168.1.60 tunnel enable 1 ipsec auto refresh on ip route 192.168.168.0/24 【YAMAHA RTX1000 ファームウェア:8.01.29 ルータB】 ip route default gateway 192.168.1.1 ip lan1 address 192.167.167.167/24 ip lan2 address 192.168.1.50/24 tunnel select 1 ipsec tunnel 101 ipsec sa policy 101 1 esp aes-cbc sha-hmac ipsec ike keepalive use 1 on ipsec ike local address 1 192.168.168.168 ipsec ike pre-shared-key 1 text password ipsec ike remote address 1 192.168.1.50 tunnel enable 1 ipsec auto refresh on ip route 192.167.167.0/24 gateway tunnel 1

  • VPN接続について教えて下さい、通信初心者です

    自宅と会社をVPNで接続する場合ですが インターネットVPNとかIP-VPNとかでもう分りません。 プロバイダは@niftyでv6プラスを契約しています ↓家にはNTTの光回線ルーター(PR-S300SE) ↓NEC無線ルーター WG2600HP3(ブリッジモード) ↓NEC無線ルーター WG2600HP3 PCへは有線接続 ↓NEC無線ルーター WG2600HP3 プリンターはwi-fi接続 この環境ですとNEC無線ルーター WG2600HP3にはVPNパススルー機能が有り VPNパススルー接続出来る様ですが、どの様に設定するのか分かりません。 またNTTの光回線ルーター(PR-S300SE)にはVPN機能が無いので 自分ではよく分かっていないのですが、DHCPv4を無効にしNTTのルーターを ブリッジモードにしましてヤマハなどの高価なルーターを購入しこちらを ルーターモードで動作させましたらVPN接続出来るのでしょうか? またルーターでVPN接続しました場合、インターネットとトンネル回線 両方利用出来るのでしょうか?

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する