• 締切済み
  • すぐに回答を!

RTX1000でのポート解放について。

NTT西日本Bフレッツで接続しています。 現状のconfigは ip route default gateway pp 1 ip lan1 address 192.168.1.200/24 ip lan1 nat descriptor 2 ip lan2 secure filter in 200017 200018 ip lan2 secure filter out dynamic 200098 200099 ip lan2 intrusion detection in on reject=on ip lan2 intrusion detection out on reject=on pp select 1 pp always-on on pppoe use lan2 pppoe auto connect on pppoe auto disconnect off pp auth accept pap chap pp auth myname ID PAWWRD ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp mtu 1438 ip pp nat descriptor 1 pp enable 1 ip filter 200014 pass * * icmp * * ip filter 200015 pass * * established * * ip filter 200016 pass * * tcp * ident ip filter 200017 pass * 192.168.1.201 tcp * 26508 ip filter 200018 pass * 192.168.1.201 udp * 26508 ip filter 200099 pass * * * * ip filter dynamic 200098 * * tcp ip filter dynamic 200099 * * udp nat descriptor type 1 masquerade syslog debug on dhcp service server dhcp scope 1 192.168.1.201-192.168.1.254/24 dns server pp 1 dns private address spoof on httpd host 192.168.1.1-192.168.1.254 としています。 ip filter 200017 pass * 192.168.1.201 tcp * 26508 ip filter 200018 pass * 192.168.1.201 udp * 26508 で特定ポートを解放しているつもりですが。。。 ip lan2 secure filter in 200017 200018 で設定も反映しています。 どこが間違っているかご教示頂きたいと存じます。

共感・応援の気持ちを伝えよう!

みんなの回答

  • 回答No.10

簡単なログの説明をしますね。 追加前: > PP[01] Rejected at OUT(1015) filter: TCP 192.168.10.2:58725 > 192.168.1.6:445 192.168.10.2から192.168.1.6への通信がpp1に流れていて、pp1(LAN2)のフィルタ番号1015でOUT方向を弾いています。 異なるネットワークアドレスへの通信はルーティングを必要としますが、192.168.1.0への経路が設定されていないので、 default gatewayであるpp1へ流れていると思われます。 変更後: > LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:64277 > 192.168.10.1:53 フィルタ番号2000によって、LAN3に入ってくる通信を弾いています。 UDP53なので、DNSが参照できないようですね。 pingでIPアドレス指定なら通るかもしれません。

共感・感謝の気持ちを伝えよう!

  • 回答No.9

もう少しconfig眺めてみました。 フィルタかけてるのがLAN2だけで、LAN1とLAN3の設定がないようですね。 ip INTERFACE secure filter....のトコです。 configにsyslog notice onを加えて、show log | grep Rejected すると、 デフォルトのフィルタで弾かれてるのが見えるような気がします。 既出ですが、http://netvolante.jp/solution/int/case4.htmlをしっかり眺めてください。

共感・感謝の気持ちを伝えよう!

質問者からの補足

皆様ご教示ありがとうございます。 ip filter 1030 pass * 192.168.1.0/24 icmp ←削除 し ip lan3 secure filter out 3000 dynamic 100 101 ip lan3 secure filter in 1101 1102 1103 2000 ip filter 1102 pass * 192.168.1.0/24 udp,tcp 445 * ip filter 1103 pass * 192.168.1.0/24 udp,tcp * 445 を追加しましたらDMZ上端末からインターネット上に出なくなってしまいました。 追加する前は 2009/03/19 23:37:13: [INSPECT] PP[01][out][106] UDP 192.168.10.2:65435 > 192.16 8.1.4:161 (2009/03/19 23:36:22) 2009/03/19 23:37:14: PP[01] Rejected at OUT(1015) filter: TCP 192.168.10.2:5872 5 > 192.168.1.6:445 2009/03/19 23:37:15: PP[01] Rejected at OUT(1013) filter: TCP 192.168.10.2:5873 0 > 192.168.1.6:139 2009/03/19 23:37:17: PP[01] Rejected at OUT(1015) filter: TCP 192.168.10.2:5872 5 > 192.168.1.6:445 2009/03/19 23:37:18: PP[01] Rejected at OUT(1013) filter: TCP 192.168.10.2:5873 0 > 192.168.1.6:139 2009/03/19 23:37:23: PP[01] Rejected at OUT(1015) filter: TCP 192.168.10.2:5872 5 > 192.168.1.6:445 2009/03/19 23:37:24: PP[01] Rejected at OUT(1013) filter: TCP 192.168.10.2:5873 0 > 192.168.1.6:139 2009/03/19 23:37:36: PP[01] Rejected at OUT(1012) filter: UDP 192.168.10.2:137 > 192.168.1.6:137 とrejectedされていました。 追加した後は 2009/03/19 23:29:06: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:64277 > 192.168.10.1:53 (DNS Query [tisprotb10-jp.url.trendmicro.com]) 2009/03/19 23:29:07: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:64277 > 192.168.1.150:53 (DNS Query [tisprotb10-jp.url.trendmicro.com]) 2009/03/19 23:29:07: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:64277 > 192.168.10.1:53 (DNS Query [tisprotb10-jp.url.trendmicro.com]) 2009/03/19 23:29:09: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:64277 > 192.168.1.150:53 (DNS Query [tisprotb10-jp.url.trendmicro.com]) 2009/03/19 23:29:09: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:64277 > 192.168.10.1:53 (DNS Query [tisprotb10-jp.url.trendmicro.com]) 2009/03/19 23:29:13: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:64277 > 192.168.1.150:53 (DNS Query [tisprotb10-jp.url.trendmicro.com]) 2009/03/19 23:29:13: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:64277 > 192.168.10.1:53 (DNS Query [tisprotb10-jp.url.trendmicro.com]) 2009/03/19 23:29:21: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:53819 > 192.168.1.150:53 (DNS Query [www.google.co.jp]) 2009/03/19 23:29:22: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:65435 > 192.168.1.4:161 2009/03/19 23:29:22: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:53819 > 192.168.1.150:53 (DNS Query [www.google.co.jp]) となっておりウィルスバスターが何か悪さをしているのでしょうか? 堂々巡りの質問ばかりで申し訳ありませんがよろしくお願いいたします。

  • 回答No.8
  • invalid
  • ベストアンサー率61% (67/109)

> >LAN(LAN1)⇒DMZ(LAN3)はTCP全許可 > 例えば192.168.1.6から192.168.10.1に対してpingも通りません。 pingが使うのはTCPパケットではなくICMPパケットとなるので 上記の「TCP全許可」にあてはまらないです。 LAN3の関係だけピックアップして修正する例を書きます。 -- ip lan3 address 192.168.10.1/24 ip lan3 secure filter in 1101 1102 1103 2000 ⇒DMZからLANに通したいプロトコルのフィルタを追加 ip lan3 secure filter out 3000 dynamic 100 101 ⇒No.200を削除 ip filter 1101 pass * 192.168.1.0/24 icmp ⇒DMZからLANに通したいプロトコルを指定 ip filter 1102 pass * 192.168.1.0/24 tcp * * ⇒DMZからLANに通したいプロトコルを指定(例で*にしてます) ip filter 1103 pass * 192.168.1.0/24 udp * * ⇒DMZからLANに通したいプロトコルを指定(例で*にしてます) ip filter 2000 reject * * ip filter 3000 pass * * ip filter dynamic 100 * * ftp ip filter dynamic 101 * * www # ip filter dynamic 200 192.168.1.0/24 * tcp ⇒No.200を削除 -- > 具体的にとの様なログをチェックしたら宜しいのでしょうか? syslog notice on としておくとフィルタでrejectされた通信がログに出力されるようになります show logで確認してください。

共感・感謝の気持ちを伝えよう!

  • 回答No.7

ナナメ読みして直感でお答えしますが、 フィルタではなくてルーティングの問題のような気がします。 192.168.1.200から192.168.10.1への経路が、defaultのpp1に流れてるカモ。 syslogを見ればフィルタやNATでRejectされてたら分かるので、その辺りもお調べ下さい。

共感・感謝の気持ちを伝えよう!

質問者からのお礼

invalidさん・kuroizellさんご教示ありがとうございます。 invalidさんのご指摘通りに修正を致しましたが、 1921.168.1.0/24に対してpingは通らない状態でした。 >192.168.1.0/24のグループにもアクセスは不可 と致したかったのですが、ファイル共有だけは 行いたいと思っていました。 確かにセキュリティの面では問題があるとは思いますが。。 再度整理致しますと WAN(LAN2)⇒DMZ(LAN3)は​www,ftp,26805​だけが接続可 DMZ(LAN3)⇒LAN(LAN1)はファイル共有のみ可(192.168.1.6に対して)それ以外は拒否 WAN(LAN2)⇒LAN(LAN1)は拒否 LAN(LAN1)⇒WAN(LAN2)は全許可 LAN(LAN1)⇒DMZ(LAN3)はTCP全許可 DMZ(LAN3)⇒WAN(LAN2)は限られた通信(100~106)が許可 ですが >LAN(LAN1)⇒DMZ(LAN3)はTCP全許可 例えば192.168.1.6から192.168.10.1に対してpingも通りません。 >syslogを見ればフィルタやNATでRejectされてたら分かるので、その >辺りもお調べ下さい とお教え頂きましたが、具体的にとの様なログをチェックしたら宜しいのでしょうか?

  • 回答No.6
  • invalid
  • ベストアンサー率61% (67/109)

WAN(LAN2)⇒DMZ(LAN3)はwww,ftp,26805だけが接続可 DMZ(LAN3)⇒LAN(LAN1)は拒否 WAN(LAN2)⇒LAN(LAN1)は拒否 LAN(LAN1)⇒WAN(LAN2)は全許可 LAN(LAN1)⇒DMZ(LAN3)はTCP全許可 DMZ(LAN3)⇒WAN(LAN2)は限られた通信(100~106)が許可 というポリシーのつもりでした。 >192.168.1.0/24のグループにもアクセスは不可 上記のポリシーでは内部LAN(192.168.1.0/24)へはDMZおよびWANから接続できない前提でした。 外部から内部への接続は極力拒否するのが通常のポリシーだと思います。 >192.168.10.2から192.168.1.200(RTX1000内部)に対してもpingは通らない状態です。 これも同様でDMZ(LAN3)⇒LAN(LAN1)は拒否というポリシーでできない状態です。 WAN⇒DMZは限られたポートについて許すがDMZ/WANからLAN1への接続は全て許さないというポリシーになります # この辺りがmmiyamoto2さんと私が合わないのですね… mmiyamoto2さんの作りたいネットワーク構成で DMZ/LANの分けがないのであれば、DMZを無理に作る必要はないです インターネットからの侵入を防ぎたいのであれば、あったほうが良い と思いますが… もしDMZ/LANの分けにこだわりがなければ LAN3にかかっているフィルタを外した方がよいと思います。 (※INもOUTも) 以下のConfigでLAN1(LAN)~LAN3(DMZ)間は制限がなくなります。 (LAN3のフィルリングを外しWAN側インタフェースのみフィルタリング) --- ip route default gateway pp 1 ip filter source-route on ip filter directed-broadcast on ip lan1 address 192.168.1.200/24 ip lan3 address 192.168.10.1/24 pp select 1 pp always-on on pppoe use lan2 pp auth accept pap chap pp auth myname ********** ******** ppp lcp mru on 1454 ppp ipcp msext on ip pp mtu 1438 ip pp secure filter in 1031 1032 1033 1034 2000 dynamic 202 203 ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106 ip pp intrusion detection in on ip pp nat descriptor 1 pp enable 1 ip filter 1010 reject * * udp,tcp 135 * ip filter 1011 reject * * udp,tcp * 135 ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 1014 reject * * udp,tcp 445 * ip filter 1015 reject * * udp,tcp * 445 ip filter 1031 pass * 192.168.10.2 tcp * 26508 ip filter 1032 pass * 192.168.10.3 tcpflag=0x0002/0x0017 * 21 ip filter 1033 pass * 192.168.10.2 udp * 26508 ip filter 1034 pass * 192.168.10.3 tcpflag=0x0002/0x0017 * www ip filter 2000 reject * * ip filter 3000 pass * * ip filter dynamic 100 * * ftp ip filter dynamic 101 * * www ip filter dynamic 102 * * domain ip filter dynamic 103 * * smtp ip filter dynamic 104 * * pop3 ip filter dynamic 105 * * tcp ip filter dynamic 106 * * udp ip filter dynamic 202 * 192.168.10.3 ftp ip filter dynamic 203 * 192.168.10.3 www nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor masquerade static 1 1 192.168.10.2 tcp 26508 nat descriptor masquerade static 1 2 192.168.10.2 udp 26508 nat descriptor masquerade static 1 3 192.168.10.3 tcp 21 nat descriptor masquerade static 1 4 192.168.10.3 tcp www syslog debug on tftp host any dhcp service server dhcp scope 1 192.168.1.201-192.168.1.254/24 dns private address spoof on httpd host 192.168.1.1-192.168.1.254 ---

共感・感謝の気持ちを伝えよう!

  • 回答No.5
  • invalid
  • ベストアンサー率61% (67/109)

configを以下のようにしてみてはいかがでしょうか。 修正行には※でコメントをしてあります。 行先頭に#がある行は不要と思われる行です。 BフレッツでPPPoEなのでグローバルアドレス、DNSもIPCPで付与 されると重います。 --- ip route default gateway pp 1 ip filter source-route on ip filter directed-broadcast on ip lan1 address 192.168.1.200/24 ip lan3 address 192.168.10.1/24 ip lan3 secure filter in 2000 ip lan3 secure filter out 3000 dynamic 100 101 200 pp select 1 pp always-on on pppoe use lan2 pp auth accept pap chap pp auth myname ********** ******** ppp lcp mru on 1454 ppp ipcp msext on #ip pp address 111.11.111.111/32 (※PPPoEでグローバルアドレスが付けられるので行削除) ip pp mtu 1438 ip pp secure filter in 1031 1032 1033 1034 2000 dynamic 202 203 ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106 ip pp intrusion detection in on ip pp nat descriptor 1 pp enable 1 ip filter 1010 reject * * udp,tcp 135 * ip filter 1011 reject * * udp,tcp * 135 ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 1014 reject * * udp,tcp 445 * ip filter 1015 reject * * udp,tcp * 445 ip filter 1031 pass * 192.168.10.2 tcp * 26508 ip filter 1032 pass * 192.168.10.3 tcpflag=0x0002/0x0017 * 21 ip filter 1033 pass * 192.168.10.2 udp * 26508 ip filter 1034 pass * 192.168.10.3 tcpflag=0x0002/0x0017 * www ip filter 2000 reject * * ip filter 3000 pass * * ip filter dynamic 100 * * ftp ip filter dynamic 101 * * www ip filter dynamic 102 * * domain ip filter dynamic 103 * * smtp ip filter dynamic 104 * * pop3 ip filter dynamic 105 * * tcp ip filter dynamic 106 * * udp ip filter dynamic 200 192.168.1.0/24 * tcp (※192.168.0.0⇒192.168.1.0に修正) ip filter dynamic 202 * 192.168.10.3 ftp ip filter dynamic 203 * 192.168.10.3 www nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp (※PPPoE/IPCPのアドレスを使うよう設定) nat descriptor masquerade static 1 1 192.168.10.2 tcp 26508 nat descriptor masquerade static 1 2 192.168.10.2 udp 26508 nat descriptor masquerade static 1 3 192.168.10.3 tcp 21 nat descriptor masquerade static 1 4 192.168.10.3 tcp www syslog debug on tftp host any dhcp service server dhcp scope 1 192.168.1.201-192.168.1.254/24 #dns server 222.222.222.22 333.333.333.33 (※PPPoEでアドレスが付けられるので行削除) dns private address spoof on httpd host 192.168.1.1-192.168.1.254 ---

共感・感謝の気持ちを伝えよう!

質問者からのお礼

いつもお世話になります。 お教え頂きしまた箇所修正致しましたが26508のポートや 外部への接続はできませんでした。 また192.168.1.0/24のグループにもアクセスは不可でした。 試しに ip lan3 secure filter in 2000 を削除すると26508のポートや外部への接続は当然ですが 可能となりしまたが、192.168.1.0/24のグループには アクセスできませんでした。 192.168.10.2から192.168.1.200(RTX1000内部)に対しても pingは通らない状態です。 他に何かありますでしょうか?

  • 回答No.4
  • invalid
  • ベストアンサー率61% (67/109)

私がややこしい例を持ち出して混乱させてしまったようです。 申し訳ないです。 まず # nat descriptor masquerade static 1 1 192.168.10.2 tcp 26508 # nat descriptor masquerade static 1 2 192.168.10.2 udp 26508 ←idを2にしています でポートをマッピングします。 > ip filter 1031 pass * 192.168.10.2 tcpflag=0x0002/0x0017 * 26508  これですと最初のSYNフラグの付いたパケットだけが通りますが、 続いてくるパケットを通すために動的フィルタが必要になります。 ただ動的フィルタが26508に対応していないと思われるので、以下 のようにしてください。 (最初の質問のconfigと変わってないですね…スミマセン ホントはSYN有無で分けたほうがセキュリティ的には良いのですが) # ip filter 1031 pass * 192.168.10.2 tcp * 26508  # ip filter 1033 pass * 192.168.10.2 udp * 26508 以下の動的フィルタは不要です > ip filter dynamic 201 * 192.168.10.2 26508 PPにかけるフィルタは動的フィルタ(dynamic)を除いて # ip pp secure filter in 1020 1030 1031 1033 2000 です。 26508番ポートを使うアプリケーションが何者かが分からないため 通信がうまくいくかどうか少し疑問です。 ・UDPを必要としてるのかどうか? ・レスポンスをそのポートから返すのか? ・他のunknownポートを使うのかどうか? とかです。 > またDMZ領域から外部へのアクセスは可能なのでしょうか? >(Web等々smtpも含みます) (サイトの例で)LAN3にかかっているフィルタと、PPにかかっているフィルタの両方を見て DMZから外部にアクセスできる状態になっているかどうかがポイントになります。 26508ポートの通信ができるようになってから別途設定するほうが良いと思います。

共感・感謝の気持ちを伝えよう!

質問者からの補足

invalid様。お世話になります。 休日でしたので朝から設定してみました。結局configは ip route default gateway pp 1 ip filter source-route on ip filter directed-broadcast on ip lan1 address 192.168.1.200/24 ip lan3 address 192.168.10.1/24 ip lan3 secure filter in 2000 ip lan3 secure filter out 3000 dynamic 100 101 200 pp select 1 pp always-on on pppoe use lan2 pp auth accept pap chap pp auth myname ********** ******** ppp lcp mru on 1454 ppp ipcp msext on ip pp address 111.11.111.111/32 (111.11.111.111と設定すると111.11.111.111/32なる) ip pp mtu 1438 ip pp secure filter in 1020 1030 1031 1032 1033 2000 dynamic 202 203 ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106 ip pp intrusion detection in on ip pp nat descriptor 1 pp enable 1 ip filter 1010 reject * * udp,tcp 135 * ip filter 1011 reject * * udp,tcp * 135 ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 1014 reject * * udp,tcp 445 * ip filter 1015 reject * * udp,tcp * 445 ip filter 1031 pass * 192.168.10.2 tcp * 26508 ip filter 1032 pass * 192.168.10.3 tcpflag=0x0002/0x0017 * 21 ip filter 1033 pass * 192.168.10.2 udp * 26508 ip filter 1034 pass * 192.168.10.3 tcpflag=0x0002/0x0017 * www ip filter 2000 reject * * ip filter 3000 pass * * ip filter dynamic 100 * * ftp ip filter dynamic 101 * * www ip filter dynamic 102 * * domain ip filter dynamic 103 * * smtp ip filter dynamic 104 * * pop3 ip filter dynamic 105 * * tcp ip filter dynamic 106 * * udp ip filter dynamic 200 192.168.0.0/24 * tcp ip filter dynamic 202 * 192.168.10.3 ftp ip filter dynamic 203 * 192.168.10.3 www nat descriptor type 1 masquerade nat descriptor address outer 1 111.11.111.111 nat descriptor masquerade static 1 1 192.168.10.2 tcp 26508 nat descriptor masquerade static 1 2 192.168.10.2 udp 26508 nat descriptor masquerade static 1 3 192.168.10.3 tcp 21 nat descriptor masquerade static 1 4 192.168.10.3 tcp www syslog debug on tftp host any dhcp service server dhcp scope 1 192.168.1.201-192.168.1.254/24 dns server 222.222.222.22 333.333.333.33 dns private address spoof on httpd host 192.168.1.1-192.168.1.254 # show status pp 1 PP[01]: Current PPPoE session status is Connected. Access Concentrator: nttw-ctu 26 minutes 5 seconds connection. Received: 155 packets [14662 octets] Load: 0.0% Transmitted: 111 packets [5049 octets] Load: 0.0% PPP Cofigure Options LCP Local: Magic-Number MRU, Remote: CHAP Magic-Number MRU IPCP Local: IP-Address Primary-DNS(***.***.**.***) Secondary-DNS(***.***.***.***), Remote: IP-Address (dns server 222.222.222.22 333.333.333.33で設定した値になっていない) と致しました。 しかし192.168.1.0/24に対する疎通も外部からの26508への接続も不可となってしまいました。 26508のポート以外にも通常のtcp・udpも空ける必要があると事で 以前申されていたフィルタリングの設定も必要なようです。 掲載致しましたconfigで間違っている所はありますでしょうか?

  • 回答No.3
  • invalid
  • ベストアンサー率61% (67/109)

手元にRTX1000がないので確認できませんが ip filter dynamic の構文ではprotocolはニーモニック指定しか できないように思います。ただしtcp/udpが指定可能なので # ip filter dynamic 200 192.168.0.0/24 * tcp であればtcpのアプリケーションの通信は殆んど通ることになります。 > またDMZ領域から外部へのアクセスは可能なのでしょうか? フィルタリングの設定次第で可能です。 サイトの例だとDMZのWWWとFTPサーバから外に出れない設定に なっていると思います。(アクセスに対するレスポンスは返せますが)

共感・感謝の気持ちを伝えよう!

質問者からのお礼

invalid様。ありがとうございます。 今回ご質問させて頂きました要件で整理し纏めてみました。 要件としてはポートNo26508を解放したい。 で、設定例を参考にし nat descriptor masquerade static 1 1 192.168.10.2 tcp 26508 nat descriptor masquerade static 1 1 192.168.10.2 udp 26508 を追加・変更。 ip filter 1031 pass * 192.168.10.2 tcpflag=0x0002/0x0017 * 26508 ip filter 1033 pass * 192.168.10.2 udp * 26508 を追加・変更。 ip filter dynamic 200 192.168.1.200/24 * tcp に修正。 ip pp secure filter in 1020 1030 1031 1032 1033 2000 dynamic 201 202 で1033を追加記述。 で間違いないでしょうか? ただ >フィルタリングの設定次第で可能です。 >サイトの例だとDMZのWWWとFTPサーバから外に出れない設定に >なっていると思います。(アクセスに対するレスポンスは返せますが) の部分が少し解りにくくて。

  • 回答No.2
  • invalid
  • ベストアンサー率61% (67/109)

Ano.1さんの仰るとおり単にフィルタに記述するだけでは外からアクセスできません。 下記URLにWWWサーバ,FTPサーバを公開する場合の例があります。 http://netvolante.jp/solution/int/case4.html これにならって26508番を公開するように設定すればよいのですが。。。 ポート単位でマスカレードする場合には上記URLのように # nat descriptor masquerade static 1 1 192.168.10.2 tcp www のようにnat descriptorでポートを明示する必要があります。 またフィルタも対応して # ip filter 1031 pass * 192.168.10.2 tcpflag=0x0002/0x0017 * www # ip filter dynamic 201 * 192.168.10.2 www # ip pp secure filter in 1020 1030 1031 1032 2000 dynamic 201 202 と書き分ける必要があります。 (面倒ですが)

共感・感謝の気持ちを伝えよう!

質問者からのお礼

皆様ご教示ありがとうございます。 http://netvolante.jp/solution/int/case4.html​ を参考に致して再度設定を行ってみます。 愚問かもしれませんが、DMZ(192.168.0.0/24)とLAN2(192.168.0.0/24) の間を制限無しに設定する場合 ip filter dynamic 200 192.168.0.0/24 * telnet を ip filter dynamic 200 192.168.0.0/24 * * とすれば宜しいのでしょうか? またDMZ領域から外部へのアクセスは可能なのでしょうか? (Web等々smtpも含みます)

  • 回答No.1

インターネット側から、192.168.1.201:26508にアクセスさせたい、という事でしょうか。 それなら外部からLAN内のPCは見えませんので、192.168.1.201を固定IPに書き換え、 NATで192.168.1.201に通せばよいかと思います。

共感・感謝の気持ちを伝えよう!

関連するQ&A

  • YAMAHA RTX1200のフィルタ設定について

    YAMAHAのRTX1200で、pppoeでインターネットにつなぐ際の フィルタ設定を教えていただけませんか。 内部→外部へのアクセスは通す。 外部→内部へのアクセスは通さない。 CUIで設定します。 現在の設定内容 security class 3 on off off ip route default gataway pp 1 ip filter source-route on ip filter directd-broadcast on ip icmp echo-reply send off ip lan1 address 192.168.1.1/24 pp select 1 pp always-on on pppoe use lan 2 pp auth accept pap chap pp auth myname xxx@xxx.co.jp xxxxx ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ip pp secure filter in 1000 ip pp secure filter out 2000 dynamic 105 106 107 ip pp intrusion detection in on ip pp nat descriptor 1 pp enable 1 ip filter 1000 reject * * * * * ip filter 2000 pass * * ip filter 105 * * ping ip filter 106 * * tcp ip filter 107 * * udp nat descriptor type 1 masquerade

  • RTX1200のリモートアクセス設定について

    質問させていただきます。 RTX1200のルーターを会社に設置し、外出先からのリモートアクセス設定を試みておりますがうまくいきません。 状況としては、外出先indowsノートPCから会社にVPN接続自体はできます。 しかしながら接続した状態でWindowsノートPCは会社の固定IPアドレスとしてインターネットにアクセスができない感じです。 また、社内のPCも見れません。 現状の設定は下記のとおりです。 ===== #LANの設定 ip route default gateway pp 1 ip filter source-route on ip filter directed-broadcast on ip lan1 address 192.168.100.1/24 ip lan1 proxyarp on #プロバイダとの接続設定 pp select 1 pp always-on on pppoe use lan2 pp auth accept pap chap pp auth myname (プロバイダに接続するID) (プロバイダに接続するパスワード) ppp lcp mru on 1454 ppp ccp type none ip pp address (固定IPアドレス)/32 ip pp mtu 1454 ip pp intrusion detection in on ip pp intrusion detection in ip on reject=off ip pp intrusion detection in ip-option on reject=off ip pp intrusion detection in fragment on reject=off ip pp intrusion detection in icmp on reject=off ip pp intrusion detection in udp on reject=off ip pp intrusion detection in tcp on reject=off ip pp intrusion detection in default off ip pp intrusion detection out ftp on reject=on ip pp intrusion detection out winny on reject=on ip pp intrusion detection out share on reject=on ip pp intrusion detection out default off ip pp nat descriptor 1 pp enable 1 #フィルター ip filter 1010 reject * * udp,tcp 135 * ip filter 1011 reject * * udp,tcp * 135 ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 1014 reject * * udp,tcp 445 * ip filter 1015 reject * * udp,tcp * 445 ip filter 1020 reject 192.168.0.0/24 * ip filter 1030 pass * 192.168.0.0/24 icmp ip filter 2000 reject * * ip filter 2001 reject * * udp,tcp 6346 6346 ip filter 3000 pass * * ip filter dynamic 100 * * ftp ip filter dynamic 101 * * www ip filter dynamic 102 * * domain ip filter dynamic 103 * * smtp ip filter dynamic 104 * * pop3 ip filter dynamic 105 * * netmeeting ip filter dynamic 106 * * tcp ip filter dynamic 107 * * udp url filter use on url filter port 80 3128 url filter reject redirect (某URL) url filter log on url filter 1 reject nicovideo * url filter 1000 pass * * telnetd host any dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.100.2-192.168.100.100/24 dns server (DNSサーバーIP) dns private address spoof on httpd timeout 180 httpd host 192.168.100.3 statistics traffic on #PPTP接続を受け入れるための設定 pp select anonymous pp bind tunnel1 tunnel2 tunnel3 pp auth request mschap pp auth username test1 test1 pp auth username test2 test2 pp auth username test3 test3 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type mppe-any ip pp remote address pool *-* ip pp mtu 1280 pptp service type server pp enable anonymous pptp service on #使用するトンネルの設定 tunnel select 1 tunnel encapsulation pptp tunnel enable 1 tunnel select 2 tunnel encapsulation pptp tunnel enable 2 tunnel select 3 tunnel encapsulation pptp tunnel enable 3 #NATの設定 nat descriptor type 1 masquerade nat descriptor masquerade static 1 1 * tcp 1723 nat descriptor masquerade static 1 2 * gre ===== この設定で、なぜ会社にVPN接続した状態でインターネットにつながらないのか、社内のPCが見れないのか、お分かりの方はご教授願います。

  • 再度RTX1200の設定(8IP)についてです

    昨年末、RTX1200に8IPの動作を質問し、沢山のアドバイスを頂いた者です。 再挑戦に向け準備に手を付けましたので、引き続きご指南頂ければ幸いです。 条件は恐縮ですが先の質問「8個のグローバルIPをRTX1200に設定したい」を参照お願いします。 内側のLAN1は手を入れず、そのまま素通しとしてWAN側のPPPoEのフィルタで希望するサーバ等に アドレスとポートを割り振ったつもりです。 pp select 1 description pp "PRV/PPPoE/0:NTT-ME 8IP" pppoe use lan3 ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ccp type none ip pp address aaa.bbb.ccc.120/29 ip pp mtu 1500 ip pp secure filter in 200003 200020 200021 200022 200023 200024 200025 200030 200031 200040 200041 200042 200043 200044 200045 200080 200081 ip pp secure filter out 200013 200020 200021 200022 200023 200024 200025 200099 dynamic 200080 200081 200082 200083 200084 200098 200099 ip pp nat descriptor 1000 pp enable 1 ip filter 200000 reject 10.0.0.0/8 * * * * ip filter 200001 reject 172.16.0.0/12 * * * * ip filter 200002 reject 192.168.0.0/16 * * * * ip filter 200003 reject 192.168.xxx.0/24 * * * * ip filter 200010 reject * 10.0.0.0/8 * * * ip filter 200011 reject * 172.16.0.0/12 * * * ip filter 200012 reject * 192.168.0.0/16 * * * ip filter 200013 reject * 192.168.xxx.0/24 * * * ip filter 200020 reject * * udp,tcp 135 * ip filter 200021 reject * * udp,tcp * 135 ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 200024 reject * * udp,tcp 445 * ip filter 200025 reject * * udp,tcp * 445 ip filter 200030 pass * 192.168.xxx.0/24 icmp * * ip filter 200031 pass * 192.168.xxx.0/24 established * * ip filter 200032 pass * 192.168.xxx.0/24 tcp * ident ip filter 200033 pass * 192.168.xxx.0/24 tcp ftpdata * ip filter 200034 pass * 192.168.xxx.0/24 tcp,udp * domain ip filter 200035 pass * 192.168.xxx.0/24 udp domain * ip filter 200036 pass * 192.168.xxx.0/24 udp * ntp ip filter 200037 pass * 192.168.xxx.0/24 udp ntp * ip filter 200040 pass * 192.168.xxx.230 tcp * 21,3389,49200,49500,49600 ip filter 200041 pass * 192.168.xxx.230 tcp,udp * domain,tftp ip filter 200042 pass * 192.168.xxx.231 tcp * 21,www,3389 ip filter 200043 pass * 192.168.xxx.14 tcp * 21,www,3389 ip filter 200044 pass * 192.168.xxx.41 tcp * 3389,9999 ip filter 200045 pass * 192.168.xxx.234 tcp * 21,www,3389 ip filter 200080 pass * 192.168.xxx.254 esp * * ip filter 200081 pass * 192.168.xxx.254 udp * 500 ip filter 200099 pass * * * * * ip filter dynamic 200080 * * ftp ip filter dynamic 200081 * * domain ip filter dynamic 200082 * * www ip filter dynamic 200083 * * smtp ip filter dynamic 200084 * * pop3 ip filter dynamic 200098 * * tcp ip filter dynamic 200099 * * udp nat descriptor type 1000 masquerade nat descriptor address outer 1000 aaa.bbb.ccc.121 nat descriptor address inner 1000 aaa.bbb.ccc.121 192.168.xxx.1-192.168.xxx.254 nat descriptor static 1000 10 aaa.bbb.ccc.122=192.168.xxx.230 2 nat descriptor static 1000 20 aaa.bbb.ccc.124=192.168.xxx.14 1 nat descriptor static 1000 30 aaa.bbb.ccc.125=192.168.xxx.41 1 nat descriptor static 1000 40 aaa.bbb.ccc.126=192.168.xxx.234 1 nat descriptor masquerade static 1000 101 192.168.xxx.254 udp 500 nat descriptor masquerade static 1000 102 192.168.xxx.254 esp こんな感じにしてみたのですが、根本的な間違いが無いかご指摘頂戴できれば幸いです。

  • 8個のグローバルIPをRTX1200に設定したい

    ヤマハのRTX1200に8個のグローバルIP設定で行き詰ってます。 状況は以下のようなものです。  aaa.bbb.ccc.120/29 のグローバルアドレスの設定を目指してます  aaa.bbb.ccc.121 でLAN側(192.168.XXX.254/24) の端末がインター ネットの利用、VPNの設定は動作を確認済  aaa.bbb.ccc.122 ~ aaa.bbb.ccc.126 の5IPと、LAN側にある 特定端末(固定IP)5台を関連付けしたい ← これが全て通りません そこで試行錯誤し、設定したCONFIGが以下のようなものです。 ip route default gateway pp 1 ip lan1 address 192.168.XXX.254/24 ip lan1 secure filter in 100000 100001 100002 100003 100004 100005 100006 100007 100099 ip lan3 nat descriptor 1 2 3 4 5 pp disable all pp select 1 description pp "PRV/PPPoE/0:NTT-ME 8IP" pppoe use lan3 ppp lcp mru on 1454 ip pp address aaa.bbb.ccc.120/29 ip pp secure filter in 200003 200020 200021 200022 200023 200024 200025 200030 200032 200080 200081 ip pp secure filter out 200013 200020 200021 200022 200023 200024 200025 200099 dynamic 200080 200081              200082 200083 200084 200098 200099 ip pp nat descriptor 1000 pp enable 1 ip filter 100000 reject * * udp,tcp 135 * ip filter 100001 reject * * udp,tcp * 135 ip filter 100002 reject * * udp,tcp netbios_ns-netbios_dgm * ip filter 100003 reject * * udp,tcp * netbios_ns-netbios_dgm ip filter 100004 reject * * udp,tcp netbios_ssn * ip filter 100005 reject * * udp,tcp * netbios_ssn ip filter 100006 reject * * udp,tcp 445 * ip filter 100007 reject * * udp,tcp * 445 ip filter 100099 pass * * * * * ip filter 200000 reject 10.0.0.0/8 * * * * ip filter 200001 reject 172.16.0.0/12 * * * * ip filter 200002 reject 192.168.0.0/16 * * * * ip filter 200003 reject 192.168.XXX.0/24 * * * * ip filter 200010 reject * 10.0.0.0/8 * * * ip filter 200011 reject * 172.16.0.0/12 * * * ip filter 200012 reject * 192.168.0.0/16 * * * ip filter 200013 reject * 192.168.XXX.0/24 * * * ip filter 200020 reject * * udp,tcp 135 * ip filter 200021 reject * * udp,tcp * 135 ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 200024 reject * * udp,tcp 445 * ip filter 200025 reject * * udp,tcp * 445 ip filter 200030 pass * 192.168.xxx.0/24 icmp * * ip filter 200031 pass * 192.168.xxx.0/24 established * * ip filter 200032 pass * 192.168.xxx.0/24 tcp * ident ip filter 200033 pass * 192.168.xxx.0/24 tcp ftpdata * ip filter 200034 pass * 192.168.xxx.0/24 tcp,udp * domain ip filter 200035 pass * 192.168.xxx.0/24 udp domain * ip filter 200036 pass * 192.168.xxx.0/24 udp * ntp ip filter 200037 pass * 192.168.xxx.0/24 udp ntp * ip filter 200080 pass * 192.168.xxx.254 esp * * ip filter 200081 pass * 192.168.xxx.254 udp * 500 ip filter 200099 pass * * * * * ip filter 500000 restrict * * * * * ip filter dynamic 200080 * * ftp ip filter dynamic 200081 * * domain ip filter dynamic 200082 * * www ip filter dynamic 200083 * * smtp ip filter dynamic 200084 * * pop3 ip filter dynamic 200098 * * tcp ip filter dynamic 200099 * * udp nat descriptor type 1 masquerade nat descriptor address outer 1 aaa.bbb.ccc.122 nat descriptor masquerade static 1 1 192.168.xxx.230 tcp 21,3389,49200,49500,49600 nat descriptor masquerade static 1 2 192.168.xxx.230 udp domain,tftp nat descriptor type 2 masquerade nat descriptor address outer 2 aaa.bbb.ccc.123 nat descriptor masquerade static 2 1 192.168.xxx.231 tcp 21,www,3389 nat descriptor type 3 masquerade nat descriptor address outer 3 aaa.bbb.ccc.124 nat descriptor masquerade static 3 1 192.168.xxx.14 tcp 21,www,3389 nat descriptor type 4 masquerade nat descriptor address outer 4 aaa.bbb.ccc.125 nat descriptor masquerade static 4 1 192.168.xxx.41 tcp 3389,9999 nat descriptor type 5 masquerade nat descriptor address outer 5 aaa.bbb.ccc.126 nat descriptor masquerade static 5 1 192.168.xxx.234 tcp 21,www,3389 nat descriptor type 1000 masquerade nat descriptor address outer 1000 aaa.bbb.ccc.121 nat descriptor address inner 1000 aaa.bbb.ccc.121 192.168.xxx.1-192.168.xxx.254 nat descriptor masquerade static 1000 101 192.168.xxx.254 udp 500 nat descriptor masquerade static 1000 102 192.168.xxx.254 esp 何が間違っているのかも判らぬ状況なので、ご指摘を頂ければ幸いです。 宜しくお願い申し上げます。

  • RTX1200のDMZ側からネット接続するには

    YAMAHAルータRTX1200で、 DMZに置いてあるWWWサーバーからインターネット接続とPOP3接続が出来ないので質問させて頂きます。 セキュリティを高めるため、DMZ側のWWWサーバーが外部のインターネットを閲覧できる必要性はないのですが、 利便性とダイナミックDNSを更新するために、WWWとPOP3接続を試みてます。 <現状> ※以下に現状のコンフィグを記します。 LAN1:社内LAN 接続OK LAN2:動的グローバルIP 接続OK LAN3:DMZ WWWサーバー 外部より接続(閲覧)OK <理由> WAN側が、動的グローバルIPですので、 ダイナミックDNSを利用してます。 http://www.mydns.jp/?MENU=040 WAN側のIPが変わった際に、POP3を定期的に走らせて IPを通知する仕組みになっているようなので、 DMZ側のWWWサーバーにメーラーを常駐させようと考えております。 LAN1側のクライアントPCに、上記のメーラー設定をすれば 解決しそうですが、DMZ側のWWWサーバーで実現しよと試みております。。 ip lan3 secure filter や ip pp secure filter に、 フィルターの追加や適応を試みてみましたが うまく行きませんでした。。 ご回答、 どうぞ宜しくお願い致します。 ---------------------------------------------------------------- ip route default gateway pp 1 ip filter source-route on ip filter directed-broadcast on ip lan1 address 192.168.100.1/24 ip lan3 address 192.168.131.1/29 ip lan3 secure filter in 2000 ip lan3 secure filter out 3000 dynamic 100 101 200 pp select 1 description pp FLETS pp keepalive use off pp always-on on pppoe use lan2 pppoe auto connect on pppoe auto disconnect off pp auth accept pap chap pp auth myname 【ユーザーID】 【パスワード】 ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ip pp mtu 1454 ip pp secure filter in 1020 1030 1031 1032 2000 dynamic 201 202 ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106 ip pp intrusion detection in on ip pp nat descriptor 1 pp enable 1 ip filter 1010 reject * * udp,tcp 135 * ip filter 1011 reject * * udp,tcp * 135 ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 1014 reject * * udp,tcp 445 * ip filter 1015 reject * * udp,tcp * 445 ip filter 1020 reject 192.168.100.0/24 * ip filter 1030 pass * 192.168.100.0/24 icmp ip filter 1031 pass * 192.168.131.2 tcpflag=0x0002/0x0fff * www ip filter 1032 pass * 192.168.131.3 tcpflag=0x0002/0x0fff * 21 ip filter 2000 reject * * ip filter 3000 pass * * ip filter dynamic 100 * * ftp ip filter dynamic 101 * * www ip filter dynamic 102 * * domain ip filter dynamic 103 * * smtp ip filter dynamic 104 * * pop3 ip filter dynamic 105 * * tcp ip filter dynamic 106 * * udp ip filter dynamic 200 192.168.100.0/24 * telnet ip filter dynamic 201 * 192.168.131.2 www ip filter dynamic 202 * 192.168.131.3 ftp nat descriptor type 1 masquerade nat descriptor masquerade static 1 1 192.168.131.2 tcp www nat descriptor masquerade static 1 2 192.168.131.3 tcp 21 dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.100.2-192.168.100.191/24 dns server 210.191.71.1 dns private address spoof on

  • RTX1100 でインターネット接続できない。DNS

    YAMAHAのRTX1100のconfigを設定しているのですが。Bフレッツを使用しています。 まず手始めにインターネットをしたいのですが。 YAHAMAの設定例をそのまま利用しているのですが。 http://netvolante.jp/solution/int/case3.html 変えた部分は、DNSのところで。 dns server (ISPより指定されたDNSサーバのIPアドレス)  ↓ dns server pp 1 としたのですが。接続できません。アドバイスなどをいただけたら幸いです。 実際のconfigはこちら ↓ ip lan1 address 192.168.0.1/24 pp select 1 pp always-on on pppoe use lan2 pp auth accept pap chap pp auth myname (ISPに接続するID) (ISPに接続するパスワード) ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ip pp mtu 1454 ip pp nat descriptor 1 pp enable 1 ip route default gateway pp 1 nat descriptor type 1 masquerade dhcp service server dhcp scope 1 192.168.0.2-192.168.0.100/24 dns server pp 1 (<------ここを変更した) dns private address spoof on ip filter source-route on ip filter directed-broadcast on ip filter 1010 reject * * udp,tcp 135 * ip filter 1011 reject * * udp,tcp * 135 ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 1014 reject * * udp,tcp 445 * ip filter 1015 reject * * udp,tcp * 445 ip filter 1020 reject 192.168.0.0/24 * ip filter 1030 pass * 192.168.0.0/24 icmp ip filter 2000 reject * * ip filter 3000 pass * * ip filter dynamic 100 * * ftp ip filter dynamic 101 * * www ip filter dynamic 102 * * domain ip filter dynamic 103 * * smtp ip filter dynamic 104 * * pop3 ip filter dynamic 105 * * netmeeting ip filter dynamic 106 * * tcp ip filter dynamic 107 * * udp pp select 1 ip pp secure filter in 1020 1030 2000 ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106 107 pp enable 1

  • RTX1200PPTPVPN接続が出来ない

    会社のRTX1200で、ネットボランチDNSサービスを使用して自宅よりPPTPVPN接続をしたいのですが、「エラー:629」が表示して接続することが出来ません。rtx1200の設定が悪いのかPC側なのかわからず困っています。ちなみにIPSECでの接続は出来ています。RTX1200の設定を以下に貼り付けますので見ていただけないでしょうか? ip route default gateway pp 1 ip lan1 address 192.168.100.1/24 ip lan1 proxyarp on ip lan1 secure filter in 100000 100001 100002 100003 100004 100005 100006 100007 100099 pp select 1 description pp PRV/PPPoE/0:ocn pp keepalive interval 30 retry-interval=30 count=12 pp always-on on pppoe use lan2 pppoe auto disconnect off pp auth accept pap chap pp auth myname *********** ************** ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp secure filter in 200003 200020 200021 200022 200023 200024 200025 200030 200032 200080 200081 200082 200083 200084 ip pp secure filter out 200013 200020 200021 200022 200023 200024 200025 200026 200027 200099 dynamic 200080 200081 200082 200083 200084 200098 200099 ip pp nat descriptor 1000 netvolante-dns hostname host pp server=1 **************.aa0.netvolante.jp pp enable 1 pp select anonymous pp bind tunnel91-tunnel94 pp auth request mschap-v2 pp auth username ************ *********** ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type mppe-any ppp ccp no-encryption reject ip pp remote address pool 192.168.100.72-192.168.100.79 ip pp mtu 1280 pptp service type server pp enable anonymous tunnel select 21 description tunnel ********** ipsec tunnel 1 ipsec sa policy 1 1 esp aes-cbc sha-hmac ipsec ike keepalive use 1 auto heartbeat ipsec ike local address 1 192.168.100.1 ipsec ike nat-traversal 1 on ipsec ike pre-shared-key 1 text ****************** ipsec ike remote address 1 any ipsec ike remote name 1 ************ key-id ipsec ike xauth request 1 on 1 ip tunnel tcp mss limit auto tunnel enable 21 tunnel select 91 tunnel encapsulation pptp pptp tunnel disconnect time 1800 tunnel enable 91 tunnel select 92 tunnel encapsulation pptp pptp tunnel disconnect time 1800 tunnel enable 92 tunnel select 93 tunnel encapsulation pptp pptp tunnel disconnect time 1800 tunnel enable 93 tunnel select 94 tunnel encapsulation pptp pptp tunnel disconnect time 1800 tunnel enable 94 ip filter 100000 reject * * udp,tcp 135 * ip filter 100001 reject * * udp,tcp * 135 ip filter 100002 reject * * udp,tcp netbios_ns-netbios_dgm * ip filter 100003 reject * * udp,tcp * netbios_ns-netbios_dgm ip filter 100004 reject * * udp,tcp netbios_ssn * ip filter 100005 reject * * udp,tcp * netbios_ssn ip filter 100006 reject * * udp,tcp 445 * ip filter 100007 reject * * udp,tcp * 445 ip filter 100099 pass * * * * * ip filter 200000 reject 10.0.0.0/8 * * * * ip filter 200001 reject 172.16.0.0/12 * * * * ip filter 200002 reject 192.168.0.0/16 * * * * ip filter 200003 reject 192.168.100.0/24 * * * * ip filter 200010 reject * 10.0.0.0/8 * * * ip filter 200011 reject * 172.16.0.0/12 * * * ip filter 200012 reject * 192.168.0.0/16 * * * ip filter 200013 reject * 192.168.100.0/24 * * * ip filter 200020 reject * * udp,tcp 135 * ip filter 200021 reject * * udp,tcp * 135 ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 200024 reject * * udp,tcp 445 * ip filter 200025 reject * * udp,tcp * 445 ip filter 200026 restrict * * tcpfin * www,21,nntp ip filter 200027 restrict * * tcprst * www,21,nntp ip filter 200030 pass * 192.168.100.0/24 icmp * * ip filter 200031 pass * 192.168.100.0/24 established * * ip filter 200032 pass * 192.168.100.0/24 tcp * ident ip filter 200033 pass * 192.168.100.0/24 tcp ftpdata * ip filter 200034 pass * 192.168.100.0/24 tcp,udp * domain ip filter 200035 pass * 192.168.100.0/24 udp domain * ip filter 200036 pass * 192.168.100.0/24 udp * ntp ip filter 200037 pass * 192.168.100.0/24 udp ntp * ip filter 200080 pass * 192.168.100.1 esp * * ip filter 200081 pass * 192.168.100.1 udp * 500 ip filter 200082 pass * 192.168.100.1 udp * 4500 ip filter 200083 pass * 192.168.100.1 tcp *

  • RTX1200 L2TP/IPSec 見えない

    自宅のPCから、会社にある YAMAHA のルータ RTX1200 に L2TP/IPsec でVPN接続しようとしているのですが、 RTX1200のルータまでは接続できて、 RTX1200 へのpingは通るのですが、 その先のPCにpingが通らず、またtracert コマンドで確認しても RTX1200まではいくのですが、その先はタイムアウトします。 自宅PC ( IP : 192.168.0.51/24) (Win7 の標準のネットワーク接続でVPN設定)    |    |  [ルータ:NEC Aterm]    |    | ( INTERNET )    |    | WAN ( IP : DDNS )  [ルータ:NTT NXSM-4BRU-2]  udp 500,1701,4500 転送。 192.168.1.254    | LAN ( IP : 192.168.1.1/24)    |    | LAN2 ( IP : 192.168.1.254/24)  [ルータ:YAMAHA RTX1200]    | LAN1 ( IP : 192.168.11.1/24 )    | 会社PC ( IP : 192.168.11.100/24 ) RTX1200 CONFIG ファーム REV.10.1.48 ※テストのためフィルタを解除して全通し --------------------------------------------- ip route default gateway 192.168.1.1 ip route 192.168.1.0/24 gateway dhcp lan2 ip route 192.168.11.0/24 gateway dhcp lan1 tunnel 11 ip lan1 address 192.168.11.1/24 ip lan1 ospf area backbone ip lan1 proxyarp on ip lan1 secure filter in 1099 ip lan1 secure filter out 1099 ip lan2 address 192.168.1.254/24 ip lan2 rip send on version 2 ip lan2 ospf area backbone ip lan2 secure filter in 1099 ip lan2 secure filter out 1099 ip lan2 nat descriptor 1 ip lan2 proxyarp on pp disable all pp select anonymous pp bind tunnel11 pp auth request mschap-v2 pp auth username [user-id] [password] ppp ipcp ipaddress on ppp ipcp msext on ip pp remote address pool 192.168.11.51-192.168.11.59 ip pp mtu 1258 pp enable anonymous no tunnel enable all tunnel select 11 tunnel encapsulation l2tp ipsec tunnel 111 ipsec sa policy 111 11 esp aes-cbc sha-hmac ipsec ike keepalive use 11 off ipsec ike local address 11 192.168.11.1 ipsec ike nat-traversal 11 on ipsec ike pre-shared-key 11 text [公開キー] ipsec ike remote address 11 any l2tp tunnel disconnect time off l2tp keepalive use on 10 3 l2tp keepalive log on l2tp syslog on ip tunnel tcp mss limit auto tunnel enable 11 ip filter 1000 reject * * udp,tcp 135 * ip filter 1001 reject * * udp,tcp * 135 ip filter 1002 reject * * udp,tcp netbios_ns * ip filter 1003 reject * * udp,tcp * netbios_ns ip filter 1004 reject * * udp,tcp netbios_dgm * ip filter 1005 reject * * udp,tcp * netbios_dgm ip filter 1006 reject * * udp,tcp netbios_ssn * ip filter 1007 reject * * udp,tcp * netbios_ssn ip filter 1008 reject * * udp,tcp 445 * ip filter 1009 reject * * udp,tcp * 445 ip filter 1011 reject 192.168.11.0/24 * * * * ip filter 1012 reject * 192.168.11.0/24 * * * ip filter 1021 reject * * tcp * telnet ip filter 1022 reject * * udp * tftp ip filter 1030 pass * * icmp * * ip filter 1031 pass * * established * * ip filter 1032 pass * * tcp * ident ip filter 1033 pass * * tcp ftpdata * ip filter 1034 pass * * tcp,udp * domain ip filter 1035 pass * * udp domain * ip filter 1036 pass * * udp * ntp ip filter 1037 pass * * udp ntp * ip filter 1071 pass * * udp * 500 ip filter 1072 pass * * esp * * ip filter 1073 pass * * udp * 500 ip filter 1074 pass * * esp * * ip filter 1075 pass * * udp * 4500 ip filter 1076 pass * * udp * 4500 ip filter 1077 pass * * udp * 1701 ip filter 1078 pass * * udp * 1701 ip filter 1099 pass * * * * * ip filter 5000 reject * * * * * ip filter dynamic 10080 * * ftp ip filter dynamic 10081 * * domain ip filter dynamic 10082 * * www ip filter dynamic 10083 * * smtp ip filter dynamic 10084 * * pop3 ip filter dynamic 10098 * * tcp ip filter dynamic 10099 * * udp nat descriptor type 1 masquerade nat descriptor address outer 1 primary nat descriptor address inner 1 any nat descriptor masquerade static 1 1 192.168.11.1 esp nat descriptor masquerade static 1 2 192.168.11.1 udp 500 nat descriptor masquerade static 1 3 192.168.11.1 udp 1701 nat descriptor masquerade static 1 4 192.168.11.1 udp 4500 rip use on ospf area backbone ipsec auto refresh on ipsec transport 1 111 udp 1701 syslog notice on syslog debug on tftp host any dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.11.100-192.168.11.179/24 dns server 192.168.1.1 l2tp service on

  • RT57iのVPN接続でLAN内につながらない

    PC1 -> RTX1100 -> Internet -> RT57i -> PC2 RT57iでpptp設定を行いPC1から接続はできましたが PC1からPC2へpingが通りません。 1:PC1からRT57iのVPN接続は完了している 2:PC1からRT57iへのpingは通る 3:RT57iからPC2へpingは通る 4:PC1からPC2へのpingは通らない RTX1100 : 192.168.12.0/24 PC1 : 192.168.12.4 (pptpで割り振られたIP:192.168.0.14) RT57i : 192.168.0.0/24 PC2 : 192.168.0.101 問題点はどこにありますでしょうか? ip route default gateway pp 1 filter 500000 gateway pp 1 ip lan1 address 192.168.0.1/24 ip lan1 proxyarp on ip lan1 secure filter in 100000 100001 100002 100003 100004 100005 100006 100007 100099 pp disable all pp select 1 pppoe use lan2 pppoe auto disconnect off pppoe call prohibit auth-error count off pp auth accept pap chap pp auth myname xxxxxxxx xxxxxxxx ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp secure filter in 200003 200020 200021 200022 200023 200024 200025 200030 200031 200032 200033 200035 200080 200081 200082 200083 ip pp secure filter out 200013 200020 200021 200022 200023 200024 200025 200026 200027 200099 ip pp nat descriptor 1000 netvolante-dns hostname host pp xxxxxxxxxxxx pp enable 1 pp select anonymous pp name RAS/VPN: pp bind tunnel1 pp auth request mschap-v2 pp auth username xxxxxxxxxxxx xxxxxxxxxxxx ppp ipcp ipaddress on ppp ccp type mppe-any ppp ipv6cp use off ip pp remote address pool dhcp pptp service type server pp enable anonymous tunnel disable all tunnel select 1 tunnel encapsulation pptp pptp tunnel disconnect time off tunnel enable 1 ip filter 100000 reject * * udp,tcp 135 * ip filter 100001 reject * * udp,tcp * 135 ip filter 100002 reject * * udp,tcp netbios_ns-netbios_dgm * ip filter 100003 reject * * udp,tcp * netbios_ns-netbios_dgm ip filter 100004 reject * * udp,tcp netbios_ssn * ip filter 100005 reject * * udp,tcp * netbios_ssn ip filter 100006 reject * * udp,tcp 445 * ip filter 100007 reject * * udp,tcp * 445 ip filter 100099 pass * * * * * ip filter 200000 reject 10.0.0.0/8 * * * * ip filter 200001 reject 172.16.0.0/12 * * * * ip filter 200002 reject 192.168.0.0/16 * * * * ip filter 200003 reject 192.168.0.0/24 * * * * ip filter 200010 reject * 10.0.0.0/8 * * * ip filter 200011 reject * 172.16.0.0/12 * * * ip filter 200012 reject * 192.168.0.0/16 * * * ip filter 200013 reject * 192.168.0.0/24 * * * ip filter 200020 reject * * udp,tcp 135 * ip filter 200021 reject * * udp,tcp * 135 ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 200024 reject * * udp,tcp 445 * ip filter 200025 reject * * udp,tcp * 445 ip filter 200026 restrict * * tcpfin * www,21,nntp ip filter 200027 restrict * * tcprst * www,21,nntp ip filter 200030 pass * 192.168.0.0/24 icmp * * ip filter 200031 pass * 192.168.0.0/24 established * * ip filter 200032 pass * 192.168.0.0/24 tcp * ident ip filter 200033 pass * 192.168.0.0/24 tcp ftpdata * ip filter 200034 pass * 192.168.0.0/24 tcp,udp * domain ip filter 200035 pass * 192.168.0.0/24 udp domain * ip filter 200036 pass * 192.168.0.0/24 udp * ntp ip filter 200037 pass * 192.168.0.0/24 udp ntp * ip filter 200080 pass * 192.168.0.1 tcp * 5060 ip filter 200081 pass * 192.168.0.1 udp * 5004-5060 ip filter 200082 pass * 192.168.0.1 tcp * 1723 ip filter 200083 pass * 192.168.0.1 gre * * ip filter 200099 pass * * * * * ip filter 500000 restrict * * * * * nat descriptor type 1000 masquerade nat descriptor masquerade static 1000 1 192.168.0.1 tcp 5060 nat descriptor masquerade static 1000 2 192.168.0.1 udp 5004-5060 nat descriptor masquerade static 1000 3 192.168.0.1 tcp 1723 nat descriptor masquerade static 1000 4 192.168.0.1 gre dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.0.2-192.168.0.99/24 dns server pp 1 dns server select 500001 pp 1 any . restrict pp 1 dns private address spoof on dns private name xxxxxxxxxxxx pptp service on

  • RTX1100でリモートVPNの設定について

    こんにちは。 WidowsXPを使ってPPTPクライアントによって、RTX1100にリモート接続する設定をしています。 下の例のようにRTX1100の設定をしていますが、WindowsXPで接続しますと、暫く時間がたってから、 「エラー800:VPN接続を確立できません。VPNサーバーに到達できない、またはセキュリティパラメータ がこの接続に対して正しく構成されていない可能性があります。」というエラーメッセージが出ています。 恐らくRTX1100の設定に間違いがあるかと思います。 何度も確認し、問題がどこにあるのか見つからなくて困っています。 ぜひご教授ください。 環境:YAMAHA RTX1100 リモート接続方法:WidowsXPを利用してPPTPクライアントによる接続 (ネットワーク構成) +-----------+ | WindowsPC | +-----------+ | 61.XX.XX.XX | | インターネット ######## # VPN # インターネット ######## | LAN2 | 61.YY.YY.YY +---------+ | RTX1000 | +---------+ LAN1 | 192.168.100.1 | -----+----+----+---- 192.168.100.0/24 | | login password * administrator password * security class 2 on on ip route default gateway 61.YY.YY.1 ip filter source-route on ip lan1 address 192.168.100.1/24 ip lan1 proxyarp on ip lan1 intrusion detection in on reject=on ip lan1 nat descriptor 1 ip lan2 address 61.YY.YY.YY/24 ip lan2 intrusion detection in on reject=on ip lan2 nat descriptor 2 pp select anonymous pp bind tunnel1 pp auth request mschap-v2 pp auth username ccskbe 1234 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type mppe-any ppp ccp no-encryption reject ip pp remote address pool 192.168.100.196-192.168.100.199 ip pp mtu 1280 ip pp secure filter in 1001 1002 pptp service type server pp enable anonymous tunnel select 1 tunnel encapsulation pptp tunnel enable 1 nat descriptor type 1 masquerade nat descriptor masquerade static 1 1 192.168.100.1 tcp 1723 nat descriptor masquerade static 1 2 192.168.100.1 gre nat descriptor type 2 masquerade nat descriptor address outer 2 primary nat descriptor address inner 2 192.168.100.1-192.168.100.254 nat descriptor masquerade incoming 2 reject