YAMAHAルータのサイト間VPNの設定について

このQ&Aのポイント
  • YAMAHAのルータを使用してサイト間VPNを行おうとしていますが、VPNトンネルが張れません。
  • ルータAのLAN1の端末からルータBのLAN1の端末宛、ルータBのLAN1の端末からルータAのLAN1の端末宛にPingを実施しましたが応答がありません。
  • RTX1000のWebUIにアクセスしてIPSECの項目を確認しましたが、両方ともダウン状態でした。
回答を見る
  • ベストアンサー

YAMAHAルータのサイト間VPNの設定について

1.YAMAHAのルータを使用してサイト間VPNを行おうとしていますが、VPNトンネルが張れません。 2.ルータAのLAN1の端末からルータBのLAN1の端末宛、ルータBのLAN1の端末からルータAのLAN1の端末宛にPingを実施しましたが応答がありません。 3.RTX1000のWebUIにアクセスしてIPSECの項目を確認しましたが、両方ともダウン状態でした。 4.ルータAのLAN1の端末からPR-200NEを通ってインターネットへアクセスできること、ルータBのLAN1の端末からPR-200NEを通ってインターネットへアクセスできることを確認しております。 何が原因になっているかわからず、困っております。 ご教示を頂けますようお願いいたします。 【NTT PR-200NE ファームウェア:18.34】 静的ルーティング設定:宛先:192.168.168.0/24 インターフェイス:LAN ゲートウェイ:192.168.1.60 静的ルーティング設定:宛先:192.167.167.0/24 インターフェイス:LAN ゲートウェイ:192.168.1.50 【YAMAHA RTX1000 ファームウェア:8.01.29 VPNルータA】 ip route default gateway 192.168.1.1 ip lan1 address 192.167.167.167/24 ip lan2 address 192.168.1.50/24 tunnel select 1 ipsec tunnel 101 ipsec sa policy 101 1 esp aes-cbc sha-hmac ipsec ike keepalive use 1 on ipsec ike local address 1 192.167.167.167 ipsec ike pre-shared-key 1 text password ipsec ike remote address 1 192.168.1.60 tunnel enable 1 ipsec auto refresh on ip route 192.168.168.0/24 【YAMAHA RTX1000 ファームウェア:8.01.29 ルータB】 ip route default gateway 192.168.1.1 ip lan1 address 192.167.167.167/24 ip lan2 address 192.168.1.50/24 tunnel select 1 ipsec tunnel 101 ipsec sa policy 101 1 esp aes-cbc sha-hmac ipsec ike keepalive use 1 on ipsec ike local address 1 192.168.168.168 ipsec ike pre-shared-key 1 text password ipsec ike remote address 1 192.168.1.50 tunnel enable 1 ipsec auto refresh on ip route 192.167.167.0/24 gateway tunnel 1

この投稿のマルチメディアは削除されているためご覧いただけません。
noname#242248
noname#242248

質問者が選んだベストアンサー

  • ベストアンサー
  • hirasaku
  • ベストアンサー率65% (106/163)
回答No.7

こんにちは。hirasakuです。 解決しましたか? 両方のルータの ipsec ike local address 1 を lan2のアドレスにしてください。 nat をしてないので、この場合は lan2のアドレスにすればOKですよ。 では。

noname#242248
質問者

お礼

ありがとうございます。 構成を下記のようにして、コンフィグレーションを修正したところVPN接続もでき、192.168.3.0/24及び192.168.4.0/24 からインターネットに接続できることを確認できました。 192.168.3.0/24--(LAN1) RTX1000(LAN2)---PR-200NE ---(LAN2) RTX1000(LAN1)--192.168.4.0/24 【NTT PR-200NE ファームウェア:18.34】 静的ルーティング設定:宛先:192.168.4.0/24 インターフェイス:LAN ゲートウェイ:192.168.1.60 静的ルーティング設定:宛先:192.167.3.0/24 インターフェイス:LAN ゲートウェイ:192.168.1.50 【YAMAHA RTX1000 ファームウェア:8.01.29 VPNルータA】 ip route default gateway 192.168.1.1 ip lan1 address 192.168.3.254/24 ip lan2 address 192.168.1.50/24 tunnel select 1 ipsec tunnel 101 ipsec sa policy 101 1 esp 3des-cbc sha-hmac ipsec ike keepalive use 1 on ipsec ike local address 1 192.167.1.50 ipsec ike pre-shared-key 1 text password ipsec ike remote address 1 192.168.1.60 ipsec ike hash 1 sha tunnel enable 1 ipsec auto refresh on ip route 192.168.4.0/24 gateway tunnel 1 【YAMAHA RTX1000 ファームウェア:8.01.29 VPNルータB】 ip route default gateway 192.168.1.1 ip lan1 address 192.168.4.254/24 ip lan2 address 192.168.1.60/24 tunnel select 1 ipsec tunnel 101 ipsec sa policy 101 1 esp 3des-cbc sha-hmac ipsec ike keepalive use 1 on ipsec ike local address 1 192.168.1.60 ipsec ike pre-shared-key 1 text password ipsec ike remote address 1 192.168.1.50 ipsec ike hash 1 sha tunnel enable 1 ipsec auto refresh on ip route 192.168.3.0/24 gateway tunnel 1

noname#242248
質問者

補足

ありがとうございます。 まだ、解決はしていないです。 固定IPでNATを使用していないので、ipsec ike local address 1はLAN2のアドレスでいいということでしょうか。

その他の回答 (6)

  • koi1234
  • ベストアンサー率53% (1866/3459)
回答No.6

No4 補足より >RTX1000のみでテストということは 以下のURL参照して (インターネットのところは適当なローカルアドレスに変更) http://jp.yamaha.com/products/network/solution/connect/two_point_rtx1200/ テストしてみてくださいってことです    それで動いてるならあとは間に挟んでる PR-200NE の問題 既にRTX1000扱って無いので1200になってますがこのあたりの内容は変わらないはずです VPNとして必要なのは  ゲートウェイの設定と VPN(IPsec)の設定 になります WAN側を適当なアドレスに設定するから書かれてるままじゃ駄目よ  っと 他の環境で動いたとか書いてあったのはSOHO向けのルータ(NSA3500)使ってたから 3セグメントとリア誓いが正常にできたってことではないかと思います

  • nnori7142
  • ベストアンサー率60% (755/1249)
回答No.5

 追加補足確認しました。それでは、必ずといった保障はありませんが、まずルーターAの「ip route 192.168.168.0/24」→「ip route 192.168.168.0/24 gateway tunnel 1」と修正。  それぞれのルーターにARP代理応答コマンドを登録してみては如何でしょうか?  「ip lan1 proxyarp on」といったコマンドをルーターAとルーターBへ登録してみて下さい。

noname#242248
質問者

補足

ありがとうございます。 ルータAにip route 192.168.168.0/24 gateway tunnel 1は投入していましたが 記載ミスをしていました。 ルータA及びルータBへのip lan1 proxyarp onの追加について試してみます。

  • koi1234
  • ベストアンサー率53% (1866/3459)
回答No.4

補足を見ました >※PR-200NEのWANインターフェイスの先がThe Internetです。 PR-200NEで3セグメントを扱おうとhしているように思えますが それが問題ではないかと思います (一般的な家庭向けなどのルータで3セグメントの取り扱いはできません) テスト環境ということですし問題点洗い出すためにPR-200NEを間に挟まずに RTXのみでテストしてみてください もしくは片方をWAN   もう一方をLANの2セグメント扱いで設定してみてください PR-200Nにルーティングの設定は不要のはずです ※ 設定のConfigきちんと見てませんが私はRTX1000での2拠点インターネット経由の   VPN構築実績はあります(発売後1年以内の時期での話)

noname#242248
質問者

補足

ありがとうございます。 PR-200NEで3つのセグメントを扱えないとはどういうことでしょうか。 RTX1000のそれぞれのLAN1に所属しているセグメントからも、PR-200NE配下のセグメントからも インターネットに出ていけていますので、3つのセグメントは利用できていると思うのですが・・・。 RTX1000のみでテストということは、デフォルトルートを互いのLAN2に向けるまたは、デフォルトルートを 使用しないということでよろしいでしょうか。

  • nnori7142
  • ベストアンサー率60% (755/1249)
回答No.3

 お尋ねの件ですが、PR-200NEにてPPPOE接続→配下にRTX1000がそれぞれ相違セグメントにて2台あるといった認識で宜しいでしょうか?  同一グローバル間のVPNは無理ではないでしょうか?実際にされる方法があるのであれば、RTX1000.同士をカスケード接続させ、RTX1000同士の静的ルート設定する方法ではないでしょうか?  双方のRTX1000のnatエントリ接続でのインターネット接続出来るのは、同一グローバルIPを利用しました接続形態になっている形態かと存じます。  それと、ルーターAのコンフィグが間違っていませんか?  「ip lan2 address 192.168.1.50/24」→「ip lan2 address 192.168.1.60/24」ではないでしょうか?  それぞれのヤマハルーターからみて、光電話ルーターを介したそれぞれ2重NATになっておりますが、ヤマハのセグメント同士のルーティングは光電話ルーターでは出来ないのでは?  

noname#242248
質問者

補足

ありがとうございます。 >お尋ねの件ですが、PR-200NEにてPPPOE接続→配下にRTX1000がそれぞれ相違セグメントにて >2台あるといった認識で宜しいでしょうか? ご認識の通りです。 >同一グローバル間のVPNは無理ではないでしょうか? LAN2のセグメントが同一の場合、VPNは行えないということでしょうか。 SonicWALLのUTM製品同士ではX1(WAN)インターフェイスが同一セグメントで行えていましたので、 できないということはないという認識でいます。 SonicWALLの場合、SonicWALLのログ及びSonicWALL搭載のパケットキャプチャ機能でVPNが 行われていることを確認しています。 YAMAHAの場合は、LAN2が同一の場合できないということでしょうか。 コンフィグを見て頂くと分かるかと思いますが、下記のような記載はしていないので、 NATを行っておりません。 ---------------------------------------------------------------------------- nat descriptor type 1 masquerade nat descriptor address outer 1 primary nat descriptor address inner 1 192.167.167.1-192.167.167.167 ---------------------------------------------------------------------------- >それと、ルーターAのコンフィグが間違っていませんか? > 「ip lan2 address 192.168.1.50/24」→「ip lan2 address 192.168.1.60/24」ではないでしょうか? すみません。ルータAではなく、ルータBのコンフィグに誤りがありました。 ----------------------------------- ip lan1 address 192.168.168.168/24 ip lan2 address 192.168.1.60/24 ----------------------------------- >それぞれのヤマハルーターからみて、光電話ルーターを介したそれぞれ2重NATになっておりますが、 >ヤマハのセグメント同士のルーティングは光電話ルーターでは出来ないのでは? 今回はVPNを行う設定ですが、VPNを行わない状態でPR-200NEでルーティング出来ていたので、それはない 思います。 YAMAHAでNATしていませんし、PR-200NEでスタティックルートを記載しているのでNATはされないです。 ローカルIPの場合、NATは特に必要はなく、ルーティングでいいと思っています。

  • koi1234
  • ベストアンサー率53% (1866/3459)
回答No.2

Np1 訂正 >【YAMAHA RTX1000 ファームウェア:8.01.29 VPNルータA】 >【YAMAHA RTX1000 ファームウェア:8.01.29 ルータB】 と書いてあるのを見逃しました でも状況が見えないのは同じ  3拠点で VPN したいということなんでしょうか? それとも PR-2000の下に 2台のRTX1000があってそのRTX1000間の通信をVPNしたいって話? 各ルータのLAN側・WAN側がつながっているのがインターネットなのか ローカルLANなのかローカルLANであるならそのセグメントがいくつになっているのか VPNを行いたいのはどこなのか をわかりやすく記載してもらえないでしょうか

noname#242248
質問者

補足

分かりにくくてすみません。 192.167.167.0/24 ----(LAN1)【RTX1000:VPNルータA】(LAN2)----PR-200NE ----(LAN2)【RTX1000:VPNルータB】(LAN1) ---192.168.168.0/24 ※PR-200NEのWANインターフェイスの先がThe Internetです。 構成は上記になります。 192.167.167.0/24のセグメントと192.168.168.0/24のセグメントをサイト間VPN接続したいと考えております。 なので、2拠点間のVPN接続になります。 ルータは、PR-200NEとRTX1000の2台でほかにルータはありません。 複数同じ機器がある場合、分かりやすくするため、RTX1000の1台目はVPNルータA、2台目はVPNルータBというふうにしていますので、 VPNルータA及びBの型番はRTX1000になります。 192.167.167.0/24はローカルアドレスではないので使用してはダメということだと思いますが実運用で使用したいのではなくテスト環境のため なので問題ないと考えております。 SonicWALL社のUTM製品を使用して今回と同様の構成でサイト間VPNが行えているので同じようにテスト環境を構築したいと考えております。 | 192.167.167.0/24 ----(X0)【TZ100:VPNルータ】(X1)----NSA3500 ----(X1)【TZ100:VPNルータ】(X0) ---192.168.168.0/24 ※NSA3500のX1インターフェイスの先がThe Internetです。

  • koi1234
  • ベストアンサー率53% (1866/3459)
回答No.1

基本的に質問では状況が理解できなかったというのが正直なところ >192.167.167.0/24 こんなアドレス勝手に使っちゃダメ >ルータAのLAN1の端末からルータBのLAN1の端末宛、ルータBのLAN1の端末から >ルータAの LAN1の端末宛にPing VPNしてる(したい)のは RTX1000 と PR-200NE なんですよね? 疎通確認(Ping)するところが違ってるとしか思えませんが 質問読む限り私には RTX1000 ー ルータ ー インターネット ー ルータ - PR200NE になってるように読み取れるんですけど やるなら ルーター RTX1000 ー インターネット - PR200NE - ルータ  じゃないとだめなのでは?(ルータ自体の存在がイランという話があるけど) また ルータA ルータB の型番は何なのでしょうか?

関連するQ&A

  • サイト間VPNで上位機器でIKE,ESPの許可設定

    下記のことを実施したいと考えていますが、YAMAHAのRTX1000同士でVPNが張れません。 原因及び対応方法がわからず、困っております。 ご教示頂けますようお願い致します。 【行いたいこと】 1.VPNルータAのLAN1のセグメント(192.168.5.0/24)の端末からVPNルータBのLAN1のセグメント(192.168.3.0/24)の端末へVPN接続を行いたい。VPM接続を行うのは、RTX1000同士だが、VPNルータBの上位にSonicWALL TZ100があり、VPN接続を行うため、IKE,ESPを許可する必要がある。 2.PNルータAのLAN1のセグメント(192.168.5.0/24)の端末からVPNルータBのLAN1のセグメント(192.168.3.0/24)にVPN接続した後にSonicWALL TZ100のX2(LAN)のセグメント(192.168.4.0/24)にアクセスをさせたい。 【構成】 192.168.4.0/24 (X2) --TZ100 (X1) ----- (LAN2) RTX1000 VPNルータA(LAN1) --192.168.5.0/24                (X0)                 |               (LAN2)              RTX1000 VPNルータB               (LAN1)                |              192.168.3.0/24 【YAMAHA RTX1000 ファームウェア:8.01.29 VPNルータA】 ip lan1 address 192.168.5.50/24 ip lan2 address 192.168.1.60/24 ip route default gateway 192.168.1.1 ip lan2 nat descriptor 1 nat descriptor type 1 masquerade nat descriptor address outer 1 192.168.1.60 nat descriptor address inner 1 auto tunnel select 1 ipsec tunnel 101 ipsec sa policy 101 1 esp 3des-cbc sha-hmac ipsec ike keepalive use 1 on ipsec ike local address 1 192.168.5.50 ipsec ike pre-shared-key 1 text password ipsec ike remote address 1 192.168.1.60 tunnel enable 1 nat descriptor masquerade static 1 1 192.168.5.50 udp 500 nat descriptor masquerade static 1 2 192.168.5.50 esp ipsec auto refresh on ip route 192.168.3.0/24 gateway tunnel 1 【YAMAHA RTX1000 ファームウェア:8.01.29 VPNルータB】 ip lan1 address 192.168.3.20/24 ip lan2 address 192.168.2.30/24 ip route default gateway 192.168.2.40 ip route 192.168.4.0/24 gateway 192.168.2.40 nat descriptor type 1 masquerade nat descriptor address outer 1 192.168.2.30 nat descriptor address inner 1 auto tunnel select 1 ipsec tunnel 101 ipsec sa policy 101 1 esp 3des-cbc sha-hmac ipsec ike keepalive use 1 on ipsec ike local address 1 192.168.3.20 ipsec ike pre-shared-key 1 text password ipsec ike remote address 1 192.168.1.60 tunnel enable 1 nat descriptor masquerade static 1 1 192.168.3.20 udp 500 nat descriptor masquerade static 1 2 192.168.3.20 esp ipsec auto refresh on ip route 192.168.5.0/24 gateway tunnel 1 【SonicWALL TZ100 ファームウェア:SonicOS Enhanced 5.8.1.12-65o.01.jpn】 X0(LAN) 192.168.2.40/24 X1(WAN) 192.168.1.50/24 G/W:192.168.1.1 DNS:4.2.2.2 X2(LAN) 192.168.4.40/24 アクセスルール(LAN > WAN) No.1 送信元:すべて 送信先:すべて サービス:すべて 動作:許可 アクセスルール(WAN > LAN) No.1 送信元:すべて 送信先:WANプライマリIP サービス:ESP(IPSec) 動作:許可 No.2 送信元:すべて 送信先:WANプライマリIP サービス:IKE 動作:許可 NATポリシー No.1 変換前の送信元:すべて 変換後の送信元:オリジナル 変換前の送信先:WANプライマリIP 変換後の送信先:192.168.2.30 変換前のサービス:ESP(IPSec) 変換後のサービス:オリジナル No.2 変換前の送信元:すべて 変換後の送信元:オリジナル 変換前の送信先:WANプライマリIP 変換後の送信先:192.168.2.30 変換前のサービス:IKE 変換後のサービス:オリジナル アドレスオブジェクト 名前:192.168.2.30 ゾーン:LAN タイプ:ホスト IPアドレス:192.168.2.30

  • YAMAHA RTX1200 のVPN接続

    YAMAHA ルータ RTX1200 のVPN接続について質問です。 センターと拠点の、2カ所にそれぞれ YAMAHA の RTX1200 を使用しています。 インターネット接続は、センター、拠点それぞれ、メイン回線とバックアップ回線の2本ずつ用意しています。 メイン回線、バックアップ回線は、それぞれ固定IPです。 メイン回線が何らかの事情で切断されたとき、バックアップ回線に切り替わるようになっています。 センターと拠点は VPN で接続しています。 このような状況で、メイン回線が切断されたときには、VPNもバックアップ回線で接続したいと考えています。 その為のトンネルの設定として書いたのが、以下の物です。 センター  tunnel select 1   ipsec tunnel 101   ipsec sa policy 101 1 esp 3des-cbc md5-hmac   ipsec ike keepalive use 1 on   ipsec ike local address 1 (センターの固定IP(メイン回線))   ipsec ike pre-shared-key 1 text (key)   ipsec ike remote address 1 (拠点の固定IP(メイン回線))   tunnel backup tunnel 2 switch-interface=on   tunnel enable 1  tunnel select 2   ipsec tunnel 102   ipsec sa policy 102 2 esp 3des-cbc md5-hmac   ipsec ike keepalive use 2 on   ipsec ike local address 2 (センターの固定IP(バックアップ回線))   ipsec ike pre-shared-key 2 text (key)   ipsec ike remote address 2 (拠点の固定IP(バックアップ回線))   tunnel enable 2 拠点  tunnel select 1   ipsec tunnel 101   ipsec sa policy 101 1 esp 3des-cbc md5-hmac   ipsec ike keepalive use 1 on   ipsec ike local address 1 (拠点の固定IP(メイン回線))   ipsec ike pre-shared-key 1 text (key)   ipsec ike remote address 1 (センターの固定IP(メイン回線))   tunnel backup tunnel 2 switch-interface=on   tunnel enable 1  tunnel select 2   ipsec tunnel 102   ipsec sa policy 102 2 esp 3des-cbc md5-hmac   ipsec ike keepalive use 2 on   ipsec ike local address 2 (拠点の固定IP(バックアップ回線))   ipsec ike pre-shared-key 2 text (key)   ipsec ike remote address 2 (センターの固定IP(バックアップ回線))   tunnel enable 2 このように記述した場合、センター、あるいは拠点のメイン回線が切断された場合、VPNも切断されてしまうので、その場合はバックアップ回線で VPN 接続される、と考えていますが、この考えで正しいでしょうか。 また、 tunnel 1 はセンター、拠点のメイン回線同士が。 tunnel 2 はセンター、拠点のバックアップ回線同士が繋がるような設定です。 この場合、例えばセンターのメイン回線が切断されて、センターはバックアップ回線、拠点はメイン回線でインターネットに繋がっているとき、tunnel 1 で接続されるのでしょうか、tunnel 2 で接続されるのでしょうか。 それともセンターのバックアップ回線と拠点のメイン回線の間でVPN接続されるのでしょうか? だとすると、例えばセンターのメイン回線と拠点のバックアップ回線が切断され、センターはバックアップ回線で、拠点はメイン回線でインターネットに繋がっているとき、上記 tunnel の設定ではVPN接続されないのでしょうか。 そのあたり理解が曖昧なので、教えていただけると助かります。

    • ベストアンサー
    • VPN
  • RTX1100でのVPN設定

    こんにちは。 当方5拠点をNTTフレッツグループで接続していましたが、VPN用の改変が出来ないとの事で新たにRTX1100を使用してVPNを構築したいと考えています。 ルーター設定担当者が不在になり、私はGUIベースのルーターしか触ったことがないので、試行錯誤しているのですが、やはり繋がらない現状になりましたので、ご教授ください。 A地点は、gateway(RTX1100):192.168.33.254 B地点は、gateway(RTX1100):192.168.44.254 A地点のConfigは、 ip route default gateway pp 1 ip route 192.168.44.0/24 gateway tunnel 1 ip lan1 address 192.168.33.254/24 pp select 1 pp always-on on pppoe use lan2 pp auth accept pap chap pp auth myname ID PASS ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp mtu 1454 ip pp nat descriptor 1 netvolante-dns hostname host pp server=1 TEST01.aa1.netvolante.jp pp enable 1 tunnel select 1 ipsec tunnel 101 ipsec sa policy 101 1 esp 3des-cbc md5-hmac ipsec ike pre-shared-key 1 text TEST ipsec ike remote address 1 any ipsec ike remote name 1 kyoten1 tunnel enable 1 nat descriptor type 1 masquerade ipsec auto refresh on dhcp service server dhcp scope 1 192.168.33.101-192.168.33.149/24 dns server pp 1 dns private address spoof on B地点のConfigは、 ip route default gateway pp 1 ip route 192.168.33.0/24 gateway tunnel 1 ip lan1 address 192.168.44.254/24 pp select 1 pp always-on on pppoe use lan2 pp auth accept pap chap pp auth myname ID PASS ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp mtu 1454 ip pp nat descriptor 1 pp enable 1 tunnel select 1 ipsec tunnel 101 ipsec sa policy 101 1 esp 3des-cbc md5-hmac ipsec ike local address 1 192.168.44.254 ipsec ike local name 1 kyoten1 key-id ipsec ike pre-shared-key 1 text TEST ipsec ike remote address 1 TEST01.aa1.netvolante.jp tunnel enable 1 nat descriptor type 1 masquerade nat descriptor masquerade static 1 1 192.168.44.254 udp 500 nat descriptor masquerade static 1 2 192.168.44.254 esp ipsec auto refresh on dhcp service server dhcp scope 1 192.168.44.101-192.168.44 dns server pp 1 dns private address spoof on 必要であればログもとってあります。 よろしくお願いいたします。

  • RTX1200でLAN1/3でお互いVPN通信

    RTX1200において LAN1/LAN3 でそれぞれVPN通信を使用したいのですが。 NATの関係なのか うまく通信できてません。 ステータス確認するも正常っぽくでてるのですがpingで通信確認取れない状態です。 filterやファイアウォールも、していないのでその辺ではなさそうなのですが。 現状 自拠点(RTX1200)LAN1:192.168.48.10 → 拠点1:192.168.28.10(RTX1200) → PING:○ 自拠点(RTX1200)LAN3:172.31.48.10 → 拠点2:172.31.28.10(RTX1200)  → PING:× -----コンフィグ------ ip route default gateway pp 1 ip route 10.10.1.1 gateway pp 2(NTT-VPNサービス拠点2向け) ip route 172.31.28.0/24 gateway tunnel 2(拠点2向け) ip route 192.168.28.0/24 gateway tunnel 1(拠点1向け) ip lan1 address 192.168.48.10/24(LAN1:IP→拠点1と通信) ip lan3 address 172.31.48.10/24(LAN2:IP→拠点2と通信) pp select 1(ステータスは正常) pp keepalive use lcp-echo pp always-on on pppoe use lan2 pppoe auto connect on pppoe auto disconnect off pp auth accept pap chap pp auth myname xxxx@xxxx ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ip pp mtu 1454 ip pp nat descriptor 1 netvolante-dns use pp server=1 auto netvolante-dns hostname host pp server=1 hostname.aa0.netvolante.jp pp enable 1 pp select 2(ステータス正常) pp always-on on pppoe use lan2 pppoe auto disconnect off pp auth accept pap chap pp auth myname NTT-VPNワイドサービス@xxx.xxx ppp lcp mru on 1454 ppp ipcp msext on ppp ccp type none ip pp address 10.20.13.1/32(自拠点IP/NTT-VPNワイドサービス) pp enable 2 tunnel select 1(ステータス正常) ipsec tunnel 1 ipsec sa policy 1 1 esp 3des-cbc sha-hmac ipsec ike hash 1 sha ipsec ike keepalive log 1 off ipsec ike keepalive use 1 on ipsec ike local address 1 192.168.48.10(拠点1向け) ipsec ike pre-shared-key 1 text xxxxxxxxx ipsec ike remote address 1 hostname.aa2.netvolante.jp tunnel enable 1 tunnel select 2(ステータス正常) tunnel encapsulation ipip tunnel endpoint address 10.10.44.1 10.10.1.1(拠点2向け) ip tunnel tcp mss limit auto tunnel enable 2 nat descriptor type 1 masquerade  nat descriptor masquerade static 1 1 192.168.48.10 udp 500 nat descriptor masquerade static 1 2 192.168.48.10 esp ipsec auto refresh on dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.48.20-192.168.48.40/24 dhcp scope 2 172.31.48.101-172.31.48.199/24 dns server DNSサーバIP dns private address spoof on 末筆で恐縮ですが、お分かりの方ご教授のほどお願いします。

  • RTX1100でのIPSecVPN構築について

    はじめまして。 今までSoftEther2.0で構築していたのですが、ヤマハRTX1100に交換する事になりました。 本社―支社とを拠点間VPNで繋ぎ、Windowsにてファイル共有をしたいのですが、RTX1100を導入したのですがうまく通信ができません。 構成は… 本社ルーターLAN1(192.168.0.1/24)LAN2(01.aa0.netvolante.jp) 支社ルーターLAN1(192.168.5.1/24)LAN2(05.aa0.netvolante.jp) 本社側のクライアントは192.168.0.2-192.168.0.100 支社側のクライアントは192.168.5.2-192.168.5.30 何卒よろしくお願いいたします。 以下本社側のルーター設定です。(PPpoe部分省略) ip route default gateway pp 1 ip route 192.168.5.0/24 gateway tunnel 1 ip lan1 address 192.168.0.1/24 netvolante-dns hostname host pp 01.aa0.netvolante.jp pp enable 1 tunnel disable all tunnel select 1 tunnel name testvpn ipsec tunnel 1 ipsec sa policy 1 1 esp 3des-cbc md5-hmac ipsec ike always-on 1 on ipsec ike encryption 1 des-cbc ipsec ike esp-encapsulation 1 on ipsec ike group 1 modp768 ipsec ike hash 1 md5 ipsec ike keepalive log 1 on ipsec ike local address 1 192.168.0.1 ipsec ike pfs 1 off ipsec ike pre-shared-key 1 text test ipsec ike remote address 1 any ipsec ike remote name 1 05.aa0.netvolante.jp ipsec auto refresh 1 on ip tunnel mtu 1280 tunnel enable 1 nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor address inner 1 auto nat descriptor masquerade incoming 1 reject nat descriptor masquerade static 1 4 192.168.0.1 esp nat descriptor masquerade static 1 5 192.168.0.1 udp 500 ipsec auto refresh on dns server pp 1 dns private address spoof on

  • YAMAHA RTX1500に変えたら切れるように

    社内のネットワークにYAMAHAのルータを利用しています。 本社にRTX1100を置いて、5か所の支店にもRTX1100をおいてIPSECのインターネットVPNで通信していました。 このほど、本社ルータを変えることになり完全上位互換ということでRTX1500に入れ替えました。 CONFIGは全く同じものをコピーして運用を始めたのですが、、、、、。 各支店から朝になると切れているというクレームが入りました。 ルータを再起動すると繋がるのですが、長時間立つといつの間にか切れるようです。 なにか解決のヒントになる事があればお教えください。 参考になるかわかりませんが、LOGの一部を載せます。 交換前のRTX1100では問題なく稼働していました。 2013/09/12 08:43:20: IP Tunnel[29] Up 2013/09/12 08:43:27: TUNNEL[17] PPTP connection is established: 183.60.48.25 2013/09/12 08:43:28: TUNNEL[17] PPTP connection is closed: 183.60.48.25 2013/09/12 08:46:06: Logout from TELNET: 222.1.25.2 2013/09/12 09:10:17: [IKE] respond ISAKMP phase to 123.216.1.107 2013/09/12 09:10:19: [IKE] respond IPsec phase to 123.216.1.107 2013/09/12 09:14:09: [IKE] respond ISAKMP phase to 60.33.1.157 2013/09/12 09:14:11: [IKE] respond IPsec phase to 60.33.1.157 2013/09/12 09:16:54: [IKE] respond ISAKMP phase to 58.91.7.132 2013/09/12 09:16:55: IP Tunnel[30] Down 2013/09/12 09:17:01: [IKE] respond IPsec phase to 58.91.7.132 2013/09/12 09:17:01: IP Tunnel[30] Up 2013/09/12 09:18:02: [IKE] respond ISAKMP phase to 123.216.1.107 2013/09/12 09:18:04: IP Tunnel[30] Down 2013/09/12 09:18:09: [IKE] respond IPsec phase to 123.216.1.107 2013/09/12 09:18:09: IP Tunnel[30] Up 2013/09/12 09:24:18: [IKE] heartbeat: dead peer detection SA[19] 114.163.91.167 2013/09/12 09:24:19: [IKE] initiate informational exchange (delete) 2013/09/12 09:24:19: same message repeated 1 times 2013/09/12 09:24:19: IP Tunnel[26] Down 2013/09/12 09:24:23: [IKE] initiate informational exchange (delete) 2013/09/12 09:26:44: [IKE] heartbeat: dead peer detection SA[16] 122.26.220.193 2013/09/12 09:26:45: [IKE] initiate informational exchange (delete) 2013/09/12 09:26:45: same message repeated 1 times 2013/09/12 09:26:45: IP Tunnel[29] Down 2013/09/12 09:26:49: [IKE] initiate informational exchange (delete) 2013/09/12 09:32:51: [IKE] respond ISAKMP phase to 114.145.242.229 2013/09/12 09:32:52: [IKE] respond IPsec phase to 114.145.242.229 2013/09/12 09:32:52: IP Tunnel[26] Up 2013/09/12 09:35:17: [IKE] respond ISAKMP phase to 118.15.136.194 2013/09/12 09:35:19: [IKE] respond IPsec phase to 118.15.136.194 2013/09/12 09:35:19: IP Tunnel[29] Up おねがいします。

  • フリーソフトShrew Soft VPNを利用したRTX1000へのリ

    フリーソフトShrew Soft VPNを利用したRTX1000へのリモートアクセスVPN(動的IP⇔動的IP、RTX1000でDDNS利用) Shrew Soft VPN(IPsec)を用いて、イーモバイル接続のノートPCから自宅PC(192.168.0.4)のフォルダへアクセスすることが目的です。 現在ISACAMP SA、IPsecSA(2方向)が張れていますが イーモバイル接続のノートPC(192.168.0.254)からRTX1000のLAN側IP(192.168.0.1)へ PINGは通りますが、自宅PC(192.168.0.4)へPINGが通りません。 イーモバイル接続のノートPC(192.168.0.254)からRTX1000のLAN側IP(192.168.0.1)へ telnetで入り、そこから自宅PC(192.168.0.4)へPINGすると通ります。 RTXのコンフィグは以下の通りで、Shrew Soft VPNの設定は http://www.mediafire.com/imageview.php?quickkey=8lhuc431us1cd1a&thumb=6 の画像のように設定しています。 どなたか192.168.0.4のフォルダが参照出来るように ご教授お願い致します。 # show config # RTX1000 Rev.8.01.28 security class 2 on on ip route default gateway pp 1 ip route 192.168.0.254 gateway tunnel 1 ip icmp log on ip lan1 address 192.168.0.1/24 pp select 1 pp always-on on pppoe use lan2 pppoe auto connect on pppoe auto disconnect off pp auth accept chap pp auth myname ID Password ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp mtu 1454 ip pp nat descriptor 1 netvolante-dns hostname host pp XXXXXX.aa0.netvolante.jp pp enable 1 tunnel select 1 ipsec tunnel 1 ipsec sa policy 1 1 esp 3des-cbc sha-hmac ipsec ike keepalive log 1 on ipsec ike local address 1 192.168.0.1 ipsec ike log 1 key-info message-info payload-info ipsec ike payload type 1 3 ipsec ike pre-shared-key 1 text YYYYYYYYY ipsec ike remote address 1 any ipsec ike remote name 1 S101 ip tunnel tcp mss limit auto tunnel enable 1 nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor address inner 1 192.168.0.1-192.168.0.253 nat descriptor masquerade static 1 3 192.168.0.4 tcp 22 nat descriptor masquerade static 1 4 192.168.0.1 udp 500 nat descriptor masquerade static 1 5 192.168.0.1 esp ipsec auto refresh on telnetd service on telnetd listen 23 telnetd host any dhcp service server dhcp scope 1 192.168.0.2-192.168.0.253/24 dns server pp 1 dns private address spoof

  • VPN構築時ローカル機器にデフォルトGWかルーティングテーブルを追加しないといけない?

    こんにちは PPPoE固定GIP-モバイル機器ダイヤル回線間VPNを構築しましたが、 どうもローカルの機器の設定が変えられない制限条件があります。 現在デフォルトゲートウェイが設定されていなく、VPNのもう一方のPCからPingも通りません。 (ローカル機器にデフォルトGWかルーティングテーブルを設定すれば通信可能) この状態ってそもそもVPN構築して通信を可能にするにはどうすれば良いでしょうか? 具体的にはヤマハRTX1200を使って設定していますので、設定を貼っておきます。 Aサイトルータ: ip route default gateway pp 1 ip route 192.168.2.0/24 gateway tunnel 1 ip lan1 address 192.168.3.1/24 pp select 1 pp always-on on pppoe use lan2 pp auth accept pap chap pp auth myname user passwd ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp address aaa.aaa.aaa.aaa/32 ip pp mtu 1454 pp enable 1 tunnel select 1 ipsec tunnel 101 ipsec sa policy 101 1 esp des-cbc md5-hmac ipsec ike pre-shared-key 1 text secret ipsec ike remote address 1 any ipsec ike remote name 1 TEST tunnel enable 1 nat descriptor log on ipsec auto refresh on dns server pp 1 dns private address spoof on Bサイトルータ: ip route default gateway pp 1 ip route 192.168.3.0/24 gateway tunnel 1 ip lan1 address 192.168.2.254/24 pp select 1 pp bind usb1 pp auth accept pap chap pp auth myname test test ppp lcp mru off 1792 ppp lcp accm on ppp lcp pfc on ppp lcp acfc on ppp ipcp ipaddress on ppp ipcp msext on ppp ipv6cp use off ip pp nat descriptor 1 mobile auto connect on mobile disconnect time off mobile disconnect input time off mobile disconnect output time off mobile access-point name mopera.flat.foma.ne.jp cid=5 mobile access limit duration off mobile access limit length off mobile access limit time off mobile display caller id off pp enable 1 tunnel select 1 ipsec tunnel 101 ipsec sa policy 101 1 esp des-cbc md5-hmac ipsec ike keepalive use 1 on ipsec ike local address 1 192.168.2.254 ipsec ike local name 1 TEST key-id ipsec ike pre-shared-key 1 text secret ipsec ike remote address 1 aaa.aaa.aaa.aaa tunnel enable 1 nat descriptor log on nat descriptor type 1 masquerade nat descriptor masquerade static 1 1 192.168.2.254 udp 500 nat descriptor masquerade static 1 2 192.168.2.254 esp nat descriptor masquerade static 1 3 192.168.2.254 tcp 500 ipsec auto refresh on dns server pp 1 usbhost modem flow control usb1 off mobile use usb1 on 詳しい方がいましたら、ぜひご教示ください。 すごく困っています;

  • VPNが繋がらない(YAMAHA RTX1100)

    【PC-A】--【拠点1ルータ1LAN内】--【拠点1ルータ2】--(Tunnel1)--【本社】--(Tunnel2)--【拠点2ルータ】 お世話になります。上記の様な配線の時、 【拠点1ルータ1LAN内】をYAMAHA RTX1100と交換したらVPNが繋がりません。 【本社】と【拠点2ルータ】はVPNが出来るのですが 【本社】と【拠点1ルータ1LAN内】はVPNが出来ません。 【PC-A】から本社WAN側までpingは通ります 【本社】に残ったログからIPsecの信号は受けている様ですが、 Tunnelが『UP』の状態になりません。 本社と各拠点からはInternetは問題なく出来ています。 【本社】に残ったログ [IKE] generate spi list payload same message repeated 1 times [IKE] generate sequence number payload [IKE] generate hash payload [IKE] generate ISAKMP header [IKE] send IKE message [IKE] 2d 81 8f [IKE] receive IKE message [IKE] f6 69 06 [IKE] ... omitted [IKE] respond ISAKMP phase to 111.111.111.111 [IKE] add ISAKMP context [214] f6 [IKE] receive message from unknown gateway 111.111.111.111 [IKE] receive IKE message [IKE] 2d 81 8f [IKE] receive heartbeat message from 222.222.222.222 [IKE] decrypted payload [IKE] 08 00 00 [IKE] process sequence number payload [IKE] receive sequence number 36 [IKE] process hash payload [IKE] process notification payload [IKE] receive notification from 222.222.222.222 [IKE] no SPI is specified. [IKE] still connected : no message [IKE] spi list payload 24 [IKE] receive spi list protocol = 3, n = 1 [IKE] spi 3b22054a [IKE] inactivate context [214] f6 [IKE] inactivate ISAKMP socket[1] [IKE] delete ISAKMP context [214] f6

  • NEC IXとSonicWALLのVPN設定方法

    下記のナレッジベースを参考にして、サイト間VPN構成を行おうとしていますが、"Received notify. NO_PROPOSAL_CHOSEN"がTZ100に出力されており、VPN接続ができません。 イニシエータがTZ100で、レスポンダがIX2015になっています。 ご教示頂けますようお願い致します。 ----------------------------------------------------------------------------------- UTM - VPN: SonicOS Enhancedを稼働するSonicWALL UTM装置とNEC社製IX シリーズ ルータとのサイト間VPNの構成 http://www.fuzeqna.com/sonicwalljp/consumer/kbdetail.asp?kbid=4192 ----------------------------------------------------------------------------------- 【構成】 192.168.3.0/24 <--> (X0:LAN) TZ100 (X1:WAN) <--> (FE0/1) IX 2015 (FE0/0) <--> 192.168.4.0/24 【機器情報】 SonicWALL TZ100 ファームウェア:SonicOS Enhanced 5.8.1.13-1o.00.jpn (1)インターフェイス (X0:LAN) 192.168.3.254/24 (X1:WAN) 192.168.1.50/24 (2) VPN ポリシー種別:サイト間 認証種別: IKE(事前共有鍵を使用) プライマリ IPSec ゲートウェイ名またはアドレス: 192.168.1.60 事前共有鍵:password  IKE(フェーズ1)プロポーザル  鍵交換モード: メインモード  DH グループ: グループ2  暗号化:3DES  認証:SHA1  存続期間 (秒): 28800 Ipsec (フェーズ 2) プロポーザル プロトコル: ESP 暗号化: 3DES  認証:SHA1  存続期間 (秒): 28800 NEC IX 2015 ファームウェア:8.3.48 Router# enable-config Router(config)# ip route 192.168.3.0/24 Tunnel0.0 Router(config)# ip route default 192.168.1.1 Router(config)# ip access-list sonicwall-list permit ip src any dest any Router(config)# ike proposal ike-prop encryption 3des hash sha group 1024-bit Router(config)# ike policy ike-sonciwall peer 192.168.3.254 key password ike-prop Router(config)# ipsec autokey-proposal ipsec-prop esp-3des esp-sha Router(config)# ipsec autokey-map ipsec-sonicwall sonicwall-list peer 192.168.1.50 ipsec-prop Router(config)# ipsec local-id ipsec-sonicwall 192.168.4.0/24 Router(config)# ipsec remote-id ipsec-sonicwall 192.168.3.0/24 Router(config)# interface FastEthernet0/0.0 Router(config-FastEthernet0/0.0)# ip address 192.168.4.254/24 Router(config-FastEthernet0/0.0)# no shutdown Router(config-FastEthernet0/0.0)# interface FastEthernet0/1.0 Router(config-FastEthernet0/1.0)# ip address 192.168.1.60/24 Router(config-FastEthernet0/1.0)# ip napt static FastEthernet0/1.0 udp 500 Router(config-FastEthernet0/1.0)# ip napt enable Router(config-FastEthernet0/1.0)# ip tcp adjust-mss auto Router(config-FastEthernet0/1.0)# no shutdown Router(config-FastEthernet0/1.0)# interface Tunnel0.0 Router(config-Tunnel0.0)# tunnel mode ipsec Router(config-Tunnel0.0)# ipsec policy tunnel ipsec-sonicwall Router(config-Tunnel0.0)# ip unnumbered FastEthernet0/0.0 Router(config-Tunnel0.0)# no shutdown