• ベストアンサー
  • すぐに回答を!

RTX1200でLAN1/3でお互いVPN通信

RTX1200において LAN1/LAN3 でそれぞれVPN通信を使用したいのですが。 NATの関係なのか うまく通信できてません。 ステータス確認するも正常っぽくでてるのですがpingで通信確認取れない状態です。 filterやファイアウォールも、していないのでその辺ではなさそうなのですが。 現状 自拠点(RTX1200)LAN1:192.168.48.10 → 拠点1:192.168.28.10(RTX1200) → PING:○ 自拠点(RTX1200)LAN3:172.31.48.10 → 拠点2:172.31.28.10(RTX1200)  → PING:× -----コンフィグ------ ip route default gateway pp 1 ip route 10.10.1.1 gateway pp 2(NTT-VPNサービス拠点2向け) ip route 172.31.28.0/24 gateway tunnel 2(拠点2向け) ip route 192.168.28.0/24 gateway tunnel 1(拠点1向け) ip lan1 address 192.168.48.10/24(LAN1:IP→拠点1と通信) ip lan3 address 172.31.48.10/24(LAN2:IP→拠点2と通信) pp select 1(ステータスは正常) pp keepalive use lcp-echo pp always-on on pppoe use lan2 pppoe auto connect on pppoe auto disconnect off pp auth accept pap chap pp auth myname xxxx@xxxx ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ip pp mtu 1454 ip pp nat descriptor 1 netvolante-dns use pp server=1 auto netvolante-dns hostname host pp server=1 hostname.aa0.netvolante.jp pp enable 1 pp select 2(ステータス正常) pp always-on on pppoe use lan2 pppoe auto disconnect off pp auth accept pap chap pp auth myname NTT-VPNワイドサービス@xxx.xxx ppp lcp mru on 1454 ppp ipcp msext on ppp ccp type none ip pp address 10.20.13.1/32(自拠点IP/NTT-VPNワイドサービス) pp enable 2 tunnel select 1(ステータス正常) ipsec tunnel 1 ipsec sa policy 1 1 esp 3des-cbc sha-hmac ipsec ike hash 1 sha ipsec ike keepalive log 1 off ipsec ike keepalive use 1 on ipsec ike local address 1 192.168.48.10(拠点1向け) ipsec ike pre-shared-key 1 text xxxxxxxxx ipsec ike remote address 1 hostname.aa2.netvolante.jp tunnel enable 1 tunnel select 2(ステータス正常) tunnel encapsulation ipip tunnel endpoint address 10.10.44.1 10.10.1.1(拠点2向け) ip tunnel tcp mss limit auto tunnel enable 2 nat descriptor type 1 masquerade  nat descriptor masquerade static 1 1 192.168.48.10 udp 500 nat descriptor masquerade static 1 2 192.168.48.10 esp ipsec auto refresh on dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.48.20-192.168.48.40/24 dhcp scope 2 172.31.48.101-172.31.48.199/24 dns server DNSサーバIP dns private address spoof on 末筆で恐縮ですが、お分かりの方ご教授のほどお願いします。

共感・応援の気持ちを伝えよう!

質問者が選んだベストアンサー

  • ベストアンサー
  • 回答No.4
  • maesen
  • ベストアンサー率81% (646/790)

>一つ気になるのですが、 >lan1のIPからだと大丈夫なのですが、lan3のIPだからこのようになってしまうのでしょうか? おそらくこういうことだと思います。 ルータコンソールからping、tracerouteを実行した場合、始点IPアドレスとしてLANインターフェースに設定したIPアドレスが使用されるが、これがLAN1のIPアドレス(192.168.48.10)となる。 自拠点→拠点1は、192.168.48.10 から 192.168.28.10への通信なので問題無く通信できる。 自拠点→拠点2は、192.168.48.10 から 172.31.28.10への通信となるが、拠点2のルータには192.168.48.0/24を自拠点に向けるルーティングが無いので通信が成立しない。 ソースIPアドレスを-saで指定すると、172.31.48.10 から 172.31.28.10 となるため通信できる。 -saを使わない場合にLAN1のIPアドレスになるのは、おそらくそういう仕様なんでしょう。 >っていうことはPC端末からであれば通信確立そうです。 私もそう思います。

共感・感謝の気持ちを伝えよう!

質問者からのお礼

本当ご丁寧にありがとうございます。 拠点PCからも通信が無事確認できました。 始点IPの問題と解決できてホットしました。 いつもありがとうございました。 たぶんまた質問すると思いますが・・またよろしくお願いします。

その他の回答 (3)

  • 回答No.3
  • maesen
  • ベストアンサー率81% (646/790)

>traceroute 172.31.28.10 >1 * * * >2 * * * >3 * * * なるほど。 ルータのコンソールからコマンドを打っているということですよね。 一番近いゲートウェイにもたどりついていないですね。 traceroute 172.31.28.10 -sa 172.31.48.10 このコマンドではどうでしょうか。 pingも同じで、 ping 172.31.28.10 -sa 172.31.48.10 -saオプションはファームウェアのバージョンに注意です。(RTX1200 Rev.10.01.16以降) -saオプションが使えない場合は自拠点のLAN3にPCを接続してテストしないと判断が付かないです。 >172.31.28.0 → 172.31.48.0 までは通信○です。 pingなど通信は双方向なのでこれがOKならばトンネルは問題無いと思われます。 上記のコマンドでOKならば単純に始点IPアドレスの問題でコンフィグ的にはOKです。 ※今回の環境では始点となるネットワークが2つあるので。 違っていたらごめんなさいです。

共感・感謝の気持ちを伝えよう!

質問者からの補足

ありがとうございます。 -sa のオプションつけると通信が確認できます。 っていうことはPC端末からであれば通信確立そうです。 一つ気になるのですが、 lan1のIPからだと大丈夫なのですが、lan3のIPだからこのようになってしまうのでしょうか?

  • 回答No.2
  • maesen
  • ベストアンサー率81% (646/790)

>コンフィグを見る限り、拠点2側つまりpp2にはNATを使用していないと思いますがどうしてそう思ったのでしょうか? >pp1/pp2に natも追加しました。 私の言い方が悪かったかもしれませんが、NATの設定が無いのが問題では無く、 原因はNATでは無いですよということが言いたかったのですが。 >pp2 → ip pp nat descriptor 2 pp2はipipトンネルだけが通れば良いのでこれは必要ない。 NATでIPアドレスを偽装する必要は質問を見る限りでは無いと思われます。 >nat descriptor type 2 masquerade >nat descriptor address outer 2 ipcp >nat descriptor address inner 2 172.31.48.1-172.31.48.254 同様にこれも必要ない。 NATの設定が無いと拠点2にpingが通らないのならば、他の何かがおかしい。 >拠点1 → 自拠点(lan3/172.31.48.10)○ 通信可能 >自拠点 → 拠点1(172.31.28.10) × 通信不可 たぶん拠点2の間違いですよね。 おかしなNATの設定があるので何とも言えませんが、pingが返るかは172.31.28.10によります。 なお、ルートの確認をする場合は pingではなく tracertを使用したほうがどこまで通信が出来てどこでNGかが分かりやすいです。 >nat descriptor address outer 1 ipcp >nat descriptor address inner 1 auto 余談ですが、この設定はデフォルトと同じなので、設定的には追加前と同じになります。

共感・感謝の気持ちを伝えよう!

質問者からの補足

本当にご指摘、ありがとうございます。  上記のとおりNATも書き直しました。 172.31.28.0 → 172.31.48.0 までは通信○です。 なのですが172.31.48.0 → 172.31.28.0 だけがxなんです。 トレースしかけても下記の通りです、 traceroute 172.31.28.10 1 * * * 2 * * * 3 * * * ・・・・ tunnel status でも 正常につながってますと・・ なんでxなのか さっぱりで・・

  • 回答No.1
  • maesen
  • ベストアンサー率81% (646/790)

>NATの関係なのか うまく通信できてません。 コンフィグを見る限り、拠点2側つまりpp2にはNATを使用していないと思いますがどうしてそう思ったのでしょうか? >ip pp address 10.20.13.1/32(自拠点IP/NTT-VPNワイドサービス) >tunnel endpoint address 10.10.44.1 10.10.1.1(拠点2向け) これを見ると、pp2に設定しているIPアドレスと、トンネルのローカル側のIPアドレスが一致していませんが、記載のミスでしょうかそれともこのように設定しているのでしょうか? また、トンネルインターフェースのステータス正常とは何を見た結果でしょうか? show status tunnel 2 とかでしょうか。 ローカル側の設定が問題なさそうならば、リモート側の確認が必要ですね。

共感・感謝の気持ちを伝えよう!

質問者からの補足

大変失礼しました。 >ip pp address 10.20.13.1 → が間違っていました・・。 10.10.44.1 に変更しました。 show status tunnel 2 → 正常に接続されていますと表示されていたものですから・・。すみません・ pp1/pp2に natも追加しました。 pp2 → ip pp nat descriptor 2   nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor address inner 1 auto nat descriptor type 2 masquerade nat descriptor address outer 2 ipcp nat descriptor address inner 2 172.31.48.1-172.31.48.254 を追加したところ 拠点2のPCから自拠点ルータまでpingが可能になりました。 なのですが、中途半端にpingが△です。 拠点1 → 自拠点(lan3/172.31.48.10)○ 通信可能 自拠点 → 拠点1(172.31.28.10) × 通信不可 大変恐縮なのですが。お願いします。

関連するQ&A

  • RTX1100でのVPN設定

    こんにちは。 当方5拠点をNTTフレッツグループで接続していましたが、VPN用の改変が出来ないとの事で新たにRTX1100を使用してVPNを構築したいと考えています。 ルーター設定担当者が不在になり、私はGUIベースのルーターしか触ったことがないので、試行錯誤しているのですが、やはり繋がらない現状になりましたので、ご教授ください。 A地点は、gateway(RTX1100):192.168.33.254 B地点は、gateway(RTX1100):192.168.44.254 A地点のConfigは、 ip route default gateway pp 1 ip route 192.168.44.0/24 gateway tunnel 1 ip lan1 address 192.168.33.254/24 pp select 1 pp always-on on pppoe use lan2 pp auth accept pap chap pp auth myname ID PASS ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp mtu 1454 ip pp nat descriptor 1 netvolante-dns hostname host pp server=1 TEST01.aa1.netvolante.jp pp enable 1 tunnel select 1 ipsec tunnel 101 ipsec sa policy 101 1 esp 3des-cbc md5-hmac ipsec ike pre-shared-key 1 text TEST ipsec ike remote address 1 any ipsec ike remote name 1 kyoten1 tunnel enable 1 nat descriptor type 1 masquerade ipsec auto refresh on dhcp service server dhcp scope 1 192.168.33.101-192.168.33.149/24 dns server pp 1 dns private address spoof on B地点のConfigは、 ip route default gateway pp 1 ip route 192.168.33.0/24 gateway tunnel 1 ip lan1 address 192.168.44.254/24 pp select 1 pp always-on on pppoe use lan2 pp auth accept pap chap pp auth myname ID PASS ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp mtu 1454 ip pp nat descriptor 1 pp enable 1 tunnel select 1 ipsec tunnel 101 ipsec sa policy 101 1 esp 3des-cbc md5-hmac ipsec ike local address 1 192.168.44.254 ipsec ike local name 1 kyoten1 key-id ipsec ike pre-shared-key 1 text TEST ipsec ike remote address 1 TEST01.aa1.netvolante.jp tunnel enable 1 nat descriptor type 1 masquerade nat descriptor masquerade static 1 1 192.168.44.254 udp 500 nat descriptor masquerade static 1 2 192.168.44.254 esp ipsec auto refresh on dhcp service server dhcp scope 1 192.168.44.101-192.168.44 dns server pp 1 dns private address spoof on 必要であればログもとってあります。 よろしくお願いいたします。

  • RTX1100でのIPSecVPN構築について

    はじめまして。 今までSoftEther2.0で構築していたのですが、ヤマハRTX1100に交換する事になりました。 本社―支社とを拠点間VPNで繋ぎ、Windowsにてファイル共有をしたいのですが、RTX1100を導入したのですがうまく通信ができません。 構成は… 本社ルーターLAN1(192.168.0.1/24)LAN2(01.aa0.netvolante.jp) 支社ルーターLAN1(192.168.5.1/24)LAN2(05.aa0.netvolante.jp) 本社側のクライアントは192.168.0.2-192.168.0.100 支社側のクライアントは192.168.5.2-192.168.5.30 何卒よろしくお願いいたします。 以下本社側のルーター設定です。(PPpoe部分省略) ip route default gateway pp 1 ip route 192.168.5.0/24 gateway tunnel 1 ip lan1 address 192.168.0.1/24 netvolante-dns hostname host pp 01.aa0.netvolante.jp pp enable 1 tunnel disable all tunnel select 1 tunnel name testvpn ipsec tunnel 1 ipsec sa policy 1 1 esp 3des-cbc md5-hmac ipsec ike always-on 1 on ipsec ike encryption 1 des-cbc ipsec ike esp-encapsulation 1 on ipsec ike group 1 modp768 ipsec ike hash 1 md5 ipsec ike keepalive log 1 on ipsec ike local address 1 192.168.0.1 ipsec ike pfs 1 off ipsec ike pre-shared-key 1 text test ipsec ike remote address 1 any ipsec ike remote name 1 05.aa0.netvolante.jp ipsec auto refresh 1 on ip tunnel mtu 1280 tunnel enable 1 nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor address inner 1 auto nat descriptor masquerade incoming 1 reject nat descriptor masquerade static 1 4 192.168.0.1 esp nat descriptor masquerade static 1 5 192.168.0.1 udp 500 ipsec auto refresh on dns server pp 1 dns private address spoof on

  • フリーソフトShrew Soft VPNを利用したRTX1000へのリ

    フリーソフトShrew Soft VPNを利用したRTX1000へのリモートアクセスVPN(動的IP⇔動的IP、RTX1000でDDNS利用) Shrew Soft VPN(IPsec)を用いて、イーモバイル接続のノートPCから自宅PC(192.168.0.4)のフォルダへアクセスすることが目的です。 現在ISACAMP SA、IPsecSA(2方向)が張れていますが イーモバイル接続のノートPC(192.168.0.254)からRTX1000のLAN側IP(192.168.0.1)へ PINGは通りますが、自宅PC(192.168.0.4)へPINGが通りません。 イーモバイル接続のノートPC(192.168.0.254)からRTX1000のLAN側IP(192.168.0.1)へ telnetで入り、そこから自宅PC(192.168.0.4)へPINGすると通ります。 RTXのコンフィグは以下の通りで、Shrew Soft VPNの設定は http://www.mediafire.com/imageview.php?quickkey=8lhuc431us1cd1a&thumb=6 の画像のように設定しています。 どなたか192.168.0.4のフォルダが参照出来るように ご教授お願い致します。 # show config # RTX1000 Rev.8.01.28 security class 2 on on ip route default gateway pp 1 ip route 192.168.0.254 gateway tunnel 1 ip icmp log on ip lan1 address 192.168.0.1/24 pp select 1 pp always-on on pppoe use lan2 pppoe auto connect on pppoe auto disconnect off pp auth accept chap pp auth myname ID Password ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp mtu 1454 ip pp nat descriptor 1 netvolante-dns hostname host pp XXXXXX.aa0.netvolante.jp pp enable 1 tunnel select 1 ipsec tunnel 1 ipsec sa policy 1 1 esp 3des-cbc sha-hmac ipsec ike keepalive log 1 on ipsec ike local address 1 192.168.0.1 ipsec ike log 1 key-info message-info payload-info ipsec ike payload type 1 3 ipsec ike pre-shared-key 1 text YYYYYYYYY ipsec ike remote address 1 any ipsec ike remote name 1 S101 ip tunnel tcp mss limit auto tunnel enable 1 nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor address inner 1 192.168.0.1-192.168.0.253 nat descriptor masquerade static 1 3 192.168.0.4 tcp 22 nat descriptor masquerade static 1 4 192.168.0.1 udp 500 nat descriptor masquerade static 1 5 192.168.0.1 esp ipsec auto refresh on telnetd service on telnetd listen 23 telnetd host any dhcp service server dhcp scope 1 192.168.0.2-192.168.0.253/24 dns server pp 1 dns private address spoof

  • RTX-1200でのPPTP設定

    こんにちは。 YAMAHAのRTX-1200のPPTP設定について質問します。 RTX1200のルータを 拠点1、拠点2に設置しipsecで通信し 外部からからPPTPにて接続ができるよう設定しました。 しかし拠点1、拠点2間はipsecVPN接続は出来ておりますが、 外部(WINDOWS7)からPPTP の接続が出来ない状態です。 ログを見ると 2013/08/12 17:33:36: PP[01] Rejected at NAT(1000): TCP AAA.AAA.AAA.AAA:55467 > BBB.BBB.BBB.BBB:1723 nat の設定間違いだと思うのですが アドバイスをお願いします ip route default gateway pp 1 ip route 192.168.114.0/24 gateway tunnel 1 ip filter source-route on ip filter directed-broadcast on ip lan1 address 192.168.200.5/24 pp select 1 description pp PRV/PPPoE/0: pp keepalive interval 30 retry-interval=30 count=12 pp always-on on pppoe use lan2 pppoe auto connect off pppoe auto disconnect off pp auth accept pap chap pp auth myname ***** ***** ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp mtu 1454 ip pp nat descriptor 1000 pp enable 1 pp select anonymous pp bind tunnel3-tunnel4 pp auth request mschap-v2 pp auth username user1 user1 ppp ipcp ipaddress on ppp ccp type mppe-any ip pp remote address pool 192.168.200.100-192.168.200.105 pptp service type server pp enable anonymous tunnel select 1 ipsec tunnel 101 ipsec sa policy 101 1 esp 3des-cbc sha-hmac ipsec ike keepalive use 1 on ipsec ike local address 1 192.168.200.5 ipsec ike nat-traversal 1 on ipsec ike pre-shared-key 1 text password ipsec ike remote address 1 ***.***.***.*** tunnel enable 1 tunnel select 3 tunnel encapsulation pptp tunnel enable 3 tunnel select 4 tunnel encapsulation pptp tunnel enable 4 nat descriptor log on nat descriptor type 1 masquerade nat descriptor masquerade static 1 1 192.168.200.5 udp 500 nat descriptor masquerade static 1 2 192.168.200.5 tcp 1723 nat descriptor masquerade static 1 3 192.168.200.5 udp 4500 nat descriptor masquerade static 1 4 192.168.200.5 esp nat descriptor masquerade static 1 5 192.168.200.5 gre nat descriptor type 1000 masquerade ipsec auto refresh on syslog notice on syslog debug on dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.200.150-192.168.200.230/24 dhcp scope bind 1 192.168.200.150 dns server pp 1 dns server select 500001 pp 1 any . restrict pp 1 pptp service on #

  • RTXでRAS接続設定

    RTX1000を使ってリモートアクセス(PPTP)接続後、同一ネットワーク内の共有ファイル(192.168.100.50)にアクセスする設定が、うまくいきません。現状では端末からルータまでpingが○、なのですが、端末→共有ファイルにpingが×状態です。 フィルタかとおもい全部のフィルタ記述を削除したのですが、変化ありませんでした。 ルータまでRAS接続が確認できるのですが、ルータより先にネットワークが疎通しない状態です。 ---構成----- ルータ 192.168.100.1 共有  192.168.100.50(NAS) 端末  192.168.100.121(接続後DHCP) RAS接続 拠点B 192.168.11.0/24(接続確認済) ----コンフィグ--------- ip route default gateway pp 1 ip route 192.168.11.0/24 gateway tunnel 1 ip lan1 address 192.168.100.1/24 pp select 1 pp always-on on pppoe use lan2 pppoe auto disconnect off pp auth accept pap chap pp auth myname 名前 パス ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp mtu 1454 ip pp nat descriptor 1 netvolante-dns use pp auto netvolante-dns hostname host pp 名前.aa0.netvolante.jp pp enable 1 pp select anonymous pp name RAS/VPN: pp bind tunnel3 pp auth request mschap-v2 pp auth username 名前 パス ppp ipcp ipaddress on ppp ccp type mppe-any ip pp remote address pool 192.168.100.121-192.168.100.135 pptp service type server pp enable anonymous tunnel select 1 ipsec tunnel 1 ipsec sa policy 1 1 esp 3des-cbc sha-hmac ipsec ike keepalive use 1 on ipsec ike local address 1 192.168.100.1 ipsec ike pre-shared-key 1 text aaaaaaaa ipsec ike remote address 1 固定IP tunnel enable 1 tunnel select 3 tunnel encapsulation pptp pptp tunnel disconnect time off tunnel enable 3 nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor address inner 1 auto nat descriptor masquerade static 1 1 192.168.100.1 tcp 1723 nat descriptor masquerade static 1 2 192.168.100.1 gre nat descriptor masquerade static 1 3 192.168.100.1 udp * nat descriptor masquerade static 1 4 192.168.100.1 tcp www nat descriptor masquerade static 1 5 192.168.100.1 tcp telnet nat descriptor masquerade static 1 6 192.168.100.1 esp ipsec auto refresh on syslog debug on dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.100.80-192.168.100.99/24 dns server DNS-IP pptp service on 末筆で恐縮ですが、ご教授いただけると幸いです。 よろしくお願いします。

  • rtx1210でIPVPNが途中で切れる

    RTX1210でIPVPNで自社と本社Aで本社Bで通信してます。 本社A側でのみVPNが途絶えてしまいます。厳密にいうとVPNが途絶えたというより本社A向けのルーティングが×になってる感じなんです。 VPNが×になっても一度自社側ルータを再起動すればVPNは復帰するのですが、数時間経過すると×になります。 トンネルの状態をみても正常なのですが 通信できない状態にあります。 LAN1のIP1-100まではPP1で経由し、IP101-255までをpp2経由としているのですが フィルターにてPP1を経由するようにフィルターを記述してるつもりなんです。  何がだめなのかご指摘いただけると幸いです。 ************* ip route default gateway pp 1 filter 1 2 gateway pp 2 filter 3 4 ip route 172.24.61.0.0/24 gateway tunnel 61 対向本社B ip route 192.168.10.1.0/24 gateway tunnel 1 対向本社A ip filter source-route on ip filter directed-broadcast on ip lan1 address 192.168.1.1/24 ip lan1 proxyarp on ip lan1 secure filter in 10000 10001 20000 ip lan1 wol relay broadcast pp select 1 pp auth myname プロバイダーIDA ip pp address 固定IP/32  (本社A対向側とVPN) ip pp nat descriptor 1 pp enable 1 pp select 2 pp auth myname プロバイダーIDB ppp ipcp ipaddress on ip pp nat descriptor 2 netvolante-dns use pp server=1 auto netvolante-dns hostname host pp server=1 name.aa0.netvolante.jp pp enable 2 tunnel select 1 (×になってしまう方) ipsec tunnel 1 ipsec sa policy 1 1 esp aes-cbc sha-hmac ipsec ike keepalive log 1 off ipsec ike keepalive use 1 on ipsec ike pre-shared-key 1 text hogehogehoge ipsec ike remote address 1 対向本社A固定IP (本社対向側は自社固定IP【PP1側】を指定) ip tunnel tcp mss limit auto tunnel enable 1 tunnel select 61 ipsec tunnel 61(こちらは切断されない・・) ipsec sa policy 61 61 esp 3des-cbc md5-hmac ipsec ike keepalive log 61 off ipsec ike keepalive use 61 on ipsec ike pre-shared-key 61 text hogehogehoge ipsec ike remote address 61 対向本社B固定IP ip tunnel tcp mss limit auto tunnel enable 61 ip filter 1 pass-log 192.168.1.1-192.168.1.100 * * * * (1-100はpp1経由 ip filter 2 pass-log * 192.168.10.0/24 * *  ip filter 3 pass-log 192.168.1.101-192.168.1.255 * * * * ip filter 4 pass * * * * ip filter 10000 reject 192.168.1.0/24 192.168.10.199-192.168.10.240 (アクセス拒否リスト) ip filter 10001 reject 192.168.1.0/24 192.168.10.250(アクセス拒否リスト) ip filter 20000 pass * * nat descriptor type 1 masquerade nat descriptor address outer 1 固定IP nat descriptor address inner 1 auto nat descriptor masquerade static 1 1 固定IP udp 500 nat descriptor masquerade static 1 2 固定IP esp nat descriptor masquerade static 1 3 固定IP udp 4500 nat descriptor type 2 masquerade nat descriptor address outer 2 ipcp nat descriptor address inner 2 auto nat descriptor masquerade static 2 1 LAN1アドレス udp 500 nat descriptor masquerade static 2 2 LAN1アドレス esp nat descriptor masquerade static 2 3 LAN1アドレス udp 4500 dns service recursive dns server select 1 pp 1 any . restrict pp 1 dns server select 2 pp 2 any . restrict pp 2 dns private address spoof on

    • 締切済み
    • VPN
  • RTX1100にてPPTPの接続が不安定(+他も)

    お世話になります rtx1100を使用してVPNを構築しようとしており接続はpptpとip-secの両方を考えております 環境としましては以下のようになっております 動的IP(DDNS使用/PPPoE)  | (lan2) rtx1100 (lan1 - 192.168.1.1/24)  | 社内LAN - 192.168.1.10-30/24 VPNクライアント 192.168.1.50-55 色々なサイトを参考にさせて頂き一通り作業が終わりましたので外部からテスト接続をしたのですが VPN自体ip-secでは弾かれてしまいましたがpptpでは接続が出来ました その際、vpnクライアントはipアドレスは指定範囲でもらえていましたが サブネットは社内LANと同じ255.255.255.0ではなく255.255.255.255でした ただ、pptpで接続されてもrtx1100まではpingもロスなしで繋がっているのですが 社内LANへのアクセスが不安定であり VPNクライアントのwindowsからのpingも全部ロスだったり、全部返ってきたり 1回だけ返ってきたりとまったく安定しません 無事社内LANの共有フォルダにアクセスできていても不安定だからなのか 通信速度も遅く、ファイルを開いたりするのに時間がかかってしまいます 色々試してもみたのですが、全くわからず困り果ててしまいました お手数とは思いますが、ぜひご教授お願い致します また、以下に現状の問題点や当方がはまってしまっている内容も記載致します ・pptpが不安定(通信速度も遅い) ・ip-secが繋がらない ・vpnクライアントのサブネッが255.255.255.0ではなく255.255.255.255になってしまっている ・wan側のpingに反応しないようにしたい ・wan側の全ポートをステルスにしたい ・pptpのポートは動的フィルタで動作するのか? login password * administrator password * login user user * timezone +09:00 console prompt [RTX] login timer 1800 ip route default gateway pp 1 ip filter source-route on ip filter directed-broadcast on ip lan1 address 192.168.1.1/24 ip lan1 proxyarp on pp select 1 pppoe use lan2 pppoe auto connect on pppoe auto disconnect off pp auth accept pap chap pp auth myname user pass ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp mtu 1454 ip pp nat descriptor 1 pp enable 1 pp enable 2 pp select anonymous pp bind tunnel1-tunnel4 pp auth request mschap-v2 pp auth username user1 pass1 pp auth username user1 pass1 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type mppe-any ip pp remote address pool 192.168.1.50-192.168.1.55 ip pp mtu 1258 pptp service type server pp enable anonymous tunnel select 1 tunnel encapsulation l2tp ipsec tunnel 101 ipsec sa policy 101 1 esp aes-cbc sha-hmac ipsec ike keepalive use 1 off ipsec ike local address 1 192.168.1.1 ipsec ike nat-traversal 1 on ipsec ike pre-shared-key 1 text string ipsec ike remote address 1 any l2tp tunnel disconnect time off l2tp keepalive use on 10 3 l2tp keepalive log on l2tp syslog on ip tunnel tcp mss limit auto tunnel enable 1 tunnel select 2 tunnel encapsulation l2tp ipsec tunnel 102 ipsec sa policy 102 2 esp aes-cbc sha-hmac ipsec ike keepalive use 2 off ipsec ike local address 2 192.168.1.1 ipsec ike nat-traversal 2 on ipsec ike pre-shared-key 2 text string ipsec ike remote address 2 any l2tp tunnel disconnect time off l2tp keepalive use on 10 3 l2tp keepalive log on l2tp syslog on ip tunnel tcp mss limit auto tunnel enable 2 tunnel select 3 tunnel encapsulation pptp pptp tunnel disconnect time off pptp keepalive use on ip tunnel tcp mss limit auto tunnel enable 3 tunnel select 4 tunnel encapsulation pptp pptp tunnel disconnect time off pptp keepalive use on ip tunnel tcp mss limit auto tunnel enable 4 ip filter 1 pass * 192.168.1.1 gre * * ip filter 2 pass * 192.168.1.1 tcp * 1723 ip filter 3 pass * 192.168.1.1 esp * * ip filter 4 pass * 192.168.1.1 udp * 500 ip filter 5 pass * 192.168.1.1 udp * 1701 ip filter 6 pass * 192.168.1.1 udp * 4500 ip filter 8 reject * * icmp-info * * nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor address inner 1 auto nat descriptor masquerade static 1 3 192.168.1.1 esp nat descriptor masquerade static 1 4 192.168.1.1 udp 500 nat descriptor masquerade static 1 5 192.168.1.1 udp 4500 nat descriptor masquerade static 1 6 192.168.1.1 gre nat descriptor masquerade static 1 7 192.168.1.1 tcp 1723 ipsec auto refresh on ipsec transport 1 101 udp 1701 ipsec transport 2 102 udp 1701 syslog host 192.168.1.10 syslog notice on syslog debug on tftp host none telnetd service off dhcp service server dhcp scope 1 192.168.1.10-192.168.1.30/24 dns server pp 1 dns private address spoof on pptp service on l2tp service on httpd host 192.168.1.1-192.168.1.254 sshd service on sshd host 192.168.1.1-192.168.1.254 sshd host key generate *

  • VPN構築時ローカル機器にデフォルトGWかルーティングテーブルを追加しないといけない?

    こんにちは PPPoE固定GIP-モバイル機器ダイヤル回線間VPNを構築しましたが、 どうもローカルの機器の設定が変えられない制限条件があります。 現在デフォルトゲートウェイが設定されていなく、VPNのもう一方のPCからPingも通りません。 (ローカル機器にデフォルトGWかルーティングテーブルを設定すれば通信可能) この状態ってそもそもVPN構築して通信を可能にするにはどうすれば良いでしょうか? 具体的にはヤマハRTX1200を使って設定していますので、設定を貼っておきます。 Aサイトルータ: ip route default gateway pp 1 ip route 192.168.2.0/24 gateway tunnel 1 ip lan1 address 192.168.3.1/24 pp select 1 pp always-on on pppoe use lan2 pp auth accept pap chap pp auth myname user passwd ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp address aaa.aaa.aaa.aaa/32 ip pp mtu 1454 pp enable 1 tunnel select 1 ipsec tunnel 101 ipsec sa policy 101 1 esp des-cbc md5-hmac ipsec ike pre-shared-key 1 text secret ipsec ike remote address 1 any ipsec ike remote name 1 TEST tunnel enable 1 nat descriptor log on ipsec auto refresh on dns server pp 1 dns private address spoof on Bサイトルータ: ip route default gateway pp 1 ip route 192.168.3.0/24 gateway tunnel 1 ip lan1 address 192.168.2.254/24 pp select 1 pp bind usb1 pp auth accept pap chap pp auth myname test test ppp lcp mru off 1792 ppp lcp accm on ppp lcp pfc on ppp lcp acfc on ppp ipcp ipaddress on ppp ipcp msext on ppp ipv6cp use off ip pp nat descriptor 1 mobile auto connect on mobile disconnect time off mobile disconnect input time off mobile disconnect output time off mobile access-point name mopera.flat.foma.ne.jp cid=5 mobile access limit duration off mobile access limit length off mobile access limit time off mobile display caller id off pp enable 1 tunnel select 1 ipsec tunnel 101 ipsec sa policy 101 1 esp des-cbc md5-hmac ipsec ike keepalive use 1 on ipsec ike local address 1 192.168.2.254 ipsec ike local name 1 TEST key-id ipsec ike pre-shared-key 1 text secret ipsec ike remote address 1 aaa.aaa.aaa.aaa tunnel enable 1 nat descriptor log on nat descriptor type 1 masquerade nat descriptor masquerade static 1 1 192.168.2.254 udp 500 nat descriptor masquerade static 1 2 192.168.2.254 esp nat descriptor masquerade static 1 3 192.168.2.254 tcp 500 ipsec auto refresh on dns server pp 1 usbhost modem flow control usb1 off mobile use usb1 on 詳しい方がいましたら、ぜひご教示ください。 すごく困っています;

  • RTXでNAT変換がトンネルVPNに適用できない

    1拠点にてRTX1200を2台LAN3どうしで繋いでいます。(ルータ1はネットボランチVPN(ipsec)で本部と接続しています) ルータ1←→(LAN3)←→ルータ2 LAN2 → pppoe LAN1 → パソコン端末 ルータ1(LAN1):172.31.90.0/24 ルータ2(LAN2):192.168.90.0/24 ルータ2の配下に 192.168.90.254 のネットカメラをセットしました。 この状態で 本部から 172.31.90.41 と 入力することで 繋がるようにしたいのです。(他拠点も全部172.31.・・なんで全部統一したいとの要望・・・) 静的NATの変換で可能かと考え下記の設定をしてみましたがうまくいきません。 現在ではルータ1からのnat変換は出来ています。 ルータ1から172.31.90.41でウェブカメラは監視できているのですが。 本部からだとpingが通らない現状なのです。 末筆で恐縮ですが、おわかりの方 ご教授お願いします。 ルータ1のコンフィグです。 ip route default gateway pp 1 ip route 本部 gateway tunnel 1 ip route 192.168.90.0/24 gateway ルータ2 ip lan1 address 172.31.90.10/24 ip lan1 nat descriptor 2 ip lan3 address ルータ2 pp select 1 ip pp nat descriptor 1 2 pp enable 1 tunnel select 1 ipsec tunnel 1 ip tunnel nat descriptor 2 tunnel enable 1 nat descriptor type 1 nat-masquerade nat descriptor address outer 1 ipcp nat descriptor address inner 1 172.31.90.1-172.31.90.255 nat descriptor masquerade static 1 1 172.31.90.10 udp 500 nat descriptor masquerade static 1 2 172.31.90.10 esp nat descriptor type 2 nat nat descriptor address outer 2 172.31.90.41 nat descriptor address inner 2 192.168.90.254 nat descriptor masquerade static 2 1 192.168.90.254 tcp www

  • RTX1100でリモートVPNの設定について

    こんにちは。 WidowsXPを使ってPPTPクライアントによって、RTX1100にリモート接続する設定をしています。 下の例のようにRTX1100の設定をしていますが、WindowsXPで接続しますと、暫く時間がたってから、 「エラー800:VPN接続を確立できません。VPNサーバーに到達できない、またはセキュリティパラメータ がこの接続に対して正しく構成されていない可能性があります。」というエラーメッセージが出ています。 恐らくRTX1100の設定に間違いがあるかと思います。 何度も確認し、問題がどこにあるのか見つからなくて困っています。 ぜひご教授ください。 環境:YAMAHA RTX1100 リモート接続方法:WidowsXPを利用してPPTPクライアントによる接続 (ネットワーク構成) +-----------+ | WindowsPC | +-----------+ | 61.XX.XX.XX | | インターネット ######## # VPN # インターネット ######## | LAN2 | 61.YY.YY.YY +---------+ | RTX1000 | +---------+ LAN1 | 192.168.100.1 | -----+----+----+---- 192.168.100.0/24 | | login password * administrator password * security class 2 on on ip route default gateway 61.YY.YY.1 ip filter source-route on ip lan1 address 192.168.100.1/24 ip lan1 proxyarp on ip lan1 intrusion detection in on reject=on ip lan1 nat descriptor 1 ip lan2 address 61.YY.YY.YY/24 ip lan2 intrusion detection in on reject=on ip lan2 nat descriptor 2 pp select anonymous pp bind tunnel1 pp auth request mschap-v2 pp auth username ccskbe 1234 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type mppe-any ppp ccp no-encryption reject ip pp remote address pool 192.168.100.196-192.168.100.199 ip pp mtu 1280 ip pp secure filter in 1001 1002 pptp service type server pp enable anonymous tunnel select 1 tunnel encapsulation pptp tunnel enable 1 nat descriptor type 1 masquerade nat descriptor masquerade static 1 1 192.168.100.1 tcp 1723 nat descriptor masquerade static 1 2 192.168.100.1 gre nat descriptor type 2 masquerade nat descriptor address outer 2 primary nat descriptor address inner 2 192.168.100.1-192.168.100.254 nat descriptor masquerade incoming 2 reject