• ベストアンサー
  • 困ってます

VPN接続時のルータの静的ルーティングについて

VPN接続時のルータの静的ルーティングに関して質問なんですが、少し長いのでご容赦ください。 現在下記のような環境で自宅にVPNサーバを立てています。 VPNサーバ:Mac OS X 10.10.2 (yosemite) 上にVPNActivatorを使用して構築 VPNで割り当てるIPの範囲:192.168.0.14 ~ 192.168.0.16 ルータに割り当てられているグローバルIP:xxx.xxx.xxx.xx VPNサーバに割り当てられたプライベートIP:192.168.0.10 ポート・マッピング: 変換対象のプロトコルとポート:TCP, 500 宛先アドレス:192.168.0.10 変換対象のプロトコルとポート:TCP, 1701 宛先アドレス:192.168.0.10 変換対象のプロトコルとポート:TCP, 4500 宛先アドレス:192.168.0.10 変換対象のプロトコルとポート:UDP, 1723 宛先アドレス:192.168.0.10 この状態でクライアント側でxxx.xxx.xxx.xx(グローバルIP)に対してVPN接続を試みると、 正しく接続ができ、afpやsmbを使用してVPNサーバのプライベートIP宛に接続を試みても、共有フォルダ等にアクセスができましたので問題ありません。 VPNに接続したクライアントにはプライベートIP:192.168.0.14が割り当てられました。 しかし、同じようにafpやsmbを使用してVPNサーバと同じLAN環境下にある 外付けHDDなどストレージのプライベートIP(192.168.0.2)宛に接続を試みると、タイムアウトとなり失敗してしまいます。 解消法としてルータに静的ルーティングの設定を下記のように行いました。 宛先IPアドレス: 192.168.0.0 インタフェース:ゲートウェイ ゲートウェイ: 192.168.0.10(VPNサーバのプライベートIP) すると、ストレージにも接続が可能になりました。 この原理の認識が合っているのかどうかわからなかったので質問させてください。 下記の認識であっておりますでしょうか? ■スタティック・ルーティングを指定していなかった時の現象 これは、ストレージ(プライベートIP:192.168.0.2)に対して リクエストのパケットは届いて、レスポンスのパケットをルータに返したけど、 ルータがパケットの送信元であるクライアント(192.168.0.14)の場所を知らないから、 パケットを届けられず破棄されてクライアント側はタイムアウトとなり、エラーになった ■スタティック・ルーティングを指定した場合 ストレージからルータへレスポンスのパケットが渡され、 192.168.0.14(クライアント)の場所が分からないので、 ゲートウェイに指定されている192.168.0.10(VPNサーバ)にパケットを送った。 VPNサーバは192.168.0.14(クライアント)を知っているので、 そこに送るように宛先を書き換えて再度ルータに送り返し、 ルータはクライアントにパケットを届けることができた。 もし間違っている場合は、ご指摘いただけますと幸いです。 よろしくお願いいたします。

  • c3d
  • お礼率100% (1/1)

共感・応援の気持ちを伝えよう!

  • VPN
  • 回答数1
  • 閲覧数2736
  • ありがとう数8

質問者が選んだベストアンサー

  • ベストアンサー
  • 回答No.1

当方Windowsユーザなので、VPN Activatorは利用した経験が無いので推測になりますが、私の意見を述べます。原則として、クライアントとVPNサーバ(上のVPN Activator)間は、L2TPでトンネリングされているので、その間にあるルータが、パケットの中身である宛先IPアドレスを知ることが出来ません。ですので、クライアントからのパケットは、全てVPNサーバ上のVPN Activatorに届きます(届くはずです)。 1.スタティック・ルーティングを指定していなかった時の現象 クライアントからのパケットを受け取ったVPNサーバは、192.168.0.14からのパケットとして、ストレージ宛に転送します。ストレージは、同一サブネットからのパケットなので、ルータに返すことなく、192.168.0.14のMACアドレスを知るため、ARP(Who is 192.168.0.14?)をブロードキャストします。本来なら、192.168.0.14が応答を返し、通信が可能となるわけですが、VPN Activator上の192.168.0.14が応答を返さなかったため、エラーになったと考えます。 2.スタティック・ルーティングを指定した場合 ストレージからのARPに対して、ルータが代理応答(ProxyARP)したのでは?と考えます。 WireShark等のパケットキャプチャソフトを起動させた端末(例えば192.168.0.100)にアクセスしてみれば、もう少し詳細が分かるかと思いますが、VPNActivatorの「Advanced」の設定に、何かヒントが隠されているかもしれません。

共感・感謝の気持ちを伝えよう!

質問者からのお礼

おお、なるほど。 ルータが192.168.0.10(VPNサーバ)のMACアドレスをストレージに返して、 パケットを受け取ったVPNサーバがARPしてMACヘッダーを書き換えて、クライアントに送り返すということですね。 すごく納得いきましたが、確かにwireshark等でパケット覗いてみたほうがいいですね。 ストレージでは無く別PCに同様のアクセスをした場合の動きを見た方がいいですね。 ご回答ありがとうございます!

関連するQ&A

  • VPN接続時のルーティング

    クライアントとサーバーの間をVPN(リモートアクセスVPN)で接続しています。 この場合に、アドレスによって送信先をローカルとVPNに切り替える事はできないでしょうか? 現状は、 クライアントIP:192.168.0.xxx ネットワーク:192.168.0.0/24 接続先IP(A):172.21.0.xxx ネットワーク(A):172.21.0.0/24 接続先IP(B):192.168.6.xxx ネットワーク(B):192.168.6.0/24 クライアントはWindowsで「仮想プライベートネットワーク」を使用して接続しています。 この状態で「仮想プライベートネットワーク」の「TCP/IP詳細設定」にある、「リモートネットワークでデフォルトゲートウェイを使う」の設定で、挙動が異なります。 「リモートネットワークでデフォルトゲートウェイを使う」をチェックする。 ・(A)、(B)共に接続できる。 ・クライアントからインターネットへの接続ができない。 「リモートネットワークでデフォルトゲートウェイを使う」をチェックしない。 ・(A)には接続できるが、(B)には接続できない。 ・クライアントからインターネットへ接続できる。 何となくローカルのネットワーク「192.168.0.0」と(B)のネットワーク「192.168.6.0」の部分に問題があるようには思っています。 最終的な希望としては、VPN接続中に「192.168.0.0」はローカル、それ以外はVPNへ送信する様にしたいのですが、可能でしょうか?

  • VPN設定(クライアントにグローバルIP)

    次のようなことを実現したいです。 <拠点A> グローバルIPアドレス: 202.XXX.XXX.70 - 202.XXX.XXX.78 プライベートネットワークアドレス: 172.16.10.XXX <拠点B> グローバルIPアドレス: 207.XXX.XXX.50 - 207.XXX.XXX.58 プライベートネットワークアドレス: 172.16.30.XXX 拠点Aと拠点BはVPNで繋がっております。 都合上、拠点Aに202.XXX.XXX.74と固定のグローバルIPアドレスをクライアントに振り、同様に拠点Bにも207.XXX.XXX.55とクライアントに振ってあり、この間をVPNを通して通信する必要がでてきました。 このグローバルIPアドレスを固定に振っているもの同士のVPN接続ができなくて困っています。 VPNは繋がっておりますので、プライベート空間同様の設定をすればグローバルIPアドレスであっても繋がるのではと思ったのですが、うまくいきません、、、 拠点B(客先)からはVPNルーターのグローバルIPアドレスとクライアントに振られている固定のグローバルIPアドレスを情報としてもらっています。 上記以外、拠点B側の設定はまったく分かりません。 拠点A側で行ったこととしては、固定IPのクライアントにNICを2枚挿して、1つをグローバル、1つをプライベートでIP設定しました。 また、ルーティングテーブル中に拠点BのルーターとクライアントのIPへの通信はプライベート側のNICにパケットを転送するように設定しました。 ルーターの設定は、拠点Bからのパケットを固定IPのクライアントに送るようにファイヤーウォールに穴を開けました。 NATやIPマスカレードはグローバルIPをクライアントで持っているため、必要ないと思い設定していません。 トンネルはできていますので、そこへクライアントに固定で振っているグローバルIPが通れば・・・と考えているのですが、、、 行き詰まりました。ご教授頂けたらと思います。 VPNルーター: YAMAHA RTX1500 クライアントOS: WindowsXP

  • VPNのルーティング方式

    VPNのルーティング方式の場合、クライアントが接続をしたら、実際のIPアドレスとVPNから割り当てられるIPアドレスの2つを持つことになるのでしょうか?そのばあい、どちらが優先的に使用されるのでしょうか?

  • VPN接続時、インターネットが使用できない

    お世話になります。 Windows2003の標準機能でVPNサーバを立てたのですが、 ダイヤルアップでVPN接続時、インターネットが見れなくなってしまいます。 解消方法についてご教授いただけないでしょうか? ●ネットワーク構成 --------------------------------- <ローカルIP> クライアントPC 192.168.12.81(VPN接続時のIP) --------------------------------- |(インターネット) | --------------------------------- <グローバルIP> ブロードバンドルータ 192.168.0.1 --------------------------------- |(LAN)             |(LAN) |                  | -------------- ----------------- 192.168.0.2         192.168.0.3 ルータ            VPNサーバ 192.168.12.1         192.168.12.9 -------------- ------------------- |(LAN)    |______________________|(LAN) | --------------- 192.168.12.2 DNSサーバ --------------- ●VPNサーバの静的ルート 宛先     マスク       ゲートウェイ     アダプタ 192.168.12.0 255.255.255.0 192.168.12.1  LAN 0.0.0.0       0.0.0.0      192.168.0.1   WAN ●VPN接続時のroute print Network Destination Netmask Gateway Interface Metric 0.0.0.0 0.0.0.0 60.254.235.xxx 60.254.235.xxx 2 0.0.0.0 0.0.0.0 192.168.12.81 192.168.12.81 1 <グローバルIP> 255.255.255.255 60.254.235.xxx 60.254.235.xxx 1 60.254.235.xxx 255.255.255.255 127.0.0.1 127.0.0.1 50 60.255.255.255 255.255.255.255 60.254.235.xxx 60.254.235.xxx 50 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 192.168.12.81 255.255.255.255 127.0.0.1 127.0.0.1 50 192.168.12.255 255.255.255.255 192.168.12.81 192.168.12.81 50 224.0.0.0 240.0.0.0 60.254.235.xxx 60.254.235.xxx 2 224.0.0.0 240.0.0.0 192.168.12.81 192.168.12.81 1 255.255.255.255 255.255.255.255 60.254.235.xxx 3 1 255.255.255.255 255.255.255.255 60.254.235.xxx 2 1 255.255.255.255 255.255.255.255 60.254.235.xxx 60.254.235.xxx 1 255.255.255.255 255.255.255.255 60.254.235.xxx 220005 1 255.255.255.255 255.255.255.255 192.168.12.81 192.168.12.81 1 Default Gateway: 192.168.12.81

  • VPNとLANとのルーティングができない

    192.168.218.0/26というLAN内で192.168.218.1(Windows 2003)がWINS、DNS、DHCP、VPNサーバ、WANへのNATルーティングなどをやっています。 現在LAN内のコンピュータとVPNサーバ、VPNクライアントにこのサーバがこのネットワーク内のIPが割り振られていますが、 ○ WANからVPNへ接続があると、LANからサーバ(192.168.218.1)へのパケットが全く届かない(pingも)のはなぜか ○ そもそもLANとVPNが同じネットワーク内に存在して良いのか ○ 同じネットワーク内に存在してはいけないなら、どうすればVPNネットワークへのゲートウェイをこのサーバに用意し、VPNクライアントにVPNネットワーク専用のIPを割り振れるか ○ その場合VPNサーバのIPは192.168.218.58とLAN内のネットワークに存在していて良いのか などを教えてくださる方、またはこれらがわかるようなページをご存じの方がいらしたら、よろしくお願いします。

  • VPN接続について

    会社のLANと自宅PCのVPN接続を考えていますがうまくいきません。 <私のVPN接続方法の認識>自宅から会社に接続する場合。 ◆自宅PCのVPNクライアントがDDNSサーバのホスト[****.ddo.jp]へ ◆DDNSサーバがホスト名からグローバルIPアドレスに変換しルータへ ◆ルータがポート番号から指定されたプライベートIPアドレスのPCへ ◆会社PCのVPNサーバに接続。 <現状> ポート開放(pingで確認) ダイナミックDNSサーバ登録済み(Dynamic DO!.jp) VPNソフトインストール設定済み(PacketiX VPN) <質問> ・これで接続できないのは設定が間違っているのでしょうか? その場合、どこがおかしいのか確認のしかたはありますか? 長々と書いてしまいましたがよろしくお願いします。

  • プライベートIPのVPNサーバーを公開できるルータ

    プライベートIPアドレスのVPNサーバー(Windows2000ServerによるPPTPサーバー)をインターネットに公開したいと考えています。VPNクライアントはWindowsXP、2000、98、ME。 次の機能が必要だと思いますが、これに対応したルータをご存知の方は教えてください。または「この機能では実現できないよ」ということであれば、ご教示下さい。 ・PPTPマルチパススルー機能 ・静的IPマスカレードによって、TCP1723ポートとGREプロトコルをVPNサーバーのIPアドレスへ転送する機能

  • VPN接続について

    1. IP-Secなどで拠点間のルータ同士を接続する場合、ルータ同士でクライアント⇔サーバという関係はありますか?(アドレスなど以外に各ルータで設定差異があるのか?) 2. また、上記のようにIP-SecでVPN接続しているルータに対し、自宅のPCなどからVPNクライアントを使って接続することはで可能でしょうか?(たぶん可能だと思うのですが、接続対象のアドレスとかは許可するとして、[ルータ⇔ルータ]用の設定と[VPNクライアント⇔ルータ]用の設定は別途で指定しないといけないのか?設定方法が違うのか?) 3. あと、VPNクライアントを使ってPCを接続する場合、設定により常時接続は可能となるのでしょうか?(グローバルIPを直で持つPCに拠点内から接続できるようにしたい) 機器にって異なるかもしれませんし、質問自体がすごくざっくりで申し訳ないのですが、わかる範囲でご教授頂けると幸いです。

  • ルータのルーティングテーブルには、たいていデフォルトゲートウェイ(?)がある?

    下記のアドレスのページ等を見ると、ルータはパケットを受け取るとその中の宛先IPアドレスのネットワークアドレスを見て、自分の持っているルーティングテーブルを参照して次のルータにパケットを渡し、ルーティングテーブルに無ければパケットを破棄する、とあるのですが、多くの場合はルーティングテーブルに宛先ネットワークアドレスの情報はないと思うのですが、どうなのでしょうか?(あるとしたら、ものすごくたくさんのデータをテーブルが持ってないといけない気がするのですが) ないとすると、ルータもPCのように、デフォルトゲートウェイを持っていて、ルーティングテーブルにないネットワークアドレスのパケットは、そこに送られる、ということになるのでしょうか? よろしくお願いします。 http://www.itbook.info/study/p74.html

  • ルータの設定の仕方が解りません。

    CTU┬ルータ1┬サーバ(グローバルIP)    └光電話 ├サーバ(グローバルIP)            ├サーバ(グローバルIP)            └ルータ2┬(VPN)クライアント              ├クライアントPC              └クライアントPC 上記のようにネットワークを構築したいと思っております。 グローバルIPが8つです。(xxx.xxx.xxx.xx1~xxx.xxx.xxx.xx8) ルータ1をPPPoEでCTUに接続し、unnumbered設定。 WAN側は未設定で、ルータ1にデフォルトゲートーウェイとして、xxx.xxx.xxx.xx2を割り振ります。 サーバに(xxx.xxx.xxx.xx3~xxx.xxx.xxx.xx5)を割り振り、 ルータ2のWAN側に(xxx.xxx.xxx.xx6)を割り振り、 LAN側のクライアントPCには、プライベートIPを振りたいと思っております。 但し、クライアントPCのうち1つは、VPNを使って外部からアクセスできるようにしたいのですが、このような構築をする場合、 ルータ2はどのように、設定すれば良いでしょうか? ただ普通にWAN側に(xxx.xxx.xxx.xx6)を振ってDHCPを無効にし、 手動でプライベートIPを振れば、一つだけVPNでアクセスできるものなのでしょうか? いまひとつ、ルータの事が分かっていないので、 宜しくお願い致します。