このページのスレッド一覧(全7438スレッド)
| 内容・タイトル | ナイスクチコミ数 | 返信数 | 最終投稿日時 |
|---|---|---|---|
 FTPS接続できますか |
3 | 7 | 2016年2月6日 11:12 |
| ひかり電話オフィスエース |
1 | 5 | 2016年2月2日 22:08 |
| ポートフォーワードだけの目的なら、オーバースペックでしょうか |
2 | 9 | 2016年1月26日 20:41 |
| macアドレスに名称を付けられませんか? |
1 | 26 | 2016年5月24日 06:39 |
| VPN通信の設定について |
6 | 144 | 2017年1月14日 16:33 |
| HGWへのアクセスについて2 |
7 | 200 | 2016年1月7日 17:39 |
- 「質問の絞込み」の未返信、未解決は最新1年、解決済みは全期間のクチコミを表示しています
お気に入りに追加
明確な情報が調べても出てこなかったため、使った事がある方のお話伺えたらと思います。
現在のルーターが古くなりすぎ買い替え検討してるのですが、BHR-4GRV2でFTPS接続した方はいらっしゃいますか? 接続できるか出来ないかだけでいいので知りたいです。
0点
Buffaloルーターに、SSHサーバ機能が有るか無いかと言う事ですよね?
残念ながら、SSHサーバ機能は搭載されておりません。
よって、SFTP接続は出来ません。
Buffalo「VR-S1000」を選択されても、搭載しておりません。
Yamaha「NVR-500」、「RTX810」を検討下さい。
書込番号:19558950
1点
『BHR-4GRV2でFTPS接続した方はいらっしゃいますか?』
BHR-4GRV2には、FTPサーバを搭載していないようですが、FTPサーバは、何をお使いでしょうか?
書込番号:19559057
0点
すいません言葉が足りませんでした。
例えばWinSCPやFFFTPなどのFTPソフトで、サクラ、ロリポップなどのようなレンタルサーバーに繋ぐ際、FTPS接続できるかという意味です。
書込番号:19560228
0点
『例えばWinSCPやFFFTPなどのFTPソフトで、サクラ、ロリポップなどのようなレンタルサーバーに繋ぐ際、FTPS接続できるかという意味です。』
ご自宅外のFTPサーバ(サクラ、ロリポップなどのようなレンタルサーバー)をご利用になる場合には、ご自宅のブロードバンドルータに特別な設定は不要です。レンタルサーバ側のブロードバンドルータにはFTPSサーバをユーザが使用するための設定が必要になります。
ユーザ側では、マニュアルに従ったFTPソフトの設定をすれば、FTPS接続は可能です。
【sakura】
Next FTP4 のFTP設定
3「 高度な設定 」のタブを選択します。
各種設定完了後、『 OK 』をクリックします。
SSL暗号化
※FTPSによる接続を希望する場合
ファイアウォール:パッシブモードチェックあり
以下いずれかを選択してください。
Explicit(SSL)
Explicit(TLS)
Explicit(TLS-C)
Explicit(TLS-P)
データ接続を暗号化 チェックあり
【lolipop】
Win FFFTP FTPS対応版の設定
FFFTPの初期設定
4FTPES(File Transfer Protocol over SSL/TLS Explicitモード)の設定
FTPS接続設定
書込番号:19560967
1点
レンタルホスティングのSSH接続出来るかどうかの件ですが、確かにルーターなどの制約は受けませんが、接続機能の要件上、SSH接続にはデフォルトでTCP22番のポートを利用するのが、一般的です。
ルーターには、ご存じかと思いますが、NAT-IPマスカレード機能にてIPアドレスにポートを付帯して変換する機能にて、複数端末をWAN側へ通信統制する機能、その通信時に破棄・透過する機能が有りますので、ルーターに特定のIPフィルタでの通過設定をANYアドレス指定で登録しておく点が基本となります。
サクラやロリポップのホスティングのSSH機能では、レンタルサーバの指定SSHポートがデフォルトで設定されておりますが、宅内のルーターではデフォルトでSSHには、TCP22番を利用する形になっております。
ロリポップの仕様では、デフォルトでTCP2222番を利用しているので、宅内のルーターのIPフィルタにてLANTCP22番への通信を透過する設定、静的IPマスカレード(Buffaloではアドレス変換)にて、WAN側ポート(TCP2222)→LAN側ホスト(SFTP接続クライアントのIP)とTCP22番への転送する設定をしておくプロセスがなければ、通信出来ない可能性も有ります。
書込番号:19561381
0点
SSH(SFTP)接続では無く、FTPSの場合には、ルーターの制約は受けないかと存じます。
FTPのデフォルト・ポートをそのまま利用しているかと存じますので、ご利用予定のルーターのIPフィルタにて、TCP20〜21番が制限されていない限り可能かと存じます。
具体的なFTPクライアントソフトの導入については、他の方が仰っていますので、割愛します。
書込番号:19561423
0点
FTPSとSFTPは、全く別のアプリケーションですので、混同しないようにしてください。
また、FTPSの使用ポート番号もFTPサーバの設定により変更可能ですが、ユーザ側のFTPクライアントの設定で「パッシブモード」と「Explicit」モードを使用すれば、FTPクライアントの設定でポート番号を指定する必要はありません。
FTPS、SFTPの違いって?
・FTPS : FTPの通信をSSL/TLSで暗号化 → FTPの拡張
使用ポート
・989 : FTPデータ転送ポート
・990 : FTP制御ポート
・SFTP : SSHの通信を使って、FTPを行う → SSHで動作するアプリケーション
http://qiita.com/kasei-san/items/bf766e6c2ececa4c3905
書込番号:19561503
1点
RTx1200でVPNを組んでおりましたが先日、ひかり電話オフィスエースへの切り替えをしたところ接続がダウンしてしまいました。
ONU→ハブ→NTT主装置とRTX1200で問題無いと思いましたがまったくつなありません。
解決方等、アドバイス頂きたくお願い致します。
1点
>Hippo-cratesさん
FIIOX5 2NDの質問で回答をいただいた者です。
DROPBOXに登録したのですが一致する画像がなくて困っています。どうしたらいいでしょう。
よろしくお願い致します。
>ヒロ8787さん
勝手にこの場をお借りして申し訳ありません
書込番号:19542727
0点
>Hippo-cratesさん
ハブはバッファロー製『LSW3-GT-5NS』を使用しております。
推奨のハブ等ありますでしょうか?
書込番号:19542936
0点
確認ですが、ONUからハブ→PBX、ハブ→RTX1200の接続との事ですが、NTT主装置の実装ユニットは、光電話4ch若しくは8chなどのインターフェイスユニット機能有りのタイプでしょうか?
光電話ユニット実装型タイプの主装置の場合、ハブは不要ですよ。
主装置の実装ユニットにONUからの端子と、LAN側へ払い出しポートが有りますので、その主装置のLAN側払い出し用のポートにRTX1200のLAN2若しくはLAN3ポートへ接線すればOKです。
NTT主装置の光電話ユニットが、デフォルトでPPPOEブリッジ機能が有効(NAT機能は利用しない)モードになっているはずですので、主装置の外版を外すと、ONUからの配線接線以外に、LANポートが有るはずです。
恐らくは、主装置に「NXSM-4BRU-<1>」と追加で「NXSM-4BRSU-<1>」などが実装しているはずです。
上記ユニットにONUからのWANポートと、LAN1とLAN2ポートが有るかと存じます。
LAN1若しくはLAN2ポートから、RTX1200のLAN2若しくはLAN3インターフェイス宛てのケーブルを接続すれば、OKです。
NTT主装置のタイプ(αGX、αNX、αNXU)がどのタイプか不明ですが、直収の光電話ユニットからのLAN配線方法やPPPOEブリッジ(NAT機能利用しない)のモード変更は、NTT113若しくは主装置導入のディーラーへ相談下さい。
書込番号:19550228
0点
主装置経由のネットワーク構成になりますので、回線終端装置及びPBX主装置、RTX1200ルーターの停電時のバッテリー保護の観点から、無停電装置の導入環境を推奨されます。
書込番号:19550242
0点
グローバルIP(v4)一つだけの回線に日々のネットサーフィンに使うパソコン群と、
セキュリティをさして気にしなくて良いwebとメール主体のlinuxサーバをつないで
います。また、外部からも見ることがある、ネットワークカメラもつながっています。
使っているルータが古くなってきたのと100Mまでということで、1G対応の
製品を探しています。サーバをつないでいる関係でポートフォーワーディングが
必須なのですが、このルータはオーバースペックでしょうか。
外部公開のwebサーバなので、24時間安定してPPPoEがつながり、熱暴走など
しないことも大切な要件です。このルータなら問題はないと思いますが、私の用途には
無用に高いだけかなとも思い迷っています。
ちなみに、今はNTT-ME MN8300を使っています。
1点
>外部公開のwebサーバなので、24時間安定してPPPoEがつながり、熱暴走などしない
グローバルIPの契約だけでそれなりに出費があるんでしょうし、それを踏まえればさほど高額でもオーバースペックでも無いかと。
一般論として、無線LAN付きのルータの方が製品開発・価格競争が活発で有線ルータは後回しになり僕としても残念。
NECやバッファロー辺りの…電器屋にて1万円以下で買えるフツーのWiFiルータでも「それなりに」安定稼働はしてるんで、予算の問題がキツイなら誤魔化すしかないのでは。
あるいはADSL環境を更新して、機材をルータ機能付きのONU(?)にする。そんでハブの替わりにスイッチ…
信頼性が高いと言っても、L2レイヤスイッチならそれなりの値段で買えるので。(出費が増えて本末転倒)
書込番号:19512890
0点
確認ですが、Linuxサーバの機能にて、どの程度のWANアクセス処理やSQL処理等をされているかで、NVR500ルーターが相当かどうかの判断になるかと存じます。
基本的に、NVR500ルーターのNATテーブル処理は最大4,096テーブルですので、熱暴走するかどうかについては、NVR500の搭載CPUやリソースをどれだけ消費するかに依存します。
接続のパソコン等の台数、同時接続数を考慮しますと、それぞれの端末にどれだけNATテーブルの割り当てや特定アプリケーションでのWAN処理をさせるかでも、選択肢になるかと存じます。
他にIPカメラ等の接続もされているとの事にて、IPカメラの台数や専用レコーダーでのマルチモニターリングを併用されている場合には、NVR500では無く、上位のRTX810(NAT処理最大10,000)、FWX120(NATIONAL処理最大30,000)になるかと存じます。
コンソール設定等に慣れているのであれば、NEC「UNIVERGE iX2105」あたりが、中古・オークションにて安価に掲載されていますよ。(WANスループット最大1.3Gbps/NAT処理最大65,535)
書込番号:19513552
0点
webサーバは容量の関係でレンタルサーバに収まらない動画ファイルの倉庫に使っています。アクセス頻度は、日に10回あるかないかです。ルータへの負荷は気にしなくて良いと考えています。一万円を切る家庭用の安定性が不安なんです。
書込番号:19513789 スマートフォンサイトからの書き込み
0点
一万円未満の製品のレベルは、あまり変わりません。
不安であれば、ごく一般的にはSOHO向けとしては、3万円以上がスタートになります。
中古・オークションなどにて、アライドテレシスやNEC系の高機能ルーターが、2万〜掲載されていますので、参考にされては如何でしょうか? (ヤフオクなど)
※ アライドテレシス「CentreCOM AR570S」、「CentreCOM ARX640S」
※ NEC「UNIVERGE IX2105」
書込番号:19514937
0点
皆さん有難うございます。ちなみに、回線の維持費は月に三千円です。
1万円を切る製品を使っている友人たち(普通はこれですよね)に聞いても、
そうそう切れたりはしないそうなので、機能をよく調べた上で間に合うなら
そちらにします。
書込番号:19515571
0点
そうですか。
1万円未満の製品の選定については、静的IPマスカレードの細かな転送ルールの設定や、ポートマッピングの際のルーティング設定、NATテーブルの通信ルールの設定などは出来ないタイプも有りますので、その要素も検討下さい。
どの程度のNATテーブルを消費する環境なのかを判断材料にして下さい。
書込番号:19516331
0点
ありがとうございます。調べたところ1万円未満の製品でも間に合うようです。正直、YAMAHAを使ってみたいという気持との間で揺れています。もう少し考えてみます。
書込番号:19517970
0点
Yamahaを利用されたいのでしたら、中古・オークションなどにて、「RTX1200」がだぶついていますよ。
「RTX1210」が発売している関係上、前機種が安価に転売している状態(16,000〜20,000円)ですので、参考までに。
サーバ公開やNATルール、ある程度の煩雑な処理も可能ですので、パーソナル系の家庭用ルーターを1万円にて購入されるより、良い選択になるかと思います。
書込番号:19526091
0点
ありがとうございます。ネットワーク機器は重要なので新品と決めています。価格的には新品を買えるのですが、ムダにお金を掛けたくなくて迷っています。まあ、買う方向に傾いていますが。
書込番号:19527330
1点
ログを見るときにmacアドレスは見えますが、どの機器かは一目では分かりません。
そこでmacアドレスと対応する機器名を結び付けて管理したいです。
具体的な方法があれば教えてください。
0点
『具体的な方法があれば教えてください。』
IPアドレス、ホスト名、MACアドレスをMS-Excelなどに入力して管理するのは如何でしょうか?
必要でしたら、「SoftPerfect Network Scanner」などのソフトウェアをインストールすれば、管理表を作成する作業効率は良くなるかと思います。
セグメント内で稼働するネットワーク機器のIP Address,MAC Address,Host nameを集計してくれます。
SoftPerfect Network Scanner
http://www.forest.impress.co.jp/library/software/spnetscanner/
書込番号:19499538
0点
1. Excelで、Macアドレスと、スレ主さんがわかるコンピュータ名の一覧を作成し、
2. Yamahaルータのログを同じExcelブックの別のシートに貼ります。
3. 1と2のシートを基にして、Macアドレスからコンピュータ名をLOOKUPして、人が見て、コンピュータごとのアクセス状況がわかるシートを作成します。
定期的に2.にログを貼り付ければ、3.のシートに結果が得られます。
書込番号:19499551 スマートフォンサイトからの書き込み
0点
NetEnumでは、一覧をCSVやTXT形式で保存できるようです。
NetEnum
http://www.forest.impress.co.jp/library/software/netenum/
書込番号:19499583
0点
先刻のYamaha-VPN構成相談の方ですか?
当方利用していますのは、明京電機製「RPC-EYE v3」・・50台ライセンス用です。
上記のソフトで、無償提供ライセンスが有りますので、ご利用されては如何でしょうか?
「RPC-EYE v3 for Limited無償版」 ・・ http://www.meikyo.co.jp/product/?id=1390209432-868826
フリーライセンスを要望される場合ですが、株式会社テクノカルチャー製「Squeezer Ver.2」が良いかと存じます。
※ http://www2.t-next.com/squeezer/
書込番号:19499790
0点
>ログを見るとき
ログをエディタで取り込んでテキスト処理を用いてMACアドレスやIPアドレスをPC名に置換すれば良いんじゃない?
こーゆーのが得意な人ならスクリプト組んで自動化できるんだけど。
書込番号:19500169
1点
みなさん回答ありがとうございます。
aTermやairStationなどでは出来るようなのですがMacアドレスと機器名を登録してルーターだけで機器名を表示することを求めています。
コマンドでできないでしょうか?
書込番号:19500236 スマートフォンサイトからの書き込み
0点
Yamahaルーターのみでその機能を実現出来ないかと言う事ですか?
ネットワーク情報を送信する機能と一元参照する機能、GUIインターフェイスから閲覧する機能が搭載していないといけませんので、残念ながらRTX810ではSNMPサーバ機能は設定出来ますが、カスタムGUIを作成出来る稼働かは、確認してみないと解りません。
デフォルトでは、無理です。
※ http://www.rtpro.yamaha.co.jp/RT/docs/custom-gui/
Yamahaルーターデフォルト機能で、ダッシュボード機能の一部・LANマップ(接続LAN構成参照機能)になりますが、当方も利用していますが、上位機種のRTX1210でも、LAN1インターフェイス内/LAN2/LAN3インターフェイスの枠内のみのマップ機能になります。
VPNトンネル先のLANマップまでは、参照出来ません。
※ LANマップ機能・・http://www.rtpro.yamaha.co.jp/RT/docs/lanmap/index.html#FW
書込番号:19500321
0点
メーカは異なりますが、WZR-600DHPでは、arping、perl、sedくらいは利用できるようですが...。
# ls sed perl arping -l
lrwxrwxrwx 1 root root 7 Nov 5 2013 arping -> busybox
-rwxr-xr-x 1 root root 1371948 Nov 5 2013 perl
lrwxrwxrwx 1 root root 7 Nov 5 2013 sed -> busybox
#
書込番号:19501193
0点
えーと私が希望しているのは本機に以下のようなコマンドが設定できないか?と言うことです。
例)
私のiPhoneのmacアドレスが12 34 56 78 90 ab だった場合、12 34 56 78 90 abを「MY iPhone」とログ上で表示させるようなコマンドです。
macアドレスと端末名を結び付ける作業は手作業で構いません。その後はそれを自動でログに反映できたらいいなあと。
書込番号:19501351
0点
>「MY iPhone」とログ 上で表示させるようなコマンドで す。
>macアドレスと端末名を結び付け る作業は手作業で構いません。
皆さん、スレ主さんの要望をわかってレスされていると思います。
スレ主さんの要望を実現する機能は、本機には備わっていないため、代替手段を提案しました。
書込番号:19501568 スマートフォンサイトからの書き込み
0点
「私のiPhoneのmacアドレスが12 34 56 78 90 ab だった場合、12 34 56 78 90 abを「MY iPhone」とログ上で表示させるようなコマンドです。」
↑の件においても、MACアドレスから、接続端末のFQDN名を参照する機能は有りません。
上記機種で有れば、LANマップ機能で、自動的に接続端末を参照する機能は有ります。
先刻の当方の案内しました、LANマップ機能でSYSLOG機能を出力する機能に、端末のFQDN名とMACアドレス、IPアドレスなどを出力する機能が掲載されていた筈です。
先刻のLANマップ機能の下部に、SYSLOGメッセージ一覧記載されている点、対応機種記載もされていたかと存じます。
残念ながら、RTX810では機能的に搭載されていません。
書込番号:19501707
0点
当方にて別件でのVPN相談での案内しました、Yamahaコマンドリファレンスを熟読して頂けると、RTX810ルーターには要望の機能が搭載していない点は、理解出来るかと思います。
書込番号:19501709
0点
>LsLoverさん
>NetEnum
>http://www.forest.impress.co.jp/library/software/netenum/
↑ご紹介のサイトのさらにリンク先に行こうとしたところ・・。やめておきますね。
↓↓↓
危険な Web サイトを遮断しました
アクセスしようとしたページ:
http://www.e-realize.com/
これは既知の危険な Web サイトです。このサイトを表示しないことをお勧めします。詳細レポートでこのサイトのセキュリティリスクを説明します。
保護のためにこの Web サイトを遮断しました。フィッシングとインターネットセキュリティについて詳しくはシマンテック社のサイトにアクセスしてください。
書込番号:19501898
0点
私のやっていることは各端末のmacアドレスと対応する機器名を「テキストファイル」に打ち込んでいるだけです。台数が増えてもう覚えきれないです。
例)
12:34:56:78:90:ab=iPhone6(←任意に付けた名称)
12:34:56:78:90:ac=iPad
12:34:56:78:90:ad=android
紹介していただいた各ソフトでこのような管理ができれば一番いいです。
これからためてしてみます。
書込番号:19501940
0点
 |
|---|
TrendoMicro社の「Site Safty Center」の評価結果 |
『アクセスしようとしたページ:
http://www.e-realize.com/
これは既知の危険な Web サイトです。このサイトを表示しないことをお勧めします。詳細レポートでこのサイトのセキュリティリスクを説明します。 』
Symantecの詳細情報がないと何とも言えませんが、該当サイト( http://www.e-realize.com/ )は、TrendoMicro社の「Site Safty Center」( http://global.sitesafety.trendmicro.com/ )では、「安全」と表示されましたが...。
書込番号:19502028
0点
>LsLoverさん
ご紹介のソフト NetEnum を入れてみました。手動で各端末に名称を付けられましたが、ソフトを再起動すると消えます。
私の希望は登録しておいたmacアドレスなりIPアドレスと手動で登録した端末名が結びついて、以後も表示されることです。
なにか操作方法に必要な手順があるのでしょうか?
書込番号:19502191
0点
『なにか操作方法に必要な手順があるのでしょうか?』
[ファイル]->[一覧の保存]でMyLAN.nemなどで保存しておけば、再度 NetEnum 起動後、[ファイル]->[一覧の読込]で保存したMyLAN.nemを選択すれば宜しいかと思います。
一覧を読み込んだ後、[編集]->[一覧をコピー]を選択すれば、クリップボードにコピーされますので、MS-Excelなどに貼り付けも可能です。
一覧を読み込んだ後、[編集]->[一覧をブラウザで表示]を選択すれば、ブラウザで表示も可能ですし、HTMLファイルを保存すれば、再利用も可能かと思います。
『私のやっていることは各端末のmacアドレスと対応する機器名を「テキストファイル」に打ち込んでいるだけです。台数が増えてもう覚えきれないです。』
ということのようですが、MS-Excelに入力すれば、ソート、検索、マクロ実行・・・などなど操作性は格段に向上するかと思います。
書込番号:19502253
0点
結構やり取りが噛み合わない感じがありましたが原因がわかったように思えます。
私には一旦ハンドで機器名を登録すれば次回からのネットワーク検索でその機器名を自動表示してくれるハズという思い込みがあります。使用中のバッファローの無線親機にはmacアドレスに機器名を結びつければ以降自動的に機器名を表示できる機能があり、それはネットワーク全般の標準的な機能と思っているのです。
しかしみなさんからするとそれは「出来ない相談」「だからエクセル使え」となるのでないですか?
どうでしょう?
書込番号:19502390
0点
その解釈になります。
ネットワーク接続時に必要になるのは、MACアドレスとIPアドレス、各ホスト名を名称解決しますSNMPサーバ機能が有るソフト及び仕組みが必要になります。
そのSNMPサーバ機能に随時問合せするような仕組みで、一覧参照出来るソフトでなければいけませんが、残念ながらRTX810ルーターのデフォルトGUIや、カスタムGUI機能には有りません。
当方推奨の 「Squeezer Ver.2」フリーウェア版を利用してみては如何でしょうか?
※ http://www2.t-next.com/squeezer/
書込番号:19502434
0点
『使用中のバッファローの無線親機にはmacアドレスに機器名を結びつければ以降自動的に機器名を表示できる機能があり、それはネットワーク全般の標準的な機能と思っているのです。』
Buffaloの「ペアレンタルコントロール」やNECの「こども安心ネットタイマー」の設定時のWeb設定画面のユーザーインターフェイスが『ある種の端末については、機器種別(PCならPCの名称、ゲーム機ならNintendo 3DSとかWiiなど)』のように機器種別が利用できるということでしょうか?
RTX810に上記のユーザインターフェイスが公開され、ユーザ設定内容をログに反映できる機能があれば、実現可能かと思いますが...。
ネットタイマーの設定画面は、こんな感じでまず接続端末の一覧が出る。
端末はMACアドレスで管理されているが、ある種の端末については、機器種別(PCならPCの名称、ゲーム機ならNintendo 3DSとかWiiなど)も表示されるので、分かりやすい。
設定したい機器を選択すると、まずその端末が「大人用」なのか「子供用」なのか、また機器の名称はどうするか、などが設定できる。
http://blog.ipodlab.net/Entry/1182/
Buffaloの「ペアレンタルコントロール」やNECの「こども安心ネットタイマー」などで設定した機器種別は、ブロードバンドルータの設定画面で利用できるだけで、その他のシステム/アプリケーションでは利用できないかと思います。
ご存知かとおもいますが、IPアドレスとMACアドレスは、ネットワーク機器でARPテーブルなどに格納されています。またIPアドレスとホスト名は、DNSサーバ、Windowsネットワークではプライマリドメインコントローラ、hosts(PCではLMHOSTS)ファイルなどで対応付けが行われます。
MACアドレスからベンダ名はDB化されています。
MACアドレス、ベンダーコード一覧
http://www.vor.jp/oui/oui.html
NetEnumなどのアプリケーションは、これらのIPアドレス、host名、MACアドレス、ベンダ名などを集計しているかと思います。
書込番号:19502910
0点
>LsLoverさん
私は何かハードなりソフトなりに名称を登録すればそれがネット全体に流れるとは思ってませんよ。その部分だけで使えれば充分です。
バッファローの無線親機などは正にその例です。
書込番号:19504168 スマートフォンサイトからの書き込み
0点
『その部分だけで使えれば充分です。』
必要ならログ情報を整形(カスタマイズ)すれば宜しいかと思います。
書込番号:19504291
0点
>LsLoverさん
>>必要ならログ情報を整形(カスタマイズ)すれば宜しいかと思います。
振出しに戻る(笑)
書込番号:19504728
0点
NetEnum
http://www.forest.impress.co.jp/library/software/netenum/
複数のソフトを試して上記ソフトを使うことにしました。情報を吸い上げたあとはテキストファイルで管理します。
ありがとうございました。
書込番号:19504766
0点
>snooker147さん
すでに解決しているみたいですが、せっかくのルータの機能ですのでルータ内で完結させてみました。
上で触れられているカスタムGUI用のhtmlファイルです。設定方法はオンラインマニュアルなどで。
参考程度なので適当ですがtable変数の中身を変更して試してみて下さい。
これを拡張すれば外部の一覧表をJavaScriptで読み込んで置き換えと云うことも理屈上は可能です。
なお、サイズ対策で元のコメントを消していますが、YAMAHAの設定例からダウンロード出来るWake on LAN用サンプルコードを改造したものです。
<!DOCTYPE HTML>
<html lang="ja">
<head>
<meta charset="UTF-8">
<meta http-equiv="Content-Script-Type" content="text/javascript">
<title>カスタムlog</title>
<script type="text/javascript" src="/custom/custom_gui_lib.js"></script>
<script type="text/javascript">
var table = [
{mac: "aa:bb:cc:11:22:33", alias: "【PC】"},
{mac: "44:55:66:dd:ee:ff", alias: "【Mobile】"},
];
function createHttpRequest()
{
if (window.ActiveXObject) {
try {
return new ActiveXObject("Msxml2.XMLHTTP");
} catch (e) {
try {
return new ActiveXObject("Microsoft.XMLHTTP");
} catch (e2) {
return null;
}
}
}
else if (window.XMLHttpRequest)
return new XMLHttpRequest();
else
return null;
}
function sendRequest(callback, data, async)
{
var httpoj = createHttpRequest();
httpoj.open("POST", "/custom/execute", async);
httpoj.onreadystatechange = function()
{
if (httpoj.readyState == 4)
callback(httpoj);
}
httpoj.send(data);
}
function confirmCommand(oj)
{
if (oj.status == 200)
alert("正常に実行しました");
else
alert("エラーが発生しました");
}
function confirmLogout(oj)
{
if (oj.status == 200)
alert("ログアウトしました。ブラウザを終了してください。");
else
alert("ログアウトできませんでした。");
}
function printLog(oj)
{
var str_array = oj.responseText;
for (var i = 0; i < table.length; i++) {
str_array = str_array.replace(table[i].mac, table[i].alias, "ig");
}
str_array = str_array.replace('\r\n', "<br>")
document.getElementById("log_info").innerHTML = str_array;
}
function getLog()
{
var cmd = "#" + getSessionId() + "\r\nshow log\r\n";
sendRequest(printLog, cmd, true);
}
function logout()
{
var cmd = "#" + getSessionId() + "\r\n#logout\r\n";
sendRequest(confirmLogout, cmd, true);
}
</script>
<body onLoad="getLog();">
<div><pre id="log_info"><p>情報の取得中</p></pre></div>
<button type="button" onclick="logout()">ログアウト</button>
</body>
</html>
書込番号:19900325
0点
>feliponさん
こんな方法があろうとは!後で試してみます。
ありがとうございます。
書込番号:19900354
0点
RTX810を使用してVPN通信をユーザーの望む形で実現するように試行錯誤していくスレッドです。
本当は下記スレッドの続編で「3」としたいところなのですが、運営により
「主旨がわからないのでスレッドを削除する」
という意味不明の指導?ありましたので題名を変えて続行します。
前スレ
↓HGWへのアクセスについて
http://bbs.kakaku.com/bbs/K0000288280/#19384277
↓HGWへのアクセスについて2
http://bbs.kakaku.com/bbs/K0000288280/#19439135
VPN通信について質疑応答したい人はどんどん参加してください。
0点
昨日建てたスレッドが削除されてしまったので私の状況に対する改善案も消えてしまいました。
申し訳ありませんが、再度アップお願いします。
状況
〇自宅PCより
・会社のHGW、RTX両方に繋がらない
・その配下のネットワーク機器には繋がる
・自宅のすべてのネットワーク機器には繋がる
〇会社PCより
・自宅のHGW、RTX両方に繋がらない
・その配下のネットワーク機器には繋がる
・会社のすべてのネットワーク機器には繋がる
〇アイフォンより
・自宅のHGW、RTX両方に繋がる
・その配下のネットワークに繋がらない
・会社のネットワーク全てに繋がらない
よろしくお願いします。
書込番号:19470727
0点
先刻も、Configの修正にてアクセス可能可否の確認を投稿しておりましたが、自宅・会社RTX810ルーターの双方に、「httpd host any」のコマンド実行にて、アクセス可能可否確認を提供していましたが、お試し下さい。
IOS端末については、L2TPリモートアクセス接続の際の、IPアドレスをプールするIPを指定するコマンド実行にて、お試し下さい。
pp select anonymous
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type mppe-any
ip pp remote address pool 192.168.100.150-192.168.100.160
↑ IOS端末へIPアドレスを192.168.100.150〜192.168.100.160の範囲で割り振る設定です。
自宅・社内端末にはIPと重複しないIPアドレスを設定下さい。
念のためですが、会社RTX810ルーター配下の端末には、固定IPの設定機器については、192.168.100.***(自宅端末と重複しないIP)/24、デフォルトゲートウェイ192.168.100.2、プライマリDNS192.168.100.2の設定しているか確認下さい。
更に、会社の端末にて、LAN設定をDHCP自動取得設定をした際に、パソコンのDOSプロンプトから、「ipconfig /all」にて、検出しています割り当てIPとゲートウェイIP、プライマリDNSをお教え下さい。
自宅・会社RTX810のルーターでのコマンド実行にて、「show ipsec sa」、「show status tunnel 1」、「show log」、「show ipsec sa gateway 1 detail」のそれぞれの接続ステータス情報の提供願います。
書込番号:19470797
1点
>sorio-2215さん
お早うございます。お世話になります。
ネットワークのルールを下記のようにしたいです。
自宅:192.168.100.1-192.168.100.99
会社:192.168.100.100-192.168.100.199
モバイル:192.168.100.200-192.168.100.254
※あくまでも「端末」についてのルールでルーターなどは既存のままでOKです
この件について設定等ご提案願います。
書込番号:19470903
0点
自宅分です。
# show ipsec sa
Total: isakmp:1 send:2 recv:2
sa sgw isakmp connection dir life[s] remote-id
-----------------------------------------------------------------------------
5 1 - tra[001]esp send 16316 ***.***.157.145
6 1 - tra[001]esp recv 16316 ***.***.157.145
7 1 - isakmp - 16320 ***.***.157.145
8 1 7 tra[001]esp send 16322 ***.***.157.145
9 1 7 tra[001]esp recv 16322 ***.***.157.145
#
# show status tunnel 1
TUNNEL[1]:
説明:
インタフェースの種類: L2TPv3
トンネルインタフェースはL2TPで利用されています
L2TPの状態はshow status l2tpコマンドで表示できます
#
2016/01/08 10:26:42: [IPv6] prefix ***.***.:1::/64 (vlife: 300, plife: 300)
is assigned from LAN2 (RA)
2016/01/08 10:26:43: [IKE] receive heartbeat message from ***.***.157.145
2016/01/08 10:26:43: [IKE] still connected : no message
2016/01/08 10:26:53: [IKE] receive heartbeat message from ***.***.157.145
2016/01/08 10:26:53: [IKE] still connected : no message
2016/01/08 10:26:59: [L2TPv3] set (0)message type HELLO
2016/01/08 10:26:59: [L2TPv3] set (59)message digest MD5
2016/01/08 10:26:59: [L2TPv3] keepalive HELLO send to ***.***.157.145
2016/01/08 10:26:59: [L2TPv3] recv message AVPs :
2016/01/08 10:26:59: [L2TPv3] (0)message type ACK
2016/01/08 10:26:59: [L2TPv3] (59)message digest MD5
2016/01/08 10:26:59: [L2TPv3] recv ACK from ***.***.157.145
2016/01/08 10:26:59: [L2TPv3] recv message AVPs :
2016/01/08 10:26:59: [L2TPv3] (0)message type HELLO
2016/01/08 10:26:59: [L2TPv3] (59)message digest MD5
2016/01/08 10:26:59: [L2TPv3] set (0)message type ACK
2016/01/08 10:26:59: [L2TPv3] set (59)message digest MD5
2016/01/08 10:27:03: [IKE] receive heartbeat message from ***.***.157.145
# show ipsec sa gateway 1 detail
SA[5] 寿命: 16136秒
自分側の識別子: 192.168.100.1
相手側の識別子: ***.***.157.145 (ipsec1)
送受信方向: 送信
プロトコル: ESP (モード: transport)
アルゴリズム: 3DES-CBC (認証: HMAC-MD5)
SPI: ** ** 66 57
鍵 : ** ** ** ** ** (confidential) ** ** ** ** **
----------------------------------------------------
SA[6] 寿命: 16136秒
自分側の識別子: 192.168.100.1
相手側の識別子: ***.***.157.145 (ipsec1)
送受信方向: 受信
プロトコル: ESP (モード: transport)
アルゴリズム: 3DES-CBC (認証: HMAC-MD5)
SPI: ** ** 11 ae
鍵 : ** ** ** ** ** (confidential) ** ** ** ** **
----------------------------------------------------
SA[7] 寿命: 16140秒
自分側の識別子: 192.168.100.1
相手側の識別子: ***.***.157.145 (ipsec1)
プロトコル: IKE
アルゴリズム: 3DES-CBC, SHA-1, MODP 1024bit
NATトラバーサル: あり, キープアライブ: 300秒
SPI: ***.***. d3 37 eb 32 b8 ac a3 ee 14 0e
鍵 : ** ** ** ** ** (confidential) ** ** ** ** **
----------------------------------------------------
SA[8] 寿命: 16142秒
自分側の識別子: 192.168.100.1
相手側の識別子: ***.***.157.145 (ipsec1)
送受信方向: 送信
プロトコル: ESP (モード: transport)
アルゴリズム: 3DES-CBC (認証: HMAC-MD5)
SPI: ** ** 6e b4
鍵 : ** ** ** ** ** (confidential) ** ** ** ** **
----------------------------------------------------
SA[9] 寿命: 16142秒
自分側の識別子: 192.168.100.1
相手側の識別子: ***.***.157.145 (ipsec1)
送受信方向: 受信
プロトコル: ESP (モード: transport)
アルゴリズム: 3DES-CBC (認証: HMAC-MD5)
SPI: ** ** 2f 90
鍵 : ** ** ** ** ** (confidential) ** ** ** ** **
----------------------------------------------------
書込番号:19470992
0点
うーん、そうなると、DHCP網にて希望の場合には、L2TPv3トンネル網の統合IPセグメントをVLAN構成の様な形に分割する形になりますが、ご希望の様な構成が可能か、調査時間を要します。
当方も、仕事の合間にて調べていますので、多少時間を下さい。
自宅側、会社側のそれぞれの端末にて、固定IPの設定にて分ける場合には簡単かと思いますが、自宅には、ご希望のIP範囲で、ゲートウェイ192.168.100.1、プライマリDNS192.168.100.1の設定、会社端末には、ご希望のIP範囲で、ゲートウェイ192.168.100.2、プライマリDNS192.168.100.2の設定をイメージ下さい。
それよりも、L2TPv3トンネルでの会社RTX810配下のDHCP挙動ステータスが気になりますので、先刻の「ipconfig /all」周りの情報をお教え下さい。
書込番号:19470994
0点
会社のipconfigです。
イーサネット アダプター ローカル エリア接続:
接続固有の DNS サフィックス . . . : flets-east.jp
説明. . . . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
物理アドレス. . . . . . . . . . . : 24-B6-FD-28-3F-DA
DHCP 有効 . . . . . . . . . . . . : はい
自動構成有効. . . . . . . . . . . : はい
リンクローカル IPv6 アドレス. . . . : 一部伏字4bc6:b543%13(優先)
IPv4 アドレス . . . . . . . . . . : 192.168.100.8(優先)
サブネット マスク . . . . . . . . : 255.255.255.0
リース取得. . . . . . . . . . . . : 2016年1月8日 11:27:28
リースの有効期限. . . . . . . . . : 2016年1月11日 11:27:28
デフォルト ゲートウェイ . . . . . : 192.168.100.1
DHCP サーバー . . . . . . . . . . : 192.168.100.1
DHCPv6 IAID . . . . . . . . . . . : 287618813
DHCPv6 クライアント DUID. . . . . . . . : 一部伏字75-24-B6-FD-28
-3F-DA
DNS サーバー. . . . . . . . . . . : 一部伏字:225:36ff:fe53:4bcb
192.168.100.1
192.168.0.1
NetBIOS over TCP/IP . . . . . . . : 有効
接続固有の DNS サフィックス検索の一覧:
flets-east.jp
iptvf.jp
書込番号:19471058
0点
>sorio-2215さん
コチラを優先しなくて結構です。都合の良い時だけ対応願います。
ところでw-nat でしたっけ?それぞれが同じIPアドレスを使いながらVPNを構築する仕組。アレは私の環境では難しいですか?
DHCPで自動アドレスを振るのがやっぱり楽でいいなあと思うようになりました。
書込番号:19471178
0点
Twice-NATの事ですか?
Twice-NATですと、多分論理的にHGWへのアクセスは、うまくいかないかと存じます。
Twice-NATで成功するのでしたら、当初のIPSEC-VPNトンネルでも成功していた筈です。
会社RTX810ルーターのDHCP予約IPの情報確認しました。
会社HGWのアクセスを通らずに192.168.100.1からインターネットアクセス側に出ている状態です。
再度確認ですが、自宅端末からhttp://192.168.100.2にて、会社RTX810のログイン、NTT-HGWログイン出来ませんか?
会社RTX810ルーターのアクセス許容設定(httpd host any コマンド投入)でも、ログイン出来るかどうか確認して欲しいのですが。
逆に自宅RTX810ルーターへアクセス許容設定(httpd host any コマンド投入)後に、会社端末から自宅RTX810ログインとAU-HGWのアクセス設定を確認下さい
会社端末を固定IP(192.168.100.10等)、デフォルトゲートウェイ192.168.100.2、プライマリDNS192.168.100.2の固定設定にて、自宅RTX810ルーター及びAU-HGWへのアクセスも確認して下さい。
逆に自宅も、固定IP(192.168.100.***)、デフォルトゲートウェイ192.168.100.1、プライマリDNS192.168.100.1にて、会社RTX810ログインと、NTT-HGWのアクセスも確認下さい。
L2レベルで、自宅・会社のIP体系アクセスが出来る構成でしたが、上記の要件で出来ない状態でしたら、静的ルーティングの登録をお試し下さい。(出来なければ、削除下さい)
自宅RTX810ルーター
ip route 192.168.99.1/32 gateway tunnel 1
会社RTX810ルーター
ip route 192.168.0.1/32 gateway tunnel 1
↑コマンドをそれぞれ実行し、自宅からNTT-HGWへのアクセスと、会社からAU-HGWのアクセスも確認下さい。 (不可の場合には、no ip route 192.168.99.1/32 gateway tunnel 1 、no ip route 192.168.0.1/32 gateway tunnel 1 コマンド実行にて、削除下さい。)
自宅の端末のDHCP予約IPと、会社端末のDHCP予約IPを分割する構成については、DHCPサーバの機能になりますので、現状の調査段階ですと、DHCP予約IP(MACアドレス認証)の設定になるかと存じます。
そのDHCP予約IPの設定の際に、会社の端末のインターネット・ゲートウェイを192.168.100.1からではなく、192.168.100.2から出ていく構成も調べないといけませんので、時間を下さい。
DHCP予約IP(MACアドレス認証)の際に、会社利用端末のMACアドレス情報が必要になりますので、参考設定例の提示に、既存の会社利用端末のMACアドレスを提示願います。
※ 会社回線へ接続しています端末全て。
書込番号:19471285
0点
モバイル端末に、DHCPでの予約IPを設定するのと同時に、L2TP/IPSECでのIPプールする設定の件については、下記コマンドを実行下さい。
L2TP/IPSECの方のコマンド(下記)
pp select anonymous
ip pp remote address pool 192.168.100.200-192.168.100.254
自宅RTX810ルーター配下の無線LANルーターへ接続された際のDHCP予約IPのコマンドについては、先刻の対話の通り、モバイル端末のMACアドレスが必要になります。
よって、Iphone系の場合には、設定→一般→情報の中のWifi-MACアドレス情報の提示が有れば、適切なDHCP予約IPアドレスのコマンド提供可能かと存じます。
書込番号:19471322
0点
>sorio-2215さん
macアドレスとIPを紐付るのならば結局はその手間がかかります。
当方の「勝手な」イメージでは
自宅RTX:指定範囲のアドレスの払い出し(自宅端末とモバイル用)
会社RTX:指定範囲のアドレスの払い出し(会社端末用)
こんな感じです。会社RTXにはDHCPサーバー機能を持たせられないですか?
書込番号:19471343
0点
>自宅RTX810ルーター
> ip route 192.168.99.1/32 gateway tunnel 1
>会社RTX810ルーター
> ip route 192.168.0.1/32 gateway tunnel 1
会社ルーターに下段の設定が投入できません。上下を間違っていませんか??
書込番号:19471476
0点
会社ルーターに下段の設定が投入できません。上下を間違っていませんか??
↑ 論理的に間違っておりません。
会社回線とは、物理的に別セグメントのネットワークで、トンネルルートしかアクセス出来ないルーティングです。
自宅回線の方から見ても、自宅回線から見て192.168.99.1は、物理的にトンネルルートしかアクセス出来ないル―ティングの為です。
そうすると、仮想的に自宅RTX810ルーターの配下として動作している状態ですので、やはりルーティングの規定外になっているようです。
コマンド投入出来ない点は残しておいて、自宅端末からNTT-HGWアクセス可否確認願います。
書込番号:19471505
0点
補足です。
先刻の「ipconfig /all」を会社端末から実行後に、ゲートウェイアドレスが192.168.100.1、プライマリDNS192.168.100.1から出ている点から、静的ルーティングの規定外のコマンドになっている状態と言う事です。
コマンド投入しなくても、自宅RTX810ルーターのコマンドにて、「httpd host any」を投入している状態でしたら、会社端末から自宅RTX810ルーターへログイン出来ない筈は無いですが。
更に、AU-HGWのルーティングに、自宅RTX810ルーター配下のIPからのアクセスは出来る機能設定ですので、別要因かと考えます。
書込番号:19471521
0点
念のため、会社RTX810ルーターのインターネットルートを192.168.99.254にする設定を投入しておいて下さい。
nat descriptor address outer 200 192.168.99.254
↑ 「nat descriptor address outer 200 primary」からの変更です。
書込番号:19471724
0点
以下の通り。全然変化ないですね。
状況
〇自宅PCより
・会社のHGW、RTX両方に繋がらない
・その配下のネットワーク機器には繋がる
・自宅のすべてのネットワーク機器には繋がる
〇会社PCより
・自宅のHGW、RTX両方に繋がらない
・その配下のネットワーク機器には繋がる
・会社のすべてのネットワーク機器には繋がる
〇アイフォンより
・自宅のHGW、RTX両方に繋がる
・その配下のネットワークに繋がらない
・会社のネットワーク全てに繋がらない
書込番号:19471763
0点
「show status l2tp」コマンド・ステータス提示下さいますか?
モバイル接続中のステータス表示可能でしょうか?
書込番号:19471794
0点
>sorio-2215さん
今気づいたのですが、DHCPを会社内ネットワークで使わざるを得ません。理由は無線子機に自動取得以外作用しないものが複数あるからです。
何か手立てはありますか?
書込番号:19471812
0点
# show status l2tp
------------------- L2TP INFORMATION -------------------
L2TP情報テーブル
L2TPトンネル数: 1, L2TPセッション数: 1
TUNNEL[1]:
トンネルの状態: established
バージョン: L2TPv3
自機側トンネルID: 3003
相手側トンネルID: 38322
自機側IPアドレス: 192.168.100.2
相手側IPアドレス: ***.***.141.4
自機側送信元ポート: 1701
相手側送信元ポート: 1701
ベンダ名: YAMAHA Corporation
ホスト名: RTX810-1
Next Transmit sequence(Ns): 962
Next Receive sequence(Nr) : 960
トンネル内のセッション数: 1 session
セッション情報:
セッションの状態: established
自機側セッションID: 61202
相手側セッションID: 37774
Circuit Status 自機側:UP 相手側:UP
通信時間: 15時間59分33秒
受信: 8867175 パケット [11805740887 オクテット]
送信: 8632813 パケット [656637390 オクテット]
書込番号:19471827
0点
自宅RTX810ルーターへ下記コマンドを実行しましたか?
pp select anonymous
ip pp remote address pool 192.168.100.200-192.168.100.254
L2TPステータスを見ると、トンネルの状態: established、セッションの状態: established から見て、接続状態的には、問題無いです。(モバイル端末にて、192.168.100.2が振られてますよ)
L2TPモバイル端末からのアクセスと社内端末のセグメントが違うぐらいしか無いかと。
若しくは、何らかの要因にて、社内端末のIP設定相違(デフォルトゲートウェイ及びプライマリDNS設定)しか無いかと。
自宅ネットワーク端末側に、同一セグメント以外にはアクセス制限するような設定は有りませんか?
あと、自宅RTX810ルーターに、ポート制限する様なスイッチングハブを経由しているとか。
あまり関連性は無いかと思いますが、IPフィルタの設定を解除して、再度確認頂けますか?
no ip lan2 secure filter in 101004 101005 101020 101021 101022 101023 101024 101025 101030 101032 101080 101081 101099
no ip lan2 secure filter out 101020 101021 101022 101023 101024 101025 101099
↑自宅RTX810ルーターのコマンド実行にて、願います。
書込番号:19471865
0点
>sorio-2215さん
社内ルーターにDHCP機能がないとどうしようもないのです。
ですから今回の変更は「もしDHCP機能を使えなのならば」取りやめないといけません。
どうでしょうか?
書込番号:19471875
0点
社内ルーターにDHCPが無いと言う事ではありませんよ。
DHCPリレーエージェント機能と同様の機能は実装していますよ。
自宅RTX810ルーターには、コマンドを見ると解るかと存じますが、DHCPスコープの機能は有効です。
DHCP機能が効いていないのであれば、モバイルに192.168.100.2等は振られていないです。
むしろ、IOSに振られている192.168.100.2は、会社RTX810ルーターのIPと重複していますので、先刻のL2TPーVPNのプールするIPをすれば、アクセス可能な筈です。
もし、モバイルに振られているIPが、固定IPの場合には、それを解除してDHCPモードにしなければ、正常な通信は出来ません。
今回のケースは、モバイル側の問題で、RTX810ルーターのDHCP挙動の問題ではありません。
自宅RTX810ルーターには、下記DHCP機能の設定がされていますよね?
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.3-192.168.100.99/24
自宅ネットワーク装置に、他にDHCPを配信するような機器を設定していませんでしょうか?
それも確認して下さい。
下記コマンドを実行頂けますか?
話はそれからです。
それと、Iphoneの場合、VPNも含めネットワーク設定を反映すると、そのログが残り、正常な接続が出来ない不具合が有ります。
IphoneのVPN設定も一度削除し、再度VPN設定した方が良いかと存じます。
pp select anonymous
ip pp remote address pool 192.168.100.200-192.168.100.254
書込番号:19471917
0点
show status l2tp のステータスをよく見てみて下さい。
自機側IPアドレス: 192.168.100.2の応答をしていますので、完全に、会社側RTX810宛てのゲートウェイ接続として誤認識しています。
IOS端末のL2TPクライアントとしての応答に問題が有るケースになります。
書込番号:19471942
0点
更に、IOS端末の接続先ネットワークの種別変更をする場合には、IOS端末側のネットワーク設定リセットをしませんと、正常動作しないケースも多々有りますので、実施下さい。
書込番号:19471957
0点
>sorio-2215さん
先ほどのVPNのステータスですが、会社RTXで取ったものです。
自宅ではまだログを取っていません。
認識に誤りはないですか?
もうすぐ自宅に戻ります。自宅でもステータスを確認してアップします。
書込番号:19471994
0点
VPNステータスが、会社RTX810ルーター → 無線ルーター(BRモード)配下で取得してものであれば、自局IPアドレスが192.168.100.2で合致しています。
会社無線ルーター(BRモード)の本体IPの設定は、確認していますか?
NEC無線ルーター(BRモード)ですと、無線ルーターのIP(192.168.100.100でしたか?)/24、デフォルトゲートウェイ192.168.100.2、プライマリDNS192.168.100.2、セカンダリ192.168.100.1に設定されているか確認下さい。
無線ルーターとして接続ゲートウェイ先が違うと、全く違う動作となります。
自宅RTX810ルーターには、192.168.100.99迄の範囲のIPを設定されているのですよね?
自宅系は、ゲートウェイ192.168.100.1、プライマリDNS192.168.100.1、セカンダリ192.168.100.2でしょうか。
書込番号:19472047
0点
補足です。
無線ルーターや、一部NASやサーバなどの機器には、見えない機能で重複されたDHCPサーバ機能を効かせる機能が有るものが有りますので、ネットワーク系を確認下さい。
更に言うと、回線キャリア(DOCOMOやSoftbank、AUなど)のレンタル無線LAN等が有れば、その機器のDHCP機能が、動作の邪魔をすることも有りますので、そういった機器が接続されていればDHCP機能周りの無効化、影響は出ないかと思いますが、それぞれのHGWのDHCPサーバ機能も無効設定して、動作確認してみる形になります。
書込番号:19472066
0点
>sorio-2215さん
論点が理解できません。
先ほど私がアップしたトンネル?のステータスと「無線親機」の設定に【なにか関係】がありますか?
ちなみに会社の無線親機の設定は次の通りです。
DHCPクライアント機能 使用しない
グローバルIPアドレス 使用しない
IPアドレス/ネットマスク(ビット指定)192.168.100.201 /24
ゲートウェイ固定アドレス192.168.100.2
プライマリDNS 192.168.100.2
セカンダリDNS 設定なし
よろしくおねがいします。
書込番号:19472207
0点
自宅のステータスです。
------------------- L2TP INFORMATION -------------------
L2TP情報テーブル
L2TPトンネル数: 1, L2TPセッション数: 1
TUNNEL[1]:
トンネルの状態: established
バージョン: L2TPv3
自機側トンネルID: 38322
相手側トンネルID: 3003
自機側IPアドレス: 192.168.100.1
相手側IPアドレス: ***.***.157.145
自機側送信元ポート: 1701
相手側送信元ポート: 1701
ベンダ名: YAMAHA Corporation
ホスト名: RTX810-2
Next Transmit sequence(Ns): 1095
Next Receive sequence(Nr) : 1097
トンネル内のセッション数: 1 session
セッション情報:
セッションの状態: established
自機側セッションID: 37774
相手側セッションID: 61202
Circuit Status 自機側:UP 相手側:UP
通信時間: 18時間14分2秒
受信: 9898192 パケット [750623251 オクテット]
送信: 10163645 パケット [13536546478 オクテット]
#
書込番号:19472213
0点
このステータスですが、IOS端末のLTE回線からL2TP-VPN接続しましたステータスですか?
LTE-VPN接続している時のステータス提供もお願いします。
自宅RTX810ルーターに割り当てました、ルーターのホスト名が接続先としてのステータスになっておりますが。
相手先ホスト名がキチンと検出していますので、表面的には正常動作かと存じます。
自宅・無線LAN接続時のステータスかと思いますが、IOS端末の設定→Wifiをタップ→接続中の無線LANの!マークをタップ→DHCPから取得しているIPと、ルーターアドレス、DNSアドレスの情報をお教え下さい。
再度、自宅のRTX810ルーターと会社RTX810ルーターのトンネル1のコマンドのみ提供願います。
※ tunnel select 1 から tunnel enable 1 までのコマンド。
どうも、IOS端末のネットワーク取得情報自体がおかしい可能性が大きいです。
やはり、IOS端末のネットワーク設定のリセットと、VPN設定のリセットが必要な気がします。
書込番号:19472309
0点
なにかconfigの羅列が多くて、事例検討の例として見にくいのですが、模式的には
表現できませんか?
T.T.として使い辛いでしょうか。(運営が削除するきになるのもわかる気がします。)
書込番号:19472382 スマートフォンサイトからの書き込み
0点
>jm1omhさん
コンフィグの羅列なしに具体的な設定方法の確認ができる方法があればそうしますが?
ITの世界は1文字違っても全然結果が違ってしまうので困りますよね。
書込番号:19472410
0点
>sorio-2215さん
>このステータスですが、IOS端末のLTE回線からL2TP-VPN接続しましたステータスですか?
いいえ。自宅も会社も有線接続のPCから取りました
> LTE-VPN接続している時のステータス提供もお願いします。
わかりました。
> 自宅・無線LAN接続時のステータスかと思いますが、IOS端末の設定→Wifiをタップ→接続中の無線LANの!マークをタップ
>→DHCPから取得しているIPと、ルーターアドレス、DNSアドレスの情報をお教え下さい。
この部分かなりわかりにくいです。VPN接続中アイフォンはwifiをオフにしておきます。ですから上記の操作は不可能です。もしもVPN接続中にアイフォンのネットワーク関連情報をわかる方法があれば教えてください。
書込番号:19472434
0点
下のステータスはアイフォンがVPN接続しているときに、有線接続している自宅PCで取得したものです。
# show status l2tp
------------------- L2TP INFORMATION -------------------
L2TP情報テーブル
L2TPトンネル数: 2, L2TPセッション数: 2
TUNNEL[1]:
トンネルの状態: established
バージョン: L2TPv3
自機側トンネルID: 38322
相手側トンネルID: 3003
自機側IPアドレス: 192.168.100.1
相手側IPアドレス: 一部伏字.157.145
自機側送信元ポート: 1701
相手側送信元ポート: 1701
ベンダ名: YAMAHA Corporation
ホスト名: RTX810-2
Next Transmit sequence(Ns): 1172
Next Receive sequence(Nr) : 1174
トンネル内のセッション数: 1 session
セッション情報:
セッションの状態: established
自機側セッションID: 37774
相手側セッションID: 61202
Circuit Status 自機側:UP 相手側:UP
通信時間: 19時間31分52秒
受信: 9903186 パケット [750981062 オクテット]
送信: 10169791 パケット [13537487541 オクテット]
TUNNEL[2]:
トンネルの状態: established
バージョン: L2TPv2
自機側トンネルID: 42036
相手側トンネルID: 22
自機側IPアドレス: 192.168.100.1
相手側IPアドレス: 一部伏字101.102
自機側送信元ポート: 1701
相手側送信元ポート: 58364
PPインタフェース: PP[ANONYMOUS01]
ベンダ名:
ホスト名: iPhone
Next Transmit sequence(Ns): 2
Next Receive sequence(Nr) : 4
トンネル内のセッション数: 1 session
セッション情報:
セッションの状態: established
自機側セッションID: 22574
相手側セッションID: 772
通信時間: 43秒
受信: 68 パケット [7561 オクテット]
送信: 51 パケット [8701 オクテット]
よろしくお願いします。
書込番号:19472455
0点
自宅RTXのコンフィグ抜粋です。
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text *******
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1 key-id
l2tp always-on on
l2tp hostname RTX810-1
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.100.1
l2tp remote router-id 192.168.100.2
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
書込番号:19472467
0点
> 自宅・無線LAN接続時のステータスかと思いますが、IOS端末の設定→Wifiをタップ→接続中の無線LANの!マークをタップ
>→DHCPから取得しているIPと、ルーターアドレス、DNSアドレスの情報をお教え下さい。
この部分かなりわかりにくいです。VPN接続中アイフォンはwifiをオフにしておきます。ですから上記の操作は不可能です。もしもVPN接続中にアイフォンのネットワーク関連情報をわかる方法があれば教えてください。
↑の件ですが、単純に、Iphoneを自宅・無線LAN接続中に、設定→Wifiをタップ→チェックマークの接続中の無線LANの ! マークをタップすると、IPアドレス取得状態及び接続先ルーターアドレス、DNSアドレスの情報が、Iphoneにて表示されるはずです。
※ http://h01mes.com/content.php?id=2&lan=jp&type=etc#.Vo-mxb9mqUk
VPN接続時の取得IPアドレスについては、Ipadであれば端末側で表示されるのですが、パソコンに専用フリーソフトを適用し、適用IPを確認する方法になるかと存じます。
IphoneをVPN接続中にしておき、PCに、「TWSNMPマネージャ」をダウンロード・インストールし、そのソフトの中で、プログラムの中のTWSNMPv4→管理MAPを開き→上位タブの管理ツール→自動発見をクリック→開始アドレスと終了アドレスが表示されているかと存じますが、検索しIphoneの端末が検出されると、ルーターからDHCPにて正常にIPアドレス取得されている状態の把握が可能です。
※ TWSNMPマネージャー ・・ http://www.twise.co.jp/twsnmp.html
IphoneのVPN接続のONとOFFをしてみて、上記ソフトにてスキャンすると、動的に振られているIP確認出来るかと存じます。
書込番号:19472568
1点
先刻の情報と併せて、TECHINFO情報をYamahaへ一度相談してみるのも、一つの解決案です。
下記Yamahaサイトへ、TECHINFO情報をテキスト出力し、その情報を元に相談してみるのも良いかと存じます。
※ https://yamahasn.secure.force.com/
↑の事項に、やりたい事(自宅・会社のRTX810へのログイン、それぞれのHGWアクセス・HGWの設定内容記載要、IOS端末からそれぞれの拠点のネットワーク端末アクセス周り等)記載の上、TECHINFO情報(RTX810ルーターの簡易Webメニューの [トップ] > [詳細設定と情報] > [システム情報のレポート作成] 内容を、TEXTファイル出力されたものを、添付ファイル送信してみる方法も有ります。
シリアル番号については、それぞれの本体裏面記載(S/N)、バージョンはTECHINFO情報の内容のTOP付近に、Rev番号が有るかと存じます。
書込番号:19473733
0点
念のため、既存の環境で確認中の要素ですが、L2TPv3/IPSECの機能にて、下記の条件が有ります。
メーカー広報にて(下記)
収容する LAN インターフェースについて
収容したインターフェースに IPv4,IPv6 アドレスを付与してはならない。
収容したインターフェースの IPv6 リンクローカルアドレスは削除される。
収容する LAN インターフェースの MTU はすべて同一の値でなければならない。
いずれかのブリッジインターフェースに収容したインターフェースは、他のブリッジインターフェースに収容することはできない。
収容するインターフェースがスイッチングハブを持つインターフェースである場合、スイッチングハブのポート間で完結する通信は本機能によるブリッジ動作ではなく、スイッチングハブ LSI 内部で処理される。
↑ 2行目のブリッジインターフェイスには、IPV4アドレスを付与してはいけない。
上記の制約が有るため、特定回避している状態になります。
L2TPリモートアクセス設定・併用にて、限定的にIPV4固定アドレスを設定している状態になります。
書込番号:19473991
0点
>sorio-2215さん
取りあえず現在至急解決したいのが会社にて無線親機とアイフォンが接続できない点です。アイフォンに固定IPを振れば接続しますが、その機能の無い端末が複数あります。
↓無線親機の設定は昨日アップしたままです。セカンダリに何か登録しますか?
DHCPクライアント機能 使用しない
グローバルIPアドレス 使用しない
IPアドレス/ネットマスク(ビット指定)192.168.100.201 /24
ゲートウェイ固定アドレス192.168.100.2
プライマリDNS 192.168.100.2
セカンダリDNS 設定なし
よろしくお願いします。
書込番号:19474119
0点
やはり、そのステータスですか。
NEC無線ルーターのモードをRTモードにして下さい。
その後、ローカルルーターモードにて、WAN固定192.168.100.201/24、デフォルトゲートウェイ192.168.100.2、プライマリDNS192.168.100.2、セカンダリDNS192.168.100.1にて設定下さい。
無線ルーターのIPは、192.168.102.1/24、DHCPサーバを、192.168.102.2〜192.168.102.30などの設定下さい。
RTX810ルーターの静的ルーティングは、追って連絡します。
無線ルーター宛てに接続してみて下さい。
書込番号:19474314 スマートフォンサイトからの書き込み
0点
只今、一時帰社してきました。
NEC無線ルーターを社内特定対応として、RTモードへ変更した際に、自宅RTX810ルーター配下端末及び、会社RTX810ルーター配下端末から、無線ルーターのメニュー呼び出し・メンテナンスのための静的ルーティング登録お願いします。
自宅RTX810ルーター
ip route 192.168.102.0/24 gateway tunnel 1
会社RTX810ルーター
ip route 192.168.102.0/24 gateway 192.168.100.201
上記コマンドにて、自宅RTX810ルーターの配下端末192.168.102.***/24のアクセスは、L2Tpv3トンネルへ経路確保されます。
会社RTX810ルーターの配下端末192.168.100.***/24からのアクセスは、宛先ゲートウェイ192.168.100.201へ経路確保されます。
書込番号:19474436
0点
会社NEC無線ルーターをRTモードへ変更した際に、ご存じの事と思いますが、会社RTX810ルーターのハブポートから、NEC無線ルーターのWANポートへ接続変更下さい。
書込番号:19474441
0点
>sorio-2215さん
TWSNMPで自宅内のネットワークを検索しました。非常に有益なソフトですね。
で、まずVPN接続無しでスキャン。不明なデバイスが2つ見つかりました。
次にアイフォンをVPN接続しスキャンを掛けたのですがデバイスの数は増えていません。だから検索範囲の中にアイフォンは居ないと思います。これでアイフォンから入れるのがHGWとRTXだけなのが理解できました。
アイフォンをwifi接続すると192.168.100.XXXのローカルIPが表示されます。この場合は他の端末と同様の動作ができます。
よろしくお願いします。
書込番号:19477505
0点
この話、自宅RTX810ルーター側へ無線LAN接続した時と、L2TP/IPSEC接続した時のVPNの話ですよね?
下記コマンドを実行下さい。(自宅・会社RTX810それぞれ)
ip bridge1 proxyarp on
自宅・RTX810ルーターのメーカー基本仕様として、L2TPv3/IPSEC・L2TP併用構成の際には、先刻の対話の様に、ブリッジ・インターフェイスには、IPアドレスを保有させてはいけない約定が有ります。
そのための暫定処置としてですが、自宅RTX810ルーターのLAN1グループと会社RTX810ルーターのLAN1グループをそれぞれARP相互応答させる必要がある状態です。
上記設定コマンド投入後に、自宅のLAN1アドレスと会社のLAN1アドレスを消去頂けますか?
自宅RTX810ルーター
no ip lan1 address 192.168.100.1/24
no ip lan1 proxyarp on
会社RTX810ルーター
no ip lan1 address 192.168.100.2/24
no ip lan1 proxyarp on
上記までのコマンドにて、L2TP/IPSECリモートアクセスしましたIphoneから各端末アクセス可能かどうか確認下さい。
上記コマンドで恐らくは大丈夫かと思いますが、NTTとKDDI回線仕様を吸収出来るかどうかは、流動的です。
不安定な場合には、
設定復元下さい。(下記)
自宅RTX810ルーター
ip lan1 address 192.168.100.1/24
ip lan1 proxyarp on
会社RTX810ルーター
ip lan1 address 192.168.100.2/24
ip lan1 proxyarp on
書込番号:19477657
0点
>sorio-2215さん
下記の状態では会社ではネット外にもルーターにも行けなくなりました。
会社コンフィグ
ip routing process fast
ip route default gateway 192.168.99.1
ip route 192.168.0.1 gateway tunnel 1
ip route 192.168.102.0/24 gateway 192.168.100.201
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.99.1
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.2/24
ip bridge1 proxyarp on
ip lan1 address 192.168.100.2/24
ip lan1 proxyarp on
ip lan2 address 192.168.99.254/24
ip lan2 mtu 1454
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.100.2 ***.***.141.4
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.2
ipsec ike local name 1 ipsec1 key-id
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ***.***
ipsec ike remote address 1 ***.***.141.4
l2tp always-on on
l2tp hostname RTX810-2
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.100.2
l2tp remote router-id 192.168.100.1
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.0/24 icmp * *
ip filter 101005 pass * 192.168.100.0/24 established * *
ip filter 101006 pass * 192.168.100.0/24 tcp * ident
ip filter 101007 pass * 192.168.100.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.100.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.100.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101014 pass * 192.168.100.0/24 udp * ntp
ip filter 101015 pass * 192.168.100.0/24 udp ntp *
ip filter 101016 pass * 192.168.100.2 udp * 500
ip filter 101017 pass * 192.168.100.2 esp * *
ip filter 101018 pass * 192.168.100.2 udp * 1701
ip filter 101019 pass * 192.168.100.2 udp * 4500
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.99.254
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.100.2 udp 500
nat descriptor masquerade static 200 2 192.168.100.2 esp
nat descriptor masquerade static 200 3 192.168.100.2 udp 1701
nat descriptor masquerade static 200 4 192.168.100.2 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 1 1 udp 1701
syslog debug on
telnetd host 192.168.100.3-192.168.100.254
dns server 192.168.99.1
dns private address spoof on
l2tp service on l2tpv3
httpd host any
alarm entire off
sshd service on
sshd host 192.168.100.3-192.168.100.254
sftpd host 192.168.100.3-192.168.100.254
書込番号:19478397
0点
自宅RTX810ルーターにも、「ip bridge1 proxyarp on」の投入は必須です。
ARP応答もL2TPv3/IPSECのブリッジトンネルモードに切り替えた場合には、先刻の通り、LAN1インターフェイスに関連するものにIPに関連づけするコマンドは利用出来ない形になりますので、
no ip lan1 address 192.168.100.2/24
no ip lan1 proxyarp on
↑のコマンド投入も必須です。
自宅回線が基本インターネット及びVPN認証情報をL2TPv3ーVPNのブリッジトンネル通過、スマートフォンのVPNのトンネル・ブリッジ参加も併用すると、下記コマンドが自宅側に必要です。
no ip lan1 address 192.168.100.1/24
no ip lan1 proxyarp on
ip bridge1 proxyarp on
上記、自宅RTX810ルーターへL2TPv3とL2TPの接続をトンネル・ブリッジ設定、ARP応答ブリッジの設定に切り替え、その後スマートフォンのL2TP-VPN接続を確認してみて下さい。
会社回線については、そのままにしておいて下さい。
完全なトンネルブリッジにされました際の判断によって、LAN1アドレスにIPアドレスを保有・ARP応答させるか、自宅のみL2TPv3トンネルにもARPブリッジ併用するかの判断をさせて下さい。
書込番号:19478505
0点
会社のRTX810ルーター配下端末のIPアドレス取得状況をチェックしたいと考えておりますので、RTX810ルーター接続の端末のIPアドレス取得をDHCP自動取得にしておいて下さい。(任意で1台で構いません)
自宅のRTX810ルーターへ、先刻のコマンドを3点投入しましたら、スマートフォンからの接続状態と、自宅端末接続状態、会社端末のIP取得状態によって判断したいと考えます。
書込番号:19478568
0点
NTT-HGW→RTX810ルーター、AU-HGW→RTX810ルーターでのL2TPv3/IPSEC、モバイルでのL2TP-VPNのトンネル・ブリッジ参加をイメージした際に、先刻の判断によって、下記の構成変更が必要になるかと存じます。
現時点で、自宅RTX810ルーター・LAN1アドレスに192.168.100.1、会社RTX810ルーター・LAN1アドレスに192.168.100.2の設定、L2TPv3のブリッジアドレスに自宅RTX810ルーターに192.168.100.1、会社RTX810ルーターに192.168.100.2のブリッジアドレスを付与しておりますが、2重ルーター構成にて、ブリッジアドレスの変更しませんと、自宅と会社それぞれの端末から、それぞれのRTX810ルーターとHGWへのアクセスが出来ない可能性があります。
想定として、下記構成変更が必須になるかもしれません。
会社RTX810ルーター
ip lan1 address 192.168.100.2/24
ip bridge1 proxyarp on
ip lan1 proxyarp on
ip bridge1 address 192.168.100.198/24
tunnel select 1
tunnel name IPsec(会社)
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.100.198 ***.***.***.*** (AUグローバルIP)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.100.198
ipsec ike local name 1 ipsec1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 ***.***.***.*** (AUグローバルIP)
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-2
l2tp syslog on
l2tp local router-id 192.168.100.198
l2tp remote router-id 192.168.100.98
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
自宅
ip bridge1 address 192.168.100.98/24
ip lan1 address 192.168.100.1/24
ip bridge1 proxyarp on
ip lan1 proxyarp on
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.100.98
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text passowrd
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-1
l2tp syslog on
l2tp local router-id 192.168.100.98
l2tp remote router-id 192.168.100.198
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
最悪、↑のコマンドになった場合には、かなり変則的な設定となりますので、その前提の判断が必要になると言うことです。
書込番号:19478659
0点
再度、調査確認しました。
当方の調査にて、先刻のコマンドになる可能性大です。
既存のHGWとRTX810ルーター構成が、ローカルルーター構成で、LAN1インターフェイス機能を排他させるのは、まずい状態になるようですので、下記のコマンドにて、自宅・会社のインターネット接続と、自宅→会社のVPN接続、リモートアクセス接続になるかと存じます。
自宅から会社のRTX810ルーターのログイン、会社から自宅のRTX810ルーターのログイン、それぞれのHGWへのアクセスを条件とすると、かなり変則的な設定になります。
会社RTX810ルーター
ip lan1 address 192.168.100.2/24
ip bridge1 proxyarp on
ip lan1 proxyarp on
ip bridge1 address 192.168.100.198/24
tunnel select 1
tunnel name IPsec(会社)
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.100.198 ***.***.***.*** (AUグローバルIP)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.100.198
ipsec ike local name 1 ipsec1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 ***.***.***.*** (AUグローバルIP)
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-2
l2tp syslog on
l2tp local router-id 192.168.100.198
l2tp remote router-id 192.168.100.98
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
自宅
ip bridge1 address 192.168.100.98/24
ip lan1 address 192.168.100.1/24
ip bridge1 proxyarp on
ip lan1 proxyarp on
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.100.98
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text passowrd
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-1
l2tp syslog on
l2tp local router-id 192.168.100.98
l2tp remote router-id 192.168.100.198
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
書込番号:19478790
0点
先ほどの最終的なトンネルコマンドの一部ですが、下記になるかもしれません。
会社RTX810ルーター
tunnel select 1
ipsec ike local address 1 192.168.100.2
(ipsec ike local address 1 192.168.100.198にて、VPN認証できない時)
自宅RTX810ルーター
tunnel select 1
ipsec ike local address 1 192.168.100.1
(ipsec ike local address 1 192.168.100.98にて、VPN認証できない時)
書込番号:19478987
0点
>sorio-2215さん
ip bridge1 proxyarp on
no ip lan1 address 192.168.100.2/24
no ip lan1 proxyarp on
自宅RTXに上記コマンド投入し、次コメントのコンフィグになっています。この状態でインターネットもルーターも入れません(会社と同じ状態)。なおLET-VPNからは自宅HGWとRTXのみ入れます。例のソフトでみても192.168.100.0のネットワークには入っていません。
書込番号:19479188
0点
自宅RTXコンフィグ
ip routing process fast
ip route default gateway 192.168.0.1
ip route 192.168.99.1 gateway tunnel 1
ip route 192.168.102.0/24 gateway tunnel 1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.1/24
ip bridge1 proxyarp on
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ipv6 lan1 dhcp service server
ip lan2 address 192.168.0.254/24
ip lan2 mtu 1492
ip lan2 secure filter in 101004 101005 101020 101021 101022 101023 101024 10102
5 101030 101032 101080 101081 101099
ip lan2 secure filter out 101020 101021 101022 101023 101024 101025 101099
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:DHCP
provider ntpdate ntp.nict.jp
pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin ***.***.
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type mppe-any
ip pp remote address pool 192.168.100.150-192.168.100.160
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ***.***.
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1 key-id
l2tp always-on on
l2tp hostname RTX810-1
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.100.1
l2tp remote router-id 192.168.100.2
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel name モバイル用
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text ***.***.
ipsec ike remote address 2 any
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.1 udp * 4500
ip filter 101005 pass * 192.168.100.1 udp * 1701
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.100.1 udp * 500
ip filter 101081 pass * 192.168.100.1 esp * *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.100.1-192.168.100.254
nat descriptor masquerade static 200 1 192.168.100.1 udp 500
nat descriptor masquerade static 200 2 192.168.100.1 esp
nat descriptor masquerade static 200 3 192.168.100.1 udp 1701
nat descriptor masquerade static 200 4 192.168.100.1 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipsec transport 2 2 udp 1701
syslog debug on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.3-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on
httpd host 192.168.100.3-192.168.100.254
alarm entire off
書込番号:19479194
0点
うーん、やはりそうですか。
そうなると、2重NATのローカルルーターでの特定コマンドに変更するしか無いですね。
下記コマンドを会社・自宅別に投入して下さい。
会社RTX810ルーター
ip lan1 address 192.168.100.2/24
ip bridge1 proxyarp on
ip lan1 proxyarp on
no ip bridge1 address 192.168.100.2/24
ip bridge1 address 192.168.100.198/24
tunnel select 1
tunnel name IPsec(会社)
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.100.198 ***.***.***.*** (AUグローバルIP)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.100.2
ipsec ike local name 1 ipsec1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 ***.***.***.*** (AUグローバルIP)
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-2
l2tp syslog on
l2tp local router-id 192.168.100.198
l2tp remote router-id 192.168.100.98
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
自宅
no ip bridge1 address 192.168.100.1/24
ip bridge1 address 192.168.100.98/24
ip lan1 address 192.168.100.1/24
ip bridge1 proxyarp on
ip lan1 proxyarp on
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.100.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text passowrd
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-1
l2tp syslog on
l2tp local router-id 192.168.100.98
l2tp remote router-id 192.168.100.198
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
上記のトンネル設定を自宅・会社それぞれ投入して下さい。
勿論、AUグローバルIPの箇所は、AUのグローバルIPに差替えにて、願います。
書込番号:19479525
0点
補足ですが、仮想的にブリッジに設定しましたIPを変更し、物理LAN1インターフェイスの機能を有効にして、VPNトンネルアクセス用のIPを仮想的に分けたコマンドにしました。
会社のトンネル用ブリッジIP・・192.168.100.198、自宅のトンネル用ブリッジIP・・192.168.100.98
※ 上記のIPは、他の端末で利用しないで下さい。
メーカーとしては、イレギュラー設定に該当しますが、設定投入・VPN接続されましたら、自宅から会社のRTX810ログイン、会社から自宅RTX810ログイン、それぞれのHGWのログイン可否を確認下さい。
モバイル端末のアクセスも確認下さい。
書込番号:19479545
0点
テラタームで自動ログアウトさせないコマンドを教えてください。
書込番号:19479569 スマートフォンサイトからの書き込み
0点
ログインタイマーをオフにしても、デフォルトで300秒でログオフしてしまう仕様ですので、タイマー設定を長時間にするしか無いです。
「login timer 21474836」 を投入下さい。
タイマー設定として、最大値です。
書込番号:19479656
0点
>sorio-2215さん
自宅RTXにコマンド投入し、HGW、ルーター、各端末、インターネットにアクセスできるようになりました。
その後LET-VPNで自宅の端末と同様のアクセスできることも確認しています。しかしTWSNMPで検索してもアイフォンに該当するMACアドレスは発見されません。しかし「YAMAHA(192.168.100.150)」という端末がVPN接続時に現れ、切断後は「軽度障害」として表示されることからこれがアイフォンと思われます。
あとで会社RTXにコマンド投入します。
書込番号:19479892
0点
「しかし「YAMAHA(192.168.100.150)」という端末がVPN接続時に現れ、切断後は「軽度障害」として表示されることからこれがアイフォンと思われます。」
↑上記の動作は、正常です。
自宅RTX810の「pp select anonymous」ユーザーの接続情報として、下記IPアドレスをプールする設定が投入されております。
「ip pp remote address pool 192.168.100.150-192.168.100.160」
IPアドレス192.168.100.150〜192.168.100.160までのセグメントがIphone接続時にプールされる形になります。
ただし、L2TPトンネルが1トンネルしか有りませんので、複数トンネル構成しないと、192.168.100.151〜はプールされません。
書込番号:19480680
1点
会社コンフィグを末尾の通り設定しました。結果は以下の通りです。
→社内PCより
・会社HGW接続可能
・会社RTX接続不能
・インターネット接続不能
・会社各端末接続可能
・自宅接続不能
よろしくお願いします。
login timer 21474836
ip routing process fast
ip route default gateway 192.168.99.1
ip route 192.168.0.1 gateway tunnel 1
ip route 192.168.102.0/24 gateway 192.168.100.201
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.99.1
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.198/24
ip bridge1 proxyarp on
ip lan1 address 192.168.100.2/24
ip lan1 proxyarp on
ip lan2 address 192.168.99.254/24
ip lan2 mtu 1454
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.100.198 au IP
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.2
ipsec ike local name 1 ipsec1 key-id
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 au IP
l2tp always-on on
l2tp hostname RTX810-2
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.100.198
l2tp remote router-id 192.168.100.98
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.0/24 icmp * *
ip filter 101005 pass * 192.168.100.0/24 established * *
ip filter 101006 pass * 192.168.100.0/24 tcp * ident
ip filter 101007 pass * 192.168.100.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.100.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.100.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101014 pass * 192.168.100.0/24 udp * ntp
ip filter 101015 pass * 192.168.100.0/24 udp ntp *
ip filter 101016 pass * 192.168.100.2 udp * 500
ip filter 101017 pass * 192.168.100.2 esp * *
ip filter 101018 pass * 192.168.100.2 udp * 1701
ip filter 101019 pass * 192.168.100.2 udp * 4500
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.99.254
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.100.2 udp 500
nat descriptor masquerade static 200 2 192.168.100.2 esp
nat descriptor masquerade static 200 3 192.168.100.2 udp 1701
nat descriptor masquerade static 200 4 192.168.100.2 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 1 1 udp 1701
syslog debug on
telnetd host 192.168.100.3-192.168.100.254
dns server 192.168.99.1
dns private address spoof on
l2tp service on l2tpv3
httpd host any
alarm entire off
sshd service on
sshd host 192.168.100.3-192.168.100.254
sftpd host 192.168.100.3-192.168.100.254
書込番号:19481605
0点
先刻の話の様に、会社・自宅それぞれ下記コマンドを投入下さい。
会社RTX810ルーター
tunnel select 1
ipsec ike local address 1 192.168.100.198
自宅RTX810ルーター
tunnel select 1
ipsec ike local address 1 192.168.100.98
書込番号:19481651
0点
先ほどのコマンド投入前に、RTX810ルーターの配下端末のDHCP取得状況をお教え下さい。
DOSプロンプト→ 「ip config /all」 実行。
書込番号:19481658
0点
会社PCから取得しています。
イーサネット アダプター ローカル エリア接続:
接続固有の DNS サフィックス . . . :
説明. . . . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
物理アドレス. . . . . . . . . . . : 24-B6-FD-28-3F-DA
DHCP 有効 . . . . . . . . . . . . : はい
自動構成有効. . . . . . . . . . . : はい
リンクローカル IPv6 アドレス. . . . : 一部伏字:b543%13(優先)
IPv4 アドレス . . . . . . . . . . : 192.168.99.2(優先)
サブネット マスク . . . . . . . . : 255.255.255.0
リース取得. . . . . . . . . . . . : 2016年1月11日 16:01:43
リースの有効期限. . . . . . . . . : 2016年1月11日 20:01:42
デフォルト ゲートウェイ . . . . . : 192.168.99.1
DHCPv6 IAID . . . . . . . . . . . : 287618813
DHCPv6 クライアント DUID. . . . . . . . 一部伏字4-75-24-B6-FD-28-3F-DA
DNS サーバー. . . . . . . . . . . : 一部伏字:225:36ff:fe53:4bcb
192.168.99.1
NetBIOS over TCP/IP . . . . . . . : 有効
書込番号:19481718
1点
NTT-HGWからの取得IPですと、まずいです。
NTT-HGWのDHCP機能を無効設定下さい。
2重NAT環境でのRTX810ルーターでの取得機能でなければ、いけない条件になります。
それと、会社RTX810ルーターの稼働状況を知りたいので、接続端末を一時的に192.168.100.110/24等、デフォルトゲートウェイ192.168.100.2、プライマリDNS192.168.100.2にて、インターネット接続とVPN接続可否(自宅アクセス可能可否)をお知らせ願います。
書込番号:19481825
0点
会社端末は、全てRTX810ルーターのハブへ接続し、NEC無線ルーターのWANポートも、RTX810ルーターのLANポートに接続しているのですよね?
書込番号:19481840
0点
>sorio-2215さん
> NTT-HGWのDHCP機能を無効設定下さい。
設定完了。
>接続端末を一時的に192.168.100.110/24等、デフォルトゲートウェイ192.168.100.2、
>プライマリDNS192.168.100.2にて、インターネット接続とVPN接続可否(自宅アクセス可能可否)をお知らせ願います。
会社PC→
会社HGW:〇
会社RTX:×
会社端末:×
インターネット:×
自宅HGW:×
自宅RTX:×
自宅端末:○
VPN→
自宅全てOK
会社へのアクセス全て不能
> 会社端末は、全てRTX810ルーターのハブへ接続し、NEC無線ルーターのWANポートも、
>RTX810ルーターのLANポートに接続しているのですよね?
間違いないですよ。ところでPCから無線親機へのアクセスはどのアドレスを使うのですか?
書込番号:19481900
0点
>sorio-2215さん
自宅に一時帰ってまた会社に戻ります。時間は未定です。
自宅でやるべき作業を指示願います。
書込番号:19481909
0点
会社NTT-HGWのDHCP無効設定後の、IPアドレス取得状況をお知らせ下さい。
固定IPにて、自宅へアクセス可能な点は、確認しました。
先刻の端末の固定IPをDHCP自動取得に戻して、DOSプロンプトから、「ip config /all」の取得状況をお知らせ願います。
自宅RTX810ルーターの設定追加確認は、会社状況によっての話になります。
自宅RTX810ルーター (まだ投入しないで下さい)
tunnel select 1
ipsec ike local address 1 192.168.100.98
書込番号:19481945
0点
会社RTX810ルーターに接続しています端末から、無線ルーターへのログインは、先刻の設定状況を見ると解ると思いましたが。
念のためですが、会社RTX810ルーター及び自宅RTX810ルーター配下の端末から無線ルーターログインは、192.168.102.1にてログインします。(WANポートは、固定で192.168.100.201/24にしましたが、DHCP機能のため、無線ルーターのアクセスIPは、192.168.102.1にして貰いましたが)
自宅及び会社RTX810配下からアクセスする際に、静的ルーティングをして頂きましたが。
書込番号:19481955
0点
>sorio-2215さん
>会社NTT-HGWのDHCP無効設定後の、IPアドレス取得状況をお知らせ下さい。
イーサネット アダプター ローカル エリア接続:
接続固有の DNS サフィックス . . . :
説明. . . . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
物理アドレス. . . . . . . . . . . : 一部伏字-28-3F-DA
DHCP 有効 . . . . . . . . . . . . : はい
自動構成有効. . . . . . . . . . . : はい
リンクローカル IPv6 アドレス. . . . : 一部伏字4bc6:b543%13(優先)
IPv4 アドレス . . . . . . . . . . : 192.168.100.8(優先)
サブネット マスク . . . . . . . . : 255.255.255.0
リース取得. . . . . . . . . . . . : 2016年1月11日 18:15:13
リースの有効期限. . . . . . . . . : 2016年1月14日 18:15:13
デフォルト ゲートウェイ . . . . . : 192.168.100.98
DHCP サーバー . . . . . . . . . . : 192.168.100.98
DHCPv6 IAID . . . . . . . . . . . : 287618813
DHCPv6 クライアント DUID. . . . . . . . : 一部伏字-A4-75-24-B6-FD-28
-3F-DA
DNS サーバー. . . . . . . . . . . : 一部伏字225:36ff:fe53:4bcb
192.168.100.98
192.168.0.1
NetBIOS over TCP/IP . . . . . . . : 有効
上記の状態でのアクセス状況です。
会社PC→
会社HGW:×
会社RTX:×
会社端末:〇
インターネット:×
自宅HGW:×
自宅RTX:×
自宅端末:○
よろしくお願いします。
書込番号:19482091
0点
L2TPv3トンネルのみは、OKですね。
やはり認証周りの問題で、下記の設定投入が必要かと存じます。
会社RTX810ルーター
tunnel select 1
ipsec ike local address 1 192.168.100.198
自宅RTX810ルーター
tunnel select 1
ipsec ike local address 1 192.168.100.98
投入後、再度「ipconfig /all」でのIPアドレス取得情報の提供、インターネット及びVPN接続可否、 固定IP(192.168.100.110/24など、デフォルトゲートウェイ192.168.100.2、プライマリDNS192.168.100.2)での各接続状況の提供願います。
書込番号:19482123
0点
>sorio-2215さん
自宅の状況です。困ったことになりました。下までよく読んでください!
イーサネット アダプター ローカル エリア接続 2:
接続固有の DNS サフィックス . . . :
説明. . . . . . . . . . . . . . . : Realtek RTL8169/8110 Family PCI Gigabit E
thernet NIC (NDIS 6.20)
物理アドレス. . . . . . . . . . . : 一部伏字D8-F6-A4
DHCP 有効 . . . . . . . . . . . . : はい
自動構成有効. . . . . . . . . . . : はい
リンクローカル IPv6 アドレス. . . . : 一部伏字e263:aeed%19(優先)
IPv4 アドレス . . . . . . . . . . : 192.168.100.4(優先)
サブネット マスク . . . . . . . . : 255.255.255.0
リース取得. . . . . . . . . . . . : 2016年1月11日 1:10:27
リースの有効期限. . . . . . . . . : 2016年1月14日 1:10:27
デフォルト ゲートウェイ . . . . . : 192.168.100.98
DHCP サーバー . . . . . . . . . . : 192.168.100.98
DHCPv6 IAID . . . . . . . . . . . : 407692918
DHCPv6 クライアント DUID. . . . . . . . : 一部伏字26-D0-00-21-70-29
-D6-49
DNS サーバー. . . . . . . . . . . : 192.168.100.98
192.168.0.1
NetBIOS over TCP/IP . . . . . . . : 有効
上記の状態でのアクセス状況でした(過去形)。
自宅PC→
自宅HGW:〇
自宅RTX:〇
自宅端末:〇
インターネット:〇
会社HGW:×
会社RTX:×
会社端末:○
VPN→
自宅はすべて〇
会社はすべて×
このあとすぐにインターネットにも自宅hgwにもアクセスできなくなりました。
切っ掛けはVPNの接続と思います。
よろしくお願いします。
書込番号:19482350
0点
先ほどのコマンド投入されての現象ですよね?
現状としては、下記のコマンドを投入し直し(復元)にて、会社RTX810ルーターのみのVPNとインターネット経路、DHCP周りの経路確保の要素に限定されたと推察されますが、AU-HGWとNTT-HGWの仕様・構成から、VPNのコマンドとしては、先刻までのコマンドを復元頂けますか?
下記のコマンドを投入(復元)すると、接続出来る様になりませんか?
会社RTX810ルーター
tunnel select 1
ipsec ike local address 1 192.168.100.2
自宅RTX810ルーター
tunnel select 1
ipsec ike local address 1 192.168.100.1
会社NTT-HGWと会社RTX810ルーター周りの条件の形になると推察されますので、↑のコマンドを再度投入下さい。
書込番号:19482454
0点
自宅rtxにも入れないです
シリアルが今ないもので。
書込番号:19482475 スマートフォンサイトからの書き込み
0点
ゲートウェイが100.98になってしまいます。
書込番号:19482487 スマートフォンサイトからの書き込み
0点
何とか、投入して下さい。
会社RTX810ルーターのみ、追加で下記コマンドを投入下さい。
no ip bridge1 proxyarp on
no ip lan1 proxyarp on
書込番号:19482511
0点
シリアルの有り難さがよーく分かってきました、、、。
書込番号:19482515 スマートフォンサイトからの書き込み
0点
会社コンフィグです。直すべき個所はありますか?
ip routing process fast
ip route default gateway 192.168.99.1
ip route 192.168.0.1 gateway tunnel 1
ip route 192.168.102.0/24 gateway 192.168.100.201
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.99.1
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.198/24
ip lan1 address 192.168.100.2/24
ip lan2 address 192.168.99.254/24
ip lan2 mtu 1454
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(莨夂)
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.100.198 au IP
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.2
ipsec ike local name 1 ipsec1 key-id
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 au IP
l2tp always-on on
l2tp hostname RTX810-2
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.100.198
l2tp remote router-id 192.168.100.98
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.0/24 icmp * *
ip filter 101005 pass * 192.168.100.0/24 established * *
ip filter 101006 pass * 192.168.100.0/24 tcp * ident
ip filter 101007 pass * 192.168.100.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.100.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.100.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101014 pass * 192.168.100.0/24 udp * ntp
ip filter 101015 pass * 192.168.100.0/24 udp ntp *
ip filter 101016 pass * 192.168.100.2 udp * 500
ip filter 101017 pass * 192.168.100.2 esp * *
ip filter 101018 pass * 192.168.100.2 udp * 1701
ip filter 101019 pass * 192.168.100.2 udp * 4500
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.99.254
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.100.2 udp 500
nat descriptor masquerade static 200 2 192.168.100.2 esp
nat descriptor masquerade static 200 3 192.168.100.2 udp 1701
nat descriptor masquerade static 200 4 192.168.100.2 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 1 1 udp 1701
syslog debug on
telnetd host 192.168.100.3-192.168.100.254
dns server 192.168.99.1
dns private address spoof on
l2tp service on l2tpv3
httpd host any
alarm entire off
sshd service on
sshd host 192.168.100.3-192.168.100.254
sftpd host 192.168.100.3-192.168.100.254
書込番号:19482569
0点
>sorio-2215さん
取りあえず「インターネット」と「社内ネットワーク」にだけアクセス出来ればいいです。トンネルは後でOKです。
よろしくお願いします。
書込番号:19482578
0点
下記コマンド実行にて、192.168.0.1のルーティングを停止して下さい。
no ip route 192.168.0.1 gateway tunnel 1
他のコマンドは、間違っていないかと考えます。
会社端末にて192.168.100.***/24、デフォルトゲートウェイ192.168.100.2、DNS192.168.100.2にて、WebとVPN可能かどうか確認下さい。
無線LAN接続端末については、DHCP自動取得でOKかと存じます。
書込番号:19482631
0点
うーん、NTT-HGWとの特定のNAT問題が出ている様です。
会社RTX810ルーターのConfigを下記に復元頂けますか?
ip routing process fast
ip route default gateway 192.168.99.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.99.1
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.2/24
ip lan1 address 192.168.100.2/24
ip lan1 proxyarp on
ip lan2 address 192.168.99.254/24
ip lan2 mtu 1454
ip lan2 nat descriptor 200
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.100.2 ***.***.***.*** (AUグローバルIP)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.100.2
ipsec ike local name 1 ipsec1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 ***.***.***.*** (AUグローバルIP)
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-2
l2tp syslog on
l2tp local router-id 192.168.100.2
l2tp remote router-id 192.168.100.1
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.0/24 icmp * *
ip filter 101005 pass * 192.168.100.0/24 established * *
ip filter 101006 pass * 192.168.100.0/24 tcp * ident
ip filter 101007 pass * 192.168.100.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.100.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.100.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101014 pass * 192.168.103.0/24 udp * ntp
ip filter 101015 pass * 192.168.103.0/24 udp ntp *
ip filter 101016 pass * 192.168.100.2 udp * 500
ip filter 101017 pass * 192.168.100.2 esp * *
ip filter 101018 pass * 192.168.100.2 udp * 1701
ip filter 101019 pass * 192.168.100.2 udp * 4500
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.100.2 udp 500
nat descriptor masquerade static 200 2 192.168.100.2 esp
nat descriptor masquerade static 200 3 192.168.100.2 udp 1701
nat descriptor masquerade static 200 4 192.168.100.2 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 1 1 udp 1701
syslog debug on
telnetd host 192.168.100.3-192.168.100.254
dns server 192.168.99.1
dns private address spoof on
httpd host 192.168.100.3-192.168.100.254
l2tp service on l2tpv3
alarm entire off
sshd service on
sshd host 192.168.100.3-192.168.100.254
sshd host key generate *
sftpd host 192.168.100.3-192.168.100.254
書込番号:19482687
0点
自宅RTX810ルーターのみ、ブリッジインターフェイスのARP応答のみの追加コマンド付きの設定に復元頂けますか?
自宅RTX810ルーターのConfigを、下記に復元下さい。
ip routing process fast
ip route default gateway 192.168.0.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.1/24
ip bridge1 proxyarp on
ip lan1 address 192.168.100.1/24
ip lan1 proxyarp on
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ipv6 lan1 dhcp service server
ip lan2 address 192.168.0.254/24
ip lan2 mtu 1492
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:DHCP
provider ntpdate ntp.nict.jp
ip lan2 secure filter in 101004 101005 101020 101021 101022 101023 101024 101025 101030 101032 101080 101081 101099
ip lan2 secure filter out 101020 101021 101022 101023 101024 101025 101099
pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin password
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.100.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text passowrd
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-1
l2tp syslog on
l2tp local router-id 192.168.100.1
l2tp remote router-id 192.168.100.2
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text password
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.1 udp * 4500
ip filter 101005 pass * 192.168.100.1 udp * 1701
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.100.1 udp * 500
ip filter 101081 pass * 192.168.100.1 esp * *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.100.1-192.168.100.254
nat descriptor masquerade static 200 1 192.168.100.1 udp 500
nat descriptor masquerade static 200 2 192.168.100.1 esp
nat descriptor masquerade static 200 3 192.168.100.1 udp 1701
nat descriptor masquerade static 200 4 192.168.100.1 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipsec transport 2 2 udp 1701
syslog debug on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.3-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on
httpd host 192.168.100.3-192.168.100.254
alarm entire off
書込番号:19482700
0点
どうも、ステータス状況から、会社L2TPv3/IPSECトンネルの条件ですと、回線終端装置→スイッチングハブ→@光電話ルーター(光電話ルーターのみ、PPPOEブリッジ有、インターネット接続無し)、ARTX810ルーターでのPPPOE接続形態+L2TPv3トンネル構成にしなければ、HGWへのアクセスとRTX810ルーターログイン、他端末ログインの併用は望ましい状況です。
↑の条件で宜しければ、自宅のConfig構成は現状が最適な状態ですので、会社のみConfigイメージを調査しますので、少しお待ち下さい。
書込番号:19482726
0点
先ほどの会社Configの分の、「ip lan1 proxyarp on」は外して下さい。
no ip lan1 proxyarp on 実行下さい。
書込番号:19482737
0点
最新コンフィグです。ネット、HGW、RTXダメ。
ip routing process fast
ip route default gateway 192.168.99.1
ip route 192.168.102.0/24 gateway 192.168.100.201
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.99.1
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.2/24
ip lan1 address 192.168.100.2/24
ip lan2 address 192.168.99.254/24
ip lan2 mtu 1454
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(莨夂)
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.100.198 au IP
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.2
ipsec ike local name 1 ipsec1 key-id
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 au IP
l2tp always-on on
l2tp hostname RTX810-2
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.100.2
l2tp remote router-id 192.168.100.1
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.0/24 icmp * *
ip filter 101005 pass * 192.168.100.0/24 established * *
ip filter 101006 pass * 192.168.100.0/24 tcp * ident
ip filter 101007 pass * 192.168.100.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.100.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.100.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101014 pass * 192.168.103.0/24 udp * ntp
ip filter 101015 pass * 192.168.103.0/24 udp ntp *
ip filter 101016 pass * 192.168.100.2 udp * 500
ip filter 101017 pass * 192.168.100.2 esp * *
ip filter 101018 pass * 192.168.100.2 udp * 1701
ip filter 101019 pass * 192.168.100.2 udp * 4500
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.100.2 udp 500
nat descriptor masquerade static 200 2 192.168.100.2 esp
nat descriptor masquerade static 200 3 192.168.100.2 udp 1701
nat descriptor masquerade static 200 4 192.168.100.2 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 1 1 udp 1701
syslog debug on
telnetd host 192.168.100.3-192.168.100.254
dns server 192.168.99.1
dns private address spoof on
l2tp service on l2tpv3
httpd host 192.168.100.3-192.168.100.254
alarm entire off
sshd service on
sshd host 192.168.100.3-192.168.100.254
sftpd host 192.168.100.3-192.168.100.254
書込番号:19482771
0点
コマンド間違ってますよ。
tunnel select 1
tunnel endpoint address 192.168.100.2 au IP (AUグローバルIP)
↑コマンドの部分を登録し直しです。
端末のIPを192.168.100.***/24 デフォルトゲートウェイ192.168.100.2、プライマリDNS192.168.100.2の設定にて接続確認下さい。
DHCP認証周りは、自宅RTX810ルーターの設定を投入し直ししませんと、復元されません。
当初の話の通り、RTX810のVPN認証通過周りが有りますので、DHCP周りは、自宅RTX810ルーターの復元をして下さい。
書込番号:19482820
0点
RTX810ルーターのConfig復元は、復元直後では正式なNAT変換ルールが適用されませんので、一度再起動は必要です。
コマンドから、restartをかけて下さい。
書込番号:19482843
0点
>sorio-2215さん
もう遅いので最小限のことだけできればいいです。そろそろ帰らないと・・。
・インターネットへの接続
・社内ネットワークへのアクセス
以上を満たす設定を教えてください。
RTXのコンフィグは「取りあえず」初期化します。
スミマセンがよろしくお願いします。
書込番号:19482888
0点
ですから、初期化するまでの事ではありません。
デフォルト動作のConfigですので、先刻のConfigを投入下さい。
細かな所で、投入ミスしているだけです。
端末は、固定IPで接続という形で、自宅RTX810ルーターのConfig入替えまで代替出来る様になっていますので、端末は、固定IP(衝突しないIP)、デフォルトゲートウェイ192.168.100.2、プライマリDNS192.168.100.2の設定をそれぞれして下さいという社内環境になっています。
ip routing process fast
ip route default gateway 192.168.99.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.99.1
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.2/24
ip lan1 address 192.168.100.2/24
ip lan1 proxyarp on
ip lan2 address 192.168.99.254/24
ip lan2 mtu 1454
ip lan2 nat descriptor 200
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.100.2 ***.***.***.*** (AUグローバルIP)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.100.2
ipsec ike local name 1 ipsec1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 ***.***.***.*** (AUグローバルIP)
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-2
l2tp syslog on
l2tp local router-id 192.168.100.2
l2tp remote router-id 192.168.100.1
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.0/24 icmp * *
ip filter 101005 pass * 192.168.100.0/24 established * *
ip filter 101006 pass * 192.168.100.0/24 tcp * ident
ip filter 101007 pass * 192.168.100.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.100.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.100.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101014 pass * 192.168.103.0/24 udp * ntp
ip filter 101015 pass * 192.168.103.0/24 udp ntp *
ip filter 101016 pass * 192.168.100.2 udp * 500
ip filter 101017 pass * 192.168.100.2 esp * *
ip filter 101018 pass * 192.168.100.2 udp * 1701
ip filter 101019 pass * 192.168.100.2 udp * 4500
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.100.2 udp 500
nat descriptor masquerade static 200 2 192.168.100.2 esp
nat descriptor masquerade static 200 3 192.168.100.2 udp 1701
nat descriptor masquerade static 200 4 192.168.100.2 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 1 1 udp 1701
syslog debug on
telnetd host 192.168.100.3-192.168.100.254
dns server 192.168.99.1
dns private address spoof on
httpd host 192.168.100.3-192.168.100.254
l2tp service on l2tpv3
alarm entire off
sshd service on
sshd host 192.168.100.3-192.168.100.254
sshd host key generate *
sftpd host 192.168.100.3-192.168.100.254
書込番号:19482960
0点
一度初期化してしまってWAN側の設定がなくなったようです。失敗しました。
ip routing process fast
ip route default gateway 192.168.99.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.99.1
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.2/24
ip lan1 address 192.168.100.1/24
provider lan1 name LAN:
tunnel select 1
l2tp always-on on
l2tp hostname RTX810-2
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.100.2
l2tp remote router-id 192.168.100.1
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101014 pass * 192.168.103.0/24 udp * ntp
ip filter 101015 pass * 192.168.103.0/24 udp ntp *
ip filter 101016 pass * 192.168.100.2 udp * 500
ip filter 101017 pass * 192.168.100.2 esp * *
ip filter 101018 pass * 192.168.100.2 udp * 1701
ip filter 101019 pass * 192.168.100.2 udp * 4500
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 500000 restrict * * * * *
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.100.2 udp 500
nat descriptor masquerade static 200 2 192.168.100.2 esp
nat descriptor masquerade static 200 3 192.168.100.2 udp 1701
nat descriptor masquerade static 200 4 192.168.100.2 udp 4500
rip use on
ipsec auto refresh on
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.2
ipsec ike local name 1 ipsec1 key-id
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 auIP
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec transport 1 1 udp 1701
syslog debug on
telnetd host 192.168.100.3-192.168.100.254
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.191/24
dns server 192.168.99.1
dns private address spoof on
l2tp service on l2tpv3
httpd host 192.168.100.3-192.168.100.254
alarm entire off
sshd service on
sshd host 192.168.100.3-192.168.100.254
sftpd host 192.168.100.3-192.168.100.254
#
書込番号:19483048
0点
初期化してしまうと、社内環境とは違うコマンドも投入されてしまうので、×です。
もう一度、初期化して下さい。
初期化後に、不要コマンドを削除して下さい。
no ip lan1 address 192.168.100.1/24
no dhcp service server
no dhcp server rfc2131 compliant except remain-silent
no dhcp scope 1 192.168.100.2-192.168.100.191/24
上記作業後に、当方提示のConfigを、AUグローバルIP箇所を差替えした上で、「そのまま」投入して下さい。
Config復元後に、RTX810配下端末は、固定IPにしてデフォルトゲートウェイを192.168.100.2、プライマリDNS192.168.100.2に固定設定するだけの処置で良いです。
念のため申し上げますが、初期化してしまうと、返って正常な設定をダメにしてしまうので、安易に初期化はしない方が良いです。
書込番号:19483175
1点
>sorio-2215さん
RTXにプロバイダ情報を投入します。下記につき教えてください。PC側は192.168.100.xxx。ゲートウエイとDNSは192.168.100.2とします。
WAN側IPアドレス
ネットマスク
デフォルトゲートウェイ
プライマリDNSサーバーアドレス
セカンダリDNSサーバーアドレス
HGWと社内ネットだけは繋がります。後はインターネットに接続できればとりあえずOKです。
よろしくお願いいします。
書込番号:19483271
0点
もしかして、簡易webから設定していますか?
当方提供のconfigにWAN設定と、NAT特定設定が投入されていますので、簡易web設定では無く、あくまでも、teratermから間違いなくconfig投入下されば良いです。
webからWAN設定かけてしまうと、後のVPNのモード設定時に、再度初期化からモード設定しないと、VPNの設定が困難になります。
書込番号:19483803 スマートフォンサイトからの書き込み
0点
当初の話のL2TPv3/IPSEC併用でのインターネット回線機能は、簡易Webメニューからの基本投入は出来ないと言う趣旨が有りますので、簡易Webメニューからの設定を含める場合には、当初のIPSEC-VPNに戻された方が良いかと存じます。
NTT-HGW及び会社RTX810ルーターのLAN内構成は、既にL2TPv3/IPSECとインターネット併用構成環境になっていますので、IPSEC-VPNに戻される場合には、下記設定をそのままConfig投入下さい。
会社及び自宅RTX810ルーターを初期化し、下記コマンドを間違いなく投入下さい。
会社RTX810ルーター
ip routing process fast
ip route default gateway 192.168.99.1
ip route 192.168.0.0/24 gateway tunnel 1
ip route 192.168.100.0/24 gateway tunnel 1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.99.1
ip lan1 address 192.168.102.1/24
ip lan1 proxyarp on
ip lan2 address 192.168.99.254/24
ip lan2 secure filter in 101004 101005 101016 101017 101018 101019 101020 101021 101022 101023 101024 101025 101030 101032 101099
ip lan2 secure filter out 101020 101021 101022 101023 101024 101025 101099
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.102.1
ipsec ike nat-traversal 1 on
ipsec ike local name 1 ipsec1 key-id
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 ***.***.***.*** (AUグローバルIP)
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.102.0/24 * * * *
ip filter 101004 pass * 192.168.102.0/24 icmp * *
ip filter 101005 pass * 192.168.102.0/24 established * *
ip filter 101006 pass * 192.168.102.0/24 tcp * ident
ip filter 101007 pass * 192.168.102.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.102.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.102.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.102.0/24 * * *
ip filter 101014 pass * 192.168.102.0/24 udp * ntp
ip filter 101015 pass * 192.168.102.0/24 udp ntp *
ip filter 101016 pass * 192.168.102.1 udp * 500
ip filter 101017 pass * 192.168.102.1 esp * *
ip filter 101018 pass * 192.168.102.1 udp * 1701
ip filter 101019 pass * 192.168.102.1 udp * 4500
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.99.254
nat descriptor address inner 200 192.168.99.254 192.168.102.1-192.168.102.254
nat descriptor masquerade static 200 1 192.168.102.1 udp 500
nat descriptor masquerade static 200 2 192.168.102.1 esp
nat descriptor masquerade static 200 3 192.168.102.1 udp 1701
nat descriptor masquerade static 200 3 192.168.102.1 udp 4500
ipsec auto refresh on
telnetd host 192.168.102.2-192.168.102.254 192.168.100.2-192.168.100.254
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.102.2-192.168.102.99/24
dns server 192.168.99.1
dns private address spoof on
httpd host 192.168.102.2-192.168.102.254 192.168.100.2-192.168.100.254
alarm entire off
sshd service on
sshd host 192.168.102.2-192.168.102.254 192.168.100.2-192.168.100.254
sshd host key generate *
sftpd host 192.168.102.2-192.168.102.254 192.168.100.2-192.168.100.254
↑の設定を投入された場合には、会社RTX810ルーター配下のネットワーク関連端末は、192.168.102.***/24のIP(PC関連は、DHCP自動取得でもOKです)、デフォルトゲートウェイ192.168.102.1、プライマリDNS192.168.102.1に設定下さい。
無線ルーターは、BRモードに戻されても良いです。
BRモードの際には、IP192.168.102.201/24、デフォルトゲートウェイ192.168.102.1、プライマリDNS192.168.102.1に設定確認下さい。
書込番号:19483824
0点
IPSEC-VPNモードへ戻される場合の自宅RTX810ルーターのConfigです。
一度、初期化後に下記コマンドを、そのまま投入下さい。
ip routing process fast
ip route default gateway 192.168.0.1
ip route 192.168.102.0/24 gateway tunnel 1
ip route 192.168.99.0/24 gateway tunnel 1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
ip lan1 address 192.168.100.1/24
ip lan1 proxyarp on
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ipv6 lan2 dhcp service client ir=on
ip lan2 address 192.168.0.254/24
ip lan2 secure filter in 101000 101001 101004 101005 101006 101020 101021 101022 101023 101024 101025 101030 101032 101080 101081 101099
ip lan2 secure filter out 101010 101011 101020 101021 101022 101023 101024 101025 101099
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:DHCP
provider ntpdate ntp.nict.jp
pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin *******
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool 192.168.100.150-192.168.100.160
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.100.1
ipsec ike local id 1 192.168.100.1/24
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1 key-id
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text password
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp keepalive use on
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.1 udp * 4500
ip filter 101005 pass * 192.168.100.1 udp * 1701
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.100.1 udp * 500
ip filter 101081 pass * 192.168.100.1 esp * *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.100.1-192.168.100.254
nat descriptor masquerade static 200 1 192.168.100.1 udp 500
nat descriptor masquerade static 200 2 192.168.100.1 esp
nat descriptor masquerade static 200 3 192.168.100.1 udp 1701
nat descriptor masquerade static 200 4 192.168.100.1 udp 4500
ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipsec transport 2 2 udp 1701
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on
httpd host 192.168.100.2-192.168.100.254 192.168.102.2-192.168.102.254
alarm entire off
書込番号:19483832
0点
補足です。
会社のIPSEC-VPNの復元Configですが、NAT-Tモードになってますので、下記も最後に投入下さい。
会社RTX810ルーター
ipsec transport 1 1 udp 1701
書込番号:19483834
0点
先ほどのIPSEC-VPNに戻された場合の設定ですが、L2TPv3/IPSECでは現状TeraTermでの投入主体になりますので、簡易Webメニュー主体で考える場合、IPSEC-VPNしか選択肢は無いかと存じます。
IPSEC-VPNでの設定ですと、どうしても静的ルーティングは外せない概念となりますので、ご利用のAU-HGWとNTT-HGWの機能差の兼ね合いで、自宅からNTT-HGWへのログインも条件となる場合、下記の要件になるかと考えます。
@ 回線終端装置に、スイッチングハブを別途用意し、ハブからNTT光電話ルーターへの接続。
A 上記スイッチングハブから、会社RTX810ルーターへWAN接続。
B NTT光電話ルーターのIPを192.168.102.254/24の設定(DHCP無効化)し、ハブポートから会社RTX810ルーターのハブポートへ接続
C 会社RTX810ルーターへ、PPPOE接続形態に復元し、IPSEC-VPNと静的ルーティング形態にする。
RTX810ルーターでのPPPOE接続設定にされる場合には、会社RTX810ルーターのConfigは、別紙のイメージになります。
書込番号:19483857
0点
別紙、会社RTX810ルーターでのPPPOEに戻される場合のイメージです。
ip routing process fast
ip route default gateway pp 1 filter 500000 gateway pp 1
ip route 192.168.100.0/24 gateway tunnel 1
ip route 192.168.0.0/24 gateway tunnel 1
ip lan1 address 192.168.102.1/24
ip lan1 proxyarp on
provider type isdn-terminal
provider filter routing connection
provider lan1 name LAN:
provider lan2 name PPPoE/0/1/5/0/0/0:Nifty
provider ntpdate ntp.nict.jp
pp select 1
pp name PRV/1/1/5/0/0/0:Nifty
pp keepalive interval 30 retry-interval=30 count=12
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname *****@nifty.com ******* (Nifty接続ID 接続パスワード)
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
ip pp secure filter in 200020 200021 200022 200023 200024 200025 200030 200032 200080 200081 200082 200083 200099
ip pp secure filter out 200020 200021 200022 200023 200024 200025 200026 200027 200099
ip pp nat descriptor 1000
pp enable 1
provider set 1 Nifty
provider dns server pp 1 1
provider select 1
tunnel select 1
tunnel name IPsec(会社)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.102.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 ***.***.***.*** (AUグローバルIP)
ip tunnel tcp mss limit auto
tunnel enable 1
ip filter 200000 reject 10.0.0.0/8 * * * *
ip filter 200001 reject 172.16.0.0/12 * * * *
ip filter 200002 reject 192.168.0.0/16 * * * *
ip filter 200003 reject 192.168.102.0/24 * * * *
ip filter 200010 reject * 10.0.0.0/8 * * *
ip filter 200011 reject * 172.16.0.0/12 * * *
ip filter 200012 reject * 192.168.0.0/16 * * *
ip filter 200013 reject * 192.168.102.0/24 * * *
ip filter 200020 reject * * udp,tcp 135 *
ip filter 200021 reject * * udp,tcp * 135
ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 200024 reject * * udp,tcp 445 *
ip filter 200025 reject * * udp,tcp * 445
ip filter 200026 restrict * * tcpfin * www,21,nntp
ip filter 200027 restrict * * tcprst * www,21,nntp
ip filter 200030 pass * 192.168.102.0/24 icmp * *
ip filter 200031 pass * 192.168.102.0/24 established * *
ip filter 200032 pass * 192.168.102.0/24 tcp * ident
ip filter 200033 pass * 192.168.102.0/24 tcp ftpdata *
ip filter 200034 pass * 192.168.102.0/24 tcp,udp * domain
ip filter 200035 pass * 192.168.102.0/24 udp domain *
ip filter 200036 pass * 192.168.102.0/24 udp * ntp
ip filter 200037 pass * 192.168.102.0/24 udp ntp *
ip filter 200080 pass * 192.168.102.1 udp * 500
ip filter 200081 pass * 192.168.102.1 esp * *
ip filter 200082 pass * 192.168.102.1 udp * 1701
ip filter 200083 pass * 192.168.102.1 udp * 4500
ip filter 200098 reject-nolog * * established
ip filter 200099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 200080 * * ftp
ip filter dynamic 200081 * * domain
ip filter dynamic 200082 * * www
ip filter dynamic 200083 * * smtp
ip filter dynamic 200084 * * pop3
ip filter dynamic 200085 * * submission
ip filter dynamic 200098 * * tcp
ip filter dynamic 200099 * * udp
nat descriptor type 1000 masquerade
nat descriptor masquerade static 1000 1 192.168.102.1 udp 500
nat descriptor masquerade static 1000 2 192.168.102.1 esp
nat descriptor masquerade static 1000 3 192.168.102.1 udp 1701
nat descriptor masquerade static 1000 4 192.168.102.1 udp 4500
ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipsec transport 2 2 udp 1701
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.102.2-192.168.102.99/24
dns server pp 1
dns server select 500001 pp 1 any . restrict pp 1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
httpd host 192.168.100.2-192.168.100.254 192.168.102.2-192.168.102.254
alarm entire off
書込番号:19483870
0点
会社RTX810でのPPPOE形態の件で、一つコマンドを忘れてました。
tunnel select 1
ipsec ike local name 1 ipsec1 key-id
書込番号:19483912
0点
先ほどの回線終端装置→スイッチングハブ→@ NTT-HGWのWAN配線、Aスイッチングハブ→会社RTX810ルーターのWAN配線にされる場合ですが、当然NTT-HGWのPPPOE接続設定は削除する形になります。
スイッチングハブも、NTT-HGWの通信と、RTX810ルーターの通信を物理的に分ける形になる点、負荷耐久性の観点から、メタル筐体・電源外付け型のハブが良いかと存じます。
※ NETGEAR製「GS105-500JPS」 ・・ http://www.netgear.jp/products/details/GS105.html
書込番号:19484108
0点
RTX810拠点接続(IPSEC-VPN、L2TP/IPSEC併用トンネル)+インターネット接続機能の復元、うまくいきましたか?
先刻の投稿内容の通り、IPSEC-VPNでの相違セグメントでの静的ルーティング構成ですと、一部簡易Webメニューからの設定は可能ですが、特定回線対応や細かな回線調整は、Configコマンドを覚えないと、実際の運用や障害対応などは出来ませんよ。
本来は、IPSEC-VPNですと、会社側RTX810ルーターにて、Netvolante-DNS取得でのメインモード・VPN構成の方が望ましい構成ですが。
メインモードでのIPSEC-VPNのトンネル・Configイメージです。(RTX810ルーターでのPPPOE接続構成の場合に可能)
会社RTX810ルーターのトンネル・イメージ
tunnel select 1
tunnel name IPsec(会社)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike always-on 1 on
ipsec ike duration ipsec-sa 1 3600
ipsec ike duration isakmp-sa 1 3600
ipsec ike esp-encapsulation 1 off
ipsec ike group 1 modp1024
ipsec ike hash 1 sha
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.102.1
ipsec ike local id 1 192.168.102.0/24
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 (AUグローバルIP)
ipsec ike remote id 1 192.168.100.0/24
ipsec auto refresh 1 on
ip tunnel tcp mss limit 1240
tunnel enable 1
ip route 192.168.100.0/24 gateway tunnel 1
ip route 192.168.0.0/24 gateway tunnel 1
自宅RTX810、IPSEC-VPNトンネル・イメージ
tunnel select 1
tunnel name IPsec(自宅)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike always-on 1 on
ipsec ike duration ipsec-sa 1 3600
ipsec ike duration isakmp-sa 1 3600
ipsec ike esp-encapsulation 1 off
ipsec ike group 1 modp1024
ipsec ike hash 1 sha
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.100.1
ipsec ike local id 1 192.168.100.0/24
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 (会社取得のNetvolante-DNSアドレス)
ipsec ike remote id 1 192.168.102.0/24
ipsec auto refresh 1 on
ip tunnel tcp mss limit 1240
tunnel enable 1
ip route 192.168.102.0/24 gateway tunnel 1
上記Netvolante-DNSは、会社RTX810ルーターでのPPPOE接続形態にされた場合に、NetvolanteDNSの取得設定が可能ですので、その取得されましたドメインを指定します。
書込番号:19485339
0点
>sorio-2215さん
大変お世話になります。今までのアドバイスありがとうございました。
まず結論から申し上げます。私にはかんたん設定での操作+α程度のことしかできそうにありません。ですから最初の方に一時的に採用していた方式(かんたん設定を利用した拠点間のVPN接続)に戻すことにします。欠点として同一LAN内からのHGWへのアクセスが不能になりますがケーブルを抜き挿しすることで我慢します。
アドレス体系
自宅
HGW:192.168.0.1 (DMZ192.168.0.254)
RTX:192.168.100.1
会社
HGW:192.168.1.1 (DMZ192.168.1.254)
RTX:192.168.101.1
現在は自宅と会社間のVPN通信ができない状態にあります。またアイフォンから会社VPNに接続できます。しかし自宅VPNには接続不能です。
それぞれの拠点からインターネットには出られています。
このような状況なので、またアドバイスいただけると助かるのですが、あくまでも「かんたん設定」と「コマンドの実行」での作業でやりたいです(シリアル入力不可)。
取り急ぎお礼と状況報告まで。
書込番号:19486730
0点
では、先ず自宅RTX810ルーターへ、下記コマンド投入下さい。
ip routing process fast
ip route default gateway 192.168.0.1
ip route 192.168.101.0/24 gateway tunnel 1
ip route 192.168.1.0/24 gateway tunnel 1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
ip lan1 address 192.168.100.1/24
ip lan1 proxyarp on
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ipv6 lan2 dhcp service client ir=on
ip lan2 address 192.168.0.254/24
ip lan2 secure filter in 101000 101001 101004 101005 101020 101021 101022 101023 101024 101025 101030 101032 101080 101081 101099
ip lan2 secure filter out 101010 101011 101020 101021 101022 101023 101024 101025 101099
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:DHCP
provider ntpdate ntp.nict.jp
pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin *******
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool 192.168.100.150-192.168.100.160
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.100.1
ipsec ike local id 1 192.168.100.1/24
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1 key-id
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text password
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp keepalive use on
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.1 udp * 4500
ip filter 101005 pass * 192.168.100.1 udp * 1701
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.100.1 udp * 500
ip filter 101081 pass * 192.168.100.1 esp * *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.100.1-192.168.100.254
nat descriptor masquerade static 200 1 192.168.100.1 udp 500
nat descriptor masquerade static 200 2 192.168.100.1 esp
nat descriptor masquerade static 200 3 192.168.100.1 udp 1701
nat descriptor masquerade static 200 4 192.168.100.1 udp 4500
ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipsec transport 2 2 udp 1701
tftp host any
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
upnp use on
upnp external address refer lan3
l2tp service on
httpd host 192.168.100.2-192.168.100.254 192.168.102.2-192.168.102.254
alarm entire off
書込番号:19486875
0点
会社RTX810ルーターには、下記コマンドを実行下さい。RTX810自体のIPアドレスとDHCP周り変更は、簡易Webからの投入は出来ませんので、TeraTermから投入下さい。
下記TeraTermから投入するコマンド
ip lan1 address 192.168.101.1/24
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.101.2-192.168.101.99/24
会社RTX810ルーター
ip routing process fast
ip route default gateway 192.168.1.1
ip route 192.168.0.0/24 gateway tunnel 1
ip route 192.168.100.0/24 gateway tunnel 1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.1.1
ip lan1 address 192.168.101.1/24
ip lan1 proxyarp on
ip lan2 address 192.168.1.254/24
ip lan2 secure filter in 101000 101001 101016 101017 101018 101019 101020 101021 101022 101023 101024 101025 101030 101032 101099
ip lan2 secure filter out 101020 101021 101022 101023 101024 101025 101099
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.1.1
ipsec ike remote id 1 192.168.100.1/24
ipsec ike nat-traversal 1 on
ipsec ike local name 1 ipsec1 key-id
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 ***.***.***.*** (AUグローバルIP)
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.101.0/24 * * * *
ip filter 101004 pass * 192.168.101.0/24 icmp * *
ip filter 101005 pass * 192.168.101.0/24 established * *
ip filter 101006 pass * 192.168.101.0/24 tcp * ident
ip filter 101007 pass * 192.168.101.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.101.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.101.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.101.0/24 * * *
ip filter 101014 pass * 192.168.101.0/24 udp * ntp
ip filter 101015 pass * 192.168.101.0/24 udp ntp *
ip filter 101016 pass * 192.168.101.1/24 udp * 500
ip filter 101017 pass * 192.168.101.1 esp * *
ip filter 101018 pass * 192.168.101.1 udp * 1701
ip filter 101019 pass * 192.168.101.1 udp * 4500
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.1.254
nat descriptor address inner 200 192.168.1.254 192.168.101.1-192.168.101.254
nat descriptor masquerade static 200 1 192.168.101.1 udp 500
nat descriptor masquerade static 200 2 192.168.101.1 esp
nat descriptor masquerade static 200 3 192.168.101.1 udp 1701
nat descriptor masquerade static 200 3 192.168.101.1 udp 4500
ipsec auto refresh on
telnetd host 192.168.101.2-192.168.101.254 192.168.100.2-192.168.100.254
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.101.2-192.168.101.99/24
dns server 192.168.1.1
dns private address spoof on
httpd host 192.168.101.2-192.168.101.254 192.168.100.2-192.168.100.254
alarm entire off
sshd service on
sshd host 192.168.101.2-192.168.101.254 192.168.100.2-192.168.100.254
sshd host key generate *
sftpd host 192.168.101.2-192.168.101.254 192.168.100.2-192.168.100.254
upnp use on
upnp external address refer lan2
書込番号:19486881
0点
先ほどの自宅・会社RTX810ルーターのコマンドですが、一部誤入力でした。
下記訂正済みコマンドしたものを実行下さい。
自宅RTX810ルーター
ip routing process fast
ip route default gateway 192.168.0.1
ip route 192.168.101.0/24 gateway tunnel 1
ip route 192.168.1.0/24 gateway tunnel 1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
ip lan1 address 192.168.100.1/24
ip lan1 proxyarp on
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ipv6 lan2 dhcp service client ir=on
ip lan2 address 192.168.0.254/24
ip lan2 secure filter in 101000 101001 101004 101005 101020 101021 101022 101023 101024 101025 101030 101032 101080 101081 101099
ip lan2 secure filter out 101010 101011 101020 101021 101022 101023 101024 101025 101099
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:DHCP
provider ntpdate ntp.nict.jp
pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin password
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool 192.168.100.150-192.168.100.160
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.100.1
ipsec ike local id 1 192.168.100.0/24
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 any
ipsec ike remote id 1 192.168.101.0/24
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text password
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp keepalive use off
l2tp tunnel disconnect time 600
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.1 udp * 4500
ip filter 101005 pass * 192.168.100.1 udp * 1701
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.100.1 udp * 500
ip filter 101081 pass * 192.168.100.1 esp * *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.100.1-192.168.100.254
nat descriptor masquerade static 200 1 192.168.100.1 udp 500
nat descriptor masquerade static 200 2 192.168.100.1 esp
nat descriptor masquerade static 200 3 192.168.100.1 udp 1701
nat descriptor masquerade static 200 4 192.168.100.1 udp 4500
ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipsec transport 2 2 udp 1701
tftp host any
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
upnp use on
upnp external address refer lan2
l2tp service on
httpd host 192.168.100.2-192.168.100.254 192.168.102.2-192.168.102.254
alarm entire off
書込番号:19486883
0点
訂正済み、会社RTX810ルーター、コマンド (下記コマンド投入下さい)
TeraTermから投入するものは同じですが、念のため。
ip lan1 address 192.168.101.1/24
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.101.2-192.168.101.99/24
上記のコマンド投入しましたら、簡易Webメニューから設定メニュー表示可能(http://192.168.101.1)ですので、下記コマンド投入下さい。
ip routing process fast
ip route default gateway 192.168.1.1
ip route 192.168.0.0/24 gateway tunnel 1
ip route 192.168.100.0/24 gateway tunnel 1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.1.1
ip lan1 address 192.168.101.1/24
ip lan1 proxyarp on
ip lan2 address 192.168.1.254/24
ip lan2 secure filter in 101000 101001 101016 101017 101018 101019 101020 101021 101022 101023 101024 101025 101030 101032 101099
ip lan2 secure filter out 101020 101021 101022 101023 101024 101025 101099
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.101.1
ipsec ike local id 1 192.168.101.0/24
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 ***.***.***.*** (AUグローバルIP)
ipsec ike remote id 1 192.168.100.0/24
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.101.0/24 * * * *
ip filter 101004 pass * 192.168.101.0/24 icmp * *
ip filter 101005 pass * 192.168.101.0/24 established * *
ip filter 101006 pass * 192.168.101.0/24 tcp * ident
ip filter 101007 pass * 192.168.101.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.101.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.101.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.101.0/24 * * *
ip filter 101014 pass * 192.168.101.0/24 udp * ntp
ip filter 101015 pass * 192.168.101.0/24 udp ntp *
ip filter 101016 pass * 192.168.101.1/24 udp * 500
ip filter 101017 pass * 192.168.101.1 esp * *
ip filter 101018 pass * 192.168.101.1 udp * 1701
ip filter 101019 pass * 192.168.101.1 udp * 4500
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.1.254
nat descriptor address inner 200 192.168.1.254 192.168.101.1-192.168.101.254
nat descriptor masquerade static 200 1 192.168.101.1 udp 500
nat descriptor masquerade static 200 2 192.168.101.1 esp
nat descriptor masquerade static 200 3 192.168.101.1 udp 1701
nat descriptor masquerade static 200 3 192.168.101.1 udp 4500
ipsec auto refresh on
ipsec transport 1 1 udp 1701
telnetd host 192.168.101.2-192.168.101.254 192.168.100.2-192.168.100.254
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.101.2-192.168.101.99/24
dns server 192.168.1.1
dns private address spoof on
httpd host 192.168.101.2-192.168.101.254 192.168.100.2-192.168.100.254
alarm entire off
sshd service on
sshd host 192.168.101.2-192.168.101.254 192.168.100.2-192.168.100.254
sshd host key generate *
sftpd host 192.168.101.2-192.168.101.254 192.168.100.2-192.168.100.254
upnp use on
upnp external address refer lan2
書込番号:19486885
0点
補足です。
自宅・会社RTX810ルーターのコマンドの中、「tunnel enable 2」と、「ip filter 101000 reject 10.0.0.0/8 * * * *」の間に、トンネル設定を抜けるコマンドを入れて、それ以降のコマンド投入という形をしませんと、正常なコマンド投入出来ないかと考えますので、「tunnel enable 2」の後に、下記コマンドにて、トンネルを抜けるコマンドを挿入して下さい。
tunnel select none
書込番号:19487069
0点
>sorio-2215さん
会社側ではかんたん設定だけでVPNは「通信中」となりました。しかし自宅側ではVPNもRASもまだダメです。
auHGWには特別なコマンドは要らないですか?
↓現在の設定
セキュリティ保護機能help 使用する
IPsecパススルー機能help 使用する
UPnP機能help 使用する
DMZホスト機能help 使用する
DMZホストのIPアドレスhelp 192.168.0.254
↓自宅コンフィグ
ip route default gateway 192.168.0.1
ip route 192.168.1.0/24 gateway tunnel 1
ip route 192.168.101.0/24 gateway tunnel 1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
ip lan1 address 192.168.100.1/24
ip lan1 proxyarp on
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.0.254/24
ip lan2 secure filter in 101000 101001 101004 101005 101020 101021 101022 101023 101024 101025 101030 101032 101080 101081 101099
ip lan2 secure filter out 101010 101011 101020 101021 101022 101023 101024 101025 101099
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:DHCP
provider ntpdate ntp.nict.jp
pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin password
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool 192.168.100.150-192.168.100.160
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.100.1
ipsec ike local id 1 192.168.100.0/24
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 any
ipsec ike remote name 1 DDNSサービス key-id
l2tp tunnel auth off
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text password
ipsec ike remote address 2 any
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.1 udp * 4500
ip filter 101005 pass * 192.168.100.1 udp * 1701
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.100.1 udp * 500
ip filter 101081 pass * 192.168.100.1 esp * *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.100.1-192.168.100.254
nat descriptor masquerade static 200 1 192.168.100.1 udp 500
nat descriptor masquerade static 200 2 192.168.100.1 esp
nat descriptor masquerade static 200 3 192.168.100.1 udp 1701
nat descriptor masquerade static 200 4 192.168.100.1 udp 4500
ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipsec transport 2 2 udp 1701
tftp host any
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on
httpd host 192.168.100.2-192.168.100.254 192.168.102.2-192.168.102.254
upnp use on
upnp external address refer lan2
alarm entire off
#
書込番号:19488252
0点
IPSEC-VPNのトンネル1のConfigが、訳の解らないコマンドが投入されていますよ。
ローカルネーム→リモートネームでの名称解決は、不安定なので、辞めた方が良いですよ。
自宅RTX810ルーターに下記コマンドを実行して下さい。
tunnel select 1
no ipsec ike remote name 1 DDNSサービス key-id
no no l2tp tunnel auth off
no l2tp tunnel disconnect time 600
no l2tp keepalive use off
ipsec ike remote id 1 192.168.101.0/24
tunnel enable 1
IPSECトンネルの認証論理を、よく理解してコマンド実行するようにして下さい。
当方の、提供Configをそのまま投入すれば良い状態で、Config投入前にルーターリセットはしていないのでは?
会社RTX810ルーターのトンネル1のConfigが、下記になっているか確認して下さい。
tunnel select 1
tunnel name IPsec(会社)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.101.1
ipsec ike local id 1 192.168.101.0/24
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 ***.***.***.*** (AUグローバルIP)
ipsec ike remote id 1 192.168.100.0/24
ip tunnel tcp mss limit 1240
tunnel enable 1
念のため、会社RTX810ルーターの投入済みConfig全体を、お教え下さい。
書込番号:19488660
0点
IPSEC-VPNも含め、拠点間VPNで必要条件が、認証通信の際のESPパケット処理をどのルートで認証するか、相互通信認証に、対向それぞれのグローバルIPがどの形態になっているか、グローバルIPが認識された際に、IKEキーをどのモードにするか、IPSECトンネルキーをどのモードにするか、切断・接続時の監視機能をどのモードにするかが、基本的な要件になります。
アグレッシブモードでのVPNの場合、グローバルIPが動的な回線の方のLAN情報を、自宅RTX810ルーター側へ通知しないといけませんが、その際の通知情報を、それぞれのIPSECトンネル情報に相手先のID等の登録をしなければいけません。
当方提供の自宅・会社Configをよく吟味してみて下さい。
自宅
tunnel select 1
tunnel name IPsec(自宅)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.100.1
ipsec ike local id 1 192.168.100.0/24
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 any
ipsec ike remote id 1 192.168.101.0/24
ip tunnel tcp mss limit 1240
tunnel enable 1
会社
tunnel select 1
tunnel name IPsec(会社)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.101.1
ipsec ike local id 1 192.168.101.0/24
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 ***.***.***.*** (AUグローバルIP)
ipsec ike remote id 1 192.168.100.0/24
ip tunnel tcp mss limit 1240
tunnel enable 1
↑、それぞれのVPNトンネルの情報に、ローカルIDとリモートIDでトンネル情報の交換をする様に設定していますよね?
併せて、自宅側のグローバルIPがどの値でも、認証を受け入れる設定(ipsec ike remote address 1 any)を投入し、会社側は、ipsec ike remote address 1 ***.***.***.*** (AUグローバルIP)にて、アクセス先の登録をしていますよね?
それぞれの対向側の情報以外のConfigは、不要になります。
不要なConfigが投入されていれば、その情報が対向側のルーターへ通信されてしまい、VPN認証出来ないという要件にもなったりします。
書込番号:19488727
0点
追加補足です。
AU-HGWの静的ルーティングも設定していないのでは?
詳細設定→静的ルーティング設定
宛先アドレス(192.168.100.0/24)、宛先ゲートウェイ(192.168.0.254)の登録がされているかも確認下さい。
書込番号:19488766
0点
↓★☆★の部分
ipv6 lan2 dhcp service client ir=on
↑このコマンドが登録されないです
自宅コンフィグ
ip routing process fast
ip route default gateway 192.168.0.1
ip route 192.168.1.0/24 gateway tunnel 1
ip route 192.168.101.0/24 gateway tunnel 1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
ip lan1 address 192.168.100.1/24
ip lan1 proxyarp on
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★
ip lan2 address 192.168.0.254/24
ip lan2 secure filter in 101000 101001 101004 101005 101020 101021 101022 101023 101024 101025 101030 101032 101080 101081 101099
ip lan2 secure filter out 101010 101011 101020 101021 101022 101023 101024 101025 101099
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:DHCP
provider ntpdate ntp.nict.jp
pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin password
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool 192.168.100.150-192.168.100.160
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.100.1
ipsec ike local id 1 192.168.100.0/24
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 any
ipsec ike remote id 1 192.168.101.0/24
ip tunnel tcp mss limit auto
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text password
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.1 udp * 4500
ip filter 101005 pass * 192.168.100.1 udp * 1701
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.100.1 udp * 500
ip filter 101081 pass * 192.168.100.1 esp * *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.100.1-192.168.100.254
nat descriptor masquerade static 200 1 192.168.100.1 udp 500
nat descriptor masquerade static 200 2 192.168.100.1 esp
nat descriptor masquerade static 200 3 192.168.100.1 udp 1701
nat descriptor masquerade static 200 4 192.168.100.1 udp 4500
ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipsec transport 2 2 udp 1701
tftp host any
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on
httpd host 192.168.100.2-192.168.100.254 192.168.102.2-192.168.102.254
upnp use on
upnp external address refer lan2
alarm entire off
書込番号:19489181
0点
>sorio-2215さん
> 詳細設定→静的ルーティング設定
> 宛先アドレス(192.168.100.0/24)、宛先ゲートウェイ(192.168.0.254)の登録
これは最初から登録済です。
質問です。
会社のRTXは「かんたん設定」だけ使って設定しています。それでもVPNは通信中になりますし、RASのアクセスも可能です。
自宅の方は初期化してからコマンドを投入しました(その後で自分で手直ししてました!)。しかし現状はほぼ指示通りのコンフィグになっています。それにもかかわらず自宅の方はVPNもRASのアクセスも成立できていません。RASのアクセスには会社の設定は関係ないですよね?
ですからHGWの設定に問題がありそうな気がしています。
それともう一つ気になる点。
↓PCのipconfig
接続固有の DNS サフィックス . . . :
IPv6 アドレス . . . . . . . . . . . : 一部伏字:2948:e263:aeed
一時 IPv6 アドレス. . . . . . . . . : 一部伏字dab:2386:9b8d:a57f
リンクローカル IPv6 アドレス. . . . : 一部伏字:e263:aeed%15
IPv4 アドレス . . . . . . . . . . : 192.168.100.6
サブネット マスク . . . . . . . . : 255.255.255.0
デフォルト ゲートウェイ . . . . . : 一部伏字eff:fe7f:acb4%15
192.168.100.1
デフォルトゲートウェイにHGWのアドレスが出ません。アイフォンではRTXとHGWの2つが出ます。大丈夫でしょうか?
書込番号:19489249
0点
PC端末は、デフォルトゲートウェイの認識が、IOS端末とは違います。
Windows系のデフォルトゲートウェイは、直近のゲートウェイのみ認識するようになっていますので、仮にその上位のHGWをゲートウェイとして認識してしまうと、インターネット接続機能に不整合が起きる為、逆に今の状態で正常です。
PCの「ipconfig /all」では、直接アクセスしている同一セグメントのゲートウェイまでの認識になります。
ゲートウェイ制御については、RTX810ルーターのWAN側固定アドレスを、HGWのDMZホスト・アクセスしている状態ですので、HGWの設定では有りません。
DMZホストの機能は、全ての通信をRTX810へ転送する設定ですので、HGWが関与することでは有りません。
自宅から会社にVPNアクセス出来ない要件として、先刻の話のように、VPN認証周りの他に、同一セグメントの通信では有りませんので、トンネル1の静的ルーティング設定が会社RTX810ルーター側へ設定されていない、ProxyARP応答の設定が投入されていない等も関係有ります。
よって、簡易WebメニューのみのRTX810設定では、適切な設定になり得ませんので、会社RTX810ルーターのConfigの提供をお願いします。
会社から自宅へアクセス出来ている点は、自宅RTX810ルーターのVPN認証と静的ルーティング設定、ProxyARPの応答設定が正常で有ることを示しています。
念のため、申し上げますと、IOS端末のアクセスは自宅RTX810へL2TPリモートアクセス接続をすると、自宅経由で、会社RTX810への通信という経路になっておりますので、会社RTX810ルーターの応答の問題になります。
書込番号:19489983
0点
「ipv6 lan2 dhcp service client ir=on
↑このコマンドが登録されないです」
↑の件ですが、IPV6コマンドの場合、既に登録済みですと登録されません。
自宅RTX810ルーターのConfigをよく見てみて下さい。
Configの18〜19行目ほどに登録されていますよ。
自宅から会社のVPN接続されない点の話ですが、自宅認証周りでは無く、会社のHGWの設定(DMZホスト、LAN側静的ルーティング)、IPSEC認証トンネルの設定が合致していれば表面的に接続されますが、会社RTX810ルターの静的ルーティング・トンネルの設定、ProxyARPの設定がキチンと反映していませんと、自宅から会社の接続端末のMACアドレスとIPアドレスの引き当てが出来ませんので、会社RTX810ルーターの設定になります。
会社RTX810ルーターのトンネルConfig情報と、最低限下記の会社RTX810ルーターコマンドが関係する話ですので、会社RTX810ルーターのConfigを提供願います。
ip route 192.168.0.0/24 gateway tunnel 1
ip route 192.168.100.0/24 gateway tunnel 1
ip lan1 proxyarp on
書込番号:19489995
0点
補足です。
以前話しをさせて頂いておりましたが、その情報が反映されていません。
AU回線とNTT回線のMTU数値と、MSS数値が違う回線ですので、VPNトンネルのMSS数値が違う通信されてしまうと、VPN通信に不整合が出ます。
NTTのMTU数値は1,454ですが、AUは1,492ですので、VPNトンネルのパケットタイミングを合わせるコマンドを投入されていません。
当方提供のVPNトンネルの設定には、そのコマンドを投入済みでしたが、自宅・会社RTX810ルーターへ投入して下さい。
自宅RTX810ルーター
tunnel select 1
ip tunnel tcp mss limit 1240
会社RTX810ルーター
tunnel select 1
ip tunnel tcp mss limit 1240
何れの場合も、会社RTX810ルーターの簡易Webメニュー設定のConfigを提供願います。
当初の話の通り、簡易Webメニューで出来る事は限定されており、AU-HGWとNTT-HGWの配下同士のRTX810ルーターのインターネット機能とVPN機能設定では、適切な設定は出来ないと思って下さい。
書込番号:19490009
0点
補足です。
自宅から会社へのVPN、リモートアクセス経由でのVPNアクセスが出来ない件ですが、会社側の自宅RTX810ルーターへのIPセグメント通知機能や、ルーティング周りの設定におかしい点が有る時に、出る現象ですので、会社から自宅へのアクセスが出来ない時は、自宅RTX810設定も範囲になるのですが、自宅から会社については、会社RTX810ルーターの設定に瑕疵が有るケースになります。
あくまでも、簡易Webメニューは、暫定的に最低限の機能と、RTX810ルーターにてWANに直接接続するモードの設定が主体になるとお考え下さい。
このあたりは、以前説明しましたが。
※ WWWブラウザ設定支援機能 ・・ http://www.rtpro.yamaha.co.jp/RT/docs/web_assistance/
YamahaルーターでのConfig作成や、ネットワーク構築の経験の無い方でも簡易的に設定出来る様にしたものですが、全ての回線仕様や機能に追従しました設定が出来るものとはしていません。
基本的には、コマンド作成とその意味あいが理解出来る点が、基本になります。
書込番号:19490372
0点
初期化してから、かんたん設定で入れた会社のコンフィグです。一応通信中に見えますが自宅には入れません。RASで会社ネットワークには入れます。
ip route default gateway pp 1 filter 500000 gateway pp 1
ip route 192.168.100.0/24 gateway tunnel 1
ip lan1 address 192.168.101.1/24
ip lan1 proxyarp on
provider type isdn-terminal
provider filter routing connection
provider lan1 name LAN:
provider lan2 name PPPoE/0/1/5/0/0/0:Nifty
pp select 1
pp name PRV/1/1/5/0/0/0:Nifty
pp keepalive interval 30 retry-interval=30 count=12
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname *****@nifty.com password
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp secure filter in 200003 200020 200021 200022 200023 200024 200025 200030 200032 200080 200081 200082 200083
ip pp secure filter out 200013 200020 200021 200022 200023 200024 200025 200026 200027 200099 dynamic 200080 200081 200082 200083 200084 200085 200098 200099
ip pp nat descriptor 1000
netvolante-dns hostname host pp server=1 *******netvolante.jp
pp enable 1
provider set 1 Nifty
provider dns server pp 1 1
provider select 1
pp select anonymous
pp name IPsec(会社)
pp bind tunnel2
pp auth request chap-pap
pp auth username admin password
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(会社)
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 on heartbeat 10 6
ipsec ike local address 2 192.168.101.1
ipsec ike pre-shared-key 2 text password
ipsec ike remote address 2 au IP
ip tunnel tcp mss limit auto
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 off
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 any
l2tp tunnel auth off
l2tp keepalive use on
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 200000 reject 10.0.0.0/8 * * * *
ip filter 200001 reject 172.16.0.0/12 * * * *
ip filter 200002 reject 192.168.0.0/16 * * * *
ip filter 200003 reject 192.168.101.0/24 * * * *
ip filter 200010 reject * 10.0.0.0/8 * * *
ip filter 200011 reject * 172.16.0.0/12 * * *
ip filter 200012 reject * 192.168.0.0/16 * * *
ip filter 200013 reject * 192.168.101.0/24 * * *
ip filter 200020 reject * * udp,tcp 135 *
ip filter 200021 reject * * udp,tcp * 135
ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 200024 reject * * udp,tcp 445 *
ip filter 200025 reject * * udp,tcp * 445
ip filter 200026 restrict * * tcpfin * www,21,nntp
ip filter 200027 restrict * * tcprst * www,21,nntp
ip filter 200030 pass * 192.168.101.0/24 icmp * *
ip filter 200031 pass * 192.168.101.0/24 established * *
ip filter 200032 pass * 192.168.101.0/24 tcp * ident
ip filter 200033 pass * 192.168.101.0/24 tcp ftpdata *
ip filter 200034 pass * 192.168.101.0/24 tcp,udp * domain
ip filter 200035 pass * 192.168.101.0/24 udp domain *
ip filter 200036 pass * 192.168.101.0/24 udp * ntp
ip filter 200037 pass * 192.168.101.0/24 udp ntp *
ip filter 200080 pass * 192.168.101.1 udp * 1701
ip filter 200081 pass * 192.168.101.1 udp * 500
ip filter 200082 pass * 192.168.101.1 esp * *
ip filter 200083 pass * 192.168.101.1 udp * 4500
ip filter 200098 reject-nolog * * established
ip filter 200099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 200080 * * ftp
ip filter dynamic 200081 * * domain
ip filter dynamic 200082 * * www
ip filter dynamic 200083 * * smtp
ip filter dynamic 200084 * * pop3
ip filter dynamic 200085 * * submission
ip filter dynamic 200098 * * tcp
ip filter dynamic 200099 * * udp
nat descriptor type 1000 masquerade
nat descriptor masquerade static 1000 1 192.168.101.1 udp 1701
nat descriptor masquerade static 1000 2 192.168.101.1 udp 500
nat descriptor masquerade static 1000 3 192.168.101.1 esp
nat descriptor masquerade static 1000 4 192.168.101.1 udp 4500
ipsec auto refresh on
ipsec transport 2 1 udp 1701
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.101.2-192.168.101.99/24
dns server pp 1
dns server select 500001 pp 1 any . restrict pp 1
dns private address spoof on
l2tp service on
#
書込番号:19490554
0点
>sorio-2215さん
今までずっとお世話になってきて思い違いをしていたことに先ほど気づきました。
それはRTXでのVPN構築はルーターが直接インターネットに出ている場合についてだけサポートできることだったのですね。私の件ではルーターの外側にHGWがあるからサポート外となりますね。
この思い違いがあるから2人のやり取りにちょっと噛み合わない点があったと思います。この点についてお詫びいたします。
またよろしくお願いします。
書込番号:19490610
0点
簡易Webメニューからの設定で、かなり誤った設定を投入されています。
会社RTX810ルーターを初期化して下さい。
初期化後、TeraTermから、下記コマンドを実行下さい。
ip lan1 address 192.168.101.1/24
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.101.2-192.168.101.99/24
別紙、正式の会社RTX810ルーターのコマンドを提示しますので、その際には、NiftyプロバイダとAUグローバルIP、Netvolante-DNSの箇所は、正式なものに置き換えコマンド実行下さい。
書込番号:19490984
0点
会社RTX810ルーターConfig
ip routing process fast
ip route default gateway pp 1 filter 500000 gateway pp 1
ip route 192.168.100.0/24 gateway tunnel 1
ip lan1 address 192.168.101.1/24
ip lan1 proxyarp on
provider type isdn-terminal
provider filter routing connection
provider lan1 name LAN:
provider lan2 name PPPoE/0/1/5/0/0/0:Nifty
provider ntpdate ntp.nict.jp
pp select 1
pp name PRV/1/1/5/0/0/0:Nifty
pp keepalive interval 30 retry-interval=30 count=12
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname *****@nifty.com ******* (Nifty接続ID 接続パスワード)
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
ip pp secure filter in 200000 200001 200020 200021 200022 200023 200024 200025 200030 200032 200080 200081 200082 200083 200099
ip pp secure filter out 200020 200021 200022 200023 200024 200025 200026 200027 200099
ip pp nat descriptor 1000
netvolante-dns hostname host pp server=1 *******netvolante.jp
pp enable 1
provider set 1 Nifty
provider dns server pp 1 1
provider select 1
tunnel select 1
tunnel name IPsec(会社)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.101.1
ipsec ike local id 1 192.168.101.0/24
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 ***.***.***.*** (AUグローバルIP)
ipsec ike remote id 1 192.168.100.0/24
ipsec auto refresh 1 on
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text password
ipsec ike remote address 2 any
l2tp keepalive use off
l2tp tunnel disconnect time 600
l2tp keepalive use off
l2tp keepalive log on
l2tp syslog on
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 200000 reject 10.0.0.0/8 * * * *
ip filter 200001 reject 172.16.0.0/12 * * * *
ip filter 200002 reject 192.168.0.0/16 * * * *
ip filter 200003 reject 192.168.101.0/24 * * * *
ip filter 200010 reject * 10.0.0.0/8 * * *
ip filter 200011 reject * 172.16.0.0/12 * * *
ip filter 200012 reject * 192.168.0.0/16 * * *
ip filter 200013 reject * 192.168.102.0/24 * * *
ip filter 200020 reject * * udp,tcp 135 *
ip filter 200021 reject * * udp,tcp * 135
ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 200024 reject * * udp,tcp 445 *
ip filter 200025 reject * * udp,tcp * 445
ip filter 200026 restrict * * tcpfin * www,21,nntp
ip filter 200027 restrict * * tcprst * www,21,nntp
ip filter 200030 pass * 192.168.101.0/24 icmp * *
ip filter 200031 pass * 192.168.101.0/24 established * *
ip filter 200032 pass * 192.168.101.0/24 tcp * ident
ip filter 200033 pass * 192.168.101.0/24 tcp ftpdata *
ip filter 200034 pass * 192.168.101.0/24 tcp,udp * domain
ip filter 200035 pass * 192.168.101.0/24 udp domain *
ip filter 200036 pass * 192.168.101.0/24 udp * ntp
ip filter 200037 pass * 192.168.101.0/24 udp ntp *
ip filter 200080 pass * 192.168.101.1 udp * 500
ip filter 200081 pass * 192.168.101.1 esp * *
ip filter 200082 pass * 192.168.101.1 udp * 1701
ip filter 200083 pass * 192.168.101.1 udp * 4500
ip filter 200098 reject-nolog * * established
ip filter 200099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 200080 * * ftp
ip filter dynamic 200081 * * domain
ip filter dynamic 200082 * * www
ip filter dynamic 200083 * * smtp
ip filter dynamic 200084 * * pop3
ip filter dynamic 200085 * * submission
ip filter dynamic 200098 * * tcp
ip filter dynamic 200099 * * udp
nat descriptor log on
nat descriptor type 1000 masquerade
nat descriptor address outer 1000 ipcp
nat descriptor address inner 1000 auto
nat descriptor masquerade static 1000 1 192.168.101.1 udp 500
nat descriptor masquerade static 1000 2 192.168.101.1 esp
nat descriptor masquerade static 1000 3 192.168.101.1 udp 1701
nat descriptor masquerade static 1000 4 192.168.101.1 udp 4500
ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipsec transport 2 2 udp 1701
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.101.2-192.168.101.99/24
dns server pp 1
dns server select 500001 pp 1 any . restrict pp 1
dns private address spoof on
l2tp service on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
httpd host 192.168.100.2-192.168.100.254 192.168.101.2-192.168.101.254
upnp use on
upnp external address refer pp 1
alarm entire off
書込番号:19490989
0点
会社RTX810ルーターの正式コマンドを投入完了しましたら、自宅RTX810ルーターのIPSEC-VPNのトンネルを一部変更が有りますので、下記コマンド実行下さい。
自宅トンネル・追加コマンド (下記、Netvolante-DNSは、会社RTX810の簡易Webメニューにて、表記されています、Netvolante-DNSドメインに置き換えて下さい。)
※ 簡易Webメニュー [トップ] > [詳細設定と情報] > [ネットボランチDNS ホストアドレスサービスの設定] →ホストアドレスのドメイン
tunnel select 1
tunnel name IPsec(自宅)
ipsec ike remote address 1 *******netvolante.jp
tunnel enable 1
書込番号:19490997
0点
先ほどの、会社RTX810ルーターの正式Configの話ですが、念のためですが、「tunnel enable 2」と
「ip filter 200000 reject 10.0.0.0/8 * * * *」の間に、tunnel select none を挿入して、VPNトンネル設定モードから抜け出して下さいね。
tunnel enable 2
tunnel select none
ip filter 200000 reject 10.0.0.0/8 * * * *
↑の様にして、一括コマンド実行下さいね。
書込番号:19491006
0点
先ほどの正式、会社RTX810ルーターに、一部L2TPリモートアクセス・コマンドを忘れてました。
下記が追加分のConfigになります。
先ほどの正式Configに追加にて、投入して下さい。
pp select anonymous
pp name L2TP(会社)
pp bind tunnel2
pp auth request chap-pap
pp auth username admin password
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
書込番号:19491039
0点
RTX810ルーターにPPPOE接続設定を要件とする場合には、当然NTT-HGWにはPPPOE接続設定の削除(PPPOEブリッジは有効)、LAN側静的ルーティングは削除、DMZホストの設定は無効にて確認しておいて下さい。
書込番号:19491252
0点
投入し直した会社コンフィグです。
ip routing process fast
ip route default gateway pp 1 filter 500000 gateway pp 1
ip route 192.168.100.0/24 gateway tunnel 1
ip lan1 address 192.168.101.1/24
ip lan1 proxyarp on
provider type isdn-terminal
provider filter routing connection
provider lan1 name LAN:
provider lan2 name PPPoE/0/1/5/0/0/0:Nifty
provider ntpdate ntp.nict.jp
pp select 1
pp name PRV/1/1/5/0/0/0:Nifty
pp keepalive interval 30 retry-interval=30 count=12
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname ********@nifty.com password
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
ip pp secure filter in 200000 200001 200020 200021 200022 200023 200024 200025 200030 200032 200080 200081 200082 200083 200099
ip pp secure filter out 200020 200021 200022 200023 200024 200025 200026 200027 200099
ip pp nat descriptor 1000
netvolante-dns hostname host pp server=1 ***.***netvolante.jp
pp enable 1
provider set 1 Nifty
provider dns server pp 1 1
provider select 1
pp select anonymous
pp name L2TP(会社)
pp bind tunnel2
pp auth request chap-pap
pp auth username admin password
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(会社)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.101.1
ipsec ike local id 1 192.168.101.0/24
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 auIP
ipsec ike remote id 1 192.168.100.0/24
ipsec auto refresh 1 on
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text password
ipsec ike remote address 2 any
l2tp tunnel disconnect time 600
l2tp keepalive use off
l2tp keepalive log on
l2tp syslog on
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 200000 reject 10.0.0.0/8 * * * *
ip filter 200001 reject 172.16.0.0/12 * * * *
ip filter 200002 reject 192.168.0.0/16 * * * *
ip filter 200003 reject 192.168.101.0/24 * * * *
ip filter 200010 reject * 10.0.0.0/8 * * *
ip filter 200011 reject * 172.16.0.0/12 * * *
ip filter 200012 reject * 192.168.0.0/16 * * *
ip filter 200013 reject * 192.168.102.0/24 * * *
ip filter 200020 reject * * udp,tcp 135 *
ip filter 200021 reject * * udp,tcp * 135
ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 200024 reject * * udp,tcp 445 *
ip filter 200025 reject * * udp,tcp * 445
ip filter 200026 restrict * * tcpfin * www,21,nntp
ip filter 200027 restrict * * tcprst * www,21,nntp
ip filter 200030 pass * 192.168.101.0/24 icmp * *
ip filter 200031 pass * 192.168.101.0/24 established * *
ip filter 200032 pass * 192.168.101.0/24 tcp * ident
ip filter 200033 pass * 192.168.101.0/24 tcp ftpdata *
ip filter 200034 pass * 192.168.101.0/24 tcp,udp * domain
ip filter 200035 pass * 192.168.101.0/24 udp domain *
ip filter 200036 pass * 192.168.101.0/24 udp * ntp
ip filter 200037 pass * 192.168.101.0/24 udp ntp *
ip filter 200080 pass * 192.168.101.1 udp * 500
ip filter 200081 pass * 192.168.101.1 esp * *
ip filter 200082 pass * 192.168.101.1 udp * 1701
ip filter 200083 pass * 192.168.101.1 udp * 4500
ip filter 200098 reject-nolog * * established
ip filter 200099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 200080 * * ftp
ip filter dynamic 200081 * * domain
ip filter dynamic 200082 * * www
ip filter dynamic 200083 * * smtp
ip filter dynamic 200084 * * pop3
ip filter dynamic 200085 * * submission
ip filter dynamic 200098 * * tcp
ip filter dynamic 200099 * * udp
nat descriptor log on
nat descriptor type 1000 masquerade
nat descriptor address outer 1000 ipcp
nat descriptor address inner 1000 auto
nat descriptor masquerade static 1000 1 192.168.101.1 udp 500
nat descriptor masquerade static 1000 2 192.168.101.1 esp
nat descriptor masquerade static 1000 3 192.168.101.1 udp 1701
nat descriptor masquerade static 1000 4 192.168.101.1 udp 4500
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.101.2-192.168.101.99/24
dns server pp 1
dns server select 500001 pp 1 any . restrict pp 1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on
httpd host 192.168.100.2-192.168.100.254 192.168.101.2-192.168.101.254
upnp use on
upnp external address refer pp 1
alarm entire off
#
書込番号:19491268
0点
>sorio-2215さん
この状態で携帯からのras接続ができなくなっています。
また【直接は関係ないですが】シリアルケーブルからの入力がおかしいです。コマンドの一部が飛んだりします。今朝がたドライバを入れ直したのが原因と思います。デバイスマネージャー上はおかしな点は見つかりません。テラタームで設定できる点はありますか?
書込番号:19491276
0点
L2TPリモートアクセスのUDP1701トランスポート・コマンドが、無くなってますよ。
簡易Webメニューからの設定が可能かと存じますので、下記コマンド投入下さい。
ip filter 200013 reject * 192.168.101.0/24 * * *
ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipsec transport 2 2 udp 1701
↑コマンドが無いと、トンネル1(IPSEC-VPNトンネルのNATトラバーサル機能)とトンネル2(L2TP-VPNのNATトラバーサル機能)が、有効になりません。
当方提供のコマンドをよく吟味してみて下さい。(1行目から最終行まで)
IPSEC-VPNトンネルについては、自宅RTX810ルーターのトンネル1に、先刻の追加設定を投入しませんと、安定しません。
念のためですが、自宅RTX810ルーター、追加コマンド。
tunnel select 1
tunnel name IPsec(自宅)
ipsec ike remote address 1 *******netvolante.jp (Netvolante-DNSドメイン)
tunnel enable 1
書込番号:19491332
0点
TeraTermでの投入の際に、以前説明しているはずですが、TeraTermの設定の際のCOMポートの転送速度の設定等の説明サイトが有るので、その転送速度等がYamahaルーターの転送速度と合致していませんと、転送オーバーで、うまく投入出来ませんよ。
※ http://atnetwork.info/yamaha/console01.html
↑ USB-シリアルアダプタのCOMポートの転送速度を、9600bit/s、8ビット、フロー制御Xon/Xoff等の設定をしておかないと、安定しません。
書込番号:19491338
0点
先刻説明済みですが、RTX810ルーターにPPPOE接続機能とIPSEC-VPN、L2TPリモートアクセスを設定される場合には、NTT-HGWへの設定画面アクセスも併用される場合には、下記構成になります。
NTT回線終端装置にスイッチングハブを接続し、スイッチングハブの1ポート目にNTT-HGWを接続、スイッチングハブの2ポート目にRTX810ルーター接続。
↑条件にて、NTT-HGWのIP設定を192.168.101.250/24等の設定(DHCP無効化)→NTT-HGWのハブポートから、RTX810ルーターのハブポートにカスケード接続すれば、http://192.168.101.250にてアクセス可能かと存じます。
書込番号:19491361
0点
>sorio-2215さん
おかげさまで以下の通り通信が確立しました。
・自宅←→会社
・LTE→会社
・LTE→自宅
今後はコンフィグを保存しておきます。
取り急ぎご報告とお礼まで。
書込番号:19492231
0点
そうですか。良かったですね。
老婆心ながら、RTX810でのYamahaサイト未掲載の設定例でのIPSEC-VPNトンネル(NATトラバーサル有、Netvolante-DNSメインモード)とL2TP/IPSECトンネルの併用構成イメージとなりましたが、AU光・専用HGWと、NTT・RTX810でのPPPOE接続機能の組み合わせが有りましたので、下記構成イメージになりました。
@ AU-HGWでのDMZホスト+静的ルーティングでの配下RTX810ルーターへの全転送、RTX810ルーターでのWAN-IP固定、ゲートウェイ(AU-HGW)から通信ルート確保(インターネットルート、VPNトンネルルート)。
A NTT-HGWでの光電話機能・PPPOEブリッジでの配下RTX810ルーターでのPPPOEクライアント機能、PPPOEクライアントでのグローバルIP・解決DDNS(Netvolante-DNS)→Netvolante-DNS併用でのIPSEC-VPN(NATトラバーサル有+L2TP/IPSEC併用)
↑構成のためですが、一部KDDIでのキャリアグレードNAT及びAU-HGWでのNATトラバーサル機能を考慮しました構成のため、簡易Webメニューでの設定では一部しか機能設定出来ません。
簡易Webメニューの設定が基本ではなく、時間的な余裕の有る時にコマンド・リファレンスを覚える形が良いかと考えます。
以下参考書になります。
井上孝司著、「ヤマハルーターでつくるインターネットVPN [第4版]」
谷山 亮治 (著), 日経NETWORK (編集) 「ヤマハルーターで挑戦 企業ネットをじぶんで作ろう」
Yamahaルーター、コマンドリファレンス ・・ http://www.rtpro.yamaha.co.jp/RT/manual/rt-common/index.html
書込番号:19492857
1点
>sorio-2215さん
お早うございます。お世話になります。
下記構成を試したところトラブル発生しました。
>NTT回線終端装置にスイッチングハブを接続し、スイッチングハブの1ポート目にNTT-HGWを接続、スイッチングハブの2ポート目にRTX810ルーター接続。
> ↑条件にて、NTT-HGWのIP設定を192.168.101.250/24等の設定(DHCP無効化)→NTT-HGWのハブポートから、RTX810ルーターのハブポートにカスケード接続すれば、http://192.168.101.250にてアクセス可能かと存じます。
具体的には以前にも起こった現象で無線親機からIPアドレスが各端末に配布されない状況です。
対策は以前と同様にHGWと本機のLANポート同士の接続を外すことです。即座に無線端末へのIPアドレスが配布されました。
配線をした後しばらくは無線子機には正常にIPアドレスが配布されますが、数日?程度で今回のトラブルになります。
HGWへのアクセスはあまり行わないもののご紹介の方法は大変便利ですので今後も続けたいと思っています。なにか対策がありますか?
よろしくお願いいたします。
書込番号:19544709
0点
確認ですが、下記構成になっていますか?
@ 回線終端装置(ONU)→スイッチングハブ・1ポート→光電話ルーターのWANポート(PPPOE接続は未投入、DHCP無効化、IPを192.168.101.250/24固定)
A 回線終端装置(ONU)→スイッチングハブ・2ポート→RTX810ルーターのWANポート接続、無線ルーターは、BRモードで、RTX810ルーターのハブポートへスイッチングポート同士接続)
RTX810ルーターのDHCPは有効になっているか、確認。
無線ルーター(BRモード、192.168.101.211/24でした?)の、デフォルトゲートウェイ192.168.101.1、プライマリDNS192.168.101.1になっているか確認。
@〜Aを確認後、光電話ルーターのハブポートとRTX810ルーターのハブポートを接続。
DHCPサーバが、どちらの機器から提供されるか、確認して頂ければ、自ずとRTX810のみ有効にしてあれば、OKです。
書込番号:19546034
0点
補足です。
先刻の確認をしてもダメであれば、NTT-HGWのパケットフィルタの設定(IPV4パケットフィルタ)にて、WAN→LANへのDHCP機能の制限をしてみる形でしょうか。
※ エントリ番号(空き番号)→フィルタ種別(拒否)→プロトコル(TCP)→TCPフラグ(指定しない)→接続インタフェース名(メイン)→送信元IPアドレス/マスク長(全て)→宛先IPアドレス/マスク長(全て)→送信元ポート(67〜68)→宛先ポート(67〜68)
↑にて、NTT-HGWからのDHCP不定動作のためのIPアドレス重複などの制限が可能と思いますが、先ずはお試し下さい。
上記設定確認後、NTT-HGWのハブとRTX810のハブをカスケード接続してみて下さい。
カスケード接続後、RTX810配下の端末からHGWへのアクセス可否確認と、無線ルーターへ無線LAN接続時でのIPアドレス取得確認をしてみて下さい。
書込番号:19547896
0点
>sorio-2215さん
> @ 回線終端装置(ONU)→スイッチングハブ・1ポート→光電話ルーターのWANポート(PPPOE接続は未投入、
>DHCP無効化、IPを192.168.101.250/24固定)
上記の通り設置済。なおHGWは192.168.101.254/24で固定。
> A 回線終端装置(ONU)→スイッチングハブ・2ポート→RTX810ルーターのWANポート接続、
>無線ルーターは、BRモードで、RTX810ルーターのハブポートへスイッチングポート同士接続)
> RTX810ルーターのDHCPは有効になっているか、確認。
上記の通り設置済。上記設定も確認済。
> 無線ルーター(BRモード、192.168.101.211/24でした?)の、デフォルトゲートウェイ192.168.101.1、
>プライマリDNS192.168.101.1になっているか確認。
無線ルーター(BRモード、192.168.101.201/24)。デフォルトゲートウエイとプライマリDNSは上記設定通り。
> @〜Aを確認後、光電話ルーターのハブポートとRTX810ルーターのハブポートを接続。
実施済。
つまり、ほとんど設定に誤りがないと思います。それでも無線親機経由でのIPアドレス配布ができなくなる事案です。
書込番号:19547950
0点
>sorio-2215さん
念のため質問します。HGWとRTXを「カスケード接続する」とは、それぞれのLANポートをストレートのLANケーブルで接続することですよね?
書込番号:19547956
0点
念のため質問します。HGWとRTXを「カスケード接続する」とは、それぞれのLANポートをストレートのLANケーブルで接続することですよね?
↑ そのとおりです。
それと、無線ルーターのBRモードとIP周りの設定は解りましたが、RTX810ルーターと無線ルーターの接続は、RTX810ルーターのハブポートと無線ルーターのハブポートを接続していますでしょうか?
書込番号:19547977
0点
>sorio-2215さん
>RTX810ルーターと無線ルーターの接続は、RTX810ルーターのハブポートと無線ルーターのハブポートを接続していますでしょうか?
RTXのハブポート−スイッチングハブ−無線親機のハブポート です。
書込番号:19548048
0点
>sorio-2215さん
いまも色々と試してみましたがwifiだけでなくVPNまで切れたりしたので「もう諦めます!」。つまり設定と配線を以前の通り戻しました。
HGW:192.168.1.1
RTX:192.168.101.1
HGWの中をすぐに見られるのはすごく助かるのですが、通信の安定性には代えられません。
ありがとうございました。
書込番号:19548285
0点
うーん、どうみてもおかしい動作です。
HGWの搭載OS(ファームウェア)の問題としか見えない現象です。
一度、NTTの故障受付に相談された方が良いかもしれません。
HGWのDHCP機能を無効化しても、内部的に効いている動作でしたら、挙動的に理解出来る動きです。
書込番号:19548701
0点
ip routing process fast
ip route default gateway pp 1 filter 500000 gateway pp 1
ip route 192.168.100.0/24 gateway tunnel 1
ip lan1 address 192.168.101.1/24
ip lan1 proxyarp on
provider type isdn-terminal
provider filter routing connection
provider lan1 name LAN:
provider lan2 name PPPoE/0/1/5/0/0/0:Nifty
provider ntpdate ntp.nict.jp
pp select 1
pp name PRV/1/1/5/0/0/0:Nifty
pp keepalive interval 30 retry-interval=30 count=12
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname ******@nifty.com *******
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
ip pp secure filter in 200000 200001 200020 200021 200022 200023 200024 200025 200030 200032 200080 200081 200082 200083 200099
ip pp secure filter out 200020 200021 200022 200023 200024 200025 200026 200027 200099
ip pp nat descriptor 1000
netvolante-dns hostname host pp server=1 *****.***.netvolante.jp
pp enable 1
provider set 1 Nifty
provider dns server pp 1 1
provider select 1
pp select anonymous
pp name L2TP(会社)
pp bind tunnel2
pp auth request chap-pap
pp auth username admin ********
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(会社)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.101.1
ipsec ike local id 1 192.168.101.0/24
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text *******
ipsec ike remote address 1 121.106.141.4
ipsec ike remote id 1 192.168.100.0/24
ipsec auto refresh 1 on
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text *********
ipsec ike remote address 2 any
l2tp tunnel disconnect time 600
l2tp keepalive use off
l2tp keepalive log on
l2tp syslog on
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 200000 reject 10.0.0.0/8 * * * *
ip filter 200001 reject 172.16.0.0/12 * * * *
ip filter 200002 reject 192.168.0.0/16 * * * *
ip filter 200003 reject 192.168.101.0/24 * * * *
ip filter 200010 reject * 10.0.0.0/8 * * *
ip filter 200011 reject * 172.16.0.0/12 * * *
ip filter 200012 reject * 192.168.0.0/16 * * *
ip filter 200013 reject * 192.168.101.0/24 * * *
ip filter 200020 reject * * udp,tcp 135 *
ip filter 200021 reject * * udp,tcp * 135
ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 200024 reject * * udp,tcp 445 *
ip filter 200025 reject * * udp,tcp * 445
ip filter 200026 restrict * * tcpfin * www,21,nntp
ip filter 200027 restrict * * tcprst * www,21,nntp
ip filter 200030 pass * 192.168.101.0/24 icmp * *
ip filter 200031 pass * 192.168.101.0/24 established * *
ip filter 200032 pass * 192.168.101.0/24 tcp * ident
ip filter 200033 pass * 192.168.101.0/24 tcp ftpdata *
ip filter 200034 pass * 192.168.101.0/24 tcp,udp * domain
ip filter 200035 pass * 192.168.101.0/24 udp domain *
ip filter 200036 pass * 192.168.101.0/24 udp * ntp
ip filter 200037 pass * 192.168.101.0/24 udp ntp *
ip filter 200080 pass * 192.168.101.1 udp * 500
ip filter 200081 pass * 192.168.101.1 esp * *
ip filter 200082 pass * 192.168.101.1 udp * 1701
ip filter 200083 pass * 192.168.101.1 udp * 4500
ip filter 200098 reject-nolog * * established
ip filter 200099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 200080 * * ftp
ip filter dynamic 200081 * * domain
ip filter dynamic 200082 * * www
ip filter dynamic 200083 * * smtp
ip filter dynamic 200084 * * pop3
ip filter dynamic 200085 * * submission
ip filter dynamic 200098 * * tcp
ip filter dynamic 200099 * * udp
nat descriptor log on
nat descriptor type 1000 masquerade
nat descriptor address outer 1000 ipcp
nat descriptor address inner 1000 auto
nat descriptor masquerade static 1000 1 192.168.101.1 udp 500
nat descriptor masquerade static 1000 2 192.168.101.1 esp
nat descriptor masquerade static 1000 3 192.168.101.1 udp 1701
nat descriptor masquerade static 1000 4 192.168.101.1 udp 4500
ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipsec transport 2 2 udp 1701
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.101.2-192.168.101.99/24
dns server pp 1
dns server select 500001 pp 1 any . restrict pp 1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on
httpd host 192.168.100.2-192.168.100.254 192.168.101.2-192.168.101.254
upnp use on
upnp external address refer pp 1
alarm entire off
#
書込番号:20476503
0点
上記は私の会社と自宅をVPNで繋いでおりますが、会社側RTXのコンフィグです。
今回事情によりVPNを廃止することになりました。ただしRAS接続は維持します。
この場合コンフィグをどう変更すればよいのでしょうか?
よろしくお願いします。
書込番号:20476514
0点
?? 意味が解りませんが。
VPNなどの機能を併用しないのであれば、当機ルーターの意味が無い様な。
L2TP/IPSECのみでしたら、それぞれの拠点ルーターへリモートアクセス接続しないといけませんが。
以前の構成であれば、どちらか片方へ接続すれば、全ての拠点へ接続出来る構成でしたが。
書込番号:20568474
0点
↓前スレッドが制限数に達したため新規に建てました。
http://bbs.kakaku.com/bbs/K0000288280/#19384277
思いついて自宅PCから会社HGWにPINGを飛ばしてみました。応答ナシです。会社ルーターからは応答あります。
またPCに入っているノートン360を懸念されていましたが、アイフォンからL2TP経由で会社HGWにはアクセスできないことから推測は正しくない可能性が高いと思います。
個人的にはPCは関係なくHGWとルーターとの設定に何か過不足がありそうに感じています。
あとで双方のルーターのコンフィグを開示します。
色々すみませんがまたよろしくお願いします。
0点
2重NAT環境(NAT-T)では、Config上問題無いんですよね。
トンネル経由の同一セグメントIPからの通信に、HGWが応答しないだけの話なんですよね。
会社側の契約プロバイダの方にて、何らかのポート制限やVPN利用ポート制限等の有無、パソコン側の検疫機能しか無いんですが。
ASAHIネットなどは、IPSEC-VPNでのESPパケットを許容していないプロバイダで、NAT-Tでの通信しかIPSECトンネル構成が採れない形になっております。
思い切って、自宅と会社のIPセグメント・レベルを、L2スイッチレベルでVPNトンネル構成が可能な、L2TPv3-VPNトンネルへ大幅変更してみましょうか?
それか、それぞれのHGWを初期化して、再度設定してみる等でしょうか。
show ip route を見ても、それぞれのRTX810ルーターのLAN側同様のスタティック経路確保していますので、HGWへログイン出来ない筈は無いんですが。
書込番号:19439216
0点
それぞれの拠点のRTX810ルーターの設定は触れず、それぞれの拠点のHGWを初期化(リセット)して、再度接続設定実施→RTX810ルーターへ再度接続してみる方法が、最初にしてみると良いかと考えます。
書込番号:19439225
0点
>sorio-2215さん
結構面白くなってきたのでまずはHGWのリセットをやってダメなら別の構成に進みましょう。
HGWの設定を記録しておきたいです。
自宅側
設定ファイルの保存→リセット→復元→ルータと接続
って感じですか?会社の方は明日以降になりますね。
書込番号:19439263
0点
HGWの初期化後に、機能設定を同様の設定に戻して下さい。
NTT光電話ルーターの場合には、光電話機能の設定も確認しておいて下さい。
書込番号:19439306
0点
AU-HGWの場合、本体の電源コンセント抜き→後面更新ボタンを押す方法にて、リセット可能です。
※ http://qa.nifty.com/cs/catalog/faq_nqa/qid_14381/1.htm?classification=500001#anc01
NTT-HGWの場合、本体前面・初期化ボタンを長押し→初期状態ランプがオレンジ色で点灯する事を確認します。次に「再起動ボタン」を押します。
書込番号:19439327
0点
AuのHGWはリセットし、設定を復元しました。この段階ではまだ会社のHGWには入れません。
本日中に会社のHGWもリセットする予定です。
書込番号:19440342
0点
HGWへのアクセスが出来ない要因として、通常はRTX810からのARP要求に応じ、HGWからIPを判別する情報を通知しますが、その通知機能に問題が有るのでは?
ARP要求応答の問題である場合、HGWのDHCP機能を無効化しStatic設定にした場合に、どういう動作になるかも確認された方が良いかもしれません。
当方では、DHCP機能が有効でもARP応答は問題有りません。
書込番号:19440410
0点
NTT光電話接続機能としては、Yamaha「NVR500」ですと、LAN側にARP応答通信させる機能が有るんですけどね。
「NVR500」の場合には、光電話機能とPPPOE接続機能・DMZホスト機能にて、RTX810へ転送する設定、ARP送信機能設定が出来るんですけどね。
通常はあり得ませんが、RTX810ルーターのLAN2側にもARP応答設定を投入してみては如何でしょうか?
「ip lan2 proxyarp on」
会社・自宅双方のRTX810へ投入してみて下さい。
書込番号:19440473
0点
>sorio-2215さん
たしか両方のHGWにはDHCP機能を持たせていたはずです。しかしHGWにルーター以外の機器を接続する予定はないです。
よって静的・・でOKです。
よろしくお願いいたします。
書込番号:19440479
0点
>sorio-2215さん
ip lan2 proxyarp on
すれ違いでしたね。上記コマンドを双方のルーターに投入しましたが、やはりHGWにはアクセス不能です。
まだやっていないことは会社側HGWをリセットし復元することだけです。
業務中につき時間を見てやらざるを得ません。
書込番号:19440632
0点
>sorio-2215さん
会社HGWのリセット・復元も終了。しかし自宅のHGWへはアクセス不能です。
よろしくお願いします。
書込番号:19440902
0点
会社HGWへは、自宅回線からアクセス出来たのですか?
自宅HGWのIP(192.168.0.1/24)、詳細設定→その他設定→DMZホスト設定(192.168.0.254)と、詳細設定→静的ルーティング設定(宛先:192.168.101.0/24、宛先ゲートウェイ192.168.0.254)の設定がキチンと反映しているか、確認下さい。
会社RTX810には、トンネル1経由で192.168.0.0/24のルーティング設定が投入されている状態ですので、上記の設定が内部的に反映されていない状態ですと、Static通信として許容されません。
書込番号:19441317
0点
ついでに、自宅HGWの省エネモードを無効化下さい。
それと、詳細設定→その他設定→IPSECパススルー機能(有効)→UPNP(有効)、自宅RTX810ルーターでのIDS機能を効かせる場合には、セキュリティ保護機能は無効設定確認下さい。
書込番号:19441353
0点
>sorio-2215さん
指摘された項目すべてチェックしましたが特に間違っているところはありませんでした。
なお
自宅→会社HGW
会社→自宅HGW
いずれも通信できません。
よろしくお願いします。
書込番号:19442457
0点
初歩的な話ですが、会社・自宅双方、HGW→RTX810(LAN2)+HGW→RTX810(LAN1)の2点のケーブルで接続しており、ループになっていると言う事は有りませんかね?
2重ルーター構成(RTX810・LAN間接続構成)の場合には、前者の1点のケーブルでOKですよ。
双方のHGWのDHCP無効化しても、同様の現象でしょうか?
書込番号:19442861
0点
ケーブルは自宅・会社ともHGWとRTXの間は1本のみです。また両方のHGWのDHCPを先ほど無効化しました。
しかし状況に全く変化なしです。
何度か報告していますが、私の認識する不具合は双方の拠点から先方のHGWにアクセスできない点だけです。
会社が休みに入ったのでネットワークの全面変更は問題なく取りかかれます。
よろしくお願いいたします。
書込番号:19443153
0点
確認ですが、会社RTX810ルーターへ、「ipsec ike mode-cfg address pool 1 192.168.103.200-192.168.103.210/32」
自宅RTX810ルーターへ「ipsec ike mode-cfg address pool 1 192.168.101.200-192.168.101.210/32」と言った設定を追加投入しても、変化が無いか確認お願いします。
書込番号:19443591
0点
それと、切り分けの為ですが、それぞれのHGWの静的ルーティング設定を削除し、再度HGWへのアクセスを確認することは可能でしょうか?
DMZホスト設定を切る事は出来ませんので、先ずは確認願います。
書込番号:19443595
0点
先刻の確認をしてみてダメであれば、L2Tpv3-VPNトンネル構成のConfigを確認しますので、暫しお待ち下さい。
書込番号:19443631
1点
L2TPv3総体Configを確認中ですが、その前に多少強引な方法になるかもしれませんが、下記コマンドを確認出来ますでしょうか?
@ IPフィルタ設定を2点登録します。・・会社側RTX810
ip filter 101082 pass * * udp * 500
ip filter 101083 pass * * esp * *
A 会社側RTX810に、フィルタ透過ルーティングを設定する。
ip route default gateway 192.168.100.1 filter 101082 101083 gateway tunnel 1
上記の設定にて、それぞれのHGWへのアクセスが可能かどうか、確認願います。
不整合がある場合には、元のコマンドへ復元下さい。
書込番号:19443680
0点
>sorio-2215さん
とりあえず[19443591]でのコマンド投入。変化なしです。
続きは夜にやります。
書込番号:19443972
0点
先刻の設定にて、どうも経路確保が難しいと言うことであれば、静的ルーティングをIPSECトンネルに設定していますが、通常は必要ありませんが、動的ルーティングをトンネル内に通す設定をお試し下さい。
ip lan routing protocol rip2
rip use on
tunnel select 1
ip tunnel rip send on version 2
ip tunnel mtu 1240
それぞれのRTX810ルーターへ設定してみて下さい。
書込番号:19445782
0点
>sorio-2215さん
↓エラーでした。
コマンド "ip lan routing protocol rip2" は入力できません。
エラー: コマンド名を確認してください。
コマンド書式が正しく、またブラウザで入力できるコマンドであることを確認してください。
設定に変更はありません。
書込番号:19445831
0点
>sorio-2215さん
@ IPフィルタ設定を2点登録します。・・会社側RTX810
ip filter 101082 pass * * udp * 500
ip filter 101083 pass * * esp * *
A 会社側RTX810に、フィルタ透過ルーティングを設定する。
ip route default gateway 192.168.100.1 filter 101082 101083 gateway tunnel 1
Aのコマンド投入後VPN切れました。もう繋がりません。会社に行ってコマンド削除します。
書込番号:19445930
0点
「コマンド "ip lan routing protocol rip2" は入力できません。」
↑ 調べました。RTX810では、利用出来ないコマンドですね。
RTX810の場合、rip use on でOKです。
フィルタ型ルーティングが利用出来ないとなると、やはりHGWのプロセスがおかしい点になりますね。
先刻の会社・自宅のRIP設定のみの確認にて、それぞれのHGWへのアクセスをお試し下さい。
rip use on
tunnel select 1
ip tunnel rip send on version 2
ip tunnel mtu 1240
書込番号:19446106
0点
>sorio-2215さん
会社に来てみるとVPNだけでなくインターネット自体に接続できなくなっていました。コンフィグを開示します。よろしくお願いします。
ip routing process fast
ip route 192.168.0.0/24 gateway tunnel 1
ip route 192.168.101.0/24 gateway tunnel 1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.100.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
ip lan1 address 192.168.103.1/24
ip lan1 proxyarp on
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.100.254/24
ip lan2 mtu 1454
ip lan2 proxyarp on
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.103.1
ipsec ike local name 1 ipsec1 key-id
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ******
ipsec ike remote address 1 ***.***.141.4
ip tunnel mtu 1240
ip tunnel rip send on version 2
ip tunnel tcp mss limit auto
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.103.0/24 * * * *
ip filter 101004 pass * 192.168.103.0/24 icmp * *
ip filter 101005 pass * 192.168.103.0/24 established * *
ip filter 101006 pass * 192.168.103.0/24 tcp * ident
ip filter 101007 pass * 192.168.103.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.103.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.103.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.103.0/24 * * *
ip filter 101014 pass * 192.168.103.0/24 udp * ntp
ip filter 101015 pass * 192.168.103.0/24 udp ntp *
ip filter 101016 pass * 192.168.103.1 udp * 500
ip filter 101017 pass * 192.168.103.1 esp * *
ip filter 101018 pass * 192.168.103.1 udp * 1701
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.100.254
nat descriptor address inner 200 192.168.100.254 192.168.103.1-192.168.103.254
nat descriptor masquerade static 200 1 192.168.103.1 udp 500
nat descriptor masquerade static 200 2 192.168.103.1 esp
nat descriptor masquerade static 200 3 192.168.103.1 udp 1701
rip use on
ipsec auto refresh on
ipsec ike mode-cfg address pool 1 192.168.103.200-192.168.103.210/32
syslog debug on
telnetd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.103.2-192.168.103.99/24
dns server 192.168.100.1
dns server dhcp lan2
dns private address spoof on
httpd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
alarm entire off
sshd service on
sshd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
sshd host key generate *
sftpd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
#
書込番号:19446450
0点
デフォルトゲートウェイの設定が、復元されていませんよ。
HGWを経由して、インターネット接続する設定が、フィルタ型ルーティング設定を削除した時に、復元忘れかと思います。
※ ip route default gateway 192.168.100.1
↑ これを投入下さい。
192.168.100.1の後に、トンネルルートでのインターネット接続経路変更すると、フィルタ型ルーティングとなります。
ip route default gateway 192.168.100.1 filter 101082 101083 gateway tunnel 1
書込番号:19446531
0点
フィルタ型ルーティングを使う場合ですが、
フィルタコマンドとして、
ip filter 101082 pass * * udp * 500
ip filter 101083 pass * * esp * *
↑が先刻の参考例コマンドですが、
提示の現状コマンドですと、101082と101083のフィルタルールは既に使われていますので、
下記が、正規のコマンドになるかと存じます。
ip filter 101038 pass * * udp * 500
ip filter 101039 pass * * esp * *
ip route default gateway 192.168.100.1 filter 101038 101039 gateway tunnel 1
↑ が正規のコマンドになります。
書込番号:19446547
0点
>sorio-2215さん
※ ip route default gateway 192.168.100.1
↑を投入しインターネットに出られるようになったものの次の2コマンドでまた出られなくなりました。2コマンド削除してもまだ出られません。
またコンフィグ出しておきます。
ip routing process fast
ip route 192.168.0.0/24 gateway tunnel 1
ip route 192.168.101.0/24 gateway tunnel 1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.100.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
ip lan1 address 192.168.103.1/24
ip lan1 proxyarp on
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.100.254/24
ip lan2 mtu 1454
ip lan2 proxyarp on
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.103.1
ipsec ike local name 1 ipsec1 key-id
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 ***.***.141.4
ip tunnel mtu 1240
ip tunnel rip send on version 2
ip tunnel tcp mss limit auto
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.103.0/24 * * * *
ip filter 101004 pass * 192.168.103.0/24 icmp * *
ip filter 101005 pass * 192.168.103.0/24 established * *
ip filter 101006 pass * 192.168.103.0/24 tcp * ident
ip filter 101007 pass * 192.168.103.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.103.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.103.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.103.0/24 * * *
ip filter 101014 pass * 192.168.103.0/24 udp * ntp
ip filter 101015 pass * 192.168.103.0/24 udp ntp *
ip filter 101016 pass * 192.168.103.1 udp * 500
ip filter 101017 pass * 192.168.103.1 esp * *
ip filter 101018 pass * 192.168.103.1 udp * 1701
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.100.254
nat descriptor address inner 200 192.168.100.254 192.168.103.1-192.168.103.254
nat descriptor masquerade static 200 1 192.168.103.1 udp 500
nat descriptor masquerade static 200 2 192.168.103.1 esp
nat descriptor masquerade static 200 3 192.168.103.1 udp 1701
rip use on
ipsec auto refresh on
ipsec ike mode-cfg address pool 1 192.168.103.200-192.168.103.210/32
syslog debug on
telnetd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.103.2-192.168.103.99/24
dns server 192.168.100.1
dns server dhcp lan2
dns private address spoof on
httpd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
alarm entire off
sshd service on
sshd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
sshd host key generate *
sftpd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
#
書込番号:19446777
0点
デフォルトの「ip route default gateway 192.168.100.1」と、フィルタ型ルーティング付きのコマンドは、任意選択です。
ご利用のHGWの固有機能差にて、フィルタ型ルーティング付きの方は、うまくルーティング出来ないと言う事ですね。
フィルタ型ルーティングの方法は、利用出来ないと言う事ですね。
「ip route default gateway 192.168.100.1」を投入戻し下さい。
先刻のRIPのみでそれぞれHGWへのアクセスをお試し下さい。
書込番号:19446792
0点
「ip route default gateway 192.168.100.1 filter 101038 101039 gateway tunnel 1」
「ip filter 101038 pass * * udp * 500」、「ip filter 101039 pass * * esp * *」
↑のコマンドと、↓のコマンドは、任意選択で、一度コマンドを投入すると、上書きになると言うことです。
「ip route default gateway 192.168.100.1」
書込番号:19446808
0点
>sorio-2215さん
>「ip route default gateway 192.168.100.1」を投入戻し下さい。
>先刻のRIPのみでそれぞれHGWへのアクセスをお試し下さい。
上記実行による会社ルーターの状況
・インターネットに出られた
・VPNが復活した
・自宅HGWにはつながらない
つまり元に戻っただけでした。
書込番号:19446819
0点
AU側のHGWのモデルナンバーを教えて下さい。
フィルタ型ルーティングが出来ない事が、そもそもおかしい状態です。
「BL-900HW」ですか?
「BL-902HW」ですか?
書込番号:19446845
0点
>sorio-2215さん
auひかりはNTTとあまりに仕組みが違うのでサポートに確認したことがあります。
「何故IDとPWをどこにも入れていないのに接続されているのですか?」
回答はHGWのmacアドレスを使ってネット上で認識しているといった内容だったです。
今回の事象と関係あるでしょうか?
書込番号:19446939
0点
「BL-900HW」ですと、内部ファームウェア・バージョンの差によって、挙動が変わります。
確認ですが、ファームウェアが最新の1.4.6になっているかの確認願います。
更に、電話回線サービスの利用有無によってですが、例えば2回線・2番号の利用有無や、オプションのナンバーディスプレイやキャッチフォン、三者通話、転送電話サービスの利用有無によって、HGWの構成が変わる場合があります。
上記の電話サービスの関連がある場合、HGWのDMZ設定では、うまく通信が不安定になる場合があります。
DMZホストの設定ではなく、詳細設定→その他設定→IPSECパススルーにチェック投入しているかの確認と、DMZホストを無効化し、下記設定にて確認願います。
HGWの詳細設定→ポートマッピング設定にてVPNに必要条件のポート開放をお試し下さい。
@ LAN側ホスト(192.168.0.254)→プロトコル(UDP)→ポート番号(500〜500)→優先度(1)
A LAN側ホスト(192.168.0.254)→プロトコル(ESP)→優先度(2)
B LAN側ホスト(192.168.0.254)→プロトコル(UDP)→ポート番号(4500〜4500)→優先度(3)
C LAN側ホスト(192.168.0.254)→プロトコル(UDP)→ポート番号(1701〜1701)→優先度(4)
D LAN側ホスト(192.168.0.254)→プロトコル(その他、51)→優先度(5)
E LAN側ホスト(192.168.0.254)→プロトコル(TCP)→ポート番号(1723〜1723)→優先度(6)
F LAN側ホスト(192.168.0.254)→プロトコル(その他、47)→優先度(7)
G LAN側ホスト(192.168.0.254)→プロトコル(TCP)→ポート番号(80〜80)→優先度(8)
H LAN側ホスト(192.168.0.254)→プロトコル(TCP)→ポート番号(8080〜8080)→優先度(9)
LAN側静的ルーティング設定を投入
トップページ > 詳細設定 > 静的ルーティング設定 > エントリ一覧
宛先IP(192.168.101.0/24)→ゲートウェイ192.168.0.254
会社側HGWの設定も、DMZホスト設定では無く、上記の設定要素にて、確認出来れば良いのですが、残念ながらRT-500KIは、プロトコル番号でのポート開放設定は出来ない様です。
書込番号:19446971
0点
調べましたが、会社HGWにも特異点が有る点が有ります。
通常の電話サービス利用では、あり得ないのですが、DMZホスト設定とLAN側静的ルーティングの併用にて、IPベースとポートベースの転送を行うのは、王道なのですが、利用電話機能によって、DMZホスト機能(無効)→LAN側静的ルーティングのみの設定でなければ、安定しない場合が有るようです。
会社HGWのLAN側静的ルーティング
宛先IP(192.168.103.0/24)→宛先ゲートウェイ(192.168.100.254)→有効にチェック。
詳細設定→ 静的IPマスカレード設定にて、AU-HGWのポート開放事例を参考に解放設定を設定下さい。
プロトコル番号50、51、47番の転送は出来ないので、それ以外の設定
変換対象プロトコル(TCP及びUDP)→変換対象ポート(UDP500、4500、1701、TCP1723それぞれ)→ 宛先IPアドレス(192.168.100.254)→宛先ポート(UDP500、4500、1701、TCP1723それぞれ)
書込番号:19447025
0点
「auひかりはNTTとあまりに仕組みが違うのでサポートに確認したことがあります。」
「何故IDとPWをどこにも入れていないのに接続されているのですか?」
「回答はHGWのmacアドレスを使ってネット上で認識しているといった内容だったです。」
↑の件ですが、NTT系と違うのは、NTT系の場合イーサネットフレーム上にPPPフレームをカプセル化した認証情報を相互通信させ、各サイトネットワーク接続しているのに対し、KDDI系はPPPフレーム認証を経由せず、直接ダイレクトにKDDIのグローバルIP配信認証サーバから、認証IPを配布している回線です。
PPPカプセルしない分、それぞれのネットワーク接続のレスポンスの維持がしやすい回線になっております。
KDDIから直接認証機構を省略している分、HGWのWAN側MACアドレスとインターフェイス認証(802.11x認証)を設けている回線です。
基本論理としては、最終的にグローバルIPを配布しているのは、同じですので、接続方式の違いになります。
書込番号:19447315
1点
>sorio-2215さん
自宅は1回線。ナンバーディスプレイのみ契約。HGWの設定は変更しました。
会社の方は明日やります。
書込番号:19447560 スマートフォンサイトからの書き込み
0点
NTT-HGWの方の件ですが、プロトコル50、51、47番の転送設定が、静的IPマスカレード設定にて出来ない点が有りますが、RTX810ルーターの相互通信にて、NAT貫通出来るNAT-T(NATトラバーサル)設定にしていますので、NTT-HGWとAU-HGWの機能差を吸収出来る構成にしています。
NAT-Tの場合、UDP500番とUDP4500番の転送が出来るルーターであれば、IPSEC-VPNトンネル構成が出来る仕様になっております。
プロトコル番号50(ESP)、51(AH)、47(GRE)などの転送は出来ないルーターでも、可能と言う事です。
書込番号:19448307
0点
>sorio-2215さん
会社のHGWにて下記操作完了です。但し×の付いたものはやっていません。
・・・・
@ LAN側ホスト(192.168.0.254)→プロトコル(UDP)→ポート番号(500〜500)→優先度(1)
×A LAN側ホスト(192.168.0.254)→プロトコル(ESP)→優先度(2)
B LAN側ホスト(192.168.0.254)→プロトコル(UDP)→ポート番号(4500〜4500)→優先度(3)
C LAN側ホスト(192.168.0.254)→プロトコル(UDP)→ポート番号(1701〜1701)→優先度(4)
×D LAN側ホスト(192.168.0.254)→プロトコル(その他、51)→優先度(5)
E LAN側ホスト(192.168.0.254)→プロトコル(TCP)→ポート番号(1723〜1723)→優先度(6)
×F LAN側ホスト(192.168.0.254)→プロトコル(その他、47)→優先度(7)
G LAN側ホスト(192.168.0.254)→プロトコル(TCP)→ポート番号(80〜80)→優先度(8)
H LAN側ホスト(192.168.0.254)→プロトコル(TCP)→ポート番号(8080〜8080)→優先度(9)
LAN側静的ルーティング設定を投入
トップページ > 詳細設定 > 静的ルーティング設定 > エントリ一覧
宛先IP(192.168.101.0/24)→ゲートウェイ192.168.0.254
・・・・
2,5,7ができていないです。そのせいかどうか、HGWをブラウザから再起動させるボタンでは再起動不能でした。本体のハードウエアボタンを使いました。
で、状況ですが、会社から自宅のHGWは相変わらずアクセス不能です。
書込番号:19448755
0点
>sorio-2215さん
以下は会社のPCから自宅のnas(192.168.101.250)宛てのtracertの結果です。
1 <1 ms 2 ms <1 ms 192.168.103.1
2 17 ms 18 ms 18 ms 192.168.101.1
3 19 ms 18 ms 19 ms 192.168.101.250
ココにはHGWのIPアドレスが出ていませんが、これは正常なのですか?何となく今回のトラブルに関係あるような気がして・・。
よろしくお願いします。
書込番号:19448782
0点
自宅→会社へは、可能になったのでしょうか?
書込番号:19448902
0点
tracert数値が、NTT系で小さいのは、仕方有りません。
NTT側のMTUやMSS-Limit基準値は、KDDI系に比べて小さいので、現状としてはNTTとKDDI回線を同期させる設定としては、NTT網の限界値を超える設定が出来ないので、仕方有りません。
tracert値にて、Nexthopゲートウェイのルート確保されている状態にて、正常値です。
書込番号:19448919
0点
会社の静的IPマスカレードの設定が間違っていますよ。
@ LAN側ホスト(192.168.0.254)→プロトコル(UDP)→ポート番号(500〜500)→優先度(1)
×A LAN側ホスト(192.168.0.254)→プロトコル(ESP)→優先度(2)
B LAN側ホスト(192.168.0.254)→プロトコル(UDP)→ポート番号(4500〜4500)→優先度(3)
C LAN側ホスト(192.168.0.254)→プロトコル(UDP)→ポート番号(1701〜1701)→優先度(4)
×D LAN側ホスト(192.168.0.254)→プロトコル(その他、51)→優先度(5)
E LAN側ホスト(192.168.0.254)→プロトコル(TCP)→ポート番号(1723〜1723)→優先度(6)
×F LAN側ホスト(192.168.0.254)→プロトコル(その他、47)→優先度(7)
G LAN側ホスト(192.168.0.254)→プロトコル(TCP)→ポート番号(80〜80)→優先度(8)
H LAN側ホスト(192.168.0.254)→プロトコル(TCP)→ポート番号(8080〜8080)→優先度(9)
↑のLAN側ホストは、192.168.100.254へ差替えて下さい旨のメッセージ投稿済みでしたが。
以下、先刻のメッセージ一部ですが。
変換対象プロトコル(TCP及びUDP)→変換対象ポート(UDP500、4500、1701、TCP1723それぞれ)→ 宛先IPアドレス(192.168.100.254)→宛先ポート(UDP500、4500、1701、TCP1723それぞれ)
書込番号:19448936
0点
会社のHGW(192.168.100.0/24)、会社のRTX810ルーター(192.168.103.0/24)ですので、会社HGWの静的IPマスカレード登録は、RTX810ルーターのWAN側セグメントIPへの転送でなければ、転送条件になりません。
書込番号:19448943
0点
>sorio-2215さん
単なるコピペの貼り間違いでした。すべての行でキチンと「192.168.100.254」としています。
で 自宅→会社HGW、会社→自宅HGW 両方ともアクセス不能です。
よろしくお願いします。
書込番号:19448999
0点
確認ですが、それぞれの拠点RTX810ルーターの「show arp」にて、ARP情報を教えて頂けますか?
書込番号:19449127
0点
会社
カウント数: 7
インタフェース IPアドレス MACアドレス TTL(秒)
LAN2 192.168.100.1 :36:53:4b:cb 1198
LAN1(port1) 192.168.103.2 fd:28:3f:da 1193
LAN1(port1) 192.168.103.3 :87:81:69:34 1133
LAN1(port1) 192.168.103.4 98:77:8e:b2 1193
LAN1(port1) 192.168.103.100 42:7e:13:c0 1082
LAN1(port1) 192.168.103.250 3f:d5:27:a6 513
LAN1 192.168.103.253 74:fe:cd:20 338
#
自宅
カウント数: 9
インタフェース IPアドレス MACアドレス TTL(秒)
LAN2 192.168.0.1 a2:3b:3d:a4 1071
LAN1(port4) 192.168.101.3 3c:b1:72:65 74
LAN1(port4) 192.168.101.4 6:d8:f6:a4 1147
LAN1(port4) 192.168.101.7 69:28:0e:03 1150
LAN1(port4) 192.168.101.100 5:9f:c8:8e 1125
LAN1 192.168.101.101 7:fd:84:6a 824
LAN1(port4) 192.168.101.103 c7:fd:43:9e 1169
LAN1(port4) 192.168.101.200 45:43:2e:8a 1087
LAN1(port4) 192.168.101.250 73:fb:c4:e8 1155
書込番号:19449405
0点
>sorio-2215さん
現在の問題とズレますが質問です。
LAN1 192.168.101.101 MACアドレス 824
先ほど開示したARPの自宅に上のような情報がありました。他のデバイスにはある(PORT4)がこのデバイスにはないですね。
実はこのデバイス、別のトラブルを抱えているのです。(PORT4)がないことはどんな意味があるのですか?
よろしくお願いします。
書込番号:19449419
0点
双方のHGWのIPのMACアドレスが、おかしいです。
確認ですが、それぞれのHGWに一時的に端末接続して、Windowsのファイルを指定して実行→cmdにて、DOSプロンプトを表示→コマンドから、arp -a を実行頂けますが?
表示されたそれぞれのIP(会社192.168.100.1、自宅192.168.0.1)のそれぞれのMACアドレスを静的ARPエントリ登録する方法をRTX810へ反映して欲しいのですが。
会社側RTX810ルーターのコマンド
ip lan2 arp static 192.168.100.1 (NTT-HGWのMACアドレス)
自宅側RTX810ルーターのコマンド
ip lan2 arp static 192.168.0.1 (AU-HGWのMACアドレス)
MACアドレスの部分は、**:**:**:**:**:** 形式で登録します。 (:で区切るのが通例です。)
どうも、それぞれのHGWの機能として、LAN側へARPリクエストの応答機能に問題が有る様です。
更に、先刻登録しましたLAN2側へARP代理応答させるコマンドの消去を、それぞれのRTX810ルーターへお願いします。
※ no ip lan2 proxyarp on
「先ほど開示したARPの自宅に上のような情報がありました。他のデバイスにはある(PORT4)がこのデバイスにはないですね。」
「実はこのデバイス、別のトラブルを抱えているのです。(PORT4)がないことはどんな意味があるのですか?」
↑の件ですが、Port4番目にカスケード接続のスイッチングハブ若しくは、無線ルーター(APモード)経由で、何らかの端末接続をしていませんでしょうか?
書込番号:19449553
0点
ARP取得情報がおかしいと言うことは、LANケーブルの品質が良くない・要求しますカテゴリレベルの周波数帯域が無い等の要素も考えられます。
確認ですが、それぞれの拠点の回線終端装置からHGW、HGWからRTX810までのLANケーブルは、CAT6(8極8芯、単線・ストレート、500Mhz)などの品質レベルのケーブルは利用されていますか?
8極4芯の250Mhz以下の周波数帯のケーブル利用ですと、何らかの通信障害等けんしゅつされても仕方ない現象かと考えます。
書込番号:19449585
0点
>sorio-2215さん
macアドレスは前半部分を消しています。伏字にすれば良かったですね。スミマセン。
書込番号:19449587 スマートフォンサイトからの書き込み
0点
RTX810にそれぞれのHGWの静的ARPエントリ設定をしましたら、それぞれの拠点からHGWへアクセスをお試し下さい。
書込番号:19449619
0点
静的ARPエントリの設定方法になると、何らかの要因にてHGWが故障した際に、登録変更が必要です。
書込番号:19449791
0点
両方にmacアドレス投入しました。しかしHGWにはアクセスできません。
自宅分コンフィグ
ip routing process fast
ip route default gateway 192.168.0.1
ip route 192.168.100.0/24 gateway tunnel 1
ip route 192.168.103.0/24 gateway tunnel 1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
ip lan1 address 192.168.101.1/24
ip lan1 proxyarp on
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.0.254/24
ip lan2 mtu 1492
ip lan2 nat descriptor 200
ip lan2 arp static 192.168.0.1 一部伏字:3d:a4
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:DHCP
provider ntpdate ntp.nict.jp
pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin ***.***.
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.101.1
ipsec ike local id 1 192.168.101.1/24
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ***.***.
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1 key-id
ip tunnel mtu 1240
ip tunnel rip send on version 2
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text ***.***.
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.101.0/24 * * * *
ip filter 101004 pass * 192.168.101.1 udp * 4500
ip filter 101005 pass * 192.168.101.1 udp * 1701
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.101.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.101.1 udp * 500
ip filter 101081 pass * 192.168.101.1 esp * *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.101.1-192.168.101.254
nat descriptor masquerade static 200 1 192.168.101.1 udp 500
nat descriptor masquerade static 200 2 192.168.101.1 esp
nat descriptor masquerade static 200 3 192.168.101.1 udp 1701
nat descriptor masquerade static 200 4 192.168.101.1 udp 4500
rip use on
ipsec auto refresh on
ipsec ike mode-cfg address pool 1 192.168.101.200-192.168.101.210/32
ipsec transport 2 2 udp 1701
syslog debug on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.101.2-192.168.101.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on
httpd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
alarm entire off
#
書込番号:19449839
0点
会社側コンフィグ
ip routing process fast
ip route default gateway 192.168.100.1
ip route 192.168.0.0/24 gateway tunnel 1
ip route 192.168.101.0/24 gateway tunnel 1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.100.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
ip lan1 address 192.168.103.1/24
ip lan1 proxyarp on
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.100.254/24
ip lan2 mtu 1454
ip lan2 nat descriptor 200
ip lan2 arp static 192.168.100.1 一部伏字53:4b:cb
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.103.1
ipsec ike local name 1 ipsec1 key-id
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ***.***.
ipsec ike remote address 1 ***.***.141.4
ip tunnel mtu 1240
ip tunnel rip send on version 2
ip tunnel tcp mss limit auto
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.103.0/24 * * * *
ip filter 101004 pass * 192.168.103.0/24 icmp * *
ip filter 101005 pass * 192.168.103.0/24 established * *
ip filter 101006 pass * 192.168.103.0/24 tcp * ident
ip filter 101007 pass * 192.168.103.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.103.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.103.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.103.0/24 * * *
ip filter 101014 pass * 192.168.103.0/24 udp * ntp
ip filter 101015 pass * 192.168.103.0/24 udp ntp *
ip filter 101016 pass * 192.168.103.1 udp * 500
ip filter 101017 pass * 192.168.103.1 esp * *
ip filter 101018 pass * 192.168.103.1 udp * 1701
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.100.254
nat descriptor address inner 200 192.168.100.254 192.168.103.1-192.168.103.254
nat descriptor masquerade static 200 1 192.168.103.1 udp 500
nat descriptor masquerade static 200 2 192.168.103.1 esp
nat descriptor masquerade static 200 3 192.168.103.1 udp 1701
rip use on
ipsec auto refresh on
ipsec ike mode-cfg address pool 1 192.168.103.200-192.168.103.210/32
syslog debug on
telnetd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.103.2-192.168.103.99/24
dns server 192.168.100.1
dns server dhcp lan2
dns private address spoof on
httpd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
alarm entire off
sshd service on
sshd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
sshd host key generate *
sftpd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
#
書込番号:19449848
0点
会社側RTX810ルーターのNAT-Tの静的IPマスカレード設定が無くなってますよ。
※ nat descriptor masquerade static 200 4 192.168.103.1 udp 4500
↑ 登録し直し下さい。
本来の趣旨では、自宅側RTX810ルーターの「nat descriptor masquerade static 200 2 192.168.101.1 esp」と、会社側RTX810ルーターの「nat descriptor masquerade static 200 2 192.168.103.1 esp」は不要なのですが。(残しておいても、差し支え有りません。 通信されないだけです)
それぞれのアクセスしてます、端末のARPキャッシュを削除・ブラウザの一時ファイルを全て削除し、再度確認下さい。
Windowsパソコンでしたら、DOSプロンプトにて、「arp -d *」を実行下さい。
静的なARP登録をしても、アクセス出来ないと言う事は、HGWのインターフェイスの問題、ARP払い出し機能の問題しか残らないかと存じます。
当方のAU-HGWでは、同一機器にて正常応答、 PR-500系PR-400系、RT-400系RT-300系では経験上問題無かった記憶があります。
書込番号:19449892
0点
それぞれのHGWのARP情報での応答問題となると、HGWの不具合若しくは、接続LAN施設ケーブルの損失や結線不良なども想定されます。
LANケーブルテスターなどは、お持ちではありませんでしょうか?
一度、NTTとKDDIのレンタル機器サポート部署へ確認する形になるかもしれません。
書込番号:19449896
0点
HGWの特定プロバイダの組み合わせでのファームウェア問題も捨てきれません。
次の策のL2TPv3-VPNのConfigイメージは出来ておりますが、先ずはHGWの挙動確認が優先かと考えます。
書込番号:19449965
0点
>sorio-2215さん
nat descriptor masquerade static 200 4 192.168.103.1 udp 4500
上記投入。ARPクリア。しかし自宅→会社HGWダメですね。今は会社へは行けません。
ケーブル不良は考えにくいです。1Gかそれ以下かをハブのLEDが教えてくれます。全てのケーブルが1Gなのを確認済みです。
HGW不良はNTTとauが同時に不良なのですか?確率からありそうにないですよね。
私はNTTとauどちらのサポートにも「今回のようなアクセスは技術的に無理」「やりたいのならケーブルを都度抜き挿ししろ」と断言されています。しかしネットワークなのだからそんなはずはないだろうと思って質問しています。
やれることがあればやります。よろしくお願いします。
書込番号:19450007
0点
「HGW不良はNTTとAUが同時に不良なのですか?確率からありそうにないですよね。」
↑ 機械的な不良というより、接続プロバイダとプロバイダ接続機能に対する、ルーター搭載OSの問題の要素が想定されたのですが。
以前有ったのですが、アライドテレシス製ルーターとSoftbank系回線HGWのVPN機能設定の際に、HGWの特定ファームウェアの問題で、HGWから払い出しMACアドレスと実通信MACアドレスが違うものが払い出しされる問題や、MACアドレスの払い出しされないので、そのMACアドレス引き当てのIPアドレス逆引きアクセスが出来ない問題が有った記憶があります。
その際に、Softbankの側でβファームウェアの適用を促された記憶が有ります。
YamahaルーターでのARPステータス確認でも、HGWのMACアドレス逆引きが出来ている性質上、HGWの挙動しか無い状態になります。
IPSECトンネルのアクセスでの端末には、仮想的に会社IPアドレスをプールし、会社・自宅RTX810ルーターの同一LANに同一化させる設定もしていますし、その同一LAN-IPからのアクセスを受け付けない動作自体は、RTX810のConfigとは、外れる動作になっています。
会社端末から、NTT-HGWへはアクセス出来るのですよね?
自宅端末から、AU-HGWへはアクセス出来るのですよね?
再度確認ですが、それぞれのHGWのARP動作だけのプロセスになっているかと判断しておりますが、HGWのハードウェア・リセット(ソフトウェア・リセットでは無く)後に、設定の復元では無く、逐一再設定は可能でしょうか?
ハードウェア・リセット時に、HGWの内部留保のARP情報のクリアが出来れば良いのですが。
書込番号:19450088
0点
>sorio-2215さん
>会社端末から、NTT-HGWへはアクセス出来るのですよね?
>自宅端末から、AU-HGWへはアクセス出来るのですよね?
はい。どちらもできますよ。HGWとRTXのケーブルは直結です。1本しか使いません。
> 再度確認ですが、それぞれのHGWのARP動作だけのプロセスになっているかと判断しておりますが、
>HGWのハードウェア・リセット(ソフトウェア・リセットでは無く)後に、設定の復元では無く、逐一再設定は可能でしょうか?
> ハードウェア・リセット時に、HGWの内部留保のARP情報のクリアが出来れば良いのですが。
【明示的な手順を一度に示してもらえれば】できると思います。今まではあーでもないこーでもないとやってきましたが、手順書的なものがあり、それを一気にやってしまえば半日かからないでしょう。
書込番号:19450154
0点
セキュリティ上・通信安定性上、どうかと言う話になりますが、RTX810ルーターの静的ルーティングを変更して、お試し下さい。
会社側RTX810ルーター
「no ip route 192.168.101.0/24 gateway tunnel 1」
「no ip route 192.168.0.0/24 gateway tunnel 1]
「ip route 192.168.101.0/16 gateway tunnel 1」
自宅側RTX810ルーター
「no ip route 192.168.100.0/24 gateway tunnel 1」
「no ip route 192.168.103.0/24 gateway tunnel 1」
「ip route 192.168.103.0/16 gateway tunnel 1」
それぞれ、3行目のコマンドにて、サブネットレベルで第2オークテットまでの検疫で、ルーティングさせる方法に変更してあります。
HGWの設定変更前に、確認願います。
書込番号:19450964
0点
>sorio-2215さん
会社側RTXに第一行目を投入した直後にアクセス不能になりましたので会社に行って続きをやります。
自宅の方は投入完了です。
その後HGWをどうするのですか?
書込番号:19450995
0点
HGWについては、お待ち下さい。
なるべくHGWの設定は、光電話機能に関係していますので、時間を要す話になるかと考えます。
Yamaha系やアレクソン系光電話ゲートウェイとは違い、NTT系光電話のSIP-NAT周り、インターネットNAT変換周りのプロセスも有りますので。
書込番号:19451089
0点
静的ルーティングの設定をしましたら、それぞれの拠点の回線終端装置、HGWからRTX810、無線LANルーターの電源OFF→ONをかけることを推奨します。
それぞれの機器のMACエイジング機能やARP周りの問題も有りますので、先ずは自宅回線終端装置の電源OFF→ON、AU-HGWの電源OFF→ON、RTX810ルーターの電源OFF→ON、無線ルーターの電源OFF→ONと言った具合に、機器の再起動を実施下さい。
その後、会社ネットワーク周りの電源OFF→ONを確認下さい。
書込番号:19451093
0点
>sorio-2215さん
各種機器の電源再投入を指示通りの順番で自宅・会社で完了。
状況に変化なしです。
書込番号:19451271
0点
それぞれのRTX810ルーターのコマンドにて、「show arp」の検出に変化が有るか確認下さい。
それと、自宅アクセスのWindows端末などから、「arp -s 192.168.100.1 (NTT-HGWのMACアドレス)」のDOSプロンプト実行にて、HGWへのアクセス可能か、確認下さい。
逆に会社のWindows端末から、「arp -s 192.168.0.1 (AU-HGWのMACアドレス)」コマンド実行後に、AU-HGWへのアクセスを確認してみて下さい。
書込番号:19451888
0点
※macアドレスは一部削除しています
自宅RTX
カウント数: 12
インタフェース IPアドレス MACアドレス TTL(秒)
LAN2 192.168.0.1 2:3b:3d:a4 permanent
LAN1(port4) 192.168.101.2 87:81:69:34 1146
LAN1(port4) 192.168.101.3 c:b1:72:65 1104
LAN1(port4) 192.168.101.4 76:d8:f6:a4 1121
LAN1(port4) 192.168.101.5 :e4:1d:34:73 1144
LAN1(port4) 192.168.101.6 98:77:8e:b2 1164
LAN1(port4) 192.168.101.7 69:28:0e:03 1168
LAN1 192.168.101.8 77:e1:57:d6 879
LAN1(port4) 192.168.101.100 :d5:9f:c8:8e 1134
LAN1(port4) 192.168.101.102 c7:06:6c:00 1141
LAN1(port4) 192.168.101.103 c7:fd:43:9e 1198
LAN1(port4) 192.168.101.200 :45:43:2e:8a 1103
会社RTX
カウント数: 5
インタフェース IPアドレス MACアドレス TTL(秒)
LAN2 192.168.100.1 :36:53:4b:cb permanent
LAN1(port1) 192.168.103.2 :fd:28:3f:da 1051
LAN1(port1) 192.168.103.100 42:7e:13:c0 56
LAN1(port1) 192.168.103.250 :3f:d5:27:a6 867
LAN1(port1) 192.168.103.253 :74:fe:cd:20 684
書込番号:19452181
0点
>sorio-2215さん
arp -s 192.168.100.1 一部伏字:53:4b:cb
を自宅PCのDOS窓から投入しましたがmacアドレス部分が「無効な引数」となりました。macアドレス部分は会社RTXのコンフィグから該当部分をコピペしたものです。実際にHGWを見た訳でないですが、macアドレスは昨日と同じはずですよね?
書込番号:19452205
0点
192.168.0.1、192.168.100.1それぞれのARP情報が、permanentになっていますので、静的ARP機能設定は、キチンと動作しています。
アクセスします、クライアント側でARPの引き当てが出来ていない状況の様です。
それぞれの拠点のRTX810ルーターには、LAN1側へProxyARP機能が稼働していますので、LAN1側と同一セグメントを構成します、IPSEC-VPN(NAT-T)であれば、ARP取得としては問題無い筈です。
念のため、会社側 「no nat descriptor masquerade static 200 2 192.168.103.1 esp」、自宅側 「no nat descriptor masquerade static 200 2 192.168.101.1 esp」にて、ESPパケットを利用しない形にしていただけますでしょうか。
どうも、クライアント側のARPステータス取得に、問題が有る様です。
少し調べましたが、Norton360がインストールしている環境にて、ARP取得の問題が出ている様で、Norton360のファイアーウォール機能だけの問題では無く、ソフトウェア稼働を停止しても、正常通信出来ない問題が有る様です。
Norton360の一時アンインストール、Norton以外に以前、セキュリティソフトなどの適用が有った条件でしたら、そのセキュリティソフトをレジストリレベルで、検索・削除が必要になる可能性があります。
アンインストールツールには、「iobit uninstaller 5.0」が良いかと考えます。
※ http://jp.iobit.com/free/iou.html
その他ファイアーウォール関係のソフトが、メーカー製PCですと初期パッケージとして適用されている場合も有りますが、それも検疫対象となります。
それと、L2TPv3-VPN構成イメージの件ですが、L2TPv3トンネルですと、既存のHGWのIPも同一のセグメントとして構成しなければいけない条件となりますので、その際にNAT稼働周りの条件の精査が必要になるので、下記の様な構成が可能か、確認中です。
会社側HGW(IP192.168.100.1/24、PPPOE接続、DHCP有、DMZ及び静的IPマスカレード無し、静的ルーティング無し)→RTX810(LAN2利用しない、LAN1でのL2TPv3トンネル構成、LAN1アドレスIP192.168.100.254/24、DHCP機能無し)。
自宅側HGW(IP192.168.100.2/24、DHCP無し、DMZ及び静的IPマスカレード無し、静的ルーティング無し)→RTX810(LAN2利用しない、LAN1でのL2TPv3トンネル構成、LAN1アドレスIP192.168.100.253/24、DHCP機能無し)
要は、L2TPv3-VPNですと、全てのIPアドレス管理が、会社側HGWのDHCP機能に依存する設定が可能かどうか、確認中となります。
双方とも、HGWのアクセスが可能となると、HGWでのインターネットアクセス機能は外せない条件、RTX810のNAT機能は利用せず、VPN機能のみハブモードで利用する形が可能かどうかを判断しています。
書込番号:19452910
0点
すいません。 下記文言誤入力になります。
要は、L2TPv3-VPNですと、全てのIPアドレス管理が、会社側HGWのDHCP機能に依存する設定が可能かどうか、確認中となります。
↓
要は、L2TPv3-VPNですと、全てのIPアドレス管理が、自宅側HGWのDHCP機能に依存する設定が可能かどうか、確認中となります。(グローバルIPの関係上)
書込番号:19452915
0点
>sorio-2215さん
自宅ではNorton系のソフトは使っていないです。ですから自宅から会社へのアクセスができない理由にはなり得ません。
しかしアバストは使っていますからそれが原因と言われると否定できないですかね。
書込番号:19452958 スマートフォンサイトからの書き込み
0点
>sorio-2215さん
>>念のため、会社側 「no nat descriptor masquerade static 200 2 192.168.103.1 esp」、自宅側 「no nat descriptor masquerade static 200 2 192.168.101.1 esp」にて、ESPパケットを利用しない形にしていただけますでしょうか。
上記投入済。状況に変化なし。
例のレジストリ削除ソフト試してみますか?
書込番号:19453019
0点
L2TPv3トンネルのConfigイメージ投稿します。
自宅側RTX810ルーター
ip routing process fast
ip route default gateway 192.168.0.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.1/24
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.0.254/24
ip lan2 mtu 1492
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:DHCP
provider ntpdate ntp.nict.jp
pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin ***.***.
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.100.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ***.***.
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-1
l2tp syslog on
l2tp local router-id 192.168.100.1
l2tp remote router-id 192.168.100.2
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text ***.***.
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.101.0/24 * * * *
ip filter 101004 pass * 192.168.101.1 udp * 4500
ip filter 101005 pass * 192.168.101.1 udp * 1701
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.101.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.101.1 udp * 500
ip filter 101081 pass * 192.168.101.1 esp * *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.100.1-192.168.100.254
nat descriptor masquerade static 200 1 192.168.100.1 udp 500
nat descriptor masquerade static 200 2 192.168.100.1 esp
nat descriptor masquerade static 200 3 192.168.100.1 udp 1701
nat descriptor masquerade static 200 4 192.168.100.1 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 2 2 udp 1701
syslog debug on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on l2tpv3
httpd host 192.168.100.2-192.168.100.254
alarm entire off
書込番号:19453069
0点
会社側RTX810ルーターのL2TPv3トンネル・イメージです。
ip routing process fast
ip route default gateway 192.168.99.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.99.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.2/24
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.99.254/24
ip lan2 mtu 1454
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.100.2 ***.***.***.*** (AUグローバルIP)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.100.2
ipsec ike local name 1 ipsec1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ***.***.
ipsec ike remote address 1 ***.***.***.*** (AUグローバルIP)
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-2
l2tp syslog on
l2tp local router-id 192.168.100.2
l2tp remote router-id 192.168.100.1
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.103.0/24 * * * *
ip filter 101004 pass * 192.168.103.0/24 icmp * *
ip filter 101005 pass * 192.168.103.0/24 established * *
ip filter 101006 pass * 192.168.103.0/24 tcp * ident
ip filter 101007 pass * 192.168.103.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.103.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.103.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.103.0/24 * * *
ip filter 101014 pass * 192.168.103.0/24 udp * ntp
ip filter 101015 pass * 192.168.103.0/24 udp ntp *
ip filter 101016 pass * 192.168.103.1 udp * 500
ip filter 101017 pass * 192.168.103.1 esp * *
ip filter 101018 pass * 192.168.103.1 udp * 1701
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.100.2 udp 500
nat descriptor masquerade static 200 2 192.168.100.2 esp
nat descriptor masquerade static 200 3 192.168.100.2 udp 1701
nat descriptor masquerade static 200 4 192.168.100.2 udp 4500
rip use on
ipsec auto refresh on
syslog debug on
telnetd host 192.168.100.2-192.168.100.254
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.103.2-192.168.103.99/24
dns server 192.168.100.1
dns server dhcp lan2
dns private address spoof on
httpd host 192.168.100.2-192.168.100.254
l2tp service on l2tpv3
alarm entire off
sshd service on
sshd host 192.168.100.2-192.168.100.254
sshd host key generate *
sftpd host 192.168.100.2-192.168.100.254
書込番号:19453076
0点
L2TPv3トンネルのイメージですが、会社側のRTX810ルーターのIPを192.168.100.2/24にして(DHCP機能無効)、会社側HGWのIPを192.168.99.1/24(DHCP有で構いません、DMZホストに192.168.99.254)の構成をイメージしております。
よって、会社HGWのIPを192.168.99.1へ変更+DMZホスト192.168.99.254へして下さい。
DHCP機能でのIPアドレスは、自宅RTX810ルーターから自動付帯されるイメージになります。
それぞれの拠点のRTX810ルーターのWANポートは、そのまま利用するイメージになります。
よって、それぞれの拠点のネットワーク端末は、192.168.100.***/24、デフォルトゲートウェイ192.168.100.1(自宅RTX810ルーターIP)または192.168.100.2(会社RTX810ルーターIP)を指定、プライマリDNSも192.168.100.1または192.168.100.2を指定設定して下さい。
それと、先ほどの自宅RTX810ルーターのDHCPアドレスが間違っていました。
正規には、「dhcp scope 1 192.168.100.3-192.168.100.99/24」、「httpd host 192.168.100.3-192.168.100.254」になります。
併せて、会社側の下記コマンド誤入力です。
no dhcp service server
no dhcp server rfc2131 compliant except remain-silent
no dhcp scope 1 192.168.103.2-192.168.103.99/24
↑ 上記にて、設定消去下さい。(DHCP機能は、自宅側RTX810ルーターのDHCP範囲となります)
「telnetd host 192.168.100.3-192.168.100.254」、「httpd host 192.168.100.3-192.168.100.254」、「sftpd host 192.168.100.2-192.168.100.254」 を投入下さい。
書込番号:19453107
0点
先刻の説明、誤入力です。
(誤) 併せて、会社側の下記コマンド誤入力です。 以下
↓
(正) 併せて、自宅側の下記コマンド誤入力です。
書込番号:19453130
0点
L2TPv3トンネル構成での、会社RTX810ルーターのDNSサーバの設定ですが、誤入力です。
正しいのは、「dns server 192.168.100.1」ではなく、「dns server 192.168.100.2」です。
書込番号:19453327
0点
コマンド内容を見て頂ければ、解るかと思いますが、L2TPv3-VPNの場合、それぞれの拠点にARP応答(ProxyARP)しセグメント中継する必要が無く、同一セグメントとしてVPN構成するための方法です。
その代わり、それぞれの接続端末・ネットワーク機器のIPアドレスを衝突しないIPにする必要があります。
書込番号:19453603
0点
>sorio-2215さん
よく飲み込めていないので質問します。
今まで作ってきた構成はどのように変更していくのですか?イメージとして各拠点のコンフィグ案?を提示していますが、その中の「各行」をコマンドとして投入していくのでしょうか?
よろしくお願いします。
書込番号:19453761
0点
簡単な話ですが、全てのコマンドを投入していくのですが、L2TPv3-VPNトンネルの大幅な構成変更ですので、簡易Webメニューからの設定は、RTX810の場合には、対応していません。
LAN1をブリッジングし、L2TPv3用のトンネルと関連づけする設定などは、Webからではなく、コマンド投入していく形になります。
RTX810の初期化からやった方が良いのですが、IPアドレスの管理方法などのモードの設定も一部有りますので、Telnet(シリアルポート経由)からのコマンド投入した方が早いです。
Telnetからのコマンド投入には、フリーソフトの「TeraTerm」を利用し、TeraTermのCOMポート接続からコマンドを全て指定して投入すれば、IPアドレスでのコマンド投入では出来ない投入コマンドが、一括で可能です。
設定参考例・・ http://jp.yamaha.com/products/network/solution/vpn/connect/vpn-connect-l2tpv3_ipsec-rtx1200/
設定参考例A・・ http://www.rtpro.yamaha.co.jp/RT/docs/l2tpv3/
確認ですが、ご利用のパソコンには、シリアルポートは有りませんでしょうか?
シリアルポートが有れば、そのシリアルポートに、シリアルケーブル(クロス・9pin)にて、RTX810のシリアルポートを接続すれば、上記のソフトにて通信可能な筈です。
パソコンにシリアルポートが無い場合には、別途USB・シリアル変換アダプタ(32・64bit兼用)が併せて必要かと考えます。
※ Ratoc製「REX-USB60F」、IODATA製「USB-RSAQ6」
書込番号:19453918
0点
念のため申し上げますが、L2TPv3トンネルは、複数拠点のIP体系を同一化し、同一セグメントとして接続するため、VPN本拠点のRTX810ルーターのDHCPサーバ機能を、他拠点のDHCP機能としても利用する構成になります。
同一セグメントでのIPアドレス管理のため、静的ルーティングやARP転送などを考慮する必要は有りませんが、本拠点のDHCPサーバの障害や、挙動変更が有った場合に、他拠点の端末のDHCP自動取得が出来ないモード(固定では可能)となる構成になります。
要は、VPNトンネル経由で、DHCP機能を支店にも効かせる構成とイメージ下さい。
中身は、DHCPリレーエージェントに近い機能ですが。
※ http://www.rtpro.yamaha.co.jp/RT/FAQ/TCPIP/dhcp-relay.html
書込番号:19453947
0点
>sorio-2215さん
説明を読んでの懸念があります。仮に自宅のDHCP機能を持ったルーターがダウンした場合は会社でのインターネット接続が不能になりますね?常に私が対応できるとは限りませんからこのような可能性をもった構成は受け入れられません。
現在の構成なら自宅でも会社でもどちらかダウンしても影響の範囲は限定的です。しかしご提案の構成では前述した事態が懸念されます。
以上から今回のご提案は採用できないです。どうもすみません。
求める要件
・自宅と会社それぞれのネットワークの不調がそのネットワーク内だけに収まること
もしもこの要件を満たせないのであれば、現構成への不満は相手方のHGWに接続できないことだけですから、そこを我慢するのはやむを得ないかな?と考えています。
よろしくお願いします。
書込番号:19455491
0点
会社でのインターネット接続がダウンすると言うことではありませんよ。
DHCPのみ機能しないと言う事になりますので、固定でIPアドレスを端末にしておけばOKです。
会社のインターネット接続の際の固定IPの設定は、先刻の通り192.168.100.***/24、デフォルトゲートウェイ192.168.100.2、プライマリDNS192.168.100.2と設定すれば、OKと言う事です。
インターネット接続まで、自宅経由すると言う事では有りません。
VPNのみ、自宅・会社間をL2スイッチレベルで接続する構成ですので、機器間の接続相性やNATにまつわる不整合問題を回避出来る方法です。
要は、会社での有線LAN端末は予め固定IP設定、スマホやモバイル端末については、特定ESS-ID宛てに接続しましたその接続設定情報のIPアドレス取得方法を、DHCP自動取得では無く、STATIC設定で固定IP設定にするだけです。
他会社で利用されています、FAX複合機やNAS、特定端末は固定IPにされていますよね?
書込番号:19455507
0点
L2TPv3-VPNトンネル構成を採用するかどうかは、一度設定してみて満足いくレベルかどうか、判断されてからでも遅くは無いかと考えます。
今までのConfigデータは、バックアップしておけば、復元は容易です。
書込番号:19455510
0点
先刻の対話の通り、L2TPv3/IPSECはRTX810では、Rev.11.01.21以降のファームウェアで対応しております。
ただし、最新ファームウェア適用でのL2TPv3/IPSECの稼働設定条件として、未だ簡易Webメニューからの設定は出来ないので、Telnetコンソールからの設定になります。
簡易Webメニューからのコマンド実行では、一部機能制限が有り、IPアドレスベースでログイン可能な端末から、コマンド投入できる機能になっておりますので、今回のようにIPアドレスにトンネルを関連づけする設定と言ったConfig投入は、出来ないと考えた方が良いかと存じます。
当方のイメージでは、完全なL2レベルで自宅・会社間のVPNを構成可能とする設定ですので、HGWへのアクセスもすんなりいくかと考えます。
書込番号:19455520
0点
>sorio-2215さん
インターネットにアクセス不能になると思っていました。そうでないのならば受け入れられますね。
また各端末を固定IPにするのも問題ないです。シリアル変換ケーブルはFAXモデムに使っていますからすぐにでも始められますよ。
しかし疑問がまだあります。なぜコマンド入力でできないことがシリアルケーブル経由だとできるのでしょうか?単にテキストを送っているだけでないですか?
書込番号:19455643
0点
簡易Webメニューから出来るのは、自身IPを含まない設定のみになりますので、L2TPv3/IPSECの様な、ルーター自身のIPを変更し、ブリッジングをかけるような設定は、出来ないと思った方が良いです。
簡易Webメニュー表示は、ブラウザからルーター自身IPを参照していますよね?
シリアルポートの接続コンソール設定は、IPネットワーク網からの投入では無い為です。
念のためですが、接続シリアルケーブルは、クロスタイプでなければ正常通信出来ません。
各端末の固定IPに関しましては、先刻の話の通り、自宅・会社とそれぞれ192.168.100.***/24のなりますので、衝突しないIPを設定下さい。
固定IP設定の際、自宅端末はデフォルトゲートウェイ192.168.100.1、プライマリDNS192.168.100.1、会社端末の場合デフォルトゲートウェイ192.168.100.2、プライマリDNS192.168.100.2と設定下さい。
先日のConfigイメージですと、会社から自宅HGWのアクセスは192.168.0.1、自宅から会社HGWのアクセスは192.168.99.1のイメージになります。
書込番号:19455670
0点
正式・自宅RTX810ルーター、Configになります。
自宅分コンフィグ
ip routing process fast
ip route default gateway 192.168.0.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.1/24
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.0.254/24
ip lan2 mtu 1492
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:DHCP
provider ntpdate ntp.nict.jp
pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin ***.***.
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.100.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ***.***.
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-1
l2tp syslog on
l2tp local router-id 192.168.100.1
l2tp remote router-id 192.168.100.2
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text ***.***.
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.101.0/24 * * * *
ip filter 101004 pass * 192.168.101.1 udp * 4500
ip filter 101005 pass * 192.168.101.1 udp * 1701
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.101.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.101.1 udp * 500
ip filter 101081 pass * 192.168.101.1 esp * *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.100.1-192.168.100.254
nat descriptor masquerade static 200 1 192.168.100.1 udp 500
nat descriptor masquerade static 200 2 192.168.100.1 esp
nat descriptor masquerade static 200 3 192.168.100.1 udp 1701
nat descriptor masquerade static 200 4 192.168.100.1 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 2 2 udp 1701
syslog debug on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.3-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on l2tpv3
httpd host 192.168.100.3-192.168.100.254
alarm entire off
書込番号:19455953
0点
正式、会社RTX810ルーターConfigになります。
ip routing process fast
ip route default gateway 192.168.99.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.99.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.2/24
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.99.254/24
ip lan2 mtu 1454
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.100.2 ***.***.***.*** (AUグローバルIP)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.100.2
ipsec ike local name 1 ipsec1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ***.***.
ipsec ike remote address 1 ***.***.***.*** (AUグローバルIP)
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-2
l2tp syslog on
l2tp local router-id 192.168.100.2
l2tp remote router-id 192.168.100.1
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.103.0/24 * * * *
ip filter 101004 pass * 192.168.103.0/24 icmp * *
ip filter 101005 pass * 192.168.103.0/24 established * *
ip filter 101006 pass * 192.168.103.0/24 tcp * ident
ip filter 101007 pass * 192.168.103.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.103.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.103.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.103.0/24 * * *
ip filter 101014 pass * 192.168.103.0/24 udp * ntp
ip filter 101015 pass * 192.168.103.0/24 udp ntp *
ip filter 101016 pass * 192.168.103.1 udp * 500
ip filter 101017 pass * 192.168.103.1 esp * *
ip filter 101018 pass * 192.168.103.1 udp * 1701
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.100.2 udp 500
nat descriptor masquerade static 200 2 192.168.100.2 esp
nat descriptor masquerade static 200 3 192.168.100.2 udp 1701
nat descriptor masquerade static 200 4 192.168.100.2 udp 4500
rip use on
ipsec auto refresh on
syslog debug on
telnetd host 192.168.100.3-192.168.100.254
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.103.3-192.168.103.99/24
dns server 192.168.100.1
dns server dhcp lan2
dns private address spoof on
httpd host 192.168.100.3-192.168.100.254
l2tp service on l2tpv3
alarm entire off
sshd service on
sshd host 192.168.100.3-192.168.100.254
sshd host key generate *
sftpd host 192.168.100.3-192.168.100.254
書込番号:19455958
0点
補足です。
先刻のConfigですが、IPフィルタ制限はかけていませんので、IPフィルタ制限をかける場合には、会社と自宅のIPフィルタのルールを一部変更下さい。
自宅RTX810ルーター(下記)
「no ip filter 101003 reject 192.168.101.0/24 * * * *」
↓
「ip filter 101003 reject 192.168.100.0/24 * * * *」
「noip filter 101004 pass * 192.168.101.1 udp * 4500」
↓
「ip filter 101004 pass * 192.168.100.1 udp * 4500」
「no ip filter 101005 pass * 192.168.101.1 udp * 1701」
↓
「ip filter 101005 pass * 192.168.100.1 udp * 1701」
「no ip filter 101013 reject * 192.168.101.0/24 * * *」
↓
「ip filter 101013 reject * 192.168.100.0/24 * * *」
「no ip filter 101080 pass * 192.168.101.1 udp * 500」
↓
「ip filter 101080 pass * 192.168.100.1 udp * 500」
「no ip filter 101081 pass * 192.168.101.1 esp * *」
↓
「ip filter 101080 pass * 192.168.100.1 udp * 500」
会社RTX810ルーター(下記)
ip filter 101003 reject 192.168.103.0/24 * * * *
ip filter 101004 pass * 192.168.103.0/24 icmp * *
ip filter 101005 pass * 192.168.103.0/24 established * *
ip filter 101006 pass * 192.168.103.0/24 tcp * ident
ip filter 101007 pass * 192.168.103.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.103.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.103.0/24 udp domain *
ip filter 101013 reject * 192.168.103.0/24 * * *
ip filter 101013 reject * 192.168.103.0/24 * * *
ip filter 101014 pass * 192.168.103.0/24 udp * ntp
ip filter 101015 pass * 192.168.103.0/24 udp ntp *
↑の192.168.103.0/24を、192.168.100.0/24へ差替え投入下さい。
ip filter 101016 pass * 192.168.103.1 udp * 500
ip filter 101017 pass * 192.168.103.1 esp * *
ip filter 101018 pass * 192.168.103.1 udp * 1701
↑の192.168.103.1/24を、192.168.100.2/24へ差替え投入下さい。
ip filter 101019 pass * 192.168.100.2 udp * 4500
↑ 追加で投入下さい。
なお、IPフィルタ機能を有効にされる場合には、ご存じかと思いますが、上記までのエントリ番号を、自宅・会社のRTX810ルーターのip secure filter in 〜 及び ip secure filter out 〜 へ追記が必要です。
書込番号:19456012
0点
>sorio-2215さん
ケーブル(リバース)を追加購入してようやく準備完了?です。テラタームから接続する方法を教えてください。
RTXのシリアルポートに接続しています。
現在自宅です。
書込番号:19456869
0点
TeraTermをインストール後、TeraTermを起動→新しい接続メニューが表示されますので、COMポートを選択→現在接続のCOMポートが表示されているかと存じますので、そのまま接続します。
黒枠内に最初、パスワードを聞いてくるかと考えますが、そのままENTER→administrator→ENTERでログインします。
TeraTermでのコマンド登録では、パスワード類は表示されませんが、入力間違いが無ければそのまま入力反映出来ます。
※ administratorでのログインしませんと、管理者ルーター設定モードになりません。
管理者ルーター設定モードになっているかどうかは、入力欄に最初に#が表示されているかと存じます。
#の後に、それぞれのコマンドを行ごとに登録可能となります。
その後、コマンド投入モードになりますので、Config情報をそれぞれ行ごとに入力しENTERにて、登録します。
最後に、saveで保存、restartでルーター再起動です。
書込番号:19457063
0点
TeraTermの黒枠内に、メモ帳などのConfigの貼り付けも可能ですが、行ごとにされた方が間違いが無いかと存じます。
TeraTermの最新版は、「https://osdn.jp/projects/ttssh2/」に掲載されています。
書込番号:19457074
0点
YamahaルーターのCOMポート接続の通信設定の参考までに。
※ http://atnetwork.info/yamaha/console01.html
http://oatrap485.blogspot.jp/2013/01/yamaha.html
コンソールでの設定順
※ http://atnetwork.info/yamaha/console02.html
書込番号:19457146
0点
>sorio-2215さん
新しい接続ウィンドウが開いていますが、、TCP/IPが選択状態です。シリアルポートはグレーアウト。
何かおかしいですか?
書込番号:19457162
0点
パソコン本体のシリアルポートが無効、若しくはUSBシリアルアダプタ接続でしたら、そのシリアルアダプタが認識していませんよ。
ドライバ適用していますか?
Windowsのデバイスマネージャにて、シリアルポート(COMポート)た有効かどうか、有効の際に何番ポートで有効になっているか確認下さい。
通常は、COMポート1です。
パソコン本体の内蔵シリアルポートの場合、パソコンのBIOSのシリアルポート設定がEnableになっていない(Disable設定になっている)点も考えられます。
書込番号:19457216
0点
>sorio-2215さん
usbシリアルコンバータのドライバが入っていなかったです。現在はRTXに接続できました。
では各種設定を保存してからコマンドの投入を開始します。
書込番号:19457243
0点
>sorio-2215さん
rtx の環境を保存する方法を教えてください。tftpを使ってPCをホスト指定までできましたが、PCから操作可能なコマンドとして受け付けられません。
カンタンで早い方法希望です。できればPCにファイルを保存したいです。
書込番号:19457273
0点
コマンドから、「tftp host any」と実行下さい。
TFTPからの出力が可能となります。
パソコンのDOSプロンプトから、TFTP出力要求したいのですよね?
事前に、RTX810のコマンドに、上記のコマンド投入が必要です。
若しくは、TeraTermの投入コマンドを終わりましたら、簡易WebメニューからのConfig出力でもOKですよ。
@ [トップ] > [詳細設定と情報] > [設定ファイル・ファームウェアファイルのコピー]
コピー元のファイル名 → 内蔵不揮発性メモリ(Config0)
コピー先のファイル名 → USBメモリ
実行。
A [トップ] > [詳細設定と情報] > [本製品の全設定(config)のレポート作成]
↑ どちらの方法でもOKです。
書込番号:19457556
0点
>sorio-2215さん
ひょっとしてコンフィグファイルって単なるテキストファイルですか?
ファイル名と拡張子はどうしますか?
書込番号:19457617 スマートフォンサイトからの書き込み
0点
txt で良いかと考えますよ。
Yamahaルーターでの簡易Webメニューからの出力も、デフォルトでtxtになってます。
ファームウェア一体型情報として、出力された場合には、binファイルになります。
書込番号:19457745
0点
デフォルトでは、USBポートから出力される形式も config.txt になっております。
※ http://www.rtpro.yamaha.co.jp/RT/docs/external-memory/copy.html
書込番号:19457756
1点
>sorio-2215さん
ipv6 lan1 prefix ra-prefix@lan2::/64
1.テラタームで上のコマンドを打つと文字化けが帰ってきます。
2.1行ずつコピペしていくのは非常に面倒ですね。何とかできませんか?
現在はルーターが動かないのでHGWに配線しています。
よろしくお願いします。
書込番号:19457914
0点
先刻のteratermの文字コードを、SJISコードにする情報サイトの案内が、参考になりませんでしたか?
書込番号:19457945 スマートフォンサイトからの書き込み
0点
teratermの端末文字設定が、デフォルトでUTF-8になってますので、ヤマハの表示型式はSJISですので、変更下さい
書込番号:19457959 スマートフォンサイトからの書き込み
0点
>sorio-2215さん
文字コード変更しました。
しかし、先ほどの行を打つと「エラー:コマンド名を確認してください」となります。
書込番号:19457975
0点
IPV6周りのコマンドは、既に設定されていると、エラーになります。
エラー行については、行を飛ばして、次のコマンド実行して下さい。
投入済みコマンドについては、コマンドにて 「show config」にて、表示出来ます。
それと、行指定でのコマンドの貼り付けですが、複数行まとめて貼り付けでも良いですよ。
エラー行が出る場合もありますが、まとめて投入下さい。
tunnel enable 2 まで投入しましたら、それ以後の行は、トンネルから抜けないと投入出来ませんので、一度、トンネルを抜けるコマンド 「tunnel select none」にて抜けてから、それ以後の行をまとめて貼り付け投入下さい。
pp select anonymous 〜 pp enable anonymous の行も同様です。
通常のグローバルコマンドを投入する場合には、「pp select none」で抜けないと、コマンド投入出来ません。
エラーが出て投入出来なかった行は、後から投入出来ますので、その行をチェックしておいて下さい。
書込番号:19458447
1点
>sorio-2215さん
cold start からやっていきます。
書込番号:19458464
0点
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
上記は、ひとくくりのコマンドですので、全角・半角の誤入力(全て半角)、間違った入力が無いかどうかだけになります。
TeraTermからのコマンド投入ですと、送信テキスト情報によって、うまくいかない場合も有りますので、上記のIPV6周りのコマンドのみでしたら、それ以外のコマンドを投入後に、簡易Webメニューのコマンド投入でも可能です。
書込番号:19458483
0点
>sorio-2215さん
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
投入完了。自宅関連の周辺機器設定を直しておきます。
書込番号:19458494
0点
>sorio-2215さん
自宅コンフィグです。「かんたん設定では」VPNが見えないのが不思議なのですが・・。
ip routing process fast
ip route default gateway 192.168.0.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.1/24
ip lan1 address 192.168.100.1/24
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.0.254/24
ip lan2 secure filter in 101003 101020 101021 101022 101023 101024 101025 101030 101032
ip lan2 secure filter out 101013 101020 101021 101022 101023 101024 101025 101099 dynamic 101080 101081 101082 101083 101084 101085 101098 101099
ip lan2 nat descriptor 200
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:auひかり
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ***.***.
ipsec ike remote address 1 any
l2tp tunnel auth off
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.101.1 udp * 4500
ip filter 101005 pass * 192.168.101.1 udp * 1701
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
nat descriptor address inner 200 192.168.0.254 192.168.100.1-192.168.100.254
nat descriptor masquerade static 200 1 192.168.100.1 udp 500
nat descriptor masquerade static 200 2 192.168.100.1 esp
nat descriptor masquerade static 200 3 192.168.100.1 udp 1701
nat descriptor masquerade static 200 4 192.168.100.1 udp 4500
rip use on
ipsec auto refresh on
ipsec ike remote address 2 any
ipsec transport 2 2 udp 1701
syslog debug on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.3-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on l2tpv3
httpd host 192.168.100.3-192.168.100.254
alarm entire off
#
書込番号:19458599
0点
LAN1アドレスをブリッジしているのは正常ですが、ブリッジしていないコマンドも投入されてますよ。
※ ip lan1 address 192.168.100.1/24
↑ 不要ですので、削除願います。 「no ip lan1 address 192.168.100.1/24」
NATの設定を手直し下さい。
nat descriptor address outer 200 primary → nat descriptor address outer 200 192.168.0.254
※ nat descriptor address outer 200 192.168.0.254 を投入下さい。
下記IPフィルタも101003が投入されていないものに変更下さい。
ip lan2 secure filter in 101003 101020 101021 101022 101023 101024 101025 101030 101032
↓
ip lan2 secure filter in 101004 101005 101006 101007 101020 101021 101022 101023 101024 101025 101030 101032 101099
ip filter 101004 pass * 192.168.100.1 udp * 4500
ip filter 101005 pass * 192.168.100.1 udp * 1701
ip filter 101006 pass * 192.168.100.1 udp * 500
ip filter 101007 pass * 192.168.100.1 esp * *
下記コマンドを、101013が投入されていないものへ変更下さい。
ip lan2 secure filter out 101013 101020 101021 101022 101023 101024 101025 101099 dynamic 101080 101081 101082 101083 101084 101085 101098 101099
↓
ip lan2 secure filter out 101020 101021 101022 101023 101024 101025 101099
書込番号:19458648
0点
>sorio-2215さん
相変わらずかんたん設定画面ではVPNの項目が0になっています。何故でしょうか?
ip routing process fast
ip route default gateway 192.168.0.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.1/24
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.0.254/24
ip lan2 secure filter in 101004 101005 101006 101007 101020 101021 101022 101023 101024 101025 101030 101032 101099
ip lan2 secure filter out 101020 101021 101022 101023 101024 101025 101099
ip lan2 nat descriptor 200
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:auひかり
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ***.***.
ipsec ike remote address 1 any
l2tp tunnel auth off
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.1 udp * 4500
ip filter 101005 pass * 192.168.100.1 udp * 1701
ip filter 101006 pass * 192.168.100.1 udp * 500
ip filter 101007 pass * 192.168.100.1 esp * *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.100.1-192.168.100.254
nat descriptor masquerade static 200 1 192.168.100.1 udp 500
nat descriptor masquerade static 200 2 192.168.100.1 esp
nat descriptor masquerade static 200 3 192.168.100.1 udp 1701
nat descriptor masquerade static 200 4 192.168.100.1 udp 4500
rip use on
ipsec auto refresh on
ipsec ike remote address 2 any
ipsec transport 2 2 udp 1701
syslog debug on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.3-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on l2tpv3
httpd host 192.168.100.3-192.168.100.254
alarm entire off
#
書込番号:19458773
0点
簡易Webメニューにトンネル登録されていない件ですが、先刻の対話の通り、簡易Webメニューには、未だトンネル追加・情報表示出来るファームウェアになっていません。
Telnetコマンドとしてのトンネル設定対象の設定方法になっております。
「tunnel encapsulation l2tpv3」を見ると解るかと考えますが、L2Tpv3の専用トンネルとして設定していますので、簡易Webメニューからトンネル設定していくと、L2TPv3モードの選択が無いかと存じます。
L2TPv3トンネルのみ、コマンドから登録しておけばOKな状態です。
(トンネル・エントリー1にて登録していますので、トンネル1は使えません)
Yamahaルーターにおきましては、L2TP/IPSECのNATトラバーサルも、当初簡易Webメニューから設定出来ない仕様でした。ファームウェア更新にて、やっと、簡易WebメニューからL2TP/IPSEC(NAT-T)が設定出来る様になった、仕様が有ります。(Rev.11.01.19)
よって現状では、簡易Webメニューでは表記されません。
将来的にファームウェア更新対応にて、表記される可能性がありますので、それまでお待ち下さい。
書込番号:19458976
1点
逆に言えば、簡易Webメニューからでは、全てのYamahaルーターの設定情報の投入・確認には、限界が有ると言うことです。
簡易Webメニューは、あくまでも基本的な設定のみの確認が出来るものと判断下されば良いかと考えます。
RTX1000やRTX1100世代では、「WWWブラウザ設定支援機能」と言っていましたが、基本的に機能設定の制限が有るものとして、Yamaha側も広報しております。
※ http://www.rtpro.yamaha.co.jp/RT/docs/web_assistance/
RTX1200やRTX810では、上記の要素が有ったため、ユーザー自身でカスタムGUIを作成し、ルーターのメニュー機能追加する仕様を追加しております。
※ http://jp.yamaha.com/products/network/solution/custom_gui/
※ http://www.rtpro.yamaha.co.jp/RT/docs/custom-gui/index.html
カスタムGUIを作成する要素まで、現時点では必要性が無いかと存じますので、Yamaha側にてファームウェア更新されるまで、お待ち下さいと言う事です。
書込番号:19458995
1点
自宅での設定はオーケーですか?HGWは変えないですか?
完了ならば会社に行って作業しますが?
書込番号:19459008 スマートフォンサイトからの書き込み
0点
L2TPv3トンネルの設定が、未だ接続情報欠落していますよ。
tonnel select 1
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-1
l2tp syslog on
l2tp local router-id 192.168.100.1
l2tp remote router-id 192.168.100.2
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
↑ 上記のコマンドが欠落していますと、 会社側からアクセスした際にトンネル認証されませんよ。
「l2tp tunnel disconnect time 600」と「l2tp keepalive use off」が投入されていては、まずいです。
L2TPリモートアクセスから転記されたのですか?
L2TPv3トンネルの場合、常時切断・切断無しのトンネルですので、投入は×です。
書込番号:19459015
0点
L2TPリモートアクセス(モバイル用)のトンネルも設定忘れてますよ。
pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin ***.***.
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
pp select none
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text ***.***.
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
tunnel enable 2
上記のコマンドを投入して下さい。
書込番号:19459021
0点
>sorio-2215さん
こんどはどうですか?
ip routing process fast
ip route default gateway 192.168.0.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.1/24
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.0.254/24
ip lan2 secure filter in 101004 101005 101006 101007 101020 101021 101022 101023 101024 101025 101030 101032 101099
ip lan2 secure filter out 101020 101021 101022 101023 101024 101025 101099
ip lan2 nat descriptor 200
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:auひかり
pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin ***.***.
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ***.***.
ipsec ike remote address 1 any
l2tp always-on on
l2tp hostname RTX810-1
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time 600
l2tp keepalive use off
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.100.1
l2tp remote router-id 192.168.100.2
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text ***.***.
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.1 udp * 4500
ip filter 101005 pass * 192.168.100.1 udp * 1701
ip filter 101006 pass * 192.168.100.1 udp * 500
ip filter 101007 pass * 192.168.100.1 esp * *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.100.1-192.168.100.254
nat descriptor masquerade static 200 1 192.168.100.1 udp 500
nat descriptor masquerade static 200 2 192.168.100.1 esp
nat descriptor masquerade static 200 3 192.168.100.1 udp 1701
nat descriptor masquerade static 200 4 192.168.100.1 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 2 2 udp 1701
syslog debug on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.3-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on l2tpv3
httpd host 192.168.100.3-192.168.100.254
alarm entire off
#
書込番号:19459048
0点
LTEからVPNにはいれないです。サーバーが反応しませんとのことです。
書込番号:19459067 スマートフォンサイトからの書き込み
0点
あっ。
tunnel select 1 の l2tp tunnel disconnect time 600 は、まずいです。
l2tp tunnel disconnect time off、l2tp keepalive use on 60 3 に変更下さい。
tunnel select 1
l2tp tunnel disconnect time 600
l2tp keepalive use on 60 3
書込番号:19459073
0点
L2TPv3とL2TPの併用ですよね。
l2tp service on l2tpv3
↓
l2tp service on
上記のコマンドと登録し直しにて、接続出来ませんか?
書込番号:19459074
0点
tunnel select 1
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
↑でした。誤入力です。登録し直し下さい。
書込番号:19459084
0点
AU-HGWの設定ですが、静的IPマスカレード登録では無く、DMZホスト設定に戻してからお試し下さい。
DMZホスト設定・・192.168.0.254/24、静的ルーティング・・宛先192.168.100.0/24、宛先ゲートウェイ192.168.0.254
書込番号:19459092
0点
ポートマッピングはそのままですか?
VPNは接続しましたが、ネットワークの中には入れていません。
書込番号:19459106
0点
最新コンフィグ。
ip routing process fast
ip route default gateway 192.168.0.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.1/24
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.0.254/24
ip lan2 secure filter in 101004 101005 101006 101007 101020 101021 101022 101023 101024 101025 101030 101032 101099
ip lan2 secure filter out 101020 101021 101022 101023 101024 101025 101099
ip lan2 nat descriptor 200
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:auひかり
pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin ***.***.
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ***.***.
ipsec ike remote address 1 any
l2tp always-on on
l2tp hostname RTX810-1
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.100.1
l2tp remote router-id 192.168.100.2
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text ***.***.
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.1 udp * 4500
ip filter 101005 pass * 192.168.100.1 udp * 1701
ip filter 101006 pass * 192.168.100.1 udp * 500
ip filter 101007 pass * 192.168.100.1 esp * *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.100.1-192.168.100.254
nat descriptor masquerade static 200 1 192.168.100.1 udp 500
nat descriptor masquerade static 200 2 192.168.100.1 esp
nat descriptor masquerade static 200 3 192.168.100.1 udp 1701
nat descriptor masquerade static 200 4 192.168.100.1 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 2 2 udp 1701
syslog debug on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.3-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on
httpd host 192.168.100.3-192.168.100.254
alarm entire off
#
書込番号:19459126
0点
最新Configとしては、間違いは認識出来ませんので、会社の方に取りかかって貰っても良いかと存じます。
L2TPリモートアクセスについては、調べておきます。(会社の端末認識出来ましたか?)
会社のRTX810ルーターのL2TPv3トンネル接続完了後でも、微細な変更にて、リモートアクセスについては、自宅RTX810ルーターのみの調整で可能かと存じます。
書込番号:19459141
0点
会社のコンフィグです。ネットに出られません。
ip routing process fast
ip route default gateway 192.168.99.1
ip route 192.168.0.0/16 gateway tunnel 1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.99.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.2/24
ip lan1 address 192.168.100.2/24
ip lan1 proxyarp on
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.99.254/24
ip lan2 mtu 1454
ip lan2 nat descriptor 200
ip lan2 arp static 192.168.100.1 00:25:36:53:4b:cb
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI蛛縺險螳
tunnel select 1
tunnel name IPsec(莨夂)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.2
ipsec ike local name 1 ipsec1 key-id
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text *******
ipsec ike remote address 1 ***.***.14.4
l2tp always-on on
l2tp hostname RTX810-2
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.100.2
l2tp remote router-id 192.168.100.1
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel rip send on version 2
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.103.0/24 * * * *
ip filter 101004 pass * 192.168.103.0/24 icmp * *
ip filter 101005 pass * 192.168.103.0/24 established * *
ip filter 101006 pass * 192.168.103.0/24 tcp * ident
ip filter 101007 pass * 192.168.103.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.103.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.103.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.103.0/24 * * *
ip filter 101014 pass * 192.168.103.0/24 udp * ntp
ip filter 101015 pass * 192.168.103.0/24 udp ntp *
ip filter 101016 pass * 192.168.103.1 udp * 500
ip filter 101017 pass * 192.168.103.1 esp * *
ip filter 101018 pass * 192.168.103.1 udp * 1701
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.100.254
nat descriptor address inner 200 192.168.100.254 192.168.103.1-192.168.103.254
nat descriptor masquerade static 200 1 192.168.103.1 udp 500
nat descriptor masquerade static 200 3 192.168.103.1 udp 1701
nat descriptor masquerade static 200 4 192.168.103.1 udp 4500
rip use on
ipsec auto refresh on
ipsec ike mode-cfg address pool 1 192.168.103.200-192.168.103.210/32
syslog debug on
telnetd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.103.3-192.168.103.99/24
dns server 192.168.100.1
dns server dhcp lan2
dns private address spoof on
l2tp service on l2tpv3
httpd host 192.168.100.3-192.168.100.254
alarm entire off
sshd service on
sshd host 192.168.100.3-192.168.100.254
sshd host key generate *
sftpd host 192.168.100.3-192.168.100.254
#
書込番号:19461843
0点
NATのルール間違ってますよ。 DHCPサーバは不要です。
以下誤りです。
nat descriptor address outer 200 192.168.100.254
nat descriptor address inner 200 192.168.100.254 192.168.103.1-192.168.103.254
nat descriptor masquerade static 200 1 192.168.103.1 udp 500
nat descriptor masquerade static 200 3 192.168.103.1 udp 1701
nat descriptor masquerade static 200 4 192.168.103.1 udp 4500
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.103.3-192.168.103.99/24
dns server 192.168.100.1
下記に変更下さい。 (TeraTermより、そのまま登録願います)
nat descriptor address outer 200 primary
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.100.2 udp 500
nat descriptor masquerade static 200 2 192.168.100.2 esp
nat descriptor masquerade static 200 3 192.168.100.2 udp 1701
nat descriptor masquerade static 200 4 192.168.100.2 udp 4500
no dhcp service server
no dhcp server rfc2131 compliant except remain-silent
no dhcp scope 1 192.168.103.3-192.168.103.99/24
dns server 192.168.99.1
dns server dhcp lan2
no ipsec ike mode-cfg address pool 1 192.168.103.200-192.168.103.210/32
telnetd host 192.168.100.3-192.168.100.254
先刻の話のように、NTT-HGWのIPを192.168.99.1へ変更、静的IPマスカレードの削除(ポートマッピングの削除)、DMZホストに192.168.99.254の登録、LAN側静的ルーティングの設定(宛先192.168.100.0/24、宛先ゲートウェイ192.168.99.254)をして下さい。
書込番号:19461876
0点
補足です。
「dns server 192.168.100.1」は、間違いですので、削除願います。
↓
no dns server 192.168.100.1 を実行すれば削除出来ます。
書込番号:19461881
0点
IPフィルタの記述も間違っています。
ip filter 101003 reject 192.168.103.0/24 * * * *
ip filter 101004 pass * 192.168.103.0/24 icmp * *
ip filter 101005 pass * 192.168.103.0/24 established * *
ip filter 101006 pass * 192.168.103.0/24 tcp * ident
ip filter 101007 pass * 192.168.103.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.103.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.103.0/24 udp domain *
ip filter 101013 reject * 192.168.103.0/24 * * *
ip filter 101014 pass * 192.168.103.0/24 udp * ntp
ip filter 101015 pass * 192.168.103.0/24 udp ntp *
↑ 192.168.103.0/24を 192.168.100.0/24へ差替え登録し直し下さい。
以下のIPフィルタも間違っています。
ip filter 101016 pass * 192.168.103.1 udp * 500
ip filter 101017 pass * 192.168.103.1 esp * *
ip filter 101018 pass * 192.168.103.1 udp * 1701
↑ 192.168.103.1を 192.168.100.2に差替え登録下さい。
書込番号:19461890
0点
トンネル1のAU光宛ての接続設定も投入されていませんよ。
tunnel select 1
tunnel endpoint address 192.168.100.2 ***.***.***.*** (AUひかりグローバルIP)
ipsec ike remote address 1 ***.***.***.*** (AUグローバルIP)
↑両方のコマンドが、キチンと投入されていませんと、VPN接続認証されません。
***.***.****.*** は、 AU光・グローバルIPに差替え投入下さい。
書込番号:19461914
0点
例によって、ブリッジモードのアドレスが、混在しています。
no ip lan1 address 192.168.100.2/24
を実行下さい。
書込番号:19462106 スマートフォンサイトからの書き込み
0点
>sorio-2215さん
お世話になります。
会社コンフィグです。ルーターからHGW 192.168.99.1に接続できません。
ip routing process fast
ip route default gateway 192.168.99.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.99.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.2/24
ip lan1 address 192.168.100.1/24
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.99.254/24
ip lan2 mtu 1454
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.100.2 au IP address
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.2
ipsec ike local name 1 ipsec1 key-id
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 au IP address
l2tp always-on on
l2tp hostname RTX810-2
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.100.2
l2tp remote router-id 192.168.100.1
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.103.0/24 * * *
ip filter 101016 pass * 192.168.100.2 udp * 500
ip filter 101017 pass * 192.168.100.2 esp * *
ip filter 101018 pass * 192.168.100.2 udp * 1701
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
nat descriptor address outer 200 primary
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.100.2 udp 500
nat descriptor masquerade static 200 2 192.168.100.2 esp
nat descriptor masquerade static 200 3 192.168.100.2 udp 1701
nat descriptor masquerade static 200 4 192.168.100.2 udp 4500
telnetd host 192.168.100.3-192.168.100.254
dns server dhcp lan2
dns private address spoof on
l2tp service on l2tpv3
httpd host 192.168.100.3-192.168.100.254
alarm entire off
sshd service on
sshd host 192.168.100.3-192.168.100.254
sftpd host 192.168.100.3-192.168.100.254
#
書込番号:19462339
0点
只今出先より、帰社してきました。
まだ LAN1不要アドレス設定が残ってますよ。
「no ip lan1 address 192.168.100.1/24」を実行下さい。(TeraTermより)
※ ip bridge1 address 192.168.100.2/24 との混在は、まずいです。
会社RTX810ルーターのアドレスは、あくまでも192.168.100.2/24です。
L2TPv3ブリッジモード機能を有効にしていますが、会社RTX810ルーターは192.168.100.2/24です。
DNSサーバのアドレス設定が、未だ投入されていませんよ。
「dns servver 192.168.99.1」を登録下さい。
書込番号:19462557
0点
先刻の対話の通り、192.168.100.1/24は、自宅RTX810ルーターのIP(ブリッジ有り)に設定されていますので、(会社RTX810ルーターのIPを192.168.100.1/24にすると)IPアドレスの重複処理になります。
L2TPv3-VPNの本旨として、会社・自宅のセグメントは、同一セグメントの管理が出来る仕様になっていますが、IPアドレスの重複はまずい点、DHCPサーバの処理は、自宅RTX810ルーターの処理から、会社RTX810へのIPアドレス付帯処理となります。
書込番号:19462568
0点
補足です。
もし、会社RTX810へログインされたい場合には、仮想ブリッジアドレスと同一のアドレス設定でなければ、ログイン出来ないかと存じます。
ip lan1 address 192.168.100.2/24
↑ 通常は必要ありませんが、もしコマンド設定すると言うことであれば、投入下さい。
書込番号:19462659
0点
1.相変わらずルーター(192.168.100.2)からHGW(192.168.99.1)に入れません。
2. ipsec ike local name 1 ipsec1 key-id ←key-id部分はadminが正解ですか?
以下会社コンフィグです。
ip routing process fast
ip route default gateway 192.168.99.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.99.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.2/24
ip lan1 address 192.168.100.2/24
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.99.254/24
ip lan2 mtu 1454
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.100.2 au IP
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.2
ipsec ike local name 1 ipsec1 key-id
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ********
ipsec ike remote address 1 au IP
l2tp always-on on
l2tp hostname RTX810-2
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.100.2
l2tp remote router-id 192.168.100.1
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101016 pass * 192.168.100.2 udp * 500
ip filter 101017 pass * 192.168.100.2 esp * *
ip filter 101018 pass * 192.168.100.2 udp * 1701
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
nat descriptor address outer 200 primary
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.100.2 udp 500
nat descriptor masquerade static 200 2 192.168.100.2 esp
nat descriptor masquerade static 200 3 192.168.100.2 udp 1701
nat descriptor masquerade static 200 4 192.168.100.2 udp 4500
telnetd host 192.168.100.3-192.168.100.254
dns server 192.168.99.1
dns server dhcp lan2
dns private address spoof on
l2tp service on l2tpv3
httpd host 192.168.100.3-192.168.100.254
alarm entire off
sshd service on
sshd host 192.168.100.3-192.168.100.254
sftpd host 192.168.100.3-192.168.100.254
#
書込番号:19463199
0点
下記のコマンドを投入しても、HGWへのアクセス出来ませんか?
nat descriptor address outer 200 192.168.99.254
nat descriptor address inner 200 auto
HGW側のDMZホストの設定192.168.99.254(外部からのパケットをすべて特定ホストに中継するにチェック)と、LAN側静的ルーティングの設定(宛先IPアドレス192.168.100.0/24、宛先ゲートウェイ192.168.99.254)がキチンと反映していましたら、アクセス出来る筈ですが。
書込番号:19463274
0点
>sorio-2215さん
こんばんは。
HGWのLAN側静的ルーティングエントリの設定は既にしていたのですが、「有効」にチェック漏れてました。
これでRTX経由でネットとHGWに行けるようになりました。
次はトンネルの接続ですね。
key-id 部分はどうですか??
書込番号:19463299
0点
2. ipsec ike local name 1 ipsec1 key-id ←key-id部分はadminが正解ですか?
↑の件ですが、自宅RTX810には、リモートネームのコマンドが未登録ですので、コマンド自体不要です。
「ipsec ike local name 1 ipsec1 key-id」のコマンドを適用させたい場合には、自宅RTX810ルーターのトンネルに、「ipsec ike remote name 1 ipsec1 key-id」の登録が必要です。
L2TPv3-VPNでは、リモートネーム→ローカルネームの名称解決は、必ずしも必要ではありませんので、削除しても良いかと存じます。
tunnel select 1
no ipsec ike local name 1 ipsec1 key-id
↑のコマンドを投入下さい。
ローカルネームのコマンド削除出来ます。
書込番号:19463327
0点
補足ですが、最終・自宅RTX810ルーターのConfigを見ますと、トンネル1に「ipsec ike remote name 1 ipsec1」が投入されていませんので、会社のトンネル1には、「ipsec ike local name 1 ipsec1」は不要と言う事です。
会社端末から、自宅AU-HGWへのアクセスには192.168.0.1へアクセス、自宅RTX810ルーターには192.168.100.1にてアクセス、逆に自宅端末から会社NTT-HGWへのアクセスには192.168.99.1にてアクセス、RTX810ルーターには192.168.100.2にてアクセスと言ったイメージになります。
VPN接続されているかどうかは、会社端末のLAN設定をDHCPから自動取得に設定して、IPアドレスが自動的に振られていればOKです。(192.168.100.***、自宅RTX810からのアドレス)
書込番号:19463353
0点
>会社端末から、自宅AU-HGWへのアクセスには192.168.0.1へアクセス、自宅RTX810ルーターには192.168.100.1にてアクセス、逆に自宅端末から会社NTT-HGWへのアクセスには192.168.99.1にてアクセス、RTX810ルーターには192.168.100.2にてアクセスと言ったイメージになります。
> VPN接続されているかどうかは、会社端末のLAN設定をDHCPから自動取得に設定して、IPアドレスが自動的に振られていればOKです。(192.168.100.***、自宅RTX810からのアドレス)
上記全て失敗です。
質問
VPNが繋がっていてもRTXでは(以前は見えた)トンネルが繋がる「絵」は出ないのですか???
書込番号:19463404
0点
UDP1701のトランスポート・コマンドを投入指示忘れてました。
自宅RTX810ルーター
ipsec transport 1 1 udp 1701
会社RTX810ルーター
ipsec transport 1 1 udp 1701
ついでに安定性の観点から、
会社RTX810ルーターのリモート・ネーム、ローカルネームの登録をして置いた方が良いかと考えます。(key-id無し)
会社RTX810ルーター
tunnel select 1
ipsec ike local name 1 ipsec1
自宅RTX810ルーター
tunnel select 1
ipsec ike remote name 1 ipsec1
念のためですが、
会社RTX810ルーターの
「tunnel select 1 → ipsec ike pre-shared-key 1 text ***.***.」
と
自宅RTX810ルーターの
「tunnel select 1 → ipsec ike pre-shared-key 1 text ***.***.」
は、キチンと同一のものになっているか、確認下さい。
書込番号:19463410
0点
>sorio-2215さん
質問
LTEからの接続も未だ成功していません。このことと現在の問題(VPNが繋がらない)は関係ないのでしょうか?
そろそろ帰宅します。LTE問題ならば自宅だけで解決できそうですので、できればコチラからやりませんか?
書込番号:19463422
0点
質問
VPNが繋がっていてもRTXでは(以前は見えた)トンネルが繋がる「絵」は出ないのですか???
↑の件ですが、Yamahaルーターの「WWWブラウザ設定支援機能」については、一部機能についてのステータス確認や、ごく簡易的なものに尽きるので、全ての構成が簡易ステータスとして視聴出来るとは、保証しておりません。
先刻の説明通りファームウェア更新待ちになります。
若しくは、構築に慣れてきましたら、カスタムGUIを作成する方法も有りますが、ファームウェア待ちにされた方が良いかと考えます。
書込番号:19463435
0点
コンフィグです。自宅に帰りますのでVPNが接続しない限り会社のルーターをいじることはもうできません。
ip routing process fast
ip route default gateway 192.168.99.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.99.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.2/24
ip lan1 address 192.168.100.2/24
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.99.254/24
ip lan2 mtu 1454
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.100.2 auIP
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.2
ipsec ike local name 1 ipsec1 key-id
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ********
ipsec ike remote address 1 auIP
l2tp always-on on
l2tp hostname RTX810-2
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.100.2
l2tp remote router-id 192.168.100.1
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101016 pass * 192.168.100.2 udp * 500
ip filter 101017 pass * 192.168.100.2 esp * *
ip filter 101018 pass * 192.168.100.2 udp * 1701
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
nat descriptor address outer 200 192.168.99.254
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.100.2 udp 500
nat descriptor masquerade static 200 2 192.168.100.2 esp
nat descriptor masquerade static 200 3 192.168.100.2 udp 1701
nat descriptor masquerade static 200 4 192.168.100.2 udp 4500
ipsec transport 1 1 udp 1701
telnetd host 192.168.100.3-192.168.100.254
dns server 192.168.99.1
dns server dhcp lan2
dns private address spoof on
l2tp service on l2tpv3
httpd host 192.168.100.3-192.168.100.254
alarm entire off
sshd service on
sshd host 192.168.100.3-192.168.100.254
sftpd host 192.168.100.3-192.168.100.254
#
書込番号:19463454
0点
自宅コンフィグです。コマンド投入後もVPNは繋がりません。
ip routing process fast
ip route default gateway 192.168.0.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.1/24
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.0.254/24
ip lan2 secure filter in 101004 101005 101006 101007 101020 101021 101022 101023 101024 101025 101030 101032 101099
ip lan2 secure filter out 101020 101021 101022 101023 101024 101025 101099
ip lan2 nat descriptor 200
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:auひかり
pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin ******
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ******
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1 key-id
l2tp always-on on
l2tp hostname RTX810-1
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.100.1
l2tp remote router-id 192.168.100.2
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text ******
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.1 udp * 4500
ip filter 101005 pass * 192.168.100.1 udp * 1701
ip filter 101006 pass * 192.168.100.1 udp * 500
ip filter 101007 pass * 192.168.100.1 esp * *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.100.1-192.168.100.254
nat descriptor masquerade static 200 1 192.168.100.1 udp 500
nat descriptor masquerade static 200 2 192.168.100.1 esp
nat descriptor masquerade static 200 3 192.168.100.1 udp 1701
nat descriptor masquerade static 200 4 192.168.100.1 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipsec transport 2 2 udp 1701
syslog debug on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.3-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on
httpd host 192.168.100.3-192.168.100.254
alarm entire off
#
書込番号:19463529
0点
RTX810ルーターのコマンドにて、
「show ipsec sa」、「show log」、「show ipsec sa gateway 1 detail」の状態を教えて下さい。
上記情報確認後、AU-HGWの再起動→RTX810の再起動を確認下さい。
※ RTX810は、コマンドからrestart
書込番号:19463688
0点
>sorio-2215さん
>「show ipsec sa」、「show log」、「show ipsec sa gateway 1 detail」
show log だけ膨大なログが出ました。他2つは特段の出力はないです。
書込番号:19463719
0点
show log の一部。多数回繰り返されています。
2016/01/05 09:39:09: [IKE] respond ISAKMP phase to ***.***.28.156
2016/01/05 09:39:09: [IKE] add ISAKMP context [5218] de3e2da6536b080c 00000000
2016/01/05 09:39:09: [IKE] receive message from unknown gateway ***.***.28.156
2016/01/05 09:39:10: [IKE] inactivate context [5218] de3e2da6536b080c 00000000
2016/01/05 09:39:10: [IKE] delete ISAKMP context [5218] de3e2da6536b080c 000000
00
2016/01/05 09:39:19: [IPv6] prefix 240f:e2:10dd:1::/64 (vlife: 300, plife: 300)
is assigned from LAN2 (RA)
書込番号:19463743
0点
VPN認証とIPV6インターネット認証の掛け違いの現象が起きている様です。
全てのログを見ている訳ではありませんが、一時AU-HGWから配信されるIPV6の通信を、RTX810側で停止して頂けますか?
no ipv6 prefix 1 ra-prefix@lan2::/64
no ipv6 lan1 address auto
no ipv6 lan1 prefix ra-prefix@lan2::/64
no ipv6 lan1 rtadv send 1 2 o_flag=on
↑にて、IPV6機能停止出来る筈です。
後日、会社側RTX810ルーターのIPV6停止も確認願います。
no ipv6 routing process fast
no ipv6 prefix 1 ra-prefix@lan2::/64
no ipv6 lan1 address auto
no ipv6 lan1 prefix ra-prefix@lan2::/64
no ipv6 lan1 rtadv send 1 2 o_flag=on
no ipv6 lan2 dhcp service client ir=on
書込番号:19463920
0点
>sorio-2215さん
自宅側RTXにコマンド投入しました。まだ接続しません。
ところで疑問があります。何故IPv6を使うのですか?以前説明した通り会社側のニフティ回線ではIPv6の使用を停止しています。理由は当方の認識しない方法で勝手にインターネットに繋がる状態を止めるためです。
またIPv6関連の設定は私自身が全く不明瞭のため今回の設定から完全に取り払ってほしいです。
以上ご検討願います。
書込番号:19464128
0点
IPV6の自動併用になっているのは、AU光の方が自動併用されていますので、完全なIPV6の遮蔽は出来ないかと存じます。
Nifty側を停止しても、AU側は自動付帯サービスで、停止することは出来ない為です。
AU-HGWの設定を見ると解るかと存じますが、IPV6を停止する設定が無いかと考えます。
総体のConfigを確認しました。(特にConfig上の問題は無いかと存じます)
ログ表記を見ますと、L2TPv3認証のための表示(receive message from unknown gateway ***.***.28.156)が有りますが、会社RTX810ルーターのL2TPv3の暗号化キーのやりとりで失敗している様です。
会社RTX810ルーターの暗号化キーを更新するコマンドが欠如されている様です。
会社RTX810ルーターへ「ipsec auto refresh on」をコマンド投入下さい。
(念のための確認ですが) 自宅RTX810ルータートンネル1の「ipsec ike pre-shared-key 1 text ******」のキーと、会社RTX810ルーターの「ipsec ike pre-shared-key 1 text ********」のキーが違う文字列でのエラー認識されていないか、同じく会社RTX810ルータートンネル1の「tunnel endpoint address 192.168.100.2 au IP」と、「ipsec ike remote address 1 auIP」の、AUグローバルIPの確認もしておいて下さい。
上記トンネル1の暗号化キー(pre-shared-key)が、双方とも同じものが設定されているか再確認、再度自宅AU-HGWのステータスにてAUグローバルIPを確認し、そのグローバルIPが、会社RTX810の該当箇所の数値と合致しているか、確認下さい。
同一セグメントの特定VPN設定のため、AU-HGW及び自宅RTX810の再起動(コマンド→restart)はしましたか?
再起動後でなければ、正常なVPN接続機能とはならない為、確認下さい。
その後、会社NTT-HGWの再起動→会社RTX810ルーターの再起動(コマンド→restart)をして欲しいのですが、その前に念のため 「no ip lan1 address 192.168.100.2/24」実行にて、会社RTX810ルーターへの192.168.100.2のブリッジのみの反映出来ているか、ブラウザにて、会社RTX810ルーターの簡易Webメニュー表示出来るか確認下さい。
書込番号:19464544
0点
会社RTX810ルーターの暗号化キーを更新するコマンドが欠如されている様です。
会社RTX810ルーターへ「ipsec auto refresh on」をコマンド投入下さい。
↑結構重要です。
自宅RTX810ルーターには、自動的に設定投入された状態の様でしたが、何らかの要因にて会社側RTX810のVPN暗号化キーの更改をするコマンドが欠如していた様です。
自宅RTX810ルーターの方にも、先刻のConfigを見ると投入されていましたが、再度確認しておいて下さい。
自宅・会社双方、即時VPN暗号化キーの手動交換をさせるためのコマンドも有ります。
自宅・会社RTX810のコマンド実行にて、「ipsec refresh sa」を実行下さい。
AUTO更新だけでは無く、手動交換されるコマンドです。
書込番号:19464566
0点
>sorio-2215さん
おはようございます。
自宅ルーターに指示されたコマンド投入したほか設定の確認→HGW再起動→RTX再起動
しました。しばらくしたら会社に行って残りの作業をします。
またよろしくお願いします。
書込番号:19464672
0点
>sorio-2215さん
自宅でのネットの速度が急に遅くなっています。ルーターを外して計測して650M、ルーター経由で90Mです。昨夜はいつも通りのスピードでしたから今朝の設定変更が影響していると思います。
対策はありますか?
書込番号:19464985
0点
L2TPv3/IPSECのネットワークが稼働後に、AU光のIPV6(ギガビット・オプション)の通信を許容させるしか無いですね。
※先刻のIPV6-RAプレフィックスの設定を戻して下さい。
ipv6 prefix 1 ra-prefix@lan2::/64
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
基本的に、AU光の場合IPV4/IPV6デュアルスタック接続回線のため、通常はIPV6オプションの設定を投入していても問題は無いのですが、VPNルーターの特定仕様やスペックによって、IPV4-Web認証+VPN認証と、IPV6インターネット排他認証に、性能の差が出るルーターも有ります。
AU-HGWのIPV6ギガビット機能の排他制御のためですが、AU-HGWのトップページ>詳細設定>DHCPv6サーバ設定にて、設定1のモードになっているか(RA広告のみ配信)だけは、確認しておいて下さい。
不要なDHCPv6からのIPV6アドレス配信まで有効ですと、配下のRTX810での通信負荷が高くなるだけで、メリットは無いです。
書込番号:19465068
0点
設定を戻しhgwとrtx810を再起動させても遅いままです。
書込番号:19465224 スマートフォンサイトからの書き込み
0点
AU光の中継ギガビット適用に戻っているかどうかは、KDDIスピードチェック・サービスか、IIJスピードテストなどが、正式なIPV6ギガビット・スループット計測が出来る様になっております。
計測サイトですが、KDDI若しくはIIJサービスでの計測でしょうか?
それ以外ですと、正確な数値測定は困難かと。
※ http://www.au.kddi.com/internet/auhikari/speed-check/
※ http://speedtest6.iijmio.jp/
↑ IPV6アドレスが付帯されていれば、KDDIのギガビット回線機能の適用が、RTX810中継されていると判断可能かと。
書込番号:19465318
1点
L2TPv3/IPSECの接続検証前に、IPV6-RAプレフィックス設定を戻したのですか?
書込番号:19465323
0点
モバイル・スマホ用のL2TP/IPSECの接続ネットワークIP取得(自宅RTX810ルーター)が、もしうまくいかない場合には、RTX810ルーターの簡易Webメニューから、既存のトンネル2はL2TPトンネルとして認識しているかと存じますが、そのトンネル2のみ一度削除し、再度簡易Webメニューから、L2TP/IPSECの登録を実施してみて下さい。
※ [トップ] > [詳細設定と情報] > [VPN接続の設定] →Anonymousの方を削除
[トップ] > [詳細設定と情報] > [VPN接続の設定] > [VPN接続の登録] PP[02]または
TUNNEL[02] →L2TP/IPsecを使用したリモートアクセスVPNサーバー(Anonymous)の登録を実施下さい。
書込番号:19465371
0点
トンネル1は、L2TPv3トンネルですので、設定は触れずに願います。
書込番号:19465378
0点
http://speedtest6.iijmio.jp/
このサイトにアクセスしたところipv6項目を選べませんでした。速度測定はいつも2つのサイトのうち、上段のサイトでやっています。
その結果が先ほどの速度差です。HGWではipv6の配布をしないになっています。
まだ会社に行ってないので接続が確立する前に設定を元に戻しています。
書込番号:19465459
0点
IIJサイトで、IPV6の選択がグレーアウトしている状態ですと、IPV6の中継されていない状態ですので、IPV6-RAプレフィックス設定が反映していない状態ですので、本来のスループット計測では無いです。
書込番号:19465506
0点
auで650Mbpsでているのですが、何か問題でも?
但しヤマハを通すと90Mbpsになりますのでこまります。
書込番号:19465552 スマートフォンサイトからの書き込み
0点
IPV6-RAプレフィックスの設定を、VPN認証後に反映して下さい。
IPV6RAプレフィックスの認証には、一度認証情報を切断しますと、IPV6リンクローカル認証から、本来の性能になるのに、時間がかかります。
KDDIだけでは無く、NTTやSoftbank等も同様ですが、キャリア側にて顧客のRA配信でのネットワーク端末認識されるまでのタイムロスは有りますので、仕方ないです。
IPV6-RAプレフィックスの設定コマンドを投入して、最長2〜3時間程度本来の性能になるまで保留待ちになる点や、ケースによっては、IPV6-RAプレフィックスの設定後に再度RTX810ルーターの再起動から、接続端末に正常なIPV6リンクローカルアドレスが付帯されるまで、遅延待ちは仕方ないです。
書込番号:19465591
0点
AU側で650Mbps検出しているのは、HGWの認証がKDDI側IPV6ネットワーク網から認証されている為で、その配下に有るRTX810のWAN側→LAN側を通じて、接続端末のIPV6認証通過の正常なリンクローカルアドレスが付帯される状態にしませんと、本来の性能にならないと言う事です。
HGW配下へのIPV6リンクローカル認証には、時間がかかると言うことです。
書込番号:19465612
0点
以下参考までに。
※ http://jp.yamaha.com/products/network/solution/flets/flets_other_service/flets-next-ipv6_ipoe-rtx1200/
↑ IPV6ネットワーク認証設定の設定例です。
書込番号:19465652
0点
うーん相変わらずiPhoneからの接続もダメですね。
サーバーが応答しませんとなります。
書込番号:19465841 スマートフォンサイトからの書き込み
0点
先刻の簡易WebメニューからのL2TP/IPSEC(Anonymousアカウント)での接続設定(トンネル2)を削除→再度Webメニューから再度登録設定をしてみて下さい。
L2TPリモートアクセス・トンネルについては、それが早いかと。
その際にAnonymousアカウント(ID:admin/パスワード:****)は、当初のアカウントとパスワードにて、登録下さい。
その際の暗号化キー(pre-shared-key 2 text ******)の部分も、当初のキーを確認登録し直し下さい。
その後、再度コマンドにて、切断タイマーの登録も確認下さい。
tunnel select 2
l2tp tunnel disconnect time 600
l2tp keepalive use off
書込番号:19465894
0点
やっぱりiphoneから繋がらないです。
iphoneの設定
タイプ:L2TP
サーバー:auのグローバルip
アカウント:admin
PW:****
シークレット:****
全ての信号を送信:オン
プロキシ:オフ
以下最新コンフィグです。
ip routing process fast
ip route default gateway 192.168.0.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.1/24
ip lan1 proxyarp on
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.0.254/24
ip lan2 secure filter in 101020 101021 101022 101023 101024 101025 101030 101032 101099
ip lan2 secure filter out 101020 101021 101022 101023 101024 101025 101099
ip lan2 nat descriptor 200
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:auひかり
pp select anonymous
pp name モバイル用
pp bind tunnel2
pp auth request chap-pap
pp auth username admin password
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1 key-id
l2tp always-on on
l2tp hostname RTX810-1
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.100.1
l2tp remote router-id 192.168.100.2
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text password
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.100.1-192.168.100.254
rip use on
ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipsec transport 2 2 udp 1701
syslog debug on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.3-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on
httpd host 192.168.100.3-192.168.100.254
alarm entire off
#
書込番号:19465926
0点
先にL2TPv3/IPSEC(自宅・会社間)暗号化キーのエラーと、アクセスグローバルIP認識エラーの対応が先かと。
自宅・会社それぞれのRTX810ルーターのトンネル1の「ipsec ike pre-shared-key 1 text ***.***」の、***.***を、もっと簡易的な半角英数字にされた方が良いですよ。
会社RTX810ルーターの「tunnel endpoint address 192.168.100.2 ***.***.***.*** 」と、「ipsec ike remote address 1 ***.***.***.***」の、AUグローバルIP設定が、自宅側RTX810ルーターにて認識されていませんので、確認下さい。
書込番号:19465936
0点
下記コマンドが、そのままですが、L2TPの削除はされたのでしょうか?
pp select anonymous
no pp name モバイル用
no pp bind tunnel2
no pp auth request chap-pap
no pp auth username admin password
no ppp ipcp ipaddress on
no ppp ipcp msext on
no ip pp remote address pool dhcp
no ip pp mtu 1258
pp enable anonymous
tunnel select 2
no tunnel encapsulation l2tp
no ipsec tunnel 2
no ipsec sa policy 2 2 esp 3des-cbc md5-hmac
no ipsec ike keepalive log 2 off
no ipsec ike keepalive use 2 off
no ipsec ike nat-traversal 2 on
no ipsec ike pre-shared-key 2 text password
no ipsec ike remote address 2 any
no l2tp tunnel auth off
no l2tp tunnel disconnect time 600
no l2tp keepalive use off
no ip tunnel tcp mss limit auto
tunnel enable 2
tunnel select none
no ipsec transport 2 2 udp 1701
上記コマンドを実行後、簡易Webメニューから再登録して下さい。
不要なコマンドも有りますよ。(l2tp tunnel auth off)
コマンド登録では無く、再度L2TPのみ最初から設定をWebから登録下さい。
IOS側も、一度アカウントを削除し、再度VPNアカウントを登録し直し下さい。
IOS側の設定が間違っているか、(AUグローバルIP宛て admin/password、暗号化キー password) 程度しか無いです。
書込番号:19465971
0点
通常は必要無いかと思いますが、自宅・会社RTX810ルーターに「ip lan1 proxyarp on」のコマンド投入しても変わりませんか?
書込番号:19465996
0点
当方にて、調査しました所、RTX810ルーターの一部機能制限が有るらしく、L2TPv3/IPSECとL2TP/IPSECの併用される設定の場合、自宅RTX810ルーターに限定し、ProxyARPとLAN1のアドレス固定設定が投入されていないといけない条件が有る様です。
ip lan1 address 192.168.100.1/24
ip lan1 ip lan1 proxyarp on
上のコマンドを、自宅RTX810ルーターへTeratermから投入して、先刻のL2TPリモートアクセスもお試し下さい。
書込番号:19466113
0点
下記が正常なコマンドになるかと存じます。
自宅RTX810ルーター
ip routing process fast
ip route default gateway 192.168.0.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.1/24
ip lan1 address 192.168.100.1/24
ip lan1 proxyarp on
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ipv6 lan1 dhcp service server
ip lan2 address 192.168.0.254/24
ip lan2 mtu 1492
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:DHCP
provider ntpdate ntp.nict.jp
pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin password
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.100.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text passowrd1
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-1
l2tp syslog on
l2tp local router-id 192.168.100.1
l2tp remote router-id 192.168.100.2
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text password1
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.1 udp * 4500
ip filter 101005 pass * 192.168.100.1 udp * 1701
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.100.1 udp * 500
ip filter 101081 pass * 192.168.100.1 esp * *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.100.1-192.168.100.254
nat descriptor masquerade static 200 1 192.168.100.1 udp 500
nat descriptor masquerade static 200 2 192.168.100.1 esp
nat descriptor masquerade static 200 3 192.168.100.1 udp 1701
nat descriptor masquerade static 200 4 192.168.100.1 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipsec transport 2 2 udp 1701
syslog debug on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.3-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on l2tpv3
httpd host 192.168.100.3-192.168.100.254
alarm entire off
書込番号:19466172
0点
正常な会社RTX810ルーター
ip routing process fast
ip route default gateway 192.168.99.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.99.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.2/24
ip lan1 address 192.168.100.2/24
ip lan1 proxyarp on
ip lan2 address 192.168.99.254/24
ip lan2 mtu 1454
ip lan2 nat descriptor 200
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.100.2 ***.***.***.*** (AUグローバルIP)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.100.2
ipsec ike local name 1 ipsec1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password1
ipsec ike remote address 1 ***.***.***.*** (AUグローバルIP)
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-2
l2tp syslog on
l2tp local router-id 192.168.100.2
l2tp remote router-id 192.168.100.1
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.0/24 icmp * *
ip filter 101005 pass * 192.168.100.0/24 established * *
ip filter 101006 pass * 192.168.100.0/24 tcp * ident
ip filter 101007 pass * 192.168.100.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.100.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.100.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101014 pass * 192.168.103.0/24 udp * ntp
ip filter 101015 pass * 192.168.103.0/24 udp ntp *
ip filter 101016 pass * 192.168.100.2 udp * 500
ip filter 101017 pass * 192.168.100.2 esp * *
ip filter 101018 pass * 192.168.100.2 udp * 1701
ip filter 101019 pass * 192.168.100.2 udp * 4500
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.100.2 udp 500
nat descriptor masquerade static 200 2 192.168.100.2 esp
nat descriptor masquerade static 200 3 192.168.100.2 udp 1701
nat descriptor masquerade static 200 4 192.168.100.2 udp 4500
rip use on
ipsec auto refresh on
syslog debug on
telnetd host 192.168.100.3-192.168.100.254
dns server 192.168.99.1
dns private address spoof on
httpd host 192.168.100.3-192.168.100.254
l2tp service on l2tpv3
alarm entire off
sshd service on
sshd host 192.168.100.3-192.168.100.254
sshd host key generate *
sftpd host 192.168.100.3-192.168.100.254
書込番号:19466189
0点
会社のRTX810ルーターの「ipsec transport 1 1 udp 1701」も忘れずにチェック下さい。
書込番号:19466206
0点
自宅RTX810ルーターのイメージConfigですが、誤入力です。
「l2tp service on l2tpv3」では無く、「l2tp service on」です。
既に投入済みかと思いますが。
書込番号:19466218
0点
>sorio-2215さん
たはは・・。HGWまでも繋がらなくなりました。
ip routing process fast
ip route default gateway 192.168.0.1
ip route 192.168.0.0/24 gateway tunnel 2
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.1/24
ip lan1 address 192.168.100.1/24
ip lan2 address 192.168.0.254/24
ip lan2 secure filter in 101003 101020 101021 101022 101023 101024 101025 101030 101032
ip lan2 secure filter out 101013 101020 101021 101022 101023 101024 101025 101099 dynamic 101080 101081 101082 101083 101084 101085 101098 101099
provider lan1 name LAN:
provider lan2 name PRV/0/3/5/0/0/0:auひかり
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.1
ipsec ike nat-traversal 1 on
l2tp tunnel auth off
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
tunnel select 2
tunnel name モバイル用
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc
ipsec ike keepalive use 2 off
ipsec ike local address 2 192.168.100.1
ipsec ike pre-shared-key 2 text password
ipsec ike remote address 2 any
ipsec ike remote name 2 admin key-id
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.1 udp * 4500
ip filter 101005 pass * 192.168.100.1 udp * 1701
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.100.1 udp * 500
ip filter 101081 pass * 192.168.100.1 esp * *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
ipsec auto refresh on
syslog debug on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.3-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on
httpd host 192.168.100.3-192.168.100.254
alarm entire off
#
書込番号:19467187
0点
192.168.0.0/24へのアクセスが、L2TPリモートトンネルへ固定されてますよ。
先刻の当方説明のConfigを見ましたか? (どちらから、転記されましたか?)
L2TPモバイルのリモートアクセスのトンネルの設定になってませんよ。
不要・修正コマンドを投入下さい(下記をそのままコマンド実行下さい)
no ip route 192.168.0.0/24 gateway tunnel 2
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ipv6 lan1 dhcp service server
ip lan2 secure filter in 101004 101005 101020 101021 101022 101023 101024 101025 101030 101032 101080 101081 101099
ip lan2 secure filter out 101020 101021 101022 101023 101024 101025 101099
pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin password
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.100.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text passowrd
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-1
l2tp syslog on
l2tp local router-id 192.168.100.1
l2tp remote router-id 192.168.100.2
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text password
ipsec ike remote address 2 any
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
no ipsec ike local address 2 192.168.100.1
no ipsec ike remote name 2 admin key-id
tunnel enable 2
上記の修正コマンドを投入後、会社RTX810ルーターのConfigが、別紙になっているか確認下さい。
書込番号:19467708
0点
先刻の別紙分、会社RTX810ルーターの正常なConfigです。
ip routing process fast
ip route default gateway 192.168.99.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.99.1
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.2/24
ip lan1 address 192.168.100.2/24
ip lan1 proxyarp on
ip lan2 address 192.168.99.254/24
ip lan2 mtu 1454
ip lan2 nat descriptor 200
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.100.2 ***.***.***.*** (AUグローバルIP)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.100.2
ipsec ike local name 1 ipsec1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 ***.***.***.*** (AUグローバルIP)
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-2
l2tp syslog on
l2tp local router-id 192.168.100.2
l2tp remote router-id 192.168.100.1
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.0/24 icmp * *
ip filter 101005 pass * 192.168.100.0/24 established * *
ip filter 101006 pass * 192.168.100.0/24 tcp * ident
ip filter 101007 pass * 192.168.100.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.100.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.100.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101014 pass * 192.168.103.0/24 udp * ntp
ip filter 101015 pass * 192.168.103.0/24 udp ntp *
ip filter 101016 pass * 192.168.100.2 udp * 500
ip filter 101017 pass * 192.168.100.2 esp * *
ip filter 101018 pass * 192.168.100.2 udp * 1701
ip filter 101019 pass * 192.168.100.2 udp * 4500
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.100.2 udp 500
nat descriptor masquerade static 200 2 192.168.100.2 esp
nat descriptor masquerade static 200 3 192.168.100.2 udp 1701
nat descriptor masquerade static 200 4 192.168.100.2 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 1 1 udp 1701
syslog debug on
telnetd host 192.168.100.3-192.168.100.254
dns server 192.168.99.1
dns private address spoof on
httpd host 192.168.100.3-192.168.100.254
l2tp service on l2tpv3
alarm entire off
sshd service on
sshd host 192.168.100.3-192.168.100.254
sshd host key generate *
sftpd host 192.168.100.3-192.168.100.254
それと、自宅RTX810ルーターに、下記コマンドが削除されていますので、追加投入して下さい。
ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipsec transport 2 2 udp 1701
書込番号:19467714
0点
最終チェックとして、下記Configが正常な自宅RTX810ルーターの情報になります。
投入済みの情報と照らし合わせて、投入済みで間違っているものは、削除下さい。
ip routing process fast
ip route default gateway 192.168.0.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.1/24
ip lan1 address 192.168.100.1/24
ip lan1 proxyarp on
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ipv6 lan1 dhcp service server
ip lan2 address 192.168.0.254/24
ip lan2 mtu 1492
ip lan2 secure filter in 101004 101005 101020 101021 101022 101023 101024 101025 101030 101032 101080 101081 101099
ip lan2 secure filter out 101020 101021 101022 101023 101024 101025 101099
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:DHCP
provider ntpdate ntp.nict.jp
pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin password
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.100.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text passowrd
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-1
l2tp syslog on
l2tp local router-id 192.168.100.1
l2tp remote router-id 192.168.100.2
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text password
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.1 udp * 4500
ip filter 101005 pass * 192.168.100.1 udp * 1701
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.100.1 udp * 500
ip filter 101081 pass * 192.168.100.1 esp * *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.100.1-192.168.100.254
nat descriptor masquerade static 200 1 192.168.100.1 udp 500
nat descriptor masquerade static 200 2 192.168.100.1 esp
nat descriptor masquerade static 200 3 192.168.100.1 udp 1701
nat descriptor masquerade static 200 4 192.168.100.1 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipsec transport 2 2 udp 1701
syslog debug on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.3-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on
httpd host 192.168.100.3-192.168.100.254
alarm entire off
書込番号:19467736
0点
モバイルのL2TPリモートアクセスの接続ID(admin)で、接続パスワード(password)、暗号化キー(password)の条件になります。
書込番号:19467748
0点
>sorio-2215さん
自宅→会社 繋がりません。アイフォンもダメです。
自宅コンフィグ
ip routing process fast
ip route default gateway 192.168.0.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.1/24
ip lan1 address 192.168.100.1/24
ip lan1 proxyarp on
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ipv6 lan1 dhcp service server
ip lan2 address 192.168.0.254/24
ip lan2 mtu 1492
ip lan2 secure filter in 101004 101005 101020 101021 101022 101023 101024 101025 101030 101032 101080 101081 101099
ip lan2 secure filter out 101020 101021 101022 101023 101024 101025 101099
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:DHCP
provider ntpdate ntp.nict.jp
pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin password
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1 key-id
l2tp always-on on
l2tp hostname RTX810-1
l2tp tunnel auth off
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.100.1
l2tp remote router-id 192.168.100.2
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel name モバイル用
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text password
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.1 udp * 4500
ip filter 101005 pass * 192.168.100.1 udp * 1701
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.100.1 udp * 500
ip filter 101081 pass * 192.168.100.1 esp * *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.100.1-192.168.100.254
nat descriptor masquerade static 200 1 192.168.100.1 udp 500
nat descriptor masquerade static 200 2 192.168.100.1 esp
nat descriptor masquerade static 200 3 192.168.100.1 udp 1701
nat descriptor masquerade static 200 4 192.168.100.1 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipsec transport 2 2 udp 1701
syslog debug on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.3-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on
httpd host 192.168.100.3-192.168.100.254
alarm entire off
#
書込番号:19468094
0点
会社コンフィグです。
ip routing process fast
ip route default gateway 192.168.99.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.99.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.2/24
ip lan1 address 192.168.100.2/24
ip lan1 proxyarp on
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.99.254/24
ip lan2 mtu 1454
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.100.2 auIP
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.2
ipsec ike local name 1 ipsec1 key-id
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 auIP
l2tp always-on on
l2tp hostname RTX810-2
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.100.2
l2tp remote router-id 192.168.100.1
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.0/24 icmp * *
ip filter 101005 pass * 192.168.100.0/24 established * *
ip filter 101006 pass * 192.168.100.0/24 tcp * ident
ip filter 101007 pass * 192.168.100.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.100.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.100.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101014 pass * 192.168.103.0/24 udp * ntp
ip filter 101015 pass * 192.168.103.0/24 udp ntp *
ip filter 101016 pass * 192.168.100.2 udp * 500
ip filter 101017 pass * 192.168.100.2 esp * *
ip filter 101018 pass * 192.168.100.2 udp * 1701
ip filter 101019 pass * 192.168.100.2 udp * 4500
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.100.2 udp 500
nat descriptor masquerade static 200 2 192.168.100.2 esp
nat descriptor masquerade static 200 3 192.168.100.2 udp 1701
nat descriptor masquerade static 200 4 192.168.100.2 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 1 1 udp 1701
syslog debug on
telnetd host 192.168.100.3-192.168.100.254
dns server 192.168.99.1
dns server dhcp lan2
dns private address spoof on
l2tp service on l2tpv3
httpd host 192.168.100.3-192.168.100.254
alarm entire off
sshd service on
sshd host 192.168.100.3-192.168.100.254
sftpd host 192.168.100.3-192.168.100.254
#
書込番号:19468127
0点
最新の会社コンフィグです。
ip routing process fast
ip route default gateway 192.168.99.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.99.1
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.2/24
ip lan1 address 192.168.100.2/24
ip lan1 proxyarp on
ip lan2 address 192.168.99.254/24
ip lan2 mtu 1454
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.100.2 auIP
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.2
ipsec ike local name 1 ipsec1 key-id
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 auIP
l2tp always-on on
l2tp hostname RTX810-2
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.100.2
l2tp remote router-id 192.168.100.1
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.0/24 icmp * *
ip filter 101005 pass * 192.168.100.0/24 established * *
ip filter 101006 pass * 192.168.100.0/24 tcp * ident
ip filter 101007 pass * 192.168.100.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.100.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.100.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101014 pass * 192.168.100.0/24 udp * ntp
ip filter 101015 pass * 192.168.100.0/24 udp ntp *
ip filter 101016 pass * 192.168.100.2 udp * 500
ip filter 101017 pass * 192.168.100.2 esp * *
ip filter 101018 pass * 192.168.100.2 udp * 1701
ip filter 101019 pass * 192.168.100.2 udp * 4500
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.100.2 udp 500
nat descriptor masquerade static 200 2 192.168.100.2 esp
nat descriptor masquerade static 200 3 192.168.100.2 udp 1701
nat descriptor masquerade static 200 4 192.168.100.2 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 1 1 udp 1701
syslog debug on
telnetd host 192.168.100.3-192.168.100.254
dns server 192.168.99.1
dns private address spoof on
l2tp service on l2tpv3
httpd host 192.168.100.3-192.168.100.254
alarm entire off
sshd service on
sshd host 192.168.100.3-192.168.100.254
sftpd host 192.168.100.3-192.168.100.254
#
書込番号:19468203
0点
L2TPv3トンネル認証が、うまく採れない状態かと考えます。
自宅RTX810ルーターのトンネル認証が無効になってますよ。
下記コマンドを自宅RTX810ルーターに投入下さい。
tunnel select 1
l2tp tunnel auth on ipsec
tunnel select 2
no l2tp tunnel auth off
自宅・会社RTX810ルーター、双方の簡易Webメニューから、「ipsec refresh sa」コマンド実行をお試し下さい。
最後に、自宅RTX810ルーター→会社RTX810ルーターのコマンドにて、「restart」を実行下さい。
他のConfigについては、合致していますので、接続出来ない様でしたら、双方のRTX810にて、「show log」の情報をお教え下さい。
書込番号:19468415
0点
iPhoneからの接続成功です!
ただしルーターまで。各機器には繋がりません。
書込番号:19468427 スマートフォンサイトからの書き込み
0点
>sorio-2215さん
会社から自宅へ繋がったようですが、よくわからない現象が出ています。自宅のHGWとルーターにだけ入れないのです。その他の機器には入れます。
アイフォンから自宅への接続とは逆の現象ですね。
自宅から会社は試していません。
よろしくお願いします。
書込番号:19468540
0点
HGWへのアクセスについて3
が消えました!
また建てますのでよろしくお願いします。
書込番号:19468942
0点
クチコミ掲示板検索
新着ピックアップリスト
-
【欲しいものリスト】PC調達
-
【欲しいものリスト】メインPC更新
-
【その他】画像生成AI入門
-
【Myコレクション】グラボだけのつもりが芋蔓式に総とっかえになっちゃった
-
【その他】BTOパソコンを自作するとどうなるか
価格.comマガジン
注目トピックス
(パソコン)
