このページのスレッド一覧(全7440スレッド)
| 内容・タイトル | ナイスクチコミ数 | 返信数 | 最終投稿日時 |
|---|---|---|---|
 media accessでつかえる? |
6 | 5 | 2015年5月5日 14:15 |
| NTTのPR500KI接続について教えてください |
5 | 5 | 2015年4月15日 16:39 |
| eo光 |
2 | 9 | 2015年3月18日 18:31 |
| Windows7標準L2TP/IPsecでの接続について |
7 | 37 | 2021年2月20日 09:36 |
| VPNについての初歩的な質問 |
25 | 26 | 2015年2月16日 20:19 |
| VPNサーバ機能は搭載? |
0 | 4 | 2015年1月26日 16:32 |
- 「質問の絞込み」の未返信、未解決は最新1年、解決済みは全期間のクチコミを表示しています
お気に入りに追加
有線ルーター > エレコム > BRC-FEBK [ブラック]
ルーターで2,000円?
辞めた方が良いのでは?
10,000円未満の製品に期待されるのは疑問。
書込番号:18747156
1点
意思不明白
at 1st、I want to know possible or not
書込番号:18747446 スマートフォンサイトからの書き込み
0点
真意汲み取り下さい。
使えない。安かろう・悪かろう
以上
書込番号:18747516
1点
media accessで使えない仕樣の意味なんですね
書込番号:18747546 スマートフォンサイトからの書き込み
0点
下記のwebに載っていた方法で、PR500KIのUNIポートを利用して、RTX1210に接続し、PPPOE設定をしていたのですが、
ブロードバンド接続がうまく確立しません。
http://www.5cho-me.com/archives/172156
対応方法などご存知の方がいらっしゃいましたらご教授お願いします。
4点
『PR500KIのUNIポートを利用して、RTX1210に接続し、PPPOE設定をしていたのですが、
ブロードバンド接続がうまく確立しません。』
各機器の接続については、以下のページを確認されているのでしょうか?
現在のネットワーク構成(2014年7月現在)
http://www.5cho-me.com/archives/172178
書込番号:18597386
0点
ハブからPR500KIへの折り返し接続は不要だと思っていたのですが、折り返し接続を実施することで接続が確立できました。光電話を利用していなかったのでONUからルータ接続のみ実施すればよいと認識していたのですが、
なぜ折り返し接続が必要だったのかいまだ理解できていませんが......
書込番号:18649761
1点
既に解決済みになっておりますが...。
『光電話を利用していなかったのでONUからルータ接続のみ実施すればよいと認識していたのですが、
なぜ折り返し接続が必要だったのかいまだ理解できていませんが......』
「折り返し接続」A−Bについては、以下のネットワーク図からすると必要かと思います。
推定ですが、「折り返し接続」A−BをしないとPR-500KI正常にブートできずUNIポートを利用できないのではと考えます。
【変更前】 【変更後】
| |
| |
| |
[ONU] [ONU]
|UNIポート |
| +−−−−+UNIポート
| |
| [HUB]
| A| |
| +−−−+ +−−−+
| |B |
[NAT] [NAT] [RTX1210]
| | |
| | |
−−−+−−− −−−+−−−−−−−−−+−+−+−
| LANポート | | | |
※Web上ではズレが発生しますので、上記のネットワーク図をメモ帳などテキストエディタにペーストして確認してください。
書込番号:18650296
0点
LsLoverさんありがとうございます。
RP500KIがNATからの情報を得ないと正常にブートできないということですね。
私は昔の機器のイメージから、ONUだけでも正常にブートできると考えていました。
ありがとうございました。
書込番号:18650715
0点
最近の回線サービスは、高速回線収容の為かと存じますが、専用HGWのWAN側MACアドレス及び802.11x認証をしているサービスも有りますので、NTT回線も例外ではなく、NTT側設備から光電話ルーターのWAN側MACアドレス等の認証がされる状況でなければ、接続許容されないサービスになっている点は推察出来ます。
NGN網対象の光回線サービスは、光電話のみだけではなく、データ通信もNGN網での通信サービスになっていますが、その接続認証の為かと。
光電話オフィスタイプでは、ごく一般的なのですが、光電話オフィスアダプタや光電話対応PBX主装置の光電話多チャンネル・ユニットも故障での交換をしますと、交換の際にNTTサービスへ連絡し、交換後の光電話アダプタやユニットのMACアドレスを変更申請しませんと、インターネット接続許容されない点が有ります。
書込番号:18684491
0点
回線接続のみで、こちらのルーターを使用するのですか?
PPPOE接続、nat-masquarade設定レベルで迷われてるレベルでしたら、こちらのルーターは未使用の方が良いかと存じます。
もし、設定情報等提供希望でしたら、既存config情報提供お願いします。
重要プロバイダーID及びパスワードは、伏字で構いません。
書込番号:18579525 スマートフォンサイトからの書き込み
0点
追加確認箇所は、デフォルトゲート設定コマンド、dns serverコマンド、nat-masquarade outerコマンド、同じくmasquarade innerコマンド。
書込番号:18579547 スマートフォンサイトからの書き込み
0点
レス、ありがとうございます。
PPPoEで検索していると、TCPのmss clampが関係していると思っています。
コマンドマニュアルを見ると、defaultでdisableになっているようなので、
一度、試してみます。
書込番号:18580602
0点
??EO光の場合、MTU数値は一般的な1,454を利用しております。
RTX1210ルーターの場合、PPPOE接続設定においては、MRUオプション及びMTU数値は、1,454を指定してあれば、MSS数値の設定は必要無いかと存じます。
PPPOE接続されているとの事ですが、EO光指定のDNSサーバアドレスを指定していますでしょうか?
※ dns server pp 1 → dns server 60.56.0.135 218.251.89.134
※ dns server select 500001 pp 1 any . restrict pp 1 → dns server select 500001 60.56.0.135 218.251.89.134 any . restrict pp 1
※ provider dns server pp 1 1 → provider dns server 1 60.56.0.135 218.251.89.134
更に言うと、EO光の固定IPサービスの利用はされていませんか?
固定IPサービスを利用していましたら、nat-masquarade設定を変更しなければ、接続許容されません。
下記例として・・
nat descriptor type 300 masquerade
nat descriptor address outer 300 (EO光・グローバルIP)
nat descriptor address inner 300 auto
書込番号:18583779
0点
レスありがとうございます。
無事接続ができました。
ppp lcp mru on 1400
にするとokでした。1454は繋がらなかったと思いますが、、、気のせいかな?
契約は、固定IPです。nat-masquarade関係はまだ見ていません。
現在、各パソコンに繋がるケーブルをつなぐと、スピードが半分くらいにダウンして、
安定しません。(調査中)
ま、取りあえず繋がったので、ほっとしています。
書込番号:18587302
0点
??「ppp lcp mru on 1400」
通常は、ip pp mtu 1454のみでOKな筈ですが・・。
LANケーブルを接続して安定しないとの事ですが、LANケーブルはストレート・クロスの混在、カテゴリレベルの混在等をしていませんか?
更にハブ等の分岐配線ですが、カスケードを2段以内にしていますでしょうか?
CAT7も含めたSTPケーブルを利用すると、ノイズ滞留劣化等が起きる可能性も有ります。STPケーブルを利用される場合、それぞれの機器側にアース配線する様にして下さい。
出来れば、CAT6(UTP)ケーブル・単線・ストレート仕様をご利用ください。
書込番号:18588344
0点
ルーターから、ハブをカスケードしてどのくらい
安定性が損なわれるか、データをお願いします。
CAT6(UTP)ケーブル・単線・ストレートと、CAT5eで
どのくらいの減衰があるのか、データをお願いします。
(あんまりかかわりたくないんだけど、、、)
書込番号:18591984
0点
具体性の有るデータは、同一環境で無ければ、提示は難しいです。
ギガビット通信機器となると、最大で2段までのカスケード数がメーカー保証となりますが、実際の所、パケット衝突の確率・パケットロスの確率が高くなる点、通信量の問題ではなく、
衝突を検知してから、送信元に知らせるまでの時間の遅延が大きくなる点が有ります。
利用しているケーブルとして、CAT混在でクロス混在の時点で、全体のカテゴリレベルは4程度まで落ちる計算、伝送レートでの負荷も単純に4割程度の性能しか出ない形になります。
CAT5Eケーブルは、100Mbps対応ケーブルを無理矢理心線を変更し、本来ギガビット通信許容周波数である、250Mhz以上の周波数帯域を100Mhz周波数心線で利用可能にしている条件が有ります。
100Mhz周波数ケーブルをギガビット通信のケーブルへ転用された場合に、引き回し接続による遅延、特に上り速度・下り速度の均一化の保証が無い仕様が有ります。
CAT5Eケーブルを利用される場合には、規格上1mの近接距離にてギガビット通信の許容と言う条件が有ります。(伝送周波数性能が低いため)
本来、ギガビット通信は、8極8芯1ペアごとに250Mbps(250Mbps x 4ペア=1000Mbps)で送信と受信を兼ねる仕様が必須となっております。中でも、10m以上の迂回配線やカスケードを重ねる場合にも、より線では、迂回する毎に30〜40%の電気抵抗が発生する事になっております。
カテゴリレベルの相違・クロス混在(伝送周波数が足りない)でも、総体で30〜40%の終端抵抗がかかると想定下さい。
書込番号:18592191
2点
RTX1210ではノンサポートとは知りつつ...YMS-VPN8がお高いので、Windows7標準のL2TP/IPsecを使って(レジストリ変更済)運用しているのですが、同じグローバルアドレス配下の端末(win7)を2台以上接続しに行くと、接続ができている1台目のVPN接続が落ちる現象が発生します。再接続を何度かするうちにすべてつながり安定するのですが、原因は何でしょうか。
ログを確認すると
[IKE] SA[*] change state to DEAD
[IKE] delete SA[*]
がでた後
IP Tunnel[*] Down
で落ちています。
ダッシュボードの「VPN接続状態(リモートアクセス)」のインターフェース表示は
6台接続しているのなら、本来TUNNEL[1]〜TUNNEL[6]でつながると思うのですが
実際の例では以下のように歯抜け状態になっています。
(IP TunnelのUP Downを繰り返しているうちに以下の状態で安定。実際の例です。)
TUNNEL[02]
TUNNEL[03]
TUNNEL[05]
TUNNEL[13]
TUNNEL[07]
TUNNEL[01]
理解できる方いましたらご教授頂けないでしょうか。
よろしくお願い致します。
1点
確認ですが、L2TP/IPSECのトンネルを接続台数分のトンネル設定、PPPダイヤルアクセス用のID及びパスワードを接続トンネル分の数の作成(pp select anonymous→pp bind tunnel1-tunnel2→pp auth request mschap-v2、pp auth usernameから始まるIDとパスワード)をしていますか?
それと、ip pp remote address poolから始まる、L2TP/IPSEC接続時のプールしますIPアドレス範囲は特定していますでしょうか?
通常のDHCP端末と重複する様な設定(ip pp remote address pool auto)ではなく、プール範囲をDHCPと離した範囲に指定してみて下さい。
書込番号:18487606
2点
>確認ですが、L2TP/IPSECのトンネルを接続台数分のトンネル設定、PPPダイヤルアクセス用のID及びパスワードを接続トンネル分の数の作成(pp select anonymous→pp bind tunnel1-tunnel2→pp auth request mschap-v2、pp auth usernameから始まるIDとパスワード)をしていますか?
実際の接続は5,6台ですが、20台分のトンネル設定とそれぞれにIDとパスワードを作成しています。
もちろん、接続する端末はそれぞれのIDで接続しています。(実は同じIDでも2台まで接続できたのですが、YAMAHAに仕様外だと言われました)
>それと、ip pp remote address poolから始まる、L2TP/IPSEC接続時のプールしますIPアドレス範囲は特定していますでしょうか?
していません。「ip pp remote address pool auto」になっています。
てっきり通常のDHCP端末とは重複しないようにIPを割り当ててくれてると思ってたのですが...
ご指摘ありがとうございます。試してみます。
書込番号:18488475
1点
それは当たり前では?
プロトコルに依存するかもしれませんけど、一般的にVPNはNATを通過しませんよね?
NATでダメなものは言い換えるとグローバルIPを必要としているということだから、2つ開いたらアウトだと思うんだけど。(ちょっとズレてるかもだけど、要はVPNパススルーするルータが対応できると言ってなきゃ少なくても無理)
http://www.infraexpert.com/study/ipsec14.html
http://www.infraexpert.com/study/ipsec15.html
少なくても端末側がRTならアウト
http://www.rtpro.yamaha.co.jp/RT/FAQ/IPsec/faq_2_k.html
書込番号:18488686
0点
IPSEC-VPNでも、L2TP/IPSEC自体の規格は、一般的なVPNルーター(Yamaha含むNEC、Cisco、アライドテレシス)は、NATトラバーサルの機能は実装しておりますので、NATは通過出来る仕様ですよ。
Yamahaルーターでも、IPSEC-VPNでも接続回線によって、NATトラバーサル設定でのNAT貫通は出来ますので、誤解が有るかと存じます。
NATトラバーサル機能を利用しますと、IKE認証にUDP500番ポートではなく、UDP4500番を利用する形になります。
IKE Phase 1にて、IPsecピアとなる双方の機器がNAT Traversal確認→IPsecピアを構築する経路上にNAPTデバイスが存在可否確認→IKEで使用するポート番号の変更 (送信元・宛先ともに500 → 4500へ変更確認)が派生し、IKE Phase 2にてESPパケットをUDPでカプセル化するモードの決定→NAPTにより変更される前のIPアドレス情報の通知処理、IPsec-VPN確立後にはUDPカプセル化によるトランスポートまたはトンネルモードのESPパケットを送信する仕組みになります。
Yamahaルーターには、L2TPクライアントの複数受付可能な仕様になっていますので、設定レベルの問題かと存じます。その際には、トンネル毎に「ipsec ike nat-traversal」コマンドでのトランスポート転送モードの設定(UDP1701番での待ち受けポート設定も必要)が必要です。
書込番号:18489249
0点
追伸、質問者はWindowsパソコンでのNATトラバーサル通信が許容される様に、レジストリ変更していますので、一般的なIPSEC-VPN(NATトラバーサル機能が無い)ルーターでの説明には該当しないかと存じます。
書込番号:18489268
0点
sorio-2215さんのおっしゃる通り、NATトラバーサルの問題(ルーター越え)はレジストリ変更で対処して、実際に通信できているので問題ありません。接続が安定するまで、落ちたりつながったりとしばらくバタバタする点をなんとかしたいというのが解決したい点です。
L2TP/IPSEC接続時のプールの設定ですが、正しくは以下のように設定されていました。(ちなみにデフォルト設定です。)
(誤)「ip pp remote address pool auto」 → (正)「ip pp remote address pool dhcp」
プール範囲の設定について以下のアドバイスを頂いたのですが
>プール範囲をDHCPと離した範囲に指定してみて下さい。
rtx1210のDHCPの割り当て範囲を例えば以下に設定しているとすると
[192.168.0.100 - 192.168.0.150]
リモートのプール範囲は
[192.168.0.200 - 192.168.0.220]
のようにDHCP範囲外で設定するという認識でよろしいでしょうか。
よろしくお願い致します。
書込番号:18489996
0点
リポートプールしますIP範囲の認識は、解釈の通りでOKです。
当方もRTX1210とUNIVERGE iX2215にて、L2TP/IPSECを利用経験則ですが、L2TP同時クライアント接続にて、問題は出ておりません。
IX2215ですと、トンネル毎に接続します接続ユーザーID及びパスワードを限定させる設定も出来るのですが、RTX1210ですとanonymous接続にそれぞれ接続ユーザーIDとパスワードを登録する位しか出来ないですが、先ずはトラブルは出ておりません。
書込番号:18490095
0点
以下の設定例は参考になりませんか?
「ヤマハルーターのプライベートアドレス:192.168.100.1」ですので、192.168.0.1などに読み替えてください。
この設定例では、DHCPサーバのアドレスプール内のアドレスを設定しているようです。
【設定例3:NATトラバーサルを利用したL2TPクライアントの接続を受け付ける場合】
【L2TP接続を受け入れるための設定】
ip pp remote address pool 192.168.100.10-192.168.100.20 ==> 「dhcp scope 1 192.168.100.2-192.168.100.191/24」がデフォルト値かと思います。
http://www.rtpro.yamaha.co.jp/RT/docs/l2tp_ipsec/index.html?_ga=1.68082705.1850650006.1410221214#setting3
書込番号:18490290
0点
補足ですが、Yamahaルーターの場合ですが、他の方の補足メーカーサイトでの提示、特に注釈文「※動作検証では、接続・通信・切断が正常に行えることを確認しています。
長時間の接続試験は行っておりません。
※Android 4系の一部のOSでは、切断時にルーターに対して切断メッセージを送信しないものがあります。そのため、ルーター側でセッションが残ってしまい、次の接続をすぐに受けることができなくなります。対策として、ルーター側で早期に切断を検知できるようL2TPキープアライブを有効にすることを薦めます。」
上記の文面内容ですが、接続しますL2TPクライアント仕様によって、即時切断要求・応答する仕様のクライアントと、そうでないクライアントが有ります。
利用用途及び端末によってとなりますが、YamahaルーターOS仕様の場合、L2TPクライアントが切断時に、応答切断に遅延が派生し、再接続時に問題が出る場合も有ります。
その際には、L2TPセッション・タイマーの設定にて、経過時間による切断コマンドを設定しておいた方が良いかもしれません。メーカー指示のL2TPキープアライブでは無くなりますが、「l2tp tunnel disconnect time」コマンドをトンネル毎に秒単位設定をする等の対応が必要になる可能性も有ります。(例えば、l2tp tunnel disconnect time 600)
書込番号:18492258
0点
実はL2TPセッション・タイマーは設定済みで、全チャンネル「l2tp tunnel disconnect time 300」としましたが、動きは変わりませんでした。今はプール範囲を変えたので、様子をみているところです。
書込番号:18493059
0点
プール範囲を変えたのですが、改善されませんでした...残念(/Д`)。もう少し様子をみようと思います。
書込番号:18495218
0点
そうですか。確認ですが、契約回線及びプロバイダはどちらでしょうか?
光電話の有無(光電話ルーター等の機種・型式も併せて)教えて頂けますが?
それと、出先側回線サービス及び接続モバイルルーター機種等も教えて下さい。
書込番号:18495361
0点
先ほど聞き忘れました、ipsec autokey-proposalの暗号化レベルはどのモードをご利用でしょうか?
トンネルモードが「esp-aes esp-sha」でなければ、Windows8や7系では不安定な場合が有ります。
まさか、WindowsXPでは無いですよね? XPであれば、「esp-3des esp-sha」でなければ接続対応されません。
それと、PPPダイアルアクセスのレベルですが、chapでしょうか?それとも、mschap-v2でしょうか?
「pp select anonymous」での認証方式をchapにて、お試し下さい。
書込番号:18495802
0点
sorio-2215さん、いろいろ確認ありがとうございます。
以下確認事項です。
契約回線:NTTフレッツ光
プロバイダー:biglobe
光電話有:ひかり電話オフィスA
ルーター:OG800Xi
出先の回線:NTTフレッツ光
ルーター:上記と同等?
端末はすべてwin7です。
VPNの設定は以下となっています。
・ipsec sa policy 2 2 esp aes-cbc sha-hmac
・pp auth request mschap-v2
認証方式はchapに変更して試してみます。
トンネルモードも「esp-aes esp-sha」に変更するべきですかね...
上記に変更した場合、モバイル(iphone,ipad等)の接続に影響ありますか?
モバイルの接続も常時ではありませんがしています。
よろしくお願い致します。
書込番号:18497280
0点
この現象、経験があります。
次の3つのコマンドはどのようになっていますか?
ipsec ike keepalive use
l2tp tunnel disconnect time
l2tp keepalive use
もし次のようになっていなければ、だめ元で試してみてください。
ipsec ike keepalive use x off
l2tp tunnel disconnect time off
l2tp keepalive use on 10 3
書込番号:18497686
0点
光電話オフィスアダプタOG800Xi(BRI収容/8ch)をご利用という事で、同機のファームウェア問題による、PPPOEブリッジ機能の不確定要因が以前経験した事が有ります。
同機のファームウェアが最新か確認下さい。
同機のファームウェア更新には、NTT東/NTT西エリア別にファームウェアが分かれますが、工事専用ログインして、手動適用するのですが、アクセスIPが初期値であれば、PCを光電話オフィスアダプタのLANポート接続→ブラウザにて、「http://192.168.1.1」→ログインID(admin)、パスワード(akisky)にてログイン出来ます。
※ ファームウェア提供元・・NTT東(http://web116.jp/ced/support/version/voip/og400x_og800x/index.html)、NTT西(http://www.ntt-west.co.jp/flets/solution/kiki_info/software/746/)
出先回線装置・ルーターにおいても確認下さい。
トンネルモードも「esp-aes esp-sha」を指定、スマートフォンやタブレット、MVNO端末においては影響無い筈です。(http://www.rtpro.yamaha.co.jp/RT/docs/l2tp_ipsec/#client)
※ 例として「ipsec sa policy 1 1 esp aes-cbc sha-hmac」、「ipsec ike encryption 1 aes-cbc」
L2TPでは、コネクション制御メッセージの1つであるHelloメッセージを用いたキープアライブの仕組みがあり、IPsecのキープアライブとは独立しています。ヤマハルーターでは、L2TPキープアライブによってダウンが検出された場合には、StopCCNメッセージによるL2TPコネクションの切断処理を行った後で、該当するIPsec SAおよびISAKMP SAを削除します。3G回線を用いた接続では、電波状態などの理由でL2TPキープアライブとその応答がロスする可能性があります。
IPsecのキープアライブは、初期値としてヤマハルーターの独自仕様である heartbeat を使用します。スマートフォンなどに搭載されたL2TPクライアントでは heartbeat に対応していないため、L2TPクライアントで対応可能なキープアライブを設定する必要があります。IPsecのキープアライブに対応していないL2TPクライアントに対してはIPsecキープアライブの未使用が推奨されます。
Yamahaルーターにおいては、スマートフォンも共存するVPN設定において、キープアライブは推奨されない仕様です。
L2TP/IPsecのクライアントには、画面が消灯した場合や自動ロックがかかった場合に、L2TPキープアライブに対する応答を返さないものがあり、クライアントの設定を随意対応する必要と、IPsecのキープアライブは、初期値としてヤマハルーターの独自仕様である heartbeat 死活監視を採用しており、スマートフォンやタブレット、PC等の混在でのL2TP接続が有る場合には、死活監視の制御が難しくなります。環境により、キープアライブはすべきでは無いかと考えます。
因みにキープアライブ機能については、Yamahaにおいて独自のheartbeat死活監視、業界的にはdpd死活監視が採用されている場合が殆どです。(http://www.rtpro.yamaha.co.jp/RT/manual/rt-common/ipsec/ipsec_ike_keepalive_use.html)
書込番号:18498825
0点
いろいろ情報ありがとうございます。
一つずつ試してみようと思います。
まずは認証方式をchapでやってみます。
書込番号:18510427
0点
認証方式をchapにすると全くつながらなくなりました...(モバイルはつながります)
Winの設定でしょうか?
その他も確認予定です。
書込番号:18512412
0点
WindowsのL2TP/IPSECの接続設定は、仮想プライベート・ネットワーク接続での設定になります。
Windowsのコントロールパネルから、インターネット・オプション→接続タブ→該当の接続設定のプロパティを開き、ダイアルアップの設定→プロパティから、セキュリティタブ→次のプロトコルを許可するにチェック→チャレンジ ハンドシェイクプロトコル(CHAP)にチェック投入下さい。
書込番号:18513241
0点
チャレンジ ハンドシェイク認証プロトコル(CHAP)(H)へは元々チェックをいれています...
???
他の対策も試してみようと思います。
書込番号:18513288
0点
??chap認証ですと、mschap-v2認証より接続許容幅が広くなりますので、問題が出ない筈ですが・・。
キープアライブ設定は、未投入ですよね?
キープアライブ機能は、WebGUIからの設定ですとheartbeatが優先され、スマートフォンとWindows端末の同時併用が難しくなります。
モバイル端末やスマートフォン等の接続が出来るという事は、L2TPトンネル接続が接続端末のユーザー認証分の接続切り替えがうまくいっていない可能性が有ります。
それと併せて、IPsecのトランスポートモード設定の設定がトンネルルート毎にうまくいっているかどうかも確認下さい。(L2TP/IPSECトンネルのトンネル名称とUDP1701ポート利用の関連付け)
書込番号:18514019
0点
念のため、セキュリティソフト等のL2TPコネクション回りの制限等も確認下さい。
書込番号:18514040
0点
キープアライブ設定について
・ipsecのキープアライブはOFFになっています。
→ ipsec ike keepalive use x off
・CONFIGファイルに「l2tp keepalive use」の記述はありませんでした。
(デフォルトでOFFになっているのですかね...)
・l2tpの設定記述は以下のみ。
「l2tp tunnel disconnect time 300」
IPsecのトランスポートモード設定について
・ipsec transport 1 1 udp 1701 ←すべてのチャンネルが1701で設定されています。
・show status l2tpコマンドで確認すると、接続済みのポートはすべて1701です。
自機側送信元ポート: 1701
相手側送信元ポート: 1701
ちなみにいろいろ試す中で、rtx1210を再起動した後は
すべての接続が安定するまでの時間が早い気がします。
以下現状の設定です。
----------------------------
pp select anonymous
pp bind tunnel1-tunnel20
pp auth request mschap-v2(mschapから戻しました。)
pp auth username * * (以下20チャンネル分ユーザーとパス)
・
・
・
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp remote address pool 192.168.*.*-192.168.*.*(←DHCP範囲外を設定)
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel encapsulation l2tp
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac(esp-aes esp-shaで試す予定)
ipsec ike keepalive use 1 off
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ******
ipsec ike remote address 1 any
l2tp tunnel disconnect time 300 (←デフォルトはOFF、300に変更済)
ip tunnel tcp mss limit auto
tunnel enable 1
---------------------------------------------
状況の再確認ですが、同一グローバルアドレス配下の
クライアントを複数接続しなければ、問題ない状況です。
同一グローバルアドレス配下のクライアント2台目を接続しに行くと
先につながっているクライアントが落ちます。(落ちない時もある)
その後、クライアント2台がそれぞれ再接続を繰り返すうちに両方繋がります。
一度安定すると落ちることはありません。
2台で安定している状況でも、3台目の同グローバルアドレス配下のクライアントを接続しにいくと
3台とも不安定になり(2台の時もあり)、これも再接続を繰り返すうちにすべて繋がります。
書込番号:18516381
0点
うーん、接続トンネル数と接続ユーザー数(ID/Pass)が同一数の接続合致が有れば、問題は発生しない筈なのですが・・。
光電話オフィスアダプタのファームウェアは最新版か確認されましたか?
それと、ip secure filterから始まるポート許容は大丈夫でしょうか?(in / out)
※ UDP4500 UDP1701 esp ah 等
書込番号:18517536
0点
ポート許容の設定は以下となっています。
ip filter 200100 pass * 192.168.x.x udp * 500
ip filter 200101 pass * 192.168.x.x esp * *
ip filter 200102 pass * 192.168.x.x udp * 4500
ip filter 200103 pass * 192.168.x.x udp * 1701
光電話オフィスアダプタのファームウェアは最新でした。
出先も確か最新だったと思います。
(ちょっと自信ないので確認しに行こうと思います。)
ヤマハサイトのYMS-VPN8での接続設定をみると
l2tpキープアライブをonにしているようです。
→ l2tp tunnel disconnect time off
→ l2tp keepalive use on 10 3
→ l2tp keepalive log on
これも試してみるべきですかね...
書込番号:18517669
0点
キープアライブをしてみるのは差支え無いですが、あくまでもYamahaルーターは基準がheartbeatですので、Windowsクライアント側が仮に接続出来る様になったとしても、主なスマートフォン側については、HeartBeat仕様に対応していませんので、切断応答メッセージがルーター側へ流れず、再接続出来ない現象になる点が想定されます。
キープアライブ仕様つきましては、当方利用のNEC・UNIVERGEルーターですと、dpd死活監視機能になっておりますが、NECとYamahaにてdpd死活監視仕様のルーターでは問題が出ておりません。
仮に試す方法としては、dpdキープアライブ等でしょうか。
Yamahaの専用ツールですと、Yamahaルーターに併せて、キープアライブ仕様を仮想的にHeartbeatキープアライブを利用していると想定されます。
Windows標準機能でのL2TPクライアントでは、仮想的にHearbeatキープアライブを実装するのは難しいかと存じますので、他のキープアライブ機能設定を試すぐらいでしょうね。
ただし、当方環境では、Yamaha/NECにおいても、キープアライブ機能の設定しなくても複数併用は問題が出ておりません。
書込番号:18518027
0点
dpd(Dead Peer Detection)死活監視を利用される場合には、WebGUIでは設定出来ませんので、コマンド投入にて、「ipsec ike keepalive use ** on dpd 10 3」等でしょうか。
L2TPトンネル・キープアライブについては、当方の設定では未投入です。
**には、トンネル・エントリNoを任意に合わせてみて下さい。
以下抜粋として・・IPSEC-dpd
その名が示すように、接続相手の死活監視を行う機能です。 従来から IKE Heartbeat という名前で各社ルータではIKEの通信断をリアルタイムに検出する機能を有していましたが、 IKE Heartbeat はRFCにドラフト提案まではされたものの結局標準化されない結果となってしまい、各社ルータメーカが独自に機能を実装するようになってしまいまいした。
この結果、異機種間でIPSecを行った場合、相手のルータ再起動などによる死活が監視できず、それまで使っていたトンネル情報(SA)が生存時間で定義された期間はそのまま残ってしまい、これが残っている間は手動でSAを消すなど消さない限りはIPSecが利用できない状態となってしまいます。 (これが、IPSec中にルータの電源を切ると、再接続に時間がかかる原因)
RFCでは IKE Heartbea に代わり、新たに死活監視の仕組みとして DPD (RFC3706) として標準化して、最近(2012年現在)のルータではこの機能が利用できるようになっています。
したがって、相互接続の観点では DPD を利用する方が問題が少ないといえます。
DPDが利用できない場合には、ICMP(PING)による死活監視をするか、 IKE の生存期間を30分 / IKE-SAの生存期間を10分とかにするような「技」で逃げてください。
書込番号:18519353
0点
ふと気づいたのですが、「pp auth request mschap-v2(mschapから戻しました。)」の文言ですが、当方の伝えた点は「pp auth request mschap」ではなく「pp auth request chap」をお試し下さいという事ですよ。
「pp auth request mschap」にされたから、接続出来なくなったのではないでしょうか?
書込番号:18522794
0点
多少自己責任となりますが、Windowsの汎用L2TPクライアント機能との比較にて、Yamahaルーターとの相互接続の際に、YamahaのYMS-VPN8クライアントの利用ではなく、お試しとなりますが、「Avayaクライアントソフト」・・http://www.media.hiroshima-u.ac.jp/services/hinet/vpn-Newclient-download
上記サイトから、無償にてVPNクライアントツール(Avaya製)がダウンロード出来ますが、同社製のVPNクライアントソフトですと、IPSECクライアント接続機能になっておりますが、IPSECトンネルモードとして接続設定してみては如何でしょうか?
本来の解決案では有りませんが、上記のソフトを利用される場合には、Yamahaの死活監視機能は利用出来ないかと存じますので、YamahaルーターのIPSEC-IKEキープアライブをdpd死活監視モードの設定にしておき、L2TPトンネルではなく、通常のIPSECトンネルでの構築を試されては如何でしょうか?
※ 上記のVPNクライアントソフトの場合、dpd死活監視モードでの許容となっている為。
相互接続安定性が図れる状態でしたら、L2TPトンネルを全てIPSECトンネル設定(dpdキープアライブ有り)へ20トンネル変更すると良いかと存じます。
全ての拠点端末は、VPNクライアントツール(Avaya製)を利用する形になりますが・・。
書込番号:18532609
0点
先ほどのVPNクライアントソフトですが、「http://blog.michaelfmcnamara.com/2013/12/avaya-vpn-client-release-10-06-500-for-windows-8/」
上記のサイトのツールの方が、新規バージョンの様です。(Ver 10.06.500)
書込番号:18532664
0点
クライアントソフトの件、情報ありがとうございます。
ちょっと敷居が高そうですね...
認証方式「chap」で確認し接続できましたが、(設定間違いでした、すいません)
症状は変わらずでした...
書込番号:18538088
0点
VPNクライアントの件(Avayaクライアントソフト)ですが、IPSECクライアントですので、既存のL2TPトンネルの内、スマートフォン分のL2TPトンネルを残し、IPSECトンネルの追加でOKかと存じます。
以下Yamaha設定に追加にて、参考にして下さい。
※ http://jp.yamaha.com/products/network/solution/vpn/vpn_client/software/
IPSECトンネル例
tunnel select 1
ipsec tunnel 101
ipsec sa policy 101 1 esp aes-cbc sha-hmac
ipsec ike duration ipsec-sa 1 3600
ipsec ike duration isakmp-sa 1 3600
ipsec ike encryption 1 aes-cbc
ipsec ike esp-encapsulation 1 off
ipsec ike group 1 modp1024
ipsec ike hash 1 sha
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 off dpd
ipsec ike local address 1 (RTX1210の自身IP)・・192.168.100.1
ipsec ike local id 1 (RTX1210のローカルID名/24)・・192.168.100.0/24等
ipsec ike pre-shared-key 1 text (パスワード)
ipsec ike log 1 key-info message-info payload-info
ipsec ike pfs 1 on
ipsec ike remote address 1 any
tunnel enable 1
上記がIPSECトンネルの例ですが、VPNクライアントが英語表記にて難しいという事であれば、Fortiクライアントでも可能かと存じます。
Fortiクライアントでは、VPNでのフェーズ1にてIKEプロポーサルとDHグループの設定、鍵の有効期間等の設定をして頂ければOKかと。
※Fortiクライアント・・「http://www.scsk.jp/sp/fortinet/forticlient-scsk/」、「http://www.forticlient.com/」
上記であれば、日本語表記・VPNトンネル機能のみの設定であれば、無償です。
書込番号:18538707
0点
暫くコンタクトが無いですが、通常は必要有りませんが、L2TPトンネルのike lifetimeの設定をしてみては如何でしょうか?
ike リキーイング周りでのトラブルも想定されます。
あくまでもスマートフォンやタブレットの機種・搭載OS等での任意対応となりますが・・。
書込番号:18589269
0点
解決しました!
認証鍵(ipsec ike pre-shared-key 1 text "パスワード")について
ipsecチャンネルごとに異なるパスワードを設定することで
各クライアントで使用するチャンネルが固定されて、同じグローバルアドレス配下の
クライアントを複数台接続しても落ちることがなくなりました。
(以前はチャンネルの奪いあい?みたいなことが起きていました。)
RTX1210のWebGUIからの設定(かんたん設定→リモートアクセス→共通設定の変更)
だと、すべてのチャンネルの認証鍵が同じになるので
コマンドでチャンネルごとに認証鍵を変更する必要があります。
VPNクライアントの件(Avaya、Forti)、試してみましたがつながらず...
私の設定に間違いがあるのだと思いますが...
運用していくには、ルーター、クライアントともに設定項目が多く
また、今回の症状が解決するかも不明のため、諦めることにしました。
sorio-2215さん中心にみなさんから、いろいろなアドバイスを頂きありがとうございました。
書込番号:18594078
3点
うーん、通常はIKEリキーイング・キーは、同一でも問題無い筈なのですが・・。
良かったですね。
確かに、Yamaha系のL2TP/IPSECやL2TPv3系の接続機能は、あまり良くない性質が有りますが・・。
IPSECを処理するパケット最適化機能(ファーストパス)もソフトウェア処理ですし、NECや富士通の様に、パケット最適化のUFSキャッシュ機能ですと、CPUをダイレクトにアシストするコントローラーを実装していますが、VPNの機能・信頼性ですと、他社のVPNルーターの方が良い部分も有ります。
Fortiクライアントでの接続には、IKEキープアライブ機能はdpd死活監視が基本ですので、あまり苦慮する設定では無いかと思いますが・・。
書込番号:18595323
0点
私RTX1210で1台目でリモートアクセスはつながるのですが、2台目だとつながらずサポートの方にもいろいろ伺ったのですが解決せず。この投稿で解決する一筋の希望が見えてきました。素人なのでそれ以上のこともわからないのですが、共通キーを変えたら何台でもつながりそうです。大変感謝いたします。1年間悩み続けました。ありがとうございます。
書込番号:23977426
0点
会社でデータベース(FileMaker)をPCやiPadで共有しています。
外から見たいという要望があり、RTX1210を検討しています。
VPNについてこれから勉強していく必要があるのですが、
取り急ぎ、家のPCから繋げたい場合、会社だけでなく家のルータもVPN対応にする必要があるのでしょうか。
専門知識がないまま担当になってしまい勉強しながらなのですが、
頭に入れておいたほうが良いことなどありましたら、どうぞご教授ください。
0点
VPNパススルーというのに対応していれば、まず問題はないかと。
ヤマハはコミュニティの情報が豊富だから、そっち覗いた方が良いと思いますよ。
書込番号:18438494
1点
ムアディブさん、ありがとうございます。
NTTに相談したら拠点が増えるごとにコストがかかると言われたのと、ヤマハのサイトでも「3つのオフィス間でつながる」という例で、それぞれにRTX1200が使われていますので、VPNクライアントのルータの役割がよくわからない状態です。
http://jp.yamaha.com/products/network/routers/rtx1210/?mode=model&tab=PD5123546
書込番号:18438522
0点
これ
http://www.rtpro.yamaha.co.jp/
どうつなぎたいのがさっぱりわからんのですけど、、、
>取り急ぎ、家のPCから繋げたい場合、会社だけでなく家のルータもVPN対応にする必要があるのでしょうか。
これが要望なんですよね?
このとおり聞いて
>NTTに相談したら拠点が増えるごとにコストがかかると言われたのと、ヤマハのサイトでも「3つのオフィス間でつながる」という例で、それぞれにRTX1200が使われていますので、VPNクライアントのルータの役割がよくわからない状態です。
こういう答えが返ってきたんでしょうか?
だとしたら酷いと思いますが、、、(笑
VPNというのはトンネルなので、トンネルをどこで始めてどこで終わるのかということです。
そして、ルータは中に性能の低いCPUが入っててソフトで動いてます。つまり小さいコンピュータ。
ルータには出来ないこと、PCには出来ないことというのは、性能を除けば理論的にはありません。もちろん中のソフトが対応してないとダメとかソフトに癖があるとかはある訳ですが。
で、VPNルータは普通、対応しているWindows用のVPNクライアントソフトがあるはずなので、まずはそれを調べます。
めでたくあれば、家のルータはスルーしてくれるだけでOK、トンネルはあなたのPCと会社のルータの間で開設されます。
ただしこういう接続の仕方では、そのPCだけが会社のLANには参加することになります。もしくは、LANからインターネットにアクセスさせたくないというようなの場合もあるでしょう。事務所間を接続するときですね。その場合は、専用装置でトンネルを終端する方が良いでしょう。(あなたのPCをみんなのためにずっとスイッチオンにしてそこに張り付けておかなきゃいけない。再起動したら怒られる等の羽目になる) その装置がもう一台のルータになります。
ルータは機能を限定し、安定化した小さいパソコンに過ぎないです。
OK?
書込番号:18438575
4点
RTX1210は、当方も運用しておりますが、RTX1210を設置する本所にグローバルIPが1個にて支所側にYamahaルーターや他社VPNルーターでのIPSEC-VPN接続(アグレッシブモード)、自宅回線の方につきましては、VPNルーターを予算上用意するのが難しいのであれば、NTT「フレッツVPNワイド」契約を本所と自宅2拠点分契約する方法が有ります。(自宅と本所間については、VPN契約でのIPIP接続)
フレッツVPNワイド等のIPIP接続の場合には、本所側RTX1210の2セッション目及び自宅側はインターネットセッション以外の2セッション目にフレッツVPNワイドの設定投入となります。
ただしフレッツVPNワイドの契約には、拠点分の月額コストがかかる事を想定下さい。
※ https://flets.com/vpnwide/s_fee.html、http://flets-w.com/vpnwide/ryoukin/、月額1,800円×拠点数、契約拠点は全てNTTフレッツ回線適用が条件となります。
自宅側からVPN接続します用途ですが、常時接続の必要性が無く、オンデマンド接続で宜しければ、本所RTX1210にL2TP/IPSEC設定を実施し、リモートダイヤルアクセス接続と言う方法も有ります。
RTX1210を用意するという事は、支所側に何らかのVPNルーターが有るという認識で宜しいでしょうか?
支所側のアプリケーション運用レスポンスの関連で、一定したVPNスループットが必要な場合には、支所側においてもVPNスループット性能が高いルーターが必須となります。
※ 例えば、本所にRTX1210、支所にNEC「UNIVERGE iX2105」やYamaha「RTX810」等。
支所側のスループットはあまり気にする必要が無い場合には、支所側のVPNルーターは中古・オークション等も含め、Yamaha「RTX1100」、「SRT100」、「RT107E」にて対応可能です。
予算に応じた構成を検討下さい。
書込番号:18440730
1点
「外から見たい」という要望が、自宅や別拠点など固定点からということなのか、外出先からということなのかにもよりますが、
外出先からも考慮すると、L2TP/IPsecでVPN張るのが手軽かと思います。
参考までに
http://www.rtpro.yamaha.co.jp/RT/docs/l2tp_ipsec/
書込番号:18440780
1点
しょうがないから調べてみた。
インターネット全般から端末でアクセスする場合のクライアント。
http://jp.yamaha.com/products/network/network_options/vpn_client_software/yms-vpn8-cp/?mode=model
windowsに付属のL2TP/IPSecはサポートしないとあるので、このライセンスが必要ですね。
IPSecは相変わらずコンパチビリティないのね、、、orz
スマートフォンはだいたいサポートするみたいだから問題なし。
書込番号:18441019
1点
確かにL2TP/IPSEC接続は、Windows端末から見てノンサポート扱いですが、ほとんどのケースで問題となるケースとして、リモートダイヤルアクセス側回線が、ルーター(NAT配下)に有る場合が想定されます。
上記の問題の場合には、レジストリ変更にて対応は可能です。
1,「スタート」画面で右クリック→「すべてのアプリ」をクリック→「ファイル名を指定して実行」→「regedit」と入力して「OK」をクリックする。
2,次のレジストリ サブキーを右クリックします。
「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent」
「新規」→「DWORD値」をクリックします。
3,「新しい値#1」ができますので、右クリック、「名前の変更」をクリックする。
「AssumeUDPEncapsulationContextOnSendRule 」
と入力します。
4「AssumeUDPEncapsulationContextOnSendRule 」を右クリックし、「修正」をクリックします。
5「AssumeUDPEncapsulationContextOnSendRule 」をクリックします。「値のデータ」に「2」といれます。ここで必ずパソコンを再起動させて下さい。
上記の調整にて、Windowsパソコンの標準仮想プライベート・ネットワーク接続機能にて、問題は無いかと存じます。
問題の有るケースとしてですが、過去の事例ですとWindowsXP端末仕様で、OSの機能としてVPNの暗号化機能がAESに対応しておらず、VPNルーターのL2TPトンネル設定を3DESモード構成にしなければ接続許容されない問題、Windows7/8.1ベースであれば問題は無いかと存じます。
書込番号:18441376
1点
追加補足です。
本所にRTX1210を想定し、支所にYamaha以外のVPNルーターを利用する場合、VPN接続・死活監視機能として独自のheatbeat監視でのVPN接続維持機能をYamaha側で保有する機能になっておりますので、全拠点Yamahaで統一する場合には、考慮しなくても良いですが、異種メーカー間接続を予算とレスポンスから考慮される場合、VPN接続・死活監視としてdpd死活監視・双方にグローバル固定IPアドレスが必要になるケースも有ります。
NEC系や富士通、Cisco、アライドテレシス系のルーターはdpd死活監視が標準になっております点、双方のルーターのIPSECプログラムの相違が若干有る為、双方にグローバル固定IPが無ければ、不安定なケースも有ります。(IPSEC-VPNでのメインモード接続)
書込番号:18441489
1点
目標構成が微妙に見えていないので、質問させてください。
環境、要望スペックによって、内容にかなりの違いが出てきますので、下の内容はどんな感じでお考えですか?
1.話の内容を拝見すると、外から見たいと言っておられる方は、費用が掛けずにできるだろう的な感じで要望されているようにも見受けられますが如何ですか?
2.会社でお使いの回線は、固定IPですか?動的IPですか?
→動的IPでもDDNSサービスを利用すれば大した違いはありませんが..
3.社内で共有しているデータサイズは大きいですか?
→社内で閲覧していて、サクサク閲覧できていますか?それとももたついていたりしますか?
4.個人宅を除き、会社に複数拠点(事務所)がありますか?また、その拠点間接続もお考えですか?
5.セキュリティは何処まで確保されることをお考えですか?
→鉄壁なのか、漏えいレベルなのか、などなど。
6.現在、設定経験のある機器は何がありますか?
→家庭用でも、企業向けでも。バッファローやIOデータ、コレガやシスコなど。
如何でしょう?
書込番号:18444351
1点
皆様のアドバイスをじっくり拝見させていただいています。
皆さんのおっしゃることは私にはなかなか難解です。。m(__)m
麦タロウ様、ありがとうございます。
1.話の内容を拝見すると、外から見たいと言っておられる方は、費用が掛けずにできるだろう的な感じで要望されているようにも見受けられますが如何ですか?
できることなら、コストは掛けずに実現できればと思っています。
特にランニングコストは抑えたいです。
特にわからなかったのが、VPNルータはサーバのある本社に1台だけでよいのか、拠点分必要なのかという点でした。
これだけたくさんアドバイスをいただきながら、未だよくわかっていません。
2.会社でお使いの回線は、固定IPですか?動的IPですか?
→動的IPでもDDNSサービスを利用すれば大した違いはありませんが..
YAMAHAにDDNSサービスがあると聞いているので、それを利用したいと考えています。
3.社内で共有しているデータサイズは大きいですか?
→社内で閲覧していて、サクサク閲覧できていますか?それとももたついていたりしますか?
検索結果にも左右されますが、概ねストレス無く運用しています。
4.個人宅を除き、会社に複数拠点(事務所)がありますか?また、その拠点間接続もお考えですか?
まずは、iPadセルラーモデル2台の接続を考えています。
将来的(数年後)には個人宅を含めた関連拠点20箇所程度からの接続を一応視野にはいれています。
接続は常時ではなく必要な時だけで、拠点間接続は必要ありません。
5.セキュリティは何処まで確保されることをお考えですか?
→鉄壁なのか、漏えいレベルなのか、などなど。
部外者に漏れて困るものも特になく、ウイルスソフトも入れていません。
6.現在、設定経験のある機器は何がありますか?
→家庭用でも、企業向けでも。バッファローやIOデータ、コレガやシスコなど。
個人向けWi-Fiルータ(BUFFALO等)レベルでしょうか。
GUIがしっかりしているものは調べながらでもできる気がするのですが、
コマンドは全くわからず、また、それを勉強する時間をとりたくありません。
書込番号:18444889
0点
VPNルータにこだわらなくても、SoftEther という選択肢もあるかと思いますが?
書込番号:18444929
1点
「VPNルーターは拠点分必要なのか?」という事ですが、この質問が出る時点で、RTX1210ルーターの重要性が薄れる気がしますが、あくまでもRTX1210は自身でVPNを構成出来る機能(VPNサーバ機能)が有るルーターですが、VPNクライアントに相当します支所用のルーターは同等接続機能が無ければ、RTX1210を選択する意味が有りません。
初心者という事で、RTX1210ルーターでのIPSEC-VPN構成をされる場合におきまして、対向側にIPSEC暗号通信を復号化出来るルーターが必要で有る点を考慮下さい。NTTやKDDIのVPNサービスを利用される場合には、VPNルーターのVPNサーバ機能を利用せず、回線側のVPNサーバを月額負担金にて利用し、その専用VPNサーバへ接続する方式(IPIP接続)になると、ルーターとしてはVPNパススルー迄の機能で良いという事になります。
NTTやKDDIのVPNサービスの利用する形ですと、本機ではなく下位機種「RTX810」や「UNIVERGE iX2105」での構成でも良い形になります。
20拠点程のオンデマンド接続を考慮される場合ですが、NTTやKDDIのVPNサービスの利用ではなく、ルーターのVPNサーバ機能、特にVPNスループットを20拠点分の帯域計算する必要が有りますが、目安として、VPNルーターのVPNスループット性能が目安になるかと存じます。
特にオンデマンドでのリモートアクセスVPNですと、L2TP/IPSEC接続が主体となるかと存じますが、RTX1210につきましては、VPNスループットが最大1.5Gbpsまで対応する形になっておりますが、下位機種ですと最大200Mbpsの性能しか無いので、コマンド設定に慣れている方でしたら、他社VPNルーターの方が、ローコストにVPN性能の良いルーターが対応出来るかと存じます。
※ NEC「UNIVERGE iX2207」・・VPNスループット最大800Mbps、「UNIVERGE iX2105」・・VPNスループット最大440Mbps
ルーターの選択肢として、接続端末数も考慮する必要が有ります。ルーターの接続台数目安として、最大NATテーブル数から計算して、メーカー推奨値・端末1台あたり200テーブルと計算すると、Yamaha「RTX1210」は、65,534÷200=327台、「RTX810」は、10,000÷200=50台、「FWX120」は、最大30,000÷200=150台が目安になります。
VPN接続でも、インターネット回線接続性能と接続端末数、アプリケーション・サーバの通信負荷も考慮し、ネットワーク装置の選択が有る程度限定出来るかと存じます。
それと、VPNルーターにてVPN接続を考慮される場合、DDNSサービスでも代用は可能かと存じますが、DDNSサービスが全く障害などのトラブルが無い訳でも有りませんので、出来ましたら、プロバイダ等の固定IPサービスを検討された方が無難かと考えます。
ASAHIネットですと、プロバイダ料とは別に月額800円にて、固定IPサービスの契約は可能です。
既存契約プロバイダの月額費用も併せ比較検討されると良いかと存じます。
※ http://asahi-net.jp/service/option/fixedip/
書込番号:18445795
2点
コンソール設定の基本要素が解らず、Webコンソールのみにおいても限界が有るのでは?
固定インターネット回線サービスによって制約が有りますが、キャリアの方のVPNサービスを利用する方法が無難かと考えますが・・。
※ 「http://www.otsuka-shokai.co.jp/products/o-cnet/」、「http://business.biglobe.ne.jp/ssl_ras/」、「http://business.biglobe.ne.jp/ipsec/」
書込番号:18448849
1点
まずは、外部から繋いで使い勝手を見てみたい。
というレベルとお見受けしたので、現段階で、RTX1210の必要性はないように思います。
社内のPC台数が、10台程度であれば、
WXR-1900DHP
http://buffalo.jp/product/wireless-lan/ap/wxr-1900dhp/
で、様子を探るというのも手かもれません。マニュアルにもiPadの接続方法も書かれているので、面倒はないかも?
※外部からのVPN同時接続は、3なので、本格的に運用する際には入れ替えが必要ですが...。
CPUは、ギガHzを積んでいるので、そこそこのパフォーマンスは出ると思いますが、現在社内でお使いのルーターは何ですか?
書込番号:18448975
1点
こんにちは。
大きく分けて、VPNには下記2種類があります。
・リモートアクセスVPN(端末とLANをオンデマンド接続する)
⇒ サーバー側はVPNルーター必要
クライアント側はVPNルーター不要(通常のルーターでOK)
・LAN間接続VPN(LANとLANを常時接続する)
⇒ サーバー側もクライアント側もVPNルーター必要
スレを読む限り、現状スレ主さんが必要とされているのはリモートアクセスVPNだと思います。
また、リモートアクセスVPN接続に用いるプロトコルも主に3種類あります(SSL-VPNはちょっと違うので除外)。
・PPTP
・L2TP(実際にはIPSecも併用)
・IPSec
PPTP-VPNは数年前にクラックされ、脆弱性が指摘されていますが、
Buffaloの3000-4000円程度のルーターでもPPTPサーバー機能に対応していたりします。
設定もGUI画面だけでできます(GUIでしかできません)。
もちろん、安定性や実効速度などは業務用製品とは比べるまでもありませんが…
なので、通信に用いる情報の重要度や通信量により割り切れる場合に限られると思います。
また、クライアント/サーバー間の全てのルーターでPPTPパススルーが必須になるので、
物理的にVPN接続不可となるケースもかなり存在します。
(公衆無線LANやキャリアNATのネットワークを経由した場合など)
L2TP-VPNは結構汎用的でありながら、認証や暗号化にIPSecの技術を用いるので、
PPTPよりも強固なセキュリティを確保できます。
麦タロウさんご紹介のWXR-1900DHP(Buffalo)は、L2TPサーバー機能に対応しています。
民生品としてはかなり高価なルーターですが、現状民生品でL2TPサーバー対応しているのはこれくらいです。
設定もGUI画面だけでできます(GUIでしかできません)。
安定性や実効速度などは未知数な部分が多いですが…
なお、IPSecを使用するので、クライアント/サーバー間の全てのルーターでIPSecパススルーが必要になるのですが、
PPTPと異なり、NATトラバーサル(NAT-T)という技術を用いてこの問題を回避可能です。
つまり、クライアント/サーバー双方がNAT-T対応であれば、その間のIPSecパススルーは必要ありません。
最近の機種なら、大概はNAT-Tには対応していると思います。
(YAMAHAのRTX810は発売当初NAT-Tに対応していなくて大問題になってましたが…)
単体のIPSec-VPNは、サーバーと同一メーカーの専用クライアントソフトが必要になる場合が多いです。
LAN間接続ではよく使いますが、リモートアクセスではあまり使わないと考えていいかもしれません。
なので、予算とスキル次第と言ってしまえばそれまでなのですが、
少なくとも業務用で使うのですから、L2TPのリモートアクセスを用いるのが現実的だと思います。
行間を読んでその辺をいろいろ考え、且つスレ主さんが書かれている要望も考慮した結果、
麦タロウさんはBuffaloのWXR-1900DHPを紹介してくれているのでしょうし、
私もその辺りが妥当なところだと思います。
あとは同じくL2TPサーバーに対応したBuffaloのVR-S1000とかでしょうか。
業務用ですけど、BuffaloということもありGUIがそれなりに充実しているので、初級者でも比較的簡単に設定可能です。
書込番号:18455810
1点
すでに視聴されているかもしれませんが、一応貼っておきます。
FileMakerをVPNまたはSSLネットワーク経由で使用することに焦点を当てた講演です。
(1時間もしゃべっている割には、VPNについては細かい説明はないんですが…)
(半分以上はSSLに関するもので、本件には直接関係ない部分です。)
iPad & iPhoneからのリモートアクセスをより安全にするネットワーク構築術
https://www.youtube.com/watch?v=SUcSjX4bVPs
書込番号:18455864
1点
先刻の詳細ですが、大塚商会様VPNサービスですと、「VPN接続型リモートアクセスサービス O-CNET AIR STREAM」がipadやiphoneなどの接続に際し、専用ネットワークの場合でのキャリア越え通信も可能、初回現場調査費及びルーターの工事費(75000円〜 + 80,000円)がかかりますが、月額負担金として、O-CNET AIR STREAM月額利用料・1アカウント1,500円+O-CNET SMILE VPN月額保守費・1拠点 〜 14,100円〜にて提供しています。
※ http://www.otsuka-shokai.co.jp/products/o-cnet-multi-access/airstream.html
対地拠点数に併せて、本所と支所の常時固定接続対応も、「O-CNET SMILE VPN(クローズド網)」サービスにて対応出来ますが、先ずは要望します全体のネットワーク構成により、相談されると良いかと考えます。
書込番号:18456142
1点
使用しているのはRTX810ですが、会社とL2TP/IPsecで接続して、会社のファイルサーバーやIPアドレス制限のかかったサーバーのメンテナンスに使用しております。
クライアントソフトもWindows8.1/7やMacのOS付属のもので問題なく使えています。
ちなみに自宅と会社の環境です。
【会社】
・フレッツ光 マンションタイプ(固定IP)
・光ルーター(ブリッジ)とRTX810を接続
【自宅】
・フレッツ光 マンションタイプ
・光ルーター(ブリッジ)とAterm WG1800HP2を接続
社員10名以下の会社ですが、RTX810ではVPNの対地数が6とぎりぎりなので、その点だけでもRTX1210を選ぶ価値はあるかと存じます。
書込番号:18464832
1点
利用ルーターがRTX810という事で、VPN対地拠点数が最大6対地ですが、複数拠点接続は、本所・支所含めて、IPSEC及びL2TP接続も含めて6トンネルギリギリだという認識で宜しいでしょうか?
また、「VR-S1000」ルーターですと、VPNスループットが最大100Mbpsとなり、本所ルーターに選択するに、動作及び通信安定性上、一定のリスクが有ると、「RTX1210」の選択しているのですね?
私の立場でしたら、NEC「UNIVERGE iX2105」でもOKかと存じますが・・。
通販で、6万前後(新品)で入手可能かと・・。
予算が有ればRTX1210でも構いませんが、出来るだけ予算をかけたくない(通信性能と安定性も犠牲にしたくない)、コンソール設定に慣れているという事、中古・オークション等でも安価な入手可能かと。
書込番号:18464933
1点
前機種「RTX1200」ルーターでしたら、かなり安価に出回ってますよ。
RTX810で問題無かった、拠点数増強におけるスループットの向上等の考慮する必要無しでしたら・・。
書込番号:18464953
1点
私の場合は会社のルーターと自宅のパソコンをVPN接続していますので、拠点間接続とは異なり対地数が同時に接続できる人数となります。
また、VPNは転送速度がどうしても低下してしまいますので、2〜3万円の金額差でしたらケチらずに最新でややオーバースペックかなと思う機種を選ぶことをお勧めします。
少ない人数の会社ですけど、RTX810を実際に運用してみて、もう少し上位機種にしておけば良かったと感じています。
ちなみにiOSもOS標準のVPNクライアントで接続できていますよ。
書込番号:18467548
1点
うーん、「RTX810」自体は、半分個人向けに近いですからね。
拠点間接続(IPSEC-VPN)でも、支店用(スター型接続)で、極度の通信集中しない環境しか使えないですしね。
L2TP/IPSECでも、IPSEC-VPNでもルーターの仕様として、Yamaha系ですと、専用VPNアクセラレータ機能が未搭載で、単一のCPUの処理となる機能ですが、VPN接続時のキャッシュ機能として、ファーストパス機能が動作する様になっていますが、RTX3500やRTX5000クラスでなければ、VPN接続の実質向上はしにくい仕様になっている様です。
※ http://www.rtpro.yamaha.co.jp/RT/docs/fastpath/
対し、NECや富士通は、搭載CPUの処理とVPN接続時のキャッシュ機能が独立しており、CPUに負荷をかけずアシストする機能として、UFSキャッシュ機能が有る為、実VPN性能は、NECや富士通の方がスループット性能では良い数値が計上される様です。
当方もNECとYamahaで双方実動作してみた経験則で、メーカー告知のカタログスペック数値として、Yamahaの方が良い(RTX1210)のですが、実性能ではNECの方(IX2215)が良い数値が計上され、アプリケーション等の動作もNECの方が均一した動作を示しております。
書込番号:18469087
1点
RTX1210については、OSのチューニングやキャッシュ機能のチューニングとして、ファームウェア改修等によって改善される場合も想定されますが、メリットとして、NEC等に未搭載の機能、URLフィルタや独自フィルタ型ルーティング、UPNP機能が有りますので、要望する機能にて選択する形になるかと。
書込番号:18469109
1点
宮のクマの雅さんの仰るとおり、必要なのはリモートアクセスVPNです。安価であってもGUIで設定できないRTX1200等は扱えませんので、麦タロウさんにおすすめいただいたWXR-1900DHPを中心に検討したいと思います。皆さんのアドバイスは今すぐに理解できないことも多いのですが、大変参考になりました。今後じっくり勉強していきたいと思います。皆さん、いろいろ本当にありがとうございました。
書込番号:18483495
0点
??「RTX1200」ですが、GUIでの設定は出来ますよ。
L2TP/IPSEC及びPPTP-VPNも、最新ファームウェア適用にてGUI設定可能です。
念のため、情報まで。
※ http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.10.01/relnote_10_01_59.html
書込番号:18484483
0点
有線ルーター > MICRO RESEARCH > NetGenesis GigaLink2000 MR-GL2000
対応セキュリティにUPnP/VPNと書いてりますが、
このVPNはこいつ自身がVPNサーバ機能搭載って意味じゃないですよね?
メーカーサイトを参照したところ以下のように書いてあったので。
+++++++++++++++++++++++++++++
IPSecパススルー(1セッション)、PPTP変換(複数セッション)に対応していますので、ルーターを介したVPNネットワークを構築することが可能です。
※VPN接続機能(ルーター自身がVPN接続を行う機能)には対応していません。
書込番号:18400127 スマートフォンサイトからの書き込み
0点
そういうことです。
安くIPSec VPNやろうと思ったら、ECS LIVAみたいな軽量x86マシンにIIJのソフトルータ入れるか、Linuxをチューンするしかないと思う。
Linuxの場合はBotのターゲットになる可能性が高いので要注意。開いてるポートの脆弱性情報には警戒しておく必要があります。
もうちょっと手軽にVPN出来れば個人クラウドが流行ると思うんですけどね。
書込番号:18400209
0点
>PSecパススルー(1セッション)、PPTP変換(複数セッション)に対応していますので、ルーターを介したVPNネットワークを構築することが可能です。
※VPN接続機能(ルーター自身がVPN接続を行う機能)には対応していません。
PPPoEのパススルーと同じで、
VPNサーバーをLANに配置しておけば、本機はVPNの通信の邪魔はせずに、
そのまま通せますと云う意味だと思います。
書込番号:18400539
0点
サーバ側は穴開けないとダメかも。
PPPoEは内部発信だからいいんだけども。
書込番号:18401762
0点
このルーターを購入するのであれば、あれこれとVPNサーバやルーターとの連携など考えないといけないので、Yamaha「RTX810」、NEC「UNIVERGE iX2105」、アライドテレシス「AR560S」等を購入された方が賢明かと考えます。
中古・オークション、新品などを踏まえて検討すれば、金額は前後するかと存じます。
書込番号:18408981
0点
クチコミ掲示板検索
新着ピックアップリスト
-
【欲しいものリスト】O11D mini v2 White SL no LCD build
-
【欲しいものリスト】やっさんのぱそこん
-
【欲しいものリスト】PC構成20251031
-
【欲しいものリスト】メインPC再構成
価格.comマガジン
注目トピックス
(パソコン)
