このページのスレッド一覧(全7438スレッド)
| 内容・タイトル | ナイスクチコミ数 | 返信数 | 最終投稿日時 |
|---|---|---|---|
 eo光 |
2 | 9 | 2015年3月18日 18:31 |
| Windows7標準L2TP/IPsecでの接続について |
7 | 37 | 2021年2月20日 09:36 |
| VPNについての初歩的な質問 |
25 | 26 | 2015年2月16日 20:19 |
| VPNサーバ機能は搭載? |
0 | 4 | 2015年1月26日 16:32 |
| 2ちゃんねるに書き込めません |
26 | 36 | 2015年1月15日 09:52 |
| 最近、突然ネットの繋がりが遅くなりました |
1 | 9 | 2015年1月9日 21:24 |
- 「質問の絞込み」の未返信、未解決は最新1年、解決済みは全期間のクチコミを表示しています
お気に入りに追加
回線接続のみで、こちらのルーターを使用するのですか?
PPPOE接続、nat-masquarade設定レベルで迷われてるレベルでしたら、こちらのルーターは未使用の方が良いかと存じます。
もし、設定情報等提供希望でしたら、既存config情報提供お願いします。
重要プロバイダーID及びパスワードは、伏字で構いません。
書込番号:18579525 スマートフォンサイトからの書き込み
0点
追加確認箇所は、デフォルトゲート設定コマンド、dns serverコマンド、nat-masquarade outerコマンド、同じくmasquarade innerコマンド。
書込番号:18579547 スマートフォンサイトからの書き込み
0点
レス、ありがとうございます。
PPPoEで検索していると、TCPのmss clampが関係していると思っています。
コマンドマニュアルを見ると、defaultでdisableになっているようなので、
一度、試してみます。
書込番号:18580602
0点
??EO光の場合、MTU数値は一般的な1,454を利用しております。
RTX1210ルーターの場合、PPPOE接続設定においては、MRUオプション及びMTU数値は、1,454を指定してあれば、MSS数値の設定は必要無いかと存じます。
PPPOE接続されているとの事ですが、EO光指定のDNSサーバアドレスを指定していますでしょうか?
※ dns server pp 1 → dns server 60.56.0.135 218.251.89.134
※ dns server select 500001 pp 1 any . restrict pp 1 → dns server select 500001 60.56.0.135 218.251.89.134 any . restrict pp 1
※ provider dns server pp 1 1 → provider dns server 1 60.56.0.135 218.251.89.134
更に言うと、EO光の固定IPサービスの利用はされていませんか?
固定IPサービスを利用していましたら、nat-masquarade設定を変更しなければ、接続許容されません。
下記例として・・
nat descriptor type 300 masquerade
nat descriptor address outer 300 (EO光・グローバルIP)
nat descriptor address inner 300 auto
書込番号:18583779
0点
レスありがとうございます。
無事接続ができました。
ppp lcp mru on 1400
にするとokでした。1454は繋がらなかったと思いますが、、、気のせいかな?
契約は、固定IPです。nat-masquarade関係はまだ見ていません。
現在、各パソコンに繋がるケーブルをつなぐと、スピードが半分くらいにダウンして、
安定しません。(調査中)
ま、取りあえず繋がったので、ほっとしています。
書込番号:18587302
0点
??「ppp lcp mru on 1400」
通常は、ip pp mtu 1454のみでOKな筈ですが・・。
LANケーブルを接続して安定しないとの事ですが、LANケーブルはストレート・クロスの混在、カテゴリレベルの混在等をしていませんか?
更にハブ等の分岐配線ですが、カスケードを2段以内にしていますでしょうか?
CAT7も含めたSTPケーブルを利用すると、ノイズ滞留劣化等が起きる可能性も有ります。STPケーブルを利用される場合、それぞれの機器側にアース配線する様にして下さい。
出来れば、CAT6(UTP)ケーブル・単線・ストレート仕様をご利用ください。
書込番号:18588344
0点
ルーターから、ハブをカスケードしてどのくらい
安定性が損なわれるか、データをお願いします。
CAT6(UTP)ケーブル・単線・ストレートと、CAT5eで
どのくらいの減衰があるのか、データをお願いします。
(あんまりかかわりたくないんだけど、、、)
書込番号:18591984
0点
具体性の有るデータは、同一環境で無ければ、提示は難しいです。
ギガビット通信機器となると、最大で2段までのカスケード数がメーカー保証となりますが、実際の所、パケット衝突の確率・パケットロスの確率が高くなる点、通信量の問題ではなく、
衝突を検知してから、送信元に知らせるまでの時間の遅延が大きくなる点が有ります。
利用しているケーブルとして、CAT混在でクロス混在の時点で、全体のカテゴリレベルは4程度まで落ちる計算、伝送レートでの負荷も単純に4割程度の性能しか出ない形になります。
CAT5Eケーブルは、100Mbps対応ケーブルを無理矢理心線を変更し、本来ギガビット通信許容周波数である、250Mhz以上の周波数帯域を100Mhz周波数心線で利用可能にしている条件が有ります。
100Mhz周波数ケーブルをギガビット通信のケーブルへ転用された場合に、引き回し接続による遅延、特に上り速度・下り速度の均一化の保証が無い仕様が有ります。
CAT5Eケーブルを利用される場合には、規格上1mの近接距離にてギガビット通信の許容と言う条件が有ります。(伝送周波数性能が低いため)
本来、ギガビット通信は、8極8芯1ペアごとに250Mbps(250Mbps x 4ペア=1000Mbps)で送信と受信を兼ねる仕様が必須となっております。中でも、10m以上の迂回配線やカスケードを重ねる場合にも、より線では、迂回する毎に30〜40%の電気抵抗が発生する事になっております。
カテゴリレベルの相違・クロス混在(伝送周波数が足りない)でも、総体で30〜40%の終端抵抗がかかると想定下さい。
書込番号:18592191
2点
RTX1210ではノンサポートとは知りつつ...YMS-VPN8がお高いので、Windows7標準のL2TP/IPsecを使って(レジストリ変更済)運用しているのですが、同じグローバルアドレス配下の端末(win7)を2台以上接続しに行くと、接続ができている1台目のVPN接続が落ちる現象が発生します。再接続を何度かするうちにすべてつながり安定するのですが、原因は何でしょうか。
ログを確認すると
[IKE] SA[*] change state to DEAD
[IKE] delete SA[*]
がでた後
IP Tunnel[*] Down
で落ちています。
ダッシュボードの「VPN接続状態(リモートアクセス)」のインターフェース表示は
6台接続しているのなら、本来TUNNEL[1]〜TUNNEL[6]でつながると思うのですが
実際の例では以下のように歯抜け状態になっています。
(IP TunnelのUP Downを繰り返しているうちに以下の状態で安定。実際の例です。)
TUNNEL[02]
TUNNEL[03]
TUNNEL[05]
TUNNEL[13]
TUNNEL[07]
TUNNEL[01]
理解できる方いましたらご教授頂けないでしょうか。
よろしくお願い致します。
1点
確認ですが、L2TP/IPSECのトンネルを接続台数分のトンネル設定、PPPダイヤルアクセス用のID及びパスワードを接続トンネル分の数の作成(pp select anonymous→pp bind tunnel1-tunnel2→pp auth request mschap-v2、pp auth usernameから始まるIDとパスワード)をしていますか?
それと、ip pp remote address poolから始まる、L2TP/IPSEC接続時のプールしますIPアドレス範囲は特定していますでしょうか?
通常のDHCP端末と重複する様な設定(ip pp remote address pool auto)ではなく、プール範囲をDHCPと離した範囲に指定してみて下さい。
書込番号:18487606
2点
>確認ですが、L2TP/IPSECのトンネルを接続台数分のトンネル設定、PPPダイヤルアクセス用のID及びパスワードを接続トンネル分の数の作成(pp select anonymous→pp bind tunnel1-tunnel2→pp auth request mschap-v2、pp auth usernameから始まるIDとパスワード)をしていますか?
実際の接続は5,6台ですが、20台分のトンネル設定とそれぞれにIDとパスワードを作成しています。
もちろん、接続する端末はそれぞれのIDで接続しています。(実は同じIDでも2台まで接続できたのですが、YAMAHAに仕様外だと言われました)
>それと、ip pp remote address poolから始まる、L2TP/IPSEC接続時のプールしますIPアドレス範囲は特定していますでしょうか?
していません。「ip pp remote address pool auto」になっています。
てっきり通常のDHCP端末とは重複しないようにIPを割り当ててくれてると思ってたのですが...
ご指摘ありがとうございます。試してみます。
書込番号:18488475
1点
それは当たり前では?
プロトコルに依存するかもしれませんけど、一般的にVPNはNATを通過しませんよね?
NATでダメなものは言い換えるとグローバルIPを必要としているということだから、2つ開いたらアウトだと思うんだけど。(ちょっとズレてるかもだけど、要はVPNパススルーするルータが対応できると言ってなきゃ少なくても無理)
http://www.infraexpert.com/study/ipsec14.html
http://www.infraexpert.com/study/ipsec15.html
少なくても端末側がRTならアウト
http://www.rtpro.yamaha.co.jp/RT/FAQ/IPsec/faq_2_k.html
書込番号:18488686
0点
IPSEC-VPNでも、L2TP/IPSEC自体の規格は、一般的なVPNルーター(Yamaha含むNEC、Cisco、アライドテレシス)は、NATトラバーサルの機能は実装しておりますので、NATは通過出来る仕様ですよ。
Yamahaルーターでも、IPSEC-VPNでも接続回線によって、NATトラバーサル設定でのNAT貫通は出来ますので、誤解が有るかと存じます。
NATトラバーサル機能を利用しますと、IKE認証にUDP500番ポートではなく、UDP4500番を利用する形になります。
IKE Phase 1にて、IPsecピアとなる双方の機器がNAT Traversal確認→IPsecピアを構築する経路上にNAPTデバイスが存在可否確認→IKEで使用するポート番号の変更 (送信元・宛先ともに500 → 4500へ変更確認)が派生し、IKE Phase 2にてESPパケットをUDPでカプセル化するモードの決定→NAPTにより変更される前のIPアドレス情報の通知処理、IPsec-VPN確立後にはUDPカプセル化によるトランスポートまたはトンネルモードのESPパケットを送信する仕組みになります。
Yamahaルーターには、L2TPクライアントの複数受付可能な仕様になっていますので、設定レベルの問題かと存じます。その際には、トンネル毎に「ipsec ike nat-traversal」コマンドでのトランスポート転送モードの設定(UDP1701番での待ち受けポート設定も必要)が必要です。
書込番号:18489249
0点
追伸、質問者はWindowsパソコンでのNATトラバーサル通信が許容される様に、レジストリ変更していますので、一般的なIPSEC-VPN(NATトラバーサル機能が無い)ルーターでの説明には該当しないかと存じます。
書込番号:18489268
0点
sorio-2215さんのおっしゃる通り、NATトラバーサルの問題(ルーター越え)はレジストリ変更で対処して、実際に通信できているので問題ありません。接続が安定するまで、落ちたりつながったりとしばらくバタバタする点をなんとかしたいというのが解決したい点です。
L2TP/IPSEC接続時のプールの設定ですが、正しくは以下のように設定されていました。(ちなみにデフォルト設定です。)
(誤)「ip pp remote address pool auto」 → (正)「ip pp remote address pool dhcp」
プール範囲の設定について以下のアドバイスを頂いたのですが
>プール範囲をDHCPと離した範囲に指定してみて下さい。
rtx1210のDHCPの割り当て範囲を例えば以下に設定しているとすると
[192.168.0.100 - 192.168.0.150]
リモートのプール範囲は
[192.168.0.200 - 192.168.0.220]
のようにDHCP範囲外で設定するという認識でよろしいでしょうか。
よろしくお願い致します。
書込番号:18489996
0点
リポートプールしますIP範囲の認識は、解釈の通りでOKです。
当方もRTX1210とUNIVERGE iX2215にて、L2TP/IPSECを利用経験則ですが、L2TP同時クライアント接続にて、問題は出ておりません。
IX2215ですと、トンネル毎に接続します接続ユーザーID及びパスワードを限定させる設定も出来るのですが、RTX1210ですとanonymous接続にそれぞれ接続ユーザーIDとパスワードを登録する位しか出来ないですが、先ずはトラブルは出ておりません。
書込番号:18490095
0点
以下の設定例は参考になりませんか?
「ヤマハルーターのプライベートアドレス:192.168.100.1」ですので、192.168.0.1などに読み替えてください。
この設定例では、DHCPサーバのアドレスプール内のアドレスを設定しているようです。
【設定例3:NATトラバーサルを利用したL2TPクライアントの接続を受け付ける場合】
【L2TP接続を受け入れるための設定】
ip pp remote address pool 192.168.100.10-192.168.100.20 ==> 「dhcp scope 1 192.168.100.2-192.168.100.191/24」がデフォルト値かと思います。
http://www.rtpro.yamaha.co.jp/RT/docs/l2tp_ipsec/index.html?_ga=1.68082705.1850650006.1410221214#setting3
書込番号:18490290
0点
補足ですが、Yamahaルーターの場合ですが、他の方の補足メーカーサイトでの提示、特に注釈文「※動作検証では、接続・通信・切断が正常に行えることを確認しています。
長時間の接続試験は行っておりません。
※Android 4系の一部のOSでは、切断時にルーターに対して切断メッセージを送信しないものがあります。そのため、ルーター側でセッションが残ってしまい、次の接続をすぐに受けることができなくなります。対策として、ルーター側で早期に切断を検知できるようL2TPキープアライブを有効にすることを薦めます。」
上記の文面内容ですが、接続しますL2TPクライアント仕様によって、即時切断要求・応答する仕様のクライアントと、そうでないクライアントが有ります。
利用用途及び端末によってとなりますが、YamahaルーターOS仕様の場合、L2TPクライアントが切断時に、応答切断に遅延が派生し、再接続時に問題が出る場合も有ります。
その際には、L2TPセッション・タイマーの設定にて、経過時間による切断コマンドを設定しておいた方が良いかもしれません。メーカー指示のL2TPキープアライブでは無くなりますが、「l2tp tunnel disconnect time」コマンドをトンネル毎に秒単位設定をする等の対応が必要になる可能性も有ります。(例えば、l2tp tunnel disconnect time 600)
書込番号:18492258
0点
実はL2TPセッション・タイマーは設定済みで、全チャンネル「l2tp tunnel disconnect time 300」としましたが、動きは変わりませんでした。今はプール範囲を変えたので、様子をみているところです。
書込番号:18493059
0点
プール範囲を変えたのですが、改善されませんでした...残念(/Д`)。もう少し様子をみようと思います。
書込番号:18495218
0点
そうですか。確認ですが、契約回線及びプロバイダはどちらでしょうか?
光電話の有無(光電話ルーター等の機種・型式も併せて)教えて頂けますが?
それと、出先側回線サービス及び接続モバイルルーター機種等も教えて下さい。
書込番号:18495361
0点
先ほど聞き忘れました、ipsec autokey-proposalの暗号化レベルはどのモードをご利用でしょうか?
トンネルモードが「esp-aes esp-sha」でなければ、Windows8や7系では不安定な場合が有ります。
まさか、WindowsXPでは無いですよね? XPであれば、「esp-3des esp-sha」でなければ接続対応されません。
それと、PPPダイアルアクセスのレベルですが、chapでしょうか?それとも、mschap-v2でしょうか?
「pp select anonymous」での認証方式をchapにて、お試し下さい。
書込番号:18495802
0点
sorio-2215さん、いろいろ確認ありがとうございます。
以下確認事項です。
契約回線:NTTフレッツ光
プロバイダー:biglobe
光電話有:ひかり電話オフィスA
ルーター:OG800Xi
出先の回線:NTTフレッツ光
ルーター:上記と同等?
端末はすべてwin7です。
VPNの設定は以下となっています。
・ipsec sa policy 2 2 esp aes-cbc sha-hmac
・pp auth request mschap-v2
認証方式はchapに変更して試してみます。
トンネルモードも「esp-aes esp-sha」に変更するべきですかね...
上記に変更した場合、モバイル(iphone,ipad等)の接続に影響ありますか?
モバイルの接続も常時ではありませんがしています。
よろしくお願い致します。
書込番号:18497280
0点
この現象、経験があります。
次の3つのコマンドはどのようになっていますか?
ipsec ike keepalive use
l2tp tunnel disconnect time
l2tp keepalive use
もし次のようになっていなければ、だめ元で試してみてください。
ipsec ike keepalive use x off
l2tp tunnel disconnect time off
l2tp keepalive use on 10 3
書込番号:18497686
0点
光電話オフィスアダプタOG800Xi(BRI収容/8ch)をご利用という事で、同機のファームウェア問題による、PPPOEブリッジ機能の不確定要因が以前経験した事が有ります。
同機のファームウェアが最新か確認下さい。
同機のファームウェア更新には、NTT東/NTT西エリア別にファームウェアが分かれますが、工事専用ログインして、手動適用するのですが、アクセスIPが初期値であれば、PCを光電話オフィスアダプタのLANポート接続→ブラウザにて、「http://192.168.1.1」→ログインID(admin)、パスワード(akisky)にてログイン出来ます。
※ ファームウェア提供元・・NTT東(http://web116.jp/ced/support/version/voip/og400x_og800x/index.html)、NTT西(http://www.ntt-west.co.jp/flets/solution/kiki_info/software/746/)
出先回線装置・ルーターにおいても確認下さい。
トンネルモードも「esp-aes esp-sha」を指定、スマートフォンやタブレット、MVNO端末においては影響無い筈です。(http://www.rtpro.yamaha.co.jp/RT/docs/l2tp_ipsec/#client)
※ 例として「ipsec sa policy 1 1 esp aes-cbc sha-hmac」、「ipsec ike encryption 1 aes-cbc」
L2TPでは、コネクション制御メッセージの1つであるHelloメッセージを用いたキープアライブの仕組みがあり、IPsecのキープアライブとは独立しています。ヤマハルーターでは、L2TPキープアライブによってダウンが検出された場合には、StopCCNメッセージによるL2TPコネクションの切断処理を行った後で、該当するIPsec SAおよびISAKMP SAを削除します。3G回線を用いた接続では、電波状態などの理由でL2TPキープアライブとその応答がロスする可能性があります。
IPsecのキープアライブは、初期値としてヤマハルーターの独自仕様である heartbeat を使用します。スマートフォンなどに搭載されたL2TPクライアントでは heartbeat に対応していないため、L2TPクライアントで対応可能なキープアライブを設定する必要があります。IPsecのキープアライブに対応していないL2TPクライアントに対してはIPsecキープアライブの未使用が推奨されます。
Yamahaルーターにおいては、スマートフォンも共存するVPN設定において、キープアライブは推奨されない仕様です。
L2TP/IPsecのクライアントには、画面が消灯した場合や自動ロックがかかった場合に、L2TPキープアライブに対する応答を返さないものがあり、クライアントの設定を随意対応する必要と、IPsecのキープアライブは、初期値としてヤマハルーターの独自仕様である heartbeat 死活監視を採用しており、スマートフォンやタブレット、PC等の混在でのL2TP接続が有る場合には、死活監視の制御が難しくなります。環境により、キープアライブはすべきでは無いかと考えます。
因みにキープアライブ機能については、Yamahaにおいて独自のheartbeat死活監視、業界的にはdpd死活監視が採用されている場合が殆どです。(http://www.rtpro.yamaha.co.jp/RT/manual/rt-common/ipsec/ipsec_ike_keepalive_use.html)
書込番号:18498825
0点
いろいろ情報ありがとうございます。
一つずつ試してみようと思います。
まずは認証方式をchapでやってみます。
書込番号:18510427
0点
認証方式をchapにすると全くつながらなくなりました...(モバイルはつながります)
Winの設定でしょうか?
その他も確認予定です。
書込番号:18512412
0点
WindowsのL2TP/IPSECの接続設定は、仮想プライベート・ネットワーク接続での設定になります。
Windowsのコントロールパネルから、インターネット・オプション→接続タブ→該当の接続設定のプロパティを開き、ダイアルアップの設定→プロパティから、セキュリティタブ→次のプロトコルを許可するにチェック→チャレンジ ハンドシェイクプロトコル(CHAP)にチェック投入下さい。
書込番号:18513241
0点
チャレンジ ハンドシェイク認証プロトコル(CHAP)(H)へは元々チェックをいれています...
???
他の対策も試してみようと思います。
書込番号:18513288
0点
??chap認証ですと、mschap-v2認証より接続許容幅が広くなりますので、問題が出ない筈ですが・・。
キープアライブ設定は、未投入ですよね?
キープアライブ機能は、WebGUIからの設定ですとheartbeatが優先され、スマートフォンとWindows端末の同時併用が難しくなります。
モバイル端末やスマートフォン等の接続が出来るという事は、L2TPトンネル接続が接続端末のユーザー認証分の接続切り替えがうまくいっていない可能性が有ります。
それと併せて、IPsecのトランスポートモード設定の設定がトンネルルート毎にうまくいっているかどうかも確認下さい。(L2TP/IPSECトンネルのトンネル名称とUDP1701ポート利用の関連付け)
書込番号:18514019
0点
念のため、セキュリティソフト等のL2TPコネクション回りの制限等も確認下さい。
書込番号:18514040
0点
キープアライブ設定について
・ipsecのキープアライブはOFFになっています。
→ ipsec ike keepalive use x off
・CONFIGファイルに「l2tp keepalive use」の記述はありませんでした。
(デフォルトでOFFになっているのですかね...)
・l2tpの設定記述は以下のみ。
「l2tp tunnel disconnect time 300」
IPsecのトランスポートモード設定について
・ipsec transport 1 1 udp 1701 ←すべてのチャンネルが1701で設定されています。
・show status l2tpコマンドで確認すると、接続済みのポートはすべて1701です。
自機側送信元ポート: 1701
相手側送信元ポート: 1701
ちなみにいろいろ試す中で、rtx1210を再起動した後は
すべての接続が安定するまでの時間が早い気がします。
以下現状の設定です。
----------------------------
pp select anonymous
pp bind tunnel1-tunnel20
pp auth request mschap-v2(mschapから戻しました。)
pp auth username * * (以下20チャンネル分ユーザーとパス)
・
・
・
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp remote address pool 192.168.*.*-192.168.*.*(←DHCP範囲外を設定)
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel encapsulation l2tp
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac(esp-aes esp-shaで試す予定)
ipsec ike keepalive use 1 off
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ******
ipsec ike remote address 1 any
l2tp tunnel disconnect time 300 (←デフォルトはOFF、300に変更済)
ip tunnel tcp mss limit auto
tunnel enable 1
---------------------------------------------
状況の再確認ですが、同一グローバルアドレス配下の
クライアントを複数接続しなければ、問題ない状況です。
同一グローバルアドレス配下のクライアント2台目を接続しに行くと
先につながっているクライアントが落ちます。(落ちない時もある)
その後、クライアント2台がそれぞれ再接続を繰り返すうちに両方繋がります。
一度安定すると落ちることはありません。
2台で安定している状況でも、3台目の同グローバルアドレス配下のクライアントを接続しにいくと
3台とも不安定になり(2台の時もあり)、これも再接続を繰り返すうちにすべて繋がります。
書込番号:18516381
0点
うーん、接続トンネル数と接続ユーザー数(ID/Pass)が同一数の接続合致が有れば、問題は発生しない筈なのですが・・。
光電話オフィスアダプタのファームウェアは最新版か確認されましたか?
それと、ip secure filterから始まるポート許容は大丈夫でしょうか?(in / out)
※ UDP4500 UDP1701 esp ah 等
書込番号:18517536
0点
ポート許容の設定は以下となっています。
ip filter 200100 pass * 192.168.x.x udp * 500
ip filter 200101 pass * 192.168.x.x esp * *
ip filter 200102 pass * 192.168.x.x udp * 4500
ip filter 200103 pass * 192.168.x.x udp * 1701
光電話オフィスアダプタのファームウェアは最新でした。
出先も確か最新だったと思います。
(ちょっと自信ないので確認しに行こうと思います。)
ヤマハサイトのYMS-VPN8での接続設定をみると
l2tpキープアライブをonにしているようです。
→ l2tp tunnel disconnect time off
→ l2tp keepalive use on 10 3
→ l2tp keepalive log on
これも試してみるべきですかね...
書込番号:18517669
0点
キープアライブをしてみるのは差支え無いですが、あくまでもYamahaルーターは基準がheartbeatですので、Windowsクライアント側が仮に接続出来る様になったとしても、主なスマートフォン側については、HeartBeat仕様に対応していませんので、切断応答メッセージがルーター側へ流れず、再接続出来ない現象になる点が想定されます。
キープアライブ仕様つきましては、当方利用のNEC・UNIVERGEルーターですと、dpd死活監視機能になっておりますが、NECとYamahaにてdpd死活監視仕様のルーターでは問題が出ておりません。
仮に試す方法としては、dpdキープアライブ等でしょうか。
Yamahaの専用ツールですと、Yamahaルーターに併せて、キープアライブ仕様を仮想的にHeartbeatキープアライブを利用していると想定されます。
Windows標準機能でのL2TPクライアントでは、仮想的にHearbeatキープアライブを実装するのは難しいかと存じますので、他のキープアライブ機能設定を試すぐらいでしょうね。
ただし、当方環境では、Yamaha/NECにおいても、キープアライブ機能の設定しなくても複数併用は問題が出ておりません。
書込番号:18518027
0点
dpd(Dead Peer Detection)死活監視を利用される場合には、WebGUIでは設定出来ませんので、コマンド投入にて、「ipsec ike keepalive use ** on dpd 10 3」等でしょうか。
L2TPトンネル・キープアライブについては、当方の設定では未投入です。
**には、トンネル・エントリNoを任意に合わせてみて下さい。
以下抜粋として・・IPSEC-dpd
その名が示すように、接続相手の死活監視を行う機能です。 従来から IKE Heartbeat という名前で各社ルータではIKEの通信断をリアルタイムに検出する機能を有していましたが、 IKE Heartbeat はRFCにドラフト提案まではされたものの結局標準化されない結果となってしまい、各社ルータメーカが独自に機能を実装するようになってしまいまいした。
この結果、異機種間でIPSecを行った場合、相手のルータ再起動などによる死活が監視できず、それまで使っていたトンネル情報(SA)が生存時間で定義された期間はそのまま残ってしまい、これが残っている間は手動でSAを消すなど消さない限りはIPSecが利用できない状態となってしまいます。 (これが、IPSec中にルータの電源を切ると、再接続に時間がかかる原因)
RFCでは IKE Heartbea に代わり、新たに死活監視の仕組みとして DPD (RFC3706) として標準化して、最近(2012年現在)のルータではこの機能が利用できるようになっています。
したがって、相互接続の観点では DPD を利用する方が問題が少ないといえます。
DPDが利用できない場合には、ICMP(PING)による死活監視をするか、 IKE の生存期間を30分 / IKE-SAの生存期間を10分とかにするような「技」で逃げてください。
書込番号:18519353
0点
ふと気づいたのですが、「pp auth request mschap-v2(mschapから戻しました。)」の文言ですが、当方の伝えた点は「pp auth request mschap」ではなく「pp auth request chap」をお試し下さいという事ですよ。
「pp auth request mschap」にされたから、接続出来なくなったのではないでしょうか?
書込番号:18522794
0点
多少自己責任となりますが、Windowsの汎用L2TPクライアント機能との比較にて、Yamahaルーターとの相互接続の際に、YamahaのYMS-VPN8クライアントの利用ではなく、お試しとなりますが、「Avayaクライアントソフト」・・http://www.media.hiroshima-u.ac.jp/services/hinet/vpn-Newclient-download
上記サイトから、無償にてVPNクライアントツール(Avaya製)がダウンロード出来ますが、同社製のVPNクライアントソフトですと、IPSECクライアント接続機能になっておりますが、IPSECトンネルモードとして接続設定してみては如何でしょうか?
本来の解決案では有りませんが、上記のソフトを利用される場合には、Yamahaの死活監視機能は利用出来ないかと存じますので、YamahaルーターのIPSEC-IKEキープアライブをdpd死活監視モードの設定にしておき、L2TPトンネルではなく、通常のIPSECトンネルでの構築を試されては如何でしょうか?
※ 上記のVPNクライアントソフトの場合、dpd死活監視モードでの許容となっている為。
相互接続安定性が図れる状態でしたら、L2TPトンネルを全てIPSECトンネル設定(dpdキープアライブ有り)へ20トンネル変更すると良いかと存じます。
全ての拠点端末は、VPNクライアントツール(Avaya製)を利用する形になりますが・・。
書込番号:18532609
0点
先ほどのVPNクライアントソフトですが、「http://blog.michaelfmcnamara.com/2013/12/avaya-vpn-client-release-10-06-500-for-windows-8/」
上記のサイトのツールの方が、新規バージョンの様です。(Ver 10.06.500)
書込番号:18532664
0点
クライアントソフトの件、情報ありがとうございます。
ちょっと敷居が高そうですね...
認証方式「chap」で確認し接続できましたが、(設定間違いでした、すいません)
症状は変わらずでした...
書込番号:18538088
0点
VPNクライアントの件(Avayaクライアントソフト)ですが、IPSECクライアントですので、既存のL2TPトンネルの内、スマートフォン分のL2TPトンネルを残し、IPSECトンネルの追加でOKかと存じます。
以下Yamaha設定に追加にて、参考にして下さい。
※ http://jp.yamaha.com/products/network/solution/vpn/vpn_client/software/
IPSECトンネル例
tunnel select 1
ipsec tunnel 101
ipsec sa policy 101 1 esp aes-cbc sha-hmac
ipsec ike duration ipsec-sa 1 3600
ipsec ike duration isakmp-sa 1 3600
ipsec ike encryption 1 aes-cbc
ipsec ike esp-encapsulation 1 off
ipsec ike group 1 modp1024
ipsec ike hash 1 sha
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 off dpd
ipsec ike local address 1 (RTX1210の自身IP)・・192.168.100.1
ipsec ike local id 1 (RTX1210のローカルID名/24)・・192.168.100.0/24等
ipsec ike pre-shared-key 1 text (パスワード)
ipsec ike log 1 key-info message-info payload-info
ipsec ike pfs 1 on
ipsec ike remote address 1 any
tunnel enable 1
上記がIPSECトンネルの例ですが、VPNクライアントが英語表記にて難しいという事であれば、Fortiクライアントでも可能かと存じます。
Fortiクライアントでは、VPNでのフェーズ1にてIKEプロポーサルとDHグループの設定、鍵の有効期間等の設定をして頂ければOKかと。
※Fortiクライアント・・「http://www.scsk.jp/sp/fortinet/forticlient-scsk/」、「http://www.forticlient.com/」
上記であれば、日本語表記・VPNトンネル機能のみの設定であれば、無償です。
書込番号:18538707
0点
暫くコンタクトが無いですが、通常は必要有りませんが、L2TPトンネルのike lifetimeの設定をしてみては如何でしょうか?
ike リキーイング周りでのトラブルも想定されます。
あくまでもスマートフォンやタブレットの機種・搭載OS等での任意対応となりますが・・。
書込番号:18589269
0点
解決しました!
認証鍵(ipsec ike pre-shared-key 1 text "パスワード")について
ipsecチャンネルごとに異なるパスワードを設定することで
各クライアントで使用するチャンネルが固定されて、同じグローバルアドレス配下の
クライアントを複数台接続しても落ちることがなくなりました。
(以前はチャンネルの奪いあい?みたいなことが起きていました。)
RTX1210のWebGUIからの設定(かんたん設定→リモートアクセス→共通設定の変更)
だと、すべてのチャンネルの認証鍵が同じになるので
コマンドでチャンネルごとに認証鍵を変更する必要があります。
VPNクライアントの件(Avaya、Forti)、試してみましたがつながらず...
私の設定に間違いがあるのだと思いますが...
運用していくには、ルーター、クライアントともに設定項目が多く
また、今回の症状が解決するかも不明のため、諦めることにしました。
sorio-2215さん中心にみなさんから、いろいろなアドバイスを頂きありがとうございました。
書込番号:18594078
3点
うーん、通常はIKEリキーイング・キーは、同一でも問題無い筈なのですが・・。
良かったですね。
確かに、Yamaha系のL2TP/IPSECやL2TPv3系の接続機能は、あまり良くない性質が有りますが・・。
IPSECを処理するパケット最適化機能(ファーストパス)もソフトウェア処理ですし、NECや富士通の様に、パケット最適化のUFSキャッシュ機能ですと、CPUをダイレクトにアシストするコントローラーを実装していますが、VPNの機能・信頼性ですと、他社のVPNルーターの方が良い部分も有ります。
Fortiクライアントでの接続には、IKEキープアライブ機能はdpd死活監視が基本ですので、あまり苦慮する設定では無いかと思いますが・・。
書込番号:18595323
0点
私RTX1210で1台目でリモートアクセスはつながるのですが、2台目だとつながらずサポートの方にもいろいろ伺ったのですが解決せず。この投稿で解決する一筋の希望が見えてきました。素人なのでそれ以上のこともわからないのですが、共通キーを変えたら何台でもつながりそうです。大変感謝いたします。1年間悩み続けました。ありがとうございます。
書込番号:23977426
0点
会社でデータベース(FileMaker)をPCやiPadで共有しています。
外から見たいという要望があり、RTX1210を検討しています。
VPNについてこれから勉強していく必要があるのですが、
取り急ぎ、家のPCから繋げたい場合、会社だけでなく家のルータもVPN対応にする必要があるのでしょうか。
専門知識がないまま担当になってしまい勉強しながらなのですが、
頭に入れておいたほうが良いことなどありましたら、どうぞご教授ください。
0点
VPNパススルーというのに対応していれば、まず問題はないかと。
ヤマハはコミュニティの情報が豊富だから、そっち覗いた方が良いと思いますよ。
書込番号:18438494
1点
ムアディブさん、ありがとうございます。
NTTに相談したら拠点が増えるごとにコストがかかると言われたのと、ヤマハのサイトでも「3つのオフィス間でつながる」という例で、それぞれにRTX1200が使われていますので、VPNクライアントのルータの役割がよくわからない状態です。
http://jp.yamaha.com/products/network/routers/rtx1210/?mode=model&tab=PD5123546
書込番号:18438522
0点
これ
http://www.rtpro.yamaha.co.jp/
どうつなぎたいのがさっぱりわからんのですけど、、、
>取り急ぎ、家のPCから繋げたい場合、会社だけでなく家のルータもVPN対応にする必要があるのでしょうか。
これが要望なんですよね?
このとおり聞いて
>NTTに相談したら拠点が増えるごとにコストがかかると言われたのと、ヤマハのサイトでも「3つのオフィス間でつながる」という例で、それぞれにRTX1200が使われていますので、VPNクライアントのルータの役割がよくわからない状態です。
こういう答えが返ってきたんでしょうか?
だとしたら酷いと思いますが、、、(笑
VPNというのはトンネルなので、トンネルをどこで始めてどこで終わるのかということです。
そして、ルータは中に性能の低いCPUが入っててソフトで動いてます。つまり小さいコンピュータ。
ルータには出来ないこと、PCには出来ないことというのは、性能を除けば理論的にはありません。もちろん中のソフトが対応してないとダメとかソフトに癖があるとかはある訳ですが。
で、VPNルータは普通、対応しているWindows用のVPNクライアントソフトがあるはずなので、まずはそれを調べます。
めでたくあれば、家のルータはスルーしてくれるだけでOK、トンネルはあなたのPCと会社のルータの間で開設されます。
ただしこういう接続の仕方では、そのPCだけが会社のLANには参加することになります。もしくは、LANからインターネットにアクセスさせたくないというようなの場合もあるでしょう。事務所間を接続するときですね。その場合は、専用装置でトンネルを終端する方が良いでしょう。(あなたのPCをみんなのためにずっとスイッチオンにしてそこに張り付けておかなきゃいけない。再起動したら怒られる等の羽目になる) その装置がもう一台のルータになります。
ルータは機能を限定し、安定化した小さいパソコンに過ぎないです。
OK?
書込番号:18438575
4点
RTX1210は、当方も運用しておりますが、RTX1210を設置する本所にグローバルIPが1個にて支所側にYamahaルーターや他社VPNルーターでのIPSEC-VPN接続(アグレッシブモード)、自宅回線の方につきましては、VPNルーターを予算上用意するのが難しいのであれば、NTT「フレッツVPNワイド」契約を本所と自宅2拠点分契約する方法が有ります。(自宅と本所間については、VPN契約でのIPIP接続)
フレッツVPNワイド等のIPIP接続の場合には、本所側RTX1210の2セッション目及び自宅側はインターネットセッション以外の2セッション目にフレッツVPNワイドの設定投入となります。
ただしフレッツVPNワイドの契約には、拠点分の月額コストがかかる事を想定下さい。
※ https://flets.com/vpnwide/s_fee.html、http://flets-w.com/vpnwide/ryoukin/、月額1,800円×拠点数、契約拠点は全てNTTフレッツ回線適用が条件となります。
自宅側からVPN接続します用途ですが、常時接続の必要性が無く、オンデマンド接続で宜しければ、本所RTX1210にL2TP/IPSEC設定を実施し、リモートダイヤルアクセス接続と言う方法も有ります。
RTX1210を用意するという事は、支所側に何らかのVPNルーターが有るという認識で宜しいでしょうか?
支所側のアプリケーション運用レスポンスの関連で、一定したVPNスループットが必要な場合には、支所側においてもVPNスループット性能が高いルーターが必須となります。
※ 例えば、本所にRTX1210、支所にNEC「UNIVERGE iX2105」やYamaha「RTX810」等。
支所側のスループットはあまり気にする必要が無い場合には、支所側のVPNルーターは中古・オークション等も含め、Yamaha「RTX1100」、「SRT100」、「RT107E」にて対応可能です。
予算に応じた構成を検討下さい。
書込番号:18440730
1点
「外から見たい」という要望が、自宅や別拠点など固定点からということなのか、外出先からということなのかにもよりますが、
外出先からも考慮すると、L2TP/IPsecでVPN張るのが手軽かと思います。
参考までに
http://www.rtpro.yamaha.co.jp/RT/docs/l2tp_ipsec/
書込番号:18440780
1点
しょうがないから調べてみた。
インターネット全般から端末でアクセスする場合のクライアント。
http://jp.yamaha.com/products/network/network_options/vpn_client_software/yms-vpn8-cp/?mode=model
windowsに付属のL2TP/IPSecはサポートしないとあるので、このライセンスが必要ですね。
IPSecは相変わらずコンパチビリティないのね、、、orz
スマートフォンはだいたいサポートするみたいだから問題なし。
書込番号:18441019
1点
確かにL2TP/IPSEC接続は、Windows端末から見てノンサポート扱いですが、ほとんどのケースで問題となるケースとして、リモートダイヤルアクセス側回線が、ルーター(NAT配下)に有る場合が想定されます。
上記の問題の場合には、レジストリ変更にて対応は可能です。
1,「スタート」画面で右クリック→「すべてのアプリ」をクリック→「ファイル名を指定して実行」→「regedit」と入力して「OK」をクリックする。
2,次のレジストリ サブキーを右クリックします。
「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent」
「新規」→「DWORD値」をクリックします。
3,「新しい値#1」ができますので、右クリック、「名前の変更」をクリックする。
「AssumeUDPEncapsulationContextOnSendRule 」
と入力します。
4「AssumeUDPEncapsulationContextOnSendRule 」を右クリックし、「修正」をクリックします。
5「AssumeUDPEncapsulationContextOnSendRule 」をクリックします。「値のデータ」に「2」といれます。ここで必ずパソコンを再起動させて下さい。
上記の調整にて、Windowsパソコンの標準仮想プライベート・ネットワーク接続機能にて、問題は無いかと存じます。
問題の有るケースとしてですが、過去の事例ですとWindowsXP端末仕様で、OSの機能としてVPNの暗号化機能がAESに対応しておらず、VPNルーターのL2TPトンネル設定を3DESモード構成にしなければ接続許容されない問題、Windows7/8.1ベースであれば問題は無いかと存じます。
書込番号:18441376
1点
追加補足です。
本所にRTX1210を想定し、支所にYamaha以外のVPNルーターを利用する場合、VPN接続・死活監視機能として独自のheatbeat監視でのVPN接続維持機能をYamaha側で保有する機能になっておりますので、全拠点Yamahaで統一する場合には、考慮しなくても良いですが、異種メーカー間接続を予算とレスポンスから考慮される場合、VPN接続・死活監視としてdpd死活監視・双方にグローバル固定IPアドレスが必要になるケースも有ります。
NEC系や富士通、Cisco、アライドテレシス系のルーターはdpd死活監視が標準になっております点、双方のルーターのIPSECプログラムの相違が若干有る為、双方にグローバル固定IPが無ければ、不安定なケースも有ります。(IPSEC-VPNでのメインモード接続)
書込番号:18441489
1点
目標構成が微妙に見えていないので、質問させてください。
環境、要望スペックによって、内容にかなりの違いが出てきますので、下の内容はどんな感じでお考えですか?
1.話の内容を拝見すると、外から見たいと言っておられる方は、費用が掛けずにできるだろう的な感じで要望されているようにも見受けられますが如何ですか?
2.会社でお使いの回線は、固定IPですか?動的IPですか?
→動的IPでもDDNSサービスを利用すれば大した違いはありませんが..
3.社内で共有しているデータサイズは大きいですか?
→社内で閲覧していて、サクサク閲覧できていますか?それとももたついていたりしますか?
4.個人宅を除き、会社に複数拠点(事務所)がありますか?また、その拠点間接続もお考えですか?
5.セキュリティは何処まで確保されることをお考えですか?
→鉄壁なのか、漏えいレベルなのか、などなど。
6.現在、設定経験のある機器は何がありますか?
→家庭用でも、企業向けでも。バッファローやIOデータ、コレガやシスコなど。
如何でしょう?
書込番号:18444351
1点
皆様のアドバイスをじっくり拝見させていただいています。
皆さんのおっしゃることは私にはなかなか難解です。。m(__)m
麦タロウ様、ありがとうございます。
1.話の内容を拝見すると、外から見たいと言っておられる方は、費用が掛けずにできるだろう的な感じで要望されているようにも見受けられますが如何ですか?
できることなら、コストは掛けずに実現できればと思っています。
特にランニングコストは抑えたいです。
特にわからなかったのが、VPNルータはサーバのある本社に1台だけでよいのか、拠点分必要なのかという点でした。
これだけたくさんアドバイスをいただきながら、未だよくわかっていません。
2.会社でお使いの回線は、固定IPですか?動的IPですか?
→動的IPでもDDNSサービスを利用すれば大した違いはありませんが..
YAMAHAにDDNSサービスがあると聞いているので、それを利用したいと考えています。
3.社内で共有しているデータサイズは大きいですか?
→社内で閲覧していて、サクサク閲覧できていますか?それとももたついていたりしますか?
検索結果にも左右されますが、概ねストレス無く運用しています。
4.個人宅を除き、会社に複数拠点(事務所)がありますか?また、その拠点間接続もお考えですか?
まずは、iPadセルラーモデル2台の接続を考えています。
将来的(数年後)には個人宅を含めた関連拠点20箇所程度からの接続を一応視野にはいれています。
接続は常時ではなく必要な時だけで、拠点間接続は必要ありません。
5.セキュリティは何処まで確保されることをお考えですか?
→鉄壁なのか、漏えいレベルなのか、などなど。
部外者に漏れて困るものも特になく、ウイルスソフトも入れていません。
6.現在、設定経験のある機器は何がありますか?
→家庭用でも、企業向けでも。バッファローやIOデータ、コレガやシスコなど。
個人向けWi-Fiルータ(BUFFALO等)レベルでしょうか。
GUIがしっかりしているものは調べながらでもできる気がするのですが、
コマンドは全くわからず、また、それを勉強する時間をとりたくありません。
書込番号:18444889
0点
VPNルータにこだわらなくても、SoftEther という選択肢もあるかと思いますが?
書込番号:18444929
1点
「VPNルーターは拠点分必要なのか?」という事ですが、この質問が出る時点で、RTX1210ルーターの重要性が薄れる気がしますが、あくまでもRTX1210は自身でVPNを構成出来る機能(VPNサーバ機能)が有るルーターですが、VPNクライアントに相当します支所用のルーターは同等接続機能が無ければ、RTX1210を選択する意味が有りません。
初心者という事で、RTX1210ルーターでのIPSEC-VPN構成をされる場合におきまして、対向側にIPSEC暗号通信を復号化出来るルーターが必要で有る点を考慮下さい。NTTやKDDIのVPNサービスを利用される場合には、VPNルーターのVPNサーバ機能を利用せず、回線側のVPNサーバを月額負担金にて利用し、その専用VPNサーバへ接続する方式(IPIP接続)になると、ルーターとしてはVPNパススルー迄の機能で良いという事になります。
NTTやKDDIのVPNサービスの利用する形ですと、本機ではなく下位機種「RTX810」や「UNIVERGE iX2105」での構成でも良い形になります。
20拠点程のオンデマンド接続を考慮される場合ですが、NTTやKDDIのVPNサービスの利用ではなく、ルーターのVPNサーバ機能、特にVPNスループットを20拠点分の帯域計算する必要が有りますが、目安として、VPNルーターのVPNスループット性能が目安になるかと存じます。
特にオンデマンドでのリモートアクセスVPNですと、L2TP/IPSEC接続が主体となるかと存じますが、RTX1210につきましては、VPNスループットが最大1.5Gbpsまで対応する形になっておりますが、下位機種ですと最大200Mbpsの性能しか無いので、コマンド設定に慣れている方でしたら、他社VPNルーターの方が、ローコストにVPN性能の良いルーターが対応出来るかと存じます。
※ NEC「UNIVERGE iX2207」・・VPNスループット最大800Mbps、「UNIVERGE iX2105」・・VPNスループット最大440Mbps
ルーターの選択肢として、接続端末数も考慮する必要が有ります。ルーターの接続台数目安として、最大NATテーブル数から計算して、メーカー推奨値・端末1台あたり200テーブルと計算すると、Yamaha「RTX1210」は、65,534÷200=327台、「RTX810」は、10,000÷200=50台、「FWX120」は、最大30,000÷200=150台が目安になります。
VPN接続でも、インターネット回線接続性能と接続端末数、アプリケーション・サーバの通信負荷も考慮し、ネットワーク装置の選択が有る程度限定出来るかと存じます。
それと、VPNルーターにてVPN接続を考慮される場合、DDNSサービスでも代用は可能かと存じますが、DDNSサービスが全く障害などのトラブルが無い訳でも有りませんので、出来ましたら、プロバイダ等の固定IPサービスを検討された方が無難かと考えます。
ASAHIネットですと、プロバイダ料とは別に月額800円にて、固定IPサービスの契約は可能です。
既存契約プロバイダの月額費用も併せ比較検討されると良いかと存じます。
※ http://asahi-net.jp/service/option/fixedip/
書込番号:18445795
2点
コンソール設定の基本要素が解らず、Webコンソールのみにおいても限界が有るのでは?
固定インターネット回線サービスによって制約が有りますが、キャリアの方のVPNサービスを利用する方法が無難かと考えますが・・。
※ 「http://www.otsuka-shokai.co.jp/products/o-cnet/」、「http://business.biglobe.ne.jp/ssl_ras/」、「http://business.biglobe.ne.jp/ipsec/」
書込番号:18448849
1点
まずは、外部から繋いで使い勝手を見てみたい。
というレベルとお見受けしたので、現段階で、RTX1210の必要性はないように思います。
社内のPC台数が、10台程度であれば、
WXR-1900DHP
http://buffalo.jp/product/wireless-lan/ap/wxr-1900dhp/
で、様子を探るというのも手かもれません。マニュアルにもiPadの接続方法も書かれているので、面倒はないかも?
※外部からのVPN同時接続は、3なので、本格的に運用する際には入れ替えが必要ですが...。
CPUは、ギガHzを積んでいるので、そこそこのパフォーマンスは出ると思いますが、現在社内でお使いのルーターは何ですか?
書込番号:18448975
1点
こんにちは。
大きく分けて、VPNには下記2種類があります。
・リモートアクセスVPN(端末とLANをオンデマンド接続する)
⇒ サーバー側はVPNルーター必要
クライアント側はVPNルーター不要(通常のルーターでOK)
・LAN間接続VPN(LANとLANを常時接続する)
⇒ サーバー側もクライアント側もVPNルーター必要
スレを読む限り、現状スレ主さんが必要とされているのはリモートアクセスVPNだと思います。
また、リモートアクセスVPN接続に用いるプロトコルも主に3種類あります(SSL-VPNはちょっと違うので除外)。
・PPTP
・L2TP(実際にはIPSecも併用)
・IPSec
PPTP-VPNは数年前にクラックされ、脆弱性が指摘されていますが、
Buffaloの3000-4000円程度のルーターでもPPTPサーバー機能に対応していたりします。
設定もGUI画面だけでできます(GUIでしかできません)。
もちろん、安定性や実効速度などは業務用製品とは比べるまでもありませんが…
なので、通信に用いる情報の重要度や通信量により割り切れる場合に限られると思います。
また、クライアント/サーバー間の全てのルーターでPPTPパススルーが必須になるので、
物理的にVPN接続不可となるケースもかなり存在します。
(公衆無線LANやキャリアNATのネットワークを経由した場合など)
L2TP-VPNは結構汎用的でありながら、認証や暗号化にIPSecの技術を用いるので、
PPTPよりも強固なセキュリティを確保できます。
麦タロウさんご紹介のWXR-1900DHP(Buffalo)は、L2TPサーバー機能に対応しています。
民生品としてはかなり高価なルーターですが、現状民生品でL2TPサーバー対応しているのはこれくらいです。
設定もGUI画面だけでできます(GUIでしかできません)。
安定性や実効速度などは未知数な部分が多いですが…
なお、IPSecを使用するので、クライアント/サーバー間の全てのルーターでIPSecパススルーが必要になるのですが、
PPTPと異なり、NATトラバーサル(NAT-T)という技術を用いてこの問題を回避可能です。
つまり、クライアント/サーバー双方がNAT-T対応であれば、その間のIPSecパススルーは必要ありません。
最近の機種なら、大概はNAT-Tには対応していると思います。
(YAMAHAのRTX810は発売当初NAT-Tに対応していなくて大問題になってましたが…)
単体のIPSec-VPNは、サーバーと同一メーカーの専用クライアントソフトが必要になる場合が多いです。
LAN間接続ではよく使いますが、リモートアクセスではあまり使わないと考えていいかもしれません。
なので、予算とスキル次第と言ってしまえばそれまでなのですが、
少なくとも業務用で使うのですから、L2TPのリモートアクセスを用いるのが現実的だと思います。
行間を読んでその辺をいろいろ考え、且つスレ主さんが書かれている要望も考慮した結果、
麦タロウさんはBuffaloのWXR-1900DHPを紹介してくれているのでしょうし、
私もその辺りが妥当なところだと思います。
あとは同じくL2TPサーバーに対応したBuffaloのVR-S1000とかでしょうか。
業務用ですけど、BuffaloということもありGUIがそれなりに充実しているので、初級者でも比較的簡単に設定可能です。
書込番号:18455810
1点
すでに視聴されているかもしれませんが、一応貼っておきます。
FileMakerをVPNまたはSSLネットワーク経由で使用することに焦点を当てた講演です。
(1時間もしゃべっている割には、VPNについては細かい説明はないんですが…)
(半分以上はSSLに関するもので、本件には直接関係ない部分です。)
iPad & iPhoneからのリモートアクセスをより安全にするネットワーク構築術
https://www.youtube.com/watch?v=SUcSjX4bVPs
書込番号:18455864
1点
先刻の詳細ですが、大塚商会様VPNサービスですと、「VPN接続型リモートアクセスサービス O-CNET AIR STREAM」がipadやiphoneなどの接続に際し、専用ネットワークの場合でのキャリア越え通信も可能、初回現場調査費及びルーターの工事費(75000円〜 + 80,000円)がかかりますが、月額負担金として、O-CNET AIR STREAM月額利用料・1アカウント1,500円+O-CNET SMILE VPN月額保守費・1拠点 〜 14,100円〜にて提供しています。
※ http://www.otsuka-shokai.co.jp/products/o-cnet-multi-access/airstream.html
対地拠点数に併せて、本所と支所の常時固定接続対応も、「O-CNET SMILE VPN(クローズド網)」サービスにて対応出来ますが、先ずは要望します全体のネットワーク構成により、相談されると良いかと考えます。
書込番号:18456142
1点
使用しているのはRTX810ですが、会社とL2TP/IPsecで接続して、会社のファイルサーバーやIPアドレス制限のかかったサーバーのメンテナンスに使用しております。
クライアントソフトもWindows8.1/7やMacのOS付属のもので問題なく使えています。
ちなみに自宅と会社の環境です。
【会社】
・フレッツ光 マンションタイプ(固定IP)
・光ルーター(ブリッジ)とRTX810を接続
【自宅】
・フレッツ光 マンションタイプ
・光ルーター(ブリッジ)とAterm WG1800HP2を接続
社員10名以下の会社ですが、RTX810ではVPNの対地数が6とぎりぎりなので、その点だけでもRTX1210を選ぶ価値はあるかと存じます。
書込番号:18464832
1点
利用ルーターがRTX810という事で、VPN対地拠点数が最大6対地ですが、複数拠点接続は、本所・支所含めて、IPSEC及びL2TP接続も含めて6トンネルギリギリだという認識で宜しいでしょうか?
また、「VR-S1000」ルーターですと、VPNスループットが最大100Mbpsとなり、本所ルーターに選択するに、動作及び通信安定性上、一定のリスクが有ると、「RTX1210」の選択しているのですね?
私の立場でしたら、NEC「UNIVERGE iX2105」でもOKかと存じますが・・。
通販で、6万前後(新品)で入手可能かと・・。
予算が有ればRTX1210でも構いませんが、出来るだけ予算をかけたくない(通信性能と安定性も犠牲にしたくない)、コンソール設定に慣れているという事、中古・オークション等でも安価な入手可能かと。
書込番号:18464933
1点
前機種「RTX1200」ルーターでしたら、かなり安価に出回ってますよ。
RTX810で問題無かった、拠点数増強におけるスループットの向上等の考慮する必要無しでしたら・・。
書込番号:18464953
1点
私の場合は会社のルーターと自宅のパソコンをVPN接続していますので、拠点間接続とは異なり対地数が同時に接続できる人数となります。
また、VPNは転送速度がどうしても低下してしまいますので、2〜3万円の金額差でしたらケチらずに最新でややオーバースペックかなと思う機種を選ぶことをお勧めします。
少ない人数の会社ですけど、RTX810を実際に運用してみて、もう少し上位機種にしておけば良かったと感じています。
ちなみにiOSもOS標準のVPNクライアントで接続できていますよ。
書込番号:18467548
1点
うーん、「RTX810」自体は、半分個人向けに近いですからね。
拠点間接続(IPSEC-VPN)でも、支店用(スター型接続)で、極度の通信集中しない環境しか使えないですしね。
L2TP/IPSECでも、IPSEC-VPNでもルーターの仕様として、Yamaha系ですと、専用VPNアクセラレータ機能が未搭載で、単一のCPUの処理となる機能ですが、VPN接続時のキャッシュ機能として、ファーストパス機能が動作する様になっていますが、RTX3500やRTX5000クラスでなければ、VPN接続の実質向上はしにくい仕様になっている様です。
※ http://www.rtpro.yamaha.co.jp/RT/docs/fastpath/
対し、NECや富士通は、搭載CPUの処理とVPN接続時のキャッシュ機能が独立しており、CPUに負荷をかけずアシストする機能として、UFSキャッシュ機能が有る為、実VPN性能は、NECや富士通の方がスループット性能では良い数値が計上される様です。
当方もNECとYamahaで双方実動作してみた経験則で、メーカー告知のカタログスペック数値として、Yamahaの方が良い(RTX1210)のですが、実性能ではNECの方(IX2215)が良い数値が計上され、アプリケーション等の動作もNECの方が均一した動作を示しております。
書込番号:18469087
1点
RTX1210については、OSのチューニングやキャッシュ機能のチューニングとして、ファームウェア改修等によって改善される場合も想定されますが、メリットとして、NEC等に未搭載の機能、URLフィルタや独自フィルタ型ルーティング、UPNP機能が有りますので、要望する機能にて選択する形になるかと。
書込番号:18469109
1点
宮のクマの雅さんの仰るとおり、必要なのはリモートアクセスVPNです。安価であってもGUIで設定できないRTX1200等は扱えませんので、麦タロウさんにおすすめいただいたWXR-1900DHPを中心に検討したいと思います。皆さんのアドバイスは今すぐに理解できないことも多いのですが、大変参考になりました。今後じっくり勉強していきたいと思います。皆さん、いろいろ本当にありがとうございました。
書込番号:18483495
0点
??「RTX1200」ですが、GUIでの設定は出来ますよ。
L2TP/IPSEC及びPPTP-VPNも、最新ファームウェア適用にてGUI設定可能です。
念のため、情報まで。
※ http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.10.01/relnote_10_01_59.html
書込番号:18484483
0点
有線ルーター > MICRO RESEARCH > NetGenesis GigaLink2000 MR-GL2000
対応セキュリティにUPnP/VPNと書いてりますが、
このVPNはこいつ自身がVPNサーバ機能搭載って意味じゃないですよね?
メーカーサイトを参照したところ以下のように書いてあったので。
+++++++++++++++++++++++++++++
IPSecパススルー(1セッション)、PPTP変換(複数セッション)に対応していますので、ルーターを介したVPNネットワークを構築することが可能です。
※VPN接続機能(ルーター自身がVPN接続を行う機能)には対応していません。
書込番号:18400127 スマートフォンサイトからの書き込み
0点
そういうことです。
安くIPSec VPNやろうと思ったら、ECS LIVAみたいな軽量x86マシンにIIJのソフトルータ入れるか、Linuxをチューンするしかないと思う。
Linuxの場合はBotのターゲットになる可能性が高いので要注意。開いてるポートの脆弱性情報には警戒しておく必要があります。
もうちょっと手軽にVPN出来れば個人クラウドが流行ると思うんですけどね。
書込番号:18400209
0点
>PSecパススルー(1セッション)、PPTP変換(複数セッション)に対応していますので、ルーターを介したVPNネットワークを構築することが可能です。
※VPN接続機能(ルーター自身がVPN接続を行う機能)には対応していません。
PPPoEのパススルーと同じで、
VPNサーバーをLANに配置しておけば、本機はVPNの通信の邪魔はせずに、
そのまま通せますと云う意味だと思います。
書込番号:18400539
0点
サーバ側は穴開けないとダメかも。
PPPoEは内部発信だからいいんだけども。
書込番号:18401762
0点
このルーターを購入するのであれば、あれこれとVPNサーバやルーターとの連携など考えないといけないので、Yamaha「RTX810」、NEC「UNIVERGE iX2105」、アライドテレシス「AR560S」等を購入された方が賢明かと考えます。
中古・オークション、新品などを踏まえて検討すれば、金額は前後するかと存じます。
書込番号:18408981
0点
約1年ぶりくらいに2ちゃんねるに書き込もうとしたら以下のメッセージが出て書き込めませんでした。
「Request Time-out」
その間、まったく設定は変えていませんし、PC,ルーターとも再起動しても同じです。
またパソコン(OS=win7)、スマホのWifi接続からでも同じ状態です。
お恥ずかしい悩みで申し訳ないのですが、現在大変困っております。
どうか、アドバイスよろしくお願いします。
0点
ROM専では困るのでしょうか?
書込番号:18344819 スマートフォンサイトからの書き込み
1点
Skypeを使ってたら終了させると書けるかもしれない。
色々対策的には
2chに Request timed out/Internal Server Errorで書けない件
てスレッドが立ってるので読んでみるといいかも
書込番号:18344855
3点
神の啓示と考えて、これを機会に "2ch" などとは縁を切ってはいかが?
書込番号:18344886
4点
みなさんありがとうございます。
どうしてもペット関連について黙っていられない項目があったので、久々に書こうとしたら例のメッセージが出てきました。
電気しつじさん
今Skypeをアンインストールしたのですが、状況は変わりませんでした。
またそこのサイトも最初に目を通したのですが、そこにある用語がNVR500のどの設定なのか当てはめ方が判らず、ちんぷんかんぷんでした。
すいませんが、コレに懲りず、引き続きアドバイス宜しくお願いします。
書込番号:18345349
0点
自分で探してみて下記あたりが該当しそうなのですが。
http://blog.livedoor.jp/enact/archives/33870958.html
NVR500の場合、どこをどのように設定変更すればよろしいのでしょうか?
...何卒宜しくお願いします。
書込番号:18345387
0点
2ちゃんねる側のセキュリティの一環で、TCPポート443/995/1723番を閉じてあげれば良いのですが、Yamahaルーターですとコマンド登録になりますね。
Yamaha-Webメニュー→詳細設定と情報から、コマンド実行にて、「show config」コマンドにて出力された設定情報を知らせて頂けると具体的な案内は可能かと存じます。
※ プロバイダ情報等、個人情報は伏せて構いません。
「no nat descriptor masquerade static 200 1 (ルーターIP) tcp 1723」、「no nat descriptor masquerade static 200 2 (ルーターIP) gre」にて、PPTPパススルーは解除される筈です。
IPフィルターの記述での対応として、「ip filter 200001 reject * (ルーターIP) tcp * 443」、「
ip filter 200002 reject * (ルーターIP) tcp * 995」が参考になるかと。
上記IPフィルターのreject規制を、WANインターフェイスのin側へ設定する形になります。
書込番号:18349019
1点
補足です。
「show config」コマンド出力させると、接続プロバイダ情報も出力されてしまいますので、その部分を伏字にして下さいとの事です。→※ プロバイダ情報等、個人情報は伏せて構いません。
書込番号:18349026
1点
sorio-2215様、平様
お付き合いいただきありがとうございます。うれしいです。
sorio-2215様
[トップ] > [詳細設定と情報] > [コマンドの実行] > "show config"←このような感じの入力でしょうか?
もしそれでよろしければ以下の通りでした。
> 設定に変更はありません。
>[ コマンド入力結果(最新の実行ログ) ]
# show config
# NVR500 Rev・・・略・・・・
# MAC Address : 00・・・略・・・
# Memory 64Mbytes・・・略・・・
↓
↓
↓
以後100行くらいにわかる英語コマンド(?)が表示されましたが、お恥ずかしながらどの部分が個人情報なのかわからず、こちらへのコピペを躊躇しております。もしよろしければ引き続き宜しくお願いします。
さらに自力で探して下記のサイトを見つけました。
http://plaza.rakuten.co.jp/ake777/diary/201401050000/
直接「YAMAHA NVR500」設定の仕方が書いてあるようなのですが、どこをどのように設定変更したら良いかちんぷんかんぷんでした。
上記の設定変更の仕方だけでもよろしいので、ぜひ懲りずにアドバイスをお願いします。
つまらない素人の質問にお付き合いいただき本当に申し訳ありませんが、重ね重ね宜しくお願い致します。
書込番号:18351755
0点
個人情報としては、恐らく「pp select 1」から「pp enable 1」の間にプロバイダ接続情報の記述が有るかと存じます。契約回線・プロバイダはどちらでしょうか?
NTT光等でしたら、上記に記載が有るかと存じます。
例・・pp select 1
pp name PRV/1/1/1/0/0/0:BIGLOBE
pp keepalive interval 30 retry-interval=30 count=12
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname abcdeef@biglobe.ne.jp abcdefg ← ここの部分です。
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
ip pp nat descriptor 1000
pp enable 1
provider set 1 BIGLOBE
provider dns server pp 1 1
provider select 1
show configにて出力されました情報についてですが、
出来ましたら、テキスト出力されました情報の全て分割記載でも構いませんので、掲載願います。
書込番号:18352220
1点
Config情報のテキスト・転記の件ですが、理解出来ましたか?
最低限必要な情報としては、「ip lan1 address」から始まる情報と、「ip filter」から始まる情報全て、「nat descriptor」から始まる情報が無ければ、適切な情報提供難しいです。
先刻の「pp select 1」〜「pp enable 1」までの情報の中で、プロバイダ情報が記載有れば(pp auth mynameから始まる)、それは伏字で良いという事です。
書込番号:18354235
1点
sorio-2215様
私でもわかりやすい説明でのご回答、誠にありがとうございます。
また返信が遅くなりましたことお詫び申し上げます。
早速ためしたところ以下の通りです。
# show config
# NVR500 Rev.11.00.07 (Wed Dec 22 10:48:02 2010)
# MAC Address : 00:a0:de:7e:61:22, 00:a0:de:7e:61:23
# Memory 64Mbytes, 2LAN, 1BRI
# main: NVR500 ver=00 serial=S35039604 MAC-Address=00:a0:de:7e:61:22 MAC-Addre
ss=00:a0:de:7e:61:23
# Reporting Date: Jan 10 11:39:59 2015
ip route default gateway pp 1 filter 500000 gateway pp 1
ip lan1 address 192.168.24.1/24
ip lan1 proxyarp on
provider type isdn-terminal
provider filter routing connection
provider lan1 name LAN:
provider lan2 name PPPoE/0/1/5/0/0:ocn
pp select 1
pp name PRV/1/1/5/0/0:ocn
pp keepalive interval 30 retry-interval=30 count=12
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pppoe call prohibit auth-error count off
pp auth accept pap chap
pp auth myname 略
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp secure filter in 200003 200004 200005 200020 200021 200022 200023 200024
200025 200030 200032 200080 200081
ip pp secure filter out 200004 200005 200013 200020 200021 200022 200023 20002
4 200025 200026 200027 200099 dynamic 200080 200081 200082 200083 200084 200098
200099
ip pp nat descriptor 1000
netvolante-dns hostname host pp server=1 略.aa0.netvolante.jp
pp enable 1
provider set 1 ocn
provider dns server pp 1 1
provider select 1
pp select anonymous
pp name RAS/VPN:
pp bind tunnel1
pp auth request mschap-v2
pp auth username 略
ppp ipcp ipaddress on
ppp ccp type mppe-any
ppp ipv6cp use off
ip pp remote address pool 192.168.24.3
pptp service type server
pp enable anonymous
tunnel select 1
tunnel encapsulation pptp
pptp tunnel disconnect time off
tunnel enable 1
ip filter 200000 reject 10.0.0.0/8 * * * *
ip filter 200001 reject 172.16.0.0/12 * * * *
ip filter 200002 reject 192.168.0.0/16 * * * *
ip filter 200003 reject 192.168.24.0/24 * * * *
ip filter 200004 reject 192.168.24.15 * * * *
ip filter 200005 reject 192.168.24.13 * * * *
ip filter 200006 reject 192.168.24.20 * * * *
ip filter 200010 reject * 10.0.0.0/8 * * *
ip filter 200011 reject * 172.16.0.0/12 * * *
ip filter 200012 reject * 192.168.0.0/16 * * *
ip filter 200013 reject * 192.168.24.0/24 * * *
ip filter 200020 reject * * udp,tcp 135 *
ip filter 200021 reject * * udp,tcp * 135
ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 200024 reject * * udp,tcp 445 *
ip filter 200025 reject * * udp,tcp * 445
ip filter 200026 restrict * * tcpfin * www,21,nntp
ip filter 200027 restrict * * tcprst * www,21,nntp
ip filter 200030 pass * 192.168.24.0/24 icmp * *
ip filter 200031 pass * 192.168.24.0/24 established * *
ip filter 200032 pass * 192.168.24.0/24 tcp * ident
ip filter 200033 pass * 192.168.24.0/24 tcp ftpdata *
ip filter 200034 pass * 192.168.24.0/24 tcp,udp * domain
ip filter 200035 pass * 192.168.24.0/24 udp domain *
ip filter 200036 pass * 192.168.24.0/24 udp * ntp
ip filter 200037 pass * 192.168.24.0/24 udp ntp *
ip filter 200080 pass * 192.168.24.1 tcp * 1723
ip filter 200081 pass * 192.168.24.1 gre * *
ip filter 200098 reject-nolog * * established
ip filter 200099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 200080 * * ftp
ip filter dynamic 200081 * * domain
ip filter dynamic 200082 * * www
ip filter dynamic 200083 * * smtp
ip filter dynamic 200084 * * pop3
ip filter dynamic 200098 * * tcp
ip filter dynamic 200099 * * udp
nat descriptor type 1000 masquerade
nat descriptor masquerade static 1000 1 192.168.24.1 tcp 1723
nat descriptor masquerade static 1000 2 192.168.24.1 gre
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.24.31-192.168.24.40/24
dns server pp 1
dns server select 500001 pp 1 any . restrict pp 1
dns private address spoof on
dns private name setup.netvolante.jp
pptp service on
analog supplementary-service pseudo call-waiting
analog extension dial prefix line
analog extension dial prefix sip prefix="9#"
#
お時間のあります時にご回答いただければ幸いです。何卒よろしくお願いします。
※用事で返信は早くても明日以降となりますのでご容赦下さい。
書込番号:18354636
0点
Config情報確認しました。
Config情報から、確認したい点が有ります。
PPTP-VPNネットワークを外部から、NetvloanteDNSドメイン宛てにしているのでしょうか?
しているのであれば、以下記述の「no nat descriptor masquerade static 1000 1 192.168.24.1 tcp 1723」と「no nat descriptor masquerade static 1000 2 192.168.24.1 gre」、「no ip filter 200080 pass * 192.168.24.1 tcp * 1723」、「no ip filter 200080 pass * 192.168.24.1 tcp * 1723」は実行しないで下さい。
先ずNATエントリーのPPTP透過コマンドを削除確認して下さい。(PPTP-VPNしていない場合)
「no nat descriptor masquerade static 1000 1 192.168.24.1 tcp 1723」、「no nat descriptor masquerade static 1000 2 192.168.24.1 gre」コマンドを、詳細設定と情報→コマンド実行にて入力実行して下さい。
次に、ip filterコマンドの「no ip filter 200080 pass * 192.168.24.1 tcp * 1723」、「no ip filter 200081 pass * 192.168.24.1 gre * *」をコマンド実行して下さい。
以下コマンド実行して下さい。
ip filter 200038 reject-nolog 206.223.144.0/20 * tcp * https
ip filter 200039 reject-nolog 206.223.144.0/20 * tcp * 995
ip filter 200040 reject-nolog 206.223.144.0/20 * tcp * 1723
ip filter 200041 reject-nolog 206.223.144.0/20 * gre * *
ip filter 200042 reject-nolog 207.29.224.0/19 * tcp * https
ip filter 200043 reject-nolog 207.29.224.0/19 * tcp * 995
ip filter 200045 reject-nolog 207.29.224.0/19 * tcp * 1723
ip filter 200046 reject-nolog 207.29.224.0/19 * gre * *
最後に、以下コマンド実行して下さい。
「pp select 1」→「ip pp secure filter in 200003 200004 200005 200020 200021 200022 200023 200024 200025 200030 200032 200038 200039 200040 200041 200042 200043 200044 200045 200046 200080 200081」→「pp select none」→「save」→「restart」
一端ルーターが投入コマンドに対し、メモリセーブ・再起動しますので、再起動後に2ちゃんねるの書き込み可能か確認下さい。
書込番号:18355438
1点
追伸 2ちゃんねる側のセキュリティ構成により、PPTPサーバが利用不能になるケースも有りますので、出来ればルーターのPPTPサーバ機能ではなく、L2TP構成に変更可能でしたら、そちらの方が賢明かと存じます。
ルーターの機種変更が必要ですが・・。
※ Yamaha「RTX810」、Buffalo「VR-S1000」など。
書込番号:18358285
1点
sorio-2215様
ありがとうございます。また返信が遅くなりましたことお詫び申し上げます。
このルーターでも、以前では問題なく書き込み出来ておりました。
現在の環境としてOCNのADSLで、このルーターを介して私はWIN7を使用、その他は2台(2000,XP)家族が使用しております。
ただし私を含めた家族全てが初期設定が出来なかったので、ルーター設置等は全て専門業者にお願いしました。
>PPTP-VPNネットワークを外部から、NetvloanteDNSドメイン宛・・・
まずお恥ずかしながら、上記の意味が不明です。
確認するには「詳細設定と情報」からクリックしてから進むのでしょうか?
>no nat descriptor masquerade static 1000 1 192.168.24.1 tcp 1723」と「no nat descriptor masquerade static 1000 2 192.168.24.1 gre」、「no ip filter 200080 pass * 192.168.24.1 tcp * 1723」、「no ip filter 200080 pass * 192.168.24.1 tcp * 1723」
こちらも、実行の“する”する“しない”とはどこで設定するのでしょうか?
またPPTP-VPNしていない場合、またしている場合も、どこをクリックして確認すればよろしいのでしょうか?
もしご回答いただけましたら、明日以降再度ご報告いたします。
本当に無知であきれていると思いますが・・・何卒ご指導よろしくお願いします。
書込番号:18358533
0点
「PPTP-VPNネットワークを外部から、NetvloanteDNSドメイン宛・・・まずお恥ずかしながら、上記の意味が不明です。確認するには「詳細設定と情報」からクリックしてから進むのでしょうか?」
上記の件ですが、出先からモバイル端末(スマートフォン含む)アクセスで、自宅パソコン等にアクセスしているかどうかは、ルーターのConfig内容として設定されております。
それがPPTP-VPN設定という事なのですが、不要と言う判断で宜しいでしょうか?
下記ConfigがPPTP-VPN設定内容でした。
pp select anonymous
pp name RAS/VPN:
pp bind tunnel1
pp auth request mschap-v2
pp auth username 略
ppp ipcp ipaddress on
ppp ccp type mppe-any
ppp ipv6cp use off
ip pp remote address pool 192.168.24.3
pptp service type server
pp enable anonymous
tunnel select 1
tunnel encapsulation pptp
pptp tunnel disconnect time off
tunnel enable 1
「no nat descriptor masquerade static 1000 1 192.168.24.1 tcp 1723」と「no nat descriptor masquerade static 1000 2 192.168.24.1 gre」、「no ip filter 200080 pass * 192.168.24.1 tcp * 1723」、「no ip filter 200080 pass * 192.168.24.1 tcp * 1723」
上記の設定投入は、詳細設定と情報→コマンド実行にて、白枠内にそれぞれ1行づつ転記して貰えば良いです。
例 no nat descriptor masquerade static 1000 1 192.168.24.1 tcp 1723 →enter
no nat descriptor masquerade static 1000 2 192.168.24.1 gre →enter
no ip filter 200080 pass * 192.168.24.1 tcp * 1723 →enter
no ip filter 200080 pass * 192.168.24.1 tcp * 1723 →enter
enterは、キーボードで改行するという意味です。(→enter までコマンドに転記はしないで下さい)
最後にコマンド実行の下部の設定の確定ボタンをクリックするだけです。
同様に、
詳細設定と情報→コマンド実行から、下記コマンドを転記、最後に下部の設定の確定ボタンをクリックして下さい。
ip filter 200038 reject-nolog 206.223.144.0/20 * tcp * https
ip filter 200039 reject-nolog 206.223.144.0/20 * tcp * 995
ip filter 200040 reject-nolog 206.223.144.0/20 * tcp * 1723
ip filter 200041 reject-nolog 206.223.144.0/20 * gre * *
ip filter 200042 reject-nolog 207.29.224.0/19 * tcp * https
ip filter 200043 reject-nolog 207.29.224.0/19 * tcp * 995
ip filter 200045 reject-nolog 207.29.224.0/19 * tcp * 1723
ip filter 200046 reject-nolog 207.29.224.0/19 * gre * *
次に、詳細設定と情報→コマンド実行にて、1行づつ転記して下さい。
pp select 1 →enter
ip pp secure filter in 200003 200004 200005 200020 200021 200022 200023 200024 200025 200030 200032 200038 200039 200040 200041 200042 200043 200044 200045 200046 200080 200081 →enter
pp select none →enter
save →enter
restart →enter
書込番号:18360250
1点
sorio-2215様
ご丁寧に本当にありがとうございます。
>出先からモバイル端末(スマートフォン含む)アクセス・・
(意味が違うかもしれませんが)スマホにて屋内(圏内)でwifiアクセルするかもしれませんが、外出先からアクセルすることはありません。
またご指示頂いたとおり入力した結果は以下の通りでした。
コマンド "no nat descriptor masquerade static 1000 1 192.168.24.1 tcp 1723" を入力しました。
コマンド "no nat descriptor masquerade static 1000 2 192.168.24.1 gre" を入力しました。
コマンド "no ip filter 200080 pass * 192.168.24.1 tcp * 1723" を入力しました。
コマンド "no ip filter 200080 pass * 192.168.24.1 tcp * 1723" を入力しました。
[ コマンド入力結果(最新の実行ログ) ]
# no nat descriptor masquerade static 1000 1 192.168.24.1 tcp 1723
# no nat descriptor masquerade static 1000 2 192.168.24.1 gre
# no ip filter 200080 pass * 192.168.24.1 tcp * 1723
# no ip filter 200080 pass * 192.168.24.1 tcp * 1723
#
.
CORNER
↓
次
↓
コマンド "ip filter 200038 reject-nolog 206.223.144.0/20 * tcp * https" を入力しました。
コマンド "ip filter 200039 reject-nolog 206.223.144.0/20 * tcp * 995" を入力しました。
コマンド "ip filter 200040 reject-nolog 206.223.144.0/20 * tcp * 1723" を入力しました。
コマンド "ip filter 200041 reject-nolog 206.223.144.0/20 * gre * *" を入力しました。
コマンド "ip filter 200042 reject-nolog 207.29.224.0/19 * tcp * https" を入力しました。
コマンド "ip filter 200043 reject-nolog 207.29.224.0/19 * tcp * 995" を入力しました。
コマンド "ip filter 200045 reject-nolog 207.29.224.0/19 * tcp * 1723" を入力しました。
コマンド "ip filter 200046 reject-nolog 207.29.224.0/19 * gre * * " を入力しました。
[ コマンド入力結果(最新の実行ログ) ]
# ip filter 200038 reject-nolog 206.223.144.0/20 * tcp * https
# ip filter 200039 reject-nolog 206.223.144.0/20 * tcp * 995
# ip filter 200040 reject-nolog 206.223.144.0/20 * tcp * 1723
# ip filter 200041 reject-nolog 206.223.144.0/20 * gre * *
# ip filter 200042 reject-nolog 207.29.224.0/19 * tcp * https
# ip filter 200043 reject-nolog 207.29.224.0/19 * tcp * 995
# ip filter 200045 reject-nolog 207.29.224.0/19 * tcp * 1723
# ip filter 200046 reject-nolog 207.29.224.0/19 * gre * *
#
↓
次
↓
コマンド "pp select 1" を入力しました。
コマンド "ip pp secure filter in 200003 200004 200005 200020 200021 200022 200023 200024 200025 200030 200032 200038 200039 200040 200041 200042 200043 200044 200045 200046 200080 200081" は入力できません。
エラー: パラメータは整数で指定してください。
コマンド "pp select none" を入力しました。
コマンド "save" を入力しました。
再起動します。
本製品のLED点滅終了後、アクセスを再開してください。 設定に変更はありません。
以上です。
お忙しいところ恐れ入りますが、引き続きよろしくお願いします。
※所用により返信は明日になりますのでご容赦下さい。
書込番号:18362020
0点
了解です。うまい事コマンド実行出来た様ですね。(コマンド実行=ルーターの設定という事です)
ルーターの再起動完了後に、念のため再度、詳細設定と情報→コマンド実行から、「show config」にて、設定内容テキスト出力→提示出来ますでしょうか?
テキスト提示後に、再度不要PPTP-VPNのトンネル・コマンドの削除を行います。
no pp select anonymous →enter
no tunnel select 1 →enter
下部の設定の確定ボタンをクリック
上記コマンドを実行願います。
最後に、save →enter
restart →enter
下部の設定の確定ボタンをクリック
書込番号:18364705
1点
エラーコード、コマンド "pp select 1" を入力しました。
コマンド "ip pp secure filter in 200003 200004 200005 200020 200021 200022 200023 200024 200025 200030 200032 200038 200039 200040 200041 200042 200043 200044 200045 200046 200080 200081" は入力できません。
上記ですが、
pp select 1 →enter
ip pp secure filter in 200003 200004 200005 200020 200021 200022 200023 200024 200025 200030 200032 200038 200039 200040 200041 200042 200043 200044 200045 200046 200080 200081
上記 ip pp secure filter in の後ろ数字ですが、200038から改行されてしまってますので、連文節でお願いします。
200003から2000081まで連文節です。数字打った後、半角スペースで続けて下さい。
書込番号:18364738
1点
sorio-2215様
ご丁寧に本当にありがとうございます。
ルーターを再起動し、再度“show config”を入力したら下記の通り表示されました。
↓
↓
↓
コマンド "show config" を入力しました。
設定に変更はありません。
[ コマンド入力結果(最新の実行ログ) ]
# show config
# NVR500 Rev.11.00.07 (Wed Dec 22 10:48:02 2010)
# MAC Address : 00:a0:de:7e:61:22, 00:a0:de:7e:61:23
# Memory 64Mbytes, 2LAN, 1BRI
# main: NVR500 ver=00 serial=S35039604 MAC-Address=00:a0:de:7e:61:22 MAC-Addre
ss=00:a0:de:7e:61:23
# Reporting Date: Jan 13 08:55:08 2015
ip route default gateway pp 1 filter 500000 gateway pp 1
ip lan1 address 192.168.24.1/24
ip lan1 proxyarp on
provider type isdn-terminal
provider filter routing connection
provider lan1 name LAN:
provider lan2 name PPPoE/0/1/5/0/0:ocn
pp select 1
pp name PRV/1/1/5/0/0:ocn
pp keepalive interval 30 retry-interval=30 count=12
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pppoe call prohibit auth-error count off
pp auth accept pap chap
pp auth myname ・・・略・・・
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp secure filter in 200003 200004 200005 200020 200021 200022 200023 200024
200025 200030 200032 200080 200081
ip pp secure filter out 200004 200005 200013 200020 200021 200022 200023 20002
4 200025 200026 200027 200099 dynamic 200080 200081 200082 200083 200084 200098
200099
ip pp nat descriptor 1000
netvolante-dns hostname host pp server=1 ・・・略・・・
pp enable 1
provider set 1 ocn
provider dns server pp 1 1
provider select 1
pp select anonymous
pp name RAS/VPN:
pp bind tunnel1
pp auth request mschap-v2
pp auth username ・・・略・・・
ppp ipcp ipaddress on
ppp ccp type mppe-any
ppp ipv6cp use off
ip pp remote address pool 192.168.24.3
pptp service type server
pp enable anonymous
tunnel select 1
tunnel encapsulation pptp
pptp tunnel disconnect time off
tunnel enable 1
ip filter 200000 reject 10.0.0.0/8 * * * *
ip filter 200001 reject 172.16.0.0/12 * * * *
ip filter 200002 reject 192.168.0.0/16 * * * *
ip filter 200003 reject 192.168.24.0/24 * * * *
ip filter 200004 reject 192.168.24.15 * * * *
ip filter 200005 reject 192.168.24.13 * * * *
ip filter 200006 reject 192.168.24.20 * * * *
ip filter 200010 reject * 10.0.0.0/8 * * *
ip filter 200011 reject * 172.16.0.0/12 * * *
ip filter 200012 reject * 192.168.0.0/16 * * *
ip filter 200013 reject * 192.168.24.0/24 * * *
ip filter 200020 reject * * udp,tcp 135 *
ip filter 200021 reject * * udp,tcp * 135
ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 200024 reject * * udp,tcp 445 *
ip filter 200025 reject * * udp,tcp * 445
ip filter 200026 restrict * * tcpfin * www,21,nntp
ip filter 200027 restrict * * tcprst * www,21,nntp
ip filter 200030 pass * 192.168.24.0/24 icmp * *
ip filter 200031 pass * 192.168.24.0/24 established * *
ip filter 200032 pass * 192.168.24.0/24 tcp * ident
ip filter 200033 pass * 192.168.24.0/24 tcp ftpdata *
ip filter 200034 pass * 192.168.24.0/24 tcp,udp * domain
ip filter 200035 pass * 192.168.24.0/24 udp domain *
ip filter 200036 pass * 192.168.24.0/24 udp * ntp
ip filter 200037 pass * 192.168.24.0/24 udp ntp *
ip filter 200038 reject-nolog 206.223.144.0/20 * tcp * https
ip filter 200039 reject-nolog 206.223.144.0/20 * tcp * 995
ip filter 200040 reject-nolog 206.223.144.0/20 * tcp * 1723
ip filter 200041 reject-nolog 206.223.144.0/20 * gre * *
ip filter 200042 reject-nolog 207.29.224.0/19 * tcp * https
ip filter 200043 reject-nolog 207.29.224.0/19 * tcp * 995
ip filter 200045 reject-nolog 207.29.224.0/19 * tcp * 1723
ip filter 200046 reject-nolog 207.29.224.0/19 * gre * *
ip filter 200081 pass * 192.168.24.1 gre * *
ip filter 200098 reject-nolog * * established
ip filter 200099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 200080 * * ftp
ip filter dynamic 200081 * * domain
ip filter dynamic 200082 * * www
ip filter dynamic 200083 * * smtp
ip filter dynamic 200084 * * pop3
ip filter dynamic 200098 * * tcp
ip filter dynamic 200099 * * udp
nat descriptor type 1000 masquerade
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.24.31-192.168.24.40/24
dns server pp 1
dns server select 500001 pp 1 any . restrict pp 1
dns private address spoof on
dns private name setup.netvolante.jp
pptp service on
analog supplementary-service pseudo call-waiting
analog extension dial prefix line
analog extension dial prefix sip prefix="9#"
#
↓
↓
↓
このあとに以下を実行するのでしょうか?(念のためまだ実行しておりません)。
>no pp select anonymous →enter
>no tunnel select 1 →enter
>下部の設定の確定ボタンをクリック
>上記コマンドを実行願います。
>最後に、save →enter
>restart →enter
書込番号:18365509
0点
また
>pp select 1
>ip pp secure filter in 200003 200004 200005 200020 200021 200022 200023 200024 200025 200030 200032 200038 200039 200040 200041 200042 200043 200044 200045 200046 200080 200081
を再度実行しても、下記の通りの表示でした。
↓
↓
↓
"pp select 1" を入力しました。
コマンド "ip pp secure filter in 200003 200004 200005 200020 200021 200022 200023 200024 200025 200030 200032 200038 200039 200040 200041 200042 200043 200044 200045 200046
上記 ip pp secure filter in の後ろ数字ですが、そのまま2行全てコピペしておりますので、あえて200038から改行はしていないと思いますが、いかがでしょうか?
お時間のありますときに、ご指導宜しくお願いします。
書込番号:18365515
0点
コマンド "ip pp secure filter in 200003 200004 200005 200020 200021 200022 200023 200024 200025 200030 200032 200038 200039 200040 200041 200042 200043 200044 200045 200046
上記ですと、
「エラー: パラメータは整数で指定してください。」 のエラー表記が出ていないので、コマンド投入はOKかと存じます。
先刻の話の通り、追加にて、下記コマンド実行願います。
no pp select anonymous →enter
no tunnel select 1 →enter
下部の設定の確定ボタンをクリック
最後にコマンド実行、save →enter
restart →enter
ルーター再起動コマンドが実行されたかと存じますが、再起動後に
詳細設定と情報→コマンド実行にて、「show config」実行にて、設定情報の再度提示願います。
提示のConfig情報は、初回より修正されていますので、OKですが、先ずは最後に確認願います。
書込番号:18365580
1点
sorio-2215様
ありがとうございます。
>no pp select anonymous →enter
>no tunnel select 1 →enter
を実行したら、下記のメッセージが出ました(save →enterと restart →enterはまだ実施しておりません)。
↓
↓
↓
コマンド "no pp select anonymous" は入力できません。
エラー: コマンド名を確認してください。
コマンド "no tunnel select 1" は入力できません。
エラー: コマンド名を確認してください。
コマンド書式が正しく、またブラウザで入力できるコマンドであることを確認してください。
設定に変更はありません。
[ コマンド入力結果(最新の実行ログ) ]
# no pp select anonymous
エラー: コマンド名を確認してください
# no tunnel select 1
エラー: コマンド名を確認してください
#
引き続き、どうぞご指導宜しくお願い致します。
書込番号:18366011
0点
NVR500ルーターですと、PPTP-VPNの名称での一括削除出来ない様ですね。
少々面倒ですが、
一行毎削除していく形になるかと存じます。
下記コマンド実行願います。
pp select anonymous
no pp name RAS/VPN:
no pp bind tunnel1
no pp auth request mschap-v2
no pp auth username 略 (→ 略は正式なものを記載して下さい。)
no ppp ipcp ipaddress on
no ppp ccp type mppe-any
no ppp ipv6cp use off
no ip pp remote address pool 192.168.24.3
no pptp service type server
no pp enable anonymous
tunnel select 1
no tunnel encapsulation pptp
no pptp tunnel disconnect time off
no tunnel enable 1
最後に、save と restart のコマンド実行願います。
※ 念の為、show config での設定情報を最終Configとして提供願います。
書込番号:18366899
1点
先刻の最終Configの話ですが、そのConfigをテキストファイルとして、ルーター設定のバックアップとして解りやすい箇所へ保存しておいて下さい。
NVR500も含めたYamahaルーターにおいて、ルーター故障交換時でのバックアップ復元が容易に出来る様になっております。
書込番号:18368590
1点
sorio-2215様
いつもありがとうございます。
ご指示いただいたことが全て完了し、現在は下記の通りですがいかがでしょうか?
↓
↓
↓
コマンド "show config" を入力しました。
設定に変更はありません。
[ コマンド入力結果(最新の実行ログ) ]
# show config
# NVR500 Rev.11.00.07 (Wed Dec 22 10:48:02 2010)
# MAC Address : 00:a0:de:7e:61:22, 00:a0:de:7e:61:23
# Memory 64Mbytes, 2LAN, 1BRI
# main: NVR500 ver=00 serial=S35039604 MAC-Address=00:a0:de:7e:61:22 MAC-Addre
ss=00:a0:de:7e:61:23
# Reporting Date: Jan 14 09:20:19 2015
ip route default gateway pp 1 filter 500000 gateway pp 1
ip lan1 address 192.168.24.1/24
ip lan1 proxyarp on
provider type isdn-terminal
provider filter routing connection
provider lan1 name LAN:
provider lan2 name PPPoE/0/1/5/0/0:ocn
pp select 1
pp name PRV/1/1/5/0/0:ocn
pp keepalive interval 30 retry-interval=30 count=12
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pppoe call prohibit auth-error count off
pp auth accept pap chap
pp auth myname ・・・略・・・
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp secure filter in 200003 200004 200005 200020 200021 200022 200023 200024
200025 200030 200032 200080 200081
ip pp secure filter out 200004 200005 200013 200020 200021 200022 200023 20002
4 200025 200026 200027 200099 dynamic 200080 200081 200082 200083 200084 200098
200099
ip pp nat descriptor 1000
netvolante-dns hostname host pp server=1 ・・・略・・・
pp enable 1
provider set 1 ocn
provider dns server pp 1 1
provider select 1
ip filter 200000 reject 10.0.0.0/8 * * * *
ip filter 200001 reject 172.16.0.0/12 * * * *
ip filter 200002 reject 192.168.0.0/16 * * * *
ip filter 200003 reject 192.168.24.0/24 * * * *
ip filter 200004 reject 192.168.24.15 * * * *
ip filter 200005 reject 192.168.24.13 * * * *
ip filter 200006 reject 192.168.24.20 * * * *
ip filter 200010 reject * 10.0.0.0/8 * * *
ip filter 200011 reject * 172.16.0.0/12 * * *
ip filter 200012 reject * 192.168.0.0/16 * * *
ip filter 200013 reject * 192.168.24.0/24 * * *
ip filter 200020 reject * * udp,tcp 135 *
ip filter 200021 reject * * udp,tcp * 135
ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 200024 reject * * udp,tcp 445 *
ip filter 200025 reject * * udp,tcp * 445
ip filter 200026 restrict * * tcpfin * www,21,nntp
ip filter 200027 restrict * * tcprst * www,21,nntp
ip filter 200030 pass * 192.168.24.0/24 icmp * *
ip filter 200031 pass * 192.168.24.0/24 established * *
ip filter 200032 pass * 192.168.24.0/24 tcp * ident
ip filter 200033 pass * 192.168.24.0/24 tcp ftpdata *
ip filter 200034 pass * 192.168.24.0/24 tcp,udp * domain
ip filter 200035 pass * 192.168.24.0/24 udp domain *
ip filter 200036 pass * 192.168.24.0/24 udp * ntp
ip filter 200037 pass * 192.168.24.0/24 udp ntp *
ip filter 200038 reject-nolog 206.223.144.0/20 * tcp * https
ip filter 200039 reject-nolog 206.223.144.0/20 * tcp * 995
ip filter 200040 reject-nolog 206.223.144.0/20 * tcp * 1723
ip filter 200041 reject-nolog 206.223.144.0/20 * gre * *
ip filter 200042 reject-nolog 207.29.224.0/19 * tcp * https
ip filter 200043 reject-nolog 207.29.224.0/19 * tcp * 995
ip filter 200045 reject-nolog 207.29.224.0/19 * tcp * 1723
ip filter 200046 reject-nolog 207.29.224.0/19 * gre * *
ip filter 200081 pass * 192.168.24.1 gre * *
ip filter 200098 reject-nolog * * established
ip filter 200099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 200080 * * ftp
ip filter dynamic 200081 * * domain
ip filter dynamic 200082 * * www
ip filter dynamic 200083 * * smtp
ip filter dynamic 200084 * * pop3
ip filter dynamic 200098 * * tcp
ip filter dynamic 200099 * * udp
nat descriptor type 1000 masquerade
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.24.31-192.168.24.40/24
dns server pp 1
dns server select 500001 pp 1 any . restrict pp 1
dns private address spoof on
dns private name setup.netvolante.jp
pptp service on
analog supplementary-service pseudo call-waiting
analog extension dial prefix line
analog extension dial prefix sip prefix="9#"
#
.
CORNER . CORNER
〜〜ここまで〜〜
なお今まで表記されていた
「pp auth username 略」までも消えておりますが、大丈夫だったでしょうか?
たぶん素人的な不安だとは思いますが、念のためご指導いただければ幸いです。
よろしくお願いします。
書込番号:18368773
0点
最終Configの中の下記ですが、フィルタが抜けております。
誤り・・「ip pp secure filter in 200003 200004 200005 200020 200021 200022 200023 200024
200025 200030 200032 200080 200081」
正・・「ip pp secure filter in 200003 200004 200005 200020 200021 200022 200023 200024
200025 200030 200032 200038 200039 200040 200041 200042 200043 200044 200045 200046 200080 200081」
「pp select 1」から、上記コマンドを入力し直しして下さい。
ルール、200038〜200046が抜けております。
「pp select anonymous」から「tunnel enable 1」までクリアになっている点は、想定通りです。
不要な外部からのリモートアクセス設定コマンドです。
上記、IPフィルタ・コマンドを投入し直し後、show config にて再度反映されているか情報下さい。
書込番号:18369569
1点
老婆心ながら、インターネット接続設定コマンドは、「pp select 1」から「provider select 1」までの内容です。ルーターのモード設定やゲームソフト等の為のポート解放は、「nat descriptor type 1000 masquerade」からのコマンドです。
書込番号:18369583
1点
pp select 1 →enter
ip pp secure filter in 200003 200004 200005 200020 200021 200022 200023 200024
200025 200030 200032 200038 200039 200040 200041 200042 200043 200044 200045 200046 200080 200081 →enter
最後に下部の設定の確定ボタンをクリック
書込番号:18369590
1点
sorio-2215様
いつもありがとうございます。
>pp select 1 →enter
>ip pp secure filter in 200003 200004 200005 200020 200021 200022 200023 200024
200025 200030 200032 200038 200039 200040 200041 200042 200043 200044 200045 200046 200080 200081 →enter
を、実行したところ、書きの通りに表記されましたのでご報告いたします。
↓
↓
↓
CORNER . CORNER
CORNER
コマンド "pp select 1" を入力しました。
コマンド "ip pp secure filter in 200003 200004 200005 200020 200021 200022 200023 200024" を入力しました。
コマンド "200025 200030 200032 200038 200039 200040 200041 200042 200043 200044 200045 200046 200080 200081 " は入力できません。
エラー: コマンド名を確認してください。
コマンド書式が正しく、またブラウザで入力できるコマンドであることを確認してください。
[ コマンド入力結果(最新の実行ログ) ]
# pp select 1
# ip pp secure filter in 200003 200004 200005 200020 200021 200022 200023 20002
4
# 200025 200030 200032 200038 200039 200040 200041 200042 200043 200044 200045
200046 200080 200081
エラー: コマンド名を確認してください
#
.
CORNER .
書込番号:18369611
0点
コマンド "pp select 1" を入力しました。
コマンド "ip pp secure filter in 200003 200004 200005 200020 200021 200022 200023 200024" を入力しました。
コマンド "200025 200030 200032 200038 200039 200040 200041 200042 200043 200044 200045 200046 200080 200081 " は入力できません。
エラー: コマンド名を確認してください。
エラーが出ております。
200025から200081まで改行されておりますので、命令文が無いエラーです。
面倒かもしれませんが、
pp select 1から 以下の文面数字枠を手打ちをお試し下さい。
※コピー・ペーストしない。数字の所を入力(半角)→半角スペース→数字と言う具合。
ip pp secure filter in 200003 200004 200005 200020 200021 200022 200023 200024 200025 200030 200032 200038 200039 200040 200041 200042 200043 200044 200045 200046 200080 200081
書込番号:18369625
1点
sorio-2215様
ありがとうございます。
下記の通りになりましたのでご報告いたします。
コマンド "pp select 1" を入力しました。
コマンド "ip pp secure filter in 200003 200004 200005 200020 200021 200022 200023 200024 200025 200030 200032 200038 200039 200040 200041 200042 200043 200044 200045 200046 200080 200081" を入力しました。
[ コマンド入力結果(最新の実行ログ) ]
# pp select 1
# ip pp secure filter in 200003 200004 200005 200020 200021 200022 200023 20002
4 200025 200030 200032 200038 200039 200040 200041 200042 200043 200044 200045
200046 200080 200081
#
書込番号:18369681
0点
[ コマンド入力結果(最新の実行ログ) ]
# show config
# NVR500 Rev.11.00.07 (Wed Dec 22 10:48:02 2010)
# MAC Address : 00:a0:de:7e:61:22, 00:a0:de:7e:61:23
# Memory 64Mbytes, 2LAN, 1BRI
# main: NVR500 ver=00 serial=S35039604 MAC-Address=00:a0:de:7e:61:22 MAC-Addre
ss=00:a0:de:7e:61:23
# Reporting Date: Jan 14 16:05:36 2015
ip route default gateway pp 1 filter 500000 gateway pp 1
ip lan1 address 192.168.24.1/24
ip lan1 proxyarp on
provider type isdn-terminal
provider filter routing connection
provider lan1 name LAN:
provider lan2 name PPPoE/0/1/5/0/0:ocn
pp select 1
pp name PRV/1/1/5/0/0:ocn
pp keepalive interval 30 retry-interval=30 count=12
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pppoe call prohibit auth-error count off
pp auth accept pap chap
pp auth myname ・・・略・・・
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp secure filter in 200003 200004 200005 200020 200021 200022 200023 200024
200025 200030 200032 200038 200039 200040 200041 200042 200043 200044 200045 2
00046 200080 200081
ip pp secure filter out 200004 200005 200013 200020 200021 200022 200023 20002
4 200025 200026 200027 200099 dynamic 200080 200081 200082 200083 200084 200098
200099
ip pp nat descriptor 1000
netvolante-dns hostname host pp server=1 ・・・略・・・
pp enable 1
provider set 1 ocn
provider dns server pp 1 1
provider select 1
ip filter 200000 reject 10.0.0.0/8 * * * *
ip filter 200001 reject 172.16.0.0/12 * * * *
ip filter 200002 reject 192.168.0.0/16 * * * *
ip filter 200003 reject 192.168.24.0/24 * * * *
ip filter 200004 reject 192.168.24.15 * * * *
ip filter 200005 reject 192.168.24.13 * * * *
ip filter 200006 reject 192.168.24.20 * * * *
ip filter 200010 reject * 10.0.0.0/8 * * *
ip filter 200011 reject * 172.16.0.0/12 * * *
ip filter 200012 reject * 192.168.0.0/16 * * *
ip filter 200013 reject * 192.168.24.0/24 * * *
ip filter 200020 reject * * udp,tcp 135 *
ip filter 200021 reject * * udp,tcp * 135
ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 200024 reject * * udp,tcp 445 *
ip filter 200025 reject * * udp,tcp * 445
ip filter 200026 restrict * * tcpfin * www,21,nntp
ip filter 200027 restrict * * tcprst * www,21,nntp
ip filter 200030 pass * 192.168.24.0/24 icmp * *
ip filter 200031 pass * 192.168.24.0/24 established * *
ip filter 200032 pass * 192.168.24.0/24 tcp * ident
ip filter 200033 pass * 192.168.24.0/24 tcp ftpdata *
ip filter 200034 pass * 192.168.24.0/24 tcp,udp * domain
ip filter 200035 pass * 192.168.24.0/24 udp domain *
ip filter 200036 pass * 192.168.24.0/24 udp * ntp
ip filter 200037 pass * 192.168.24.0/24 udp ntp *
ip filter 200038 reject-nolog 206.223.144.0/20 * tcp * https
ip filter 200039 reject-nolog 206.223.144.0/20 * tcp * 995
ip filter 200040 reject-nolog 206.223.144.0/20 * tcp * 1723
ip filter 200041 reject-nolog 206.223.144.0/20 * gre * *
ip filter 200042 reject-nolog 207.29.224.0/19 * tcp * https
ip filter 200043 reject-nolog 207.29.224.0/19 * tcp * 995
ip filter 200045 reject-nolog 207.29.224.0/19 * tcp * 1723
ip filter 200046 reject-nolog 207.29.224.0/19 * gre * *
ip filter 200081 pass * 192.168.24.1 gre * *
ip filter 200098 reject-nolog * * established
ip filter 200099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 200080 * * ftp
ip filter dynamic 200081 * * domain
ip filter dynamic 200082 * * www
ip filter dynamic 200083 * * smtp
ip filter dynamic 200084 * * pop3
ip filter dynamic 200098 * * tcp
ip filter dynamic 200099 * * udp
nat descriptor type 1000 masquerade
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.24.31-192.168.24.40/24
dns server pp 1
dns server select 500001 pp 1 any . restrict pp 1
dns private address spoof on
dns private name setup.netvolante.jp
pptp service on
analog supplementary-service pseudo call-waiting
analog extension dial prefix line
analog extension dial prefix sip prefix="9#"
#
以上です。
念のため、まだ“save”はしておりません。
書込番号:18369698
0点
「no pptp service on」 コマンドを実行下さい。
save → restart も実行下さい。
後はOKです。 最終Config(pptp service on無し)を保管しておいて下さい。
チェック方法として、2ちゃんねるの投稿ができるかも確認下さい。
書込番号:18369887
2点
sorio-2215様
ありがとうございます。
今全ての処置が完了しました。その上で、おかげさまで目的も達成出来ました。
私のような素人かつ稚拙な質問にも関わらず、終始懇切丁寧にご指導いただき、ただただ深く感謝申し上げます。
これに懲りずいつかまた機会がありましたら、その節はよろしくお願いします。
重ね重ね本当にどうもありがとうございました。
書込番号:18371916
0点
修復出来て良かったですね。
後は、PCなどの端末にて、SkypeやLineなどTV電話ソフトなど高い負荷の用途利用する場合に、追加設定が有るかもしれませんが、任意対応になります。
書込番号:18371981
0点
会社で30〜40台のPCをこちらのRT58iルーターを使用してネットに接続しています。
去年の年末頃からネットに繋がりにくい状況が続いています。
やった事は、ファームウェアの更新(Rev.9.01.51)くらいです。
ログを見ると下記のようなものが短時間に大量に残ってます。
2015/01/07 08:46:31: PP[03] IP Commencing (DNS Query [lb._dns-sd._udp.0.0.168.192.in-addr.arpa] from 192.168.0.26)
2015/01/07 08:46:31: PP[03] Detect BRI connector trouble(bri1). Call request is rejected
何か攻撃?でも受けているのでしょうか?それともどこかのPCがウイルスに感染していたりするのでしょうか?
必要あればルーターの買い替えも考えております。
どなたかわかられる方いらっしゃいましたら、ご教授ください。
0点
>2015/01/07 08:46:31: PP[03] Detect BRI connector trouble(bri1). Call request is rejected
"BRI connector trouble"なので、
ISDN回線のコネクタ周りでの障害を検知したのではないでしょうか。
まずはケーブルを交換してみてはどうですか。
書込番号:18344695
0点
こんにちは
>会社で30〜40台のPCをこちらのRT58iルーターを使用してネットに接続しています。
去年の年末頃からネットに繋がりにくい状況が続いています。
2015/01/07 08:46:31: PP[03] IP Commencing (DNS Query [lb._dns-sd._udp.0.0.168.192.in-addr.arpa] from 192.168.0.26)
2015/01/07 08:46:31: PP[03] Detect BRI connector trouble(bri1). Call request is rejected
ISDNルータですね。いまどきこれでネット接続(30から40台)使えているのでしょうか。現在のWEB画面はブロードバンド向けに作られていますので、1台であってもかなり遅いのではないでしょうか。
ログですが、
192.168.0.26の端末がDNSの解決できないのかな。
ISDNコネクタ(BRI 1)がトラブルとあります。原因はケーブル断線など通信障害が起こっていると思われます。
書込番号:18344773
0点
みなさまありがとうございます。
なるほどISDN回線のエラーであったのですね。
しかし通常インターネット使用には光回線を使用しています。
月に数回、どうしてもISDN回線を使用しなければならないので、その時だけ特定の端末からISDN回線を使用しております。
ログをみると、その端末以外の(通常インターネットを使用すると思われるIPアドレス)ところからこのようなエラーが大量にでていますので、通常でしたら、ちょっとありえない操作になりますね。
書込番号:18344800
0点
うーん、逆引きしてますね。なんだろうか。
とりあえずこの端末は隔離した方がいいかも。
詳しくはわからないですが、侵入されるとDNSに特徴的なパターンが出るらしいので。
書込番号:18345287
0点
このルーターですが、もしDNS周りの不正アクセスも含めた不定動作がかかると、ファームウェア更新だけではDNS機能におけるキャッシュポイズニングの脆弱性対応されません。
一つの方法・・「dns srcport 10000-19999」コマンド投入、DNSプロトコル番号53番の変異指定する。
二つ目・・DNSリカーシブサーバー機能を無効にする方法。「dns service off」→「dns notice order dhcp server」、「dns notice order msext server」
書込番号:18349475
0点
追加補足です。
「RT58i」ルーターで、30〜40台接続しているとの事ですが、このルーターの最大NATテーブル数として、4,096テーブルの仕様が有り、端末1台あたり平均200テーブル割り当てと計算(メーカー推奨)すると、4,096÷200=最大20台が限度の機器です。
その中で、同時に接続しNATテーブルを消費していくと、ルーター内蔵CPUとメモリ仕様にて、一部端末での通信劣化は、消費テーブルに依存します。
対応として、ルーターのNATセッションタイマーにて、未使用のNATテーブルが有る場合、@即時切断させるタイマー設定をしてみる、AルーターのNATテーブル数の多い機種へ変更してみる等の方法になるかと存じます。
以下参考まで・・NATテーブルタイマーの設定
「nat descriptor type 1 nat-masquerade」のNATエントリー設定の場合
「nat descriptor timer 1 600」→「nat descriptor timer 1 tcpfin 30」→「nat descriptor timer 1 protocol=udp port=domain 30」
※ type 1のエントリナンバーは、WANインターネット接続モードにより動的に任意設定されるルーターです。 PPPOEモードの場合・・ type 1000 、CATVモードの場合・・type 200 等。
NATテーブル数の多いルーター機種(Yamaha)
@ RTX810・・最大10,000(最大50台想定)
A FWX120・・最大30,000(最大150台想定)
B RTX1210・・最大65,534(最大327台想定)
※ http://www.rtpro.yamaha.co.jp/RT/hardware/cpu.html
書込番号:18351527
0点
皆さま、ありがとうございます。
このRT58iも購入年が2006年と古かったものですから、バッファローの新しい家庭用クラスのルーターを購入しました。
それから以前と同じようにインターネット接続ができるようになりました。
sorio-2215さん、せっかくご教授いただいたのに申し訳ございません。
どうもお騒がせしました。
書込番号:18351851
1点
??Buffalo家庭用ルーターで大丈夫なんでしょうか?
家庭用ですと、とてもNATテーブル処理を多数考慮されている訳でも有りませんので、精々10台が限度です。
内蔵CPU・メモリも、とても30〜40台といった台数の制御を考えている訳でも有りませんので、なるべくSOHO向けにされた方が賢明な判断かと考えます。
同時に接続します端末数・負荷を考慮下さいね。
書込番号:18352198
0点
なるほど。忠告ありがとうございます。
インターネット接続30〜40台は可能ですが、使用頻度は少なく、調べ物をするかメールに利用する程度です。
とりあえずメールの利用に影響が出てましたので、取り急ぎ家電屋で買ってきたものでした。
しばらく様子を見て、購入を検討したいと思います。
書込番号:18352824
0点
クチコミ掲示板検索
新着ピックアップリスト
-
【欲しいものリスト】購入リスト
-
【欲しいものリスト】PC調達
-
【欲しいものリスト】メインPC更新
-
【その他】画像生成AI入門
-
【Myコレクション】グラボだけのつもりが芋蔓式に総とっかえになっちゃった
価格.comマガジン
注目トピックス
(パソコン)
