このページのスレッド一覧(全7439スレッド)
| 内容・タイトル | ナイスクチコミ数 | 返信数 | 最終投稿日時 |
|---|---|---|---|
 VPN通信の設定について |
6 | 144 | 2017年1月14日 16:33 |
| インターネットと通信が出来なくなる不具合が発生します |
1 | 10 | 2017年1月13日 19:20 |
| 速度が大幅に低減しますが・・・? |
8 | 9 | 2017年1月10日 21:38 |
| 速度が出ない |
20 | 33 | 2017年1月6日 23:53 |
| L2TP/IPsec |
14 | 8 | 2016年12月31日 01:41 |
ISDN回線で電話を利用するには? |
5 | 4 | 2016年12月24日 01:56 |
- 「質問の絞込み」の未返信、未解決は最新1年、解決済みは全期間のクチコミを表示しています
お気に入りに追加
RTX810を使用してVPN通信をユーザーの望む形で実現するように試行錯誤していくスレッドです。
本当は下記スレッドの続編で「3」としたいところなのですが、運営により
「主旨がわからないのでスレッドを削除する」
という意味不明の指導?ありましたので題名を変えて続行します。
前スレ
↓HGWへのアクセスについて
http://bbs.kakaku.com/bbs/K0000288280/#19384277
↓HGWへのアクセスについて2
http://bbs.kakaku.com/bbs/K0000288280/#19439135
VPN通信について質疑応答したい人はどんどん参加してください。
0点
昨日建てたスレッドが削除されてしまったので私の状況に対する改善案も消えてしまいました。
申し訳ありませんが、再度アップお願いします。
状況
〇自宅PCより
・会社のHGW、RTX両方に繋がらない
・その配下のネットワーク機器には繋がる
・自宅のすべてのネットワーク機器には繋がる
〇会社PCより
・自宅のHGW、RTX両方に繋がらない
・その配下のネットワーク機器には繋がる
・会社のすべてのネットワーク機器には繋がる
〇アイフォンより
・自宅のHGW、RTX両方に繋がる
・その配下のネットワークに繋がらない
・会社のネットワーク全てに繋がらない
よろしくお願いします。
書込番号:19470727
0点
先刻も、Configの修正にてアクセス可能可否の確認を投稿しておりましたが、自宅・会社RTX810ルーターの双方に、「httpd host any」のコマンド実行にて、アクセス可能可否確認を提供していましたが、お試し下さい。
IOS端末については、L2TPリモートアクセス接続の際の、IPアドレスをプールするIPを指定するコマンド実行にて、お試し下さい。
pp select anonymous
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type mppe-any
ip pp remote address pool 192.168.100.150-192.168.100.160
↑ IOS端末へIPアドレスを192.168.100.150〜192.168.100.160の範囲で割り振る設定です。
自宅・社内端末にはIPと重複しないIPアドレスを設定下さい。
念のためですが、会社RTX810ルーター配下の端末には、固定IPの設定機器については、192.168.100.***(自宅端末と重複しないIP)/24、デフォルトゲートウェイ192.168.100.2、プライマリDNS192.168.100.2の設定しているか確認下さい。
更に、会社の端末にて、LAN設定をDHCP自動取得設定をした際に、パソコンのDOSプロンプトから、「ipconfig /all」にて、検出しています割り当てIPとゲートウェイIP、プライマリDNSをお教え下さい。
自宅・会社RTX810のルーターでのコマンド実行にて、「show ipsec sa」、「show status tunnel 1」、「show log」、「show ipsec sa gateway 1 detail」のそれぞれの接続ステータス情報の提供願います。
書込番号:19470797
1点
>sorio-2215さん
お早うございます。お世話になります。
ネットワークのルールを下記のようにしたいです。
自宅:192.168.100.1-192.168.100.99
会社:192.168.100.100-192.168.100.199
モバイル:192.168.100.200-192.168.100.254
※あくまでも「端末」についてのルールでルーターなどは既存のままでOKです
この件について設定等ご提案願います。
書込番号:19470903
0点
自宅分です。
# show ipsec sa
Total: isakmp:1 send:2 recv:2
sa sgw isakmp connection dir life[s] remote-id
-----------------------------------------------------------------------------
5 1 - tra[001]esp send 16316 ***.***.157.145
6 1 - tra[001]esp recv 16316 ***.***.157.145
7 1 - isakmp - 16320 ***.***.157.145
8 1 7 tra[001]esp send 16322 ***.***.157.145
9 1 7 tra[001]esp recv 16322 ***.***.157.145
#
# show status tunnel 1
TUNNEL[1]:
説明:
インタフェースの種類: L2TPv3
トンネルインタフェースはL2TPで利用されています
L2TPの状態はshow status l2tpコマンドで表示できます
#
2016/01/08 10:26:42: [IPv6] prefix ***.***.:1::/64 (vlife: 300, plife: 300)
is assigned from LAN2 (RA)
2016/01/08 10:26:43: [IKE] receive heartbeat message from ***.***.157.145
2016/01/08 10:26:43: [IKE] still connected : no message
2016/01/08 10:26:53: [IKE] receive heartbeat message from ***.***.157.145
2016/01/08 10:26:53: [IKE] still connected : no message
2016/01/08 10:26:59: [L2TPv3] set (0)message type HELLO
2016/01/08 10:26:59: [L2TPv3] set (59)message digest MD5
2016/01/08 10:26:59: [L2TPv3] keepalive HELLO send to ***.***.157.145
2016/01/08 10:26:59: [L2TPv3] recv message AVPs :
2016/01/08 10:26:59: [L2TPv3] (0)message type ACK
2016/01/08 10:26:59: [L2TPv3] (59)message digest MD5
2016/01/08 10:26:59: [L2TPv3] recv ACK from ***.***.157.145
2016/01/08 10:26:59: [L2TPv3] recv message AVPs :
2016/01/08 10:26:59: [L2TPv3] (0)message type HELLO
2016/01/08 10:26:59: [L2TPv3] (59)message digest MD5
2016/01/08 10:26:59: [L2TPv3] set (0)message type ACK
2016/01/08 10:26:59: [L2TPv3] set (59)message digest MD5
2016/01/08 10:27:03: [IKE] receive heartbeat message from ***.***.157.145
# show ipsec sa gateway 1 detail
SA[5] 寿命: 16136秒
自分側の識別子: 192.168.100.1
相手側の識別子: ***.***.157.145 (ipsec1)
送受信方向: 送信
プロトコル: ESP (モード: transport)
アルゴリズム: 3DES-CBC (認証: HMAC-MD5)
SPI: ** ** 66 57
鍵 : ** ** ** ** ** (confidential) ** ** ** ** **
----------------------------------------------------
SA[6] 寿命: 16136秒
自分側の識別子: 192.168.100.1
相手側の識別子: ***.***.157.145 (ipsec1)
送受信方向: 受信
プロトコル: ESP (モード: transport)
アルゴリズム: 3DES-CBC (認証: HMAC-MD5)
SPI: ** ** 11 ae
鍵 : ** ** ** ** ** (confidential) ** ** ** ** **
----------------------------------------------------
SA[7] 寿命: 16140秒
自分側の識別子: 192.168.100.1
相手側の識別子: ***.***.157.145 (ipsec1)
プロトコル: IKE
アルゴリズム: 3DES-CBC, SHA-1, MODP 1024bit
NATトラバーサル: あり, キープアライブ: 300秒
SPI: ***.***. d3 37 eb 32 b8 ac a3 ee 14 0e
鍵 : ** ** ** ** ** (confidential) ** ** ** ** **
----------------------------------------------------
SA[8] 寿命: 16142秒
自分側の識別子: 192.168.100.1
相手側の識別子: ***.***.157.145 (ipsec1)
送受信方向: 送信
プロトコル: ESP (モード: transport)
アルゴリズム: 3DES-CBC (認証: HMAC-MD5)
SPI: ** ** 6e b4
鍵 : ** ** ** ** ** (confidential) ** ** ** ** **
----------------------------------------------------
SA[9] 寿命: 16142秒
自分側の識別子: 192.168.100.1
相手側の識別子: ***.***.157.145 (ipsec1)
送受信方向: 受信
プロトコル: ESP (モード: transport)
アルゴリズム: 3DES-CBC (認証: HMAC-MD5)
SPI: ** ** 2f 90
鍵 : ** ** ** ** ** (confidential) ** ** ** ** **
----------------------------------------------------
書込番号:19470992
0点
うーん、そうなると、DHCP網にて希望の場合には、L2TPv3トンネル網の統合IPセグメントをVLAN構成の様な形に分割する形になりますが、ご希望の様な構成が可能か、調査時間を要します。
当方も、仕事の合間にて調べていますので、多少時間を下さい。
自宅側、会社側のそれぞれの端末にて、固定IPの設定にて分ける場合には簡単かと思いますが、自宅には、ご希望のIP範囲で、ゲートウェイ192.168.100.1、プライマリDNS192.168.100.1の設定、会社端末には、ご希望のIP範囲で、ゲートウェイ192.168.100.2、プライマリDNS192.168.100.2の設定をイメージ下さい。
それよりも、L2TPv3トンネルでの会社RTX810配下のDHCP挙動ステータスが気になりますので、先刻の「ipconfig /all」周りの情報をお教え下さい。
書込番号:19470994
0点
会社のipconfigです。
イーサネット アダプター ローカル エリア接続:
接続固有の DNS サフィックス . . . : flets-east.jp
説明. . . . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
物理アドレス. . . . . . . . . . . : 24-B6-FD-28-3F-DA
DHCP 有効 . . . . . . . . . . . . : はい
自動構成有効. . . . . . . . . . . : はい
リンクローカル IPv6 アドレス. . . . : 一部伏字4bc6:b543%13(優先)
IPv4 アドレス . . . . . . . . . . : 192.168.100.8(優先)
サブネット マスク . . . . . . . . : 255.255.255.0
リース取得. . . . . . . . . . . . : 2016年1月8日 11:27:28
リースの有効期限. . . . . . . . . : 2016年1月11日 11:27:28
デフォルト ゲートウェイ . . . . . : 192.168.100.1
DHCP サーバー . . . . . . . . . . : 192.168.100.1
DHCPv6 IAID . . . . . . . . . . . : 287618813
DHCPv6 クライアント DUID. . . . . . . . : 一部伏字75-24-B6-FD-28
-3F-DA
DNS サーバー. . . . . . . . . . . : 一部伏字:225:36ff:fe53:4bcb
192.168.100.1
192.168.0.1
NetBIOS over TCP/IP . . . . . . . : 有効
接続固有の DNS サフィックス検索の一覧:
flets-east.jp
iptvf.jp
書込番号:19471058
0点
>sorio-2215さん
コチラを優先しなくて結構です。都合の良い時だけ対応願います。
ところでw-nat でしたっけ?それぞれが同じIPアドレスを使いながらVPNを構築する仕組。アレは私の環境では難しいですか?
DHCPで自動アドレスを振るのがやっぱり楽でいいなあと思うようになりました。
書込番号:19471178
0点
Twice-NATの事ですか?
Twice-NATですと、多分論理的にHGWへのアクセスは、うまくいかないかと存じます。
Twice-NATで成功するのでしたら、当初のIPSEC-VPNトンネルでも成功していた筈です。
会社RTX810ルーターのDHCP予約IPの情報確認しました。
会社HGWのアクセスを通らずに192.168.100.1からインターネットアクセス側に出ている状態です。
再度確認ですが、自宅端末からhttp://192.168.100.2にて、会社RTX810のログイン、NTT-HGWログイン出来ませんか?
会社RTX810ルーターのアクセス許容設定(httpd host any コマンド投入)でも、ログイン出来るかどうか確認して欲しいのですが。
逆に自宅RTX810ルーターへアクセス許容設定(httpd host any コマンド投入)後に、会社端末から自宅RTX810ログインとAU-HGWのアクセス設定を確認下さい
会社端末を固定IP(192.168.100.10等)、デフォルトゲートウェイ192.168.100.2、プライマリDNS192.168.100.2の固定設定にて、自宅RTX810ルーター及びAU-HGWへのアクセスも確認して下さい。
逆に自宅も、固定IP(192.168.100.***)、デフォルトゲートウェイ192.168.100.1、プライマリDNS192.168.100.1にて、会社RTX810ログインと、NTT-HGWのアクセスも確認下さい。
L2レベルで、自宅・会社のIP体系アクセスが出来る構成でしたが、上記の要件で出来ない状態でしたら、静的ルーティングの登録をお試し下さい。(出来なければ、削除下さい)
自宅RTX810ルーター
ip route 192.168.99.1/32 gateway tunnel 1
会社RTX810ルーター
ip route 192.168.0.1/32 gateway tunnel 1
↑コマンドをそれぞれ実行し、自宅からNTT-HGWへのアクセスと、会社からAU-HGWのアクセスも確認下さい。 (不可の場合には、no ip route 192.168.99.1/32 gateway tunnel 1 、no ip route 192.168.0.1/32 gateway tunnel 1 コマンド実行にて、削除下さい。)
自宅の端末のDHCP予約IPと、会社端末のDHCP予約IPを分割する構成については、DHCPサーバの機能になりますので、現状の調査段階ですと、DHCP予約IP(MACアドレス認証)の設定になるかと存じます。
そのDHCP予約IPの設定の際に、会社の端末のインターネット・ゲートウェイを192.168.100.1からではなく、192.168.100.2から出ていく構成も調べないといけませんので、時間を下さい。
DHCP予約IP(MACアドレス認証)の際に、会社利用端末のMACアドレス情報が必要になりますので、参考設定例の提示に、既存の会社利用端末のMACアドレスを提示願います。
※ 会社回線へ接続しています端末全て。
書込番号:19471285
0点
モバイル端末に、DHCPでの予約IPを設定するのと同時に、L2TP/IPSECでのIPプールする設定の件については、下記コマンドを実行下さい。
L2TP/IPSECの方のコマンド(下記)
pp select anonymous
ip pp remote address pool 192.168.100.200-192.168.100.254
自宅RTX810ルーター配下の無線LANルーターへ接続された際のDHCP予約IPのコマンドについては、先刻の対話の通り、モバイル端末のMACアドレスが必要になります。
よって、Iphone系の場合には、設定→一般→情報の中のWifi-MACアドレス情報の提示が有れば、適切なDHCP予約IPアドレスのコマンド提供可能かと存じます。
書込番号:19471322
0点
>sorio-2215さん
macアドレスとIPを紐付るのならば結局はその手間がかかります。
当方の「勝手な」イメージでは
自宅RTX:指定範囲のアドレスの払い出し(自宅端末とモバイル用)
会社RTX:指定範囲のアドレスの払い出し(会社端末用)
こんな感じです。会社RTXにはDHCPサーバー機能を持たせられないですか?
書込番号:19471343
0点
>自宅RTX810ルーター
> ip route 192.168.99.1/32 gateway tunnel 1
>会社RTX810ルーター
> ip route 192.168.0.1/32 gateway tunnel 1
会社ルーターに下段の設定が投入できません。上下を間違っていませんか??
書込番号:19471476
0点
会社ルーターに下段の設定が投入できません。上下を間違っていませんか??
↑ 論理的に間違っておりません。
会社回線とは、物理的に別セグメントのネットワークで、トンネルルートしかアクセス出来ないルーティングです。
自宅回線の方から見ても、自宅回線から見て192.168.99.1は、物理的にトンネルルートしかアクセス出来ないル―ティングの為です。
そうすると、仮想的に自宅RTX810ルーターの配下として動作している状態ですので、やはりルーティングの規定外になっているようです。
コマンド投入出来ない点は残しておいて、自宅端末からNTT-HGWアクセス可否確認願います。
書込番号:19471505
0点
補足です。
先刻の「ipconfig /all」を会社端末から実行後に、ゲートウェイアドレスが192.168.100.1、プライマリDNS192.168.100.1から出ている点から、静的ルーティングの規定外のコマンドになっている状態と言う事です。
コマンド投入しなくても、自宅RTX810ルーターのコマンドにて、「httpd host any」を投入している状態でしたら、会社端末から自宅RTX810ルーターへログイン出来ない筈は無いですが。
更に、AU-HGWのルーティングに、自宅RTX810ルーター配下のIPからのアクセスは出来る機能設定ですので、別要因かと考えます。
書込番号:19471521
0点
念のため、会社RTX810ルーターのインターネットルートを192.168.99.254にする設定を投入しておいて下さい。
nat descriptor address outer 200 192.168.99.254
↑ 「nat descriptor address outer 200 primary」からの変更です。
書込番号:19471724
0点
以下の通り。全然変化ないですね。
状況
〇自宅PCより
・会社のHGW、RTX両方に繋がらない
・その配下のネットワーク機器には繋がる
・自宅のすべてのネットワーク機器には繋がる
〇会社PCより
・自宅のHGW、RTX両方に繋がらない
・その配下のネットワーク機器には繋がる
・会社のすべてのネットワーク機器には繋がる
〇アイフォンより
・自宅のHGW、RTX両方に繋がる
・その配下のネットワークに繋がらない
・会社のネットワーク全てに繋がらない
書込番号:19471763
0点
「show status l2tp」コマンド・ステータス提示下さいますか?
モバイル接続中のステータス表示可能でしょうか?
書込番号:19471794
0点
>sorio-2215さん
今気づいたのですが、DHCPを会社内ネットワークで使わざるを得ません。理由は無線子機に自動取得以外作用しないものが複数あるからです。
何か手立てはありますか?
書込番号:19471812
0点
# show status l2tp
------------------- L2TP INFORMATION -------------------
L2TP情報テーブル
L2TPトンネル数: 1, L2TPセッション数: 1
TUNNEL[1]:
トンネルの状態: established
バージョン: L2TPv3
自機側トンネルID: 3003
相手側トンネルID: 38322
自機側IPアドレス: 192.168.100.2
相手側IPアドレス: ***.***.141.4
自機側送信元ポート: 1701
相手側送信元ポート: 1701
ベンダ名: YAMAHA Corporation
ホスト名: RTX810-1
Next Transmit sequence(Ns): 962
Next Receive sequence(Nr) : 960
トンネル内のセッション数: 1 session
セッション情報:
セッションの状態: established
自機側セッションID: 61202
相手側セッションID: 37774
Circuit Status 自機側:UP 相手側:UP
通信時間: 15時間59分33秒
受信: 8867175 パケット [11805740887 オクテット]
送信: 8632813 パケット [656637390 オクテット]
書込番号:19471827
0点
自宅RTX810ルーターへ下記コマンドを実行しましたか?
pp select anonymous
ip pp remote address pool 192.168.100.200-192.168.100.254
L2TPステータスを見ると、トンネルの状態: established、セッションの状態: established から見て、接続状態的には、問題無いです。(モバイル端末にて、192.168.100.2が振られてますよ)
L2TPモバイル端末からのアクセスと社内端末のセグメントが違うぐらいしか無いかと。
若しくは、何らかの要因にて、社内端末のIP設定相違(デフォルトゲートウェイ及びプライマリDNS設定)しか無いかと。
自宅ネットワーク端末側に、同一セグメント以外にはアクセス制限するような設定は有りませんか?
あと、自宅RTX810ルーターに、ポート制限する様なスイッチングハブを経由しているとか。
あまり関連性は無いかと思いますが、IPフィルタの設定を解除して、再度確認頂けますか?
no ip lan2 secure filter in 101004 101005 101020 101021 101022 101023 101024 101025 101030 101032 101080 101081 101099
no ip lan2 secure filter out 101020 101021 101022 101023 101024 101025 101099
↑自宅RTX810ルーターのコマンド実行にて、願います。
書込番号:19471865
0点
>sorio-2215さん
社内ルーターにDHCP機能がないとどうしようもないのです。
ですから今回の変更は「もしDHCP機能を使えなのならば」取りやめないといけません。
どうでしょうか?
書込番号:19471875
0点
社内ルーターにDHCPが無いと言う事ではありませんよ。
DHCPリレーエージェント機能と同様の機能は実装していますよ。
自宅RTX810ルーターには、コマンドを見ると解るかと存じますが、DHCPスコープの機能は有効です。
DHCP機能が効いていないのであれば、モバイルに192.168.100.2等は振られていないです。
むしろ、IOSに振られている192.168.100.2は、会社RTX810ルーターのIPと重複していますので、先刻のL2TPーVPNのプールするIPをすれば、アクセス可能な筈です。
もし、モバイルに振られているIPが、固定IPの場合には、それを解除してDHCPモードにしなければ、正常な通信は出来ません。
今回のケースは、モバイル側の問題で、RTX810ルーターのDHCP挙動の問題ではありません。
自宅RTX810ルーターには、下記DHCP機能の設定がされていますよね?
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.3-192.168.100.99/24
自宅ネットワーク装置に、他にDHCPを配信するような機器を設定していませんでしょうか?
それも確認して下さい。
下記コマンドを実行頂けますか?
話はそれからです。
それと、Iphoneの場合、VPNも含めネットワーク設定を反映すると、そのログが残り、正常な接続が出来ない不具合が有ります。
IphoneのVPN設定も一度削除し、再度VPN設定した方が良いかと存じます。
pp select anonymous
ip pp remote address pool 192.168.100.200-192.168.100.254
書込番号:19471917
0点
show status l2tp のステータスをよく見てみて下さい。
自機側IPアドレス: 192.168.100.2の応答をしていますので、完全に、会社側RTX810宛てのゲートウェイ接続として誤認識しています。
IOS端末のL2TPクライアントとしての応答に問題が有るケースになります。
書込番号:19471942
0点
更に、IOS端末の接続先ネットワークの種別変更をする場合には、IOS端末側のネットワーク設定リセットをしませんと、正常動作しないケースも多々有りますので、実施下さい。
書込番号:19471957
0点
>sorio-2215さん
先ほどのVPNのステータスですが、会社RTXで取ったものです。
自宅ではまだログを取っていません。
認識に誤りはないですか?
もうすぐ自宅に戻ります。自宅でもステータスを確認してアップします。
書込番号:19471994
0点
VPNステータスが、会社RTX810ルーター → 無線ルーター(BRモード)配下で取得してものであれば、自局IPアドレスが192.168.100.2で合致しています。
会社無線ルーター(BRモード)の本体IPの設定は、確認していますか?
NEC無線ルーター(BRモード)ですと、無線ルーターのIP(192.168.100.100でしたか?)/24、デフォルトゲートウェイ192.168.100.2、プライマリDNS192.168.100.2、セカンダリ192.168.100.1に設定されているか確認下さい。
無線ルーターとして接続ゲートウェイ先が違うと、全く違う動作となります。
自宅RTX810ルーターには、192.168.100.99迄の範囲のIPを設定されているのですよね?
自宅系は、ゲートウェイ192.168.100.1、プライマリDNS192.168.100.1、セカンダリ192.168.100.2でしょうか。
書込番号:19472047
0点
補足です。
無線ルーターや、一部NASやサーバなどの機器には、見えない機能で重複されたDHCPサーバ機能を効かせる機能が有るものが有りますので、ネットワーク系を確認下さい。
更に言うと、回線キャリア(DOCOMOやSoftbank、AUなど)のレンタル無線LAN等が有れば、その機器のDHCP機能が、動作の邪魔をすることも有りますので、そういった機器が接続されていればDHCP機能周りの無効化、影響は出ないかと思いますが、それぞれのHGWのDHCPサーバ機能も無効設定して、動作確認してみる形になります。
書込番号:19472066
0点
>sorio-2215さん
論点が理解できません。
先ほど私がアップしたトンネル?のステータスと「無線親機」の設定に【なにか関係】がありますか?
ちなみに会社の無線親機の設定は次の通りです。
DHCPクライアント機能 使用しない
グローバルIPアドレス 使用しない
IPアドレス/ネットマスク(ビット指定)192.168.100.201 /24
ゲートウェイ固定アドレス192.168.100.2
プライマリDNS 192.168.100.2
セカンダリDNS 設定なし
よろしくおねがいします。
書込番号:19472207
0点
自宅のステータスです。
------------------- L2TP INFORMATION -------------------
L2TP情報テーブル
L2TPトンネル数: 1, L2TPセッション数: 1
TUNNEL[1]:
トンネルの状態: established
バージョン: L2TPv3
自機側トンネルID: 38322
相手側トンネルID: 3003
自機側IPアドレス: 192.168.100.1
相手側IPアドレス: ***.***.157.145
自機側送信元ポート: 1701
相手側送信元ポート: 1701
ベンダ名: YAMAHA Corporation
ホスト名: RTX810-2
Next Transmit sequence(Ns): 1095
Next Receive sequence(Nr) : 1097
トンネル内のセッション数: 1 session
セッション情報:
セッションの状態: established
自機側セッションID: 37774
相手側セッションID: 61202
Circuit Status 自機側:UP 相手側:UP
通信時間: 18時間14分2秒
受信: 9898192 パケット [750623251 オクテット]
送信: 10163645 パケット [13536546478 オクテット]
#
書込番号:19472213
0点
このステータスですが、IOS端末のLTE回線からL2TP-VPN接続しましたステータスですか?
LTE-VPN接続している時のステータス提供もお願いします。
自宅RTX810ルーターに割り当てました、ルーターのホスト名が接続先としてのステータスになっておりますが。
相手先ホスト名がキチンと検出していますので、表面的には正常動作かと存じます。
自宅・無線LAN接続時のステータスかと思いますが、IOS端末の設定→Wifiをタップ→接続中の無線LANの!マークをタップ→DHCPから取得しているIPと、ルーターアドレス、DNSアドレスの情報をお教え下さい。
再度、自宅のRTX810ルーターと会社RTX810ルーターのトンネル1のコマンドのみ提供願います。
※ tunnel select 1 から tunnel enable 1 までのコマンド。
どうも、IOS端末のネットワーク取得情報自体がおかしい可能性が大きいです。
やはり、IOS端末のネットワーク設定のリセットと、VPN設定のリセットが必要な気がします。
書込番号:19472309
0点
なにかconfigの羅列が多くて、事例検討の例として見にくいのですが、模式的には
表現できませんか?
T.T.として使い辛いでしょうか。(運営が削除するきになるのもわかる気がします。)
書込番号:19472382 スマートフォンサイトからの書き込み
0点
>jm1omhさん
コンフィグの羅列なしに具体的な設定方法の確認ができる方法があればそうしますが?
ITの世界は1文字違っても全然結果が違ってしまうので困りますよね。
書込番号:19472410
0点
>sorio-2215さん
>このステータスですが、IOS端末のLTE回線からL2TP-VPN接続しましたステータスですか?
いいえ。自宅も会社も有線接続のPCから取りました
> LTE-VPN接続している時のステータス提供もお願いします。
わかりました。
> 自宅・無線LAN接続時のステータスかと思いますが、IOS端末の設定→Wifiをタップ→接続中の無線LANの!マークをタップ
>→DHCPから取得しているIPと、ルーターアドレス、DNSアドレスの情報をお教え下さい。
この部分かなりわかりにくいです。VPN接続中アイフォンはwifiをオフにしておきます。ですから上記の操作は不可能です。もしもVPN接続中にアイフォンのネットワーク関連情報をわかる方法があれば教えてください。
書込番号:19472434
0点
下のステータスはアイフォンがVPN接続しているときに、有線接続している自宅PCで取得したものです。
# show status l2tp
------------------- L2TP INFORMATION -------------------
L2TP情報テーブル
L2TPトンネル数: 2, L2TPセッション数: 2
TUNNEL[1]:
トンネルの状態: established
バージョン: L2TPv3
自機側トンネルID: 38322
相手側トンネルID: 3003
自機側IPアドレス: 192.168.100.1
相手側IPアドレス: 一部伏字.157.145
自機側送信元ポート: 1701
相手側送信元ポート: 1701
ベンダ名: YAMAHA Corporation
ホスト名: RTX810-2
Next Transmit sequence(Ns): 1172
Next Receive sequence(Nr) : 1174
トンネル内のセッション数: 1 session
セッション情報:
セッションの状態: established
自機側セッションID: 37774
相手側セッションID: 61202
Circuit Status 自機側:UP 相手側:UP
通信時間: 19時間31分52秒
受信: 9903186 パケット [750981062 オクテット]
送信: 10169791 パケット [13537487541 オクテット]
TUNNEL[2]:
トンネルの状態: established
バージョン: L2TPv2
自機側トンネルID: 42036
相手側トンネルID: 22
自機側IPアドレス: 192.168.100.1
相手側IPアドレス: 一部伏字101.102
自機側送信元ポート: 1701
相手側送信元ポート: 58364
PPインタフェース: PP[ANONYMOUS01]
ベンダ名:
ホスト名: iPhone
Next Transmit sequence(Ns): 2
Next Receive sequence(Nr) : 4
トンネル内のセッション数: 1 session
セッション情報:
セッションの状態: established
自機側セッションID: 22574
相手側セッションID: 772
通信時間: 43秒
受信: 68 パケット [7561 オクテット]
送信: 51 パケット [8701 オクテット]
よろしくお願いします。
書込番号:19472455
0点
自宅RTXのコンフィグ抜粋です。
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text *******
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1 key-id
l2tp always-on on
l2tp hostname RTX810-1
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.100.1
l2tp remote router-id 192.168.100.2
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
書込番号:19472467
0点
> 自宅・無線LAN接続時のステータスかと思いますが、IOS端末の設定→Wifiをタップ→接続中の無線LANの!マークをタップ
>→DHCPから取得しているIPと、ルーターアドレス、DNSアドレスの情報をお教え下さい。
この部分かなりわかりにくいです。VPN接続中アイフォンはwifiをオフにしておきます。ですから上記の操作は不可能です。もしもVPN接続中にアイフォンのネットワーク関連情報をわかる方法があれば教えてください。
↑の件ですが、単純に、Iphoneを自宅・無線LAN接続中に、設定→Wifiをタップ→チェックマークの接続中の無線LANの ! マークをタップすると、IPアドレス取得状態及び接続先ルーターアドレス、DNSアドレスの情報が、Iphoneにて表示されるはずです。
※ http://h01mes.com/content.php?id=2&lan=jp&type=etc#.Vo-mxb9mqUk
VPN接続時の取得IPアドレスについては、Ipadであれば端末側で表示されるのですが、パソコンに専用フリーソフトを適用し、適用IPを確認する方法になるかと存じます。
IphoneをVPN接続中にしておき、PCに、「TWSNMPマネージャ」をダウンロード・インストールし、そのソフトの中で、プログラムの中のTWSNMPv4→管理MAPを開き→上位タブの管理ツール→自動発見をクリック→開始アドレスと終了アドレスが表示されているかと存じますが、検索しIphoneの端末が検出されると、ルーターからDHCPにて正常にIPアドレス取得されている状態の把握が可能です。
※ TWSNMPマネージャー ・・ http://www.twise.co.jp/twsnmp.html
IphoneのVPN接続のONとOFFをしてみて、上記ソフトにてスキャンすると、動的に振られているIP確認出来るかと存じます。
書込番号:19472568
1点
先刻の情報と併せて、TECHINFO情報をYamahaへ一度相談してみるのも、一つの解決案です。
下記Yamahaサイトへ、TECHINFO情報をテキスト出力し、その情報を元に相談してみるのも良いかと存じます。
※ https://yamahasn.secure.force.com/
↑の事項に、やりたい事(自宅・会社のRTX810へのログイン、それぞれのHGWアクセス・HGWの設定内容記載要、IOS端末からそれぞれの拠点のネットワーク端末アクセス周り等)記載の上、TECHINFO情報(RTX810ルーターの簡易Webメニューの [トップ] > [詳細設定と情報] > [システム情報のレポート作成] 内容を、TEXTファイル出力されたものを、添付ファイル送信してみる方法も有ります。
シリアル番号については、それぞれの本体裏面記載(S/N)、バージョンはTECHINFO情報の内容のTOP付近に、Rev番号が有るかと存じます。
書込番号:19473733
0点
念のため、既存の環境で確認中の要素ですが、L2TPv3/IPSECの機能にて、下記の条件が有ります。
メーカー広報にて(下記)
収容する LAN インターフェースについて
収容したインターフェースに IPv4,IPv6 アドレスを付与してはならない。
収容したインターフェースの IPv6 リンクローカルアドレスは削除される。
収容する LAN インターフェースの MTU はすべて同一の値でなければならない。
いずれかのブリッジインターフェースに収容したインターフェースは、他のブリッジインターフェースに収容することはできない。
収容するインターフェースがスイッチングハブを持つインターフェースである場合、スイッチングハブのポート間で完結する通信は本機能によるブリッジ動作ではなく、スイッチングハブ LSI 内部で処理される。
↑ 2行目のブリッジインターフェイスには、IPV4アドレスを付与してはいけない。
上記の制約が有るため、特定回避している状態になります。
L2TPリモートアクセス設定・併用にて、限定的にIPV4固定アドレスを設定している状態になります。
書込番号:19473991
0点
>sorio-2215さん
取りあえず現在至急解決したいのが会社にて無線親機とアイフォンが接続できない点です。アイフォンに固定IPを振れば接続しますが、その機能の無い端末が複数あります。
↓無線親機の設定は昨日アップしたままです。セカンダリに何か登録しますか?
DHCPクライアント機能 使用しない
グローバルIPアドレス 使用しない
IPアドレス/ネットマスク(ビット指定)192.168.100.201 /24
ゲートウェイ固定アドレス192.168.100.2
プライマリDNS 192.168.100.2
セカンダリDNS 設定なし
よろしくお願いします。
書込番号:19474119
0点
やはり、そのステータスですか。
NEC無線ルーターのモードをRTモードにして下さい。
その後、ローカルルーターモードにて、WAN固定192.168.100.201/24、デフォルトゲートウェイ192.168.100.2、プライマリDNS192.168.100.2、セカンダリDNS192.168.100.1にて設定下さい。
無線ルーターのIPは、192.168.102.1/24、DHCPサーバを、192.168.102.2〜192.168.102.30などの設定下さい。
RTX810ルーターの静的ルーティングは、追って連絡します。
無線ルーター宛てに接続してみて下さい。
書込番号:19474314 スマートフォンサイトからの書き込み
0点
只今、一時帰社してきました。
NEC無線ルーターを社内特定対応として、RTモードへ変更した際に、自宅RTX810ルーター配下端末及び、会社RTX810ルーター配下端末から、無線ルーターのメニュー呼び出し・メンテナンスのための静的ルーティング登録お願いします。
自宅RTX810ルーター
ip route 192.168.102.0/24 gateway tunnel 1
会社RTX810ルーター
ip route 192.168.102.0/24 gateway 192.168.100.201
上記コマンドにて、自宅RTX810ルーターの配下端末192.168.102.***/24のアクセスは、L2Tpv3トンネルへ経路確保されます。
会社RTX810ルーターの配下端末192.168.100.***/24からのアクセスは、宛先ゲートウェイ192.168.100.201へ経路確保されます。
書込番号:19474436
0点
会社NEC無線ルーターをRTモードへ変更した際に、ご存じの事と思いますが、会社RTX810ルーターのハブポートから、NEC無線ルーターのWANポートへ接続変更下さい。
書込番号:19474441
0点
>sorio-2215さん
TWSNMPで自宅内のネットワークを検索しました。非常に有益なソフトですね。
で、まずVPN接続無しでスキャン。不明なデバイスが2つ見つかりました。
次にアイフォンをVPN接続しスキャンを掛けたのですがデバイスの数は増えていません。だから検索範囲の中にアイフォンは居ないと思います。これでアイフォンから入れるのがHGWとRTXだけなのが理解できました。
アイフォンをwifi接続すると192.168.100.XXXのローカルIPが表示されます。この場合は他の端末と同様の動作ができます。
よろしくお願いします。
書込番号:19477505
0点
この話、自宅RTX810ルーター側へ無線LAN接続した時と、L2TP/IPSEC接続した時のVPNの話ですよね?
下記コマンドを実行下さい。(自宅・会社RTX810それぞれ)
ip bridge1 proxyarp on
自宅・RTX810ルーターのメーカー基本仕様として、L2TPv3/IPSEC・L2TP併用構成の際には、先刻の対話の様に、ブリッジ・インターフェイスには、IPアドレスを保有させてはいけない約定が有ります。
そのための暫定処置としてですが、自宅RTX810ルーターのLAN1グループと会社RTX810ルーターのLAN1グループをそれぞれARP相互応答させる必要がある状態です。
上記設定コマンド投入後に、自宅のLAN1アドレスと会社のLAN1アドレスを消去頂けますか?
自宅RTX810ルーター
no ip lan1 address 192.168.100.1/24
no ip lan1 proxyarp on
会社RTX810ルーター
no ip lan1 address 192.168.100.2/24
no ip lan1 proxyarp on
上記までのコマンドにて、L2TP/IPSECリモートアクセスしましたIphoneから各端末アクセス可能かどうか確認下さい。
上記コマンドで恐らくは大丈夫かと思いますが、NTTとKDDI回線仕様を吸収出来るかどうかは、流動的です。
不安定な場合には、
設定復元下さい。(下記)
自宅RTX810ルーター
ip lan1 address 192.168.100.1/24
ip lan1 proxyarp on
会社RTX810ルーター
ip lan1 address 192.168.100.2/24
ip lan1 proxyarp on
書込番号:19477657
0点
>sorio-2215さん
下記の状態では会社ではネット外にもルーターにも行けなくなりました。
会社コンフィグ
ip routing process fast
ip route default gateway 192.168.99.1
ip route 192.168.0.1 gateway tunnel 1
ip route 192.168.102.0/24 gateway 192.168.100.201
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.99.1
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.2/24
ip bridge1 proxyarp on
ip lan1 address 192.168.100.2/24
ip lan1 proxyarp on
ip lan2 address 192.168.99.254/24
ip lan2 mtu 1454
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.100.2 ***.***.141.4
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.2
ipsec ike local name 1 ipsec1 key-id
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ***.***
ipsec ike remote address 1 ***.***.141.4
l2tp always-on on
l2tp hostname RTX810-2
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.100.2
l2tp remote router-id 192.168.100.1
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.0/24 icmp * *
ip filter 101005 pass * 192.168.100.0/24 established * *
ip filter 101006 pass * 192.168.100.0/24 tcp * ident
ip filter 101007 pass * 192.168.100.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.100.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.100.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101014 pass * 192.168.100.0/24 udp * ntp
ip filter 101015 pass * 192.168.100.0/24 udp ntp *
ip filter 101016 pass * 192.168.100.2 udp * 500
ip filter 101017 pass * 192.168.100.2 esp * *
ip filter 101018 pass * 192.168.100.2 udp * 1701
ip filter 101019 pass * 192.168.100.2 udp * 4500
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.99.254
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.100.2 udp 500
nat descriptor masquerade static 200 2 192.168.100.2 esp
nat descriptor masquerade static 200 3 192.168.100.2 udp 1701
nat descriptor masquerade static 200 4 192.168.100.2 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 1 1 udp 1701
syslog debug on
telnetd host 192.168.100.3-192.168.100.254
dns server 192.168.99.1
dns private address spoof on
l2tp service on l2tpv3
httpd host any
alarm entire off
sshd service on
sshd host 192.168.100.3-192.168.100.254
sftpd host 192.168.100.3-192.168.100.254
書込番号:19478397
0点
自宅RTX810ルーターにも、「ip bridge1 proxyarp on」の投入は必須です。
ARP応答もL2TPv3/IPSECのブリッジトンネルモードに切り替えた場合には、先刻の通り、LAN1インターフェイスに関連するものにIPに関連づけするコマンドは利用出来ない形になりますので、
no ip lan1 address 192.168.100.2/24
no ip lan1 proxyarp on
↑のコマンド投入も必須です。
自宅回線が基本インターネット及びVPN認証情報をL2TPv3ーVPNのブリッジトンネル通過、スマートフォンのVPNのトンネル・ブリッジ参加も併用すると、下記コマンドが自宅側に必要です。
no ip lan1 address 192.168.100.1/24
no ip lan1 proxyarp on
ip bridge1 proxyarp on
上記、自宅RTX810ルーターへL2TPv3とL2TPの接続をトンネル・ブリッジ設定、ARP応答ブリッジの設定に切り替え、その後スマートフォンのL2TP-VPN接続を確認してみて下さい。
会社回線については、そのままにしておいて下さい。
完全なトンネルブリッジにされました際の判断によって、LAN1アドレスにIPアドレスを保有・ARP応答させるか、自宅のみL2TPv3トンネルにもARPブリッジ併用するかの判断をさせて下さい。
書込番号:19478505
0点
会社のRTX810ルーター配下端末のIPアドレス取得状況をチェックしたいと考えておりますので、RTX810ルーター接続の端末のIPアドレス取得をDHCP自動取得にしておいて下さい。(任意で1台で構いません)
自宅のRTX810ルーターへ、先刻のコマンドを3点投入しましたら、スマートフォンからの接続状態と、自宅端末接続状態、会社端末のIP取得状態によって判断したいと考えます。
書込番号:19478568
0点
NTT-HGW→RTX810ルーター、AU-HGW→RTX810ルーターでのL2TPv3/IPSEC、モバイルでのL2TP-VPNのトンネル・ブリッジ参加をイメージした際に、先刻の判断によって、下記の構成変更が必要になるかと存じます。
現時点で、自宅RTX810ルーター・LAN1アドレスに192.168.100.1、会社RTX810ルーター・LAN1アドレスに192.168.100.2の設定、L2TPv3のブリッジアドレスに自宅RTX810ルーターに192.168.100.1、会社RTX810ルーターに192.168.100.2のブリッジアドレスを付与しておりますが、2重ルーター構成にて、ブリッジアドレスの変更しませんと、自宅と会社それぞれの端末から、それぞれのRTX810ルーターとHGWへのアクセスが出来ない可能性があります。
想定として、下記構成変更が必須になるかもしれません。
会社RTX810ルーター
ip lan1 address 192.168.100.2/24
ip bridge1 proxyarp on
ip lan1 proxyarp on
ip bridge1 address 192.168.100.198/24
tunnel select 1
tunnel name IPsec(会社)
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.100.198 ***.***.***.*** (AUグローバルIP)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.100.198
ipsec ike local name 1 ipsec1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 ***.***.***.*** (AUグローバルIP)
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-2
l2tp syslog on
l2tp local router-id 192.168.100.198
l2tp remote router-id 192.168.100.98
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
自宅
ip bridge1 address 192.168.100.98/24
ip lan1 address 192.168.100.1/24
ip bridge1 proxyarp on
ip lan1 proxyarp on
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.100.98
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text passowrd
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-1
l2tp syslog on
l2tp local router-id 192.168.100.98
l2tp remote router-id 192.168.100.198
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
最悪、↑のコマンドになった場合には、かなり変則的な設定となりますので、その前提の判断が必要になると言うことです。
書込番号:19478659
0点
再度、調査確認しました。
当方の調査にて、先刻のコマンドになる可能性大です。
既存のHGWとRTX810ルーター構成が、ローカルルーター構成で、LAN1インターフェイス機能を排他させるのは、まずい状態になるようですので、下記のコマンドにて、自宅・会社のインターネット接続と、自宅→会社のVPN接続、リモートアクセス接続になるかと存じます。
自宅から会社のRTX810ルーターのログイン、会社から自宅のRTX810ルーターのログイン、それぞれのHGWへのアクセスを条件とすると、かなり変則的な設定になります。
会社RTX810ルーター
ip lan1 address 192.168.100.2/24
ip bridge1 proxyarp on
ip lan1 proxyarp on
ip bridge1 address 192.168.100.198/24
tunnel select 1
tunnel name IPsec(会社)
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.100.198 ***.***.***.*** (AUグローバルIP)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.100.198
ipsec ike local name 1 ipsec1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 ***.***.***.*** (AUグローバルIP)
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-2
l2tp syslog on
l2tp local router-id 192.168.100.198
l2tp remote router-id 192.168.100.98
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
自宅
ip bridge1 address 192.168.100.98/24
ip lan1 address 192.168.100.1/24
ip bridge1 proxyarp on
ip lan1 proxyarp on
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.100.98
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text passowrd
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-1
l2tp syslog on
l2tp local router-id 192.168.100.98
l2tp remote router-id 192.168.100.198
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
書込番号:19478790
0点
先ほどの最終的なトンネルコマンドの一部ですが、下記になるかもしれません。
会社RTX810ルーター
tunnel select 1
ipsec ike local address 1 192.168.100.2
(ipsec ike local address 1 192.168.100.198にて、VPN認証できない時)
自宅RTX810ルーター
tunnel select 1
ipsec ike local address 1 192.168.100.1
(ipsec ike local address 1 192.168.100.98にて、VPN認証できない時)
書込番号:19478987
0点
>sorio-2215さん
ip bridge1 proxyarp on
no ip lan1 address 192.168.100.2/24
no ip lan1 proxyarp on
自宅RTXに上記コマンド投入し、次コメントのコンフィグになっています。この状態でインターネットもルーターも入れません(会社と同じ状態)。なおLET-VPNからは自宅HGWとRTXのみ入れます。例のソフトでみても192.168.100.0のネットワークには入っていません。
書込番号:19479188
0点
自宅RTXコンフィグ
ip routing process fast
ip route default gateway 192.168.0.1
ip route 192.168.99.1 gateway tunnel 1
ip route 192.168.102.0/24 gateway tunnel 1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.1/24
ip bridge1 proxyarp on
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ipv6 lan1 dhcp service server
ip lan2 address 192.168.0.254/24
ip lan2 mtu 1492
ip lan2 secure filter in 101004 101005 101020 101021 101022 101023 101024 10102
5 101030 101032 101080 101081 101099
ip lan2 secure filter out 101020 101021 101022 101023 101024 101025 101099
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:DHCP
provider ntpdate ntp.nict.jp
pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin ***.***.
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type mppe-any
ip pp remote address pool 192.168.100.150-192.168.100.160
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ***.***.
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1 key-id
l2tp always-on on
l2tp hostname RTX810-1
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.100.1
l2tp remote router-id 192.168.100.2
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel name モバイル用
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text ***.***.
ipsec ike remote address 2 any
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.1 udp * 4500
ip filter 101005 pass * 192.168.100.1 udp * 1701
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.100.1 udp * 500
ip filter 101081 pass * 192.168.100.1 esp * *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.100.1-192.168.100.254
nat descriptor masquerade static 200 1 192.168.100.1 udp 500
nat descriptor masquerade static 200 2 192.168.100.1 esp
nat descriptor masquerade static 200 3 192.168.100.1 udp 1701
nat descriptor masquerade static 200 4 192.168.100.1 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipsec transport 2 2 udp 1701
syslog debug on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.3-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on
httpd host 192.168.100.3-192.168.100.254
alarm entire off
書込番号:19479194
0点
うーん、やはりそうですか。
そうなると、2重NATのローカルルーターでの特定コマンドに変更するしか無いですね。
下記コマンドを会社・自宅別に投入して下さい。
会社RTX810ルーター
ip lan1 address 192.168.100.2/24
ip bridge1 proxyarp on
ip lan1 proxyarp on
no ip bridge1 address 192.168.100.2/24
ip bridge1 address 192.168.100.198/24
tunnel select 1
tunnel name IPsec(会社)
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.100.198 ***.***.***.*** (AUグローバルIP)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.100.2
ipsec ike local name 1 ipsec1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 ***.***.***.*** (AUグローバルIP)
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-2
l2tp syslog on
l2tp local router-id 192.168.100.198
l2tp remote router-id 192.168.100.98
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
自宅
no ip bridge1 address 192.168.100.1/24
ip bridge1 address 192.168.100.98/24
ip lan1 address 192.168.100.1/24
ip bridge1 proxyarp on
ip lan1 proxyarp on
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.100.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text passowrd
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-1
l2tp syslog on
l2tp local router-id 192.168.100.98
l2tp remote router-id 192.168.100.198
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
上記のトンネル設定を自宅・会社それぞれ投入して下さい。
勿論、AUグローバルIPの箇所は、AUのグローバルIPに差替えにて、願います。
書込番号:19479525
0点
補足ですが、仮想的にブリッジに設定しましたIPを変更し、物理LAN1インターフェイスの機能を有効にして、VPNトンネルアクセス用のIPを仮想的に分けたコマンドにしました。
会社のトンネル用ブリッジIP・・192.168.100.198、自宅のトンネル用ブリッジIP・・192.168.100.98
※ 上記のIPは、他の端末で利用しないで下さい。
メーカーとしては、イレギュラー設定に該当しますが、設定投入・VPN接続されましたら、自宅から会社のRTX810ログイン、会社から自宅RTX810ログイン、それぞれのHGWのログイン可否を確認下さい。
モバイル端末のアクセスも確認下さい。
書込番号:19479545
0点
テラタームで自動ログアウトさせないコマンドを教えてください。
書込番号:19479569 スマートフォンサイトからの書き込み
0点
ログインタイマーをオフにしても、デフォルトで300秒でログオフしてしまう仕様ですので、タイマー設定を長時間にするしか無いです。
「login timer 21474836」 を投入下さい。
タイマー設定として、最大値です。
書込番号:19479656
0点
>sorio-2215さん
自宅RTXにコマンド投入し、HGW、ルーター、各端末、インターネットにアクセスできるようになりました。
その後LET-VPNで自宅の端末と同様のアクセスできることも確認しています。しかしTWSNMPで検索してもアイフォンに該当するMACアドレスは発見されません。しかし「YAMAHA(192.168.100.150)」という端末がVPN接続時に現れ、切断後は「軽度障害」として表示されることからこれがアイフォンと思われます。
あとで会社RTXにコマンド投入します。
書込番号:19479892
0点
「しかし「YAMAHA(192.168.100.150)」という端末がVPN接続時に現れ、切断後は「軽度障害」として表示されることからこれがアイフォンと思われます。」
↑上記の動作は、正常です。
自宅RTX810の「pp select anonymous」ユーザーの接続情報として、下記IPアドレスをプールする設定が投入されております。
「ip pp remote address pool 192.168.100.150-192.168.100.160」
IPアドレス192.168.100.150〜192.168.100.160までのセグメントがIphone接続時にプールされる形になります。
ただし、L2TPトンネルが1トンネルしか有りませんので、複数トンネル構成しないと、192.168.100.151〜はプールされません。
書込番号:19480680
1点
会社コンフィグを末尾の通り設定しました。結果は以下の通りです。
→社内PCより
・会社HGW接続可能
・会社RTX接続不能
・インターネット接続不能
・会社各端末接続可能
・自宅接続不能
よろしくお願いします。
login timer 21474836
ip routing process fast
ip route default gateway 192.168.99.1
ip route 192.168.0.1 gateway tunnel 1
ip route 192.168.102.0/24 gateway 192.168.100.201
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.99.1
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.198/24
ip bridge1 proxyarp on
ip lan1 address 192.168.100.2/24
ip lan1 proxyarp on
ip lan2 address 192.168.99.254/24
ip lan2 mtu 1454
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.100.198 au IP
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.2
ipsec ike local name 1 ipsec1 key-id
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 au IP
l2tp always-on on
l2tp hostname RTX810-2
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.100.198
l2tp remote router-id 192.168.100.98
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.0/24 icmp * *
ip filter 101005 pass * 192.168.100.0/24 established * *
ip filter 101006 pass * 192.168.100.0/24 tcp * ident
ip filter 101007 pass * 192.168.100.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.100.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.100.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101014 pass * 192.168.100.0/24 udp * ntp
ip filter 101015 pass * 192.168.100.0/24 udp ntp *
ip filter 101016 pass * 192.168.100.2 udp * 500
ip filter 101017 pass * 192.168.100.2 esp * *
ip filter 101018 pass * 192.168.100.2 udp * 1701
ip filter 101019 pass * 192.168.100.2 udp * 4500
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.99.254
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.100.2 udp 500
nat descriptor masquerade static 200 2 192.168.100.2 esp
nat descriptor masquerade static 200 3 192.168.100.2 udp 1701
nat descriptor masquerade static 200 4 192.168.100.2 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 1 1 udp 1701
syslog debug on
telnetd host 192.168.100.3-192.168.100.254
dns server 192.168.99.1
dns private address spoof on
l2tp service on l2tpv3
httpd host any
alarm entire off
sshd service on
sshd host 192.168.100.3-192.168.100.254
sftpd host 192.168.100.3-192.168.100.254
書込番号:19481605
0点
先刻の話の様に、会社・自宅それぞれ下記コマンドを投入下さい。
会社RTX810ルーター
tunnel select 1
ipsec ike local address 1 192.168.100.198
自宅RTX810ルーター
tunnel select 1
ipsec ike local address 1 192.168.100.98
書込番号:19481651
0点
先ほどのコマンド投入前に、RTX810ルーターの配下端末のDHCP取得状況をお教え下さい。
DOSプロンプト→ 「ip config /all」 実行。
書込番号:19481658
0点
会社PCから取得しています。
イーサネット アダプター ローカル エリア接続:
接続固有の DNS サフィックス . . . :
説明. . . . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
物理アドレス. . . . . . . . . . . : 24-B6-FD-28-3F-DA
DHCP 有効 . . . . . . . . . . . . : はい
自動構成有効. . . . . . . . . . . : はい
リンクローカル IPv6 アドレス. . . . : 一部伏字:b543%13(優先)
IPv4 アドレス . . . . . . . . . . : 192.168.99.2(優先)
サブネット マスク . . . . . . . . : 255.255.255.0
リース取得. . . . . . . . . . . . : 2016年1月11日 16:01:43
リースの有効期限. . . . . . . . . : 2016年1月11日 20:01:42
デフォルト ゲートウェイ . . . . . : 192.168.99.1
DHCPv6 IAID . . . . . . . . . . . : 287618813
DHCPv6 クライアント DUID. . . . . . . . 一部伏字4-75-24-B6-FD-28-3F-DA
DNS サーバー. . . . . . . . . . . : 一部伏字:225:36ff:fe53:4bcb
192.168.99.1
NetBIOS over TCP/IP . . . . . . . : 有効
書込番号:19481718
1点
NTT-HGWからの取得IPですと、まずいです。
NTT-HGWのDHCP機能を無効設定下さい。
2重NAT環境でのRTX810ルーターでの取得機能でなければ、いけない条件になります。
それと、会社RTX810ルーターの稼働状況を知りたいので、接続端末を一時的に192.168.100.110/24等、デフォルトゲートウェイ192.168.100.2、プライマリDNS192.168.100.2にて、インターネット接続とVPN接続可否(自宅アクセス可能可否)をお知らせ願います。
書込番号:19481825
0点
会社端末は、全てRTX810ルーターのハブへ接続し、NEC無線ルーターのWANポートも、RTX810ルーターのLANポートに接続しているのですよね?
書込番号:19481840
0点
>sorio-2215さん
> NTT-HGWのDHCP機能を無効設定下さい。
設定完了。
>接続端末を一時的に192.168.100.110/24等、デフォルトゲートウェイ192.168.100.2、
>プライマリDNS192.168.100.2にて、インターネット接続とVPN接続可否(自宅アクセス可能可否)をお知らせ願います。
会社PC→
会社HGW:〇
会社RTX:×
会社端末:×
インターネット:×
自宅HGW:×
自宅RTX:×
自宅端末:○
VPN→
自宅全てOK
会社へのアクセス全て不能
> 会社端末は、全てRTX810ルーターのハブへ接続し、NEC無線ルーターのWANポートも、
>RTX810ルーターのLANポートに接続しているのですよね?
間違いないですよ。ところでPCから無線親機へのアクセスはどのアドレスを使うのですか?
書込番号:19481900
0点
>sorio-2215さん
自宅に一時帰ってまた会社に戻ります。時間は未定です。
自宅でやるべき作業を指示願います。
書込番号:19481909
0点
会社NTT-HGWのDHCP無効設定後の、IPアドレス取得状況をお知らせ下さい。
固定IPにて、自宅へアクセス可能な点は、確認しました。
先刻の端末の固定IPをDHCP自動取得に戻して、DOSプロンプトから、「ip config /all」の取得状況をお知らせ願います。
自宅RTX810ルーターの設定追加確認は、会社状況によっての話になります。
自宅RTX810ルーター (まだ投入しないで下さい)
tunnel select 1
ipsec ike local address 1 192.168.100.98
書込番号:19481945
0点
会社RTX810ルーターに接続しています端末から、無線ルーターへのログインは、先刻の設定状況を見ると解ると思いましたが。
念のためですが、会社RTX810ルーター及び自宅RTX810ルーター配下の端末から無線ルーターログインは、192.168.102.1にてログインします。(WANポートは、固定で192.168.100.201/24にしましたが、DHCP機能のため、無線ルーターのアクセスIPは、192.168.102.1にして貰いましたが)
自宅及び会社RTX810配下からアクセスする際に、静的ルーティングをして頂きましたが。
書込番号:19481955
0点
>sorio-2215さん
>会社NTT-HGWのDHCP無効設定後の、IPアドレス取得状況をお知らせ下さい。
イーサネット アダプター ローカル エリア接続:
接続固有の DNS サフィックス . . . :
説明. . . . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
物理アドレス. . . . . . . . . . . : 一部伏字-28-3F-DA
DHCP 有効 . . . . . . . . . . . . : はい
自動構成有効. . . . . . . . . . . : はい
リンクローカル IPv6 アドレス. . . . : 一部伏字4bc6:b543%13(優先)
IPv4 アドレス . . . . . . . . . . : 192.168.100.8(優先)
サブネット マスク . . . . . . . . : 255.255.255.0
リース取得. . . . . . . . . . . . : 2016年1月11日 18:15:13
リースの有効期限. . . . . . . . . : 2016年1月14日 18:15:13
デフォルト ゲートウェイ . . . . . : 192.168.100.98
DHCP サーバー . . . . . . . . . . : 192.168.100.98
DHCPv6 IAID . . . . . . . . . . . : 287618813
DHCPv6 クライアント DUID. . . . . . . . : 一部伏字-A4-75-24-B6-FD-28
-3F-DA
DNS サーバー. . . . . . . . . . . : 一部伏字225:36ff:fe53:4bcb
192.168.100.98
192.168.0.1
NetBIOS over TCP/IP . . . . . . . : 有効
上記の状態でのアクセス状況です。
会社PC→
会社HGW:×
会社RTX:×
会社端末:〇
インターネット:×
自宅HGW:×
自宅RTX:×
自宅端末:○
よろしくお願いします。
書込番号:19482091
0点
L2TPv3トンネルのみは、OKですね。
やはり認証周りの問題で、下記の設定投入が必要かと存じます。
会社RTX810ルーター
tunnel select 1
ipsec ike local address 1 192.168.100.198
自宅RTX810ルーター
tunnel select 1
ipsec ike local address 1 192.168.100.98
投入後、再度「ipconfig /all」でのIPアドレス取得情報の提供、インターネット及びVPN接続可否、 固定IP(192.168.100.110/24など、デフォルトゲートウェイ192.168.100.2、プライマリDNS192.168.100.2)での各接続状況の提供願います。
書込番号:19482123
0点
>sorio-2215さん
自宅の状況です。困ったことになりました。下までよく読んでください!
イーサネット アダプター ローカル エリア接続 2:
接続固有の DNS サフィックス . . . :
説明. . . . . . . . . . . . . . . : Realtek RTL8169/8110 Family PCI Gigabit E
thernet NIC (NDIS 6.20)
物理アドレス. . . . . . . . . . . : 一部伏字D8-F6-A4
DHCP 有効 . . . . . . . . . . . . : はい
自動構成有効. . . . . . . . . . . : はい
リンクローカル IPv6 アドレス. . . . : 一部伏字e263:aeed%19(優先)
IPv4 アドレス . . . . . . . . . . : 192.168.100.4(優先)
サブネット マスク . . . . . . . . : 255.255.255.0
リース取得. . . . . . . . . . . . : 2016年1月11日 1:10:27
リースの有効期限. . . . . . . . . : 2016年1月14日 1:10:27
デフォルト ゲートウェイ . . . . . : 192.168.100.98
DHCP サーバー . . . . . . . . . . : 192.168.100.98
DHCPv6 IAID . . . . . . . . . . . : 407692918
DHCPv6 クライアント DUID. . . . . . . . : 一部伏字26-D0-00-21-70-29
-D6-49
DNS サーバー. . . . . . . . . . . : 192.168.100.98
192.168.0.1
NetBIOS over TCP/IP . . . . . . . : 有効
上記の状態でのアクセス状況でした(過去形)。
自宅PC→
自宅HGW:〇
自宅RTX:〇
自宅端末:〇
インターネット:〇
会社HGW:×
会社RTX:×
会社端末:○
VPN→
自宅はすべて〇
会社はすべて×
このあとすぐにインターネットにも自宅hgwにもアクセスできなくなりました。
切っ掛けはVPNの接続と思います。
よろしくお願いします。
書込番号:19482350
0点
先ほどのコマンド投入されての現象ですよね?
現状としては、下記のコマンドを投入し直し(復元)にて、会社RTX810ルーターのみのVPNとインターネット経路、DHCP周りの経路確保の要素に限定されたと推察されますが、AU-HGWとNTT-HGWの仕様・構成から、VPNのコマンドとしては、先刻までのコマンドを復元頂けますか?
下記のコマンドを投入(復元)すると、接続出来る様になりませんか?
会社RTX810ルーター
tunnel select 1
ipsec ike local address 1 192.168.100.2
自宅RTX810ルーター
tunnel select 1
ipsec ike local address 1 192.168.100.1
会社NTT-HGWと会社RTX810ルーター周りの条件の形になると推察されますので、↑のコマンドを再度投入下さい。
書込番号:19482454
0点
自宅rtxにも入れないです
シリアルが今ないもので。
書込番号:19482475 スマートフォンサイトからの書き込み
0点
ゲートウェイが100.98になってしまいます。
書込番号:19482487 スマートフォンサイトからの書き込み
0点
何とか、投入して下さい。
会社RTX810ルーターのみ、追加で下記コマンドを投入下さい。
no ip bridge1 proxyarp on
no ip lan1 proxyarp on
書込番号:19482511
0点
シリアルの有り難さがよーく分かってきました、、、。
書込番号:19482515 スマートフォンサイトからの書き込み
0点
会社コンフィグです。直すべき個所はありますか?
ip routing process fast
ip route default gateway 192.168.99.1
ip route 192.168.0.1 gateway tunnel 1
ip route 192.168.102.0/24 gateway 192.168.100.201
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.99.1
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.198/24
ip lan1 address 192.168.100.2/24
ip lan2 address 192.168.99.254/24
ip lan2 mtu 1454
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(莨夂)
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.100.198 au IP
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.2
ipsec ike local name 1 ipsec1 key-id
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 au IP
l2tp always-on on
l2tp hostname RTX810-2
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.100.198
l2tp remote router-id 192.168.100.98
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.0/24 icmp * *
ip filter 101005 pass * 192.168.100.0/24 established * *
ip filter 101006 pass * 192.168.100.0/24 tcp * ident
ip filter 101007 pass * 192.168.100.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.100.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.100.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101014 pass * 192.168.100.0/24 udp * ntp
ip filter 101015 pass * 192.168.100.0/24 udp ntp *
ip filter 101016 pass * 192.168.100.2 udp * 500
ip filter 101017 pass * 192.168.100.2 esp * *
ip filter 101018 pass * 192.168.100.2 udp * 1701
ip filter 101019 pass * 192.168.100.2 udp * 4500
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.99.254
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.100.2 udp 500
nat descriptor masquerade static 200 2 192.168.100.2 esp
nat descriptor masquerade static 200 3 192.168.100.2 udp 1701
nat descriptor masquerade static 200 4 192.168.100.2 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 1 1 udp 1701
syslog debug on
telnetd host 192.168.100.3-192.168.100.254
dns server 192.168.99.1
dns private address spoof on
l2tp service on l2tpv3
httpd host any
alarm entire off
sshd service on
sshd host 192.168.100.3-192.168.100.254
sftpd host 192.168.100.3-192.168.100.254
書込番号:19482569
0点
>sorio-2215さん
取りあえず「インターネット」と「社内ネットワーク」にだけアクセス出来ればいいです。トンネルは後でOKです。
よろしくお願いします。
書込番号:19482578
0点
下記コマンド実行にて、192.168.0.1のルーティングを停止して下さい。
no ip route 192.168.0.1 gateway tunnel 1
他のコマンドは、間違っていないかと考えます。
会社端末にて192.168.100.***/24、デフォルトゲートウェイ192.168.100.2、DNS192.168.100.2にて、WebとVPN可能かどうか確認下さい。
無線LAN接続端末については、DHCP自動取得でOKかと存じます。
書込番号:19482631
0点
うーん、NTT-HGWとの特定のNAT問題が出ている様です。
会社RTX810ルーターのConfigを下記に復元頂けますか?
ip routing process fast
ip route default gateway 192.168.99.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.99.1
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.2/24
ip lan1 address 192.168.100.2/24
ip lan1 proxyarp on
ip lan2 address 192.168.99.254/24
ip lan2 mtu 1454
ip lan2 nat descriptor 200
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.100.2 ***.***.***.*** (AUグローバルIP)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.100.2
ipsec ike local name 1 ipsec1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 ***.***.***.*** (AUグローバルIP)
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-2
l2tp syslog on
l2tp local router-id 192.168.100.2
l2tp remote router-id 192.168.100.1
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.0/24 icmp * *
ip filter 101005 pass * 192.168.100.0/24 established * *
ip filter 101006 pass * 192.168.100.0/24 tcp * ident
ip filter 101007 pass * 192.168.100.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.100.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.100.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101014 pass * 192.168.103.0/24 udp * ntp
ip filter 101015 pass * 192.168.103.0/24 udp ntp *
ip filter 101016 pass * 192.168.100.2 udp * 500
ip filter 101017 pass * 192.168.100.2 esp * *
ip filter 101018 pass * 192.168.100.2 udp * 1701
ip filter 101019 pass * 192.168.100.2 udp * 4500
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.100.2 udp 500
nat descriptor masquerade static 200 2 192.168.100.2 esp
nat descriptor masquerade static 200 3 192.168.100.2 udp 1701
nat descriptor masquerade static 200 4 192.168.100.2 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 1 1 udp 1701
syslog debug on
telnetd host 192.168.100.3-192.168.100.254
dns server 192.168.99.1
dns private address spoof on
httpd host 192.168.100.3-192.168.100.254
l2tp service on l2tpv3
alarm entire off
sshd service on
sshd host 192.168.100.3-192.168.100.254
sshd host key generate *
sftpd host 192.168.100.3-192.168.100.254
書込番号:19482687
0点
自宅RTX810ルーターのみ、ブリッジインターフェイスのARP応答のみの追加コマンド付きの設定に復元頂けますか?
自宅RTX810ルーターのConfigを、下記に復元下さい。
ip routing process fast
ip route default gateway 192.168.0.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.1/24
ip bridge1 proxyarp on
ip lan1 address 192.168.100.1/24
ip lan1 proxyarp on
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ipv6 lan1 dhcp service server
ip lan2 address 192.168.0.254/24
ip lan2 mtu 1492
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:DHCP
provider ntpdate ntp.nict.jp
ip lan2 secure filter in 101004 101005 101020 101021 101022 101023 101024 101025 101030 101032 101080 101081 101099
ip lan2 secure filter out 101020 101021 101022 101023 101024 101025 101099
pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin password
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.100.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text passowrd
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-1
l2tp syslog on
l2tp local router-id 192.168.100.1
l2tp remote router-id 192.168.100.2
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text password
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.1 udp * 4500
ip filter 101005 pass * 192.168.100.1 udp * 1701
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.100.1 udp * 500
ip filter 101081 pass * 192.168.100.1 esp * *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.100.1-192.168.100.254
nat descriptor masquerade static 200 1 192.168.100.1 udp 500
nat descriptor masquerade static 200 2 192.168.100.1 esp
nat descriptor masquerade static 200 3 192.168.100.1 udp 1701
nat descriptor masquerade static 200 4 192.168.100.1 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipsec transport 2 2 udp 1701
syslog debug on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.3-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on
httpd host 192.168.100.3-192.168.100.254
alarm entire off
書込番号:19482700
0点
どうも、ステータス状況から、会社L2TPv3/IPSECトンネルの条件ですと、回線終端装置→スイッチングハブ→@光電話ルーター(光電話ルーターのみ、PPPOEブリッジ有、インターネット接続無し)、ARTX810ルーターでのPPPOE接続形態+L2TPv3トンネル構成にしなければ、HGWへのアクセスとRTX810ルーターログイン、他端末ログインの併用は望ましい状況です。
↑の条件で宜しければ、自宅のConfig構成は現状が最適な状態ですので、会社のみConfigイメージを調査しますので、少しお待ち下さい。
書込番号:19482726
0点
先ほどの会社Configの分の、「ip lan1 proxyarp on」は外して下さい。
no ip lan1 proxyarp on 実行下さい。
書込番号:19482737
0点
最新コンフィグです。ネット、HGW、RTXダメ。
ip routing process fast
ip route default gateway 192.168.99.1
ip route 192.168.102.0/24 gateway 192.168.100.201
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.99.1
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.2/24
ip lan1 address 192.168.100.2/24
ip lan2 address 192.168.99.254/24
ip lan2 mtu 1454
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(莨夂)
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.100.198 au IP
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.2
ipsec ike local name 1 ipsec1 key-id
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 au IP
l2tp always-on on
l2tp hostname RTX810-2
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.100.2
l2tp remote router-id 192.168.100.1
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.0/24 icmp * *
ip filter 101005 pass * 192.168.100.0/24 established * *
ip filter 101006 pass * 192.168.100.0/24 tcp * ident
ip filter 101007 pass * 192.168.100.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.100.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.100.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101014 pass * 192.168.103.0/24 udp * ntp
ip filter 101015 pass * 192.168.103.0/24 udp ntp *
ip filter 101016 pass * 192.168.100.2 udp * 500
ip filter 101017 pass * 192.168.100.2 esp * *
ip filter 101018 pass * 192.168.100.2 udp * 1701
ip filter 101019 pass * 192.168.100.2 udp * 4500
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.100.2 udp 500
nat descriptor masquerade static 200 2 192.168.100.2 esp
nat descriptor masquerade static 200 3 192.168.100.2 udp 1701
nat descriptor masquerade static 200 4 192.168.100.2 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 1 1 udp 1701
syslog debug on
telnetd host 192.168.100.3-192.168.100.254
dns server 192.168.99.1
dns private address spoof on
l2tp service on l2tpv3
httpd host 192.168.100.3-192.168.100.254
alarm entire off
sshd service on
sshd host 192.168.100.3-192.168.100.254
sftpd host 192.168.100.3-192.168.100.254
書込番号:19482771
0点
コマンド間違ってますよ。
tunnel select 1
tunnel endpoint address 192.168.100.2 au IP (AUグローバルIP)
↑コマンドの部分を登録し直しです。
端末のIPを192.168.100.***/24 デフォルトゲートウェイ192.168.100.2、プライマリDNS192.168.100.2の設定にて接続確認下さい。
DHCP認証周りは、自宅RTX810ルーターの設定を投入し直ししませんと、復元されません。
当初の話の通り、RTX810のVPN認証通過周りが有りますので、DHCP周りは、自宅RTX810ルーターの復元をして下さい。
書込番号:19482820
0点
RTX810ルーターのConfig復元は、復元直後では正式なNAT変換ルールが適用されませんので、一度再起動は必要です。
コマンドから、restartをかけて下さい。
書込番号:19482843
0点
>sorio-2215さん
もう遅いので最小限のことだけできればいいです。そろそろ帰らないと・・。
・インターネットへの接続
・社内ネットワークへのアクセス
以上を満たす設定を教えてください。
RTXのコンフィグは「取りあえず」初期化します。
スミマセンがよろしくお願いします。
書込番号:19482888
0点
ですから、初期化するまでの事ではありません。
デフォルト動作のConfigですので、先刻のConfigを投入下さい。
細かな所で、投入ミスしているだけです。
端末は、固定IPで接続という形で、自宅RTX810ルーターのConfig入替えまで代替出来る様になっていますので、端末は、固定IP(衝突しないIP)、デフォルトゲートウェイ192.168.100.2、プライマリDNS192.168.100.2の設定をそれぞれして下さいという社内環境になっています。
ip routing process fast
ip route default gateway 192.168.99.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.99.1
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.2/24
ip lan1 address 192.168.100.2/24
ip lan1 proxyarp on
ip lan2 address 192.168.99.254/24
ip lan2 mtu 1454
ip lan2 nat descriptor 200
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.100.2 ***.***.***.*** (AUグローバルIP)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.100.2
ipsec ike local name 1 ipsec1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 ***.***.***.*** (AUグローバルIP)
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-2
l2tp syslog on
l2tp local router-id 192.168.100.2
l2tp remote router-id 192.168.100.1
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.0/24 icmp * *
ip filter 101005 pass * 192.168.100.0/24 established * *
ip filter 101006 pass * 192.168.100.0/24 tcp * ident
ip filter 101007 pass * 192.168.100.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.100.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.100.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101014 pass * 192.168.103.0/24 udp * ntp
ip filter 101015 pass * 192.168.103.0/24 udp ntp *
ip filter 101016 pass * 192.168.100.2 udp * 500
ip filter 101017 pass * 192.168.100.2 esp * *
ip filter 101018 pass * 192.168.100.2 udp * 1701
ip filter 101019 pass * 192.168.100.2 udp * 4500
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.100.2 udp 500
nat descriptor masquerade static 200 2 192.168.100.2 esp
nat descriptor masquerade static 200 3 192.168.100.2 udp 1701
nat descriptor masquerade static 200 4 192.168.100.2 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 1 1 udp 1701
syslog debug on
telnetd host 192.168.100.3-192.168.100.254
dns server 192.168.99.1
dns private address spoof on
httpd host 192.168.100.3-192.168.100.254
l2tp service on l2tpv3
alarm entire off
sshd service on
sshd host 192.168.100.3-192.168.100.254
sshd host key generate *
sftpd host 192.168.100.3-192.168.100.254
書込番号:19482960
0点
一度初期化してしまってWAN側の設定がなくなったようです。失敗しました。
ip routing process fast
ip route default gateway 192.168.99.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.99.1
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.2/24
ip lan1 address 192.168.100.1/24
provider lan1 name LAN:
tunnel select 1
l2tp always-on on
l2tp hostname RTX810-2
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.100.2
l2tp remote router-id 192.168.100.1
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101014 pass * 192.168.103.0/24 udp * ntp
ip filter 101015 pass * 192.168.103.0/24 udp ntp *
ip filter 101016 pass * 192.168.100.2 udp * 500
ip filter 101017 pass * 192.168.100.2 esp * *
ip filter 101018 pass * 192.168.100.2 udp * 1701
ip filter 101019 pass * 192.168.100.2 udp * 4500
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 500000 restrict * * * * *
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.100.2 udp 500
nat descriptor masquerade static 200 2 192.168.100.2 esp
nat descriptor masquerade static 200 3 192.168.100.2 udp 1701
nat descriptor masquerade static 200 4 192.168.100.2 udp 4500
rip use on
ipsec auto refresh on
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.2
ipsec ike local name 1 ipsec1 key-id
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 auIP
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec transport 1 1 udp 1701
syslog debug on
telnetd host 192.168.100.3-192.168.100.254
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.191/24
dns server 192.168.99.1
dns private address spoof on
l2tp service on l2tpv3
httpd host 192.168.100.3-192.168.100.254
alarm entire off
sshd service on
sshd host 192.168.100.3-192.168.100.254
sftpd host 192.168.100.3-192.168.100.254
#
書込番号:19483048
0点
初期化してしまうと、社内環境とは違うコマンドも投入されてしまうので、×です。
もう一度、初期化して下さい。
初期化後に、不要コマンドを削除して下さい。
no ip lan1 address 192.168.100.1/24
no dhcp service server
no dhcp server rfc2131 compliant except remain-silent
no dhcp scope 1 192.168.100.2-192.168.100.191/24
上記作業後に、当方提示のConfigを、AUグローバルIP箇所を差替えした上で、「そのまま」投入して下さい。
Config復元後に、RTX810配下端末は、固定IPにしてデフォルトゲートウェイを192.168.100.2、プライマリDNS192.168.100.2に固定設定するだけの処置で良いです。
念のため申し上げますが、初期化してしまうと、返って正常な設定をダメにしてしまうので、安易に初期化はしない方が良いです。
書込番号:19483175
1点
>sorio-2215さん
RTXにプロバイダ情報を投入します。下記につき教えてください。PC側は192.168.100.xxx。ゲートウエイとDNSは192.168.100.2とします。
WAN側IPアドレス
ネットマスク
デフォルトゲートウェイ
プライマリDNSサーバーアドレス
セカンダリDNSサーバーアドレス
HGWと社内ネットだけは繋がります。後はインターネットに接続できればとりあえずOKです。
よろしくお願いいします。
書込番号:19483271
0点
もしかして、簡易webから設定していますか?
当方提供のconfigにWAN設定と、NAT特定設定が投入されていますので、簡易web設定では無く、あくまでも、teratermから間違いなくconfig投入下されば良いです。
webからWAN設定かけてしまうと、後のVPNのモード設定時に、再度初期化からモード設定しないと、VPNの設定が困難になります。
書込番号:19483803 スマートフォンサイトからの書き込み
0点
当初の話のL2TPv3/IPSEC併用でのインターネット回線機能は、簡易Webメニューからの基本投入は出来ないと言う趣旨が有りますので、簡易Webメニューからの設定を含める場合には、当初のIPSEC-VPNに戻された方が良いかと存じます。
NTT-HGW及び会社RTX810ルーターのLAN内構成は、既にL2TPv3/IPSECとインターネット併用構成環境になっていますので、IPSEC-VPNに戻される場合には、下記設定をそのままConfig投入下さい。
会社及び自宅RTX810ルーターを初期化し、下記コマンドを間違いなく投入下さい。
会社RTX810ルーター
ip routing process fast
ip route default gateway 192.168.99.1
ip route 192.168.0.0/24 gateway tunnel 1
ip route 192.168.100.0/24 gateway tunnel 1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.99.1
ip lan1 address 192.168.102.1/24
ip lan1 proxyarp on
ip lan2 address 192.168.99.254/24
ip lan2 secure filter in 101004 101005 101016 101017 101018 101019 101020 101021 101022 101023 101024 101025 101030 101032 101099
ip lan2 secure filter out 101020 101021 101022 101023 101024 101025 101099
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.102.1
ipsec ike nat-traversal 1 on
ipsec ike local name 1 ipsec1 key-id
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 ***.***.***.*** (AUグローバルIP)
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.102.0/24 * * * *
ip filter 101004 pass * 192.168.102.0/24 icmp * *
ip filter 101005 pass * 192.168.102.0/24 established * *
ip filter 101006 pass * 192.168.102.0/24 tcp * ident
ip filter 101007 pass * 192.168.102.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.102.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.102.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.102.0/24 * * *
ip filter 101014 pass * 192.168.102.0/24 udp * ntp
ip filter 101015 pass * 192.168.102.0/24 udp ntp *
ip filter 101016 pass * 192.168.102.1 udp * 500
ip filter 101017 pass * 192.168.102.1 esp * *
ip filter 101018 pass * 192.168.102.1 udp * 1701
ip filter 101019 pass * 192.168.102.1 udp * 4500
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.99.254
nat descriptor address inner 200 192.168.99.254 192.168.102.1-192.168.102.254
nat descriptor masquerade static 200 1 192.168.102.1 udp 500
nat descriptor masquerade static 200 2 192.168.102.1 esp
nat descriptor masquerade static 200 3 192.168.102.1 udp 1701
nat descriptor masquerade static 200 3 192.168.102.1 udp 4500
ipsec auto refresh on
telnetd host 192.168.102.2-192.168.102.254 192.168.100.2-192.168.100.254
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.102.2-192.168.102.99/24
dns server 192.168.99.1
dns private address spoof on
httpd host 192.168.102.2-192.168.102.254 192.168.100.2-192.168.100.254
alarm entire off
sshd service on
sshd host 192.168.102.2-192.168.102.254 192.168.100.2-192.168.100.254
sshd host key generate *
sftpd host 192.168.102.2-192.168.102.254 192.168.100.2-192.168.100.254
↑の設定を投入された場合には、会社RTX810ルーター配下のネットワーク関連端末は、192.168.102.***/24のIP(PC関連は、DHCP自動取得でもOKです)、デフォルトゲートウェイ192.168.102.1、プライマリDNS192.168.102.1に設定下さい。
無線ルーターは、BRモードに戻されても良いです。
BRモードの際には、IP192.168.102.201/24、デフォルトゲートウェイ192.168.102.1、プライマリDNS192.168.102.1に設定確認下さい。
書込番号:19483824
0点
IPSEC-VPNモードへ戻される場合の自宅RTX810ルーターのConfigです。
一度、初期化後に下記コマンドを、そのまま投入下さい。
ip routing process fast
ip route default gateway 192.168.0.1
ip route 192.168.102.0/24 gateway tunnel 1
ip route 192.168.99.0/24 gateway tunnel 1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
ip lan1 address 192.168.100.1/24
ip lan1 proxyarp on
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ipv6 lan2 dhcp service client ir=on
ip lan2 address 192.168.0.254/24
ip lan2 secure filter in 101000 101001 101004 101005 101006 101020 101021 101022 101023 101024 101025 101030 101032 101080 101081 101099
ip lan2 secure filter out 101010 101011 101020 101021 101022 101023 101024 101025 101099
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:DHCP
provider ntpdate ntp.nict.jp
pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin *******
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool 192.168.100.150-192.168.100.160
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.100.1
ipsec ike local id 1 192.168.100.1/24
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1 key-id
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text password
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp keepalive use on
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.1 udp * 4500
ip filter 101005 pass * 192.168.100.1 udp * 1701
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.100.1 udp * 500
ip filter 101081 pass * 192.168.100.1 esp * *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.100.1-192.168.100.254
nat descriptor masquerade static 200 1 192.168.100.1 udp 500
nat descriptor masquerade static 200 2 192.168.100.1 esp
nat descriptor masquerade static 200 3 192.168.100.1 udp 1701
nat descriptor masquerade static 200 4 192.168.100.1 udp 4500
ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipsec transport 2 2 udp 1701
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on
httpd host 192.168.100.2-192.168.100.254 192.168.102.2-192.168.102.254
alarm entire off
書込番号:19483832
0点
補足です。
会社のIPSEC-VPNの復元Configですが、NAT-Tモードになってますので、下記も最後に投入下さい。
会社RTX810ルーター
ipsec transport 1 1 udp 1701
書込番号:19483834
0点
先ほどのIPSEC-VPNに戻された場合の設定ですが、L2TPv3/IPSECでは現状TeraTermでの投入主体になりますので、簡易Webメニュー主体で考える場合、IPSEC-VPNしか選択肢は無いかと存じます。
IPSEC-VPNでの設定ですと、どうしても静的ルーティングは外せない概念となりますので、ご利用のAU-HGWとNTT-HGWの機能差の兼ね合いで、自宅からNTT-HGWへのログインも条件となる場合、下記の要件になるかと考えます。
@ 回線終端装置に、スイッチングハブを別途用意し、ハブからNTT光電話ルーターへの接続。
A 上記スイッチングハブから、会社RTX810ルーターへWAN接続。
B NTT光電話ルーターのIPを192.168.102.254/24の設定(DHCP無効化)し、ハブポートから会社RTX810ルーターのハブポートへ接続
C 会社RTX810ルーターへ、PPPOE接続形態に復元し、IPSEC-VPNと静的ルーティング形態にする。
RTX810ルーターでのPPPOE接続設定にされる場合には、会社RTX810ルーターのConfigは、別紙のイメージになります。
書込番号:19483857
0点
別紙、会社RTX810ルーターでのPPPOEに戻される場合のイメージです。
ip routing process fast
ip route default gateway pp 1 filter 500000 gateway pp 1
ip route 192.168.100.0/24 gateway tunnel 1
ip route 192.168.0.0/24 gateway tunnel 1
ip lan1 address 192.168.102.1/24
ip lan1 proxyarp on
provider type isdn-terminal
provider filter routing connection
provider lan1 name LAN:
provider lan2 name PPPoE/0/1/5/0/0/0:Nifty
provider ntpdate ntp.nict.jp
pp select 1
pp name PRV/1/1/5/0/0/0:Nifty
pp keepalive interval 30 retry-interval=30 count=12
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname *****@nifty.com ******* (Nifty接続ID 接続パスワード)
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
ip pp secure filter in 200020 200021 200022 200023 200024 200025 200030 200032 200080 200081 200082 200083 200099
ip pp secure filter out 200020 200021 200022 200023 200024 200025 200026 200027 200099
ip pp nat descriptor 1000
pp enable 1
provider set 1 Nifty
provider dns server pp 1 1
provider select 1
tunnel select 1
tunnel name IPsec(会社)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.102.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 ***.***.***.*** (AUグローバルIP)
ip tunnel tcp mss limit auto
tunnel enable 1
ip filter 200000 reject 10.0.0.0/8 * * * *
ip filter 200001 reject 172.16.0.0/12 * * * *
ip filter 200002 reject 192.168.0.0/16 * * * *
ip filter 200003 reject 192.168.102.0/24 * * * *
ip filter 200010 reject * 10.0.0.0/8 * * *
ip filter 200011 reject * 172.16.0.0/12 * * *
ip filter 200012 reject * 192.168.0.0/16 * * *
ip filter 200013 reject * 192.168.102.0/24 * * *
ip filter 200020 reject * * udp,tcp 135 *
ip filter 200021 reject * * udp,tcp * 135
ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 200024 reject * * udp,tcp 445 *
ip filter 200025 reject * * udp,tcp * 445
ip filter 200026 restrict * * tcpfin * www,21,nntp
ip filter 200027 restrict * * tcprst * www,21,nntp
ip filter 200030 pass * 192.168.102.0/24 icmp * *
ip filter 200031 pass * 192.168.102.0/24 established * *
ip filter 200032 pass * 192.168.102.0/24 tcp * ident
ip filter 200033 pass * 192.168.102.0/24 tcp ftpdata *
ip filter 200034 pass * 192.168.102.0/24 tcp,udp * domain
ip filter 200035 pass * 192.168.102.0/24 udp domain *
ip filter 200036 pass * 192.168.102.0/24 udp * ntp
ip filter 200037 pass * 192.168.102.0/24 udp ntp *
ip filter 200080 pass * 192.168.102.1 udp * 500
ip filter 200081 pass * 192.168.102.1 esp * *
ip filter 200082 pass * 192.168.102.1 udp * 1701
ip filter 200083 pass * 192.168.102.1 udp * 4500
ip filter 200098 reject-nolog * * established
ip filter 200099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 200080 * * ftp
ip filter dynamic 200081 * * domain
ip filter dynamic 200082 * * www
ip filter dynamic 200083 * * smtp
ip filter dynamic 200084 * * pop3
ip filter dynamic 200085 * * submission
ip filter dynamic 200098 * * tcp
ip filter dynamic 200099 * * udp
nat descriptor type 1000 masquerade
nat descriptor masquerade static 1000 1 192.168.102.1 udp 500
nat descriptor masquerade static 1000 2 192.168.102.1 esp
nat descriptor masquerade static 1000 3 192.168.102.1 udp 1701
nat descriptor masquerade static 1000 4 192.168.102.1 udp 4500
ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipsec transport 2 2 udp 1701
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.102.2-192.168.102.99/24
dns server pp 1
dns server select 500001 pp 1 any . restrict pp 1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
httpd host 192.168.100.2-192.168.100.254 192.168.102.2-192.168.102.254
alarm entire off
書込番号:19483870
0点
会社RTX810でのPPPOE形態の件で、一つコマンドを忘れてました。
tunnel select 1
ipsec ike local name 1 ipsec1 key-id
書込番号:19483912
0点
先ほどの回線終端装置→スイッチングハブ→@ NTT-HGWのWAN配線、Aスイッチングハブ→会社RTX810ルーターのWAN配線にされる場合ですが、当然NTT-HGWのPPPOE接続設定は削除する形になります。
スイッチングハブも、NTT-HGWの通信と、RTX810ルーターの通信を物理的に分ける形になる点、負荷耐久性の観点から、メタル筐体・電源外付け型のハブが良いかと存じます。
※ NETGEAR製「GS105-500JPS」 ・・ http://www.netgear.jp/products/details/GS105.html
書込番号:19484108
0点
RTX810拠点接続(IPSEC-VPN、L2TP/IPSEC併用トンネル)+インターネット接続機能の復元、うまくいきましたか?
先刻の投稿内容の通り、IPSEC-VPNでの相違セグメントでの静的ルーティング構成ですと、一部簡易Webメニューからの設定は可能ですが、特定回線対応や細かな回線調整は、Configコマンドを覚えないと、実際の運用や障害対応などは出来ませんよ。
本来は、IPSEC-VPNですと、会社側RTX810ルーターにて、Netvolante-DNS取得でのメインモード・VPN構成の方が望ましい構成ですが。
メインモードでのIPSEC-VPNのトンネル・Configイメージです。(RTX810ルーターでのPPPOE接続構成の場合に可能)
会社RTX810ルーターのトンネル・イメージ
tunnel select 1
tunnel name IPsec(会社)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike always-on 1 on
ipsec ike duration ipsec-sa 1 3600
ipsec ike duration isakmp-sa 1 3600
ipsec ike esp-encapsulation 1 off
ipsec ike group 1 modp1024
ipsec ike hash 1 sha
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.102.1
ipsec ike local id 1 192.168.102.0/24
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 (AUグローバルIP)
ipsec ike remote id 1 192.168.100.0/24
ipsec auto refresh 1 on
ip tunnel tcp mss limit 1240
tunnel enable 1
ip route 192.168.100.0/24 gateway tunnel 1
ip route 192.168.0.0/24 gateway tunnel 1
自宅RTX810、IPSEC-VPNトンネル・イメージ
tunnel select 1
tunnel name IPsec(自宅)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike always-on 1 on
ipsec ike duration ipsec-sa 1 3600
ipsec ike duration isakmp-sa 1 3600
ipsec ike esp-encapsulation 1 off
ipsec ike group 1 modp1024
ipsec ike hash 1 sha
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.100.1
ipsec ike local id 1 192.168.100.0/24
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 (会社取得のNetvolante-DNSアドレス)
ipsec ike remote id 1 192.168.102.0/24
ipsec auto refresh 1 on
ip tunnel tcp mss limit 1240
tunnel enable 1
ip route 192.168.102.0/24 gateway tunnel 1
上記Netvolante-DNSは、会社RTX810ルーターでのPPPOE接続形態にされた場合に、NetvolanteDNSの取得設定が可能ですので、その取得されましたドメインを指定します。
書込番号:19485339
0点
>sorio-2215さん
大変お世話になります。今までのアドバイスありがとうございました。
まず結論から申し上げます。私にはかんたん設定での操作+α程度のことしかできそうにありません。ですから最初の方に一時的に採用していた方式(かんたん設定を利用した拠点間のVPN接続)に戻すことにします。欠点として同一LAN内からのHGWへのアクセスが不能になりますがケーブルを抜き挿しすることで我慢します。
アドレス体系
自宅
HGW:192.168.0.1 (DMZ192.168.0.254)
RTX:192.168.100.1
会社
HGW:192.168.1.1 (DMZ192.168.1.254)
RTX:192.168.101.1
現在は自宅と会社間のVPN通信ができない状態にあります。またアイフォンから会社VPNに接続できます。しかし自宅VPNには接続不能です。
それぞれの拠点からインターネットには出られています。
このような状況なので、またアドバイスいただけると助かるのですが、あくまでも「かんたん設定」と「コマンドの実行」での作業でやりたいです(シリアル入力不可)。
取り急ぎお礼と状況報告まで。
書込番号:19486730
0点
では、先ず自宅RTX810ルーターへ、下記コマンド投入下さい。
ip routing process fast
ip route default gateway 192.168.0.1
ip route 192.168.101.0/24 gateway tunnel 1
ip route 192.168.1.0/24 gateway tunnel 1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
ip lan1 address 192.168.100.1/24
ip lan1 proxyarp on
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ipv6 lan2 dhcp service client ir=on
ip lan2 address 192.168.0.254/24
ip lan2 secure filter in 101000 101001 101004 101005 101020 101021 101022 101023 101024 101025 101030 101032 101080 101081 101099
ip lan2 secure filter out 101010 101011 101020 101021 101022 101023 101024 101025 101099
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:DHCP
provider ntpdate ntp.nict.jp
pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin *******
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool 192.168.100.150-192.168.100.160
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.100.1
ipsec ike local id 1 192.168.100.1/24
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1 key-id
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text password
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp keepalive use on
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.1 udp * 4500
ip filter 101005 pass * 192.168.100.1 udp * 1701
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.100.1 udp * 500
ip filter 101081 pass * 192.168.100.1 esp * *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.100.1-192.168.100.254
nat descriptor masquerade static 200 1 192.168.100.1 udp 500
nat descriptor masquerade static 200 2 192.168.100.1 esp
nat descriptor masquerade static 200 3 192.168.100.1 udp 1701
nat descriptor masquerade static 200 4 192.168.100.1 udp 4500
ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipsec transport 2 2 udp 1701
tftp host any
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
upnp use on
upnp external address refer lan3
l2tp service on
httpd host 192.168.100.2-192.168.100.254 192.168.102.2-192.168.102.254
alarm entire off
書込番号:19486875
0点
会社RTX810ルーターには、下記コマンドを実行下さい。RTX810自体のIPアドレスとDHCP周り変更は、簡易Webからの投入は出来ませんので、TeraTermから投入下さい。
下記TeraTermから投入するコマンド
ip lan1 address 192.168.101.1/24
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.101.2-192.168.101.99/24
会社RTX810ルーター
ip routing process fast
ip route default gateway 192.168.1.1
ip route 192.168.0.0/24 gateway tunnel 1
ip route 192.168.100.0/24 gateway tunnel 1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.1.1
ip lan1 address 192.168.101.1/24
ip lan1 proxyarp on
ip lan2 address 192.168.1.254/24
ip lan2 secure filter in 101000 101001 101016 101017 101018 101019 101020 101021 101022 101023 101024 101025 101030 101032 101099
ip lan2 secure filter out 101020 101021 101022 101023 101024 101025 101099
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.1.1
ipsec ike remote id 1 192.168.100.1/24
ipsec ike nat-traversal 1 on
ipsec ike local name 1 ipsec1 key-id
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 ***.***.***.*** (AUグローバルIP)
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.101.0/24 * * * *
ip filter 101004 pass * 192.168.101.0/24 icmp * *
ip filter 101005 pass * 192.168.101.0/24 established * *
ip filter 101006 pass * 192.168.101.0/24 tcp * ident
ip filter 101007 pass * 192.168.101.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.101.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.101.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.101.0/24 * * *
ip filter 101014 pass * 192.168.101.0/24 udp * ntp
ip filter 101015 pass * 192.168.101.0/24 udp ntp *
ip filter 101016 pass * 192.168.101.1/24 udp * 500
ip filter 101017 pass * 192.168.101.1 esp * *
ip filter 101018 pass * 192.168.101.1 udp * 1701
ip filter 101019 pass * 192.168.101.1 udp * 4500
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.1.254
nat descriptor address inner 200 192.168.1.254 192.168.101.1-192.168.101.254
nat descriptor masquerade static 200 1 192.168.101.1 udp 500
nat descriptor masquerade static 200 2 192.168.101.1 esp
nat descriptor masquerade static 200 3 192.168.101.1 udp 1701
nat descriptor masquerade static 200 3 192.168.101.1 udp 4500
ipsec auto refresh on
telnetd host 192.168.101.2-192.168.101.254 192.168.100.2-192.168.100.254
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.101.2-192.168.101.99/24
dns server 192.168.1.1
dns private address spoof on
httpd host 192.168.101.2-192.168.101.254 192.168.100.2-192.168.100.254
alarm entire off
sshd service on
sshd host 192.168.101.2-192.168.101.254 192.168.100.2-192.168.100.254
sshd host key generate *
sftpd host 192.168.101.2-192.168.101.254 192.168.100.2-192.168.100.254
upnp use on
upnp external address refer lan2
書込番号:19486881
0点
先ほどの自宅・会社RTX810ルーターのコマンドですが、一部誤入力でした。
下記訂正済みコマンドしたものを実行下さい。
自宅RTX810ルーター
ip routing process fast
ip route default gateway 192.168.0.1
ip route 192.168.101.0/24 gateway tunnel 1
ip route 192.168.1.0/24 gateway tunnel 1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
ip lan1 address 192.168.100.1/24
ip lan1 proxyarp on
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ipv6 lan2 dhcp service client ir=on
ip lan2 address 192.168.0.254/24
ip lan2 secure filter in 101000 101001 101004 101005 101020 101021 101022 101023 101024 101025 101030 101032 101080 101081 101099
ip lan2 secure filter out 101010 101011 101020 101021 101022 101023 101024 101025 101099
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:DHCP
provider ntpdate ntp.nict.jp
pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin password
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool 192.168.100.150-192.168.100.160
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.100.1
ipsec ike local id 1 192.168.100.0/24
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 any
ipsec ike remote id 1 192.168.101.0/24
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text password
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp keepalive use off
l2tp tunnel disconnect time 600
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.1 udp * 4500
ip filter 101005 pass * 192.168.100.1 udp * 1701
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.100.1 udp * 500
ip filter 101081 pass * 192.168.100.1 esp * *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.100.1-192.168.100.254
nat descriptor masquerade static 200 1 192.168.100.1 udp 500
nat descriptor masquerade static 200 2 192.168.100.1 esp
nat descriptor masquerade static 200 3 192.168.100.1 udp 1701
nat descriptor masquerade static 200 4 192.168.100.1 udp 4500
ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipsec transport 2 2 udp 1701
tftp host any
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
upnp use on
upnp external address refer lan2
l2tp service on
httpd host 192.168.100.2-192.168.100.254 192.168.102.2-192.168.102.254
alarm entire off
書込番号:19486883
0点
訂正済み、会社RTX810ルーター、コマンド (下記コマンド投入下さい)
TeraTermから投入するものは同じですが、念のため。
ip lan1 address 192.168.101.1/24
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.101.2-192.168.101.99/24
上記のコマンド投入しましたら、簡易Webメニューから設定メニュー表示可能(http://192.168.101.1)ですので、下記コマンド投入下さい。
ip routing process fast
ip route default gateway 192.168.1.1
ip route 192.168.0.0/24 gateway tunnel 1
ip route 192.168.100.0/24 gateway tunnel 1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.1.1
ip lan1 address 192.168.101.1/24
ip lan1 proxyarp on
ip lan2 address 192.168.1.254/24
ip lan2 secure filter in 101000 101001 101016 101017 101018 101019 101020 101021 101022 101023 101024 101025 101030 101032 101099
ip lan2 secure filter out 101020 101021 101022 101023 101024 101025 101099
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.101.1
ipsec ike local id 1 192.168.101.0/24
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 ***.***.***.*** (AUグローバルIP)
ipsec ike remote id 1 192.168.100.0/24
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.101.0/24 * * * *
ip filter 101004 pass * 192.168.101.0/24 icmp * *
ip filter 101005 pass * 192.168.101.0/24 established * *
ip filter 101006 pass * 192.168.101.0/24 tcp * ident
ip filter 101007 pass * 192.168.101.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.101.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.101.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.101.0/24 * * *
ip filter 101014 pass * 192.168.101.0/24 udp * ntp
ip filter 101015 pass * 192.168.101.0/24 udp ntp *
ip filter 101016 pass * 192.168.101.1/24 udp * 500
ip filter 101017 pass * 192.168.101.1 esp * *
ip filter 101018 pass * 192.168.101.1 udp * 1701
ip filter 101019 pass * 192.168.101.1 udp * 4500
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.1.254
nat descriptor address inner 200 192.168.1.254 192.168.101.1-192.168.101.254
nat descriptor masquerade static 200 1 192.168.101.1 udp 500
nat descriptor masquerade static 200 2 192.168.101.1 esp
nat descriptor masquerade static 200 3 192.168.101.1 udp 1701
nat descriptor masquerade static 200 3 192.168.101.1 udp 4500
ipsec auto refresh on
ipsec transport 1 1 udp 1701
telnetd host 192.168.101.2-192.168.101.254 192.168.100.2-192.168.100.254
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.101.2-192.168.101.99/24
dns server 192.168.1.1
dns private address spoof on
httpd host 192.168.101.2-192.168.101.254 192.168.100.2-192.168.100.254
alarm entire off
sshd service on
sshd host 192.168.101.2-192.168.101.254 192.168.100.2-192.168.100.254
sshd host key generate *
sftpd host 192.168.101.2-192.168.101.254 192.168.100.2-192.168.100.254
upnp use on
upnp external address refer lan2
書込番号:19486885
0点
補足です。
自宅・会社RTX810ルーターのコマンドの中、「tunnel enable 2」と、「ip filter 101000 reject 10.0.0.0/8 * * * *」の間に、トンネル設定を抜けるコマンドを入れて、それ以降のコマンド投入という形をしませんと、正常なコマンド投入出来ないかと考えますので、「tunnel enable 2」の後に、下記コマンドにて、トンネルを抜けるコマンドを挿入して下さい。
tunnel select none
書込番号:19487069
0点
>sorio-2215さん
会社側ではかんたん設定だけでVPNは「通信中」となりました。しかし自宅側ではVPNもRASもまだダメです。
auHGWには特別なコマンドは要らないですか?
↓現在の設定
セキュリティ保護機能help 使用する
IPsecパススルー機能help 使用する
UPnP機能help 使用する
DMZホスト機能help 使用する
DMZホストのIPアドレスhelp 192.168.0.254
↓自宅コンフィグ
ip route default gateway 192.168.0.1
ip route 192.168.1.0/24 gateway tunnel 1
ip route 192.168.101.0/24 gateway tunnel 1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
ip lan1 address 192.168.100.1/24
ip lan1 proxyarp on
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.0.254/24
ip lan2 secure filter in 101000 101001 101004 101005 101020 101021 101022 101023 101024 101025 101030 101032 101080 101081 101099
ip lan2 secure filter out 101010 101011 101020 101021 101022 101023 101024 101025 101099
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:DHCP
provider ntpdate ntp.nict.jp
pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin password
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool 192.168.100.150-192.168.100.160
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.100.1
ipsec ike local id 1 192.168.100.0/24
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 any
ipsec ike remote name 1 DDNSサービス key-id
l2tp tunnel auth off
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text password
ipsec ike remote address 2 any
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.1 udp * 4500
ip filter 101005 pass * 192.168.100.1 udp * 1701
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.100.1 udp * 500
ip filter 101081 pass * 192.168.100.1 esp * *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.100.1-192.168.100.254
nat descriptor masquerade static 200 1 192.168.100.1 udp 500
nat descriptor masquerade static 200 2 192.168.100.1 esp
nat descriptor masquerade static 200 3 192.168.100.1 udp 1701
nat descriptor masquerade static 200 4 192.168.100.1 udp 4500
ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipsec transport 2 2 udp 1701
tftp host any
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on
httpd host 192.168.100.2-192.168.100.254 192.168.102.2-192.168.102.254
upnp use on
upnp external address refer lan2
alarm entire off
#
書込番号:19488252
0点
IPSEC-VPNのトンネル1のConfigが、訳の解らないコマンドが投入されていますよ。
ローカルネーム→リモートネームでの名称解決は、不安定なので、辞めた方が良いですよ。
自宅RTX810ルーターに下記コマンドを実行して下さい。
tunnel select 1
no ipsec ike remote name 1 DDNSサービス key-id
no no l2tp tunnel auth off
no l2tp tunnel disconnect time 600
no l2tp keepalive use off
ipsec ike remote id 1 192.168.101.0/24
tunnel enable 1
IPSECトンネルの認証論理を、よく理解してコマンド実行するようにして下さい。
当方の、提供Configをそのまま投入すれば良い状態で、Config投入前にルーターリセットはしていないのでは?
会社RTX810ルーターのトンネル1のConfigが、下記になっているか確認して下さい。
tunnel select 1
tunnel name IPsec(会社)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.101.1
ipsec ike local id 1 192.168.101.0/24
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 ***.***.***.*** (AUグローバルIP)
ipsec ike remote id 1 192.168.100.0/24
ip tunnel tcp mss limit 1240
tunnel enable 1
念のため、会社RTX810ルーターの投入済みConfig全体を、お教え下さい。
書込番号:19488660
0点
IPSEC-VPNも含め、拠点間VPNで必要条件が、認証通信の際のESPパケット処理をどのルートで認証するか、相互通信認証に、対向それぞれのグローバルIPがどの形態になっているか、グローバルIPが認識された際に、IKEキーをどのモードにするか、IPSECトンネルキーをどのモードにするか、切断・接続時の監視機能をどのモードにするかが、基本的な要件になります。
アグレッシブモードでのVPNの場合、グローバルIPが動的な回線の方のLAN情報を、自宅RTX810ルーター側へ通知しないといけませんが、その際の通知情報を、それぞれのIPSECトンネル情報に相手先のID等の登録をしなければいけません。
当方提供の自宅・会社Configをよく吟味してみて下さい。
自宅
tunnel select 1
tunnel name IPsec(自宅)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.100.1
ipsec ike local id 1 192.168.100.0/24
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 any
ipsec ike remote id 1 192.168.101.0/24
ip tunnel tcp mss limit 1240
tunnel enable 1
会社
tunnel select 1
tunnel name IPsec(会社)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.101.1
ipsec ike local id 1 192.168.101.0/24
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 ***.***.***.*** (AUグローバルIP)
ipsec ike remote id 1 192.168.100.0/24
ip tunnel tcp mss limit 1240
tunnel enable 1
↑、それぞれのVPNトンネルの情報に、ローカルIDとリモートIDでトンネル情報の交換をする様に設定していますよね?
併せて、自宅側のグローバルIPがどの値でも、認証を受け入れる設定(ipsec ike remote address 1 any)を投入し、会社側は、ipsec ike remote address 1 ***.***.***.*** (AUグローバルIP)にて、アクセス先の登録をしていますよね?
それぞれの対向側の情報以外のConfigは、不要になります。
不要なConfigが投入されていれば、その情報が対向側のルーターへ通信されてしまい、VPN認証出来ないという要件にもなったりします。
書込番号:19488727
0点
追加補足です。
AU-HGWの静的ルーティングも設定していないのでは?
詳細設定→静的ルーティング設定
宛先アドレス(192.168.100.0/24)、宛先ゲートウェイ(192.168.0.254)の登録がされているかも確認下さい。
書込番号:19488766
0点
↓★☆★の部分
ipv6 lan2 dhcp service client ir=on
↑このコマンドが登録されないです
自宅コンフィグ
ip routing process fast
ip route default gateway 192.168.0.1
ip route 192.168.1.0/24 gateway tunnel 1
ip route 192.168.101.0/24 gateway tunnel 1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
ip lan1 address 192.168.100.1/24
ip lan1 proxyarp on
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★
ip lan2 address 192.168.0.254/24
ip lan2 secure filter in 101000 101001 101004 101005 101020 101021 101022 101023 101024 101025 101030 101032 101080 101081 101099
ip lan2 secure filter out 101010 101011 101020 101021 101022 101023 101024 101025 101099
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:DHCP
provider ntpdate ntp.nict.jp
pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin password
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool 192.168.100.150-192.168.100.160
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.100.1
ipsec ike local id 1 192.168.100.0/24
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 any
ipsec ike remote id 1 192.168.101.0/24
ip tunnel tcp mss limit auto
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text password
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.1 udp * 4500
ip filter 101005 pass * 192.168.100.1 udp * 1701
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.100.1 udp * 500
ip filter 101081 pass * 192.168.100.1 esp * *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.100.1-192.168.100.254
nat descriptor masquerade static 200 1 192.168.100.1 udp 500
nat descriptor masquerade static 200 2 192.168.100.1 esp
nat descriptor masquerade static 200 3 192.168.100.1 udp 1701
nat descriptor masquerade static 200 4 192.168.100.1 udp 4500
ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipsec transport 2 2 udp 1701
tftp host any
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on
httpd host 192.168.100.2-192.168.100.254 192.168.102.2-192.168.102.254
upnp use on
upnp external address refer lan2
alarm entire off
書込番号:19489181
0点
>sorio-2215さん
> 詳細設定→静的ルーティング設定
> 宛先アドレス(192.168.100.0/24)、宛先ゲートウェイ(192.168.0.254)の登録
これは最初から登録済です。
質問です。
会社のRTXは「かんたん設定」だけ使って設定しています。それでもVPNは通信中になりますし、RASのアクセスも可能です。
自宅の方は初期化してからコマンドを投入しました(その後で自分で手直ししてました!)。しかし現状はほぼ指示通りのコンフィグになっています。それにもかかわらず自宅の方はVPNもRASのアクセスも成立できていません。RASのアクセスには会社の設定は関係ないですよね?
ですからHGWの設定に問題がありそうな気がしています。
それともう一つ気になる点。
↓PCのipconfig
接続固有の DNS サフィックス . . . :
IPv6 アドレス . . . . . . . . . . . : 一部伏字:2948:e263:aeed
一時 IPv6 アドレス. . . . . . . . . : 一部伏字dab:2386:9b8d:a57f
リンクローカル IPv6 アドレス. . . . : 一部伏字:e263:aeed%15
IPv4 アドレス . . . . . . . . . . : 192.168.100.6
サブネット マスク . . . . . . . . : 255.255.255.0
デフォルト ゲートウェイ . . . . . : 一部伏字eff:fe7f:acb4%15
192.168.100.1
デフォルトゲートウェイにHGWのアドレスが出ません。アイフォンではRTXとHGWの2つが出ます。大丈夫でしょうか?
書込番号:19489249
0点
PC端末は、デフォルトゲートウェイの認識が、IOS端末とは違います。
Windows系のデフォルトゲートウェイは、直近のゲートウェイのみ認識するようになっていますので、仮にその上位のHGWをゲートウェイとして認識してしまうと、インターネット接続機能に不整合が起きる為、逆に今の状態で正常です。
PCの「ipconfig /all」では、直接アクセスしている同一セグメントのゲートウェイまでの認識になります。
ゲートウェイ制御については、RTX810ルーターのWAN側固定アドレスを、HGWのDMZホスト・アクセスしている状態ですので、HGWの設定では有りません。
DMZホストの機能は、全ての通信をRTX810へ転送する設定ですので、HGWが関与することでは有りません。
自宅から会社にVPNアクセス出来ない要件として、先刻の話のように、VPN認証周りの他に、同一セグメントの通信では有りませんので、トンネル1の静的ルーティング設定が会社RTX810ルーター側へ設定されていない、ProxyARP応答の設定が投入されていない等も関係有ります。
よって、簡易WebメニューのみのRTX810設定では、適切な設定になり得ませんので、会社RTX810ルーターのConfigの提供をお願いします。
会社から自宅へアクセス出来ている点は、自宅RTX810ルーターのVPN認証と静的ルーティング設定、ProxyARPの応答設定が正常で有ることを示しています。
念のため、申し上げますと、IOS端末のアクセスは自宅RTX810へL2TPリモートアクセス接続をすると、自宅経由で、会社RTX810への通信という経路になっておりますので、会社RTX810ルーターの応答の問題になります。
書込番号:19489983
0点
「ipv6 lan2 dhcp service client ir=on
↑このコマンドが登録されないです」
↑の件ですが、IPV6コマンドの場合、既に登録済みですと登録されません。
自宅RTX810ルーターのConfigをよく見てみて下さい。
Configの18〜19行目ほどに登録されていますよ。
自宅から会社のVPN接続されない点の話ですが、自宅認証周りでは無く、会社のHGWの設定(DMZホスト、LAN側静的ルーティング)、IPSEC認証トンネルの設定が合致していれば表面的に接続されますが、会社RTX810ルターの静的ルーティング・トンネルの設定、ProxyARPの設定がキチンと反映していませんと、自宅から会社の接続端末のMACアドレスとIPアドレスの引き当てが出来ませんので、会社RTX810ルーターの設定になります。
会社RTX810ルーターのトンネルConfig情報と、最低限下記の会社RTX810ルーターコマンドが関係する話ですので、会社RTX810ルーターのConfigを提供願います。
ip route 192.168.0.0/24 gateway tunnel 1
ip route 192.168.100.0/24 gateway tunnel 1
ip lan1 proxyarp on
書込番号:19489995
0点
補足です。
以前話しをさせて頂いておりましたが、その情報が反映されていません。
AU回線とNTT回線のMTU数値と、MSS数値が違う回線ですので、VPNトンネルのMSS数値が違う通信されてしまうと、VPN通信に不整合が出ます。
NTTのMTU数値は1,454ですが、AUは1,492ですので、VPNトンネルのパケットタイミングを合わせるコマンドを投入されていません。
当方提供のVPNトンネルの設定には、そのコマンドを投入済みでしたが、自宅・会社RTX810ルーターへ投入して下さい。
自宅RTX810ルーター
tunnel select 1
ip tunnel tcp mss limit 1240
会社RTX810ルーター
tunnel select 1
ip tunnel tcp mss limit 1240
何れの場合も、会社RTX810ルーターの簡易Webメニュー設定のConfigを提供願います。
当初の話の通り、簡易Webメニューで出来る事は限定されており、AU-HGWとNTT-HGWの配下同士のRTX810ルーターのインターネット機能とVPN機能設定では、適切な設定は出来ないと思って下さい。
書込番号:19490009
0点
補足です。
自宅から会社へのVPN、リモートアクセス経由でのVPNアクセスが出来ない件ですが、会社側の自宅RTX810ルーターへのIPセグメント通知機能や、ルーティング周りの設定におかしい点が有る時に、出る現象ですので、会社から自宅へのアクセスが出来ない時は、自宅RTX810設定も範囲になるのですが、自宅から会社については、会社RTX810ルーターの設定に瑕疵が有るケースになります。
あくまでも、簡易Webメニューは、暫定的に最低限の機能と、RTX810ルーターにてWANに直接接続するモードの設定が主体になるとお考え下さい。
このあたりは、以前説明しましたが。
※ WWWブラウザ設定支援機能 ・・ http://www.rtpro.yamaha.co.jp/RT/docs/web_assistance/
YamahaルーターでのConfig作成や、ネットワーク構築の経験の無い方でも簡易的に設定出来る様にしたものですが、全ての回線仕様や機能に追従しました設定が出来るものとはしていません。
基本的には、コマンド作成とその意味あいが理解出来る点が、基本になります。
書込番号:19490372
0点
初期化してから、かんたん設定で入れた会社のコンフィグです。一応通信中に見えますが自宅には入れません。RASで会社ネットワークには入れます。
ip route default gateway pp 1 filter 500000 gateway pp 1
ip route 192.168.100.0/24 gateway tunnel 1
ip lan1 address 192.168.101.1/24
ip lan1 proxyarp on
provider type isdn-terminal
provider filter routing connection
provider lan1 name LAN:
provider lan2 name PPPoE/0/1/5/0/0/0:Nifty
pp select 1
pp name PRV/1/1/5/0/0/0:Nifty
pp keepalive interval 30 retry-interval=30 count=12
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname *****@nifty.com password
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp secure filter in 200003 200020 200021 200022 200023 200024 200025 200030 200032 200080 200081 200082 200083
ip pp secure filter out 200013 200020 200021 200022 200023 200024 200025 200026 200027 200099 dynamic 200080 200081 200082 200083 200084 200085 200098 200099
ip pp nat descriptor 1000
netvolante-dns hostname host pp server=1 *******netvolante.jp
pp enable 1
provider set 1 Nifty
provider dns server pp 1 1
provider select 1
pp select anonymous
pp name IPsec(会社)
pp bind tunnel2
pp auth request chap-pap
pp auth username admin password
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(会社)
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 on heartbeat 10 6
ipsec ike local address 2 192.168.101.1
ipsec ike pre-shared-key 2 text password
ipsec ike remote address 2 au IP
ip tunnel tcp mss limit auto
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 off
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 any
l2tp tunnel auth off
l2tp keepalive use on
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 200000 reject 10.0.0.0/8 * * * *
ip filter 200001 reject 172.16.0.0/12 * * * *
ip filter 200002 reject 192.168.0.0/16 * * * *
ip filter 200003 reject 192.168.101.0/24 * * * *
ip filter 200010 reject * 10.0.0.0/8 * * *
ip filter 200011 reject * 172.16.0.0/12 * * *
ip filter 200012 reject * 192.168.0.0/16 * * *
ip filter 200013 reject * 192.168.101.0/24 * * *
ip filter 200020 reject * * udp,tcp 135 *
ip filter 200021 reject * * udp,tcp * 135
ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 200024 reject * * udp,tcp 445 *
ip filter 200025 reject * * udp,tcp * 445
ip filter 200026 restrict * * tcpfin * www,21,nntp
ip filter 200027 restrict * * tcprst * www,21,nntp
ip filter 200030 pass * 192.168.101.0/24 icmp * *
ip filter 200031 pass * 192.168.101.0/24 established * *
ip filter 200032 pass * 192.168.101.0/24 tcp * ident
ip filter 200033 pass * 192.168.101.0/24 tcp ftpdata *
ip filter 200034 pass * 192.168.101.0/24 tcp,udp * domain
ip filter 200035 pass * 192.168.101.0/24 udp domain *
ip filter 200036 pass * 192.168.101.0/24 udp * ntp
ip filter 200037 pass * 192.168.101.0/24 udp ntp *
ip filter 200080 pass * 192.168.101.1 udp * 1701
ip filter 200081 pass * 192.168.101.1 udp * 500
ip filter 200082 pass * 192.168.101.1 esp * *
ip filter 200083 pass * 192.168.101.1 udp * 4500
ip filter 200098 reject-nolog * * established
ip filter 200099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 200080 * * ftp
ip filter dynamic 200081 * * domain
ip filter dynamic 200082 * * www
ip filter dynamic 200083 * * smtp
ip filter dynamic 200084 * * pop3
ip filter dynamic 200085 * * submission
ip filter dynamic 200098 * * tcp
ip filter dynamic 200099 * * udp
nat descriptor type 1000 masquerade
nat descriptor masquerade static 1000 1 192.168.101.1 udp 1701
nat descriptor masquerade static 1000 2 192.168.101.1 udp 500
nat descriptor masquerade static 1000 3 192.168.101.1 esp
nat descriptor masquerade static 1000 4 192.168.101.1 udp 4500
ipsec auto refresh on
ipsec transport 2 1 udp 1701
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.101.2-192.168.101.99/24
dns server pp 1
dns server select 500001 pp 1 any . restrict pp 1
dns private address spoof on
l2tp service on
#
書込番号:19490554
0点
>sorio-2215さん
今までずっとお世話になってきて思い違いをしていたことに先ほど気づきました。
それはRTXでのVPN構築はルーターが直接インターネットに出ている場合についてだけサポートできることだったのですね。私の件ではルーターの外側にHGWがあるからサポート外となりますね。
この思い違いがあるから2人のやり取りにちょっと噛み合わない点があったと思います。この点についてお詫びいたします。
またよろしくお願いします。
書込番号:19490610
0点
簡易Webメニューからの設定で、かなり誤った設定を投入されています。
会社RTX810ルーターを初期化して下さい。
初期化後、TeraTermから、下記コマンドを実行下さい。
ip lan1 address 192.168.101.1/24
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.101.2-192.168.101.99/24
別紙、正式の会社RTX810ルーターのコマンドを提示しますので、その際には、NiftyプロバイダとAUグローバルIP、Netvolante-DNSの箇所は、正式なものに置き換えコマンド実行下さい。
書込番号:19490984
0点
会社RTX810ルーターConfig
ip routing process fast
ip route default gateway pp 1 filter 500000 gateway pp 1
ip route 192.168.100.0/24 gateway tunnel 1
ip lan1 address 192.168.101.1/24
ip lan1 proxyarp on
provider type isdn-terminal
provider filter routing connection
provider lan1 name LAN:
provider lan2 name PPPoE/0/1/5/0/0/0:Nifty
provider ntpdate ntp.nict.jp
pp select 1
pp name PRV/1/1/5/0/0/0:Nifty
pp keepalive interval 30 retry-interval=30 count=12
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname *****@nifty.com ******* (Nifty接続ID 接続パスワード)
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
ip pp secure filter in 200000 200001 200020 200021 200022 200023 200024 200025 200030 200032 200080 200081 200082 200083 200099
ip pp secure filter out 200020 200021 200022 200023 200024 200025 200026 200027 200099
ip pp nat descriptor 1000
netvolante-dns hostname host pp server=1 *******netvolante.jp
pp enable 1
provider set 1 Nifty
provider dns server pp 1 1
provider select 1
tunnel select 1
tunnel name IPsec(会社)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.101.1
ipsec ike local id 1 192.168.101.0/24
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 ***.***.***.*** (AUグローバルIP)
ipsec ike remote id 1 192.168.100.0/24
ipsec auto refresh 1 on
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text password
ipsec ike remote address 2 any
l2tp keepalive use off
l2tp tunnel disconnect time 600
l2tp keepalive use off
l2tp keepalive log on
l2tp syslog on
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 200000 reject 10.0.0.0/8 * * * *
ip filter 200001 reject 172.16.0.0/12 * * * *
ip filter 200002 reject 192.168.0.0/16 * * * *
ip filter 200003 reject 192.168.101.0/24 * * * *
ip filter 200010 reject * 10.0.0.0/8 * * *
ip filter 200011 reject * 172.16.0.0/12 * * *
ip filter 200012 reject * 192.168.0.0/16 * * *
ip filter 200013 reject * 192.168.102.0/24 * * *
ip filter 200020 reject * * udp,tcp 135 *
ip filter 200021 reject * * udp,tcp * 135
ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 200024 reject * * udp,tcp 445 *
ip filter 200025 reject * * udp,tcp * 445
ip filter 200026 restrict * * tcpfin * www,21,nntp
ip filter 200027 restrict * * tcprst * www,21,nntp
ip filter 200030 pass * 192.168.101.0/24 icmp * *
ip filter 200031 pass * 192.168.101.0/24 established * *
ip filter 200032 pass * 192.168.101.0/24 tcp * ident
ip filter 200033 pass * 192.168.101.0/24 tcp ftpdata *
ip filter 200034 pass * 192.168.101.0/24 tcp,udp * domain
ip filter 200035 pass * 192.168.101.0/24 udp domain *
ip filter 200036 pass * 192.168.101.0/24 udp * ntp
ip filter 200037 pass * 192.168.101.0/24 udp ntp *
ip filter 200080 pass * 192.168.101.1 udp * 500
ip filter 200081 pass * 192.168.101.1 esp * *
ip filter 200082 pass * 192.168.101.1 udp * 1701
ip filter 200083 pass * 192.168.101.1 udp * 4500
ip filter 200098 reject-nolog * * established
ip filter 200099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 200080 * * ftp
ip filter dynamic 200081 * * domain
ip filter dynamic 200082 * * www
ip filter dynamic 200083 * * smtp
ip filter dynamic 200084 * * pop3
ip filter dynamic 200085 * * submission
ip filter dynamic 200098 * * tcp
ip filter dynamic 200099 * * udp
nat descriptor log on
nat descriptor type 1000 masquerade
nat descriptor address outer 1000 ipcp
nat descriptor address inner 1000 auto
nat descriptor masquerade static 1000 1 192.168.101.1 udp 500
nat descriptor masquerade static 1000 2 192.168.101.1 esp
nat descriptor masquerade static 1000 3 192.168.101.1 udp 1701
nat descriptor masquerade static 1000 4 192.168.101.1 udp 4500
ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipsec transport 2 2 udp 1701
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.101.2-192.168.101.99/24
dns server pp 1
dns server select 500001 pp 1 any . restrict pp 1
dns private address spoof on
l2tp service on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
httpd host 192.168.100.2-192.168.100.254 192.168.101.2-192.168.101.254
upnp use on
upnp external address refer pp 1
alarm entire off
書込番号:19490989
0点
会社RTX810ルーターの正式コマンドを投入完了しましたら、自宅RTX810ルーターのIPSEC-VPNのトンネルを一部変更が有りますので、下記コマンド実行下さい。
自宅トンネル・追加コマンド (下記、Netvolante-DNSは、会社RTX810の簡易Webメニューにて、表記されています、Netvolante-DNSドメインに置き換えて下さい。)
※ 簡易Webメニュー [トップ] > [詳細設定と情報] > [ネットボランチDNS ホストアドレスサービスの設定] →ホストアドレスのドメイン
tunnel select 1
tunnel name IPsec(自宅)
ipsec ike remote address 1 *******netvolante.jp
tunnel enable 1
書込番号:19490997
0点
先ほどの、会社RTX810ルーターの正式Configの話ですが、念のためですが、「tunnel enable 2」と
「ip filter 200000 reject 10.0.0.0/8 * * * *」の間に、tunnel select none を挿入して、VPNトンネル設定モードから抜け出して下さいね。
tunnel enable 2
tunnel select none
ip filter 200000 reject 10.0.0.0/8 * * * *
↑の様にして、一括コマンド実行下さいね。
書込番号:19491006
0点
先ほどの正式、会社RTX810ルーターに、一部L2TPリモートアクセス・コマンドを忘れてました。
下記が追加分のConfigになります。
先ほどの正式Configに追加にて、投入して下さい。
pp select anonymous
pp name L2TP(会社)
pp bind tunnel2
pp auth request chap-pap
pp auth username admin password
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
書込番号:19491039
0点
RTX810ルーターにPPPOE接続設定を要件とする場合には、当然NTT-HGWにはPPPOE接続設定の削除(PPPOEブリッジは有効)、LAN側静的ルーティングは削除、DMZホストの設定は無効にて確認しておいて下さい。
書込番号:19491252
0点
投入し直した会社コンフィグです。
ip routing process fast
ip route default gateway pp 1 filter 500000 gateway pp 1
ip route 192.168.100.0/24 gateway tunnel 1
ip lan1 address 192.168.101.1/24
ip lan1 proxyarp on
provider type isdn-terminal
provider filter routing connection
provider lan1 name LAN:
provider lan2 name PPPoE/0/1/5/0/0/0:Nifty
provider ntpdate ntp.nict.jp
pp select 1
pp name PRV/1/1/5/0/0/0:Nifty
pp keepalive interval 30 retry-interval=30 count=12
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname ********@nifty.com password
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
ip pp secure filter in 200000 200001 200020 200021 200022 200023 200024 200025 200030 200032 200080 200081 200082 200083 200099
ip pp secure filter out 200020 200021 200022 200023 200024 200025 200026 200027 200099
ip pp nat descriptor 1000
netvolante-dns hostname host pp server=1 ***.***netvolante.jp
pp enable 1
provider set 1 Nifty
provider dns server pp 1 1
provider select 1
pp select anonymous
pp name L2TP(会社)
pp bind tunnel2
pp auth request chap-pap
pp auth username admin password
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(会社)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.101.1
ipsec ike local id 1 192.168.101.0/24
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 auIP
ipsec ike remote id 1 192.168.100.0/24
ipsec auto refresh 1 on
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text password
ipsec ike remote address 2 any
l2tp tunnel disconnect time 600
l2tp keepalive use off
l2tp keepalive log on
l2tp syslog on
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 200000 reject 10.0.0.0/8 * * * *
ip filter 200001 reject 172.16.0.0/12 * * * *
ip filter 200002 reject 192.168.0.0/16 * * * *
ip filter 200003 reject 192.168.101.0/24 * * * *
ip filter 200010 reject * 10.0.0.0/8 * * *
ip filter 200011 reject * 172.16.0.0/12 * * *
ip filter 200012 reject * 192.168.0.0/16 * * *
ip filter 200013 reject * 192.168.102.0/24 * * *
ip filter 200020 reject * * udp,tcp 135 *
ip filter 200021 reject * * udp,tcp * 135
ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 200024 reject * * udp,tcp 445 *
ip filter 200025 reject * * udp,tcp * 445
ip filter 200026 restrict * * tcpfin * www,21,nntp
ip filter 200027 restrict * * tcprst * www,21,nntp
ip filter 200030 pass * 192.168.101.0/24 icmp * *
ip filter 200031 pass * 192.168.101.0/24 established * *
ip filter 200032 pass * 192.168.101.0/24 tcp * ident
ip filter 200033 pass * 192.168.101.0/24 tcp ftpdata *
ip filter 200034 pass * 192.168.101.0/24 tcp,udp * domain
ip filter 200035 pass * 192.168.101.0/24 udp domain *
ip filter 200036 pass * 192.168.101.0/24 udp * ntp
ip filter 200037 pass * 192.168.101.0/24 udp ntp *
ip filter 200080 pass * 192.168.101.1 udp * 500
ip filter 200081 pass * 192.168.101.1 esp * *
ip filter 200082 pass * 192.168.101.1 udp * 1701
ip filter 200083 pass * 192.168.101.1 udp * 4500
ip filter 200098 reject-nolog * * established
ip filter 200099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 200080 * * ftp
ip filter dynamic 200081 * * domain
ip filter dynamic 200082 * * www
ip filter dynamic 200083 * * smtp
ip filter dynamic 200084 * * pop3
ip filter dynamic 200085 * * submission
ip filter dynamic 200098 * * tcp
ip filter dynamic 200099 * * udp
nat descriptor log on
nat descriptor type 1000 masquerade
nat descriptor address outer 1000 ipcp
nat descriptor address inner 1000 auto
nat descriptor masquerade static 1000 1 192.168.101.1 udp 500
nat descriptor masquerade static 1000 2 192.168.101.1 esp
nat descriptor masquerade static 1000 3 192.168.101.1 udp 1701
nat descriptor masquerade static 1000 4 192.168.101.1 udp 4500
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.101.2-192.168.101.99/24
dns server pp 1
dns server select 500001 pp 1 any . restrict pp 1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on
httpd host 192.168.100.2-192.168.100.254 192.168.101.2-192.168.101.254
upnp use on
upnp external address refer pp 1
alarm entire off
#
書込番号:19491268
0点
>sorio-2215さん
この状態で携帯からのras接続ができなくなっています。
また【直接は関係ないですが】シリアルケーブルからの入力がおかしいです。コマンドの一部が飛んだりします。今朝がたドライバを入れ直したのが原因と思います。デバイスマネージャー上はおかしな点は見つかりません。テラタームで設定できる点はありますか?
書込番号:19491276
0点
L2TPリモートアクセスのUDP1701トランスポート・コマンドが、無くなってますよ。
簡易Webメニューからの設定が可能かと存じますので、下記コマンド投入下さい。
ip filter 200013 reject * 192.168.101.0/24 * * *
ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipsec transport 2 2 udp 1701
↑コマンドが無いと、トンネル1(IPSEC-VPNトンネルのNATトラバーサル機能)とトンネル2(L2TP-VPNのNATトラバーサル機能)が、有効になりません。
当方提供のコマンドをよく吟味してみて下さい。(1行目から最終行まで)
IPSEC-VPNトンネルについては、自宅RTX810ルーターのトンネル1に、先刻の追加設定を投入しませんと、安定しません。
念のためですが、自宅RTX810ルーター、追加コマンド。
tunnel select 1
tunnel name IPsec(自宅)
ipsec ike remote address 1 *******netvolante.jp (Netvolante-DNSドメイン)
tunnel enable 1
書込番号:19491332
0点
TeraTermでの投入の際に、以前説明しているはずですが、TeraTermの設定の際のCOMポートの転送速度の設定等の説明サイトが有るので、その転送速度等がYamahaルーターの転送速度と合致していませんと、転送オーバーで、うまく投入出来ませんよ。
※ http://atnetwork.info/yamaha/console01.html
↑ USB-シリアルアダプタのCOMポートの転送速度を、9600bit/s、8ビット、フロー制御Xon/Xoff等の設定をしておかないと、安定しません。
書込番号:19491338
0点
先刻説明済みですが、RTX810ルーターにPPPOE接続機能とIPSEC-VPN、L2TPリモートアクセスを設定される場合には、NTT-HGWへの設定画面アクセスも併用される場合には、下記構成になります。
NTT回線終端装置にスイッチングハブを接続し、スイッチングハブの1ポート目にNTT-HGWを接続、スイッチングハブの2ポート目にRTX810ルーター接続。
↑条件にて、NTT-HGWのIP設定を192.168.101.250/24等の設定(DHCP無効化)→NTT-HGWのハブポートから、RTX810ルーターのハブポートにカスケード接続すれば、http://192.168.101.250にてアクセス可能かと存じます。
書込番号:19491361
0点
>sorio-2215さん
おかげさまで以下の通り通信が確立しました。
・自宅←→会社
・LTE→会社
・LTE→自宅
今後はコンフィグを保存しておきます。
取り急ぎご報告とお礼まで。
書込番号:19492231
0点
そうですか。良かったですね。
老婆心ながら、RTX810でのYamahaサイト未掲載の設定例でのIPSEC-VPNトンネル(NATトラバーサル有、Netvolante-DNSメインモード)とL2TP/IPSECトンネルの併用構成イメージとなりましたが、AU光・専用HGWと、NTT・RTX810でのPPPOE接続機能の組み合わせが有りましたので、下記構成イメージになりました。
@ AU-HGWでのDMZホスト+静的ルーティングでの配下RTX810ルーターへの全転送、RTX810ルーターでのWAN-IP固定、ゲートウェイ(AU-HGW)から通信ルート確保(インターネットルート、VPNトンネルルート)。
A NTT-HGWでの光電話機能・PPPOEブリッジでの配下RTX810ルーターでのPPPOEクライアント機能、PPPOEクライアントでのグローバルIP・解決DDNS(Netvolante-DNS)→Netvolante-DNS併用でのIPSEC-VPN(NATトラバーサル有+L2TP/IPSEC併用)
↑構成のためですが、一部KDDIでのキャリアグレードNAT及びAU-HGWでのNATトラバーサル機能を考慮しました構成のため、簡易Webメニューでの設定では一部しか機能設定出来ません。
簡易Webメニューの設定が基本ではなく、時間的な余裕の有る時にコマンド・リファレンスを覚える形が良いかと考えます。
以下参考書になります。
井上孝司著、「ヤマハルーターでつくるインターネットVPN [第4版]」
谷山 亮治 (著), 日経NETWORK (編集) 「ヤマハルーターで挑戦 企業ネットをじぶんで作ろう」
Yamahaルーター、コマンドリファレンス ・・ http://www.rtpro.yamaha.co.jp/RT/manual/rt-common/index.html
書込番号:19492857
1点
>sorio-2215さん
お早うございます。お世話になります。
下記構成を試したところトラブル発生しました。
>NTT回線終端装置にスイッチングハブを接続し、スイッチングハブの1ポート目にNTT-HGWを接続、スイッチングハブの2ポート目にRTX810ルーター接続。
> ↑条件にて、NTT-HGWのIP設定を192.168.101.250/24等の設定(DHCP無効化)→NTT-HGWのハブポートから、RTX810ルーターのハブポートにカスケード接続すれば、http://192.168.101.250にてアクセス可能かと存じます。
具体的には以前にも起こった現象で無線親機からIPアドレスが各端末に配布されない状況です。
対策は以前と同様にHGWと本機のLANポート同士の接続を外すことです。即座に無線端末へのIPアドレスが配布されました。
配線をした後しばらくは無線子機には正常にIPアドレスが配布されますが、数日?程度で今回のトラブルになります。
HGWへのアクセスはあまり行わないもののご紹介の方法は大変便利ですので今後も続けたいと思っています。なにか対策がありますか?
よろしくお願いいたします。
書込番号:19544709
0点
確認ですが、下記構成になっていますか?
@ 回線終端装置(ONU)→スイッチングハブ・1ポート→光電話ルーターのWANポート(PPPOE接続は未投入、DHCP無効化、IPを192.168.101.250/24固定)
A 回線終端装置(ONU)→スイッチングハブ・2ポート→RTX810ルーターのWANポート接続、無線ルーターは、BRモードで、RTX810ルーターのハブポートへスイッチングポート同士接続)
RTX810ルーターのDHCPは有効になっているか、確認。
無線ルーター(BRモード、192.168.101.211/24でした?)の、デフォルトゲートウェイ192.168.101.1、プライマリDNS192.168.101.1になっているか確認。
@〜Aを確認後、光電話ルーターのハブポートとRTX810ルーターのハブポートを接続。
DHCPサーバが、どちらの機器から提供されるか、確認して頂ければ、自ずとRTX810のみ有効にしてあれば、OKです。
書込番号:19546034
0点
補足です。
先刻の確認をしてもダメであれば、NTT-HGWのパケットフィルタの設定(IPV4パケットフィルタ)にて、WAN→LANへのDHCP機能の制限をしてみる形でしょうか。
※ エントリ番号(空き番号)→フィルタ種別(拒否)→プロトコル(TCP)→TCPフラグ(指定しない)→接続インタフェース名(メイン)→送信元IPアドレス/マスク長(全て)→宛先IPアドレス/マスク長(全て)→送信元ポート(67〜68)→宛先ポート(67〜68)
↑にて、NTT-HGWからのDHCP不定動作のためのIPアドレス重複などの制限が可能と思いますが、先ずはお試し下さい。
上記設定確認後、NTT-HGWのハブとRTX810のハブをカスケード接続してみて下さい。
カスケード接続後、RTX810配下の端末からHGWへのアクセス可否確認と、無線ルーターへ無線LAN接続時でのIPアドレス取得確認をしてみて下さい。
書込番号:19547896
0点
>sorio-2215さん
> @ 回線終端装置(ONU)→スイッチングハブ・1ポート→光電話ルーターのWANポート(PPPOE接続は未投入、
>DHCP無効化、IPを192.168.101.250/24固定)
上記の通り設置済。なおHGWは192.168.101.254/24で固定。
> A 回線終端装置(ONU)→スイッチングハブ・2ポート→RTX810ルーターのWANポート接続、
>無線ルーターは、BRモードで、RTX810ルーターのハブポートへスイッチングポート同士接続)
> RTX810ルーターのDHCPは有効になっているか、確認。
上記の通り設置済。上記設定も確認済。
> 無線ルーター(BRモード、192.168.101.211/24でした?)の、デフォルトゲートウェイ192.168.101.1、
>プライマリDNS192.168.101.1になっているか確認。
無線ルーター(BRモード、192.168.101.201/24)。デフォルトゲートウエイとプライマリDNSは上記設定通り。
> @〜Aを確認後、光電話ルーターのハブポートとRTX810ルーターのハブポートを接続。
実施済。
つまり、ほとんど設定に誤りがないと思います。それでも無線親機経由でのIPアドレス配布ができなくなる事案です。
書込番号:19547950
0点
>sorio-2215さん
念のため質問します。HGWとRTXを「カスケード接続する」とは、それぞれのLANポートをストレートのLANケーブルで接続することですよね?
書込番号:19547956
0点
念のため質問します。HGWとRTXを「カスケード接続する」とは、それぞれのLANポートをストレートのLANケーブルで接続することですよね?
↑ そのとおりです。
それと、無線ルーターのBRモードとIP周りの設定は解りましたが、RTX810ルーターと無線ルーターの接続は、RTX810ルーターのハブポートと無線ルーターのハブポートを接続していますでしょうか?
書込番号:19547977
0点
>sorio-2215さん
>RTX810ルーターと無線ルーターの接続は、RTX810ルーターのハブポートと無線ルーターのハブポートを接続していますでしょうか?
RTXのハブポート−スイッチングハブ−無線親機のハブポート です。
書込番号:19548048
0点
>sorio-2215さん
いまも色々と試してみましたがwifiだけでなくVPNまで切れたりしたので「もう諦めます!」。つまり設定と配線を以前の通り戻しました。
HGW:192.168.1.1
RTX:192.168.101.1
HGWの中をすぐに見られるのはすごく助かるのですが、通信の安定性には代えられません。
ありがとうございました。
書込番号:19548285
0点
うーん、どうみてもおかしい動作です。
HGWの搭載OS(ファームウェア)の問題としか見えない現象です。
一度、NTTの故障受付に相談された方が良いかもしれません。
HGWのDHCP機能を無効化しても、内部的に効いている動作でしたら、挙動的に理解出来る動きです。
書込番号:19548701
0点
ip routing process fast
ip route default gateway pp 1 filter 500000 gateway pp 1
ip route 192.168.100.0/24 gateway tunnel 1
ip lan1 address 192.168.101.1/24
ip lan1 proxyarp on
provider type isdn-terminal
provider filter routing connection
provider lan1 name LAN:
provider lan2 name PPPoE/0/1/5/0/0/0:Nifty
provider ntpdate ntp.nict.jp
pp select 1
pp name PRV/1/1/5/0/0/0:Nifty
pp keepalive interval 30 retry-interval=30 count=12
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname ******@nifty.com *******
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
ip pp secure filter in 200000 200001 200020 200021 200022 200023 200024 200025 200030 200032 200080 200081 200082 200083 200099
ip pp secure filter out 200020 200021 200022 200023 200024 200025 200026 200027 200099
ip pp nat descriptor 1000
netvolante-dns hostname host pp server=1 *****.***.netvolante.jp
pp enable 1
provider set 1 Nifty
provider dns server pp 1 1
provider select 1
pp select anonymous
pp name L2TP(会社)
pp bind tunnel2
pp auth request chap-pap
pp auth username admin ********
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(会社)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.101.1
ipsec ike local id 1 192.168.101.0/24
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text *******
ipsec ike remote address 1 121.106.141.4
ipsec ike remote id 1 192.168.100.0/24
ipsec auto refresh 1 on
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text *********
ipsec ike remote address 2 any
l2tp tunnel disconnect time 600
l2tp keepalive use off
l2tp keepalive log on
l2tp syslog on
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 200000 reject 10.0.0.0/8 * * * *
ip filter 200001 reject 172.16.0.0/12 * * * *
ip filter 200002 reject 192.168.0.0/16 * * * *
ip filter 200003 reject 192.168.101.0/24 * * * *
ip filter 200010 reject * 10.0.0.0/8 * * *
ip filter 200011 reject * 172.16.0.0/12 * * *
ip filter 200012 reject * 192.168.0.0/16 * * *
ip filter 200013 reject * 192.168.101.0/24 * * *
ip filter 200020 reject * * udp,tcp 135 *
ip filter 200021 reject * * udp,tcp * 135
ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 200024 reject * * udp,tcp 445 *
ip filter 200025 reject * * udp,tcp * 445
ip filter 200026 restrict * * tcpfin * www,21,nntp
ip filter 200027 restrict * * tcprst * www,21,nntp
ip filter 200030 pass * 192.168.101.0/24 icmp * *
ip filter 200031 pass * 192.168.101.0/24 established * *
ip filter 200032 pass * 192.168.101.0/24 tcp * ident
ip filter 200033 pass * 192.168.101.0/24 tcp ftpdata *
ip filter 200034 pass * 192.168.101.0/24 tcp,udp * domain
ip filter 200035 pass * 192.168.101.0/24 udp domain *
ip filter 200036 pass * 192.168.101.0/24 udp * ntp
ip filter 200037 pass * 192.168.101.0/24 udp ntp *
ip filter 200080 pass * 192.168.101.1 udp * 500
ip filter 200081 pass * 192.168.101.1 esp * *
ip filter 200082 pass * 192.168.101.1 udp * 1701
ip filter 200083 pass * 192.168.101.1 udp * 4500
ip filter 200098 reject-nolog * * established
ip filter 200099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 200080 * * ftp
ip filter dynamic 200081 * * domain
ip filter dynamic 200082 * * www
ip filter dynamic 200083 * * smtp
ip filter dynamic 200084 * * pop3
ip filter dynamic 200085 * * submission
ip filter dynamic 200098 * * tcp
ip filter dynamic 200099 * * udp
nat descriptor log on
nat descriptor type 1000 masquerade
nat descriptor address outer 1000 ipcp
nat descriptor address inner 1000 auto
nat descriptor masquerade static 1000 1 192.168.101.1 udp 500
nat descriptor masquerade static 1000 2 192.168.101.1 esp
nat descriptor masquerade static 1000 3 192.168.101.1 udp 1701
nat descriptor masquerade static 1000 4 192.168.101.1 udp 4500
ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipsec transport 2 2 udp 1701
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.101.2-192.168.101.99/24
dns server pp 1
dns server select 500001 pp 1 any . restrict pp 1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on
httpd host 192.168.100.2-192.168.100.254 192.168.101.2-192.168.101.254
upnp use on
upnp external address refer pp 1
alarm entire off
#
書込番号:20476503
0点
上記は私の会社と自宅をVPNで繋いでおりますが、会社側RTXのコンフィグです。
今回事情によりVPNを廃止することになりました。ただしRAS接続は維持します。
この場合コンフィグをどう変更すればよいのでしょうか?
よろしくお願いします。
書込番号:20476514
0点
?? 意味が解りませんが。
VPNなどの機能を併用しないのであれば、当機ルーターの意味が無い様な。
L2TP/IPSECのみでしたら、それぞれの拠点ルーターへリモートアクセス接続しないといけませんが。
以前の構成であれば、どちらか片方へ接続すれば、全ての拠点へ接続出来る構成でしたが。
書込番号:20568474
0点
有線ルーター > MICRO RESEARCH > NetGenesis GigaLink1000 MR-GL1000
 |
|---|
ネットワーク構成図 |
サポートが1/4までお休みのようですので、こちらで質問させて頂きます。
【現象】
事務所でMR-GL1000を使用しています。
普段は問題無く使用出来ているのですが、突然インターネットと通信出来なくなる不具合が発生します。
通信出来なくなる前後でネットワーク構成は変更していません。
PCのOSはすべてWindows10です。
最近PCの台数が増え、50台ぐらいになったところで発生し始めました。
それまではAterm WG1200HSを使用していました。
突然インターネットと通信出来なくなる不具合が発生したため、MR-GL1000にルータを変更しましたが
やはり突然インターネットと通信出来なくなる不具合が発生しています。
発生頻度は1週間に1,2回ぐらいです。
ルータのLAN側ポートにささっているケーブルを一旦すべて抜き、その後5台ぐらいずつルータに繋がるよう
LANケーブルを挿していくと再び通信出来るようになります。
【要望】
この問題を解決するためのヒント、解決を依頼できるところ(有料で構いません。料金の目安がわかれば有り難いです)があれば是非ご教授頂けますと幸いです。
【ネットワーク構成概要】
PC約50台
スイッチングハブ11台
ルータ1台
終端装置1台
Wifiアクセスポイント(Wifi機能付きルータをブリッジモードで使用)1台
【ネットワーク構成図】
添付画像を御参照ください。
括弧内は製品の型番になります。
【調査結果】
インターネットと通信出来なくなる不具合発生中に以下調査を行いました。
・スイッチングハブBに繋がっているPCからスイッチングハブCに繋がっているPCにPingを送ったところ、正常に通信できた
→スイッチングハブは正常に動作していると思われる。
・スイッチングハブBからスイッチングハブFに繋がっているPCにPingを送ったところ、
エラーメッセージ「要求がタイムアウトしました。」が表示された。
→ルータを経由すると通信出来なくなる?
・スイッチングハブBに繋がっているPCからルータにPingを送ったところ、
エラーメッセージ「要求がタイムアウトしました。」が表示された。
・ipconfigを実行したところ、IPv4アドレス、サブネットマスク、デフォルトゲートウエイ、DNSサーバの設定は
正常に通信出来ているときと変わらなかった。
なお、エラーメッセージは「192.168.0.100 からの応答: 宛先ホストに到達できません。」が表示されることもありましたが
どのような場合にこのメッセージになったかは記録していません。
・SYSLOG
SYSLOGには以下が出力されています。23:18頃障害が発生しました。07:18頃復旧しました。
SYSLOG設定でLOG_WARNING以外を表示するよう設定しています。
22:58:02 LOG_INFO SYS:NTP: Adjust time.(22:58:02) (corrected +0.005 sec)
23:08:02 LOG_INFO SYS:NTP: Adjust time.(23:08:02) (corrected +0.006 sec)
23:18:03 LOG_NOTICE SYS:NTP: Request timed out.
23:28:03 LOG_NOTICE SYS:NTP: Request timed out.
23:38:03 LOG_NOTICE SYS:NTP: Request timed out.
07:18:39 LOG_INFO LAN:PHY: Port 1 LINK DOWN
07:18:39 LOG_INFO LAN:PHY: Port 2 LINK DOWN
07:19:15 LOG_INFO LAN:PHY: Port 2 LINK UP 1000Mbps Full
07:19:28 LOG_INFO W01:DHC: Renew the subnet mask (255.255.252.0).
07:19:28 LOG_INFO W01:DHC: Renew the Router address (42.144.20.1).
07:19:28 LOG_INFO W01:DHC: Renew the DNS server address (220.152.38.201).
07:19:28 LOG_INFO W01:DHC: Renew the DNS server address (220.152.38.233).
07:19:28 LOG_INFO W01:DHC: Renew the Domain Name : sugnm1.kt.home.ne.jp
07:19:28 LOG_INFO W01:DHC: Renew the IP address (42.144.21.15). Renew the lease time (13:33:28).
07:20:43 LOG_INFO LAN:PHY: Port 1 LINK UP 1000Mbps Full
07:28:02 LOG_INFO SYS:NTP: Adjust time.(07:28:02) (corrected +0.154 sec)
07:38:02 LOG_INFO SYS:NTP: Adjust time.(07:38:02) (corrected +0.080 sec)
何卒よろしくお願い致します。
0点
サポート通す前に、タコ足配線で繋ぎすぎて、回線元から接続数のリミットがかかってるとか?
用途や負荷によっては結構無理していそうな構成ですね。
もう一回線を増やしたほうが早そう。
あと、回線元が落ちていないかも要確認ですね。
書込番号:20532876 スマートフォンサイトからの書き込み
0点
コメントありがとうございます。
JCOMの障害情報を確認しましたが、インターネットと通信出来ない障害が発生した日に障害は発生していないようです。
http://information.myjcom.jp/outage/index.html
ルータへのPingがエラーになるため私はプロバイダ側の問題ではないと判断しました。
構成的に無理があるのはその通りかも知れません。
GigaLink1000の想定クライアント台数は250台以下のため問題なさそうです。
http://gigazine.net/news/20100715_gigalink1000/
スイッチングハブEHC-G08PA-B-Kは家庭用のため台数上限は低そうですね。
ハブの交換を試してみます。ありがとうございます。
書込番号:20533086
0点
ギガビットLAN構成で、カスケード段数2段?
ルーターのNATテーブル平行処理が、50台?
無理でしょう、GL1000ルーターでは。
同時にWAN接続→1台あたりのNATテーブル推奨値を200テーブルとしますと、ルーターの最大NATセッション数として、50×200=10,000は最低でも必要になります。
その中で、1台若しくは任意端末にて、極度にNAT消費するようなソフトや使途が有りますと、少なくとも20,000〜30,000テーブル、台数的なルーターのCPU処理基準で言うと、Yamaha「FWX120」、「RTX1210」などの構成が必要になるかと存じます。
カスケード数におきましても、分岐カスケードを出来るだけ減らす構成が必要になります。
NETGEAR「GS748T-500AJS」、Buffalo「BS-GS2048」が、48ポート対応・スマートスイッチで推奨タイプになります。
スイッチでのカスケード数が多くなると、MACアドレス処理のエイジング数の負荷も大きくなり、ルーターからのIPアドレス取得処理も、ルーターへの負担が大きくなります。
50台同時接続為ているかどうか不明ですが、Yamaha「RTX1210」でのNAT処理65,534にて適切なNATタイマー処理させる構成+上記48ポートハブ1台でのPC管理構成にする方法が推奨されます。
GL1000ルーターの最大NAT処理数は16,384ですが、不要NAT処理を適切な切断処理する機能は有りません。(16,384テーブルでは不足しているとも言えます)
書込番号:20535101
1点
補足ですが、ご指定のGL1000ルーターの仕様サイト情報ですと、NATテーブル数16,384で最大クライアント数250台と広報しておりますが、その計算からしますと、16,384÷250=65テーブルになります。
65テーブルで、接続クライアント処理が想定されているというのは、おかしい数値かと存じます。
(65テーブル処理の対応をしていると言うことで有れば、いつも端末のNAT処理を頻繁に処理する機能が無いと、ルーター誤動作の要因になります)
若しくは、通信アプリケーションレベルで、NAT切断処理をタイマー処理出来る機能が無いと、辻褄が合わない形になります。(GL1000マニュアルには、その記載が無いです)
Yamaha系においては、NATタイマー処理をIPレベル、TCP/UDPレベルで個別に設定出来る機能が御座います。
※ http://www.rtpro.yamaha.co.jp/RT/manual/rt-common/nat/nat_descriptor_timer.html
※ http://www.rtpro.yamaha.co.jp/RT/docs/nat-descriptor/session-limit.html
書込番号:20535456
0点
sorio-2215さんコメントありがとうございます。
RTX1210を購入しましたのでしばらく運用してみようと思います。
症状が改善しない場合、スイッチの交換も行います。GS748T-500AJSが良さそうですね。
できれば1台当たりNATセッション数を確認してみます。
書込番号:20535657
0点
了解致しました。
老婆心ながらRTX1210の場合、ローカルルーター設定にて設定する方法になります。
※ http://jp.yamaha.com/products/network/solution/internet/catv/
ファームウェア最新版適用も併せて、確認下さい。
48ポートハブを用意される場合、50台の全てが同一セグメント通信にて良ければ、そのまま垂れ流しで良いですが、端末グループ分けなどを構成している場合、48ポート・L2スイッチの方にて、ポートベースVLANなどの構成を想定下さい。
書込番号:20538499
0点
sorio-2215さん
ご丁寧にありがとうございます。
ファームウェアは最新版にしました。
RTX1210に置き換えてから数時間ですが今のところ問題は起こっていません。
このまましばらく運用してみます。
show nat descriptor addressコマンドでNATセッション数を確認したところ1890でした。
これだけ見るとGL1000でも問題なさそうに見えますがGL1000を使っていた時に起きていた現象が収まっているので
何らかのキャパシティをオーバーしていたように思えます。
現状すべて同一セグメントで良いためVLAN機能は使わない予定です。
書込番号:20541482
0点
良かったですね、Yamaha RTXシリーズは王道の選択ですからね。
欲を言えば、ご利用方法としてVOIPアダプタの利用や、SkypeやTV会議などのシステムを利用されるケースの場合には、NATセッションなどのタイマー設定や、Limit設定、SIP-NAT優先設定なども必要になるかと存じます。
GL1000ルーターですと、確かにNATセッション機能については最大数明示していますが、そのセッション管理方法や機能が明示されておりませんので、どういうプロセスでルーターのリソースを消費しているか、またルーターのCPU占有率周りの問題も不明瞭な要素が御座いますので、個人的にはメーカー的に信用しておりません。
書込番号:20542126
0点
>sorio-2215さん
RTX1210を使用し始めtから1週間が経ちましたが現象が再現していないため解決とします。
コメント頂きありがとうございました。
m(__)m
書込番号:20563227
0点
良かったですね。
NAT周りについては、1,900レコード近辺ですので必要性は無いですが、念のため不要セッション消費を防止するため、NATセッションタイマーのコマンド投入は、確認された方が良いですよ。
下記例として。
nat descriptor log on
nat descriptor type 300 masquerade
nat descriptor timer 300 600
nat descriptor timer 300 tcpfin 30
nat descriptor timer 300 protocol=udp port=domain 30
nat descriptor address outer 300 primary
nat descriptor address inner 300 auto
nat descriptor sip 300 on
nat descriptor masquerade incoming 300 through
nat descriptor masquerade rlogin 300 on
nat descriptor masquerade session limit 300 1 65000
ip flow timer tcp 600
ip flow timer udp 30
ip flow timer icmp 30
ip flow timer slow 30
※ 300というモードは、WAN接続機能によって、簡易Webメニュー設定からですと、動的に変わります。
書込番号:20565745
0点
CATV回線(200Mbps)です。
Radish Network Speed Testingで速度計測すると、モデム直結で140Mbps前後のスピードが、BHR-4GRV2 で中継すると60Mbps前後と40%くらいに低減します。
LANケーブルは全てCAT6、BHR-4GRV2 のポートには、Win7(64bit)1台のみ接続して、設定内容等、大幅に低減する原因を探しましたが分かりませんでした。
低減することは分かっておりましたが、余りにも差が大きいので如何な物かと電話サポートに問い合わせたところ『低減するのは当然の事で、設定如何で速度が大幅に遅くなるようなことはありません。60Mbpsも出ているなら問題は無いでしょう』との事でした。
確かに日常使用するには何ら問題はありませんが、こんなものなのでしょうか。
皆さんは、どの程度低減しておりますでしょうか。
『高速スループット約839Mbps』との謳い文句ですが、私の環境では夢のように思えてなりません。
実感なさっている方、おられましたら環境をお聞かせ下さい。
0点
ファームウェアは更新されましたでしょか?
何か不具合でもあるかもしれません。
http://buffalo.jp/download/driver/lan/bhr-4grv2_fw-win.html
直結で140Mbps出てるのならBHR-4GRV2でも120〜130Mbps出そうなものですね。
これよりも古い100Mbpsのバッファローの有線LANルータを所有していますがONU直結で90Mbps出た時に有線LANルータを通してもほとんど90Mbps近い速度が出ましたが・・・
書込番号:20490738
1点
ファームウェアはVer.1.07で最新でした。
私も120〜130Mbpsくらいは出るだろうと期待して、色々と試して見たのですが分からずサポートに電話した次第です。
期待外れでした。
これまで使用していた無線LANルーター WHR-1166DHP の有線LANのスイッチングHubは
伝送速度 10M / 100Mbps(オートセンス)でCATV回線の200Mbpsに対応せず20Mbs前後しか出ないので
BHR-4GRV2を購入しました。
結果は20Mbs⇒60Mbps前後ですから、サポートの電話回答のように改善したことにはなりますが・・・・。
現在、WHR-1166DHP はAPモードでタブレットを使用しております。20Mbs前後は出ています。
そう言えば、私にも型番は忘れましたが無線LANルーター導入前に使用していた100Mbpsのバッファローの
有線LANルータが有りました。
早速探して、どれくらいの速度が出るか、試して見ます。
WHR-1166DHP を上回る速度だったら、どうなるのでしょうか。
結果は、また公開します。
書込番号:20491100
0点
すみません。
WHR-1166DHPを上回る速度だったら、どうなるのでしょうか。は
BHR-4GRV2 の速度を上回ったら・・・・・・に訂正いたします。
書込番号:20491121
0点
BHR-4GRV2とPCを繋いでいるLANケーブルに問題があるのでは?
BHR-4GRV2ではありませんが・・・
有線LANでNTTレンタルのルーターと直結で約70Mbpsのところを、WHR-1166DHPとWHR-1166DHP2の中継機設定のテスト時にWHR-1166DHPに有線LAN接続しても約70Mbps出てました。
間に無線の経路がありますが、WHR-1166DHPでも通過中に1/10にまで通信速度が低下するということはありませんでした。
BHR-4GRV2とWHR-1166DHPで同じように速度が低下するのであれば、LANケーブルに問題があることも考えられます。
それぞれのルーターに付属してあったLANケーブルで試してみてはいかがでしょう。
書込番号:20491150
2点
追記
WHR-1166DHPの入力が200Mbps(WAN側のコネクタが1Gbps)だとして、1つのパケット自体をジャンボフレームで大きく設定しても100Mbit(さっくり10MB)を超えることはないので、問題がなければLAN側の最大値100Mbpsに近い数値の転送速度が出るはずで、20Mbpsまで落ちることはないはずです。
書込番号:20491196
2点
kokonoe_hさん
以前使用していた破棄寸前の100Mbpsのバッファローの有線LANルータ BLP-TX4Mでテストしてみました。
20Mbpsそこそこ。当然の事と言えば当然の結果でした。
CATV20Mbps 契約時の WHR-1166DHPで10Mbps前後、200Mbpsに 契約更新後の BHR-4GRV2で60Mbps前後ですから
大満足と言うべきなのでしょうが、モデム直結時の140Mbpsに限りなく近づきたく、どうにかならないかと投稿しました。
EPO_SPRIGGANさん
LANケーブルは付属のケーブルも含めてWAN側、PC側とも未使用のケーブル(CAT6)で試しましたが、これと言った変化は
有りませんでした。
他にも、ルーターの設定、PCの設定も変えて試して見ましたが速度の変化は見られませんでした。
速度とは関係ないことかもしれませんが、こんなこともやりました。
http://itpro.nikkeibp.co.jp/article/COLUMN/20100824/351391/?rt=nocnt
全く関係有りませんでした。お笑いでした。
>問題がなければLAN側の最大値100Mbpsに近い数値の転送速度が出るはずで、20Mbpsまで落ちることはないはずです。
私もそのように思い電話サポートでも話したのですが、WHR-1166DHP の有線LANはCATV回線200Mbpsに対応しない。
20Mbps前後しか出ないが結論でした。
バッファローサポートセンターから回答がありましたので抜粋させて頂きました。
『「FTPスループット」が約839Mbpsとなっておりますが、・・・・・・・お客様環境に製品をご設置いただいた場合の実行スループットにつきしては、お客様毎の環境に依存をしますので、必ずしも上記の値や製品規格値のような数値とならない場合もございます。』
『200Mbpsとのことですが、モデム機器を下位された際に、140Mbpsまで減衰をしているご状況と同様に、ルーターという機器を一度介して通信を行われますので、お申し出のように、モデムに直接接続された場合に「140Mbsp」という実行スループットを記録できた
環境であっても、製品を介しての数値が、「60Mbps」という値となる場合もございます。』
『「通信速度」や「通信モード」に関する設定については、固定化の設定を含め機器間の設定を行って通信速度の改善やコントロールをえる項目というもの自体がございませんので、製品仕様の範囲での通信速度で動作を行えているご状況の場合、弊社でもご案内可能な情報が少ない状況でございます。』
他、コンセントについて、ノイズや電力の不足からして可能な限り分散させるように、ご指導を頂きまして即実行しました。
全く変化なし。
以上、模範解答そのものです。結果は当然の事なので『無いもの強請りしてもしょうがないでしょう』と言う事で諦めました。
kokonoe_hさん、EPO_SPRIGGANさん、ありがとうございました。
また機会が有りましたら、よろしくお願いいたします。
書込番号:20492743
1点
WAN-NAT性能としては、Buffalo系の機能(ルーター搭載OSの仕様)、DNSサーバの応答機能では、ギリギリの性能かと思いますが。
DNSサーバの応答性能やルーターのWANキャッシュ機能で言うと、NEC系の方が良いかと存じます。
※ PA-WG1800-HP2やPA-WG2600-HP2あたり。
他の方の仰る、「ジャンボフレーム機能」は、WAN側のモデム・インターフェイス→キャリア側のゲートウェイ機能として、ジャンボフレーム透過機能などの特定機能が無いと、却ってジャンボフレーム設定をしても、オーバーパケット分のパケットロスが多数出るだけで、パケット寸断・不安定現象が出るだけです。
あえて言えば、モデムからLAN接線のケーブル長・ケーブル自身のノイズ対策、ケーブルのノイズ対策においての微弱ノイズを、スイッチングハブやルーターのハブポートからアースに落ちる電源配線に対応しているか、それぞれを見ないと、ケーブル自体でノイズ対策を採用しているタイプもあまり意味が無いです。
当方の推奨としては、仮にNEC系ルーターにしても、内蔵ハブはケーブルのノイズをアースに落とす機能には、対応しておりませんので、モデムからNECルーターのWANポートのケーブルを、CAT6A(単線・ストレート、エイリアンクロストーク対策、500Mhz対応)で、出来るだけ短いケーブル接線、NEC無線ルーターからPCまでのケーブルも、CAT6A対応ケーブル仕様が良いかと存じますが。
CAT6A若しくはCAT7にてSTP対応ケーブル、STP対応ハブなどでWeb調査して頂ければと思います。
※ STP対応ハブとしては、NetGear「GS108T-200JPS」、Buffalo「BS-GS2008P」などが、LANケーブル滞留ノイズをアースに落とす機能に対応しております。
書込番号:20493035
2点
CATV回線200Mbpsに契約更新した際に、それまで使用していたBuffaloの無線LANルーターWHR-1166DHPでは対応できない
(相応の速度が出ない)との事で、それならばと有線LANルーター BHR-4GRV2に買換えました。
>WAN-NAT性能としては、Buffalo系の機能(ルーター搭載OSの仕様)、DNSサーバの応答機能では、ギリギリの性能かと
思いますが。
全く考えておりませんでした。
同じBuffaloで Amazonで値段も手頃でベストセラー1位だったので、間違いないだろうと安心して購入しました。
我が家の環境は、有線LANがメインで無線LANは何ら意識しておりません。
2年程前に購入した、WHR-1166DHPを捨てるのはもったいないのでAPモードにして、時折帰省する子供達と家内がタブレットで
アクセスできるように整えました。
>DNSサーバの応答性能やルーターのWANキャッシュ機能で言うと、NEC系の方が良いかと存じます。
※ PA-WG1800-HP2やPA-WG2600-HP2あたり。
価格は倍以上ですが、WHR-1166DHPを無視して、もっと性能を考慮すべきでした。
実行スループットの減衰に関して現在、モデム直結 140Mbps が、ルーターを介すると 60Mbpsです。
現状でなんら支障を来す事は無いのですが『せめて100Mbps くらいにならないものか』との疑問がきっかけでした。
100Mbps のスピードで何をするのですかと言われると、特段これと言ったものが無いのでスピードを向上させるのが趣味ですと
答えるしかありません。
お薦めのPA-WG1800-HP2で、実行スループットの減衰が、どれくらいになるのか試して見ます。
>WANポートのケーブルを、CAT6A・・・・・・出来るだけ短いケーブル接線、NEC無線ルーターからPCまでのケーブルも、CAT6A対応 ケーブル仕様が良いかと存じますが。
仰せの通りです。現在の環境でWANポート側、0.5m PC側、2.0m、共にELECOMのCAT6A対応ケーブルにて数日前に試して見ましたが、これと言った変化はありませんでした。
趣味とは言え、もう少し検討すべきだったと反省しております。
『安物買いの銭失い』、結局は買い替えで高くつきそうです。
書込番号:20495787
0点
なるほど−。大変参考になりました。
今使ってるBBR-4HG(Buffaloの100Mもの)でもWANへの通信は55Mbpsくらい出てるのでHUBとしての性能以外は全く変わらないんですねぇ。NATの処理性能が同程度というのは驚きました。
書込番号:20557963
0点
フレッツ光VDSL100Mbps時代から使っていたのですが、11月にVDSL式?光引き込み1Gbpsになりました。
NTTからレンタルでRP-500KIというモデムルータ(ホームゲートウェイ)に交換され、プロバイダも1Gbpsに対応していました。
しかし、NVR500で下り90Mbps上り110Mbpsくらいしか出ません、そこで新しいの機械になったのでRP-500KIに繋ぎ速度測定したところ、上りも下りも300Mbpsオーバーを出していました。
NVR500もLAN側WAN側1Gbps対応なのですが、これはいったいどうなっているのでしょうか?
LANケーブルは全部カテゴリー6です。
1点
NVR500を使用する目的はなに?
RP-500KIでPPPoE接続してる場合は2重ルーターを防ぐためNVR500のルーター機能を切る必要があるが、
そうするとNVR500を接続してる理由は何ってことになる。
書込番号:20500978
1点
>Hippo-cratesさん
100Mbpsの時に使っていたNTTのモデムルータが、高負荷に耐えられずしょっちゅうハングアップしていたのです。
それで、RT58iを使い始めその後NVR500を使いました、なのでNTTの装置=性能が低い という印象がついてしまい、1GbpsでもNVR500を使って居ました。
100Mbpsから1Gbpsに切り替えるとき、NTTからはPR-500KIは自動的にルータ機能が切れ、モデムとして使える旨を確認し、NVR500をルータとして使っていました。
NTT=性能最低限 NVR500=高性能 だという思いがあります。
あと、せっかく高いルータ持っているから使わないのも勿体ないという意識もあります。
書込番号:20501021
1点
それでPR-500Kは高負荷に耐えられないのでしょうか?
速度を求めるなら余計なものを付けないのが一番かと思いますが。
書込番号:20501355
2点
速度低下に多少関係ありそうなのはセッション数ですかね。ルーターのファイアウォール機能を無効にすると、すこし速くなるかも。
書込番号:20502149
0点
>とっふぃ〜さん
PR-500KIにはまだ高負荷はかけていませんので、その辺はまだ分かりません。
速度を求めるには、光ケーブル直結の装置が良いのは分かるのですが、NVR500がここまで速度が出せない物だと今回気づかされたので、これは私のNVR500の問題なのかそれとも何か解決策があるのか知りたかったのです。
>ヘタリンさん
ファイアーウォールを切るというのは、IPv4のフィルタのチェックを全部外すということなのでしょうか?
書込番号:20502220
0点
フィルタリング等を全て外してシンプルなconfigにすればそれなりに速くなると思います。
config を提示して頂かないと、このようなありきたりの回答しか期待出来ないと思います。
NVR500にいくら頑張らせても(性能最低限な?)RP-500KIを経由しないいけないし、大なり小なり影響はあるでしょう。
書込番号:20502305
0点
ご質問のとおりチェックを全部外して速度を以前と比較してみては。NVR500のセッション不足かもしれないので。変化がなければ元に戻す。
書込番号:20502382
0点
>とっふぃ〜さん
>ヘタリンさん
NVR500のファイアーウォールの所のプロバイダ設定IPv4フィルタを全部削除してみましたが、ちょっと早くなりました。
それでも昼間の早いときで40Mbps位上がったくらいで、RP-500KIの400Mbpsオーバーにはとうてい達しませんでした。
PR-500KIはブリッジにしてあるので二重ルータなどの影響はでないと思うので、単にNVR500の性能的な物なのかなと思いました
書込番号:20507944
0点
NVR500の設定をしているのは理解できますが、契約プロバイダに即したIPV6機能設定はしているのでしょうか?
1Gbpsと言っても、NTT-NGN回線網とプロバイダの機能によって、帯域制限上限を超える許容させるためには、IPV6-PPPOE若しくはIPV6-IPOEの設定が必要です。
上記の際に、IPV6フォールバックなどの設定も必要かと思います。
ルーター機能をどうこう言うより、フレッツV6プラスなどの申請をプロバイダ側にしているのでしょうか?
ルーター更改時に、上記の要素を変更しないと、ルーターの機種による認証問題も出ますので、確認してみて下さい。
書込番号:20513078
0点
>sorio-2215さん
IPv6契約はしておりません。
同じ契約情報なのにPR-500KIとNVR500ではこれほど違いが出てくる事なのかなと思い、書き込ませていただいた次第です。
書込番号:20513828
2点
PR-500KI回線では、NGN網からのIPV6トンネル網から、IPV4通信と振り分け通信にて、性能上の数字が出る構成になっております。
NVR500のデフォルトでは、IPV6ネットワーク網の設定は未設定、契約プロバイダによって厳密にIPV6モードの設定をするタイプのルーターですので、V6プラスの申請と対応しますIPV6モードの設定は実施して下さい。
そうしませんと、本来のNVR500の機能は生きません。
それと接続スループットは、フレッツ専用サイトでの計測でしょうか?
フレッツ専用計測サイトでは、ルーターのIPV6設定有無により、実質スループット計測可否が変わってきます。
PR-500KIでは、AUTOでIPV6専用網を検出するようになっておりますので、NVR500での実NGN網とプロバイダの契約IPV6網の個別設定は、必ず設定しませんと、本来の性能は出ません。
書込番号:20515501
4点
>sorio-2215さん
詳しく書いていただきありがとうございます。
sorio-2215さんが書いて下さいました情報から色々設定などをしてみたのですが、ISPとしてはIPv4とIPv6は分かれていて、両方を使うことが出来ないということでした。
V6プラスの申請をするとIPv4が使えなくなるISPと、そもそもIPv4とIPv6が完全に別としてサービスを提供しているISPを使っていますので、どちらにせよIPv6は使えないということになります。(ISPは2つ契約しているので設定入れれば2つ試せます)
>それと接続スループットは、フレッツ専用サイトでの計測でしょうか?
いえ、普通の計測サイトです(ookla)
>PR-500KIでは、AUTOでIPV6専用網を検出するようになっておりますので・・・
となりますと、同じ契約内容でもIPv4しか使えないNVR500はどうしてもAutoでIPv6網を使うPR-500KIには勝てないということになりますね
書込番号:20536966
0点
少し誤解をしている状態かと存じます。
プロバイダ側の回答としては、それはそれで正規の回答ですが、YamahaルーターはIPV6完全対応製品になっております。
※ https://flets.com/customer/ipv6_router.html
IPV6処理機能におきましても、多少誤解をしているかと存じます。
Yamahaルーターには、IPV4ネットワーク網とIPV6ネットワーク網の処理として、平行切替え処理が出来る機能が御座います。(IPV6フォールバック機能)
契約プロバイダによって、IPV4-PPPOE/IPV6-IPOE設定(V6プラス申請)対象プロバイダと、IPV4-PPPOE/IPV6-PPPOE対象プロバイダに分かれて提供しているプロバイダが御座いますので、Yamaha設定例に準じて設定を投入していただければと思います。
IPV4-PPPOE/IPV6-IPOE設定 ・・ http://www.rtpro.yamaha.co.jp/RT/FAQ/FLETS-HIKARI-NEXT/ipv6_ipoe.html
→ IPV4-PPPOE設定後に、上記設定コマンドを参考に設定してみて下さい。
IPV4-PPPOE/IPV6-PPPOE設定 ・・ http://www.rtpro.yamaha.co.jp/RT/FAQ/FLETS-HIKARI-NEXT
→ IPV4-PPPOE設定後に、上記設定コマンドを参考に設定してみて下さい。
設定例では、PPPOE設定1がIPV6-PPPOE設定になっておりますので、下記のように設定変更投入下さい。
pp select 1がIPV4-PPPOE、pp select 2がIPV6-PPPOEコマンド設定例です。
ip route default gateway pp 1
pp select 1
pppoe use lan2
pp auth accept pap chap
pp auth myname (ISPに接続するID) (ISPに接続するパスワード)
ppp ccp type none
ppp ipv6cp use on
ipv6 pp dhcp service client
pp enable 1
dns server pp 1
ipv6 route default gateway pp 2
ipv6 prefix 1 dhcp-prefix@pp2::/64
ipv6 lan1 address dhcp-prefix@pp2::1/64
ipv6 lan1 rtadv send 1 o_flag=on
ipv6 lan1 dhcp service server
pp select 2
pppoe use lan2
pp auth accept pap chap
pp auth myname (ISPに接続するID) (ISPに接続するパスワード)
ppp ccp type none
ppp ipv6cp use on
ipv6 pp dhcp service client
pp enable 2
dns server pp 2
IPV6接続を優先させるコマンドです。(上記インターネット接続設定後に、投入下さい)
dns service fallback on
なお、ご指摘の計測サイトは、IPV4サイトの計測を優先させる計測サイトで、本来のNGN網対応プロバイダ接続の性能を計測出来るサイトでは無いかと思います。(ギガビット回線機能及びルーターの本質的な機能を計測出来ないサイトかと存じます)
→当方も計測してみました。100Mbpsまでの計測しか出来ない機能のサイトです。
NTTには、NTT専用の計測サイトが御座います。
若しくは、IPV6のスループットを計測出来るサイトにて、お試し下さい。(上記ルーター設定後にですが)
IIJ-IPV6スピードテスト
http://speedtest6.iijmio.jp/
プロバイダ側のサポート担当の方も、IPV4網とIPV6網のネットワーク機器機能のよく解っていない方も多いです。
書込番号:20539177
0点
追加補足ですが、契約プロバイダによってIPV6機能が違いますので、先刻のYamaha設定例におきましても、契約プロバイダのIPV6対応状況によって、取捨選択して下さい。
IPV6-IPOE形式なのか、IPV6-PPPOE形式なのか。
IPV4接続とデュアルスタック接続の設定イメージを、先刻では説明しました。
書込番号:20539246
2点
補足2です。
NVR500ルーターにて、先刻のコマンド設定をされる場合には、上位の光電話ルーターに、IPV6パケットフィルター若しくはIPV6ファイアウォール機能の設定変更が必要です。
IPV6通信のany許可設定にて、配下NVR500ルーターへIPV6ブリッジされる設定が必要です。
書込番号:20540013 スマートフォンサイトからの書き込み
0点
>sorio-2215さん
色々詳しく教えて下さりありがとうございます。
教えて頂いたコマンドからちょっといじり
ip route default gateway pp 1
pp select 1
pppoe use lan2
pp auth accept pap chap
pp auth myname (ISPに接続するID) (ISPに接続するパスワード)
ppp ccp type none
ppp ipv6cp use on
ipv6 pp dhcp service client
pp enable 1
dns server pp 1
ipv6 route default gateway pp 1
ipv6 prefix 1 dhcp-prefix@pp1::/64
ipv6 lan1 address dhcp-prefix@pp1::1/64
ipv6 lan1 rtadv send 1 o_flag=on
ipv6 lan1 dhcp service server
pp select 1
pppoe use lan2
pp auth accept pap chap
pp auth myname (ISPに接続するID) (ISPに接続するパスワード)
ppp ccp type none
ppp ipv6cp use on
ipv6 pp dhcp service client
pp enable 1
dns server pp 1
(上記インターネット接続設定後に、投入)
dns service fallback on
をしたところ、RP-500KIに追いつきそうな速度が出ました。
教えて頂いたコマンドはなんなのかよく分かりませんが、Yamahaサポートに電話しても解決しなかった事が出来ました。
>→当方も計測してみました。100Mbpsまでの計測しか出来ない機能のサイトです。
速度測定のメモリ自体は100Mbpsまでしか無いのですが、数字上は100Mbpsオーバーがはかれます。
https://gyazo.com/1f5b5ec408e7937d149dd307b5dab56e
>IIJ-IPV6スピードテスト
>http://speedtest6.iijmio.jp/
こちらのテストページは、グレーアウトしてしまい測定できませんでした
https://gyazo.com/35fb6a1ab01ef3b030564d346bed68f9
>プロバイダ側のサポート担当の方も、IPV4網とIPV6網のネットワーク機器機能のよく解っていない方も多いです。
これには困りますね、メーカーやプロバイダよりも皆さんの様な方に教えてもらわないと本来のネットワークの効果がキッチリ出せないではなですか。
>IPV6-IPOE形式なのか、IPV6-PPPOE形式なのか
これは、NVR-500のプロバイダ追加のところですか?
私の場合一番下の項目のIPV6-IPOE、IPV6-PPPOE形式両方とも試しましたが通信出来ませんでした。
いつもは一番上の PPPoEを用いる端末型ブロードバンド接続(フレッツ 光ネクスト、Bフレッツなど) を使っています
https://gyazo.com/01eb4ec889a672de670903c0788d0ae6
書込番号:20542114
0点
あー、間違ってますよ。
ip route default gateway pp 1
pp select 1
pppoe use lan2
pp auth accept pap chap
pp auth myname (ISPに接続するID) (ISPに接続するパスワード)
ppp ccp type none
ppp ipv6cp use on
ipv6 pp dhcp service client
pp enable 1
dns server pp 1
↑までは正しいコマンドですが、下記コマンドが間違ってますよ。
契約プロバイダは、IPV6-PPPOE形式のプロバイダなんですか?
IPV6-IPOEなのか、IPV6-PPPOE形式採用のプロバイダなのかは、契約プロバイダへ確認して下さい。
(IPV6ネィティブ形式なのか、IPV6トンネル形式なのか)
下記コマンドは、IPV6-PPPOE形式(IPV6トンネル形式)採用プロバイダの場合に必要なコマンドです。
しかも間違ってます。
ipv6 route default gateway pp 1 → ipv6 route default gateway pp 2
ipv6 prefix 1 dhcp-prefix@pp1::/64 → ipv6 prefix 1 dhcp-prefix@pp2::/64
ipv6 lan1 address dhcp-prefix@pp1::1/64 → ipv6 lan1 address dhcp-prefix@pp2::1/64
ipv6 lan1 rtadv send 1 o_flag=on
ipv6 lan1 dhcp service server
pp select 1 → pp select 2
pppoe use lan2
pp auth accept pap chap
pp auth myname (ISPに接続するID) (ISPに接続するパスワード)
ppp ccp type none
ppp ipv6cp use on
ipv6 pp dhcp service client
pp enable 1 → pp enable 2
dns server pp 1 → dns server pp 2
pp 1 は、IPV4-PPPOE設定機能のコマンド枠で、 pp 2 が IPV6-PPPOE設定機能のコマンドです。
アクセスサイトの対応によって、IPV4サイトとIPV6サイトを動的切替えるコマンドが、
dns service fallback on になります。
例えば、OCNの場合には、IPV4-PPPOE設定の接続IDが、「*******@***.ocn.ne.jp」、接続パスワードが「abcdefgh」と言った具合に、契約情報明示されますが、IPV4認証と同時に、IPV6-PPPOE接続も平行して設定する場合に、「*******@ipv6.ocn.ne.jp」、接続パスワードが「abcdefgh」と言った具合に設定します。
先ずは、契約プロバイダのIPV6採用形式が、どちらか確認して下さい。
ルーターは、その形式に併せて設定するだけです。
IPV6-IPOEの場合には、先刻の
IPV4-PPPOE/IPV6-IPOE設定 ・・ http://www.rtpro.yamaha.co.jp/RT/FAQ/FLETS-HIKARI-NEXT/ipv6_ipoe.html
上記設定コマンドを参考に設定してみて下さい。
pp select 1 枠に通常のプロバイダ接続設定を投入し、その後IPV6-RAプレフィックス設定を付加して下さい。
IIJ-IPV6スピードテストにて、グレーアウトすると言うことは、プロバイダ側の対応サービス不一致、若しくはV6プラス申請されていないので、IPV6計測出来ない状態かと存じます。
書込番号:20542267
1点
契約プロバイダ・サポートへ、IPV6認証機能の件にて、どう聞いたら良いか解らない場合、プロバイダの名称をお教え下さい。
当方にてプロバイダ名称にて、IPV6対応機能をお知らせ可能です。
書込番号:20542287
0点
>sorio-2215さん
ご指摘下さいました pp2 を pp1にしていたところは、自分の環境上pp1がプロバイダ pp2がサービス情報サイトだったので変えてしまいました。
プロバイダは、BIGLOBE(V6プラス未加入)と府中インターネット(V6接続の場合Gaming+になると聞きました)です。
書込番号:20542505
0点
BIGLOBEですか。
BIGLOBEの場合には、IPV4-PPPOE/IPV6-IOE対応プロバイダですので、IPV6-PPPOE接続設定しても接続不可です。
下記の様なイメージになるかと存じます。
ip route default gateway pp 1
pp select 1
pppoe use lan2
pp auth accept pap chap
pp auth myname *******@biglobe.ne.jp abcdefg (BIGLOBEの接続ID)(接続パスワード)
ppp ccp type none
ppp ipv6cp use on
ipv6 pp dhcp service client
pp enable 1
dns server pp 1
以下フレッツサービス情報サイトの設定
pp select 2
pp name PRV/2/1/5/0/0/0:Flets-V4
pp keepalive interval 30 retry-interval=30 count=12
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname guest@v4flets-east.jp guest
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
pp enable 2
BIGLOBEの方にて、V6プラス申請が必要です。
V6プラス申請後、下記コマンドが必要です。
ipv6 prefix 1 ra-prefix@lan2::/64
ipv6 lan1 address ra-prefix@lan2::1/64
ipv6 lan1 rtadv send 1 o_flag=on
ipv6 lan1 dhcp service server
ipv6 lan2 dhcp service client ir=on
dns server dhcp lan2
dns service fallback on
光電話ルーター配下でのIPV6網接続設定を要す為、PR-500KIの詳細設定−IPv6パケットフィルタ設定 (IPoE)にて、エントリ1に許可設定(ANY/両方向)登録が必要です。
何故、府中インターネットを契約しているのですか?
ロカールキャリアのプロバイダ機能・勧誘にそそのかされている様に見受けます。
府中インターネット契約は不要です。
その代わりに、BIGLOBE V6プラス申請を確認下さい。
申請時に、NTT光契約番号(COP若しくはCAFから始まる番号)をBIGLOBE V6プラスのサイトから申請する形になります。
※ BIGLOBE V6プラス申請サイト ・・ https://support.biglobe.ne.jp/ipv6/
元々、NTTギガスマートタイプ・ギガラインタイプの回線(PR-500KI回線)は、1Gbpsの回線NGN網になっておりますので、そのNGN網の帯域制限などの制約を受けない、V6プラス申請対応プロバイダで有ればOKで、複数プロバイダ契約の意味は無いです。
BIGLOBE V6プラス申請後に、帯域制限解除されたスピードテストを実施されたい場合には、NTT専用サイトにて計測してみて下さい。
フレッツサービス情報サイト ・・ https://flets.com/square/
↑ 設定ナビゲーションをクリックにて、フレッツスピードリンク先が表記されるはずです。
書込番号:20542624
4点
補足ですが、フレッツサービス情報サイトの接続設定には、NVR500に追加ルーティング設定も必要です。
ip route 123.107.190.0/24 gateway pp 2
ip route 220.210.194.0/25 gateway pp 2
以下参考にしてください。
http://jp.yamaha.com/products/network/solution/flets/flets_other_service/square-nvr500/
書込番号:20542693 スマートフォンサイトからの書き込み
0点
>sorio-2215さん
プロバイダに関してとその設定に関してありがとうございます。
>何故、府中インターネットを契約しているのですか?
>ロカールキャリアのプロバイダ機能・勧誘にそそのかされている様に見受けます。
これは、BIGLOBEが去年秋まではそれなりの速度だったのですが、秋くらいから夜全然速度が出なく10Mbps出るか出ないかでして、良いプロバイダが無いか探していたのです。
V6プラスにすると良いと言う事がBIGLOBEのページに書かれていたのですが、このプロバイダにプラス料金をかけてまでいるところかな?という考えがあり、速度が常時100Mbpsオーバー出せている府中インターネットに乗り換えようかと考えていたのです。
何故まだBIGLOBEも契約してるかといいますと、データSIM契約があるのと12月に府中インターネットで致命的な障害が発生したので保険のためまだ契約中なのです。
書込番号:20542697
0点
誤解されているかと思います。
biglobeのv6プラス申請は、無償扱いになっている筈です。月額費用も無償になっている筈ですが。
書込番号:20542774 スマートフォンサイトからの書き込み
0点
>sorio-2215さん
今確認しました、すいません料金はかかりませんでした。
この注意事項に引っかかっていたので申請していませんでした
・一部通信型ゲームなど、特定ポートを使用するサービス、または、複数のユーザでIPアドレスを共有すると利用できないサービス。
・利用可能なポート番号、ポート数に制限があります。 外部へサーバ公開をお考えの方はご利用できません。
特に、NASのデータを外出先でやりとりする場合は出来ないと言われ、実際Gaming+というIPv6のプロバイダを1ヶ月使ってみたところPS3 PS4のオンラインゲームが制限されてしまい、私には使えない物だと思いました。
書込番号:20542912
0点
そうですよね?
誤解かと思いました。
ご心配のネットワークゲームなども、biglobe v6プラス申請→NVR500でのPPPOE接続、IPV6デュアルスタック設定構成にて、IPV4とIPV6のグローバルIP併用サービスの為、問題無い筈ですが。
書込番号:20542984 スマートフォンサイトからの書き込み
0点
sorio-2215さんへ
1つ質問なのですが、
そもそもIPv6サービスを提供していないプロバイダの場合や、
IPv4のみネットワーク内でローカルルータとして使う場合などでは
NVR500では本来のパフォーマンスを発揮できないということなのでしょうか?
書込番号:20543644
0点
御質問の件ですが、回線サービス機能に依存します。
ローカルルーティング機能でも、回線サービスの上限値まで利用可能な機能を、プロバイダー側にて提供しているのでしたら、論理的には可能です。
NTT-NGN網では、IPV6網を併用しませんと、回線機能を活かせる事は出来ません。
ルーターの挙動として、その回線サービス機能に適切な設定をするかどうかになってます。
NTT公開の技術仕様書も、web公開されてます。
書込番号:20543773 スマートフォンサイトからの書き込み
0点
ご返答ありがとうございます。
つまり、IPv4のみの設定では
NVR500自身がパフォーマンスを出せてないのではなく、
NGN網側がブレーキを掛けてる、ということなのでしょうか。
> NTT公開の技術仕様書も、web公開されてます。
難しくてよく判りません。。 (^^;
書込番号:20543829
0点
少し、ニュアンスが違います。
NGN網がブレーキをかけているのでは無く、NGN網内でのIPV4-PPPOE接続通信が、ブレーキをかける頻度が、プロバイダー選択により、雲泥の差が有るとお考えください。
NGN-IPV6網から、中継のプロバイダー間の遅延対応として、プロバイダー設備側のIPV6管理機能と、ご利用ルーターのIPV4とIPV6の機能設定が、適切かどうかになります。
書込番号:20543970 スマートフォンサイトからの書き込み
0点
ありがとうございます。
# 判ったような判らないような…(苦笑)
IPv6サービスをしていないプロバイダだと、なすすべ無しということなんでしょうかねぇ?
書込番号:20543995
0点
多少難しいかもしれませんが、NTT回線網・次世代ネットワーク網の仕様書公開サイトです。
※ https://www.ntt-east.co.jp/info-st/mutial/ngn/
簡単に言うと、NTTのNGNネットワーク網の技術要件として、@より高スループットを維持するための帯域サーバQOS制御機構をNTT側にて用意する ANGN網内のNACFサーバー(相互ゲートウェイ認証サーバ)を用意し、セキュリティを確保する BIPV4世代の回線と比較して、NGN網内に制御サーバーと、その上にトラフィック制御システムを構成し、回線混雑時に通信振り分け可能とする C上記用件を維持するため、NGNネットワーク網間のアドレス構成を、IPV6アドレスに構成する。
上記要件が有るため、NGN網の通信を通して、プロバイダの認証通信方式をどのルートで構成するか、NGNのIPV6網へそのままトンネルしPPPOE認証させるか、NGNのIPV6網とプロバイダ側にてIPV6ネットワーク・ゲートウェイを新たに導入中継させて、より帯域を落とさずに通信させる方式かの選択になった現状があります。
NGN回線網を利用している限り、帯域制御周りの制約を無視出来ない回線を要望される場合、IPV6方式は、とってもとれない状況にあります。
よって、NGN網がブレーキをかけているわけでは無く、契約プロバイダの回線仕様がネックである点、ご利用のルーターのIPV4/IPV6の通信設定が、適切な設定をしているかどうかの判断になります。
書込番号:20544883
1点
>sorio-2215さん
こんばんは
教えていただいたコマンドで当初のNVR500よりも速度が出ました。
本当設定次第なのですね
あとV6プラスに登録してNVR500ならポート問題は大丈夫で速度も出ると言うことがわかりました
YAMAHAサポートセンターやプロバイダでも解決しなかった事がこちらで色々と分かりましたが、サポートよりも詳しいsorio-2215さんには感謝いたします。
NVR500に関してはコマンドリファレンス等の関係書を読み切ったりしているのでしょうか?
書込番号:20545675
0点
改善が出来た状態で、良かったですね。
ヤマハルーターの構築につきましては、個人的に仕事先の事象があった点、関連の資格取得にかなり力を入れていた仕事の経歴が有った為かと思います。
ヤマハサポートのSEの方も知っていますが、具体的に回線機能とやりたいことをうまく明示化出来れば、適切なコマンド案内は有ったかと思いますよ。
書込番号:20545772 スマートフォンサイトからの書き込み
1点
こんにちは。
レビューを拝見すると、「VPNでL2TP/IPsecが使えない」と書かれています。
しかし、メーカーホームページの仕様表を確認すると、使えるように見えます。
私の勘違いでしょうか?
0点
http://jp.yamaha.com/products/network/functions/#l2tp
NVR510のL2TP/IPsec接続はスマホ/タブレットなど携帯端末に限定し、端末OSがVPN(L2TP/IPsec)設定できるもの。
http://jp.yamaha.com/products/network/solution/vpn/smartphone/android/
書込番号:20447171
1点
>Hippo-cratesさん
返信ありがとうございます。
iPhoneからは接続出来るが、ネットボランチDNSを利用する拠点間接続には対応していないという事になるのでしょうね。
iPhoneにテザリングでWinPCから接続したかったのですが無理そうですね。
ありがとうございました。
書込番号:20447582 スマートフォンサイトからの書き込み
1点
>トミカ555さん
https://twitter.com/yamaha_sn/status/798450029098725378
に理由が書かれていますが、
> iOS 10およびmacOS Sierraにおいて、PPTPのサポートが終了したことを受けて、NVR510でリモートアクセスVPNを継続利用していただく為にRev,10.01.03より「L2TP/IPsec機能」を実装いたしました。
だそうです。
リモートアクセスVPNがApple系のOSで使えるようにするための救済策で仕様変更という事でしょう。
ハード的には高スペックのCPUが載っているので実装すればIPsecでのLAN間接続もできると思われますが、営業的な面からIPsecでLAN間接続したい方は上位モデル購入してくださいという事だと思います。
自分はRT107eをNVR510の下にぶら下げて(RT107eの方で)IPsecでLAN間接続しているのであまり困っていませんが。
NVR510の前はNVR500を使用していたので、小型ONUにしてNTTの貸出機器(結構でかい)を整理(返却)したかったので入れ替えたような状況です。
書込番号:20447887
1点
>埼玉県越谷市民さん
なるほど、詳しくありがとうございます。
実は私もiPhoneテザリングでのNVR500とのLAN間接続をしていましたが、iOS10に上げてから困っていました。
後継機の510で解決出来るならと検討した次第です。
iOS対策であれば、まだまだ稼働している500にもせめてファーム対応願いたいものです。
LAN間接続は出来ませんが、使い所はありますので。
RTX810辺りの中古でも検討する事にしましょう。
この件はこれで締めさせていただきます。
御二方ともありがとうございました。
書込番号:20448088 スマートフォンサイトからの書き込み
2点
中古であれば、RTX810よりRTX1200がだぶついていますので、RTX1200の方が安価ですが。
オークションの素性では、どういった機器か流動的になるため、SOHO向けショップから購入されては如何でしょうか?
※ http://vigonetlabs.net/products/detail.php?product_id=60
※ https://www.amazon.co.jp/%E3%80%90%E4%B8%AD%E5%8F%A4%E3%80%91-YAMAHA-RTX1200-1000BASE-T%E6%90%AD%E8%BC%89VPN%E3%83%AB%E3%83%BC%E3%82%BF%E3%83%BC-%E5%88%9D%E6%9C%9F%E5%8C%96%E6%B8%88/dp/B01LX4CTIC/ref=sr_1_2/352-2655268-4476861?s=computers&ie=UTF8&qid=1480821862&sr=1-2&keywords=rtx1200+%E4%B8%AD%E5%8F%A4
※ http://www.pasocomclub.co.jp/list/router.html
※ http://www.pcserver1.jp/nw/detail/20
RTX1200であればファームウェアを最新版適用にて、L2TP/IPSEC、L2TPv3/IPSEC、IPSEC-VPN、それぞれNATーTも対応可能です。
書込番号:20452720
3点
>sorio-2215さん
仰る通り1200がお買い得ですね。
検討しますね。
貴重な情報をありがとうございます。
書込番号:20453165 スマートフォンサイトからの書き込み
1点
Rev.15.01.03 以降のファームウェアで、L2TP/IPsecをサポートしていますよ。
私は活用しています。
書込番号:20526987
2点
現在、ISDN回線で電話2回線を使用しております。
TAは AtermIT31L です。
NVR500 の ISDN回線で電話を利用する場合、TAを外して電話回線を接続するだけで、従来通りに繋がるのでしょうか。
ギガ対応の有線LANルーターを目的に購入しようと調べていたら、ISDN回線での電話も利用できるようでした。
複雑な設定方法等は苦手ですが、どなたか、詳しく教えて頂ければ幸いです。
1点
http://www.rtpro.yamaha.co.jp/RT/manual/nvr500/Users.pdf
P.43 ISDN回線のみでインターネット接続する/通話する
TA無しで電話2回線につなぐことは簡単。
業務用だからISDNでの通話と光回線のネット接続を並立も可能だが、いきなりハードルが10段ぐらい上がる。
ISDNでの通話はTAにまかせてギガ回線に適した家庭用ルーター買った方がいいと思う。
それと家庭用の有線ルーターは[高い→売れない→設計が古い→機能が少ない]という悪循環に陥っているから、無線ルーターを買って無線機能を使わない or 停止しておけばいい。
例:Buffalo WSR-1166DHP2 http://kakaku.com/item/K0000807036/
書込番号:20503976
1点
こんにちは
>複雑な設定方法等は苦手ですが、
この製品は基本業務用です。
ただ、ヤマハの製品は 使用用途によって親切にマニュアルに書いてあります。
その内容で理解出来れば使えますので読んでみて下さい。
書込番号:20504372 スマートフォンサイトからの書き込み
2点
NVR500ルーターにてISDN回線機能は利用出来ますが、現実的にはISDN機能にて代表TELと iナンバーの番号を、光電話基本プラン(ダブルチャンネル、マイナンバー2)移行にされた方が良いかと存じます。
ISDNでなければいけない制約(ファームバンキングや、G4-FAXなど)を併用する場合には、ISDN回線のみの回線になりますが、月額コスト的に個人用にて月額2,780円(税抜)、iナンバー月額300円、フレッツISDN月額2,800円、プロバイダ料月額800円〜と言った形になります。
インターネット機能を利用していないのでしたら、ISDNのままで構いませんが、それですとNVR500を利用する意味は無いかと思います。
仮にインターネット利用する場合においても、2,780+300+2,800+800円と言った形ですと、基準価でも6,680円程度はかかります。
上記のコストをかけるぐらいだったら、光電話回線を利用するプランでコラボレーションタイプの光プランの方が安価だったりします。
書込番号:20505537
1点
Hippo-cratesさん
>TA無しで電話2回線につなぐことは簡単。業務用だから・・・・・・
家庭用の有線ルーターは[高い→売れない→設計が古い→機能が少ない]という悪循環に・・・・・・・・ 停止しておけばいい。
業務用、そう言えば聞いたことも無いような機能が謳われておりました。
無線機能を使わない方法もあるのですね。分かりました。
LVEledeviさん
>ヤマハの製品は 使用用途によって親切にマニュアルに書いてあります。
詳しく読んで勉強してみます。
sorio-2215さん
>上記のコストをかけるぐらいだったら、光電話回線を利用するプランでコラボレーションタイプ・・・・・・・・・安価だったりします。
コストの事まで丁寧に教えて頂き、ありがとうございました。そこまでは、全く考えておりませんでした。
皆さん、親切な回答を頂きありがとうございました。
大変、参考になりました。
書込番号:20508970
0点
クチコミ掲示板検索
新着ピックアップリスト
-
【その他】AMD ベアボーン
-
【Myコレクション】メイン機メモ
-
【Myコレクション】これ買っちゃおっかな〜
-
【欲しいものリスト】次のMini-ITX このPCケースに惚れそう
-
【欲しいものリスト】Core Ultra 3 205出たらこのくらいで組みたい
価格.comマガジン
注目トピックス
(パソコン)
