このページのスレッド一覧(全417スレッド)
| 内容・タイトル | ナイスクチコミ数 | 返信数 | 最終投稿日時 |
|---|---|---|---|
 netvolanteでリモート失敗 |
12 | 69 | 2021年11月4日 20:55 |
OCNバーチャルコネクトでのネットボランチDNS設定について |
1 | 10 | 2021年11月4日 07:34 |
| PPTPサーバーがグローバルIPで使えない? |
1 | 40 | 2021年10月13日 16:00 |
| インターネットに繋がりません |
5 | 54 | 2021年10月4日 14:12 |
| VPN接続PCの制限方法について |
6 | 8 | 2021年9月16日 21:53 |
| VPNの速度はどのくらい出ますか? |
7 | 5 | 2021年9月13日 09:04 |
- 「質問の絞込み」の未返信、未解決は最新1年、解決済みは全期間のクチコミを表示しています
お気に入りに追加
教えて下さい。
ネットボランチを利用してリモート接続をしたいと思っています。
回線:NTT光隼 単体ONU配下にNVR
PPPoE IPv6 IPoE(RA) 接続(トンネルなし)
リモート側
docomoテザリングでwindows10PC
キー、パスワード、ホスト名はテキストをコピーしたので
打ち間違いはない。
WindowsのVPNのプロパティでCHAPのプロトコルを許可チェック済み
コンソール接続で、ルータ内からと、テザリング接続したPCからも
***********.aa0.netvolante.jpにpingOK
IKE and AuthIP IPsec Keying Modules
IPsec Policy Agent
両方動作中
リモートコンピューターと最初にネゴシエートするときに、セキュリティ層で
処理エラーが検出されたため、L2TP接続に失敗しました
となり、接続できません。
NVRの設定は下記の通りです。
お知恵をお貸しください。よろしくお願いいたします。
user attribute administrator connection=serial,telnet,remote,ssh,sftp,http gui-page=dashboard,lan-map,config login-timer=300
console columns 200
console lines infinity
ip route default gateway pp 1
ip filter source-route on
ip filter directed-broadcast on
ipv6 prefix 1 ra-prefix@lan2::/64
ip lan1 address 192.168.0.1/24
ip lan1 proxyarp on
ipv6 lan1 address ra-prefix@lan2::1/64
ipv6 lan1 rtadv send 1 o_flag=on
ipv6 lan1 dhcp service server
ipv6 lan1 mld router version=2
ipv6 lan2 secure filter in 101000 101001 101002
ipv6 lan2 secure filter out 101099 dynamic 101080 101081 101082 101083 101084 101085 101098 101099
ipv6 lan2 dhcp service client ir=on
ipv6 lan2 mld host version=2
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname *****@**********.ne.jp **********
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp mtu 1454
ip pp secure filter in 1020 1030 2000 200099 200100 200101 200102 200103 200104 200105
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106 107
ip pp nat descriptor 1
netvolante-dns hostname host pp server=1 ***************.aa0.netvolante.jp
pp enable 1
pp select anonymous
pp bind tunnel1
pp auth request chap-pap
pp auth username ******** ************
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel encapsulation l2tp
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac
ipsec ike keepalive use 1 off
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ************
ipsec ike remote address 1 any
l2tp tunnel disconnect time off
ip tunnel tcp mss limit auto
tunnel enable 1
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1020 reject 192.168.0.0/24 *
ip filter 1030 pass * 192.168.0.0/24 icmp
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter 200099 pass * 192.168.0.1 udp * 500
ip filter 200100 pass * 192.168.0.1 udp * 500
ip filter 200101 pass * 192.168.0.1 esp
ip filter 200102 pass * 192.168.0.1 udp * 1701
ip filter 200103 pass * 192.168.0.1 udp * 4500
ip filter 200104 pass * 192.168.0.1 udp * 1701
ip filter 200105 pass * 192.168.0.1 udp * 1701
ip filter 500000 restrict * * * * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * submission
ip filter dynamic 106 * * tcp
ip filter dynamic 107 * * udp
nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.0.1 udp 500
nat descriptor masquerade static 1 2 192.168.0.1 esp
nat descriptor masquerade static 1 3 192.168.0.1 udp 4500
nat descriptor masquerade static 1 4 192.168.0.1 udp 1701
ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipv6 filter 101000 pass * * icmp6 * *
ipv6 filter 101001 pass * * tcp * ident
ipv6 filter 101002 pass * * udp * 546
ipv6 filter 101099 pass * * * * *
ipv6 filter dynamic 101080 * * ftp
ipv6 filter dynamic 101081 * * domain
ipv6 filter dynamic 101082 * * www
ipv6 filter dynamic 101083 * * smtp
ipv6 filter dynamic 101084 * * pop3
ipv6 filter dynamic 101085 * * submission
ipv6 filter dynamic 101098 * * tcp
ipv6 filter dynamic 101099 * * udp
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.0.2-192.168.0.100/24
dns host lan1
dns service fallback on
dns server pp 1
dns server dhcp lan2
dns server select 2 pp 1 any . restrict pp 1
dns server select 500000 dhcp lan2 any .
dns private address spoof on
schedule at 1 */Sun 00:00:00 * ntpdate ntp.nict.jp syslog
l2tp service on
httpd host lan1
analog sip arrive permit 1 off
analog sip call permit 1 off
analog sip arrive permit 2 off
analog sip call permit 2 off
alarm entire off
statistics traffic on
statistics nat on
0点
Windows10のNATトラバーサル通信許可、レジストリ変更、セキュリティソフトのファイアーウォール許可、出先ルーターのIPSECパススルー許可をご確認ください。
※ buffalo NATトラバーサル変更ツール
https://www.buffalo.jp/support/download/detail/?dl_contents_id=61518
書込番号:24425041 スマートフォンサイトからの書き込み
0点
>sorio-2215さん
コメントありがとうございます。
後ほど、リンク先を確認させていただき検証して
みたいと思います。
まずは、お礼まで。
ありがとうございました。
書込番号:24425087
0点
『
docomoテザリングでwindows10PC
』
テザリングでWi-Fi接続した「windows10PC」のIPアドレスををご確認いただき、投稿してください。
『
IKE and AuthIP IPsec Keying Modules
IPsec Policy Agent
両方動作中
』
「誰にでもできる!テレワーク向けVPNサーバを構築してみた。」を確認すると、VPN接続先のネットワーク上のIPアドレスでアクセスしていますので、NVR510のVPNサーバ(IPsec/L2TP)にVPNクライアントはブリッジ接続する仕様のようです。この接続形態では、NVR510のLAN側のネットワークアドレス192.168.0.1/24と同一のネットワークに接続します。
テザリングでWi-Fi接続した「windows10PC」のIPアドレスは、VPNサーバ側のネットワークアドレスス92.168.0.1/24とは、別のセグメント内のIPアドレスでないと、VPNトンネルに192.168.0.1/24宛のパケットを通せません(ルーティングできません)。
『
誰にでもできる!テレワーク向けVPNサーバを構築してみた。
実際にIPsec/L2TP VPNサーバを構築してみる。
今回は一般的に中小企業などでの利用が多い、YAMAHA製のNVR510というルーターを使って環境構築する方法を紹介したいと思います。
:
クライアント設定:Windows10パソコン
:
実際にリモート接続してみよう!
:
まずはブラウザから遠隔地にあるNASの管理画面にアクセス。<== 192.168.1.20が表示されています。
:
もちろんリモートデスクトップでも接続OKです。 <== 192.1681.10が表示されています。
』
https://mazu-bunkai.com/bunkai-wp/pc/9764/#toc4
書込番号:24425506
1点
>LsLoverさん
コメントありがとうございます。
お二方に質問させて下さい。
私の足りない知識の中で考えていたの
ですが、繋がってから疎通が取れない
場合の対策なのかな?と思ったのですが。
nat の変換、ルーティング、ipアドレスなど
まずは、セッションが繋がってからの中身
かな?って思ったのですが。
まだ、何も検証できていないのですが。
また、お知恵をお貸しください。
よろしくおねがいします。
書込番号:24425647 スマートフォンサイトからの書き込み
0点
接続出来ない要素、L2TPエラーの殆どは、ご指摘のコンフィグを見る限り、
出先のNATトラバーサルのレジストリ変更、採用しているセキュリティソフトの許可、Windowsファイアーウォール周りの許可、出先ルーターのIPSECパススルー(ESP/プロトコル番号50、UDP500、UDP4500、UDP1701の透過)になります。
L2TP接続時のWindowsの
コントロールパネル>ネットワークとインターネット>ネットワークと共有センター>(左メニュー)アダプターの設定の変更。
該当の接続を右クリック>プロパティ。セキュリティタブの「チャレンジハンドシェイク認証プロトコル(CHAP)にチェックを入れる。
Windowsの管理ツールよりサービスを選択。または【Win+R】で開いたウインドウに「services.msc」と入力して実行。
「IKE and AuthIP IPsec Keying Modules」、「IPsec Policy Agent」を探して、実行中になっていなければ、右クリックして「開始」を押す。
同時にWindowsの起動時に起動させる場合は、右クリックして、プロパティーをクリック。「スタートアップの種類」の項目を「自動」に変更。
出先ルーターのIPSECパススルーについては、ルーターの機種・型式によって違いますので、ご確認ください。
書込番号:24425669
1点
『
繋がってから疎通が取れない
場合の対策なのかな?と思ったのですが。
』
混乱させてしまったようなので、先ずは、sorio-2215さんの[ 書込番号:24425669 ]の投稿内容に従ってご確認頂き、状況を投稿してください。
書込番号:24425843
0点
 |
 |
 |
 |
|---|---|---|---|
いろいろと確認したものを報告させていただきます。
リモート側環境
android 11 テザリング
windowsパソコン WiFiでスマホのテザリングに接続
アドレスは、android端末から払い出し
リモートPCの取得アドレス 192.168.116.223/24
GW 192.168.116.49
ルータ等はリモート側に無し
windowsディフェンダー、ノートン360ファイアーウォール オフ
7つパソコンの設定画像を添付します。
他に情報が必要であればお願いいたします。
よろしくお願いいたします。
書込番号:24426123
0点
『
windowsパソコン WiFiでスマホのテザリングに接続
アドレスは、android端末から払い出し
リモートPCの取得アドレス 192.168.116.223/24
GW 192.168.116.49
』
このネットワークでしたら、[ 書込番号:24425506 ]内の「テザリングでWi-Fi接続した「windows10PC」のIPアドレスは、VPNサーバ側のネットワークアドレスス92.168.0.1/24とは、別のセグメント内のIPアドレスでないと、VPNトンネルに192.168.0.1/24宛のパケットを通せません(ルーティングできません)。」部分はクリアしています。
[ 書込番号:24426125 ]3枚目画像内の
『
リモートコンピューターと最初に根越エーロするときに、セキュリティ層で処理エラーが検出されたため、L2TP接続に失敗しました。
』
以下は、参考になりませんか?
『
【簡単テレワーク】Windows10でVPN(L2TP/IPsec)接続ができないときの対処法
VPN(L2TP/IPsec)設定が正しいか確認
まず基本的な設定を確認します。「リモートコンピューターと最初にネゴシエートするときに、セキュリティ層で処理エラーが検出されたため、L2TP接続に失敗しました」は事前共有キーが間違っている場合も考えられます。
:
サービスの確認方法
「IKE and AuthIP IPsec Keying Modules」、「IPsec Policy Agent」を探して、実行中になっていなければ、右クリックして「開始」を押す。
』
https://dot1.tv/l2tpnotwork/
書込番号:24426394
1点
スミマセン、誤記訂正します。
【誤】
『
リモートコンピューターと最初に根越エーロするときに、セキュリティ層で処理エラーが検出されたため、L2TP接続に失敗しました。
』
【正】
『
リモートコンピューターと最初にネゴシエートするときに、セキュリティ層で処理エラーが検出されたため、L2TP接続に失敗しました。
』
書込番号:24426432
0点
>LsLoverさん
コメントありがとうございます。
キーは、コンフィグからテキストをコピーして
貼り付けたり、手入力で入れ直したりと5、6回は
作り直しているので、間違っては無いと思うの
ですが…。
もう、何度か作り直しをやって、みたいと思います。
また、報告します。
他にも試した方がいいことがあれば、
教えて下さい。
よろしくおねがいします。
書込番号:24426461 スマートフォンサイトからの書き込み
0点
>熊(゜(工)゜)ノさん
Yamahaのルータはしばらく触ってないので良くわかりませんが
ルータ側でMTUの調整されてますが、クライアント側のWindowsの方はされてますか?
参考:VPN通信のMTU, MSSを指定する方法 | KUSONEKOの見る世界
https://kusoneko.blogspot.com/2018/08/set-mtu-mss-on-vpn.html
「netsh interface ipv4 show interface」でテザリングで接続するWiFiのMTUを確認して下げてみる。
VPNのMTUはそこから自動的に-100された値になると思われます。
VPN接続が万一できた場合は、接続を切る前にVPNのinterfaceに対してMTUを調整してみる。
VPNのinterfaceは接続中でないと表示されないので、この状態で調整、後に再確認しOKであれば
WiFiのMTUを戻して再確認してみてください。
udpなので断片化してるのではと思います。
書込番号:24426491
1点
 |
|---|
>たく0220さん
コメントありがとうございます。
教えて頂いたページの計算機を使うと
NVRのコンフィグのMTUが
ip pp mtu 1454
になっていたので、この画像の計算のMTU MSSに
あわせればいいという事なのでしょうか?
リモートPCの
netsh interface ipv4 show interfaceで
WiFiのMTUは1500となっていました。
netsh interface ipv4 set interface ** mtu=1354
とすればいいという事になるのでしょうか?
また、
iptables -t mangle -A PREROUTING -m policy --pol ipsec --dir in -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1335:1536 -j TCPMSS --set-mss 1334
iptables -t mangle -A POSTROUTING -m policy --pol ipsec --dir out -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1335:1536 -j TCPMSS --set-mss 1334
行最後の 1334のみ2箇所 を 1314と置き換えて実行すればいいという意味なのでしょうか?
--mss 1335:1536 の部分はイマイチ理解できていません。
理解できていないので教えて下さい。
よろしくお願いいたします。
書込番号:24426529
0点
『
キーは、コンフィグからテキストをコピーして
貼り付けたり、手入力で入れ直したりと5、6回は
作り直しているので、間違っては無いと思うの
ですが…。
』
という状況ですと「事前共有キー」は、正しく入力されていると言うことでしょう。
『
もう、何度か作り直しをやって、みたいと思います。
』
以下の設定を見直してください。
VPNクライアント側の[プロパティ]->
・[オプション]タブ内の切断するまでの待ち時間;[切断しない]
・[オプション]タブー>[PPP設定]内の「レ」LCP拡張を使う
・[セキュリティ]タブ内の[データの暗号化]:暗号化が必要(サーバ側が拒否する場合は切断します。)
・[セキュリティ]タブ内の[認証]
◎次のプロトコルを許可する
「 」暗号化されていないパスワード
「 」チャレンジハンドシェイク認証プロトコル
「レ」Microsoft CHAP Version 2
「 」Windowsのログオン名とパスワード(およびドメイン名がある場合はそめいん)を自動的に使う
・[ネットワーク]タブ
「レ」インターネットプロトコルバージョン4
「レ」Microsoftネットワーク用ファイルとプリンター共用
「レ」Microsoftネットワーク用クライアント
・[共用]タブ->[インターネット接続の共有]
「 」ネットワークのほかのユーザーに、このコンピュータをとおしての接続を許可する
ホームネットワーク接続:プライベートネットワーク接続の選択
書込番号:24426550
0点
連続投稿で申し訳有りません。
[ 書込番号:24426394 ]で投稿済みですが、[サービス]で「IPsec Policy Agent」実行中になっていなければ、右クリックして「開始」を押す。
書込番号:24426567
0点
>熊(゜(工)゜)ノさん
すみません、参考URLはWindowsの設定方法をお伝えしたかっただけなのですが
>iptables -t mangle -A PREROUTING -m policy --pol ipsec --dir in -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1335:1536 -j TCPMSS --set-mss 1334
...
はVPNサーバーがLinuxの場合になりますので、無視して下さい。
L2TPトンネルの設定は
>ip pp mtu 1258
とされてますよね?下記の方が参考にすれば良かったかかもしれません。
参考:YAMAHA RTXシリーズ + Windows標準VPN機能 で L2TP/IPsecリモートアクセス
https://cathval.com/network/3847
ですので、L2TPトンネル確立後はこの値になると思われます。
とりあえず断片化してると書きましたが、正確には断片化を禁止するDFビットが立っている場合は
受け取り側のMTUを超えてたら分割できず破棄される可能性がありますので、MTUを小さく設定した上で実験して原因の切り分けをしてみてください。
>netsh interface ipv4 set interface ** mtu=1354
>
>とすればいいという事になるのでしょうか?
とりあえず設定しやすいWiFiで、mtu=1454あたりからmtu=1358、mtu=1300までいくつか試してみてください。
まずは切り分けが先決かと思います。
書込番号:24426580
0点
MTUとMSSは、今回のケースでは関係無いかと思いますよ。
念のためですが、ヤマハルーターのWEB設定項目にて、netvolante DNSにて、PPPoEのグローバルIPが検出しているか、ご確認ください。
それと、netvolante DNSの通信には、TCP2002ポートを利用していますが、ルーターの不確定現象にて、動的フィルターがおかしな動作になる事も有りますので、
ip pp secure filter out の dynamic以降の項目を削除したものを再度適用してみてください。
コマンドから入力する場合には、
pp select 1
ip pp secure filter out と続けて下さい。
書込番号:24426678 スマートフォンサイトからの書き込み
1点
『
キーは、コンフィグからテキストをコピーして
』
「コンフィグからテキストをコピー」とは、どの部分のテキストをコピーしたのでしょうか?
書込番号:24426714
0点
すみません、確認不足でした。
『
IKE and AuthIP IPsec Keying Modules
IPsec Policy Agent
両方動作中
』
[ 書込番号:24426567 ]はスルーしてください。
L2TP接続を受け入れるための設定でVPNクライアントのリモートアドレスプールの設定は、不要なのでしょうか?
書込番号:24426720
0点
度々で申し訳有りません。
[ 書込番号:24426550 ]内の誤記を訂正させて頂きます。
【誤】
・[セキュリティ]タブ内の[認証]
◎次のプロトコルを許可する
「 」暗号化されていないパスワード
「 」チャレンジハンドシェイク認証プロトコル
「レ」Microsoft CHAP Version 2
「 」Windowsのログオン名とパスワード(およびドメイン名がある場合はそめいん)を自動的に使う
【正】
・[セキュリティ]タブ内の[認証]
◎次のプロトコルを許可する
「 」暗号化されていないパスワード
「レ」チャレンジハンドシェイク認証プロトコル
「レ」Microsoft CHAP Version 2
「 」Windowsのログオン名とパスワード(およびドメイン名がある場合はそめいん)を自動的に使う
書込番号:24426748
1点
>LsLoverさん
VPNのプロパティの設定情報ありがとうございます。
確認した所、全ておっしゃるとおりに設定されておりました。
>たく0220さん
Linuxコマンドの場所を見ていたんですね、気づきませんでした。
申し訳ございません。
ご指摘ありがとうございます。
書込番号:24426778
0点
>sorio-2215さん
新しい情報ありがとうございます。
「ip pp secure filter out の dynamic以降の項目を削除したものを再度適用してみてください。」
とありましたので、
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000
までにしてみましたが、
ネットボランチDNSの名前解決ができませんとtelnetログイン内から
ping も飛ばなくなりました。
元の、
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106 107
に、戻すと
再登録も問題なく、pingも飛び、WEB上で表示されているホスト名と、グローバルIPも一致しています。
ご報告いたします。
よろしくお願いいたします。
書込番号:24426823
0点
以下の情報は、参考になりませんか?
NVR510のログを確認して、VPN(L2TP/IPSec)接続がどのフェーズまで進んでいるかご確認できませんか?
DEBUGログのご確認も解決に結びつくことが多いかと思います。
『
トラブル原因と対処方法
3-1 L2TPクライアントの設定間違いによるVPN接続失敗
3-2 PPフィルターの設定間違いによるVPN接続失敗
3-4 キープアライブの設定によるVPN接続失敗
ケース1 IKEキープアライブの設定によるVPN切断
ログの確認
※ ログ採取の前にルーターに"syslog debug on"を設定しておきます。
』
https://network.yamaha.com/setting/router_firewall/ts_router/vpnl2tp_connect#point03
書込番号:24426980
1点
>LsLoverさん
コメントありがとうございます。
logをとってみましたが
[IKE]
[L2TP] TUNNEL[1]
などの記載があるログは存在していませんでした。
UDPでRejectedの表記のあるものもありませんでした。
そもそも、ルータまでリモートから到達すらできていない
という感じでしょうか?
ご紹介頂いた3−2以降の設定を再度確認しましたが
問題ありませんでした。
ご報告いたします。
よろしくお願いいたします。
書込番号:24427103
0点
念の為に、別のアンドロイドスマホ、別のSIMからテザリングしてみましたが、
結果は同じでした。
ご報告いたします。
書込番号:24427135
0点
ip pp secure filter のエントリーの書き方がおかしいので、
一度、ip pp secure filter in と ip pp secure filter out を全て許可に変更可能でしょうか?
基本的に、in側にて2000番のエントリーで拒否していますが、下記のコマンドに変更可能でしょうか?
ヤマハルーターのフィルタの書き方は、デフォルトで個別拒否しておき、最終行で全許可するか、
デフォルトで許可しておき、最終行で拒否するかになります。
ip pp secure filter in 1020 1030 200099 200100 200101 200102 200103 200104 200105 3000
ip pp secure filter out 1010 1011 1012 1013 1014 1015 200103 200104 200105 3000
それと、フィルタが重複していますよ。
下記の様に、INフィルタのIPSEC許可、OUTフィルタにも許可をしてみて下さい。
ip filter 200099 pass * 192.168.0.1 udp * 500
ip filter 200100 pass * 192.168.0.1 esp
ip filter 200101 pass * 192.168.0.1 udp * 1701
ip filter 200102 pass * 192.168.0.1 udp * 4500
ip filter 200103 pass * * udp 500 *
ip filter 200104 pass * * udp 1701 *
ip filter 200105 pass * * udp 4500 *
書込番号:24427255
1点
>sorio-2215さん
フィルターの設定見返して・・・なんじゃこりゃ・・・
ご指摘の通りです。
チェックすらしてませんでした。お恥ずかしい・・・
フィルターの設定を頂いたものに差し替えた所つながるようになりました。
inの2000のフィルタが悪さしていたと考えればいいのでしょうかね?
その他で、追加で推奨のフィルタ設定等があれば教えて下さい。
よろしくお願いいたします。
書込番号:24427295
0点
フィルタのルールですが、トロイの木馬系のポートフィルタ、ファイル共有のフィルタ、インターネット側からのSQLフィルタ、RDP接続のフィルタ等を総合的に考えると、下記の様な形になるかと思います。
基本的に動的フィルタの自動追加は、ヤマハルーターの仕様上うまく追加出来ませんので、動的フィルタは利用しません。
例としてですが、
ip filter 200000 reject 10.0.0.0/8 * * * *
ip filter 200001 reject 172.16.0.0/12 * * * *
ip filter 200002 reject 192.168.0.0/16 * * * *
ip filter 200003 reject 192.168.0.0/24 * * * *
ip filter 200004 reject-nolog * * udp,tcp * ftpdata-telnet
ip filter 200005 reject-nolog * * udp,tcp ftpdata-telnet *
ip filter 200006 reject-nolog * * udp,tcp 512-printer *
ip filter 200007 reject-nolog * * udp,tcp * 512-printer
ip filter 200008 reject-nolog * * tcp,udp * dhcps-gopher
ip filter 200009 reject-nolog * * tcp,udp dhcps-gopher *
ip filter 200010 reject * 10.0.0.0/8 * * *
ip filter 200011 reject * 172.16.0.0/12 * * *
ip filter 200012 reject * 192.168.0.0/16 * * *
ip filter 200013 reject * 192.168.0.0/24 * * *
ip filter 200014 reject-nolog * * udp,tcp talk-518 *
ip filter 200015 reject-nolog * * udp,tcp * talk-518
ip filter 200016 reject-nolog * * udp,tcp 520 *
ip filter 200017 reject-nolog * * udp,tcp * 520
ip filter 200018 reject-nolog * * udp,tcp uucp *
ip filter 200019 reject-nolog * * udp,tcp * uucp
ip filter 200020 reject * * udp,tcp 135 *
ip filter 200021 reject * * udp,tcp * 135
ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 200024 reject * * udp,tcp 445 *
ip filter 200025 reject * * udp,tcp * 445
ip filter 200026 restrict * * tcpfin * www,21,nntp
ip filter 200027 restrict * * tcprst * www,21,nntp
ip filter 200028 reject-nolog * * tcp,udp * 1433-1434
ip filter 200029 reject-nolog * * tcp,udp 1433-1434 *
ip filter 200030 pass * 192.168.0.0/24 icmp * *
ip filter 200031 pass * 192.168.0.0/24 established * *
ip filter 200032 pass * 192.168.0.0/24 tcp * ident
ip filter 200033 pass * 192.168.0.0/24 tcp ftpdata *
ip filter 200034 pass * 192.168.0.0/24 tcp,udp * domain
ip filter 200035 pass * 192.168.0.0/24 udp domain *
ip filter 200036 pass * 192.168.0.0/24 udp * ntp
ip filter 200037 pass * 192.168.0.0/24 udp ntp *
ip filter 200038 pass * 192.168.0.1 udp * 500
ip filter 200039 pass * 192.168.0.1 esp
ip filter 200040 pass * 192.168.0.1 tcp * 1723
ip filter 200041 pass * 192.168.0.1 gre
ip filter 200042 pass * 192.168.0.1 udp * 4500
ip filter 200043 pass * 192.168.0.1 udp * 1701
ip filter 200044 reject * * udp,tcp doom *
ip filter 200045 reject * * udp,tcp 1033 *
ip filter 200046 reject * * udp,tcp 1394 *
ip filter 200047 reject * * udp,tcp 1492 *
ip filter 200048 reject * * udp,tcp 1999-2000 *
ip filter 200049 reject * * udp,tcp 3459 *
書込番号:24427322
0点
続き
p filter 200050 reject * * udp,tcp 4950 *
ip filter 200051 reject * * udp,tcp 5555 *
ip filter 200052 reject * * udp,tcp 6767 *
ip filter 200053 reject * * udp,tcp 6776 *
ip filter 200054 reject * * udp,tcp 7300 *
ip filter 200055 reject * * udp,tcp 10101 *
ip filter 200056 reject * * udp,tcp 22222 *
ip filter 200057 reject * * udp,tcp 23456 *
ip filter 200058 reject * * udp,tcp 30029 *
ip filter 200059 reject * * udp,tcp 31335-31339 *
ip filter 200060 reject * * tcp,udp 31787-31792 *
ip filter 200061 reject-nolog * * tcp,udp * snmp-snmptrap
ip filter 200062 reject-nolog * * tcp,udp snmp-snmptrap *
ip filter 200063 reject-nolog * * udp * route
ip filter 200064 reject-nolog * * udp route *
ip filter 200065 reject-nolog * * tcp,udp * uucp
ip filter 200066 reject-nolog * * tcp,udp uucp *
ip filter 200067 reject-nolog * * tcp,udp * 6000-6063
ip filter 200068 reject-nolog * * tcp,udp 6000-6063 *
ip filter 200069 reject-nolog * * tcp,udp * 2049
ip filter 200070 reject-nolog * * tcp,udp 2049 *
ip filter 200071 reject-nolog * * tcp,udp * 79
ip filter 200072 reject-nolog * * tcp,udp 79 *
ip filter 200073 reject-nolog * * tcp,udp * 26000
ip filter 200074 reject-nolog * * tcp,udp 26000 *
ip filter 200075 reject-nolog * * tcp,udp * 27910
ip filter 200076 reject-nolog * * tcp,udp 27910 *
ip filter 200077 reject-nolog * * tcp,udp * 144
ip filter 200078 reject-nolog * * tcp,udp 144 *
ip filter 200079 reject-nolog * * tcp,udp * 177
ip filter 200080 reject-nolog * * tcp,udp 177 *
ip filter 200081 reject-nolog * * tcp,udp * 15
ip filter 200082 reject-nolog * * tcp,udp 15 *
ip filter 200083 reject-nolog * * tcp,udp * sunrpc
ip filter 200084 reject-nolog * * tcp,udp sunrpc *
ip filter 200085 reject-nolog * * tcp,udp * 4000
ip filter 200086 reject-nolog * * tcp,udp 4000 *
ip filter 200087 reject-nolog * * tcp * 1433-1434
ip filter 200088 reject-nolog * * tcp 1433-1434 *
ip filter 200089 reject-nolog * * tcp,udp * 3268-3269
ip filter 200090 reject-nolog * * tcp,udp 3268-3269 *
ip filter 200091 reject-nolog * * tcp,udp * 5631-5632
ip filter 200092 reject-nolog * * tcp,udp 5631-5632 *
ip filter 200093 reject-nolog * * tcp,udp * 98
ip filter 200094 reject-nolog * * tcp,udp 98 *
ip filter 200095 reject-nolog * * tcp,udp * 3389
ip filter 200096 reject-nolog * * tcp,udp 3389 *
ip filter 200097 reject-nolog * * tcp,udp * 95
ip filter 200098 reject-nolog * * tcp,udp 95
書込番号:24427324
1点
続きA
ip filter 200099 reject-nolog * * tcp,udp * 87
ip filter 200100 reject-nolog * * tcp,udp 87 *
ip filter 200101 reject-nolog * * tcp,udp * 11
ip filter 200102 reject-nolog * * tcp,udp 11 *
ip filter 200103 reject-nolog * * tcp,udp * 1
ip filter 200104 reject-nolog * * tcp,udp 1 *
ip filter 200105 reject-nolog * * tcp,udp * 1024-1026
ip filter 200106 reject-nolog * * tcp,udp 1024-1026 *
ip filter 200107 reject-nolog * * tcp,udp * 1010-1012
ip filter 200108 reject-nolog * * tcp,udp 1010-1012 *
ip filter 200107 reject-nolog * * tcp,udp * 1015-1016
ip filter 200108 reject-nolog * * tcp,udp 1015-1016 *
ip filter 200109 reject-nolog * * tcp,udp * 1020
ip filter 200110 reject-nolog * * tcp,udp 1020 *
ip filter 200111 reject-nolog * * tcp,udp * 1042
ip filter 200112 reject-nolog * * tcp,udp 1042 *
ip filter 200113 reject-nolog * * tcp,udp * 1045
ip filter 200114 reject-nolog * * tcp,udp 1045 *
ip filter 200115 reject-nolog * * tcp,udp * 1050
ip filter 200116 reject-nolog * * tcp,udp 1050 *
ip filter 200117 reject-nolog * * tcp,udp * 1080-1083
ip filter 200118 reject-nolog * * tcp,udp 1080-1083 *
ip filter 200119 reject-nolog * * tcp,udp * 2000
ip filter 200120 reject-nolog * * tcp,udp 2000 *
ip filter 200121 reject-nolog * * tcp,udp * 2049
ip filter 200122 reject-nolog * * tcp,udp 2049 *
ip filter 200123 reject-nolog * * tcp,udp * 2766
ip filter 200124 reject-nolog * * tcp,udp 2766 *
ip filter 200125 reject-nolog * * tcp,udp * 6665-6669
ip filter 200126 reject-nolog * * tcp,udp 6665-6669 *
ip filter 200127 reject-nolog * * tcp,udp * 1243
ip filter 200128 reject-nolog * * tcp,udp 1243 *
ip filter 200129 reject-nolog * * tcp,udp * 5555
ip filter 200130 reject-nolog * * tcp,udp 5555 *
ip filter 200131 reject-nolog * * tcp,udp * 60001
ip filter 200132 reject-nolog * * tcp,udp 60001 *
ip filter 200133 reject-nolog * * tcp,udp * 32764
ip filter 200134 reject-nolog * * tcp,udp 32764 *
ip filter 200135 reject-nolog * * tcp,udp * 37215
ip filter 200136 reject-nolog * * tcp,udp 37215 *
ip filter 200137 reject-nolog * * tcp,udp * 23432
ip filter 200138 reject-nolog * * tcp,udp 23432 *
ip filter 200139 reject-nolog * * tcp,udp * 18006
ip filter 200140 reject-nolog * * tcp,udp 18006 *
ip filter 200141 reject-nolog * * tcp,udp * 3150
ip filter 200142 reject-nolog * * tcp,udp 3150 *
ip filter 200143 reject-nolog * * tcp,udp * 2140
ip filter 200144 reject-nolog * * tcp,udp 2140 *
ip filter 200145 reject-nolog * * tcp,udp * 10048
ip filter 200146 reject-nolog * * tcp,udp 10048 *
ip filter 200147 reject-nolog * * tcp,udp * 6969
ip filter 200148 reject-nolog * * tcp,udp 6969 *
ip filter 200149 reject-nolog * * tcp,udp * 7626
ip filter 200150 reject-nolog * * tcp,udp 7626 *
ip filter 200199 reject-nolog * * established
ip filter 200200 pass * * * * *
書込番号:24427327
0点
ip pp secure filter in 200000 200001 200004 200005 200006 200007 200008 200009 200014 200015 200016 200017 200018 200019 200020 200021 200022 200023 200024 200025 200028 200029 200030 200031 200038 200039 200040 200041 200042 200043 200044 200045 200046 200047 200048 200049 200050 200051 200052 200053 200054 200055 200056 200057 200058 200059 200060 200061 200062 200063 200064 200065 200066 200067 200068 200069 200070 200071 200072 200073 200074 200075 200076 200077 200078 200079 200080 200081 200082 200083 200084 200085 200086 200087 200088 200089 200090 200091 200092 200093 200094 200095 200096 200097 200098 200099 200100 200101 200102 200103 200104 200105 200106 200107 200108 200109 200110 200111 200112 200113 200114 200115 200116 200117 200118 200119 200120 200121 200122 200123 200124 200125 200126 200127 200128 200129 200130 200131 200132 200133 200134 200135 200136 200137 200138 200139 200140 200141 200142 200143 200144 200145 200146 200147 200148 200149 200150 200199 200200
ip pp secure filter out 200004 200005 200006 200007 200010 200011 200014 200015 200016 200017 200018 200019 200020 200021 200022 200023 200024 200025 200028 200029 200030 200031 200038 200039 200040 200041 200042 200043 200044 200045 200046 200047 200048 200049 200050 200051 200052 200053 200054 200055 200056 200057 200058 200059 200060 200061 200062 200063 200064 200065 200066 200067 200068 200069 200070 200071 200072 200073 200074 200075 200076 200077 200078 200079 200080 200081 200082 200083 200084 200085 200086 200087 200088 200089 200090 200091 200092 200093 200094 200095 200096 200097 200099 200100 200101 200102 200103 200104 200105 200106 200107 200108 200109 200110 200111 200112 200113 200114 200115 200116 200117 200118 200119 200120 200121 200122 200123 200124 200125 200126 200127 200128 200129 200130 200131 200132 200133 200134 200135 200136 200137 200138 200139 200140 200141 200142 200143 200144 200145 200146 200147 200148 200149 200150 200200
書込番号:24427329
0点
ルーターの機種により、最大エントリーが決まっていますので、
先ほどのエントリー内で、割愛出来る要素が有りましたら、ご確認下さい。
最終エントリーにて、establishフィルタと全許可、送信時の全許可を想定しています。
書込番号:24427332
0点
ご協力頂いた皆様本当にありがとうございました。
無事接続する事ができました。
今回頂いた、リンク先など今後のトラブルシューティングに
利用させていただきます。
本当に情報ありがとうございました。
>sorio-2215さん
フィルター設定のサンプルありがとうございます。
じっくりと、調べて少しずつ追加してみたいと思っています。
書込番号:24427349
0点
良かったですね。
くれぐれもセキュリティ対策は、別途考慮下さい。
業務での運用でしたら、PCや端末の構成により、UTM等の機器を想定された方が良いかもしれません。
ルーター配下で運用される場合には、ブリッジモードでの運用になります。
IPV4インターネットのみの対応品
※ UTX200 → https://network.yamaha.com/products/firewalls/utx200/index
IPV6にも対応しているもの
※ Fortigate 40F、60F → https://www.fortinet.com/jp/products/next-generation-firewall/entry-level
書込番号:24427362
0点
>sorio-2215さん
私も、UTMを人には勧めていますが、個人利用なので自分では使用していません。(笑)
本当はお金をケチってはいけないんですけどね。
なので、ルータには適切なフィルタ、パソコンにはファイアウォール(ウイルス対策ソフト)
程度をと考えています。
単身赴任する予定があって、家のデータを見たり、テレビついていない所にいくので
REC-ONやNASNEのようなLANにつなぐテレビチューナーを使ってVPN経由でノートPCや
タブレットなどで、テレビや、録画が見られたらと思ってやってみました。
インターネット契約もしないので、docomoの5Gギガホプレミアでテザリングという・・
TVチューナーとのペアリングは同一LAN内でないと一定期間で再ペアリングが
必要になるので、VPNで同一LANに内扱いできればという感じです。
書込番号:24427397
0点
個人的な経験ですが、
Symantecは重い、ESETはファイアーウォールとアプリケーション制御に癖がある、Trendmicroは不具合が多い、SORCENEXTは動作がおかしい、最終的に行き着いたのは、カスペルスキーでした。
どのセキュリティソフトもパターンデータのダウンロード、Windowsアップデートのデータ送受信が重いので、
インターネット系もIPV4-PPPOEではなくて、V6プラス・固定IP系の方が良いかと思いますが。
リモートデータ共有も速いですよ。
書込番号:24427414
0点
ウイルス対策ソフトにこだわりを持っている人の多くはカスペルスキー押しの
方が多いですね。
「余計な事をしない」のがいいのかな?と個人的にも思っています。
Windows3.1の頃からなんとなくノートンに洗脳(笑)されています。
本当はIPoEを利用して速度アップも考えてはいたのですが、
ひかりTV、MLDスヌーピング・・・
ゲームができなくなると妻に叱られる(笑)等・・
もうちょっと知識があればなんとでもなるんでしょうけど。
PPPoEで落ち着いてしまっています。
書込番号:24427447
0点
なるほど。
v6プラス固定IPですと、リモートアクセスとオンラインゲームなどの通信性能の向上、光TV用のmldv2通信は併用出来るんですけどね。
ただし、NVR510で接続設定すると、仮想トンネルに1トンネル消費してしまうので、リモートアクセスの同時セッション数が3セッションになってしまう点が有りますね。
書込番号:24427487 スマートフォンサイトからの書き込み
0点
既に、「解決済み」となっていますが...。
『
ogをとってみましたが
[IKE]
[L2TP] TUNNEL[1]
などの記載があるログは存在していませんでした。
UDPでRejectedの表記のあるものもありませんでした。
そもそも、ルータまでリモートから到達すらできていない
という感じでしょうか?
』
『
フィルターの設定を頂いたものに差し替えた所つながるようになりました。
』
L2TP接続を受け入れるための設定でVPNクライアントのリモートアドレスプールの設定は、不要なのでしょうか?
書込番号:24427652
0点
「docomoテザリングでwindows10PC」でVPN接続後、NVR510のWeb GUIなどにアクセスして、ログインは可能でしょうか?
書込番号:24427706
0点
>> LsLoverさん
「L2TP接続を受け入れるための設定でVPNクライアントのリモートアドレスプールの設定は、不要なのでしょうか?」
↑ リモートプールの設定は、不要ですよ。
「ip pp remote address pool dhcp 」 が適用されているところから見て、DHCP同時接続クライアント数が少ない用途かと思われますが、有線LANと無線LAN、L2TPクライアントのDHCP自動取得の台数が少ないため、
DHCP-Offer、DHCP-Requestのリトライもそんなに影響が無い状況なのでしょう。
そういう判断を致しましたが。
欲を言えば、「dhcp duplicate check 」 コマンドにて、DHCP重複処理を調整した方が良い場合も有りますが、
DHCPクライアント数が多くなってきた場合ですが。
書込番号:24427719
0点
>> LsLoverさん
「「docomoテザリングでwindows10PC」でVPN接続後、NVR510のWeb GUIなどにアクセスして、ログインは可能でしょうか?」
↑ については、恐らく今まで利用されていなかったかと思われます。
現状のコンフィグではL2TPクライアントから、簡易GUIのアクセスは利用出来ないでしょうね。
実際にアクセス可能とするためには、
http host 192.168.0.2-192.168.0.254
と言った設定をすれば別ですが・・・。
書込番号:24427733
0点
>LsLoverさん
現在のコンフィグのままで、リモートの(テザリングに
つないだwindowsPC)から、NVRのWEB画面にログインし
操作する事は問題なくできていますよ。
参考までに。
書込番号:24427736
0点
>> 熊(゜(工)゜)ノさん
あれ、「httpd host lan1」の設定なのですが、L2TPクライアント接続側から、簡易GUIにアクセス出来ますか?
NVR510のLAN側インターフェイスのみにて簡易GUIにアクセスする様な設定になっていますが。
書込番号:24427742
0点
今、もう一度試してみましたがテザリングでつながっているリモートのWindowsPC
から、VPN接続をし、192.168.0.1を開くとログイン画面が出、ID、パスワードを
入れるとダッシュボード画面に変わり、VPNの接続状態をみたり、詳細設定の
画面の各項目も開いたりできていますよ。
ブラウザのキャッシュも疑いましたが、開いた事のない部分も問題なく
開けたので、NVRのWebGUIを開いて操作は現状可能な状態となっています。
書込番号:24427768
0点
>> 熊(゜(工)゜)ノさん
そうですか。
NVR510のバグでしょうかね?
書込番号:24427788
0点
>sorio-2215さん
https://network.yamaha.com/setting/router_firewall/vpn/vpn_client/vpn-smartphone-setup-rtx1210
にある設定をしているだけだと、おっしゃるように httpd host lan1 の設定にしかならない
はずですが、youtubeなどを見てもルータ側はリンクの設定そのままを実施のみしてますが、
リモートの設定をしたPCのからNVRのGUI画面開けている所まで見せてますね。
なので、仕様なのではないでしょうか?
書込番号:24427818
0点
少し気になったので、調べました。
httpd hostコマンドですが、RTX系とNVR系で内部処理が違う要素がある様です。
ただし、どちらのコマンドリファレンスを見ても、httpd host lan1でL2TPクライアントからGUIへアクセス出来るとは記載されていません。
httpd host lan 若しくは httpd host 192.168.0.2-192.168.0.254 でしたら納得できるのですが。
※ http://www.rtpro.yamaha.co.jp/RT/manual/nvr700w_nvr510/http_server/httpd_host.html
※ http://www.rtpro.yamaha.co.jp/RT/manual/rt-common/http_server/httpd_host.html
書込番号:24427819
0点
>sorio-2215さん
間違っている話をしているかもしれませんが、
show status dhcp
で、払い出しを見るとリモートで接続されているPCにも
アドレスが払い出されています。
VPNで接続されたPCもLAN内からのアクセスとみなして
見えるようになっているとか・・・
ないですかね?
書込番号:24427881
0点
何らかのバグである可能性も無いとは言えませんので、念のためですが、NVR510のファームウェアが最新版か確認された方が良いかもしれません。
最新は、Rev15.01.21ですが。
※ http://www.rtpro.yamaha.co.jp/RT/firmware/firmware.php?model=nvr510&rev=1501&file=nvr150121
書込番号:24427883
0点
ダッシュボード画面に表示されているファームバージョンをコピーしました。
Rev.15.01.21 (Thu Apr 15 19:49:12 2021)
最新版で間違いないと思われます。
書込番号:24427893
0点
コマンドリファレンスがRTX系とNVR系で分かれていますので、具体的にはヤマハ様へ確認してみないとなんとも言えませんが、独自の仕様でしょうか。
書込番号:24427900
0点
『
今、もう一度試してみましたがテザリングでつながっているリモートのWindowsPC
から、VPN接続をし、192.168.0.1を開くとログイン画面が出、ID、パスワードを
入れるとダッシュボード画面に変わり、VPNの接続状態をみたり、詳細設定の
画面の各項目も開いたりできていますよ。
』
NVR510のVPN(L2TP/IPSec)サーバは、VPNクライアントをブリッジ接続しますので、192.168.0.0/24セグメントのIPアドレスをDHCPサーバから割り当てます。
一般的なコンフィグですが、以下のように設定するようです。
VPN(L2TP/IPSec)接続ユーザ「(PPPユーザー名1)、(PPPユーザー名2)、(PPPユーザー名3)」3名では、以下のような設定になるようです。
『
ルーターの設定例:複数のL2TPクライアント(アドレス不定)の接続を受け付ける場合
L2TP接続を受け入れるための設定
pp select anonymous
pp bind tunnel1 tunnel2 tunnel3
pp auth request chap-pap
pp auth username (PPPユーザー名1) (PPPパスワード1)
pp auth username (PPPユーザー名2) (PPPパスワード2)
pp auth username (PPPユーザー名3) (PPPパスワード3)
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool 192.168.100.10-192.168.100.20<==ユーザ環境にフィッティング要
ip pp mtu 1258
pp enable anonymous
』
https://network.yamaha.com/setting/router_firewall/vpn/vpn_client/vpn-smartphone-setup_rtx1200
書込番号:24427939
0点
追加情報です。
当方の環境でもBBルータのLAN側ネットワーク用のDHCPサーバ(Linux Box)でも、ブリッジ接続のL2TP/IPSec接続用PPPユーザ用のIPアドレスは分離してDHCPサーバを設定しています。
書込番号:24427954
1点
Ls-Loverさん
ip pp remote address pool のコマンドですが、必ずしもIPプールはご指定のもので決まっている訳では無いですが。
ヤマハルーターのネットワーク環境に合わせて任意選択出来る仕様です。
ヤマハコマンドリファレンスの一部に記載が有ります。
http://www.rtpro.yamaha.co.jp/RT/manual/rt-common/ip/ip_pp_remote_address_pool.html
書込番号:24427986 スマートフォンサイトからの書き込み
0点
ヤマハの複数l2tp を受け入れる設定例は、あくまでも例ですので。
書込番号:24427996 スマートフォンサイトからの書き込み
0点
>LsLoverさん
ip pp remote address pool 192.168.1.10-192.168.1.20
dhcp scope 1 192.168.0.30-192.168.0.100/24
みたいな事を別々のDHCPサーバで実行しているという感じ
ですか??
書込番号:24428012
0点
『
p pp remote address pool 192.168.1.10-192.168.1.20
dhcp scope 1 192.168.0.30-192.168.0.100/24
みたいな事を別々のDHCPサーバで実行しているという感じ
ですか??
』
スミマセンが、YAMAHAルータを実機では扱っていませんが、例えば、DHCPサーバのログ監視をする場合、「192.168.1.10-192.168.1.20」のIPアドレスを取得すれば、VPN接続したクライアントと認識もできますので、通常のLAN側機器とVPN接続機器を分離するためにも必要ではと認識しています。
書込番号:24428067
0点
別々のDHCPサーバーと言うニュアンスだと誤解になる条件になります。
ヤマハルーターの設定済みDHCPサーバーのポリシーから割り当てする機能になっています。
他社VPNルーター、NECやシスコなども同様です。
静的に割り当てする場合には、ヤマハルーターのDHCPサーバーとは範囲外のIPアドレスからプールする設定は可能です。
以下、コマンドリファレンスの文面です。
anonymous で相手に割り当てるための IP アドレスプールを設定する。PP として anonymous が選択された場合のみ有効である。
dhcp を設定した場合は、自分自身が DHCP サーバーとして動作している必要がある。自分で管理している DHCP スコープの中から、IP アドレスを割り当てる。
dhcpc を設定した場合は、interface で指定した LAN インタフェースが DHCP クライアントとして IP アドレス情報のみを取得し、そのアドレスを割り当てる。取得できなかった場合は、0.0.0.0 を割り当てる。
DHCPサーバーを複数設ける場合には、
リレーエージェント動作が必要になります。
書込番号:24428082 スマートフォンサイトからの書き込み
1点
『
別々のDHCPサーバーと言うニュアンスだと誤解になる条件になります。
ヤマハルーターの設定済みDHCPサーバーのポリシーから割り当てする機能になっています。
』
「別々のDHCPサーバー」とは投稿していないつもりです。同一のDHCPサーバからネットワーク情報を配信する場合に、通常のLAN側機器とVPN(L2TP/IPSec)接続時のPPPユーザに割り当てるネットワーク情報を分離するというコンセプト(?)としています。ですから、分離しなくても通常のLAN側機器のプールからネットワーク情報を配信は可能です。
既に投稿しておりますが、アドレスプールを分離(正しい用語ではない可能性もありますが)して設定すれば、VPN接続Pアドレスは、容易にログ上で区別は可能です。
このような設定方法もあるというレベルの設定ともいえなくはないとは思います。
色々ご回答ありがとうございました。
書込番号:24428177
1点
別々のと記載したのは私の投稿に対してですね。
リモート用のアドレス割当をvpnルータで、
ローカル用のアドレス割り当てを、ブロードバンド
ルータで、それぞれかぶらないように範囲を
決めて割り当ていると言う意味で質問していました。
紛らわしくてすいません。
書込番号:24428242 スマートフォンサイトからの書き込み
0点
いえいえ、当方のこそ、must条件とbeter条件を区別せず投稿してしまい、ご迷惑をお掛けしました。
いずれにしても疑問が解決できたようで何よりです。
書込番号:24428376
0点
>> 熊(゜(工)゜)ノさん
念のため、私の保有しています、RTX830とRTX1210、FWX120ですが、「httpd host lan1」の実行配下にて、
L2TPリモートアクセスを試験してみたところ、503-internal-Error にて簡易GUIにログイン出来ませんでした。
ルーター内蔵のHTTPサーバのサービス・インスタンスログインのアクセスリスト処理が、NVR510と違う要素がある様です。
それと、気になったのですが、
IPV4-PPPOEとIPV6-IPOEのデュアルスタック接続ですと、「dns service fallback on」が適用されているところから見て、「dns server pp 1」 は不要かと思われます。
代わりにDNSサーバの選択順のエントリーを追加された方が良いのでは無いでしょうか?
dns server select 500000 dhcp lan2 any .
dns server select 500001 pp 1 any . restrict pp 1
下記は削除
no dns server select 2 pp 1 any . restrict pp 1
書込番号:24429410
0点
>sorio-2215さん
情報ありがとうございます。
不要ならばということで頂いた情報のまま、コンフィグを変更してみました。
問題なく動いているようなので、このまま変更して運用してみたいと
思います。
ありがとうございます。
[DHCPv6] unsupported option vender-opts(0x11)
[DHCPv6] unsupported option unknown(0x20)
って、ログがいっぱい出てますが、気にしなくていいものなんでしょうか?
解決済みになったのに延々と別の質問まで続けてすいません。
書込番号:24429644
0点
DNSサーバの選択ですが、エントリー順として若番からDNSサーバの選択をするようになっています。
※ dns server select 文
500000 番のエントリーが、LAN2から取得しましたIPV6-DNSサーバを選択する様になっています。
そのエントリーがマッチングしない時に、
500001番のエントリーを採用して、PPPOEから自動取得しましたDNSサーバを選択する様になっています。
dns service fallback on が適用されていますので、DNSフォールバック処理にてIPV6のアクセスを優先する様になっています。
その際には、最終的に dns server lan2にて、LAN2のインターフェイスに取得しましたDNSアドレスを取得する様になっています。
ご指摘のsyslogデータですが、IPV6通信取得方法が、RAプレフィックスモードの設定になっていますが、
RA取得以外のDHCPv6-PD(Prefix-Delegation)のアドレスの処理が混入している状況のようです。
邪魔であれば、「syslog debug off」にて、デバッグログの取得を止めることは可能です。
それと、IPV6マルチキャストの設定が有りますが、光TVなどの閲覧をされている状況でしょうか?
書込番号:24429741
0点
>sorio-2215さん
なるほど、順番の問題でそうなっているんですね。
マルチキャストの件ですが、その通りでひかりTVを利用しているので
ヤマハのサンプルからとってきました。
コメントありがとうございました。
書込番号:24429756
0点
そうですか。
やはり、光TV閲覧されていた状況ですね。
了解致しました。
書込番号:24429827 スマートフォンサイトからの書き込み
0点
【困っているポイント】
GUI上で、ネットボランチを設定しようとすると、有効なインターフェースが存在しないため、ネットボランチDNSの設定を行うことができません。
と表示され、設定が出来ません。
【使用期間】
昨日購入し今現在設定しております。
【利用環境や状況】
OCNバーチャルコネクトで接続し、LAN2にWANを設定しております。
【質問内容、その他コメント】
毎度色々質問させて頂き、回答者様の方には誠に感謝を致しております。
有効なインターフェイスと言うのの解釈、接続方法が悪いのか。その辺が言葉の内容から分かり難い状態ですので、質問させて頂きました。
何卒宜しくお願いいたします。
0点
『
OCNバーチャルコネクトで接続し、LAN2にWANを設定しております。
』
以下のページで「現在の接続状況を確認」をご確認ください。
IPv4とIPv6が共に[IPoE方式]と表示されていますか?
『
OCN IPv6インターネット接続
現在の接続状況を確認しましょう
:
IPv4が[IPoE方式]・IPv6が[IPoE方式]
』
https://support.ntt.com/personal/purpose/detail/pid2900000jzj
上記のページからは、IPv6[IPoE方式]とIPv4 [PPPoE方式]の併用については、判断できません。
『公式には、[IPoE方式]と[PPPoE方式]の併用は出来ない』との書込みを見た記憶はありますが、「OCNバーチャルコネクトとIPv4 PPPoEを共存させたい」の書込みで併用が出来たようです。
IPv4 PPPoE接続は完了して、「LAN2にWANを設定」グローバルIPアドレスが割り当てられているのでしょうか?
『
OCNバーチャルコネクトとIPv4 PPPoEを共存させたい
』
https://bbs.kakaku.com/bbs/K0001279011/SortID=23950153/
『
GUI上で、ネットボランチを設定しようとすると、有効なインターフェースが存在しないため、ネットボランチDNSの設定を行うことができません。
』
「ネットボランチDNSへの登録:Web GUI設定」については、以下の設定例が記載されています。
「インターフェース」で、「LAN2にWANを設定」を選択できないのでしょうか?
『
(RTX1210 / NVR700W / NVR510 Web GUI設定)
ネットボランチDNSへの登録:Web GUI設定
:
5.ホストアドレスの設定をして、「次へ」をクリックします。
インターフェース:WAN/PP[01] (provider1)
※( ) 内は、プロバイダー情報の設定画面で入力した「設定名」が表示されます。
ホスト名:既設ルーターで使用していたホスト名
』
https://network.yamaha.com/setting/router_firewall/other_operation/netvolantedns_operation/netvolantedns-router_exchage#new_nvr510
書込番号:24419052
0点
追加情報です。
RTX1210のデュアルWANを使用する場合、
1.WAN(ISP1)のインタフェースの設定(LAN2ポートを使用)
2.WAN(ISP2)のインタフェースの設定 pp select 2
pppoe use lan3
として設定するようですので、WAN(ISP1)はLAN2ポートを使用、WAN(ISP2)はLAN3ポートを使用するように設定するようです。
※以下の引用については、本来全文を引用すべきですが、関連する内容に限定しておりますのでご注意ください。
『
2回線の光回線を活用して、100Mbit/sを越える帯域拡張を行いたい
本設定例は、以下の機種に対応しています。
対応機種: RTX1220 RTX1210 RTX1200
ルーターの設定例
#WAN(ISP1)のインタフェースの設定(LAN2ポートを使用)
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname (ISP1に接続するID) (ISP1に接続するパスワード)
ppp lcp mru on 1454
ppp ipcp ipaddress on
ip pp mtu 1454
ip pp nat descriptor 1
pp enable 1
ip route (接続状態監視先A) gateway pp 1 # 注釈2
ip keepalive 1 icmp-echo 3 3 (接続状態監視先A) # 注釈2
#WAN(ISP2)のインタフェースの設定 pp select 2
pp always-on on
pppoe use lan3
pp auth accept pap chap
pp auth myname (ISP2に接続するID) (ISP2に接続するパスワード)
ppp lcp mru on 1454
ppp ipcp ipaddress on
ip pp mtu 1454
ip pp nat descriptor 2
pp enable 2
ip route (接続状態監視先B) gateway pp 2 # 注釈2
ip keepalive 2 icmp-echo 3 3 (接続状態監視先B) # 注釈2
』
https://network.yamaha.com/setting/router_firewall/internet/internet_redundancy/dual_line
書込番号:24419080
0点
>LsLoverさん
御回答誠に有難う御座います。
PPPOEの設定をした所、ネットボランチのGUIで表示が出ました。
OCNバーチャルコネクトで設定してあるLAN2のほうのみでは出来なかったので、OCNバーチャルコネクトでネットボランチを設定するのは無理なのでしょうか?
>上記のページからは、IPv6[IPoE方式]とIPv4 [PPPoE方式]の併用については、判断できません。
『公式には、[IPoE方式]と[PPPoE方式]の併用は出来ない』との書込みを見た記憶はありますが、「OCNバーチャルコネクトとIPv4 PPPoEを共存させたい」の書込みで併用が出来たようです。
との御回答を頂いたので、1つまた知りたい事が出来たので質問致しますが、IPOEのOCNバーチャルコネクト LAN2 と、PPPOE接続のLAN3を1つにし、高速なネットワーク環境を構築する事は可能でしょうか?
宜しくお願いいたします。
書込番号:24419469
1点
『
OCNバーチャルコネクトで設定してあるLAN2のほうのみでは出来なかったので、OCNバーチャルコネクトでネットボランチを設定するのは無理なのでしょうか?
』
ネットボランチDNSは、所謂、Dynamic DNSサービスの「ホストアドレス」と「ネットボランチ電話番号」が取得できます。
「ホストアドレス」の用途としては、クライアント側でWebサーバ、メールサーバ、VPNサーバなどの接続先をホスト名で指定できます。
OCNバーチャルコネクト(IPoE接続)では、使用できるポート番号が制限されるため、OCNバーチャルコネクト(IPoE接続)のWAN側IPアドレスを登録しても、クライアント側で接続できません。
この対応として、利用できるポート番号の制限のないブロードバンドルータ(IPv4 PPPoE接続)を併設して、こちらのWAN側IPアドレスをネットボランチDNSに登録して利用します。
『
ネットボランチDNSサービスとは?
ネットボランチDNSサーバーに、グローバルIPアドレスなどを登録することにより、常に同じホストアドレス(または、ネットボランチ電話番号)で、グローバルIPアドレスの名前解決ができるようになります。
ネットボランチDNSサービスでは、VPN接続などで利用できる「ホストアドレス」と、インターネット電話で利用できる「ネットボランチ電話番号」の2種類を取得できます。それぞれの活用方法は、こちらをご覧ください。
』
https://network.yamaha.com/knowledge/netvolantedns
『
IPOEのOCNバーチャルコネクト LAN2 と、PPPOE接続のLAN3を1つにし、高速なネットワーク環境を構築する事は可能でしょうか?
』
OCNバーチャルコネクト(IPoE接続)とIPv4 PPPoE接続のNATルータを併設して、LAN3インターフェイスをネットボランチDNSへ登録して、ご利用ください。
書込番号:24419501
0点
RTX1210でのIPV4-Over-IPV6(動的IP)側の回線網でのNetvolanteDNSの監視は出来ませんよ。
既存のどうしてもシンプルにリモートアクセスなどの通信とIPV6の帯域の享受を受けたい場合には、
IPV4-Over-IPV6・固定IPサービスのプロバイダ選択下さい。
NetvolanteDNSは不要です。
OCNバーチャルコネクトの月額コスト、PPPOEの月額コストを2本契約しているのであれば、
V6プラス・固定IP、transix-IPV4・固定IPのプロバイダの接続が、RTX1210にて対応しておりますので、
ご確認ください。
※ インターリンク 「ZOOT-NATIVE・固定IP」、月額2,200円 → https://www.interlink.or.jp/service/zootnative/price.html
書込番号:24419879
0点
>LsLoverさん
御回答誠に有難う御座います。
なる程ですね。要するに OCNバーチャルコネクトだと出来ないと言う解釈で宜しいでしょうか?
また、IPOEとPPPOEを1つにまとめるのも 一筋縄ではいかなそうな感じが致しました。
>sorio-2215さん
御回答誠に有難う御座います。
ネットボランチはOCNバーチャルコネクトでは出来ない旨承知致しました。
固定IPを検討してみようと思います。
また、PPPOEと IPOE(OCNバーチャルコネクト)は、フレッツで自動的に二つを同時に使っても大丈夫になったので、フレッツ網のPPPOEとOCNバーチャルコネクト接続を一緒にまとめて1回線として識別させ、高速化出来るのかと気になりました。
無理でしたら仕方ないですが、可能でしたら 再度ご教授頂ければ幸いです。
宜しくお願いいたします。
書込番号:24420092
0点
PPPoEとバーチャルコネクトをデュアルにしても接続の性能向上はされないですが。
PPPoE側の輻輳処理も有りますし、バーチャルコネクトの動的IP側もポート制限があります。
双方のデメリットを解消しました回線が、IPV6系の固定IPサービスになります。
書込番号:24420124 スマートフォンサイトからの書き込み
0点
>sorio-2215さん
>LsLoverさん
御回答頂き誠に有難う御座いました。
問題が解決されましてスッキリ致しました。
また何か有りましたら質問致しますので、よろしくお願いします。
書込番号:24420744 スマートフォンサイトからの書き込み
0点
IPV6固定IPプロバイダーを変更される場合には、既存のOCNバーチャルコネクト側とフレッツV6オプションを切り離し確認をして頂く形になります。
切り離し後のプロバイダー切り替えになります。
書込番号:24421715 スマートフォンサイトからの書き込み
0点
>sorio-2215さん
返信遅くなり申し訳ございません。
御丁寧に有難う御座います。
承知致しました。
有難う御座いました!
書込番号:24428685
0点
お世話になっています。
たまたま、「IPsecのMicrosoftのリモートデスクトップ接続」のクチコミを元に
本機搭載のPPTPサーバーが動作するか確認したのですが、
グローバルIP(WAN側)からはセッションが繋がりません。
なお、サーバーをローカルIP(LAN内)に設定した場合は、セッションが繋がります。
<関連クチコミ>
IPsecのMicrosoftのリモートデスクトップ接続
書込番号:24381208
こちらのスレ主様は、
本当にPPTPで繋がっているのか疑問です。
<経路>
@ iOS 9.3.5 ==Wi-Fiテザリング== iPhone12mini ==ドコモ回線==== BHR-4GRV(PPPoE)
A OS X 10.11 === WX3600HP(IPoE) ==== BHR-4GRV(PPPoE)
自宅側の固定回線は、「OCN for ドコモ光」です。
<参考>
I-O DATA WN-AG450DGR搭載のPPTPサーバーも同様な状況です。
1点
『
たまたま、「IPsecのMicrosoftのリモートデスクトップ接続」のクチコミを元に
本機搭載のPPTPサーバーが動作するか確認したのですが、
グローバルIP(WAN側)からはセッションが繋がりません。
なお、サーバーをローカルIP(LAN内)に設定した場合は、セッションが繋がります。
』
VPN接続をせずにRDP接続する場合には、BHR-4GRVでRDPポート番号3389を[Windows 10 Pro]192.168.12.2のRDPポート番号3389へポート開放/転送が必要です。また、ローカルネットワーク外[WAN側グローバルIPアドレス]からのリモート接続を許可する必要があるようです。
『
こちらのスレ主様は、
本当にPPTPで繋がっているのか疑問です。
』
「なお、サーバーをローカルIP(LAN内)に設定した場合は、セッションが繋がります。」と同様な状況かと思います。
VPN(PPTP接続)が完了すれば、ブロードバンドルータ側の(ポート開放)設定やRDPサーバ側の([ローカルネットワーク外からのリモート接続を許可する])設定などは不要ですので、(多分)VPN(PPTP接続)接続後、RDP接続はできていると推測されます。
書込番号:24391998
0点
>LsLoverさん
こんにちは。
今は、PPTPサーバに接続することが目標です。
ここでは、RDP接続は、二の次です。
LsLoverさんの環境では、インターネット経由でPPTPサーバに接続出来ていますでしょうか?
昔(10年ぐらい前?)は、L2TP/IPSecサーバが少なく、PPTPサーバが多かった気がします。
当時、BHR-4GRVのPPTPサーバがインターネット経由でも使えたような覚えがあります。
しかも、その当時、L2TP/IPSecサーバを使う場合、
BHR-4GRVでは、IPSecパススルーがないので、
Apple製ルータでIPSecパススルーを使って通した覚えがあります。
今は、WN-DX2033GRやQNAP TS-119PIIのL2TP/IPSecは使えて、
VNC接続やRDP接続も出来ています。
書込番号:24392043
0点
>LsLoverさん
別問題になりますが、
WX3600HP(IPoE)からWN-DX2033GR(PPPoE)に向けて
もインターネット経由でL2TP/IPSecサーバに接続出来るのですが、
VNC接続やRDP接続は出来ないようです。
※TS-119PIIのL2TP/IPSecも同様な動作になります。
書込番号:24392059
0点
>LsLoverさん
書込番号:24392043の
「今は、WN-DX2033GRやQNAP TS-119PIIのL2TP/IPSecは使えて、
VNC接続やRDP接続も出来ています。」
は、モバイル回線使用のiPhone12miniでの接続しての運用です。
書込番号:24392071
0点
『
LsLoverさんの環境では、インターネット経由でPPTPサーバに接続出来ていますでしょうか?
』
OpenVPNサーバのバックアップ用として、LAN内にPPTPサーバ(Linux Box)を立てて、外出先からPPTP接続できるようにしています。
書込番号:24392154
0点
『
WX3600HP(IPoE)からWN-DX2033GR(PPPoE)に向けて
もインターネット経由でL2TP/IPSecサーバに接続出来るのですが、
VNC接続やRDP接続は出来ないようです。
』
ルータ1(IPoE接続)の場合とは異り、ルータ2(PPPoE接続)側のポート開放/転送は、制限なく設定できるので、
ルータ1(IPoE接続)からルータ2(PPPoE接続)へインターネット経由でL2TP/IPSecサーバに接続出来できます。
当方のネット枠環境でも確認しています。
「VNC接続やRDP接続は出来ないようです。」については、ルータ2(PPPoE接続)側のポート開放/転送の設定や、RDPの設定でローカルネットワーク外[WAN側グローバルIPアドレス]からのリモート接続を許可する必要があます。
書込番号:24392164
0点
WN-DX2033GR(PPPoE)側がヘアピンNATに対応していない場合には、「WX3600HP(IPoE)からWN-DX2033GR(PPPoE)に向けて
もインターネット経由で」接続して、LAN上のWebサーバにアクセスして、HTML記述のデバックなどでは、有効かと思います。
しかし「、WX3600HP(IPoE)からWN-DX2033GR(PPPoE)に向けて
もインターネット経由でL2TP/IPSecサーバに接続」しても、LAN内のアクセスは、インターネットを経由せず、LAN内で接続していまいます。
VPN接続に余り意味は無いかと思います。
書込番号:24392178
0点
>LsLoverさん
>> しかし「、WX3600HP(IPoE)からWN-DX2033GR(PPPoE)に向けて
もインターネット経由でL2TP/IPSecサーバに接続」しても、LAN内のアクセスは、インターネットを経由せず、LAN内で接続していまいます。
WX3600HP(VPNクライアント)とWN-DX2033GR(VPNサーバー)の構成の場合は、
互いに入れないよう分離しての接続になります。
今出来ているのは、L2TP/IPSec呼出では、以下のとおりです。
RDP接続は、L2TPセッション内で、iPhone(ドコモ回線)のMicrosoft RD Clientで使えています。
※ 設定は、192.168.aaa.bbb:3389
VNC接続は、L2TPセッション内で、iPhone(ドコモ回線)のRealVNC VNC Viewerで使えています。
※ 設定は、192.168.aaa.bbb:5900
なお、L2TP/IPSecのVPN接続時では、使う端末のポート開放は不要です。
VPNのセッションが確率した場合、家と同じIPアドレスでターゲットの端末を操作することが出来ます。
書込番号:24392259
0点
『
書込番号:24392043の
「今は、WN-DX2033GRやQNAP TS-119PIIのL2TP/IPSecは使えて、
VNC接続やRDP接続も出来ています。」
は、モバイル回線使用のiPhone12miniでの接続しての運用です。
』
因みに、モバイル回線を使用して、BHR-4GRVのPPTPサーバに接続して、RDP接続はできるのでしょうか?
書込番号:24392295
0点
『
今出来ているのは、L2TP/IPSec呼出では、以下のとおりです。
RDP接続は、L2TPセッション内で、iPhone(ドコモ回線)のMicrosoft RD Clientで使えています。
※ 設定は、192.168.aaa.bbb:3389
VNC接続は、L2TPセッション内で、iPhone(ドコモ回線)のRealVNC VNC Viewerで使えています。
※ 設定は、192.168.aaa.bbb:5900
』
RDP接続は、L2TPセッション内でも、iPhone(ドコモ回線)のMicrosoft RD Clientでターゲットを「192.168.aaa.bbb:3389」に設定するとLAN上のRDPサーバ192.168.aaa.bbb:3389にRDP接続しませんか?
VNC接続についても、L2TPセッション内でも、RealVNC VNC Viewerでターゲットを「192.168.aaa.bbb:5900」に設定するとLAN上のVNCサーバ192.168.aaa.bbb:5900にVNC接続しませんか?
書込番号:24392340
0点
[ 書込番号:24392340 ]の書込みは、
『
WX3600HP(IPoE)からWN-DX2033GR(PPPoE)に向けて
もインターネット経由でL2TP/IPSecサーバに接続出来る
』
のケースと混同してしましました。
「モバイル回線使用のiPhone12miniでの接続しての運用です。」ということであれば、[ 書込番号:24392340 ]の書込みはスルーしてください。
書込番号:24392359
0点
>LsLoverさん
>> 因みに、モバイル回線を使用して、BHR-4GRVのPPTPサーバに接続して、RDP接続はできるのでしょうか?
iPod touch 5(iOS 9.3.5)使ってのテザリングしか使えないのですが、
PPTPサーバに接続が出来ません。
また、WN-AG450DGR(RT/BR共に)とTS-119PIIのPPTPサーバにも接続が出来ません。
※WN-AG450DGRのBRモード時とTS-119PIIでは、WN-DX2033GRでPPTPパススルーONにしています。
※WN-DX2033GRのポート開放については、WN-AG450DGRはTCP:1723をポートの開放で設定、TS-119PIIはUPnPで自動設定(TCP:1723)です。
書込番号:24392402
0点
[ 書込番号:24392359 ]は、申し訳有りませんが無視してください。
以下の手順を確認しても、LAN上のRDPサーバアドレス192.168.aaa.bbb:3389を設定/入力していませんが、設定は正しいのでしょうか?
『
VPNを利用してリモートデスクトップに接続する(iOS)
●iOS標準のVPN接続をセットアップする
●iOSからVPNを介してリモートデスクトップに接続する
ホーム画面の[設定]−[一般]−[VPN]とタップすると、作成したVPN接続の一覧が表示される。利用したいVPN接続の名称をタップして、その左端にチェックマークを付けてから、その上の[VPN]をスライドしてオンにすると、VPNゲートウェイへの接続が始まる。
●iOSでVPN接続を切断する
RDゲートウェイ経由でリモートデスクトップに接続する(iOS)
●iOS版RDCアプリにRDゲートウェイを登録する
:
次の画面で[Add gateway]をタップするとRDゲートウェイを登録するための「Gateway」画面が表示されるので、各項目をタップして適宜記入していく。[Server]にはRDゲートウェイのホスト名(FQDN)かIPアドレスを入力する。また[Credentials]には、RDゲートウェイに対する認証のためのアカウント情報を指定する。空欄のままにしておくと、接続先コンピューター(リモートデスクトップサーバー)に対して設定した認証アカウントの資格情報が、RDゲートウェイの認証にも流用される。
※RDゲートウェイのIPアドレスは、ブロードバンドルータ(PPPoE接続)のWN側IPアドレスを入力します。
●RDゲートウェイ経由で接続するように設定を変更する
次に、登録したRDゲートウェイ経由でリモートデスクトップに接続するように設定する。まず既存のリモートデスクトップ接続の一覧(初期画面の「Remote Desktops」枠)から対象の接続設定の右端にある(i)アイコンをタップして編集画面を開き、[Gateway]をタップする。「Gateway」画面が表示されたら、先ほど登録したRDゲートウェイをタップする。
RDゲートウェイ経由で接続するようにリモートデスクトップ接続の設定を変更する
これはリモートデスクトップ接続の一覧画面から、対象の接続設定の右端にある(i)アイコンをタップして設定画面を開いたところ。
(1)デフォルトでは「No gateway configured」すなわちRDゲートウェイを使わない設定になっているはずだ。ここをタップするとRDゲートウェイの選択ダイアログが現れる。
RDゲートウェイを選択する
(2)前述の手順で登録したRDゲートウェイをタップする。
RDゲートウェイを選んだあとは、右上の[Save]をタップすれば設定は完了だ。
●接続手順はイントラネットの場合とほぼ同じ
ここまでの設定が完了したら、RDCアプリの接続一覧から対象のものをタップして実際に接続してみよう。RDゲートウェイの証明書に関するエラーが表示されたら、[Connect once]あるいは[Connect always]をタップする。
』
https://atmarkit.itmedia.co.jp/ait/articles/1401/08/news104_2.html
書込番号:24392422
0点
L2TP/IPSecプロトコルのVPNになりますが、
Vistaクライアントから「192.168.aaa.bbb:3389」でWin10にRDP接続します。
※ VistaのVPNのIPアドレスには、私の場合、iobb.netのDDNSを指定します。
VMのVista ==> MacBookPro ==(Wi-Fi)==> WX3600HP (IPoE)
==> WN-DX2033GR (PPPoE・L2TP/IPSec) =(有線)=> Macmini ==> VMのWin10
※VMのソフトは、VMware Fusion使用。
WX3600HP (IPoE+IPv4 over IPv6)側からIPSecパススルーが機能していることを確認しました。
書込番号:24392636
0点
>> A OS X 10.11 === WX3600HP(IPoE) ==== BHR-4GRV(PPPoE)
『VM環境のOSX 10.11』では、L2TP/IPSecが使えない状態になっているため、
PPTPも怪しいということで、この環境は「なし」とします。
物理OSX10.11の環境を用意しないとダメなので、このパターンは保留とします。
書込番号:24392657
0点
『
VMのVista ==> MacBookPro ==(Wi-Fi)==> WX3600HP (IPoE)
==> WN-DX2033GR (PPPoE・L2TP/IPSec) =(有線)=> Macmini ==> VMのWin10
』
上記の接続状態ですと「VMのVista ==> MacBookPro」のルーティングテーブルを確認していただくと、192.168.aaa.0/24宛のパケットは、VMのVistaの仮想LANアダプタに向けられていますので、LAN上のVMのWin10に届いてしまいます。
ルータ(IPoE接続)のLAN側に接続した機器からルータ(PPPoE接続)のLAN側VPNサーバに接続した状態では、ルータ(IPoE接続)のLAN側に接続した機器がVPN接続前に設定された192.168.aaa.0/24宛のパケットはネットワークアダプタからLAN上のルータ(IPoE接続)配下のネットワーク機器にVPNトンネルを経由せず直接送付されます。
ルータ(IPoE接続)のLAN側に接続した機器がVPN接続する前後でルーティングテーブルを確認すれば分かるかと思います。
ルータ(IPoE接続)のLAN側に接続した機器からルータ(PPPoE接続)のLAN側VPNサーバに接続した状態でLAN内のネットワークアドレス(192.168.aaa.0/24)もVPNトンネルを通すには、「すべての信号を送信」を「オン」に設定する必要があります。
「すべての信号を送信」を「オン」に設定すれば、VPN接続時のセグメント以外のLANセグメント(192.168.aaa.0/24)もVPNサーバ宛に送付されます。
『
iPhone / iPod Touch / iPad からの接続方法
VPN 設定設定の追加方法 (この作業は最初の 1 回のみ必要です。)
「構成を追加」画面が表示されます。
・「すべての信号を送信」は通常「オン」にしておきます。
オンにしている場合は、仮想 HUB 上で取得したデフォルトゲートウェイを経由してすべてのトラフィックが流れます。
オフにすると、VPN 内の同一の IP ネットワークに対するトラフィックしか VPN を経由して流れなくなります。
』
https://ja.softether.org/4-docs/2-howto/L2TP%2F%2FIPsec_Setup_Guide_for_SoftEther_VPN_Server/2.iPhone_iPad_L2TP_Client_Setting
書込番号:24392746
0点
[ 書込番号:24392746 ]内の「すべての信号を送信」を「オン」にする設定は、VPNクライアントからインターネット接続時にVPNサーバ側のブロードバンドルータ経由で利用する場合にも使用します。
書込番号:24392798
0点
>LsLoverさん
>>ルータ(IPoE接続)のLAN側に接続した機器からルータ(PPPoE接続)のLAN側VPNサーバに接続した状態では、ルータ(IPoE接続)のLAN側に接続した機器がVPN接続前に設定された192.168.aaa.0/24宛のパケットはネットワークアダプタからLAN上のルータ(IPoE接続)配下のネットワーク機器にVPNトンネルを経由せず直接送付されます。
WX3600HPのWANに1本だけLANケーブルが刺さっていて、
WN-DX2033GRにはLANケーブルはありますが、
どうやって、『VPNトンネルを経由せず直接送付される』のでしょうか?
書込番号:24392815
0点
>LsLoverさん
L2TP/IPSecの続編です。
2のパターン
・モバイル通信をON
・iOS用のRD Client使用(ゲートウェイの設定は不要)
iPhone ==(ドコモ4G)==>
WN-DX2033GR (PPPoE・L2TP/IPSec) =(有線)=> Macmini ==> VMのWin10
結果: RDP接続OK
RealVNC ViewerもOK
============================================================
3のパターン
・iOS用のRD Client使用(ゲートウェイの設定はなし)
iPod touch7 ==(Wi-Fi)==> WX3600HP (IPoE)
==> WN-DX2033GR (PPPoE・L2TP/IPSec) =(有線)=> Macmini ==> VMのWin10
結果: RDP接続NG
============================================================
4のパターン
・Mac用のRD Client使用(ゲートウェイの設定はなし)
MacBookPro ==(Wi-Fi)==> WX3600HP (IPoE)
==> WN-DX2033GR (PPPoE・L2TP/IPSec) =(有線)=> Macmini ==> VMのWin10
結果: RDP接続NG
============================================================
書込番号:24392837
0点
他の方の回答を見ましたが、そもそもドコモ回線網ですと、デフォルトでドコモ側の閉域網アドレスを利用する回線になっています(SPモード、キャリアグレードNATとも言います)
よって、プロバイダ等の閉域網アドレス・ネットワーク回線からのリモートアクセスは、PPTPサーバは対応外です。
PPTPの通信を確立させるためには、グローバルIPの割り当て間の通信に、ポートを変換させるようなインフラを通過させないことが必須要件になります。
SPモードもポート変換をされる回線になります。
キャリアグレードNAT配下での運用でリモートアクセスをされたい場合には、L2TP/IPSEC若しくはSSL-VPNしか無いです。
どうしてもPPTP対応ルーターを利用されたい場合には、
社内端末を仮サーバにして、L2TP/IPSECやSSL-VPNの機能を設定する。(ルーターは利用ポート番号を開放する)
ドコモの回線を利用せず、グローバルIPを割り当て出来るモバイルルーター回線を用意する(WiMAX等)
モバイルルーターを用意しましたら、PPTP、L2TP、SSL全て対応可能です。
他、VPNルーターを用意する方法になります(L2TP/IPSEC対応、SSL-VPN対応)
↑の要件になりますが、PPTPは脆弱性や通信安定性に問題が有りますので、出来ればL2TP/IPSECやSSL-VPN系にされた方が良いかと思いますが。
書込番号:24392880
0点
>LsLoverさん
VMのVista ==> MacBookPro ==(Wi-Fi)==> WX3600HP (IPoE)
==> WN-DX2033GR (PPPoE・L2TP/IPSec) =(有線)=> Macmini ==> VMのWin10
以上の1のパターンに補足します。
リモート先のWin10のTigerVNCサーバ(TCP:5900)も
クライアントのVistaで
RealVNC Viewer(192.168.aaa.bbb:5900)を使い画面共有が出来ています。
書込番号:24392890
0点
基本的に、PPTPはドコモのサポートにて通信保証をされていない方法になります。
GREパケット(プロトコル47)の通過が、SPモードのネットワーク網でプロトコル変換保証がされていないと言うことになります。
お持ちのドコモスマホにmopera-uの追加プロバイダの契約をすれば、PPTPの通信は可能かと存じますが、
保証は出来かねます。
クライアント側の認証レベルの拡張・変更によって、接続出来ない場合もあります。
※ MS-CHAPv2は×、他CHAPやPAP等の運用が、お持ちのルーターにて対応するかどうか、接続側のクライアントPCや端末にてそれぞれの認証を合わせる事が出来るかどうか。
書込番号:24392903
0点
拙い説明で恐縮です。
『
WX3600HPのWANに1本だけLANケーブルが刺さっていて、
WN-DX2033GRにはLANケーブルはありますが、
どうやって、『VPNトンネルを経由せず直接送付される』のでしょうか?
』
物理ネットワークアダプタ以外に仮想アダプタを作成することが出来ます。
ブロードバンドルータのPPPoE接続時のインターネット接続パス、無線親機の無線LANアダプタ、ゲストポート用ネットワークアダプタ、VPN接続時のネットワークアダプタ、VMマシンのネットワークアダプタなども仮想アダプタで実現されています。
VPN接続前は、192.168.aaa.0/24が物理アダプタ192.168.aaa.nnn(クライアントのIPアドレス)が割り当てられているので、RDPクライアントからRDPサーバ192.168.aaa.bbbにパケットを送るとインターフェイス192.168.aaa.nnn(クライアントのIPアドレス)から送付されてしまいます。
VPN接続後は、VPN接続セグメント宛のパケットは、VPN接続時の仮想アダプタから送付されます。
RDPサーバ192.168.aaa.bbb(VPN接続セグメント以外のアドレス)宛のパケットは、192.168.aaa.0/24がインターフェイス192.168.aaa.nnn(クライアントのIPアドレス)から直接LAN内に送付されてしまいます。
RDPサーバ192.168.aaa.bbb宛のパケットをVPNトンネルに向けるには、VPN接続前のデフォルトゲートウェイアドレスをVPNトンネルアダプタ(仮想アダプタ)のアドレスで書き換えれば、VPN接続セグメント以外の192.168.aaa.0/24のパケットは、VPNトンネルアダプタ(仮想アダプタ)から送付されます。
VPN接続時にデフォルトゲートウェイの書換えを行わなければ、VPNセグメント以外の192.168.aaa.0/24は、物理アダプタ192.168.aaa.nnn(クライアントのIPアドレス)から『VPNトンネルを経由せず直接送付される』ことになります。
以下の内容は、参考になりませんか?
『
WindowsでVPN接続時にブラウザーやメールアクセスがエラーになるときの対策
●「VPN接続」の作成について
(インターネット)VPNとは、簡単にいうと、インターネット回線上に仮想的な通信路(トンネル)を作成し、目的とするネットワークへ直接接続できるような経路を作成するという技術である。VPNを作成するためには、あらかじめ何らかの方法でインターネットへ接続するためのネットワーク接続を作成しておき、さらにその上でVPN用の通信路を作成する。
:
●2つのデフォルト・ゲートウェイ
このように、VPN利用時にはローカルのマシンは2つのIPアドレスを持ち、同時に2つのネットワークに属することになる。そのため、デフォルト・ゲートウェイも2つ存在することになる(デフォルト・ゲートウェイについては「TIPS―デフォルト・ゲートウェイは1つのみ有効」を参照)。1つは、もともとのインターネット接続のために、ISPからPPPやDHCPなどで指定されたゲートウェイ・アドレスであり、もう1つはVPNで接続した先のネットワークから指定されたゲートウェイ・アドレスである。いずれのゲートウェイ・アドレスも、それぞれのネットワーク内でだけ有効なアドレスであり、単独で利用している分には何の問題もない。だが、インターネット接続とVPN接続を組み合わせて利用する場合は、どちらのゲートウェイをデフォルトとするべきだろうか(デフォルト・ゲートウェイは、複数指定されていても常に1つしか有効にならない)。
:
以下に、VPN接続の前後におけるルーティング・テーブルの状態を示しておく(コマンド・プロンプト上で「route print」コマンドを実行する)。
』
https://atmarkit.itmedia.co.jp/ait/articles/0304/26/news004.html
書込番号:24392920
0点
>sorio-2215さん
ありがたい情報ありがとうございます。
SoftBanK契約のiPhone4S/5を使っていた時、
PPTPが使えた記憶がありますが、
無理してPPTPは使う必要はないと思っていますが、
現代で使えないのは、寂しいです。
書込番号:24392932
0点
ソフトバンクやKDDIのモバイル回線と違う回線網になります。
基本的に、スマホ回線では、グローバルIPの割り当てが出来るキャリアと出来ないキャリアが有ります。
KDDIのモバイル回線では、LTEフラットforDATAの追加オプションが必要になったりします。
適当なパソコンにソフトイーサのVPNサーバーを立ち上げると可能かと思いますが。
書込番号:24392952 スマートフォンサイトからの書き込み
0点
『
VMのVista ==> MacBookPro ==(Wi-Fi)==> WX3600HP (IPoE)
==> WN-DX2033GR (PPPoE・L2TP/IPSec) =(有線)=> Macmini ==> VMのWin10
』
WX3600HP (IPoE)のLAN端子とWN-DX2033GR (PPPoE・L2TP/IPSec)のLAN端子を接続して、WX3600HP (IPoE)のLAN側セグメントとWN-DX2033GR (PPPoE・L2TP/IPSec) のLAN側セグメントは、192.168.aaa.0/24としているかと思います。
VMのVistaから X3600HP (IPoE)経由でWN-DX2033GR (PPPoE・L2TP/IPSec)にVPN接続後、VMのVistaのRDPクライアントからRDPサーバVMのWin10(192.168.aaa.bbb:3389)に接続するとLAN上で(インターネット経由せず)接続します。
書込番号:24392961
0点
当方のネットワーク環境ですが、5年ほどスマートフォン(LTE)から自宅BBR(PPPoE接続)配下のPPTPサーバにVPN接続して利用していますが、特に、不具合なくVPN接続できています。
通常は、スマートフォン(LTE)から自宅BBR(PPPoE接続)配下のOpenVPNサーバにVPN接続して利用していますが、自宅BBR(PPPoE接続)配下のPPTPサーバは、OpenVPNサーバのバックアップ用で運用しています。
書込番号:24392974
0点
>LsLoverさん
>> VMのVistaから X3600HP (IPoE)経由でWN-DX2033GR (PPPoE・L2TP/IPSec)にVPN接続後、VMのVistaのRDPクライアントからRDPサーバVMのWin10(192.168.aaa.bbb:3389)に接続するとLAN上で(インターネット経由せず)接続します。
3のパターン(iPod touch7)と4のパターン(MacBookPro)では、接続しないのは謎です。
書込番号:24392981
0点
>LsLoverさん
おはようございます。
5のパターン
3のパターンをiPhoneのテザリングに変更
・iOS用のRD Client使用(ゲートウェイの設定はなし)
iPod touch7 ==(テザリング)==> iPhone ==(ドコモ4G)==>
==> WN-DX2033GR (PPPoE・L2TP/IPSec) =(有線)=> Macmini ==> VMのWin10
結果:
RDP接続OK
VNC接続OK
==============================================================
以下は、本日以降の予定です。
@ 6のパターンは、4のパターン接続経路変更して、iPhoneテザリングに
MacBookPro ==(テザリング)==> iPhone ==(ドコモ4G)==>
==> WN-DX2033GR (PPPoE・L2TP/IPSec) =(有線)=> Macmini ==> VMのWin10
A おまけで、7のパターンは、1のパターン接続経路変更して、iPhoneテザリングに
VMのVista ==> MacBookPro ==(テザリング)==> iPhone ==(ドコモ4G)==>
==> WN-DX2033GR (PPPoE・L2TP/IPSec) =(有線)=> Macmini ==> VMのWin10
@の結果次第になりますが、もし結果オーライでしたら、
WX3600HPのIPSecパススルー機能のBUGの可能性もあるかと思います。
書込番号:24393145
0点
「SoftBanK契約のiPhone4S/5を使っていた時、
PPTPが使えた記憶がありますが、
無理してPPTPは使う必要はないと思っていますが、
現代で使えないのは、寂しいです。」
↑ ですから、そういったレベルのお話ではなくて、ドコモのインフラがPPTPの通信保証をしていないので、
他の使途を使うしかないです。
他の使途ですと、L2TP/IPSECでのリモートアクセスも、キャリアグレードNAT配下のIPV4アドレスを検出して、UDPホールパンチング通信をしてくれるルーター(NATトラバーサル通信)にて接続する。
ポート開放を関係無しにSSL-VPNをさせる方法。
SSLポートであれば、インバウンド・アウトバウンド通信に自動的にリッスンする様になっています。
PPTP通信では、利用しているプロトコルがTCPプロトコルを利用しており、グローバルIPアドレス検出でのNAT変換が安定動作している事が条件の規格になります。
以下、参考までに。
※ https://xtech.nikkei.com/it/atcl/column/14/346926/122000744/
※ http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/at120027.html
クライアントパソコンの接続方式の仕様としても、セキュリティの関連にて、マイクロソフト側にて
一部認証レベルの追加修正をしています(MS-CHAPv2 → PEAP-MS-CHAP v2)
※ https://support.microsoft.com/ja-jp/topic/microsoft-pptp-vpn-%E7%94%A8%E3%81%AE-peap-ms-chap-v2-%E8%AA%8D%E8%A8%BC%E3%81%AE%E5%AE%9F%E8%A3%85-d5ca1ebe-d9ee-4379-fd3f-e7be05fa3ae2
↑ 一般的な低価格ルーターで、PPTPの脆弱性対策もされていないので、利用しない方が良いかと思います。
書込番号:24393155
0点
『
3のパターン(iPod touch7)と4のパターン(MacBookPro)では、接続しないのは謎です。
』
当方でもどうようの状況を確認しております。
わざわざiPod touch7(VPNクライアント)を起動してインターネット経由でMacmini[VMのWin10(RDPサーバ)]よりも、iPod touch7(RDPクライアント)から同一セグメント内のMacmini[VMのWin10(RDPサーバ)]へRDP接続すれば遅延無く利用できるので、詳細な原因通級はしておりません。
『
============================================================
3のパターン
・iOS用のRD Client使用(ゲートウェイの設定はなし)
iPod touch7 ==(Wi-Fi)==> WX3600HP (IPoE)
==> WN-DX2033GR (PPPoE・L2TP/IPSec) =(有線)=> Macmini ==> VMのWin10
結果: RDP接続NG
============================================================
』
iPod touch7のVPNクライアントは、WX3600HP (IPoE)経由でインターネット側から WN-DX2033GR (PPPoE・L2TP/IPSec) へVPN接続しています。
一方、iPod touch7のRDPクライアントは、iPod touch7の無線アダプタに割り当てられたIPアドレスと同じセグメント内のWN-DX2033GR (PPPoE・L2TP/IPSec) 配下のVMのWin10のIPアドレスに接続しようとしています。
iPod touch7--VPNセグメント(インターネット)--WN-DX2033GR (PPPoE・L2TP/IPSec)
(RDPクライアント) ||
| ||
| ||
+−−−−−RDPサーバ(同一セグメント)−Macmini[VMのWin10(RDPサーバ)]
iPod touch7からのVPNセグメント(インターネット)->WN-DX2033GR (PPPoE・L2TP/IPSec) 配下のLANセグメント上のMacmini[VMのWin10(RDPサーバ)]とiPod touch7からLANセグメント上のMacmini[VMのWin10(RDPサーバ)]でネットワークループができているため(?)RDP接続ができないのではと推測しています。
iPod touch7からのVPNセグメント(インターネット)->WN-DX2033GR (PPPoE・L2TP/IPSec) 配下のLANセグメントへのルーティングとiPod touch7(RDPクライアント)からLANセグメント内のMacmini[VMのWin10(RDPサーバ)]へのルーティングの不具合でRDP接続ができないのではとも推測しています。
おかめ@桓武平氏さんのお力で原因究明して頂けると助かります!!
書込番号:24393170
0点
本来の話題からずれてしまい、申し訳ありません。
当方では、VPN接続時にVPNサーバで稼働しているsambaサーバにアクセス出来ない原因究明と対策に苦慮しておりました。
この原因が「Linuxの仕様として仮想HUBから、ローカルブリッチしているNICのアドレスに対して、通信を行うことができません。」であることに驚きました。
その対策期間も時間が掛かりましたが、漸く以下と同様なサイトに辿り着き、同様の対策で問題をクリアしました。
(当方の技術力不足により)ネットワーク運用上の不具合の原因究明、対策には、多大の労力が必要ですが、Webサイトの「備忘録」などで公開されている内容で助けられています。
『
SoftEther VPNを用い、自分自身にアクセス
概要
運用しているVPNサーバをOpenVPNからSoftEtherに乗り換えました。
インターネットからサーバに保存されているデータをSambaで共有しようとしたところ、Sambaにアクセスできず、そもそもpingが通らないと躓いたため、忘備録として記録しておきます。
VPNサーバ(Softether)を用いて端末とVPN接続をした場合、VPNサーバ自身のIPアドレスにアクセスすることができません。
例えば、VPNサーバにファイル共有サーバやWebサーバを入れていたとしてもアクセスすることができず、非常に不便です。
この状態を打破するためには以下のことを行わなければいけません。
』
https://yunabe.hatenablog.com/entry/2016/07/30/000000
書込番号:24393239
0点
>おかめ@桓武平氏さん
おはようございます。
『
5のパターン
:
iPod touch7 ==(テザリング)==> iPhone ==(ドコモ4G)==>
==> WN-DX2033GR (PPPoE・L2TP/IPSec) =(有線)=> Macmini ==> VMのWin10
結果:
RDP接続OK
VNC接続OK
』
当方でも同様の結果を確認しております。
『
@ 6のパターンは、4のパターン接続経路変更して、iPhoneテザリングに
MacBookPro ==(テザリング)==> iPhone ==(ドコモ4G)==>
==> WN-DX2033GR (PPPoE・L2TP/IPSec) =(有線)=> Macmini ==> VMのWin10
』
5のパターンと同様のネットワーク構成ですので(多分)「RDP接続OK」、「VNC接続OK」と思われます。
ただ、iPod touch7(iOS)とMacBookPro(MAC OS X)のネットワーク関連の実装により、NGとなる可能性は否定できません。
『
A おまけで、7のパターンは、1のパターン接続経路変更して、iPhoneテザリングに
VMのVista ==> MacBookPro ==(テザリング)==> iPhone ==(ドコモ4G)==>
==> WN-DX2033GR (PPPoE・L2TP/IPSec) =(有線)=> Macmini ==> VMのWin10
』
5のパターンと同様のネットワーク構成ですので(多分)「RDP接続OK」、「VNC接続OK」と思われます。
ただ、 MacBookPro(MAC OS X)のVMのネットワーク関連の実装により、NGとなる可能性は否定できません。
『
@の結果次第になりますが、もし結果オーライでしたら、
WX3600HPのIPSecパススルー機能のBUGの可能性もあるかと思います。
』
そうですか...。
書込番号:24393262
0点
すみません、訂正します。
【誤】そうですか...。
【正】[ 書込番号:24393170 ]以降の当方からの投稿内容をご確認した上でも、「WX3600HPのIPSecパススルー機能のBUGの可能性もあるかと思います。」ということなのしょうか?
書込番号:24393304
0点
検証結果をまとめます。
1のパターン
・RDP接続は、OS標準を使用
・VNC接続は、RealVNC Viewer使用
VMのVista ==> MacBookPro ==(Wi-Fi)==> WX3600HP (IPoE)
==> WN-DX2033GR (PPPoE・L2TP/IPSec) =(有線)=> Macmini ==> VMのWin10
結果:
RDP接続 OK
VNC接続 OK
============================================================
2のパターン
・モバイル通信をON
・iOS用のRD Client使用(ゲートウェイの設定は不要)
・VNC接続は、RealVNC Viewer使用
iPhone ==(ドコモ4G)==>
WN-DX2033GR (PPPoE・L2TP/IPSec) =(有線)=> Macmini ==> VMのWin10
結果:
RDP接続 OK
VNC接続 OK
============================================================
3のパターン
・iOS用のRD Client使用(ゲートウェイの設定はなし)
・VNC接続は、RealVNC Viewer使用
iPod touch7 ==(Wi-Fi)==> WX3600HP (IPoE)
==> WN-DX2033GR (PPPoE・L2TP/IPSec) =(有線)=> Macmini ==> VMのWin10
結果:
RDP接続 NG
VNC接続 NG
============================================================
4のパターン
・Mac用のRD Client使用(ゲートウェイの設定はなし)
・VNC接続は、RealVNC Viewer使用
MacBookPro ==(Wi-Fi)==> WX3600HP (IPoE)
==> WN-DX2033GR (PPPoE・L2TP/IPSec) =(有線)=> Macmini ==> VMのWin10
結果:
RDP接続 NG
VNC接続 NG
============================================================
5のパターン
・モバイル通信をON
・インターネット共有をON
・iOS用のRD Client使用(ゲートウェイの設定はなし)
・VNC接続は、RealVNC Viewer使用
iPod touch7 ==(テザリング)==> iPhone ==(ドコモ4G)==>
==> WN-DX2033GR (PPPoE・L2TP/IPSec) =(有線)=> Macmini ==> VMのWin10
結果:
RDP接続 OK
VNC接続 OK
============================================================
6のパターン
・モバイル通信をON
・インターネット共有をON
・Mac用のRD Client使用(ゲートウェイの設定はなし)
・VNC接続は、RealVNC Viewer使用
MacBookPro ==(テザリング)==> iPhone ==(ドコモ4G)==>
==> WN-DX2033GR (PPPoE・L2TP/IPSec) =(有線)=> Macmini ==> VMのWin10
結果:
RDP接続 OK
VNC接続 OK
==========================================================
7のパターン
・モバイル通信をON
・インターネット共有をON
・RDP接続は、OS標準を使用
・VNC接続は、RealVNC Viewer使用
VMのVista ==> MacBookPro ==(テザリング)==> iPhone ==(ドコモ4G)==>
==> WN-DX2033GR (PPPoE・L2TP/IPSec) =(有線)=> Macmini ==> VMのWin10
結果:
RDP接続 OK
VNC接続 OK
==========================================================
書込番号:24393463
0点
>LsLoverさん
@ クライアント端末を仮想マシンのWindowsを使う想定
VMのVista ==> MacBookPro ==(Wi-Fi)==> WX3600HP (IPoE)
==> WN-DX2033GR (PPPoE・L2TP/IPSec) =(有線)=> Macmini ==> VMのWin10
B クライアント端末をAppleのiOSデバイスを使う想定
iPod touch7 ==(Wi-Fi)==> WX3600HP (IPoE)
==> WN-DX2033GR (PPPoE・L2TP/IPSec) =(有線)=> Macmini ==> VMのWin10
C クライアント端末をAppleのMacを使う想定
MacBookPro ==(Wi-Fi)==> WX3600HP (IPoE)
==> WN-DX2033GR (PPPoE・L2TP/IPSec) =(有線)=> Macmini ==> VMのWin10
結果的に@のパターンでは、RDP/VNC接続しても使えています。
B、Cのパターンだけが問題になっているわけです。
書込番号:24393497
0点
『
B、Cのパターンだけが問題になっているわけです。
』
については、当方でも確認している結果と同じです。
結果がNGになることについては、[ 書込番号:24393170 ]が原因ではと推定しています。
書込番号:24393509
0点
>LsLoverさん
G クライアント端末を自作機のWindowsを使う想定
・RDP接続は、OS標準を使用
・VNC接続は、RealVNC Viewer使用
・USB接続の「TP-Link Archer T3U」を使用
自作Win7 ==(Wi-Fi)==> WX3600HP (IPoE)
==> WN-DX2033GR (PPPoE・L2TP/IPSec) =(有線)=> Macmini ==> VMのWin10
結果:
RDP接続 OK
VNC接続 OK
書込番号:24393571
0点
『
G クライアント端末を自作機のWindowsを使う想定
・RDP接続は、OS標準を使用
・VNC接続は、RealVNC Viewer使用
・USB接続の「TP-Link Archer T3U」を使用
自作Win7 ==(Wi-Fi)==> WX3600HP (IPoE)
==> WN-DX2033GR (PPPoE・L2TP/IPSec) =(有線)=> Macmini ==> VMのWin10
結果:
RDP接続 OK
VNC接続 OK
』
自作Win7がWN-DX2033GR (PPPoE・L2TP/IPSec)にVPN接続していても、自作Win7のRDPクライアント、VNCクライアントがLAN上の VMのWin10のRDPサーバ、VNCサーバと接続している接続です。
WX3600HP (IPoE)のLAN側セグメント192.168.aaa.0/24とWN-DX2033GR (PPPoE・L2TP/IPSec) のLAN側セグメント192.168.aaa.0/24に設定して、
WX3600HP (IPoE)LAN端子とWN-DX2033GR (PPPoE・L2TP/IPSec)のLAN端子を接続しているネットワークになっているかと思います。
WN-DX2033GR (PPPoE・L2TP/IPSec)のVPN接続時のセグメントaaa.bbb.0.0/16(アドレス幅は実際の値に置き換えてください)
VPN接続前後の自作Win7のルーティングテーブルをご確認ください。
VPN接続後、Aのエントリが追加されます。
@宛先192.168.aaa.0/24のパケットは自作Win7のネットワークアダプタ(自作Win7のIPアドレス)
A宛先aaa.bbb.0.0/16のパケットは自作Win7のVPN接続時のWN-DX2033GR (PPPoE・L2TP/IPSec)から配布されたIPアドレス
この状態でLAN上のVMのWin10のIPアドレス192.168.aaa.wwwにRDPクライアントから接続すると@のエントリに従ってLAN上のVMのWin10のIPアドレス192.168.aaa.wwwに接続してしまいます。
書込番号:24393656
0点
>LsLoverさん
LsLoverさんのiPadでも、同じ症状のようですので、
WX3600HPのIPSecパススルーの問題ではなく、
Apple側デバイスの問題なのかと思います。
今後の課題は、以下の経路パターンだけ、検証して行きます。
B クライアント端末をAppleのiOSデバイスを使う想定
iPod touch7 ==(Wi-Fi)==> WX3600HP (IPoE)
==> WN-DX2033GR (PPPoE・L2TP/IPSec) =(有線)=> Macmini ==> VMのWin10
C クライアント端末をAppleのMacを使う想定
MacBookPro ==(Wi-Fi)==> WX3600HP (IPoE)
==> WN-DX2033GR (PPPoE・L2TP/IPSec) =(有線)=> Macmini ==> VMのWin10
=============================================
「B クライアント端末をAppleのiOSデバイスを使う想定」で
iPod touch7をEthernet経由でWX3600HP (IPoE)に接続して見ましたが、
VNC/RDP接続の結果は、変わりなくNGでした。
一旦、スレを閉じます。
書込番号:24393893
0点
 |
|---|
安定性が良いということで、このルーターを中古で購入しました。
回線はZTVというケーブルテレビインターネットです。
RTX810の設定で、PPPoEやDHCPなどを選ぶ項目があり、
ケーブルテレビですのでDHCPを選択しました。
そうしたら添付画像の3の部分で、回線確認中のような文字が表示されいつまでたっても通信中となりません。
ただし、ONUとRTX810の間に別のルーターを入れれば、インターネットに繋がります。
<接続できない>
ー ONU ー(有線)ー RTX810 ー(有線)ー パソコン
<接続できる>
ー ONU ー(有線)ー 他社製ルーター ー(有線)ー RTX810 ー(有線)ー パソコン
ルーターが壊れているわけではなく、おそらく何かの設定が間違っている
だけだと思うのですが、何が考えられますか?
RTX810のLAN側IPアドレスは初期値の192.168.100.1から102.168.11.1に変更、
IPアドレスの割当範囲は初期値192.168.100.2~192.168.100.199になっていましたが、
192.168.11.2~192.168.11.100に変更しました。
1点
>銀大さん
CATVモデム記憶されたMACアドレスが怪しくないでしょうか?
書込番号:24373279
0点
>おかめ@桓武平氏さん
返信ありがとうございます。
CATVから配布されたモデムはありませんが、
下の図で言うとONUのことでしょうか?
ー ONU ー(有線)ー 他社製ルーター ー(有線)ー RTX810 ー(有線)ー パソコン
RTX810を購入前は下記のように使っていました。
ー ONU ー(有線)ー 他社製ルーター ー(無線)ー パソコン
他社製ルーターのMACアドレスをONUが記憶しているのでしょうか?
ONUの設定ってどうすればリセットできるのですか?
書込番号:24373729
0点
『
<接続できない>
ー ONU ー(有線)ー RTX810 ー(有線)ー パソコン
』
ONUの型名を投稿してください。
『
●無線LAN内蔵D-ONU/ONT設定マニュアル(FTTH)
【取扱説明書】
無線LAN内蔵D-ONU FIETEL wave AG20R取扱説明書(PDF:2.1MB)
無線LAN内蔵ONT EchoLife HG8045Q取扱説明書(PDF:8.44MB)
』
https://www.ztv.co.jp/support/net/manual/index.html
書込番号:24374084
0点
AG20Rでは、AP(ブリッジ)モードに設定は、可能です。
『
無線LAN内蔵D-ONU FIETEL wave AG20R
各部の名称(P10)
RT/APスイッチ
』
https://www.ztv.co.jp/assets/pdf/pages/support/net/manual/AG20R.pdf
HG8045Qでは、ブリッジモードに設定できません。
『
Q4.HG8045Qをブリッジモードにする事は可能?
A.HG8045Qをブリッジモードにする(=ルーター機能を停止する)事は出来ません。別途ルーターを置きたい場合、追加したルーターをブリッジモードにして利用してください。
』
https://naruhodo-wifi.com/nuro_hg8045q/
『
RTX810の設定で、PPPoEやDHCPなどを選ぶ項目があり、
ケーブルテレビですのでDHCPを選択しました。
そうしたら添付画像の3の部分で、回線確認中のような文字が表示されいつまでたっても通信中となりません。
』
RTX810のWAN側IPアドレスがCATV側のDHCPサーバからのIPアドレスではなく、AG20R/HG8045QのDHCPサーバからのローカルIPアドレスが割り当てれれるため、かんたん設定を完了できないかと思います。
書込番号:24374147
1点
ZTV側のDHCPサーバは、ブロードバンドルータのWAN側IPアドレスに172.16.0.0 - 172.31.255.255(プライベートIPアドレス)を割り当てるようです。
『
BCW710J 設定マニュアル
基本設定
WAN
IPv4 アドレス:172.25.11.10
』
https://www.ztv.co.jp/assets/pdf/pages/support/net/manual/BCW710J_2.pdf
『
NetRange: 172.16.0.0 - 172.31.255.255
CIDR: 172.16.0.0/12
NetName: PRIVATE-ADDRESS-BBLK-RFC1918-IANA-RESERVED
』
書込番号:24374183
0点
 |
|---|
>LsLoverさん
ご返信ありがとうございます。
ONUは光加入者端末装置「BX350」というもので
屋外の軒下についています。
見た感じユーザーでBX350の設定を変更したりは出来なそうです。
ネットでBX350のことをいろいろ調べたのですが、
詳しい情報が見つかりませんでした。
今まで下記の接続では通信できていました。
ー ONU(BX350) ー有線ー ルーター(WSR-2533DHPL) ー無線ー パソコン
※WSR-2533DHPLは特に何も設定しなくて、LANケーブルを挿しただけで接続できました。
今回BX350を購入し、下記(1)(2)のように接続したところ通信できません。
(1)ー ONU(BX350) ー有線ー ルーター(RTX810) ー有線ー パソコン
(2)ー ONU(BX350) ー有線ー ルーター(RTX810) ー有線ー ルーター(WSR-2533DHPL) ー無線ー パソコン
※RTX810をONUの直下に接続すると通信できないようです。
※RTX810はリセット済み
しかし下記のようにすると通信できます。
ー ONU(BX350) ー有線ー ルーター(WSR-2533DHPL) ー有線ー ルーター(RTX810) ー有線ー パソコン
BX350の電源をどうやって落とすのか確認して、
BX350を一度リセットしてみようかと考えています。
書込番号:24374434
0点
>銀大さん
>> ONUは光加入者端末装置「BX350」というもので
>> 屋外の軒下についています。
BX350の機器には、MACアドレスが付与されている機器なのでしょうか?
NTT系の場合、ONUには必ずMACアドレスが付与されているので、
中には、ユーザーサイドでも好きな対応した機器を使うようになっています。
CATV系ですと、CATVの運営会社に問い合わせされた方がいいかと思います。
書込番号:24374487
0点
『
ONUは光加入者端末装置「BX350」というもので
屋外の軒下についています。
』
BX350は、2006年プレリリースの光映像配信システム「BX300-R1」の後継機と思われます。
「BX300-R1」の通信用ONUはGE-PONが搭載されているようですので、ルーターは搭載されていないようです。
『
トリプルプレイサービスに最適な一体型ONUなど
「光映像配信システム BXシリーズ」新製品の発売
2006年 8月30日
光映像配信システム「BX300-R1」
新製品は、放送サービス用ONUと通信サービス用ONUを同一筐体に収容し、加入者宅の屋外に設置可能な一体型ONU「BX300-R1」、および多チャンネル映像信号の伝送に最適な直接変調型光送信機「BX-FTX-D1/BC」であります。
2.多様なニーズに対応するONU機能
通信用ONUはGE-PON(ME1620シリーズ)に対応し、ユーザインタフェースを2ポート(1Gbps,100Mbps)搭載しているため、高速インターネットサービスとIP電話サービスの併用が容易。また、IP告知サービスなど、地方自治体が推進する防災情報システムにも対応しやすい。
』
http://www.nec.co.jp/press/ja/0608/3001.html
『
今まで下記の接続では通信できていました。
ー ONU(BX350) ー有線ー ルーター(WSR-2533DHPL) ー無線ー パソコン
※WSR-2533DHPLは特に何も設定しなくて、LANケーブルを挿しただけで接続できました。
』
WSR-2533DHPLの設定画面にログインして、[ステータス]->[システム]で以下の内容を確認できますか?
IPアドレス、DNS1、DNS2の各「aaa.bbb.ccc」部を投稿していただけますか?
MTU値の数値を投稿していただけますか?
1.Internet
(1)IPアドレス:aaa.bbb.ccc.ddd
(2)DNS1(プライマリー):aaa.bbb.ccc.ddd
(3)DNS2(セカンダリー):aaa.bbb.ccc.ddd
(4)MTU値
書込番号:24374542
0点
訂正します。
【誤】
IPアドレス、DNS1、DNS2の各「aaa.bbb.ccc」部を投稿していただけますか?
【正】
IPアドレス、DNS1、DNS2の各「aaa」部が「172」の場合には、「172.bbb.ccc.ddd」を投稿していただけますか?
IPアドレス、DNS1、DNS2の各「aaa」部が「172」と異なる場合には、「aaa.bbb.ccc」を投稿していただけますか?
書込番号:24374554
0点
固定IP接続(グローバルIPアドレス)は、有料オプションのようですし、設定マニュアル(Windows 10 編)では、[IP アドレスを自動的に取得する]と[DNS サーバーのアドレスを自動的に取得する]設定でインターネットを利用できる運用のようです。
従いまして、ONU光加入者端末装置「BX350」の配下では、各ネットワーク機器からDHCPサーバにリクエストを出す運用のようですが、WSR-2533DHPL(WAN側IPアドレスをDHCP自動取得、NAT利用)の利用実績を考慮するとRTX810に置き換えることは可能ではと考えます。
『
固定IP接続
』
https://www.ztv.co.jp/business/ip/index.html
『
Z-LAN
設定マニュアル
Windows 10 編
ネ ッ ト ワ ー ク の 設 定(P2)
E) @[インターネット プロトコル バージョン4(TCP/IPv4) ]を選択し、A[プロパティ]ボタンを押します(図 8)。
F) [全般] タブで、[IP アドレスを自動的に取得する]と[DNS サーバーのアドレスを自動的に取得する]をそれぞれ選択します(図 9)。
』
https://www.ztv.co.jp/assets/pdf/pages/support/net/manual/win10set.pdf
RTX810のかんたん設定(GUI)でうまく接続できなかったようですので、設定情報をコマンドライン(CLI)入力する必要があるかもしれません。
『
CATVインターネットなどイーサネット回線を利用する
ルーターの設定例
』
https://network.yamaha.com/setting/router_firewall/internet/internet_connect/catv
書込番号:24374657
0点
連続投稿で申し訳ありません。
『
安定性が良いということで、このルーターを中古で購入しました。
』
RTX810は中古品のようですが、RTX810を工場出荷状態に戻す(初期化)はされたのでしょうか?
『
RTX810
取扱説明書
本製品を初期化する(P167)
本製品の設定内容を工場出荷状態に戻すことができます。
「かんたん設定ページ」から初期化する
』
http://www.rtpro.yamaha.co.jp/RT/manual/rtx810/Users.pdf
書込番号:24374674
0点
>銀大さん
おかめ@桓武平氏さんが[ 書込番号:24374487 ]で投稿されていますが、
『
BX350の機器には、MACアドレスが付与されている機器なのでしょうか?
:
CATV系ですと、CATVの運営会社に問い合わせされた方がいいかと思います。
』
ZTVの「設定マニュアル」にBX350の記載がありませんので、ユーザ側でBX350の配下に無線親機(ブロードバンドルータ)を設置する手順を確認することができません。ZTVお客様センターなどに、ユーザ側でBX350の配下に無線親機(ブロードバンドルータ)を設置する手順を確認しては如何でしょうか?
『
設定マニュアル
その他
●無線LAN内蔵D-ONU/ONT設定マニュアル(FTTH)
』
https://www.ztv.co.jp/support/net/manual/index.html
『
お電話でのお問い合せ
『ZTVお客様センター』
』
https://www.ztv.co.jp/support/custmer/etc.html
書込番号:24374718
0点
>おかめ@桓武平氏さん
>LsLoverさん
ご返信ありがとうございます。
まずRTX810の初期化は行いましたが接続はできませんでした。
書込番号24374554の件につきましては現在出先で分かりませんので、夜自宅に帰り次第、調べてお返事いたします。
RTX810のSTATUSランプが赤く点灯しております。
以前、ZTVのサポートの方からBX350にはルーター機能はついておりませんので、別途ルーターが必要という話を聞いております。
もともとZTVとは別のケーブルテレビのインターネットを使用しており、そのサービスが終了したため、強制的にZTV移管になりました。
BX350はそのケーブルテレビのインターネットの時に設置されたものなので、ZTVに変わってからつけたものではありません。
なのでZTVのサポートページにもBX350の記載がないのだと思います。
ZTVがBX350のことを分かるかどうか分かりませんが、一度確認してみます。
書込番号:24374907
0点
『
まずRTX810の初期化は行いましたが接続はできませんでした。
』
承知しました。
『
書込番号24374554の件につきましては現在出先で分かりませんので、夜自宅に帰り次第、調べてお返事いたします。
』
宜しくお願い致します。
『
RTX810のSTATUSランプが赤く点灯しております。
』
インターネット接続が正常に行われない状態のようです。
RTX810のWAN側IPアドレス(サブネットマスク)、DNSサーバアドレスなどが正しく設定されていない(受け取れていない)状況ではと想定しています。
『
STATUSランプで通信状態を確認する(P135)
』
http://www.rtpro.yamaha.co.jp/RT/manual/rtx810/Users.pdf
『
以前、ZTVのサポートの方からBX350にはルーター機能はついておりませんので、別途ルーターが必要という話を聞いております。
』
(多分)正しいかと思います。
『
もともとZTVとは別のケーブルテレビのインターネットを使用しており、そのサービスが終了したため、強制的にZTV移管になりました。
:
ZTVがBX350のことを分かるかどうか分かりませんが、一度確認してみます。
』
強制的にZTV移管されたにせよインターネットサービスを正常に利用できなければ、ZTV側からの何らかの対応が必要かと思います。
書込番号:24375082
0点
個人的には、RTX810もかんたん設定ではなく、CLIで設定した方が確実かもしれません。
DNSサーバアドレスの取得は、「RTX1200をCATVで使う。」を参考にして、
残りは「CATVインターネットなどイーサネット回線を利用する」を参考にしては如何でしょうか?
『
RTX1200をCATVで使う。
CATV向けの設定
WAN側の状態を確認してみましたが、正しくIPが取得できていました。
公式サイトの設定例をそのまま流用しました。
CATVインターネットなどイーサネット回線を利用する
DNS の設定
dns server dhcp lan2
dns server select 500001 dhcp lan2 any .
dns private address spoof on
』
https://retrorocket.biz/archives/1598
『
CATVインターネットなどイーサネット回線を利用する
WANインターフェースの設定(LAN2ポートを使用)
ip lan2 address dhcp
ip lan2 nat descriptor 1
ip route default gateway dhcp lan2
DNSの設定
dns server (ISPから指定されたDNSサーバーのIPアドレス)
dns private address spoof on
』
https://network.yamaha.com/setting/router_firewall/internet/internet_connect/catv
書込番号:24375313
0点
>LsLoverさん
書込番号24374554の件、取り急ぎ確認いたしました。
aaaの部分は172ではありませんでした。
IPアドレス 193.116.7.ddd
DNS1(プライマリー) 61.198.53.ddd (自動取得)
DNS2(セカンダリー) 210.236.160.ddd (自動取得)
MTU値 1500
何か分かりますでしょうか?
書込番号:24375479
0点
『
IPアドレス 193.116.7.ddd
DNS1(プライマリー) 61.198.53.ddd (自動取得)
DNS2(セカンダリー) 210.236.160.ddd (自動取得)
』
IPアドレスは、ZTVが所有する'193.116.0.0 - 193.116.31.255'から割り当てられたグローバルIPアドレスのようです。
$ whois -h whois.apnic.net 193.116.7.1
% [whois.apnic.net]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
% Information related to '193.116.0.0 - 193.116.31.255'
% Abuse contact for '193.116.0.0 - 193.116.31.255' is 'hostmaster@nic.ad.jp'
inetnum: 193.116.0.0 - 193.116.31.255
netname: ZTV
descr: ZTV CO.,LTD
DNS1(プライマリー) 、NS2(セカンダリー)共に自動取得されているようです。
上記の状態でネットワーク機器は、インターネットに接続できない状況なのでしょうか?
書込番号:24375542
0点
>銀大さん
CATV側のDHCPサーバーが
見覚えがないMACアドレスで弾かれている可能性があります。
書込番号:24375543
0点
すみません、[ 書込番号:24375479 ]は、WSR-2533DHPLをBX350に有線LAN接続した場合の結果でしたね。
BX350にRTX810を接続した状態では、STATUSランプが点灯してインターネットに接続できないのか...。
BX350に電源スイッチなどでリスタート可能なのでしょうか?
書込番号:24375570
0点
ZTVでは、DHCPサーバからブロードバンドルータのWAN側にグローバルIPアドレスを1個割り当てているようです。
ZTVで運用しているか不明ですが、運⽤事例2によれば「ONUのMACアドレスとIPアドレスを静的に紐づけ、DHCPだけど動的ではない固定IP1個割当サービス提供。」できるようです。
『
CATVネットワークにおける
DHCPオペレーション
〜運⽤の⽴場編〜
運⽤事例2 DHCPによるStatic割当
>Option82を使って、ユーザONUのMACアドレスと
IPアドレスを静的に紐づけ、DHCPだけど動的では
ない固定IP1個割当サービス提供。
』
https://www.janog.gr.jp/meeting/janog44/application/files/4715/6465/1431/janog44_CATVDHCP_nissato_20190726.pdf
書込番号:24375665
0点
>LsLoverさん
>おかめ@桓武平氏さん
ご返信ありがとうございます。
書込番号:24375313の件、やってみました。
{ただ私は詳しくないので、やったことがあってるかどうか分かりませんが…)
結果やはり繋がりませんでした。
お二人が書いておられるように、明日時間があればONUのリセットができるか確認してみます。
設置場所が夏熱くなって動作が不安定になりそうなので、業務用のこのルーターを購入したのですが、
まさかこんなに設定がむずかしいとは思いませんでした。
自分の知識ではもう限界っぽいので
もしONUをリセットして、それでも繋がらなければ、諦めて余っている他の家庭用ルーターを
RTX810の位置に入れようかと思います。
書込番号:24375675
0点
『
書込番号:24375313の件、やってみました。
{ただ私は詳しくないので、やったことがあってるかどうか分かりませんが…)
結果やはり繋がりませんでした。
』
設定が不十分です。以下を参考に設定してください。
#LANインターフェースの設定(LAN1ポートを使用)192.168.2.1は、ご自宅の環境に合わせて修正してください。
ip lan1 address 192.168.2.1/24
#WANインターフェースの設定(LAN2ポートを使用)
ip lan2 address dhcp
ip lan2 nat descriptor 1
ip route default gateway dhcp lan2
#NATの設定
nat descriptor type 1 masquerade
nat descriptor address outer 1 primary
#DHCPの設定192.168.2.2-192.168.2.100/24は、ご自宅の環境に合わせて修正してください。
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.2.2-192.168.2.100/24
#DNSの設定
dns server dhcp lan2
dns server select 500001 dhcp lan2 any .
dns private address spoof on
#フィルターの設定
ip filter source-route on
ip filter directed-broadcast on
ip filter 1001 reject 192.168.2.0/24 *
ip filter 1002 pass * 192.168.2.0/24 icmp
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * tcp
ip filter dynamic 106 * * udp
ip lan2 secure filter in 1001 1002 2000
ip lan2 secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106
書込番号:24375704
0点
 |
|---|
>LsLoverさん
ご返信ありがとうございます。
下記の「ご自宅の環境に合わせて修正してください」のところの
IPアドレスは添付画像の3と4のところで設定した
IPアドレスを入力すればよいでしょうか?
> #LANインターフェースの設定(LAN1ポートを使用)192.168.2.1は、ご自宅の環境に合わせて修正してください。
> ip lan1 address 192.168.2.1/24
> #DHCPの設定192.168.2.2-192.168.2.100/24は、ご自宅の環境に合わせて修正してください。
> dhcp service server
> dhcp server rfc2131 compliant except remain-silent
> dhcp scope 1 192.168.2.2-192.168.2.100/24
書込番号:24375720
0点
『
下記の「ご自宅の環境に合わせて修正してください」のところの
IPアドレスは添付画像の3と4のところで設定した
IPアドレスを入力すればよいでしょうか?
』
RXT810のLAN側IPアドレスを192.168.100.1に設定して、DHCPサーバのIPアドレスの割り当て範囲192.168.100.2〜192.168.100.191で設定するようです。
以下のようにIPアドレスを変更して実行してください。
ip lan1 address 192.168.2.1/24 ===>192.168.100.1/24
dhcp scope 1 192.168.2.2-192.168.2.100/24 ==>192.168.100.2-192.168.2.191/24
書込番号:24375738
0点
追加コマンドです。DHCP クライアントの状態を表示でWAN側IPアドレス、DNSサーバアドレスが正しく設定されたかご確認ください。
#設定ファイル(config)を保存する。
save
#DHCP クライアントの状態を表示
show status dhcpc
書込番号:24375765
0点
>銀大さん
もしも、
1軒分の「MACアドレス」の縛りがないのでしたら、
BX350とルータの間に
スイッチングHUBを置くと、
好きなだけの台数のルータを配置し、
IPアドレスを持てるかも知れません。
書込番号:24376073
0点
>銀大さん
WSR-2533DHPLとRTX810の以外のルータで
DHCPサーバからIPアドレスが取得出来るのか、
試されては如何でしょうか?
もし、
他のルータで、IPアドレスが取得出来、ネットに繋がった場合は、
RTX810の設定の問題になるかと思います。
もし、
他のルータで、IPアドレスが取得出来ない場合は、
MACアドレスでガードされている可能性があると判断出来るかと思います。
書込番号:24376081
0点
>LsLoverさん
ご返信ありがとうございます。
RTX810を工場出荷時にリセット後、書込み番号24375738までのコマンドを実行しましたが、接続はできませんでした。
書込み番号24375765の追加コマンドを見落としていましたので、確認いたします。
>おかめ@桓武平氏さん
ご返信ありがとうございます。
> BX350とルータの間に
> スイッチングHUBを置くと、
以前、下記のようなことを考えていました。
BX350
|
スイッチングHUB ー ルーター ー PC複数台
|
ルーター
|
PC複数台
あまりよく理解していないのですが、以前サポートの方に確認したところ、
BX350にはルーター機能がないため、BX350の直下にはルーターを置かないと
ネットに接続できないと話していた気がします。
> 他のルータで、IPアドレスが取得出来、ネットに繋がった場合は、
> RTX810の設定の問題になるかと思います。
そうですね。他に5台ほど無線ルーターがありますので、それらで接続できるか確認してみます。
BX350をリセットするよりも、先にこちらを試した方が良さそうですね。
BX350は高所にあり、はしごをかけて登っていかなければならず、大変そうなので…
書込番号:24376280
0点
現在のネットワーク図
光1Gbps
|
BX350
|
RTX810 ー (ここから戸建てA内)ー 無線ルーター ー PC複数台
|
(ここから戸建てB内)
|
無線ルーター
|
PC複数台
RTX810の設置場所が夏に少し暑くなる場所で(それでも40度まではいかないかもしれませんが)、
その場所では無線が不要だったので、
ネットで安定していて中古なら安価で購入できると評判だったRTX810を購入しました。
安定性を気にしなければ、今接続できているWSR-2533DHPLをRTX810の場所に置けば
解決する話だと思うのですが、RTX810をせっかく購入したのでどうせならこれを使いたいと考えています。
書込番号:24376286
0点
>今接続できているWSR-2533DHPL
これはバッファローの製品だろう。
デフォルトは192.168.11.1
>RTX810のLAN側IPアドレスは初期値の192.168.100.1から102.168.11.1に変更、
ヤマハルーターに設定したら重複しているだろう。
書込番号:24376356
0点
>銀大さん
>> BX350
>> |
>> スイッチングHUB ー ルーター ー PC複数台
>> |
>> ルーター
>> |
>> PC複数台
>> あまりよく理解していないのですが、以前サポートの方に確認したところ、
>> BX350にはルーター機能がないため、BX350の直下にはルーターを置かないと
>> ネットに接続できないと話していた気がします。
右のルータと下のルータでDHCPサーバからIPアドレスを取得出来る可能性があるので、
試される価値はあるかと思います。
>> <接続できない>
>> ー ONU ー(有線)ー RTX810 ー(有線)ー パソコン
>> <接続できる>
>> ー ONU ー(有線)ー 他社製ルーター ー(有線)ー RTX810 ー(有線)ー パソコン
前者は、RTX810でCATV側のDHCPサーバーからIPアドレスが取れていないからネット接続は出来ない。
後者は、RTX810で他社製ルーター(WSR-2533DHPL)のDHCPサーバーからIPアドレスが取れているからネット接続は出来る。
こういう状況下ですと、書込番号:24376081で示したことを
試されることをお願い致しました。
書込番号:24376394
0点
お気づきと思いますが、[ 書込番号:24375738 ]にタイプミスが有りますので、訂正します。
【誤】dhcp scope 1 192.168.2.2-192.168.2.100/24 ==>192.168.100.2-192.168.2.191/24
【正】dhcp scope 1 192.168.2.2-192.168.2.2/24 ==>192.168.100.2-192.168.100.191/24
書込番号:24376395
0点
『
BX350
|
スイッチングHUB ー ルーター ー PC複数台
|
ルーター
|
PC複数台
』
銀大さんのONU(BX350)配下にWSR-2533DHPL(ルータモード)で設置した場合、『IPアドレス 193.116.7.ddd』(グローバルIPアドレス)が割り当てられました。
「Z-LAN サービス加入契約約款」にも「標準機能」としては、「IP 1 個(グローバルアドレス)を動的に割当」と記載されています。
『
Z-LAN サービス加入契約約款
(光施設用)
2. Z-LAN インターネットサービス基本利用料金
標準機能
・IP 1 個(グローバルアドレス)を動的に割当
・アカウント 3 個
』
https://www.ztv.co.jp/assets/pdf/pages/yakkan/yakkan_internet_hikone_hikari.pdf
「Z-LAN インターネットサービス基本利用料金」では、ONU(BX350)配下に、スイッチングハブを介してブロードバンドルータを複数台設置しても、ブロードバンドルータの1台のみWAN側IPアドレスにグローバルIPアドレスが設定されます。
WAN側IPアドレスにグローバルIPアドレスが割り当てられないブロードバンドルータの配下のネットワーク機器からインターネット接続できません。
書込番号:24376540
0点
>LsLoverさん
>銀大さん
>> 「Z-LAN インターネットサービス基本利用料金」では、ONU(BX350)配下に、スイッチングハブを介してブロードバンドルータを複数台設置しても、ブロードバンドルータの1台のみWAN側IPアドレスにグローバルIPアドレスが設定されます。
どの機器でチェックされているのか判りませんが、
端末機器のMACアドレスなどで識別しないと判断出来ないのではないかと思います。
書込番号:24376564
0点
>おかめ@桓武平氏さん
『
どの機器でチェックされているのか判りませんが、
端末機器のMACアドレスなどで識別しないと判断出来ないのではないかと思います。
』
[ 書込番号:24375665 ]で投稿させて頂きましたが、(一部文字化けしてしまい申し訳ありません)
ONUのMACアドレスと IPアドレスを静的に紐づけ、DHCPだけど動的ではない固定IP1個割当サービス提供
が可能のようですので、ZTVでは、プールしているグローバルIPアドレスから1個提供していると思われます。
『
運用事例2 DHCPによるStatic割当
>Option82を使って、ユーザONUのMACアドレスと
IPアドレスを静的に紐づけ、DHCPだけど動的では
ない固定IP1個割当サービス提供。
』
https://www.janog.gr.jp/meeting/janog44/application/files/4715/6465/1431/janog44_CATVDHCP_nissato_20190726.pdf
CATVのインターンネット接続でグローバルIPアドレスを配布するサービスでは、基本契約では1個グローバルIPアドレスを配布するようです。
書込番号:24376696
0点
 |
 |
|---|---|
皆様
多くのご返信ありがとうございます。
まず現在のネットワークは下記のようになっており、すべてのPCがネットに接続可能です。
光1Gbps
|
BX350
|
WSR-2533DHPL ー (ここから戸建てA内)ー 無線ルーター ー PC複数台
|
(ここから戸建てB内)
|
無線ルーター
|
PC複数台
今回、WSR-2533DHPLを安定性のあるRTX810に変更したく、
単純に入れ替えたところネットに繋がらないといった状況です。
おかめ@桓武平氏さんの書込み24376081の通り、
WSR-2533DHPLを私が持っている別のルーター(バッファロー、NEC、TP-Link)に交換したところ、
どのルーターでもRTX810と同じように接続することが出来ませんでした。
ですので、WSR-2533DHPLでしかネットに接続できない状況です。
BX350をリセットという話がありましたので、BX350を確認したところ
電源スイッチのようなものは見当たらず、また100Vの電源ケーブルがBX350に入っているような感じもありませんでした。
BX350に入っている線は3本で、右端の青いLANケーブルと、真ん中の黒く太いテレビの線、
それと左端の電柱から来ている細い線です。
BX350のカバーを開けてみましたが、複雑な構造になっており、あまり触らない方が良さそうでしたので何もせず閉じました。
ですので、BX350はリセット方法がわからず、何も出来ていません。
最後にLsLoverさんが、書込み番号24375765で書いておられた
show status dhcpcコマンドを実行してみたところ
IPアドレス;サーバ検索中
と表示されました。
今回、私が確認したこと内容から推測するに、
WSR-2533DHPL以外のルーターが全て接続できませんので
RTX810の問題ではなさそうですね。
書込番号:24376931
0点
>次世代スーパーハイビジョンさん
ご返信ありがとうございます。
>RTX810のLAN側IPアドレスは初期値の192.168.100.1から102.168.11.1に変更、
ヤマハルーターに設定したら重複しているだろう。
変更せず初期値の192.168.100.1のままでも接続できませんでした。
以前、RTX810のLAN側IPアドレスを192.168.11.1に変更してみたことがあったのですが、
そのときはブラウザで192.168.11.1にアクセスしたら、
WSR-2533DHPLのLANケーブルは抜いているのに、
WSR-2533DHPLのログイン画面が表示されたことがあったので、
WSR-2533DHPLの情報がどこかに残っていてバッティングしているのかもしれません。
書込番号:24376951
0点
とりあえず余分なものを外してONU、YAHAMAHAルーター、PCでテストをしてみたら。
中古ならファームウエアが最新か確認したら。
書込番号:24376978
0点
 |
|---|
>次世代スーパーハイビジョンさん
ご返信ありがとうございます。
一番最初の書込みの通り、シンプルに
ONU ー有線ー RTX810 ー有線ー パソコンで確認しましたが接続できませんでした。
ファームウェアは、添付画像のとおりRev.11.01.34になっており、最新のようです。
書込番号:24377012
0点
『
おかめ@桓武平氏さんの書込み24376081の通り、
WSR-2533DHPLを私が持っている別のルーター(バッファロー、NEC、TP-Link)に交換したところ、
どのルーターでもRTX810と同じように接続することが出来ませんでした。
ですので、WSR-2533DHPLでしかネットに接続できない状況です。
』
おかめ@桓武平氏さんが、
[ 書込番号:24374487 ]で
『
CATV系ですと、CATVの運営会社に問い合わせされた方がいいかと思います。
』
[ 書込番号:24375543 ]で
『
CATV側のDHCPサーバーが
見覚えがないMACアドレスで弾かれている可能性があります。
』
の通り、WSR-2533DHPLを別のルーター(RTX810、バッファロー、NEC、TP-Link)に交換したところインターネットの利用が出来ない旨を連絡して、どのような手順で別のルーター(RTX810、バッファロー、NEC、TP-Link)に交換したら良いのかを確認しては如何でしょうか?
書込番号:24377054
0点
取得中から変わらないなら。
ヤマハのサポートに質問してみたら懇切丁寧に教えてくれると思うよ。
書込番号:24377058
0点
>WSR-2533DHPLを私が持っている別のルーター(バッファロー、NEC、TP-Link)に交換したところ、
>どのルーターでもRTX810と同じように接続することが出来ませんでした。
WSR-2533DHPLはどこから入手したのですか。?
CATVからレンタル品ならMACアドレスが登録されていて
それ以外は接続できないようになっているのでは。
書込番号:24377069
0点
訂正させて頂きます。
【誤】
の通り、WSR-2533DHPLを別のルーター(RTX810、バッファロー、NEC、TP-Link)に交換したところインターネットの利用が出来ない旨を連絡して、どのような手順で別のルーター(RTX810、バッファロー、NEC、TP-Link)に交換したら良いのかを確認しては如何でしょうか?
【正】
の通り、 ONU(BX350)のLANポートに接続したWSR-2533DHPLを別のルーター(RTX810、バッファロー、NEC、TP-Link)に交換したところインターネットの利用が出来ない旨を連絡して、どのような手順で別のルーター(RTX810、バッファロー、NEC、TP-Link)に交換したら良いのかを確認しては如何でしょうか?
書込番号:24377072
0点
>次世代スーパーハイビジョンさん
ご返信ありがとうございます。
> WSR-2533DHPLはどこから入手したのですか。?
このルーターはネットで購入したものでZTVから配布されたものではないです。
>LsLoverさん
ご返信ありがとうございます。
> 【正】
> の通り、 ONU(BX350)のLANポートに接続したWSR-2533DHPLを別のルーター(RTX810、バッファロー、NEC、TP-Link)に交換したところインターネットの利用が出来ない旨を連絡して、どのような手順で別のルーター(RTX810、バッファロー、NEC、TP-Link)に交換したら良いのかを確認しては如何でしょうか?
先ほどサポートセンターに電話をしました。
日曜日ですので技術的な問い合わせができませんでした。
窓口の方に話したところ、
「1つのルーターが接続できて、他のルーターが接続できないことは考えられない。」
「ONUがMACアドレスなどを記憶していることはなく、それで弾いていることは考えられない。」
とのことでした。
明日、技術者の方から連絡があります。
書込番号:24377110
0点
窓口の方いわく電話で解決できない場合は、訪問によるサポートとなるようです。
可能かどうか分かりませんが、訪問してもらえる場合は、
ZTV所有の正常に動作するルーターを持参してもらい、それで接続できるか確認していただこうと思います。
書込番号:24377114
0点
『
窓口の方に話したところ、
「1つのルーターが接続できて、他のルーターが接続できないことは考えられない。」
「ONUがMACアドレスなどを記憶していることはなく、それで弾いていることは考えられない。」
とのことでした。
』
窓口の方がBX350導入経緯として、
『
もともとZTVとは別のケーブルテレビのインターネットを使用しており、そのサービスが終了したため、強制的にZTV移管になりました。
BX350はそのケーブルテレビのインターネットの時に設置されたものなので、ZTVに変わってからつけたものではありません。
なのでZTVのサポートページにもBX350の記載がないのだと思います。
』
ということをどの程度把握されているのか判断しかねます。
『
明日、技術者の方から連絡があります。
』
繰り返しとなりますが、ONU(BX350)のLANポートに接続したWSR-2533DHPLを別のルーター(RTX810、バッファロー、NEC、TP-Link)に交換したところインターネットの利用が出来ない旨を連絡して、どのような手順で別のルーター(RTX810、バッファロー、NEC、TP-Link)に交換したら良いのかを確認してください。
書込番号:24377130
0点
>LsLoverさん
ご返信ありがとうございます。
> 繰り返しとなりますが、ONU(BX350)のLANポートに接続したWSR-2533DHPLを別のルーター(RTX810、バッファロー、NEC、TP-Link)に交換したところインターネットの利用が出来ない旨を連絡して、どのような手順で別のルーター(RTX810、バッファロー、NEC、TP-Link)に交換したら良いのかを確認してください。
分かりました。確認いたします。
書込番号:24377467
0点
 |
|---|
>銀大さん
BX350の写真を拝見しました。光ファイバーケーブルが写っており、その下にONUがありそうです。
下記によると、型番は違いますがONUの電源は同軸ケーブルから供給しているようです。
https://www.phileweb.com/news/d-av/200608/30/16391.html
テレビの近くに添付画像(ネットより)に似たような、同軸ケーブルに電源を供給している物がありませんか。
書込番号:24378047
2点
 |
|---|
>銀漢の賦さん
ご返信ありがとうございます。
BX350から出ている同軸ケーブルを追っていくと、室内の柱に固定されていました。
100Vのコンセントに挿さっています。
これを抜くとONUの電源を落とせそうですね。
今日技術者の方から電話がかかってきて解決しなかったら、一度ONUの電源を切って入れて確認したいとおもいます。
書込番号:24378268 スマートフォンサイトからの書き込み
0点
 |
|---|
皆様
本日、ZTVの技術者の方から電話がありました。
今回のONU直下のルーターを変更するとネットに繋がらないというのは
既出の問題のようで、開口一番、銀漢の賦さんがおっしゃっていたONUのアダプターを
一度抜き差ししてください。とのことでした。
抜き差ししてみたところRT810があっけなくネットに繋がりました。
理由は聞いていませんが、皆さんがおっしゃっていたように
ONUに前のルーター(WSR-2533DHPL)の情報が残っていて
違うMACアドレスのRTX810や他のルーターが接続できなかったためだと思います。
自分自身ネットワークにはそれほど詳しくなく、RTX810も中古で安価だったため
繋がらなかったらもう使わず、WSR-2533DHPLのまま行こうかなと半ば諦めていたのですが
皆さんの親切なアドバイスのおかげで接続できることができました。
とても勉強になりました。
私の質問に長時間時間を割いていただき本当にありがとうございました。
書込番号:24378517
1点
既に、「解決済」となってしまいましたが...。
『
今回のONU直下のルーターを変更するとネットに繋がらないというのは
既出の問題のようで、開口一番、銀漢の賦さんがおっしゃっていたONUのアダプターを
一度抜き差ししてください。とのことでした。
抜き差ししてみたところRT810があっけなくネットに繋がりました。
』
問題が解決できたようで何よりです。
当方から、[ 書込番号:24375665 ]を書き込みをして混乱させてしまい、申し訳ありませんでした。
お詫び申し上げます。
https://bbs.kakaku.com/bbs/K0000288280/SortID=24373260/#24375665
>銀大さん
ONUをリスタートすれば、RTX810のかんたん設定でも対応できた可能性もあります。
CLI(コマンド入力)のお手間を取らせてしまい、申し訳有りませんでした。
書込番号:24378663
0点
>LsLoverさん
ご返信ありがとうございます。
> 当方から、[ 書込番号:24375665 ]を書き込みをして混乱させてしまい、申し訳ありませんでした。
お詫び申し上げます。
いえ、LsLoverさんにはたくさんのアドバイスをいただき、本当に助かりました。
>ONUをリスタートすれば、RTX810のかんたん設定でも対応できた可能性もあります。
CLI(コマンド入力)のお手間を取らせてしまい、申し訳有りませんでした。
ONUをリスタートしましたら、RTX810のかんたん設定だけでつながるようになりました。
今までコマンドなど使ったことがなかったので大変勉強になりました。
本当にありがとうございました。
書込番号:24378701
0点
最近RTX810を購入して、色々触りながら勉強中です。やはり実機で試すのとネット情報を眺めているのとでは理解が違います。
会社でも同種の機種でVPN接続を行って運用していますが、現在は認証情報を知っていればどこからでもVPN接続を行える状況です。
セキュリティ上大丈夫かという話になり、macアドレスで接続PCを制限すればいいじゃないかという意見が出て、実際そのような制限ができるのか調べました。
この機種では、ethernet filter コマンドでルータに対するmacアドレスアクセス制限はできるようですが、これはVPN接続に対しても有効なものでしょうか。
(許可されたmacアドレスのPC以外からのVPN接続はすべて拒否する。または接続できても中のネットワークには一切アクセスできない)
もし設定するとなると、VPNだけではなくルータ配下のPCすべてのMACアドレスを記載しなくては行かず、人が出入りするたびにメンテ必要など、運用的に問題があるのでこの案は拒否したいところです。
クライアント証明書による設定ができればいいと思ったのですが、調べたところ、この機種ではクライアント証明書による設定はできそうにありません。
なにかVPN接続を制限するような仕組みはないでしょうか?
(キーが流出する可能性があるからというのは、そもそもの問題ですが。。。)
0点
ワンタイムパスワード
https://network.yamaha.com/setting/router_firewall/monitor/lua_script/one_time_password-rtx1200
書込番号:24332634
1点
早速の回答ありがとうございます。
ワンタイムが使えるとは知りませんでした。
ちょっと工夫が必要みたいですが試して見たいと思います。
macアドレスフィルタ設定は、ちょっと試してみましたが、何も意味なしでした。VPNの接続制限としては使えないってことで良いですよね
書込番号:24333232 スマートフォンサイトからの書き込み
1点
お尋ねの件ですが、L2TP/IPSECの暗号化キー、認証ユーザー、パスワード認証のみで良いのでは?
暗号化キーを入替えさえすれば、接続はされませんよ。
あと、リモートアクセスのセキュリティ認証として、MS-CHAPv2がセキュリティ脆弱性があると広報された過去が有りますので、他の認証レベルにした方が良いのでは?
※ https://scan.netsecurity.ne.jp/article/2012/08/27/29782.html
あと、証明書での接続となりますとSSL-VPN方式になりますが、SSL-VPN方式となりますと別の脆弱性対策を想定しないといけませんが。
※ https://www.jpcert.or.jp/at/2021/at210019.html
SSL-VPN等のリモートアクセスを利用されたい場合には、対応のルーターやUTMを採用するしか無いですが。
※ シスコ 「ANY-Connect」 https://www.cisco.com/c/m/ja_jp/products/security/anyconnect/remote-access-vpn.html
※ シスコルーター 「ISR-1109」、「ISR-1111」
※ Firtinet 「Forticlient」 https://www.fortinet.com/jp/products/endpoint-security/forticlient
※ Fortinet 「Fortigate40F」、「Fortigate60F」
※ SonicWALL 「TZ370W」、「TZ470W」
書込番号:24335594
1点
>sorio-2215さん
丁寧な回答ありがとうございます。
現状のL2TP/IPSECのままとするなら、
·共有鍵は管理者のみが知るようにして、端末にも管理者が入力
·ワンタイムパスワード機構を導入してパスワードを定期的に変更
のいずれか、または両方を適用すれば良いのかなと考えてます。
ciscoもfortigateも使ったことはありますが、やはり高価なので、まずは現状機器だけでと思ってます。
L2TP/IPSEC+クライアント証明書がベストではないかと思うのですが、この機種では設定できないようで。
VPNでMACアドレスフィルタリングすることってあるんですかね。
パスワードが流出したらどうするんだ!というそもそもな質問に対する、こうすればまず大丈夫!という回答ができず困ります。(パスワードを定期的に変更するくらいしか)
Softeherにすればどうとでもなるんじゃないかとも思ってますが。。
書込番号:24335753 スマートフォンサイトからの書き込み
0点
Softetherにしたらしたで問題が有るかと思いますが。
Softetherを適用します、VPNサーバ側のOSの脆弱性対策をどうするか、Softether自身のSSL-VPNは、Open-VPN方式ですので、上位のルーターのポート開放を必須としています。
上位ルーターはポート開放するだけですので、セキュリティに関して関与しなくなります。
SSL-VPNも全くセキュリティ問題が無い訳では無いですよ。
※ https://www.jpcert.or.jp/newsflash/2020112701.html
↑ 基本的に、ルーターもUTMもそうですが、実装OSのファームウェア更新や修正パッチ抜きに対応は難しいですし、サポートライセンス抜きには難しいかと思いますが。
RTX810も生産終了になっていますし、RTX830やRTX1220に切り替えた方が良いのでは?
書込番号:24335871
1点
本当は新しいもの、高機能なものに変えてったほうがいいんですけどね。
今の機種も他部署からのお下がりです。
VPN接続が数人なので、今の構成でなんとかできないかというレベルです。
Softetherも、サーバーを新しく置かなければならず、そのサーバのセキュリティも担保しなければいけないので規模的には大げさですが。。
まずはmacアドレスフィルタリングではvpn接続制限できない旨を説明して、パスワード管理ルール変更で話してみようと思います。
書込番号:24336381 スマートフォンサイトからの書き込み
1点
RTX810を継続利用されるぐらいだったら、中古にてNEC等の業務系ルーターの方がコストパフォーマンスとルーターOSの脆弱性の対策、新規機能追加は随時されていますが。
IOS系のルーター設定に慣れているのであれば、そんなに苦労は無いかと思いますが。
※ NEC IX2105、IX2215
V6プラス・固定IP(JPNE、transix、Xpass)にも対応可能ですが。
VPN機能もハードウェア処理ですので、性能上のアドバンテージも有るかと思います。
書込番号:24345668
1点
>sorio-2215さん
情報ありがとうございます。
確かにRTX810,1200は業務で使い続けるには古くてセキュリティ上の不安もあるため、RTX1210を他部署のお下がりでもらうか、1220を購入することも視野に入れています。
NECのルーターは見たことないですが、同等以上の機能があるものと思います。
メーカー変わるとコンフィグの移行ができないので、ヤマハのままになると思いますが、貴重な情報ありがとうございました。
書込番号:24345944 スマートフォンサイトからの書き込み
0点
自宅外からL2TP/IPSecでVPN接続をして利用したいと考えているのですが、どのくらいの速度が出るものでしょうか?
現在自宅で同じくL2TP/IPSecのVPNを利用しているのですが、速度が上り下りとも数Mbpsと非常に遅く、こちらに変えたら高速化するのかな…と期待しています。現在の環境は1Gbpsのフレッツ光でルーターがバッファローのWSR-1166DHP3(有線ポート速度1Gbps)、SynologyのNAS(DS220j)をVPNサーバーとしてルーターと有線接続しています。
自宅で回線速度テストをすると上り下りとも200Mbps程度以上は出ます。LAN内からNASへのファイル転送も同じくらい、LAN外からのファイル転送ですとDSM経由で30から50Mbpsです。なので、VPNが遅いのはNASの中でのVPN処理が原因ではないかなと思っています。
こちらのルーターならVPN速度としてはそれなりに出せるものでしょうか?それともVPNとはそんなもの?
書込番号:24337163 スマートフォンサイトからの書き込み
2点
追記です。
自宅外にいるときにVPNを使わない場合の回線速度は上下とも100Mbps程度です。
書込番号:24337166
0点
>laser-physicistさん
ここの住民のsorio-2215さんが一番詳しいので、お待ち下さい。
書込番号:24337239
0点
>laser-physicistさん
>> 自宅外にいるときにVPNを使わない場合の回線速度は上下とも100Mbps程度です。
モバイル回線(5G/4G)なのか、Wi-Fi含む固定回線なのか、対向機側の回線の情報がないのですけど。
書込番号:24337246
1点
失礼しました、外出先でVPNを使わない場合の回線はWiFi含む固定回線だと思います。ホテルや無料WiFiスポットなどを考えていました。
回線速度というのはすべてFast.comなどのサイトでの速度計測結果です。
VPN接続時の速度は、L2TP/IPSecのほかにOpenVPNでも試しましたが同じ程度でした。
もう一点、外出先というのは海外であることが多いです。現在米国から日本の自宅にあるNASへ繋いでいます。この程度の速度になるのは当たり前でしょうか。半年ほど前に台湾から試したときも同じ程度の速度でした。国内からのテストはしたことがありませんでした、すみません...。もう少し(数10Mbps)出たらいいなと思っていたのですが、企業レベルの太い回線が必要なのでしょうか。今持っている会社PCの場合は会社へのVPN接続(おそらく日本国内への接続)で50Mbps程度出ます。
書込番号:24337322
2点
NVR510での検出WANスループットに依存しますが、NVR510、RTX830、RTX1210/1220系のL2TP/IPSECの制御はソフトウェア制御です。
ソフトウェアVPNの性能上ですが、メーカー告知のVPNスループットの精々、3〜5%程度かと存じます。
下記IPSECスループットのメーカー値です。
NVR510/RTX830 → IPSECスループット(最大1.0Gbit/s → 1000Mbps) → L2TP/IPSECスループット(30〜50Mbps)
RTX1210/1220 → IPSECスループット(最大1.5Gbit/s →1500Mbps) → L2TP/IPSECスループット(45〜60Mbps)
出先の回線網にも依存しますが、リモートアクセスの性能をフルに生かしたい場合には、それなりの回線も必要かと存じます。
ヤマハルーターも含めて性能向上させたい場合には、
VPNルーターのVPN機能をソフトウェア処理のものではなくて、ハードウェア処理のVPNルーターへ変更する。
VPNルーターの接続回線を、速度向上する回線へ変更する(NTTギガ、NTTクロス系回線、IPV4-Over-IPV6・固定IP回線)
出先の固定回線外の回線を利用される場合、モバイル回線も性能を維持出来る回線の選択をする。
※ 5G-WiMAX、5G-Xi 等(IPV6対応モバイル回線)
書込番号:24339549
2点
クチコミ掲示板検索
新着ピックアップリスト
-
【欲しいものリスト】S様向けPC構成
-
【Myコレクション】部長PC
-
【欲しいものリスト】新PC2025
-
【Myコレクション】れんきゅん向け30万PC
-
【欲しいものリスト】プリンタ購入2025
価格.comマガジン
注目トピックス
(パソコン)
