『同セグメント間でIPoeとPPPoe併用VPN接続でファイル共有できない』 の クチコミ掲示板

[z73]

回線:ドコモ光
プロバイダー:BIGLOBE(IPV6オプション)
RTA:WSR-5400AX6S_DHCPから取得
RTB: WSR-5400AX6S_BRモード
RTC:WSR-AX90_PPPoe接続


困っている事:IPoeとPPPoeの併用の環境面において同一セグメント(192.168.11.0/24)間であるにも関わらず、VPN(openvpn)接続超えの他ルール配下のファイル共有、リモートデスクトップの接続ができません。

わかっている事:家のWIFI環境でスマホBiPhone(.11)からRTC配下PCC(.103)ファイル共有、リモートデスクトップ可能、スマホBをRTCに接続しRTB配下PCB(.3)へのファイル共有、リモートデスクトップも接続確認済みです。

問題:RTC内からopenvpnのサーバー建てて、Lineモバイルソフトバンク回線のスマホB(.11)からRTC配下のPCC(.103)へファイル共有とリモートデスクトップ接続ができません。RTB配下のPCBへではファイル共有、リモートデスクトップ接続可能でした。またスマホのVPN接続時にipアドレス確認でPPPoeのグローバルIPになっている事は確認済みです。


関連がありそう設定変更した項目:RTCのDHCPはOFFに192.168.11.100/24に設定、
RTCのIPv6設定はOFF、


試した事:openvpnからL2TPへVPN接続をしましたが問題解決ならず、OPENVPNのサービスポートUDPとTCPどちらも試したが問題解決ならず、PCCのファイアーウォールをOFFしても問題解決ならず、

気になった事:ファイヤーウォールOFFでも接続不可という事はルーターの問題かと思いました。
またRTCのopenvpnの設定項目サブネットマスクが10.8.0.0で192.168.11.0/24ではないのでRTB配下のファイル共有ができないのか？？しかしRTC配下ではファイル共有は接続可能、、それにサブネットマスクを192.168.11.0/24へはローカルIPアドレス同じと表示され編集できませんでした。

ルーターの仕様なのか、不具合なのか原因はなんでしょうか？

詳しく方どうかご教授よろしくお願い申し上げます。

書込番号：25002293　スマートフォンサイトからの書き込み

[z73]

一部記載ミスありました。

誤り:問題:RTC内からopenvpnのサーバー建てて、Lineモバイルソフトバンク回線のスマホB(.11)からRTC配下のPCC(.103)へファイル共有とリモートデスクトップ接続ができません。RTB配下のPCBへではファイル共有、リモートデスクトップ接続可能でした。またスマホのVPN接続時にipアドレス確認でPPPoeのグローバルIPになっている事は確認済みです。

正:問題:RTC内からopenvpnのサーバー建てて、Lineモバイルソフトバンク回線のスマホBからRTC配下のPCC(.103)へファイル共有とリモートデスクトップ接続ができません。RTB配下のPCBへではファイル共有、リモートデスクトップ接続可能でした。またスマホのVPN接続時にipアドレス確認でPPPoeのグローバルIPになっている事は確認済みです。

書込番号：25002328　スマートフォンサイトからの書き込み

[おかめ@桓武平氏]

＞z73さん

OpenVPNは、使っていませんが、

当方では、QNAP TS-231K・TS-119PIIの内蔵L2TP/IPSecでは動作検証をしていますが、

クライアントがiOSデバイスとMacでは、
LAN内と同じIPアドレスでないと、
ファイル共有及びRDP/VNC接続が出来ない仕様の様です。

QNAP TS-231KはLinuxですので、
設定ファイルを直接編集することで、
iOSデバイスとMacでも
ファイル共有及びRDP/VNC接続が使える様に出来ます。

書込番号：25002422

[おかめ@桓武平氏]

＞z73さん

L2TP/IPSecのプロトコルに限定しますが、

I-O DATA WN-DX2033GRの場合、
IPアドレスは、同じIPアドレス内の範囲に限定される仕様の様ですが、
サブネットマスクが255.255.255,0固定がネックとなっています。

macOS 10.13用のVPNサーバー(L2TP)は
もっと汎用性がありますが、OSが古いのがネックです。

書込番号：25002440

[Gee580]

＞z73さん

�@　RTC と　RTB　は　緑の　両矢印に　なってるけれども、　有線で　つながってるの？
�A　HGW　を　PPPoEパススルー　で　RTC　で　PPPoE　を　終端　してるの？
�B　RTC と　RTB　の　IPサブネット　は　同じでは　ないよね。　　PCCと　PCB　の　フルIPアドレス　はどうなているの？　ipconfig で　確かめてミレル？

書込番号：25002610

[z73]

＞おかめ@桓武平氏さん
毎度ご投稿ありがとうございます。
私はまだNASを所有した事がないため現状把握しきれない事もあります。

例えば私の環境に置き換えてRTC配下にQNAP TS-231Kを導入し、QNAP TS-231KでVPNサーバーを立てて、VPN接続すればRTA配下のパソコン等RDPやファイル共有接続できるんですか？

>>設定ファイルを直接編集

とありますが、具体的に何を編集ですか？
サブネットマスクですか？

＞Gee580さん
毎度ご投稿ありがとうございます。
分かりづらいNW図で申し訳ありません。

>>�@　RTC と　RTB　は　緑の　両矢印に　なってるけれども、　有線で　つながってるの？

相互RTのLANポートから有線で接続しています。

>>�A　HGW　を　PPPoEパススルー　で　RTC　で　PPPoE　を　終端　してるの？

そのはずです。HGW設定でPPPoeブリッジ「ON」で、
RTAのPPPoeパススルー機能「OFF」です

>>�B　RTC と　RTB　の　IPサブネット　は　同じでは　ないよね。　　PCCと　PCB　の　フルIPアドレス　はどうなているの？　ipconfig で　確かめてミレル？

RTCサブネット:255.255.255.255
RTBサブネット:255.255.255.0
PCC_IPアドレス:192.168.11.103
PCB_IPアドレス:192.168.11.3

この情報で大丈夫でしょうか？

書込番号：25002681　スマートフォンサイトからの書き込み

[たく0220]

＞z73さん

PCCのデフォルトゲートウェイがどこに向いてるのか？が書かれてませんので補足された方が良いかもしれませんね。
RTBに向いてたら、PCCからの戻りパケットは宛先不明でロストしてしまうのではないかと思います。(RTBの設定にもよるかもしれませんが)

PCCにRTCのOpenVPN(10.8.0.0/24)への静的経路情報(スタティックルート)を設定するのが一般的なのではと考えますが、その辺の設定はされてますか？
PCCがWindowsだったならコマンドプロンプトから
　route print
などの情報を出された方がアドバイス受けやすいのではないかと思います。


＞RTCサブネット:255.255.255.255

サブネットマスク「255.255.255.0」でない？
サブネット(とかセグメント)と書く場合は「192.168.11.0/24」や「192.168.11.1〜192.168.11.254」のように範囲で書いた方が伝わりやすいと思います。サブネットとサブネットマスクはそれぞれ使い分けた方が良いかと。

書込番号：25002697

[z73]

＞たく0220さん
投稿ありがとうございます。
>> PCCのデフォルトゲートウェイがどこに向いてるのか？が書かれてませんので補足された方が良いかもしれませんね

PCB
IPアドレス:192.168.11.3
DGW:192.168.11.1

PCC
IPアドレス:192.168.11.103
DGW:192.168.11.100

誤記が多くて大変申し訳ありません、VPN接続でRTC配下のRDP、SMB接続可能で、RTB配下の場合接続不可です。
以下修正させて頂きました。
---------------------------------------------------------------------------
正2:問題:RTC内からopenvpnのサーバー建てて、Lineモバイルソフトバンク回線のスマホBからVPN接続でRTB配下のPCB(.3)へのRDPとSMB接続不可。
RTC配下のPCC(.103)へではRDP、SMB接続可能でした。またスマホのVPN接続時にipアドレス確認でPPPoeのグローバルIPになっている事は確認済みです。
---------------------------------------------------------------------------

>> PCCがWindowsだったならコマンドプロンプトから
　route print

問題はPCBですのでPCBのroute printの画像を掲載しました。ご確認下さい。

情報不足の提供で申し訳ありません。またサブネットとサブネットマスク同一していました。

RTA_WAN側(RTモード)
DGW:192.168.1.3
サブネットマスク:255.255.255.0
RTA_LAN側
DGW:192.168.11.1
サブネットマスク:255.255.255.0
サブネット:192.168.11.0/24

RTB_LAN側(BRモード)
DGW:192.168.11.1
サブネットマスク:255.255.255.0
サブネット:192.168.11.0/24

RTC_WAN側
DGW:PPPoeのIPアドレス
サブネットマスク:255.255.255.255
RTC_LAN側
DGW:192.168.11.100
サブネットマスク:255.255.255.0
サブネット:192.168.11.100/24

書込番号：25002734　スマートフォンサイトからの書き込み

[たく0220]

＞z73さん

RTB配下のPCBへがNGで、DGWの設定がRTA「192.168.11.1」になっていたとすると
現在のPCBのルーティングテーブルの状況では、PCBからの戻り先が特定できず到達不能(Unreachable)になってるのではと推察されます。

まずPCB側のコマンドプロンプトでarpコマンドを実行して
　arp -a
RTC「192.168.11.100」が認識されているかを確認してください。

試すとしたら、
１．PCBのルーティングテーブルに経路を下記のように追加してみる。
　コマンドプロンプトを管理者として実行して下記参考にしてください。
　※１: OpenVPNの設定が10.8.0.0/24の場合。
　※２: まずは確認ですので下記コマンドの結果はPCを再起動すると元にもどります。

　route add 10.8.0.0 mask 255.255.255.0 192.168.11.100

参考: 「route」コマンドでWindows OSのルーティングテーブルを操作する：Tech TIPS - ＠IT
https://atmarkit.itmedia.co.jp/ait/articles/0301/11/news003.html


２．PCBのDGWをRTC「192.168.11.100」に変更してみる。
　※: PCBからインターネットへの接続が全てPPPoE経由になってしまいます。

どちらかで確認してみて原因を切り分けしてみてください。

書込番号：25002745

[おかめ@桓武平氏]

＞z73さん

>> 例えば私の環境に置き換えてRTC配下にQNAP TS-231Kを導入し、QNAP TS-231KでVPNサーバーを立てて、VPN接続すればRTA配下のパソコン等RDPやファイル共有接続できるんですか？

NAS以外でもVPNサーバーを構築可能です。

LAN内でVPNサーバーが機能出来るものが
弄って使える様になります。

これがmacOS10.13 Server機能のVPNサーバーになります。

これ以外のsynology NASは、たく0220さんが詳しいです。
こちらもLinuxベースですので、何とか使えると思います。

書込番号：25002865

[Gee580]

Logical connection

＞z73さん

Ｌｏｇｉｃａｌ　ｃｏｎｎｅｃｔｉｏｎ　を　ＵＰ　したけれども、
なにを言っているのか わからない ので、　どういう　通信経路で　なにをしたいのか　を
わたくしが　ＵＰした図をコピーして　手書きもいいから、　記入してＵＰ　と　改めて　説明してくれますかね？

書込番号：25003192

[z73]

＞たく0220さん
PCBでarp -a コマンド実行し、
“ インターネット:192.168.11.100 種類:動的“を確認致しました。
1のroute add 10.8.0.0 mask 255.255.255.0 192.168.11.100 をPCBでコマンド実行した所、スマホからVPN接続時にPCBへRDPとSMBの無事接続できました！

ですのでそのURL記事から固定ルーティング固定化するために
” route -p add 10.8.0.0 mask 255.255.255.0 192.168.11.100“
を実行しました。これで設定は以上でしょうか？

今回は私の勉強不足でルーティングの存在は一応知っていましたが、それはルーターで設定する物だと思い、PCでも設定できるなんて無知でした。
またVPN接続してもあくまでも仮装トンネルであり、完全なRTC配下アドレスにはならない、VPN接続時同セグメントであってもルーター超えなのでたく0220さんが仰った通りPCBのDGWが192.168.11.1なのでRTCの192.168.11.100への行き先がないので通信が成立しない、だから接続先のPCBにルーティング追加が必要
仮にRTA、RTB、RTCが異なるセグメントであった場合はそれこそルーターでのルーティングが必要になる
という解釈を自分はしています。。。
何か指摘があれば遠慮なく指摘して下さい。

＞おかめ@桓武平氏さん
なるほど、これは初めて知りました。丁度私もNASを購入したいのですが今高騰してるので購入はまだ先です笑
NAS導入後また問題があればまたここでお聞きします


＞Gee580さん
本問題はたく0220さんの助言で一応解決しましたが、
今後もまたここの方たちにはお世話になるのでせっかくGee580さんNW図作成頂いて悪いですが
もう一度己でNW図を分かりやすく編集しました。こちらも勉強と考え様々な意見を聞きたいのでご確認後なにか意見等あれば遠慮なく指摘して下さい。
念のため改めて問題の整理して記載します。
----------------------------------------------------------------------
回線:ドコモ光
プロバイダー:BIGLOBE(IPV6オプション)
HGW:PR-500MI
RTA:WSR-5400AX6S_RTモード
RTB: WSR-5400AX6S_BRモード
RTC:WSR-AX90_PPPoe接続

HGW_LAN側
IPアドレス:192.168.1.1
PPPoeパススルーON

RTA_WAN側(RTモード)
DGW:192.168.1.3
RTA_LAN側
DGW:192.168.11.1
サブネット:192.168.11.0/24
※PPPoeパススルーOFF

RTB_LAN側(BRモード)
DGW:192.168.11.1
サブネット:192.168.11.0/24

RTC_LAN側(PPPoe)
DGW:192.168.11.100
サブネット:192.168.11.100/24
※DHCP機能OFF 手動でIPアドレス配布
openvpn設定(RTC)
IPアドレス: 10.8.0.0
サブネット:255.255.255.0

困っている事: RTC内からopenvpnのサーバー建てて、Lineモバイルソフトバンク回線のスマホからVPN接続でRTB配下のPCB(.3)へのRDPとSMB接続不可。
RTC配下のPCC(.103)へではRDP、SMB接続可能でした。またスマホのVPN接続時にipアドレス確認でPPPoeのグローバルIPになっている事は確認済みです。
----------------------------------------------------------------------

書込番号：25004161　スマートフォンサイトからの書き込み

[たく0220]

＞z73さん

＞これで設定は以上でしょうか？

PCCですがRTCのLANポートに接続している場合でも、PCBと同様にルーティングの設定をすれば、DGWはRTA「192.168.11.1」でも大丈夫と思います。
そうすれば、PCCのインターネットへのアクセスはIPoEの経路側からとなりますので速度低下などに悩まされなくなるのではないでしょうか？

OpenVPNのクライアント側(iPhone)の設定ですが、時間があるときにWindowsPCなどをテザリングで繋げてみて、下記を参考にmssfixを調整しておくと良いかもしれません。

参考: OpenVPNに接続したときに、接続が不安定になる問題を解消する - Qiita
https://qiita.com/reoring/items/f6400212d3de19ee5ad7


＞何か指摘があれば遠慮なく指摘して下さい。

その解釈で大丈夫と思います。
ルーター等のIGD(Internet Gateway Device)に備わっているVPN機能はルーター自身がDGWになってる事が前提の設定なってるのがほとんどのように思います。
NAS(QNAPとSynologyしか知りませんが)などのIGDでないのが前提の機器はLANに出るときにNAPTする設定になっています。
例えばRTCがNASだった場合、10.8.0.0/24のトンネルから出る際にNAPTをかまして送信元を192.168.11.100としてPCBに到着します。
ですので、よほど特殊な環境で無い限り各端末のルーティングを気にする事はまず無いでしょう。(PCBでWireshark使ってパケットの流れ見てればわかりやすいかと思います)

PC等をVPNサーバーとする場合は、各VPNソフトのチュートリアルでルーティングの設定をするかNAPTなどの設定をするようにアドバイスが書かれていると思います。

後は不正アクセスされないように、ルーター(RTC)で開放したポートに対して着信を制限できたらなと思います。
Lineモバイルソフトバンク回線のみでしたらサポート等に聞いて、その範囲以外からの着信を拒否するよう設定出来たらベターだと思います。
完全に防げるとは思いませんが最低限の防御は検討した方が無難かと感じます。


各端末の情報としてはIPとサブネットマスク、DGWでまとめた方が見やすいかもしれません。
またDHCPからの自動取得か手動(固定)での設定かなどを補足されると相手側の理解が早くなるでしょう。

書込番号：25004284

[おかめ@桓武平氏]

＞z73さん

>> VPN接続時同セグメントであってもルーター超えなのでたく0220さんが仰った通りPCBのDGWが192.168.11.1なのでRTCの192.168.11.100への行き先がないので通信が成立しない、だから接続先のPCBにルーティング追加が必要

VPNサーバー側のPC端末のデフォルトゲートウェイがIPoE側ルーターの設定になっている場合、
PPPoE側ルーターにパケットが通過出来ないので、
ルーティングの設定がVPNサーバー側のPC端末にその設定が必要になります。

もし、VPNサーバー側のPC端末のデフォルトゲートウェイがPPPoE側ルーターの設定になっている場合は、
別途ルーティングの設定は不要です。

書込番号：25004367

[Gee580]

＞z73さん

すでに、他から回答済みなので、それでいいんじゃないかな。　PCC　と　PCB　のルート設定は　改善したPCB　と同じにすればいいよ。　PCBと同じにしないと、　PCC　は　RTA　を経由できないので、そのメリットを享受できないよね。　いまは台数が少ないので、違っていても問題にならないとおもうけれども、それが増えるたいへんかなとは思ね。

今のネットワーク構成は、　2系統で　PCｘ　や　その他の　クライアントでは　RTAを経由して　高速にネットにアクセスできるでしょ？　ただし、どこのISPか知らないけれでも、　高速ネットサービス　なのかな？　
VPNを　使う　場合は　RTC　経由だよね？

ISP　に　よっては、　PPPoEで高速ネットサービスを　提供している　ところもあるので、それを適用するば、もっとシンプルにできるかな　と思うけれでも。　住んでる地域のISPのカバレッジ、予算などが　合えば　だけれでも。

あとは、　AX９０　は　TP-Link製　でしょ？　正しく書くといいんじゃないの？　

わたくしからは以上です。

書込番号：25004688

[Gee580]

＞z73さん

一応、念のため、RTCの　DHCPサーバー　機能は　Disable　にしといたほうがいいよ。
あとは、　他が言うように、PCC,　PCB　にStatic route　を　追加　だよ。

わたくしからは　以上　です。

書込番号：25004886

[z73]

＞たく0220さん
>> PCCですがRTCのLANポートに接続している場合でも、PCBと同様にルーティングの設定をすれば、DGWはRTA「192.168.11.1」でも大丈夫と思います。
そうすれば、PCCのインターネットへのアクセスはIPoEの経路側からとなりますので速度低下などに悩まされなくなるのではないでしょうか？

そうですね、しかし諸事情によるPCCはPPPoe接続で使用したいので現状設定変更はしなくて大丈夫です

>>参考: OpenVPNに接続したときに、接続が不安定になる問題を解消する - Qiita
https://qiita.com/reoring/items/f6400212d3de19ee5ad7
是非参考にします！

あと不正アクセスの防止策、各端末の情報としてはIPとサブネットマスク、DGW等しっかり見直ししておきます！

＞おかめ@桓武平氏さん
>> もし、VPNサーバー側のPC端末のデフォルトゲートウェイがPPPoE側ルーターの設定になっている場合は、
別途ルーティングの設定は不要です

わざわざ助言ありがとうございます。これは理解できております！

＞Gee580さん
>> VPNを　使う　場合は　RTC　経由だよね？

そうです、ISP等はドコモ光のBIGLOBEです。HGWの後段のどこかにVPNサーバー構築可能なNAS、PC、ルーターどれか設置又は設定すればVPNはRTA経由で可能になりPPPoe経由のVPNより早いVPN速度を実現できると思いますがとりあえず今はこの環境で大丈夫です。
AX90はtplink 製ですね　何回誤字があり申し訳ありません！



3人の方こちらの分かりづらい情報提供にも関わらず、親身になってご回答頂きありがとうございました。無事問題も解決でき色々勉強になる事も多かったです。また今後質問する事があるのでこちらも今回以上に分かりやすい情報整理して質問できたらと思います。

特になにもコメントがなければ数日後にこの質問を閉じさせて頂きます。

書込番号：25006100　スマートフォンサイトからの書き込み

[たく0220]

＞z73さん

参考程度に聞いてほしいのですが、OpenVPNはIPv6での接続に対応してたりします。
まだSynologyのNASでしか確認はしてませんがIPv6でトンネルを形成後は、今までと同様にIPv4のIPアドレスでPCなどにアクセス出来ます。
ただDDNSを使うならそちらもIPv6に対応してないといけなかったり、モバイルのキャリアによってはIPv6対応してない場合もあるので、条件が揃ってればとなりますね。
Linux PCで構築しても可能だとは思いますが、Linuxに慣れてないと厳しいかと思います。

VPN関してはPPPoEに頼らなくても他の手段もあったりしますよって事になります。
(他でもPPPoEを必要としてるみたいですので、VPNの負荷をIPoE側に任せる事も出来るかもしれませんよって事です。)

本題から脱線してしまいそうですので、この辺にて…

書込番号：25006322

[おかめ@桓武平氏]

＞z73さん

>> プロバイダー:BIGLOBE(IPV6オプション)

OpenVPNの場合、
契約されているISPが
NTT系のMAP-E系ですので、
WAN側のポート番号を使えるポート番号にされると、
IPv6 IPoE側のルータでVPN接続は出来るかと思います。

VPNクライアント側では、
変更したWAN側のボート番号で接続すると使える様になるかと思います。

書込番号：25006359