『VPN設定について』のクチコミ掲示板

現在会社でXR-400同士でのVPN接続はできています。
そこに自宅からBSR14でのVPN接続をしようと試みています
がなかなか上手くいきません。
要点を書きますと
・自宅はYahooBBのADSL8M
・会社はBフレッツ100M
・自宅からはアグレッシプモードで接続
・ログを見ると
　`tunnel 0` #11: initiating Aggressive Mode #11, connection `0`
　で接続を試みて
　`tunnel 0` #11: max number of retransmissions (2) reached
　STATE_AGGR_I1
　というエラー(?)が出ている。
と言う感じです。
事例が少ないのでなかなか解決の糸口がつかめません。
どなたか接続に成功したかたがおられたら設定のポイント
を教えてもらえれば有り難いです。
よろしくお願いします。

書込番号：2030050

>現在会社でXR-400同士でのVPN接続はできています。
センチュリーのXR-410でしょうか？
XR-300でしたら、接続できました。

書込番号：2033726

XR-300さんありがとうございます。

社名も書いてないし機器名も間違ってましたね (^^;)
確かにセンチュリー社のXR-410です。

ただ、事例を伺うまでもなくたった今開通しました。
原因はXR-410側のしょうもない設定ミスでした。
お騒がせしました。

それとは別に
設定例を書いたもって良いマニュアルが有ったらなぁ・・・
どこかに有ったら教えて下さい。

書込番号：2033932

>設定例を書いたもって良いマニュアルが有ったらなぁ・・・
ほんとですね。
私は、IPsec徹底入門で勉強中です。

書込番号：2034561

便乗で申し訳ありませんが、サーバがXR-410であれば、端末はBSR14の
アグレッシブモードで正常に運用できるのでしょうか？
当方BSR14同士で運用を試しているのですが、端末側で明示的にVPNを
切断しておかないと、次回にVPNで接続できなくなるというトラブルが
解決できていません（端末側のIPが変更されると発生するようです）
サーバ側のWEB表示をみてみると、VPN接続後に端末の強制切断を認識
できていないよう（？）な感じをうけます。

制限とは書いていませんが、MR104DVと同じく、アグレッシブモードは
端末側を1しか設定できないような気もしますし、ちょっと気持ちが暗い
です(^^;

しょうもないミスも、他の人には素晴らしいTIPSになるコトもあるでしょうし、
公開してみてはいかがでしょうか？
>ただ、事例を伺うまでもなくたった今開通しました。
>原因はXR-410側のしょうもない設定ミスでした。
>お騒がせしました。

書込番号：2037199

>便乗で申し訳ありませんが、サーバがXR-410であれば、端末はBSR14の
>アグレッシブモードで正常に運用できるのでしょうか？

端末側、つまりBSR14はアグレッシブモードで運用してます。
YahooBBなのでIPアドレスが変わりませんので変わったときの
事は分かりませんが (^^;)

> しょうもないミスも、他の人には素晴らしいTIPSになるコトもある
> でしょうし、公開してみてはいかがでしょうか？

XR-400でBSR14の接続定義を設定してもらったまでは良
かったのですがIPSecサーバーの再立ち上げをしてくれて
なかったようなのです。
再立ち上げだけするとすんなり繋がりました。

ね、本当にしょうもないでしょ (^^;)

書込番号：2037446

>便乗で申し訳ありませんが、サーバがXR-410であれば、端末はBSR14の
>アグレッシブモードで正常に運用できるのでしょうか？

センチュリーのルーター同士でもトラブルが多く、IP固定を推奨して
いるとの事でした。
BSR14には、VPN-DDNS機能があるようですので、試してみては、
いかがでしょうか。

書込番号：2037743

VPN-DDNS機能については以下のような機能だと思っています。

(1) ルーター側でIPアドレスが変わったのを検知してDNSサーバーに
　　IPアドレスを書き換えに行ってくれる。

(2) よって動的IP同士のVPNであっもドメイン名によるアクセスが出
　　来るのでメインモードで接続することが出来る。

なので、例えば接続中にリンク切れなどによるIPアドレスの変更に対
する再接続ってどうなるんでしょうか？

BSR14さんがおっしゃっているように
・強制切断が認識できず繋がらなくなるのか
・ドメイン名指定なので切断後に復旧してくれるのか

どうなんでしょうね？

書込番号：2041159

長文、申し訳ない。

>YahooBBなのでIPアドレスが変わりませんので変わったときの
>事は分かりませんが (^^;)
先に指摘されてしまいましたね(^^;)じつはY!BBでは正常に運用できる
（ように感じた）のにOCNにもってきたらダメダメだったのが事の発端です。

>再立ち上げだけするとすんなり繋がりました。
いえいえ、十分に参考になりました。BSR14のサーバ側のVPN部分の再起動は
［VPNの有効の有無のチェック→保存］という手順でできていると思うので
すが（LOGから判断）どうも結果からみると怪しいです。サーバがXR-410の
場合とは意味が異なりますが、VPN初心者としてはサーバ側の状態の確認を
忘れないようになりました。

>BSR14には、VPN-DDNS機能があるようですので、試してみては、
>いかがでしょうか。
試しているのですが、未だに正常に接続できません(+_+。マニュアル不備と
情報不足もありますが、知識不足が一番ですかね…「この動作は正常」と
いう確証が持てないでの、設定を変えてチャレンジしては確認の繰り返し
です。

ロストワールドさんへのお返事ですが、

>(1) ルーター側でIPアドレスが変わったのを検知してDNSサーバーに
>　　IPアドレスを書き換えに行ってくれる。
dyndns.orgで試していますLOGからみると、ちゃんとPPPoEが確立してから
DNSサーバに報告をいれているようです。
｜10/19 00:08:33 pppd: Starting PPPoE link 0
｜10/19 00:08:34 dhcpd: Listening on LAN 192.168.*.*
｜10/19 00:08:38 pppd: Successful to negotiate PPPoE connection 0
｜10/19 00:08:39 AMIT_DDNS: send request to DDNS server.
｜10/19 00:08:39 dhcpd: Listening on LAN 192.168.*.*
｜10/19 00:08:41 IKE: Starting IKE

>(2) よって動的IP同士のVPNであっもドメイン名によるアクセスが出
>　　来るのでメインモードで接続することが出来る。
LOGが…まだVPN-DDNS機能をきちんと動作させていないせいか、どっちの
モードで実現させているのか、いまのところ不明です。

>なので、例えば接続中にリンク切れなどによるIPアドレスの変更に対
>する再接続ってどうなるんでしょうか？
手元のBSR14は、アイドル時間経過後の切断（？）も、イーサの線をいきな
り引き抜いて強制的に切断された状態も、PPPoEの接続自体が再開されない
ので、最後の質問にたどり着けないです(^^;。

先は長いなあ…。

書込番号：2041694

正常に接続できないとの事ですが、
BSR14をリセットするまで接続できないのでしょうか？
しばらく待っていると接続しますか？

しばらく待つと接続できるのであれば、VPN設定の接続時間の設定
が、関係していると思います。
BSR14の場合、最低が300秒ですので、５分間は接続できなく
なると思いますが・・・・

書込番号：2045889

色々と調べた結果を報告しようと思ったのですが、長文になるので控えます(*_*
というか、予め、みなさんに確認させてただきたい疑問がありまして…

現状では、BSR14同士なので、そのまま記述しますが（一般論として）次のような
トラブルは当たり前ですか？

Ｑ１．VPN接続が行われたままクライアントBSR14のPPPoEが切断されたりしたら
　（クライアントBSR14のPPPoE接続が再開後も）VPNが再接続できなくなるのは
　当たり前でしょうか？

サーバ側BSR14[静的IP]　−　インターネット　−　(PPPoE)クライアントBSR14[動的IP]

Ｑ２．先の構成に「まったく同じ設定のクライアントBSR14」が複数存在する運用で、
　（つまり、サーバ×１、動的IPのクライアント×２）初回以外のクライアントBSR14が
　VPN接続できなくなるのは当たり前でしょうか？
　※　　クライアントBSR14-AとクライアントBSR14-Bが同時ではなく、時差でサーバBSR14に
　　　　接続する。
　※※　A→Bの順：B以降、AがVPN接続を試みてもNG。
　※※※アグレッシブモードでの運用なの、全く同じ設定のクライアントが存在するのは、
　　　　セキュリティホールでは？というのも、ちょっと横に置いといてください(^^;

特にBSR14の場合に限らず、別な機器の組み合わせなどの場合でも構いませんので…。
＃　MR104DV同士では、上記のようなことは無かったと思うのですが…。


XR-300さんにお返事ですが、
>BSR14をリセットするまで接続できないのでしょうか？
>しばらく待っていると接続しますか？
ある手順を守ってクライアントのBSR14のVPN接続を切断すると、問題なく再接続できる
ようなメドがたってきています…この手順を守らないと…いくら待ってもダメみたいです。
※　VPNの接続時間を越えても「接続中...」のままとか、そもそもPPPoEが再開できない等。

>BSR14の場合、最低が300秒ですので、５分間は接続できなく
>なると思いますが・・・・
「基本設定」メニューの「最大アイドル時間」のことでしょうか？だとすると、手元の
BSR14では300秒はデフォルト値です（ちなみに、1000以上を設定するとPPPoEで接続できなく
なります^^;）
bsr14_shousai_manual.pdfによると"0"が「自動的に再接続する」に指定されており、
範囲は指定がないようですが…他のルータでは"0"は「切断しない」であって「自動接続」
とは異なる意味で使用して例が多いように思いますが…これはBSR14で実検証していません。

接続時間に関してですが「VPN設定」メニューの中に「接続時間」の項目があり、そちら
には「VPN簡単設定マニュアル(改).pdf」のP.2の手順7)に3600〜28800秒と範囲の指定が
あり、実際その時間の範囲以外ではVPN接続できなくなるようです。

現在、自動再接続のチェックを入れずに、最大アイドル時間[300]＜接続時間[3600]という
設定にしていますが…VPNの有効化の有無にかかわらず最大アイドル時間では切断されて
いないようです。

また、長くなってしまってゴメンなさい。

書込番号：2052713

VPN-DDNS接続できたみたいです。で、XR-300さんの指摘のタイムアウト試してみました。
今の所、タイムアウトは接続時間(VPN設定中の)に支配されるようです。接続（PING
打っただけ）の後、１時間放置すると、下のような変化が見られました。

今回のVPN-DDNS接続ですが、クライアント側（？PIGNを打った側）は固定IPです。
クライアント側から不正な手順(と、ここでは言っておきます）でVPN接続を切断して
１時間後の変化は…
　　サーバ側の変化は　　　　[設定]接続[切断]　→　[設定]接続[リトライ]
　　クライアント側の変化は　[設定]接続中...　 →　★変化なし★

でして、VPNの再接続は無理なようでした。
これまで話題にしていたサーバ側静的IP−クライアント動的IPの環境でもテストして
みたところ（動的IP側から不正な手順でVPN接続を切断）同様の変化のようです。

で、今更のように気づいたのですが、VPN接続後の正式な切断方法って、どんなの
でしょうか？

こんな基本的な所で躓いているようでは、どうも（自分の知識では）サーバ側に
人がいない運用は無理な雰囲気です…誰かのヘルプを待ってます(^^;

※　ロストワールドさんの指摘通り、VPN-DDNS接続は(LOGからみると）メインモード
　　のようです。

※　VPN-DDNSの設定例ですが、必要な方はいますか？あんまりこのスレッドを
　　引き延ばしてもナニなので、仕切りなおすか、どこかにWEBサイトを作成して
　　そっちで公開したほうが良いようにも思いますが…。

ではでは。

書込番号：2053486

BR14さん丁寧な報告大変役に立ちます m(_ _)m

>※　ロストワールドさんの指摘通り、VPN-DDNS接続は(LOGからみると）>メインモードのようです。

ここなんですが僕の認識ではメインモードで接続するためにVPN-DDNS接続
を行う、と考えていたのですがどうなのでしょう？

また、「メインモードのようです」と有りますがメインモード、
アグレッシブモードの切替（クライアント側）はVPN設定の中の
「アグレッシプモード (イニシエーター) 」の設定を有効にするか
無効にするかによって決まります。
有効　・・・ アグレッシブモード
無効　・・・ メインモード
なので「メインモードのようです」という状況は設定のせいかと。

>※　VPN-DDNSの設定例ですが、必要な方はいますか？あんまりこのス
>レッドを引き延ばしてもナニなので、仕切りなおすか、>どこかにWEBサイトを作成してそっ
>ちで公開したほうが良いようにも思いますが…。

これ大賛成です。
僕のHPでBSR14の話題を書いただけで「BSR14」での検索数が
増大しています。
余程設定例が少ないのではないかと思われますね。

# 僕の方ではBSR14とXR-410の接続例をHPにアップする予定です。

ついでにMLなんかも作ってもらえると有り難かったり。。。(^^;)

書込番号：2054283

>「基本設定」メニューの「最大アイドル時間」のことでしょうか？
説明不足ですみません。このことではありません。
>接続時間に関してですが「VPN設定」メニューの中に「接続時間」の項目があり、そちら
>には「VPN簡単設定マニュアル(改).pdf」のP.2の手順7)に3600〜28800秒と範囲の指定が
>あり、実際その時間の範囲以外ではVPN接続できなくなるようです。
すみません。こちらのことです。
（Persolに返却してしまったので、記憶に頼っていた物で・・・・）
3600秒ですと、１時間は再接続できない事になると思います。
IPsecの基本動作として、拠点側 SA（「VPN設定」メニューの中の「接続時間」）
の有効期間内は新たな IPsec セッションを確立することができないと
思います。
（ここら辺については、IPsecの解説書などで「SAライフタイム」などの項目を確認した方がよいと思います。未熟な私では、とても説明し切れませんので。）

また、センチュリーのルーターの取説が参考になると思いますので、
一読してみるのも良いかと思います。

「VPN設定」の「接続時間」が、3600が最低値では、実用的ではないですね。
古川のF-40などは、PPPoEセッションが確立したときにIPsecセッションを
張るような機能が付いていたはずですが、値段が違いすぎますから選択の対象にはならないですよね。

Persolも、メールでしたらそこそこ対応してくれるようですので、
問い合わせてみてはいかがでしょうか。

書込番号：2054315

すみません。別な問題にハマっていました。これも行先不明ですがVPNの
時みたいにオオラカにはいかない問題で…どうしよう…。

元の話題に戻って、私の便乗質問で、このスレッドを引き延ばしすぎる
のもナニなので、とりあえず、どこかでサイトを立ち上げてみます。

>ついでにMLなんかも作ってもらえると有り難かったり。。。(^^;)
そこまで必要でしょうか？とも思うのですが…サイトの登録作業の
ついで程度でしたら作りますよ？でも、サイトの掲示板に（情報を）
集中させたほうが良いような気もしますが…。ではでは。

書込番号：2067669

>どこかにWEBサイトを作成してそっちで公開したほうが良いようにも思いますが…。
とにかく、作ってみました。まだ、何もないです。
1. http://bsr14.infoseek.ne.jp/
2. http://bsr14.hp.infoseek.co.jp/
実アドレスは2です。1でアクセスすると2のページに自動転送されます。
URLが短い=転送専用アドレスみたいです。ではでは。

書込番号：2070601