ショップが販売価格を掲載するまでお待ちください 価格推移グラフ
お気に入り製品に登録すると、価格が掲載された時にメールやMyページでお知らせいたします
有線LANポート数:4 対応セキュリティ:UPnP/VPN/DMZ
本ページでは掲載するECサイトやメーカー等から購入実績などに基づいて手数料を受領しています。
このページのスレッド一覧(全26スレッド)
| 内容・タイトル | ナイスクチコミ数 | 返信数 | 最終投稿日時 |
|---|---|---|---|
 VPN通信の設定について |
6 | 144 | 2017年1月14日 16:33 |
| HGWへのアクセスについて2 |
7 | 200 | 2016年1月7日 17:39 |
| LTEでのVPN接続のパケット使用量 |
1 | 2 | 2015年12月9日 15:47 |
| HGWへのアクセスについて |
18 | 200 | 2015年12月27日 18:30 |
| DNSサーバーの設定 |
1 | 12 | 2014年9月28日 21:16 |
| DLNAサーバが見つかりません。 |
1 | 11 | 2014年6月9日 09:27 |
- 「質問の絞込み」の未返信、未解決は最新1年、解決済みは全期間のクチコミを表示しています
お気に入りに追加
RTX810を使用してVPN通信をユーザーの望む形で実現するように試行錯誤していくスレッドです。
本当は下記スレッドの続編で「3」としたいところなのですが、運営により
「主旨がわからないのでスレッドを削除する」
という意味不明の指導?ありましたので題名を変えて続行します。
前スレ
↓HGWへのアクセスについて
http://bbs.kakaku.com/bbs/K0000288280/#19384277
↓HGWへのアクセスについて2
http://bbs.kakaku.com/bbs/K0000288280/#19439135
VPN通信について質疑応答したい人はどんどん参加してください。
0点
昨日建てたスレッドが削除されてしまったので私の状況に対する改善案も消えてしまいました。
申し訳ありませんが、再度アップお願いします。
状況
〇自宅PCより
・会社のHGW、RTX両方に繋がらない
・その配下のネットワーク機器には繋がる
・自宅のすべてのネットワーク機器には繋がる
〇会社PCより
・自宅のHGW、RTX両方に繋がらない
・その配下のネットワーク機器には繋がる
・会社のすべてのネットワーク機器には繋がる
〇アイフォンより
・自宅のHGW、RTX両方に繋がる
・その配下のネットワークに繋がらない
・会社のネットワーク全てに繋がらない
よろしくお願いします。
書込番号:19470727
0点
先刻も、Configの修正にてアクセス可能可否の確認を投稿しておりましたが、自宅・会社RTX810ルーターの双方に、「httpd host any」のコマンド実行にて、アクセス可能可否確認を提供していましたが、お試し下さい。
IOS端末については、L2TPリモートアクセス接続の際の、IPアドレスをプールするIPを指定するコマンド実行にて、お試し下さい。
pp select anonymous
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type mppe-any
ip pp remote address pool 192.168.100.150-192.168.100.160
↑ IOS端末へIPアドレスを192.168.100.150〜192.168.100.160の範囲で割り振る設定です。
自宅・社内端末にはIPと重複しないIPアドレスを設定下さい。
念のためですが、会社RTX810ルーター配下の端末には、固定IPの設定機器については、192.168.100.***(自宅端末と重複しないIP)/24、デフォルトゲートウェイ192.168.100.2、プライマリDNS192.168.100.2の設定しているか確認下さい。
更に、会社の端末にて、LAN設定をDHCP自動取得設定をした際に、パソコンのDOSプロンプトから、「ipconfig /all」にて、検出しています割り当てIPとゲートウェイIP、プライマリDNSをお教え下さい。
自宅・会社RTX810のルーターでのコマンド実行にて、「show ipsec sa」、「show status tunnel 1」、「show log」、「show ipsec sa gateway 1 detail」のそれぞれの接続ステータス情報の提供願います。
書込番号:19470797
1点
>sorio-2215さん
お早うございます。お世話になります。
ネットワークのルールを下記のようにしたいです。
自宅:192.168.100.1-192.168.100.99
会社:192.168.100.100-192.168.100.199
モバイル:192.168.100.200-192.168.100.254
※あくまでも「端末」についてのルールでルーターなどは既存のままでOKです
この件について設定等ご提案願います。
書込番号:19470903
0点
自宅分です。
# show ipsec sa
Total: isakmp:1 send:2 recv:2
sa sgw isakmp connection dir life[s] remote-id
-----------------------------------------------------------------------------
5 1 - tra[001]esp send 16316 ***.***.157.145
6 1 - tra[001]esp recv 16316 ***.***.157.145
7 1 - isakmp - 16320 ***.***.157.145
8 1 7 tra[001]esp send 16322 ***.***.157.145
9 1 7 tra[001]esp recv 16322 ***.***.157.145
#
# show status tunnel 1
TUNNEL[1]:
説明:
インタフェースの種類: L2TPv3
トンネルインタフェースはL2TPで利用されています
L2TPの状態はshow status l2tpコマンドで表示できます
#
2016/01/08 10:26:42: [IPv6] prefix ***.***.:1::/64 (vlife: 300, plife: 300)
is assigned from LAN2 (RA)
2016/01/08 10:26:43: [IKE] receive heartbeat message from ***.***.157.145
2016/01/08 10:26:43: [IKE] still connected : no message
2016/01/08 10:26:53: [IKE] receive heartbeat message from ***.***.157.145
2016/01/08 10:26:53: [IKE] still connected : no message
2016/01/08 10:26:59: [L2TPv3] set (0)message type HELLO
2016/01/08 10:26:59: [L2TPv3] set (59)message digest MD5
2016/01/08 10:26:59: [L2TPv3] keepalive HELLO send to ***.***.157.145
2016/01/08 10:26:59: [L2TPv3] recv message AVPs :
2016/01/08 10:26:59: [L2TPv3] (0)message type ACK
2016/01/08 10:26:59: [L2TPv3] (59)message digest MD5
2016/01/08 10:26:59: [L2TPv3] recv ACK from ***.***.157.145
2016/01/08 10:26:59: [L2TPv3] recv message AVPs :
2016/01/08 10:26:59: [L2TPv3] (0)message type HELLO
2016/01/08 10:26:59: [L2TPv3] (59)message digest MD5
2016/01/08 10:26:59: [L2TPv3] set (0)message type ACK
2016/01/08 10:26:59: [L2TPv3] set (59)message digest MD5
2016/01/08 10:27:03: [IKE] receive heartbeat message from ***.***.157.145
# show ipsec sa gateway 1 detail
SA[5] 寿命: 16136秒
自分側の識別子: 192.168.100.1
相手側の識別子: ***.***.157.145 (ipsec1)
送受信方向: 送信
プロトコル: ESP (モード: transport)
アルゴリズム: 3DES-CBC (認証: HMAC-MD5)
SPI: ** ** 66 57
鍵 : ** ** ** ** ** (confidential) ** ** ** ** **
----------------------------------------------------
SA[6] 寿命: 16136秒
自分側の識別子: 192.168.100.1
相手側の識別子: ***.***.157.145 (ipsec1)
送受信方向: 受信
プロトコル: ESP (モード: transport)
アルゴリズム: 3DES-CBC (認証: HMAC-MD5)
SPI: ** ** 11 ae
鍵 : ** ** ** ** ** (confidential) ** ** ** ** **
----------------------------------------------------
SA[7] 寿命: 16140秒
自分側の識別子: 192.168.100.1
相手側の識別子: ***.***.157.145 (ipsec1)
プロトコル: IKE
アルゴリズム: 3DES-CBC, SHA-1, MODP 1024bit
NATトラバーサル: あり, キープアライブ: 300秒
SPI: ***.***. d3 37 eb 32 b8 ac a3 ee 14 0e
鍵 : ** ** ** ** ** (confidential) ** ** ** ** **
----------------------------------------------------
SA[8] 寿命: 16142秒
自分側の識別子: 192.168.100.1
相手側の識別子: ***.***.157.145 (ipsec1)
送受信方向: 送信
プロトコル: ESP (モード: transport)
アルゴリズム: 3DES-CBC (認証: HMAC-MD5)
SPI: ** ** 6e b4
鍵 : ** ** ** ** ** (confidential) ** ** ** ** **
----------------------------------------------------
SA[9] 寿命: 16142秒
自分側の識別子: 192.168.100.1
相手側の識別子: ***.***.157.145 (ipsec1)
送受信方向: 受信
プロトコル: ESP (モード: transport)
アルゴリズム: 3DES-CBC (認証: HMAC-MD5)
SPI: ** ** 2f 90
鍵 : ** ** ** ** ** (confidential) ** ** ** ** **
----------------------------------------------------
書込番号:19470992
0点
うーん、そうなると、DHCP網にて希望の場合には、L2TPv3トンネル網の統合IPセグメントをVLAN構成の様な形に分割する形になりますが、ご希望の様な構成が可能か、調査時間を要します。
当方も、仕事の合間にて調べていますので、多少時間を下さい。
自宅側、会社側のそれぞれの端末にて、固定IPの設定にて分ける場合には簡単かと思いますが、自宅には、ご希望のIP範囲で、ゲートウェイ192.168.100.1、プライマリDNS192.168.100.1の設定、会社端末には、ご希望のIP範囲で、ゲートウェイ192.168.100.2、プライマリDNS192.168.100.2の設定をイメージ下さい。
それよりも、L2TPv3トンネルでの会社RTX810配下のDHCP挙動ステータスが気になりますので、先刻の「ipconfig /all」周りの情報をお教え下さい。
書込番号:19470994
0点
会社のipconfigです。
イーサネット アダプター ローカル エリア接続:
接続固有の DNS サフィックス . . . : flets-east.jp
説明. . . . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
物理アドレス. . . . . . . . . . . : 24-B6-FD-28-3F-DA
DHCP 有効 . . . . . . . . . . . . : はい
自動構成有効. . . . . . . . . . . : はい
リンクローカル IPv6 アドレス. . . . : 一部伏字4bc6:b543%13(優先)
IPv4 アドレス . . . . . . . . . . : 192.168.100.8(優先)
サブネット マスク . . . . . . . . : 255.255.255.0
リース取得. . . . . . . . . . . . : 2016年1月8日 11:27:28
リースの有効期限. . . . . . . . . : 2016年1月11日 11:27:28
デフォルト ゲートウェイ . . . . . : 192.168.100.1
DHCP サーバー . . . . . . . . . . : 192.168.100.1
DHCPv6 IAID . . . . . . . . . . . : 287618813
DHCPv6 クライアント DUID. . . . . . . . : 一部伏字75-24-B6-FD-28
-3F-DA
DNS サーバー. . . . . . . . . . . : 一部伏字:225:36ff:fe53:4bcb
192.168.100.1
192.168.0.1
NetBIOS over TCP/IP . . . . . . . : 有効
接続固有の DNS サフィックス検索の一覧:
flets-east.jp
iptvf.jp
書込番号:19471058
0点
>sorio-2215さん
コチラを優先しなくて結構です。都合の良い時だけ対応願います。
ところでw-nat でしたっけ?それぞれが同じIPアドレスを使いながらVPNを構築する仕組。アレは私の環境では難しいですか?
DHCPで自動アドレスを振るのがやっぱり楽でいいなあと思うようになりました。
書込番号:19471178
0点
Twice-NATの事ですか?
Twice-NATですと、多分論理的にHGWへのアクセスは、うまくいかないかと存じます。
Twice-NATで成功するのでしたら、当初のIPSEC-VPNトンネルでも成功していた筈です。
会社RTX810ルーターのDHCP予約IPの情報確認しました。
会社HGWのアクセスを通らずに192.168.100.1からインターネットアクセス側に出ている状態です。
再度確認ですが、自宅端末からhttp://192.168.100.2にて、会社RTX810のログイン、NTT-HGWログイン出来ませんか?
会社RTX810ルーターのアクセス許容設定(httpd host any コマンド投入)でも、ログイン出来るかどうか確認して欲しいのですが。
逆に自宅RTX810ルーターへアクセス許容設定(httpd host any コマンド投入)後に、会社端末から自宅RTX810ログインとAU-HGWのアクセス設定を確認下さい
会社端末を固定IP(192.168.100.10等)、デフォルトゲートウェイ192.168.100.2、プライマリDNS192.168.100.2の固定設定にて、自宅RTX810ルーター及びAU-HGWへのアクセスも確認して下さい。
逆に自宅も、固定IP(192.168.100.***)、デフォルトゲートウェイ192.168.100.1、プライマリDNS192.168.100.1にて、会社RTX810ログインと、NTT-HGWのアクセスも確認下さい。
L2レベルで、自宅・会社のIP体系アクセスが出来る構成でしたが、上記の要件で出来ない状態でしたら、静的ルーティングの登録をお試し下さい。(出来なければ、削除下さい)
自宅RTX810ルーター
ip route 192.168.99.1/32 gateway tunnel 1
会社RTX810ルーター
ip route 192.168.0.1/32 gateway tunnel 1
↑コマンドをそれぞれ実行し、自宅からNTT-HGWへのアクセスと、会社からAU-HGWのアクセスも確認下さい。 (不可の場合には、no ip route 192.168.99.1/32 gateway tunnel 1 、no ip route 192.168.0.1/32 gateway tunnel 1 コマンド実行にて、削除下さい。)
自宅の端末のDHCP予約IPと、会社端末のDHCP予約IPを分割する構成については、DHCPサーバの機能になりますので、現状の調査段階ですと、DHCP予約IP(MACアドレス認証)の設定になるかと存じます。
そのDHCP予約IPの設定の際に、会社の端末のインターネット・ゲートウェイを192.168.100.1からではなく、192.168.100.2から出ていく構成も調べないといけませんので、時間を下さい。
DHCP予約IP(MACアドレス認証)の際に、会社利用端末のMACアドレス情報が必要になりますので、参考設定例の提示に、既存の会社利用端末のMACアドレスを提示願います。
※ 会社回線へ接続しています端末全て。
書込番号:19471285
0点
モバイル端末に、DHCPでの予約IPを設定するのと同時に、L2TP/IPSECでのIPプールする設定の件については、下記コマンドを実行下さい。
L2TP/IPSECの方のコマンド(下記)
pp select anonymous
ip pp remote address pool 192.168.100.200-192.168.100.254
自宅RTX810ルーター配下の無線LANルーターへ接続された際のDHCP予約IPのコマンドについては、先刻の対話の通り、モバイル端末のMACアドレスが必要になります。
よって、Iphone系の場合には、設定→一般→情報の中のWifi-MACアドレス情報の提示が有れば、適切なDHCP予約IPアドレスのコマンド提供可能かと存じます。
書込番号:19471322
0点
>sorio-2215さん
macアドレスとIPを紐付るのならば結局はその手間がかかります。
当方の「勝手な」イメージでは
自宅RTX:指定範囲のアドレスの払い出し(自宅端末とモバイル用)
会社RTX:指定範囲のアドレスの払い出し(会社端末用)
こんな感じです。会社RTXにはDHCPサーバー機能を持たせられないですか?
書込番号:19471343
0点
>自宅RTX810ルーター
> ip route 192.168.99.1/32 gateway tunnel 1
>会社RTX810ルーター
> ip route 192.168.0.1/32 gateway tunnel 1
会社ルーターに下段の設定が投入できません。上下を間違っていませんか??
書込番号:19471476
0点
会社ルーターに下段の設定が投入できません。上下を間違っていませんか??
↑ 論理的に間違っておりません。
会社回線とは、物理的に別セグメントのネットワークで、トンネルルートしかアクセス出来ないルーティングです。
自宅回線の方から見ても、自宅回線から見て192.168.99.1は、物理的にトンネルルートしかアクセス出来ないル―ティングの為です。
そうすると、仮想的に自宅RTX810ルーターの配下として動作している状態ですので、やはりルーティングの規定外になっているようです。
コマンド投入出来ない点は残しておいて、自宅端末からNTT-HGWアクセス可否確認願います。
書込番号:19471505
0点
補足です。
先刻の「ipconfig /all」を会社端末から実行後に、ゲートウェイアドレスが192.168.100.1、プライマリDNS192.168.100.1から出ている点から、静的ルーティングの規定外のコマンドになっている状態と言う事です。
コマンド投入しなくても、自宅RTX810ルーターのコマンドにて、「httpd host any」を投入している状態でしたら、会社端末から自宅RTX810ルーターへログイン出来ない筈は無いですが。
更に、AU-HGWのルーティングに、自宅RTX810ルーター配下のIPからのアクセスは出来る機能設定ですので、別要因かと考えます。
書込番号:19471521
0点
念のため、会社RTX810ルーターのインターネットルートを192.168.99.254にする設定を投入しておいて下さい。
nat descriptor address outer 200 192.168.99.254
↑ 「nat descriptor address outer 200 primary」からの変更です。
書込番号:19471724
0点
以下の通り。全然変化ないですね。
状況
〇自宅PCより
・会社のHGW、RTX両方に繋がらない
・その配下のネットワーク機器には繋がる
・自宅のすべてのネットワーク機器には繋がる
〇会社PCより
・自宅のHGW、RTX両方に繋がらない
・その配下のネットワーク機器には繋がる
・会社のすべてのネットワーク機器には繋がる
〇アイフォンより
・自宅のHGW、RTX両方に繋がる
・その配下のネットワークに繋がらない
・会社のネットワーク全てに繋がらない
書込番号:19471763
0点
「show status l2tp」コマンド・ステータス提示下さいますか?
モバイル接続中のステータス表示可能でしょうか?
書込番号:19471794
0点
>sorio-2215さん
今気づいたのですが、DHCPを会社内ネットワークで使わざるを得ません。理由は無線子機に自動取得以外作用しないものが複数あるからです。
何か手立てはありますか?
書込番号:19471812
0点
# show status l2tp
------------------- L2TP INFORMATION -------------------
L2TP情報テーブル
L2TPトンネル数: 1, L2TPセッション数: 1
TUNNEL[1]:
トンネルの状態: established
バージョン: L2TPv3
自機側トンネルID: 3003
相手側トンネルID: 38322
自機側IPアドレス: 192.168.100.2
相手側IPアドレス: ***.***.141.4
自機側送信元ポート: 1701
相手側送信元ポート: 1701
ベンダ名: YAMAHA Corporation
ホスト名: RTX810-1
Next Transmit sequence(Ns): 962
Next Receive sequence(Nr) : 960
トンネル内のセッション数: 1 session
セッション情報:
セッションの状態: established
自機側セッションID: 61202
相手側セッションID: 37774
Circuit Status 自機側:UP 相手側:UP
通信時間: 15時間59分33秒
受信: 8867175 パケット [11805740887 オクテット]
送信: 8632813 パケット [656637390 オクテット]
書込番号:19471827
0点
自宅RTX810ルーターへ下記コマンドを実行しましたか?
pp select anonymous
ip pp remote address pool 192.168.100.200-192.168.100.254
L2TPステータスを見ると、トンネルの状態: established、セッションの状態: established から見て、接続状態的には、問題無いです。(モバイル端末にて、192.168.100.2が振られてますよ)
L2TPモバイル端末からのアクセスと社内端末のセグメントが違うぐらいしか無いかと。
若しくは、何らかの要因にて、社内端末のIP設定相違(デフォルトゲートウェイ及びプライマリDNS設定)しか無いかと。
自宅ネットワーク端末側に、同一セグメント以外にはアクセス制限するような設定は有りませんか?
あと、自宅RTX810ルーターに、ポート制限する様なスイッチングハブを経由しているとか。
あまり関連性は無いかと思いますが、IPフィルタの設定を解除して、再度確認頂けますか?
no ip lan2 secure filter in 101004 101005 101020 101021 101022 101023 101024 101025 101030 101032 101080 101081 101099
no ip lan2 secure filter out 101020 101021 101022 101023 101024 101025 101099
↑自宅RTX810ルーターのコマンド実行にて、願います。
書込番号:19471865
0点
>sorio-2215さん
社内ルーターにDHCP機能がないとどうしようもないのです。
ですから今回の変更は「もしDHCP機能を使えなのならば」取りやめないといけません。
どうでしょうか?
書込番号:19471875
0点
社内ルーターにDHCPが無いと言う事ではありませんよ。
DHCPリレーエージェント機能と同様の機能は実装していますよ。
自宅RTX810ルーターには、コマンドを見ると解るかと存じますが、DHCPスコープの機能は有効です。
DHCP機能が効いていないのであれば、モバイルに192.168.100.2等は振られていないです。
むしろ、IOSに振られている192.168.100.2は、会社RTX810ルーターのIPと重複していますので、先刻のL2TPーVPNのプールするIPをすれば、アクセス可能な筈です。
もし、モバイルに振られているIPが、固定IPの場合には、それを解除してDHCPモードにしなければ、正常な通信は出来ません。
今回のケースは、モバイル側の問題で、RTX810ルーターのDHCP挙動の問題ではありません。
自宅RTX810ルーターには、下記DHCP機能の設定がされていますよね?
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.3-192.168.100.99/24
自宅ネットワーク装置に、他にDHCPを配信するような機器を設定していませんでしょうか?
それも確認して下さい。
下記コマンドを実行頂けますか?
話はそれからです。
それと、Iphoneの場合、VPNも含めネットワーク設定を反映すると、そのログが残り、正常な接続が出来ない不具合が有ります。
IphoneのVPN設定も一度削除し、再度VPN設定した方が良いかと存じます。
pp select anonymous
ip pp remote address pool 192.168.100.200-192.168.100.254
書込番号:19471917
0点
show status l2tp のステータスをよく見てみて下さい。
自機側IPアドレス: 192.168.100.2の応答をしていますので、完全に、会社側RTX810宛てのゲートウェイ接続として誤認識しています。
IOS端末のL2TPクライアントとしての応答に問題が有るケースになります。
書込番号:19471942
0点
更に、IOS端末の接続先ネットワークの種別変更をする場合には、IOS端末側のネットワーク設定リセットをしませんと、正常動作しないケースも多々有りますので、実施下さい。
書込番号:19471957
0点
>sorio-2215さん
先ほどのVPNのステータスですが、会社RTXで取ったものです。
自宅ではまだログを取っていません。
認識に誤りはないですか?
もうすぐ自宅に戻ります。自宅でもステータスを確認してアップします。
書込番号:19471994
0点
VPNステータスが、会社RTX810ルーター → 無線ルーター(BRモード)配下で取得してものであれば、自局IPアドレスが192.168.100.2で合致しています。
会社無線ルーター(BRモード)の本体IPの設定は、確認していますか?
NEC無線ルーター(BRモード)ですと、無線ルーターのIP(192.168.100.100でしたか?)/24、デフォルトゲートウェイ192.168.100.2、プライマリDNS192.168.100.2、セカンダリ192.168.100.1に設定されているか確認下さい。
無線ルーターとして接続ゲートウェイ先が違うと、全く違う動作となります。
自宅RTX810ルーターには、192.168.100.99迄の範囲のIPを設定されているのですよね?
自宅系は、ゲートウェイ192.168.100.1、プライマリDNS192.168.100.1、セカンダリ192.168.100.2でしょうか。
書込番号:19472047
0点
補足です。
無線ルーターや、一部NASやサーバなどの機器には、見えない機能で重複されたDHCPサーバ機能を効かせる機能が有るものが有りますので、ネットワーク系を確認下さい。
更に言うと、回線キャリア(DOCOMOやSoftbank、AUなど)のレンタル無線LAN等が有れば、その機器のDHCP機能が、動作の邪魔をすることも有りますので、そういった機器が接続されていればDHCP機能周りの無効化、影響は出ないかと思いますが、それぞれのHGWのDHCPサーバ機能も無効設定して、動作確認してみる形になります。
書込番号:19472066
0点
>sorio-2215さん
論点が理解できません。
先ほど私がアップしたトンネル?のステータスと「無線親機」の設定に【なにか関係】がありますか?
ちなみに会社の無線親機の設定は次の通りです。
DHCPクライアント機能 使用しない
グローバルIPアドレス 使用しない
IPアドレス/ネットマスク(ビット指定)192.168.100.201 /24
ゲートウェイ固定アドレス192.168.100.2
プライマリDNS 192.168.100.2
セカンダリDNS 設定なし
よろしくおねがいします。
書込番号:19472207
0点
自宅のステータスです。
------------------- L2TP INFORMATION -------------------
L2TP情報テーブル
L2TPトンネル数: 1, L2TPセッション数: 1
TUNNEL[1]:
トンネルの状態: established
バージョン: L2TPv3
自機側トンネルID: 38322
相手側トンネルID: 3003
自機側IPアドレス: 192.168.100.1
相手側IPアドレス: ***.***.157.145
自機側送信元ポート: 1701
相手側送信元ポート: 1701
ベンダ名: YAMAHA Corporation
ホスト名: RTX810-2
Next Transmit sequence(Ns): 1095
Next Receive sequence(Nr) : 1097
トンネル内のセッション数: 1 session
セッション情報:
セッションの状態: established
自機側セッションID: 37774
相手側セッションID: 61202
Circuit Status 自機側:UP 相手側:UP
通信時間: 18時間14分2秒
受信: 9898192 パケット [750623251 オクテット]
送信: 10163645 パケット [13536546478 オクテット]
#
書込番号:19472213
0点
このステータスですが、IOS端末のLTE回線からL2TP-VPN接続しましたステータスですか?
LTE-VPN接続している時のステータス提供もお願いします。
自宅RTX810ルーターに割り当てました、ルーターのホスト名が接続先としてのステータスになっておりますが。
相手先ホスト名がキチンと検出していますので、表面的には正常動作かと存じます。
自宅・無線LAN接続時のステータスかと思いますが、IOS端末の設定→Wifiをタップ→接続中の無線LANの!マークをタップ→DHCPから取得しているIPと、ルーターアドレス、DNSアドレスの情報をお教え下さい。
再度、自宅のRTX810ルーターと会社RTX810ルーターのトンネル1のコマンドのみ提供願います。
※ tunnel select 1 から tunnel enable 1 までのコマンド。
どうも、IOS端末のネットワーク取得情報自体がおかしい可能性が大きいです。
やはり、IOS端末のネットワーク設定のリセットと、VPN設定のリセットが必要な気がします。
書込番号:19472309
0点
なにかconfigの羅列が多くて、事例検討の例として見にくいのですが、模式的には
表現できませんか?
T.T.として使い辛いでしょうか。(運営が削除するきになるのもわかる気がします。)
書込番号:19472382 スマートフォンサイトからの書き込み
0点
>jm1omhさん
コンフィグの羅列なしに具体的な設定方法の確認ができる方法があればそうしますが?
ITの世界は1文字違っても全然結果が違ってしまうので困りますよね。
書込番号:19472410
0点
>sorio-2215さん
>このステータスですが、IOS端末のLTE回線からL2TP-VPN接続しましたステータスですか?
いいえ。自宅も会社も有線接続のPCから取りました
> LTE-VPN接続している時のステータス提供もお願いします。
わかりました。
> 自宅・無線LAN接続時のステータスかと思いますが、IOS端末の設定→Wifiをタップ→接続中の無線LANの!マークをタップ
>→DHCPから取得しているIPと、ルーターアドレス、DNSアドレスの情報をお教え下さい。
この部分かなりわかりにくいです。VPN接続中アイフォンはwifiをオフにしておきます。ですから上記の操作は不可能です。もしもVPN接続中にアイフォンのネットワーク関連情報をわかる方法があれば教えてください。
書込番号:19472434
0点
下のステータスはアイフォンがVPN接続しているときに、有線接続している自宅PCで取得したものです。
# show status l2tp
------------------- L2TP INFORMATION -------------------
L2TP情報テーブル
L2TPトンネル数: 2, L2TPセッション数: 2
TUNNEL[1]:
トンネルの状態: established
バージョン: L2TPv3
自機側トンネルID: 38322
相手側トンネルID: 3003
自機側IPアドレス: 192.168.100.1
相手側IPアドレス: 一部伏字.157.145
自機側送信元ポート: 1701
相手側送信元ポート: 1701
ベンダ名: YAMAHA Corporation
ホスト名: RTX810-2
Next Transmit sequence(Ns): 1172
Next Receive sequence(Nr) : 1174
トンネル内のセッション数: 1 session
セッション情報:
セッションの状態: established
自機側セッションID: 37774
相手側セッションID: 61202
Circuit Status 自機側:UP 相手側:UP
通信時間: 19時間31分52秒
受信: 9903186 パケット [750981062 オクテット]
送信: 10169791 パケット [13537487541 オクテット]
TUNNEL[2]:
トンネルの状態: established
バージョン: L2TPv2
自機側トンネルID: 42036
相手側トンネルID: 22
自機側IPアドレス: 192.168.100.1
相手側IPアドレス: 一部伏字101.102
自機側送信元ポート: 1701
相手側送信元ポート: 58364
PPインタフェース: PP[ANONYMOUS01]
ベンダ名:
ホスト名: iPhone
Next Transmit sequence(Ns): 2
Next Receive sequence(Nr) : 4
トンネル内のセッション数: 1 session
セッション情報:
セッションの状態: established
自機側セッションID: 22574
相手側セッションID: 772
通信時間: 43秒
受信: 68 パケット [7561 オクテット]
送信: 51 パケット [8701 オクテット]
よろしくお願いします。
書込番号:19472455
0点
自宅RTXのコンフィグ抜粋です。
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text *******
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1 key-id
l2tp always-on on
l2tp hostname RTX810-1
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.100.1
l2tp remote router-id 192.168.100.2
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
書込番号:19472467
0点
> 自宅・無線LAN接続時のステータスかと思いますが、IOS端末の設定→Wifiをタップ→接続中の無線LANの!マークをタップ
>→DHCPから取得しているIPと、ルーターアドレス、DNSアドレスの情報をお教え下さい。
この部分かなりわかりにくいです。VPN接続中アイフォンはwifiをオフにしておきます。ですから上記の操作は不可能です。もしもVPN接続中にアイフォンのネットワーク関連情報をわかる方法があれば教えてください。
↑の件ですが、単純に、Iphoneを自宅・無線LAN接続中に、設定→Wifiをタップ→チェックマークの接続中の無線LANの ! マークをタップすると、IPアドレス取得状態及び接続先ルーターアドレス、DNSアドレスの情報が、Iphoneにて表示されるはずです。
※ http://h01mes.com/content.php?id=2&lan=jp&type=etc#.Vo-mxb9mqUk
VPN接続時の取得IPアドレスについては、Ipadであれば端末側で表示されるのですが、パソコンに専用フリーソフトを適用し、適用IPを確認する方法になるかと存じます。
IphoneをVPN接続中にしておき、PCに、「TWSNMPマネージャ」をダウンロード・インストールし、そのソフトの中で、プログラムの中のTWSNMPv4→管理MAPを開き→上位タブの管理ツール→自動発見をクリック→開始アドレスと終了アドレスが表示されているかと存じますが、検索しIphoneの端末が検出されると、ルーターからDHCPにて正常にIPアドレス取得されている状態の把握が可能です。
※ TWSNMPマネージャー ・・ http://www.twise.co.jp/twsnmp.html
IphoneのVPN接続のONとOFFをしてみて、上記ソフトにてスキャンすると、動的に振られているIP確認出来るかと存じます。
書込番号:19472568
1点
先刻の情報と併せて、TECHINFO情報をYamahaへ一度相談してみるのも、一つの解決案です。
下記Yamahaサイトへ、TECHINFO情報をテキスト出力し、その情報を元に相談してみるのも良いかと存じます。
※ https://yamahasn.secure.force.com/
↑の事項に、やりたい事(自宅・会社のRTX810へのログイン、それぞれのHGWアクセス・HGWの設定内容記載要、IOS端末からそれぞれの拠点のネットワーク端末アクセス周り等)記載の上、TECHINFO情報(RTX810ルーターの簡易Webメニューの [トップ] > [詳細設定と情報] > [システム情報のレポート作成] 内容を、TEXTファイル出力されたものを、添付ファイル送信してみる方法も有ります。
シリアル番号については、それぞれの本体裏面記載(S/N)、バージョンはTECHINFO情報の内容のTOP付近に、Rev番号が有るかと存じます。
書込番号:19473733
0点
念のため、既存の環境で確認中の要素ですが、L2TPv3/IPSECの機能にて、下記の条件が有ります。
メーカー広報にて(下記)
収容する LAN インターフェースについて
収容したインターフェースに IPv4,IPv6 アドレスを付与してはならない。
収容したインターフェースの IPv6 リンクローカルアドレスは削除される。
収容する LAN インターフェースの MTU はすべて同一の値でなければならない。
いずれかのブリッジインターフェースに収容したインターフェースは、他のブリッジインターフェースに収容することはできない。
収容するインターフェースがスイッチングハブを持つインターフェースである場合、スイッチングハブのポート間で完結する通信は本機能によるブリッジ動作ではなく、スイッチングハブ LSI 内部で処理される。
↑ 2行目のブリッジインターフェイスには、IPV4アドレスを付与してはいけない。
上記の制約が有るため、特定回避している状態になります。
L2TPリモートアクセス設定・併用にて、限定的にIPV4固定アドレスを設定している状態になります。
書込番号:19473991
0点
>sorio-2215さん
取りあえず現在至急解決したいのが会社にて無線親機とアイフォンが接続できない点です。アイフォンに固定IPを振れば接続しますが、その機能の無い端末が複数あります。
↓無線親機の設定は昨日アップしたままです。セカンダリに何か登録しますか?
DHCPクライアント機能 使用しない
グローバルIPアドレス 使用しない
IPアドレス/ネットマスク(ビット指定)192.168.100.201 /24
ゲートウェイ固定アドレス192.168.100.2
プライマリDNS 192.168.100.2
セカンダリDNS 設定なし
よろしくお願いします。
書込番号:19474119
0点
やはり、そのステータスですか。
NEC無線ルーターのモードをRTモードにして下さい。
その後、ローカルルーターモードにて、WAN固定192.168.100.201/24、デフォルトゲートウェイ192.168.100.2、プライマリDNS192.168.100.2、セカンダリDNS192.168.100.1にて設定下さい。
無線ルーターのIPは、192.168.102.1/24、DHCPサーバを、192.168.102.2〜192.168.102.30などの設定下さい。
RTX810ルーターの静的ルーティングは、追って連絡します。
無線ルーター宛てに接続してみて下さい。
書込番号:19474314 スマートフォンサイトからの書き込み
0点
只今、一時帰社してきました。
NEC無線ルーターを社内特定対応として、RTモードへ変更した際に、自宅RTX810ルーター配下端末及び、会社RTX810ルーター配下端末から、無線ルーターのメニュー呼び出し・メンテナンスのための静的ルーティング登録お願いします。
自宅RTX810ルーター
ip route 192.168.102.0/24 gateway tunnel 1
会社RTX810ルーター
ip route 192.168.102.0/24 gateway 192.168.100.201
上記コマンドにて、自宅RTX810ルーターの配下端末192.168.102.***/24のアクセスは、L2Tpv3トンネルへ経路確保されます。
会社RTX810ルーターの配下端末192.168.100.***/24からのアクセスは、宛先ゲートウェイ192.168.100.201へ経路確保されます。
書込番号:19474436
0点
会社NEC無線ルーターをRTモードへ変更した際に、ご存じの事と思いますが、会社RTX810ルーターのハブポートから、NEC無線ルーターのWANポートへ接続変更下さい。
書込番号:19474441
0点
>sorio-2215さん
TWSNMPで自宅内のネットワークを検索しました。非常に有益なソフトですね。
で、まずVPN接続無しでスキャン。不明なデバイスが2つ見つかりました。
次にアイフォンをVPN接続しスキャンを掛けたのですがデバイスの数は増えていません。だから検索範囲の中にアイフォンは居ないと思います。これでアイフォンから入れるのがHGWとRTXだけなのが理解できました。
アイフォンをwifi接続すると192.168.100.XXXのローカルIPが表示されます。この場合は他の端末と同様の動作ができます。
よろしくお願いします。
書込番号:19477505
0点
この話、自宅RTX810ルーター側へ無線LAN接続した時と、L2TP/IPSEC接続した時のVPNの話ですよね?
下記コマンドを実行下さい。(自宅・会社RTX810それぞれ)
ip bridge1 proxyarp on
自宅・RTX810ルーターのメーカー基本仕様として、L2TPv3/IPSEC・L2TP併用構成の際には、先刻の対話の様に、ブリッジ・インターフェイスには、IPアドレスを保有させてはいけない約定が有ります。
そのための暫定処置としてですが、自宅RTX810ルーターのLAN1グループと会社RTX810ルーターのLAN1グループをそれぞれARP相互応答させる必要がある状態です。
上記設定コマンド投入後に、自宅のLAN1アドレスと会社のLAN1アドレスを消去頂けますか?
自宅RTX810ルーター
no ip lan1 address 192.168.100.1/24
no ip lan1 proxyarp on
会社RTX810ルーター
no ip lan1 address 192.168.100.2/24
no ip lan1 proxyarp on
上記までのコマンドにて、L2TP/IPSECリモートアクセスしましたIphoneから各端末アクセス可能かどうか確認下さい。
上記コマンドで恐らくは大丈夫かと思いますが、NTTとKDDI回線仕様を吸収出来るかどうかは、流動的です。
不安定な場合には、
設定復元下さい。(下記)
自宅RTX810ルーター
ip lan1 address 192.168.100.1/24
ip lan1 proxyarp on
会社RTX810ルーター
ip lan1 address 192.168.100.2/24
ip lan1 proxyarp on
書込番号:19477657
0点
>sorio-2215さん
下記の状態では会社ではネット外にもルーターにも行けなくなりました。
会社コンフィグ
ip routing process fast
ip route default gateway 192.168.99.1
ip route 192.168.0.1 gateway tunnel 1
ip route 192.168.102.0/24 gateway 192.168.100.201
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.99.1
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.2/24
ip bridge1 proxyarp on
ip lan1 address 192.168.100.2/24
ip lan1 proxyarp on
ip lan2 address 192.168.99.254/24
ip lan2 mtu 1454
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.100.2 ***.***.141.4
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.2
ipsec ike local name 1 ipsec1 key-id
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ***.***
ipsec ike remote address 1 ***.***.141.4
l2tp always-on on
l2tp hostname RTX810-2
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.100.2
l2tp remote router-id 192.168.100.1
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.0/24 icmp * *
ip filter 101005 pass * 192.168.100.0/24 established * *
ip filter 101006 pass * 192.168.100.0/24 tcp * ident
ip filter 101007 pass * 192.168.100.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.100.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.100.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101014 pass * 192.168.100.0/24 udp * ntp
ip filter 101015 pass * 192.168.100.0/24 udp ntp *
ip filter 101016 pass * 192.168.100.2 udp * 500
ip filter 101017 pass * 192.168.100.2 esp * *
ip filter 101018 pass * 192.168.100.2 udp * 1701
ip filter 101019 pass * 192.168.100.2 udp * 4500
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.99.254
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.100.2 udp 500
nat descriptor masquerade static 200 2 192.168.100.2 esp
nat descriptor masquerade static 200 3 192.168.100.2 udp 1701
nat descriptor masquerade static 200 4 192.168.100.2 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 1 1 udp 1701
syslog debug on
telnetd host 192.168.100.3-192.168.100.254
dns server 192.168.99.1
dns private address spoof on
l2tp service on l2tpv3
httpd host any
alarm entire off
sshd service on
sshd host 192.168.100.3-192.168.100.254
sftpd host 192.168.100.3-192.168.100.254
書込番号:19478397
0点
自宅RTX810ルーターにも、「ip bridge1 proxyarp on」の投入は必須です。
ARP応答もL2TPv3/IPSECのブリッジトンネルモードに切り替えた場合には、先刻の通り、LAN1インターフェイスに関連するものにIPに関連づけするコマンドは利用出来ない形になりますので、
no ip lan1 address 192.168.100.2/24
no ip lan1 proxyarp on
↑のコマンド投入も必須です。
自宅回線が基本インターネット及びVPN認証情報をL2TPv3ーVPNのブリッジトンネル通過、スマートフォンのVPNのトンネル・ブリッジ参加も併用すると、下記コマンドが自宅側に必要です。
no ip lan1 address 192.168.100.1/24
no ip lan1 proxyarp on
ip bridge1 proxyarp on
上記、自宅RTX810ルーターへL2TPv3とL2TPの接続をトンネル・ブリッジ設定、ARP応答ブリッジの設定に切り替え、その後スマートフォンのL2TP-VPN接続を確認してみて下さい。
会社回線については、そのままにしておいて下さい。
完全なトンネルブリッジにされました際の判断によって、LAN1アドレスにIPアドレスを保有・ARP応答させるか、自宅のみL2TPv3トンネルにもARPブリッジ併用するかの判断をさせて下さい。
書込番号:19478505
0点
会社のRTX810ルーター配下端末のIPアドレス取得状況をチェックしたいと考えておりますので、RTX810ルーター接続の端末のIPアドレス取得をDHCP自動取得にしておいて下さい。(任意で1台で構いません)
自宅のRTX810ルーターへ、先刻のコマンドを3点投入しましたら、スマートフォンからの接続状態と、自宅端末接続状態、会社端末のIP取得状態によって判断したいと考えます。
書込番号:19478568
0点
NTT-HGW→RTX810ルーター、AU-HGW→RTX810ルーターでのL2TPv3/IPSEC、モバイルでのL2TP-VPNのトンネル・ブリッジ参加をイメージした際に、先刻の判断によって、下記の構成変更が必要になるかと存じます。
現時点で、自宅RTX810ルーター・LAN1アドレスに192.168.100.1、会社RTX810ルーター・LAN1アドレスに192.168.100.2の設定、L2TPv3のブリッジアドレスに自宅RTX810ルーターに192.168.100.1、会社RTX810ルーターに192.168.100.2のブリッジアドレスを付与しておりますが、2重ルーター構成にて、ブリッジアドレスの変更しませんと、自宅と会社それぞれの端末から、それぞれのRTX810ルーターとHGWへのアクセスが出来ない可能性があります。
想定として、下記構成変更が必須になるかもしれません。
会社RTX810ルーター
ip lan1 address 192.168.100.2/24
ip bridge1 proxyarp on
ip lan1 proxyarp on
ip bridge1 address 192.168.100.198/24
tunnel select 1
tunnel name IPsec(会社)
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.100.198 ***.***.***.*** (AUグローバルIP)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.100.198
ipsec ike local name 1 ipsec1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 ***.***.***.*** (AUグローバルIP)
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-2
l2tp syslog on
l2tp local router-id 192.168.100.198
l2tp remote router-id 192.168.100.98
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
自宅
ip bridge1 address 192.168.100.98/24
ip lan1 address 192.168.100.1/24
ip bridge1 proxyarp on
ip lan1 proxyarp on
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.100.98
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text passowrd
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-1
l2tp syslog on
l2tp local router-id 192.168.100.98
l2tp remote router-id 192.168.100.198
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
最悪、↑のコマンドになった場合には、かなり変則的な設定となりますので、その前提の判断が必要になると言うことです。
書込番号:19478659
0点
再度、調査確認しました。
当方の調査にて、先刻のコマンドになる可能性大です。
既存のHGWとRTX810ルーター構成が、ローカルルーター構成で、LAN1インターフェイス機能を排他させるのは、まずい状態になるようですので、下記のコマンドにて、自宅・会社のインターネット接続と、自宅→会社のVPN接続、リモートアクセス接続になるかと存じます。
自宅から会社のRTX810ルーターのログイン、会社から自宅のRTX810ルーターのログイン、それぞれのHGWへのアクセスを条件とすると、かなり変則的な設定になります。
会社RTX810ルーター
ip lan1 address 192.168.100.2/24
ip bridge1 proxyarp on
ip lan1 proxyarp on
ip bridge1 address 192.168.100.198/24
tunnel select 1
tunnel name IPsec(会社)
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.100.198 ***.***.***.*** (AUグローバルIP)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.100.198
ipsec ike local name 1 ipsec1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 ***.***.***.*** (AUグローバルIP)
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-2
l2tp syslog on
l2tp local router-id 192.168.100.198
l2tp remote router-id 192.168.100.98
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
自宅
ip bridge1 address 192.168.100.98/24
ip lan1 address 192.168.100.1/24
ip bridge1 proxyarp on
ip lan1 proxyarp on
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.100.98
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text passowrd
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-1
l2tp syslog on
l2tp local router-id 192.168.100.98
l2tp remote router-id 192.168.100.198
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
書込番号:19478790
0点
先ほどの最終的なトンネルコマンドの一部ですが、下記になるかもしれません。
会社RTX810ルーター
tunnel select 1
ipsec ike local address 1 192.168.100.2
(ipsec ike local address 1 192.168.100.198にて、VPN認証できない時)
自宅RTX810ルーター
tunnel select 1
ipsec ike local address 1 192.168.100.1
(ipsec ike local address 1 192.168.100.98にて、VPN認証できない時)
書込番号:19478987
0点
>sorio-2215さん
ip bridge1 proxyarp on
no ip lan1 address 192.168.100.2/24
no ip lan1 proxyarp on
自宅RTXに上記コマンド投入し、次コメントのコンフィグになっています。この状態でインターネットもルーターも入れません(会社と同じ状態)。なおLET-VPNからは自宅HGWとRTXのみ入れます。例のソフトでみても192.168.100.0のネットワークには入っていません。
書込番号:19479188
0点
自宅RTXコンフィグ
ip routing process fast
ip route default gateway 192.168.0.1
ip route 192.168.99.1 gateway tunnel 1
ip route 192.168.102.0/24 gateway tunnel 1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.1/24
ip bridge1 proxyarp on
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ipv6 lan1 dhcp service server
ip lan2 address 192.168.0.254/24
ip lan2 mtu 1492
ip lan2 secure filter in 101004 101005 101020 101021 101022 101023 101024 10102
5 101030 101032 101080 101081 101099
ip lan2 secure filter out 101020 101021 101022 101023 101024 101025 101099
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:DHCP
provider ntpdate ntp.nict.jp
pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin ***.***.
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type mppe-any
ip pp remote address pool 192.168.100.150-192.168.100.160
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ***.***.
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1 key-id
l2tp always-on on
l2tp hostname RTX810-1
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.100.1
l2tp remote router-id 192.168.100.2
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel name モバイル用
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text ***.***.
ipsec ike remote address 2 any
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.1 udp * 4500
ip filter 101005 pass * 192.168.100.1 udp * 1701
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.100.1 udp * 500
ip filter 101081 pass * 192.168.100.1 esp * *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.100.1-192.168.100.254
nat descriptor masquerade static 200 1 192.168.100.1 udp 500
nat descriptor masquerade static 200 2 192.168.100.1 esp
nat descriptor masquerade static 200 3 192.168.100.1 udp 1701
nat descriptor masquerade static 200 4 192.168.100.1 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipsec transport 2 2 udp 1701
syslog debug on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.3-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on
httpd host 192.168.100.3-192.168.100.254
alarm entire off
書込番号:19479194
0点
うーん、やはりそうですか。
そうなると、2重NATのローカルルーターでの特定コマンドに変更するしか無いですね。
下記コマンドを会社・自宅別に投入して下さい。
会社RTX810ルーター
ip lan1 address 192.168.100.2/24
ip bridge1 proxyarp on
ip lan1 proxyarp on
no ip bridge1 address 192.168.100.2/24
ip bridge1 address 192.168.100.198/24
tunnel select 1
tunnel name IPsec(会社)
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.100.198 ***.***.***.*** (AUグローバルIP)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.100.2
ipsec ike local name 1 ipsec1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 ***.***.***.*** (AUグローバルIP)
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-2
l2tp syslog on
l2tp local router-id 192.168.100.198
l2tp remote router-id 192.168.100.98
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
自宅
no ip bridge1 address 192.168.100.1/24
ip bridge1 address 192.168.100.98/24
ip lan1 address 192.168.100.1/24
ip bridge1 proxyarp on
ip lan1 proxyarp on
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.100.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text passowrd
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-1
l2tp syslog on
l2tp local router-id 192.168.100.98
l2tp remote router-id 192.168.100.198
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
上記のトンネル設定を自宅・会社それぞれ投入して下さい。
勿論、AUグローバルIPの箇所は、AUのグローバルIPに差替えにて、願います。
書込番号:19479525
0点
補足ですが、仮想的にブリッジに設定しましたIPを変更し、物理LAN1インターフェイスの機能を有効にして、VPNトンネルアクセス用のIPを仮想的に分けたコマンドにしました。
会社のトンネル用ブリッジIP・・192.168.100.198、自宅のトンネル用ブリッジIP・・192.168.100.98
※ 上記のIPは、他の端末で利用しないで下さい。
メーカーとしては、イレギュラー設定に該当しますが、設定投入・VPN接続されましたら、自宅から会社のRTX810ログイン、会社から自宅RTX810ログイン、それぞれのHGWのログイン可否を確認下さい。
モバイル端末のアクセスも確認下さい。
書込番号:19479545
0点
テラタームで自動ログアウトさせないコマンドを教えてください。
書込番号:19479569 スマートフォンサイトからの書き込み
0点
ログインタイマーをオフにしても、デフォルトで300秒でログオフしてしまう仕様ですので、タイマー設定を長時間にするしか無いです。
「login timer 21474836」 を投入下さい。
タイマー設定として、最大値です。
書込番号:19479656
0点
>sorio-2215さん
自宅RTXにコマンド投入し、HGW、ルーター、各端末、インターネットにアクセスできるようになりました。
その後LET-VPNで自宅の端末と同様のアクセスできることも確認しています。しかしTWSNMPで検索してもアイフォンに該当するMACアドレスは発見されません。しかし「YAMAHA(192.168.100.150)」という端末がVPN接続時に現れ、切断後は「軽度障害」として表示されることからこれがアイフォンと思われます。
あとで会社RTXにコマンド投入します。
書込番号:19479892
0点
「しかし「YAMAHA(192.168.100.150)」という端末がVPN接続時に現れ、切断後は「軽度障害」として表示されることからこれがアイフォンと思われます。」
↑上記の動作は、正常です。
自宅RTX810の「pp select anonymous」ユーザーの接続情報として、下記IPアドレスをプールする設定が投入されております。
「ip pp remote address pool 192.168.100.150-192.168.100.160」
IPアドレス192.168.100.150〜192.168.100.160までのセグメントがIphone接続時にプールされる形になります。
ただし、L2TPトンネルが1トンネルしか有りませんので、複数トンネル構成しないと、192.168.100.151〜はプールされません。
書込番号:19480680
1点
会社コンフィグを末尾の通り設定しました。結果は以下の通りです。
→社内PCより
・会社HGW接続可能
・会社RTX接続不能
・インターネット接続不能
・会社各端末接続可能
・自宅接続不能
よろしくお願いします。
login timer 21474836
ip routing process fast
ip route default gateway 192.168.99.1
ip route 192.168.0.1 gateway tunnel 1
ip route 192.168.102.0/24 gateway 192.168.100.201
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.99.1
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.198/24
ip bridge1 proxyarp on
ip lan1 address 192.168.100.2/24
ip lan1 proxyarp on
ip lan2 address 192.168.99.254/24
ip lan2 mtu 1454
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.100.198 au IP
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.2
ipsec ike local name 1 ipsec1 key-id
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 au IP
l2tp always-on on
l2tp hostname RTX810-2
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.100.198
l2tp remote router-id 192.168.100.98
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.0/24 icmp * *
ip filter 101005 pass * 192.168.100.0/24 established * *
ip filter 101006 pass * 192.168.100.0/24 tcp * ident
ip filter 101007 pass * 192.168.100.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.100.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.100.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101014 pass * 192.168.100.0/24 udp * ntp
ip filter 101015 pass * 192.168.100.0/24 udp ntp *
ip filter 101016 pass * 192.168.100.2 udp * 500
ip filter 101017 pass * 192.168.100.2 esp * *
ip filter 101018 pass * 192.168.100.2 udp * 1701
ip filter 101019 pass * 192.168.100.2 udp * 4500
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.99.254
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.100.2 udp 500
nat descriptor masquerade static 200 2 192.168.100.2 esp
nat descriptor masquerade static 200 3 192.168.100.2 udp 1701
nat descriptor masquerade static 200 4 192.168.100.2 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 1 1 udp 1701
syslog debug on
telnetd host 192.168.100.3-192.168.100.254
dns server 192.168.99.1
dns private address spoof on
l2tp service on l2tpv3
httpd host any
alarm entire off
sshd service on
sshd host 192.168.100.3-192.168.100.254
sftpd host 192.168.100.3-192.168.100.254
書込番号:19481605
0点
先刻の話の様に、会社・自宅それぞれ下記コマンドを投入下さい。
会社RTX810ルーター
tunnel select 1
ipsec ike local address 1 192.168.100.198
自宅RTX810ルーター
tunnel select 1
ipsec ike local address 1 192.168.100.98
書込番号:19481651
0点
先ほどのコマンド投入前に、RTX810ルーターの配下端末のDHCP取得状況をお教え下さい。
DOSプロンプト→ 「ip config /all」 実行。
書込番号:19481658
0点
会社PCから取得しています。
イーサネット アダプター ローカル エリア接続:
接続固有の DNS サフィックス . . . :
説明. . . . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
物理アドレス. . . . . . . . . . . : 24-B6-FD-28-3F-DA
DHCP 有効 . . . . . . . . . . . . : はい
自動構成有効. . . . . . . . . . . : はい
リンクローカル IPv6 アドレス. . . . : 一部伏字:b543%13(優先)
IPv4 アドレス . . . . . . . . . . : 192.168.99.2(優先)
サブネット マスク . . . . . . . . : 255.255.255.0
リース取得. . . . . . . . . . . . : 2016年1月11日 16:01:43
リースの有効期限. . . . . . . . . : 2016年1月11日 20:01:42
デフォルト ゲートウェイ . . . . . : 192.168.99.1
DHCPv6 IAID . . . . . . . . . . . : 287618813
DHCPv6 クライアント DUID. . . . . . . . 一部伏字4-75-24-B6-FD-28-3F-DA
DNS サーバー. . . . . . . . . . . : 一部伏字:225:36ff:fe53:4bcb
192.168.99.1
NetBIOS over TCP/IP . . . . . . . : 有効
書込番号:19481718
1点
NTT-HGWからの取得IPですと、まずいです。
NTT-HGWのDHCP機能を無効設定下さい。
2重NAT環境でのRTX810ルーターでの取得機能でなければ、いけない条件になります。
それと、会社RTX810ルーターの稼働状況を知りたいので、接続端末を一時的に192.168.100.110/24等、デフォルトゲートウェイ192.168.100.2、プライマリDNS192.168.100.2にて、インターネット接続とVPN接続可否(自宅アクセス可能可否)をお知らせ願います。
書込番号:19481825
0点
会社端末は、全てRTX810ルーターのハブへ接続し、NEC無線ルーターのWANポートも、RTX810ルーターのLANポートに接続しているのですよね?
書込番号:19481840
0点
>sorio-2215さん
> NTT-HGWのDHCP機能を無効設定下さい。
設定完了。
>接続端末を一時的に192.168.100.110/24等、デフォルトゲートウェイ192.168.100.2、
>プライマリDNS192.168.100.2にて、インターネット接続とVPN接続可否(自宅アクセス可能可否)をお知らせ願います。
会社PC→
会社HGW:〇
会社RTX:×
会社端末:×
インターネット:×
自宅HGW:×
自宅RTX:×
自宅端末:○
VPN→
自宅全てOK
会社へのアクセス全て不能
> 会社端末は、全てRTX810ルーターのハブへ接続し、NEC無線ルーターのWANポートも、
>RTX810ルーターのLANポートに接続しているのですよね?
間違いないですよ。ところでPCから無線親機へのアクセスはどのアドレスを使うのですか?
書込番号:19481900
0点
>sorio-2215さん
自宅に一時帰ってまた会社に戻ります。時間は未定です。
自宅でやるべき作業を指示願います。
書込番号:19481909
0点
会社NTT-HGWのDHCP無効設定後の、IPアドレス取得状況をお知らせ下さい。
固定IPにて、自宅へアクセス可能な点は、確認しました。
先刻の端末の固定IPをDHCP自動取得に戻して、DOSプロンプトから、「ip config /all」の取得状況をお知らせ願います。
自宅RTX810ルーターの設定追加確認は、会社状況によっての話になります。
自宅RTX810ルーター (まだ投入しないで下さい)
tunnel select 1
ipsec ike local address 1 192.168.100.98
書込番号:19481945
0点
会社RTX810ルーターに接続しています端末から、無線ルーターへのログインは、先刻の設定状況を見ると解ると思いましたが。
念のためですが、会社RTX810ルーター及び自宅RTX810ルーター配下の端末から無線ルーターログインは、192.168.102.1にてログインします。(WANポートは、固定で192.168.100.201/24にしましたが、DHCP機能のため、無線ルーターのアクセスIPは、192.168.102.1にして貰いましたが)
自宅及び会社RTX810配下からアクセスする際に、静的ルーティングをして頂きましたが。
書込番号:19481955
0点
>sorio-2215さん
>会社NTT-HGWのDHCP無効設定後の、IPアドレス取得状況をお知らせ下さい。
イーサネット アダプター ローカル エリア接続:
接続固有の DNS サフィックス . . . :
説明. . . . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
物理アドレス. . . . . . . . . . . : 一部伏字-28-3F-DA
DHCP 有効 . . . . . . . . . . . . : はい
自動構成有効. . . . . . . . . . . : はい
リンクローカル IPv6 アドレス. . . . : 一部伏字4bc6:b543%13(優先)
IPv4 アドレス . . . . . . . . . . : 192.168.100.8(優先)
サブネット マスク . . . . . . . . : 255.255.255.0
リース取得. . . . . . . . . . . . : 2016年1月11日 18:15:13
リースの有効期限. . . . . . . . . : 2016年1月14日 18:15:13
デフォルト ゲートウェイ . . . . . : 192.168.100.98
DHCP サーバー . . . . . . . . . . : 192.168.100.98
DHCPv6 IAID . . . . . . . . . . . : 287618813
DHCPv6 クライアント DUID. . . . . . . . : 一部伏字-A4-75-24-B6-FD-28
-3F-DA
DNS サーバー. . . . . . . . . . . : 一部伏字225:36ff:fe53:4bcb
192.168.100.98
192.168.0.1
NetBIOS over TCP/IP . . . . . . . : 有効
上記の状態でのアクセス状況です。
会社PC→
会社HGW:×
会社RTX:×
会社端末:〇
インターネット:×
自宅HGW:×
自宅RTX:×
自宅端末:○
よろしくお願いします。
書込番号:19482091
0点
L2TPv3トンネルのみは、OKですね。
やはり認証周りの問題で、下記の設定投入が必要かと存じます。
会社RTX810ルーター
tunnel select 1
ipsec ike local address 1 192.168.100.198
自宅RTX810ルーター
tunnel select 1
ipsec ike local address 1 192.168.100.98
投入後、再度「ipconfig /all」でのIPアドレス取得情報の提供、インターネット及びVPN接続可否、 固定IP(192.168.100.110/24など、デフォルトゲートウェイ192.168.100.2、プライマリDNS192.168.100.2)での各接続状況の提供願います。
書込番号:19482123
0点
>sorio-2215さん
自宅の状況です。困ったことになりました。下までよく読んでください!
イーサネット アダプター ローカル エリア接続 2:
接続固有の DNS サフィックス . . . :
説明. . . . . . . . . . . . . . . : Realtek RTL8169/8110 Family PCI Gigabit E
thernet NIC (NDIS 6.20)
物理アドレス. . . . . . . . . . . : 一部伏字D8-F6-A4
DHCP 有効 . . . . . . . . . . . . : はい
自動構成有効. . . . . . . . . . . : はい
リンクローカル IPv6 アドレス. . . . : 一部伏字e263:aeed%19(優先)
IPv4 アドレス . . . . . . . . . . : 192.168.100.4(優先)
サブネット マスク . . . . . . . . : 255.255.255.0
リース取得. . . . . . . . . . . . : 2016年1月11日 1:10:27
リースの有効期限. . . . . . . . . : 2016年1月14日 1:10:27
デフォルト ゲートウェイ . . . . . : 192.168.100.98
DHCP サーバー . . . . . . . . . . : 192.168.100.98
DHCPv6 IAID . . . . . . . . . . . : 407692918
DHCPv6 クライアント DUID. . . . . . . . : 一部伏字26-D0-00-21-70-29
-D6-49
DNS サーバー. . . . . . . . . . . : 192.168.100.98
192.168.0.1
NetBIOS over TCP/IP . . . . . . . : 有効
上記の状態でのアクセス状況でした(過去形)。
自宅PC→
自宅HGW:〇
自宅RTX:〇
自宅端末:〇
インターネット:〇
会社HGW:×
会社RTX:×
会社端末:○
VPN→
自宅はすべて〇
会社はすべて×
このあとすぐにインターネットにも自宅hgwにもアクセスできなくなりました。
切っ掛けはVPNの接続と思います。
よろしくお願いします。
書込番号:19482350
0点
先ほどのコマンド投入されての現象ですよね?
現状としては、下記のコマンドを投入し直し(復元)にて、会社RTX810ルーターのみのVPNとインターネット経路、DHCP周りの経路確保の要素に限定されたと推察されますが、AU-HGWとNTT-HGWの仕様・構成から、VPNのコマンドとしては、先刻までのコマンドを復元頂けますか?
下記のコマンドを投入(復元)すると、接続出来る様になりませんか?
会社RTX810ルーター
tunnel select 1
ipsec ike local address 1 192.168.100.2
自宅RTX810ルーター
tunnel select 1
ipsec ike local address 1 192.168.100.1
会社NTT-HGWと会社RTX810ルーター周りの条件の形になると推察されますので、↑のコマンドを再度投入下さい。
書込番号:19482454
0点
自宅rtxにも入れないです
シリアルが今ないもので。
書込番号:19482475 スマートフォンサイトからの書き込み
0点
ゲートウェイが100.98になってしまいます。
書込番号:19482487 スマートフォンサイトからの書き込み
0点
何とか、投入して下さい。
会社RTX810ルーターのみ、追加で下記コマンドを投入下さい。
no ip bridge1 proxyarp on
no ip lan1 proxyarp on
書込番号:19482511
0点
シリアルの有り難さがよーく分かってきました、、、。
書込番号:19482515 スマートフォンサイトからの書き込み
0点
会社コンフィグです。直すべき個所はありますか?
ip routing process fast
ip route default gateway 192.168.99.1
ip route 192.168.0.1 gateway tunnel 1
ip route 192.168.102.0/24 gateway 192.168.100.201
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.99.1
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.198/24
ip lan1 address 192.168.100.2/24
ip lan2 address 192.168.99.254/24
ip lan2 mtu 1454
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(莨夂)
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.100.198 au IP
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.2
ipsec ike local name 1 ipsec1 key-id
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 au IP
l2tp always-on on
l2tp hostname RTX810-2
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.100.198
l2tp remote router-id 192.168.100.98
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.0/24 icmp * *
ip filter 101005 pass * 192.168.100.0/24 established * *
ip filter 101006 pass * 192.168.100.0/24 tcp * ident
ip filter 101007 pass * 192.168.100.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.100.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.100.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101014 pass * 192.168.100.0/24 udp * ntp
ip filter 101015 pass * 192.168.100.0/24 udp ntp *
ip filter 101016 pass * 192.168.100.2 udp * 500
ip filter 101017 pass * 192.168.100.2 esp * *
ip filter 101018 pass * 192.168.100.2 udp * 1701
ip filter 101019 pass * 192.168.100.2 udp * 4500
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.99.254
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.100.2 udp 500
nat descriptor masquerade static 200 2 192.168.100.2 esp
nat descriptor masquerade static 200 3 192.168.100.2 udp 1701
nat descriptor masquerade static 200 4 192.168.100.2 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 1 1 udp 1701
syslog debug on
telnetd host 192.168.100.3-192.168.100.254
dns server 192.168.99.1
dns private address spoof on
l2tp service on l2tpv3
httpd host any
alarm entire off
sshd service on
sshd host 192.168.100.3-192.168.100.254
sftpd host 192.168.100.3-192.168.100.254
書込番号:19482569
0点
>sorio-2215さん
取りあえず「インターネット」と「社内ネットワーク」にだけアクセス出来ればいいです。トンネルは後でOKです。
よろしくお願いします。
書込番号:19482578
0点
下記コマンド実行にて、192.168.0.1のルーティングを停止して下さい。
no ip route 192.168.0.1 gateway tunnel 1
他のコマンドは、間違っていないかと考えます。
会社端末にて192.168.100.***/24、デフォルトゲートウェイ192.168.100.2、DNS192.168.100.2にて、WebとVPN可能かどうか確認下さい。
無線LAN接続端末については、DHCP自動取得でOKかと存じます。
書込番号:19482631
0点
うーん、NTT-HGWとの特定のNAT問題が出ている様です。
会社RTX810ルーターのConfigを下記に復元頂けますか?
ip routing process fast
ip route default gateway 192.168.99.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.99.1
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.2/24
ip lan1 address 192.168.100.2/24
ip lan1 proxyarp on
ip lan2 address 192.168.99.254/24
ip lan2 mtu 1454
ip lan2 nat descriptor 200
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.100.2 ***.***.***.*** (AUグローバルIP)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.100.2
ipsec ike local name 1 ipsec1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 ***.***.***.*** (AUグローバルIP)
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-2
l2tp syslog on
l2tp local router-id 192.168.100.2
l2tp remote router-id 192.168.100.1
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.0/24 icmp * *
ip filter 101005 pass * 192.168.100.0/24 established * *
ip filter 101006 pass * 192.168.100.0/24 tcp * ident
ip filter 101007 pass * 192.168.100.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.100.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.100.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101014 pass * 192.168.103.0/24 udp * ntp
ip filter 101015 pass * 192.168.103.0/24 udp ntp *
ip filter 101016 pass * 192.168.100.2 udp * 500
ip filter 101017 pass * 192.168.100.2 esp * *
ip filter 101018 pass * 192.168.100.2 udp * 1701
ip filter 101019 pass * 192.168.100.2 udp * 4500
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.100.2 udp 500
nat descriptor masquerade static 200 2 192.168.100.2 esp
nat descriptor masquerade static 200 3 192.168.100.2 udp 1701
nat descriptor masquerade static 200 4 192.168.100.2 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 1 1 udp 1701
syslog debug on
telnetd host 192.168.100.3-192.168.100.254
dns server 192.168.99.1
dns private address spoof on
httpd host 192.168.100.3-192.168.100.254
l2tp service on l2tpv3
alarm entire off
sshd service on
sshd host 192.168.100.3-192.168.100.254
sshd host key generate *
sftpd host 192.168.100.3-192.168.100.254
書込番号:19482687
0点
自宅RTX810ルーターのみ、ブリッジインターフェイスのARP応答のみの追加コマンド付きの設定に復元頂けますか?
自宅RTX810ルーターのConfigを、下記に復元下さい。
ip routing process fast
ip route default gateway 192.168.0.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.1/24
ip bridge1 proxyarp on
ip lan1 address 192.168.100.1/24
ip lan1 proxyarp on
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ipv6 lan1 dhcp service server
ip lan2 address 192.168.0.254/24
ip lan2 mtu 1492
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:DHCP
provider ntpdate ntp.nict.jp
ip lan2 secure filter in 101004 101005 101020 101021 101022 101023 101024 101025 101030 101032 101080 101081 101099
ip lan2 secure filter out 101020 101021 101022 101023 101024 101025 101099
pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin password
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.100.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text passowrd
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-1
l2tp syslog on
l2tp local router-id 192.168.100.1
l2tp remote router-id 192.168.100.2
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text password
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.1 udp * 4500
ip filter 101005 pass * 192.168.100.1 udp * 1701
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.100.1 udp * 500
ip filter 101081 pass * 192.168.100.1 esp * *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.100.1-192.168.100.254
nat descriptor masquerade static 200 1 192.168.100.1 udp 500
nat descriptor masquerade static 200 2 192.168.100.1 esp
nat descriptor masquerade static 200 3 192.168.100.1 udp 1701
nat descriptor masquerade static 200 4 192.168.100.1 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipsec transport 2 2 udp 1701
syslog debug on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.3-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on
httpd host 192.168.100.3-192.168.100.254
alarm entire off
書込番号:19482700
0点
どうも、ステータス状況から、会社L2TPv3/IPSECトンネルの条件ですと、回線終端装置→スイッチングハブ→@光電話ルーター(光電話ルーターのみ、PPPOEブリッジ有、インターネット接続無し)、ARTX810ルーターでのPPPOE接続形態+L2TPv3トンネル構成にしなければ、HGWへのアクセスとRTX810ルーターログイン、他端末ログインの併用は望ましい状況です。
↑の条件で宜しければ、自宅のConfig構成は現状が最適な状態ですので、会社のみConfigイメージを調査しますので、少しお待ち下さい。
書込番号:19482726
0点
先ほどの会社Configの分の、「ip lan1 proxyarp on」は外して下さい。
no ip lan1 proxyarp on 実行下さい。
書込番号:19482737
0点
最新コンフィグです。ネット、HGW、RTXダメ。
ip routing process fast
ip route default gateway 192.168.99.1
ip route 192.168.102.0/24 gateway 192.168.100.201
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.99.1
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.2/24
ip lan1 address 192.168.100.2/24
ip lan2 address 192.168.99.254/24
ip lan2 mtu 1454
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(莨夂)
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.100.198 au IP
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.2
ipsec ike local name 1 ipsec1 key-id
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 au IP
l2tp always-on on
l2tp hostname RTX810-2
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.100.2
l2tp remote router-id 192.168.100.1
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.0/24 icmp * *
ip filter 101005 pass * 192.168.100.0/24 established * *
ip filter 101006 pass * 192.168.100.0/24 tcp * ident
ip filter 101007 pass * 192.168.100.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.100.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.100.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101014 pass * 192.168.103.0/24 udp * ntp
ip filter 101015 pass * 192.168.103.0/24 udp ntp *
ip filter 101016 pass * 192.168.100.2 udp * 500
ip filter 101017 pass * 192.168.100.2 esp * *
ip filter 101018 pass * 192.168.100.2 udp * 1701
ip filter 101019 pass * 192.168.100.2 udp * 4500
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.100.2 udp 500
nat descriptor masquerade static 200 2 192.168.100.2 esp
nat descriptor masquerade static 200 3 192.168.100.2 udp 1701
nat descriptor masquerade static 200 4 192.168.100.2 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 1 1 udp 1701
syslog debug on
telnetd host 192.168.100.3-192.168.100.254
dns server 192.168.99.1
dns private address spoof on
l2tp service on l2tpv3
httpd host 192.168.100.3-192.168.100.254
alarm entire off
sshd service on
sshd host 192.168.100.3-192.168.100.254
sftpd host 192.168.100.3-192.168.100.254
書込番号:19482771
0点
コマンド間違ってますよ。
tunnel select 1
tunnel endpoint address 192.168.100.2 au IP (AUグローバルIP)
↑コマンドの部分を登録し直しです。
端末のIPを192.168.100.***/24 デフォルトゲートウェイ192.168.100.2、プライマリDNS192.168.100.2の設定にて接続確認下さい。
DHCP認証周りは、自宅RTX810ルーターの設定を投入し直ししませんと、復元されません。
当初の話の通り、RTX810のVPN認証通過周りが有りますので、DHCP周りは、自宅RTX810ルーターの復元をして下さい。
書込番号:19482820
0点
RTX810ルーターのConfig復元は、復元直後では正式なNAT変換ルールが適用されませんので、一度再起動は必要です。
コマンドから、restartをかけて下さい。
書込番号:19482843
0点
>sorio-2215さん
もう遅いので最小限のことだけできればいいです。そろそろ帰らないと・・。
・インターネットへの接続
・社内ネットワークへのアクセス
以上を満たす設定を教えてください。
RTXのコンフィグは「取りあえず」初期化します。
スミマセンがよろしくお願いします。
書込番号:19482888
0点
ですから、初期化するまでの事ではありません。
デフォルト動作のConfigですので、先刻のConfigを投入下さい。
細かな所で、投入ミスしているだけです。
端末は、固定IPで接続という形で、自宅RTX810ルーターのConfig入替えまで代替出来る様になっていますので、端末は、固定IP(衝突しないIP)、デフォルトゲートウェイ192.168.100.2、プライマリDNS192.168.100.2の設定をそれぞれして下さいという社内環境になっています。
ip routing process fast
ip route default gateway 192.168.99.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.99.1
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.2/24
ip lan1 address 192.168.100.2/24
ip lan1 proxyarp on
ip lan2 address 192.168.99.254/24
ip lan2 mtu 1454
ip lan2 nat descriptor 200
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.100.2 ***.***.***.*** (AUグローバルIP)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.100.2
ipsec ike local name 1 ipsec1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 ***.***.***.*** (AUグローバルIP)
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-2
l2tp syslog on
l2tp local router-id 192.168.100.2
l2tp remote router-id 192.168.100.1
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.0/24 icmp * *
ip filter 101005 pass * 192.168.100.0/24 established * *
ip filter 101006 pass * 192.168.100.0/24 tcp * ident
ip filter 101007 pass * 192.168.100.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.100.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.100.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101014 pass * 192.168.103.0/24 udp * ntp
ip filter 101015 pass * 192.168.103.0/24 udp ntp *
ip filter 101016 pass * 192.168.100.2 udp * 500
ip filter 101017 pass * 192.168.100.2 esp * *
ip filter 101018 pass * 192.168.100.2 udp * 1701
ip filter 101019 pass * 192.168.100.2 udp * 4500
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.100.2 udp 500
nat descriptor masquerade static 200 2 192.168.100.2 esp
nat descriptor masquerade static 200 3 192.168.100.2 udp 1701
nat descriptor masquerade static 200 4 192.168.100.2 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 1 1 udp 1701
syslog debug on
telnetd host 192.168.100.3-192.168.100.254
dns server 192.168.99.1
dns private address spoof on
httpd host 192.168.100.3-192.168.100.254
l2tp service on l2tpv3
alarm entire off
sshd service on
sshd host 192.168.100.3-192.168.100.254
sshd host key generate *
sftpd host 192.168.100.3-192.168.100.254
書込番号:19482960
0点
一度初期化してしまってWAN側の設定がなくなったようです。失敗しました。
ip routing process fast
ip route default gateway 192.168.99.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.99.1
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.2/24
ip lan1 address 192.168.100.1/24
provider lan1 name LAN:
tunnel select 1
l2tp always-on on
l2tp hostname RTX810-2
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.100.2
l2tp remote router-id 192.168.100.1
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101014 pass * 192.168.103.0/24 udp * ntp
ip filter 101015 pass * 192.168.103.0/24 udp ntp *
ip filter 101016 pass * 192.168.100.2 udp * 500
ip filter 101017 pass * 192.168.100.2 esp * *
ip filter 101018 pass * 192.168.100.2 udp * 1701
ip filter 101019 pass * 192.168.100.2 udp * 4500
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 500000 restrict * * * * *
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.100.2 udp 500
nat descriptor masquerade static 200 2 192.168.100.2 esp
nat descriptor masquerade static 200 3 192.168.100.2 udp 1701
nat descriptor masquerade static 200 4 192.168.100.2 udp 4500
rip use on
ipsec auto refresh on
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.2
ipsec ike local name 1 ipsec1 key-id
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 auIP
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec transport 1 1 udp 1701
syslog debug on
telnetd host 192.168.100.3-192.168.100.254
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.191/24
dns server 192.168.99.1
dns private address spoof on
l2tp service on l2tpv3
httpd host 192.168.100.3-192.168.100.254
alarm entire off
sshd service on
sshd host 192.168.100.3-192.168.100.254
sftpd host 192.168.100.3-192.168.100.254
#
書込番号:19483048
0点
初期化してしまうと、社内環境とは違うコマンドも投入されてしまうので、×です。
もう一度、初期化して下さい。
初期化後に、不要コマンドを削除して下さい。
no ip lan1 address 192.168.100.1/24
no dhcp service server
no dhcp server rfc2131 compliant except remain-silent
no dhcp scope 1 192.168.100.2-192.168.100.191/24
上記作業後に、当方提示のConfigを、AUグローバルIP箇所を差替えした上で、「そのまま」投入して下さい。
Config復元後に、RTX810配下端末は、固定IPにしてデフォルトゲートウェイを192.168.100.2、プライマリDNS192.168.100.2に固定設定するだけの処置で良いです。
念のため申し上げますが、初期化してしまうと、返って正常な設定をダメにしてしまうので、安易に初期化はしない方が良いです。
書込番号:19483175
1点
>sorio-2215さん
RTXにプロバイダ情報を投入します。下記につき教えてください。PC側は192.168.100.xxx。ゲートウエイとDNSは192.168.100.2とします。
WAN側IPアドレス
ネットマスク
デフォルトゲートウェイ
プライマリDNSサーバーアドレス
セカンダリDNSサーバーアドレス
HGWと社内ネットだけは繋がります。後はインターネットに接続できればとりあえずOKです。
よろしくお願いいします。
書込番号:19483271
0点
もしかして、簡易webから設定していますか?
当方提供のconfigにWAN設定と、NAT特定設定が投入されていますので、簡易web設定では無く、あくまでも、teratermから間違いなくconfig投入下されば良いです。
webからWAN設定かけてしまうと、後のVPNのモード設定時に、再度初期化からモード設定しないと、VPNの設定が困難になります。
書込番号:19483803 スマートフォンサイトからの書き込み
0点
当初の話のL2TPv3/IPSEC併用でのインターネット回線機能は、簡易Webメニューからの基本投入は出来ないと言う趣旨が有りますので、簡易Webメニューからの設定を含める場合には、当初のIPSEC-VPNに戻された方が良いかと存じます。
NTT-HGW及び会社RTX810ルーターのLAN内構成は、既にL2TPv3/IPSECとインターネット併用構成環境になっていますので、IPSEC-VPNに戻される場合には、下記設定をそのままConfig投入下さい。
会社及び自宅RTX810ルーターを初期化し、下記コマンドを間違いなく投入下さい。
会社RTX810ルーター
ip routing process fast
ip route default gateway 192.168.99.1
ip route 192.168.0.0/24 gateway tunnel 1
ip route 192.168.100.0/24 gateway tunnel 1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.99.1
ip lan1 address 192.168.102.1/24
ip lan1 proxyarp on
ip lan2 address 192.168.99.254/24
ip lan2 secure filter in 101004 101005 101016 101017 101018 101019 101020 101021 101022 101023 101024 101025 101030 101032 101099
ip lan2 secure filter out 101020 101021 101022 101023 101024 101025 101099
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.102.1
ipsec ike nat-traversal 1 on
ipsec ike local name 1 ipsec1 key-id
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 ***.***.***.*** (AUグローバルIP)
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.102.0/24 * * * *
ip filter 101004 pass * 192.168.102.0/24 icmp * *
ip filter 101005 pass * 192.168.102.0/24 established * *
ip filter 101006 pass * 192.168.102.0/24 tcp * ident
ip filter 101007 pass * 192.168.102.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.102.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.102.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.102.0/24 * * *
ip filter 101014 pass * 192.168.102.0/24 udp * ntp
ip filter 101015 pass * 192.168.102.0/24 udp ntp *
ip filter 101016 pass * 192.168.102.1 udp * 500
ip filter 101017 pass * 192.168.102.1 esp * *
ip filter 101018 pass * 192.168.102.1 udp * 1701
ip filter 101019 pass * 192.168.102.1 udp * 4500
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.99.254
nat descriptor address inner 200 192.168.99.254 192.168.102.1-192.168.102.254
nat descriptor masquerade static 200 1 192.168.102.1 udp 500
nat descriptor masquerade static 200 2 192.168.102.1 esp
nat descriptor masquerade static 200 3 192.168.102.1 udp 1701
nat descriptor masquerade static 200 3 192.168.102.1 udp 4500
ipsec auto refresh on
telnetd host 192.168.102.2-192.168.102.254 192.168.100.2-192.168.100.254
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.102.2-192.168.102.99/24
dns server 192.168.99.1
dns private address spoof on
httpd host 192.168.102.2-192.168.102.254 192.168.100.2-192.168.100.254
alarm entire off
sshd service on
sshd host 192.168.102.2-192.168.102.254 192.168.100.2-192.168.100.254
sshd host key generate *
sftpd host 192.168.102.2-192.168.102.254 192.168.100.2-192.168.100.254
↑の設定を投入された場合には、会社RTX810ルーター配下のネットワーク関連端末は、192.168.102.***/24のIP(PC関連は、DHCP自動取得でもOKです)、デフォルトゲートウェイ192.168.102.1、プライマリDNS192.168.102.1に設定下さい。
無線ルーターは、BRモードに戻されても良いです。
BRモードの際には、IP192.168.102.201/24、デフォルトゲートウェイ192.168.102.1、プライマリDNS192.168.102.1に設定確認下さい。
書込番号:19483824
0点
IPSEC-VPNモードへ戻される場合の自宅RTX810ルーターのConfigです。
一度、初期化後に下記コマンドを、そのまま投入下さい。
ip routing process fast
ip route default gateway 192.168.0.1
ip route 192.168.102.0/24 gateway tunnel 1
ip route 192.168.99.0/24 gateway tunnel 1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
ip lan1 address 192.168.100.1/24
ip lan1 proxyarp on
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ipv6 lan2 dhcp service client ir=on
ip lan2 address 192.168.0.254/24
ip lan2 secure filter in 101000 101001 101004 101005 101006 101020 101021 101022 101023 101024 101025 101030 101032 101080 101081 101099
ip lan2 secure filter out 101010 101011 101020 101021 101022 101023 101024 101025 101099
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:DHCP
provider ntpdate ntp.nict.jp
pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin *******
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool 192.168.100.150-192.168.100.160
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.100.1
ipsec ike local id 1 192.168.100.1/24
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1 key-id
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text password
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp keepalive use on
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.1 udp * 4500
ip filter 101005 pass * 192.168.100.1 udp * 1701
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.100.1 udp * 500
ip filter 101081 pass * 192.168.100.1 esp * *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.100.1-192.168.100.254
nat descriptor masquerade static 200 1 192.168.100.1 udp 500
nat descriptor masquerade static 200 2 192.168.100.1 esp
nat descriptor masquerade static 200 3 192.168.100.1 udp 1701
nat descriptor masquerade static 200 4 192.168.100.1 udp 4500
ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipsec transport 2 2 udp 1701
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on
httpd host 192.168.100.2-192.168.100.254 192.168.102.2-192.168.102.254
alarm entire off
書込番号:19483832
0点
補足です。
会社のIPSEC-VPNの復元Configですが、NAT-Tモードになってますので、下記も最後に投入下さい。
会社RTX810ルーター
ipsec transport 1 1 udp 1701
書込番号:19483834
0点
先ほどのIPSEC-VPNに戻された場合の設定ですが、L2TPv3/IPSECでは現状TeraTermでの投入主体になりますので、簡易Webメニュー主体で考える場合、IPSEC-VPNしか選択肢は無いかと存じます。
IPSEC-VPNでの設定ですと、どうしても静的ルーティングは外せない概念となりますので、ご利用のAU-HGWとNTT-HGWの機能差の兼ね合いで、自宅からNTT-HGWへのログインも条件となる場合、下記の要件になるかと考えます。
@ 回線終端装置に、スイッチングハブを別途用意し、ハブからNTT光電話ルーターへの接続。
A 上記スイッチングハブから、会社RTX810ルーターへWAN接続。
B NTT光電話ルーターのIPを192.168.102.254/24の設定(DHCP無効化)し、ハブポートから会社RTX810ルーターのハブポートへ接続
C 会社RTX810ルーターへ、PPPOE接続形態に復元し、IPSEC-VPNと静的ルーティング形態にする。
RTX810ルーターでのPPPOE接続設定にされる場合には、会社RTX810ルーターのConfigは、別紙のイメージになります。
書込番号:19483857
0点
別紙、会社RTX810ルーターでのPPPOEに戻される場合のイメージです。
ip routing process fast
ip route default gateway pp 1 filter 500000 gateway pp 1
ip route 192.168.100.0/24 gateway tunnel 1
ip route 192.168.0.0/24 gateway tunnel 1
ip lan1 address 192.168.102.1/24
ip lan1 proxyarp on
provider type isdn-terminal
provider filter routing connection
provider lan1 name LAN:
provider lan2 name PPPoE/0/1/5/0/0/0:Nifty
provider ntpdate ntp.nict.jp
pp select 1
pp name PRV/1/1/5/0/0/0:Nifty
pp keepalive interval 30 retry-interval=30 count=12
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname *****@nifty.com ******* (Nifty接続ID 接続パスワード)
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
ip pp secure filter in 200020 200021 200022 200023 200024 200025 200030 200032 200080 200081 200082 200083 200099
ip pp secure filter out 200020 200021 200022 200023 200024 200025 200026 200027 200099
ip pp nat descriptor 1000
pp enable 1
provider set 1 Nifty
provider dns server pp 1 1
provider select 1
tunnel select 1
tunnel name IPsec(会社)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.102.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 ***.***.***.*** (AUグローバルIP)
ip tunnel tcp mss limit auto
tunnel enable 1
ip filter 200000 reject 10.0.0.0/8 * * * *
ip filter 200001 reject 172.16.0.0/12 * * * *
ip filter 200002 reject 192.168.0.0/16 * * * *
ip filter 200003 reject 192.168.102.0/24 * * * *
ip filter 200010 reject * 10.0.0.0/8 * * *
ip filter 200011 reject * 172.16.0.0/12 * * *
ip filter 200012 reject * 192.168.0.0/16 * * *
ip filter 200013 reject * 192.168.102.0/24 * * *
ip filter 200020 reject * * udp,tcp 135 *
ip filter 200021 reject * * udp,tcp * 135
ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 200024 reject * * udp,tcp 445 *
ip filter 200025 reject * * udp,tcp * 445
ip filter 200026 restrict * * tcpfin * www,21,nntp
ip filter 200027 restrict * * tcprst * www,21,nntp
ip filter 200030 pass * 192.168.102.0/24 icmp * *
ip filter 200031 pass * 192.168.102.0/24 established * *
ip filter 200032 pass * 192.168.102.0/24 tcp * ident
ip filter 200033 pass * 192.168.102.0/24 tcp ftpdata *
ip filter 200034 pass * 192.168.102.0/24 tcp,udp * domain
ip filter 200035 pass * 192.168.102.0/24 udp domain *
ip filter 200036 pass * 192.168.102.0/24 udp * ntp
ip filter 200037 pass * 192.168.102.0/24 udp ntp *
ip filter 200080 pass * 192.168.102.1 udp * 500
ip filter 200081 pass * 192.168.102.1 esp * *
ip filter 200082 pass * 192.168.102.1 udp * 1701
ip filter 200083 pass * 192.168.102.1 udp * 4500
ip filter 200098 reject-nolog * * established
ip filter 200099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 200080 * * ftp
ip filter dynamic 200081 * * domain
ip filter dynamic 200082 * * www
ip filter dynamic 200083 * * smtp
ip filter dynamic 200084 * * pop3
ip filter dynamic 200085 * * submission
ip filter dynamic 200098 * * tcp
ip filter dynamic 200099 * * udp
nat descriptor type 1000 masquerade
nat descriptor masquerade static 1000 1 192.168.102.1 udp 500
nat descriptor masquerade static 1000 2 192.168.102.1 esp
nat descriptor masquerade static 1000 3 192.168.102.1 udp 1701
nat descriptor masquerade static 1000 4 192.168.102.1 udp 4500
ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipsec transport 2 2 udp 1701
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.102.2-192.168.102.99/24
dns server pp 1
dns server select 500001 pp 1 any . restrict pp 1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
httpd host 192.168.100.2-192.168.100.254 192.168.102.2-192.168.102.254
alarm entire off
書込番号:19483870
0点
会社RTX810でのPPPOE形態の件で、一つコマンドを忘れてました。
tunnel select 1
ipsec ike local name 1 ipsec1 key-id
書込番号:19483912
0点
先ほどの回線終端装置→スイッチングハブ→@ NTT-HGWのWAN配線、Aスイッチングハブ→会社RTX810ルーターのWAN配線にされる場合ですが、当然NTT-HGWのPPPOE接続設定は削除する形になります。
スイッチングハブも、NTT-HGWの通信と、RTX810ルーターの通信を物理的に分ける形になる点、負荷耐久性の観点から、メタル筐体・電源外付け型のハブが良いかと存じます。
※ NETGEAR製「GS105-500JPS」 ・・ http://www.netgear.jp/products/details/GS105.html
書込番号:19484108
0点
RTX810拠点接続(IPSEC-VPN、L2TP/IPSEC併用トンネル)+インターネット接続機能の復元、うまくいきましたか?
先刻の投稿内容の通り、IPSEC-VPNでの相違セグメントでの静的ルーティング構成ですと、一部簡易Webメニューからの設定は可能ですが、特定回線対応や細かな回線調整は、Configコマンドを覚えないと、実際の運用や障害対応などは出来ませんよ。
本来は、IPSEC-VPNですと、会社側RTX810ルーターにて、Netvolante-DNS取得でのメインモード・VPN構成の方が望ましい構成ですが。
メインモードでのIPSEC-VPNのトンネル・Configイメージです。(RTX810ルーターでのPPPOE接続構成の場合に可能)
会社RTX810ルーターのトンネル・イメージ
tunnel select 1
tunnel name IPsec(会社)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike always-on 1 on
ipsec ike duration ipsec-sa 1 3600
ipsec ike duration isakmp-sa 1 3600
ipsec ike esp-encapsulation 1 off
ipsec ike group 1 modp1024
ipsec ike hash 1 sha
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.102.1
ipsec ike local id 1 192.168.102.0/24
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 (AUグローバルIP)
ipsec ike remote id 1 192.168.100.0/24
ipsec auto refresh 1 on
ip tunnel tcp mss limit 1240
tunnel enable 1
ip route 192.168.100.0/24 gateway tunnel 1
ip route 192.168.0.0/24 gateway tunnel 1
自宅RTX810、IPSEC-VPNトンネル・イメージ
tunnel select 1
tunnel name IPsec(自宅)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike always-on 1 on
ipsec ike duration ipsec-sa 1 3600
ipsec ike duration isakmp-sa 1 3600
ipsec ike esp-encapsulation 1 off
ipsec ike group 1 modp1024
ipsec ike hash 1 sha
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.100.1
ipsec ike local id 1 192.168.100.0/24
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 (会社取得のNetvolante-DNSアドレス)
ipsec ike remote id 1 192.168.102.0/24
ipsec auto refresh 1 on
ip tunnel tcp mss limit 1240
tunnel enable 1
ip route 192.168.102.0/24 gateway tunnel 1
上記Netvolante-DNSは、会社RTX810ルーターでのPPPOE接続形態にされた場合に、NetvolanteDNSの取得設定が可能ですので、その取得されましたドメインを指定します。
書込番号:19485339
0点
>sorio-2215さん
大変お世話になります。今までのアドバイスありがとうございました。
まず結論から申し上げます。私にはかんたん設定での操作+α程度のことしかできそうにありません。ですから最初の方に一時的に採用していた方式(かんたん設定を利用した拠点間のVPN接続)に戻すことにします。欠点として同一LAN内からのHGWへのアクセスが不能になりますがケーブルを抜き挿しすることで我慢します。
アドレス体系
自宅
HGW:192.168.0.1 (DMZ192.168.0.254)
RTX:192.168.100.1
会社
HGW:192.168.1.1 (DMZ192.168.1.254)
RTX:192.168.101.1
現在は自宅と会社間のVPN通信ができない状態にあります。またアイフォンから会社VPNに接続できます。しかし自宅VPNには接続不能です。
それぞれの拠点からインターネットには出られています。
このような状況なので、またアドバイスいただけると助かるのですが、あくまでも「かんたん設定」と「コマンドの実行」での作業でやりたいです(シリアル入力不可)。
取り急ぎお礼と状況報告まで。
書込番号:19486730
0点
では、先ず自宅RTX810ルーターへ、下記コマンド投入下さい。
ip routing process fast
ip route default gateway 192.168.0.1
ip route 192.168.101.0/24 gateway tunnel 1
ip route 192.168.1.0/24 gateway tunnel 1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
ip lan1 address 192.168.100.1/24
ip lan1 proxyarp on
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ipv6 lan2 dhcp service client ir=on
ip lan2 address 192.168.0.254/24
ip lan2 secure filter in 101000 101001 101004 101005 101020 101021 101022 101023 101024 101025 101030 101032 101080 101081 101099
ip lan2 secure filter out 101010 101011 101020 101021 101022 101023 101024 101025 101099
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:DHCP
provider ntpdate ntp.nict.jp
pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin *******
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool 192.168.100.150-192.168.100.160
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.100.1
ipsec ike local id 1 192.168.100.1/24
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1 key-id
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text password
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp keepalive use on
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.1 udp * 4500
ip filter 101005 pass * 192.168.100.1 udp * 1701
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.100.1 udp * 500
ip filter 101081 pass * 192.168.100.1 esp * *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.100.1-192.168.100.254
nat descriptor masquerade static 200 1 192.168.100.1 udp 500
nat descriptor masquerade static 200 2 192.168.100.1 esp
nat descriptor masquerade static 200 3 192.168.100.1 udp 1701
nat descriptor masquerade static 200 4 192.168.100.1 udp 4500
ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipsec transport 2 2 udp 1701
tftp host any
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
upnp use on
upnp external address refer lan3
l2tp service on
httpd host 192.168.100.2-192.168.100.254 192.168.102.2-192.168.102.254
alarm entire off
書込番号:19486875
0点
会社RTX810ルーターには、下記コマンドを実行下さい。RTX810自体のIPアドレスとDHCP周り変更は、簡易Webからの投入は出来ませんので、TeraTermから投入下さい。
下記TeraTermから投入するコマンド
ip lan1 address 192.168.101.1/24
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.101.2-192.168.101.99/24
会社RTX810ルーター
ip routing process fast
ip route default gateway 192.168.1.1
ip route 192.168.0.0/24 gateway tunnel 1
ip route 192.168.100.0/24 gateway tunnel 1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.1.1
ip lan1 address 192.168.101.1/24
ip lan1 proxyarp on
ip lan2 address 192.168.1.254/24
ip lan2 secure filter in 101000 101001 101016 101017 101018 101019 101020 101021 101022 101023 101024 101025 101030 101032 101099
ip lan2 secure filter out 101020 101021 101022 101023 101024 101025 101099
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.1.1
ipsec ike remote id 1 192.168.100.1/24
ipsec ike nat-traversal 1 on
ipsec ike local name 1 ipsec1 key-id
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 ***.***.***.*** (AUグローバルIP)
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.101.0/24 * * * *
ip filter 101004 pass * 192.168.101.0/24 icmp * *
ip filter 101005 pass * 192.168.101.0/24 established * *
ip filter 101006 pass * 192.168.101.0/24 tcp * ident
ip filter 101007 pass * 192.168.101.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.101.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.101.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.101.0/24 * * *
ip filter 101014 pass * 192.168.101.0/24 udp * ntp
ip filter 101015 pass * 192.168.101.0/24 udp ntp *
ip filter 101016 pass * 192.168.101.1/24 udp * 500
ip filter 101017 pass * 192.168.101.1 esp * *
ip filter 101018 pass * 192.168.101.1 udp * 1701
ip filter 101019 pass * 192.168.101.1 udp * 4500
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.1.254
nat descriptor address inner 200 192.168.1.254 192.168.101.1-192.168.101.254
nat descriptor masquerade static 200 1 192.168.101.1 udp 500
nat descriptor masquerade static 200 2 192.168.101.1 esp
nat descriptor masquerade static 200 3 192.168.101.1 udp 1701
nat descriptor masquerade static 200 3 192.168.101.1 udp 4500
ipsec auto refresh on
telnetd host 192.168.101.2-192.168.101.254 192.168.100.2-192.168.100.254
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.101.2-192.168.101.99/24
dns server 192.168.1.1
dns private address spoof on
httpd host 192.168.101.2-192.168.101.254 192.168.100.2-192.168.100.254
alarm entire off
sshd service on
sshd host 192.168.101.2-192.168.101.254 192.168.100.2-192.168.100.254
sshd host key generate *
sftpd host 192.168.101.2-192.168.101.254 192.168.100.2-192.168.100.254
upnp use on
upnp external address refer lan2
書込番号:19486881
0点
先ほどの自宅・会社RTX810ルーターのコマンドですが、一部誤入力でした。
下記訂正済みコマンドしたものを実行下さい。
自宅RTX810ルーター
ip routing process fast
ip route default gateway 192.168.0.1
ip route 192.168.101.0/24 gateway tunnel 1
ip route 192.168.1.0/24 gateway tunnel 1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
ip lan1 address 192.168.100.1/24
ip lan1 proxyarp on
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ipv6 lan2 dhcp service client ir=on
ip lan2 address 192.168.0.254/24
ip lan2 secure filter in 101000 101001 101004 101005 101020 101021 101022 101023 101024 101025 101030 101032 101080 101081 101099
ip lan2 secure filter out 101010 101011 101020 101021 101022 101023 101024 101025 101099
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:DHCP
provider ntpdate ntp.nict.jp
pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin password
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool 192.168.100.150-192.168.100.160
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.100.1
ipsec ike local id 1 192.168.100.0/24
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 any
ipsec ike remote id 1 192.168.101.0/24
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text password
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp keepalive use off
l2tp tunnel disconnect time 600
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.1 udp * 4500
ip filter 101005 pass * 192.168.100.1 udp * 1701
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.100.1 udp * 500
ip filter 101081 pass * 192.168.100.1 esp * *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.100.1-192.168.100.254
nat descriptor masquerade static 200 1 192.168.100.1 udp 500
nat descriptor masquerade static 200 2 192.168.100.1 esp
nat descriptor masquerade static 200 3 192.168.100.1 udp 1701
nat descriptor masquerade static 200 4 192.168.100.1 udp 4500
ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipsec transport 2 2 udp 1701
tftp host any
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
upnp use on
upnp external address refer lan2
l2tp service on
httpd host 192.168.100.2-192.168.100.254 192.168.102.2-192.168.102.254
alarm entire off
書込番号:19486883
0点
訂正済み、会社RTX810ルーター、コマンド (下記コマンド投入下さい)
TeraTermから投入するものは同じですが、念のため。
ip lan1 address 192.168.101.1/24
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.101.2-192.168.101.99/24
上記のコマンド投入しましたら、簡易Webメニューから設定メニュー表示可能(http://192.168.101.1)ですので、下記コマンド投入下さい。
ip routing process fast
ip route default gateway 192.168.1.1
ip route 192.168.0.0/24 gateway tunnel 1
ip route 192.168.100.0/24 gateway tunnel 1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.1.1
ip lan1 address 192.168.101.1/24
ip lan1 proxyarp on
ip lan2 address 192.168.1.254/24
ip lan2 secure filter in 101000 101001 101016 101017 101018 101019 101020 101021 101022 101023 101024 101025 101030 101032 101099
ip lan2 secure filter out 101020 101021 101022 101023 101024 101025 101099
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.101.1
ipsec ike local id 1 192.168.101.0/24
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 ***.***.***.*** (AUグローバルIP)
ipsec ike remote id 1 192.168.100.0/24
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.101.0/24 * * * *
ip filter 101004 pass * 192.168.101.0/24 icmp * *
ip filter 101005 pass * 192.168.101.0/24 established * *
ip filter 101006 pass * 192.168.101.0/24 tcp * ident
ip filter 101007 pass * 192.168.101.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.101.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.101.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.101.0/24 * * *
ip filter 101014 pass * 192.168.101.0/24 udp * ntp
ip filter 101015 pass * 192.168.101.0/24 udp ntp *
ip filter 101016 pass * 192.168.101.1/24 udp * 500
ip filter 101017 pass * 192.168.101.1 esp * *
ip filter 101018 pass * 192.168.101.1 udp * 1701
ip filter 101019 pass * 192.168.101.1 udp * 4500
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.1.254
nat descriptor address inner 200 192.168.1.254 192.168.101.1-192.168.101.254
nat descriptor masquerade static 200 1 192.168.101.1 udp 500
nat descriptor masquerade static 200 2 192.168.101.1 esp
nat descriptor masquerade static 200 3 192.168.101.1 udp 1701
nat descriptor masquerade static 200 3 192.168.101.1 udp 4500
ipsec auto refresh on
ipsec transport 1 1 udp 1701
telnetd host 192.168.101.2-192.168.101.254 192.168.100.2-192.168.100.254
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.101.2-192.168.101.99/24
dns server 192.168.1.1
dns private address spoof on
httpd host 192.168.101.2-192.168.101.254 192.168.100.2-192.168.100.254
alarm entire off
sshd service on
sshd host 192.168.101.2-192.168.101.254 192.168.100.2-192.168.100.254
sshd host key generate *
sftpd host 192.168.101.2-192.168.101.254 192.168.100.2-192.168.100.254
upnp use on
upnp external address refer lan2
書込番号:19486885
0点
補足です。
自宅・会社RTX810ルーターのコマンドの中、「tunnel enable 2」と、「ip filter 101000 reject 10.0.0.0/8 * * * *」の間に、トンネル設定を抜けるコマンドを入れて、それ以降のコマンド投入という形をしませんと、正常なコマンド投入出来ないかと考えますので、「tunnel enable 2」の後に、下記コマンドにて、トンネルを抜けるコマンドを挿入して下さい。
tunnel select none
書込番号:19487069
0点
>sorio-2215さん
会社側ではかんたん設定だけでVPNは「通信中」となりました。しかし自宅側ではVPNもRASもまだダメです。
auHGWには特別なコマンドは要らないですか?
↓現在の設定
セキュリティ保護機能help 使用する
IPsecパススルー機能help 使用する
UPnP機能help 使用する
DMZホスト機能help 使用する
DMZホストのIPアドレスhelp 192.168.0.254
↓自宅コンフィグ
ip route default gateway 192.168.0.1
ip route 192.168.1.0/24 gateway tunnel 1
ip route 192.168.101.0/24 gateway tunnel 1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
ip lan1 address 192.168.100.1/24
ip lan1 proxyarp on
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.0.254/24
ip lan2 secure filter in 101000 101001 101004 101005 101020 101021 101022 101023 101024 101025 101030 101032 101080 101081 101099
ip lan2 secure filter out 101010 101011 101020 101021 101022 101023 101024 101025 101099
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:DHCP
provider ntpdate ntp.nict.jp
pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin password
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool 192.168.100.150-192.168.100.160
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.100.1
ipsec ike local id 1 192.168.100.0/24
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 any
ipsec ike remote name 1 DDNSサービス key-id
l2tp tunnel auth off
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text password
ipsec ike remote address 2 any
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.1 udp * 4500
ip filter 101005 pass * 192.168.100.1 udp * 1701
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.100.1 udp * 500
ip filter 101081 pass * 192.168.100.1 esp * *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.100.1-192.168.100.254
nat descriptor masquerade static 200 1 192.168.100.1 udp 500
nat descriptor masquerade static 200 2 192.168.100.1 esp
nat descriptor masquerade static 200 3 192.168.100.1 udp 1701
nat descriptor masquerade static 200 4 192.168.100.1 udp 4500
ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipsec transport 2 2 udp 1701
tftp host any
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on
httpd host 192.168.100.2-192.168.100.254 192.168.102.2-192.168.102.254
upnp use on
upnp external address refer lan2
alarm entire off
#
書込番号:19488252
0点
IPSEC-VPNのトンネル1のConfigが、訳の解らないコマンドが投入されていますよ。
ローカルネーム→リモートネームでの名称解決は、不安定なので、辞めた方が良いですよ。
自宅RTX810ルーターに下記コマンドを実行して下さい。
tunnel select 1
no ipsec ike remote name 1 DDNSサービス key-id
no no l2tp tunnel auth off
no l2tp tunnel disconnect time 600
no l2tp keepalive use off
ipsec ike remote id 1 192.168.101.0/24
tunnel enable 1
IPSECトンネルの認証論理を、よく理解してコマンド実行するようにして下さい。
当方の、提供Configをそのまま投入すれば良い状態で、Config投入前にルーターリセットはしていないのでは?
会社RTX810ルーターのトンネル1のConfigが、下記になっているか確認して下さい。
tunnel select 1
tunnel name IPsec(会社)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.101.1
ipsec ike local id 1 192.168.101.0/24
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 ***.***.***.*** (AUグローバルIP)
ipsec ike remote id 1 192.168.100.0/24
ip tunnel tcp mss limit 1240
tunnel enable 1
念のため、会社RTX810ルーターの投入済みConfig全体を、お教え下さい。
書込番号:19488660
0点
IPSEC-VPNも含め、拠点間VPNで必要条件が、認証通信の際のESPパケット処理をどのルートで認証するか、相互通信認証に、対向それぞれのグローバルIPがどの形態になっているか、グローバルIPが認識された際に、IKEキーをどのモードにするか、IPSECトンネルキーをどのモードにするか、切断・接続時の監視機能をどのモードにするかが、基本的な要件になります。
アグレッシブモードでのVPNの場合、グローバルIPが動的な回線の方のLAN情報を、自宅RTX810ルーター側へ通知しないといけませんが、その際の通知情報を、それぞれのIPSECトンネル情報に相手先のID等の登録をしなければいけません。
当方提供の自宅・会社Configをよく吟味してみて下さい。
自宅
tunnel select 1
tunnel name IPsec(自宅)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.100.1
ipsec ike local id 1 192.168.100.0/24
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 any
ipsec ike remote id 1 192.168.101.0/24
ip tunnel tcp mss limit 1240
tunnel enable 1
会社
tunnel select 1
tunnel name IPsec(会社)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.101.1
ipsec ike local id 1 192.168.101.0/24
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 ***.***.***.*** (AUグローバルIP)
ipsec ike remote id 1 192.168.100.0/24
ip tunnel tcp mss limit 1240
tunnel enable 1
↑、それぞれのVPNトンネルの情報に、ローカルIDとリモートIDでトンネル情報の交換をする様に設定していますよね?
併せて、自宅側のグローバルIPがどの値でも、認証を受け入れる設定(ipsec ike remote address 1 any)を投入し、会社側は、ipsec ike remote address 1 ***.***.***.*** (AUグローバルIP)にて、アクセス先の登録をしていますよね?
それぞれの対向側の情報以外のConfigは、不要になります。
不要なConfigが投入されていれば、その情報が対向側のルーターへ通信されてしまい、VPN認証出来ないという要件にもなったりします。
書込番号:19488727
0点
追加補足です。
AU-HGWの静的ルーティングも設定していないのでは?
詳細設定→静的ルーティング設定
宛先アドレス(192.168.100.0/24)、宛先ゲートウェイ(192.168.0.254)の登録がされているかも確認下さい。
書込番号:19488766
0点
↓★☆★の部分
ipv6 lan2 dhcp service client ir=on
↑このコマンドが登録されないです
自宅コンフィグ
ip routing process fast
ip route default gateway 192.168.0.1
ip route 192.168.1.0/24 gateway tunnel 1
ip route 192.168.101.0/24 gateway tunnel 1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
ip lan1 address 192.168.100.1/24
ip lan1 proxyarp on
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★
ip lan2 address 192.168.0.254/24
ip lan2 secure filter in 101000 101001 101004 101005 101020 101021 101022 101023 101024 101025 101030 101032 101080 101081 101099
ip lan2 secure filter out 101010 101011 101020 101021 101022 101023 101024 101025 101099
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:DHCP
provider ntpdate ntp.nict.jp
pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin password
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool 192.168.100.150-192.168.100.160
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.100.1
ipsec ike local id 1 192.168.100.0/24
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 any
ipsec ike remote id 1 192.168.101.0/24
ip tunnel tcp mss limit auto
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text password
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.1 udp * 4500
ip filter 101005 pass * 192.168.100.1 udp * 1701
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.100.1 udp * 500
ip filter 101081 pass * 192.168.100.1 esp * *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.100.1-192.168.100.254
nat descriptor masquerade static 200 1 192.168.100.1 udp 500
nat descriptor masquerade static 200 2 192.168.100.1 esp
nat descriptor masquerade static 200 3 192.168.100.1 udp 1701
nat descriptor masquerade static 200 4 192.168.100.1 udp 4500
ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipsec transport 2 2 udp 1701
tftp host any
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on
httpd host 192.168.100.2-192.168.100.254 192.168.102.2-192.168.102.254
upnp use on
upnp external address refer lan2
alarm entire off
書込番号:19489181
0点
>sorio-2215さん
> 詳細設定→静的ルーティング設定
> 宛先アドレス(192.168.100.0/24)、宛先ゲートウェイ(192.168.0.254)の登録
これは最初から登録済です。
質問です。
会社のRTXは「かんたん設定」だけ使って設定しています。それでもVPNは通信中になりますし、RASのアクセスも可能です。
自宅の方は初期化してからコマンドを投入しました(その後で自分で手直ししてました!)。しかし現状はほぼ指示通りのコンフィグになっています。それにもかかわらず自宅の方はVPNもRASのアクセスも成立できていません。RASのアクセスには会社の設定は関係ないですよね?
ですからHGWの設定に問題がありそうな気がしています。
それともう一つ気になる点。
↓PCのipconfig
接続固有の DNS サフィックス . . . :
IPv6 アドレス . . . . . . . . . . . : 一部伏字:2948:e263:aeed
一時 IPv6 アドレス. . . . . . . . . : 一部伏字dab:2386:9b8d:a57f
リンクローカル IPv6 アドレス. . . . : 一部伏字:e263:aeed%15
IPv4 アドレス . . . . . . . . . . : 192.168.100.6
サブネット マスク . . . . . . . . : 255.255.255.0
デフォルト ゲートウェイ . . . . . : 一部伏字eff:fe7f:acb4%15
192.168.100.1
デフォルトゲートウェイにHGWのアドレスが出ません。アイフォンではRTXとHGWの2つが出ます。大丈夫でしょうか?
書込番号:19489249
0点
PC端末は、デフォルトゲートウェイの認識が、IOS端末とは違います。
Windows系のデフォルトゲートウェイは、直近のゲートウェイのみ認識するようになっていますので、仮にその上位のHGWをゲートウェイとして認識してしまうと、インターネット接続機能に不整合が起きる為、逆に今の状態で正常です。
PCの「ipconfig /all」では、直接アクセスしている同一セグメントのゲートウェイまでの認識になります。
ゲートウェイ制御については、RTX810ルーターのWAN側固定アドレスを、HGWのDMZホスト・アクセスしている状態ですので、HGWの設定では有りません。
DMZホストの機能は、全ての通信をRTX810へ転送する設定ですので、HGWが関与することでは有りません。
自宅から会社にVPNアクセス出来ない要件として、先刻の話のように、VPN認証周りの他に、同一セグメントの通信では有りませんので、トンネル1の静的ルーティング設定が会社RTX810ルーター側へ設定されていない、ProxyARP応答の設定が投入されていない等も関係有ります。
よって、簡易WebメニューのみのRTX810設定では、適切な設定になり得ませんので、会社RTX810ルーターのConfigの提供をお願いします。
会社から自宅へアクセス出来ている点は、自宅RTX810ルーターのVPN認証と静的ルーティング設定、ProxyARPの応答設定が正常で有ることを示しています。
念のため、申し上げますと、IOS端末のアクセスは自宅RTX810へL2TPリモートアクセス接続をすると、自宅経由で、会社RTX810への通信という経路になっておりますので、会社RTX810ルーターの応答の問題になります。
書込番号:19489983
0点
「ipv6 lan2 dhcp service client ir=on
↑このコマンドが登録されないです」
↑の件ですが、IPV6コマンドの場合、既に登録済みですと登録されません。
自宅RTX810ルーターのConfigをよく見てみて下さい。
Configの18〜19行目ほどに登録されていますよ。
自宅から会社のVPN接続されない点の話ですが、自宅認証周りでは無く、会社のHGWの設定(DMZホスト、LAN側静的ルーティング)、IPSEC認証トンネルの設定が合致していれば表面的に接続されますが、会社RTX810ルターの静的ルーティング・トンネルの設定、ProxyARPの設定がキチンと反映していませんと、自宅から会社の接続端末のMACアドレスとIPアドレスの引き当てが出来ませんので、会社RTX810ルーターの設定になります。
会社RTX810ルーターのトンネルConfig情報と、最低限下記の会社RTX810ルーターコマンドが関係する話ですので、会社RTX810ルーターのConfigを提供願います。
ip route 192.168.0.0/24 gateway tunnel 1
ip route 192.168.100.0/24 gateway tunnel 1
ip lan1 proxyarp on
書込番号:19489995
0点
補足です。
以前話しをさせて頂いておりましたが、その情報が反映されていません。
AU回線とNTT回線のMTU数値と、MSS数値が違う回線ですので、VPNトンネルのMSS数値が違う通信されてしまうと、VPN通信に不整合が出ます。
NTTのMTU数値は1,454ですが、AUは1,492ですので、VPNトンネルのパケットタイミングを合わせるコマンドを投入されていません。
当方提供のVPNトンネルの設定には、そのコマンドを投入済みでしたが、自宅・会社RTX810ルーターへ投入して下さい。
自宅RTX810ルーター
tunnel select 1
ip tunnel tcp mss limit 1240
会社RTX810ルーター
tunnel select 1
ip tunnel tcp mss limit 1240
何れの場合も、会社RTX810ルーターの簡易Webメニュー設定のConfigを提供願います。
当初の話の通り、簡易Webメニューで出来る事は限定されており、AU-HGWとNTT-HGWの配下同士のRTX810ルーターのインターネット機能とVPN機能設定では、適切な設定は出来ないと思って下さい。
書込番号:19490009
0点
補足です。
自宅から会社へのVPN、リモートアクセス経由でのVPNアクセスが出来ない件ですが、会社側の自宅RTX810ルーターへのIPセグメント通知機能や、ルーティング周りの設定におかしい点が有る時に、出る現象ですので、会社から自宅へのアクセスが出来ない時は、自宅RTX810設定も範囲になるのですが、自宅から会社については、会社RTX810ルーターの設定に瑕疵が有るケースになります。
あくまでも、簡易Webメニューは、暫定的に最低限の機能と、RTX810ルーターにてWANに直接接続するモードの設定が主体になるとお考え下さい。
このあたりは、以前説明しましたが。
※ WWWブラウザ設定支援機能 ・・ http://www.rtpro.yamaha.co.jp/RT/docs/web_assistance/
YamahaルーターでのConfig作成や、ネットワーク構築の経験の無い方でも簡易的に設定出来る様にしたものですが、全ての回線仕様や機能に追従しました設定が出来るものとはしていません。
基本的には、コマンド作成とその意味あいが理解出来る点が、基本になります。
書込番号:19490372
0点
初期化してから、かんたん設定で入れた会社のコンフィグです。一応通信中に見えますが自宅には入れません。RASで会社ネットワークには入れます。
ip route default gateway pp 1 filter 500000 gateway pp 1
ip route 192.168.100.0/24 gateway tunnel 1
ip lan1 address 192.168.101.1/24
ip lan1 proxyarp on
provider type isdn-terminal
provider filter routing connection
provider lan1 name LAN:
provider lan2 name PPPoE/0/1/5/0/0/0:Nifty
pp select 1
pp name PRV/1/1/5/0/0/0:Nifty
pp keepalive interval 30 retry-interval=30 count=12
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname *****@nifty.com password
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp secure filter in 200003 200020 200021 200022 200023 200024 200025 200030 200032 200080 200081 200082 200083
ip pp secure filter out 200013 200020 200021 200022 200023 200024 200025 200026 200027 200099 dynamic 200080 200081 200082 200083 200084 200085 200098 200099
ip pp nat descriptor 1000
netvolante-dns hostname host pp server=1 *******netvolante.jp
pp enable 1
provider set 1 Nifty
provider dns server pp 1 1
provider select 1
pp select anonymous
pp name IPsec(会社)
pp bind tunnel2
pp auth request chap-pap
pp auth username admin password
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(会社)
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 on heartbeat 10 6
ipsec ike local address 2 192.168.101.1
ipsec ike pre-shared-key 2 text password
ipsec ike remote address 2 au IP
ip tunnel tcp mss limit auto
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 off
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 any
l2tp tunnel auth off
l2tp keepalive use on
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 200000 reject 10.0.0.0/8 * * * *
ip filter 200001 reject 172.16.0.0/12 * * * *
ip filter 200002 reject 192.168.0.0/16 * * * *
ip filter 200003 reject 192.168.101.0/24 * * * *
ip filter 200010 reject * 10.0.0.0/8 * * *
ip filter 200011 reject * 172.16.0.0/12 * * *
ip filter 200012 reject * 192.168.0.0/16 * * *
ip filter 200013 reject * 192.168.101.0/24 * * *
ip filter 200020 reject * * udp,tcp 135 *
ip filter 200021 reject * * udp,tcp * 135
ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 200024 reject * * udp,tcp 445 *
ip filter 200025 reject * * udp,tcp * 445
ip filter 200026 restrict * * tcpfin * www,21,nntp
ip filter 200027 restrict * * tcprst * www,21,nntp
ip filter 200030 pass * 192.168.101.0/24 icmp * *
ip filter 200031 pass * 192.168.101.0/24 established * *
ip filter 200032 pass * 192.168.101.0/24 tcp * ident
ip filter 200033 pass * 192.168.101.0/24 tcp ftpdata *
ip filter 200034 pass * 192.168.101.0/24 tcp,udp * domain
ip filter 200035 pass * 192.168.101.0/24 udp domain *
ip filter 200036 pass * 192.168.101.0/24 udp * ntp
ip filter 200037 pass * 192.168.101.0/24 udp ntp *
ip filter 200080 pass * 192.168.101.1 udp * 1701
ip filter 200081 pass * 192.168.101.1 udp * 500
ip filter 200082 pass * 192.168.101.1 esp * *
ip filter 200083 pass * 192.168.101.1 udp * 4500
ip filter 200098 reject-nolog * * established
ip filter 200099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 200080 * * ftp
ip filter dynamic 200081 * * domain
ip filter dynamic 200082 * * www
ip filter dynamic 200083 * * smtp
ip filter dynamic 200084 * * pop3
ip filter dynamic 200085 * * submission
ip filter dynamic 200098 * * tcp
ip filter dynamic 200099 * * udp
nat descriptor type 1000 masquerade
nat descriptor masquerade static 1000 1 192.168.101.1 udp 1701
nat descriptor masquerade static 1000 2 192.168.101.1 udp 500
nat descriptor masquerade static 1000 3 192.168.101.1 esp
nat descriptor masquerade static 1000 4 192.168.101.1 udp 4500
ipsec auto refresh on
ipsec transport 2 1 udp 1701
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.101.2-192.168.101.99/24
dns server pp 1
dns server select 500001 pp 1 any . restrict pp 1
dns private address spoof on
l2tp service on
#
書込番号:19490554
0点
>sorio-2215さん
今までずっとお世話になってきて思い違いをしていたことに先ほど気づきました。
それはRTXでのVPN構築はルーターが直接インターネットに出ている場合についてだけサポートできることだったのですね。私の件ではルーターの外側にHGWがあるからサポート外となりますね。
この思い違いがあるから2人のやり取りにちょっと噛み合わない点があったと思います。この点についてお詫びいたします。
またよろしくお願いします。
書込番号:19490610
0点
簡易Webメニューからの設定で、かなり誤った設定を投入されています。
会社RTX810ルーターを初期化して下さい。
初期化後、TeraTermから、下記コマンドを実行下さい。
ip lan1 address 192.168.101.1/24
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.101.2-192.168.101.99/24
別紙、正式の会社RTX810ルーターのコマンドを提示しますので、その際には、NiftyプロバイダとAUグローバルIP、Netvolante-DNSの箇所は、正式なものに置き換えコマンド実行下さい。
書込番号:19490984
0点
会社RTX810ルーターConfig
ip routing process fast
ip route default gateway pp 1 filter 500000 gateway pp 1
ip route 192.168.100.0/24 gateway tunnel 1
ip lan1 address 192.168.101.1/24
ip lan1 proxyarp on
provider type isdn-terminal
provider filter routing connection
provider lan1 name LAN:
provider lan2 name PPPoE/0/1/5/0/0/0:Nifty
provider ntpdate ntp.nict.jp
pp select 1
pp name PRV/1/1/5/0/0/0:Nifty
pp keepalive interval 30 retry-interval=30 count=12
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname *****@nifty.com ******* (Nifty接続ID 接続パスワード)
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
ip pp secure filter in 200000 200001 200020 200021 200022 200023 200024 200025 200030 200032 200080 200081 200082 200083 200099
ip pp secure filter out 200020 200021 200022 200023 200024 200025 200026 200027 200099
ip pp nat descriptor 1000
netvolante-dns hostname host pp server=1 *******netvolante.jp
pp enable 1
provider set 1 Nifty
provider dns server pp 1 1
provider select 1
tunnel select 1
tunnel name IPsec(会社)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.101.1
ipsec ike local id 1 192.168.101.0/24
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 ***.***.***.*** (AUグローバルIP)
ipsec ike remote id 1 192.168.100.0/24
ipsec auto refresh 1 on
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text password
ipsec ike remote address 2 any
l2tp keepalive use off
l2tp tunnel disconnect time 600
l2tp keepalive use off
l2tp keepalive log on
l2tp syslog on
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 200000 reject 10.0.0.0/8 * * * *
ip filter 200001 reject 172.16.0.0/12 * * * *
ip filter 200002 reject 192.168.0.0/16 * * * *
ip filter 200003 reject 192.168.101.0/24 * * * *
ip filter 200010 reject * 10.0.0.0/8 * * *
ip filter 200011 reject * 172.16.0.0/12 * * *
ip filter 200012 reject * 192.168.0.0/16 * * *
ip filter 200013 reject * 192.168.102.0/24 * * *
ip filter 200020 reject * * udp,tcp 135 *
ip filter 200021 reject * * udp,tcp * 135
ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 200024 reject * * udp,tcp 445 *
ip filter 200025 reject * * udp,tcp * 445
ip filter 200026 restrict * * tcpfin * www,21,nntp
ip filter 200027 restrict * * tcprst * www,21,nntp
ip filter 200030 pass * 192.168.101.0/24 icmp * *
ip filter 200031 pass * 192.168.101.0/24 established * *
ip filter 200032 pass * 192.168.101.0/24 tcp * ident
ip filter 200033 pass * 192.168.101.0/24 tcp ftpdata *
ip filter 200034 pass * 192.168.101.0/24 tcp,udp * domain
ip filter 200035 pass * 192.168.101.0/24 udp domain *
ip filter 200036 pass * 192.168.101.0/24 udp * ntp
ip filter 200037 pass * 192.168.101.0/24 udp ntp *
ip filter 200080 pass * 192.168.101.1 udp * 500
ip filter 200081 pass * 192.168.101.1 esp * *
ip filter 200082 pass * 192.168.101.1 udp * 1701
ip filter 200083 pass * 192.168.101.1 udp * 4500
ip filter 200098 reject-nolog * * established
ip filter 200099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 200080 * * ftp
ip filter dynamic 200081 * * domain
ip filter dynamic 200082 * * www
ip filter dynamic 200083 * * smtp
ip filter dynamic 200084 * * pop3
ip filter dynamic 200085 * * submission
ip filter dynamic 200098 * * tcp
ip filter dynamic 200099 * * udp
nat descriptor log on
nat descriptor type 1000 masquerade
nat descriptor address outer 1000 ipcp
nat descriptor address inner 1000 auto
nat descriptor masquerade static 1000 1 192.168.101.1 udp 500
nat descriptor masquerade static 1000 2 192.168.101.1 esp
nat descriptor masquerade static 1000 3 192.168.101.1 udp 1701
nat descriptor masquerade static 1000 4 192.168.101.1 udp 4500
ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipsec transport 2 2 udp 1701
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.101.2-192.168.101.99/24
dns server pp 1
dns server select 500001 pp 1 any . restrict pp 1
dns private address spoof on
l2tp service on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
httpd host 192.168.100.2-192.168.100.254 192.168.101.2-192.168.101.254
upnp use on
upnp external address refer pp 1
alarm entire off
書込番号:19490989
0点
会社RTX810ルーターの正式コマンドを投入完了しましたら、自宅RTX810ルーターのIPSEC-VPNのトンネルを一部変更が有りますので、下記コマンド実行下さい。
自宅トンネル・追加コマンド (下記、Netvolante-DNSは、会社RTX810の簡易Webメニューにて、表記されています、Netvolante-DNSドメインに置き換えて下さい。)
※ 簡易Webメニュー [トップ] > [詳細設定と情報] > [ネットボランチDNS ホストアドレスサービスの設定] →ホストアドレスのドメイン
tunnel select 1
tunnel name IPsec(自宅)
ipsec ike remote address 1 *******netvolante.jp
tunnel enable 1
書込番号:19490997
0点
先ほどの、会社RTX810ルーターの正式Configの話ですが、念のためですが、「tunnel enable 2」と
「ip filter 200000 reject 10.0.0.0/8 * * * *」の間に、tunnel select none を挿入して、VPNトンネル設定モードから抜け出して下さいね。
tunnel enable 2
tunnel select none
ip filter 200000 reject 10.0.0.0/8 * * * *
↑の様にして、一括コマンド実行下さいね。
書込番号:19491006
0点
先ほどの正式、会社RTX810ルーターに、一部L2TPリモートアクセス・コマンドを忘れてました。
下記が追加分のConfigになります。
先ほどの正式Configに追加にて、投入して下さい。
pp select anonymous
pp name L2TP(会社)
pp bind tunnel2
pp auth request chap-pap
pp auth username admin password
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
書込番号:19491039
0点
RTX810ルーターにPPPOE接続設定を要件とする場合には、当然NTT-HGWにはPPPOE接続設定の削除(PPPOEブリッジは有効)、LAN側静的ルーティングは削除、DMZホストの設定は無効にて確認しておいて下さい。
書込番号:19491252
0点
投入し直した会社コンフィグです。
ip routing process fast
ip route default gateway pp 1 filter 500000 gateway pp 1
ip route 192.168.100.0/24 gateway tunnel 1
ip lan1 address 192.168.101.1/24
ip lan1 proxyarp on
provider type isdn-terminal
provider filter routing connection
provider lan1 name LAN:
provider lan2 name PPPoE/0/1/5/0/0/0:Nifty
provider ntpdate ntp.nict.jp
pp select 1
pp name PRV/1/1/5/0/0/0:Nifty
pp keepalive interval 30 retry-interval=30 count=12
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname ********@nifty.com password
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
ip pp secure filter in 200000 200001 200020 200021 200022 200023 200024 200025 200030 200032 200080 200081 200082 200083 200099
ip pp secure filter out 200020 200021 200022 200023 200024 200025 200026 200027 200099
ip pp nat descriptor 1000
netvolante-dns hostname host pp server=1 ***.***netvolante.jp
pp enable 1
provider set 1 Nifty
provider dns server pp 1 1
provider select 1
pp select anonymous
pp name L2TP(会社)
pp bind tunnel2
pp auth request chap-pap
pp auth username admin password
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(会社)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.101.1
ipsec ike local id 1 192.168.101.0/24
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 auIP
ipsec ike remote id 1 192.168.100.0/24
ipsec auto refresh 1 on
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text password
ipsec ike remote address 2 any
l2tp tunnel disconnect time 600
l2tp keepalive use off
l2tp keepalive log on
l2tp syslog on
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 200000 reject 10.0.0.0/8 * * * *
ip filter 200001 reject 172.16.0.0/12 * * * *
ip filter 200002 reject 192.168.0.0/16 * * * *
ip filter 200003 reject 192.168.101.0/24 * * * *
ip filter 200010 reject * 10.0.0.0/8 * * *
ip filter 200011 reject * 172.16.0.0/12 * * *
ip filter 200012 reject * 192.168.0.0/16 * * *
ip filter 200013 reject * 192.168.102.0/24 * * *
ip filter 200020 reject * * udp,tcp 135 *
ip filter 200021 reject * * udp,tcp * 135
ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 200024 reject * * udp,tcp 445 *
ip filter 200025 reject * * udp,tcp * 445
ip filter 200026 restrict * * tcpfin * www,21,nntp
ip filter 200027 restrict * * tcprst * www,21,nntp
ip filter 200030 pass * 192.168.101.0/24 icmp * *
ip filter 200031 pass * 192.168.101.0/24 established * *
ip filter 200032 pass * 192.168.101.0/24 tcp * ident
ip filter 200033 pass * 192.168.101.0/24 tcp ftpdata *
ip filter 200034 pass * 192.168.101.0/24 tcp,udp * domain
ip filter 200035 pass * 192.168.101.0/24 udp domain *
ip filter 200036 pass * 192.168.101.0/24 udp * ntp
ip filter 200037 pass * 192.168.101.0/24 udp ntp *
ip filter 200080 pass * 192.168.101.1 udp * 500
ip filter 200081 pass * 192.168.101.1 esp * *
ip filter 200082 pass * 192.168.101.1 udp * 1701
ip filter 200083 pass * 192.168.101.1 udp * 4500
ip filter 200098 reject-nolog * * established
ip filter 200099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 200080 * * ftp
ip filter dynamic 200081 * * domain
ip filter dynamic 200082 * * www
ip filter dynamic 200083 * * smtp
ip filter dynamic 200084 * * pop3
ip filter dynamic 200085 * * submission
ip filter dynamic 200098 * * tcp
ip filter dynamic 200099 * * udp
nat descriptor log on
nat descriptor type 1000 masquerade
nat descriptor address outer 1000 ipcp
nat descriptor address inner 1000 auto
nat descriptor masquerade static 1000 1 192.168.101.1 udp 500
nat descriptor masquerade static 1000 2 192.168.101.1 esp
nat descriptor masquerade static 1000 3 192.168.101.1 udp 1701
nat descriptor masquerade static 1000 4 192.168.101.1 udp 4500
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.101.2-192.168.101.99/24
dns server pp 1
dns server select 500001 pp 1 any . restrict pp 1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on
httpd host 192.168.100.2-192.168.100.254 192.168.101.2-192.168.101.254
upnp use on
upnp external address refer pp 1
alarm entire off
#
書込番号:19491268
0点
>sorio-2215さん
この状態で携帯からのras接続ができなくなっています。
また【直接は関係ないですが】シリアルケーブルからの入力がおかしいです。コマンドの一部が飛んだりします。今朝がたドライバを入れ直したのが原因と思います。デバイスマネージャー上はおかしな点は見つかりません。テラタームで設定できる点はありますか?
書込番号:19491276
0点
L2TPリモートアクセスのUDP1701トランスポート・コマンドが、無くなってますよ。
簡易Webメニューからの設定が可能かと存じますので、下記コマンド投入下さい。
ip filter 200013 reject * 192.168.101.0/24 * * *
ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipsec transport 2 2 udp 1701
↑コマンドが無いと、トンネル1(IPSEC-VPNトンネルのNATトラバーサル機能)とトンネル2(L2TP-VPNのNATトラバーサル機能)が、有効になりません。
当方提供のコマンドをよく吟味してみて下さい。(1行目から最終行まで)
IPSEC-VPNトンネルについては、自宅RTX810ルーターのトンネル1に、先刻の追加設定を投入しませんと、安定しません。
念のためですが、自宅RTX810ルーター、追加コマンド。
tunnel select 1
tunnel name IPsec(自宅)
ipsec ike remote address 1 *******netvolante.jp (Netvolante-DNSドメイン)
tunnel enable 1
書込番号:19491332
0点
TeraTermでの投入の際に、以前説明しているはずですが、TeraTermの設定の際のCOMポートの転送速度の設定等の説明サイトが有るので、その転送速度等がYamahaルーターの転送速度と合致していませんと、転送オーバーで、うまく投入出来ませんよ。
※ http://atnetwork.info/yamaha/console01.html
↑ USB-シリアルアダプタのCOMポートの転送速度を、9600bit/s、8ビット、フロー制御Xon/Xoff等の設定をしておかないと、安定しません。
書込番号:19491338
0点
先刻説明済みですが、RTX810ルーターにPPPOE接続機能とIPSEC-VPN、L2TPリモートアクセスを設定される場合には、NTT-HGWへの設定画面アクセスも併用される場合には、下記構成になります。
NTT回線終端装置にスイッチングハブを接続し、スイッチングハブの1ポート目にNTT-HGWを接続、スイッチングハブの2ポート目にRTX810ルーター接続。
↑条件にて、NTT-HGWのIP設定を192.168.101.250/24等の設定(DHCP無効化)→NTT-HGWのハブポートから、RTX810ルーターのハブポートにカスケード接続すれば、http://192.168.101.250にてアクセス可能かと存じます。
書込番号:19491361
0点
>sorio-2215さん
おかげさまで以下の通り通信が確立しました。
・自宅←→会社
・LTE→会社
・LTE→自宅
今後はコンフィグを保存しておきます。
取り急ぎご報告とお礼まで。
書込番号:19492231
0点
そうですか。良かったですね。
老婆心ながら、RTX810でのYamahaサイト未掲載の設定例でのIPSEC-VPNトンネル(NATトラバーサル有、Netvolante-DNSメインモード)とL2TP/IPSECトンネルの併用構成イメージとなりましたが、AU光・専用HGWと、NTT・RTX810でのPPPOE接続機能の組み合わせが有りましたので、下記構成イメージになりました。
@ AU-HGWでのDMZホスト+静的ルーティングでの配下RTX810ルーターへの全転送、RTX810ルーターでのWAN-IP固定、ゲートウェイ(AU-HGW)から通信ルート確保(インターネットルート、VPNトンネルルート)。
A NTT-HGWでの光電話機能・PPPOEブリッジでの配下RTX810ルーターでのPPPOEクライアント機能、PPPOEクライアントでのグローバルIP・解決DDNS(Netvolante-DNS)→Netvolante-DNS併用でのIPSEC-VPN(NATトラバーサル有+L2TP/IPSEC併用)
↑構成のためですが、一部KDDIでのキャリアグレードNAT及びAU-HGWでのNATトラバーサル機能を考慮しました構成のため、簡易Webメニューでの設定では一部しか機能設定出来ません。
簡易Webメニューの設定が基本ではなく、時間的な余裕の有る時にコマンド・リファレンスを覚える形が良いかと考えます。
以下参考書になります。
井上孝司著、「ヤマハルーターでつくるインターネットVPN [第4版]」
谷山 亮治 (著), 日経NETWORK (編集) 「ヤマハルーターで挑戦 企業ネットをじぶんで作ろう」
Yamahaルーター、コマンドリファレンス ・・ http://www.rtpro.yamaha.co.jp/RT/manual/rt-common/index.html
書込番号:19492857
1点
>sorio-2215さん
お早うございます。お世話になります。
下記構成を試したところトラブル発生しました。
>NTT回線終端装置にスイッチングハブを接続し、スイッチングハブの1ポート目にNTT-HGWを接続、スイッチングハブの2ポート目にRTX810ルーター接続。
> ↑条件にて、NTT-HGWのIP設定を192.168.101.250/24等の設定(DHCP無効化)→NTT-HGWのハブポートから、RTX810ルーターのハブポートにカスケード接続すれば、http://192.168.101.250にてアクセス可能かと存じます。
具体的には以前にも起こった現象で無線親機からIPアドレスが各端末に配布されない状況です。
対策は以前と同様にHGWと本機のLANポート同士の接続を外すことです。即座に無線端末へのIPアドレスが配布されました。
配線をした後しばらくは無線子機には正常にIPアドレスが配布されますが、数日?程度で今回のトラブルになります。
HGWへのアクセスはあまり行わないもののご紹介の方法は大変便利ですので今後も続けたいと思っています。なにか対策がありますか?
よろしくお願いいたします。
書込番号:19544709
0点
確認ですが、下記構成になっていますか?
@ 回線終端装置(ONU)→スイッチングハブ・1ポート→光電話ルーターのWANポート(PPPOE接続は未投入、DHCP無効化、IPを192.168.101.250/24固定)
A 回線終端装置(ONU)→スイッチングハブ・2ポート→RTX810ルーターのWANポート接続、無線ルーターは、BRモードで、RTX810ルーターのハブポートへスイッチングポート同士接続)
RTX810ルーターのDHCPは有効になっているか、確認。
無線ルーター(BRモード、192.168.101.211/24でした?)の、デフォルトゲートウェイ192.168.101.1、プライマリDNS192.168.101.1になっているか確認。
@〜Aを確認後、光電話ルーターのハブポートとRTX810ルーターのハブポートを接続。
DHCPサーバが、どちらの機器から提供されるか、確認して頂ければ、自ずとRTX810のみ有効にしてあれば、OKです。
書込番号:19546034
0点
補足です。
先刻の確認をしてもダメであれば、NTT-HGWのパケットフィルタの設定(IPV4パケットフィルタ)にて、WAN→LANへのDHCP機能の制限をしてみる形でしょうか。
※ エントリ番号(空き番号)→フィルタ種別(拒否)→プロトコル(TCP)→TCPフラグ(指定しない)→接続インタフェース名(メイン)→送信元IPアドレス/マスク長(全て)→宛先IPアドレス/マスク長(全て)→送信元ポート(67〜68)→宛先ポート(67〜68)
↑にて、NTT-HGWからのDHCP不定動作のためのIPアドレス重複などの制限が可能と思いますが、先ずはお試し下さい。
上記設定確認後、NTT-HGWのハブとRTX810のハブをカスケード接続してみて下さい。
カスケード接続後、RTX810配下の端末からHGWへのアクセス可否確認と、無線ルーターへ無線LAN接続時でのIPアドレス取得確認をしてみて下さい。
書込番号:19547896
0点
>sorio-2215さん
> @ 回線終端装置(ONU)→スイッチングハブ・1ポート→光電話ルーターのWANポート(PPPOE接続は未投入、
>DHCP無効化、IPを192.168.101.250/24固定)
上記の通り設置済。なおHGWは192.168.101.254/24で固定。
> A 回線終端装置(ONU)→スイッチングハブ・2ポート→RTX810ルーターのWANポート接続、
>無線ルーターは、BRモードで、RTX810ルーターのハブポートへスイッチングポート同士接続)
> RTX810ルーターのDHCPは有効になっているか、確認。
上記の通り設置済。上記設定も確認済。
> 無線ルーター(BRモード、192.168.101.211/24でした?)の、デフォルトゲートウェイ192.168.101.1、
>プライマリDNS192.168.101.1になっているか確認。
無線ルーター(BRモード、192.168.101.201/24)。デフォルトゲートウエイとプライマリDNSは上記設定通り。
> @〜Aを確認後、光電話ルーターのハブポートとRTX810ルーターのハブポートを接続。
実施済。
つまり、ほとんど設定に誤りがないと思います。それでも無線親機経由でのIPアドレス配布ができなくなる事案です。
書込番号:19547950
0点
>sorio-2215さん
念のため質問します。HGWとRTXを「カスケード接続する」とは、それぞれのLANポートをストレートのLANケーブルで接続することですよね?
書込番号:19547956
0点
念のため質問します。HGWとRTXを「カスケード接続する」とは、それぞれのLANポートをストレートのLANケーブルで接続することですよね?
↑ そのとおりです。
それと、無線ルーターのBRモードとIP周りの設定は解りましたが、RTX810ルーターと無線ルーターの接続は、RTX810ルーターのハブポートと無線ルーターのハブポートを接続していますでしょうか?
書込番号:19547977
0点
>sorio-2215さん
>RTX810ルーターと無線ルーターの接続は、RTX810ルーターのハブポートと無線ルーターのハブポートを接続していますでしょうか?
RTXのハブポート−スイッチングハブ−無線親機のハブポート です。
書込番号:19548048
0点
>sorio-2215さん
いまも色々と試してみましたがwifiだけでなくVPNまで切れたりしたので「もう諦めます!」。つまり設定と配線を以前の通り戻しました。
HGW:192.168.1.1
RTX:192.168.101.1
HGWの中をすぐに見られるのはすごく助かるのですが、通信の安定性には代えられません。
ありがとうございました。
書込番号:19548285
0点
うーん、どうみてもおかしい動作です。
HGWの搭載OS(ファームウェア)の問題としか見えない現象です。
一度、NTTの故障受付に相談された方が良いかもしれません。
HGWのDHCP機能を無効化しても、内部的に効いている動作でしたら、挙動的に理解出来る動きです。
書込番号:19548701
0点
ip routing process fast
ip route default gateway pp 1 filter 500000 gateway pp 1
ip route 192.168.100.0/24 gateway tunnel 1
ip lan1 address 192.168.101.1/24
ip lan1 proxyarp on
provider type isdn-terminal
provider filter routing connection
provider lan1 name LAN:
provider lan2 name PPPoE/0/1/5/0/0/0:Nifty
provider ntpdate ntp.nict.jp
pp select 1
pp name PRV/1/1/5/0/0/0:Nifty
pp keepalive interval 30 retry-interval=30 count=12
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname ******@nifty.com *******
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
ip pp secure filter in 200000 200001 200020 200021 200022 200023 200024 200025 200030 200032 200080 200081 200082 200083 200099
ip pp secure filter out 200020 200021 200022 200023 200024 200025 200026 200027 200099
ip pp nat descriptor 1000
netvolante-dns hostname host pp server=1 *****.***.netvolante.jp
pp enable 1
provider set 1 Nifty
provider dns server pp 1 1
provider select 1
pp select anonymous
pp name L2TP(会社)
pp bind tunnel2
pp auth request chap-pap
pp auth username admin ********
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(会社)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.101.1
ipsec ike local id 1 192.168.101.0/24
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text *******
ipsec ike remote address 1 121.106.141.4
ipsec ike remote id 1 192.168.100.0/24
ipsec auto refresh 1 on
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text *********
ipsec ike remote address 2 any
l2tp tunnel disconnect time 600
l2tp keepalive use off
l2tp keepalive log on
l2tp syslog on
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 200000 reject 10.0.0.0/8 * * * *
ip filter 200001 reject 172.16.0.0/12 * * * *
ip filter 200002 reject 192.168.0.0/16 * * * *
ip filter 200003 reject 192.168.101.0/24 * * * *
ip filter 200010 reject * 10.0.0.0/8 * * *
ip filter 200011 reject * 172.16.0.0/12 * * *
ip filter 200012 reject * 192.168.0.0/16 * * *
ip filter 200013 reject * 192.168.101.0/24 * * *
ip filter 200020 reject * * udp,tcp 135 *
ip filter 200021 reject * * udp,tcp * 135
ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 200024 reject * * udp,tcp 445 *
ip filter 200025 reject * * udp,tcp * 445
ip filter 200026 restrict * * tcpfin * www,21,nntp
ip filter 200027 restrict * * tcprst * www,21,nntp
ip filter 200030 pass * 192.168.101.0/24 icmp * *
ip filter 200031 pass * 192.168.101.0/24 established * *
ip filter 200032 pass * 192.168.101.0/24 tcp * ident
ip filter 200033 pass * 192.168.101.0/24 tcp ftpdata *
ip filter 200034 pass * 192.168.101.0/24 tcp,udp * domain
ip filter 200035 pass * 192.168.101.0/24 udp domain *
ip filter 200036 pass * 192.168.101.0/24 udp * ntp
ip filter 200037 pass * 192.168.101.0/24 udp ntp *
ip filter 200080 pass * 192.168.101.1 udp * 500
ip filter 200081 pass * 192.168.101.1 esp * *
ip filter 200082 pass * 192.168.101.1 udp * 1701
ip filter 200083 pass * 192.168.101.1 udp * 4500
ip filter 200098 reject-nolog * * established
ip filter 200099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 200080 * * ftp
ip filter dynamic 200081 * * domain
ip filter dynamic 200082 * * www
ip filter dynamic 200083 * * smtp
ip filter dynamic 200084 * * pop3
ip filter dynamic 200085 * * submission
ip filter dynamic 200098 * * tcp
ip filter dynamic 200099 * * udp
nat descriptor log on
nat descriptor type 1000 masquerade
nat descriptor address outer 1000 ipcp
nat descriptor address inner 1000 auto
nat descriptor masquerade static 1000 1 192.168.101.1 udp 500
nat descriptor masquerade static 1000 2 192.168.101.1 esp
nat descriptor masquerade static 1000 3 192.168.101.1 udp 1701
nat descriptor masquerade static 1000 4 192.168.101.1 udp 4500
ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipsec transport 2 2 udp 1701
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.101.2-192.168.101.99/24
dns server pp 1
dns server select 500001 pp 1 any . restrict pp 1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on
httpd host 192.168.100.2-192.168.100.254 192.168.101.2-192.168.101.254
upnp use on
upnp external address refer pp 1
alarm entire off
#
書込番号:20476503
0点
上記は私の会社と自宅をVPNで繋いでおりますが、会社側RTXのコンフィグです。
今回事情によりVPNを廃止することになりました。ただしRAS接続は維持します。
この場合コンフィグをどう変更すればよいのでしょうか?
よろしくお願いします。
書込番号:20476514
0点
?? 意味が解りませんが。
VPNなどの機能を併用しないのであれば、当機ルーターの意味が無い様な。
L2TP/IPSECのみでしたら、それぞれの拠点ルーターへリモートアクセス接続しないといけませんが。
以前の構成であれば、どちらか片方へ接続すれば、全ての拠点へ接続出来る構成でしたが。
書込番号:20568474
0点
↓前スレッドが制限数に達したため新規に建てました。
http://bbs.kakaku.com/bbs/K0000288280/#19384277
思いついて自宅PCから会社HGWにPINGを飛ばしてみました。応答ナシです。会社ルーターからは応答あります。
またPCに入っているノートン360を懸念されていましたが、アイフォンからL2TP経由で会社HGWにはアクセスできないことから推測は正しくない可能性が高いと思います。
個人的にはPCは関係なくHGWとルーターとの設定に何か過不足がありそうに感じています。
あとで双方のルーターのコンフィグを開示します。
色々すみませんがまたよろしくお願いします。
0点
2重NAT環境(NAT-T)では、Config上問題無いんですよね。
トンネル経由の同一セグメントIPからの通信に、HGWが応答しないだけの話なんですよね。
会社側の契約プロバイダの方にて、何らかのポート制限やVPN利用ポート制限等の有無、パソコン側の検疫機能しか無いんですが。
ASAHIネットなどは、IPSEC-VPNでのESPパケットを許容していないプロバイダで、NAT-Tでの通信しかIPSECトンネル構成が採れない形になっております。
思い切って、自宅と会社のIPセグメント・レベルを、L2スイッチレベルでVPNトンネル構成が可能な、L2TPv3-VPNトンネルへ大幅変更してみましょうか?
それか、それぞれのHGWを初期化して、再度設定してみる等でしょうか。
show ip route を見ても、それぞれのRTX810ルーターのLAN側同様のスタティック経路確保していますので、HGWへログイン出来ない筈は無いんですが。
書込番号:19439216
0点
それぞれの拠点のRTX810ルーターの設定は触れず、それぞれの拠点のHGWを初期化(リセット)して、再度接続設定実施→RTX810ルーターへ再度接続してみる方法が、最初にしてみると良いかと考えます。
書込番号:19439225
0点
>sorio-2215さん
結構面白くなってきたのでまずはHGWのリセットをやってダメなら別の構成に進みましょう。
HGWの設定を記録しておきたいです。
自宅側
設定ファイルの保存→リセット→復元→ルータと接続
って感じですか?会社の方は明日以降になりますね。
書込番号:19439263
0点
HGWの初期化後に、機能設定を同様の設定に戻して下さい。
NTT光電話ルーターの場合には、光電話機能の設定も確認しておいて下さい。
書込番号:19439306
0点
AU-HGWの場合、本体の電源コンセント抜き→後面更新ボタンを押す方法にて、リセット可能です。
※ http://qa.nifty.com/cs/catalog/faq_nqa/qid_14381/1.htm?classification=500001#anc01
NTT-HGWの場合、本体前面・初期化ボタンを長押し→初期状態ランプがオレンジ色で点灯する事を確認します。次に「再起動ボタン」を押します。
書込番号:19439327
0点
AuのHGWはリセットし、設定を復元しました。この段階ではまだ会社のHGWには入れません。
本日中に会社のHGWもリセットする予定です。
書込番号:19440342
0点
HGWへのアクセスが出来ない要因として、通常はRTX810からのARP要求に応じ、HGWからIPを判別する情報を通知しますが、その通知機能に問題が有るのでは?
ARP要求応答の問題である場合、HGWのDHCP機能を無効化しStatic設定にした場合に、どういう動作になるかも確認された方が良いかもしれません。
当方では、DHCP機能が有効でもARP応答は問題有りません。
書込番号:19440410
0点
NTT光電話接続機能としては、Yamaha「NVR500」ですと、LAN側にARP応答通信させる機能が有るんですけどね。
「NVR500」の場合には、光電話機能とPPPOE接続機能・DMZホスト機能にて、RTX810へ転送する設定、ARP送信機能設定が出来るんですけどね。
通常はあり得ませんが、RTX810ルーターのLAN2側にもARP応答設定を投入してみては如何でしょうか?
「ip lan2 proxyarp on」
会社・自宅双方のRTX810へ投入してみて下さい。
書込番号:19440473
0点
>sorio-2215さん
たしか両方のHGWにはDHCP機能を持たせていたはずです。しかしHGWにルーター以外の機器を接続する予定はないです。
よって静的・・でOKです。
よろしくお願いいたします。
書込番号:19440479
0点
>sorio-2215さん
ip lan2 proxyarp on
すれ違いでしたね。上記コマンドを双方のルーターに投入しましたが、やはりHGWにはアクセス不能です。
まだやっていないことは会社側HGWをリセットし復元することだけです。
業務中につき時間を見てやらざるを得ません。
書込番号:19440632
0点
>sorio-2215さん
会社HGWのリセット・復元も終了。しかし自宅のHGWへはアクセス不能です。
よろしくお願いします。
書込番号:19440902
0点
会社HGWへは、自宅回線からアクセス出来たのですか?
自宅HGWのIP(192.168.0.1/24)、詳細設定→その他設定→DMZホスト設定(192.168.0.254)と、詳細設定→静的ルーティング設定(宛先:192.168.101.0/24、宛先ゲートウェイ192.168.0.254)の設定がキチンと反映しているか、確認下さい。
会社RTX810には、トンネル1経由で192.168.0.0/24のルーティング設定が投入されている状態ですので、上記の設定が内部的に反映されていない状態ですと、Static通信として許容されません。
書込番号:19441317
0点
ついでに、自宅HGWの省エネモードを無効化下さい。
それと、詳細設定→その他設定→IPSECパススルー機能(有効)→UPNP(有効)、自宅RTX810ルーターでのIDS機能を効かせる場合には、セキュリティ保護機能は無効設定確認下さい。
書込番号:19441353
0点
>sorio-2215さん
指摘された項目すべてチェックしましたが特に間違っているところはありませんでした。
なお
自宅→会社HGW
会社→自宅HGW
いずれも通信できません。
よろしくお願いします。
書込番号:19442457
0点
初歩的な話ですが、会社・自宅双方、HGW→RTX810(LAN2)+HGW→RTX810(LAN1)の2点のケーブルで接続しており、ループになっていると言う事は有りませんかね?
2重ルーター構成(RTX810・LAN間接続構成)の場合には、前者の1点のケーブルでOKですよ。
双方のHGWのDHCP無効化しても、同様の現象でしょうか?
書込番号:19442861
0点
ケーブルは自宅・会社ともHGWとRTXの間は1本のみです。また両方のHGWのDHCPを先ほど無効化しました。
しかし状況に全く変化なしです。
何度か報告していますが、私の認識する不具合は双方の拠点から先方のHGWにアクセスできない点だけです。
会社が休みに入ったのでネットワークの全面変更は問題なく取りかかれます。
よろしくお願いいたします。
書込番号:19443153
0点
確認ですが、会社RTX810ルーターへ、「ipsec ike mode-cfg address pool 1 192.168.103.200-192.168.103.210/32」
自宅RTX810ルーターへ「ipsec ike mode-cfg address pool 1 192.168.101.200-192.168.101.210/32」と言った設定を追加投入しても、変化が無いか確認お願いします。
書込番号:19443591
0点
それと、切り分けの為ですが、それぞれのHGWの静的ルーティング設定を削除し、再度HGWへのアクセスを確認することは可能でしょうか?
DMZホスト設定を切る事は出来ませんので、先ずは確認願います。
書込番号:19443595
0点
先刻の確認をしてみてダメであれば、L2Tpv3-VPNトンネル構成のConfigを確認しますので、暫しお待ち下さい。
書込番号:19443631
1点
L2TPv3総体Configを確認中ですが、その前に多少強引な方法になるかもしれませんが、下記コマンドを確認出来ますでしょうか?
@ IPフィルタ設定を2点登録します。・・会社側RTX810
ip filter 101082 pass * * udp * 500
ip filter 101083 pass * * esp * *
A 会社側RTX810に、フィルタ透過ルーティングを設定する。
ip route default gateway 192.168.100.1 filter 101082 101083 gateway tunnel 1
上記の設定にて、それぞれのHGWへのアクセスが可能かどうか、確認願います。
不整合がある場合には、元のコマンドへ復元下さい。
書込番号:19443680
0点
>sorio-2215さん
とりあえず[19443591]でのコマンド投入。変化なしです。
続きは夜にやります。
書込番号:19443972
0点
先刻の設定にて、どうも経路確保が難しいと言うことであれば、静的ルーティングをIPSECトンネルに設定していますが、通常は必要ありませんが、動的ルーティングをトンネル内に通す設定をお試し下さい。
ip lan routing protocol rip2
rip use on
tunnel select 1
ip tunnel rip send on version 2
ip tunnel mtu 1240
それぞれのRTX810ルーターへ設定してみて下さい。
書込番号:19445782
0点
>sorio-2215さん
↓エラーでした。
コマンド "ip lan routing protocol rip2" は入力できません。
エラー: コマンド名を確認してください。
コマンド書式が正しく、またブラウザで入力できるコマンドであることを確認してください。
設定に変更はありません。
書込番号:19445831
0点
>sorio-2215さん
@ IPフィルタ設定を2点登録します。・・会社側RTX810
ip filter 101082 pass * * udp * 500
ip filter 101083 pass * * esp * *
A 会社側RTX810に、フィルタ透過ルーティングを設定する。
ip route default gateway 192.168.100.1 filter 101082 101083 gateway tunnel 1
Aのコマンド投入後VPN切れました。もう繋がりません。会社に行ってコマンド削除します。
書込番号:19445930
0点
「コマンド "ip lan routing protocol rip2" は入力できません。」
↑ 調べました。RTX810では、利用出来ないコマンドですね。
RTX810の場合、rip use on でOKです。
フィルタ型ルーティングが利用出来ないとなると、やはりHGWのプロセスがおかしい点になりますね。
先刻の会社・自宅のRIP設定のみの確認にて、それぞれのHGWへのアクセスをお試し下さい。
rip use on
tunnel select 1
ip tunnel rip send on version 2
ip tunnel mtu 1240
書込番号:19446106
0点
>sorio-2215さん
会社に来てみるとVPNだけでなくインターネット自体に接続できなくなっていました。コンフィグを開示します。よろしくお願いします。
ip routing process fast
ip route 192.168.0.0/24 gateway tunnel 1
ip route 192.168.101.0/24 gateway tunnel 1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.100.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
ip lan1 address 192.168.103.1/24
ip lan1 proxyarp on
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.100.254/24
ip lan2 mtu 1454
ip lan2 proxyarp on
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.103.1
ipsec ike local name 1 ipsec1 key-id
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ******
ipsec ike remote address 1 ***.***.141.4
ip tunnel mtu 1240
ip tunnel rip send on version 2
ip tunnel tcp mss limit auto
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.103.0/24 * * * *
ip filter 101004 pass * 192.168.103.0/24 icmp * *
ip filter 101005 pass * 192.168.103.0/24 established * *
ip filter 101006 pass * 192.168.103.0/24 tcp * ident
ip filter 101007 pass * 192.168.103.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.103.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.103.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.103.0/24 * * *
ip filter 101014 pass * 192.168.103.0/24 udp * ntp
ip filter 101015 pass * 192.168.103.0/24 udp ntp *
ip filter 101016 pass * 192.168.103.1 udp * 500
ip filter 101017 pass * 192.168.103.1 esp * *
ip filter 101018 pass * 192.168.103.1 udp * 1701
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.100.254
nat descriptor address inner 200 192.168.100.254 192.168.103.1-192.168.103.254
nat descriptor masquerade static 200 1 192.168.103.1 udp 500
nat descriptor masquerade static 200 2 192.168.103.1 esp
nat descriptor masquerade static 200 3 192.168.103.1 udp 1701
rip use on
ipsec auto refresh on
ipsec ike mode-cfg address pool 1 192.168.103.200-192.168.103.210/32
syslog debug on
telnetd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.103.2-192.168.103.99/24
dns server 192.168.100.1
dns server dhcp lan2
dns private address spoof on
httpd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
alarm entire off
sshd service on
sshd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
sshd host key generate *
sftpd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
#
書込番号:19446450
0点
デフォルトゲートウェイの設定が、復元されていませんよ。
HGWを経由して、インターネット接続する設定が、フィルタ型ルーティング設定を削除した時に、復元忘れかと思います。
※ ip route default gateway 192.168.100.1
↑ これを投入下さい。
192.168.100.1の後に、トンネルルートでのインターネット接続経路変更すると、フィルタ型ルーティングとなります。
ip route default gateway 192.168.100.1 filter 101082 101083 gateway tunnel 1
書込番号:19446531
0点
フィルタ型ルーティングを使う場合ですが、
フィルタコマンドとして、
ip filter 101082 pass * * udp * 500
ip filter 101083 pass * * esp * *
↑が先刻の参考例コマンドですが、
提示の現状コマンドですと、101082と101083のフィルタルールは既に使われていますので、
下記が、正規のコマンドになるかと存じます。
ip filter 101038 pass * * udp * 500
ip filter 101039 pass * * esp * *
ip route default gateway 192.168.100.1 filter 101038 101039 gateway tunnel 1
↑ が正規のコマンドになります。
書込番号:19446547
0点
>sorio-2215さん
※ ip route default gateway 192.168.100.1
↑を投入しインターネットに出られるようになったものの次の2コマンドでまた出られなくなりました。2コマンド削除してもまだ出られません。
またコンフィグ出しておきます。
ip routing process fast
ip route 192.168.0.0/24 gateway tunnel 1
ip route 192.168.101.0/24 gateway tunnel 1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.100.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
ip lan1 address 192.168.103.1/24
ip lan1 proxyarp on
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.100.254/24
ip lan2 mtu 1454
ip lan2 proxyarp on
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.103.1
ipsec ike local name 1 ipsec1 key-id
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 ***.***.141.4
ip tunnel mtu 1240
ip tunnel rip send on version 2
ip tunnel tcp mss limit auto
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.103.0/24 * * * *
ip filter 101004 pass * 192.168.103.0/24 icmp * *
ip filter 101005 pass * 192.168.103.0/24 established * *
ip filter 101006 pass * 192.168.103.0/24 tcp * ident
ip filter 101007 pass * 192.168.103.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.103.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.103.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.103.0/24 * * *
ip filter 101014 pass * 192.168.103.0/24 udp * ntp
ip filter 101015 pass * 192.168.103.0/24 udp ntp *
ip filter 101016 pass * 192.168.103.1 udp * 500
ip filter 101017 pass * 192.168.103.1 esp * *
ip filter 101018 pass * 192.168.103.1 udp * 1701
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.100.254
nat descriptor address inner 200 192.168.100.254 192.168.103.1-192.168.103.254
nat descriptor masquerade static 200 1 192.168.103.1 udp 500
nat descriptor masquerade static 200 2 192.168.103.1 esp
nat descriptor masquerade static 200 3 192.168.103.1 udp 1701
rip use on
ipsec auto refresh on
ipsec ike mode-cfg address pool 1 192.168.103.200-192.168.103.210/32
syslog debug on
telnetd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.103.2-192.168.103.99/24
dns server 192.168.100.1
dns server dhcp lan2
dns private address spoof on
httpd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
alarm entire off
sshd service on
sshd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
sshd host key generate *
sftpd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
#
書込番号:19446777
0点
デフォルトの「ip route default gateway 192.168.100.1」と、フィルタ型ルーティング付きのコマンドは、任意選択です。
ご利用のHGWの固有機能差にて、フィルタ型ルーティング付きの方は、うまくルーティング出来ないと言う事ですね。
フィルタ型ルーティングの方法は、利用出来ないと言う事ですね。
「ip route default gateway 192.168.100.1」を投入戻し下さい。
先刻のRIPのみでそれぞれHGWへのアクセスをお試し下さい。
書込番号:19446792
0点
「ip route default gateway 192.168.100.1 filter 101038 101039 gateway tunnel 1」
「ip filter 101038 pass * * udp * 500」、「ip filter 101039 pass * * esp * *」
↑のコマンドと、↓のコマンドは、任意選択で、一度コマンドを投入すると、上書きになると言うことです。
「ip route default gateway 192.168.100.1」
書込番号:19446808
0点
>sorio-2215さん
>「ip route default gateway 192.168.100.1」を投入戻し下さい。
>先刻のRIPのみでそれぞれHGWへのアクセスをお試し下さい。
上記実行による会社ルーターの状況
・インターネットに出られた
・VPNが復活した
・自宅HGWにはつながらない
つまり元に戻っただけでした。
書込番号:19446819
0点
AU側のHGWのモデルナンバーを教えて下さい。
フィルタ型ルーティングが出来ない事が、そもそもおかしい状態です。
「BL-900HW」ですか?
「BL-902HW」ですか?
書込番号:19446845
0点
>sorio-2215さん
auひかりはNTTとあまりに仕組みが違うのでサポートに確認したことがあります。
「何故IDとPWをどこにも入れていないのに接続されているのですか?」
回答はHGWのmacアドレスを使ってネット上で認識しているといった内容だったです。
今回の事象と関係あるでしょうか?
書込番号:19446939
0点
「BL-900HW」ですと、内部ファームウェア・バージョンの差によって、挙動が変わります。
確認ですが、ファームウェアが最新の1.4.6になっているかの確認願います。
更に、電話回線サービスの利用有無によってですが、例えば2回線・2番号の利用有無や、オプションのナンバーディスプレイやキャッチフォン、三者通話、転送電話サービスの利用有無によって、HGWの構成が変わる場合があります。
上記の電話サービスの関連がある場合、HGWのDMZ設定では、うまく通信が不安定になる場合があります。
DMZホストの設定ではなく、詳細設定→その他設定→IPSECパススルーにチェック投入しているかの確認と、DMZホストを無効化し、下記設定にて確認願います。
HGWの詳細設定→ポートマッピング設定にてVPNに必要条件のポート開放をお試し下さい。
@ LAN側ホスト(192.168.0.254)→プロトコル(UDP)→ポート番号(500〜500)→優先度(1)
A LAN側ホスト(192.168.0.254)→プロトコル(ESP)→優先度(2)
B LAN側ホスト(192.168.0.254)→プロトコル(UDP)→ポート番号(4500〜4500)→優先度(3)
C LAN側ホスト(192.168.0.254)→プロトコル(UDP)→ポート番号(1701〜1701)→優先度(4)
D LAN側ホスト(192.168.0.254)→プロトコル(その他、51)→優先度(5)
E LAN側ホスト(192.168.0.254)→プロトコル(TCP)→ポート番号(1723〜1723)→優先度(6)
F LAN側ホスト(192.168.0.254)→プロトコル(その他、47)→優先度(7)
G LAN側ホスト(192.168.0.254)→プロトコル(TCP)→ポート番号(80〜80)→優先度(8)
H LAN側ホスト(192.168.0.254)→プロトコル(TCP)→ポート番号(8080〜8080)→優先度(9)
LAN側静的ルーティング設定を投入
トップページ > 詳細設定 > 静的ルーティング設定 > エントリ一覧
宛先IP(192.168.101.0/24)→ゲートウェイ192.168.0.254
会社側HGWの設定も、DMZホスト設定では無く、上記の設定要素にて、確認出来れば良いのですが、残念ながらRT-500KIは、プロトコル番号でのポート開放設定は出来ない様です。
書込番号:19446971
0点
調べましたが、会社HGWにも特異点が有る点が有ります。
通常の電話サービス利用では、あり得ないのですが、DMZホスト設定とLAN側静的ルーティングの併用にて、IPベースとポートベースの転送を行うのは、王道なのですが、利用電話機能によって、DMZホスト機能(無効)→LAN側静的ルーティングのみの設定でなければ、安定しない場合が有るようです。
会社HGWのLAN側静的ルーティング
宛先IP(192.168.103.0/24)→宛先ゲートウェイ(192.168.100.254)→有効にチェック。
詳細設定→ 静的IPマスカレード設定にて、AU-HGWのポート開放事例を参考に解放設定を設定下さい。
プロトコル番号50、51、47番の転送は出来ないので、それ以外の設定
変換対象プロトコル(TCP及びUDP)→変換対象ポート(UDP500、4500、1701、TCP1723それぞれ)→ 宛先IPアドレス(192.168.100.254)→宛先ポート(UDP500、4500、1701、TCP1723それぞれ)
書込番号:19447025
0点
「auひかりはNTTとあまりに仕組みが違うのでサポートに確認したことがあります。」
「何故IDとPWをどこにも入れていないのに接続されているのですか?」
「回答はHGWのmacアドレスを使ってネット上で認識しているといった内容だったです。」
↑の件ですが、NTT系と違うのは、NTT系の場合イーサネットフレーム上にPPPフレームをカプセル化した認証情報を相互通信させ、各サイトネットワーク接続しているのに対し、KDDI系はPPPフレーム認証を経由せず、直接ダイレクトにKDDIのグローバルIP配信認証サーバから、認証IPを配布している回線です。
PPPカプセルしない分、それぞれのネットワーク接続のレスポンスの維持がしやすい回線になっております。
KDDIから直接認証機構を省略している分、HGWのWAN側MACアドレスとインターフェイス認証(802.11x認証)を設けている回線です。
基本論理としては、最終的にグローバルIPを配布しているのは、同じですので、接続方式の違いになります。
書込番号:19447315
1点
>sorio-2215さん
自宅は1回線。ナンバーディスプレイのみ契約。HGWの設定は変更しました。
会社の方は明日やります。
書込番号:19447560 スマートフォンサイトからの書き込み
0点
NTT-HGWの方の件ですが、プロトコル50、51、47番の転送設定が、静的IPマスカレード設定にて出来ない点が有りますが、RTX810ルーターの相互通信にて、NAT貫通出来るNAT-T(NATトラバーサル)設定にしていますので、NTT-HGWとAU-HGWの機能差を吸収出来る構成にしています。
NAT-Tの場合、UDP500番とUDP4500番の転送が出来るルーターであれば、IPSEC-VPNトンネル構成が出来る仕様になっております。
プロトコル番号50(ESP)、51(AH)、47(GRE)などの転送は出来ないルーターでも、可能と言う事です。
書込番号:19448307
0点
>sorio-2215さん
会社のHGWにて下記操作完了です。但し×の付いたものはやっていません。
・・・・
@ LAN側ホスト(192.168.0.254)→プロトコル(UDP)→ポート番号(500〜500)→優先度(1)
×A LAN側ホスト(192.168.0.254)→プロトコル(ESP)→優先度(2)
B LAN側ホスト(192.168.0.254)→プロトコル(UDP)→ポート番号(4500〜4500)→優先度(3)
C LAN側ホスト(192.168.0.254)→プロトコル(UDP)→ポート番号(1701〜1701)→優先度(4)
×D LAN側ホスト(192.168.0.254)→プロトコル(その他、51)→優先度(5)
E LAN側ホスト(192.168.0.254)→プロトコル(TCP)→ポート番号(1723〜1723)→優先度(6)
×F LAN側ホスト(192.168.0.254)→プロトコル(その他、47)→優先度(7)
G LAN側ホスト(192.168.0.254)→プロトコル(TCP)→ポート番号(80〜80)→優先度(8)
H LAN側ホスト(192.168.0.254)→プロトコル(TCP)→ポート番号(8080〜8080)→優先度(9)
LAN側静的ルーティング設定を投入
トップページ > 詳細設定 > 静的ルーティング設定 > エントリ一覧
宛先IP(192.168.101.0/24)→ゲートウェイ192.168.0.254
・・・・
2,5,7ができていないです。そのせいかどうか、HGWをブラウザから再起動させるボタンでは再起動不能でした。本体のハードウエアボタンを使いました。
で、状況ですが、会社から自宅のHGWは相変わらずアクセス不能です。
書込番号:19448755
0点
>sorio-2215さん
以下は会社のPCから自宅のnas(192.168.101.250)宛てのtracertの結果です。
1 <1 ms 2 ms <1 ms 192.168.103.1
2 17 ms 18 ms 18 ms 192.168.101.1
3 19 ms 18 ms 19 ms 192.168.101.250
ココにはHGWのIPアドレスが出ていませんが、これは正常なのですか?何となく今回のトラブルに関係あるような気がして・・。
よろしくお願いします。
書込番号:19448782
0点
自宅→会社へは、可能になったのでしょうか?
書込番号:19448902
0点
tracert数値が、NTT系で小さいのは、仕方有りません。
NTT側のMTUやMSS-Limit基準値は、KDDI系に比べて小さいので、現状としてはNTTとKDDI回線を同期させる設定としては、NTT網の限界値を超える設定が出来ないので、仕方有りません。
tracert値にて、Nexthopゲートウェイのルート確保されている状態にて、正常値です。
書込番号:19448919
0点
会社の静的IPマスカレードの設定が間違っていますよ。
@ LAN側ホスト(192.168.0.254)→プロトコル(UDP)→ポート番号(500〜500)→優先度(1)
×A LAN側ホスト(192.168.0.254)→プロトコル(ESP)→優先度(2)
B LAN側ホスト(192.168.0.254)→プロトコル(UDP)→ポート番号(4500〜4500)→優先度(3)
C LAN側ホスト(192.168.0.254)→プロトコル(UDP)→ポート番号(1701〜1701)→優先度(4)
×D LAN側ホスト(192.168.0.254)→プロトコル(その他、51)→優先度(5)
E LAN側ホスト(192.168.0.254)→プロトコル(TCP)→ポート番号(1723〜1723)→優先度(6)
×F LAN側ホスト(192.168.0.254)→プロトコル(その他、47)→優先度(7)
G LAN側ホスト(192.168.0.254)→プロトコル(TCP)→ポート番号(80〜80)→優先度(8)
H LAN側ホスト(192.168.0.254)→プロトコル(TCP)→ポート番号(8080〜8080)→優先度(9)
↑のLAN側ホストは、192.168.100.254へ差替えて下さい旨のメッセージ投稿済みでしたが。
以下、先刻のメッセージ一部ですが。
変換対象プロトコル(TCP及びUDP)→変換対象ポート(UDP500、4500、1701、TCP1723それぞれ)→ 宛先IPアドレス(192.168.100.254)→宛先ポート(UDP500、4500、1701、TCP1723それぞれ)
書込番号:19448936
0点
会社のHGW(192.168.100.0/24)、会社のRTX810ルーター(192.168.103.0/24)ですので、会社HGWの静的IPマスカレード登録は、RTX810ルーターのWAN側セグメントIPへの転送でなければ、転送条件になりません。
書込番号:19448943
0点
>sorio-2215さん
単なるコピペの貼り間違いでした。すべての行でキチンと「192.168.100.254」としています。
で 自宅→会社HGW、会社→自宅HGW 両方ともアクセス不能です。
よろしくお願いします。
書込番号:19448999
0点
確認ですが、それぞれの拠点RTX810ルーターの「show arp」にて、ARP情報を教えて頂けますか?
書込番号:19449127
0点
会社
カウント数: 7
インタフェース IPアドレス MACアドレス TTL(秒)
LAN2 192.168.100.1 :36:53:4b:cb 1198
LAN1(port1) 192.168.103.2 fd:28:3f:da 1193
LAN1(port1) 192.168.103.3 :87:81:69:34 1133
LAN1(port1) 192.168.103.4 98:77:8e:b2 1193
LAN1(port1) 192.168.103.100 42:7e:13:c0 1082
LAN1(port1) 192.168.103.250 3f:d5:27:a6 513
LAN1 192.168.103.253 74:fe:cd:20 338
#
自宅
カウント数: 9
インタフェース IPアドレス MACアドレス TTL(秒)
LAN2 192.168.0.1 a2:3b:3d:a4 1071
LAN1(port4) 192.168.101.3 3c:b1:72:65 74
LAN1(port4) 192.168.101.4 6:d8:f6:a4 1147
LAN1(port4) 192.168.101.7 69:28:0e:03 1150
LAN1(port4) 192.168.101.100 5:9f:c8:8e 1125
LAN1 192.168.101.101 7:fd:84:6a 824
LAN1(port4) 192.168.101.103 c7:fd:43:9e 1169
LAN1(port4) 192.168.101.200 45:43:2e:8a 1087
LAN1(port4) 192.168.101.250 73:fb:c4:e8 1155
書込番号:19449405
0点
>sorio-2215さん
現在の問題とズレますが質問です。
LAN1 192.168.101.101 MACアドレス 824
先ほど開示したARPの自宅に上のような情報がありました。他のデバイスにはある(PORT4)がこのデバイスにはないですね。
実はこのデバイス、別のトラブルを抱えているのです。(PORT4)がないことはどんな意味があるのですか?
よろしくお願いします。
書込番号:19449419
0点
双方のHGWのIPのMACアドレスが、おかしいです。
確認ですが、それぞれのHGWに一時的に端末接続して、Windowsのファイルを指定して実行→cmdにて、DOSプロンプトを表示→コマンドから、arp -a を実行頂けますが?
表示されたそれぞれのIP(会社192.168.100.1、自宅192.168.0.1)のそれぞれのMACアドレスを静的ARPエントリ登録する方法をRTX810へ反映して欲しいのですが。
会社側RTX810ルーターのコマンド
ip lan2 arp static 192.168.100.1 (NTT-HGWのMACアドレス)
自宅側RTX810ルーターのコマンド
ip lan2 arp static 192.168.0.1 (AU-HGWのMACアドレス)
MACアドレスの部分は、**:**:**:**:**:** 形式で登録します。 (:で区切るのが通例です。)
どうも、それぞれのHGWの機能として、LAN側へARPリクエストの応答機能に問題が有る様です。
更に、先刻登録しましたLAN2側へARP代理応答させるコマンドの消去を、それぞれのRTX810ルーターへお願いします。
※ no ip lan2 proxyarp on
「先ほど開示したARPの自宅に上のような情報がありました。他のデバイスにはある(PORT4)がこのデバイスにはないですね。」
「実はこのデバイス、別のトラブルを抱えているのです。(PORT4)がないことはどんな意味があるのですか?」
↑の件ですが、Port4番目にカスケード接続のスイッチングハブ若しくは、無線ルーター(APモード)経由で、何らかの端末接続をしていませんでしょうか?
書込番号:19449553
0点
ARP取得情報がおかしいと言うことは、LANケーブルの品質が良くない・要求しますカテゴリレベルの周波数帯域が無い等の要素も考えられます。
確認ですが、それぞれの拠点の回線終端装置からHGW、HGWからRTX810までのLANケーブルは、CAT6(8極8芯、単線・ストレート、500Mhz)などの品質レベルのケーブルは利用されていますか?
8極4芯の250Mhz以下の周波数帯のケーブル利用ですと、何らかの通信障害等けんしゅつされても仕方ない現象かと考えます。
書込番号:19449585
0点
>sorio-2215さん
macアドレスは前半部分を消しています。伏字にすれば良かったですね。スミマセン。
書込番号:19449587 スマートフォンサイトからの書き込み
0点
RTX810にそれぞれのHGWの静的ARPエントリ設定をしましたら、それぞれの拠点からHGWへアクセスをお試し下さい。
書込番号:19449619
0点
静的ARPエントリの設定方法になると、何らかの要因にてHGWが故障した際に、登録変更が必要です。
書込番号:19449791
0点
両方にmacアドレス投入しました。しかしHGWにはアクセスできません。
自宅分コンフィグ
ip routing process fast
ip route default gateway 192.168.0.1
ip route 192.168.100.0/24 gateway tunnel 1
ip route 192.168.103.0/24 gateway tunnel 1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
ip lan1 address 192.168.101.1/24
ip lan1 proxyarp on
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.0.254/24
ip lan2 mtu 1492
ip lan2 nat descriptor 200
ip lan2 arp static 192.168.0.1 一部伏字:3d:a4
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:DHCP
provider ntpdate ntp.nict.jp
pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin ***.***.
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.101.1
ipsec ike local id 1 192.168.101.1/24
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ***.***.
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1 key-id
ip tunnel mtu 1240
ip tunnel rip send on version 2
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text ***.***.
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.101.0/24 * * * *
ip filter 101004 pass * 192.168.101.1 udp * 4500
ip filter 101005 pass * 192.168.101.1 udp * 1701
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.101.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.101.1 udp * 500
ip filter 101081 pass * 192.168.101.1 esp * *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.101.1-192.168.101.254
nat descriptor masquerade static 200 1 192.168.101.1 udp 500
nat descriptor masquerade static 200 2 192.168.101.1 esp
nat descriptor masquerade static 200 3 192.168.101.1 udp 1701
nat descriptor masquerade static 200 4 192.168.101.1 udp 4500
rip use on
ipsec auto refresh on
ipsec ike mode-cfg address pool 1 192.168.101.200-192.168.101.210/32
ipsec transport 2 2 udp 1701
syslog debug on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.101.2-192.168.101.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on
httpd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
alarm entire off
#
書込番号:19449839
0点
会社側コンフィグ
ip routing process fast
ip route default gateway 192.168.100.1
ip route 192.168.0.0/24 gateway tunnel 1
ip route 192.168.101.0/24 gateway tunnel 1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.100.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
ip lan1 address 192.168.103.1/24
ip lan1 proxyarp on
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.100.254/24
ip lan2 mtu 1454
ip lan2 nat descriptor 200
ip lan2 arp static 192.168.100.1 一部伏字53:4b:cb
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.103.1
ipsec ike local name 1 ipsec1 key-id
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ***.***.
ipsec ike remote address 1 ***.***.141.4
ip tunnel mtu 1240
ip tunnel rip send on version 2
ip tunnel tcp mss limit auto
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.103.0/24 * * * *
ip filter 101004 pass * 192.168.103.0/24 icmp * *
ip filter 101005 pass * 192.168.103.0/24 established * *
ip filter 101006 pass * 192.168.103.0/24 tcp * ident
ip filter 101007 pass * 192.168.103.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.103.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.103.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.103.0/24 * * *
ip filter 101014 pass * 192.168.103.0/24 udp * ntp
ip filter 101015 pass * 192.168.103.0/24 udp ntp *
ip filter 101016 pass * 192.168.103.1 udp * 500
ip filter 101017 pass * 192.168.103.1 esp * *
ip filter 101018 pass * 192.168.103.1 udp * 1701
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.100.254
nat descriptor address inner 200 192.168.100.254 192.168.103.1-192.168.103.254
nat descriptor masquerade static 200 1 192.168.103.1 udp 500
nat descriptor masquerade static 200 2 192.168.103.1 esp
nat descriptor masquerade static 200 3 192.168.103.1 udp 1701
rip use on
ipsec auto refresh on
ipsec ike mode-cfg address pool 1 192.168.103.200-192.168.103.210/32
syslog debug on
telnetd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.103.2-192.168.103.99/24
dns server 192.168.100.1
dns server dhcp lan2
dns private address spoof on
httpd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
alarm entire off
sshd service on
sshd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
sshd host key generate *
sftpd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
#
書込番号:19449848
0点
会社側RTX810ルーターのNAT-Tの静的IPマスカレード設定が無くなってますよ。
※ nat descriptor masquerade static 200 4 192.168.103.1 udp 4500
↑ 登録し直し下さい。
本来の趣旨では、自宅側RTX810ルーターの「nat descriptor masquerade static 200 2 192.168.101.1 esp」と、会社側RTX810ルーターの「nat descriptor masquerade static 200 2 192.168.103.1 esp」は不要なのですが。(残しておいても、差し支え有りません。 通信されないだけです)
それぞれのアクセスしてます、端末のARPキャッシュを削除・ブラウザの一時ファイルを全て削除し、再度確認下さい。
Windowsパソコンでしたら、DOSプロンプトにて、「arp -d *」を実行下さい。
静的なARP登録をしても、アクセス出来ないと言う事は、HGWのインターフェイスの問題、ARP払い出し機能の問題しか残らないかと存じます。
当方のAU-HGWでは、同一機器にて正常応答、 PR-500系PR-400系、RT-400系RT-300系では経験上問題無かった記憶があります。
書込番号:19449892
0点
それぞれのHGWのARP情報での応答問題となると、HGWの不具合若しくは、接続LAN施設ケーブルの損失や結線不良なども想定されます。
LANケーブルテスターなどは、お持ちではありませんでしょうか?
一度、NTTとKDDIのレンタル機器サポート部署へ確認する形になるかもしれません。
書込番号:19449896
0点
HGWの特定プロバイダの組み合わせでのファームウェア問題も捨てきれません。
次の策のL2TPv3-VPNのConfigイメージは出来ておりますが、先ずはHGWの挙動確認が優先かと考えます。
書込番号:19449965
0点
>sorio-2215さん
nat descriptor masquerade static 200 4 192.168.103.1 udp 4500
上記投入。ARPクリア。しかし自宅→会社HGWダメですね。今は会社へは行けません。
ケーブル不良は考えにくいです。1Gかそれ以下かをハブのLEDが教えてくれます。全てのケーブルが1Gなのを確認済みです。
HGW不良はNTTとauが同時に不良なのですか?確率からありそうにないですよね。
私はNTTとauどちらのサポートにも「今回のようなアクセスは技術的に無理」「やりたいのならケーブルを都度抜き挿ししろ」と断言されています。しかしネットワークなのだからそんなはずはないだろうと思って質問しています。
やれることがあればやります。よろしくお願いします。
書込番号:19450007
0点
「HGW不良はNTTとAUが同時に不良なのですか?確率からありそうにないですよね。」
↑ 機械的な不良というより、接続プロバイダとプロバイダ接続機能に対する、ルーター搭載OSの問題の要素が想定されたのですが。
以前有ったのですが、アライドテレシス製ルーターとSoftbank系回線HGWのVPN機能設定の際に、HGWの特定ファームウェアの問題で、HGWから払い出しMACアドレスと実通信MACアドレスが違うものが払い出しされる問題や、MACアドレスの払い出しされないので、そのMACアドレス引き当てのIPアドレス逆引きアクセスが出来ない問題が有った記憶があります。
その際に、Softbankの側でβファームウェアの適用を促された記憶が有ります。
YamahaルーターでのARPステータス確認でも、HGWのMACアドレス逆引きが出来ている性質上、HGWの挙動しか無い状態になります。
IPSECトンネルのアクセスでの端末には、仮想的に会社IPアドレスをプールし、会社・自宅RTX810ルーターの同一LANに同一化させる設定もしていますし、その同一LAN-IPからのアクセスを受け付けない動作自体は、RTX810のConfigとは、外れる動作になっています。
会社端末から、NTT-HGWへはアクセス出来るのですよね?
自宅端末から、AU-HGWへはアクセス出来るのですよね?
再度確認ですが、それぞれのHGWのARP動作だけのプロセスになっているかと判断しておりますが、HGWのハードウェア・リセット(ソフトウェア・リセットでは無く)後に、設定の復元では無く、逐一再設定は可能でしょうか?
ハードウェア・リセット時に、HGWの内部留保のARP情報のクリアが出来れば良いのですが。
書込番号:19450088
0点
>sorio-2215さん
>会社端末から、NTT-HGWへはアクセス出来るのですよね?
>自宅端末から、AU-HGWへはアクセス出来るのですよね?
はい。どちらもできますよ。HGWとRTXのケーブルは直結です。1本しか使いません。
> 再度確認ですが、それぞれのHGWのARP動作だけのプロセスになっているかと判断しておりますが、
>HGWのハードウェア・リセット(ソフトウェア・リセットでは無く)後に、設定の復元では無く、逐一再設定は可能でしょうか?
> ハードウェア・リセット時に、HGWの内部留保のARP情報のクリアが出来れば良いのですが。
【明示的な手順を一度に示してもらえれば】できると思います。今まではあーでもないこーでもないとやってきましたが、手順書的なものがあり、それを一気にやってしまえば半日かからないでしょう。
書込番号:19450154
0点
セキュリティ上・通信安定性上、どうかと言う話になりますが、RTX810ルーターの静的ルーティングを変更して、お試し下さい。
会社側RTX810ルーター
「no ip route 192.168.101.0/24 gateway tunnel 1」
「no ip route 192.168.0.0/24 gateway tunnel 1]
「ip route 192.168.101.0/16 gateway tunnel 1」
自宅側RTX810ルーター
「no ip route 192.168.100.0/24 gateway tunnel 1」
「no ip route 192.168.103.0/24 gateway tunnel 1」
「ip route 192.168.103.0/16 gateway tunnel 1」
それぞれ、3行目のコマンドにて、サブネットレベルで第2オークテットまでの検疫で、ルーティングさせる方法に変更してあります。
HGWの設定変更前に、確認願います。
書込番号:19450964
0点
>sorio-2215さん
会社側RTXに第一行目を投入した直後にアクセス不能になりましたので会社に行って続きをやります。
自宅の方は投入完了です。
その後HGWをどうするのですか?
書込番号:19450995
0点
HGWについては、お待ち下さい。
なるべくHGWの設定は、光電話機能に関係していますので、時間を要す話になるかと考えます。
Yamaha系やアレクソン系光電話ゲートウェイとは違い、NTT系光電話のSIP-NAT周り、インターネットNAT変換周りのプロセスも有りますので。
書込番号:19451089
0点
静的ルーティングの設定をしましたら、それぞれの拠点の回線終端装置、HGWからRTX810、無線LANルーターの電源OFF→ONをかけることを推奨します。
それぞれの機器のMACエイジング機能やARP周りの問題も有りますので、先ずは自宅回線終端装置の電源OFF→ON、AU-HGWの電源OFF→ON、RTX810ルーターの電源OFF→ON、無線ルーターの電源OFF→ONと言った具合に、機器の再起動を実施下さい。
その後、会社ネットワーク周りの電源OFF→ONを確認下さい。
書込番号:19451093
0点
>sorio-2215さん
各種機器の電源再投入を指示通りの順番で自宅・会社で完了。
状況に変化なしです。
書込番号:19451271
0点
それぞれのRTX810ルーターのコマンドにて、「show arp」の検出に変化が有るか確認下さい。
それと、自宅アクセスのWindows端末などから、「arp -s 192.168.100.1 (NTT-HGWのMACアドレス)」のDOSプロンプト実行にて、HGWへのアクセス可能か、確認下さい。
逆に会社のWindows端末から、「arp -s 192.168.0.1 (AU-HGWのMACアドレス)」コマンド実行後に、AU-HGWへのアクセスを確認してみて下さい。
書込番号:19451888
0点
※macアドレスは一部削除しています
自宅RTX
カウント数: 12
インタフェース IPアドレス MACアドレス TTL(秒)
LAN2 192.168.0.1 2:3b:3d:a4 permanent
LAN1(port4) 192.168.101.2 87:81:69:34 1146
LAN1(port4) 192.168.101.3 c:b1:72:65 1104
LAN1(port4) 192.168.101.4 76:d8:f6:a4 1121
LAN1(port4) 192.168.101.5 :e4:1d:34:73 1144
LAN1(port4) 192.168.101.6 98:77:8e:b2 1164
LAN1(port4) 192.168.101.7 69:28:0e:03 1168
LAN1 192.168.101.8 77:e1:57:d6 879
LAN1(port4) 192.168.101.100 :d5:9f:c8:8e 1134
LAN1(port4) 192.168.101.102 c7:06:6c:00 1141
LAN1(port4) 192.168.101.103 c7:fd:43:9e 1198
LAN1(port4) 192.168.101.200 :45:43:2e:8a 1103
会社RTX
カウント数: 5
インタフェース IPアドレス MACアドレス TTL(秒)
LAN2 192.168.100.1 :36:53:4b:cb permanent
LAN1(port1) 192.168.103.2 :fd:28:3f:da 1051
LAN1(port1) 192.168.103.100 42:7e:13:c0 56
LAN1(port1) 192.168.103.250 :3f:d5:27:a6 867
LAN1(port1) 192.168.103.253 :74:fe:cd:20 684
書込番号:19452181
0点
>sorio-2215さん
arp -s 192.168.100.1 一部伏字:53:4b:cb
を自宅PCのDOS窓から投入しましたがmacアドレス部分が「無効な引数」となりました。macアドレス部分は会社RTXのコンフィグから該当部分をコピペしたものです。実際にHGWを見た訳でないですが、macアドレスは昨日と同じはずですよね?
書込番号:19452205
0点
192.168.0.1、192.168.100.1それぞれのARP情報が、permanentになっていますので、静的ARP機能設定は、キチンと動作しています。
アクセスします、クライアント側でARPの引き当てが出来ていない状況の様です。
それぞれの拠点のRTX810ルーターには、LAN1側へProxyARP機能が稼働していますので、LAN1側と同一セグメントを構成します、IPSEC-VPN(NAT-T)であれば、ARP取得としては問題無い筈です。
念のため、会社側 「no nat descriptor masquerade static 200 2 192.168.103.1 esp」、自宅側 「no nat descriptor masquerade static 200 2 192.168.101.1 esp」にて、ESPパケットを利用しない形にしていただけますでしょうか。
どうも、クライアント側のARPステータス取得に、問題が有る様です。
少し調べましたが、Norton360がインストールしている環境にて、ARP取得の問題が出ている様で、Norton360のファイアーウォール機能だけの問題では無く、ソフトウェア稼働を停止しても、正常通信出来ない問題が有る様です。
Norton360の一時アンインストール、Norton以外に以前、セキュリティソフトなどの適用が有った条件でしたら、そのセキュリティソフトをレジストリレベルで、検索・削除が必要になる可能性があります。
アンインストールツールには、「iobit uninstaller 5.0」が良いかと考えます。
※ http://jp.iobit.com/free/iou.html
その他ファイアーウォール関係のソフトが、メーカー製PCですと初期パッケージとして適用されている場合も有りますが、それも検疫対象となります。
それと、L2TPv3-VPN構成イメージの件ですが、L2TPv3トンネルですと、既存のHGWのIPも同一のセグメントとして構成しなければいけない条件となりますので、その際にNAT稼働周りの条件の精査が必要になるので、下記の様な構成が可能か、確認中です。
会社側HGW(IP192.168.100.1/24、PPPOE接続、DHCP有、DMZ及び静的IPマスカレード無し、静的ルーティング無し)→RTX810(LAN2利用しない、LAN1でのL2TPv3トンネル構成、LAN1アドレスIP192.168.100.254/24、DHCP機能無し)。
自宅側HGW(IP192.168.100.2/24、DHCP無し、DMZ及び静的IPマスカレード無し、静的ルーティング無し)→RTX810(LAN2利用しない、LAN1でのL2TPv3トンネル構成、LAN1アドレスIP192.168.100.253/24、DHCP機能無し)
要は、L2TPv3-VPNですと、全てのIPアドレス管理が、会社側HGWのDHCP機能に依存する設定が可能かどうか、確認中となります。
双方とも、HGWのアクセスが可能となると、HGWでのインターネットアクセス機能は外せない条件、RTX810のNAT機能は利用せず、VPN機能のみハブモードで利用する形が可能かどうかを判断しています。
書込番号:19452910
0点
すいません。 下記文言誤入力になります。
要は、L2TPv3-VPNですと、全てのIPアドレス管理が、会社側HGWのDHCP機能に依存する設定が可能かどうか、確認中となります。
↓
要は、L2TPv3-VPNですと、全てのIPアドレス管理が、自宅側HGWのDHCP機能に依存する設定が可能かどうか、確認中となります。(グローバルIPの関係上)
書込番号:19452915
0点
>sorio-2215さん
自宅ではNorton系のソフトは使っていないです。ですから自宅から会社へのアクセスができない理由にはなり得ません。
しかしアバストは使っていますからそれが原因と言われると否定できないですかね。
書込番号:19452958 スマートフォンサイトからの書き込み
0点
>sorio-2215さん
>>念のため、会社側 「no nat descriptor masquerade static 200 2 192.168.103.1 esp」、自宅側 「no nat descriptor masquerade static 200 2 192.168.101.1 esp」にて、ESPパケットを利用しない形にしていただけますでしょうか。
上記投入済。状況に変化なし。
例のレジストリ削除ソフト試してみますか?
書込番号:19453019
0点
L2TPv3トンネルのConfigイメージ投稿します。
自宅側RTX810ルーター
ip routing process fast
ip route default gateway 192.168.0.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.1/24
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.0.254/24
ip lan2 mtu 1492
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:DHCP
provider ntpdate ntp.nict.jp
pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin ***.***.
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.100.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ***.***.
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-1
l2tp syslog on
l2tp local router-id 192.168.100.1
l2tp remote router-id 192.168.100.2
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text ***.***.
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.101.0/24 * * * *
ip filter 101004 pass * 192.168.101.1 udp * 4500
ip filter 101005 pass * 192.168.101.1 udp * 1701
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.101.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.101.1 udp * 500
ip filter 101081 pass * 192.168.101.1 esp * *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.100.1-192.168.100.254
nat descriptor masquerade static 200 1 192.168.100.1 udp 500
nat descriptor masquerade static 200 2 192.168.100.1 esp
nat descriptor masquerade static 200 3 192.168.100.1 udp 1701
nat descriptor masquerade static 200 4 192.168.100.1 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 2 2 udp 1701
syslog debug on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on l2tpv3
httpd host 192.168.100.2-192.168.100.254
alarm entire off
書込番号:19453069
0点
会社側RTX810ルーターのL2TPv3トンネル・イメージです。
ip routing process fast
ip route default gateway 192.168.99.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.99.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.2/24
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.99.254/24
ip lan2 mtu 1454
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.100.2 ***.***.***.*** (AUグローバルIP)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.100.2
ipsec ike local name 1 ipsec1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ***.***.
ipsec ike remote address 1 ***.***.***.*** (AUグローバルIP)
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-2
l2tp syslog on
l2tp local router-id 192.168.100.2
l2tp remote router-id 192.168.100.1
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.103.0/24 * * * *
ip filter 101004 pass * 192.168.103.0/24 icmp * *
ip filter 101005 pass * 192.168.103.0/24 established * *
ip filter 101006 pass * 192.168.103.0/24 tcp * ident
ip filter 101007 pass * 192.168.103.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.103.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.103.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.103.0/24 * * *
ip filter 101014 pass * 192.168.103.0/24 udp * ntp
ip filter 101015 pass * 192.168.103.0/24 udp ntp *
ip filter 101016 pass * 192.168.103.1 udp * 500
ip filter 101017 pass * 192.168.103.1 esp * *
ip filter 101018 pass * 192.168.103.1 udp * 1701
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.100.2 udp 500
nat descriptor masquerade static 200 2 192.168.100.2 esp
nat descriptor masquerade static 200 3 192.168.100.2 udp 1701
nat descriptor masquerade static 200 4 192.168.100.2 udp 4500
rip use on
ipsec auto refresh on
syslog debug on
telnetd host 192.168.100.2-192.168.100.254
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.103.2-192.168.103.99/24
dns server 192.168.100.1
dns server dhcp lan2
dns private address spoof on
httpd host 192.168.100.2-192.168.100.254
l2tp service on l2tpv3
alarm entire off
sshd service on
sshd host 192.168.100.2-192.168.100.254
sshd host key generate *
sftpd host 192.168.100.2-192.168.100.254
書込番号:19453076
0点
L2TPv3トンネルのイメージですが、会社側のRTX810ルーターのIPを192.168.100.2/24にして(DHCP機能無効)、会社側HGWのIPを192.168.99.1/24(DHCP有で構いません、DMZホストに192.168.99.254)の構成をイメージしております。
よって、会社HGWのIPを192.168.99.1へ変更+DMZホスト192.168.99.254へして下さい。
DHCP機能でのIPアドレスは、自宅RTX810ルーターから自動付帯されるイメージになります。
それぞれの拠点のRTX810ルーターのWANポートは、そのまま利用するイメージになります。
よって、それぞれの拠点のネットワーク端末は、192.168.100.***/24、デフォルトゲートウェイ192.168.100.1(自宅RTX810ルーターIP)または192.168.100.2(会社RTX810ルーターIP)を指定、プライマリDNSも192.168.100.1または192.168.100.2を指定設定して下さい。
それと、先ほどの自宅RTX810ルーターのDHCPアドレスが間違っていました。
正規には、「dhcp scope 1 192.168.100.3-192.168.100.99/24」、「httpd host 192.168.100.3-192.168.100.254」になります。
併せて、会社側の下記コマンド誤入力です。
no dhcp service server
no dhcp server rfc2131 compliant except remain-silent
no dhcp scope 1 192.168.103.2-192.168.103.99/24
↑ 上記にて、設定消去下さい。(DHCP機能は、自宅側RTX810ルーターのDHCP範囲となります)
「telnetd host 192.168.100.3-192.168.100.254」、「httpd host 192.168.100.3-192.168.100.254」、「sftpd host 192.168.100.2-192.168.100.254」 を投入下さい。
書込番号:19453107
0点
先刻の説明、誤入力です。
(誤) 併せて、会社側の下記コマンド誤入力です。 以下
↓
(正) 併せて、自宅側の下記コマンド誤入力です。
書込番号:19453130
0点
L2TPv3トンネル構成での、会社RTX810ルーターのDNSサーバの設定ですが、誤入力です。
正しいのは、「dns server 192.168.100.1」ではなく、「dns server 192.168.100.2」です。
書込番号:19453327
0点
コマンド内容を見て頂ければ、解るかと思いますが、L2TPv3-VPNの場合、それぞれの拠点にARP応答(ProxyARP)しセグメント中継する必要が無く、同一セグメントとしてVPN構成するための方法です。
その代わり、それぞれの接続端末・ネットワーク機器のIPアドレスを衝突しないIPにする必要があります。
書込番号:19453603
0点
>sorio-2215さん
よく飲み込めていないので質問します。
今まで作ってきた構成はどのように変更していくのですか?イメージとして各拠点のコンフィグ案?を提示していますが、その中の「各行」をコマンドとして投入していくのでしょうか?
よろしくお願いします。
書込番号:19453761
0点
簡単な話ですが、全てのコマンドを投入していくのですが、L2TPv3-VPNトンネルの大幅な構成変更ですので、簡易Webメニューからの設定は、RTX810の場合には、対応していません。
LAN1をブリッジングし、L2TPv3用のトンネルと関連づけする設定などは、Webからではなく、コマンド投入していく形になります。
RTX810の初期化からやった方が良いのですが、IPアドレスの管理方法などのモードの設定も一部有りますので、Telnet(シリアルポート経由)からのコマンド投入した方が早いです。
Telnetからのコマンド投入には、フリーソフトの「TeraTerm」を利用し、TeraTermのCOMポート接続からコマンドを全て指定して投入すれば、IPアドレスでのコマンド投入では出来ない投入コマンドが、一括で可能です。
設定参考例・・ http://jp.yamaha.com/products/network/solution/vpn/connect/vpn-connect-l2tpv3_ipsec-rtx1200/
設定参考例A・・ http://www.rtpro.yamaha.co.jp/RT/docs/l2tpv3/
確認ですが、ご利用のパソコンには、シリアルポートは有りませんでしょうか?
シリアルポートが有れば、そのシリアルポートに、シリアルケーブル(クロス・9pin)にて、RTX810のシリアルポートを接続すれば、上記のソフトにて通信可能な筈です。
パソコンにシリアルポートが無い場合には、別途USB・シリアル変換アダプタ(32・64bit兼用)が併せて必要かと考えます。
※ Ratoc製「REX-USB60F」、IODATA製「USB-RSAQ6」
書込番号:19453918
0点
念のため申し上げますが、L2TPv3トンネルは、複数拠点のIP体系を同一化し、同一セグメントとして接続するため、VPN本拠点のRTX810ルーターのDHCPサーバ機能を、他拠点のDHCP機能としても利用する構成になります。
同一セグメントでのIPアドレス管理のため、静的ルーティングやARP転送などを考慮する必要は有りませんが、本拠点のDHCPサーバの障害や、挙動変更が有った場合に、他拠点の端末のDHCP自動取得が出来ないモード(固定では可能)となる構成になります。
要は、VPNトンネル経由で、DHCP機能を支店にも効かせる構成とイメージ下さい。
中身は、DHCPリレーエージェントに近い機能ですが。
※ http://www.rtpro.yamaha.co.jp/RT/FAQ/TCPIP/dhcp-relay.html
書込番号:19453947
0点
>sorio-2215さん
説明を読んでの懸念があります。仮に自宅のDHCP機能を持ったルーターがダウンした場合は会社でのインターネット接続が不能になりますね?常に私が対応できるとは限りませんからこのような可能性をもった構成は受け入れられません。
現在の構成なら自宅でも会社でもどちらかダウンしても影響の範囲は限定的です。しかしご提案の構成では前述した事態が懸念されます。
以上から今回のご提案は採用できないです。どうもすみません。
求める要件
・自宅と会社それぞれのネットワークの不調がそのネットワーク内だけに収まること
もしもこの要件を満たせないのであれば、現構成への不満は相手方のHGWに接続できないことだけですから、そこを我慢するのはやむを得ないかな?と考えています。
よろしくお願いします。
書込番号:19455491
0点
会社でのインターネット接続がダウンすると言うことではありませんよ。
DHCPのみ機能しないと言う事になりますので、固定でIPアドレスを端末にしておけばOKです。
会社のインターネット接続の際の固定IPの設定は、先刻の通り192.168.100.***/24、デフォルトゲートウェイ192.168.100.2、プライマリDNS192.168.100.2と設定すれば、OKと言う事です。
インターネット接続まで、自宅経由すると言う事では有りません。
VPNのみ、自宅・会社間をL2スイッチレベルで接続する構成ですので、機器間の接続相性やNATにまつわる不整合問題を回避出来る方法です。
要は、会社での有線LAN端末は予め固定IP設定、スマホやモバイル端末については、特定ESS-ID宛てに接続しましたその接続設定情報のIPアドレス取得方法を、DHCP自動取得では無く、STATIC設定で固定IP設定にするだけです。
他会社で利用されています、FAX複合機やNAS、特定端末は固定IPにされていますよね?
書込番号:19455507
0点
L2TPv3-VPNトンネル構成を採用するかどうかは、一度設定してみて満足いくレベルかどうか、判断されてからでも遅くは無いかと考えます。
今までのConfigデータは、バックアップしておけば、復元は容易です。
書込番号:19455510
0点
先刻の対話の通り、L2TPv3/IPSECはRTX810では、Rev.11.01.21以降のファームウェアで対応しております。
ただし、最新ファームウェア適用でのL2TPv3/IPSECの稼働設定条件として、未だ簡易Webメニューからの設定は出来ないので、Telnetコンソールからの設定になります。
簡易Webメニューからのコマンド実行では、一部機能制限が有り、IPアドレスベースでログイン可能な端末から、コマンド投入できる機能になっておりますので、今回のようにIPアドレスにトンネルを関連づけする設定と言ったConfig投入は、出来ないと考えた方が良いかと存じます。
当方のイメージでは、完全なL2レベルで自宅・会社間のVPNを構成可能とする設定ですので、HGWへのアクセスもすんなりいくかと考えます。
書込番号:19455520
0点
>sorio-2215さん
インターネットにアクセス不能になると思っていました。そうでないのならば受け入れられますね。
また各端末を固定IPにするのも問題ないです。シリアル変換ケーブルはFAXモデムに使っていますからすぐにでも始められますよ。
しかし疑問がまだあります。なぜコマンド入力でできないことがシリアルケーブル経由だとできるのでしょうか?単にテキストを送っているだけでないですか?
書込番号:19455643
0点
簡易Webメニューから出来るのは、自身IPを含まない設定のみになりますので、L2TPv3/IPSECの様な、ルーター自身のIPを変更し、ブリッジングをかけるような設定は、出来ないと思った方が良いです。
簡易Webメニュー表示は、ブラウザからルーター自身IPを参照していますよね?
シリアルポートの接続コンソール設定は、IPネットワーク網からの投入では無い為です。
念のためですが、接続シリアルケーブルは、クロスタイプでなければ正常通信出来ません。
各端末の固定IPに関しましては、先刻の話の通り、自宅・会社とそれぞれ192.168.100.***/24のなりますので、衝突しないIPを設定下さい。
固定IP設定の際、自宅端末はデフォルトゲートウェイ192.168.100.1、プライマリDNS192.168.100.1、会社端末の場合デフォルトゲートウェイ192.168.100.2、プライマリDNS192.168.100.2と設定下さい。
先日のConfigイメージですと、会社から自宅HGWのアクセスは192.168.0.1、自宅から会社HGWのアクセスは192.168.99.1のイメージになります。
書込番号:19455670
0点
正式・自宅RTX810ルーター、Configになります。
自宅分コンフィグ
ip routing process fast
ip route default gateway 192.168.0.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.1/24
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.0.254/24
ip lan2 mtu 1492
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:DHCP
provider ntpdate ntp.nict.jp
pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin ***.***.
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.100.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ***.***.
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-1
l2tp syslog on
l2tp local router-id 192.168.100.1
l2tp remote router-id 192.168.100.2
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text ***.***.
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.101.0/24 * * * *
ip filter 101004 pass * 192.168.101.1 udp * 4500
ip filter 101005 pass * 192.168.101.1 udp * 1701
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.101.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.101.1 udp * 500
ip filter 101081 pass * 192.168.101.1 esp * *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.100.1-192.168.100.254
nat descriptor masquerade static 200 1 192.168.100.1 udp 500
nat descriptor masquerade static 200 2 192.168.100.1 esp
nat descriptor masquerade static 200 3 192.168.100.1 udp 1701
nat descriptor masquerade static 200 4 192.168.100.1 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 2 2 udp 1701
syslog debug on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.3-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on l2tpv3
httpd host 192.168.100.3-192.168.100.254
alarm entire off
書込番号:19455953
0点
正式、会社RTX810ルーターConfigになります。
ip routing process fast
ip route default gateway 192.168.99.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.99.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.2/24
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.99.254/24
ip lan2 mtu 1454
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.100.2 ***.***.***.*** (AUグローバルIP)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.100.2
ipsec ike local name 1 ipsec1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ***.***.
ipsec ike remote address 1 ***.***.***.*** (AUグローバルIP)
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-2
l2tp syslog on
l2tp local router-id 192.168.100.2
l2tp remote router-id 192.168.100.1
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.103.0/24 * * * *
ip filter 101004 pass * 192.168.103.0/24 icmp * *
ip filter 101005 pass * 192.168.103.0/24 established * *
ip filter 101006 pass * 192.168.103.0/24 tcp * ident
ip filter 101007 pass * 192.168.103.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.103.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.103.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.103.0/24 * * *
ip filter 101014 pass * 192.168.103.0/24 udp * ntp
ip filter 101015 pass * 192.168.103.0/24 udp ntp *
ip filter 101016 pass * 192.168.103.1 udp * 500
ip filter 101017 pass * 192.168.103.1 esp * *
ip filter 101018 pass * 192.168.103.1 udp * 1701
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.100.2 udp 500
nat descriptor masquerade static 200 2 192.168.100.2 esp
nat descriptor masquerade static 200 3 192.168.100.2 udp 1701
nat descriptor masquerade static 200 4 192.168.100.2 udp 4500
rip use on
ipsec auto refresh on
syslog debug on
telnetd host 192.168.100.3-192.168.100.254
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.103.3-192.168.103.99/24
dns server 192.168.100.1
dns server dhcp lan2
dns private address spoof on
httpd host 192.168.100.3-192.168.100.254
l2tp service on l2tpv3
alarm entire off
sshd service on
sshd host 192.168.100.3-192.168.100.254
sshd host key generate *
sftpd host 192.168.100.3-192.168.100.254
書込番号:19455958
0点
補足です。
先刻のConfigですが、IPフィルタ制限はかけていませんので、IPフィルタ制限をかける場合には、会社と自宅のIPフィルタのルールを一部変更下さい。
自宅RTX810ルーター(下記)
「no ip filter 101003 reject 192.168.101.0/24 * * * *」
↓
「ip filter 101003 reject 192.168.100.0/24 * * * *」
「noip filter 101004 pass * 192.168.101.1 udp * 4500」
↓
「ip filter 101004 pass * 192.168.100.1 udp * 4500」
「no ip filter 101005 pass * 192.168.101.1 udp * 1701」
↓
「ip filter 101005 pass * 192.168.100.1 udp * 1701」
「no ip filter 101013 reject * 192.168.101.0/24 * * *」
↓
「ip filter 101013 reject * 192.168.100.0/24 * * *」
「no ip filter 101080 pass * 192.168.101.1 udp * 500」
↓
「ip filter 101080 pass * 192.168.100.1 udp * 500」
「no ip filter 101081 pass * 192.168.101.1 esp * *」
↓
「ip filter 101080 pass * 192.168.100.1 udp * 500」
会社RTX810ルーター(下記)
ip filter 101003 reject 192.168.103.0/24 * * * *
ip filter 101004 pass * 192.168.103.0/24 icmp * *
ip filter 101005 pass * 192.168.103.0/24 established * *
ip filter 101006 pass * 192.168.103.0/24 tcp * ident
ip filter 101007 pass * 192.168.103.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.103.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.103.0/24 udp domain *
ip filter 101013 reject * 192.168.103.0/24 * * *
ip filter 101013 reject * 192.168.103.0/24 * * *
ip filter 101014 pass * 192.168.103.0/24 udp * ntp
ip filter 101015 pass * 192.168.103.0/24 udp ntp *
↑の192.168.103.0/24を、192.168.100.0/24へ差替え投入下さい。
ip filter 101016 pass * 192.168.103.1 udp * 500
ip filter 101017 pass * 192.168.103.1 esp * *
ip filter 101018 pass * 192.168.103.1 udp * 1701
↑の192.168.103.1/24を、192.168.100.2/24へ差替え投入下さい。
ip filter 101019 pass * 192.168.100.2 udp * 4500
↑ 追加で投入下さい。
なお、IPフィルタ機能を有効にされる場合には、ご存じかと思いますが、上記までのエントリ番号を、自宅・会社のRTX810ルーターのip secure filter in 〜 及び ip secure filter out 〜 へ追記が必要です。
書込番号:19456012
0点
>sorio-2215さん
ケーブル(リバース)を追加購入してようやく準備完了?です。テラタームから接続する方法を教えてください。
RTXのシリアルポートに接続しています。
現在自宅です。
書込番号:19456869
0点
TeraTermをインストール後、TeraTermを起動→新しい接続メニューが表示されますので、COMポートを選択→現在接続のCOMポートが表示されているかと存じますので、そのまま接続します。
黒枠内に最初、パスワードを聞いてくるかと考えますが、そのままENTER→administrator→ENTERでログインします。
TeraTermでのコマンド登録では、パスワード類は表示されませんが、入力間違いが無ければそのまま入力反映出来ます。
※ administratorでのログインしませんと、管理者ルーター設定モードになりません。
管理者ルーター設定モードになっているかどうかは、入力欄に最初に#が表示されているかと存じます。
#の後に、それぞれのコマンドを行ごとに登録可能となります。
その後、コマンド投入モードになりますので、Config情報をそれぞれ行ごとに入力しENTERにて、登録します。
最後に、saveで保存、restartでルーター再起動です。
書込番号:19457063
0点
TeraTermの黒枠内に、メモ帳などのConfigの貼り付けも可能ですが、行ごとにされた方が間違いが無いかと存じます。
TeraTermの最新版は、「https://osdn.jp/projects/ttssh2/」に掲載されています。
書込番号:19457074
0点
YamahaルーターのCOMポート接続の通信設定の参考までに。
※ http://atnetwork.info/yamaha/console01.html
http://oatrap485.blogspot.jp/2013/01/yamaha.html
コンソールでの設定順
※ http://atnetwork.info/yamaha/console02.html
書込番号:19457146
0点
>sorio-2215さん
新しい接続ウィンドウが開いていますが、、TCP/IPが選択状態です。シリアルポートはグレーアウト。
何かおかしいですか?
書込番号:19457162
0点
パソコン本体のシリアルポートが無効、若しくはUSBシリアルアダプタ接続でしたら、そのシリアルアダプタが認識していませんよ。
ドライバ適用していますか?
Windowsのデバイスマネージャにて、シリアルポート(COMポート)た有効かどうか、有効の際に何番ポートで有効になっているか確認下さい。
通常は、COMポート1です。
パソコン本体の内蔵シリアルポートの場合、パソコンのBIOSのシリアルポート設定がEnableになっていない(Disable設定になっている)点も考えられます。
書込番号:19457216
0点
>sorio-2215さん
usbシリアルコンバータのドライバが入っていなかったです。現在はRTXに接続できました。
では各種設定を保存してからコマンドの投入を開始します。
書込番号:19457243
0点
>sorio-2215さん
rtx の環境を保存する方法を教えてください。tftpを使ってPCをホスト指定までできましたが、PCから操作可能なコマンドとして受け付けられません。
カンタンで早い方法希望です。できればPCにファイルを保存したいです。
書込番号:19457273
0点
コマンドから、「tftp host any」と実行下さい。
TFTPからの出力が可能となります。
パソコンのDOSプロンプトから、TFTP出力要求したいのですよね?
事前に、RTX810のコマンドに、上記のコマンド投入が必要です。
若しくは、TeraTermの投入コマンドを終わりましたら、簡易WebメニューからのConfig出力でもOKですよ。
@ [トップ] > [詳細設定と情報] > [設定ファイル・ファームウェアファイルのコピー]
コピー元のファイル名 → 内蔵不揮発性メモリ(Config0)
コピー先のファイル名 → USBメモリ
実行。
A [トップ] > [詳細設定と情報] > [本製品の全設定(config)のレポート作成]
↑ どちらの方法でもOKです。
書込番号:19457556
0点
>sorio-2215さん
ひょっとしてコンフィグファイルって単なるテキストファイルですか?
ファイル名と拡張子はどうしますか?
書込番号:19457617 スマートフォンサイトからの書き込み
0点
txt で良いかと考えますよ。
Yamahaルーターでの簡易Webメニューからの出力も、デフォルトでtxtになってます。
ファームウェア一体型情報として、出力された場合には、binファイルになります。
書込番号:19457745
0点
デフォルトでは、USBポートから出力される形式も config.txt になっております。
※ http://www.rtpro.yamaha.co.jp/RT/docs/external-memory/copy.html
書込番号:19457756
1点
>sorio-2215さん
ipv6 lan1 prefix ra-prefix@lan2::/64
1.テラタームで上のコマンドを打つと文字化けが帰ってきます。
2.1行ずつコピペしていくのは非常に面倒ですね。何とかできませんか?
現在はルーターが動かないのでHGWに配線しています。
よろしくお願いします。
書込番号:19457914
0点
先刻のteratermの文字コードを、SJISコードにする情報サイトの案内が、参考になりませんでしたか?
書込番号:19457945 スマートフォンサイトからの書き込み
0点
teratermの端末文字設定が、デフォルトでUTF-8になってますので、ヤマハの表示型式はSJISですので、変更下さい
書込番号:19457959 スマートフォンサイトからの書き込み
0点
>sorio-2215さん
文字コード変更しました。
しかし、先ほどの行を打つと「エラー:コマンド名を確認してください」となります。
書込番号:19457975
0点
IPV6周りのコマンドは、既に設定されていると、エラーになります。
エラー行については、行を飛ばして、次のコマンド実行して下さい。
投入済みコマンドについては、コマンドにて 「show config」にて、表示出来ます。
それと、行指定でのコマンドの貼り付けですが、複数行まとめて貼り付けでも良いですよ。
エラー行が出る場合もありますが、まとめて投入下さい。
tunnel enable 2 まで投入しましたら、それ以後の行は、トンネルから抜けないと投入出来ませんので、一度、トンネルを抜けるコマンド 「tunnel select none」にて抜けてから、それ以後の行をまとめて貼り付け投入下さい。
pp select anonymous 〜 pp enable anonymous の行も同様です。
通常のグローバルコマンドを投入する場合には、「pp select none」で抜けないと、コマンド投入出来ません。
エラーが出て投入出来なかった行は、後から投入出来ますので、その行をチェックしておいて下さい。
書込番号:19458447
1点
>sorio-2215さん
cold start からやっていきます。
書込番号:19458464
0点
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
上記は、ひとくくりのコマンドですので、全角・半角の誤入力(全て半角)、間違った入力が無いかどうかだけになります。
TeraTermからのコマンド投入ですと、送信テキスト情報によって、うまくいかない場合も有りますので、上記のIPV6周りのコマンドのみでしたら、それ以外のコマンドを投入後に、簡易Webメニューのコマンド投入でも可能です。
書込番号:19458483
0点
>sorio-2215さん
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
投入完了。自宅関連の周辺機器設定を直しておきます。
書込番号:19458494
0点
>sorio-2215さん
自宅コンフィグです。「かんたん設定では」VPNが見えないのが不思議なのですが・・。
ip routing process fast
ip route default gateway 192.168.0.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.1/24
ip lan1 address 192.168.100.1/24
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.0.254/24
ip lan2 secure filter in 101003 101020 101021 101022 101023 101024 101025 101030 101032
ip lan2 secure filter out 101013 101020 101021 101022 101023 101024 101025 101099 dynamic 101080 101081 101082 101083 101084 101085 101098 101099
ip lan2 nat descriptor 200
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:auひかり
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ***.***.
ipsec ike remote address 1 any
l2tp tunnel auth off
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.101.1 udp * 4500
ip filter 101005 pass * 192.168.101.1 udp * 1701
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
nat descriptor address inner 200 192.168.0.254 192.168.100.1-192.168.100.254
nat descriptor masquerade static 200 1 192.168.100.1 udp 500
nat descriptor masquerade static 200 2 192.168.100.1 esp
nat descriptor masquerade static 200 3 192.168.100.1 udp 1701
nat descriptor masquerade static 200 4 192.168.100.1 udp 4500
rip use on
ipsec auto refresh on
ipsec ike remote address 2 any
ipsec transport 2 2 udp 1701
syslog debug on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.3-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on l2tpv3
httpd host 192.168.100.3-192.168.100.254
alarm entire off
#
書込番号:19458599
0点
LAN1アドレスをブリッジしているのは正常ですが、ブリッジしていないコマンドも投入されてますよ。
※ ip lan1 address 192.168.100.1/24
↑ 不要ですので、削除願います。 「no ip lan1 address 192.168.100.1/24」
NATの設定を手直し下さい。
nat descriptor address outer 200 primary → nat descriptor address outer 200 192.168.0.254
※ nat descriptor address outer 200 192.168.0.254 を投入下さい。
下記IPフィルタも101003が投入されていないものに変更下さい。
ip lan2 secure filter in 101003 101020 101021 101022 101023 101024 101025 101030 101032
↓
ip lan2 secure filter in 101004 101005 101006 101007 101020 101021 101022 101023 101024 101025 101030 101032 101099
ip filter 101004 pass * 192.168.100.1 udp * 4500
ip filter 101005 pass * 192.168.100.1 udp * 1701
ip filter 101006 pass * 192.168.100.1 udp * 500
ip filter 101007 pass * 192.168.100.1 esp * *
下記コマンドを、101013が投入されていないものへ変更下さい。
ip lan2 secure filter out 101013 101020 101021 101022 101023 101024 101025 101099 dynamic 101080 101081 101082 101083 101084 101085 101098 101099
↓
ip lan2 secure filter out 101020 101021 101022 101023 101024 101025 101099
書込番号:19458648
0点
>sorio-2215さん
相変わらずかんたん設定画面ではVPNの項目が0になっています。何故でしょうか?
ip routing process fast
ip route default gateway 192.168.0.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.1/24
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.0.254/24
ip lan2 secure filter in 101004 101005 101006 101007 101020 101021 101022 101023 101024 101025 101030 101032 101099
ip lan2 secure filter out 101020 101021 101022 101023 101024 101025 101099
ip lan2 nat descriptor 200
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:auひかり
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ***.***.
ipsec ike remote address 1 any
l2tp tunnel auth off
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.1 udp * 4500
ip filter 101005 pass * 192.168.100.1 udp * 1701
ip filter 101006 pass * 192.168.100.1 udp * 500
ip filter 101007 pass * 192.168.100.1 esp * *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.100.1-192.168.100.254
nat descriptor masquerade static 200 1 192.168.100.1 udp 500
nat descriptor masquerade static 200 2 192.168.100.1 esp
nat descriptor masquerade static 200 3 192.168.100.1 udp 1701
nat descriptor masquerade static 200 4 192.168.100.1 udp 4500
rip use on
ipsec auto refresh on
ipsec ike remote address 2 any
ipsec transport 2 2 udp 1701
syslog debug on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.3-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on l2tpv3
httpd host 192.168.100.3-192.168.100.254
alarm entire off
#
書込番号:19458773
0点
簡易Webメニューにトンネル登録されていない件ですが、先刻の対話の通り、簡易Webメニューには、未だトンネル追加・情報表示出来るファームウェアになっていません。
Telnetコマンドとしてのトンネル設定対象の設定方法になっております。
「tunnel encapsulation l2tpv3」を見ると解るかと考えますが、L2Tpv3の専用トンネルとして設定していますので、簡易Webメニューからトンネル設定していくと、L2TPv3モードの選択が無いかと存じます。
L2TPv3トンネルのみ、コマンドから登録しておけばOKな状態です。
(トンネル・エントリー1にて登録していますので、トンネル1は使えません)
Yamahaルーターにおきましては、L2TP/IPSECのNATトラバーサルも、当初簡易Webメニューから設定出来ない仕様でした。ファームウェア更新にて、やっと、簡易WebメニューからL2TP/IPSEC(NAT-T)が設定出来る様になった、仕様が有ります。(Rev.11.01.19)
よって現状では、簡易Webメニューでは表記されません。
将来的にファームウェア更新対応にて、表記される可能性がありますので、それまでお待ち下さい。
書込番号:19458976
1点
逆に言えば、簡易Webメニューからでは、全てのYamahaルーターの設定情報の投入・確認には、限界が有ると言うことです。
簡易Webメニューは、あくまでも基本的な設定のみの確認が出来るものと判断下されば良いかと考えます。
RTX1000やRTX1100世代では、「WWWブラウザ設定支援機能」と言っていましたが、基本的に機能設定の制限が有るものとして、Yamaha側も広報しております。
※ http://www.rtpro.yamaha.co.jp/RT/docs/web_assistance/
RTX1200やRTX810では、上記の要素が有ったため、ユーザー自身でカスタムGUIを作成し、ルーターのメニュー機能追加する仕様を追加しております。
※ http://jp.yamaha.com/products/network/solution/custom_gui/
※ http://www.rtpro.yamaha.co.jp/RT/docs/custom-gui/index.html
カスタムGUIを作成する要素まで、現時点では必要性が無いかと存じますので、Yamaha側にてファームウェア更新されるまで、お待ち下さいと言う事です。
書込番号:19458995
1点
自宅での設定はオーケーですか?HGWは変えないですか?
完了ならば会社に行って作業しますが?
書込番号:19459008 スマートフォンサイトからの書き込み
0点
L2TPv3トンネルの設定が、未だ接続情報欠落していますよ。
tonnel select 1
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-1
l2tp syslog on
l2tp local router-id 192.168.100.1
l2tp remote router-id 192.168.100.2
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
↑ 上記のコマンドが欠落していますと、 会社側からアクセスした際にトンネル認証されませんよ。
「l2tp tunnel disconnect time 600」と「l2tp keepalive use off」が投入されていては、まずいです。
L2TPリモートアクセスから転記されたのですか?
L2TPv3トンネルの場合、常時切断・切断無しのトンネルですので、投入は×です。
書込番号:19459015
0点
L2TPリモートアクセス(モバイル用)のトンネルも設定忘れてますよ。
pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin ***.***.
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
pp select none
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text ***.***.
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
tunnel enable 2
上記のコマンドを投入して下さい。
書込番号:19459021
0点
>sorio-2215さん
こんどはどうですか?
ip routing process fast
ip route default gateway 192.168.0.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.1/24
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.0.254/24
ip lan2 secure filter in 101004 101005 101006 101007 101020 101021 101022 101023 101024 101025 101030 101032 101099
ip lan2 secure filter out 101020 101021 101022 101023 101024 101025 101099
ip lan2 nat descriptor 200
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:auひかり
pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin ***.***.
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ***.***.
ipsec ike remote address 1 any
l2tp always-on on
l2tp hostname RTX810-1
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time 600
l2tp keepalive use off
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.100.1
l2tp remote router-id 192.168.100.2
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text ***.***.
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.1 udp * 4500
ip filter 101005 pass * 192.168.100.1 udp * 1701
ip filter 101006 pass * 192.168.100.1 udp * 500
ip filter 101007 pass * 192.168.100.1 esp * *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.100.1-192.168.100.254
nat descriptor masquerade static 200 1 192.168.100.1 udp 500
nat descriptor masquerade static 200 2 192.168.100.1 esp
nat descriptor masquerade static 200 3 192.168.100.1 udp 1701
nat descriptor masquerade static 200 4 192.168.100.1 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 2 2 udp 1701
syslog debug on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.3-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on l2tpv3
httpd host 192.168.100.3-192.168.100.254
alarm entire off
#
書込番号:19459048
0点
LTEからVPNにはいれないです。サーバーが反応しませんとのことです。
書込番号:19459067 スマートフォンサイトからの書き込み
0点
あっ。
tunnel select 1 の l2tp tunnel disconnect time 600 は、まずいです。
l2tp tunnel disconnect time off、l2tp keepalive use on 60 3 に変更下さい。
tunnel select 1
l2tp tunnel disconnect time 600
l2tp keepalive use on 60 3
書込番号:19459073
0点
L2TPv3とL2TPの併用ですよね。
l2tp service on l2tpv3
↓
l2tp service on
上記のコマンドと登録し直しにて、接続出来ませんか?
書込番号:19459074
0点
tunnel select 1
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
↑でした。誤入力です。登録し直し下さい。
書込番号:19459084
0点
AU-HGWの設定ですが、静的IPマスカレード登録では無く、DMZホスト設定に戻してからお試し下さい。
DMZホスト設定・・192.168.0.254/24、静的ルーティング・・宛先192.168.100.0/24、宛先ゲートウェイ192.168.0.254
書込番号:19459092
0点
ポートマッピングはそのままですか?
VPNは接続しましたが、ネットワークの中には入れていません。
書込番号:19459106
0点
最新コンフィグ。
ip routing process fast
ip route default gateway 192.168.0.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.1/24
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.0.254/24
ip lan2 secure filter in 101004 101005 101006 101007 101020 101021 101022 101023 101024 101025 101030 101032 101099
ip lan2 secure filter out 101020 101021 101022 101023 101024 101025 101099
ip lan2 nat descriptor 200
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:auひかり
pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin ***.***.
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ***.***.
ipsec ike remote address 1 any
l2tp always-on on
l2tp hostname RTX810-1
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.100.1
l2tp remote router-id 192.168.100.2
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text ***.***.
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.1 udp * 4500
ip filter 101005 pass * 192.168.100.1 udp * 1701
ip filter 101006 pass * 192.168.100.1 udp * 500
ip filter 101007 pass * 192.168.100.1 esp * *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.100.1-192.168.100.254
nat descriptor masquerade static 200 1 192.168.100.1 udp 500
nat descriptor masquerade static 200 2 192.168.100.1 esp
nat descriptor masquerade static 200 3 192.168.100.1 udp 1701
nat descriptor masquerade static 200 4 192.168.100.1 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 2 2 udp 1701
syslog debug on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.3-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on
httpd host 192.168.100.3-192.168.100.254
alarm entire off
#
書込番号:19459126
0点
最新Configとしては、間違いは認識出来ませんので、会社の方に取りかかって貰っても良いかと存じます。
L2TPリモートアクセスについては、調べておきます。(会社の端末認識出来ましたか?)
会社のRTX810ルーターのL2TPv3トンネル接続完了後でも、微細な変更にて、リモートアクセスについては、自宅RTX810ルーターのみの調整で可能かと存じます。
書込番号:19459141
0点
会社のコンフィグです。ネットに出られません。
ip routing process fast
ip route default gateway 192.168.99.1
ip route 192.168.0.0/16 gateway tunnel 1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.99.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.2/24
ip lan1 address 192.168.100.2/24
ip lan1 proxyarp on
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.99.254/24
ip lan2 mtu 1454
ip lan2 nat descriptor 200
ip lan2 arp static 192.168.100.1 00:25:36:53:4b:cb
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI蛛縺險螳
tunnel select 1
tunnel name IPsec(莨夂)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.2
ipsec ike local name 1 ipsec1 key-id
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text *******
ipsec ike remote address 1 ***.***.14.4
l2tp always-on on
l2tp hostname RTX810-2
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.100.2
l2tp remote router-id 192.168.100.1
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel rip send on version 2
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.103.0/24 * * * *
ip filter 101004 pass * 192.168.103.0/24 icmp * *
ip filter 101005 pass * 192.168.103.0/24 established * *
ip filter 101006 pass * 192.168.103.0/24 tcp * ident
ip filter 101007 pass * 192.168.103.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.103.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.103.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.103.0/24 * * *
ip filter 101014 pass * 192.168.103.0/24 udp * ntp
ip filter 101015 pass * 192.168.103.0/24 udp ntp *
ip filter 101016 pass * 192.168.103.1 udp * 500
ip filter 101017 pass * 192.168.103.1 esp * *
ip filter 101018 pass * 192.168.103.1 udp * 1701
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.100.254
nat descriptor address inner 200 192.168.100.254 192.168.103.1-192.168.103.254
nat descriptor masquerade static 200 1 192.168.103.1 udp 500
nat descriptor masquerade static 200 3 192.168.103.1 udp 1701
nat descriptor masquerade static 200 4 192.168.103.1 udp 4500
rip use on
ipsec auto refresh on
ipsec ike mode-cfg address pool 1 192.168.103.200-192.168.103.210/32
syslog debug on
telnetd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.103.3-192.168.103.99/24
dns server 192.168.100.1
dns server dhcp lan2
dns private address spoof on
l2tp service on l2tpv3
httpd host 192.168.100.3-192.168.100.254
alarm entire off
sshd service on
sshd host 192.168.100.3-192.168.100.254
sshd host key generate *
sftpd host 192.168.100.3-192.168.100.254
#
書込番号:19461843
0点
NATのルール間違ってますよ。 DHCPサーバは不要です。
以下誤りです。
nat descriptor address outer 200 192.168.100.254
nat descriptor address inner 200 192.168.100.254 192.168.103.1-192.168.103.254
nat descriptor masquerade static 200 1 192.168.103.1 udp 500
nat descriptor masquerade static 200 3 192.168.103.1 udp 1701
nat descriptor masquerade static 200 4 192.168.103.1 udp 4500
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.103.3-192.168.103.99/24
dns server 192.168.100.1
下記に変更下さい。 (TeraTermより、そのまま登録願います)
nat descriptor address outer 200 primary
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.100.2 udp 500
nat descriptor masquerade static 200 2 192.168.100.2 esp
nat descriptor masquerade static 200 3 192.168.100.2 udp 1701
nat descriptor masquerade static 200 4 192.168.100.2 udp 4500
no dhcp service server
no dhcp server rfc2131 compliant except remain-silent
no dhcp scope 1 192.168.103.3-192.168.103.99/24
dns server 192.168.99.1
dns server dhcp lan2
no ipsec ike mode-cfg address pool 1 192.168.103.200-192.168.103.210/32
telnetd host 192.168.100.3-192.168.100.254
先刻の話のように、NTT-HGWのIPを192.168.99.1へ変更、静的IPマスカレードの削除(ポートマッピングの削除)、DMZホストに192.168.99.254の登録、LAN側静的ルーティングの設定(宛先192.168.100.0/24、宛先ゲートウェイ192.168.99.254)をして下さい。
書込番号:19461876
0点
補足です。
「dns server 192.168.100.1」は、間違いですので、削除願います。
↓
no dns server 192.168.100.1 を実行すれば削除出来ます。
書込番号:19461881
0点
IPフィルタの記述も間違っています。
ip filter 101003 reject 192.168.103.0/24 * * * *
ip filter 101004 pass * 192.168.103.0/24 icmp * *
ip filter 101005 pass * 192.168.103.0/24 established * *
ip filter 101006 pass * 192.168.103.0/24 tcp * ident
ip filter 101007 pass * 192.168.103.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.103.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.103.0/24 udp domain *
ip filter 101013 reject * 192.168.103.0/24 * * *
ip filter 101014 pass * 192.168.103.0/24 udp * ntp
ip filter 101015 pass * 192.168.103.0/24 udp ntp *
↑ 192.168.103.0/24を 192.168.100.0/24へ差替え登録し直し下さい。
以下のIPフィルタも間違っています。
ip filter 101016 pass * 192.168.103.1 udp * 500
ip filter 101017 pass * 192.168.103.1 esp * *
ip filter 101018 pass * 192.168.103.1 udp * 1701
↑ 192.168.103.1を 192.168.100.2に差替え登録下さい。
書込番号:19461890
0点
トンネル1のAU光宛ての接続設定も投入されていませんよ。
tunnel select 1
tunnel endpoint address 192.168.100.2 ***.***.***.*** (AUひかりグローバルIP)
ipsec ike remote address 1 ***.***.***.*** (AUグローバルIP)
↑両方のコマンドが、キチンと投入されていませんと、VPN接続認証されません。
***.***.****.*** は、 AU光・グローバルIPに差替え投入下さい。
書込番号:19461914
0点
例によって、ブリッジモードのアドレスが、混在しています。
no ip lan1 address 192.168.100.2/24
を実行下さい。
書込番号:19462106 スマートフォンサイトからの書き込み
0点
>sorio-2215さん
お世話になります。
会社コンフィグです。ルーターからHGW 192.168.99.1に接続できません。
ip routing process fast
ip route default gateway 192.168.99.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.99.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.2/24
ip lan1 address 192.168.100.1/24
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.99.254/24
ip lan2 mtu 1454
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.100.2 au IP address
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.2
ipsec ike local name 1 ipsec1 key-id
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 au IP address
l2tp always-on on
l2tp hostname RTX810-2
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.100.2
l2tp remote router-id 192.168.100.1
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.103.0/24 * * *
ip filter 101016 pass * 192.168.100.2 udp * 500
ip filter 101017 pass * 192.168.100.2 esp * *
ip filter 101018 pass * 192.168.100.2 udp * 1701
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
nat descriptor address outer 200 primary
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.100.2 udp 500
nat descriptor masquerade static 200 2 192.168.100.2 esp
nat descriptor masquerade static 200 3 192.168.100.2 udp 1701
nat descriptor masquerade static 200 4 192.168.100.2 udp 4500
telnetd host 192.168.100.3-192.168.100.254
dns server dhcp lan2
dns private address spoof on
l2tp service on l2tpv3
httpd host 192.168.100.3-192.168.100.254
alarm entire off
sshd service on
sshd host 192.168.100.3-192.168.100.254
sftpd host 192.168.100.3-192.168.100.254
#
書込番号:19462339
0点
只今出先より、帰社してきました。
まだ LAN1不要アドレス設定が残ってますよ。
「no ip lan1 address 192.168.100.1/24」を実行下さい。(TeraTermより)
※ ip bridge1 address 192.168.100.2/24 との混在は、まずいです。
会社RTX810ルーターのアドレスは、あくまでも192.168.100.2/24です。
L2TPv3ブリッジモード機能を有効にしていますが、会社RTX810ルーターは192.168.100.2/24です。
DNSサーバのアドレス設定が、未だ投入されていませんよ。
「dns servver 192.168.99.1」を登録下さい。
書込番号:19462557
0点
先刻の対話の通り、192.168.100.1/24は、自宅RTX810ルーターのIP(ブリッジ有り)に設定されていますので、(会社RTX810ルーターのIPを192.168.100.1/24にすると)IPアドレスの重複処理になります。
L2TPv3-VPNの本旨として、会社・自宅のセグメントは、同一セグメントの管理が出来る仕様になっていますが、IPアドレスの重複はまずい点、DHCPサーバの処理は、自宅RTX810ルーターの処理から、会社RTX810へのIPアドレス付帯処理となります。
書込番号:19462568
0点
補足です。
もし、会社RTX810へログインされたい場合には、仮想ブリッジアドレスと同一のアドレス設定でなければ、ログイン出来ないかと存じます。
ip lan1 address 192.168.100.2/24
↑ 通常は必要ありませんが、もしコマンド設定すると言うことであれば、投入下さい。
書込番号:19462659
0点
1.相変わらずルーター(192.168.100.2)からHGW(192.168.99.1)に入れません。
2. ipsec ike local name 1 ipsec1 key-id ←key-id部分はadminが正解ですか?
以下会社コンフィグです。
ip routing process fast
ip route default gateway 192.168.99.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.99.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.2/24
ip lan1 address 192.168.100.2/24
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.99.254/24
ip lan2 mtu 1454
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.100.2 au IP
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.2
ipsec ike local name 1 ipsec1 key-id
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ********
ipsec ike remote address 1 au IP
l2tp always-on on
l2tp hostname RTX810-2
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.100.2
l2tp remote router-id 192.168.100.1
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101016 pass * 192.168.100.2 udp * 500
ip filter 101017 pass * 192.168.100.2 esp * *
ip filter 101018 pass * 192.168.100.2 udp * 1701
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
nat descriptor address outer 200 primary
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.100.2 udp 500
nat descriptor masquerade static 200 2 192.168.100.2 esp
nat descriptor masquerade static 200 3 192.168.100.2 udp 1701
nat descriptor masquerade static 200 4 192.168.100.2 udp 4500
telnetd host 192.168.100.3-192.168.100.254
dns server 192.168.99.1
dns server dhcp lan2
dns private address spoof on
l2tp service on l2tpv3
httpd host 192.168.100.3-192.168.100.254
alarm entire off
sshd service on
sshd host 192.168.100.3-192.168.100.254
sftpd host 192.168.100.3-192.168.100.254
#
書込番号:19463199
0点
下記のコマンドを投入しても、HGWへのアクセス出来ませんか?
nat descriptor address outer 200 192.168.99.254
nat descriptor address inner 200 auto
HGW側のDMZホストの設定192.168.99.254(外部からのパケットをすべて特定ホストに中継するにチェック)と、LAN側静的ルーティングの設定(宛先IPアドレス192.168.100.0/24、宛先ゲートウェイ192.168.99.254)がキチンと反映していましたら、アクセス出来る筈ですが。
書込番号:19463274
0点
>sorio-2215さん
こんばんは。
HGWのLAN側静的ルーティングエントリの設定は既にしていたのですが、「有効」にチェック漏れてました。
これでRTX経由でネットとHGWに行けるようになりました。
次はトンネルの接続ですね。
key-id 部分はどうですか??
書込番号:19463299
0点
2. ipsec ike local name 1 ipsec1 key-id ←key-id部分はadminが正解ですか?
↑の件ですが、自宅RTX810には、リモートネームのコマンドが未登録ですので、コマンド自体不要です。
「ipsec ike local name 1 ipsec1 key-id」のコマンドを適用させたい場合には、自宅RTX810ルーターのトンネルに、「ipsec ike remote name 1 ipsec1 key-id」の登録が必要です。
L2TPv3-VPNでは、リモートネーム→ローカルネームの名称解決は、必ずしも必要ではありませんので、削除しても良いかと存じます。
tunnel select 1
no ipsec ike local name 1 ipsec1 key-id
↑のコマンドを投入下さい。
ローカルネームのコマンド削除出来ます。
書込番号:19463327
0点
補足ですが、最終・自宅RTX810ルーターのConfigを見ますと、トンネル1に「ipsec ike remote name 1 ipsec1」が投入されていませんので、会社のトンネル1には、「ipsec ike local name 1 ipsec1」は不要と言う事です。
会社端末から、自宅AU-HGWへのアクセスには192.168.0.1へアクセス、自宅RTX810ルーターには192.168.100.1にてアクセス、逆に自宅端末から会社NTT-HGWへのアクセスには192.168.99.1にてアクセス、RTX810ルーターには192.168.100.2にてアクセスと言ったイメージになります。
VPN接続されているかどうかは、会社端末のLAN設定をDHCPから自動取得に設定して、IPアドレスが自動的に振られていればOKです。(192.168.100.***、自宅RTX810からのアドレス)
書込番号:19463353
0点
>会社端末から、自宅AU-HGWへのアクセスには192.168.0.1へアクセス、自宅RTX810ルーターには192.168.100.1にてアクセス、逆に自宅端末から会社NTT-HGWへのアクセスには192.168.99.1にてアクセス、RTX810ルーターには192.168.100.2にてアクセスと言ったイメージになります。
> VPN接続されているかどうかは、会社端末のLAN設定をDHCPから自動取得に設定して、IPアドレスが自動的に振られていればOKです。(192.168.100.***、自宅RTX810からのアドレス)
上記全て失敗です。
質問
VPNが繋がっていてもRTXでは(以前は見えた)トンネルが繋がる「絵」は出ないのですか???
書込番号:19463404
0点
UDP1701のトランスポート・コマンドを投入指示忘れてました。
自宅RTX810ルーター
ipsec transport 1 1 udp 1701
会社RTX810ルーター
ipsec transport 1 1 udp 1701
ついでに安定性の観点から、
会社RTX810ルーターのリモート・ネーム、ローカルネームの登録をして置いた方が良いかと考えます。(key-id無し)
会社RTX810ルーター
tunnel select 1
ipsec ike local name 1 ipsec1
自宅RTX810ルーター
tunnel select 1
ipsec ike remote name 1 ipsec1
念のためですが、
会社RTX810ルーターの
「tunnel select 1 → ipsec ike pre-shared-key 1 text ***.***.」
と
自宅RTX810ルーターの
「tunnel select 1 → ipsec ike pre-shared-key 1 text ***.***.」
は、キチンと同一のものになっているか、確認下さい。
書込番号:19463410
0点
>sorio-2215さん
質問
LTEからの接続も未だ成功していません。このことと現在の問題(VPNが繋がらない)は関係ないのでしょうか?
そろそろ帰宅します。LTE問題ならば自宅だけで解決できそうですので、できればコチラからやりませんか?
書込番号:19463422
0点
質問
VPNが繋がっていてもRTXでは(以前は見えた)トンネルが繋がる「絵」は出ないのですか???
↑の件ですが、Yamahaルーターの「WWWブラウザ設定支援機能」については、一部機能についてのステータス確認や、ごく簡易的なものに尽きるので、全ての構成が簡易ステータスとして視聴出来るとは、保証しておりません。
先刻の説明通りファームウェア更新待ちになります。
若しくは、構築に慣れてきましたら、カスタムGUIを作成する方法も有りますが、ファームウェア待ちにされた方が良いかと考えます。
書込番号:19463435
0点
コンフィグです。自宅に帰りますのでVPNが接続しない限り会社のルーターをいじることはもうできません。
ip routing process fast
ip route default gateway 192.168.99.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.99.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.2/24
ip lan1 address 192.168.100.2/24
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.99.254/24
ip lan2 mtu 1454
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.100.2 auIP
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.2
ipsec ike local name 1 ipsec1 key-id
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ********
ipsec ike remote address 1 auIP
l2tp always-on on
l2tp hostname RTX810-2
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.100.2
l2tp remote router-id 192.168.100.1
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101016 pass * 192.168.100.2 udp * 500
ip filter 101017 pass * 192.168.100.2 esp * *
ip filter 101018 pass * 192.168.100.2 udp * 1701
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
nat descriptor address outer 200 192.168.99.254
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.100.2 udp 500
nat descriptor masquerade static 200 2 192.168.100.2 esp
nat descriptor masquerade static 200 3 192.168.100.2 udp 1701
nat descriptor masquerade static 200 4 192.168.100.2 udp 4500
ipsec transport 1 1 udp 1701
telnetd host 192.168.100.3-192.168.100.254
dns server 192.168.99.1
dns server dhcp lan2
dns private address spoof on
l2tp service on l2tpv3
httpd host 192.168.100.3-192.168.100.254
alarm entire off
sshd service on
sshd host 192.168.100.3-192.168.100.254
sftpd host 192.168.100.3-192.168.100.254
#
書込番号:19463454
0点
自宅コンフィグです。コマンド投入後もVPNは繋がりません。
ip routing process fast
ip route default gateway 192.168.0.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.1/24
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.0.254/24
ip lan2 secure filter in 101004 101005 101006 101007 101020 101021 101022 101023 101024 101025 101030 101032 101099
ip lan2 secure filter out 101020 101021 101022 101023 101024 101025 101099
ip lan2 nat descriptor 200
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:auひかり
pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin ******
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ******
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1 key-id
l2tp always-on on
l2tp hostname RTX810-1
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.100.1
l2tp remote router-id 192.168.100.2
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text ******
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.1 udp * 4500
ip filter 101005 pass * 192.168.100.1 udp * 1701
ip filter 101006 pass * 192.168.100.1 udp * 500
ip filter 101007 pass * 192.168.100.1 esp * *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.100.1-192.168.100.254
nat descriptor masquerade static 200 1 192.168.100.1 udp 500
nat descriptor masquerade static 200 2 192.168.100.1 esp
nat descriptor masquerade static 200 3 192.168.100.1 udp 1701
nat descriptor masquerade static 200 4 192.168.100.1 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipsec transport 2 2 udp 1701
syslog debug on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.3-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on
httpd host 192.168.100.3-192.168.100.254
alarm entire off
#
書込番号:19463529
0点
RTX810ルーターのコマンドにて、
「show ipsec sa」、「show log」、「show ipsec sa gateway 1 detail」の状態を教えて下さい。
上記情報確認後、AU-HGWの再起動→RTX810の再起動を確認下さい。
※ RTX810は、コマンドからrestart
書込番号:19463688
0点
>sorio-2215さん
>「show ipsec sa」、「show log」、「show ipsec sa gateway 1 detail」
show log だけ膨大なログが出ました。他2つは特段の出力はないです。
書込番号:19463719
0点
show log の一部。多数回繰り返されています。
2016/01/05 09:39:09: [IKE] respond ISAKMP phase to ***.***.28.156
2016/01/05 09:39:09: [IKE] add ISAKMP context [5218] de3e2da6536b080c 00000000
2016/01/05 09:39:09: [IKE] receive message from unknown gateway ***.***.28.156
2016/01/05 09:39:10: [IKE] inactivate context [5218] de3e2da6536b080c 00000000
2016/01/05 09:39:10: [IKE] delete ISAKMP context [5218] de3e2da6536b080c 000000
00
2016/01/05 09:39:19: [IPv6] prefix 240f:e2:10dd:1::/64 (vlife: 300, plife: 300)
is assigned from LAN2 (RA)
書込番号:19463743
0点
VPN認証とIPV6インターネット認証の掛け違いの現象が起きている様です。
全てのログを見ている訳ではありませんが、一時AU-HGWから配信されるIPV6の通信を、RTX810側で停止して頂けますか?
no ipv6 prefix 1 ra-prefix@lan2::/64
no ipv6 lan1 address auto
no ipv6 lan1 prefix ra-prefix@lan2::/64
no ipv6 lan1 rtadv send 1 2 o_flag=on
↑にて、IPV6機能停止出来る筈です。
後日、会社側RTX810ルーターのIPV6停止も確認願います。
no ipv6 routing process fast
no ipv6 prefix 1 ra-prefix@lan2::/64
no ipv6 lan1 address auto
no ipv6 lan1 prefix ra-prefix@lan2::/64
no ipv6 lan1 rtadv send 1 2 o_flag=on
no ipv6 lan2 dhcp service client ir=on
書込番号:19463920
0点
>sorio-2215さん
自宅側RTXにコマンド投入しました。まだ接続しません。
ところで疑問があります。何故IPv6を使うのですか?以前説明した通り会社側のニフティ回線ではIPv6の使用を停止しています。理由は当方の認識しない方法で勝手にインターネットに繋がる状態を止めるためです。
またIPv6関連の設定は私自身が全く不明瞭のため今回の設定から完全に取り払ってほしいです。
以上ご検討願います。
書込番号:19464128
0点
IPV6の自動併用になっているのは、AU光の方が自動併用されていますので、完全なIPV6の遮蔽は出来ないかと存じます。
Nifty側を停止しても、AU側は自動付帯サービスで、停止することは出来ない為です。
AU-HGWの設定を見ると解るかと存じますが、IPV6を停止する設定が無いかと考えます。
総体のConfigを確認しました。(特にConfig上の問題は無いかと存じます)
ログ表記を見ますと、L2TPv3認証のための表示(receive message from unknown gateway ***.***.28.156)が有りますが、会社RTX810ルーターのL2TPv3の暗号化キーのやりとりで失敗している様です。
会社RTX810ルーターの暗号化キーを更新するコマンドが欠如されている様です。
会社RTX810ルーターへ「ipsec auto refresh on」をコマンド投入下さい。
(念のための確認ですが) 自宅RTX810ルータートンネル1の「ipsec ike pre-shared-key 1 text ******」のキーと、会社RTX810ルーターの「ipsec ike pre-shared-key 1 text ********」のキーが違う文字列でのエラー認識されていないか、同じく会社RTX810ルータートンネル1の「tunnel endpoint address 192.168.100.2 au IP」と、「ipsec ike remote address 1 auIP」の、AUグローバルIPの確認もしておいて下さい。
上記トンネル1の暗号化キー(pre-shared-key)が、双方とも同じものが設定されているか再確認、再度自宅AU-HGWのステータスにてAUグローバルIPを確認し、そのグローバルIPが、会社RTX810の該当箇所の数値と合致しているか、確認下さい。
同一セグメントの特定VPN設定のため、AU-HGW及び自宅RTX810の再起動(コマンド→restart)はしましたか?
再起動後でなければ、正常なVPN接続機能とはならない為、確認下さい。
その後、会社NTT-HGWの再起動→会社RTX810ルーターの再起動(コマンド→restart)をして欲しいのですが、その前に念のため 「no ip lan1 address 192.168.100.2/24」実行にて、会社RTX810ルーターへの192.168.100.2のブリッジのみの反映出来ているか、ブラウザにて、会社RTX810ルーターの簡易Webメニュー表示出来るか確認下さい。
書込番号:19464544
0点
会社RTX810ルーターの暗号化キーを更新するコマンドが欠如されている様です。
会社RTX810ルーターへ「ipsec auto refresh on」をコマンド投入下さい。
↑結構重要です。
自宅RTX810ルーターには、自動的に設定投入された状態の様でしたが、何らかの要因にて会社側RTX810のVPN暗号化キーの更改をするコマンドが欠如していた様です。
自宅RTX810ルーターの方にも、先刻のConfigを見ると投入されていましたが、再度確認しておいて下さい。
自宅・会社双方、即時VPN暗号化キーの手動交換をさせるためのコマンドも有ります。
自宅・会社RTX810のコマンド実行にて、「ipsec refresh sa」を実行下さい。
AUTO更新だけでは無く、手動交換されるコマンドです。
書込番号:19464566
0点
>sorio-2215さん
おはようございます。
自宅ルーターに指示されたコマンド投入したほか設定の確認→HGW再起動→RTX再起動
しました。しばらくしたら会社に行って残りの作業をします。
またよろしくお願いします。
書込番号:19464672
0点
>sorio-2215さん
自宅でのネットの速度が急に遅くなっています。ルーターを外して計測して650M、ルーター経由で90Mです。昨夜はいつも通りのスピードでしたから今朝の設定変更が影響していると思います。
対策はありますか?
書込番号:19464985
0点
L2TPv3/IPSECのネットワークが稼働後に、AU光のIPV6(ギガビット・オプション)の通信を許容させるしか無いですね。
※先刻のIPV6-RAプレフィックスの設定を戻して下さい。
ipv6 prefix 1 ra-prefix@lan2::/64
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
基本的に、AU光の場合IPV4/IPV6デュアルスタック接続回線のため、通常はIPV6オプションの設定を投入していても問題は無いのですが、VPNルーターの特定仕様やスペックによって、IPV4-Web認証+VPN認証と、IPV6インターネット排他認証に、性能の差が出るルーターも有ります。
AU-HGWのIPV6ギガビット機能の排他制御のためですが、AU-HGWのトップページ>詳細設定>DHCPv6サーバ設定にて、設定1のモードになっているか(RA広告のみ配信)だけは、確認しておいて下さい。
不要なDHCPv6からのIPV6アドレス配信まで有効ですと、配下のRTX810での通信負荷が高くなるだけで、メリットは無いです。
書込番号:19465068
0点
設定を戻しhgwとrtx810を再起動させても遅いままです。
書込番号:19465224 スマートフォンサイトからの書き込み
0点
AU光の中継ギガビット適用に戻っているかどうかは、KDDIスピードチェック・サービスか、IIJスピードテストなどが、正式なIPV6ギガビット・スループット計測が出来る様になっております。
計測サイトですが、KDDI若しくはIIJサービスでの計測でしょうか?
それ以外ですと、正確な数値測定は困難かと。
※ http://www.au.kddi.com/internet/auhikari/speed-check/
※ http://speedtest6.iijmio.jp/
↑ IPV6アドレスが付帯されていれば、KDDIのギガビット回線機能の適用が、RTX810中継されていると判断可能かと。
書込番号:19465318
1点
L2TPv3/IPSECの接続検証前に、IPV6-RAプレフィックス設定を戻したのですか?
書込番号:19465323
0点
モバイル・スマホ用のL2TP/IPSECの接続ネットワークIP取得(自宅RTX810ルーター)が、もしうまくいかない場合には、RTX810ルーターの簡易Webメニューから、既存のトンネル2はL2TPトンネルとして認識しているかと存じますが、そのトンネル2のみ一度削除し、再度簡易Webメニューから、L2TP/IPSECの登録を実施してみて下さい。
※ [トップ] > [詳細設定と情報] > [VPN接続の設定] →Anonymousの方を削除
[トップ] > [詳細設定と情報] > [VPN接続の設定] > [VPN接続の登録] PP[02]または
TUNNEL[02] →L2TP/IPsecを使用したリモートアクセスVPNサーバー(Anonymous)の登録を実施下さい。
書込番号:19465371
0点
トンネル1は、L2TPv3トンネルですので、設定は触れずに願います。
書込番号:19465378
0点
http://speedtest6.iijmio.jp/
このサイトにアクセスしたところipv6項目を選べませんでした。速度測定はいつも2つのサイトのうち、上段のサイトでやっています。
その結果が先ほどの速度差です。HGWではipv6の配布をしないになっています。
まだ会社に行ってないので接続が確立する前に設定を元に戻しています。
書込番号:19465459
0点
IIJサイトで、IPV6の選択がグレーアウトしている状態ですと、IPV6の中継されていない状態ですので、IPV6-RAプレフィックス設定が反映していない状態ですので、本来のスループット計測では無いです。
書込番号:19465506
0点
auで650Mbpsでているのですが、何か問題でも?
但しヤマハを通すと90Mbpsになりますのでこまります。
書込番号:19465552 スマートフォンサイトからの書き込み
0点
IPV6-RAプレフィックスの設定を、VPN認証後に反映して下さい。
IPV6RAプレフィックスの認証には、一度認証情報を切断しますと、IPV6リンクローカル認証から、本来の性能になるのに、時間がかかります。
KDDIだけでは無く、NTTやSoftbank等も同様ですが、キャリア側にて顧客のRA配信でのネットワーク端末認識されるまでのタイムロスは有りますので、仕方ないです。
IPV6-RAプレフィックスの設定コマンドを投入して、最長2〜3時間程度本来の性能になるまで保留待ちになる点や、ケースによっては、IPV6-RAプレフィックスの設定後に再度RTX810ルーターの再起動から、接続端末に正常なIPV6リンクローカルアドレスが付帯されるまで、遅延待ちは仕方ないです。
書込番号:19465591
0点
AU側で650Mbps検出しているのは、HGWの認証がKDDI側IPV6ネットワーク網から認証されている為で、その配下に有るRTX810のWAN側→LAN側を通じて、接続端末のIPV6認証通過の正常なリンクローカルアドレスが付帯される状態にしませんと、本来の性能にならないと言う事です。
HGW配下へのIPV6リンクローカル認証には、時間がかかると言うことです。
書込番号:19465612
0点
以下参考までに。
※ http://jp.yamaha.com/products/network/solution/flets/flets_other_service/flets-next-ipv6_ipoe-rtx1200/
↑ IPV6ネットワーク認証設定の設定例です。
書込番号:19465652
0点
うーん相変わらずiPhoneからの接続もダメですね。
サーバーが応答しませんとなります。
書込番号:19465841 スマートフォンサイトからの書き込み
0点
先刻の簡易WebメニューからのL2TP/IPSEC(Anonymousアカウント)での接続設定(トンネル2)を削除→再度Webメニューから再度登録設定をしてみて下さい。
L2TPリモートアクセス・トンネルについては、それが早いかと。
その際にAnonymousアカウント(ID:admin/パスワード:****)は、当初のアカウントとパスワードにて、登録下さい。
その際の暗号化キー(pre-shared-key 2 text ******)の部分も、当初のキーを確認登録し直し下さい。
その後、再度コマンドにて、切断タイマーの登録も確認下さい。
tunnel select 2
l2tp tunnel disconnect time 600
l2tp keepalive use off
書込番号:19465894
0点
やっぱりiphoneから繋がらないです。
iphoneの設定
タイプ:L2TP
サーバー:auのグローバルip
アカウント:admin
PW:****
シークレット:****
全ての信号を送信:オン
プロキシ:オフ
以下最新コンフィグです。
ip routing process fast
ip route default gateway 192.168.0.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.1/24
ip lan1 proxyarp on
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.0.254/24
ip lan2 secure filter in 101020 101021 101022 101023 101024 101025 101030 101032 101099
ip lan2 secure filter out 101020 101021 101022 101023 101024 101025 101099
ip lan2 nat descriptor 200
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:auひかり
pp select anonymous
pp name モバイル用
pp bind tunnel2
pp auth request chap-pap
pp auth username admin password
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1 key-id
l2tp always-on on
l2tp hostname RTX810-1
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.100.1
l2tp remote router-id 192.168.100.2
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text password
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.100.1-192.168.100.254
rip use on
ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipsec transport 2 2 udp 1701
syslog debug on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.3-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on
httpd host 192.168.100.3-192.168.100.254
alarm entire off
#
書込番号:19465926
0点
先にL2TPv3/IPSEC(自宅・会社間)暗号化キーのエラーと、アクセスグローバルIP認識エラーの対応が先かと。
自宅・会社それぞれのRTX810ルーターのトンネル1の「ipsec ike pre-shared-key 1 text ***.***」の、***.***を、もっと簡易的な半角英数字にされた方が良いですよ。
会社RTX810ルーターの「tunnel endpoint address 192.168.100.2 ***.***.***.*** 」と、「ipsec ike remote address 1 ***.***.***.***」の、AUグローバルIP設定が、自宅側RTX810ルーターにて認識されていませんので、確認下さい。
書込番号:19465936
0点
下記コマンドが、そのままですが、L2TPの削除はされたのでしょうか?
pp select anonymous
no pp name モバイル用
no pp bind tunnel2
no pp auth request chap-pap
no pp auth username admin password
no ppp ipcp ipaddress on
no ppp ipcp msext on
no ip pp remote address pool dhcp
no ip pp mtu 1258
pp enable anonymous
tunnel select 2
no tunnel encapsulation l2tp
no ipsec tunnel 2
no ipsec sa policy 2 2 esp 3des-cbc md5-hmac
no ipsec ike keepalive log 2 off
no ipsec ike keepalive use 2 off
no ipsec ike nat-traversal 2 on
no ipsec ike pre-shared-key 2 text password
no ipsec ike remote address 2 any
no l2tp tunnel auth off
no l2tp tunnel disconnect time 600
no l2tp keepalive use off
no ip tunnel tcp mss limit auto
tunnel enable 2
tunnel select none
no ipsec transport 2 2 udp 1701
上記コマンドを実行後、簡易Webメニューから再登録して下さい。
不要なコマンドも有りますよ。(l2tp tunnel auth off)
コマンド登録では無く、再度L2TPのみ最初から設定をWebから登録下さい。
IOS側も、一度アカウントを削除し、再度VPNアカウントを登録し直し下さい。
IOS側の設定が間違っているか、(AUグローバルIP宛て admin/password、暗号化キー password) 程度しか無いです。
書込番号:19465971
0点
通常は必要無いかと思いますが、自宅・会社RTX810ルーターに「ip lan1 proxyarp on」のコマンド投入しても変わりませんか?
書込番号:19465996
0点
当方にて、調査しました所、RTX810ルーターの一部機能制限が有るらしく、L2TPv3/IPSECとL2TP/IPSECの併用される設定の場合、自宅RTX810ルーターに限定し、ProxyARPとLAN1のアドレス固定設定が投入されていないといけない条件が有る様です。
ip lan1 address 192.168.100.1/24
ip lan1 ip lan1 proxyarp on
上のコマンドを、自宅RTX810ルーターへTeratermから投入して、先刻のL2TPリモートアクセスもお試し下さい。
書込番号:19466113
0点
下記が正常なコマンドになるかと存じます。
自宅RTX810ルーター
ip routing process fast
ip route default gateway 192.168.0.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.1/24
ip lan1 address 192.168.100.1/24
ip lan1 proxyarp on
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ipv6 lan1 dhcp service server
ip lan2 address 192.168.0.254/24
ip lan2 mtu 1492
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:DHCP
provider ntpdate ntp.nict.jp
pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin password
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.100.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text passowrd1
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-1
l2tp syslog on
l2tp local router-id 192.168.100.1
l2tp remote router-id 192.168.100.2
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text password1
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.1 udp * 4500
ip filter 101005 pass * 192.168.100.1 udp * 1701
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.100.1 udp * 500
ip filter 101081 pass * 192.168.100.1 esp * *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.100.1-192.168.100.254
nat descriptor masquerade static 200 1 192.168.100.1 udp 500
nat descriptor masquerade static 200 2 192.168.100.1 esp
nat descriptor masquerade static 200 3 192.168.100.1 udp 1701
nat descriptor masquerade static 200 4 192.168.100.1 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipsec transport 2 2 udp 1701
syslog debug on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.3-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on l2tpv3
httpd host 192.168.100.3-192.168.100.254
alarm entire off
書込番号:19466172
0点
正常な会社RTX810ルーター
ip routing process fast
ip route default gateway 192.168.99.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.99.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.2/24
ip lan1 address 192.168.100.2/24
ip lan1 proxyarp on
ip lan2 address 192.168.99.254/24
ip lan2 mtu 1454
ip lan2 nat descriptor 200
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.100.2 ***.***.***.*** (AUグローバルIP)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.100.2
ipsec ike local name 1 ipsec1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password1
ipsec ike remote address 1 ***.***.***.*** (AUグローバルIP)
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-2
l2tp syslog on
l2tp local router-id 192.168.100.2
l2tp remote router-id 192.168.100.1
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.0/24 icmp * *
ip filter 101005 pass * 192.168.100.0/24 established * *
ip filter 101006 pass * 192.168.100.0/24 tcp * ident
ip filter 101007 pass * 192.168.100.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.100.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.100.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101014 pass * 192.168.103.0/24 udp * ntp
ip filter 101015 pass * 192.168.103.0/24 udp ntp *
ip filter 101016 pass * 192.168.100.2 udp * 500
ip filter 101017 pass * 192.168.100.2 esp * *
ip filter 101018 pass * 192.168.100.2 udp * 1701
ip filter 101019 pass * 192.168.100.2 udp * 4500
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.100.2 udp 500
nat descriptor masquerade static 200 2 192.168.100.2 esp
nat descriptor masquerade static 200 3 192.168.100.2 udp 1701
nat descriptor masquerade static 200 4 192.168.100.2 udp 4500
rip use on
ipsec auto refresh on
syslog debug on
telnetd host 192.168.100.3-192.168.100.254
dns server 192.168.99.1
dns private address spoof on
httpd host 192.168.100.3-192.168.100.254
l2tp service on l2tpv3
alarm entire off
sshd service on
sshd host 192.168.100.3-192.168.100.254
sshd host key generate *
sftpd host 192.168.100.3-192.168.100.254
書込番号:19466189
0点
会社のRTX810ルーターの「ipsec transport 1 1 udp 1701」も忘れずにチェック下さい。
書込番号:19466206
0点
自宅RTX810ルーターのイメージConfigですが、誤入力です。
「l2tp service on l2tpv3」では無く、「l2tp service on」です。
既に投入済みかと思いますが。
書込番号:19466218
0点
>sorio-2215さん
たはは・・。HGWまでも繋がらなくなりました。
ip routing process fast
ip route default gateway 192.168.0.1
ip route 192.168.0.0/24 gateway tunnel 2
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.1/24
ip lan1 address 192.168.100.1/24
ip lan2 address 192.168.0.254/24
ip lan2 secure filter in 101003 101020 101021 101022 101023 101024 101025 101030 101032
ip lan2 secure filter out 101013 101020 101021 101022 101023 101024 101025 101099 dynamic 101080 101081 101082 101083 101084 101085 101098 101099
provider lan1 name LAN:
provider lan2 name PRV/0/3/5/0/0/0:auひかり
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.1
ipsec ike nat-traversal 1 on
l2tp tunnel auth off
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
tunnel select 2
tunnel name モバイル用
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc
ipsec ike keepalive use 2 off
ipsec ike local address 2 192.168.100.1
ipsec ike pre-shared-key 2 text password
ipsec ike remote address 2 any
ipsec ike remote name 2 admin key-id
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.1 udp * 4500
ip filter 101005 pass * 192.168.100.1 udp * 1701
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.100.1 udp * 500
ip filter 101081 pass * 192.168.100.1 esp * *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
ipsec auto refresh on
syslog debug on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.3-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on
httpd host 192.168.100.3-192.168.100.254
alarm entire off
#
書込番号:19467187
0点
192.168.0.0/24へのアクセスが、L2TPリモートトンネルへ固定されてますよ。
先刻の当方説明のConfigを見ましたか? (どちらから、転記されましたか?)
L2TPモバイルのリモートアクセスのトンネルの設定になってませんよ。
不要・修正コマンドを投入下さい(下記をそのままコマンド実行下さい)
no ip route 192.168.0.0/24 gateway tunnel 2
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ipv6 lan1 dhcp service server
ip lan2 secure filter in 101004 101005 101020 101021 101022 101023 101024 101025 101030 101032 101080 101081 101099
ip lan2 secure filter out 101020 101021 101022 101023 101024 101025 101099
pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin password
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.100.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text passowrd
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-1
l2tp syslog on
l2tp local router-id 192.168.100.1
l2tp remote router-id 192.168.100.2
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text password
ipsec ike remote address 2 any
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
no ipsec ike local address 2 192.168.100.1
no ipsec ike remote name 2 admin key-id
tunnel enable 2
上記の修正コマンドを投入後、会社RTX810ルーターのConfigが、別紙になっているか確認下さい。
書込番号:19467708
0点
先刻の別紙分、会社RTX810ルーターの正常なConfigです。
ip routing process fast
ip route default gateway 192.168.99.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.99.1
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.2/24
ip lan1 address 192.168.100.2/24
ip lan1 proxyarp on
ip lan2 address 192.168.99.254/24
ip lan2 mtu 1454
ip lan2 nat descriptor 200
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.100.2 ***.***.***.*** (AUグローバルIP)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.100.2
ipsec ike local name 1 ipsec1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 ***.***.***.*** (AUグローバルIP)
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-2
l2tp syslog on
l2tp local router-id 192.168.100.2
l2tp remote router-id 192.168.100.1
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.0/24 icmp * *
ip filter 101005 pass * 192.168.100.0/24 established * *
ip filter 101006 pass * 192.168.100.0/24 tcp * ident
ip filter 101007 pass * 192.168.100.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.100.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.100.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101014 pass * 192.168.103.0/24 udp * ntp
ip filter 101015 pass * 192.168.103.0/24 udp ntp *
ip filter 101016 pass * 192.168.100.2 udp * 500
ip filter 101017 pass * 192.168.100.2 esp * *
ip filter 101018 pass * 192.168.100.2 udp * 1701
ip filter 101019 pass * 192.168.100.2 udp * 4500
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.100.2 udp 500
nat descriptor masquerade static 200 2 192.168.100.2 esp
nat descriptor masquerade static 200 3 192.168.100.2 udp 1701
nat descriptor masquerade static 200 4 192.168.100.2 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 1 1 udp 1701
syslog debug on
telnetd host 192.168.100.3-192.168.100.254
dns server 192.168.99.1
dns private address spoof on
httpd host 192.168.100.3-192.168.100.254
l2tp service on l2tpv3
alarm entire off
sshd service on
sshd host 192.168.100.3-192.168.100.254
sshd host key generate *
sftpd host 192.168.100.3-192.168.100.254
それと、自宅RTX810ルーターに、下記コマンドが削除されていますので、追加投入して下さい。
ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipsec transport 2 2 udp 1701
書込番号:19467714
0点
最終チェックとして、下記Configが正常な自宅RTX810ルーターの情報になります。
投入済みの情報と照らし合わせて、投入済みで間違っているものは、削除下さい。
ip routing process fast
ip route default gateway 192.168.0.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.1/24
ip lan1 address 192.168.100.1/24
ip lan1 proxyarp on
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ipv6 lan1 dhcp service server
ip lan2 address 192.168.0.254/24
ip lan2 mtu 1492
ip lan2 secure filter in 101004 101005 101020 101021 101022 101023 101024 101025 101030 101032 101080 101081 101099
ip lan2 secure filter out 101020 101021 101022 101023 101024 101025 101099
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:DHCP
provider ntpdate ntp.nict.jp
pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin password
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.100.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text passowrd
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-1
l2tp syslog on
l2tp local router-id 192.168.100.1
l2tp remote router-id 192.168.100.2
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text password
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.1 udp * 4500
ip filter 101005 pass * 192.168.100.1 udp * 1701
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.100.1 udp * 500
ip filter 101081 pass * 192.168.100.1 esp * *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.100.1-192.168.100.254
nat descriptor masquerade static 200 1 192.168.100.1 udp 500
nat descriptor masquerade static 200 2 192.168.100.1 esp
nat descriptor masquerade static 200 3 192.168.100.1 udp 1701
nat descriptor masquerade static 200 4 192.168.100.1 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipsec transport 2 2 udp 1701
syslog debug on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.3-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on
httpd host 192.168.100.3-192.168.100.254
alarm entire off
書込番号:19467736
0点
モバイルのL2TPリモートアクセスの接続ID(admin)で、接続パスワード(password)、暗号化キー(password)の条件になります。
書込番号:19467748
0点
>sorio-2215さん
自宅→会社 繋がりません。アイフォンもダメです。
自宅コンフィグ
ip routing process fast
ip route default gateway 192.168.0.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.1/24
ip lan1 address 192.168.100.1/24
ip lan1 proxyarp on
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ipv6 lan1 dhcp service server
ip lan2 address 192.168.0.254/24
ip lan2 mtu 1492
ip lan2 secure filter in 101004 101005 101020 101021 101022 101023 101024 101025 101030 101032 101080 101081 101099
ip lan2 secure filter out 101020 101021 101022 101023 101024 101025 101099
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:DHCP
provider ntpdate ntp.nict.jp
pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin password
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1 key-id
l2tp always-on on
l2tp hostname RTX810-1
l2tp tunnel auth off
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.100.1
l2tp remote router-id 192.168.100.2
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel name モバイル用
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text password
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.1 udp * 4500
ip filter 101005 pass * 192.168.100.1 udp * 1701
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.100.1 udp * 500
ip filter 101081 pass * 192.168.100.1 esp * *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.100.1-192.168.100.254
nat descriptor masquerade static 200 1 192.168.100.1 udp 500
nat descriptor masquerade static 200 2 192.168.100.1 esp
nat descriptor masquerade static 200 3 192.168.100.1 udp 1701
nat descriptor masquerade static 200 4 192.168.100.1 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipsec transport 2 2 udp 1701
syslog debug on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.3-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on
httpd host 192.168.100.3-192.168.100.254
alarm entire off
#
書込番号:19468094
0点
会社コンフィグです。
ip routing process fast
ip route default gateway 192.168.99.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.99.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.2/24
ip lan1 address 192.168.100.2/24
ip lan1 proxyarp on
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.99.254/24
ip lan2 mtu 1454
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.100.2 auIP
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.2
ipsec ike local name 1 ipsec1 key-id
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 auIP
l2tp always-on on
l2tp hostname RTX810-2
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.100.2
l2tp remote router-id 192.168.100.1
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.0/24 icmp * *
ip filter 101005 pass * 192.168.100.0/24 established * *
ip filter 101006 pass * 192.168.100.0/24 tcp * ident
ip filter 101007 pass * 192.168.100.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.100.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.100.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101014 pass * 192.168.103.0/24 udp * ntp
ip filter 101015 pass * 192.168.103.0/24 udp ntp *
ip filter 101016 pass * 192.168.100.2 udp * 500
ip filter 101017 pass * 192.168.100.2 esp * *
ip filter 101018 pass * 192.168.100.2 udp * 1701
ip filter 101019 pass * 192.168.100.2 udp * 4500
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.100.2 udp 500
nat descriptor masquerade static 200 2 192.168.100.2 esp
nat descriptor masquerade static 200 3 192.168.100.2 udp 1701
nat descriptor masquerade static 200 4 192.168.100.2 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 1 1 udp 1701
syslog debug on
telnetd host 192.168.100.3-192.168.100.254
dns server 192.168.99.1
dns server dhcp lan2
dns private address spoof on
l2tp service on l2tpv3
httpd host 192.168.100.3-192.168.100.254
alarm entire off
sshd service on
sshd host 192.168.100.3-192.168.100.254
sftpd host 192.168.100.3-192.168.100.254
#
書込番号:19468127
0点
最新の会社コンフィグです。
ip routing process fast
ip route default gateway 192.168.99.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.99.1
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.2/24
ip lan1 address 192.168.100.2/24
ip lan1 proxyarp on
ip lan2 address 192.168.99.254/24
ip lan2 mtu 1454
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.100.2 auIP
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.2
ipsec ike local name 1 ipsec1 key-id
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 auIP
l2tp always-on on
l2tp hostname RTX810-2
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.100.2
l2tp remote router-id 192.168.100.1
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.0/24 icmp * *
ip filter 101005 pass * 192.168.100.0/24 established * *
ip filter 101006 pass * 192.168.100.0/24 tcp * ident
ip filter 101007 pass * 192.168.100.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.100.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.100.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101014 pass * 192.168.100.0/24 udp * ntp
ip filter 101015 pass * 192.168.100.0/24 udp ntp *
ip filter 101016 pass * 192.168.100.2 udp * 500
ip filter 101017 pass * 192.168.100.2 esp * *
ip filter 101018 pass * 192.168.100.2 udp * 1701
ip filter 101019 pass * 192.168.100.2 udp * 4500
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.100.2 udp 500
nat descriptor masquerade static 200 2 192.168.100.2 esp
nat descriptor masquerade static 200 3 192.168.100.2 udp 1701
nat descriptor masquerade static 200 4 192.168.100.2 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 1 1 udp 1701
syslog debug on
telnetd host 192.168.100.3-192.168.100.254
dns server 192.168.99.1
dns private address spoof on
l2tp service on l2tpv3
httpd host 192.168.100.3-192.168.100.254
alarm entire off
sshd service on
sshd host 192.168.100.3-192.168.100.254
sftpd host 192.168.100.3-192.168.100.254
#
書込番号:19468203
0点
L2TPv3トンネル認証が、うまく採れない状態かと考えます。
自宅RTX810ルーターのトンネル認証が無効になってますよ。
下記コマンドを自宅RTX810ルーターに投入下さい。
tunnel select 1
l2tp tunnel auth on ipsec
tunnel select 2
no l2tp tunnel auth off
自宅・会社RTX810ルーター、双方の簡易Webメニューから、「ipsec refresh sa」コマンド実行をお試し下さい。
最後に、自宅RTX810ルーター→会社RTX810ルーターのコマンドにて、「restart」を実行下さい。
他のConfigについては、合致していますので、接続出来ない様でしたら、双方のRTX810にて、「show log」の情報をお教え下さい。
書込番号:19468415
0点
iPhoneからの接続成功です!
ただしルーターまで。各機器には繋がりません。
書込番号:19468427 スマートフォンサイトからの書き込み
0点
>sorio-2215さん
会社から自宅へ繋がったようですが、よくわからない現象が出ています。自宅のHGWとルーターにだけ入れないのです。その他の機器には入れます。
アイフォンから自宅への接続とは逆の現象ですね。
自宅から会社は試していません。
よろしくお願いします。
書込番号:19468540
0点
HGWへのアクセスについて3
が消えました!
また建てますのでよろしくお願いします。
書込番号:19468942
0点
おかげさまでiphoneからLTEを使ってVPN接続ができました。ありがとうございます。
そこで疑問なのが 「ただ単に接続を維持している状態」 でのパケット使用量です。
ファイル等をダウンロードしたりすればパケット代はかかると思います。しかし上記の時はどうなのでしょうか?
もしパケットを消費しているとしたらその目安も教えてください。
よろしくお願いいたします。
0点
先ほどのRTX810での拠点間IPSEC-VPN方ですか?
LTEでのL2TP/IPSECの追加トンネル設定は、自身でうまくいった形ですか?
LTE端末の消費パケットの件ですが、AUスマホであれば、「AUサポート」アプリにて、現時点での消費パケット容量が表示可能ですが。
だいたいの目安にて、2GB前後ですと1日3〜4時間ストリーミング再生をすると、最大でも4〜5日程度で消費してしまいます。
アンドロイド端末では、「通信量・通信速度モニター」アプリをGoogle-Playより適用しますと、リアルタイムな消費パケット表示が可能です。
消費パケットまで気にせずVPNネットワークで運用されたい場合には、スマホやタブレットのLTE回線を利用せず、UQ-WiMAXの帯域制限無しのモバイルルーターの契約を別途お考え下さい。
※ 月次7GB制限無し、3日連続運用での速度制限は有りますが。
※ http://www.uqwimax.jp/service/change/speedlimitl/
つまり、UQ-WiMAXのモバイル回線ルーターの契約(7GB)をするのと同時に、スマホ・タブレットの容量の下限変更をご検討下さい。
※ 7GBであれば、5GBや3GB、2GBなど。
書込番号:19389443
1点
>sorio-2215さん
たびたび恐れ入ります。
よく考えると通信量測定アプリがありますから、それでVPNを単純に接続して、結果を見ればいいですね。
iphoneでのアクセスはメインにしないのであまり気にしてはいないのですが。
ありがとうございました。
書込番号:19389604
0点
本機を利用して私の経営する会社と自宅の間にVPNを構築しようとしています。
【ネットワークの概要】(会社)
フレッツ光ネクスト--- RT-500KI --- RTX810 --- PC
HGW
WAN:?
LAN:192.168.100.1
本機
WAN:グローバルIP
LAN:192.168.1.1
PC
LAN:192.168.1.**
※上記構成でtracert を使ってみるとHGWはIP上は関与していないようです
【ネットワークの概要】(自宅)
auひかりギガ--- BL900HW --- RTX810 --- PC
HGW
WAN:グローバルIP
LAN:192.168.0.1
本機
WAN:192.168.0.254
LAN:192.168.100.1
PC
LAN:192.168.100.**
会社ではHGWにはPPOEパススルーを設定し本機にID等を設定しインターネットに出られるようになりました。しかしPCからHGWにアクセスすることができません。仕方なくケーブルを抜き差ししてPCとHGWを繋いでいます。
これでは不便すぎるのでNTTとヤマハの両方に「PCから本機経由でHGWへアクセスできるか?」を聞きましたが、どちらもムリとの回答でした。
しかし自宅ではauひかりを使っていて、PCからHGWへのアクセスはできています。(この掲示板のRTX1210での書き込みが非常に参考になりました)
NTTとauの大きな違いはHGWを二重ルーターとして使えるかどうかと思います。
長くなりましたが、VPNができる前提で、会社でもPCからHGWにアクセスできる方法を教えてください。
0点
VPNの事はよく分かりませんが、我が家の場合は、
フレッツ光ネクスト--- PR-500MI --- RTX810 --- PC
で、PR-500MIはPPPoEパススルー、ルータ機能はRTX810で行っています。
この状態で、PR-500MIの設定画面には、
http://[PR500-MIのLAN側IPv6アドレス]
で繋がります。
書込番号:19385082
1点
>1Q3さん
今は自宅なので会社のHGW内部は見られません。代わりに自宅(auひかり)のHGW内部を見てみました。
LAN側状態
IPv6アドレス/プレフィックス長(グローバル)
IPv6アドレス/プレフィックス長(リンクローカル)
上記2つの項目がありました。NTTのHGWでも同様に見えるのでしょうか?入れるとしたらどちらですか?
よろしくお願いします。
書込番号:19385590
0点
HGWにPCを直接繋いで、コマンドプロンプトから ipconfig /all で、「DNSサーバ」に表示されるIPv6アドレスです。
書込番号:19385792
1点
構成としては、自宅側のHGWのDMZホスト設定にて、192.168.0.254/24の登録、RTX810ルーターのIPSECトンネル設定を実施すればOKです。
ただし、会社側のHGWのIPが192.168.100.1/24で、自宅側のRTX810のIPが192.168.100.1/24では、IPパケット重複動作となり、IPSEC確立条件にはなりません。
いくつか方法があります。
@ 自宅側RTX810ルーターを192.168.101.1/24(DHCP192.168.101.2〜192.168.101.100へ変更)
→会社側RTX810ルーターのIPを192.168.100.1/24(DHCP192.168.100.2〜192.168.100.1へ変更。
→ 会社RTX810ルーターのIPSECトンネルの静的ルーティング登録にて、192.168.101.0/24を登録。
→ 自宅RTX810ルーターのIPSECトンネルの静的ルーティング登録にて、192.168.100.0/24を登録。
→ 会社側HGWのIPを192.168.100.254等へ変更し、DHCP機能を無効化。
→ 会社側HGWのPPPOE接続設定をしているのであれば、削除し、RTX810ルーターでPPPOE接続。
→ 追加で、会社側のRTX810ルーターのLANポートとHGWのLANポートを有線接続
上記の内容で、自宅側のIPSEC回線から、会社のHGWのIP192.168.100.254にて参照可能です。
IPSECトンネルの接続用グローバルIP管理には、Netvolante-DNSを登録します。
※ 設定例・・http://jp.yamaha.com/products/network/solution/vpn/connect/vpn-explain_ipsec_main/
二つ目の方法
A 会社のRTX810ルーターのIPを192.168.100.1/24へ、自宅RTX810ルーターのIPを192.168.100.2/24へ変更
→ DHCP機能は、会社側RTX810ルーターのDHCP機能を設定し、自宅側RTX810はDHCP無効化
→ IPSECトンネルは、トンネルIPをブリッジング設定し、同一IPセグメントでのIPSEC接続設定をする。
→ 自宅と会社のグローバルIPはNetvolante-DNSをそれぞれ構成する。
→ 会社側HGWのIPは、@のIPと同じ192.168.100.254/24(DHCP無効化)する。
上記の内容で、同一セグメントでのL2TPv3-VPN構成となります。
※ 設定例・・http://jp.yamaha.com/products/network/solution/vpn/connect/vpn-connect-l2tpv3_ipsec-rtx1200/
逆に会社から自宅のHGWへアクセスされたい場合には、@の方法ですと、会社のRTX810ルーターのIPSECトンネルの静的ルーティングに、192.168.0.0/24を追加登録します。
会社端末からの自宅HGWアクセスには、192.168.0.1にて可能。
Aの方法ですと、自宅のHGWのIPアドレス変更が必要です。
→自宅HGWのIPを192.168.100.253/24(DHCP無効化)
会社端末からの自宅HGWアクセスには、192.168.100.253にて可能。
どちらの設定例においても、グローバルIP固定契約の代替処置にて、Netvolante-DNS登録とVPNトンネル接続先に、Netvolante-DNSドメイン指定する方法になります。
書込番号:19386435
1点
補足です。
自宅・AU光の場合、Netvolante-DNSの取得設定は出来ませんので、AU光-HGWのステータス情報でのグローバルIPアドレスをVPN相手先として、会社RTX810ルーターのVPN設定に投入します。
会社の回線については、RTX810ルーターでのPPPOE接続している形態イメージで、Netvolante-DNS構成は可能ですので、要はIPSEC-VPNでのメインモード設定になります。
AU光の場合、HGWが故障交換でもしない限り、グローバルIPアドレスは半固定ですので、故障交換時に本社RTX810ルーターのVPN接続先グローバルIPを変更するだけです。
書込番号:19386675
0点
会社のIPアドレス・セグメントと、自宅IPアドレス・セグメント構成を同一構成として、VPN接続する方法として、もう一つ有ります。
RTX810ルーターですと、最新ファームウェア適用しておいた方が良いですが、IPSEC-VPN(Twice-NAT)という方法も有ります。
先刻のL2TPv3-VPNと酷似しておりますが、HGWの設定(変更IPアドレス及びDHCP無効化)は同じで、RTX810同士を同一セグメントとしてVPN-NAT変換設定する方法です。
L2TPv3-VPNと違うのは、それぞれのRTX810ルーターのDHCP機能を有効でも可能である点です。
※設定例・・http://jp.yamaha.com/products/network/solution/vpn/connect/twice_nat/
※設定例2・・http://www.rtpro.yamaha.co.jp/RT/docs/nat-descriptor/twice-nat.html
書込番号:19386697
0点
>sorio-2215さん
ていねい且つ詳細な説明をありがとうございます。おかげで一歩踏み出せております。
結局は1の方式を取ることにしましたが、説明でおそらく間違いと思われる部分がありました。DHCPスコープの部分です。確認お願いします。
説明の理解で苦労したのがHGWと本機の間にLAN用とWAN用2本のケーブルを挿す部分でした。1本で賄うものと思い込み苦労しました。
コンフィグを公開しますので過不足・過誤がありましたらご指摘お願いします。
もし過ちがないようでしたらIPsecの設定に進みたいのですが、入れるべき項目等があまりわかりません。なお「ヤマハルーターでつくる インターネットVPN」は購入済ですから、該当の場所を教えていただければ自分でも調べられます。
以上よろしくお願いします。
書込番号:19387501
0点
現在のコンフィグです。
前略
ip route default gateway pp 1 filter 500000 gateway pp 1
ip lan1 address 192.168.100.1/24
provider type isdn-terminal
provider filter routing connection
provider lan1 name LAN:
provider lan2 name PPPoE/0/1/5/0/0/0:Nifty
provider ntpdate ntp.nict.jp
pp select 1
pp name PRV/1/1/5/0/0/0:Nifty
pp keepalive interval 30 retry-interval=30 count=12
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname *****@nifty.com ***********
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp secure filter in 200003 200020 200021 200022 200023 200024 200025 200030 200032
ip pp secure filter out 200013 200020 200021 200022 200023 200024 200025 200026 200027 200099
dynamic 200080 200081 200082 200083 200084 200085 200098 200099
ip pp nat descriptor 1000
pp enable 1
provider set 1 Nifty
provider dns server pp 1 1
provider select 1
ip filter 200000 reject 10.0.0.0/8 * * * *
ip filter 200001 reject 172.16.0.0/12 * * * *
ip filter 200002 reject 192.168.0.0/16 * * * *
ip filter 200003 reject 192.168.100.0/24 * * * *
ip filter 200010 reject * 10.0.0.0/8 * * *
ip filter 200011 reject * 172.16.0.0/12 * * *
ip filter 200012 reject * 192.168.0.0/16 * * *
ip filter 200013 reject * 192.168.100.0/24 * * *
ip filter 200020 reject * * udp,tcp 135 *
ip filter 200021 reject * * udp,tcp * 135
ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 200024 reject * * udp,tcp 445 *
ip filter 200025 reject * * udp,tcp * 445
ip filter 200026 restrict * * tcpfin * www,21,nntp
ip filter 200027 restrict * * tcprst * www,21,nntp
ip filter 200030 pass * 192.168.100.0/24 icmp * *
ip filter 200031 pass * 192.168.100.0/24 established * *
ip filter 200032 pass * 192.168.100.0/24 tcp * ident
ip filter 200033 pass * 192.168.100.0/24 tcp ftpdata *
ip filter 200034 pass * 192.168.100.0/24 tcp,udp * domain
ip filter 200035 pass * 192.168.100.0/24 udp domain *
ip filter 200036 pass * 192.168.100.0/24 udp * ntp
ip filter 200037 pass * 192.168.100.0/24 udp ntp *
ip filter 200098 reject-nolog * * established
ip filter 200099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 200080 * * ftp
ip filter dynamic 200081 * * domain
ip filter dynamic 200082 * * www
ip filter dynamic 200083 * * smtp
ip filter dynamic 200084 * * pop3
ip filter dynamic 200085 * * submission
ip filter dynamic 200098 * * tcp
ip filter dynamic 200099 * * udp
nat descriptor type 1000 masquerade
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.100/24
dns server pp 1
dns server select 500001 pp 1 any . restrict pp 1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
alarm entire off
#
書込番号:19387506
0点
このConfig、会社側ですか?
会社RTX810ルーターのConfigとしてでしたら、インターネット接続構成のみ(Nifty)でしたらOKです。
追加で、IPSECトンネルのコマンド未設定ですが、下記トンネルを参考下さい。
tunnel select 1
tunnel name tunnel1
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc sha-hmac
ipsec ike always-on 1 on
ipsec ike duration ipsec-sa 1 3600
ipsec ike duration isakmp-sa 1 3600
ipsec ike encryption 1 3des-cbc
ipsec ike esp-encapsulation 1 off
ipsec ike group 1 modp1024
ipsec ike hash 1 sha
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on dpd 10 6
ipsec ike local address 1 192.168.100.1
ipsec ike local id 1 192.168.100.0/24
ipsec ike log 1 key-info message-info payload-info
ipsec ike pfs 1 off
ipsec ike pre-shared-key 1 text (任意の暗号化キー)
ipsec ike remote address 1 (AU光のグローバルIP)
ipsec ike remote id 1 192.168.101.0/24
ipsec auto refresh 1 on
ip tunnel tcp mss limit auto
tunnel enable 1
ip filter 200014 pass * 192.168.100.1 udp * 500
ip filter 200015 pass * 192.168.100.1 esp * *
ip filter 200016 pass * 192.168.100.1 tcp * 1723
ip filter 200017 pass * 192.168.100.1 gre * *
pp select 1
ip pp secure filter in 200003 200014 200015 200016 200017 200020 200021 200022 200023 200024 200025 200030 200032
netvolante-dns hostname host pp *******
netvolante-dns go pp 1
pp select none
nat descriptor log on
nat descriptor type 1000 masquerade
nat descriptor timer 1000 600
nat descriptor timer 1000 tcpfin 30
nat descriptor timer 1000 protocol=udp port=domain 30
nat descriptor address outer 1000 ipcp
nat descriptor address inner 1000 auto
nat descriptor masquerade incoming 1000 through
nat descriptor masquerade rlogin 1000 on
nat descriptor masquerade static 1000 1 192.168.100.1 udp 500
nat descriptor masquerade static 1000 2 192.168.100.1 esp
nat descriptor masquerade session limit 1000 1 8500
ipsec auto refresh on
上記のNetvolante-DNSのドメイン名(*******)は、任意に決めて下さい。
自宅側のRTX810ルーターのIPSEC-VPNのトンネル接続先のドメインになります。(*******..aa0.netvolante.jp)
コマンド投入の方法は、解りますよね?
書込番号:19387664
0点
先ほど、Netvolante-DNSの登録→グローバルIPが変動した場合の自動監視更新の設定コマンドをわすれてました。
以下参考に。
pp select 1
netvolante-dns hostname host pp server=1 ******.aa0.netvolante.jp
******は、先ほど登録完了しましたドメインのアカウントです。
書込番号:19387670
0点
先ほどまでの設定が完了しましたら、静的ルーティングの設定コマンドを投入下さい。
以下参考に。
ip route 192.168.101.0/24 gateway tunnel 1
書込番号:19387681
0点
あくまでも、自宅側RTX810ルーターのIPアドレス・セグメントを192.168.101.0/24、ルーター自身IPを192.168.101.1/24にて想定下さい。
書込番号:19387691
0点
ご質問のDHCPスコープの部分については、正規です。
書込番号:19387718
0点
>sorio-2215さん
>→会社側RTX810ルーターのIPを192.168.100.1/24(DHCP192.168.100.2〜192.168.100.1へ変更。
上記部分が間違っていると思ったのですが。
DHCP192.168.100.2〜192.168.100.100 へ変更。 とすべきでないでしょうか?一応このように読み替えて設定しています。
書込番号:19388100
0点
おかげさまで会社と自宅の間に仮想専用通信網を張れたようです。自宅から会社のローカルIPアドレスを叩くと会社の機器にログインできることに「素直に感動!」です。
ありがとうございます!!
しかしルーターだけは拒否されてしまいます。
なにかログインするための設定があるのでしょうか?ご教示いただければ幸いです。
書込番号:19388569
0点
「ルーターだけは拒否されてしまいます。」の件ですが、自宅側から会社側のRTX810ルーターのログイン出来ないと言う事ですか?
上記の点で有れば、YamahaのWebコンソール仕様として、デフォルト値が同一LAN1インターフェイスからのみ、ログインを受け付ける設定になっております。
コマンドから、下記の設定投入下さい。
httpd host 192.168.100.2-192.168.100.254 192.168.101.2-192.168.101.254
Webコンソールの設定を、インターフェイスのレベルではなく、IPアドレスでのログイン管理に変更するコマンドです。要は、会社のセグメントIPと自宅のセグメントIPを許容する様に変更すると言うことです。
ちなみに、Webコンソールのログインではなく、ターミナルソフト(WindowsハイパーターミナルやTeraTermなど)からのログインをIPアドレス管理に変更する場合には、下記を参照下さい。
telnetd host 192.168.100.2-192.168.100.254 192.168.101.2-192.168.101.254
会社から、自宅のRTX810ルーターへログイン許容される場合においても、同様のコマンドが必要です。
書込番号:19388691
0点
「会社側RTX810ルーターのIPを192.168.100.1/24(DHCP192.168.100.2〜192.168.100.1へ変更。」
↑ ご推察通り、当方の説明コマンドが誤入力されてました。
DHCP192.168.100.2〜192.168.100.1へ変更 → DHCP192.168.100.2〜192.168.100.100へ変更
上記が正規のコマンドです。
書込番号:19388695
0点
既存のVPNでの会社・自宅の構成ですが、会社側がNiftyと言う事で留意する点として、Niftyの光NEXT回線の性能維持・向上のために、V6オプション申請をされた際に、会社RTX810ルーターにIPV6-RAプレフィックス設定をされるケースも有るかと考えますが、その際に光電話ルーターとRTX810ルーターをブランチ接続している関係上、IPV6アドレスのループ現象が発生する可能性が有ります。
その際には、RTX810ルーターには、IPV6-RAプレフィックスのみ受信し、それ以外は拒否する設定が必要になるかもしれません。
※ Nifty V6プラス・・http://csoption.nifty.com/ipv6/
書込番号:19388813
0点
>sorio-2215さん
ニフティについてはまさに昨日この件でトラブルめいたことがありました。
それは本機でPPPOE接続しており、本機をネットから物理的に外したにもかかわらずPCがインターネットに繋がっていたのです。サポートに聞いても「HGWに前の設定が残っている」だの「PCから直接つながっている」だの見当はずれの回答ばかりでした。こちらが状況を何度も説明してようやくIPV6で「ニフティ側から」接続がされていることが判明。IPV6は即刻契約解除しました。
ユーザーの意思に反してネットに勝手に接続しておくサービスなどは仮に無料だからと言って許されるものではありません。
ニフティ利用者は注意した方がいいと思います。
以上余談でした。
書込番号:19388869
0点
確認ですが、会社と自宅でRTX810ルーター同士のIPSEC-VPNトンネルでうまくいったと言う認識で宜しいでしょうか?
会社RTX810ルーターログインも、自宅RTX810回線からログインと、LTE回線からのログインも併用出来たと言う事で宜しいでしょうか?
VPN接続出来たと言うことで有れば、VPNトンネルを経由して、会社の利用NASやサーバの共有情報の参照や、IPカメラなどを設置された場合に、自宅やLTE回線からIPカメラの映像参照やIPカメラレコーダーなどのマルチモニター参照、録画情報の参照などの発展性が有るかと存じます。
書込番号:19389457
0点
>sorio-2215さん
はい。おかげさまで通信自体は確立しています。ただし会社内のルーターのアクセス方法の変更(特定アドレスからの許可)手続きはまだやっていないので明日以降試します。自宅のルーターの設定は完了しています。
ところで本題とちょっと外れた質問なのですが・・。
会社のNASの中に保存しているファイルを自宅のPC(win7pro)から見る方法はありませんか?会社のNAS自体にはログインできていて共有フォルダの設定等は終わったと思います。会社ではNAS内の共有フォルダは会社のPC(win7pro)のリモートドライブとしても設定しています。
ひょっとして会社のPCからフォルダに何らかの設定する必要があるのでしょうか?
希望だけカンタンに言えば自宅のPCのフォルダと同様に会社のフォルダも操作したいということです。
たびたびすみませんがご指導お願いいたします。
書込番号:19389599
0点
\\192.168.100.200\フォルダ名
たったコレだけでした!うーん、便利便利(笑)
ありがとうございました。
書込番号:19389644
0点
社内共有フォルダと同様の感覚になるかと。
良かったですね。
欲を言えば、モバイルやタブレットなどのアクセスも考慮し、NASの機能にBuffalo「Webアクセス」、IO-DATA製「リモートリンク」機能などが搭載されていれば、VPN接続後でのブラウザアクセスでのファイル共用参照も可能です。
ブラウザアクセス時でも、L2TP/IPSEC-VPN接続後、http://192.168.100.200リンクにて、ファイル共用アクセス可能です。(VPNでのセキュリティ付加ファイル共有が可能)
書込番号:19389826
0点
もし、NiftyのV6プラスの再利用申請をされる場合には、パケットループ阻止のためのIPV6パケットフィルタの設定の見直しを考慮下さいね。
会社・光電話ルーターとRTX810ルーターのブランチ接続の関係上、IPV6通信の排他フィルタをうまく設定されませんと、Web参照に弊害が出ることも想定されます。
会社のNTT光電話ルーターには、IPV6ファイアーウォール機能は有りますが、NGN網での速度制限解除のため、IPV6のAny許可しか設定出来ませんので、RTX810ルーター側のIPV6パケット制限の細かな設定が必要になるかと存じます。
書込番号:19389849
0点
>sorio-2215さん
先ほど会社に行ってルーターへのIPアドレスでのアクセス許可を設定し、ログインができることを確認しました。
いろいろお世話になり、大変感謝しております。
ありがとうございました。
書込番号:19390049
0点
良かったですね。
あとは、VPNを併用しました業務系ソフトを運用しますと、業務円滑化・効率化が図れるかと存じます。
※ https://www.yayoi-kk.co.jp/products/interview/user/78/
※ http://yayoi-k.jp/yayoi-network/vpn/
※ 弥生販売ネットワーク版・・http://yayoi-k.jp/yayoi-network/yhnet/
※ 弥生会計ネットワーク版・・http://yayoi-k.jp/yayoi-network/yknet/
Ipadなどの連携にて、販売履歴や商品在庫検索、見積履歴検索なども可能です。
当方利用していますのは、ソリマチ「販売王」ネットワーク版、「会計王」ネットワーク版です。(サーバ有り)
書込番号:19390342
1点
>sorio-2215さん
あ。もう少し質問お願いします。
LTE接続のiPhoneから自宅と会社のVPNにアクセスできるようにそれぞれのルーターにRAS接続の設定をし、iPhoneにもそれぞれの接続設定を入れました。
この時、仮に自宅の回線に接続したiPhoneは自宅のローカルIPが振られ、自宅の端末として振る舞うという理解でいいですか?私の場合はどちらの回線に接続してもどちらのネットワークにも入れるのだからあまり回線の使い分けをする意義がないような気がしています。
どのような時に回線の使い分けをするのかがよくわかりません。
よろしくお願いいたします。
書込番号:19390664
0点
うーん、表現としては難しいですが、例えば自宅にNASやサーバが有り、何らかのデータベースソフトや仕組みが有って、アクセスレスポンスとして、自宅VPNへログインした方が接続感度及び情報の参照が短縮出来たり、逆に会社にNASやサーバが有り、そちらへアクセスする場合には、会社へVPN接続する形態をイメージして頂ければと考えます。
勿論、会社へVPNログインし、自宅側へルーティングアクセスも可能ですが、迂回している分通信レスポンスは落ちます。
例えばこういう事例が有るのですが、会社と支店、店舗の接続端末数が多い場合に、それぞれの端末にセキュリティソフトを適用するのは、セキュリティ更新やスキャン検疫、ソフトウェア更新などが1台ずつ対応するのは、時間的に無駄ですよね?
そういう際に、VPN接続している環境でしたら、VPNルーターの設定で、支店及び店舗がインターネット接続を、本社インターネット回線経由でアクセスする方法の設定も有ります。
そのケースだった際に、支店側からみればVPN先のインターネット回線を使う設定(フィルター型ルーティング、ポリシールーティングと言います)構成し、その本社インターネット回線機能にセキュリティサーバやUTMセキュリティ機器を経由する様に設定すれば、会社総体のセキュリティ管理を本社端末操作で出来る形になります。
身近な話で言うと、今回は会社のVPNルーターもRTX810で構成しましたが、会社ルーターもYamaha「FWX120」にて構成も可能だった訳ですが、自宅のRTX810ルーター回線を会社FWX120のゲートウェイ経由で、セキュリティ機能付きインターネット接続形態も採れた訳です。
※ http://www.trendmicro.co.jp/jp/business/products/tmwsyr/
※フィルタ型ルーティング・・http://www.rtpro.yamaha.co.jp/RT/docs/filter-routing/filter-routing.html
↑サイトを見て頂ければ類推可能かと思いますが、支店も本社経由アクセス「例3.拠点からVPN接続しているセンター経由でインターネット接続を行う場合」のケースが構成可能です。
要は、利用しますVPNネットワークの追加構成及び端末の仕組みによって、セキュリティソフトの機能もPC端末にインストールしなくても、セキュリティ検疫出来るシステムの適用だったり、柔軟な構成を採れる運用をイメージ下さればと考えます。
書込番号:19390761
1点
ご質問の 「この時、仮に自宅の回線に接続したiPhoneは自宅のローカルIPが振られ、自宅の端末として振る舞うという理解でいいですか?私の場合はどちらの回線に接続してもどちらのネットワークにも入れるのだからあまり回線の使い分けをする意義がないような気がしています。」
↑の件ですが、L2TP/IPSECリモートアクセス認証されますと、VPNルーターから許容IPアドレスが振られる形で合っています。
使い分けの要素ですが、先刻の専用アプリケーション・システムやセキュリティ機能、特定のソフトや仕組みを稼働させるインフラとして考慮下さればと言う事です。
書込番号:19390784
2点
>sorio-2215さん
お世話になります。今回のネットワークの変更により会社では以前まで使えていたアイフォンのwifiが使えなくなってしまっています。
ネットワーク構成
フレッツ光ネクスト--- RT-500KI --- RTX810 --- WZR-600DHP3 --- iPhone6
◎無線親機の情報
製品名 WZR-600DHP3 Version 2.16 (R0.01/B0.01-1.00)
エアステーション名 WZR-600DHP3
動作モード アクセスポイントモード
LAN
IPアドレス取得方法 手動設定
IPアドレス 192.168.100.100
サブネットマスク 255.255.255.0
デフォルトゲートウェイ 192.168.100.1
DNS(プライマリー) 192.168.100.1
DNS(セカンダリー) 未設定
MTU値 1500
◎アイフォンのwifiの情報
IPアドレス:空白
サブネットマスク:空白
ルーター:空白
DNS:IPV6のアドレス
検索ドメイン:flets-east.jp,iptvf.jp
クライアントID:空白
この状態でアイフォンは無線親機に接続されますがローカルにもインターネットにも入れません。DNSもなぜIPV6なのか?RTX810がアドレスを割り振っていないのでしょうか?
自宅のwifiは問題なく使えますからアイフォンには問題ないと思います。
何かわかることがあればご助言お願いします。
書込番号:19394880
0点
補足です。
無線アクセスポイント自体はインターネットに出られることをログや実際のNTPへの接続から確認しています。
書込番号:19395014
0点
>sorio-2215さん
◎アイフォンのwifiの情報
を見て思いつきました。おそらくHGWとルーターのLANポートを繋いだケーブルが影響しているなと。そこでケーブルを外したところみごとWIFI復活です。
しかし当然ながら今度はPCからHGWにアクセスできなくなります。
対処方法はあるのでしょうか??
いつもスミマセンがよろしくお願いいたします。
書込番号:19395064
0点
確認ですが、光電話ルーターのDHCPサーバ機能は、無効化されていますでしょうか?
DHCP重複動作・IPセグメント重複動作と思われる動作も考えられます。
それと、IphoneなどのIOS搭載モバイルは、一度無線LAN接続設定を投入しますと、以前のネットワーク情報が残留し、ネットワーク障害になるケースが有ります。
Iphoneの無線LAN設定を一度削除し、再接続していただけますか?
それと、Buffaloルーターに割り当てしています、IPアドレス192.168.100.100は、他の端末で割り当てされていると言う事は無いでしょうか?
書込番号:19395514
0点
補足です。
IOSのバージョンによって、無線LAN切替・DHCP取得クライアント機能に問題が有るケースが有ります。
IOSのバージョンが古ければ、新規バージョンに更新出来ますでしょうか?
書込番号:19395522
0点
補足Aです。
NGN光電話の仕様から、光電話の接続機能としてNGNでのIPV6-DHCPv6通信網から、光IP電話・SIPサーバへ接続認証されている規格になります。
IPV6-DHCPv6網のアドレスを配下PC及び無線LAN端末へ停止する形をお試し下さい。
光電話ルーターの詳細設定から、IPV6パケットフィルタ機能にてエントリ追加→・ルールNo:→[1]→・フィルタ種別:→[廃棄]→・プロトコル:→[any]→・通信方向:→[両方向]→・TCPフラグ:→[指定しない]→・送信元IPv6プレフィックス/プレフィックス長:→[any/any]→・宛先IPv6プレフィックス/プレフィックス長:→[any/any]→・送信元ポート:→[any]→・宛先ポート:→[any]→・ICMP v6タイプ:→[any]→・ICMP v6コード:→[any]
上記の設定を確認、更にBuffaloルーターのIPV6ブリッジ機能を停止してみて下さい。
書込番号:19395554
0点
>sorio-2215さん
>>確認ですが、光電話ルーターのDHCPサーバ機能は、無効化されていますでしょうか?
無効にしているハズです。確かめます。
>>DHCP重複動作・IPセグメント重複動作と思われる動作も考えられます。
心配なのが本機のDHCPの第4セグメントの範囲を2〜100としていますが、固定してあるAPポイントが100と重複していることです。しかし実際の重複はないはずです。
>>iphoneの無線LAN設定を一度削除し、再接続していただけますか?
これは一番最初に試したことです。
>>IOSのバージョンが古ければ、新規バージョンに更新出来ますでしょうか?
iOS9.2 です。つまり最新です。
残りの項目は明日調べてみます。
ありがとうございます。
書込番号:19396053
0点
念のため、BuffaloルーターのIPアドレスをDHCP範囲外のIPへ変更願います。
※ 光電話ルーターが、192.168.100.254/24ですので、192.168.100.253/24など。
Buffaloの場合、DHCPクライアント機能に一定のクセ・不具合が有ったりしますので、まずは確認下さい。
それと、フレッツ光系の場合、MTU数値は1,454が最適値です。そのあたりの確認も願います。
Buffaloの特定機種によっては、IPV6ブリッジでの通信拒否がうまく出来ないタイプも有った記憶が有ります。
RTX810ルーターの場合、下記にて設定します。
pp select 1
ip pp mtu 1454
BuffaloルーターのアクセスポイントのMTU設定も同時に確認願います。
当方確認での経験則ですが、NEC系無線ルーターでしたら、同様の構成でも特に問題有りませんです。
※ NTT光電話ゲートウェイ 「OG410Xi」及び「OG410Xa」、「PR-500KI」、 配下VPNルーター「RTX1210」、「RTX1200」、「RTX810」、NEC「UNIVERGE iX2215」、「UNIVERGE iX2105」
書込番号:19396617
0点
>sorio-2215さん
毎度お世話になります。
さまざまな事項を再度確認したり、ご指導の通り設定を変更しましたがwifiについては全く改善していません。
ところで念のために確認しておきたいのですが、配線の変更による状況は下記の通りです。
◎パターン1
rtx810のWAN→rt500kiのLAN1
rtx810のLAN→rt500kiのLAN2
この状態では
・PCからrt500kiへのアクセス可能
・アイフォンによるwifi接続不可
◎パターン2
rtx810のWAN→rt500kiのLAN1
rtx810のLAN→接続なし
この状態では
・PCからrt500kiへのアクセス不可
・アイフォンによるwifi接続可能
個人的には「パターン2」でwifiもHGWへのアクセスもできればうれしいです。
書込番号:19396977
0点
Buffalo独自のDNSループバックエラーの要素かと考えます。
書込番号:19397223
0点
BuffaloルーターのDNS問合せ機能に依存させたくない(RTX810でのDNSサーバ問合せ機能に配下ネットワーク端末遅延させない)場合には、RTX810ルーターのDNSサーバをAUTOではなく、手動設定しBuffaloルーターのDNSサーバを所定の192.168.100.1に戻したい場合には、RTX810ルーターのDNSサーバを固定のアドレスを指定変更してみて下さい。
DNSサーバ固定設定Config、下記にて。
provider dns server pp 1 1 → provider dns server 1 202.248.37.74 202.248.20.133
dns server pp 1 → dns server 202.248.37.74 202.248.20.133
dns server select 500001 pp 1 any . restrict pp 1 →
dns server select 500001 202.248.37.74 202.248.20.133 any . restrict pp 1
書込番号:19397259
0点
>sorio-2215さん
アドバイスありがとうございます。
私はネットワーク技術者でないのでコマンド投入等でなく、かんたん設定の範囲で作業したいという希望があります。現時点で私の理解能力をオーバーしつつあることに危惧しています。
今回のトラブル原因がバッファローの無線親機のバグとのことでしたら別の無線親機に変更すれば現在の設定と配線で私の希望動作が叶うとの理解でいいでしょうか?もしできるのならば無線親機を変更します。適当な機種をご推薦願えますか??
無線親機としての仕様は11acが使え、なるべく遠距離まで通信ができるものがいいです。単なるAPで結構です。
よろしくお願いいたします。
書込番号:19397396
0点
申し訳御座いません。
当方、ネットワーク系及びPBX系のサービス系業務をやっている立場でしたが、既存のご利用の機器にて、出来るだけ追加コストをかけず、最善の性能が出る構成をお伝えしたつもりでしたが。
Yamahaと親和性が良いタイプで、長距離無線LAN系となると、有線LANスイッチング性能が良いタイプが主体になります。(Yamaha自体、LAN→WAN及びWAN→LANのキャッシュ機能が、独自の技術を採用している為(ファストパス機能)、NEC系若しくはYamaha系が主体になります。
残念ながらBuffalo系は元々、有線LANスイッチング性能と無線LAN性能のバランスが良くない機種が多く、ご予算に応じての話となりますが、NECであれば「PA-WG2600-HP」、「PA-WG1800-HP2」、Yamaha系で言うと「WLX302」等がお勧めとなります。
ネックの要素が、有線LANスイッチング性能及びスループットがある程度のスペックが基準になります。
確認ですが、接続しています無線LANクライアントは、Iphoneのみでしょうか?
無線LAN端末台数や特定機種によっての選択肢になるかと考えますが、その要素もある程度お教え下さい。
書込番号:19398892
0点
補足です。
購入選択肢の前に、比較的安易なコマンドですが、YamahaデフォルトのIPパケット伝送機能である、ファストパス機能をLOW側へ投入変更可能でしょうか?
それを同時にお試し下さると良いかと考えます。
※ ip routing process normal を投入。
書込番号:19398911
0点
>sorio-2215さん
いつもありがとうございます。
コマンドの投入自体はカンタンにできますが、結局はただのコピペ作業であって、自分で理解して実行したものでないので、いったん躓くとどうにもならなくなる恐怖があります。ですから無線親機の交換で済むのならそっちを選択します。
つかう端末はアイフォン1〜2台です。
本機と相性のよい安価な無線親機をご推薦願います。価格は2万までですね。
書込番号:19399037
0点
>sorio-2215さん
話が若干戻ります。
会社のHGWに自宅からアクセスできないことに気づきました。アイフォンによるLTEを使った接続でも同様にできません。会社の他のネットワーク機器にはアクセスできます。会社の中からはHGWにアクセス可能です。
心当たりがありましたら教えてください。
よろしくお願いします。
書込番号:19399050
0点
確認ですが、先刻光電話ルーターのLAN側静的ルーティングと、IPSECトンネルのキープアライブ調整のメッセージ投稿しておりましたが、メッセージ削除されていますが、光電話ルーターのLAN側静的ルーティング設定にて、エントリ番号(1)→宛先IPアドレス/マスク長(192.168.100.0/24)→デフォルトゲートウェイ(192.168.100.1)の登録はされましたか?
基本的には、静的ルーティング投入しても、投入後に有効/無効にチェックを入れないと、機能有効になりませんが、先ずは投入済みでしたら、有効にチェックして自宅からアクセスしてみる、動作上変わらない状態でしたら、ルーティング・エントリを削除して自宅からアクセスをお試し下さい。
光電話ルーターの特定機種により、ルーティングさせた方が安定する機種と相違機種が有ります。
自宅から光電話ルーターにアクセス不能と言うことは、ARP経由での光電話ルーターのMACアドレス学習でのIPアドレス参照の要素がうまくいっていない状態かと考えます。
一時的な動作の可能性も有りますので、可能でしたら、光電話ルーターとRTX810ルーターの電源再起動をお試しする形が、最終的な話になりますが。
書込番号:19399367
0点
推奨無線ルーターの件ですが、先刻の「PA-WG2600HP」、「PA-WG1800-HP2」がギリギリの線かと考えます。
それと、私の説明の追加Configの兼ね合いが有りますので、全体のConfigをプロバイダ情報やIPSEC暗号化キー、Netvolante-DNSアカウントなどを伏せて、再度念のためお教え願いますでしょうか?
書込番号:19399370
0点
特定用件に応じた、VPNルーターのネットワーク構成についてですが、Webコンソールから設定出来る要素に、一定の制限が有りますので、ある程度余裕の有る時間に、コマンド・コンソールでの設定事項を理解する形が望ましいかと考えます。
一度に全ての機能・仕様を覚えるのは、時間がかかりますので、Yamahaコマンド・リファレンスを少しずつ消化される形が良いかと考えます。
以下参考サイトにて。
※ http://www.rtpro.yamaha.co.jp/RT/manual/rt-common/Cmdref.pdf#search=%27RTX810+%E3%82%B3%E3%83%9E%E3%83%B3%E3%83%89%27
※ http://y-router.com/
書込番号:19399869
1点
>sorio-2215さん
>>光電話ルーターのLAN側静的ルーティング設定にて、エントリ番号(1)→
>>宛先IPアドレス/マスク長(192.168.100.0/24)→デフォルトゲートウェイ(192.168.100.1)の登録はされましたか?
やってみましたが「同一ネットワーク内なのでできない」みたいなエラーでしたよ。
無線親機の推薦ありがとうございます。どちらかを買うことにします。
書込番号:19400138
0点
ip routing process normal
ip route default gateway pp 1 filter 500000 gateway pp 1
ip route 192.168.101.0/24 gateway tunnel 1
ip lan1 address 192.168.100.1/24
ip lan1 proxyarp on
provider type isdn-terminal
provider filter routing connection
provider lan1 name LAN:
provider lan2 name PPPoE/0/1/5/0/0/0:Nifty
provider ntpdate ntp.nict.jp
pp select 1
pp name PRV/1/1/5/0/0/0:Nifty
pp keepalive interval 30 retry-interval=30 count=12
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname *****@nifty.com *******
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
ip pp secure filter in 200003 200020 200021 200022 200023 200024 200025 200030 200032 200080 200081 200082 200083
ip pp secure filter out 200013 200020 200021 200022 200023 200024 200025 200026 200027 200099 dynamic 200080 200081 200082 200083 200084 200085 200098 200099
ip pp nat descriptor 1000
netvolante-dns hostname host pp server=1 *******.***.netvolante.jp
pp enable 1
provider set 1 Nifty
provider dns server pp 1 1
provider select 1
pp select anonymous
pp name iPhone用
pp bind tunnel2
pp auth request chap-pap
pp auth username admin *******
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(会社)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.100.1
ipsec ike local name 1 *******.***.netvolante.jp key-id
ipsec ike pre-shared-key 1 text *******
ipsec ike remote address 1 ***.***.***.***
ip tunnel tcp mss limit auto
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text *******
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp keepalive use on
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 200000 reject 10.0.0.0/8 * * * *
ip filter 200001 reject 172.16.0.0/12 * * * *
ip filter 200002 reject 192.168.0.0/16 * * * *
ip filter 200003 reject 192.168.100.0/24 * * * *
ip filter 200010 reject * 10.0.0.0/8 * * *
ip filter 200011 reject * 172.16.0.0/12 * * *
ip filter 200012 reject * 192.168.0.0/16 * * *
ip filter 200013 reject * 192.168.100.0/24 * * *
ip filter 200020 reject * * udp,tcp 135 *
ip filter 200021 reject * * udp,tcp * 135
ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 200024 reject * * udp,tcp 445 *
ip filter 200025 reject * * udp,tcp * 445
ip filter 200026 restrict * * tcpfin * www,21,nntp
ip filter 200027 restrict * * tcprst * www,21,nntp
ip filter 200030 pass * 192.168.100.0/24 icmp * *
ip filter 200031 pass * 192.168.100.0/24 established * *
ip filter 200032 pass * 192.168.100.0/24 tcp * ident
ip filter 200033 pass * 192.168.100.0/24 tcp ftpdata *
ip filter 200034 pass * 192.168.100.0/24 tcp,udp * domain
ip filter 200035 pass * 192.168.100.0/24 udp domain *
ip filter 200036 pass * 192.168.100.0/24 udp * ntp
ip filter 200037 pass * 192.168.100.0/24 udp ntp *
ip filter 200080 pass * 192.168.100.1 udp * 500
ip filter 200081 pass * 192.168.100.1 esp * *
ip filter 200082 pass * 192.168.100.1 udp * 1701
ip filter 200083 pass * 192.168.100.1 udp * 4500
ip filter 200098 reject-nolog * * established
ip filter 200099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 200080 * * ftp
ip filter dynamic 200081 * * domain
ip filter dynamic 200082 * * www
ip filter dynamic 200083 * * smtp
ip filter dynamic 200084 * * pop3
ip filter dynamic 200085 * * submission
ip filter dynamic 200098 * * tcp
ip filter dynamic 200099 * * udp
nat descriptor type 1000 masquerade
nat descriptor masquerade static 1000 1 192.168.100.1 udp 500
nat descriptor masquerade static 1000 2 192.168.100.1 esp
nat descriptor masquerade static 1000 3 192.168.100.1 udp 1701
nat descriptor masquerade static 1000 4 192.168.100.1 udp 4500
ipsec auto refresh on
ipsec transport 2 2 udp 1701
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.99/24
dns server pp 1
dns server select 500001 pp 1 any . restrict pp 1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on
httpd host 192.168.100.2-192.168.100.254 192.168.101.2-192.168.101.254
alarm entire off
#
書込番号:19400187
0点
再Config確認致しました。
Webコンソールとして、設定可能な情報としてはごく一般的なConfigですので、設定上の瑕疵などは無いかと存じます。
気になる点としては、NATセッションタイマー等の挙動調整は、後々覚えておいた方が良いかもしれません。
ルーターのWAN→LAN、LAN→WANの通信に影響するケースになるかと存じます。
下記参考下さい。
※ nat descriptor timer 1 protocol=udp port=domain 30
nat descriptor timer 1 protocol=tcp port=80 120
nat descriptor timer 1 protocol=tcp port=443 120
↑ NATセッション消費による、インターネット接続及びIPSEC、L2TP/IPSECリモートアクセス全体に影響します。上記の末尾にポート毎の秒設定で、無通信での切断タイマーの設定が可能です。
ご指摘のConfigで言うと、NATタイプが1000エントリールールになっておりますので、「nat descriptor timer 1000 protocol=udp port=domain 30」などが正規のコマンドになります。
更に、RTX810ルーターのNATセッション機能は、最大10,000となっておりますが、NATセッションの変換ルールが残り10%を切ったあたりから、暴走や誤動作するケースが有りますので、最大NATセッションのリミット設定をしておくと、ルーター自身の安定性が変わります。
※ nat descriptor masquerade session limit 1000 1 8500等へ設定。
↑ RTX810は、デフォルトで最大10,000フルに利用する設定になっております。
書込番号:19400545
0点
>sorio-2215さん
お世話になります。
昨日のトラブル?について、対処方法を教えてくださいますか?
>>光電話ルーターのLAN側静的ルーティング設定にて、エントリ番号(1)→
>>宛先IPアドレス/マスク長(192.168.100.0/24)→デフォルトゲートウェイ(192.168.100.1)の登録はされましたか?
やってみましたが「同一ネットワーク内なのでできない」みたいなエラーでしたよ。
よろしくお願いいたします。
書込番号:19403208
0点
この静的ルーティングの設定ですが、光電話ルーターの機種によっての機能差異が有り、同一セグメントでも適用出来る機種と出来ない機種が有ります。
ご利用の光電話ルーターですと、出来ない機種なるかと想定されます。
解りやすく言うと、ご利用の光電話ルーターは、RTX810ルーターのIPセグメントと相違IPアドレス条件において、それぞれのIPセグメントをルーティングさせる機能になるかと判断出来ます。
この機能を有効にする為には、RTX810ルーターが192.168.100.1/24ですので、光電話ルーターを192.168.103.1/24に変更設定(LAN→WAN・RTX810配線、LAN→LAN・RTX810配線条件)にて、宛先IPアドレス/マスク長(192.168.100.0/24)→デフォルトゲートウェイ(192.168.100.1)と言う設定をしますと、RTX810のセグメントから見て、192.168.103.1/24へのアクセスが有った際に、そのセグメントのIPへルーティングさせる機能かと存じます。
この光電話ルーターのLAN側ルーティング設定は、通常のスタティック・ルーティングと挙動が違うタイプも有りますので、設定してみないと、うまくルーティングさせるかどうかは流動的です。
つまり、自宅RTX810のIPSECトンネル経由で、192.168.103.1/24へアクセスしました際に、うまくルーティングされるかどうかと言う点、会社RTX810の配下端末192.168.100.***/24から、192.168.103.1/24アクセスでのルーティングにて、光電話ルーターの設定画面表示が出来るかどうかになるかの判断になると存じます。
書込番号:19403267
0点
通常は、あまりルーティングさせる意図と意味が無い構成かと考えますので、ごく一般的には、光電話ルーターのIPを192.168.100.254/24などの192.168.100系のセグメントに合わせるのが通例かと考えます。
書込番号:19403276
0点
もし、光電話ルーターのIPを192.168.103.1/24などへ変更された際には、自宅からアクセスする際に、自宅RTX810ルーターのIPSECトンネル側へ192.168.103.1/24の通信がルーティングさせないといけませんので、自宅RTX810ルーターのIPSECトンネルの静的ルーティングを追加登録下さい。
※ ip route 192.168.103.0/24 gateway tunnel 1
自宅RTX810ルーターのトンネルエントリー番号が、1番の場合での追加静的ルーティング設定コマンドになります。
書込番号:19403288
0点
>sorio-2215さん
毎回丁寧なご指導ありがとうございます。
HGW・LAN→WAN・RTX810
HGW・LAN→LAN・RTX810
上記の配線で
・PCからHGWへアクセスでき、
・無線AP経由でアイフォンがインターネットに出られる
ことがNECの無線APを買えば解決するとのことですよね?あまり自分に理解不能な設定は入れたくないのでなるべく現状の設定を維持します。
※無線APは PA-WG1800HP2 を注文しました!
届いたらバッファローのと交換して様子を確かめます。
いつもありがとうございます。
書込番号:19403433
0点
了解です。
NEC系無線ルーターだけではなく、ネットワーク機器に総体して言える事ですが、NEC無線ルーターが届きましたら、BRモードへ変更→WG1800HP2ルーターの初期IPアドレス(192.168.1.210/24)を192.168.100.210/24等へ変更、デフォルトゲートウェイ192.168.100.1、プライマリDNS192.168.100.1へ固定設定、時刻補正の設定もNTPサーバへ合わせる設定をしておく形がベストと存じます。
ネットワーク機器の挙動と安定性に、時刻の設定も関係している事案となりますが、Yamahaルーターには自身がNTPサーバとなる機能が有ります。
既存の会社RTX810ルーターには、NICTサーバへ自動同期する設定が投入されていますが、追加でYamahaのSNTPサーバー機能を有効にしておく事で、無線ルーターの時刻補正のNTPサーバアドレス設定を192.168.100.1の登録しておく形で、時刻補正連動する形になります。
Yamahaルーターが、NTPサーバとなるコマンドです。
※ sntpd service on → sntpd host lan1
上記の設定を追加しておく事で、配下無線ルーターのNTPサーバの設定は、192.168.100.1と登録しておけばOKです。
書込番号:19403928
1点
>sorio-2215さん
HGW・LAN→WAN・RTX810
HGW・LAN→LAN・RTX810
上記の配線で
・PCからHGWへアクセスでき、
・無線AP経由でアイフォンがインターネットに出られる
ことが望みで無線APは PA-WG1800HP2 を購入しました。しかし結局はバッファローの無線APと全く挙動が同じでした。つまり「HGW・LAN→LAN・RTX810」を外さないとwifiの通信ができません。
無線APはブリッジモード。その他の設定も教えられたとおり入れています。
何か足りない設定がありそうです。
アドバイスよろしくお願いします。
書込番号:19413815
0点
現在の状態です。
装置名 ATERM-7E13C1
ファームウェアバージョン 1.0.12
動作モード ブリッジモード
IPアドレス/ネットマスク 192.168.100.100/24
ゲートウェイ 192.168.100.1
プライマリDNS 192.168.100.1
書込番号:19413881
0点
無線LANルーター交換後での無線LANネットワークでは、光電話ルーターログイン可能でしょうか?
※ http://192.168.100.254でのログイン。
RTX810ルーターとしては、Webからのコンソール設定瑕疵は無い状態ですので、光電話ルーターのIPアドレスを返すDNS応答機能に問題が有る可能性が有ります。
無線LAN交換後に、無線LANからアクセス可能の場合には光電話ルーターのDNS応答機能に問題が有るケースが考えられます。
通常は、光電話ルーターのDHCP機能を有効にすると、DNSサーバは光電話ルーターのDNSサーバが固定設定されてしまうのですが、DHCP機能を無効化すると、DNSサーバは同一LAN内のRTX810ルーターのDNSを利用する形に置き換わる筈なのですが。
確認ですが、光電話ルーターの詳細設定→DNS設定→ドメイン(*)→プライマリDNSを192.168.101.1と登録出来ませんでしょうか?
他の光電話ルーターでしたら、ドメイン指定しなくても、DNSのみリレーする設定が可能なのですが。
それと、自宅側のRTX810ルーターの設定トンネルの静的ルーティング設定が消えている・間違っていると言う事は有りませんでしょうか?
※ 自宅RTX810ルーターのIPSECトンネルエントリー番号が1番の場合、 ip route 192.168.100.0/24 gateway tunnel 1
更に、ProxyARP代理応答設定は、それぞれのRTX810ルーターに投入されているかも確認下さい。
※ ip lan1 proxyarp on
上記の件を確認の上、光電話ルーターのDNS引き当ての関係で、IPSECトンネルからのログインが出来ない場合には、何らかの要素にて光電話ルーターの内部に以前の光電話ルーター自身のDNS情報が残留しており、うまくルーティング出来ない状態になっている可能性が有ります。
DNSでのルーティング周りの問題となると、先刻の光電話ルーターのLAN側静的ルーティングの方法しか無いかもしれません。
光電話ルーターのIPアドレスを現状の192.168.100.254/24(DHCP無効)から、192.168.103.1/24(DHCP有効)に設定し、LAN側静的ルーティングに宛先アドレス(192.168.100.0/24)デフォルトゲートウェイ(192.168.100.1)と登録下さい。
上記の設定確認後に、自宅RTX810ルーターのIPSECトンネルエントリに追加静的ルーティングを登録下さい。
※ ip route 192.168.103.0/24 gateway tunnel 1
上記の設定にて、無線LANルーター経由アクセスと自宅端末からのアクセスは、http://192.168.103.1にてアクセス可能になるかと存じます。
自宅RTX810ルーターのトンネル情報につきましては、自宅RTX810ルーターのトンネルConfigに併せて任意変更が必要ですので、自宅RTX810ルーターの総体Config(重要事項は伏せ字で構いません)をお教え下さい。
書込番号:19414630
1点
先ほど伝え忘れました。
光電話ルーターの静的ルーティング形式へ変更された場合、NEC無線ルーターのセカンダリDNSに192.168.103.1を追加登録下さい。
書込番号:19414681
0点
先刻の説明間違っておりました。
(誤) 確認ですが、光電話ルーターの詳細設定→DNS設定→ドメイン(*)→プライマリDNSを192.168.101.1と登録出来ませんでしょうか?
(正) 確認ですが、光電話ルーターの詳細設定→DNS設定→ドメイン(*)→プライマリDNSを192.168.100.1と登録出来ませんでしょうか?
書込番号:19414812
0点
なぜ自宅のルーターの設定が必要なのかわかりませんが、公開しますね。
ip route default gateway 192.168.0.1
ip route 192.168.100.0/24 gateway tunnel 1
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ip lan1 address 192.168.101.1/24
ip lan1 proxyarp on
ip lan2 address 192.168.0.254/24
ip lan2 secure filter in 101003 101020 101021 101022 101023 101024 101025 101030 101032 101080 101081 101082 101083
ip lan2 secure filter out 101013 101020 101021 101022 101023 101024 101025 101099 dynamic 101080 101081 101082 101083 101084 101085 101098 101099
ip lan2 nat descriptor 200
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:DHCP
provider ntpdate ntp.nict.jp
pp select anonymous
pp name L2TP/IPsec
pp bind tunnel2
pp auth request chap-pap
pp auth username ***** ******
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.101.1
ipsec ike pre-shared-key 1 text ******
ipsec ike remote address 1 any
ipsec ike remote name 1 ***.***.netvolante.jp key-id
ip tunnel tcp mss limit auto
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text ******
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp keepalive use on
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.101.0/24 * * * *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.101.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.101.1 udp * 500
ip filter 101081 pass * 192.168.101.1 esp * *
ip filter 101082 pass * 192.168.101.1 udp * 1701
ip filter 101083 pass * 192.168.101.1 udp * 4500
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
nat descriptor masquerade static 200 1 192.168.101.1 udp 500
nat descriptor masquerade static 200 2 192.168.101.1 esp
nat descriptor masquerade static 200 3 192.168.101.1 udp 1701
nat descriptor masquerade static 200 4 192.168.101.1 udp 4500
ipsec auto refresh on
ipsec transport 2 2 udp 1701
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.101.2-192.168.101.100/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on
httpd host 192.168.100.2-192.168.100.254 192.168.101.2-192.168.101.254
alarm entire off
#
書込番号:19415020
0点
今の自宅のConfig構成ですと、192.168.100.0/24宛てのアクセスは、会社側のIPSECトンネル側へルーティングされますが、光電話ルーターのLAN側静的ルーティング設定をイメージ頂き、光電話ルーターのIPを192.168.103.1/24にすると、自宅側のIP192.168.101.0/24から192.168.103.0/24へは、ルーターの内部処理として、今のままですと、ルー-ティング経路が解らない為です。
光電話ルーターのIPを192.168.103.1/24にして、光電話ルーターのLAN側静的ルーティングの設定をしますと、192.168.100.0/24と192.168.103.0/24はそれぞれルーティングされますが、192.168.100.1/24であるRTX810ルーターの応答経路として、IPSEC側から通信されてこないと、光電話ルーター側へルーティングされません。
よって、自宅RTX810ルーターの配下端末から、192.168.103.1へのアクセスが有った際に、自宅ルーターの経路確保として、IPSECトンネル側へルーティングされないと、用途不明IPアドレスとして処理されてしまいますので、自宅RTX810ルーターのIPSECトンネル側へ追加ルーティング登録が必要になるわけです。
自宅RTX810ルーターのConfig確認致しました。
通常の光電話ルーター以外のルーティング設定(ip route 192.168.100.0/24 gateway tunnel 1)はされていますが、同一トンネル網には、192.168.103.1のルーティング記述が無いですので、追加で「ip route 192.168.103.0/24 gateway tunnel 1」が必要になります。
Yamahaルーター含め、SOHO向けルーターには、IPセグメントそれぞれのルーティング設定を追加するのは、対応していますので、自宅RTX810ルーターへの192.168.103.0/24へのルーティングを登録下さい。
先刻の対話の通り、RT-500KIには、DNS周りのルーティングにクセが有る様ですので、光電話ルーターのIPを192.168.103.1/24(DHCP有効)という構成で有れば、DNSが関係無くLAN側静的ルーティング機能を併用する事で、同一セグメント処理されるかと存じます。
上記の光電話ルーターのLAN側静的ルーティングの条件において、IPアドレス範囲が違うオークテットでないと、ルーティング設定出来ませんが、光電話ルーターのLAN側静的ルーティングの範囲は、あくまでも物理的に会社RTX810ルーターのハブポート接続の機器に制限されているかと存じます。
それを、自宅RTX810ルーターからのルーティングも同列に扱う処理として、対応します設定になります。
書込番号:19415151
0点
上記内容が、会社無線ルーターからのインターネット接続経路と、トンネルアクセス経路を正規化し、会社RTX810ルーターでの無線LANインターネット接続でのDNS引き当て対策になります。
書込番号:19415154
0点
静的ルーティングの基本概念につきましては、下記を参考下さい。
※ http://www.mm-labo.com/computer/tcpip/routing/staticroutinganddynamicrouting.html
※ http://www.infraexpert.com/study/routing3.html
IPセグメントでの一定の制約や制限が有る場合に、よく採用される構成です。
書込番号:19415182
0点
会社、自宅、無線LANルーターそれぞれ、安定稼働後の設定情報のバックアップは設定メニューから可能かと存じますので、一度バックアップしておいた方が良いかと考えます。
Yamahaについては、Config-TEXT形式の情報保存の他に、設定ファームウェア形式のバックアップも可能です。
NEC無線ルーターにおきましては、設定値の保存がメンテナンスメニュー内に有ります。
NTT光電話ルーターも、内部OSはNEC系のOEMですので、同様にメンテナンスメニュー内での設定値の保存が可能です。
書込番号:19415377
0点
>sorio-2215さん
お世話になります。
>>無線LANルーター交換後での無線LANネットワークでは、光電話ルーターログイン可能でしょうか?
>> ※ http://192.168.100.254でのログイン。
「HGWアクセス用LANケーブルを外して」試しました(そうしないとネットに繋がらないため)。
アイフォンからは繋がりません。もちろんPCからも繋がらなくなりました。
>> 確認ですが、光電話ルーターの詳細設定→DNS設定→ドメイン
>>(*)→プライマリDNSを192.168.101.1と登録出来ませんでしょうか?
ドメイン:*(←そもそも「*」や「*.」は認めないとの注釈がありました)
プライマリDNS:192.168.101.1
の登録はできませんでした。
【重要なお願い】
シロウトなものであまり大量に教えていただいても混乱します。
設定すべき事柄だけを「箇条書」で書いていただけると理解しやすくなります。
取りあえず自宅からの通信がダメになっても良いです。「会社の設定だけ」教えてください。
たびたびスミマセンが、よろしくお願いします。
書込番号:19415670
0点
無線LANルーター交換後での無線LANネットワークでは、光電話ルーターログイン可能でしょうか?
※ http://192.168.100.254でのログイン。
↑ の件は、LANケーブルを接続すれば接続出来ると言う事ですね?
確認ですが、光電話ルーターの詳細設定→DNS設定→ドメイン
(*)→プライマリDNSを192.168.101.1と登録出来ませんでしょうか?
↑ ドメイン固定でのDNS指定しか出来ない機種と言う事ですね。(この方法は却下ですね)
上記の内容から、下記を対応策として実施下さい。(説明済みですが)
@ 光電話ルーターのIPアドレスを192.168.100.254/24から192.168.103.1/24へ変更(DHCPサーバ有効化)
A 光電話ルーターの詳細設定から、LAN側静的ルーティング設定にて、宛先アドレス(192.168.100.0/24)、ゲートウェイを192.168.100.1を登録。
B LAN側静的ルーティング登録後に、有効・無効のチェック箇所をチェック投入→設定反映。
C 光電話ルーターのLAN端子と、会社RTX810ルーターのLAN端子を接続。
D 自宅RTX810ルーターのトンネル・静的ルーティング設定を追加 → 「ip route 192.168.103.0/24 gateway tunnel 1」
E NEC無線ルーターのクイック設定Webにて、基本設定からセカンダリDNSに192.168.103.1を登録。
上記設定を全て確認後に、光電話ルーターのLAN→RTX810ルーターのWAN接続、光電話ルーターのLAN→RTX810ルーターのLAN端子接続。
NEC無線ルーターは、RTX810ルーターのLAN端子へ接続。
上記の内容にて、自宅端末及び社内端末から、Web参照確認と、http://192.168.103.1アクセスにて、光電話ルーターの設定メニュー表示確認する形になります。
書込番号:19415741
1点
>sorio-2215さん
> @ 光電話ルーターのIPアドレスを192.168.100.254/24から192.168.103.1/24へ変更(DHCPサーバ有効化)
実行済。 質問1→(DHCPサーバ有効化)この範囲は何個ですか?
> A 光電話ルーターの詳細設定から、LAN側静的ルーティング設定にて、宛先アドレス(192.168.100.0/24)、ゲートウェイを192.168.100.1を登録。
192.168.100.0/24←設定済。 質問2→ 192.168.103.1 に設定しました。(192.168.100.1 は同一LAN内で設定不可)どうですか?
> B LAN側静的ルーティング登録後に、有効・無効のチェック箇所をチェック投入→設定反映。
反映済。
> C 光電話ルーターのLAN端子と、会社RTX810ルーターのLAN端子を接続。
接続済。
Aの部分で???ですがCまでやりました。しかし PC→RTX→HGW で配線しtracet を掛けると以下の通りです。
1 <1 ms <1 ms <1 ms 192.168.100.1
2 5 ms 8 ms 5 ms 133.160.166.***
3 5 ms 8 ms 5 ms 133.160.166.***
4 8 ms 9 ms 7 ms 133.160.148.***
5 8 ms 11 ms 7 ms 133.160.101.*
6 8 ms 10 ms 8 ms 133.160.101.*
7 9 ms 12 ms 9 ms *****.jp
8 9 ms 9 ms 8 ms *****.com
HGW(192.168.103.1)を通っていないように見えます。ピングにも反応してません。
取りあえずここの問題を解決してから前に進みたく思います。質問1、質問2を投入しております。ご回答願います。
よろしくお願いします。
書込番号:19418252
0点
>sorio-2215さん
補足
パターン1
HGW・LAN→WAN・RTX810
HGW・LAN→LAN・RTX810
パターン2
HGW・LAN→WAN・RTX810
HGW・LAN→なし
上記の配線ではどちらともHGWへのアクセスが不能となりました。今まではパターン1では接続していました。設定がなにか足りなそうですね。
よろしくお願いいたします。
書込番号:19418283
0点
「@ 光電話ルーターのIPアドレスを192.168.100.254/24から192.168.103.1/24へ変更(DHCPサーバ有効化)
実行済。 質問1→(DHCPサーバ有効化)この範囲は何個ですか?」
↑ DHCPスコープの範囲は、任意で良いです。 例 192.168.103.2〜20個程度。
「A 光電話ルーターの詳細設定から、LAN側静的ルーティング設定にて、宛先アドレス(192.168.100.0/24)、ゲートウェイを192.168.100.1を登録。」
「192.168.100.0/24←設定済。 質問2→ 192.168.103.1に設定しました。(192.168.100.1 は同一LAN内で設定不可)どうですか?」
光電話ルーターの特定不具合の場合、ファームウェア更新に合わせて、静的ルーティングの方式ではなく先刻の光電話ルーターのIP192.168.100.24/24(DHCP無効化)での改善が見込まれる可能性も有ります。
↑ Nexthopゲートウェイを、192.168.100.1指定出来ませんでしたか?
ここで言う、ゲートウェイは宛先ゲートウェイを指します。自身IPセグメントのゲートウェイを指すわけでは有りません。
宛先ゲートウェイを192.168.100.1指定出来ないとは、通常の静的ルーティングとは全く違う、致命的ですね。 ※ 宛先ゲートウェイを192.168.103.1を指定しても意味は有りません。
※ NTT仕様書を確認しますと、192.168.100.1の指定が出来る旨のメッセージ記載が有りましたが。
LAN側静的ルーティング設定エントリ編集
※ 下記記載抜粋にて。
宛先IPアドレス/マスク長(初期値:なし/なし)
ルーティング先のIPアドレスとマスク長を指定します。
IPアドレスの設定可能範囲:ループバックアドレス( 127.0.0.0 〜 127.255.255.255 )を除く0.0.0.1 〜255.255.255.255のネットワークアドレス
マスク長の設定可能数値:1〜32
ゲートウェイ(初期値:なし)
ルーティング先のゲートウェイのIPアドレスを指定します。
設定可能範囲:ループバックアドレス( 127.0.0.0 〜 127.255.255.255 )を除く0.0.0.1 〜255.255.255.255でLAN側またはPPPoEと同一ネットワークのアドレス
ご指定のパターン1とパターン2でHGWにアクセス出来なくなったのは、通常動作です。
光電話ルーターの宛先(Nexthop)ゲートウェイに192.168.103.1ではなく、192.168.100.1を登録出来なければいけなかったのが理由です。
光電話ルーターからのルーティングが出来ない事案となると、RTX810ルーター側で追加ルーティング可能かどうか確認致しますので、暫しお待ち下さい。
通常設定可能と思われる設定が出来ないとは、光電話ルーターの不具合・搭載OSの不整合と思われる挙動に近いですね。
念のため光電話ルーターのファームウェアが最新版か確認した方が良いかもしれません。
※ NTT西日本サイト・・ https://www.ntt-west.co.jp/kiki/download/flets/rt500ki/
※ NTT東日本サイト・・ https://web116.jp/ced/support/version/broadband/rt_500ki/index.html
書込番号:19418437
0点
RTX810側からルーティングさせる方法をイメージングしますので、同時に、光電話ルーターのファームウェア更新が最新版可否確認お願いします。
最新ファームウェア適用可能でしたら、以前の光電話ルーターのIP192.168.100.254/24(DHCP無効化)し挙動確認下さい。
その際には、光電話ルーターのLAN側静的ルーティング設定を削除し、挙動確認下さい。
書込番号:19418596
0点
>sorio-2215さん
> A 光電話ルーターの詳細設定から、LAN側静的ルーティング設定にて、宛先アドレス(192.168.100.0/24)、ゲートウェイを192.168.100.1を登録。
指定の手順でやったのです。しかし「192.168.100.1」については「同一LAN内の指定はできません」的なエラーがでて登録不能でしたよ。
HGWのFW→01.00.0090(最初から最新のものが適用されていました)
現時点では
光電話ルーターのIP192.168.100.254/24(DHCP無効化)し、静的ルーティングを削除
つまり以前の状態に戻しております。
以上よろしくお願いします。
書込番号:19418772
0点
 |
|---|
HGWでのエラー画面 |
>sorio-2215さん
静的ルーティング設定不能の件ですが、画像をアップします。確認してください。
HGWのアドレスや設定メニューの場所やその値が画面に写るように撮影しております。
書込番号:19418915
0点
画像情報確認致しました。
現時点での調査状況ですが、光電話ルーターのLAN側静的ルーティング機能の部分調べましたが、このLAN側静的ルーティングは、光電話ルーターのLAN側にRTX810ルーターのWAN側に相当するIPが無ければいけない仕様の様です。
光電話ルーターの設定Web確認と、インターネット併用・自宅からのIPSEC-VPN接続を考える場合、RT-500KI光電話ルーターの場合、光電話ルーターにPPPOE接続設定+DMZホス設定にて、RTX810ルーターとは2重ルーター構成にしなければいけない様です。
対策として下記方法になりそうです。
@ 光電話ルーターのIPアドレスを192.168.100.1/24(DHCP有効、2〜20範囲)に戻します。
A 光電話ルーターの詳細設定→静的NAT→簡易DMZ設定→192.168.100.254を指定登録。
B 光電話ルーターの方にPPPOE接続設定を投入し、RTX810ルーターからはPPPOE接続設定削除と、Netvolante-DNSは削除。
C 光電話ルーターにLAN側静的ルーティングとして、192.168.103.0/24とNexthopゲートウェイ192.168.100.254を登録
D RTX810ルーターのWAN側をCATVモード(WAN側固定、IPを192.168.100.254/255.255.255.0、デフォルトゲートウェイ192.168.100.1、プライマリDNS192.168.100.1設定)
D RTX810ルーターのIPを192.168.103.1/24登録、DHCPを192.168.103.2-192.168.103.100等登録。
E 会社RTX810ルーターの静的IPマスカレード設定の変更が必要です。
下記コマンド投入下さい。
「no nat descriptor masquerade static 1000 1 192.168.100.1 udp 500」→「nat descriptor masquerade static 1000 1 192.168.103.1 udp 500」
「no nat descriptor masquerade static 1000 2 192.168.100.1 esp」→「nat descriptor masquerade static 1000 1 192.168.103.1 udp 500」
「no nat descriptor masquerade static 1000 3 192.168.100.1 udp 1701」→「nat descriptor masquerade static 1000 1 192.168.103.1 udp 500」
「no nat descriptor masquerade static 1000 4 192.168.100.1 udp 4500」→「nat descriptor masquerade static 1000 1 192.168.103.1 udp 500」
IPSEC-VPNの登録設定を、RTX810ルーターのNetvolanteDNS機能は利用出来なくなる条件ですので、自宅AU光のグローバルIPを使う、アグレッシブモードでのIPSEC-VPN構成に変更が必要です。
下記IPSECトンネル設定を参考下さい。
現状のConfigを見ますと、既にIPSEC-VPNでのアグレッシブモードでの構成を採られている状態(AU光・グローバル固定→会社Netvolante-DNSはL2TPのみの利用、IPSECではany接続)ですので、IPSECについては、細かな変更で対応可能です。
@ 会社RTX810ルーターのトンネル1のConfigとしては、「ipsec ike local address 1 192.168.100.1」を「ipsec ike local address 1 192.168.103.1」へ変更
・・コマンドから下記にて削除・再登録可能です。
tunnel select 1 → no ipsec ike local address 1 192.168.100.1 → ipsec ike local address 1 192.168.103.1
A 自宅RTX810ルーターのトンネル1のConfigとしては、下記変更が必要です。
「ip route 192.168.100.0/24 gateway tunnel 1」は登録されていますので、「ip route 192.168.103.0/24 gateway tunnel 1」が投入されているか、確認願います。
注意点としてですが、スマートフォンやモバイルからL2TPを利用する場合ですが、会社側が2重ルーター形式にて、NetvolanteDNSは利用不能となりますので、自宅側にL2TP接続して会社の光電話ルーターやRTX810ルーター、他の機器へのログインする形になるかと考えます。
書込番号:19419794
0点
会社のIPSEC周りのルール変更に伴い、IPフィルタの規制変更も併せて必要です。
下記会社RTX810ルーターのConfigの192.168.100.0/24の箇所を192.168.103.0/24へ変更が必要です。
ip filter 200030 pass * 192.168.100.0/24 icmp * *
ip filter 200031 pass * 192.168.100.0/24 established * *
ip filter 200032 pass * 192.168.100.0/24 tcp * ident
ip filter 200033 pass * 192.168.100.0/24 tcp ftpdata *
ip filter 200034 pass * 192.168.100.0/24 tcp,udp * domain
ip filter 200035 pass * 192.168.100.0/24 udp domain *
ip filter 200036 pass * 192.168.100.0/24 udp * ntp
ip filter 200037 pass * 192.168.100.0/24 udp ntp *
ip filter 200080 pass * 192.168.100.1 udp * 500
ip filter 200081 pass * 192.168.100.1 esp * *
ip filter 200082 pass * 192.168.100.1 udp * 1701
ip filter 200083 pass * 192.168.100.1 udp * 4500
番号差し替え後に再度コマンド登録お願いします。
「httpd host 192.168.100.2-192.168.100.254 192.168.101.2-192.168.101.254」→「httpd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254」への差し替えコマンド登録も確認願います。
念のため伝えますと、自宅から光電話ルーターのアクセスは、192.168.100.1へログイン可能、RTX810ルーターは192.168.103.1にて可能、会社NASのIPも100の箇所を103へ変更して下さい(192.168.103.200/24)
NASは、自宅から192.168.103.200にてログイン可能となります。
会社NEC無線ルーターのIPを192.168.100.100/24、デフォルトゲートウェイ192.168.100.1、プライマリDNS192.168.100.1の部分を変更下さい。
※ 192.168.103.100/24、デフォルトゲートウェイ192.168.103.1、プライマリDNS192.168.103.1へ変更。
書込番号:19419828
0点
会社側のRTX810ルーター回線への直接L2TP-VPNログインされたい場合には、NetvolanteDNSは2重ルーター構成では利用不能ですので、Niftyへグローバル固定IPオプションの要素を確認下さい。
現状では自宅L2TPログイン経由のアクセスになりますので、通信遅延が気になる場合には確認する必要があります。Niftyの場合、グローバル固定IP(1個)が、初期費用5,000円・月額2,650円になります。
※ http://www.nifty.com/staticip/service.htm
固定IP付きのNifty接続になる場合には、光電話ルーターのNifty設定を接続ID(アカウント+@ip1.nifty.com)と接続パスワードになります。グローバル固定IPは、自動的に固定アドレス付与になります。
書込番号:19419911
0点
補足です。
先刻の文面、
A 自宅RTX810ルーターのトンネル1のConfigとしては、下記変更が必要です。
「ip route 192.168.100.0/24 gateway tunnel 1」は登録されていますので、「ip route 192.168.103.0/24 gateway tunnel 1」が投入されているか、確認願います。
↑の件ですが、192.168.100.0のルーティングと192.168.103.0のルーティングは2点登録が必要です。
書込番号:19419966
0点
先刻の2重ルーター設定変更ではなく、またRTX810ルーターの構成変更(NetvolanteDNS併用)を維持されたい場合には、既存の会社の回線終端装置(ONU)にスイッチングハブを導入し、@ スイッチングハブから光電話ルーターのWANポート接続、AスイッチングハブからRTX810ルーターの接続と言う構成にすれば、設定変更無く、アクセス可能と想定されます。
その際には、光電話ルーターのIP192.168.100.254/24(DHCP無効化)、光電話ルーターのLAN→RTX810ルーターのLANポート接続にてアクセス可能になるかと存じます。
書込番号:19419980
0点
光電話ルーターには、グローバルIPを任意検知し、DDNSドメインでの動的に解決する機能は無いです。
よって、先刻のプラン@光電話ルーターとRTX810の2重ルーター構成変更での方法、A回線終端装置にスイッチングハブを接続し、ハブから光電話ルーターのWANポート接続、スイッチングハブからRTX810ルーターのWANポート接続での既存設定を生かす方法
上記の2点の方法になります。
書込番号:19420522
0点
>sorio-2215さん
結局RTX810は初期化して最初から設定しています。二重ルーター化を選択します。
コンフィグです。
ip route default gateway 192.168.100.1
ip keepalive 1 icmp-echo 10 5 192.168.100.1
ip lan1 address 192.168.103.1/24
ip lan2 address 192.168.100.254/24
ip lan2 secure filter in 101003 101020 101021 101022 101023 101024 101025 101030 101032
ip lan2 secure filter out 101013 101020 101021 101022 101023 101024 101025 101099 dynamic 101080 101081 101082 101083 101084 101085 101098 101099
ip lan2 nat descriptor 200
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KIで接続
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.103.0/24 * * * *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.103.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
nat descriptor masquerade static 1000 1 192.168.103.1 udp 500
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.103.2-192.168.103.99/24
dns server 192.168.100.1
dns private address spoof on
httpd host lan1
alarm entire off
#
書込番号:19420879
0点
>sorio-2215さん
コンフィグで明らかなようにまだ途中です。特にわからないのがIPSECの設定です。
接続先の識別方法→ IPアドレスで識別? 自分の名前を通知する? 名前で識別?
経路のアドレス情報・・?
ネットボランチのDDNSは使えないとのことですから、自宅側とどうやって結ぶのでしょうか?
その他エラーになって入らない設定がありますが後で相談します。
いつもありがとうございます。
書込番号:19420892
0点
「接続先の識別方法→ IPアドレスで識別? 自分の名前を通知する? 名前で識別?」
↑ 接続先の識別方法は、IPアドレスで識別と任意の自分の名前を通知するです。(AU光のグローバルIPを設定し、任意の名前を設定します。ここで言うとipsec1です。
他は不要です。
「経路のアドレス情報・・?
「ネットボランチのDDNSは使えないとのことですから、自宅側とどうやって結ぶのでしょうか?」
↑ 経路アドレス情報は及びIPSEC接続先の暗号化キーの情報は、AU光のRTX810ルーターの方にて配信します。よって、会社RTX810ルーターの経路アドレス情報は、自宅側のRTX810ルーターのIPセグメント(192.168.101.0/24)です。
アグレッシブモードの概念をよく理解下さい。
メインモードとは違い、それぞれのグローバルIPアドレスで識別するわけでは無く、AU光側のRTX810側のVPN機能にて、IPSEC接続情報を配信する構成です。
会社のIPSECトンネルの設定は、下記の様になるはずです。
tunnel select 1
tunnel name IPsec(会社)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.103.1
ipsec ike pre-shared-key 1 text *******
ipsec ike remote address 1 ***.***.***.*** (AUひかりグローバルIP)
ipsec ike local name 1 ipsec1
ip tunnel tcp mss limit auto
tunnel enable 1
ip route 192.168.101.0/24 gateway tunnel 1
自宅のIPSECトンネルの設定は、下記の様になるはずです。
tunnel select 1
tunnel name IPsec(自宅)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.101.1
ipsec ike pre-shared-key 1 text ******
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1
ip tunnel tcp mss limit auto
tunnel enable 1
ip route 192.168.103.0/24 gateway tunnel 1
要は、グローバルIPを固定で保有する回線は1拠点で、他拠点はグローバルIPを動的扱いでの構成です。
NetvolanteDNSが利用出来ない場合の構成となります。
Yamaha設定例を参考下さい。
※ http://jp.yamaha.com/products/network/solution/vpn/connect/vpn-explain_ipsec_aggressive/
アグレッシブモードの概念とは
※ http://sc.seeeko.com/archives/3824917.html
書込番号:19421204
0点
要は、アグレッシブモードの場合、グローバルIPが動的な回線から、一定周期にIPSECトンネルの認証情報(IKE情報)を常に、AU光のグローバルIP宛てのRTX810ルーターへ問合せ通信が発生する構成です。
その問合せ通信情報に、AU光側のグローバルIPだけではなく、会社側RTX810ルーターのIPSECのトンネルの名前を任意に決定し、その名前を自宅RTX810ルーターへ通知する構成にて、IPSECトンネルを確立させる方法です。
つまり、AU光側が何らかの障害にて、グローバルIPアドレスが変動した場合には、IPSEC接続が切れる形になります。
それぞれが、固定IP若しくはNetvolanteDNSを保有出来る構成の場合には、そのIPSECトンネル認証にそれぞれのグローバルIPとNetvolanteDNSの情報のみでトンネルを構成できるので、その分トンネル通信の安定性とセキュリティ確保できる設定になります。
それが、メインモードのIPSEC-VPNと言います。
書込番号:19421234
1点
>sorio-2215さん
非常に理解しやすい説明でした。ありがとうございます。
ところで根本的な質問をします。
今回は私が幸か不幸か自宅がauひかり回線ということで半固定的なグローバルIPを持っています。それを利用してVPNが構成できたという理解でいいですよね?
仮に私の環境が自宅も「会社と同じ回線&機器構成」だった場合はどうなっていたのでしょうか?もちろんニフティから月額数千円の固定IPを借りて運用することもできます。しかしもったいないですよね。
こんな人、世の中に軽く数百人は居そうに思えます。みなさんどうされているのかすごく疑問です。
※これからVPN構築に入ります。またよろしくお願いします。
書込番号:19421265
0点
補足事項です。
下記のNATモードのコマンドですが、CATVモードになっておりますので、エントリー番号が違うモードになっている様です。
nat descriptor type 200 masquerade
nat descriptor address outer 200 ipcp
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.103.1 udp 500
nat descriptor masquerade static 200 2 192.168.103.1 esp
nat descriptor masquerade static 200 3 192.168.103.1 udp 1701
nat descriptor masquerade static 200 4 192.168.103.1 udp 4500
上記が正式のNATエントリのコマンドになるかと存じます。
IPフィルタについては、IPSECとL2TP関連、他の許可コマンドが欠けています。
ip filter 101004 pass * 192.168.103.0/24 icmp * *
ip filter 101005 pass * 192.168.103.0/24 established * *
ip filter 101006 pass * 192.168.103.0/24 tcp * ident
ip filter 101007 pass * 192.168.103.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.103.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.103.0/24 udp domain *
ip filter 101014 pass * 192.168.103.0/24 udp * ntp
ip filter 101015 pass * 192.168.103.0/24 udp ntp *
ip filter 101016 pass * 192.168.103.1 udp * 500
ip filter 101017 pass * 192.168.103.1 esp * *
ip filter 101018 pass * 192.168.103.1 udp * 1701
ip filter 101019 pass * 192.168.103.1 udp * 4500
ip lan2 secure filter in 101003 101004 101005 101016 101017 101018 101019 101020 101021 101022 101023 101024 101025 101030 101032
上記が最低限必要なコマンドです。
それと、NATエントリモードが変わっている関係で、「no nat descriptor masquerade static 1000 1 192.168.103.1 udp 500」を実行下さい。
1000エントリー番号のルールは不要です。
書込番号:19421289
0点
双方、固定IPが無い場合には、理想としてはNiftyコースだとコスト的に高いので、当方としては、固定IP付きながらも低価格プロバイダを推奨しております。
※ Asahiネット+固定IPサービスにて、プロバイダ基本料780円+固定IP料金・月額800円
※ http://asahi-net.jp/service/ftth/withflets/east_home.html
※ http://asahi-net.jp/service/option/fixedip/
もし、ASAHIネットのプロバイダ選択にて、Niftyメールアドレスを残したい場合には、Niftyのコースをダイアルアップ・スタンダード料金コース、月額250円に変更すれば、メール契約を残す事は可能です。
※ http://setsuzoku.nifty.com/dialup/
書込番号:19421306
1点
うまくいきましたら、AU光側の回線トラブルやRTX810ルーターのトラブル回避のため、自宅回線装置とRTX810ルーターへ無停電装置を接続することを推奨します。
※ APC製「APC ES 750」・・ http://www.apc.com/shop/jp/ja/products/APC-ES-750/P-BE750G-JP
電話回線からのサージ混入、コンセントサージ、停電時のバックアップバッテリー750VA
バックアップ待機時間は、接続回線装置の総計ワット数が50Wで40分程のバックアップが可能です。
つまり、それ以下の20W程度に収まるのであれば、だいたい90分程度はインターネット接続と光電話保護、RTX810ルーターの挙動保護が可能ですので、参考まで。
書込番号:19421411
0点
確認ですが、直近の話でもありませんが、会社の利用電話回線番号と回線数は、2回線・2番号程度ですか?
他の利用番号・回線が有って、光電話回線に移行出来る様で有れば、会社回線をAU光ビジネス回線に移行すれば、最大8回線・32番号までの移行が可能ですよ。
インターネット機能は、グローバルIP(1個)無料で添付されております。
※ 3回線1番号+インターネット(1Gbps)+固定IP(1個)で、月額7,700円です。
追加番号移行(1番号毎)に、100円で追加出来ますので、3回線3番号+インターネット(1Gbps)+固定IP=7,700+100×2=8,000円です。
以下参考までに
AU光ビジネスサイト ・・ http://www.kddi.com/business/network/internet/au-hikari-business/
4回線までの光電話アダプタが、NTT「RT-500KI」に置き換わる形になりますが、AU光電話アダプタ・月額レンタル料800円、8回線までの月額レンタル料1,200円です。
書込番号:19421477
0点
>sorio-2215さん
また引っ掛かっています。会社から自宅への通信はできたのですが自宅から会社へができないです。ルーターの中を見るとと通信中ですが。
会社のルーターに教えられたコマンドすべて投入し、自宅との通信を確認。自宅に戻り会社との通信を試した結果です。
取り敢えず自宅のコンフィグだしておきます。
いつもスミマセン。
書込番号:19421969
0点
ip route default gateway 192.168.0.1
ip route 192.168.103.0/24 gateway tunnel 1
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ip lan1 address 192.168.101.1/24
ip lan1 proxyarp on
ip lan2 address 192.168.0.254/24
ip lan2 secure filter in 101003 101020 101021 101022 101023 101024 101025 101030 101032 101080 101081 101082 101083
ip lan2 secure filter out 101013 101020 101021 101022 101023 101024 101025 101099 dynamic 101080 101081 101082 101083 101084 101085 101098 101099
ip lan2 nat descriptor 200
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:DHCP
provider ntpdate ntp.nict.jp
pp select anonymous
pp name L2TP/IPsec
pp bind tunnel2
pp auth request chap-pap
pp auth username admin *******
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.101.1
ipsec ike local id 1 192.168.101.1/24
ipsec ike pre-shared-key 1 text *******
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1 key-id
ip tunnel tcp mss limit auto
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text *******
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp keepalive use on
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.101.0/24 * * * *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.101.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.101.1 udp * 500
ip filter 101081 pass * 192.168.101.1 esp * *
ip filter 101082 pass * 192.168.101.1 udp * 1701
ip filter 101083 pass * 192.168.101.1 udp * 4500
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
nat descriptor masquerade static 200 1 192.168.101.1 udp 500
nat descriptor masquerade static 200 2 192.168.101.1 esp
nat descriptor masquerade static 200 3 192.168.101.1 udp 1701
nat descriptor masquerade static 200 4 192.168.101.1 udp 4500
ipsec auto refresh on
ipsec transport 2 2 udp 1701
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.101.2-192.168.101.100/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on
httpd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
alarm entire off
sshd service on
sshd host key generate *
#
書込番号:19421980
0点
会社での状況
・自宅へ通信可能
・HGW通信専用ケーブル撤去OK
・同上で無線親機も通信可能
おおむねうまく行っているような?
ありがとうございます。
書込番号:19422057
0点
自宅RTX810ルーターの会社光電話ルーターへのルーティング設定が未投入です。
会社光電話ルーターのIPは192.168.100.1/24ですよね?
自宅RTX810ルーターへ「ip route 192.168.100.0/24 gateway tunnel 1」を追加コマンド投入下さい。
先刻の会社RTX810ルーターのConfigを見ますと、ProxyARPの設定が未投入です。
「ip lan1 proxyarp on」を追加コマンド投入下さい。
それと、会社RTX810ルーターの静的ルーティング登録がキチンと投入されているかも確認下さい。
「ip route 192.168.101.0/24 gateway tunnel 1」と「ip route 192.168.0.0/24 gateway tunnel 1」
AU光HGWのIPが192.168.0.1/24ですよね?
更に言えば、会社RTX810ルーターの簡易メニュー表示のコマンドが、同一LAN内のみになっておりますよ。
「httpd host lan1」では無く、「httpd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254」です。
下記コマンドは、キチンと投入されていますでしょうか?
nat descriptor type 200 masquerade
nat descriptor address outer 200 ipcp
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.103.1 udp 500
nat descriptor masquerade static 200 2 192.168.103.1 esp
nat descriptor masquerade static 200 3 192.168.103.1 udp 1701
nat descriptor masquerade static 200 4 192.168.103.1 udp 4500
IPフィルタの許諾も必要です。
ip filter 101016 pass * 192.168.103.1 udp * 500
ip filter 101017 pass * 192.168.103.1 esp * *
ip filter 101018 pass * 192.168.103.1 udp * 1701
ip filter 101019 pass * 192.168.103.1 udp * 4500
ip lan2 secure filter in 101003 101004 101005 101016 101017 101018 101019 101020 101021 101022 101023 101024 101025 101030 101032
書込番号:19422077
0点
ここまで来れば、雰囲気で自宅から、会社の光電話ルーターのログイン方法は解りますよね?
192.168.100.1で光電話ルーターログイン、192.168.103.1でRTX810ルーターログイン、NASは192.168.103.200でログイン、NEC無線ルーターは192.168.103.100でログイン
逆に会社から自宅のHGWのログインは192.168.0.1、192.168.101.1で会社からRTX810ルーターログインと言った形になります。
書込番号:19422084
1点
補足ですが、メインモードにて構成する場合ですが、自宅のIPSECトンネル1の「ipsec ike remote address 2 any」の箇所ですが、対向先回線の固定グローバルIP若しくは、NetvolanteDNSを指定します。
更に言うと、Yamaha同士でのIPSECではlocal name→remote nameでの名称解決出来ますが、例えば会社が他社VPNルーターで、自宅がYamahaルーターと言った構成(逆もそうですが)、異種メーカー及び異種モデル間のIPSECですと、local name → remote nameの名称解決が出来ないです。
異機種・異メーカー間の交換なども予想される場合には、local name → remote nameの情報交換ではなく、local id → remote id(Yamahaで言うと、自分のID、相手先のID)での解決にされた方が良いかと考えます。
local idとremote id指定には、通常は自身のIPセグメント名を指定します。
※ 今回のケースですと、会社RTX810には local id 192.168.103.0、自宅RTX810は192.168.101.0
上記local idとremote id形式の場合には、会社及び自宅RTX810に、それぞれのlocal→remote idを双方登録します。
例 自宅RTX810→ 「ipsec ike local id 1 192.168.101.0/24」と「ipsec ike remote id 1 192.168.103.0/24」
例2 会社RTX810→「ipsec ike local id 1 192.168.103.0/24」と「ipsec ike remote id 1 192.168.101.0/24」
上記の要素で言うと、今回の自宅RTX810ルーターの「ipsec ike local id 1 192.168.101.1/24」は不要です。
local name → remote nameにて名称解決し、local id →remote idでは名称解決しないためです。
RTX810ルーターのWeb設定から設定しますと、不要なConfigまで投入されてしまう場合が有る点が有ります。
書込番号:19422360
1点
そういえば忘れてましたが、Nifty1Gbps性能維持のためのIPV6オプションの部分ですが、既存光電話ルーターとRTX810ルーターの2重ルーター構成とIPSECトンネル、L2TPトンネルがうまくいっている条件ですが、IPV6オプション再申請の際には、光電話ルーターのIPV6フィルタの許可とRTXルーターのIPV6-IPOE追加設定が必要です。
光電話ルーター配下での排他処理の為、RAプレフィックス設定が必要です。
※ http://www.rtpro.yamaha.co.jp/RT/FAQ/FLETS-HIKARI-NEXT/ipv6_ipoe.html
↑ 光電話契約していない場合のコマンドでOKです。
書込番号:19423896
0点
>sorio-2215さん
やらかしてしまったらしく自宅から会社へのアクセスができないです。会社から自宅は大丈夫です。
現在自宅のため自宅のRTXのコンフィグを出します。おかしな点ありましたら教えてください。
会社のコンフィグは明日出します。
いつもスミマセン。よろしくお願いします。
書込番号:19424245
0点
ip route default gateway 192.168.0.1
ip route 192.168.100.0/24 gateway tunnel 1
ip route 192.168.103.0/24 gateway tunnel 1
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ip lan1 address 192.168.101.1/24
ip lan1 proxyarp on
ip lan2 address 192.168.0.254/24
ip lan2 secure filter in 101003 101020 101021 101022 101023 101024 101025 101030 101032 101080 101081
ip lan2 secure filter out 101013 101020 101021 101022 101023 101024 101025 101099 dynamic 101080 101081 101082 101083 101084 101085 101098 101099
ip lan2 nat descriptor 200
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:DHCP
provider ntpdate ntp.nict.jp
tunnel select 1
tunnel name IPsec(自宅)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.101.1
ipsec ike local id 1 192.168.101.1/24
ipsec ike pre-shared-key 1 text *******
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1 key-id
ip tunnel tcp mss limit auto
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.101.0/24 * * * *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.101.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.101.1 udp * 500
ip filter 101081 pass * 192.168.101.1 esp * *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
nat descriptor masquerade static 200 1 192.168.101.1 udp 500
nat descriptor masquerade static 200 2 192.168.101.1 esp
ipsec auto refresh on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.101.2-192.168.101.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
httpd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
alarm entire off
sshd service on
sshd host key generate *
#
書込番号:19424256
0点
会社のコンフィグです。
ip route default gateway 192.168.100.1
ip route 192.168.0.0/24 gateway tunnel 1
ip route 192.168.101.0/24 gateway tunnel 1
ip keepalive 1 icmp-echo 10 5 192.168.100.1
ip lan1 address 192.168.103.1/24
ip lan1 proxyarp on
ip lan2 address 192.168.100.254/24
ip lan2 secure filter in 101003 101004 101005 101016 101017 101018 101019 101020 101021 101022 101023 101024 101025 101030 101032
ip lan2 secure filter out 101013 101020 101021 101022 101023 101024 101025 101099 dynamic 101080 101081 101082 101083 101084 101085 101098 101099
ip lan2 nat descriptor 200
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.103.1
ipsec ike local name 1 ipsec1 key-id
ipsec ike pre-shared-key 1 text ******
ipsec ike remote address 1 ***.***.***.***
ip tunnel tcp mss limit auto
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.103.0/24 * * * *
ip filter 101004 pass * 192.168.103.0/24 icmp * *
ip filter 101005 pass * 192.168.103.0/24 established * *
ip filter 101006 pass * 192.168.103.0/24 tcp * ident
ip filter 101007 pass * 192.168.103.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.103.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.103.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.103.0/24 * * *
ip filter 101014 pass * 192.168.103.0/24 udp * ntp
ip filter 101015 pass * 192.168.103.0/24 udp ntp *
ip filter 101016 pass * 192.168.103.1 udp * 500
ip filter 101017 pass * 192.168.103.1 esp * *
ip filter 101018 pass * 192.168.103.1 udp * 1701
ip filter 101019 pass * 192.168.103.1 udp * 4500
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.103.1 udp * 500
ip filter 101081 pass * 192.168.103.1 esp * *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 ipcp
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.103.1 udp 500
nat descriptor masquerade static 200 2 192.168.103.1 esp
nat descriptor masquerade static 200 3 192.168.103.1 udp 1701
nat descriptor masquerade static 200 4 192.168.103.1 udp 4500
nat descriptor masquerade static 1000 1 192.168.103.1 udp 500
ipsec auto refresh on
telnetd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.103.2-192.168.103.99/24
dns server 192.168.100.1
dns private address spoof on
httpd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
alarm entire off
sshd service on
sshd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
sshd host key generate *
sftpd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
#
書込番号:19425277
0点
会社側RTX810ルーターの不整合かと存じます。
自宅側RTX810ルーターのConfigは、問題有りません。
会社側RTX810ルーターの不要静的IPマスカレードエントリーが未だ残留していますよ。
「no nat descriptor masquerade static 1000 1 192.168.103.1 udp 500」
をコマンド実行下さい。
それと、IPフィルタの規制コマンドが、重複していますよ。
「no ip filter 101080 pass * 192.168.103.1 udp * 500」、「no ip filter 101081 pass * 192.168.103.1 esp * *」はコマンド実行下さい。
NATモードのout/inの変換ルールが、2重ルーターですので、下記に変更下さい。
× 「nat descriptor address outer 200 ipcp」
↓
○ 「nat descriptor address outer 200 192.168.100.254」
× 「nat descriptor address inner 200 auto」
↓
○ 「nat descriptor address inner 200 192.168.100.254 192.168.103.1-192.168.103.254」
最後に、コマンド実行にて、saveを実行下さい。
上記○の方のコマンド実行後に、会社側光電話ルーター再起動→(5分〜10分後)→RTX810ルーターの再起動を実施下さい。
光電話ルーターは、電源コード抜き差しでOKです。
会社RTX810ルーターは、電源抜き差しだけでは、設定データ反映後のプログラムでのルーター挙動になりませんので、一度だけRTX810ルーターのWeb設定画面のコマンド実行にて、restart を実行下さい。
自宅RTX810ルーターは、そのままでOKです。
再起動後に、光電話ルーターの詳細設定→静的NAT設定→外部からのパケットをすべて特定ホストに中継する(簡易DMZ) →特定ホストのIPアドレスに192.168.100.254がキチンと投入されているか確認。
同じく詳細設定→LAN側静的ルーティング→宛先IPアドレス(192.168.103.0/24)と宛先ゲートウェイ(192.168.100.254)がキチンと投入されているかも確認下さい。
全ての確認後、自宅からアクセスは出来る筈ですので、確認願います。
書込番号:19425530
0点
先ほどのNATモードの設定は、下記でも構いません。
「nat descriptor address outer 200 primary」
「nat descriptor address inner 200 auto」
正確に通信させるためには、先ほどのコマンドの方が推奨されます。
誤っている「nat descriptor address outer 200 ipcp」は、RTX810ルーター自身でPPPOE接続し、ipcp応答させるためのコマンドです。2重ルーターでの応答させるコマンドでは有りません。
書込番号:19425547
0点
自宅側RTX810ルーターを触れる必要性は有りませんが、欲を言えば下記コマンドの方が良いかと考えます。
「nat descriptor address outer 200 192.168.0.254」
「nat descriptor address inner 200 192.168.0.254 192.168.101.1-192.168.101.254」
書込番号:19425595
0点
>sorio-2215さん
お世話になります。
先ほどのコマンド投入したところ
・会社から自宅へのアクセス不能
・アイフォンからVPN回線への接続不能
となっています。
またコンフィグ出します。すみませんがよろしくお願いします。
書込番号:19425854
0点
ip route default gateway 192.168.100.1
ip route 192.168.0.0/24 gateway tunnel 1
ip route 192.168.101.0/24 gateway tunnel 1
ip keepalive 1 icmp-echo 10 5 192.168.100.1
ip lan1 address 192.168.103.1/24
ip lan1 proxyarp on
ip lan2 address 192.168.100.254/24
ip lan2 secure filter in 101003 101004 101005 101016 101017 101018 101019 101020 101021 101022 101023 101024 101025 101030 101032
ip lan2 secure filter out 101013 101020 101021 101022 101023 101024 101025 101099 dynamic 101080 101081 101082 101083 101084 101085 101098 101099
ip lan2 nat descriptor 200
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.103.1
ipsec ike local name 1 ipsec1 key-id
ipsec ike pre-shared-key 1 text ******
ipsec ike remote address 1 ***.***.***.***
ip tunnel tcp mss limit auto
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.103.0/24 * * * *
ip filter 101004 pass * 192.168.103.0/24 icmp * *
ip filter 101005 pass * 192.168.103.0/24 established * *
ip filter 101006 pass * 192.168.103.0/24 tcp * ident
ip filter 101007 pass * 192.168.103.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.103.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.103.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.103.0/24 * * *
ip filter 101014 pass * 192.168.103.0/24 udp * ntp
ip filter 101015 pass * 192.168.103.0/24 udp ntp *
ip filter 101016 pass * 192.168.103.1 udp * 500
ip filter 101017 pass * 192.168.103.1 esp * *
ip filter 101018 pass * 192.168.103.1 udp * 1701
ip filter 101019 pass * 192.168.103.1 udp * 4500
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.100.254
nat descriptor address inner 200 192.168.100.254 192.168.103.1-192.168.103.254
nat descriptor masquerade static 200 1 192.168.103.1 udp 500
nat descriptor masquerade static 200 2 192.168.103.1 esp
nat descriptor masquerade static 200 3 192.168.103.1 udp 1701
nat descriptor masquerade static 200 4 192.168.103.1 udp 4500
ipsec auto refresh on
telnetd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.103.2-192.168.103.99/24
dns server 192.168.100.1
dns private address spoof on
httpd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
alarm entire off
sshd service on
sshd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
sshd host key generate *
sftpd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
#
書込番号:19425855
0点
会社RTX810ルーターConfigの件ですが、総体的なConfigとしては間違っていません。
ただし、2重ルーター構成の場合「IPv4 動的IPフィルタの一覧」箇所での動的フィルタ(ポートトリガー)は、止めた方が良いですよ。
動的IPフィルタの解除には、下記コマンドを投入下さい。
「ip lan2 secure filter in 101003 101004 101005 101016 101017 101018 101019 101020 101021 101022 101023 101024 101025 101030 101032 101099」
「ip lan2 secure filter out 101013 101020 101021 101022 101023 101024 101025 101099」
ダイナミック・フィルタのコマンドを実行しないと言う事です。
自宅RTX810ルーターの動的IPフィルタのコマンドは、廃止下さい。
自宅RTX810ルーターの方は、下記コマンドにて、フィルタの変更が可能です。
「ip lan2 secure filter in 101003 101020 101021 101022 101023 101024 101025 101030 101032 101080 101081 101099」
「ip lan2 secure filter out 101013 101020 101021 101022 101023 101024 101025 101099」
書込番号:19425888
0点
IOSモバイル端末からのアクセスについては、先刻会社RTX810ルーターはNetvolanteDNSが利用不能という条件を伝えましたが。
IOSモバイル端末のアクセスには、自宅RTX810ルーターへVPN接続し、自宅経由で会社RTX810回線へアクセス出来る構成になると伝えましたが。
自宅RTX810ルーターにVPN接続出来るかどうか確認願います。
会社RTX810ルーターへのアクセスは、自宅と会社のIPSEC接続開始されましたら、ルーティングされます。
書込番号:19425896
0点
補足です。
動的フィルタの解除は、Webメニューからの解除も可能です。
[トップ] > [詳細設定と情報] > [ファイアウォールの設定] →WANポートに、ファイアーウォール設定(IPv4フィルタ)が有効な箇所にチェック投入されているかと考えますが、その中のIPv4 動的IPフィルタの一覧に、出の方に全てチェック投入されているかと思いますが、チェックを外して下さい。
更に、IPv4 静的IPフィルタの一覧の99番のフィルタを入・出を双方チェック投入→設定確定下さい。
書込番号:19425903
0点
>sorio-2215さん
上記各種コマンドを投入しほぼうまく動いています。
唯一のトラブルがアイフォンからVNPに接続できないことです。エラーメッセージは「L2TP-VPNサーバーが応答しませんでした」です。
最初はアイフォン用VPNを自宅用と会社用に2つ作っていましたが会社用は既に廃止しております。問題は自宅用VPNへの接続です。
どうぞよろしくお願いいたします。
書込番号:19426144
0点
>sorio-2215さん
またまたトラブルです。
・自宅に設置してあるクラウド型ネットワークカメラに接続できなくなりました
・自宅のHGWにアクセスできません。RTXへはアクセス可能です
よろしくお願いいたします。
書込番号:19426152
0点
自宅RTX810ルーターのL2TPトンネル設定がされてませんよ。
自宅のL2TPリモートアクセスの設定を投入して下さい。
以前自宅のRTX810ルーターに投入されていたコマンドです。(下記にて)
pp select anonymous
pp name L2TP/IPsec
pp bind tunnel2
pp auth request chap-pap
pp auth username ***** ******
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text *******
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp keepalive use on
ip tunnel tcp mss limit auto
tunnel enable 2
上記コマンドが未投入ですと、自宅のリモートアクセス先が不明になっているかと考えます。
IOS端末側も、リモートアクセスのグローバルIP(AUひかり・グローバルIP)とログインID・パスワード、暗号化キーを再度確認下さい。
IPカメラにつきましては、IPカメラ本体は固定IP及びデフォルトゲートウェイ固定、プライマリDNSの固定設定はされていますか?
IPアドレスは、他の機器と重複しないIP(192.168.101.***)、デフォルトゲートウェイ192.168.101.1、プライマリDNS192.168.101.1と確認下さい。
自宅のHGWのIPは、192.168.0.1ですよね?
自宅のHGWのDMZ設定を192.168.0.254にはなっているかと考えますが、HGWの機種によってですが、HGWの詳細設定→静的ルーティング設定にて、宛先IPアドレス(192.168.101.0/24)→宛先ゲートウェイ(192.168.0.254)を登録確認してみて下さい。
HGWの機種により、2重ルーター構成の場合に上記の静的ルーティング登録も追加しませんと、正規の通信にならない場合が有ります。
書込番号:19426181
0点
補足ですが、RTX810間のIPSECトンネルの設定と、L2TP/IPSECのトンネルは、個別に設定されていませんと、VPN接続の基本的な条件になりません。
L2TP/IPSECのトンネルは、接続端末数と同時接続数によって、トンネル追加は複数しませんと、同時接続は出来ません。
例えば、IOSスマートフォンを接続しながら、Android端末を接続したり、タブレットを接続したり等、1トンネルあたり1端末と考えてリモートアクセス設定を追加下さい。
それと、リモートアクセスの切断時ですが、RTX810ルーターの切断時の再接続要求状態になるまで、若干のタイムロスが有ります。
頻繁に、接続・切断を繰り返す要素が想定される場合、RTX810ルーターのL2TPトンネルの自動切断タイマーの設定を追加しておいた方が良いかもしれません。
tunnel select 2 → l2tp tunnel disconnect time 600 → l2tp keepalive use off
上記コマンドで、自動切断タイマーを10分、キープアライブをOFFにするコマンドです。
Webからの設定も可能です。
書込番号:19426200
0点
念のための話ですが、自宅にIPカメラを設置しているとの事ですが、会社にはIPカメラを設置しているのでしょうか?
自宅のIPカメラのIP体系も192.168.101.***、デフォルトゲートウェイ192.168.101.1、プライマリDNS192.168.101.1の設定確認、会社のIPカメラが有れば、IP192.168.103.***、デフォルトゲートウェイ192.168.103.1、プライマリDNS192.168.103.1の設定確認しませんと、アクセス条件になりません。
会社若しくは自宅にIPカメラ用防犯レコーダーなどを設置している場合には、その防犯レコーダーのIP体系も確認下さい。
防犯レコーダーの複数カメラ登録も、それぞれのIPカメラのIPアドレス情報を登録する形になるかと存じます。
書込番号:19426221
0点
補足Aです。
自宅のIPカメラの件ですが、もしかしてHGWの内蔵無線LAN機能にて、無線LAN接続している形でしょうか?
カメラの特定機能によって、HGWの無線LAN機能での接続ですと、無線LANセグメントとRTX810ルーターセグメントが違う認識固定になるカメラも有ります。
その際には、IPカメラをRTX810ルーター配下に、無線ルーターを接続して、その無線ルーター経由にしなければうまく通信出来ない場合も有ります。
先ほどの説明は、自宅RTX810ルーターの配下のIP範囲にIPカメラが有る条件になります。
書込番号:19426253
0点
注意点ですが、RTX810ルーターは最大VPNトンネルは、IPSECとL2TP全て総計で、6トンネルしか対応しておりません。
今回は、自宅と会社間、モバイルとそれぞれの拠点という条件でしたが、拠点数が増えたり、モバイル端末数が増える事が予期される場合、自宅側のルーターを「FWX120」や「RTX1210」等の構成をご検討下さい。
書込番号:19426284
0点
>sorio-2215さん
今自宅ですがHGWまでも出られなくなっています。会社用のコマンドを自宅のルーターに投入したのかも。仕方ないのでPCをHGWに繋いで接続中です。
お手数ですが、見ていただけますか??
ip route default gateway 192.168.0.1
ip route 192.168.100.0/24 gateway tunnel 1
ip route 192.168.103.0/24 gateway tunnel 1
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ip lan1 address 192.168.101.1/24
ip lan1 proxyarp on
ip lan2 address 192.168.0.254/24
ip lan2 secure filter in 101003 101020 101021 101022 101023 101024 101025 101030 101032 101080 101081
ip lan2 nat descriptor 200
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:DHCP
provider ntpdate ntp.nict.jp
tunnel select 1
tunnel name IPsec(自宅)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.101.1
ipsec ike local id 1 192.168.101.1/24
ipsec ike pre-shared-key 1 text *******
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1 key-id
ip tunnel tcp mss limit auto
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.101.0/24 * * * *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.101.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.101.1 udp * 500
ip filter 101081 pass * 192.168.101.1 esp * *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
nat descriptor masquerade static 200 1 192.168.101.1 udp 500
nat descriptor masquerade static 200 2 192.168.101.1 esp
ipsec auto refresh on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.101.2-192.168.101.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
httpd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
alarm entire off
#
書込番号:19426807
0点
自宅RTX810ルーターに192.168.101.0グループにダウンロード拒否するフィルタ投入されていますよ。
下記修正願います。
ip lan2 secure filter in 101000 101001 101004 101005 101006 101020 101021 101022 101023 101024 101025 101030 101032 101080 101081 101099
ip lan2 secure filter out 101010 101011 101020 101021 101022 101023 101024 101025 101099
ip filter 101004 pass * 192.168.101.1 udp * 4500
ip filter 101005 pass * 192.168.101.1 udp * 1701
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.101.1-192.168.101.254
nat descriptor masquerade static 200 3 192.168.101.1 udp 1701
nat descriptor masquerade static 200 4 192.168.101.1 udp 4500
L2TPリモートアクセス用のトンネルについては、下記を参考に。
pp select anonymous
pp name L2TP/IPsec
pp bind tunnel2
pp auth request chap-pap
pp auth username ***** ****** (モバイル用接続ユーザーID 接続パスワード)
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text ******* (モバイル用暗号化キー)
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp keepalive use off
l2tp tunnel disconnect time 600
ip tunnel tcp mss limit auto
tunnel enable 2
ipsec transport 1 2 udp 1701
複数モバイルを同時に接続許容させるためには、下記にて。
pp select anonymous
pp name L2TP/IPsec
pp bind tunnel2-tunnel3
tunnel select 3
tunnel encapsulation l2tp
ipsec tunnel 3
ipsec sa policy 3 3 esp 3des-cbc md5-hmac
ipsec ike keepalive log 3 off
ipsec ike keepalive use 3 off
ipsec ike nat-traversal 3 on
ipsec ike pre-shared-key 3 text ******* (モバイル用暗号化キー)
ipsec ike remote address 3 any
l2tp tunnel auth off
l2tp keepalive use off
l2tp tunnel disconnect time 600
ip tunnel tcp mss limit auto
tunnel enable 3
ipsec transport 1 2 udp 1701
ipsec transport 2 3 udp 1701
書込番号:19426905
0点
今、HGWにパソコン接続されていますよね?
HGWの詳細設定→その他設定→DMZホスト機能にチェック投入と、192.168.0.254が指定されているかを確認願います。
それと、HGWの詳細設定→静的ルーティングにて、宛先アドレス(192.168.101.0/24)と宛先ゲートウェイ(192.168.0.254)の登録の確認も願います。
書込番号:19426917
0点
>sorio-2215さん
HGWに配線。DMZは設定済。HGWに静的ルーティングを新規に設定。→保存
RTXに配線。HGWに入れないです。当然インターネットにも出られません。
書込番号:19427433
0点
新規・自宅RTX810ルーターのConfig提示下さい。
適切な説明は、それからです。
NATモードを変更しても接続出来ませんか?
nat descriptor address outer 200 primary
nat descriptor address inner 200 auto
↑のコマンドを実施してみて下さい。
HGWへアクセス出来ない時点で、RTX810からHGWへのLANケーブル接点不良も考えられるのですが。
コマンドにて、「show status lan2」を実施→出力情報の提示をお願いします。
確認ですが、HGWの詳細設定→その他設定→IPSECパススルーにチェック投入されているかも事前に確認の上、HGWの再起動→(5分後程度)RTX810の再起動を実施下さい。
書込番号:19427457
0点
先ほどの点を確認後ですが、「show nat descriptor address」にて、表示情報をお教え下さい。
書込番号:19427462
0点
もしかして、他の機器のRTX810ルーターのWAN側IPアドレス(192.168.0.254)が衝突・重複していると言うことは有りませんか?
AU回線ですよね?
AU-HOMESpot-QUBEなどは、192.168.***.254をデフォルトで利用する仕様になっていましたが、HOMESpot-QUBEを利用されているのであれば、利用停止下さい。
書込番号:19427492
0点
# show status lan2
LAN2
説明:
IPアドレス: 192.168.0.254/24
イーサネットアドレス: 00:a0:de:7f:ac:b5
動作モード設定: Auto Negotiation (1000BASE-T Full Duplex)
最大パケット長(MTU): 1500 オクテット
プロミスキャスモード: OFF
送信パケット: 3398071 パケット(3245802987 オクテット)
IPv4(全体/ファストパス): 3397686 パケット / 3200305 パケット
IPv6(全体/ファストパス): 5 パケット / 0 パケット
受信パケット: 3700514 パケット(1008277855 オクテット)
IPv4: 3548747 パケット
IPv6: 7608 パケット
未サポートパケットの受信: 136307
受信オーバーフロー: 17
#
# show nat descriptor address
参照NATディスクリプタ : 200, 適用インタフェース : LAN2(1)
Masqueradeテーブル
外側アドレス: primary/192.168.0.254
ポート範囲: 60000-64095, 54096-59999 33個使用中
プロトコル 内側アドレス 宛先 マスカレード 種別
ESP 192.168.101.1.* *.*.*.*.* * static
UDP 192.168.101.1.500 *.*.*.*.* 500 static
-*- -*- -*- -*- -*- -*- -*- -*- -*- -*- -*-
No. 内側アドレス 使用中のポート数 制限数 種別
1 192.168.101.1 17 10000 dynamic
2 192.168.101.3 5 10000 dynamic
3 192.168.101.2 5 10000 dynamic
4 192.168.101.4 4 10000 dynamic
5 192.168.101.7 2 10000 dynamic
---------------------
有効なNATディスクリプタテーブルが1個ありました
#
書込番号:19427496
0点
ip route default gateway 192.168.0.1
ip route 192.168.100.0/24 gateway tunnel 1
ip route 192.168.103.0/24 gateway tunnel 1
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ip lan1 address 192.168.101.1/24
ip lan1 proxyarp on
ip lan2 address 192.168.0.254/24
ip lan2 secure filter in 101003 101020 101021 101022 101023 101024 101025 101030 101032 101080 101081
ip lan2 nat descriptor 200
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:DHCP
provider ntpdate ntp.nict.jp
tunnel select 1
tunnel name IPsec(自宅)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.101.1
ipsec ike local id 1 192.168.101.1/24
ipsec ike pre-shared-key 1 text *******
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1 key-id
ip tunnel tcp mss limit auto
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.101.0/24 * * * *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.101.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.101.1 udp * 500
ip filter 101081 pass * 192.168.101.1 esp * *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.101.1 udp 500
nat descriptor masquerade static 200 2 192.168.101.1 esp
ipsec auto refresh on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.101.2-192.168.101.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
httpd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
alarm entire off
#
書込番号:19427502
0点
IPフィルタの設定替えがされていませんよ。
「ip lan2 secure filter in 101000 101001 101004 101005 101006 101020 101021 101022 101023 101024 101025 101030 101032 101080 101081 101099」
↑ は一行文です。
「ip lan2 secure filter out 101010 101011 101020 101021 101022 101023 101024 101025 101099」
「ip filter 101004 pass * 192.168.101.1 udp * 4500」
「ip filter 101005 pass * 192.168.101.1 udp * 1701」
全てコマンド投入して頂きませんと、WAN→LAN、LAN→WANのルーティング拒否されていますよ。
先刻のL2TPリモートアクセスのコマンドも確認お願いします。
LAN2ステータスの情報から、以前の動的フィルタ機能が残留しており、インターネット接続変換機能の阻害要因になっています。
IPフィルタのコマンド投入して頂きませんと、先に進めません。
書込番号:19427539
0点
>sorio-2215さん
AU-HOMESpot-QUBEとは何かわかりませんが使っていないです。254が衝突するような設定はないと思います。
書込番号:19427540
0点
コマンド文の「ip filter 101003 reject 192.168.101.0/24 * * * *」と「ip filter 101013 reject * 192.168.101.0/24 * * *」が、IPフィルタ(ファイアーウォール機能)にルール投入されていては、まずいです。
rejectで拒否と言う事です。
Webメニューからの解除も可能ですが、IPフィルタのコマンドをそのまま実行すると、置き換わりますので、先ずは投入下さい。
LAN2接続情報とNATステータスを見ると、NATモードの不整合では有りませんでしたので、安定化のNATへ戻して下さい。
「nat descriptor address outer 200 192.168.0.254」
「nat descriptor address inner 200 192.168.0.254 192.168.101.1-192.168.101.254」
「nat descriptor masquerade static 200 3 192.168.101.1 udp 1701」
「nat descriptor masquerade static 200 4 192.168.101.1 udp 4500」
↑コマンド実行下さい。
L2TPリモートアクセス・トンネル設定も、コマンド投入しておいて下さい。
L2TPリモートアクセス用のトンネルについては、下記を参考に。
pp select anonymous
pp name L2TP/IPsec
pp bind tunnel2
pp auth request chap-pap
pp auth username ***** ****** (モバイル用接続ユーザーID 接続パスワード)
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text ******* (モバイル用暗号化キー)
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp keepalive use off
l2tp tunnel disconnect time 600
ip tunnel tcp mss limit auto
tunnel enable 2
ipsec transport 1 2 udp 1701
(モバイル用接続ユーザーID 接続パスワード)と(モバイル用暗号化キー)は、自己で決定しました任意のものを設定下さい。
IOS端末からアクセスします、接続IDとパスワード、暗号化キーです。
書込番号:19427567
0点
「ip lan2 secure filter in 101000 101001 101004 101005 101006 101020 101021 101022 101023 101024 101025 101030 101032 101080 101081 101099」
「ip lan2 secure filter out 101010 101011 101020 101021 101022 101023 101024 101025 101099」
をコマンド実行後にConfigの提示をお願いします。
書込番号:19427575
0点
>sorio-2215さん
おかげさまでほぼうまく動くようになりました。現在の問題点は1つだけです。
・会社のHGWへの接続ができない
自宅からとVPN経由でも試してみました。社内からは試していません。
会社のコンフィグは昨日アップしたままです。
よろしくお願いします。
書込番号:19427604
0点
Config自体は、間違っておりません。
自宅RTX810ルーターのトンネル1からのルーティングで、会社RTX810ルーターのトンネル経由で、光電話ルーターのログインメニューを阻害する、IPフィルタなどは、会社RTX810には投入されていません。
確認する点としては、下記になります。
会社端末から光電話ルーターにログイン出来るかどうか、出来ない場合には、NTT光電話ルーターの詳細設定→パケットフィルタの拒否や、自宅及び会社端末のセキュリティソフト周りの制限等も有りますが。
通常は、あまり気にする必要有りませんが、NTT光電話ルーターの詳細設定→IPv4パケットフィルタ設定にて、有効にチェック投入のパケットルールを無効化してみる点、セキュリティソフトでの検疫機能(ファイアーウォール機能)が有れば、その設定を確認する必要がありますが、セキュリティソフトの検疫の場合、セキュリティソフトの機能を一時停止すると、原因がわかるかと考えます。
ご利用のセキュリティソフトのソフト名、Windowsファイアーウォール機能の有効・無効も含め、お教え下さい。
書込番号:19427654
0点
>sorio-2215さん
本当にお世話になっております。
会社のHGWには前回は社内からアクセスできましたし、自宅からもできていました。
その時もPCにはノートン360が入っておりそれがファイヤーウォール機能も持っていました。
取り敢えず会社にってアクセスできるかどうか試してみます。
会社のHGWの見るべき設定項目を教えておいてください。
よろしくお願いします。
書込番号:19427673
0点
ついでに、パソコンのアクセスブラウザに、余計なアクセス制限しますツールバー等が有りましたら、無効にして確認下さい。
IEブラウザの場合、ツール→アドオン管理にて稼働アドオンの無効化が可能です。
書込番号:19427885
0点
別のブラウザ(FirefoxやOpera等)においても、アクセス可能かどうかを確認してみて下さい。
書込番号:19428023
0点
Norton360のファイアーウォール許可ですが、2重ルーターの関係上、IPアドレスへのリモートポート許可の設定をしないといけない可能性があります。
Norton360の設定タブ→マイネットワーク→ネットワークセキュリティマップ(設定をクリック)→信頼制御→ネットワーク上の合計の下にある[+]ボタンをクリック→[デバイスの追加]画面が表示→名前(光電話ルーターと)とアドレス「192.168.100.1」を入力して「デバイスの追加」ボタンをクリックして、光電話ネットワークへのIPアクセス信頼追加して下さい。
Norton360のファイアーウォール機能を無効設定でも構いません。
※Noroton360の設定タブ→全般設定→スマートファイアーウォールをOFFに。
併せて、侵入防止とブラウザ保護のOFFも。
Windowsファイアーウォール機能の場合、無効化してみるなど。
書込番号:19428172
0点
当方も酷似しました環境で運用しておりますが、Trendmicro系とSOURCENEXT系でトラブルが出たケースの経験則が有ります。
Kaspersky系では問題有りませんが。
書込番号:19428177
0点
会社のHGWの設定です。
1 拒否 LAN->WAN TCP 指定しない 全て * * 137-139 * * * 編集 削除
2 拒否 LAN->WAN UDP 指定しない 全て * * 137-139 * * * 編集 削除
3 拒否 LAN->WAN UDP 指定しない 全て * 127.0.0.1/32 137-139 domain * * 編集 削除
4 拒否 WAN->LAN TCP 指定しない 全て * 127.0.0.1/32 * telnet * * 編集 削除
5 拒否 WAN->LAN UDP 指定しない 全て * 127.0.0.1/32 * 69 * * 編集 削除
6 拒否 WAN->LAN TCP 指定しない 全て * 127.0.0.1/32 * 75 * * 編集 削除
7 拒否 WAN->LAN TCP 指定しない 全て * 127.0.0.1/32 * www * * 編集 削除
8 拒否 LAN->WAN TCP 指定しない 全て * * * 1243 * * 編集 削除
9 拒否 LAN->WAN TCP 指定しない 全て * * * 12345 * * 編集 削除
10 拒否 LAN->WAN TCP 指定しない 全て * * * 27374 * * 編集 削除
11 拒否 LAN->WAN TCP 指定しない 全て * * * 31785 * * 編集 削除
12 拒否 LAN->WAN UDP 指定しない 全て * * * 31789 * * 編集 削除
13 拒否 LAN->WAN UDP 指定しない 全て * * * 31791 * * 編集
上記すべて有効です。これらを無効にしても自宅経由のVPNからのアクセス不可でした。さらにノートン360を無効にしても同様。
なお会社から自宅のHGWにもアクセスできていません。
まとめると
会社→自宅のHGWアクセス不能
自宅→会社のHGWアクセス不能
となります。
書込番号:19428327
0点
うーん、そうすると、コマンド投入の静的ルーティング情報の反映がうまくいっていない位しか無いですね。
一度会社RTX810ルーターのWeb設定画面→ [トップ] > [詳細設定と情報] > [VPN接続の設定] → [VPN接続設定の修正(TUNNEL[01])] にて、その他経路情報のその他の経路に192.168.0.0/255.255.255.0が表示されているか確認して頂き、表示されていれば、一度削除にチェックして頂き設定の確定、再度、その他経路情報のその他の経路に192.168.0.0/255.255.255.0を登録し直しして頂いても良いでしょうか?
なお、投入済みの192.168.101.0/255.255.255.0の経路は触れないで下さい。
最後に、コマンド実行にて、save を実行下さい。
同様に、自宅RTX810ルーターのWeb設定画面→ [トップ] > [詳細設定と情報] > [VPN接続の設定] → [VPN接続設定の修正(TUNNEL[01])] にて、その他経路情報のその他の経路に192.168.100.0/255.255.255.0が表示されているか確認して頂き、表示されていれば、一度削除にチェックして頂き設定の確定、再度、その他経路情報のその他の経路に192.168.100.0/255.255.255.0を登録し直しして頂いても良いでしょうか?
なお、投入済みの192.168.103.0/255.255.255.0の経路は触れないで下さい。
最後に、コマンド実行にて、save を実行下さい。
書込番号:19428369
0点
念のため、どういう経路通信しているか、ステータス確認可能かと考えますので、下記コマンドをそれぞれ実行し、表示項目を提示頂けますでしょうか?
@ show status lan 2
A show nat descriptor address detail
B show ip route
特にBが重要です。
会社と自宅、双方の状態表示をお願いします。
書込番号:19428384
0点
只今、会社ですよね?
自宅に帰らなくても、VPNで自宅RTX810ルーターへはログイン出来ますよね?
ログインしましたら、先ほどのVPNのその他経路の削除→再登録が可能かと存じます。
先ずはお試し下さい。
本来のメインルーティングアドレスは、触れないで下さいね。(VPNが切れます)
書込番号:19428411
0点
会社側の情報です。
# show status lan2
LAN2
説明:
IPアドレス: 192.168.100.254/24
イーサネットアドレス: 00:a0:de:81:18:47
動作モード設定: Auto Negotiation (1000BASE-T Full Duplex)
最大パケット長(MTU): 1500 オクテット
プロミスキャスモード: OFF
送信パケット: 896013 パケット(141567445 オクテット)
IPv4(全体/ファストパス): 890523 パケット / 841478 パケット
IPv6(全体/ファストパス): 1 パケット / 0 パケット
受信パケット: 968023 パケット(1023595980 オクテット)
IPv4: 953434 パケット
IPv6: 1017 パケット
未サポートパケットの受信: 2440
#
# show nat descriptor address detail
参照NATディスクリプタ : 200, 適用インタフェース : LAN2(1)
Masqueradeテーブル
外側アドレス: 192.168.100.254
ポート範囲: 60000-64095, 54096-59999 116個使用中
プロトコル 内側アドレス 宛先 マスカレード TTL(秒)
UDP 192.168.103.1.4500 *.*.*.*.* 4500 static
UDP 192.168.103.1.1701 *.*.*.*.* 1701 static
ESP 192.168.103.1.* *.*.*.*.* * static
UDP 192.168.103.1.500 *.*.*.*.* 500 static
ICMP 192.168.103.1.36994 192.168.100.1.* 63544 6
ICMP 192.168.103.1.36995 192.168.100.1.* 63545 16
ICMP 192.168.103.1.36996 192.168.100.1.* 63547 26
TCP 192.168.103.2.49868 ***.127.93.116.80 63975 36
ICMP 192.168.103.1.36997 192.168.100.1.* 63548 36
ICMP 192.168.103.1.36998 192.168.100.1.* 63556 46
ICMP 192.168.103.1.36999 192.168.100.1.* 63557 56
ICMP 192.168.103.1.37000 192.168.100.1.* 63642 66
ICMP 192.168.103.1.37001 192.168.100.1.* 63643 76
ICMP 192.168.103.1.37002 192.168.100.1.* 63644 86
ICMP 192.168.103.1.37003 192.168.100.1.* 63645 96
ICMP 192.168.103.1.37004 192.168.100.1.* 63794 106
ICMP 192.168.103.1.37005 192.168.100.1.* 63646 116
ICMP 192.168.103.1.37006 192.168.100.1.* 63657 126
ICMP 192.168.103.1.37007 192.168.100.1.* 63660 136
ICMP 192.168.103.1.37008 192.168.100.1.* 63662 146
ICMP 192.168.103.1.37009 192.168.100.1.* 63665 156
ICMP 192.168.103.1.37010 192.168.100.1.* 63667 166
ICMP 192.168.103.1.37011 192.168.100.1.* 63795 176
ICMP 192.168.103.1.37012 192.168.100.1.* 63669 186
ICMP 192.168.103.1.37013 192.168.100.1.* 63673 196
ICMP 192.168.103.1.37014 192.168.100.1.* 63679 206
ICMP 192.168.103.1.37015 192.168.100.1.* 63680 216
ICMP 192.168.103.1.37016 192.168.100.1.* 63681 226
ICMP 192.168.103.1.37017 192.168.100.1.* 63685 236
ICMP 192.168.103.1.37018 192.168.100.1.* 63689 246
ICMP 192.168.103.1.37019 192.168.100.1.* 63692 256
ICMP 192.168.103.1.37020 192.168.100.1.* 63693 266
UDP 192.168.103.2.60006 ***.58.220.238.443 63784 273
ICMP 192.168.103.1.37021 192.168.100.1.* 63700 276
TCP 192.168.103.2.49695 1***.98.7.24.80 63635 613
ICMP 192.168.103.1.37022 192.168.100.1.* 63701 286
ICMP 192.168.103.1.37023 192.168.100.1.* 63702 296
ICMP 192.168.103.1.37024 192.168.100.1.* 63829 306
ICMP 192.168.103.1.37025 192.168.100.1.* 63862 316
ICMP 192.168.103.1.37026 192.168.100.1.* 63843 326
ICMP 192.168.103.1.37027 192.168.100.1.* 63842 336
ICMP 192.168.103.1.37028 192.168.100.1.* 63841 346
ICMP 192.168.103.1.37029 192.168.100.1.* 63840 356
ICMP 192.168.103.1.37030 192.168.100.1.* 63839 366
ICMP 192.168.103.1.37031 192.168.100.1.* 63838 376
ICMP 192.168.103.1.37032 192.168.100.1.* 63837 386
ICMP 192.168.103.1.37033 192.168.100.1.* 63836 396
書込番号:19428450
0点
ICMP 192.168.103.1.37034 192.168.100.1.* 63835 406
ICMP 192.168.103.1.37035 192.168.100.1.* 63834 416
ICMP 192.168.103.1.37036 192.168.100.1.* 63866 426
ICMP 192.168.103.1.37037 192.168.100.1.* 63865 436
ICMP 192.168.103.1.37038 192.168.100.1.* 63712 446
ICMP 192.168.103.1.37039 192.168.100.1.* 63713 456
ICMP 192.168.103.1.37040 192.168.100.1.* 63714 466
ICMP 192.168.103.1.37041 192.168.100.1.* 63725 476
ICMP 192.168.103.1.37042 192.168.100.1.* 63731 486
ICMP 192.168.103.1.37043 192.168.100.1.* 63907 496
ICMP 192.168.103.1.37044 192.168.100.1.* 63937 506
ICMP 192.168.103.1.37045 192.168.100.1.* 63936 516
ICMP 192.168.103.1.37046 192.168.100.1.* 63933 526
ICMP 192.168.103.1.37047 192.168.100.1.* 63955 536
ICMP 192.168.103.1.37048 192.168.100.1.* 63951 546
ICMP 192.168.103.1.37049 192.168.100.1.* 63947 556
UDP 192.168.103.101.1024 ***.69.251.23.123 63944 560
ICMP 192.168.103.1.37050 192.168.100.1.* 63942 566
UDP 192.168.103.101.1025 ***.69.251.23.123 63982 566
ICMP 192.168.103.1.37051 192.168.100.1.* 63977 576
ICMP 192.168.103.1.37052 192.168.100.1.* 63967 586
ICMP 192.168.103.1.37053 192.168.100.1.* 63966 596
ICMP 192.168.103.1.37054 192.168.100.1.* 63965 606
ICMP 192.168.103.1.37055 192.168.100.1.* 63964 616
ICMP 192.168.103.1.37056 192.168.100.1.* 63963 626
ICMP 192.168.103.1.37057 192.168.100.1.* 63961 636
ICMP 192.168.103.1.37058 192.168.100.1.* 63986 646
ICMP 192.168.103.1.37059 192.168.100.1.* 64039 656
ICMP 192.168.103.1.37060 192.168.100.1.* 64038 666
UDP 192.168.103.3.16403 ***.155.127.222.16385 63678 667
UDP 192.168.103.3.16403 ***.155.127.222.16384 63678 667
UDP 192.168.103.3.16403 ***.0.154.***.63678 63678 667
UDP 192.168.103.3.16403 ***.155.127.223.16386 63678 667
ICMP 192.168.103.1.37061 192.168.100.1.* 64030 676
ICMP 192.168.103.1.37062 192.168.100.1.* 64012 686
ICMP 192.168.103.1.37063 192.168.100.1.* 64008 696
TCP 192.168.103.2.49886 ***.78.102.184.443 63993 882
TCP 192.168.103.2.49888 ***.235.139.205.443 60011 883
TCP 192.168.103.2.49896 ***.246.188.107.80 64060 885
TCP 192.168.103.2.49897 ***.194.1***.237.80 64056 885
TCP 192.168.103.2.49898 ***.58.220.238.443 64055 887
UDP 192.168.103.2.50502 ***.58.220.238.443 64053 705
TCP 192.168.103.2.49900 ***.194.126.249.80 64043 876
ICMP 192.168.103.1.37064 192.168.100.1.* 64042 706
TCP 192.168.103.2.49901 ***.58.220.194.443 60103 886
UDP 192.168.103.2.58337 ***.58.220.238.443 63823 706
TCP 192.168.103.2.49902 ***.58.221.2.443 60113 883
TCP 192.168.103.2.49903 ***.58.220.193.443 60124 887
UDP 192.168.103.2.52218 ***.58.220.193.443 60119 707
TCP 192.168.103.2.49910 ***.58.220.226.80 60156 888
TCP 192.168.103.2.49912 ***.194.1***.254.80 63908 889
TCP 192.168.103.2.49915 ***.194.1***.2***.443 63913 890
TCP 192.168.103.2.49920 ***.150.102.51.80 64026 896
ICMP 192.168.103.1.37065 192.168.100.1.* 63753 716
ICMP 192.168.103.1.37066 192.168.100.1.* 64081 726
TCP 192.168.103.2.49413 ***.244.42.136.443 63154 866
書込番号:19428452
0点
ICMP 192.168.103.1.37067 192.168.100.1.* 64063 736
ICMP 192.168.103.1.37068 192.168.100.1.* 64045 746
ICMP 192.168.103.1.37069 192.168.100.1.* 60007 756
ICMP 192.168.103.1.37070 192.168.100.1.* 60070 766
ICMP 192.168.103.1.37071 192.168.100.1.* 60065 776
ICMP 192.168.103.1.37072 192.168.100.1.* 63943 786
ICMP 192.168.103.1.37073 192.168.100.1.* 63971 796
ICMP 192.168.103.1.37074 192.168.100.1.* 60053 806
ICMP 192.168.103.1.37075 192.168.100.1.* 60052 816
ICMP 192.168.103.1.37076 192.168.100.1.* 60057 826
ICMP 192.168.103.1.37077 192.168.100.1.* 60059 836
ICMP 192.168.103.1.37078 192.168.100.1.* 60030 846
ICMP 192.168.103.1.37079 192.168.100.1.* 60033 856
ICMP 192.168.103.1.37080 192.168.100.1.* 63758 866
ICMP 192.168.103.1.37081 192.168.100.1.* 60086 876
ICMP 192.168.103.1.37082 192.168.100.1.* 60087 886
ICMP 192.168.103.1.37083 192.168.100.1.* 64023 896
UDP 192.168.103.1.500 ***.***.141.4.500 500 897
---------------------
有効なNATディスクリプタテーブルが1個ありました
#
# show ip route
宛先ネットワーク ゲートウェイ インタフェース 種別 付加情報
default 192.168.100.1 LAN2 static
192.168.0.0/24 - TUNNEL[1] static
192.168.100.0/24 192.168.100.254 LAN2 implicit
192.168.101.0/24 - TUNNEL[1] static
192.168.103.0/24 192.168.103.1 LAN1 implicit
#
書込番号:19428455
0点
自宅側
# show status lan2
LAN2
説明:
IPアドレス: 192.168.0.254/24
イーサネットアドレス: 00:a0:de:7f:ac:b5
動作モード設定: Auto Negotiation (1000BASE-T Full Duplex)
最大パケット長(MTU): 1500 オクテット
プロミスキャスモード: OFF
送信パケット: 3532209 パケット(3283821797 オクテット)
IPv4(全体/ファストパス): 3531775 パケット / 3290111 パケット
IPv6(全体/ファストパス): 5 パケット / 0 パケット
受信パケット: 3887399 パケット(1145519830 オクテット)
IPv4: 3717533 パケット
IPv6: 8730 パケット
未サポートパケットの受信: 152544
受信オーバーフロー: 17
#
# show nat descriptor address detail
参照NATディスクリプタ : 200, 適用インタフェース : LAN2(1)
Masqueradeテーブル
外側アドレス: 192.168.0.254
ポート範囲: 60000-64095, 54096-59999 105個使用中
プロトコル 内側アドレス 宛先 マスカレード TTL(秒)
UDP 192.168.101.1.4500 *.*.*.*.* 4500 static
UDP 192.168.101.1.1701 *.*.*.*.* 1701 static
ESP 192.168.101.1.* *.*.*.*.* * static
UDP 192.168.101.1.500 *.*.*.*.* 500 static
ICMP 192.168.101.1.43374 192.168.0.1.* 61165 2
ICMP 192.168.101.1.43375 192.168.0.1.* 60729 12
TCP 192.168.101.4.55676 ***.212.238.143.80 60894 17
TCP 192.168.101.4.55675 ***.246.184.22.80 61308 17
TCP 192.168.101.4.55677 ***.194.38.199.443 61242 17
TCP 192.168.101.4.55674 ***.248.153.201.443 61260 22
ICMP 192.168.101.1.43376 192.168.0.1.* 61178 22
ICMP 192.168.101.1.43377 192.168.0.1.* 60722 32
ICMP 192.168.101.1.43378 192.168.0.1.* 60210 42
ICMP 192.168.101.1.43379 192.168.0.1.* 61146 52
ICMP 192.168.101.1.43380 192.168.0.1.* 61122 62
ICMP 192.168.101.1.43381 192.168.0.1.* 61069 72
ICMP 192.168.101.1.43382 192.168.0.1.* 61070 82
ICMP 192.168.101.1.43383 192.168.0.1.* 61040 92
ICMP 192.168.101.1.43384 192.168.0.1.* 60225 102
ICMP 192.168.101.1.43385 192.168.0.1.* 60704 112
ICMP 192.168.101.1.43386 192.168.0.1.* 61005 122
ICMP 192.168.101.1.43387 192.168.0.1.* 61199 132
ICMP 192.168.101.1.43388 192.168.0.1.* 61133 142
ICMP 192.168.101.1.43389 192.168.0.1.* 61132 152
ICMP 192.168.101.1.43390 192.168.0.1.* 61206 162
ICMP 192.168.101.1.43391 192.168.0.1.* 61134 172
ICMP 192.168.101.1.43392 192.168.0.1.* 61131 182
ICMP 192.168.101.1.43393 192.168.0.1.* 60228 192
ICMP 192.168.101.1.43394 192.168.0.1.* 61162 202
書込番号:19428476
0点
[4] 192.168.101.1.0 *.*.*.*.* 0 204
ICMP 192.168.101.1.43395 192.168.0.1.* 61091 212
ICMP 192.168.101.1.43396 192.168.0.1.* 61119 222
ICMP 192.168.101.1.43397 192.168.0.1.* 60215 232
ICMP 192.168.101.1.43398 192.168.0.1.* 61099 242
ICMP 192.168.101.1.43399 192.168.0.1.* 60199 252
ICMP 192.168.101.1.43400 192.168.0.1.* 61218 262
ICMP 192.168.101.1.43401 192.168.0.1.* 60701 272
ICMP 192.168.101.1.43402 192.168.0.1.* 60703 282
ICMP 192.168.101.1.43403 192.168.0.1.* 61153 292
ICMP 192.168.101.1.43404 192.168.0.1.* 61167 302
ICMP 192.168.101.1.43405 192.168.0.1.* 61141 312
ICMP 192.168.101.1.43406 192.168.0.1.* 61114 322
[4] 192.168.101.1.0 *.*.*.*.* 0 327
ICMP 192.168.101.1.43407 192.168.0.1.* 60714 332
ICMP 192.168.101.1.43408 192.168.0.1.* 61117 342
ICMP 192.168.101.1.43409 192.168.0.1.* 61166 352
ICMP 192.168.101.1.43410 192.168.0.1.* 61155 362
ICMP 192.168.101.1.43411 192.168.0.1.* 61156 372
ICMP 192.168.101.1.43412 192.168.0.1.* 61152 382
ICMP 192.168.101.1.43413 192.168.0.1.* 60706 392
ICMP 192.168.101.1.43414 192.168.0.1.* 61077 402
ICMP 192.168.101.1.43415 192.168.0.1.* 60719 412
UDP 192.168.101.2.11140 ***.250.194.***.27544 60221 418
ICMP 192.168.101.1.43416 192.168.0.1.* 61150 422
[4] 192.168.101.1.0 *.*.*.*.* 0 428
ICMP 192.168.101.1.43417 192.168.0.1.* 61169 432
TCP 192.168.101.4.54909 ***.244.42.136.443 62256 890
ICMP 192.168.101.1.43418 192.168.0.1.* 61170 442
TCP 192.168.101.3.36644 ***.213.235.183.4789 60418 863
UDP 192.168.101.2.9644 ***.250.194.***.123 60019 882
ICMP 192.168.101.1.43419 192.168.0.1.* 61143 452
ICMP 192.168.101.1.43420 192.168.0.1.* 61190 462
TCP 192.168.101.3.43360 ***.68.90.141.6420 60021 888
ICMP 192.168.101.1.43421 192.168.0.1.* 60718 472
ICMP 192.168.101.1.43422 192.168.0.1.* 60715 482
ICMP 192.168.101.1.43423 192.168.0.1.* 61140 492
ICMP 192.168.101.1.43424 192.168.0.1.* 60364 502
ICMP 192.168.101.1.43425 192.168.0.1.* 61047 512
ICMP 192.168.101.1.43426 192.168.0.1.* 60728 522
ICMP 192.168.101.1.43427 192.168.0.1.* 60732 532
ICMP 192.168.101.1.43428 192.168.0.1.* 60367 542
ICMP 192.168.101.1.43429 192.168.0.1.* 61177 552
ICMP 192.168.101.1.43430 192.168.0.1.* 61136 562
ICMP 192.168.101.1.43431 192.168.0.1.* 61145 572
ICMP 192.168.101.1.43432 192.168.0.1.* 61229 582
ICMP 192.168.101.1.43433 192.168.0.1.* 61164 592
ICMP 192.168.101.1.43434 192.168.0.1.* 61182 602
ICMP 192.168.101.1.43435 192.168.0.1.* 61127 612
ICMP 192.168.101.1.43436 192.168.0.1.* 60716 622
ICMP 192.168.101.1.43437 192.168.0.1.* 60720 632
ICMP 192.168.101.1.43438 192.168.0.1.* 61189 642
ICMP 192.168.101.1.43439 192.168.0.1.* 61126 652
ICMP 192.168.101.1.43440 192.168.0.1.* 60726 662
ICMP 192.168.101.1.43441 192.168.0.1.* 61201 672
ICMP 192.168.101.1.43442 192.168.0.1.* 60727 682
ICMP 192.168.101.1.43443 192.168.0.1.* 61282 692
TCP 192.168.101.4.55666 ***.234.41.23.80 61251 865
ICMP 192.168.101.1.43444 192.168.0.1.* 61320 702
UDP 192.168.101.4.59142 ***.168.199.44.53 60131 703
書込番号:19428478
0点
ICMP 192.168.101.1.43445 192.168.0.1.* 61325 712
ICMP 192.168.101.1.43446 192.168.0.1.* 61306 722
ICMP 192.168.101.1.43447 192.168.0.1.* 60284 732
ICMP 192.168.101.1.43448 192.168.0.1.* 61334 742
TCP 192.168.101.4.55669 ***.58.221.206.443 60353 882
ICMP 192.168.101.1.43449 192.168.0.1.* 60349 752
ICMP 192.168.101.1.43450 192.168.0.1.* 60737 762
ICMP 192.168.101.1.43451 192.168.0.1.* 61213 772
ICMP 192.168.101.1.43452 192.168.0.1.* 60376 782
ICMP 192.168.101.1.43453 192.168.0.1.* 61285 792
ICMP 192.168.101.1.43454 192.168.0.1.* 61241 802
ICMP 192.168.101.1.43455 192.168.0.1.* 61305 812
ICMP 192.168.101.1.43456 192.168.0.1.* 60382 822
ICMP 192.168.101.1.43457 192.168.0.1.* 61225 832
ICMP 192.168.101.1.43458 192.168.0.1.* 61348 842
ICMP 192.168.101.1.43459 192.168.0.1.* 61324 852
ICMP 192.168.101.1.43460 192.168.0.1.* 61247 862
ICMP 192.168.101.1.43461 192.168.0.1.* 61254 872
ICMP 192.168.101.1.43462 192.168.0.1.* 61233 882
ICMP 192.168.101.1.43463 192.168.0.1.* 61237 892
UDP 192.168.101.1.500 ***.***.154.***.500 500 897
ESP 192.168.101.1.0 ***.***.154.***.* 0 900
---------------------
有効なNATディスクリプタテーブルが1個ありました
#
# show ip route
宛先ネットワーク ゲートウェイ インタフェース 種別 付加情報
default 192.168.0.1 LAN2 static
192.168.0.0/24 192.168.0.254 LAN2 implicit
192.168.100.0/24 - TUNNEL[1] static
192.168.101.0/24 192.168.101.1 LAN1 implicit
192.168.103.0/24 - TUNNEL[1] static
書込番号:19428479
0点
show ip route コマンド・ステータス確認しました。
優先経路情報が、192.168.0.0/24になっている様ですね。
やはり、一度トンネル1-VPNの経路情報の中の192.168.0.0/24を削除し、192.168.101.0/24を優先させる様にしないと経路情報の通信がうまくいかない状況の様です。
先ほどの会社RTX810ルーターのWeb設定画面→ [トップ] > [詳細設定と情報] > [VPN接続の設定] → [VPN接続設定の修正(TUNNEL[01])] にて、その他経路情報のその他の経路に192.168.0.0/255.255.255.0が表示されているか確認して頂き、表示されていれば、一度削除にチェックして頂き設定の確定→再度、その他経路情報のその他の経路に192.168.0.0/255.255.255.0を登録し直しして頂いても良いでしょうか?
自宅RTX810ルーターの方も同様に、Web設定画面→ [トップ] > [詳細設定と情報] > [VPN接続の設定] → [VPN接続設定の修正(TUNNEL[01])] にて、その他経路情報のその他の経路に192.168.100.0/255.255.255.0が表示されているか確認して頂き、表示されていれば、一度削除にチェックして頂き設定の確定→再度、その他経路情報のその他の経路に192.168.100.0/255.255.255.0を登録し直しして頂いても良いでしょうか?
上記の設定後に、経路情報の交換に若干の時間がかかるかと存じますが、5〜10分程度以降に、会社から自宅HGWのアクセスと、自宅から会社HGWのアクセスをお試し下さい。
書込番号:19428480
0点
「show nat descriptor address detail」及び「show status lan2」での出力ステータスは、異常有りません。
書込番号:19428487
0点
>sorio-2215さん
2015/12/23 14:52 [19428369] と同じことを書いていますね?もう「会社」でも「自宅」でも【実行済】で、その結果が先ほどアップした状況です。
よろしくお願いします。
書込番号:19428492
0点
一応確認ですが、経路選択監視のコマンドを会社と自宅ルーターへコマンド投入、お願いできますか?
「ip icmp echo-reply send-only-linkup on」
それと、忘れてましたが、自宅RTX810ルーターにL2TP/IPSEC機能、その他UPNP機能を有効にする為のデフォルト・コマンドを説明忘れてました。
「l2tp service on」
「upnp use on」
「upnp external address refer lan2」
上記コマンドを実行登録しておきませんと、IOS端末からのVPN接続は出来ない筈ですので、投入願います。
経路情報及びNAT変換情報を調べますので、暫し調査時間を頂きます。
書込番号:19428522
1点
調査状況中ですが、
先ず自宅AU光・RTX810ルーターのパケットサイズと、会社NTT光・RTX810ルーターのパケットサイズの送受信情報のパケット処理オーバーが発生しているようです。
AU光の最適なMTUは1,492〜1,500、NTT光は1,454〜1,472ですが、VPNの通信上パケット上限を超える通信が発生しますと、通信機器へのアクセスがうまくいかないケースが想定されます。
先ず会社RTX810ルーターのIPSECトンネルのMSSパケットサイズの固定設定コマンドを実施下さい。
tunnel select 1
ip tunnel tcp mss limit 1240
今度は、自宅RTX810ルーターのパケットサイズの固定設定コマンドを実施下さい。
tunnel select 1
ip tunnel tcp mss limit 1240
本当は、HGWのパケット・フレームサイズの設定を最適な設定が出来るタイプの方が良かったのですが、NTTとAU双方のHGWには、最適な上限のインターネットMTU数値を設定する箇所が無い様です。
更にAU光・HGWの方ですが、詳細設定→その他設定に、ジャンボフレーム透過機能という項目が有りますが、これはチェック入れないで下さい。
RTX810は、ジャンボフレーム・パケットに対応しておりません。
これを有効にすると、パケットフレームサイズの制御がうまく通信出来ず、誤動作の原因になります。
追加調査状況と、回線機能に合わせた修正情報が有れば、また投稿します。
書込番号:19428765
1点
会社接続してあります、NEC無線ルーター(BRモード)の方においても、ジャンボフレーム透過機能の項目がありますが、チェック入れないで下さい。
RTX810ルーターには、独自のパケット処理キャッシュ機能が有りますので(ファーストパス機能)、イレギュラーサイズのパケット処理するネットワーク設定機器の設定箇所は、未投入でお願いします。
書込番号:19428783
0点
追加補足ですが、アクセスしますパソコンのLAN機能のプロパティ設定にて、ジャンボパケットやジャンボフレームなどの項目機能が有れば、OFFにてお願いします。
コントロールパネル→ネットワークと共有センター→アダプタの設定変更→ローカルエリア接続→右クリック・プロパティにて、アダプタの構成ボタン・クリック→LAN機能の詳細設定などに項目が有れば、確認願います。
同様に、ご利用のNASやネットワークカメラ、複合機などのインターフェイスの設定も、関連項目があれば無効にてお願いします。
書込番号:19428839
0点
>sorio-2215さん
ジャンボフレームにRTXが対応していないことは知っていたのでネットワーク機器もそのようにしています。
コマンド各種投入完了です。
書込番号:19428900
0点
コマンド投入したとの事で、再度 「show nat descriptor address detail」を実行し、NAT変換ステータスを提示頂けますでしょうか?
恐らく、IPSEC-MSS調整でうまくいったかと思いますが、先ずは異常ステータスが無いか提示お願いします。
自宅→会社HGWのアクセス、会社→自宅HGWのアクセスを双方お試し頂き、設定メニュ−表示可能かどうかの試験と、それぞれのHGWの通信ログ、障害ログ等のステータスで、エラーが無いか確認出来ると良いのですが。
書込番号:19430285
0点
先刻の確認しました後に、RTX810ルーターとNEC無線ルーター、自宅RTX810ルーター及び無線LAN機器周りの通信性能対応のため、会社RTX810ルーターと自宅RTX810ルーターへファストパス・キャッシュ設定のデフォルト設定コマンドを投入しておいて下さい。
「ip routing process fast」
自宅回線につきましては、AU光での回線機能に合わせたIPV6−RAプレフィックス設定も投入しておいて下さい。
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ipv6 lan2 dhcp service client ir=on
AU光の場合、固定的にデフォルトで、IPV4/IPV6インターネット機能になっていますので、それに合わせた設定コマンドとなります。
IPV4サイトを参照される時には、IPV4-DNSサーバをHGW192.168.0.1から取得し、IPV4サイトを参照される時には、IPV6-DNSサーバをHGW192.168.0.1から取得します構成になります。
※ http://www.au.kddi.com/internet/auhikari/service/net/ipv6/
書込番号:19430329
0点
会社Nifty回線も、IPV6サイト参照可能な様に、IPV6オプションの再申請をされる場合には、この間投稿致しましたが、RTX810ルーターのIPV6-RAプレフィックス追加コマンドが必要です。
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ipv6 lan2 dhcp service client ir=on
dns server dhcp lan2
NTTの場合、NTT光電話ルーターでのIPV6フィルタの設定にて、IPV6アドレスのany許可の有効化も必要です。
書込番号:19430367
0点
# show nat descriptor address detail
参照NATディスクリプタ : 200, 適用インタフェース : LAN2(1)
Masqueradeテーブル
外側アドレス: 192.168.100.254
ポート範囲: 60000-64095, 54096-59999 90個使用中
プロトコル 内側アドレス 宛先 マスカレード TTL(秒)
UDP 192.168.103.1.1701 *.*.*.*.* 1701 static
ESP 192.168.103.1.* *.*.*.*.* * static
UDP 192.168.103.1.500 *.*.*.*.* 500 static
ICMP 192.168.103.1.47890 192.168.100.1.* 62664 10
ICMP 192.168.103.1.47891 192.168.100.1.* 62734 20
ICMP 192.168.103.1.47892 192.168.100.1.* 62706 30
ICMP 192.168.103.1.47893 192.168.100.1.* 62665 40
ICMP 192.168.103.1.47894 192.168.100.1.* 63011 50
ICMP 192.168.103.1.47895 192.168.100.1.* 62455 60
ICMP 192.168.103.1.47896 192.168.100.1.* 62273 70
ICMP 192.168.103.1.47897 192.168.100.1.* 62852 80
ICMP 192.168.103.1.47898 192.168.100.1.* 62349 90
ICMP 192.168.103.1.47899 192.168.100.1.* 63076 100
ICMP 192.168.103.1.47900 192.168.100.1.* 62589 110
ICMP 192.168.103.1.47901 192.168.100.1.* 61949 120
ICMP 192.168.103.1.47902 192.168.100.1.* 62653 130
ICMP 192.168.103.1.47903 192.168.100.1.* 62781 140
ICMP 192.168.103.1.47904 192.168.100.1.* 62154 150
ICMP 192.168.103.1.47905 192.168.100.1.* 62802 160
ICMP 192.168.103.1.47906 192.168.100.1.* 62182 170
ICMP 192.168.103.1.47907 192.168.100.1.* 62480 180
ICMP 192.168.103.1.47908 192.168.100.1.* 62484 190
ICMP 192.168.103.1.47909 192.168.100.1.* 62882 200
ICMP 192.168.103.1.47910 192.168.100.1.* 62599 210
ICMP 192.168.103.1.47911 192.168.100.1.* 62479 220
ICMP 192.168.103.1.47912 192.168.100.1.* 62478 230
ICMP 192.168.103.1.47913 192.168.100.1.* 62557 240
ICMP 192.168.103.1.47914 192.168.100.1.* 62496 250
ICMP 192.168.103.1.47915 192.168.100.1.* 62160 260
ICMP 192.168.103.1.47916 192.168.100.1.* 62530 270
ICMP 192.168.103.1.47917 192.168.100.1.* 62215 280
ICMP 192.168.103.1.47918 192.168.100.1.* 62686 290
ICMP 192.168.103.1.47919 192.168.100.1.* 62826 300
ICMP 192.168.103.1.47920 192.168.100.1.* 62241 310
ICMP 192.168.103.1.47921 192.168.100.1.* 62811 320
ICMP 192.168.103.1.47922 192.168.100.1.* 62590 330
ICMP 192.168.103.1.47923 192.168.100.1.* 62633 340
ICMP 192.168.103.1.47924 192.168.100.1.* 62509 350
ICMP 192.168.103.1.47925 192.168.100.1.* 62527 360
ICMP 192.168.103.1.47926 192.168.100.1.* 62224 370
ICMP 192.168.103.1.47927 192.168.100.1.* 62432 380
ICMP 192.168.103.1.47928 192.168.100.1.* 62637 390
ICMP 192.168.103.1.47929 192.168.100.1.* 62222 400
ICMP 192.168.103.1.47930 192.168.100.1.* 62216 410
ICMP 192.168.103.1.47931 192.168.100.1.* 62655 420
ICMP 192.168.103.1.47932 192.168.100.1.* 62151 430
ICMP 192.168.103.1.47933 192.168.100.1.* 62695 440
ICMP 192.168.103.1.47934 192.168.100.1.* 62841 450
ICMP 192.168.103.1.47935 192.168.100.1.* 62488 460
ICMP 192.168.103.1.47936 192.168.100.1.* 62916 470
ICMP 192.168.103.1.47937 192.168.100.1.* 62559 480
ICMP 192.168.103.1.47938 192.168.100.1.* 62439 490
ICMP 192.168.103.1.47939 192.168.100.1.* 62691 500
書込番号:19431748
0点
ICMP 192.168.103.1.47939 192.168.100.1.* 62691 500
ICMP 192.168.103.1.47940 192.168.100.1.* 62704 510
ICMP 192.168.103.1.47941 192.168.100.1.* 62702 520
ICMP 192.168.103.1.47942 192.168.100.1.* 62149 530
ICMP 192.168.103.1.47943 192.168.100.1.* 62672 540
ICMP 192.168.103.1.47944 192.168.100.1.* 62650 550
ICMP 192.168.103.1.47945 192.168.100.1.* 62553 560
ICMP 192.168.103.1.47946 192.168.100.1.* 62392 570
ICMP 192.168.103.1.47947 192.168.100.1.* 62430 580
ICMP 192.168.103.1.47948 192.168.100.1.* 62831 590
ICMP 192.168.103.1.47949 192.168.100.1.* 62152 600
ICMP 192.168.103.1.47950 192.168.100.1.* 62726 610
ICMP 192.168.103.1.47951 192.168.100.1.* 62681 620
ICMP 192.168.103.1.47952 192.168.100.1.* 62683 630
ICMP 192.168.103.1.47953 192.168.100.1.* 62602 640
ICMP 192.168.103.1.47954 192.168.100.1.* 62270 650
ICMP 192.168.103.1.47955 192.168.100.1.* 62921 660
ICMP 192.168.103.1.47956 192.168.100.1.* 62657 670
ICMP 192.168.103.1.47957 192.168.100.1.* 62540 680
ICMP 192.168.103.1.47958 192.168.100.1.* 62370 690
ICMP 192.168.103.1.47959 192.168.100.1.* 62716 700
ICMP 192.168.103.1.47960 192.168.100.1.* 62373 710
ICMP 192.168.103.1.47961 192.168.100.1.* 62974 720
ICMP 192.168.103.1.47962 192.168.100.1.* 62645 730
ICMP 192.168.103.1.47963 192.168.100.1.* 62792 740
ICMP 192.168.103.1.47964 192.168.100.1.* 62775 750
ICMP 192.168.103.1.47965 192.168.100.1.* 62549 760
ICMP 192.168.103.1.47966 192.168.100.1.* 62374 770
ICMP 192.168.103.1.47967 192.168.100.1.* 62450 780
ICMP 192.168.103.1.47968 192.168.100.1.* 62585 790
ICMP 192.168.103.1.47969 192.168.100.1.* 62586 800
ICMP 192.168.103.1.47970 192.168.100.1.* 62656 810
ICMP 192.168.103.1.47971 192.168.100.1.* 62760 820
ICMP 192.168.103.1.47972 192.168.100.1.* 62573 830
ICMP 192.168.103.1.47973 192.168.100.1.* 62490 840
ICMP 192.168.103.1.47974 192.168.100.1.* 62615 850
ICMP 192.168.103.1.47975 192.168.100.1.* 62201 860
ICMP 192.168.103.1.47976 192.168.100.1.* 62597 870
ICMP 192.168.103.1.47977 192.168.100.1.* 62625 880
ICMP 192.168.103.1.47978 192.168.100.1.* 62724 890
UDP 192.168.103.1.500 121.106.141.4.500 500 896
ICMP 192.168.103.1.47979 192.168.100.1.* 62820 900
ESP 192.168.103.1.0 121.106.141.4.* 0 900
---------------------
有効なNATディスクリプタテーブルが1個ありました
書込番号:19431761
0点
# show nat descriptor address detail
参照NATディスクリプタ : 200, 適用インタフェース : LAN2(1)
Masqueradeテーブル
外側アドレス: 192.168.0.254
ポート範囲: 60000-64095, 54096-59999 161個使用中
プロトコル 内側アドレス 宛先 マスカレード TTL(秒)
UDP 192.168.101.1.4500 *.*.*.*.* 4500 static
UDP 192.168.101.1.1701 *.*.*.*.* 1701 static
ESP 192.168.101.1.* *.*.*.*.* * static
UDP 192.168.101.1.500 *.*.*.*.* 500 static
TCP 192.168.101.4.62649 202.232.238.39.80 61145 5
TCP 192.168.101.3.43360 52.68.90.141.6420 60021 844
ICMP 192.168.101.1.54159 192.168.0.1.* 63694 8
UDP 192.168.101.1.10430 192.168.0.1.53 61466 9
UDP 192.168.101.1.10585 192.168.0.1.53 60536 9
TCP 192.168.101.4.62653 101.102.238.11.80 61028 9
TCP 192.168.101.4.62654 101.102.238.11.443 60675 9
TCP 192.168.101.4.62652 202.232.238.39.80 61757 12
TCP 192.168.101.4.62648 66.235.139.17.80 61127 7
TCP 192.168.101.3.36644 202.213.235.183.4789 60418 857
ICMP 192.168.101.1.54160 192.168.0.1.* 63792 18
TCP 192.168.101.4.62436 173.194.38.195.443 61373 24
TCP 192.168.101.4.62443 173.194.126.234.443 60507 24
TCP 192.168.101.4.62442 216.58.220.237.443 60268 24
TCP 192.168.101.4.62455 216.58.220.200.80 61390 26
TCP 192.168.101.4.62406 173.194.117.218.443 61252 27
TCP 192.168.101.4.62791 133.237.17.89.80 61034 28
TCP 192.168.101.4.62650 54.64.96.38.80 60446 28
ICMP 192.168.101.1.54161 192.168.0.1.* 60847 28
TCP 192.168.101.4.62806 133.237.16.166.80 64064 29
TCP 192.168.101.4.62805 133.237.60.7.80 61430 29
TCP 192.168.101.4.62804 133.237.17.83.80 60322 29
TCP 192.168.101.4.62803 133.237.16.48.80 60897 29
TCP 192.168.101.4.62807 210.129.151.240.80 60476 38
TCP 192.168.101.4.62625 219.94.200.12.80 60612 33
TCP 192.168.101.4.62801 202.232.238.30.443 60644 37
TCP 192.168.101.4.62795 202.232.238.39.80 61376 38
TCP 192.168.101.4.62808 173.194.117.163.443 60684 38
ICMP 192.168.101.1.54162 192.168.0.1.* 63851 38
TCP 192.168.101.4.62793 66.235.139.17.80 63397 41
UDP 192.168.101.4.59142 60.250.194.77.27540 60131 650
TCP 192.168.101.4.62647 210.129.151.129.80 60438 47
TCP 192.168.101.4.62798 216.58.220.196.443 63878 47
ICMP 192.168.101.1.54163 192.168.0.1.* 60148 48
TCP 192.168.101.4.62796 54.64.96.38.80 61476 58
ICMP 192.168.101.1.54164 192.168.0.1.* 60519 58
TCP 192.168.101.4.62810 199.192.199.7.443 61216 60
ICMP 192.168.101.1.54165 192.168.0.1.* 60554 68
ICMP 192.168.101.1.54166 192.168.0.1.* 60501 78
ICMP 192.168.101.1.54167 192.168.0.1.* 60822 88
ICMP 192.168.101.1.54168 192.168.0.1.* 60738 98
書込番号:19431773
0点
ICMP 192.168.101.1.54169 192.168.0.1.* 60472 108
ICMP 192.168.101.1.54170 192.168.0.1.* 60946 118
ICMP 192.168.101.1.54171 192.168.0.1.* 60882 128
ICMP 192.168.101.1.54172 192.168.0.1.* 60441 138
ICMP 192.168.101.1.54173 192.168.0.1.* 60651 148
ICMP 192.168.101.1.54174 192.168.0.1.* 60545 158
ICMP 192.168.101.1.54175 192.168.0.1.* 60908 168
ICMP 192.168.101.1.54176 192.168.0.1.* 60725 178
ICMP 192.168.101.1.54177 192.168.0.1.* 60693 188
ICMP 192.168.101.6.22023 203.140.48.140.* 60999 194
ICMP 192.168.101.1.54178 192.168.0.1.* 60193 198
ICMP 192.168.101.1.54179 192.168.0.1.* 63946 208
ICMP 192.168.101.1.54180 192.168.0.1.* 60050 218
ICMP 192.168.101.1.54181 192.168.0.1.* 60717 228
ICMP 192.168.101.1.54182 192.168.0.1.* 60845 238
ICMP 192.168.101.1.54183 192.168.0.1.* 60927 248
ICMP 192.168.101.1.54184 192.168.0.1.* 60703 258
TCP 192.168.101.6.64343 17.110.229.214.5223 60486 528
ICMP 192.168.101.1.54185 192.168.0.1.* 60988 268
ICMP 192.168.101.1.54186 192.168.0.1.* 60352 278
ICMP 192.168.101.1.54187 192.168.0.1.* 60502 288
ICMP 192.168.101.1.54188 192.168.0.1.* 61068 298
ICMP 192.168.101.1.54189 192.168.0.1.* 60950 308
ICMP 192.168.101.1.54190 192.168.0.1.* 61457 318
ICMP 192.168.101.1.54191 192.168.0.1.* 60512 328
ICMP 192.168.101.1.54192 192.168.0.1.* 60494 338
ICMP 192.168.101.1.54193 192.168.0.1.* 60998 348
ICMP 192.168.101.1.54194 192.168.0.1.* 61492 358
ICMP 192.168.101.1.54195 192.168.0.1.* 60894 368
ICMP 192.168.101.1.54196 192.168.0.1.* 60585 378
ICMP 192.168.101.1.54197 192.168.0.1.* 60835 388
ICMP 192.168.101.1.54198 192.168.0.1.* 60813 398
ICMP 192.168.101.1.54199 192.168.0.1.* 63605 408
ICMP 192.168.101.1.54200 192.168.0.1.* 60713 418
ICMP 192.168.101.1.54201 192.168.0.1.* 60866 428
ICMP 192.168.101.1.54202 192.168.0.1.* 60979 438
TCP 192.168.101.7.54190 17.143.164.33.443 61687 439
ICMP 192.168.101.1.54203 192.168.0.1.* 64032 448
ICMP 192.168.101.1.54204 192.168.0.1.* 60534 458
ICMP 192.168.101.1.54205 192.168.0.1.* 60663 468
ICMP 192.168.101.1.54206 192.168.0.1.* 60210 478
ICMP 192.168.101.1.54207 192.168.0.1.* 60934 488
ICMP 192.168.101.1.54208 192.168.0.1.* 60797 498
ICMP 192.168.101.1.54209 192.168.0.1.* 61705 508
ICMP 192.168.101.1.54210 192.168.0.1.* 60108 518
ICMP 192.168.101.1.54211 192.168.0.1.* 60931 528
ICMP 192.168.101.1.54212 192.168.0.1.* 60730 538
ICMP 192.168.101.1.54213 192.168.0.1.* 61509 548
ICMP 192.168.101.1.54214 192.168.0.1.* 61403 558
ICMP 192.168.101.1.54215 192.168.0.1.* 61500 568
ICMP 192.168.101.1.54216 192.168.0.1.* 60759 578
ICMP 192.168.101.1.54217 192.168.0.1.* 60593 588
ICMP 192.168.101.1.54218 192.168.0.1.* 61286 598
ICMP 192.168.101.1.54219 192.168.0.1.* 61142 608
UDP 192.168.101.6.123 17.253.26.253.123 63675 615
ICMP 192.168.101.1.54220 192.168.0.1.* 60925 618
書込番号:19431782
0点
UDP 192.168.101.2.9644 202.168.199.44.161 60019 895
ICMP 192.168.101.1.54248 192.168.0.1.* 60325 898
UDP 192.168.101.1.500 125.0.154.104.500 500 898
TCP 192.168.101.4.62811 17.248.153.242.443 60153 899
TCP 192.168.101.4.62813 199.192.199.7.443 60658 900
---------------------
有効なNATディスクリプタテーブルが1個ありました
#
書込番号:19431786
0点
ip routing process fast
ip route default gateway 192.168.100.1
ip route 192.168.0.0/24 gateway tunnel 1
ip route 192.168.101.0/24 gateway tunnel 1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.100.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
ip lan1 address 192.168.103.1/24
ip lan1 proxyarp on
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.100.254/24
ip lan2 secure filter in 101003 101004 101005 101016 101017 101018 101020 101021 101022 101023 101024 101025 101030 101032 101099
ip lan2 secure filter out 101013 101020 101021 101022 101023 101024 101025 101099
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.103.1
ipsec ike local name 1 ipsec1 key-id
ipsec ike pre-shared-key 1 text ******.
ipsec ike remote address 1 ***.***.141.4
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.103.0/24 * * * *
ip filter 101004 pass * 192.168.103.0/24 icmp * *
ip filter 101005 pass * 192.168.103.0/24 established * *
ip filter 101006 pass * 192.168.103.0/24 tcp * ident
ip filter 101007 pass * 192.168.103.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.103.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.103.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.103.0/24 * * *
ip filter 101014 pass * 192.168.103.0/24 udp * ntp
ip filter 101015 pass * 192.168.103.0/24 udp ntp *
ip filter 101016 pass * 192.168.103.1 udp * 500
ip filter 101017 pass * 192.168.103.1 esp * *
ip filter 101018 pass * 192.168.103.1 udp * 1701
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.100.254
nat descriptor address inner 200 192.168.100.254 192.168.103.1-192.168.103.254
nat descriptor masquerade static 200 1 192.168.103.1 udp 500
nat descriptor masquerade static 200 2 192.168.103.1 esp
nat descriptor masquerade static 200 3 192.168.103.1 udp 1701
ipsec auto refresh on
telnetd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.103.2-192.168.103.99/24
dns server 192.168.100.1
dns server dhcp lan2
dns private address spoof on
httpd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
alarm entire off
sshd service on
sshd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
sshd host key generate *
sftpd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
#
書込番号:19431834
0点
ip routing process fast
ip route default gateway 192.168.0.1
ip route 192.168.100.0/24 gateway tunnel 1
ip route 192.168.103.0/24 gateway tunnel 1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
ip lan1 address 192.168.101.1/24
ip lan1 proxyarp on
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.0.254/24
ip lan2 secure filter in 101000 101001 101004 101005 101006 101020 101021 101022 101023 101024 101025 101030 101032 101080 101081 101099
ip lan2 secure filter out 101010 101011 101020 101021 101022 101023 101024 101025 101099
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:DHCP
provider ntpdate ntp.nict.jp
pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin *******
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.101.1
ipsec ike local id 1 192.168.101.1/24
ipsec ike pre-shared-key 1 text ******
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1 key-id
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text *******
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp keepalive use on
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.101.0/24 * * * *
ip filter 101004 pass * 192.168.101.1 udp * 4500
ip filter 101005 pass * 192.168.101.1 udp * 1701
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.101.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.101.1 udp * 500
ip filter 101081 pass * 192.168.101.1 esp * *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.101.1-192.168.101.254
nat descriptor masquerade static 200 1 192.168.101.1 udp 500
nat descriptor masquerade static 200 2 192.168.101.1 esp
nat descriptor masquerade static 200 3 192.168.101.1 udp 1701
nat descriptor masquerade static 200 4 192.168.101.1 udp 4500
ipsec auto refresh on
ipsec transport 2 2 udp 1701
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.101.2-192.168.101.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on
httpd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
alarm entire off
#
書込番号:19431842
0点
>sorio-2215さん
現時点でそれぞれのHGWにアクセスできない状態です。当然同一LAN内からはアクセスできています。
やるべき設定があれば教えてください。
よろしくお願いします。
書込番号:19431847
0点
会社側のIPフィルタの101003行と101013行に拒否する設定は、まずいです。
下記コマンドをお試し下さい。
「ip lan2 secure filter in 101004 101016 101017 101018 101020 101021 101022 101023 101024 101025 101030 101032 101099」
「ip lan2 secure filter out 101020 101021 101022 101023 101024 101025 101099」
上記を投入後、再度HGWへのアクセスをお試し下さい。
確認ですが、ファイアーウォールの規制の設定は、Webメニューからのレベル自動設定でしょうか?
Webメニューからのレベル自動設定では、2重ルーターの構成にマッチしたものにならないケースが殆どです。
上記のフィルタ調整のコマンドでもうまくいかない場合には、一度会社・自宅のフィルタを削除し、再度HGWへのアクセスをお試しして下さい。
IPフィルタのコマンドを削除する方法については、会社・自宅双方の「ip lan2 secure filter in〜」の行と、「ip lan2 secure filter out〜」の行の先頭に、noを付けてコマンド実行下さい。
書込番号:19432018
0点
それと、「show ip route」と「show status lan2」のコマンドにて、エラーなどの情報が出てないか、精査しますので、上記コマンドを再度それぞれ提示願います。
書込番号:19432022
0点
IPフィルタの全削除→HGWへのアクセスを試験後、うまくいきましたら、適切なIPフィルタ(会社・自宅)を提示しますので、試験後教えて下さい。
書込番号:19432024
0点
>sorio-2215さん
指示が今一つ不明瞭です。下記に付き明示的な回答をお願います。
・会社ルーターに投入すべきコマンド
・自宅ルーターに投入すべきコマンド
なお
「ip lan2 secure filter in 101004 101016 101017 101018 101020 101021 101022 101023 101024 101025 101030 101032 101099」
「ip lan2 secure filter out 101020 101021 101022 101023 101024 101025 101099」
この2つは会社ルーターに投入し、会社HGWにアクセスが相変わらず不能でした。
書込番号:19432155
0点
先ず、先刻の説明通り、会社と自宅の
「no ip lan2 secure filter in〜」、「no ip lan2 secure filter out〜」
上記のコマンド文節を実行下さい。
実行後に、「show ip route」、「show status lan 2」にて、トレースしますので、IPフィルタ削除後の状態をお教え下さい。
トレース出来ませんと、適切なIPフィルタとコマンドの提示が出来ません。
NATステータスは、先刻のステータスで判断します。
書込番号:19432188
0点
トレース内容は、NAT変換内容に対し、適切なIPフィルタの制限と、通常は必要無いコマンドですが、IPSECトンネルに対し、NATトラバーサルの設定が必要かどうかの判断をするために必要な情報です。
通常は、HGWにDMZ設定と静的ルーティング設定実施済みで有れば、トンネル・ルーティング経由でHGWアクセス出来る論理構造になっていますので、その判断になります。
書込番号:19432205
0点
つまり、会社・自宅のRTX810ルーターのトンネル1のコマンドに、「ipsec ike nat-traversal 1 on」のコマンドを投入するかどうかの判断をする段階を考えている所です。
tunnel select 1
ipsec ike nat-traversal 1 on
既に、IPSECトンネル認証が出来ていますからね。
HGWのDMZホスト機能及び、静的ルーティングがキチンと稼働しているかどうかの可否判断も兼ねています。
書込番号:19432234
0点
補足です。
現状把握ステータスでは、特に問題が出ていない様ですが、あり得ない話ですが、自宅→会社192.168.100.0/24へのルーティング設定、会社→自宅192.168.0.0/24へのルーティング設定がstatic経路にて投入されていますので、ルーティングされていますが、下記コマンドも併用で投入して頂けますでしょうか?
会社RTX810ルーター
no ip route 192.168.0.0/24 gateway tunnel 1
ip route 192.168.0.1/32 gateway tunnel 1
自宅RTX810ルーター
no ip route 192.168.100.0/24 gateway tunnel 1
ip route 192.168.100.1/32 gateway tunnel 1
上記投入後に、「syslog debug on」コマンド実行→show log にて、双方RTX810通信ログを提示可能でしょうか?
書込番号:19432652
0点
>sorio-2215さん
会社ルーター
# show ip route
宛先ネットワーク ゲートウェイ インタフェース 種別 付加情報
default 192.168.100.1 LAN2 static
192.168.0.0/24 - TUNNEL[1] static
192.168.100.0/24 192.168.100.254 LAN2 implicit
192.168.101.0/24 - TUNNEL[1] static
192.168.103.0/24 192.168.103.1 LAN1 implicit
#
# show status lan2
LAN2
説明:
IPアドレス: 192.168.100.254/24
イーサネットアドレス: 00:a0:de:81:18:47
動作モード設定: Auto Negotiation (1000BASE-T Full Duplex)
最大パケット長(MTU): 1500 オクテット
プロミスキャスモード: OFF
送信パケット: 1540631 パケット(396068084 オクテット)
IPv4(全体/ファストパス): 1507470 パケット / 1295318 パケット
IPv6(全体/ファストパス): 5016 パケット / 0 パケット
受信パケット: 1752075 パケット(1683412845 オクテット)
IPv4: 1698925 パケット
IPv6: 9068 パケット
未サポートパケットの受信: 10458
受信オーバーフロー: 88
#
書込番号:19436680
0点
自宅ルーター
# show ip route
宛先ネットワーク ゲートウェイ インタフェース 種別 付加情報
default 192.168.0.1 LAN2 static
192.168.0.0/24 192.168.0.254 LAN2 implicit
192.168.100.0/24 - TUNNEL[1] static
192.168.101.0/24 192.168.101.1 LAN1 implicit
192.168.103.0/24 - TUNNEL[1] static
#
# show status lan2
LAN2
説明:
IPアドレス: 192.168.0.254/24
イーサネットアドレス: 00:a0:de:7f:ac:b5
動作モード設定: Auto Negotiation (1000BASE-T Full Duplex)
最大パケット長(MTU): 1500 オクテット
プロミスキャスモード: OFF
送信パケット: 4813385 パケット(3989483593 オクテット)
IPv4(全体/ファストパス): 4716931 パケット / 4288548 パケット
IPv6(全体/ファストパス): 95528 パケット / 76845 パケット
受信パケット: 5691983 パケット(2768007098 オクテット)
IPv4: 5187393 パケット
IPv6: 160393 パケット
未サポートパケットの受信: 331814
受信オーバーフロー: 17
#
書込番号:19436687
0点
会社ルーター
2015/12/26 21:28:51: Restarting router
2015/12/26 21:29:16: TELNETD: started
2015/12/26 21:29:16: TELNETD: listen port = 23
2015/12/26 21:29:16: TELNETD: access permission: 192.168.103.2-192.168.103.254
2015/12/26 21:29:16: TELNETD: access permission: 192.168.101.2-192.168.101.254
2015/12/26 21:29:16: [RADIUS] started.
2015/12/26 21:29:16: OSPFv3: Disabled
2015/12/26 21:29:16: [LUA] Lua script function was enabled.
2015/12/26 21:29:16: [SIPGW] start.
2015/12/26 21:29:16: SSHD: started
2015/12/26 21:29:16: SSHD: listen port = 22
2015/12/26 21:29:16: SSHD: access permission: 192.168.103.2-192.168.103.254
2015/12/26 21:29:16: SSHD: access permission: 192.168.101.2-192.168.101.254
2015/12/26 21:29:16: [HTTPD] started (listen port[80])
2015/12/26 21:29:16: LAN1: PHY is Marvell 88E6171R.
2015/12/26 21:29:16: LAN2: PHY is Marvell 88E6171R.
2015/12/26 21:29:19: LAN1: PORT1 link up (1000BASE-T Full Duplex)
2015/12/26 21:29:19: LAN1: link up
2015/12/26 21:29:19: LAN2: link up (1000BASE-T Full Duplex)
2015/12/26 21:29:19: [DHCPv6] start requesting
2015/12/26 21:29:20: [IPv6] start DAD for fe80::2a0:deff:fe81:1846
2015/12/26 21:29:20: [IPv6] start DAD for fe80::2a0:deff:fe81:1847
2015/12/26 21:29:21: Previous EXEC: RTX810 Rev.11.01.25 (Wed Jul 29 11:56:31 20
15)
2015/12/26 21:29:21: Restart by restart command
2015/12/26 21:29:21: RTX810 Rev.11.01.25 (Wed Jul 29 11:56:31 2015) starts
2015/12/26 21:29:21: main: RTX810 ver=00 serial=S3K017531 MAC-Address=00:a0:de
:81:18:46 MAC-Address=00:a0:de:81:18:47
2015/12/26 21:29:21: [IPv6] complete DAD for fe80::2a0:deff:fe81:1846
2015/12/26 21:29:21: [IPv6] complete DAD for fe80::2a0:deff:fe81:1847
2015/12/26 21:29:21: [DHCPv6] select DHCPv6 server :: [00030001002536534bcb]
2015/12/26 21:29:22: [IPv6] prefix 2408:211:ed86:f300::/64 (vlife: 14400, plife
: 12600) is assigned from LAN2 (RA)
2015/12/26 21:29:22: [DDNSU] opened 2002/udp
2015/12/26 21:29:22: [IPv6] start DAD for 2408:211:ed86:f300:2a0:deff:fe81:1846
2015/12/26 21:29:23: [IPv6] complete DAD for 2408:211:ed86:f300:2a0:deff:fe81:1
846
2015/12/26 21:29:23: [DDNS] Indication IPv6 address is assigned
2015/12/26 21:29:23: [DDNS] Received Indication IPv6 address.
2015/12/26 21:29:27: [IKE] initiate ISAKMP phase to ***.***.141.4 (local addres
s 192.168.103.1)
2015/12/26 21:29:27: [IKE] add ISAKMP context [1] 4c89dfa580c40e87 00000000
2015/12/26 21:29:27: [IKE] [1] retransmit to ***.***.141.4 (count = 9)
2015/12/26 21:29:30: [IKE] [1] retransmit to ***.***.141.4 (count = 8)
2015/12/26 21:29:37: [IKE] add ISAKMP SA[1] (gateway[1])
2015/12/26 21:29:37: [IKE] activate ISAKMP socket[1]
2015/12/26 21:29:38: [IKE] initiate IPsec phase to ***.***.141.4
2015/12/26 21:29:38: [IKE] add IPsec context [2] 4c89dfa580c40e87 d364b5e3
2015/12/26 21:29:39: [IKE] setup IPsec SAs (gateway[1], ISAKMP SA[1])
2015/12/26 21:29:39: [IKE] add IPsec SA[2]
2015/12/26 21:29:39: [IKE] add IPsec SA[3]
2015/12/26 21:29:39: [IKE] activate IPsec socket[tunnel:1](inbound)
2015/12/26 21:29:39: [IKE] activate IPsec socket[tunnel:1](outbound)
2015/12/26 21:29:39: IP Tunnel[1] Up
2015/12/26 21:29:54: [IKE] inactivate context [2] 4c89dfa580c40e87 d364b5e3
2015/12/26 21:29:54: [IKE] delete IPsec context [2] 4c89dfa580c40e87 d364b5e3
2015/12/26 21:30:22: [IKE] IPsec socket[tunnel:1] is refered
2015/12/26 21:32:09: Login succeeded for HTTP: 192.168.101.4
2015/12/26 21:32:09: 'administrator' succeeded for HTTP: 192.168.101.4
#
書込番号:19436739
0点
自宅ルーター
2015/12/26 21:28:52: Restarting router
2015/12/26 21:29:17: TELNETD: started
2015/12/26 21:29:17: TELNETD: listen port = 23
2015/12/26 21:29:17: [RADIUS] started.
2015/12/26 21:29:17: OSPFv3: Disabled
2015/12/26 21:29:17: SSHD: sleeping
2015/12/26 21:29:17: [LUA] Lua script function was enabled.
2015/12/26 21:29:17: [SIPGW] start.
2015/12/26 21:29:17: [HTTPD] started (listen port[80])
2015/12/26 21:29:17: LAN1: PHY is Marvell 88E6171R.
2015/12/26 21:29:17: LAN2: PHY is Marvell 88E6171R.
2015/12/26 21:29:20: LAN2: link up (1000BASE-T Full Duplex)
2015/12/26 21:29:20: [DHCPv6] start requesting
2015/12/26 21:29:21: [IPv6] start DAD for fe80::2a0:deff:fe7f:acb5
2015/12/26 21:29:21: LAN1: PORT4 link up (1000BASE-T Full Duplex)
2015/12/26 21:29:21: LAN1: link up
2015/12/26 21:29:22: Previous EXEC: RTX810 Rev.11.01.25 (Wed Jul 29 11:56:31 20
15)
2015/12/26 21:29:22: Restart by restart command
2015/12/26 21:29:22: RTX810 Rev.11.01.25 (Wed Jul 29 11:56:31 2015) starts
2015/12/26 21:29:22: main: RTX810 ver=00 serial=S3K006449 MAC-Address=00:a0:de
:7f:ac:b4 MAC-Address=00:a0:de:7f:ac:b5
2015/12/26 21:29:22: [IPv6] start DAD for fe80::2a0:deff:fe7f:acb4
2015/12/26 21:29:22: [IPv6] complete DAD for fe80::2a0:deff:fe7f:acb5
2015/12/26 21:29:23: [L2TP] opend port 1701/udp
2015/12/26 21:29:23: [DDNSU] opened 2002/udp
2015/12/26 21:29:23: [IPv6] prefix 240f:e2:10dd:1::/64 (vlife: 300, plife: 300)
is assigned from LAN2 (RA)
2015/12/26 21:29:23: [IPv6] start DAD for 240f:e2:10dd:1:2a0:deff:fe7f:acb4
2015/12/26 21:29:23: [IPv6] complete DAD for fe80::2a0:deff:fe7f:acb4
2015/12/26 21:29:23: [DHCPv6] select DHCPv6 server :: [00030001c025a23b3da4]
2015/12/26 21:29:24: [IPv6] complete DAD for 240f:e2:10dd:1:2a0:deff:fe7f:acb4
2015/12/26 21:29:24: [DDNS] Indication IPv6 address is assigned
2015/12/26 21:29:24: [DDNS] Received Indication IPv6 address.
2015/12/26 21:29:28: [IKE] respond ISAKMP phase to ***.***.154.104
2015/12/26 21:29:28: [IKE] add ISAKMP context [1] 4c89dfa580c40e87 00000000
2015/12/26 21:29:28: [IKE] add ISAKMP SA[1] (gateway[1])
2015/12/26 21:29:28: [IKE] activate ISAKMP socket[1]
2015/12/26 21:29:29: [IKE] respond IPsec phase to ***.***.154.104
2015/12/26 21:29:29: [IKE] add IPsec context [2] 4c89dfa580c40e87 d364b5e3
2015/12/26 21:29:29: [IKE] setup IPsec SAs (gateway[1], ISAKMP SA[1])
2015/12/26 21:29:29: [IKE] add IPsec SA[2]
2015/12/26 21:29:29: [IKE] add IPsec SA[3]
2015/12/26 21:29:29: [IKE] activate IPsec socket[tunnel:1](inbound)
2015/12/26 21:29:29: [IKE] activate IPsec socket[tunnel:1](outbound)
2015/12/26 21:29:30: IP Tunnel[1] Up
2015/12/26 21:29:44: [IKE] inactivate context [2] 4c89dfa580c40e87 d364b5e3
2015/12/26 21:29:44: [IKE] delete IPsec context [2] 4c89dfa580c40e87 d364b5e3
2015/12/26 21:29:56: [IPv6] prefix 240f:e2:10dd:1::/64 (vlife: 300, plife: 300)
is assigned from LAN2 (RA)
2015/12/26 21:30:12: [IKE] IPsec socket[tunnel:1] is refered
2015/12/26 21:30:38: [IPv6] prefix 240f:e2:10dd:1::/64 (vlife: 300, plife: 300)
is assigned from LAN2 (RA)
2015/12/26 21:31:04: [HTTPD] Illegal Request (TCP Connection failure, 192.168.1
01.200)
2015/12/26 21:31:19: same message repeated 2 times
2015/12/26 21:31:19: [IPv6] prefix 240f:e2:10dd:1::/64 (vlife: 300, plife: 300)
is assigned from LAN2 (RA)
2015/12/26 21:31:25: [IPv6] illegal length of IPv6 packet (6026/52)
2015/12/26 21:31:25: [IPv6] illegal length of IPv6 packet (6713/52)
2015/12/26 21:31:25: [IPv6] illegal length of IPv6 packet (27909/52)
2015/12/26 21:31:26: [HTTPD] Illegal Request (TCP Connection failure, 192.168.1
01.200)
2015/12/26 21:31:55: same message repeated 1 times
2015/12/26 21:31:55: [IPv6] prefix 240f:e2:10dd:1::/64 (vlife: 300, plife: 300)
is assigned from LAN2 (RA)
2015/12/26 21:32:22: [HTTPD] Illegal Request (TCP Connection failure, 192.168.1
01.200)
2015/12/26 21:32:33: [IPv6] prefix 240f:e2:10dd:1::/64 (vlife: 300, plife: 300)
is assigned from LAN2 (RA)
2015/12/26 21:32:49: [HTTPD] Illegal Request (TCP Connection failure, 192.168.1
01.200)
2015/12/26 21:33:16: Login succeeded for HTTP: 192.168.101.4 admin
2015/12/26 21:33:16: 'administrator' succeeded for HTTP: 192.168.101.4 admin
2015/12/26 21:33:16: [IPv6] prefix 240f:e2:10dd:1::/64 (vlife: 300, plife: 300)
is assigned from LAN2 (RA)
#
書込番号:19436759
0点
>sorio-2215さん
今は自宅です。相変わらず会社のHGWにはアクセスできていません。
会社からは月曜日まで試せません。
書込番号:19436770
0点
>sorio-2215さん
指示されたコマンド投入後、VPNが再び接続不能になりました。
書込番号:19437119
0点
一通り、確認しました。
どうも192.168.0.1/24と192.168.100.1/24のアクセスの際に、NAT変換時でのポートが変動している様子です。
対応として、下記をお試し下さい。
@ 会社RTX810ルーター
会社RTX810ルーター
「ip route 192.168.0.0/24 gateway tunnel 1」を戻す(投入し直し)
「no ip route 192.168.0.1/32 gateway tunnel 1にて、削除。
下記にて、NAT-Tのモード追加
「tunnel select 1」→「ipsec ike nat-traversal 1 on」 コマンド実行
A 自宅RTX810ルーター
「ip route 192.168.100.0/24 gateway tunnel 1」を戻す(投入し直し)
「no ip route 192.168.100.1/32 gateway tunnel 1」にて、削除。
下記にて、NAT-Tのモード追加
「tunnel select 1」→「ipsec ike nat-traversal 1 on」 コマンド実行
NAT-Tモード(NATトラバーサル)の設定時点で、ESPパケットでのIPSEC-IKE認証が不要になりますが、双方のHGWのNAT機能を貫通するIPSEC接続機能になりますが、お試し下さい。
IPSECトンネルのMSSでのMTU固定1240での受信オーバーフローは回避出来ているかと考えますが、それぞれのLAN2インターフェイスのオーバーフローは未だ起きている様です。
自宅RTX810ルーターのlan2インターフェイス自体のMTU固定も、念のため投入下さい。
「ip lan2 mtu 1492」
会社もMTUは、「ip lan2 mtu 1454」を投入下さい。
書込番号:19437750
0点
>sorio-2215さん
いつもありがとうございます。
上記コマンドすべて投入しSAVEしましたが、やはり状況に変化なしです。VPNも繋がりません。たしか以前も同じことがあってポートのリジェクト云々で解決していただきました。
また教えてください。
よろしくおねがいします。
書込番号:19437884
0点
自宅RTX810ルーターのルーティングのみの差し戻しだけでは、VPN接続されません。
会社RTX810ルーターのルーティングも差し戻し確認願います。
相互ルーティングさせている仕組みですので、双方のルーティングが合致していませんと、VPN接続開始まで至らないかと。
書込番号:19437895
0点
VPNと書いたのは間違いです。L2TP/IPsecを使用したリモートアクセスVPNサーバーによる通信のことでした。
よろしくお願いします。
書込番号:19437915
0点
IPSEC・アグレッシブモードの為、会社RTX810ルーターの設定反映後に、会社RTX810ルーターのsave→restartしませんと、再接続されないかと。
ip secure filter in と ip secure filter out は、稼働していない状態ですので、上記の要素になります。
書込番号:19437927
0点
>sorio-2215さん
会社ルーター再起動でもダメでした。繰り返しますが「VPN」ではなく「L2TP/IPsecを使用したリモートアクセスVPNサーバー」の不具合です。
書込番号:19437951
0点
L2TP/IPSECの不具合ですか?
先刻の自宅RTX810ルーターのConfigのままでしたら、L2TPセッション・タイマーの問題が有りますので、自動切断タイマーの設定をして下さい旨の投稿をしましたが。
「tunnel select 2」から、下記を参考にセッションタイマーとキープアライブのOFFのコマンドが投入されているか確認下さい。
pp select anonymous
pp name L2TP/IPsec
pp bind tunnel2
pp auth request chap-pap
pp auth username ***** ****** (モバイル用接続ユーザーID 接続パスワード)
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text ******* (モバイル用暗号化キー)
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp keepalive use off
l2tp tunnel disconnect time 600
ip tunnel tcp mss limit auto
tunnel enable 2
ipsec transport 1 2 udp 1701
重要なのは、下記です。
l2tp keepalive use off
l2tp tunnel disconnect time 600
600(10分で自動切断し、キープアライブがONになっている状態ですので、OFFに)
VPNルーターのL2TPトンネルは、モバイル側で切断しても即時切断される機能にはなっていませんので、切断状態になってから、再接続される機能になっております。
モバイル1台毎に、1トンネル消費しますので、もう一つの方法として、トンネルを複数設定する方法も有ります。
複数トンネル構成を考える場合には、下記にて。
pp select anonymous
pp name L2TP/IPsec
pp bind tunnel2-tunnel3
pp auth request chap-pap
pp auth username ***** ****** (モバイル用接続ユーザーID 接続パスワード)
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text ******* (モバイル用暗号化キー)
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp keepalive use off
l2tp tunnel disconnect time 600
ip tunnel tcp mss limit auto
tunnel enable 2
tunnel select 3
tunnel encapsulation l2tp
ipsec tunnel 3
ipsec sa policy 3 3 esp 3des-cbc md5-hmac
ipsec ike keepalive log 3 off
ipsec ike keepalive use 3 off
ipsec ike nat-traversal 3 on
ipsec ike pre-shared-key 3 text ******* (モバイル用暗号化キー)
ipsec ike remote address 3 any
l2tp tunnel auth off
l2tp keepalive use off
l2tp tunnel disconnect time 600
ip tunnel tcp mss limit auto
tunnel enable 3
ipsec transport 1 2 udp 1701
ipsec transport 2 3 udp 1701
書込番号:19438007
0点
補足です。
常時接続のIPSEC-VPNとは違い、L2TPリモートアクセス・トンネルの場合、接続端末から切断情報の送信が、RTX810へ即時に流れる物と、違う物が有ります。
その際の挙動として、RTX810のデフォルトのキープアライブ設定では、モバイル端末仕様を鑑みた機能になっておりませんので、常時接続のIPSEC-VPNとは、別の概念を考慮する必要があります。
書込番号:19438088
0点
自宅RTX810→会社RTX810アクセスと、会社RTX810→自宅RTX810の、通常のIPSEC-VPNは大丈夫と判断しても構わないですか?
L2TP/IPSECトンネルのみの接続が出来ないと言う認識でのイメージになりますが。
書込番号:19438098
0点
>sorio-2215さん
VPNは両方向とも正常。問題はモバイルからの接続のみです。
キープアライブは「使用しない」にしました。しかしタイマー設定のコマンドがわからないので教えてください。
>トンネルインタフェースを選択してから実行してください
となります。
書込番号:19438212
0点
話の経緯から、解るかと思いましたが。
tunnel select 2
l2tp tunnel disconnect time 600
tunnel select 3
l2tp tunnel disconnect time 600
L2TPトンネルを複数構成した場合のコマンドです。
秒単位の設定ですので、600で10分になります。
あくまでも、L2TPトンネルが、トンネル2とトンネル3である場合のコマンドになります。
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text ******* (モバイル用暗号化キー)
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp keepalive use off
l2tp tunnel disconnect time 600
ip tunnel tcp mss limit auto
tunnel enable 2
tunnel select 3
tunnel encapsulation l2tp
ipsec tunnel 3
ipsec sa policy 3 3 esp 3des-cbc md5-hmac
ipsec ike keepalive log 3 off
ipsec ike keepalive use 3 off
ipsec ike nat-traversal 3 on
ipsec ike pre-shared-key 3 text ******* (モバイル用暗号化キー)
ipsec ike remote address 3 any
l2tp tunnel auth off
l2tp keepalive use off
l2tp tunnel disconnect time 600
ip tunnel tcp mss limit auto
tunnel enable 3
↑にてトンネル2とトンネル3にL2TPカプセルモードの設定しているそれぞれのトンネルになっているかと存じます。
それぞれのトンネルに「l2tp tunnel disconnect time 600」が投入されていますよね。
トンネル2とトンネル3をL2TPリモートアクセスのダイヤル網内に入れる設定は、下記にてトンネル網にいれていますが。
pp select anonymous
pp name L2TP/IPsec
pp bind tunnel2-tunnel3
書込番号:19438232
1点
モバイルからのL2TPアクセスの件ですが、スマートフォンのLTE回線からの接続では無く、その間にWiMAXモバイルルーターなどの機器に無線LAN接続している場合には、そのWiMAXモバイルルーター設定にて、VPNパススルーの設定(UDP4500、UDP1701、プロトコル番号50番の透過)が必要です。
書込番号:19438256
0点
L2TPは1つで充分です。ドコモLTE以外使いません。
無事直りました。ありがとうございます。
残る問題は互いのHGWにアクセスできないことだけです。
書込番号:19438456 スマートフォンサイトからの書き込み
0点
DOCOMOスマートフォンご利用なんでしょうか?
DOCOMOの場合、SPモードというDOCOMO専用のプライベートIP網を利用している回線ですので、スマートフォンからL2TPアクセスする際に、DOCOMO・キャリアグレードNATから、自宅RTX810ルーター接続→会社RTX810ルーター接続と言った形ですので、やはり、総体的にIPSECトンネルの方は、NAT-T(NATトラバーサル)モードでのVPN形態が推奨です。
DOCOMOスマートフォンを、オプションにてもぺら契約しますと、NAT-Tモードの設定しなくても良いかと考えますが、
会社と自宅のRTX810ルーターのトンネル1は、NATトラバーサル設定は投入されたのでしょうか?
※ 「tunnel select 1」→「ipsec ike nat-traversal 1 on」
書込番号:19438483
0点
2重ルーター構成のNAT変換周りの不整合の問題に、Windowsバージョンによっては、レジストリ変更が必要な場合も有ります。
簡易的な方法ですが、Buffalo社の方にて、「NATトラバーサル設定変更ツール」というものをダウンロード出来る様にしていますが、そのツールをダウンロード実行し、NATトラバーサル機能を有効化出来ますでしょうか?
自宅端末と会社端末にNATトラバーサルの有効化→再起動後に、その端末からHGWへのアクセスもお試し出来ますでしょうか?
※ http://buffalo.jp/download/driver/lan/nattraversal.html
※ https://support.microsoft.com/ja-jp/kb/926179
書込番号:19438501
0点
>sorio-2215さん
自宅のルーターに下記コマンドを投入したところ会社ルーターにアクセス不能になりましたので、即削除し、復旧しました。
tunnel select 1
ipsec ike nat-traversal 1 on
このコマンドは両方のルーターに同時に投入するのですか???
書込番号:19438554
0点
NAT-Tのモード切替は、適用しますトンネルに適用しないと動作しませんので、適用トンネルに設定します。
既設で言うと、会社と自宅双方のトンネル1に適用します。
よって、適用しますトンネル・インターフェイスへ切り替えてから、NAT-Tのコマンド登録しないといけません。
NAT-Tに切替しますと、IPSEC-VPNのトンネルのIKE暗号化キー認証通信に、既存のESPパケットを利用せずUDP4500番のポートを利用する様に切り替わりますので、再度IPSEC-IKE認証に多少時間がかかる場合があります。
既存で言うと、自宅RTX810ルーターのトンネル1にNAT-Tの切替後に、AU光RTX810ルーターのグローバルIPへUDP4500番ポートを利用してIPSECトンネル接続情報の参照が、会社RTX810ルーター側から通信される形になります。
よって、NAT-Tの設定は、それぞれのトンネルに必要です。
IPSEC-VPN上で会社RTX810ルーターのNAT-Tの設定を追加しようとする場合、同一トンネルからの設定変更は接続が切れますので、ロックがかかる様になっております。
よって、L2TPリモートアクセス回線から、IPSECトンネル1のNAT-Tの設定を追加する、若しくは会社に来訪してRTX810ルーターのトンネル1のNAT-T追加設定をする形になります。
※ http://www.rtpro.yamaha.co.jp/RT/docs/ipsec/nat-traversal.html
ご指摘のコマンドは必須です。
どのトンネルにNAT-Tを適用するかの設定になります。
書込番号:19438627
0点
NAT-Tの機能を利用するかどうかについては、Yamahaルーターの [トップ] > [詳細設定と情報] > [VPN接続の設定] > [VPN接続設定の修正(TUNNEL[01])]に、自宅・会社のRTX810ルーターに「NATトラバーサル」項目に、有効にするのチェック箇所が有るかと存じます。
要は、YamahaルーターのWeb設定メニューにおいても機能設定箇所があります。
書込番号:19438642
0点
NAT-T(NATトラバーサル)の概念としては、VPN接続環境によりHGWに専用ルーター機能やNAT機能が有り、そのHGWなどのNAT機能やIPアクセスに特定のクセや不整合が有る場合に、よく利用するモードになります。
通常は、HGWのDMZ機能や静的ルーティングなどの方法にて、それぞれのIPセグメントの通信が出来る場合が殆どなのですが、HGWなどのNAT変換やIP変換機能の特定問題が有る場合に、VPN接続上利用するNAT越えのモードになります。
書込番号:19438654
0点
>sorio-2215さん
両方のルーターにコマンド投入。両方のルーターのナットトラバーサル機能有効を確認。両方のパソコンにNATトラバーサル設定変更ツールを適用→再起動。
以上終了しました。
しかし相変わらずHGWにはアクセスできません。
よろしくお願いいたします。
書込番号:19438846
0点
NAT-T適用後でのアクセス不能(スタティック・ルーティング済み)となると、スタティックルーティングとNAT-T通信自体も制限かかっているとしか言えない状態です。
Norton系で過去にあったのですが、NAT-T越え(ファイアーウォール越え)出来る構成にして、ルーターのスタティックステータス表示出来ている状態で、固有パソコンの挙動としか言えない状態です。
パソコン側に限定すれば一度、ブラウザの一時ファイルを削除しアクセスしてみる、ブラウザのアドオン機能を全て無効化してアクセスしてみる、Norton360及びファイアーウォール機能などをアンインストールしてみる等しかないですね。
ProxyARPコマンドを登録しIPフィルタを全削除→show log 情報を見る限り、誤ったアドレス変換をルーター側でしている状態では無いと判断出来ます。
当方利用していますのは、 Kaspersky系でAU光及びNTT光(BIGLOBE)にて、酷似2重NAT環境にしている状態で、ご指摘の状態の現象は出ておりません。
ネットワーク機器のステータス上は、ルーティングしております。
試しに、それぞれのHGWに192.168.100.200等の固定IPを設定した何らかのネットワーク装置を接続し、自宅側から192.168.100.200にてアクセス出来るかどうかを確認下さい。
逆に192.168.0.200の固定IP等の設定しましたネットワーク装置をAU光HGWのハブへ接続し、会社から192.168.0.200にてアクセス出来るかどうかを確認願います。
書込番号:19439007
0点
 |
|---|
接続図 |
お世話になります。
普段はADSLモデムにてインターネットに接続しています。
(Y!Mobile回線,プロバイダ:hi-ho,PPPoE接続)
ADSL回線が使えない場合に、MR03LN経由でLTE/3Gで接続できる様すべく、
MR03LNをLAN1側ポートに有線で繋ぎ、
RTX810の設定で、
「ip route 192.168.0.1/24 gateway pp 2 hide gateway 192.168.0.200 weight 0」
※RTX810のLAN側IPアドレス:192.168.0.1
※MR03LNのLAN側IPアドレス:192.168.0.200
※hi-hoは pp02 に設定。(pp01は空き)
を設定。
結果、ADSL回線を切断するとMR03LNを通してインターネットに繋がる様に
なったのですが、DNSがうまく引けず、ブラウザ等でWebサイトが開けません。
※各PC等のIPアドレスは全て固定。
※各PC等の優先DNSサーバーは、RTX810のLAN側IPアドレス(192.168.0.1)を指定。
(代替DNSサーバーは、今までは空白)
仕方なく、各PC等の代替DNSサーバーに、MR03LNのLAN側IPアドレス(192.168.0.200)を指定し、
Webページが開ける様になったのですが、RTX810側の設定でなんとか出来ないものでしょうか?
なお、MR03LNに挿しているSIMは、OCNモバイルone のものです。
それから、ルータのコマンド等は最近勉強し始めたばかりで、ほとんど分かっていません。
0点
> ※各PC等の優先DNSサーバーは、RTX810のLAN側IPアドレス(192.168.0.1)を指定。
> (代替DNSサーバーは、今までは空白)
・DNS1(8.8.8.8)
・DSN2(8.8.4.4)
の設定ではどうですか?
書込番号:17986184
0点
ponta393さん、コメントありがとうございます。
ただ、出来ればRTX810側の設定でなんとかしたいのです。
書込番号:17986492 スマートフォンサイトからの書き込み
0点
>結果、ADSL回線を切断するとMR03LNを通してインターネットに繋がる様に
>なったのですが、DNSがうまく引けず、ブラウザ等でWebサイトが開けません。
> ※各PC等のIPアドレスは全て固定。
> ※各PC等の優先DNSサーバーは、RTX810のLAN側IPアドレス(192.168.0.1)を指定。
> (代替DNSサーバーは、今までは空白)
RTX810から配布するDNSサーバーのIPアドレスを
最初から8.8.8.8と8.8.4.4にしておけばどうでしょうか。
書込番号:17986575
0点
件は、Google Public DNSですが
プロバイダから流れてくるDNSよりも
速度を改善したい場合などに、優位である場合があります
http://www.itmedia.co.jp/enterprise/articles/0912/04/news018.html
>DNSがうまく引けず
本ルーターを所持していませんので
ADSLからMR03LNに切り替わった時に、DNSが通らない原因は不明ですが
RTX810のDNS設定を
DNS1:ADSLモデムのアドレス
DNS2:MR03LNのアドレス
に、手動設定する事でも良さそうな気がします
個人的には
クライアント端末側(PCなど)で、Public DNSを指定する事を勧めます
書込番号:17986656
0点
尚
クライアント端末(PCなど)を、固定アドレスで運用する場合は
PCなどに、DNSアドレスは配布されません
RTX810は、ネットワーク内で同列なクライアントとして考え
PCなどが、RTX810をDNSとして指定する場合には
RTX810のDNS指定を、ゲートウェイ機器1若しくは2に向けるか
Public DNSを指定する必要があります
書込番号:17986736
0点
『ADSL回線が使えない場合に、MR03LN経由でLTE/3Gで接続できる様すべく、』
ということですが、YAMAHAのRTXルータでは、Pingでの経路監視によってルーティングを変えることがで切るようです。
YAMAHA RTXルータで経路監視
http://oatrap485.blogspot.jp/2013/01/yamaha-rtx.html
『ADSL回線を切断するとMR03LNを通してインターネットに繋がる様に
なったのですが、DNSがうまく引けず、ブラウザ等でWebサイトが開けません。』
ということですが、以下の内容は、参考になりませんか?
dns server 2 192.168.0.1,192.168.0.200
複数プロバイダ同時接続機能のための追加コマンド
DNS問い合わせに応じたDNSサーバの選択
http://www.rtpro.yamaha.co.jp/RT/FAQ/TCPIP/Attic/filter-routing.html
書込番号:17986772
0点
皆様、色々と有益なコメントをありがとうございます。
実は現在出先のため、明日の帰宅後に試してみます。
書込番号:17987104 スマートフォンサイトからの書き込み
0点
皆様からの教えを元に、無い知恵を絞って設定したところ、なんとかDNSが引ける様になった様です。
RTX810のDNS設定(と思われる所)、
dns server pp 2
dns server select 500002 pp 2 any . restrict pp 2
dns private address spoof on
を、
dns server pp 2
dns server 192.168.0.200 ←追加
dns server select 500002 pp 2 any . restrict pp 2
dns private address spoof on
に書き換えました。
これで正しいのかどうかはよく分かりませんが、PC等の代替DNSサーバー欄を空欄にしても、一応動いてます。
ただ、設定後のRTX810のconfigを見ると、「dns server 192.168.0.200」の方が「dns server pp 2」より上に記載されているので、
「dns server 192.168.0.200」の方をまず見に行っている様な気もします。
Google Public DNS は、最後の砦?という事で、試しませんでした。(設定方法がよく分からない、というのもありますが。)
「dns server 2 192.168.0.1,192.168.0.200」の方は、
dns server pp 2
dns server 2 192.168.0.1,192.168.0.200 ←追加
dns server select 500002 pp 2 any . restrict pp 2
dns private address spoof on
としてみたのですが、構文が間違っているのか、RTX810のconfigには当該行が反映されませんでした。
(間違っている行は無視するみたいです。コマンドリファレンスもざーと見てみましたが、dns server 2 ... という設定は無い様です。)
書込番号:17991703
0点
『dns server 192.168.0.200 ←追加』
で改善しいたようですが、
dns server 192.168.0.1,192.168.0.200
とすると設定が反映されませんか?
書込番号:17991726
1点
LsLoverさん、度々のコメントありがとうございます。
dns server 192.168.0.1,192.168.0.200
では設定に反映されませんでしたが、
dns server 192.168.0.1 192.168.0.200
だと設定に反映されました。動作も特に問題無い様です。
なんとなく、こちらの方が良さそうなので、この設定で行く事にします。
ありがとうございました。
--------------------------------------
#
# DNS configuration
#
dns server 192.168.0.1 192.168.0.200
dns server pp 2
dns server select 500002 pp 2 any . restrict pp 2
dns private address spoof on
--------------------------------------
書込番号:17992761
0点
『こちらの方が良さそうなので、この設定で行く事にします。』
問題が解決できたようなので、何よりです。
書込番号:17992793
0点
『dns server 192.168.0.1,192.168.0.200
では設定に反映されませんでしたが、
dns server 192.168.0.1 192.168.0.200
だと設定に反映されました。』
すみません。デリミタは","(カンマ)ではなく”"(スペース)でした。申し訳ありませんでした。
書込番号:17992828
0点
複数の機器があり、どこで質問すればいいのか判らない為、こちらで質問させていただきます。
●現在の接続状況
RTX810(192.168.100.1)
WAPS-AG300H/APとして使用(192.168.100.2):RTX810へ接続
メインPC(192.168.100.77):AG300HのHubポートへ接続
QNAP NAS(192.168.100.11):RTX810へ接続
iphone(192.168.100.8):APへWiFi接続
PS VITA(192.168.100.13):APへWiFi接続
PS3(192.168.100.0):RTX810へ接続
ANIME LOCKER PC(192.168.100.3):RTX810へ接続
ANIME LOCKER PCはCentOS5.1の録画サーバです。
上記機器がそれぞれIPアドレスを固定で割り振ってあります。
@PS3はAPのHubへ接続しておりメインPCはRTX810へ接続していたが、DLNAでPS3からANIME LOCKER PCへ接続出来ず、QNAP NASをAPのHubへPS3をRTX810へ接続したところ、ANIME LOCKER PCへ接続出来たがPS3からQNAPへ接続出来なくなる。
上記●の接続で、PS3からANIME LOCKER、QNAPへ接続できるようになった。
BAPへWiFi接続(VITA iphone)するとANIME LOCKER PCへ接続ができない。
メインPCからは上記のどの接続でもそれぞれのサーバへアクセス可能。
ANIME LOCKER PCの設定によるものかと思いメーカーへ質問したところ、「DLNAサーバの探索に必要なマルチキャストパケットを通過されない事例が報告されているので、同じLANスイッチに接続してください。」との事でした。
RTX810へWAPS-AG300HをAPとして使用場合、WiFi接続のものは同じLANスイッチとして扱うことが出来ないのでしょうか。
またRTX810の設定の変更で対応できるのであれば、ぜひご教授願います。
よろしくお願いします。
0点
>@PS3はAPのHubへ接続しておりメインPCはRTX810へ接続していたが、DLNAでPS3からANIME LOCKER PCへ接続出来ず、QNAP NASをAPのHubへPS3をRTX810へ接続したところ、ANIME LOCKER PCへ接続出来たがPS3からQNAPへ接続出来なくなる。
どうもWAPS-AG300Hの各ポートがネットワーク的に分離されているように見受けられます。
例えば、メインPCとQNAP NASをRTX810 に有線LAN接続した場合は、
メインPCのコマンドプロンプト上で
ping 192.168.100.11
と入力すると、QNAP NAS(192.168.100.11)から応答が返って来ると思います。
http://www.atmarkit.co.jp/fnetwork/netcom/ping/ping.html
次にメインPCはRTX810に接続し、QNAP NASはWAPS-AG300Hに接続して、
同様にpingを実行すると、応答が返って来ないのではないでしょうか?
もしもpingの応答が返って来ない場合は、
何らかの設定によりWAPS-AG300Hがネットワークを分離しています。
その場合は、WAPS-AG300Hのマニュアルを読み、
WAPS-AG300Hのステータスを確認して、
何か通信を阻害している設定がないか確認下さい。
http://manual.buffalo.jp/buf-doc/35020037-05.pdf
書込番号:17586226
1点
お尋ねの件ですが、当方がネットワーク構成をかけるとすれば、RTX810(192.168.100.1)→WAPS-AG300H/AP(192.168.100.254/255.255.255.0、デフォルトゲートウェイ192.168.100.1、プライマリDNS192.168.100.1)→QNAP NAS(192.168.100.253/255.255.255.0、デフォルトゲートウェイ192.168.100.1、プライマリDNS192.168.100.1)、RTX810のDHCPスコープ範囲は192.168.100.2〜192.168.100.252
接続パソコンやスマートフォン、ゲーム機はRTX810のDHCPサーバ機能にて自動割り当てを効かせますけどね。
原因の切り分けの為ですが、RTX810のコンフィグデータ(プロバイダ情報など重要事項は伏字で構いません)の情報提供願います。
同機の場合IPセキュアフィルタの設定にて、lan1のin/outフィルタ、lan2のin/outフィルタにて通信透過・破棄設定を細かくするタイプのルーターですので、切り分けにはコンフィグ情報が必要です。
RTX810のWeb設定メニューの詳細設定→コマンド実行にて、「show config」入力実行にてテキスト出力情報を、重要事項・伏字調整し投稿して下さい。
書込番号:17595507
0点
先ほどの補足です。アクセスポイントのLAN設定は、有線LANポート別のフロー制御の設定をする仕様ですが、そのポート毎のVLAN構成をとっている場合には、そのVLANポート同士はルーティングされません。
もし、VLAN分離されている場合には、RTX810のLANインターフェイスもVLAN分割設定し、VLAN同士静的ルーティングさせる設定をしませんと、多分無理かと。初期値では、VLAN-IDが全て共用されるIDナンバーが設定されており、ポート毎の通信共用はされる筈ですが・・。
アクセスポイントを、Yamaha「WLX302」を選択されると楽だったのですが・・。
端的にRTX810にギガビット・スイッチングハブを増設し、アクセスポイントはルーターと単一で接続形態をとれば良いのでは?
※ NETGEAR製「GS108-300JPS」など。
書込番号:17595603
0点
>>羅城門の鬼さん
現在の接続(RTX810-AP-メインPC)でのping実行にて応答があることを確認しました。
>>sorio-2215さん
以前はDHCPサーバ自動割当をしておりましたが、IPの競合が多かったため固定としてあります。
VLANの構成はありません。
WLX302は予算の都合で購入できませんでした。
スイッチングハブはLANのチーミングを考えておりますので導入予定ですが、予算の都合によりもう少しかかりそうです。
下記がRTX810のshow configの結果です。(伏字有り)
# show config
# RTX810 Rev.11.01.19 (Mon Jul 29 15:27:26 2013)
# MAC Address : 00:00:00:00:00:00, 00:0:00:00:00:00
# Memory 128Mbytes, 2LAN
# main: RTX810 ver=00 serial=000000000 MAC-Address=00:00:00:00:00:00 MAC-Addre
ss=00:00:00:00:00:00
# Reporting Date: Jun 6 18:16:55 2014
ip route default gateway pp 1 filter 500000 gateway pp 1
ip lan1 address 192.168.100.1/24
ip lan1 proxyarp on
provider type isdn-terminal
provider filter routing connection
provider lan1 name LAN:
provider lan2 name PPPoE/0/1/5/0/0/0:
pp select 1
pp name PRV/1/1/5/0/0/0:
pp keepalive interval 30 retry-interval=30 count=12
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ccp type none
ip pp secure filter in 200003 200020 200021 200022 200023 200024 200025 200030
200032 200080 200081 200082 200083 200084
ip pp secure filter out 200013 200020 200021 200022 200023 200024 200025 20002
6 200027 200099 dynamic 200080 200081 200082 200083 200084 200085 200098 200099
ip pp nat descriptor 1000
netvolante-dns hostname host pp server=1 ***.aa0.netvolante.jp
pp enable 1
provider set 1
provider dns server 1 218.176.253.65 218.176.253.97
provider select 1
pp select anonymous
pp name ***
pp bind tunnel1
pp auth request chap-pap
pp auth username ****** ******
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel encapsulation l2tp
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 off
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ******
ipsec ike remote address 1 any
l2tp tunnel auth off
l2tp tunnel disconnect time off
l2tp keepalive use on
ip tunnel tcp mss limit auto
tunnel enable 1
ip filter 200000 reject 10.0.0.0/8 * * * *
ip filter 200001 reject 172.16.0.0/12 * * * *
ip filter 200002 reject 192.168.0.0/16 * * * *
ip filter 200003 reject 192.168.100.0/24 * * * *
ip filter 200010 reject * 10.0.0.0/8 * * *
ip filter 200011 reject * 172.16.0.0/12 * * *
ip filter 200012 reject * 192.168.0.0/16 * * *
ip filter 200013 reject * 192.168.100.0/24 * * *
ip filter 200020 reject * * udp,tcp 135 *
ip filter 200021 reject * * udp,tcp * 135
ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 200024 reject * * udp,tcp 445 *
ip filter 200025 reject * * udp,tcp * 445
ip filter 200026 restrict * * tcpfin * www,21,nntp
ip filter 200027 restrict * * tcprst * www,21,nntp
ip filter 200030 pass * 192.168.100.0/24 icmp * *
ip filter 200031 pass * 192.168.100.0/24 established * *
ip filter 200032 pass * 192.168.100.0/24 tcp * ident
ip filter 200033 pass * 192.168.100.0/24 tcp ftpdata *
ip filter 200034 pass * 192.168.100.0/24 tcp,udp * domain
ip filter 200035 pass * 192.168.100.0/24 udp domain *
ip filter 200036 pass * 192.168.100.0/24 udp * ntp
ip filter 200037 pass * 192.168.100.0/24 udp ntp *
ip filter 200080 pass * 192.168.100.77 tcp * 49500
ip filter 200081 pass * 192.168.100.1 udp * 1701
ip filter 200082 pass * 192.168.100.1 udp * 500
ip filter 200083 pass * 192.168.100.1 esp * *
ip filter 200084 pass * 192.168.100.1 udp * 4500
ip filter 200098 reject-nolog * * established
ip filter 200099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 200080 * * ftp
ip filter dynamic 200081 * * domain
ip filter dynamic 200082 * * www
ip filter dynamic 200083 * * smtp
ip filter dynamic 200084 * * pop3
ip filter dynamic 200085 * * submission
ip filter dynamic 200098 * * tcp
ip filter dynamic 200099 * * udp
nat descriptor type 1000 masquerade
nat descriptor masquerade static 1000 1 192.168.100.77 tcp 49500
nat descriptor masquerade static 1000 2 192.168.100.1 udp 1701
nat descriptor masquerade static 1000 3 192.168.100.1 udp 500
nat descriptor masquerade static 1000 4 192.168.100.1 esp
nat descriptor masquerade static 1000 5 192.168.100.1 udp 4500
ipsec auto refresh on
ipsec transport 1 1 udp 1701
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.251/24
dns server 218.176.253.65 218.176.253.97
dns server select 500001 218.176.253.65 218.176.253.97 any . restrict pp 1
dns private address spoof on
l2tp service on
upnp use on
upnp external address refer pp 1
#
書込番号:17598674
0点
>現在の接続(RTX810-AP-メインPC)でのping実行にて応答があることを確認しました。
失礼しました。
「メインPCからは上記のどの接続でもそれぞれのサーバへアクセス可能。」
を見落としていました。
> BAPへWiFi接続(VITA iphone)するとANIME LOCKER PCへ接続ができない。
この状態でPS vitaとiPhoneはインターネットにはアクセス出来るのでしょうか?
またiPhoneにiNetToolsをインストールし、
ANIME LOCKER PCに対してpingを実行すると応答はあるのでしょうか?
https://itunes.apple.com/us/app/inettools-network-diagnose/id561659975?mt=8
書込番号:17598978
0点
>>羅城門の鬼さん
iphoneでNetToolsを使用し、ANIME LOCKER PCへpingを実行すると応答がありました。
サブPCにMacbook Air(OSX/Windows8.1)があるのですが、やはりWiFi接続しているものはANIME LOCKER PCへアクセスすることが出来ませんでした。
iphoneと同様にpingを実行すると応答はあります。
書込番号:17599043
0点
>iphoneでNetToolsを使用し、ANIME LOCKER PCへpingを実行すると応答がありました。
IPレベルではiPhoneとANIME LOCKER PCとは接続できていても、
マルチキャストのIPパケットをWAPS-AG300Hが遮断しているのではないでしょうか。
「ANIME LOCKER PCへ接続ができない。」とは、
DLNAサーバーを検索してもANIME LOCKER PCが見つからないと云う意味ですよね。
WAPS-AG300Hの取説をさらりとは見てみましたが、
マルチキャストのIPパケットを遮断しそうな設定項目は特には見つからなかったです。
http://manual.buffalo.jp/buf-doc/35020037-05.pdf
WAPS-AG300Hのファームが最新でない場合は、アップデートしてみてはどうですか。
http://buffalo.jp/download/driver/lan/waps-ag300h_fw.html
書込番号:17599115
0点
コンフィグデータ確認しました。lan1インターフェイスでのIPセキュアフィルターやDHCPサーバでのMACアドレス認証・予約IPアドレスの設定をしているかとも考えましたが、ごく一般的な設定ですので、RTX810側で何らかのフィルターがかかっている状態ではないですね。
メーカー曰く、Yamaha側も「マルチキャスト・パケット透過されない場合」ではなく、透過出来ませんよ。当然、Buffaloアクセスポイントにおきましても、マルチキャストパケット自体の機能設定箇所は有りませんので、原因ではないです。
必要なのは、IPV4マルチキャスト・パケット透過ですよね?(適応機種は、RTX3000とRTX1500のみ)
もしかして、DLNAサーバの機能設定の内(考えにくい点ですが)、PS3の内部処理の関連で、DLNAクライアントからサーバ検索する際に、DLNAサーバ側のポート番号を同一数値ですと、うまく割り当て処理出来ないかも?
QNAP-NASのDLNAサーバのポート番号と、PC側のDLNAサーバ機能のポート番号を別数値か念のため確認下さい。
RTX810ルーターとBuffaloアクセスポイントの間に、安価な物で構いませんが、スイッチングハブ適用にて疎通出来るか確認できますでしょうか?
書込番号:17600208
0点
YamahaとBuffalo間では、パケット通信相性にてあまり良い相互通信相性ではありませんよ。
どちらかと言えば、NEC系やYamaha系のアクセスポイントとは相性が良いのですが・・。
書込番号:17600215
0点
 |
|---|
>やはりWiFi接続しているものはANIME LOCKER PCへアクセスすることが出来ませんでした。
このAP(WAPS-AG300H)には、マルチキャストの設定項目はありませんが
機器保護目的で、マルチキャスト制御がされているのかも知れません
マルチキャスト帯域制限の指定(Multicast Rate)は、あるようです
別のAPがあれば、取り換える事で要因の切り分けができますが
やはり、buffaloに問い合わせるのが良いかもしれません
書込番号:17600615
0点
見当違いだったらごめんなさい。
手動でIPアドレスを振っているようなので確認ですが、
WAPS-AG300Hのデフォルトゲートウェイはちゃんと設定してありますでしょうか。
本来ならLAN内ですので、特に必要のない項目だとは思うのですが、
別の機種で、アクセスポイントモードで使用しても、
デフォルトゲートウェイを設定しないと、パケットがうまく流れなかった経験があるので。
書込番号:17607824
0点
クチコミ掲示板検索
新着ピックアップリスト
-
【欲しいものリスト】予算23万程度
-
【みんなでランク付け】5年持つ?コスパ配慮AMDゲーミングPC構成締切:あと5日
-
【欲しいものリスト】イヤホン
-
【欲しいものリスト】自作PC2025
-
【欲しいものリスト】メインアップグレードv4.22
価格.comマガジン
注目トピックス
(パソコン)
