『HGWへのアクセスについて』のクチコミ掲示板

RTX810 製品画像

拡大

最安価格(税込):¥46,807 (前週比:±0 )

  • メーカー希望小売価格(税別):¥68,000
  • 発売日:2011年11月上旬

店頭参考価格帯:¥46,807 〜 ¥46,807 (全国1店舗)最寄りのショップ一覧

有線LAN速度:10/100/1000Mbps 有線LANポート数:4 対応セキュリティ:UPnP/VPN/DMZ RTX810のスペック・仕様

価格.comのまるごと安心 設置・修理・サポート。家電・PC・カメラ・ゲーム機が対象。初月無料!
ネットで買うなら!クレジットカード比較
この製品をキープ

ご利用の前にお読みください

  • RTX810の価格比較
  • RTX810の店頭購入
  • RTX810のスペック・仕様
  • RTX810のレビュー
  • RTX810のクチコミ
  • RTX810の画像・動画
  • RTX810のピックアップリスト
  • RTX810のオークション

RTX810ヤマハ

最安価格(税込):¥46,807 (前週比:±0 ) 発売日:2011年11月上旬

  • RTX810の価格比較
  • RTX810の店頭購入
  • RTX810のスペック・仕様
  • RTX810のレビュー
  • RTX810のクチコミ
  • RTX810の画像・動画
  • RTX810のピックアップリスト
  • RTX810のオークション

『HGWへのアクセスについて』 のクチコミ掲示板

RSS


「RTX810」のクチコミ掲示板に
RTX810を新規書き込みRTX810をヘルプ付 新規書き込み



ナイスクチコミ17

返信200

お気に入りに追加

解決済
標準

HGWへのアクセスについて

2015/12/07 15:59(1年以上前)


有線ブロードバンドルーター > ヤマハ > RTX810

スレ主 snooker147さん
クチコミ投稿数:2253件

本機を利用して私の経営する会社と自宅の間にVPNを構築しようとしています。

【ネットワークの概要】(会社)
フレッツ光ネクスト--- RT-500KI --- RTX810 --- PC

HGW
WAN:?
LAN:192.168.100.1

本機
WAN:グローバルIP
LAN:192.168.1.1

PC
LAN:192.168.1.**
※上記構成でtracert を使ってみるとHGWはIP上は関与していないようです


【ネットワークの概要】(自宅)
auひかりギガ--- BL900HW --- RTX810 --- PC

HGW
WAN:グローバルIP
LAN:192.168.0.1

本機
WAN:192.168.0.254
LAN:192.168.100.1

PC
LAN:192.168.100.**


会社ではHGWにはPPOEパススルーを設定し本機にID等を設定しインターネットに出られるようになりました。しかしPCからHGWにアクセスすることができません。仕方なくケーブルを抜き差ししてPCとHGWを繋いでいます。

これでは不便すぎるのでNTTとヤマハの両方に「PCから本機経由でHGWへアクセスできるか?」を聞きましたが、どちらもムリとの回答でした。

しかし自宅ではauひかりを使っていて、PCからHGWへのアクセスはできています。(この掲示板のRTX1210での書き込みが非常に参考になりました)

NTTとauの大きな違いはHGWを二重ルーターとして使えるかどうかと思います。


長くなりましたが、VPNができる前提で、会社でもPCからHGWにアクセスできる方法を教えてください。

書込番号:19384277

ナイスクチコミ!0


1Q3さん
クチコミ投稿数:85件Goodアンサー獲得:7件

2015/12/07 20:56(1年以上前)

VPNの事はよく分かりませんが、我が家の場合は、
フレッツ光ネクスト--- PR-500MI --- RTX810 --- PC
で、PR-500MIはPPPoEパススルー、ルータ機能はRTX810で行っています。

この状態で、PR-500MIの設定画面には、
http://[PR500-MIのLAN側IPv6アドレス]
で繋がります。

書込番号:19385082

ナイスクチコミ!1


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/07 23:03(1年以上前)

>1Q3さん

今は自宅なので会社のHGW内部は見られません。代わりに自宅(auひかり)のHGW内部を見てみました。

LAN側状態
IPv6アドレス/プレフィックス長(グローバル)
IPv6アドレス/プレフィックス長(リンクローカル)

上記2つの項目がありました。NTTのHGWでも同様に見えるのでしょうか?入れるとしたらどちらですか?


よろしくお願いします。

書込番号:19385590

ナイスクチコミ!0


1Q3さん
クチコミ投稿数:85件Goodアンサー獲得:7件

2015/12/08 00:00(1年以上前)

HGWにPCを直接繋いで、コマンドプロンプトから ipconfig /all で、「DNSサーバ」に表示されるIPv6アドレスです。

書込番号:19385792

ナイスクチコミ!1


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/08 09:49(1年以上前)

 構成としては、自宅側のHGWのDMZホスト設定にて、192.168.0.254/24の登録、RTX810ルーターのIPSECトンネル設定を実施すればOKです。

 ただし、会社側のHGWのIPが192.168.100.1/24で、自宅側のRTX810のIPが192.168.100.1/24では、IPパケット重複動作となり、IPSEC確立条件にはなりません。
 
 いくつか方法があります。
 @ 自宅側RTX810ルーターを192.168.101.1/24(DHCP192.168.101.2〜192.168.101.100へ変更)
    →会社側RTX810ルーターのIPを192.168.100.1/24(DHCP192.168.100.2〜192.168.100.1へ変更。
    → 会社RTX810ルーターのIPSECトンネルの静的ルーティング登録にて、192.168.101.0/24を登録。
    → 自宅RTX810ルーターのIPSECトンネルの静的ルーティング登録にて、192.168.100.0/24を登録。
    → 会社側HGWのIPを192.168.100.254等へ変更し、DHCP機能を無効化。
    → 会社側HGWのPPPOE接続設定をしているのであれば、削除し、RTX810ルーターでPPPOE接続。
    → 追加で、会社側のRTX810ルーターのLANポートとHGWのLANポートを有線接続

  上記の内容で、自宅側のIPSEC回線から、会社のHGWのIP192.168.100.254にて参照可能です。
  IPSECトンネルの接続用グローバルIP管理には、Netvolante-DNSを登録します。
 ※ 設定例・・http://jp.yamaha.com/products/network/solution/vpn/connect/vpn-explain_ipsec_main/

 二つ目の方法
 A 会社のRTX810ルーターのIPを192.168.100.1/24へ、自宅RTX810ルーターのIPを192.168.100.2/24へ変更
    → DHCP機能は、会社側RTX810ルーターのDHCP機能を設定し、自宅側RTX810はDHCP無効化
    → IPSECトンネルは、トンネルIPをブリッジング設定し、同一IPセグメントでのIPSEC接続設定をする。
    → 自宅と会社のグローバルIPはNetvolante-DNSをそれぞれ構成する。
    → 会社側HGWのIPは、@のIPと同じ192.168.100.254/24(DHCP無効化)する。
  
 上記の内容で、同一セグメントでのL2TPv3-VPN構成となります。
 ※ 設定例・・http://jp.yamaha.com/products/network/solution/vpn/connect/vpn-connect-l2tpv3_ipsec-rtx1200/

 逆に会社から自宅のHGWへアクセスされたい場合には、@の方法ですと、会社のRTX810ルーターのIPSECトンネルの静的ルーティングに、192.168.0.0/24を追加登録します。
 会社端末からの自宅HGWアクセスには、192.168.0.1にて可能。
 
 Aの方法ですと、自宅のHGWのIPアドレス変更が必要です。
   →自宅HGWのIPを192.168.100.253/24(DHCP無効化)
 会社端末からの自宅HGWアクセスには、192.168.100.253にて可能。

 どちらの設定例においても、グローバルIP固定契約の代替処置にて、Netvolante-DNS登録とVPNトンネル接続先に、Netvolante-DNSドメイン指定する方法になります。

書込番号:19386435

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/08 12:07(1年以上前)

 補足です。
 自宅・AU光の場合、Netvolante-DNSの取得設定は出来ませんので、AU光-HGWのステータス情報でのグローバルIPアドレスをVPN相手先として、会社RTX810ルーターのVPN設定に投入します。

 会社の回線については、RTX810ルーターでのPPPOE接続している形態イメージで、Netvolante-DNS構成は可能ですので、要はIPSEC-VPNでのメインモード設定になります。

 AU光の場合、HGWが故障交換でもしない限り、グローバルIPアドレスは半固定ですので、故障交換時に本社RTX810ルーターのVPN接続先グローバルIPを変更するだけです。

書込番号:19386675

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/08 12:17(1年以上前)

 会社のIPアドレス・セグメントと、自宅IPアドレス・セグメント構成を同一構成として、VPN接続する方法として、もう一つ有ります。

 RTX810ルーターですと、最新ファームウェア適用しておいた方が良いですが、IPSEC-VPN(Twice-NAT)という方法も有ります。

 先刻のL2TPv3-VPNと酷似しておりますが、HGWの設定(変更IPアドレス及びDHCP無効化)は同じで、RTX810同士を同一セグメントとしてVPN-NAT変換設定する方法です。
 L2TPv3-VPNと違うのは、それぞれのRTX810ルーターのDHCP機能を有効でも可能である点です。
 
 ※設定例・・http://jp.yamaha.com/products/network/solution/vpn/connect/twice_nat/
 ※設定例2・・http://www.rtpro.yamaha.co.jp/RT/docs/nat-descriptor/twice-nat.html

書込番号:19386697

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/08 19:02(1年以上前)

>sorio-2215さん

ていねい且つ詳細な説明をありがとうございます。おかげで一歩踏み出せております。

結局は1の方式を取ることにしましたが、説明でおそらく間違いと思われる部分がありました。DHCPスコープの部分です。確認お願いします。

説明の理解で苦労したのがHGWと本機の間にLAN用とWAN用2本のケーブルを挿す部分でした。1本で賄うものと思い込み苦労しました。

コンフィグを公開しますので過不足・過誤がありましたらご指摘お願いします。

もし過ちがないようでしたらIPsecの設定に進みたいのですが、入れるべき項目等があまりわかりません。なお「ヤマハルーターでつくる インターネットVPN」は購入済ですから、該当の場所を教えていただければ自分でも調べられます。


以上よろしくお願いします。

書込番号:19387501

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/08 19:04(1年以上前)

現在のコンフィグです。

前略
ip route default gateway pp 1 filter 500000 gateway pp 1
ip lan1 address 192.168.100.1/24
provider type isdn-terminal
provider filter routing connection
provider lan1 name LAN:
provider lan2 name PPPoE/0/1/5/0/0/0:Nifty
provider ntpdate ntp.nict.jp
pp select 1
pp name PRV/1/1/5/0/0/0:Nifty
pp keepalive interval 30 retry-interval=30 count=12
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname *****@nifty.com ***********
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp secure filter in 200003 200020 200021 200022 200023 200024 200025 200030 200032
ip pp secure filter out 200013 200020 200021 200022 200023 200024 200025 200026 200027 200099
dynamic 200080 200081 200082 200083 200084 200085 200098 200099
ip pp nat descriptor 1000
pp enable 1
provider set 1 Nifty
provider dns server pp 1 1
provider select 1
ip filter 200000 reject 10.0.0.0/8 * * * *
ip filter 200001 reject 172.16.0.0/12 * * * *
ip filter 200002 reject 192.168.0.0/16 * * * *
ip filter 200003 reject 192.168.100.0/24 * * * *
ip filter 200010 reject * 10.0.0.0/8 * * *
ip filter 200011 reject * 172.16.0.0/12 * * *
ip filter 200012 reject * 192.168.0.0/16 * * *
ip filter 200013 reject * 192.168.100.0/24 * * *
ip filter 200020 reject * * udp,tcp 135 *
ip filter 200021 reject * * udp,tcp * 135
ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 200024 reject * * udp,tcp 445 *
ip filter 200025 reject * * udp,tcp * 445
ip filter 200026 restrict * * tcpfin * www,21,nntp
ip filter 200027 restrict * * tcprst * www,21,nntp
ip filter 200030 pass * 192.168.100.0/24 icmp * *
ip filter 200031 pass * 192.168.100.0/24 established * *
ip filter 200032 pass * 192.168.100.0/24 tcp * ident
ip filter 200033 pass * 192.168.100.0/24 tcp ftpdata *
ip filter 200034 pass * 192.168.100.0/24 tcp,udp * domain
ip filter 200035 pass * 192.168.100.0/24 udp domain *
ip filter 200036 pass * 192.168.100.0/24 udp * ntp
ip filter 200037 pass * 192.168.100.0/24 udp ntp *
ip filter 200098 reject-nolog * * established
ip filter 200099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 200080 * * ftp
ip filter dynamic 200081 * * domain
ip filter dynamic 200082 * * www
ip filter dynamic 200083 * * smtp
ip filter dynamic 200084 * * pop3
ip filter dynamic 200085 * * submission
ip filter dynamic 200098 * * tcp
ip filter dynamic 200099 * * udp
nat descriptor type 1000 masquerade
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.100/24
dns server pp 1
dns server select 500001 pp 1 any . restrict pp 1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
alarm entire off
#

書込番号:19387506

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/08 20:15(1年以上前)

 このConfig、会社側ですか?
 会社RTX810ルーターのConfigとしてでしたら、インターネット接続構成のみ(Nifty)でしたらOKです。

 追加で、IPSECトンネルのコマンド未設定ですが、下記トンネルを参考下さい。
 tunnel select 1
tunnel name tunnel1
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc sha-hmac
ipsec ike always-on 1 on
ipsec ike duration ipsec-sa 1 3600
ipsec ike duration isakmp-sa 1 3600
ipsec ike encryption 1 3des-cbc
ipsec ike esp-encapsulation 1 off
ipsec ike group 1 modp1024
ipsec ike hash 1 sha
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on dpd 10 6
ipsec ike local address 1 192.168.100.1
ipsec ike local id 1 192.168.100.0/24
ipsec ike log 1 key-info message-info payload-info
ipsec ike pfs 1 off
ipsec ike pre-shared-key 1 text (任意の暗号化キー)
ipsec ike remote address 1 (AU光のグローバルIP)
ipsec ike remote id 1 192.168.101.0/24
ipsec auto refresh 1 on
ip tunnel tcp mss limit auto
tunnel enable 1
ip filter 200014 pass * 192.168.100.1 udp * 500
ip filter 200015 pass * 192.168.100.1 esp * *
ip filter 200016 pass * 192.168.100.1 tcp * 1723
ip filter 200017 pass * 192.168.100.1 gre * *

pp select 1
ip pp secure filter in 200003 200014 200015 200016 200017 200020 200021 200022 200023 200024 200025 200030 200032
netvolante-dns hostname host pp *******
netvolante-dns go pp 1
pp select none

nat descriptor log on
nat descriptor type 1000 masquerade
nat descriptor timer 1000 600
nat descriptor timer 1000 tcpfin 30
nat descriptor timer 1000 protocol=udp port=domain 30
nat descriptor address outer 1000 ipcp
nat descriptor address inner 1000 auto
nat descriptor masquerade incoming 1000 through
nat descriptor masquerade rlogin 1000 on
nat descriptor masquerade static 1000 1 192.168.100.1 udp 500
nat descriptor masquerade static 1000 2 192.168.100.1 esp
nat descriptor masquerade session limit 1000 1 8500
ipsec auto refresh on

 上記のNetvolante-DNSのドメイン名(*******)は、任意に決めて下さい。
 自宅側のRTX810ルーターのIPSEC-VPNのトンネル接続先のドメインになります。(*******..aa0.netvolante.jp)

 コマンド投入の方法は、解りますよね?

書込番号:19387664

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/08 20:18(1年以上前)

 先ほど、Netvolante-DNSの登録→グローバルIPが変動した場合の自動監視更新の設定コマンドをわすれてました。

 以下参考に。
pp select 1
netvolante-dns hostname host pp server=1 ******.aa0.netvolante.jp

******は、先ほど登録完了しましたドメインのアカウントです。

書込番号:19387670

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/08 20:21(1年以上前)

 先ほどまでの設定が完了しましたら、静的ルーティングの設定コマンドを投入下さい。

 以下参考に。

 ip route 192.168.101.0/24 gateway tunnel 1

書込番号:19387681

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/08 20:24(1年以上前)

 あくまでも、自宅側RTX810ルーターのIPアドレス・セグメントを192.168.101.0/24、ルーター自身IPを192.168.101.1/24にて想定下さい。

書込番号:19387691

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/08 20:33(1年以上前)

 ご質問のDHCPスコープの部分については、正規です。

書込番号:19387718

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/08 22:33(1年以上前)

>sorio-2215さん

>→会社側RTX810ルーターのIPを192.168.100.1/24(DHCP192.168.100.2〜192.168.100.1へ変更。

上記部分が間違っていると思ったのですが。

DHCP192.168.100.2〜192.168.100.100 へ変更。 とすべきでないでしょうか?一応このように読み替えて設定しています。

書込番号:19388100

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/09 03:16(1年以上前)

おかげさまで会社と自宅の間に仮想専用通信網を張れたようです。自宅から会社のローカルIPアドレスを叩くと会社の機器にログインできることに「素直に感動!」です。


ありがとうございます!!


しかしルーターだけは拒否されてしまいます。

なにかログインするための設定があるのでしょうか?ご教示いただければ幸いです。

書込番号:19388569

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/09 07:08(1年以上前)

 「ルーターだけは拒否されてしまいます。」の件ですが、自宅側から会社側のRTX810ルーターのログイン出来ないと言う事ですか?

 上記の点で有れば、YamahaのWebコンソール仕様として、デフォルト値が同一LAN1インターフェイスからのみ、ログインを受け付ける設定になっております。
 コマンドから、下記の設定投入下さい。

 httpd host 192.168.100.2-192.168.100.254 192.168.101.2-192.168.101.254

 Webコンソールの設定を、インターフェイスのレベルではなく、IPアドレスでのログイン管理に変更するコマンドです。要は、会社のセグメントIPと自宅のセグメントIPを許容する様に変更すると言うことです。

 ちなみに、Webコンソールのログインではなく、ターミナルソフト(WindowsハイパーターミナルやTeraTermなど)からのログインをIPアドレス管理に変更する場合には、下記を参照下さい。

 telnetd host 192.168.100.2-192.168.100.254 192.168.101.2-192.168.101.254

 会社から、自宅のRTX810ルーターへログイン許容される場合においても、同様のコマンドが必要です。

書込番号:19388691

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/09 07:11(1年以上前)

 「会社側RTX810ルーターのIPを192.168.100.1/24(DHCP192.168.100.2〜192.168.100.1へ変更。」

 ↑ ご推察通り、当方の説明コマンドが誤入力されてました。
 DHCP192.168.100.2〜192.168.100.1へ変更 → DHCP192.168.100.2〜192.168.100.100へ変更
 上記が正規のコマンドです。

書込番号:19388695

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/09 08:35(1年以上前)

 既存のVPNでの会社・自宅の構成ですが、会社側がNiftyと言う事で留意する点として、Niftyの光NEXT回線の性能維持・向上のために、V6オプション申請をされた際に、会社RTX810ルーターにIPV6-RAプレフィックス設定をされるケースも有るかと考えますが、その際に光電話ルーターとRTX810ルーターをブランチ接続している関係上、IPV6アドレスのループ現象が発生する可能性が有ります。

 その際には、RTX810ルーターには、IPV6-RAプレフィックスのみ受信し、それ以外は拒否する設定が必要になるかもしれません。
 ※ Nifty V6プラス・・http://csoption.nifty.com/ipv6/

書込番号:19388813

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/09 09:05(1年以上前)

>sorio-2215さん

ニフティについてはまさに昨日この件でトラブルめいたことがありました。

それは本機でPPPOE接続しており、本機をネットから物理的に外したにもかかわらずPCがインターネットに繋がっていたのです。サポートに聞いても「HGWに前の設定が残っている」だの「PCから直接つながっている」だの見当はずれの回答ばかりでした。こちらが状況を何度も説明してようやくIPV6で「ニフティ側から」接続がされていることが判明。IPV6は即刻契約解除しました。

ユーザーの意思に反してネットに勝手に接続しておくサービスなどは仮に無料だからと言って許されるものではありません。

ニフティ利用者は注意した方がいいと思います。


以上余談でした。

書込番号:19388869

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/09 14:26(1年以上前)

 確認ですが、会社と自宅でRTX810ルーター同士のIPSEC-VPNトンネルでうまくいったと言う認識で宜しいでしょうか?
 会社RTX810ルーターログインも、自宅RTX810回線からログインと、LTE回線からのログインも併用出来たと言う事で宜しいでしょうか?

 VPN接続出来たと言うことで有れば、VPNトンネルを経由して、会社の利用NASやサーバの共有情報の参照や、IPカメラなどを設置された場合に、自宅やLTE回線からIPカメラの映像参照やIPカメラレコーダーなどのマルチモニター参照、録画情報の参照などの発展性が有るかと存じます。

書込番号:19389457

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/09 15:43(1年以上前)

>sorio-2215さん

はい。おかげさまで通信自体は確立しています。ただし会社内のルーターのアクセス方法の変更(特定アドレスからの許可)手続きはまだやっていないので明日以降試します。自宅のルーターの設定は完了しています。

ところで本題とちょっと外れた質問なのですが・・。

会社のNASの中に保存しているファイルを自宅のPC(win7pro)から見る方法はありませんか?会社のNAS自体にはログインできていて共有フォルダの設定等は終わったと思います。会社ではNAS内の共有フォルダは会社のPC(win7pro)のリモートドライブとしても設定しています。

ひょっとして会社のPCからフォルダに何らかの設定する必要があるのでしょうか?

希望だけカンタンに言えば自宅のPCのフォルダと同様に会社のフォルダも操作したいということです。


たびたびすみませんがご指導お願いいたします。

書込番号:19389599

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/09 16:15(1年以上前)

\\192.168.100.200\フォルダ名

たったコレだけでした!うーん、便利便利(笑)


ありがとうございました。

書込番号:19389644

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/09 17:45(1年以上前)

 社内共有フォルダと同様の感覚になるかと。
 良かったですね。

 欲を言えば、モバイルやタブレットなどのアクセスも考慮し、NASの機能にBuffalo「Webアクセス」、IO-DATA製「リモートリンク」機能などが搭載されていれば、VPN接続後でのブラウザアクセスでのファイル共用参照も可能です。

 ブラウザアクセス時でも、L2TP/IPSEC-VPN接続後、http://192.168.100.200リンクにて、ファイル共用アクセス可能です。(VPNでのセキュリティ付加ファイル共有が可能)

書込番号:19389826

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/09 17:58(1年以上前)

 もし、NiftyのV6プラスの再利用申請をされる場合には、パケットループ阻止のためのIPV6パケットフィルタの設定の見直しを考慮下さいね。

 会社・光電話ルーターとRTX810ルーターのブランチ接続の関係上、IPV6通信の排他フィルタをうまく設定されませんと、Web参照に弊害が出ることも想定されます。
 会社のNTT光電話ルーターには、IPV6ファイアーウォール機能は有りますが、NGN網での速度制限解除のため、IPV6のAny許可しか設定出来ませんので、RTX810ルーター側のIPV6パケット制限の細かな設定が必要になるかと存じます。

書込番号:19389849

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/09 19:10(1年以上前)

>sorio-2215さん

先ほど会社に行ってルーターへのIPアドレスでのアクセス許可を設定し、ログインができることを確認しました。

いろいろお世話になり、大変感謝しております。


ありがとうございました。

書込番号:19390049

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/09 20:51(1年以上前)

 良かったですね。
 
 あとは、VPNを併用しました業務系ソフトを運用しますと、業務円滑化・効率化が図れるかと存じます。

 ※ https://www.yayoi-kk.co.jp/products/interview/user/78/
 ※ http://yayoi-k.jp/yayoi-network/vpn/

 ※ 弥生販売ネットワーク版・・http://yayoi-k.jp/yayoi-network/yhnet/
 ※ 弥生会計ネットワーク版・・http://yayoi-k.jp/yayoi-network/yknet/

 Ipadなどの連携にて、販売履歴や商品在庫検索、見積履歴検索なども可能です。

 当方利用していますのは、ソリマチ「販売王」ネットワーク版、「会計王」ネットワーク版です。(サーバ有り)

 

書込番号:19390342

ナイスクチコミ!1


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/09 22:27(1年以上前)

>sorio-2215さん

あ。もう少し質問お願いします。

LTE接続のiPhoneから自宅と会社のVPNにアクセスできるようにそれぞれのルーターにRAS接続の設定をし、iPhoneにもそれぞれの接続設定を入れました。

この時、仮に自宅の回線に接続したiPhoneは自宅のローカルIPが振られ、自宅の端末として振る舞うという理解でいいですか?私の場合はどちらの回線に接続してもどちらのネットワークにも入れるのだからあまり回線の使い分けをする意義がないような気がしています。

どのような時に回線の使い分けをするのかがよくわかりません。


よろしくお願いいたします。

書込番号:19390664

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/09 22:50(1年以上前)

 うーん、表現としては難しいですが、例えば自宅にNASやサーバが有り、何らかのデータベースソフトや仕組みが有って、アクセスレスポンスとして、自宅VPNへログインした方が接続感度及び情報の参照が短縮出来たり、逆に会社にNASやサーバが有り、そちらへアクセスする場合には、会社へVPN接続する形態をイメージして頂ければと考えます。

 勿論、会社へVPNログインし、自宅側へルーティングアクセスも可能ですが、迂回している分通信レスポンスは落ちます。

 例えばこういう事例が有るのですが、会社と支店、店舗の接続端末数が多い場合に、それぞれの端末にセキュリティソフトを適用するのは、セキュリティ更新やスキャン検疫、ソフトウェア更新などが1台ずつ対応するのは、時間的に無駄ですよね?

 そういう際に、VPN接続している環境でしたら、VPNルーターの設定で、支店及び店舗がインターネット接続を、本社インターネット回線経由でアクセスする方法の設定も有ります。
 そのケースだった際に、支店側からみればVPN先のインターネット回線を使う設定(フィルター型ルーティング、ポリシールーティングと言います)構成し、その本社インターネット回線機能にセキュリティサーバやUTMセキュリティ機器を経由する様に設定すれば、会社総体のセキュリティ管理を本社端末操作で出来る形になります。

 身近な話で言うと、今回は会社のVPNルーターもRTX810で構成しましたが、会社ルーターもYamaha「FWX120」にて構成も可能だった訳ですが、自宅のRTX810ルーター回線を会社FWX120のゲートウェイ経由で、セキュリティ機能付きインターネット接続形態も採れた訳です。
 
 ※ http://www.trendmicro.co.jp/jp/business/products/tmwsyr/

 ※フィルタ型ルーティング・・http://www.rtpro.yamaha.co.jp/RT/docs/filter-routing/filter-routing.html
 ↑サイトを見て頂ければ類推可能かと思いますが、支店も本社経由アクセス「例3.拠点からVPN接続しているセンター経由でインターネット接続を行う場合」のケースが構成可能です。

 要は、利用しますVPNネットワークの追加構成及び端末の仕組みによって、セキュリティソフトの機能もPC端末にインストールしなくても、セキュリティ検疫出来るシステムの適用だったり、柔軟な構成を採れる運用をイメージ下さればと考えます。

書込番号:19390761

ナイスクチコミ!1


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/09 22:57(1年以上前)

 ご質問の 「この時、仮に自宅の回線に接続したiPhoneは自宅のローカルIPが振られ、自宅の端末として振る舞うという理解でいいですか?私の場合はどちらの回線に接続してもどちらのネットワークにも入れるのだからあまり回線の使い分けをする意義がないような気がしています。」
 
 ↑の件ですが、L2TP/IPSECリモートアクセス認証されますと、VPNルーターから許容IPアドレスが振られる形で合っています。
 
 使い分けの要素ですが、先刻の専用アプリケーション・システムやセキュリティ機能、特定のソフトや仕組みを稼働させるインフラとして考慮下さればと言う事です。

書込番号:19390784

ナイスクチコミ!2


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/11 15:51(1年以上前)

>sorio-2215さん

お世話になります。今回のネットワークの変更により会社では以前まで使えていたアイフォンのwifiが使えなくなってしまっています。

ネットワーク構成
フレッツ光ネクスト--- RT-500KI --- RTX810 --- WZR-600DHP3 --- iPhone6

◎無線親機の情報
製品名 WZR-600DHP3 Version 2.16 (R0.01/B0.01-1.00)

エアステーション名 WZR-600DHP3
動作モード アクセスポイントモード
LAN
IPアドレス取得方法 手動設定
IPアドレス 192.168.100.100
サブネットマスク 255.255.255.0
デフォルトゲートウェイ 192.168.100.1
DNS(プライマリー) 192.168.100.1
DNS(セカンダリー) 未設定
MTU値 1500

◎アイフォンのwifiの情報
IPアドレス:空白
サブネットマスク:空白
ルーター:空白
DNS:IPV6のアドレス
検索ドメイン:flets-east.jp,iptvf.jp
クライアントID:空白

この状態でアイフォンは無線親機に接続されますがローカルにもインターネットにも入れません。DNSもなぜIPV6なのか?RTX810がアドレスを割り振っていないのでしょうか?

自宅のwifiは問題なく使えますからアイフォンには問題ないと思います。


何かわかることがあればご助言お願いします。

書込番号:19394880

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/11 17:04(1年以上前)

補足です。

無線アクセスポイント自体はインターネットに出られることをログや実際のNTPへの接続から確認しています。

書込番号:19395014

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/11 17:30(1年以上前)

>sorio-2215さん

◎アイフォンのwifiの情報

を見て思いつきました。おそらくHGWとルーターのLANポートを繋いだケーブルが影響しているなと。そこでケーブルを外したところみごとWIFI復活です。

しかし当然ながら今度はPCからHGWにアクセスできなくなります。

対処方法はあるのでしょうか??


いつもスミマセンがよろしくお願いいたします。

書込番号:19395064

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/11 20:40(1年以上前)

 確認ですが、光電話ルーターのDHCPサーバ機能は、無効化されていますでしょうか?

 DHCP重複動作・IPセグメント重複動作と思われる動作も考えられます。

 それと、IphoneなどのIOS搭載モバイルは、一度無線LAN接続設定を投入しますと、以前のネットワーク情報が残留し、ネットワーク障害になるケースが有ります。

 Iphoneの無線LAN設定を一度削除し、再接続していただけますか?

 それと、Buffaloルーターに割り当てしています、IPアドレス192.168.100.100は、他の端末で割り当てされていると言う事は無いでしょうか?

 

書込番号:19395514

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/11 20:43(1年以上前)

 補足です。
 IOSのバージョンによって、無線LAN切替・DHCP取得クライアント機能に問題が有るケースが有ります。

 IOSのバージョンが古ければ、新規バージョンに更新出来ますでしょうか?

書込番号:19395522

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/11 20:52(1年以上前)

 補足Aです。

 NGN光電話の仕様から、光電話の接続機能としてNGNでのIPV6-DHCPv6通信網から、光IP電話・SIPサーバへ接続認証されている規格になります。

 IPV6-DHCPv6網のアドレスを配下PC及び無線LAN端末へ停止する形をお試し下さい。
 
 光電話ルーターの詳細設定から、IPV6パケットフィルタ機能にてエントリ追加→・ルールNo:→[1]→・フィルタ種別:→[廃棄]→・プロトコル:→[any]→・通信方向:→[両方向]→・TCPフラグ:→[指定しない]→・送信元IPv6プレフィックス/プレフィックス長:→[any/any]→・宛先IPv6プレフィックス/プレフィックス長:→[any/any]→・送信元ポート:→[any]→・宛先ポート:→[any]→・ICMP v6タイプ:→[any]→・ICMP v6コード:→[any]

 上記の設定を確認、更にBuffaloルーターのIPV6ブリッジ機能を停止してみて下さい。

書込番号:19395554

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/11 23:38(1年以上前)

>sorio-2215さん

>>確認ですが、光電話ルーターのDHCPサーバ機能は、無効化されていますでしょうか?

無効にしているハズです。確かめます。

>>DHCP重複動作・IPセグメント重複動作と思われる動作も考えられます。

心配なのが本機のDHCPの第4セグメントの範囲を2〜100としていますが、固定してあるAPポイントが100と重複していることです。しかし実際の重複はないはずです。

>>iphoneの無線LAN設定を一度削除し、再接続していただけますか?

これは一番最初に試したことです。

>>IOSのバージョンが古ければ、新規バージョンに更新出来ますでしょうか?

iOS9.2 です。つまり最新です。

残りの項目は明日調べてみます。


ありがとうございます。

書込番号:19396053

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/12 08:54(1年以上前)

 念のため、BuffaloルーターのIPアドレスをDHCP範囲外のIPへ変更願います。
 ※ 光電話ルーターが、192.168.100.254/24ですので、192.168.100.253/24など。

 Buffaloの場合、DHCPクライアント機能に一定のクセ・不具合が有ったりしますので、まずは確認下さい。
 それと、フレッツ光系の場合、MTU数値は1,454が最適値です。そのあたりの確認も願います。
 Buffaloの特定機種によっては、IPV6ブリッジでの通信拒否がうまく出来ないタイプも有った記憶が有ります。

 RTX810ルーターの場合、下記にて設定します。
 pp select 1
ip pp mtu 1454

 BuffaloルーターのアクセスポイントのMTU設定も同時に確認願います。

 当方確認での経験則ですが、NEC系無線ルーターでしたら、同様の構成でも特に問題有りませんです。
 ※ NTT光電話ゲートウェイ 「OG410Xi」及び「OG410Xa」、「PR-500KI」、 配下VPNルーター「RTX1210」、「RTX1200」、「RTX810」、NEC「UNIVERGE iX2215」、「UNIVERGE iX2105」

書込番号:19396617

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/12 11:07(1年以上前)

>sorio-2215さん

毎度お世話になります。

さまざまな事項を再度確認したり、ご指導の通り設定を変更しましたがwifiについては全く改善していません。

ところで念のために確認しておきたいのですが、配線の変更による状況は下記の通りです。

◎パターン1
rtx810のWAN→rt500kiのLAN1
rtx810のLAN→rt500kiのLAN2

この状態では
・PCからrt500kiへのアクセス可能
・アイフォンによるwifi接続不可

◎パターン2
rtx810のWAN→rt500kiのLAN1
rtx810のLAN→接続なし

この状態では
・PCからrt500kiへのアクセス不可
・アイフォンによるwifi接続可能

個人的には「パターン2」でwifiもHGWへのアクセスもできればうれしいです。

書込番号:19396977

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/12 12:22(1年以上前)

 補足です。
 ※ http://www.rtpro.yamaha.co.jp/RT/docs/ipsec/dpd.html

書込番号:19397172

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/12 12:47(1年以上前)

 Buffalo独自のDNSループバックエラーの要素かと考えます。

書込番号:19397223

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/12 12:59(1年以上前)

 BuffaloルーターのDNS問合せ機能に依存させたくない(RTX810でのDNSサーバ問合せ機能に配下ネットワーク端末遅延させない)場合には、RTX810ルーターのDNSサーバをAUTOではなく、手動設定しBuffaloルーターのDNSサーバを所定の192.168.100.1に戻したい場合には、RTX810ルーターのDNSサーバを固定のアドレスを指定変更してみて下さい。

 DNSサーバ固定設定Config、下記にて。

 provider dns server pp 1 1 → provider dns server 1 202.248.37.74 202.248.20.133
dns server pp 1 → dns server 202.248.37.74 202.248.20.133
 dns server select 500001 pp 1 any . restrict pp 1 → 
 dns server select 500001 202.248.37.74 202.248.20.133 any . restrict pp 1

書込番号:19397259

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/12 14:11(1年以上前)

>sorio-2215さん

アドバイスありがとうございます。

私はネットワーク技術者でないのでコマンド投入等でなく、かんたん設定の範囲で作業したいという希望があります。現時点で私の理解能力をオーバーしつつあることに危惧しています。

今回のトラブル原因がバッファローの無線親機のバグとのことでしたら別の無線親機に変更すれば現在の設定と配線で私の希望動作が叶うとの理解でいいでしょうか?もしできるのならば無線親機を変更します。適当な機種をご推薦願えますか??

無線親機としての仕様は11acが使え、なるべく遠距離まで通信ができるものがいいです。単なるAPで結構です。


よろしくお願いいたします。

書込番号:19397396

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/12 23:14(1年以上前)

 申し訳御座いません。
 当方、ネットワーク系及びPBX系のサービス系業務をやっている立場でしたが、既存のご利用の機器にて、出来るだけ追加コストをかけず、最善の性能が出る構成をお伝えしたつもりでしたが。

 Yamahaと親和性が良いタイプで、長距離無線LAN系となると、有線LANスイッチング性能が良いタイプが主体になります。(Yamaha自体、LAN→WAN及びWAN→LANのキャッシュ機能が、独自の技術を採用している為(ファストパス機能)、NEC系若しくはYamaha系が主体になります。

 残念ながらBuffalo系は元々、有線LANスイッチング性能と無線LAN性能のバランスが良くない機種が多く、ご予算に応じての話となりますが、NECであれば「PA-WG2600-HP」、「PA-WG1800-HP2」、Yamaha系で言うと「WLX302」等がお勧めとなります。
 ネックの要素が、有線LANスイッチング性能及びスループットがある程度のスペックが基準になります。

 確認ですが、接続しています無線LANクライアントは、Iphoneのみでしょうか?
 無線LAN端末台数や特定機種によっての選択肢になるかと考えますが、その要素もある程度お教え下さい。
 

書込番号:19398892

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/12 23:18(1年以上前)

 補足です。
 購入選択肢の前に、比較的安易なコマンドですが、YamahaデフォルトのIPパケット伝送機能である、ファストパス機能をLOW側へ投入変更可能でしょうか?

 それを同時にお試し下さると良いかと考えます。
 ※ ip routing process normal を投入。

書込番号:19398911

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/12 23:52(1年以上前)

>sorio-2215さん

いつもありがとうございます。

コマンドの投入自体はカンタンにできますが、結局はただのコピペ作業であって、自分で理解して実行したものでないので、いったん躓くとどうにもならなくなる恐怖があります。ですから無線親機の交換で済むのならそっちを選択します。

つかう端末はアイフォン1〜2台です。

本機と相性のよい安価な無線親機をご推薦願います。価格は2万までですね。

書込番号:19399037

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/12 23:56(1年以上前)

>sorio-2215さん

話が若干戻ります。

会社のHGWに自宅からアクセスできないことに気づきました。アイフォンによるLTEを使った接続でも同様にできません。会社の他のネットワーク機器にはアクセスできます。会社の中からはHGWにアクセス可能です。

心当たりがありましたら教えてください。


よろしくお願いします。

書込番号:19399050

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/13 02:58(1年以上前)

 確認ですが、先刻光電話ルーターのLAN側静的ルーティングと、IPSECトンネルのキープアライブ調整のメッセージ投稿しておりましたが、メッセージ削除されていますが、光電話ルーターのLAN側静的ルーティング設定にて、エントリ番号(1)→宛先IPアドレス/マスク長(192.168.100.0/24)→デフォルトゲートウェイ(192.168.100.1)の登録はされましたか?

 基本的には、静的ルーティング投入しても、投入後に有効/無効にチェックを入れないと、機能有効になりませんが、先ずは投入済みでしたら、有効にチェックして自宅からアクセスしてみる、動作上変わらない状態でしたら、ルーティング・エントリを削除して自宅からアクセスをお試し下さい。

 光電話ルーターの特定機種により、ルーティングさせた方が安定する機種と相違機種が有ります。

 自宅から光電話ルーターにアクセス不能と言うことは、ARP経由での光電話ルーターのMACアドレス学習でのIPアドレス参照の要素がうまくいっていない状態かと考えます。
 一時的な動作の可能性も有りますので、可能でしたら、光電話ルーターとRTX810ルーターの電源再起動をお試しする形が、最終的な話になりますが。

書込番号:19399367

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/13 03:02(1年以上前)

 推奨無線ルーターの件ですが、先刻の「PA-WG2600HP」、「PA-WG1800-HP2」がギリギリの線かと考えます。

 それと、私の説明の追加Configの兼ね合いが有りますので、全体のConfigをプロバイダ情報やIPSEC暗号化キー、Netvolante-DNSアカウントなどを伏せて、再度念のためお教え願いますでしょうか?

書込番号:19399370

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/13 09:56(1年以上前)

 特定用件に応じた、VPNルーターのネットワーク構成についてですが、Webコンソールから設定出来る要素に、一定の制限が有りますので、ある程度余裕の有る時間に、コマンド・コンソールでの設定事項を理解する形が望ましいかと考えます。

 一度に全ての機能・仕様を覚えるのは、時間がかかりますので、Yamahaコマンド・リファレンスを少しずつ消化される形が良いかと考えます。

 以下参考サイトにて。
 ※ http://www.rtpro.yamaha.co.jp/RT/manual/rt-common/Cmdref.pdf#search=%27RTX810+%E3%82%B3%E3%83%9E%E3%83%B3%E3%83%89%27
 ※ http://y-router.com/

書込番号:19399869

ナイスクチコミ!1


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/13 11:32(1年以上前)

>sorio-2215さん

>>光電話ルーターのLAN側静的ルーティング設定にて、エントリ番号(1)→
>>宛先IPアドレス/マスク長(192.168.100.0/24)→デフォルトゲートウェイ(192.168.100.1)の登録はされましたか?

やってみましたが「同一ネットワーク内なのでできない」みたいなエラーでしたよ。

無線親機の推薦ありがとうございます。どちらかを買うことにします。

書込番号:19400138

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/13 11:49(1年以上前)

ip routing process normal
ip route default gateway pp 1 filter 500000 gateway pp 1
ip route 192.168.101.0/24 gateway tunnel 1
ip lan1 address 192.168.100.1/24
ip lan1 proxyarp on
provider type isdn-terminal
provider filter routing connection
provider lan1 name LAN:
provider lan2 name PPPoE/0/1/5/0/0/0:Nifty
provider ntpdate ntp.nict.jp
pp select 1
pp name PRV/1/1/5/0/0/0:Nifty
pp keepalive interval 30 retry-interval=30 count=12
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname *****@nifty.com *******
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
ip pp secure filter in 200003 200020 200021 200022 200023 200024 200025 200030 200032 200080 200081 200082 200083
ip pp secure filter out 200013 200020 200021 200022 200023 200024 200025 200026 200027 200099 dynamic 200080 200081 200082 200083 200084 200085 200098 200099
ip pp nat descriptor 1000
netvolante-dns hostname host pp server=1 *******.***.netvolante.jp
pp enable 1
provider set 1 Nifty
provider dns server pp 1 1
provider select 1
pp select anonymous
pp name iPhone用
pp bind tunnel2
pp auth request chap-pap
pp auth username admin *******
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(会社)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.100.1
ipsec ike local name 1 *******.***.netvolante.jp key-id
ipsec ike pre-shared-key 1 text *******
ipsec ike remote address 1 ***.***.***.***
ip tunnel tcp mss limit auto
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text *******
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp keepalive use on
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 200000 reject 10.0.0.0/8 * * * *
ip filter 200001 reject 172.16.0.0/12 * * * *
ip filter 200002 reject 192.168.0.0/16 * * * *
ip filter 200003 reject 192.168.100.0/24 * * * *
ip filter 200010 reject * 10.0.0.0/8 * * *
ip filter 200011 reject * 172.16.0.0/12 * * *
ip filter 200012 reject * 192.168.0.0/16 * * *
ip filter 200013 reject * 192.168.100.0/24 * * *
ip filter 200020 reject * * udp,tcp 135 *
ip filter 200021 reject * * udp,tcp * 135
ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 200024 reject * * udp,tcp 445 *
ip filter 200025 reject * * udp,tcp * 445
ip filter 200026 restrict * * tcpfin * www,21,nntp
ip filter 200027 restrict * * tcprst * www,21,nntp
ip filter 200030 pass * 192.168.100.0/24 icmp * *
ip filter 200031 pass * 192.168.100.0/24 established * *
ip filter 200032 pass * 192.168.100.0/24 tcp * ident
ip filter 200033 pass * 192.168.100.0/24 tcp ftpdata *
ip filter 200034 pass * 192.168.100.0/24 tcp,udp * domain
ip filter 200035 pass * 192.168.100.0/24 udp domain *
ip filter 200036 pass * 192.168.100.0/24 udp * ntp
ip filter 200037 pass * 192.168.100.0/24 udp ntp *
ip filter 200080 pass * 192.168.100.1 udp * 500
ip filter 200081 pass * 192.168.100.1 esp * *
ip filter 200082 pass * 192.168.100.1 udp * 1701
ip filter 200083 pass * 192.168.100.1 udp * 4500
ip filter 200098 reject-nolog * * established
ip filter 200099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 200080 * * ftp
ip filter dynamic 200081 * * domain
ip filter dynamic 200082 * * www
ip filter dynamic 200083 * * smtp
ip filter dynamic 200084 * * pop3
ip filter dynamic 200085 * * submission
ip filter dynamic 200098 * * tcp
ip filter dynamic 200099 * * udp
nat descriptor type 1000 masquerade
nat descriptor masquerade static 1000 1 192.168.100.1 udp 500
nat descriptor masquerade static 1000 2 192.168.100.1 esp
nat descriptor masquerade static 1000 3 192.168.100.1 udp 1701
nat descriptor masquerade static 1000 4 192.168.100.1 udp 4500
ipsec auto refresh on
ipsec transport 2 2 udp 1701
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.99/24
dns server pp 1
dns server select 500001 pp 1 any . restrict pp 1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on
httpd host 192.168.100.2-192.168.100.254 192.168.101.2-192.168.101.254
alarm entire off
#

書込番号:19400187

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/13 14:35(1年以上前)

 再Config確認致しました。
 Webコンソールとして、設定可能な情報としてはごく一般的なConfigですので、設定上の瑕疵などは無いかと存じます。

 気になる点としては、NATセッションタイマー等の挙動調整は、後々覚えておいた方が良いかもしれません。
 ルーターのWAN→LAN、LAN→WANの通信に影響するケースになるかと存じます。

 下記参考下さい。
 ※ nat descriptor timer 1 protocol=udp port=domain 30
    nat descriptor timer 1 protocol=tcp port=80 120
    nat descriptor timer 1 protocol=tcp port=443 120

  ↑ NATセッション消費による、インターネット接続及びIPSEC、L2TP/IPSECリモートアクセス全体に影響します。上記の末尾にポート毎の秒設定で、無通信での切断タイマーの設定が可能です。
 ご指摘のConfigで言うと、NATタイプが1000エントリールールになっておりますので、「nat descriptor timer 1000 protocol=udp port=domain 30」などが正規のコマンドになります。

 更に、RTX810ルーターのNATセッション機能は、最大10,000となっておりますが、NATセッションの変換ルールが残り10%を切ったあたりから、暴走や誤動作するケースが有りますので、最大NATセッションのリミット設定をしておくと、ルーター自身の安定性が変わります。
  
 ※ nat descriptor masquerade session limit 1000 1 8500等へ設定。
 ↑ RTX810は、デフォルトで最大10,000フルに利用する設定になっております。

書込番号:19400545

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/14 12:32(1年以上前)

>sorio-2215さん

お世話になります。

昨日のトラブル?について、対処方法を教えてくださいますか?

>>光電話ルーターのLAN側静的ルーティング設定にて、エントリ番号(1)→
>>宛先IPアドレス/マスク長(192.168.100.0/24)→デフォルトゲートウェイ(192.168.100.1)の登録はされましたか?

やってみましたが「同一ネットワーク内なのでできない」みたいなエラーでしたよ。


よろしくお願いいたします。

書込番号:19403208

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/14 12:50(1年以上前)

 この静的ルーティングの設定ですが、光電話ルーターの機種によっての機能差異が有り、同一セグメントでも適用出来る機種と出来ない機種が有ります。

 ご利用の光電話ルーターですと、出来ない機種なるかと想定されます。

 解りやすく言うと、ご利用の光電話ルーターは、RTX810ルーターのIPセグメントと相違IPアドレス条件において、それぞれのIPセグメントをルーティングさせる機能になるかと判断出来ます。

 この機能を有効にする為には、RTX810ルーターが192.168.100.1/24ですので、光電話ルーターを192.168.103.1/24に変更設定(LAN→WAN・RTX810配線、LAN→LAN・RTX810配線条件)にて、宛先IPアドレス/マスク長(192.168.100.0/24)→デフォルトゲートウェイ(192.168.100.1)と言う設定をしますと、RTX810のセグメントから見て、192.168.103.1/24へのアクセスが有った際に、そのセグメントのIPへルーティングさせる機能かと存じます。

 この光電話ルーターのLAN側ルーティング設定は、通常のスタティック・ルーティングと挙動が違うタイプも有りますので、設定してみないと、うまくルーティングさせるかどうかは流動的です。

 つまり、自宅RTX810のIPSECトンネル経由で、192.168.103.1/24へアクセスしました際に、うまくルーティングされるかどうかと言う点、会社RTX810の配下端末192.168.100.***/24から、192.168.103.1/24アクセスでのルーティングにて、光電話ルーターの設定画面表示が出来るかどうかになるかの判断になると存じます。

書込番号:19403267

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/14 12:53(1年以上前)

 通常は、あまりルーティングさせる意図と意味が無い構成かと考えますので、ごく一般的には、光電話ルーターのIPを192.168.100.254/24などの192.168.100系のセグメントに合わせるのが通例かと考えます。

書込番号:19403276

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/14 12:57(1年以上前)

 もし、光電話ルーターのIPを192.168.103.1/24などへ変更された際には、自宅からアクセスする際に、自宅RTX810ルーターのIPSECトンネル側へ192.168.103.1/24の通信がルーティングさせないといけませんので、自宅RTX810ルーターのIPSECトンネルの静的ルーティングを追加登録下さい。

 ※ ip route 192.168.103.0/24 gateway tunnel 1

 自宅RTX810ルーターのトンネルエントリー番号が、1番の場合での追加静的ルーティング設定コマンドになります。

書込番号:19403288

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/14 14:12(1年以上前)

>sorio-2215さん

毎回丁寧なご指導ありがとうございます。

HGW・LAN→WAN・RTX810
HGW・LAN→LAN・RTX810

上記の配線で

・PCからHGWへアクセスでき、
・無線AP経由でアイフォンがインターネットに出られる

ことがNECの無線APを買えば解決するとのことですよね?あまり自分に理解不能な設定は入れたくないのでなるべく現状の設定を維持します。

※無線APは PA-WG1800HP2 を注文しました!

届いたらバッファローのと交換して様子を確かめます。


いつもありがとうございます。

書込番号:19403433

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/14 17:53(1年以上前)

 了解です。
 NEC系無線ルーターだけではなく、ネットワーク機器に総体して言える事ですが、NEC無線ルーターが届きましたら、BRモードへ変更→WG1800HP2ルーターの初期IPアドレス(192.168.1.210/24)を192.168.100.210/24等へ変更、デフォルトゲートウェイ192.168.100.1、プライマリDNS192.168.100.1へ固定設定、時刻補正の設定もNTPサーバへ合わせる設定をしておく形がベストと存じます。

 ネットワーク機器の挙動と安定性に、時刻の設定も関係している事案となりますが、Yamahaルーターには自身がNTPサーバとなる機能が有ります。
 既存の会社RTX810ルーターには、NICTサーバへ自動同期する設定が投入されていますが、追加でYamahaのSNTPサーバー機能を有効にしておく事で、無線ルーターの時刻補正のNTPサーバアドレス設定を192.168.100.1の登録しておく形で、時刻補正連動する形になります。

 Yamahaルーターが、NTPサーバとなるコマンドです。
 ※ sntpd service on → sntpd host lan1

 上記の設定を追加しておく事で、配下無線ルーターのNTPサーバの設定は、192.168.100.1と登録しておけばOKです。

書込番号:19403928

ナイスクチコミ!1


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/17 23:09(1年以上前)

>sorio-2215さん

HGW・LAN→WAN・RTX810
HGW・LAN→LAN・RTX810

上記の配線で

・PCからHGWへアクセスでき、
・無線AP経由でアイフォンがインターネットに出られる

ことが望みで無線APは PA-WG1800HP2 を購入しました。しかし結局はバッファローの無線APと全く挙動が同じでした。つまり「HGW・LAN→LAN・RTX810」を外さないとwifiの通信ができません。

無線APはブリッジモード。その他の設定も教えられたとおり入れています。

何か足りない設定がありそうです。


アドバイスよろしくお願いします。

書込番号:19413815

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/17 23:25(1年以上前)

現在の状態です。

装置名 ATERM-7E13C1
ファームウェアバージョン 1.0.12
動作モード ブリッジモード
IPアドレス/ネットマスク 192.168.100.100/24
ゲートウェイ 192.168.100.1
プライマリDNS 192.168.100.1

書込番号:19413881

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/18 09:47(1年以上前)

 無線LANルーター交換後での無線LANネットワークでは、光電話ルーターログイン可能でしょうか?
 ※ http://192.168.100.254でのログイン。
  RTX810ルーターとしては、Webからのコンソール設定瑕疵は無い状態ですので、光電話ルーターのIPアドレスを返すDNS応答機能に問題が有る可能性が有ります。
 無線LAN交換後に、無線LANからアクセス可能の場合には光電話ルーターのDNS応答機能に問題が有るケースが考えられます。
 通常は、光電話ルーターのDHCP機能を有効にすると、DNSサーバは光電話ルーターのDNSサーバが固定設定されてしまうのですが、DHCP機能を無効化すると、DNSサーバは同一LAN内のRTX810ルーターのDNSを利用する形に置き換わる筈なのですが。

 確認ですが、光電話ルーターの詳細設定→DNS設定→ドメイン(*)→プライマリDNSを192.168.101.1と登録出来ませんでしょうか?
 他の光電話ルーターでしたら、ドメイン指定しなくても、DNSのみリレーする設定が可能なのですが。

 それと、自宅側のRTX810ルーターの設定トンネルの静的ルーティング設定が消えている・間違っていると言う事は有りませんでしょうか?
 ※ 自宅RTX810ルーターのIPSECトンネルエントリー番号が1番の場合、 ip route 192.168.100.0/24 gateway tunnel 1
 更に、ProxyARP代理応答設定は、それぞれのRTX810ルーターに投入されているかも確認下さい。

 ※ ip lan1 proxyarp on

 上記の件を確認の上、光電話ルーターのDNS引き当ての関係で、IPSECトンネルからのログインが出来ない場合には、何らかの要素にて光電話ルーターの内部に以前の光電話ルーター自身のDNS情報が残留しており、うまくルーティング出来ない状態になっている可能性が有ります。

 DNSでのルーティング周りの問題となると、先刻の光電話ルーターのLAN側静的ルーティングの方法しか無いかもしれません。
 光電話ルーターのIPアドレスを現状の192.168.100.254/24(DHCP無効)から、192.168.103.1/24(DHCP有効)に設定し、LAN側静的ルーティングに宛先アドレス(192.168.100.0/24)デフォルトゲートウェイ(192.168.100.1)と登録下さい。
 
 上記の設定確認後に、自宅RTX810ルーターのIPSECトンネルエントリに追加静的ルーティングを登録下さい。
 ※ ip route 192.168.103.0/24 gateway tunnel 1

 上記の設定にて、無線LANルーター経由アクセスと自宅端末からのアクセスは、http://192.168.103.1にてアクセス可能になるかと存じます。

 自宅RTX810ルーターのトンネル情報につきましては、自宅RTX810ルーターのトンネルConfigに併せて任意変更が必要ですので、自宅RTX810ルーターの総体Config(重要事項は伏せ字で構いません)をお教え下さい。

書込番号:19414630

ナイスクチコミ!1


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/18 10:16(1年以上前)

 先ほど伝え忘れました。
 光電話ルーターの静的ルーティング形式へ変更された場合、NEC無線ルーターのセカンダリDNSに192.168.103.1を追加登録下さい。

書込番号:19414681

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/18 11:32(1年以上前)

 先刻の説明間違っておりました。

 (誤) 確認ですが、光電話ルーターの詳細設定→DNS設定→ドメイン(*)→プライマリDNSを192.168.101.1と登録出来ませんでしょうか?

 (正)  確認ですが、光電話ルーターの詳細設定→DNS設定→ドメイン(*)→プライマリDNSを192.168.100.1と登録出来ませんでしょうか?

書込番号:19414812

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/18 12:57(1年以上前)

なぜ自宅のルーターの設定が必要なのかわかりませんが、公開しますね。

ip route default gateway 192.168.0.1
ip route 192.168.100.0/24 gateway tunnel 1
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ip lan1 address 192.168.101.1/24
ip lan1 proxyarp on
ip lan2 address 192.168.0.254/24
ip lan2 secure filter in 101003 101020 101021 101022 101023 101024 101025 101030 101032 101080 101081 101082 101083
ip lan2 secure filter out 101013 101020 101021 101022 101023 101024 101025 101099 dynamic 101080 101081 101082 101083 101084 101085 101098 101099
ip lan2 nat descriptor 200
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:DHCP
provider ntpdate ntp.nict.jp
pp select anonymous
pp name L2TP/IPsec
pp bind tunnel2
pp auth request chap-pap
pp auth username ***** ******
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.101.1
ipsec ike pre-shared-key 1 text ******
ipsec ike remote address 1 any
ipsec ike remote name 1 ***.***.netvolante.jp key-id
ip tunnel tcp mss limit auto
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text ******
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp keepalive use on
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.101.0/24 * * * *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.101.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.101.1 udp * 500
ip filter 101081 pass * 192.168.101.1 esp * *
ip filter 101082 pass * 192.168.101.1 udp * 1701
ip filter 101083 pass * 192.168.101.1 udp * 4500
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
nat descriptor masquerade static 200 1 192.168.101.1 udp 500
nat descriptor masquerade static 200 2 192.168.101.1 esp
nat descriptor masquerade static 200 3 192.168.101.1 udp 1701
nat descriptor masquerade static 200 4 192.168.101.1 udp 4500
ipsec auto refresh on
ipsec transport 2 2 udp 1701
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.101.2-192.168.101.100/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on
httpd host 192.168.100.2-192.168.100.254 192.168.101.2-192.168.101.254
alarm entire off
#

書込番号:19415020

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/18 14:01(1年以上前)

 今の自宅のConfig構成ですと、192.168.100.0/24宛てのアクセスは、会社側のIPSECトンネル側へルーティングされますが、光電話ルーターのLAN側静的ルーティング設定をイメージ頂き、光電話ルーターのIPを192.168.103.1/24にすると、自宅側のIP192.168.101.0/24から192.168.103.0/24へは、ルーターの内部処理として、今のままですと、ルー-ティング経路が解らない為です。

 光電話ルーターのIPを192.168.103.1/24にして、光電話ルーターのLAN側静的ルーティングの設定をしますと、192.168.100.0/24と192.168.103.0/24はそれぞれルーティングされますが、192.168.100.1/24であるRTX810ルーターの応答経路として、IPSEC側から通信されてこないと、光電話ルーター側へルーティングされません。

 よって、自宅RTX810ルーターの配下端末から、192.168.103.1へのアクセスが有った際に、自宅ルーターの経路確保として、IPSECトンネル側へルーティングされないと、用途不明IPアドレスとして処理されてしまいますので、自宅RTX810ルーターのIPSECトンネル側へ追加ルーティング登録が必要になるわけです。

 自宅RTX810ルーターのConfig確認致しました。

 通常の光電話ルーター以外のルーティング設定(ip route 192.168.100.0/24 gateway tunnel 1)はされていますが、同一トンネル網には、192.168.103.1のルーティング記述が無いですので、追加で「ip route 192.168.103.0/24 gateway tunnel 1」が必要になります。

 Yamahaルーター含め、SOHO向けルーターには、IPセグメントそれぞれのルーティング設定を追加するのは、対応していますので、自宅RTX810ルーターへの192.168.103.0/24へのルーティングを登録下さい。

 先刻の対話の通り、RT-500KIには、DNS周りのルーティングにクセが有る様ですので、光電話ルーターのIPを192.168.103.1/24(DHCP有効)という構成で有れば、DNSが関係無くLAN側静的ルーティング機能を併用する事で、同一セグメント処理されるかと存じます。
 上記の光電話ルーターのLAN側静的ルーティングの条件において、IPアドレス範囲が違うオークテットでないと、ルーティング設定出来ませんが、光電話ルーターのLAN側静的ルーティングの範囲は、あくまでも物理的に会社RTX810ルーターのハブポート接続の機器に制限されているかと存じます。

 それを、自宅RTX810ルーターからのルーティングも同列に扱う処理として、対応します設定になります。

書込番号:19415151

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/18 14:04(1年以上前)

 上記内容が、会社無線ルーターからのインターネット接続経路と、トンネルアクセス経路を正規化し、会社RTX810ルーターでの無線LANインターネット接続でのDNS引き当て対策になります。

書込番号:19415154

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/18 14:17(1年以上前)

 静的ルーティングの基本概念につきましては、下記を参考下さい。

 ※ http://www.mm-labo.com/computer/tcpip/routing/staticroutinganddynamicrouting.html
 ※ http://www.infraexpert.com/study/routing3.html

 IPセグメントでの一定の制約や制限が有る場合に、よく採用される構成です。
 

書込番号:19415182

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/18 16:00(1年以上前)

 会社、自宅、無線LANルーターそれぞれ、安定稼働後の設定情報のバックアップは設定メニューから可能かと存じますので、一度バックアップしておいた方が良いかと考えます。

 Yamahaについては、Config-TEXT形式の情報保存の他に、設定ファームウェア形式のバックアップも可能です。
 NEC無線ルーターにおきましては、設定値の保存がメンテナンスメニュー内に有ります。
 NTT光電話ルーターも、内部OSはNEC系のOEMですので、同様にメンテナンスメニュー内での設定値の保存が可能です。

書込番号:19415377

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/18 18:31(1年以上前)

>sorio-2215さん

お世話になります。

>>無線LANルーター交換後での無線LANネットワークでは、光電話ルーターログイン可能でしょうか?
>> ※ http://192.168.100.254でのログイン。

「HGWアクセス用LANケーブルを外して」試しました(そうしないとネットに繋がらないため)。
アイフォンからは繋がりません。もちろんPCからも繋がらなくなりました。

>> 確認ですが、光電話ルーターの詳細設定→DNS設定→ドメイン
>>(*)→プライマリDNSを192.168.101.1と登録出来ませんでしょうか?

ドメイン:*(←そもそも「*」や「*.」は認めないとの注釈がありました)
プライマリDNS:192.168.101.1

の登録はできませんでした。


【重要なお願い】

シロウトなものであまり大量に教えていただいても混乱します。

設定すべき事柄だけを「箇条書」で書いていただけると理解しやすくなります。

取りあえず自宅からの通信がダメになっても良いです。「会社の設定だけ」教えてください。


たびたびスミマセンが、よろしくお願いします。

書込番号:19415670

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/18 19:04(1年以上前)

  無線LANルーター交換後での無線LANネットワークでは、光電話ルーターログイン可能でしょうか?
   ※ http://192.168.100.254でのログイン。

 ↑ の件は、LANケーブルを接続すれば接続出来ると言う事ですね?

 
 確認ですが、光電話ルーターの詳細設定→DNS設定→ドメイン
  (*)→プライマリDNSを192.168.101.1と登録出来ませんでしょうか? 
 
 ↑ ドメイン固定でのDNS指定しか出来ない機種と言う事ですね。(この方法は却下ですね)


 上記の内容から、下記を対応策として実施下さい。(説明済みですが)

 @ 光電話ルーターのIPアドレスを192.168.100.254/24から192.168.103.1/24へ変更(DHCPサーバ有効化)
 A 光電話ルーターの詳細設定から、LAN側静的ルーティング設定にて、宛先アドレス(192.168.100.0/24)、ゲートウェイを192.168.100.1を登録。
 B LAN側静的ルーティング登録後に、有効・無効のチェック箇所をチェック投入→設定反映。
 C 光電話ルーターのLAN端子と、会社RTX810ルーターのLAN端子を接続。
 D 自宅RTX810ルーターのトンネル・静的ルーティング設定を追加 → 「ip route 192.168.103.0/24 gateway tunnel 1」
 E NEC無線ルーターのクイック設定Webにて、基本設定からセカンダリDNSに192.168.103.1を登録。

 上記設定を全て確認後に、光電話ルーターのLAN→RTX810ルーターのWAN接続、光電話ルーターのLAN→RTX810ルーターのLAN端子接続。
 NEC無線ルーターは、RTX810ルーターのLAN端子へ接続。

 上記の内容にて、自宅端末及び社内端末から、Web参照確認と、http://192.168.103.1アクセスにて、光電話ルーターの設定メニュー表示確認する形になります。

書込番号:19415741

ナイスクチコミ!1


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/19 17:49(1年以上前)

>sorio-2215さん

> @ 光電話ルーターのIPアドレスを192.168.100.254/24から192.168.103.1/24へ変更(DHCPサーバ有効化)

実行済。 質問1→(DHCPサーバ有効化)この範囲は何個ですか?

> A 光電話ルーターの詳細設定から、LAN側静的ルーティング設定にて、宛先アドレス(192.168.100.0/24)、ゲートウェイを192.168.100.1を登録。

192.168.100.0/24←設定済。 質問2→ 192.168.103.1 に設定しました。(192.168.100.1 は同一LAN内で設定不可)どうですか?

> B LAN側静的ルーティング登録後に、有効・無効のチェック箇所をチェック投入→設定反映。

反映済。

> C 光電話ルーターのLAN端子と、会社RTX810ルーターのLAN端子を接続。

接続済。

Aの部分で???ですがCまでやりました。しかし PC→RTX→HGW で配線しtracet を掛けると以下の通りです。

1 <1 ms <1 ms <1 ms 192.168.100.1
2 5 ms 8 ms 5 ms 133.160.166.***
3 5 ms 8 ms 5 ms 133.160.166.***
4 8 ms 9 ms 7 ms 133.160.148.***
5 8 ms 11 ms 7 ms 133.160.101.*
6 8 ms 10 ms 8 ms 133.160.101.*
7 9 ms 12 ms 9 ms *****.jp
8 9 ms 9 ms 8 ms *****.com

HGW(192.168.103.1)を通っていないように見えます。ピングにも反応してません。

取りあえずここの問題を解決してから前に進みたく思います。質問1、質問2を投入しております。ご回答願います。


よろしくお願いします。

書込番号:19418252

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/19 17:59(1年以上前)

>sorio-2215さん

補足

パターン1
HGW・LAN→WAN・RTX810
HGW・LAN→LAN・RTX810

パターン2
HGW・LAN→WAN・RTX810
HGW・LAN→なし


上記の配線ではどちらともHGWへのアクセスが不能となりました。今まではパターン1では接続していました。設定がなにか足りなそうですね。


よろしくお願いいたします。

書込番号:19418283

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/19 18:59(1年以上前)

 「@ 光電話ルーターのIPアドレスを192.168.100.254/24から192.168.103.1/24へ変更(DHCPサーバ有効化)

    実行済。 質問1→(DHCPサーバ有効化)この範囲は何個ですか?」

 ↑ DHCPスコープの範囲は、任意で良いです。 例 192.168.103.2〜20個程度。

 「A 光電話ルーターの詳細設定から、LAN側静的ルーティング設定にて、宛先アドレス(192.168.100.0/24)、ゲートウェイを192.168.100.1を登録。」
 「192.168.100.0/24←設定済。 質問2→ 192.168.103.1に設定しました。(192.168.100.1 は同一LAN内で設定不可)どうですか?」

 光電話ルーターの特定不具合の場合、ファームウェア更新に合わせて、静的ルーティングの方式ではなく先刻の光電話ルーターのIP192.168.100.24/24(DHCP無効化)での改善が見込まれる可能性も有ります。

 ↑ Nexthopゲートウェイを、192.168.100.1指定出来ませんでしたか?
    ここで言う、ゲートウェイは宛先ゲートウェイを指します。自身IPセグメントのゲートウェイを指すわけでは有りません。
   宛先ゲートウェイを192.168.100.1指定出来ないとは、通常の静的ルーティングとは全く違う、致命的ですね。 ※ 宛先ゲートウェイを192.168.103.1を指定しても意味は有りません。

 ※ NTT仕様書を確認しますと、192.168.100.1の指定が出来る旨のメッセージ記載が有りましたが。
 LAN側静的ルーティング設定エントリ編集
 ※ 下記記載抜粋にて。
宛先IPアドレス/マスク長(初期値:なし/なし)
ルーティング先のIPアドレスとマスク長を指定します。
IPアドレスの設定可能範囲:ループバックアドレス( 127.0.0.0 〜 127.255.255.255 )を除く0.0.0.1 〜255.255.255.255のネットワークアドレス
マスク長の設定可能数値:1〜32
ゲートウェイ(初期値:なし)
ルーティング先のゲートウェイのIPアドレスを指定します。
設定可能範囲:ループバックアドレス( 127.0.0.0 〜 127.255.255.255 )を除く0.0.0.1 〜255.255.255.255でLAN側またはPPPoEと同一ネットワークのアドレス

 ご指定のパターン1とパターン2でHGWにアクセス出来なくなったのは、通常動作です。
 光電話ルーターの宛先(Nexthop)ゲートウェイに192.168.103.1ではなく、192.168.100.1を登録出来なければいけなかったのが理由です。

 光電話ルーターからのルーティングが出来ない事案となると、RTX810ルーター側で追加ルーティング可能かどうか確認致しますので、暫しお待ち下さい。
 通常設定可能と思われる設定が出来ないとは、光電話ルーターの不具合・搭載OSの不整合と思われる挙動に近いですね。
 念のため光電話ルーターのファームウェアが最新版か確認した方が良いかもしれません。
 
 ※ NTT西日本サイト・・ https://www.ntt-west.co.jp/kiki/download/flets/rt500ki/
 ※ NTT東日本サイト・・ https://web116.jp/ced/support/version/broadband/rt_500ki/index.html

書込番号:19418437

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/19 20:07(1年以上前)

 RTX810側からルーティングさせる方法をイメージングしますので、同時に、光電話ルーターのファームウェア更新が最新版可否確認お願いします。

 最新ファームウェア適用可能でしたら、以前の光電話ルーターのIP192.168.100.254/24(DHCP無効化)し挙動確認下さい。
 その際には、光電話ルーターのLAN側静的ルーティング設定を削除し、挙動確認下さい。

書込番号:19418596

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/19 21:06(1年以上前)

>sorio-2215さん

> A 光電話ルーターの詳細設定から、LAN側静的ルーティング設定にて、宛先アドレス(192.168.100.0/24)、ゲートウェイを192.168.100.1を登録。

指定の手順でやったのです。しかし「192.168.100.1」については「同一LAN内の指定はできません」的なエラーがでて登録不能でしたよ。


HGWのFW→01.00.0090(最初から最新のものが適用されていました)


現時点では

光電話ルーターのIP192.168.100.254/24(DHCP無効化)し、静的ルーティングを削除

つまり以前の状態に戻しております。


以上よろしくお願いします。


書込番号:19418772

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/19 21:57(1年以上前)

HGWでのエラー画面

>sorio-2215さん

静的ルーティング設定不能の件ですが、画像をアップします。確認してください。

HGWのアドレスや設定メニューの場所やその値が画面に写るように撮影しております。

書込番号:19418915

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/20 09:13(1年以上前)

 画像情報確認致しました。

 現時点での調査状況ですが、光電話ルーターのLAN側静的ルーティング機能の部分調べましたが、このLAN側静的ルーティングは、光電話ルーターのLAN側にRTX810ルーターのWAN側に相当するIPが無ければいけない仕様の様です。

 光電話ルーターの設定Web確認と、インターネット併用・自宅からのIPSEC-VPN接続を考える場合、RT-500KI光電話ルーターの場合、光電話ルーターにPPPOE接続設定+DMZホス設定にて、RTX810ルーターとは2重ルーター構成にしなければいけない様です。

 対策として下記方法になりそうです。

 @ 光電話ルーターのIPアドレスを192.168.100.1/24(DHCP有効、2〜20範囲)に戻します。
 A 光電話ルーターの詳細設定→静的NAT→簡易DMZ設定→192.168.100.254を指定登録。
 B 光電話ルーターの方にPPPOE接続設定を投入し、RTX810ルーターからはPPPOE接続設定削除と、Netvolante-DNSは削除。
 C 光電話ルーターにLAN側静的ルーティングとして、192.168.103.0/24とNexthopゲートウェイ192.168.100.254を登録
 D RTX810ルーターのWAN側をCATVモード(WAN側固定、IPを192.168.100.254/255.255.255.0、デフォルトゲートウェイ192.168.100.1、プライマリDNS192.168.100.1設定)
 D RTX810ルーターのIPを192.168.103.1/24登録、DHCPを192.168.103.2-192.168.103.100等登録。
 E 会社RTX810ルーターの静的IPマスカレード設定の変更が必要です。
    下記コマンド投入下さい。
    「no nat descriptor masquerade static 1000 1 192.168.100.1 udp 500」→「nat descriptor masquerade static 1000 1 192.168.103.1 udp 500」
    「no nat descriptor masquerade static 1000 2 192.168.100.1 esp」→「nat descriptor masquerade static 1000 1 192.168.103.1 udp 500」
    「no nat descriptor masquerade static 1000 3 192.168.100.1 udp 1701」→「nat descriptor masquerade static 1000 1 192.168.103.1 udp 500」
    「no nat descriptor masquerade static 1000 4 192.168.100.1 udp 4500」→「nat descriptor masquerade static 1000 1 192.168.103.1 udp 500」

 IPSEC-VPNの登録設定を、RTX810ルーターのNetvolanteDNS機能は利用出来なくなる条件ですので、自宅AU光のグローバルIPを使う、アグレッシブモードでのIPSEC-VPN構成に変更が必要です。
 下記IPSECトンネル設定を参考下さい。
 現状のConfigを見ますと、既にIPSEC-VPNでのアグレッシブモードでの構成を採られている状態(AU光・グローバル固定→会社Netvolante-DNSはL2TPのみの利用、IPSECではany接続)ですので、IPSECについては、細かな変更で対応可能です。

 @ 会社RTX810ルーターのトンネル1のConfigとしては、「ipsec ike local address 1 192.168.100.1」を「ipsec ike local address 1 192.168.103.1」へ変更
    ・・コマンドから下記にて削除・再登録可能です。
     tunnel select 1 → no ipsec ike local address 1 192.168.100.1 → ipsec ike local address 1 192.168.103.1

 A 自宅RTX810ルーターのトンネル1のConfigとしては、下記変更が必要です。
    「ip route 192.168.100.0/24 gateway tunnel 1」は登録されていますので、「ip route 192.168.103.0/24 gateway tunnel 1」が投入されているか、確認願います。

 注意点としてですが、スマートフォンやモバイルからL2TPを利用する場合ですが、会社側が2重ルーター形式にて、NetvolanteDNSは利用不能となりますので、自宅側にL2TP接続して会社の光電話ルーターやRTX810ルーター、他の機器へのログインする形になるかと考えます。

 

書込番号:19419794

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/20 09:24(1年以上前)

 会社のIPSEC周りのルール変更に伴い、IPフィルタの規制変更も併せて必要です。
  下記会社RTX810ルーターのConfigの192.168.100.0/24の箇所を192.168.103.0/24へ変更が必要です。

 ip filter 200030 pass * 192.168.100.0/24 icmp * *
 ip filter 200031 pass * 192.168.100.0/24 established * *
 ip filter 200032 pass * 192.168.100.0/24 tcp * ident
 ip filter 200033 pass * 192.168.100.0/24 tcp ftpdata *
 ip filter 200034 pass * 192.168.100.0/24 tcp,udp * domain
 ip filter 200035 pass * 192.168.100.0/24 udp domain *
 ip filter 200036 pass * 192.168.100.0/24 udp * ntp
 ip filter 200037 pass * 192.168.100.0/24 udp ntp *
 ip filter 200080 pass * 192.168.100.1 udp * 500
 ip filter 200081 pass * 192.168.100.1 esp * *
 ip filter 200082 pass * 192.168.100.1 udp * 1701
 ip filter 200083 pass * 192.168.100.1 udp * 4500

 番号差し替え後に再度コマンド登録お願いします。
 「httpd host 192.168.100.2-192.168.100.254 192.168.101.2-192.168.101.254」→「httpd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254」への差し替えコマンド登録も確認願います。

 念のため伝えますと、自宅から光電話ルーターのアクセスは、192.168.100.1へログイン可能、RTX810ルーターは192.168.103.1にて可能、会社NASのIPも100の箇所を103へ変更して下さい(192.168.103.200/24)
 NASは、自宅から192.168.103.200にてログイン可能となります。

 会社NEC無線ルーターのIPを192.168.100.100/24、デフォルトゲートウェイ192.168.100.1、プライマリDNS192.168.100.1の部分を変更下さい。

 ※ 192.168.103.100/24、デフォルトゲートウェイ192.168.103.1、プライマリDNS192.168.103.1へ変更。

書込番号:19419828

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/20 10:00(1年以上前)

 会社側のRTX810ルーター回線への直接L2TP-VPNログインされたい場合には、NetvolanteDNSは2重ルーター構成では利用不能ですので、Niftyへグローバル固定IPオプションの要素を確認下さい。

 現状では自宅L2TPログイン経由のアクセスになりますので、通信遅延が気になる場合には確認する必要があります。Niftyの場合、グローバル固定IP(1個)が、初期費用5,000円・月額2,650円になります。

 ※ http://www.nifty.com/staticip/service.htm

 固定IP付きのNifty接続になる場合には、光電話ルーターのNifty設定を接続ID(アカウント+@ip1.nifty.com)と接続パスワードになります。グローバル固定IPは、自動的に固定アドレス付与になります。

書込番号:19419911

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/20 10:22(1年以上前)

  補足です。
 先刻の文面、 
 A 自宅RTX810ルーターのトンネル1のConfigとしては、下記変更が必要です。
    「ip route 192.168.100.0/24 gateway tunnel 1」は登録されていますので、「ip route 192.168.103.0/24 gateway tunnel 1」が投入されているか、確認願います。

 ↑の件ですが、192.168.100.0のルーティングと192.168.103.0のルーティングは2点登録が必要です。

書込番号:19419966

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/20 10:29(1年以上前)

 先刻の2重ルーター設定変更ではなく、またRTX810ルーターの構成変更(NetvolanteDNS併用)を維持されたい場合には、既存の会社の回線終端装置(ONU)にスイッチングハブを導入し、@ スイッチングハブから光電話ルーターのWANポート接続、AスイッチングハブからRTX810ルーターの接続と言う構成にすれば、設定変更無く、アクセス可能と想定されます。

 その際には、光電話ルーターのIP192.168.100.254/24(DHCP無効化)、光電話ルーターのLAN→RTX810ルーターのLANポート接続にてアクセス可能になるかと存じます。

書込番号:19419980

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/20 14:52(1年以上前)

光電話ルーターには、グローバルIPを任意検知し、DDNSドメインでの動的に解決する機能は無いです。

 よって、先刻のプラン@光電話ルーターとRTX810の2重ルーター構成変更での方法、A回線終端装置にスイッチングハブを接続し、ハブから光電話ルーターのWANポート接続、スイッチングハブからRTX810ルーターのWANポート接続での既存設定を生かす方法
 
 上記の2点の方法になります。
 

書込番号:19420522

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/20 17:38(1年以上前)

>sorio-2215さん

結局RTX810は初期化して最初から設定しています。二重ルーター化を選択します。

コンフィグです。

ip route default gateway 192.168.100.1
ip keepalive 1 icmp-echo 10 5 192.168.100.1
ip lan1 address 192.168.103.1/24
ip lan2 address 192.168.100.254/24
ip lan2 secure filter in 101003 101020 101021 101022 101023 101024 101025 101030 101032
ip lan2 secure filter out 101013 101020 101021 101022 101023 101024 101025 101099 dynamic 101080 101081 101082 101083 101084 101085 101098 101099
ip lan2 nat descriptor 200
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KIで接続
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.103.0/24 * * * *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.103.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
nat descriptor masquerade static 1000 1 192.168.103.1 udp 500
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.103.2-192.168.103.99/24
dns server 192.168.100.1
dns private address spoof on
httpd host lan1
alarm entire off
#

書込番号:19420879

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/20 17:46(1年以上前)

>sorio-2215さん

コンフィグで明らかなようにまだ途中です。特にわからないのがIPSECの設定です。

接続先の識別方法→ IPアドレスで識別? 自分の名前を通知する? 名前で識別?

経路のアドレス情報・・?

ネットボランチのDDNSは使えないとのことですから、自宅側とどうやって結ぶのでしょうか?

その他エラーになって入らない設定がありますが後で相談します。


いつもありがとうございます。

書込番号:19420892

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/20 19:42(1年以上前)

 「接続先の識別方法→ IPアドレスで識別? 自分の名前を通知する? 名前で識別?」
 
  ↑ 接続先の識別方法は、IPアドレスで識別と任意の自分の名前を通知するです。(AU光のグローバルIPを設定し、任意の名前を設定します。ここで言うとipsec1です。
    他は不要です。

 「経路のアドレス情報・・?
 「ネットボランチのDDNSは使えないとのことですから、自宅側とどうやって結ぶのでしょうか?」

  ↑ 経路アドレス情報は及びIPSEC接続先の暗号化キーの情報は、AU光のRTX810ルーターの方にて配信します。よって、会社RTX810ルーターの経路アドレス情報は、自宅側のRTX810ルーターのIPセグメント(192.168.101.0/24)です。

 アグレッシブモードの概念をよく理解下さい。
 メインモードとは違い、それぞれのグローバルIPアドレスで識別するわけでは無く、AU光側のRTX810側のVPN機能にて、IPSEC接続情報を配信する構成です。

 会社のIPSECトンネルの設定は、下記の様になるはずです。

 tunnel select 1
tunnel name IPsec(会社)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.103.1
ipsec ike pre-shared-key 1 text *******
ipsec ike remote address 1 ***.***.***.*** (AUひかりグローバルIP)
ipsec ike local name 1 ipsec1
ip tunnel tcp mss limit auto
tunnel enable 1
ip route 192.168.101.0/24 gateway tunnel 1

 自宅のIPSECトンネルの設定は、下記の様になるはずです。
tunnel select 1
tunnel name IPsec(自宅)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.101.1
ipsec ike pre-shared-key 1 text ******
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1
ip tunnel tcp mss limit auto
tunnel enable 1
ip route 192.168.103.0/24 gateway tunnel 1

 要は、グローバルIPを固定で保有する回線は1拠点で、他拠点はグローバルIPを動的扱いでの構成です。
 NetvolanteDNSが利用出来ない場合の構成となります。
 
 Yamaha設定例を参考下さい。
 ※ http://jp.yamaha.com/products/network/solution/vpn/connect/vpn-explain_ipsec_aggressive/

 アグレッシブモードの概念とは
 ※ http://sc.seeeko.com/archives/3824917.html

書込番号:19421204

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/20 19:50(1年以上前)

 要は、アグレッシブモードの場合、グローバルIPが動的な回線から、一定周期にIPSECトンネルの認証情報(IKE情報)を常に、AU光のグローバルIP宛てのRTX810ルーターへ問合せ通信が発生する構成です。

 その問合せ通信情報に、AU光側のグローバルIPだけではなく、会社側RTX810ルーターのIPSECのトンネルの名前を任意に決定し、その名前を自宅RTX810ルーターへ通知する構成にて、IPSECトンネルを確立させる方法です。
 つまり、AU光側が何らかの障害にて、グローバルIPアドレスが変動した場合には、IPSEC接続が切れる形になります。

 それぞれが、固定IP若しくはNetvolanteDNSを保有出来る構成の場合には、そのIPSECトンネル認証にそれぞれのグローバルIPとNetvolanteDNSの情報のみでトンネルを構成できるので、その分トンネル通信の安定性とセキュリティ確保できる設定になります。
 それが、メインモードのIPSEC-VPNと言います。

書込番号:19421234

ナイスクチコミ!1


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/20 20:03(1年以上前)

>sorio-2215さん

非常に理解しやすい説明でした。ありがとうございます。

ところで根本的な質問をします。

今回は私が幸か不幸か自宅がauひかり回線ということで半固定的なグローバルIPを持っています。それを利用してVPNが構成できたという理解でいいですよね?

仮に私の環境が自宅も「会社と同じ回線&機器構成」だった場合はどうなっていたのでしょうか?もちろんニフティから月額数千円の固定IPを借りて運用することもできます。しかしもったいないですよね。

こんな人、世の中に軽く数百人は居そうに思えます。みなさんどうされているのかすごく疑問です。


※これからVPN構築に入ります。またよろしくお願いします。

書込番号:19421265

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/20 20:13(1年以上前)

 補足事項です。
 下記のNATモードのコマンドですが、CATVモードになっておりますので、エントリー番号が違うモードになっている様です。

nat descriptor type 200 masquerade
nat descriptor address outer 200 ipcp
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.103.1 udp 500
nat descriptor masquerade static 200 2 192.168.103.1 esp
nat descriptor masquerade static 200 3 192.168.103.1 udp 1701
nat descriptor masquerade static 200 4 192.168.103.1 udp 4500

上記が正式のNATエントリのコマンドになるかと存じます。

IPフィルタについては、IPSECとL2TP関連、他の許可コマンドが欠けています。
 ip filter 101004 pass * 192.168.103.0/24 icmp * *
 ip filter 101005 pass * 192.168.103.0/24 established * *
 ip filter 101006 pass * 192.168.103.0/24 tcp * ident
 ip filter 101007 pass * 192.168.103.0/24 tcp ftpdata *
 ip filter 101008 pass * 192.168.103.0/24 tcp,udp * domain
 ip filter 101009 pass * 192.168.103.0/24 udp domain *
 ip filter 101014 pass * 192.168.103.0/24 udp * ntp
 ip filter 101015 pass * 192.168.103.0/24 udp ntp *
 ip filter 101016 pass * 192.168.103.1 udp * 500
 ip filter 101017 pass * 192.168.103.1 esp * *
 ip filter 101018 pass * 192.168.103.1 udp * 1701
 ip filter 101019 pass * 192.168.103.1 udp * 4500

ip lan2 secure filter in 101003 101004 101005 101016 101017 101018 101019 101020 101021 101022 101023 101024 101025 101030 101032

 上記が最低限必要なコマンドです。
 
 それと、NATエントリモードが変わっている関係で、「no nat descriptor masquerade static 1000 1 192.168.103.1 udp 500」を実行下さい。
 1000エントリー番号のルールは不要です。

書込番号:19421289

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/20 20:20(1年以上前)

 双方、固定IPが無い場合には、理想としてはNiftyコースだとコスト的に高いので、当方としては、固定IP付きながらも低価格プロバイダを推奨しております。

 ※ Asahiネット+固定IPサービスにて、プロバイダ基本料780円+固定IP料金・月額800円
 ※ http://asahi-net.jp/service/ftth/withflets/east_home.html
 ※ http://asahi-net.jp/service/option/fixedip/

 もし、ASAHIネットのプロバイダ選択にて、Niftyメールアドレスを残したい場合には、Niftyのコースをダイアルアップ・スタンダード料金コース、月額250円に変更すれば、メール契約を残す事は可能です。
 
 ※ http://setsuzoku.nifty.com/dialup/

書込番号:19421306

ナイスクチコミ!1


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/20 20:54(1年以上前)

 うまくいきましたら、AU光側の回線トラブルやRTX810ルーターのトラブル回避のため、自宅回線装置とRTX810ルーターへ無停電装置を接続することを推奨します。

 ※ APC製「APC ES 750」・・ http://www.apc.com/shop/jp/ja/products/APC-ES-750/P-BE750G-JP

 電話回線からのサージ混入、コンセントサージ、停電時のバックアップバッテリー750VA

 バックアップ待機時間は、接続回線装置の総計ワット数が50Wで40分程のバックアップが可能です。
 つまり、それ以下の20W程度に収まるのであれば、だいたい90分程度はインターネット接続と光電話保護、RTX810ルーターの挙動保護が可能ですので、参考まで。

書込番号:19421411

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/20 21:16(1年以上前)

 確認ですが、直近の話でもありませんが、会社の利用電話回線番号と回線数は、2回線・2番号程度ですか?

 他の利用番号・回線が有って、光電話回線に移行出来る様で有れば、会社回線をAU光ビジネス回線に移行すれば、最大8回線・32番号までの移行が可能ですよ。
 インターネット機能は、グローバルIP(1個)無料で添付されております。

 ※ 3回線1番号+インターネット(1Gbps)+固定IP(1個)で、月額7,700円です。
    追加番号移行(1番号毎)に、100円で追加出来ますので、3回線3番号+インターネット(1Gbps)+固定IP=7,700+100×2=8,000円です。
    以下参考までに
    AU光ビジネスサイト ・・ http://www.kddi.com/business/network/internet/au-hikari-business/

    4回線までの光電話アダプタが、NTT「RT-500KI」に置き換わる形になりますが、AU光電話アダプタ・月額レンタル料800円、8回線までの月額レンタル料1,200円です。

書込番号:19421477

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/21 00:02(1年以上前)

>sorio-2215さん

また引っ掛かっています。会社から自宅への通信はできたのですが自宅から会社へができないです。ルーターの中を見るとと通信中ですが。

会社のルーターに教えられたコマンドすべて投入し、自宅との通信を確認。自宅に戻り会社との通信を試した結果です。

取り敢えず自宅のコンフィグだしておきます。


いつもスミマセン。

書込番号:19421969

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/21 00:07(1年以上前)

ip route default gateway 192.168.0.1
ip route 192.168.103.0/24 gateway tunnel 1
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ip lan1 address 192.168.101.1/24
ip lan1 proxyarp on
ip lan2 address 192.168.0.254/24
ip lan2 secure filter in 101003 101020 101021 101022 101023 101024 101025 101030 101032 101080 101081 101082 101083
ip lan2 secure filter out 101013 101020 101021 101022 101023 101024 101025 101099 dynamic 101080 101081 101082 101083 101084 101085 101098 101099
ip lan2 nat descriptor 200
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:DHCP
provider ntpdate ntp.nict.jp
pp select anonymous
pp name L2TP/IPsec
pp bind tunnel2
pp auth request chap-pap
pp auth username admin *******
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.101.1
ipsec ike local id 1 192.168.101.1/24
ipsec ike pre-shared-key 1 text *******
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1 key-id
ip tunnel tcp mss limit auto
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text *******
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp keepalive use on
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.101.0/24 * * * *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.101.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.101.1 udp * 500
ip filter 101081 pass * 192.168.101.1 esp * *
ip filter 101082 pass * 192.168.101.1 udp * 1701
ip filter 101083 pass * 192.168.101.1 udp * 4500
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
nat descriptor masquerade static 200 1 192.168.101.1 udp 500
nat descriptor masquerade static 200 2 192.168.101.1 esp
nat descriptor masquerade static 200 3 192.168.101.1 udp 1701
nat descriptor masquerade static 200 4 192.168.101.1 udp 4500
ipsec auto refresh on
ipsec transport 2 2 udp 1701
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.101.2-192.168.101.100/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on
httpd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
alarm entire off
sshd service on
sshd host key generate *
#

書込番号:19421980

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/21 00:39(1年以上前)

会社での状況

・自宅へ通信可能
・HGW通信専用ケーブル撤去OK
・同上で無線親機も通信可能

おおむねうまく行っているような?

ありがとうございます。

書込番号:19422057

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/21 00:50(1年以上前)

 自宅RTX810ルーターの会社光電話ルーターへのルーティング設定が未投入です。

 会社光電話ルーターのIPは192.168.100.1/24ですよね?
 
 自宅RTX810ルーターへ「ip route 192.168.100.0/24 gateway tunnel 1」を追加コマンド投入下さい。

 先刻の会社RTX810ルーターのConfigを見ますと、ProxyARPの設定が未投入です。
 「ip lan1 proxyarp on」を追加コマンド投入下さい。

 それと、会社RTX810ルーターの静的ルーティング登録がキチンと投入されているかも確認下さい。
 「ip route 192.168.101.0/24 gateway tunnel 1」と「ip route 192.168.0.0/24 gateway tunnel 1」

 AU光HGWのIPが192.168.0.1/24ですよね?
 
 更に言えば、会社RTX810ルーターの簡易メニュー表示のコマンドが、同一LAN内のみになっておりますよ。
 「httpd host lan1」では無く、「httpd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254」です。

 下記コマンドは、キチンと投入されていますでしょうか?
nat descriptor type 200 masquerade
nat descriptor address outer 200 ipcp
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.103.1 udp 500
nat descriptor masquerade static 200 2 192.168.103.1 esp
nat descriptor masquerade static 200 3 192.168.103.1 udp 1701
nat descriptor masquerade static 200 4 192.168.103.1 udp 4500

IPフィルタの許諾も必要です。 
 ip filter 101016 pass * 192.168.103.1 udp * 500
 ip filter 101017 pass * 192.168.103.1 esp * *
 ip filter 101018 pass * 192.168.103.1 udp * 1701
 ip filter 101019 pass * 192.168.103.1 udp * 4500
 ip lan2 secure filter in 101003 101004 101005 101016 101017 101018 101019 101020 101021 101022 101023 101024 101025 101030 101032

書込番号:19422077

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/21 00:54(1年以上前)

 ここまで来れば、雰囲気で自宅から、会社の光電話ルーターのログイン方法は解りますよね?

 192.168.100.1で光電話ルーターログイン、192.168.103.1でRTX810ルーターログイン、NASは192.168.103.200でログイン、NEC無線ルーターは192.168.103.100でログイン

 逆に会社から自宅のHGWのログインは192.168.0.1、192.168.101.1で会社からRTX810ルーターログインと言った形になります。

書込番号:19422084

ナイスクチコミ!1


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/21 08:13(1年以上前)

 補足ですが、メインモードにて構成する場合ですが、自宅のIPSECトンネル1の「ipsec ike remote address 2 any」の箇所ですが、対向先回線の固定グローバルIP若しくは、NetvolanteDNSを指定します。

 更に言うと、Yamaha同士でのIPSECではlocal name→remote nameでの名称解決出来ますが、例えば会社が他社VPNルーターで、自宅がYamahaルーターと言った構成(逆もそうですが)、異種メーカー及び異種モデル間のIPSECですと、local name → remote nameの名称解決が出来ないです。
 
 異機種・異メーカー間の交換なども予想される場合には、local name → remote nameの情報交換ではなく、local id → remote id(Yamahaで言うと、自分のID、相手先のID)での解決にされた方が良いかと考えます。
 local idとremote id指定には、通常は自身のIPセグメント名を指定します。
 ※ 今回のケースですと、会社RTX810には local id 192.168.103.0、自宅RTX810は192.168.101.0
 
 上記local idとremote id形式の場合には、会社及び自宅RTX810に、それぞれのlocal→remote idを双方登録します。
 例 自宅RTX810→ 「ipsec ike local id 1 192.168.101.0/24」と「ipsec ike remote id 1 192.168.103.0/24」
 例2 会社RTX810→「ipsec ike local id 1 192.168.103.0/24」と「ipsec ike remote id 1 192.168.101.0/24」

 上記の要素で言うと、今回の自宅RTX810ルーターの「ipsec ike local id 1 192.168.101.1/24」は不要です。
 local name → remote nameにて名称解決し、local id →remote idでは名称解決しないためです。
 RTX810ルーターのWeb設定から設定しますと、不要なConfigまで投入されてしまう場合が有る点が有ります。

書込番号:19422360

ナイスクチコミ!1


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/21 20:48(1年以上前)

 そういえば忘れてましたが、Nifty1Gbps性能維持のためのIPV6オプションの部分ですが、既存光電話ルーターとRTX810ルーターの2重ルーター構成とIPSECトンネル、L2TPトンネルがうまくいっている条件ですが、IPV6オプション再申請の際には、光電話ルーターのIPV6フィルタの許可とRTXルーターのIPV6-IPOE追加設定が必要です。

 光電話ルーター配下での排他処理の為、RAプレフィックス設定が必要です。

 ※ http://www.rtpro.yamaha.co.jp/RT/FAQ/FLETS-HIKARI-NEXT/ipv6_ipoe.html

 ↑ 光電話契約していない場合のコマンドでOKです。

書込番号:19423896

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/21 22:35(1年以上前)

>sorio-2215さん

やらかしてしまったらしく自宅から会社へのアクセスができないです。会社から自宅は大丈夫です。

現在自宅のため自宅のRTXのコンフィグを出します。おかしな点ありましたら教えてください。

会社のコンフィグは明日出します。

いつもスミマセン。よろしくお願いします。

書込番号:19424245

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/21 22:41(1年以上前)

ip route default gateway 192.168.0.1
ip route 192.168.100.0/24 gateway tunnel 1
ip route 192.168.103.0/24 gateway tunnel 1
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ip lan1 address 192.168.101.1/24
ip lan1 proxyarp on
ip lan2 address 192.168.0.254/24
ip lan2 secure filter in 101003 101020 101021 101022 101023 101024 101025 101030 101032 101080 101081
ip lan2 secure filter out 101013 101020 101021 101022 101023 101024 101025 101099 dynamic 101080 101081 101082 101083 101084 101085 101098 101099
ip lan2 nat descriptor 200
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:DHCP
provider ntpdate ntp.nict.jp
tunnel select 1
tunnel name IPsec(自宅)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.101.1
ipsec ike local id 1 192.168.101.1/24
ipsec ike pre-shared-key 1 text *******
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1 key-id
ip tunnel tcp mss limit auto
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.101.0/24 * * * *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.101.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.101.1 udp * 500
ip filter 101081 pass * 192.168.101.1 esp * *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
nat descriptor masquerade static 200 1 192.168.101.1 udp 500
nat descriptor masquerade static 200 2 192.168.101.1 esp
ipsec auto refresh on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.101.2-192.168.101.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
httpd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
alarm entire off
sshd service on
sshd host key generate *
#

書込番号:19424256

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/22 10:18(1年以上前)

会社のコンフィグです。

ip route default gateway 192.168.100.1
ip route 192.168.0.0/24 gateway tunnel 1
ip route 192.168.101.0/24 gateway tunnel 1
ip keepalive 1 icmp-echo 10 5 192.168.100.1
ip lan1 address 192.168.103.1/24
ip lan1 proxyarp on
ip lan2 address 192.168.100.254/24
ip lan2 secure filter in 101003 101004 101005 101016 101017 101018 101019 101020 101021 101022 101023 101024 101025 101030 101032
ip lan2 secure filter out 101013 101020 101021 101022 101023 101024 101025 101099 dynamic 101080 101081 101082 101083 101084 101085 101098 101099
ip lan2 nat descriptor 200
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.103.1
ipsec ike local name 1 ipsec1 key-id
ipsec ike pre-shared-key 1 text ******
ipsec ike remote address 1 ***.***.***.***
ip tunnel tcp mss limit auto
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.103.0/24 * * * *
ip filter 101004 pass * 192.168.103.0/24 icmp * *
ip filter 101005 pass * 192.168.103.0/24 established * *
ip filter 101006 pass * 192.168.103.0/24 tcp * ident
ip filter 101007 pass * 192.168.103.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.103.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.103.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.103.0/24 * * *
ip filter 101014 pass * 192.168.103.0/24 udp * ntp
ip filter 101015 pass * 192.168.103.0/24 udp ntp *
ip filter 101016 pass * 192.168.103.1 udp * 500
ip filter 101017 pass * 192.168.103.1 esp * *
ip filter 101018 pass * 192.168.103.1 udp * 1701
ip filter 101019 pass * 192.168.103.1 udp * 4500
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.103.1 udp * 500
ip filter 101081 pass * 192.168.103.1 esp * *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 ipcp
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.103.1 udp 500
nat descriptor masquerade static 200 2 192.168.103.1 esp
nat descriptor masquerade static 200 3 192.168.103.1 udp 1701
nat descriptor masquerade static 200 4 192.168.103.1 udp 4500
nat descriptor masquerade static 1000 1 192.168.103.1 udp 500
ipsec auto refresh on
telnetd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.103.2-192.168.103.99/24
dns server 192.168.100.1
dns private address spoof on
httpd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
alarm entire off
sshd service on
sshd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
sshd host key generate *
sftpd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
#

書込番号:19425277

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/22 12:29(1年以上前)

 会社側RTX810ルーターの不整合かと存じます。
 自宅側RTX810ルーターのConfigは、問題有りません。

 会社側RTX810ルーターの不要静的IPマスカレードエントリーが未だ残留していますよ。
 「no nat descriptor masquerade static 1000 1 192.168.103.1 udp 500」
 をコマンド実行下さい。

 それと、IPフィルタの規制コマンドが、重複していますよ。
 「no ip filter 101080 pass * 192.168.103.1 udp * 500」、「no ip filter 101081 pass * 192.168.103.1 esp * *」はコマンド実行下さい。

 NATモードのout/inの変換ルールが、2重ルーターですので、下記に変更下さい。

 × 「nat descriptor address outer 200 ipcp」
  ↓
 ○ 「nat descriptor address outer 200 192.168.100.254」

 × 「nat descriptor address inner 200 auto」
  ↓
 ○ 「nat descriptor address inner 200 192.168.100.254 192.168.103.1-192.168.103.254」
 最後に、コマンド実行にて、saveを実行下さい。
 
 上記○の方のコマンド実行後に、会社側光電話ルーター再起動→(5分〜10分後)→RTX810ルーターの再起動を実施下さい。
 光電話ルーターは、電源コード抜き差しでOKです。
 会社RTX810ルーターは、電源抜き差しだけでは、設定データ反映後のプログラムでのルーター挙動になりませんので、一度だけRTX810ルーターのWeb設定画面のコマンド実行にて、restart を実行下さい。
 自宅RTX810ルーターは、そのままでOKです。

 再起動後に、光電話ルーターの詳細設定→静的NAT設定→外部からのパケットをすべて特定ホストに中継する(簡易DMZ) →特定ホストのIPアドレスに192.168.100.254がキチンと投入されているか確認。
 同じく詳細設定→LAN側静的ルーティング→宛先IPアドレス(192.168.103.0/24)と宛先ゲートウェイ(192.168.100.254)がキチンと投入されているかも確認下さい。

 全ての確認後、自宅からアクセスは出来る筈ですので、確認願います。

書込番号:19425530

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/22 12:35(1年以上前)

 先ほどのNATモードの設定は、下記でも構いません。

 「nat descriptor address outer 200 primary」
 「nat descriptor address inner 200 auto」

 正確に通信させるためには、先ほどのコマンドの方が推奨されます。

 誤っている「nat descriptor address outer 200 ipcp」は、RTX810ルーター自身でPPPOE接続し、ipcp応答させるためのコマンドです。2重ルーターでの応答させるコマンドでは有りません。

書込番号:19425547

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/22 12:52(1年以上前)

 自宅側RTX810ルーターを触れる必要性は有りませんが、欲を言えば下記コマンドの方が良いかと考えます。

 「nat descriptor address outer 200 192.168.0.254」

 「nat descriptor address inner 200 192.168.0.254 192.168.101.1-192.168.101.254」

書込番号:19425595

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/22 15:49(1年以上前)

>sorio-2215さん

お世話になります。

先ほどのコマンド投入したところ

・会社から自宅へのアクセス不能
・アイフォンからVPN回線への接続不能

となっています。

またコンフィグ出します。すみませんがよろしくお願いします。

書込番号:19425854

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/22 15:50(1年以上前)

ip route default gateway 192.168.100.1
ip route 192.168.0.0/24 gateway tunnel 1
ip route 192.168.101.0/24 gateway tunnel 1
ip keepalive 1 icmp-echo 10 5 192.168.100.1
ip lan1 address 192.168.103.1/24
ip lan1 proxyarp on
ip lan2 address 192.168.100.254/24
ip lan2 secure filter in 101003 101004 101005 101016 101017 101018 101019 101020 101021 101022 101023 101024 101025 101030 101032
ip lan2 secure filter out 101013 101020 101021 101022 101023 101024 101025 101099 dynamic 101080 101081 101082 101083 101084 101085 101098 101099
ip lan2 nat descriptor 200
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.103.1
ipsec ike local name 1 ipsec1 key-id
ipsec ike pre-shared-key 1 text ******
ipsec ike remote address 1 ***.***.***.***
ip tunnel tcp mss limit auto
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.103.0/24 * * * *
ip filter 101004 pass * 192.168.103.0/24 icmp * *
ip filter 101005 pass * 192.168.103.0/24 established * *
ip filter 101006 pass * 192.168.103.0/24 tcp * ident
ip filter 101007 pass * 192.168.103.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.103.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.103.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.103.0/24 * * *
ip filter 101014 pass * 192.168.103.0/24 udp * ntp
ip filter 101015 pass * 192.168.103.0/24 udp ntp *
ip filter 101016 pass * 192.168.103.1 udp * 500
ip filter 101017 pass * 192.168.103.1 esp * *
ip filter 101018 pass * 192.168.103.1 udp * 1701
ip filter 101019 pass * 192.168.103.1 udp * 4500
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.100.254
nat descriptor address inner 200 192.168.100.254 192.168.103.1-192.168.103.254
nat descriptor masquerade static 200 1 192.168.103.1 udp 500
nat descriptor masquerade static 200 2 192.168.103.1 esp
nat descriptor masquerade static 200 3 192.168.103.1 udp 1701
nat descriptor masquerade static 200 4 192.168.103.1 udp 4500
ipsec auto refresh on
telnetd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.103.2-192.168.103.99/24
dns server 192.168.100.1
dns private address spoof on
httpd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
alarm entire off
sshd service on
sshd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
sshd host key generate *
sftpd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
#

書込番号:19425855

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/22 16:15(1年以上前)

 会社RTX810ルーターConfigの件ですが、総体的なConfigとしては間違っていません。

 ただし、2重ルーター構成の場合「IPv4 動的IPフィルタの一覧」箇所での動的フィルタ(ポートトリガー)は、止めた方が良いですよ。

 動的IPフィルタの解除には、下記コマンドを投入下さい。

 「ip lan2 secure filter in 101003 101004 101005 101016 101017 101018 101019 101020 101021 101022 101023 101024 101025 101030 101032 101099」
 「ip lan2 secure filter out 101013 101020 101021 101022 101023 101024 101025 101099」

 ダイナミック・フィルタのコマンドを実行しないと言う事です。

 自宅RTX810ルーターの動的IPフィルタのコマンドは、廃止下さい。
 自宅RTX810ルーターの方は、下記コマンドにて、フィルタの変更が可能です。
 「ip lan2 secure filter in 101003 101020 101021 101022 101023 101024 101025 101030 101032 101080 101081 101099」
 「ip lan2 secure filter out 101013 101020 101021 101022 101023 101024 101025 101099」

書込番号:19425888

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/22 16:22(1年以上前)

 IOSモバイル端末からのアクセスについては、先刻会社RTX810ルーターはNetvolanteDNSが利用不能という条件を伝えましたが。

 IOSモバイル端末のアクセスには、自宅RTX810ルーターへVPN接続し、自宅経由で会社RTX810回線へアクセス出来る構成になると伝えましたが。

 自宅RTX810ルーターにVPN接続出来るかどうか確認願います。

 会社RTX810ルーターへのアクセスは、自宅と会社のIPSEC接続開始されましたら、ルーティングされます。
 

書込番号:19425896

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/22 16:27(1年以上前)

 補足です。
 動的フィルタの解除は、Webメニューからの解除も可能です。

  [トップ] > [詳細設定と情報] > [ファイアウォールの設定] →WANポートに、ファイアーウォール設定(IPv4フィルタ)が有効な箇所にチェック投入されているかと考えますが、その中のIPv4 動的IPフィルタの一覧に、出の方に全てチェック投入されているかと思いますが、チェックを外して下さい。

 更に、IPv4 静的IPフィルタの一覧の99番のフィルタを入・出を双方チェック投入→設定確定下さい。
 

書込番号:19425903

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/22 18:42(1年以上前)

>sorio-2215さん

上記各種コマンドを投入しほぼうまく動いています。

唯一のトラブルがアイフォンからVNPに接続できないことです。エラーメッセージは「L2TP-VPNサーバーが応答しませんでした」です。

最初はアイフォン用VPNを自宅用と会社用に2つ作っていましたが会社用は既に廃止しております。問題は自宅用VPNへの接続です。


どうぞよろしくお願いいたします。

書込番号:19426144

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/22 18:46(1年以上前)

>sorio-2215さん

またまたトラブルです。

・自宅に設置してあるクラウド型ネットワークカメラに接続できなくなりました

・自宅のHGWにアクセスできません。RTXへはアクセス可能です


よろしくお願いいたします。

書込番号:19426152

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/22 19:05(1年以上前)

 自宅RTX810ルーターのL2TPトンネル設定がされてませんよ。

 自宅のL2TPリモートアクセスの設定を投入して下さい。

 以前自宅のRTX810ルーターに投入されていたコマンドです。(下記にて)

pp select anonymous
pp name L2TP/IPsec
pp bind tunnel2
pp auth request chap-pap
pp auth username ***** ******
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text *******
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp keepalive use on
ip tunnel tcp mss limit auto
tunnel enable 2
 
 上記コマンドが未投入ですと、自宅のリモートアクセス先が不明になっているかと考えます。
 IOS端末側も、リモートアクセスのグローバルIP(AUひかり・グローバルIP)とログインID・パスワード、暗号化キーを再度確認下さい。

 IPカメラにつきましては、IPカメラ本体は固定IP及びデフォルトゲートウェイ固定、プライマリDNSの固定設定はされていますか?
 IPアドレスは、他の機器と重複しないIP(192.168.101.***)、デフォルトゲートウェイ192.168.101.1、プライマリDNS192.168.101.1と確認下さい。
 自宅のHGWのIPは、192.168.0.1ですよね?
 自宅のHGWのDMZ設定を192.168.0.254にはなっているかと考えますが、HGWの機種によってですが、HGWの詳細設定→静的ルーティング設定にて、宛先IPアドレス(192.168.101.0/24)→宛先ゲートウェイ(192.168.0.254)を登録確認してみて下さい。
 HGWの機種により、2重ルーター構成の場合に上記の静的ルーティング登録も追加しませんと、正規の通信にならない場合が有ります。

書込番号:19426181

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/22 19:14(1年以上前)

 補足ですが、RTX810間のIPSECトンネルの設定と、L2TP/IPSECのトンネルは、個別に設定されていませんと、VPN接続の基本的な条件になりません。
 
 L2TP/IPSECのトンネルは、接続端末数と同時接続数によって、トンネル追加は複数しませんと、同時接続は出来ません。
 例えば、IOSスマートフォンを接続しながら、Android端末を接続したり、タブレットを接続したり等、1トンネルあたり1端末と考えてリモートアクセス設定を追加下さい。

 それと、リモートアクセスの切断時ですが、RTX810ルーターの切断時の再接続要求状態になるまで、若干のタイムロスが有ります。
 頻繁に、接続・切断を繰り返す要素が想定される場合、RTX810ルーターのL2TPトンネルの自動切断タイマーの設定を追加しておいた方が良いかもしれません。

 tunnel select 2 → l2tp tunnel disconnect time 600 → l2tp keepalive use off

 上記コマンドで、自動切断タイマーを10分、キープアライブをOFFにするコマンドです。
 Webからの設定も可能です。

書込番号:19426200

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/22 19:23(1年以上前)

 念のための話ですが、自宅にIPカメラを設置しているとの事ですが、会社にはIPカメラを設置しているのでしょうか?

 自宅のIPカメラのIP体系も192.168.101.***、デフォルトゲートウェイ192.168.101.1、プライマリDNS192.168.101.1の設定確認、会社のIPカメラが有れば、IP192.168.103.***、デフォルトゲートウェイ192.168.103.1、プライマリDNS192.168.103.1の設定確認しませんと、アクセス条件になりません。

 会社若しくは自宅にIPカメラ用防犯レコーダーなどを設置している場合には、その防犯レコーダーのIP体系も確認下さい。
 防犯レコーダーの複数カメラ登録も、それぞれのIPカメラのIPアドレス情報を登録する形になるかと存じます。

書込番号:19426221

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/22 19:37(1年以上前)

 補足Aです。

 自宅のIPカメラの件ですが、もしかしてHGWの内蔵無線LAN機能にて、無線LAN接続している形でしょうか?

 カメラの特定機能によって、HGWの無線LAN機能での接続ですと、無線LANセグメントとRTX810ルーターセグメントが違う認識固定になるカメラも有ります。

 その際には、IPカメラをRTX810ルーター配下に、無線ルーターを接続して、その無線ルーター経由にしなければうまく通信出来ない場合も有ります。
 先ほどの説明は、自宅RTX810ルーターの配下のIP範囲にIPカメラが有る条件になります。

書込番号:19426253

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/22 19:52(1年以上前)

 注意点ですが、RTX810ルーターは最大VPNトンネルは、IPSECとL2TP全て総計で、6トンネルしか対応しておりません。

 今回は、自宅と会社間、モバイルとそれぞれの拠点という条件でしたが、拠点数が増えたり、モバイル端末数が増える事が予期される場合、自宅側のルーターを「FWX120」や「RTX1210」等の構成をご検討下さい。

書込番号:19426284

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/22 23:04(1年以上前)

>sorio-2215さん

今自宅ですがHGWまでも出られなくなっています。会社用のコマンドを自宅のルーターに投入したのかも。仕方ないのでPCをHGWに繋いで接続中です。

お手数ですが、見ていただけますか??


ip route default gateway 192.168.0.1
ip route 192.168.100.0/24 gateway tunnel 1
ip route 192.168.103.0/24 gateway tunnel 1
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ip lan1 address 192.168.101.1/24
ip lan1 proxyarp on
ip lan2 address 192.168.0.254/24
ip lan2 secure filter in 101003 101020 101021 101022 101023 101024 101025 101030 101032 101080 101081
ip lan2 nat descriptor 200
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:DHCP
provider ntpdate ntp.nict.jp
tunnel select 1
tunnel name IPsec(自宅)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.101.1
ipsec ike local id 1 192.168.101.1/24
ipsec ike pre-shared-key 1 text *******
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1 key-id
ip tunnel tcp mss limit auto
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.101.0/24 * * * *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.101.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.101.1 udp * 500
ip filter 101081 pass * 192.168.101.1 esp * *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
nat descriptor masquerade static 200 1 192.168.101.1 udp 500
nat descriptor masquerade static 200 2 192.168.101.1 esp
ipsec auto refresh on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.101.2-192.168.101.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
httpd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
alarm entire off
#

書込番号:19426807

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/22 23:46(1年以上前)

 自宅RTX810ルーターに192.168.101.0グループにダウンロード拒否するフィルタ投入されていますよ。
 
 下記修正願います。

ip lan2 secure filter in 101000 101001 101004 101005 101006 101020 101021 101022 101023 101024 101025 101030 101032 101080 101081 101099
ip lan2 secure filter out 101010 101011 101020 101021 101022 101023 101024 101025 101099

ip filter 101004 pass * 192.168.101.1 udp * 4500
ip filter 101005 pass * 192.168.101.1 udp * 1701

nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.101.1-192.168.101.254
nat descriptor masquerade static 200 3 192.168.101.1 udp 1701
nat descriptor masquerade static 200 4 192.168.101.1 udp 4500

L2TPリモートアクセス用のトンネルについては、下記を参考に。

pp select anonymous
pp name L2TP/IPsec
pp bind tunnel2
pp auth request chap-pap
pp auth username ***** ****** (モバイル用接続ユーザーID 接続パスワード)
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text ******* (モバイル用暗号化キー)
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp keepalive use off
l2tp tunnel disconnect time 600
ip tunnel tcp mss limit auto
tunnel enable 2
ipsec transport 1 2 udp 1701


 複数モバイルを同時に接続許容させるためには、下記にて。

pp select anonymous
pp name L2TP/IPsec
pp bind tunnel2-tunnel3
tunnel select 3
tunnel encapsulation l2tp
ipsec tunnel 3
ipsec sa policy 3 3 esp 3des-cbc md5-hmac
ipsec ike keepalive log 3 off
ipsec ike keepalive use 3 off
ipsec ike nat-traversal 3 on
ipsec ike pre-shared-key 3 text ******* (モバイル用暗号化キー)
ipsec ike remote address 3 any
l2tp tunnel auth off
l2tp keepalive use off
l2tp tunnel disconnect time 600
ip tunnel tcp mss limit auto
tunnel enable 3
ipsec transport 1 2 udp 1701
ipsec transport 2 3 udp 1701

書込番号:19426905

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/22 23:53(1年以上前)

 今、HGWにパソコン接続されていますよね?

 HGWの詳細設定→その他設定→DMZホスト機能にチェック投入と、192.168.0.254が指定されているかを確認願います。
 それと、HGWの詳細設定→静的ルーティングにて、宛先アドレス(192.168.101.0/24)と宛先ゲートウェイ(192.168.0.254)の登録の確認も願います。

書込番号:19426917

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/23 08:19(1年以上前)

>sorio-2215さん

HGWに配線。DMZは設定済。HGWに静的ルーティングを新規に設定。→保存

RTXに配線。HGWに入れないです。当然インターネットにも出られません。

書込番号:19427433

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/23 08:34(1年以上前)

 新規・自宅RTX810ルーターのConfig提示下さい。

 適切な説明は、それからです。

 NATモードを変更しても接続出来ませんか?
 nat descriptor address outer 200 primary
 nat descriptor address inner 200 auto
 
 ↑のコマンドを実施してみて下さい。

 HGWへアクセス出来ない時点で、RTX810からHGWへのLANケーブル接点不良も考えられるのですが。
 コマンドにて、「show status lan2」を実施→出力情報の提示をお願いします。

 確認ですが、HGWの詳細設定→その他設定→IPSECパススルーにチェック投入されているかも事前に確認の上、HGWの再起動→(5分後程度)RTX810の再起動を実施下さい。

書込番号:19427457

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/23 08:36(1年以上前)

 先ほどの点を確認後ですが、「show nat descriptor address」にて、表示情報をお教え下さい。

書込番号:19427462

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/23 08:54(1年以上前)

 もしかして、他の機器のRTX810ルーターのWAN側IPアドレス(192.168.0.254)が衝突・重複していると言うことは有りませんか?

 AU回線ですよね?
 AU-HOMESpot-QUBEなどは、192.168.***.254をデフォルトで利用する仕様になっていましたが、HOMESpot-QUBEを利用されているのであれば、利用停止下さい。

書込番号:19427492

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/23 08:57(1年以上前)

# show status lan2
LAN2
説明:
IPアドレス: 192.168.0.254/24
イーサネットアドレス: 00:a0:de:7f:ac:b5
動作モード設定: Auto Negotiation (1000BASE-T Full Duplex)
最大パケット長(MTU): 1500 オクテット
プロミスキャスモード: OFF
送信パケット: 3398071 パケット(3245802987 オクテット)
IPv4(全体/ファストパス): 3397686 パケット / 3200305 パケット
IPv6(全体/ファストパス): 5 パケット / 0 パケット
受信パケット: 3700514 パケット(1008277855 オクテット)
IPv4: 3548747 パケット
IPv6: 7608 パケット
未サポートパケットの受信: 136307
受信オーバーフロー: 17
#

# show nat descriptor address
参照NATディスクリプタ : 200, 適用インタフェース : LAN2(1)
Masqueradeテーブル
外側アドレス: primary/192.168.0.254
ポート範囲: 60000-64095, 54096-59999 33個使用中
プロトコル 内側アドレス 宛先 マスカレード 種別
ESP 192.168.101.1.* *.*.*.*.* * static
UDP 192.168.101.1.500 *.*.*.*.* 500 static
-*- -*- -*- -*- -*- -*- -*- -*- -*- -*- -*-
No. 内側アドレス 使用中のポート数 制限数 種別
1 192.168.101.1 17 10000 dynamic
2 192.168.101.3 5 10000 dynamic
3 192.168.101.2 5 10000 dynamic
4 192.168.101.4 4 10000 dynamic
5 192.168.101.7 2 10000 dynamic
---------------------
有効なNATディスクリプタテーブルが1個ありました
#

書込番号:19427496

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/23 09:00(1年以上前)

ip route default gateway 192.168.0.1
ip route 192.168.100.0/24 gateway tunnel 1
ip route 192.168.103.0/24 gateway tunnel 1
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ip lan1 address 192.168.101.1/24
ip lan1 proxyarp on
ip lan2 address 192.168.0.254/24
ip lan2 secure filter in 101003 101020 101021 101022 101023 101024 101025 101030 101032 101080 101081
ip lan2 nat descriptor 200
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:DHCP
provider ntpdate ntp.nict.jp
tunnel select 1
tunnel name IPsec(自宅)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.101.1
ipsec ike local id 1 192.168.101.1/24
ipsec ike pre-shared-key 1 text *******
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1 key-id
ip tunnel tcp mss limit auto
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.101.0/24 * * * *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.101.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.101.1 udp * 500
ip filter 101081 pass * 192.168.101.1 esp * *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.101.1 udp 500
nat descriptor masquerade static 200 2 192.168.101.1 esp
ipsec auto refresh on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.101.2-192.168.101.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
httpd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
alarm entire off
#

書込番号:19427502

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/23 09:25(1年以上前)

 IPフィルタの設定替えがされていませんよ。
 
 「ip lan2 secure filter in 101000 101001 101004 101005 101006 101020 101021 101022 101023 101024 101025 101030 101032 101080 101081 101099」
 
 ↑ は一行文です。

 「ip lan2 secure filter out 101010 101011 101020 101021 101022 101023 101024 101025 101099」

 「ip filter 101004 pass * 192.168.101.1 udp * 4500」
 「ip filter 101005 pass * 192.168.101.1 udp * 1701」

 全てコマンド投入して頂きませんと、WAN→LAN、LAN→WANのルーティング拒否されていますよ。

 先刻のL2TPリモートアクセスのコマンドも確認お願いします。

 LAN2ステータスの情報から、以前の動的フィルタ機能が残留しており、インターネット接続変換機能の阻害要因になっています。
 IPフィルタのコマンド投入して頂きませんと、先に進めません。

 

書込番号:19427539

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/23 09:25(1年以上前)

>sorio-2215さん

AU-HOMESpot-QUBEとは何かわかりませんが使っていないです。254が衝突するような設定はないと思います。

書込番号:19427540

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/23 09:38(1年以上前)

 コマンド文の「ip filter 101003 reject 192.168.101.0/24 * * * *」と「ip filter 101013 reject * 192.168.101.0/24 * * *」が、IPフィルタ(ファイアーウォール機能)にルール投入されていては、まずいです。

 rejectで拒否と言う事です。

 Webメニューからの解除も可能ですが、IPフィルタのコマンドをそのまま実行すると、置き換わりますので、先ずは投入下さい。

 LAN2接続情報とNATステータスを見ると、NATモードの不整合では有りませんでしたので、安定化のNATへ戻して下さい。

 「nat descriptor address outer 200 192.168.0.254」
 「nat descriptor address inner 200 192.168.0.254 192.168.101.1-192.168.101.254」
 「nat descriptor masquerade static 200 3 192.168.101.1 udp 1701」
 「nat descriptor masquerade static 200 4 192.168.101.1 udp 4500」

 ↑コマンド実行下さい。

L2TPリモートアクセス・トンネル設定も、コマンド投入しておいて下さい。

 L2TPリモートアクセス用のトンネルについては、下記を参考に。

pp select anonymous
pp name L2TP/IPsec
pp bind tunnel2
pp auth request chap-pap
pp auth username ***** ****** (モバイル用接続ユーザーID 接続パスワード)
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text ******* (モバイル用暗号化キー)
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp keepalive use off
l2tp tunnel disconnect time 600
ip tunnel tcp mss limit auto
tunnel enable 2
ipsec transport 1 2 udp 1701

(モバイル用接続ユーザーID 接続パスワード)と(モバイル用暗号化キー)は、自己で決定しました任意のものを設定下さい。
 IOS端末からアクセスします、接続IDとパスワード、暗号化キーです。

書込番号:19427567

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/23 09:41(1年以上前)

  「ip lan2 secure filter in 101000 101001 101004 101005 101006 101020 101021 101022 101023 101024 101025 101030 101032 101080 101081 101099」

 「ip lan2 secure filter out 101010 101011 101020 101021 101022 101023 101024 101025 101099」

 をコマンド実行後にConfigの提示をお願いします。

書込番号:19427575

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/23 09:49(1年以上前)

>sorio-2215さん

おかげさまでほぼうまく動くようになりました。現在の問題点は1つだけです。

・会社のHGWへの接続ができない


自宅からとVPN経由でも試してみました。社内からは試していません。

会社のコンフィグは昨日アップしたままです。


よろしくお願いします。

書込番号:19427604

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/23 10:14(1年以上前)

 Config自体は、間違っておりません。

 自宅RTX810ルーターのトンネル1からのルーティングで、会社RTX810ルーターのトンネル経由で、光電話ルーターのログインメニューを阻害する、IPフィルタなどは、会社RTX810には投入されていません。

 確認する点としては、下記になります。
 会社端末から光電話ルーターにログイン出来るかどうか、出来ない場合には、NTT光電話ルーターの詳細設定→パケットフィルタの拒否や、自宅及び会社端末のセキュリティソフト周りの制限等も有りますが。

 通常は、あまり気にする必要有りませんが、NTT光電話ルーターの詳細設定→IPv4パケットフィルタ設定にて、有効にチェック投入のパケットルールを無効化してみる点、セキュリティソフトでの検疫機能(ファイアーウォール機能)が有れば、その設定を確認する必要がありますが、セキュリティソフトの検疫の場合、セキュリティソフトの機能を一時停止すると、原因がわかるかと考えます。

 ご利用のセキュリティソフトのソフト名、Windowsファイアーウォール機能の有効・無効も含め、お教え下さい。

書込番号:19427654

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/23 10:20(1年以上前)

>sorio-2215さん

本当にお世話になっております。

会社のHGWには前回は社内からアクセスできましたし、自宅からもできていました。

その時もPCにはノートン360が入っておりそれがファイヤーウォール機能も持っていました。

取り敢えず会社にってアクセスできるかどうか試してみます。

会社のHGWの見るべき設定項目を教えておいてください。



よろしくお願いします。

書込番号:19427673

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/23 11:48(1年以上前)

 ついでに、パソコンのアクセスブラウザに、余計なアクセス制限しますツールバー等が有りましたら、無効にして確認下さい。

 IEブラウザの場合、ツール→アドオン管理にて稼働アドオンの無効化が可能です。

書込番号:19427885

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/23 12:38(1年以上前)

 別のブラウザ(FirefoxやOpera等)においても、アクセス可能かどうかを確認してみて下さい。

 

書込番号:19428023

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/23 13:27(1年以上前)

 Norton360のファイアーウォール許可ですが、2重ルーターの関係上、IPアドレスへのリモートポート許可の設定をしないといけない可能性があります。

 Norton360の設定タブ→マイネットワーク→ネットワークセキュリティマップ(設定をクリック)→信頼制御→ネットワーク上の合計の下にある[+]ボタンをクリック→[デバイスの追加]画面が表示→名前(光電話ルーターと)とアドレス「192.168.100.1」を入力して「デバイスの追加」ボタンをクリックして、光電話ネットワークへのIPアクセス信頼追加して下さい。
 Norton360のファイアーウォール機能を無効設定でも構いません。
 ※Noroton360の設定タブ→全般設定→スマートファイアーウォールをOFFに。
   併せて、侵入防止とブラウザ保護のOFFも。

 Windowsファイアーウォール機能の場合、無効化してみるなど。

書込番号:19428172

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/23 13:30(1年以上前)

 当方も酷似しました環境で運用しておりますが、Trendmicro系とSOURCENEXT系でトラブルが出たケースの経験則が有ります。
 
 Kaspersky系では問題有りませんが。

書込番号:19428177

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/23 14:36(1年以上前)

会社のHGWの設定です。

1 拒否 LAN->WAN TCP 指定しない 全て * * 137-139 * * * 編集 削除
2 拒否 LAN->WAN UDP 指定しない 全て * * 137-139 * * * 編集 削除
3 拒否 LAN->WAN UDP 指定しない 全て * 127.0.0.1/32 137-139 domain * * 編集 削除
4 拒否 WAN->LAN TCP 指定しない 全て * 127.0.0.1/32 * telnet * * 編集 削除
5 拒否 WAN->LAN UDP 指定しない 全て * 127.0.0.1/32 * 69 * * 編集 削除
6 拒否 WAN->LAN TCP 指定しない 全て * 127.0.0.1/32 * 75 * * 編集 削除
7 拒否 WAN->LAN TCP 指定しない 全て * 127.0.0.1/32 * www * * 編集 削除
8 拒否 LAN->WAN TCP 指定しない 全て * * * 1243 * * 編集 削除
9 拒否 LAN->WAN TCP 指定しない 全て * * * 12345 * * 編集 削除
10 拒否 LAN->WAN TCP 指定しない 全て * * * 27374 * * 編集 削除
11 拒否 LAN->WAN TCP 指定しない 全て * * * 31785 * * 編集 削除
12 拒否 LAN->WAN UDP 指定しない 全て * * * 31789 * * 編集 削除
13 拒否 LAN->WAN UDP 指定しない 全て * * * 31791 * * 編集

上記すべて有効です。これらを無効にしても自宅経由のVPNからのアクセス不可でした。さらにノートン360を無効にしても同様。

なお会社から自宅のHGWにもアクセスできていません。

まとめると

会社→自宅のHGWアクセス不能
自宅→会社のHGWアクセス不能

となります。

書込番号:19428327

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/23 14:52(1年以上前)

 うーん、そうすると、コマンド投入の静的ルーティング情報の反映がうまくいっていない位しか無いですね。

 一度会社RTX810ルーターのWeb設定画面→ [トップ] > [詳細設定と情報] > [VPN接続の設定] → [VPN接続設定の修正(TUNNEL[01])] にて、その他経路情報のその他の経路に192.168.0.0/255.255.255.0が表示されているか確認して頂き、表示されていれば、一度削除にチェックして頂き設定の確定、再度、その他経路情報のその他の経路に192.168.0.0/255.255.255.0を登録し直しして頂いても良いでしょうか?
 なお、投入済みの192.168.101.0/255.255.255.0の経路は触れないで下さい。
 
 最後に、コマンド実行にて、save を実行下さい。

 同様に、自宅RTX810ルーターのWeb設定画面→ [トップ] > [詳細設定と情報] > [VPN接続の設定] → [VPN接続設定の修正(TUNNEL[01])] にて、その他経路情報のその他の経路に192.168.100.0/255.255.255.0が表示されているか確認して頂き、表示されていれば、一度削除にチェックして頂き設定の確定、再度、その他経路情報のその他の経路に192.168.100.0/255.255.255.0を登録し直しして頂いても良いでしょうか?
 なお、投入済みの192.168.103.0/255.255.255.0の経路は触れないで下さい。
  
 最後に、コマンド実行にて、save を実行下さい。

書込番号:19428369

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/23 15:01(1年以上前)

 念のため、どういう経路通信しているか、ステータス確認可能かと考えますので、下記コマンドをそれぞれ実行し、表示項目を提示頂けますでしょうか?

 @ show status lan 2

A show nat descriptor address detail

B show ip route

 特にBが重要です。
 会社と自宅、双方の状態表示をお願いします。
 

書込番号:19428384

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/23 15:17(1年以上前)

 只今、会社ですよね?
 自宅に帰らなくても、VPNで自宅RTX810ルーターへはログイン出来ますよね?

 ログインしましたら、先ほどのVPNのその他経路の削除→再登録が可能かと存じます。

 先ずはお試し下さい。

 本来のメインルーティングアドレスは、触れないで下さいね。(VPNが切れます)

書込番号:19428411

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/23 15:39(1年以上前)

会社側の情報です。

# show status lan2
LAN2
説明:
IPアドレス: 192.168.100.254/24
イーサネットアドレス: 00:a0:de:81:18:47
動作モード設定: Auto Negotiation (1000BASE-T Full Duplex)
最大パケット長(MTU): 1500 オクテット
プロミスキャスモード: OFF
送信パケット: 896013 パケット(141567445 オクテット)
IPv4(全体/ファストパス): 890523 パケット / 841478 パケット
IPv6(全体/ファストパス): 1 パケット / 0 パケット
受信パケット: 968023 パケット(1023595980 オクテット)
IPv4: 953434 パケット
IPv6: 1017 パケット
未サポートパケットの受信: 2440
#

# show nat descriptor address detail
参照NATディスクリプタ : 200, 適用インタフェース : LAN2(1)
Masqueradeテーブル
外側アドレス: 192.168.100.254
ポート範囲: 60000-64095, 54096-59999 116個使用中
プロトコル 内側アドレス 宛先 マスカレード TTL(秒)
UDP 192.168.103.1.4500 *.*.*.*.* 4500 static
UDP 192.168.103.1.1701 *.*.*.*.* 1701 static
ESP 192.168.103.1.* *.*.*.*.* * static
UDP 192.168.103.1.500 *.*.*.*.* 500 static
ICMP 192.168.103.1.36994 192.168.100.1.* 63544 6
ICMP 192.168.103.1.36995 192.168.100.1.* 63545 16
ICMP 192.168.103.1.36996 192.168.100.1.* 63547 26
TCP 192.168.103.2.49868 ***.127.93.116.80 63975 36
ICMP 192.168.103.1.36997 192.168.100.1.* 63548 36
ICMP 192.168.103.1.36998 192.168.100.1.* 63556 46
ICMP 192.168.103.1.36999 192.168.100.1.* 63557 56
ICMP 192.168.103.1.37000 192.168.100.1.* 63642 66
ICMP 192.168.103.1.37001 192.168.100.1.* 63643 76
ICMP 192.168.103.1.37002 192.168.100.1.* 63644 86
ICMP 192.168.103.1.37003 192.168.100.1.* 63645 96
ICMP 192.168.103.1.37004 192.168.100.1.* 63794 106
ICMP 192.168.103.1.37005 192.168.100.1.* 63646 116
ICMP 192.168.103.1.37006 192.168.100.1.* 63657 126
ICMP 192.168.103.1.37007 192.168.100.1.* 63660 136
ICMP 192.168.103.1.37008 192.168.100.1.* 63662 146
ICMP 192.168.103.1.37009 192.168.100.1.* 63665 156
ICMP 192.168.103.1.37010 192.168.100.1.* 63667 166
ICMP 192.168.103.1.37011 192.168.100.1.* 63795 176
ICMP 192.168.103.1.37012 192.168.100.1.* 63669 186
ICMP 192.168.103.1.37013 192.168.100.1.* 63673 196
ICMP 192.168.103.1.37014 192.168.100.1.* 63679 206
ICMP 192.168.103.1.37015 192.168.100.1.* 63680 216
ICMP 192.168.103.1.37016 192.168.100.1.* 63681 226
ICMP 192.168.103.1.37017 192.168.100.1.* 63685 236
ICMP 192.168.103.1.37018 192.168.100.1.* 63689 246
ICMP 192.168.103.1.37019 192.168.100.1.* 63692 256
ICMP 192.168.103.1.37020 192.168.100.1.* 63693 266
UDP 192.168.103.2.60006 ***.58.220.238.443 63784 273
ICMP 192.168.103.1.37021 192.168.100.1.* 63700 276
TCP 192.168.103.2.49695 1***.98.7.24.80 63635 613
ICMP 192.168.103.1.37022 192.168.100.1.* 63701 286
ICMP 192.168.103.1.37023 192.168.100.1.* 63702 296
ICMP 192.168.103.1.37024 192.168.100.1.* 63829 306
ICMP 192.168.103.1.37025 192.168.100.1.* 63862 316
ICMP 192.168.103.1.37026 192.168.100.1.* 63843 326
ICMP 192.168.103.1.37027 192.168.100.1.* 63842 336
ICMP 192.168.103.1.37028 192.168.100.1.* 63841 346
ICMP 192.168.103.1.37029 192.168.100.1.* 63840 356
ICMP 192.168.103.1.37030 192.168.100.1.* 63839 366
ICMP 192.168.103.1.37031 192.168.100.1.* 63838 376
ICMP 192.168.103.1.37032 192.168.100.1.* 63837 386
ICMP 192.168.103.1.37033 192.168.100.1.* 63836 396

書込番号:19428450

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/23 15:40(1年以上前)

ICMP 192.168.103.1.37034 192.168.100.1.* 63835 406
ICMP 192.168.103.1.37035 192.168.100.1.* 63834 416
ICMP 192.168.103.1.37036 192.168.100.1.* 63866 426
ICMP 192.168.103.1.37037 192.168.100.1.* 63865 436
ICMP 192.168.103.1.37038 192.168.100.1.* 63712 446
ICMP 192.168.103.1.37039 192.168.100.1.* 63713 456
ICMP 192.168.103.1.37040 192.168.100.1.* 63714 466
ICMP 192.168.103.1.37041 192.168.100.1.* 63725 476
ICMP 192.168.103.1.37042 192.168.100.1.* 63731 486
ICMP 192.168.103.1.37043 192.168.100.1.* 63907 496
ICMP 192.168.103.1.37044 192.168.100.1.* 63937 506
ICMP 192.168.103.1.37045 192.168.100.1.* 63936 516
ICMP 192.168.103.1.37046 192.168.100.1.* 63933 526
ICMP 192.168.103.1.37047 192.168.100.1.* 63955 536
ICMP 192.168.103.1.37048 192.168.100.1.* 63951 546
ICMP 192.168.103.1.37049 192.168.100.1.* 63947 556
UDP 192.168.103.101.1024 ***.69.251.23.123 63944 560
ICMP 192.168.103.1.37050 192.168.100.1.* 63942 566
UDP 192.168.103.101.1025 ***.69.251.23.123 63982 566
ICMP 192.168.103.1.37051 192.168.100.1.* 63977 576
ICMP 192.168.103.1.37052 192.168.100.1.* 63967 586
ICMP 192.168.103.1.37053 192.168.100.1.* 63966 596
ICMP 192.168.103.1.37054 192.168.100.1.* 63965 606
ICMP 192.168.103.1.37055 192.168.100.1.* 63964 616
ICMP 192.168.103.1.37056 192.168.100.1.* 63963 626
ICMP 192.168.103.1.37057 192.168.100.1.* 63961 636
ICMP 192.168.103.1.37058 192.168.100.1.* 63986 646
ICMP 192.168.103.1.37059 192.168.100.1.* 64039 656
ICMP 192.168.103.1.37060 192.168.100.1.* 64038 666
UDP 192.168.103.3.16403 ***.155.127.222.16385 63678 667
UDP 192.168.103.3.16403 ***.155.127.222.16384 63678 667
UDP 192.168.103.3.16403 ***.0.154.***.63678 63678 667
UDP 192.168.103.3.16403 ***.155.127.223.16386 63678 667
ICMP 192.168.103.1.37061 192.168.100.1.* 64030 676
ICMP 192.168.103.1.37062 192.168.100.1.* 64012 686
ICMP 192.168.103.1.37063 192.168.100.1.* 64008 696
TCP 192.168.103.2.49886 ***.78.102.184.443 63993 882
TCP 192.168.103.2.49888 ***.235.139.205.443 60011 883
TCP 192.168.103.2.49896 ***.246.188.107.80 64060 885
TCP 192.168.103.2.49897 ***.194.1***.237.80 64056 885
TCP 192.168.103.2.49898 ***.58.220.238.443 64055 887
UDP 192.168.103.2.50502 ***.58.220.238.443 64053 705
TCP 192.168.103.2.49900 ***.194.126.249.80 64043 876
ICMP 192.168.103.1.37064 192.168.100.1.* 64042 706
TCP 192.168.103.2.49901 ***.58.220.194.443 60103 886
UDP 192.168.103.2.58337 ***.58.220.238.443 63823 706
TCP 192.168.103.2.49902 ***.58.221.2.443 60113 883
TCP 192.168.103.2.49903 ***.58.220.193.443 60124 887
UDP 192.168.103.2.52218 ***.58.220.193.443 60119 707
TCP 192.168.103.2.49910 ***.58.220.226.80 60156 888
TCP 192.168.103.2.49912 ***.194.1***.254.80 63908 889
TCP 192.168.103.2.49915 ***.194.1***.2***.443 63913 890
TCP 192.168.103.2.49920 ***.150.102.51.80 64026 896
ICMP 192.168.103.1.37065 192.168.100.1.* 63753 716
ICMP 192.168.103.1.37066 192.168.100.1.* 64081 726
TCP 192.168.103.2.49413 ***.244.42.136.443 63154 866

書込番号:19428452

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/23 15:41(1年以上前)

ICMP 192.168.103.1.37067 192.168.100.1.* 64063 736
ICMP 192.168.103.1.37068 192.168.100.1.* 64045 746
ICMP 192.168.103.1.37069 192.168.100.1.* 60007 756
ICMP 192.168.103.1.37070 192.168.100.1.* 60070 766
ICMP 192.168.103.1.37071 192.168.100.1.* 60065 776
ICMP 192.168.103.1.37072 192.168.100.1.* 63943 786
ICMP 192.168.103.1.37073 192.168.100.1.* 63971 796
ICMP 192.168.103.1.37074 192.168.100.1.* 60053 806
ICMP 192.168.103.1.37075 192.168.100.1.* 60052 816
ICMP 192.168.103.1.37076 192.168.100.1.* 60057 826
ICMP 192.168.103.1.37077 192.168.100.1.* 60059 836
ICMP 192.168.103.1.37078 192.168.100.1.* 60030 846
ICMP 192.168.103.1.37079 192.168.100.1.* 60033 856
ICMP 192.168.103.1.37080 192.168.100.1.* 63758 866
ICMP 192.168.103.1.37081 192.168.100.1.* 60086 876
ICMP 192.168.103.1.37082 192.168.100.1.* 60087 886
ICMP 192.168.103.1.37083 192.168.100.1.* 64023 896
UDP 192.168.103.1.500 ***.***.141.4.500 500 897
---------------------
有効なNATディスクリプタテーブルが1個ありました
#

# show ip route
宛先ネットワーク ゲートウェイ インタフェース 種別 付加情報
default 192.168.100.1 LAN2 static
192.168.0.0/24 - TUNNEL[1] static
192.168.100.0/24 192.168.100.254 LAN2 implicit
192.168.101.0/24 - TUNNEL[1] static
192.168.103.0/24 192.168.103.1 LAN1 implicit
#

書込番号:19428455

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/23 15:49(1年以上前)

自宅側

# show status lan2
LAN2
説明:
IPアドレス: 192.168.0.254/24
イーサネットアドレス: 00:a0:de:7f:ac:b5
動作モード設定: Auto Negotiation (1000BASE-T Full Duplex)
最大パケット長(MTU): 1500 オクテット
プロミスキャスモード: OFF
送信パケット: 3532209 パケット(3283821797 オクテット)
IPv4(全体/ファストパス): 3531775 パケット / 3290111 パケット
IPv6(全体/ファストパス): 5 パケット / 0 パケット
受信パケット: 3887399 パケット(1145519830 オクテット)
IPv4: 3717533 パケット
IPv6: 8730 パケット
未サポートパケットの受信: 152544
受信オーバーフロー: 17
#

# show nat descriptor address detail
参照NATディスクリプタ : 200, 適用インタフェース : LAN2(1)
Masqueradeテーブル
外側アドレス: 192.168.0.254
ポート範囲: 60000-64095, 54096-59999 105個使用中
プロトコル 内側アドレス 宛先 マスカレード TTL(秒)
UDP 192.168.101.1.4500 *.*.*.*.* 4500 static
UDP 192.168.101.1.1701 *.*.*.*.* 1701 static
ESP 192.168.101.1.* *.*.*.*.* * static
UDP 192.168.101.1.500 *.*.*.*.* 500 static
ICMP 192.168.101.1.43374 192.168.0.1.* 61165 2
ICMP 192.168.101.1.43375 192.168.0.1.* 60729 12
TCP 192.168.101.4.55676 ***.212.238.143.80 60894 17
TCP 192.168.101.4.55675 ***.246.184.22.80 61308 17
TCP 192.168.101.4.55677 ***.194.38.199.443 61242 17
TCP 192.168.101.4.55674 ***.248.153.201.443 61260 22
ICMP 192.168.101.1.43376 192.168.0.1.* 61178 22
ICMP 192.168.101.1.43377 192.168.0.1.* 60722 32
ICMP 192.168.101.1.43378 192.168.0.1.* 60210 42
ICMP 192.168.101.1.43379 192.168.0.1.* 61146 52
ICMP 192.168.101.1.43380 192.168.0.1.* 61122 62
ICMP 192.168.101.1.43381 192.168.0.1.* 61069 72
ICMP 192.168.101.1.43382 192.168.0.1.* 61070 82
ICMP 192.168.101.1.43383 192.168.0.1.* 61040 92
ICMP 192.168.101.1.43384 192.168.0.1.* 60225 102
ICMP 192.168.101.1.43385 192.168.0.1.* 60704 112
ICMP 192.168.101.1.43386 192.168.0.1.* 61005 122
ICMP 192.168.101.1.43387 192.168.0.1.* 61199 132
ICMP 192.168.101.1.43388 192.168.0.1.* 61133 142
ICMP 192.168.101.1.43389 192.168.0.1.* 61132 152
ICMP 192.168.101.1.43390 192.168.0.1.* 61206 162
ICMP 192.168.101.1.43391 192.168.0.1.* 61134 172
ICMP 192.168.101.1.43392 192.168.0.1.* 61131 182
ICMP 192.168.101.1.43393 192.168.0.1.* 60228 192
ICMP 192.168.101.1.43394 192.168.0.1.* 61162 202

書込番号:19428476

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/23 15:50(1年以上前)

[4] 192.168.101.1.0 *.*.*.*.* 0 204
ICMP 192.168.101.1.43395 192.168.0.1.* 61091 212
ICMP 192.168.101.1.43396 192.168.0.1.* 61119 222
ICMP 192.168.101.1.43397 192.168.0.1.* 60215 232
ICMP 192.168.101.1.43398 192.168.0.1.* 61099 242
ICMP 192.168.101.1.43399 192.168.0.1.* 60199 252
ICMP 192.168.101.1.43400 192.168.0.1.* 61218 262
ICMP 192.168.101.1.43401 192.168.0.1.* 60701 272
ICMP 192.168.101.1.43402 192.168.0.1.* 60703 282
ICMP 192.168.101.1.43403 192.168.0.1.* 61153 292
ICMP 192.168.101.1.43404 192.168.0.1.* 61167 302
ICMP 192.168.101.1.43405 192.168.0.1.* 61141 312
ICMP 192.168.101.1.43406 192.168.0.1.* 61114 322
[4] 192.168.101.1.0 *.*.*.*.* 0 327
ICMP 192.168.101.1.43407 192.168.0.1.* 60714 332
ICMP 192.168.101.1.43408 192.168.0.1.* 61117 342
ICMP 192.168.101.1.43409 192.168.0.1.* 61166 352
ICMP 192.168.101.1.43410 192.168.0.1.* 61155 362
ICMP 192.168.101.1.43411 192.168.0.1.* 61156 372
ICMP 192.168.101.1.43412 192.168.0.1.* 61152 382
ICMP 192.168.101.1.43413 192.168.0.1.* 60706 392
ICMP 192.168.101.1.43414 192.168.0.1.* 61077 402
ICMP 192.168.101.1.43415 192.168.0.1.* 60719 412
UDP 192.168.101.2.11140 ***.250.194.***.27544 60221 418
ICMP 192.168.101.1.43416 192.168.0.1.* 61150 422
[4] 192.168.101.1.0 *.*.*.*.* 0 428
ICMP 192.168.101.1.43417 192.168.0.1.* 61169 432
TCP 192.168.101.4.54909 ***.244.42.136.443 62256 890
ICMP 192.168.101.1.43418 192.168.0.1.* 61170 442
TCP 192.168.101.3.36644 ***.213.235.183.4789 60418 863
UDP 192.168.101.2.9644 ***.250.194.***.123 60019 882
ICMP 192.168.101.1.43419 192.168.0.1.* 61143 452
ICMP 192.168.101.1.43420 192.168.0.1.* 61190 462
TCP 192.168.101.3.43360 ***.68.90.141.6420 60021 888
ICMP 192.168.101.1.43421 192.168.0.1.* 60718 472
ICMP 192.168.101.1.43422 192.168.0.1.* 60715 482
ICMP 192.168.101.1.43423 192.168.0.1.* 61140 492
ICMP 192.168.101.1.43424 192.168.0.1.* 60364 502
ICMP 192.168.101.1.43425 192.168.0.1.* 61047 512
ICMP 192.168.101.1.43426 192.168.0.1.* 60728 522
ICMP 192.168.101.1.43427 192.168.0.1.* 60732 532
ICMP 192.168.101.1.43428 192.168.0.1.* 60367 542
ICMP 192.168.101.1.43429 192.168.0.1.* 61177 552
ICMP 192.168.101.1.43430 192.168.0.1.* 61136 562
ICMP 192.168.101.1.43431 192.168.0.1.* 61145 572
ICMP 192.168.101.1.43432 192.168.0.1.* 61229 582
ICMP 192.168.101.1.43433 192.168.0.1.* 61164 592
ICMP 192.168.101.1.43434 192.168.0.1.* 61182 602
ICMP 192.168.101.1.43435 192.168.0.1.* 61127 612
ICMP 192.168.101.1.43436 192.168.0.1.* 60716 622
ICMP 192.168.101.1.43437 192.168.0.1.* 60720 632
ICMP 192.168.101.1.43438 192.168.0.1.* 61189 642
ICMP 192.168.101.1.43439 192.168.0.1.* 61126 652
ICMP 192.168.101.1.43440 192.168.0.1.* 60726 662
ICMP 192.168.101.1.43441 192.168.0.1.* 61201 672
ICMP 192.168.101.1.43442 192.168.0.1.* 60727 682
ICMP 192.168.101.1.43443 192.168.0.1.* 61282 692
TCP 192.168.101.4.55666 ***.234.41.23.80 61251 865
ICMP 192.168.101.1.43444 192.168.0.1.* 61320 702
UDP 192.168.101.4.59142 ***.168.199.44.53 60131 703

書込番号:19428478

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/23 15:51(1年以上前)

ICMP 192.168.101.1.43445 192.168.0.1.* 61325 712
ICMP 192.168.101.1.43446 192.168.0.1.* 61306 722
ICMP 192.168.101.1.43447 192.168.0.1.* 60284 732
ICMP 192.168.101.1.43448 192.168.0.1.* 61334 742
TCP 192.168.101.4.55669 ***.58.221.206.443 60353 882
ICMP 192.168.101.1.43449 192.168.0.1.* 60349 752
ICMP 192.168.101.1.43450 192.168.0.1.* 60737 762
ICMP 192.168.101.1.43451 192.168.0.1.* 61213 772
ICMP 192.168.101.1.43452 192.168.0.1.* 60376 782
ICMP 192.168.101.1.43453 192.168.0.1.* 61285 792
ICMP 192.168.101.1.43454 192.168.0.1.* 61241 802
ICMP 192.168.101.1.43455 192.168.0.1.* 61305 812
ICMP 192.168.101.1.43456 192.168.0.1.* 60382 822
ICMP 192.168.101.1.43457 192.168.0.1.* 61225 832
ICMP 192.168.101.1.43458 192.168.0.1.* 61348 842
ICMP 192.168.101.1.43459 192.168.0.1.* 61324 852
ICMP 192.168.101.1.43460 192.168.0.1.* 61247 862
ICMP 192.168.101.1.43461 192.168.0.1.* 61254 872
ICMP 192.168.101.1.43462 192.168.0.1.* 61233 882
ICMP 192.168.101.1.43463 192.168.0.1.* 61237 892
UDP 192.168.101.1.500 ***.***.154.***.500 500 897
ESP 192.168.101.1.0 ***.***.154.***.* 0 900
---------------------
有効なNATディスクリプタテーブルが1個ありました
#

# show ip route
宛先ネットワーク ゲートウェイ インタフェース 種別 付加情報
default 192.168.0.1 LAN2 static
192.168.0.0/24 192.168.0.254 LAN2 implicit
192.168.100.0/24 - TUNNEL[1] static
192.168.101.0/24 192.168.101.1 LAN1 implicit
192.168.103.0/24 - TUNNEL[1] static

書込番号:19428479

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/23 15:52(1年以上前)

 show ip route コマンド・ステータス確認しました。
 優先経路情報が、192.168.0.0/24になっている様ですね。
 
 やはり、一度トンネル1-VPNの経路情報の中の192.168.0.0/24を削除し、192.168.101.0/24を優先させる様にしないと経路情報の通信がうまくいかない状況の様です。

 先ほどの会社RTX810ルーターのWeb設定画面→ [トップ] > [詳細設定と情報] > [VPN接続の設定] → [VPN接続設定の修正(TUNNEL[01])] にて、その他経路情報のその他の経路に192.168.0.0/255.255.255.0が表示されているか確認して頂き、表示されていれば、一度削除にチェックして頂き設定の確定→再度、その他経路情報のその他の経路に192.168.0.0/255.255.255.0を登録し直しして頂いても良いでしょうか?

 自宅RTX810ルーターの方も同様に、Web設定画面→ [トップ] > [詳細設定と情報] > [VPN接続の設定] → [VPN接続設定の修正(TUNNEL[01])] にて、その他経路情報のその他の経路に192.168.100.0/255.255.255.0が表示されているか確認して頂き、表示されていれば、一度削除にチェックして頂き設定の確定→再度、その他経路情報のその他の経路に192.168.100.0/255.255.255.0を登録し直しして頂いても良いでしょうか?

 上記の設定後に、経路情報の交換に若干の時間がかかるかと存じますが、5〜10分程度以降に、会社から自宅HGWのアクセスと、自宅から会社HGWのアクセスをお試し下さい。

書込番号:19428480

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/23 15:56(1年以上前)

 「show nat descriptor address detail」及び「show status lan2」での出力ステータスは、異常有りません。

書込番号:19428487

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/23 15:59(1年以上前)

>sorio-2215さん

2015/12/23 14:52 [19428369] と同じことを書いていますね?もう「会社」でも「自宅」でも【実行済】で、その結果が先ほどアップした状況です。


よろしくお願いします。

書込番号:19428492

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/23 16:16(1年以上前)

 一応確認ですが、経路選択監視のコマンドを会社と自宅ルーターへコマンド投入、お願いできますか?

 「ip icmp echo-reply send-only-linkup on」
 
 それと、忘れてましたが、自宅RTX810ルーターにL2TP/IPSEC機能、その他UPNP機能を有効にする為のデフォルト・コマンドを説明忘れてました。

 「l2tp service on」
 「upnp use on」
 「upnp external address refer lan2」

 上記コマンドを実行登録しておきませんと、IOS端末からのVPN接続は出来ない筈ですので、投入願います。


 経路情報及びNAT変換情報を調べますので、暫し調査時間を頂きます。

書込番号:19428522

ナイスクチコミ!1


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/23 17:59(1年以上前)

 調査状況中ですが、

 先ず自宅AU光・RTX810ルーターのパケットサイズと、会社NTT光・RTX810ルーターのパケットサイズの送受信情報のパケット処理オーバーが発生しているようです。

 AU光の最適なMTUは1,492〜1,500、NTT光は1,454〜1,472ですが、VPNの通信上パケット上限を超える通信が発生しますと、通信機器へのアクセスがうまくいかないケースが想定されます。

 先ず会社RTX810ルーターのIPSECトンネルのMSSパケットサイズの固定設定コマンドを実施下さい。

 tunnel select 1
 ip tunnel tcp mss limit 1240

 今度は、自宅RTX810ルーターのパケットサイズの固定設定コマンドを実施下さい。

 tunnel select 1
 ip tunnel tcp mss limit 1240

 本当は、HGWのパケット・フレームサイズの設定を最適な設定が出来るタイプの方が良かったのですが、NTTとAU双方のHGWには、最適な上限のインターネットMTU数値を設定する箇所が無い様です。
 更にAU光・HGWの方ですが、詳細設定→その他設定に、ジャンボフレーム透過機能という項目が有りますが、これはチェック入れないで下さい。
 RTX810は、ジャンボフレーム・パケットに対応しておりません。
 これを有効にすると、パケットフレームサイズの制御がうまく通信出来ず、誤動作の原因になります。


 追加調査状況と、回線機能に合わせた修正情報が有れば、また投稿します。

書込番号:19428765

ナイスクチコミ!1


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/23 18:04(1年以上前)

 会社接続してあります、NEC無線ルーター(BRモード)の方においても、ジャンボフレーム透過機能の項目がありますが、チェック入れないで下さい。

 RTX810ルーターには、独自のパケット処理キャッシュ機能が有りますので(ファーストパス機能)、イレギュラーサイズのパケット処理するネットワーク設定機器の設定箇所は、未投入でお願いします。

書込番号:19428783

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/23 18:38(1年以上前)

 追加補足ですが、アクセスしますパソコンのLAN機能のプロパティ設定にて、ジャンボパケットやジャンボフレームなどの項目機能が有れば、OFFにてお願いします。

 コントロールパネル→ネットワークと共有センター→アダプタの設定変更→ローカルエリア接続→右クリック・プロパティにて、アダプタの構成ボタン・クリック→LAN機能の詳細設定などに項目が有れば、確認願います。

 同様に、ご利用のNASやネットワークカメラ、複合機などのインターフェイスの設定も、関連項目があれば無効にてお願いします。

書込番号:19428839

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/23 19:03(1年以上前)

>sorio-2215さん

ジャンボフレームにRTXが対応していないことは知っていたのでネットワーク機器もそのようにしています。

コマンド各種投入完了です。

書込番号:19428900

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/24 09:04(1年以上前)

 コマンド投入したとの事で、再度 「show nat descriptor address detail」を実行し、NAT変換ステータスを提示頂けますでしょうか?

 恐らく、IPSEC-MSS調整でうまくいったかと思いますが、先ずは異常ステータスが無いか提示お願いします。

 自宅→会社HGWのアクセス、会社→自宅HGWのアクセスを双方お試し頂き、設定メニュ−表示可能かどうかの試験と、それぞれのHGWの通信ログ、障害ログ等のステータスで、エラーが無いか確認出来ると良いのですが。

書込番号:19430285

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/24 09:29(1年以上前)

 先刻の確認しました後に、RTX810ルーターとNEC無線ルーター、自宅RTX810ルーター及び無線LAN機器周りの通信性能対応のため、会社RTX810ルーターと自宅RTX810ルーターへファストパス・キャッシュ設定のデフォルト設定コマンドを投入しておいて下さい。

 「ip routing process fast」

 自宅回線につきましては、AU光での回線機能に合わせたIPV6−RAプレフィックス設定も投入しておいて下さい。

 ipv6 routing process fast
 ipv6 prefix 1 ra-prefix@lan2::/64
 ipv6 lan1 address auto
 ipv6 lan1 prefix ra-prefix@lan2::/64
 ipv6 lan1 rtadv send 1 2 o_flag=on
 ipv6 lan2 dhcp service client ir=on

 AU光の場合、固定的にデフォルトで、IPV4/IPV6インターネット機能になっていますので、それに合わせた設定コマンドとなります。

 IPV4サイトを参照される時には、IPV4-DNSサーバをHGW192.168.0.1から取得し、IPV4サイトを参照される時には、IPV6-DNSサーバをHGW192.168.0.1から取得します構成になります。
 ※ http://www.au.kddi.com/internet/auhikari/service/net/ipv6/

書込番号:19430329

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/24 09:44(1年以上前)

 会社Nifty回線も、IPV6サイト参照可能な様に、IPV6オプションの再申請をされる場合には、この間投稿致しましたが、RTX810ルーターのIPV6-RAプレフィックス追加コマンドが必要です。
 
 ipv6 routing process fast
 ipv6 prefix 1 ra-prefix@lan2::/64
 ipv6 lan1 address auto
 ipv6 lan1 prefix ra-prefix@lan2::/64
 ipv6 lan1 rtadv send 1 2 o_flag=on
 ipv6 lan2 dhcp service client ir=on
 dns server dhcp lan2

 NTTの場合、NTT光電話ルーターでのIPV6フィルタの設定にて、IPV6アドレスのany許可の有効化も必要です。

書込番号:19430367

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/24 21:41(1年以上前)

# show nat descriptor address detail
参照NATディスクリプタ : 200, 適用インタフェース : LAN2(1)
Masqueradeテーブル
外側アドレス: 192.168.100.254
ポート範囲: 60000-64095, 54096-59999 90個使用中
プロトコル 内側アドレス 宛先 マスカレード TTL(秒)
UDP 192.168.103.1.1701 *.*.*.*.* 1701 static
ESP 192.168.103.1.* *.*.*.*.* * static
UDP 192.168.103.1.500 *.*.*.*.* 500 static
ICMP 192.168.103.1.47890 192.168.100.1.* 62664 10
ICMP 192.168.103.1.47891 192.168.100.1.* 62734 20
ICMP 192.168.103.1.47892 192.168.100.1.* 62706 30
ICMP 192.168.103.1.47893 192.168.100.1.* 62665 40
ICMP 192.168.103.1.47894 192.168.100.1.* 63011 50
ICMP 192.168.103.1.47895 192.168.100.1.* 62455 60
ICMP 192.168.103.1.47896 192.168.100.1.* 62273 70
ICMP 192.168.103.1.47897 192.168.100.1.* 62852 80
ICMP 192.168.103.1.47898 192.168.100.1.* 62349 90
ICMP 192.168.103.1.47899 192.168.100.1.* 63076 100
ICMP 192.168.103.1.47900 192.168.100.1.* 62589 110
ICMP 192.168.103.1.47901 192.168.100.1.* 61949 120
ICMP 192.168.103.1.47902 192.168.100.1.* 62653 130
ICMP 192.168.103.1.47903 192.168.100.1.* 62781 140
ICMP 192.168.103.1.47904 192.168.100.1.* 62154 150
ICMP 192.168.103.1.47905 192.168.100.1.* 62802 160
ICMP 192.168.103.1.47906 192.168.100.1.* 62182 170
ICMP 192.168.103.1.47907 192.168.100.1.* 62480 180
ICMP 192.168.103.1.47908 192.168.100.1.* 62484 190
ICMP 192.168.103.1.47909 192.168.100.1.* 62882 200
ICMP 192.168.103.1.47910 192.168.100.1.* 62599 210
ICMP 192.168.103.1.47911 192.168.100.1.* 62479 220
ICMP 192.168.103.1.47912 192.168.100.1.* 62478 230
ICMP 192.168.103.1.47913 192.168.100.1.* 62557 240
ICMP 192.168.103.1.47914 192.168.100.1.* 62496 250
ICMP 192.168.103.1.47915 192.168.100.1.* 62160 260
ICMP 192.168.103.1.47916 192.168.100.1.* 62530 270
ICMP 192.168.103.1.47917 192.168.100.1.* 62215 280
ICMP 192.168.103.1.47918 192.168.100.1.* 62686 290
ICMP 192.168.103.1.47919 192.168.100.1.* 62826 300
ICMP 192.168.103.1.47920 192.168.100.1.* 62241 310
ICMP 192.168.103.1.47921 192.168.100.1.* 62811 320
ICMP 192.168.103.1.47922 192.168.100.1.* 62590 330
ICMP 192.168.103.1.47923 192.168.100.1.* 62633 340
ICMP 192.168.103.1.47924 192.168.100.1.* 62509 350
ICMP 192.168.103.1.47925 192.168.100.1.* 62527 360
ICMP 192.168.103.1.47926 192.168.100.1.* 62224 370
ICMP 192.168.103.1.47927 192.168.100.1.* 62432 380
ICMP 192.168.103.1.47928 192.168.100.1.* 62637 390
ICMP 192.168.103.1.47929 192.168.100.1.* 62222 400
ICMP 192.168.103.1.47930 192.168.100.1.* 62216 410
ICMP 192.168.103.1.47931 192.168.100.1.* 62655 420
ICMP 192.168.103.1.47932 192.168.100.1.* 62151 430
ICMP 192.168.103.1.47933 192.168.100.1.* 62695 440
ICMP 192.168.103.1.47934 192.168.100.1.* 62841 450
ICMP 192.168.103.1.47935 192.168.100.1.* 62488 460
ICMP 192.168.103.1.47936 192.168.100.1.* 62916 470
ICMP 192.168.103.1.47937 192.168.100.1.* 62559 480
ICMP 192.168.103.1.47938 192.168.100.1.* 62439 490
ICMP 192.168.103.1.47939 192.168.100.1.* 62691 500

書込番号:19431748

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/24 21:47(1年以上前)

ICMP 192.168.103.1.47939 192.168.100.1.* 62691 500
ICMP 192.168.103.1.47940 192.168.100.1.* 62704 510
ICMP 192.168.103.1.47941 192.168.100.1.* 62702 520
ICMP 192.168.103.1.47942 192.168.100.1.* 62149 530
ICMP 192.168.103.1.47943 192.168.100.1.* 62672 540
ICMP 192.168.103.1.47944 192.168.100.1.* 62650 550
ICMP 192.168.103.1.47945 192.168.100.1.* 62553 560
ICMP 192.168.103.1.47946 192.168.100.1.* 62392 570
ICMP 192.168.103.1.47947 192.168.100.1.* 62430 580
ICMP 192.168.103.1.47948 192.168.100.1.* 62831 590
ICMP 192.168.103.1.47949 192.168.100.1.* 62152 600
ICMP 192.168.103.1.47950 192.168.100.1.* 62726 610
ICMP 192.168.103.1.47951 192.168.100.1.* 62681 620
ICMP 192.168.103.1.47952 192.168.100.1.* 62683 630
ICMP 192.168.103.1.47953 192.168.100.1.* 62602 640
ICMP 192.168.103.1.47954 192.168.100.1.* 62270 650
ICMP 192.168.103.1.47955 192.168.100.1.* 62921 660
ICMP 192.168.103.1.47956 192.168.100.1.* 62657 670
ICMP 192.168.103.1.47957 192.168.100.1.* 62540 680
ICMP 192.168.103.1.47958 192.168.100.1.* 62370 690
ICMP 192.168.103.1.47959 192.168.100.1.* 62716 700
ICMP 192.168.103.1.47960 192.168.100.1.* 62373 710
ICMP 192.168.103.1.47961 192.168.100.1.* 62974 720
ICMP 192.168.103.1.47962 192.168.100.1.* 62645 730
ICMP 192.168.103.1.47963 192.168.100.1.* 62792 740
ICMP 192.168.103.1.47964 192.168.100.1.* 62775 750
ICMP 192.168.103.1.47965 192.168.100.1.* 62549 760
ICMP 192.168.103.1.47966 192.168.100.1.* 62374 770
ICMP 192.168.103.1.47967 192.168.100.1.* 62450 780
ICMP 192.168.103.1.47968 192.168.100.1.* 62585 790
ICMP 192.168.103.1.47969 192.168.100.1.* 62586 800
ICMP 192.168.103.1.47970 192.168.100.1.* 62656 810
ICMP 192.168.103.1.47971 192.168.100.1.* 62760 820
ICMP 192.168.103.1.47972 192.168.100.1.* 62573 830
ICMP 192.168.103.1.47973 192.168.100.1.* 62490 840
ICMP 192.168.103.1.47974 192.168.100.1.* 62615 850
ICMP 192.168.103.1.47975 192.168.100.1.* 62201 860
ICMP 192.168.103.1.47976 192.168.100.1.* 62597 870
ICMP 192.168.103.1.47977 192.168.100.1.* 62625 880
ICMP 192.168.103.1.47978 192.168.100.1.* 62724 890
UDP 192.168.103.1.500 121.106.141.4.500 500 896
ICMP 192.168.103.1.47979 192.168.100.1.* 62820 900
ESP 192.168.103.1.0 121.106.141.4.* 0 900
---------------------
有効なNATディスクリプタテーブルが1個ありました

書込番号:19431761

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/24 21:49(1年以上前)

# show nat descriptor address detail
参照NATディスクリプタ : 200, 適用インタフェース : LAN2(1)
Masqueradeテーブル
外側アドレス: 192.168.0.254
ポート範囲: 60000-64095, 54096-59999 161個使用中
プロトコル 内側アドレス 宛先 マスカレード TTL(秒)
UDP 192.168.101.1.4500 *.*.*.*.* 4500 static
UDP 192.168.101.1.1701 *.*.*.*.* 1701 static
ESP 192.168.101.1.* *.*.*.*.* * static
UDP 192.168.101.1.500 *.*.*.*.* 500 static
TCP 192.168.101.4.62649 202.232.238.39.80 61145 5
TCP 192.168.101.3.43360 52.68.90.141.6420 60021 844
ICMP 192.168.101.1.54159 192.168.0.1.* 63694 8
UDP 192.168.101.1.10430 192.168.0.1.53 61466 9
UDP 192.168.101.1.10585 192.168.0.1.53 60536 9
TCP 192.168.101.4.62653 101.102.238.11.80 61028 9
TCP 192.168.101.4.62654 101.102.238.11.443 60675 9
TCP 192.168.101.4.62652 202.232.238.39.80 61757 12
TCP 192.168.101.4.62648 66.235.139.17.80 61127 7
TCP 192.168.101.3.36644 202.213.235.183.4789 60418 857
ICMP 192.168.101.1.54160 192.168.0.1.* 63792 18
TCP 192.168.101.4.62436 173.194.38.195.443 61373 24
TCP 192.168.101.4.62443 173.194.126.234.443 60507 24
TCP 192.168.101.4.62442 216.58.220.237.443 60268 24
TCP 192.168.101.4.62455 216.58.220.200.80 61390 26
TCP 192.168.101.4.62406 173.194.117.218.443 61252 27
TCP 192.168.101.4.62791 133.237.17.89.80 61034 28
TCP 192.168.101.4.62650 54.64.96.38.80 60446 28
ICMP 192.168.101.1.54161 192.168.0.1.* 60847 28
TCP 192.168.101.4.62806 133.237.16.166.80 64064 29
TCP 192.168.101.4.62805 133.237.60.7.80 61430 29
TCP 192.168.101.4.62804 133.237.17.83.80 60322 29
TCP 192.168.101.4.62803 133.237.16.48.80 60897 29
TCP 192.168.101.4.62807 210.129.151.240.80 60476 38
TCP 192.168.101.4.62625 219.94.200.12.80 60612 33
TCP 192.168.101.4.62801 202.232.238.30.443 60644 37
TCP 192.168.101.4.62795 202.232.238.39.80 61376 38
TCP 192.168.101.4.62808 173.194.117.163.443 60684 38
ICMP 192.168.101.1.54162 192.168.0.1.* 63851 38
TCP 192.168.101.4.62793 66.235.139.17.80 63397 41
UDP 192.168.101.4.59142 60.250.194.77.27540 60131 650
TCP 192.168.101.4.62647 210.129.151.129.80 60438 47
TCP 192.168.101.4.62798 216.58.220.196.443 63878 47
ICMP 192.168.101.1.54163 192.168.0.1.* 60148 48
TCP 192.168.101.4.62796 54.64.96.38.80 61476 58
ICMP 192.168.101.1.54164 192.168.0.1.* 60519 58
TCP 192.168.101.4.62810 199.192.199.7.443 61216 60
ICMP 192.168.101.1.54165 192.168.0.1.* 60554 68
ICMP 192.168.101.1.54166 192.168.0.1.* 60501 78
ICMP 192.168.101.1.54167 192.168.0.1.* 60822 88
ICMP 192.168.101.1.54168 192.168.0.1.* 60738 98

書込番号:19431773

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/24 21:51(1年以上前)

ICMP 192.168.101.1.54169 192.168.0.1.* 60472 108
ICMP 192.168.101.1.54170 192.168.0.1.* 60946 118
ICMP 192.168.101.1.54171 192.168.0.1.* 60882 128
ICMP 192.168.101.1.54172 192.168.0.1.* 60441 138
ICMP 192.168.101.1.54173 192.168.0.1.* 60651 148
ICMP 192.168.101.1.54174 192.168.0.1.* 60545 158
ICMP 192.168.101.1.54175 192.168.0.1.* 60908 168
ICMP 192.168.101.1.54176 192.168.0.1.* 60725 178
ICMP 192.168.101.1.54177 192.168.0.1.* 60693 188
ICMP 192.168.101.6.22023 203.140.48.140.* 60999 194
ICMP 192.168.101.1.54178 192.168.0.1.* 60193 198
ICMP 192.168.101.1.54179 192.168.0.1.* 63946 208
ICMP 192.168.101.1.54180 192.168.0.1.* 60050 218
ICMP 192.168.101.1.54181 192.168.0.1.* 60717 228
ICMP 192.168.101.1.54182 192.168.0.1.* 60845 238
ICMP 192.168.101.1.54183 192.168.0.1.* 60927 248
ICMP 192.168.101.1.54184 192.168.0.1.* 60703 258
TCP 192.168.101.6.64343 17.110.229.214.5223 60486 528
ICMP 192.168.101.1.54185 192.168.0.1.* 60988 268
ICMP 192.168.101.1.54186 192.168.0.1.* 60352 278
ICMP 192.168.101.1.54187 192.168.0.1.* 60502 288
ICMP 192.168.101.1.54188 192.168.0.1.* 61068 298
ICMP 192.168.101.1.54189 192.168.0.1.* 60950 308
ICMP 192.168.101.1.54190 192.168.0.1.* 61457 318
ICMP 192.168.101.1.54191 192.168.0.1.* 60512 328
ICMP 192.168.101.1.54192 192.168.0.1.* 60494 338
ICMP 192.168.101.1.54193 192.168.0.1.* 60998 348
ICMP 192.168.101.1.54194 192.168.0.1.* 61492 358
ICMP 192.168.101.1.54195 192.168.0.1.* 60894 368
ICMP 192.168.101.1.54196 192.168.0.1.* 60585 378
ICMP 192.168.101.1.54197 192.168.0.1.* 60835 388
ICMP 192.168.101.1.54198 192.168.0.1.* 60813 398
ICMP 192.168.101.1.54199 192.168.0.1.* 63605 408
ICMP 192.168.101.1.54200 192.168.0.1.* 60713 418
ICMP 192.168.101.1.54201 192.168.0.1.* 60866 428
ICMP 192.168.101.1.54202 192.168.0.1.* 60979 438
TCP 192.168.101.7.54190 17.143.164.33.443 61687 439
ICMP 192.168.101.1.54203 192.168.0.1.* 64032 448
ICMP 192.168.101.1.54204 192.168.0.1.* 60534 458
ICMP 192.168.101.1.54205 192.168.0.1.* 60663 468
ICMP 192.168.101.1.54206 192.168.0.1.* 60210 478
ICMP 192.168.101.1.54207 192.168.0.1.* 60934 488
ICMP 192.168.101.1.54208 192.168.0.1.* 60797 498
ICMP 192.168.101.1.54209 192.168.0.1.* 61705 508
ICMP 192.168.101.1.54210 192.168.0.1.* 60108 518
ICMP 192.168.101.1.54211 192.168.0.1.* 60931 528
ICMP 192.168.101.1.54212 192.168.0.1.* 60730 538
ICMP 192.168.101.1.54213 192.168.0.1.* 61509 548
ICMP 192.168.101.1.54214 192.168.0.1.* 61403 558
ICMP 192.168.101.1.54215 192.168.0.1.* 61500 568
ICMP 192.168.101.1.54216 192.168.0.1.* 60759 578
ICMP 192.168.101.1.54217 192.168.0.1.* 60593 588
ICMP 192.168.101.1.54218 192.168.0.1.* 61286 598
ICMP 192.168.101.1.54219 192.168.0.1.* 61142 608
UDP 192.168.101.6.123 17.253.26.253.123 63675 615
ICMP 192.168.101.1.54220 192.168.0.1.* 60925 618

書込番号:19431782

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/24 21:52(1年以上前)

UDP 192.168.101.2.9644 202.168.199.44.161 60019 895
ICMP 192.168.101.1.54248 192.168.0.1.* 60325 898
UDP 192.168.101.1.500 125.0.154.104.500 500 898
TCP 192.168.101.4.62811 17.248.153.242.443 60153 899
TCP 192.168.101.4.62813 199.192.199.7.443 60658 900
---------------------
有効なNATディスクリプタテーブルが1個ありました
#

書込番号:19431786

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/24 22:03(1年以上前)

ip routing process fast
ip route default gateway 192.168.100.1
ip route 192.168.0.0/24 gateway tunnel 1
ip route 192.168.101.0/24 gateway tunnel 1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.100.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
ip lan1 address 192.168.103.1/24
ip lan1 proxyarp on
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.100.254/24
ip lan2 secure filter in 101003 101004 101005 101016 101017 101018 101020 101021 101022 101023 101024 101025 101030 101032 101099
ip lan2 secure filter out 101013 101020 101021 101022 101023 101024 101025 101099
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.103.1
ipsec ike local name 1 ipsec1 key-id
ipsec ike pre-shared-key 1 text ******.
ipsec ike remote address 1 ***.***.141.4
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.103.0/24 * * * *
ip filter 101004 pass * 192.168.103.0/24 icmp * *
ip filter 101005 pass * 192.168.103.0/24 established * *
ip filter 101006 pass * 192.168.103.0/24 tcp * ident
ip filter 101007 pass * 192.168.103.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.103.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.103.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.103.0/24 * * *
ip filter 101014 pass * 192.168.103.0/24 udp * ntp
ip filter 101015 pass * 192.168.103.0/24 udp ntp *
ip filter 101016 pass * 192.168.103.1 udp * 500
ip filter 101017 pass * 192.168.103.1 esp * *
ip filter 101018 pass * 192.168.103.1 udp * 1701
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.100.254
nat descriptor address inner 200 192.168.100.254 192.168.103.1-192.168.103.254
nat descriptor masquerade static 200 1 192.168.103.1 udp 500
nat descriptor masquerade static 200 2 192.168.103.1 esp
nat descriptor masquerade static 200 3 192.168.103.1 udp 1701
ipsec auto refresh on
telnetd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.103.2-192.168.103.99/24
dns server 192.168.100.1
dns server dhcp lan2
dns private address spoof on
httpd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
alarm entire off
sshd service on
sshd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
sshd host key generate *
sftpd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
#

書込番号:19431834

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/24 22:05(1年以上前)

ip routing process fast
ip route default gateway 192.168.0.1
ip route 192.168.100.0/24 gateway tunnel 1
ip route 192.168.103.0/24 gateway tunnel 1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
ip lan1 address 192.168.101.1/24
ip lan1 proxyarp on
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.0.254/24
ip lan2 secure filter in 101000 101001 101004 101005 101006 101020 101021 101022 101023 101024 101025 101030 101032 101080 101081 101099
ip lan2 secure filter out 101010 101011 101020 101021 101022 101023 101024 101025 101099
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:DHCP
provider ntpdate ntp.nict.jp
pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin *******
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.101.1
ipsec ike local id 1 192.168.101.1/24
ipsec ike pre-shared-key 1 text ******
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1 key-id
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text *******
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp keepalive use on
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.101.0/24 * * * *
ip filter 101004 pass * 192.168.101.1 udp * 4500
ip filter 101005 pass * 192.168.101.1 udp * 1701
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.101.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.101.1 udp * 500
ip filter 101081 pass * 192.168.101.1 esp * *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.101.1-192.168.101.254
nat descriptor masquerade static 200 1 192.168.101.1 udp 500
nat descriptor masquerade static 200 2 192.168.101.1 esp
nat descriptor masquerade static 200 3 192.168.101.1 udp 1701
nat descriptor masquerade static 200 4 192.168.101.1 udp 4500
ipsec auto refresh on
ipsec transport 2 2 udp 1701
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.101.2-192.168.101.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on
httpd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
alarm entire off
#

書込番号:19431842

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/24 22:07(1年以上前)

>sorio-2215さん

現時点でそれぞれのHGWにアクセスできない状態です。当然同一LAN内からはアクセスできています。

やるべき設定があれば教えてください。


よろしくお願いします。

書込番号:19431847

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/24 23:05(1年以上前)

 会社側のIPフィルタの101003行と101013行に拒否する設定は、まずいです。

 下記コマンドをお試し下さい。
 「ip lan2 secure filter in 101004 101016 101017 101018 101020 101021 101022 101023 101024 101025 101030 101032 101099」
 「ip lan2 secure filter out 101020 101021 101022 101023 101024 101025 101099」

 上記を投入後、再度HGWへのアクセスをお試し下さい。

 確認ですが、ファイアーウォールの規制の設定は、Webメニューからのレベル自動設定でしょうか?
 Webメニューからのレベル自動設定では、2重ルーターの構成にマッチしたものにならないケースが殆どです。

 上記のフィルタ調整のコマンドでもうまくいかない場合には、一度会社・自宅のフィルタを削除し、再度HGWへのアクセスをお試しして下さい。

 IPフィルタのコマンドを削除する方法については、会社・自宅双方の「ip lan2 secure filter in〜」の行と、「ip lan2 secure filter out〜」の行の先頭に、noを付けてコマンド実行下さい。

 

書込番号:19432018

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/24 23:06(1年以上前)

 それと、「show ip route」と「show status lan2」のコマンドにて、エラーなどの情報が出てないか、精査しますので、上記コマンドを再度それぞれ提示願います。

書込番号:19432022

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/24 23:08(1年以上前)

 IPフィルタの全削除→HGWへのアクセスを試験後、うまくいきましたら、適切なIPフィルタ(会社・自宅)を提示しますので、試験後教えて下さい。

書込番号:19432024

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/24 23:55(1年以上前)

>sorio-2215さん

指示が今一つ不明瞭です。下記に付き明示的な回答をお願います。

・会社ルーターに投入すべきコマンド

・自宅ルーターに投入すべきコマンド

なお
 「ip lan2 secure filter in 101004 101016 101017 101018 101020 101021 101022 101023 101024 101025 101030 101032 101099」
 「ip lan2 secure filter out 101020 101021 101022 101023 101024 101025 101099」
この2つは会社ルーターに投入し、会社HGWにアクセスが相変わらず不能でした。

書込番号:19432155

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/25 00:11(1年以上前)

 先ず、先刻の説明通り、会社と自宅の
 「no ip lan2 secure filter in〜」、「no ip lan2 secure filter out〜」
 
 上記のコマンド文節を実行下さい。

 実行後に、「show ip route」、「show status lan 2」にて、トレースしますので、IPフィルタ削除後の状態をお教え下さい。

 トレース出来ませんと、適切なIPフィルタとコマンドの提示が出来ません。
 NATステータスは、先刻のステータスで判断します。

書込番号:19432188

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/25 00:18(1年以上前)

 トレース内容は、NAT変換内容に対し、適切なIPフィルタの制限と、通常は必要無いコマンドですが、IPSECトンネルに対し、NATトラバーサルの設定が必要かどうかの判断をするために必要な情報です。

 通常は、HGWにDMZ設定と静的ルーティング設定実施済みで有れば、トンネル・ルーティング経由でHGWアクセス出来る論理構造になっていますので、その判断になります。

書込番号:19432205

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/25 00:35(1年以上前)

 つまり、会社・自宅のRTX810ルーターのトンネル1のコマンドに、「ipsec ike nat-traversal 1 on」のコマンドを投入するかどうかの判断をする段階を考えている所です。

 tunnel select 1
 ipsec ike nat-traversal 1 on

 既に、IPSECトンネル認証が出来ていますからね。
  HGWのDMZホスト機能及び、静的ルーティングがキチンと稼働しているかどうかの可否判断も兼ねています。

書込番号:19432234

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/25 08:54(1年以上前)

 補足です。
 現状把握ステータスでは、特に問題が出ていない様ですが、あり得ない話ですが、自宅→会社192.168.100.0/24へのルーティング設定、会社→自宅192.168.0.0/24へのルーティング設定がstatic経路にて投入されていますので、ルーティングされていますが、下記コマンドも併用で投入して頂けますでしょうか?

 会社RTX810ルーター
  no ip route 192.168.0.0/24 gateway tunnel 1
  ip route 192.168.0.1/32 gateway tunnel 1

 自宅RTX810ルーター
no ip route 192.168.100.0/24 gateway tunnel 1
  ip route 192.168.100.1/32 gateway tunnel 1

 上記投入後に、「syslog debug on」コマンド実行→show log にて、双方RTX810通信ログを提示可能でしょうか?

書込番号:19432652

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/26 21:18(1年以上前)

>sorio-2215さん

会社ルーター

# show ip route
宛先ネットワーク ゲートウェイ インタフェース 種別 付加情報
default 192.168.100.1 LAN2 static
192.168.0.0/24 - TUNNEL[1] static
192.168.100.0/24 192.168.100.254 LAN2 implicit
192.168.101.0/24 - TUNNEL[1] static
192.168.103.0/24 192.168.103.1 LAN1 implicit
#

# show status lan2
LAN2
説明:
IPアドレス: 192.168.100.254/24
イーサネットアドレス: 00:a0:de:81:18:47
動作モード設定: Auto Negotiation (1000BASE-T Full Duplex)
最大パケット長(MTU): 1500 オクテット
プロミスキャスモード: OFF
送信パケット: 1540631 パケット(396068084 オクテット)
IPv4(全体/ファストパス): 1507470 パケット / 1295318 パケット
IPv6(全体/ファストパス): 5016 パケット / 0 パケット
受信パケット: 1752075 パケット(1683412845 オクテット)
IPv4: 1698925 パケット
IPv6: 9068 パケット
未サポートパケットの受信: 10458
受信オーバーフロー: 88
#

書込番号:19436680

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/26 21:20(1年以上前)

自宅ルーター

# show ip route
宛先ネットワーク ゲートウェイ インタフェース 種別 付加情報
default 192.168.0.1 LAN2 static
192.168.0.0/24 192.168.0.254 LAN2 implicit
192.168.100.0/24 - TUNNEL[1] static
192.168.101.0/24 192.168.101.1 LAN1 implicit
192.168.103.0/24 - TUNNEL[1] static
#

# show status lan2
LAN2
説明:
IPアドレス: 192.168.0.254/24
イーサネットアドレス: 00:a0:de:7f:ac:b5
動作モード設定: Auto Negotiation (1000BASE-T Full Duplex)
最大パケット長(MTU): 1500 オクテット
プロミスキャスモード: OFF
送信パケット: 4813385 パケット(3989483593 オクテット)
IPv4(全体/ファストパス): 4716931 パケット / 4288548 パケット
IPv6(全体/ファストパス): 95528 パケット / 76845 パケット
受信パケット: 5691983 パケット(2768007098 オクテット)
IPv4: 5187393 パケット
IPv6: 160393 パケット
未サポートパケットの受信: 331814
受信オーバーフロー: 17
#

書込番号:19436687

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/26 21:38(1年以上前)

会社ルーター

2015/12/26 21:28:51: Restarting router
2015/12/26 21:29:16: TELNETD: started
2015/12/26 21:29:16: TELNETD: listen port = 23
2015/12/26 21:29:16: TELNETD: access permission: 192.168.103.2-192.168.103.254
2015/12/26 21:29:16: TELNETD: access permission: 192.168.101.2-192.168.101.254
2015/12/26 21:29:16: [RADIUS] started.
2015/12/26 21:29:16: OSPFv3: Disabled
2015/12/26 21:29:16: [LUA] Lua script function was enabled.
2015/12/26 21:29:16: [SIPGW] start.
2015/12/26 21:29:16: SSHD: started
2015/12/26 21:29:16: SSHD: listen port = 22
2015/12/26 21:29:16: SSHD: access permission: 192.168.103.2-192.168.103.254
2015/12/26 21:29:16: SSHD: access permission: 192.168.101.2-192.168.101.254
2015/12/26 21:29:16: [HTTPD] started (listen port[80])
2015/12/26 21:29:16: LAN1: PHY is Marvell 88E6171R.
2015/12/26 21:29:16: LAN2: PHY is Marvell 88E6171R.
2015/12/26 21:29:19: LAN1: PORT1 link up (1000BASE-T Full Duplex)
2015/12/26 21:29:19: LAN1: link up
2015/12/26 21:29:19: LAN2: link up (1000BASE-T Full Duplex)
2015/12/26 21:29:19: [DHCPv6] start requesting
2015/12/26 21:29:20: [IPv6] start DAD for fe80::2a0:deff:fe81:1846
2015/12/26 21:29:20: [IPv6] start DAD for fe80::2a0:deff:fe81:1847
2015/12/26 21:29:21: Previous EXEC: RTX810 Rev.11.01.25 (Wed Jul 29 11:56:31 20
15)
2015/12/26 21:29:21: Restart by restart command
2015/12/26 21:29:21: RTX810 Rev.11.01.25 (Wed Jul 29 11:56:31 2015) starts
2015/12/26 21:29:21: main: RTX810 ver=00 serial=S3K017531 MAC-Address=00:a0:de
:81:18:46 MAC-Address=00:a0:de:81:18:47
2015/12/26 21:29:21: [IPv6] complete DAD for fe80::2a0:deff:fe81:1846
2015/12/26 21:29:21: [IPv6] complete DAD for fe80::2a0:deff:fe81:1847
2015/12/26 21:29:21: [DHCPv6] select DHCPv6 server :: [00030001002536534bcb]
2015/12/26 21:29:22: [IPv6] prefix 2408:211:ed86:f300::/64 (vlife: 14400, plife
: 12600) is assigned from LAN2 (RA)
2015/12/26 21:29:22: [DDNSU] opened 2002/udp
2015/12/26 21:29:22: [IPv6] start DAD for 2408:211:ed86:f300:2a0:deff:fe81:1846
2015/12/26 21:29:23: [IPv6] complete DAD for 2408:211:ed86:f300:2a0:deff:fe81:1
846
2015/12/26 21:29:23: [DDNS] Indication IPv6 address is assigned
2015/12/26 21:29:23: [DDNS] Received Indication IPv6 address.
2015/12/26 21:29:27: [IKE] initiate ISAKMP phase to ***.***.141.4 (local addres
s 192.168.103.1)
2015/12/26 21:29:27: [IKE] add ISAKMP context [1] 4c89dfa580c40e87 00000000
2015/12/26 21:29:27: [IKE] [1] retransmit to ***.***.141.4 (count = 9)
2015/12/26 21:29:30: [IKE] [1] retransmit to ***.***.141.4 (count = 8)
2015/12/26 21:29:37: [IKE] add ISAKMP SA[1] (gateway[1])
2015/12/26 21:29:37: [IKE] activate ISAKMP socket[1]
2015/12/26 21:29:38: [IKE] initiate IPsec phase to ***.***.141.4
2015/12/26 21:29:38: [IKE] add IPsec context [2] 4c89dfa580c40e87 d364b5e3
2015/12/26 21:29:39: [IKE] setup IPsec SAs (gateway[1], ISAKMP SA[1])
2015/12/26 21:29:39: [IKE] add IPsec SA[2]
2015/12/26 21:29:39: [IKE] add IPsec SA[3]
2015/12/26 21:29:39: [IKE] activate IPsec socket[tunnel:1](inbound)
2015/12/26 21:29:39: [IKE] activate IPsec socket[tunnel:1](outbound)
2015/12/26 21:29:39: IP Tunnel[1] Up
2015/12/26 21:29:54: [IKE] inactivate context [2] 4c89dfa580c40e87 d364b5e3
2015/12/26 21:29:54: [IKE] delete IPsec context [2] 4c89dfa580c40e87 d364b5e3
2015/12/26 21:30:22: [IKE] IPsec socket[tunnel:1] is refered
2015/12/26 21:32:09: Login succeeded for HTTP: 192.168.101.4
2015/12/26 21:32:09: 'administrator' succeeded for HTTP: 192.168.101.4
#

書込番号:19436739

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/26 21:43(1年以上前)

自宅ルーター

2015/12/26 21:28:52: Restarting router
2015/12/26 21:29:17: TELNETD: started
2015/12/26 21:29:17: TELNETD: listen port = 23
2015/12/26 21:29:17: [RADIUS] started.
2015/12/26 21:29:17: OSPFv3: Disabled
2015/12/26 21:29:17: SSHD: sleeping
2015/12/26 21:29:17: [LUA] Lua script function was enabled.
2015/12/26 21:29:17: [SIPGW] start.
2015/12/26 21:29:17: [HTTPD] started (listen port[80])
2015/12/26 21:29:17: LAN1: PHY is Marvell 88E6171R.
2015/12/26 21:29:17: LAN2: PHY is Marvell 88E6171R.
2015/12/26 21:29:20: LAN2: link up (1000BASE-T Full Duplex)
2015/12/26 21:29:20: [DHCPv6] start requesting
2015/12/26 21:29:21: [IPv6] start DAD for fe80::2a0:deff:fe7f:acb5
2015/12/26 21:29:21: LAN1: PORT4 link up (1000BASE-T Full Duplex)
2015/12/26 21:29:21: LAN1: link up
2015/12/26 21:29:22: Previous EXEC: RTX810 Rev.11.01.25 (Wed Jul 29 11:56:31 20
15)
2015/12/26 21:29:22: Restart by restart command
2015/12/26 21:29:22: RTX810 Rev.11.01.25 (Wed Jul 29 11:56:31 2015) starts
2015/12/26 21:29:22: main: RTX810 ver=00 serial=S3K006449 MAC-Address=00:a0:de
:7f:ac:b4 MAC-Address=00:a0:de:7f:ac:b5
2015/12/26 21:29:22: [IPv6] start DAD for fe80::2a0:deff:fe7f:acb4
2015/12/26 21:29:22: [IPv6] complete DAD for fe80::2a0:deff:fe7f:acb5
2015/12/26 21:29:23: [L2TP] opend port 1701/udp
2015/12/26 21:29:23: [DDNSU] opened 2002/udp
2015/12/26 21:29:23: [IPv6] prefix 240f:e2:10dd:1::/64 (vlife: 300, plife: 300)
is assigned from LAN2 (RA)
2015/12/26 21:29:23: [IPv6] start DAD for 240f:e2:10dd:1:2a0:deff:fe7f:acb4
2015/12/26 21:29:23: [IPv6] complete DAD for fe80::2a0:deff:fe7f:acb4
2015/12/26 21:29:23: [DHCPv6] select DHCPv6 server :: [00030001c025a23b3da4]
2015/12/26 21:29:24: [IPv6] complete DAD for 240f:e2:10dd:1:2a0:deff:fe7f:acb4
2015/12/26 21:29:24: [DDNS] Indication IPv6 address is assigned
2015/12/26 21:29:24: [DDNS] Received Indication IPv6 address.
2015/12/26 21:29:28: [IKE] respond ISAKMP phase to ***.***.154.104
2015/12/26 21:29:28: [IKE] add ISAKMP context [1] 4c89dfa580c40e87 00000000
2015/12/26 21:29:28: [IKE] add ISAKMP SA[1] (gateway[1])
2015/12/26 21:29:28: [IKE] activate ISAKMP socket[1]
2015/12/26 21:29:29: [IKE] respond IPsec phase to ***.***.154.104
2015/12/26 21:29:29: [IKE] add IPsec context [2] 4c89dfa580c40e87 d364b5e3
2015/12/26 21:29:29: [IKE] setup IPsec SAs (gateway[1], ISAKMP SA[1])
2015/12/26 21:29:29: [IKE] add IPsec SA[2]
2015/12/26 21:29:29: [IKE] add IPsec SA[3]
2015/12/26 21:29:29: [IKE] activate IPsec socket[tunnel:1](inbound)
2015/12/26 21:29:29: [IKE] activate IPsec socket[tunnel:1](outbound)
2015/12/26 21:29:30: IP Tunnel[1] Up
2015/12/26 21:29:44: [IKE] inactivate context [2] 4c89dfa580c40e87 d364b5e3
2015/12/26 21:29:44: [IKE] delete IPsec context [2] 4c89dfa580c40e87 d364b5e3
2015/12/26 21:29:56: [IPv6] prefix 240f:e2:10dd:1::/64 (vlife: 300, plife: 300)
is assigned from LAN2 (RA)
2015/12/26 21:30:12: [IKE] IPsec socket[tunnel:1] is refered
2015/12/26 21:30:38: [IPv6] prefix 240f:e2:10dd:1::/64 (vlife: 300, plife: 300)
is assigned from LAN2 (RA)
2015/12/26 21:31:04: [HTTPD] Illegal Request (TCP Connection failure, 192.168.1
01.200)
2015/12/26 21:31:19: same message repeated 2 times
2015/12/26 21:31:19: [IPv6] prefix 240f:e2:10dd:1::/64 (vlife: 300, plife: 300)
is assigned from LAN2 (RA)
2015/12/26 21:31:25: [IPv6] illegal length of IPv6 packet (6026/52)
2015/12/26 21:31:25: [IPv6] illegal length of IPv6 packet (6713/52)
2015/12/26 21:31:25: [IPv6] illegal length of IPv6 packet (27909/52)
2015/12/26 21:31:26: [HTTPD] Illegal Request (TCP Connection failure, 192.168.1
01.200)
2015/12/26 21:31:55: same message repeated 1 times
2015/12/26 21:31:55: [IPv6] prefix 240f:e2:10dd:1::/64 (vlife: 300, plife: 300)
is assigned from LAN2 (RA)
2015/12/26 21:32:22: [HTTPD] Illegal Request (TCP Connection failure, 192.168.1
01.200)
2015/12/26 21:32:33: [IPv6] prefix 240f:e2:10dd:1::/64 (vlife: 300, plife: 300)
is assigned from LAN2 (RA)
2015/12/26 21:32:49: [HTTPD] Illegal Request (TCP Connection failure, 192.168.1
01.200)
2015/12/26 21:33:16: Login succeeded for HTTP: 192.168.101.4 admin
2015/12/26 21:33:16: 'administrator' succeeded for HTTP: 192.168.101.4 admin
2015/12/26 21:33:16: [IPv6] prefix 240f:e2:10dd:1::/64 (vlife: 300, plife: 300)
is assigned from LAN2 (RA)
#

書込番号:19436759

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/26 21:45(1年以上前)

>sorio-2215さん

今は自宅です。相変わらず会社のHGWにはアクセスできていません。

会社からは月曜日まで試せません。

書込番号:19436770

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/26 23:35(1年以上前)

>sorio-2215さん

指示されたコマンド投入後、VPNが再び接続不能になりました。

書込番号:19437119

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/27 09:03(1年以上前)

 一通り、確認しました。
 
 どうも192.168.0.1/24と192.168.100.1/24のアクセスの際に、NAT変換時でのポートが変動している様子です。

 対応として、下記をお試し下さい。

 @ 会社RTX810ルーター
     会社RTX810ルーター
   「ip route 192.168.0.0/24 gateway tunnel 1」を戻す(投入し直し)
   「no ip route 192.168.0.1/32 gateway tunnel 1にて、削除。
   
  下記にて、NAT-Tのモード追加
  「tunnel select 1」→「ipsec ike nat-traversal 1 on」 コマンド実行

 A 自宅RTX810ルーター
  「ip route 192.168.100.0/24 gateway tunnel 1」を戻す(投入し直し)
  「no ip route 192.168.100.1/32 gateway tunnel 1」にて、削除。
  
  下記にて、NAT-Tのモード追加
  「tunnel select 1」→「ipsec ike nat-traversal 1 on」 コマンド実行

 NAT-Tモード(NATトラバーサル)の設定時点で、ESPパケットでのIPSEC-IKE認証が不要になりますが、双方のHGWのNAT機能を貫通するIPSEC接続機能になりますが、お試し下さい。

 IPSECトンネルのMSSでのMTU固定1240での受信オーバーフローは回避出来ているかと考えますが、それぞれのLAN2インターフェイスのオーバーフローは未だ起きている様です。

 自宅RTX810ルーターのlan2インターフェイス自体のMTU固定も、念のため投入下さい。
 「ip lan2 mtu 1492」
 
 会社もMTUは、「ip lan2 mtu 1454」を投入下さい。

書込番号:19437750

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/27 10:07(1年以上前)

>sorio-2215さん

いつもありがとうございます。

上記コマンドすべて投入しSAVEしましたが、やはり状況に変化なしです。VPNも繋がりません。たしか以前も同じことがあってポートのリジェクト云々で解決していただきました。

また教えてください。


よろしくおねがいします。

書込番号:19437884

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/27 10:11(1年以上前)

 自宅RTX810ルーターのルーティングのみの差し戻しだけでは、VPN接続されません。
 会社RTX810ルーターのルーティングも差し戻し確認願います。

 相互ルーティングさせている仕組みですので、双方のルーティングが合致していませんと、VPN接続開始まで至らないかと。

書込番号:19437895

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/27 10:18(1年以上前)

VPNと書いたのは間違いです。L2TP/IPsecを使用したリモートアクセスVPNサーバーによる通信のことでした。


よろしくお願いします。

書込番号:19437915

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/27 10:21(1年以上前)

 IPSEC・アグレッシブモードの為、会社RTX810ルーターの設定反映後に、会社RTX810ルーターのsave→restartしませんと、再接続されないかと。

 ip secure filter in と ip secure filter out は、稼働していない状態ですので、上記の要素になります。

書込番号:19437927

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/27 10:31(1年以上前)

>sorio-2215さん

会社ルーター再起動でもダメでした。繰り返しますが「VPN」ではなく「L2TP/IPsecを使用したリモートアクセスVPNサーバー」の不具合です。

書込番号:19437951

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/27 10:55(1年以上前)

L2TP/IPSECの不具合ですか?
 先刻の自宅RTX810ルーターのConfigのままでしたら、L2TPセッション・タイマーの問題が有りますので、自動切断タイマーの設定をして下さい旨の投稿をしましたが。

 「tunnel select 2」から、下記を参考にセッションタイマーとキープアライブのOFFのコマンドが投入されているか確認下さい。

 
pp select anonymous
pp name L2TP/IPsec
pp bind tunnel2
pp auth request chap-pap
pp auth username ***** ****** (モバイル用接続ユーザーID 接続パスワード)
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text ******* (モバイル用暗号化キー)
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp keepalive use off
l2tp tunnel disconnect time 600
ip tunnel tcp mss limit auto
tunnel enable 2
ipsec transport 1 2 udp 1701

 重要なのは、下記です。
 
l2tp keepalive use off
l2tp tunnel disconnect time 600

 600(10分で自動切断し、キープアライブがONになっている状態ですので、OFFに)
 VPNルーターのL2TPトンネルは、モバイル側で切断しても即時切断される機能にはなっていませんので、切断状態になってから、再接続される機能になっております。

 モバイル1台毎に、1トンネル消費しますので、もう一つの方法として、トンネルを複数設定する方法も有ります。

 複数トンネル構成を考える場合には、下記にて。

 pp select anonymous
pp name L2TP/IPsec
pp bind tunnel2-tunnel3
pp auth request chap-pap
pp auth username ***** ****** (モバイル用接続ユーザーID 接続パスワード)
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text ******* (モバイル用暗号化キー)
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp keepalive use off
l2tp tunnel disconnect time 600
ip tunnel tcp mss limit auto
tunnel enable 2
tunnel select 3
tunnel encapsulation l2tp
ipsec tunnel 3
ipsec sa policy 3 3 esp 3des-cbc md5-hmac
ipsec ike keepalive log 3 off
ipsec ike keepalive use 3 off
ipsec ike nat-traversal 3 on
ipsec ike pre-shared-key 3 text ******* (モバイル用暗号化キー)
ipsec ike remote address 3 any
l2tp tunnel auth off
l2tp keepalive use off
l2tp tunnel disconnect time 600
ip tunnel tcp mss limit auto
tunnel enable 3
ipsec transport 1 2 udp 1701
ipsec transport 2 3 udp 1701

書込番号:19438007

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/27 11:31(1年以上前)

 補足です。 
 
 常時接続のIPSEC-VPNとは違い、L2TPリモートアクセス・トンネルの場合、接続端末から切断情報の送信が、RTX810へ即時に流れる物と、違う物が有ります。

 その際の挙動として、RTX810のデフォルトのキープアライブ設定では、モバイル端末仕様を鑑みた機能になっておりませんので、常時接続のIPSEC-VPNとは、別の概念を考慮する必要があります。

書込番号:19438088

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/27 11:35(1年以上前)

 自宅RTX810→会社RTX810アクセスと、会社RTX810→自宅RTX810の、通常のIPSEC-VPNは大丈夫と判断しても構わないですか?

 L2TP/IPSECトンネルのみの接続が出来ないと言う認識でのイメージになりますが。

 

書込番号:19438098

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/27 12:19(1年以上前)

>sorio-2215さん

VPNは両方向とも正常。問題はモバイルからの接続のみです。

キープアライブは「使用しない」にしました。しかしタイマー設定のコマンドがわからないので教えてください。

>トンネルインタフェースを選択してから実行してください

となります。

書込番号:19438212

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/27 12:32(1年以上前)

 話の経緯から、解るかと思いましたが。

tunnel select 2
l2tp tunnel disconnect time 600

tunnel select 3
l2tp tunnel disconnect time 600

L2TPトンネルを複数構成した場合のコマンドです。
秒単位の設定ですので、600で10分になります。
あくまでも、L2TPトンネルが、トンネル2とトンネル3である場合のコマンドになります。

tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text ******* (モバイル用暗号化キー)
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp keepalive use off
l2tp tunnel disconnect time 600
ip tunnel tcp mss limit auto
tunnel enable 2

tunnel select 3
tunnel encapsulation l2tp
ipsec tunnel 3
ipsec sa policy 3 3 esp 3des-cbc md5-hmac
ipsec ike keepalive log 3 off
ipsec ike keepalive use 3 off
ipsec ike nat-traversal 3 on
ipsec ike pre-shared-key 3 text ******* (モバイル用暗号化キー)
ipsec ike remote address 3 any
l2tp tunnel auth off
l2tp keepalive use off
l2tp tunnel disconnect time 600
ip tunnel tcp mss limit auto
tunnel enable 3

 ↑にてトンネル2とトンネル3にL2TPカプセルモードの設定しているそれぞれのトンネルになっているかと存じます。
 それぞれのトンネルに「l2tp tunnel disconnect time 600」が投入されていますよね。

トンネル2とトンネル3をL2TPリモートアクセスのダイヤル網内に入れる設定は、下記にてトンネル網にいれていますが。
 pp select anonymous
 pp name L2TP/IPsec
 pp bind tunnel2-tunnel3

書込番号:19438232

ナイスクチコミ!1


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/27 12:46(1年以上前)

 モバイルからのL2TPアクセスの件ですが、スマートフォンのLTE回線からの接続では無く、その間にWiMAXモバイルルーターなどの機器に無線LAN接続している場合には、そのWiMAXモバイルルーター設定にて、VPNパススルーの設定(UDP4500、UDP1701、プロトコル番号50番の透過)が必要です。

書込番号:19438256

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/27 14:36(1年以上前)

L2TPは1つで充分です。ドコモLTE以外使いません。

無事直りました。ありがとうございます。

残る問題は互いのHGWにアクセスできないことだけです。

書込番号:19438456 スマートフォンサイトからの書き込み

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/27 14:51(1年以上前)

DOCOMOスマートフォンご利用なんでしょうか?
 DOCOMOの場合、SPモードというDOCOMO専用のプライベートIP網を利用している回線ですので、スマートフォンからL2TPアクセスする際に、DOCOMO・キャリアグレードNATから、自宅RTX810ルーター接続→会社RTX810ルーター接続と言った形ですので、やはり、総体的にIPSECトンネルの方は、NAT-T(NATトラバーサル)モードでのVPN形態が推奨です。

 DOCOMOスマートフォンを、オプションにてもぺら契約しますと、NAT-Tモードの設定しなくても良いかと考えますが、

 会社と自宅のRTX810ルーターのトンネル1は、NATトラバーサル設定は投入されたのでしょうか?
 ※  「tunnel select 1」→「ipsec ike nat-traversal 1 on」

書込番号:19438483

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/27 15:01(1年以上前)

 2重ルーター構成のNAT変換周りの不整合の問題に、Windowsバージョンによっては、レジストリ変更が必要な場合も有ります。

 簡易的な方法ですが、Buffalo社の方にて、「NATトラバーサル設定変更ツール」というものをダウンロード出来る様にしていますが、そのツールをダウンロード実行し、NATトラバーサル機能を有効化出来ますでしょうか?

 自宅端末と会社端末にNATトラバーサルの有効化→再起動後に、その端末からHGWへのアクセスもお試し出来ますでしょうか?

 ※ http://buffalo.jp/download/driver/lan/nattraversal.html

 ※ https://support.microsoft.com/ja-jp/kb/926179

書込番号:19438501

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/27 15:32(1年以上前)

>sorio-2215さん

自宅のルーターに下記コマンドを投入したところ会社ルーターにアクセス不能になりましたので、即削除し、復旧しました。

tunnel select 1
ipsec ike nat-traversal 1 on

このコマンドは両方のルーターに同時に投入するのですか???

書込番号:19438554

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/27 16:02(1年以上前)

 NAT-Tのモード切替は、適用しますトンネルに適用しないと動作しませんので、適用トンネルに設定します。
 
 既設で言うと、会社と自宅双方のトンネル1に適用します。
 よって、適用しますトンネル・インターフェイスへ切り替えてから、NAT-Tのコマンド登録しないといけません。

 NAT-Tに切替しますと、IPSEC-VPNのトンネルのIKE暗号化キー認証通信に、既存のESPパケットを利用せずUDP4500番のポートを利用する様に切り替わりますので、再度IPSEC-IKE認証に多少時間がかかる場合があります。

 既存で言うと、自宅RTX810ルーターのトンネル1にNAT-Tの切替後に、AU光RTX810ルーターのグローバルIPへUDP4500番ポートを利用してIPSECトンネル接続情報の参照が、会社RTX810ルーター側から通信される形になります。

 よって、NAT-Tの設定は、それぞれのトンネルに必要です。

 IPSEC-VPN上で会社RTX810ルーターのNAT-Tの設定を追加しようとする場合、同一トンネルからの設定変更は接続が切れますので、ロックがかかる様になっております。
 よって、L2TPリモートアクセス回線から、IPSECトンネル1のNAT-Tの設定を追加する、若しくは会社に来訪してRTX810ルーターのトンネル1のNAT-T追加設定をする形になります。

 ※ http://www.rtpro.yamaha.co.jp/RT/docs/ipsec/nat-traversal.html

 ご指摘のコマンドは必須です。
 どのトンネルにNAT-Tを適用するかの設定になります。

書込番号:19438627

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/27 16:06(1年以上前)

 NAT-Tの機能を利用するかどうかについては、Yamahaルーターの [トップ] > [詳細設定と情報] > [VPN接続の設定] > [VPN接続設定の修正(TUNNEL[01])]に、自宅・会社のRTX810ルーターに「NATトラバーサル」項目に、有効にするのチェック箇所が有るかと存じます。

 要は、YamahaルーターのWeb設定メニューにおいても機能設定箇所があります。

書込番号:19438642

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/27 16:11(1年以上前)

 NAT-T(NATトラバーサル)の概念としては、VPN接続環境によりHGWに専用ルーター機能やNAT機能が有り、そのHGWなどのNAT機能やIPアクセスに特定のクセや不整合が有る場合に、よく利用するモードになります。

 通常は、HGWのDMZ機能や静的ルーティングなどの方法にて、それぞれのIPセグメントの通信が出来る場合が殆どなのですが、HGWなどのNAT変換やIP変換機能の特定問題が有る場合に、VPN接続上利用するNAT越えのモードになります。

書込番号:19438654

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/27 17:25(1年以上前)

>sorio-2215さん

両方のルーターにコマンド投入。両方のルーターのナットトラバーサル機能有効を確認。両方のパソコンにNATトラバーサル設定変更ツールを適用→再起動。

以上終了しました。

しかし相変わらずHGWにはアクセスできません。


よろしくお願いいたします。

書込番号:19438846

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/27 18:30(1年以上前)

 NAT-T適用後でのアクセス不能(スタティック・ルーティング済み)となると、スタティックルーティングとNAT-T通信自体も制限かかっているとしか言えない状態です。

 Norton系で過去にあったのですが、NAT-T越え(ファイアーウォール越え)出来る構成にして、ルーターのスタティックステータス表示出来ている状態で、固有パソコンの挙動としか言えない状態です。

 パソコン側に限定すれば一度、ブラウザの一時ファイルを削除しアクセスしてみる、ブラウザのアドオン機能を全て無効化してアクセスしてみる、Norton360及びファイアーウォール機能などをアンインストールしてみる等しかないですね。

 ProxyARPコマンドを登録しIPフィルタを全削除→show log 情報を見る限り、誤ったアドレス変換をルーター側でしている状態では無いと判断出来ます。

 当方利用していますのは、 Kaspersky系でAU光及びNTT光(BIGLOBE)にて、酷似2重NAT環境にしている状態で、ご指摘の状態の現象は出ておりません。
 ネットワーク機器のステータス上は、ルーティングしております。


 試しに、それぞれのHGWに192.168.100.200等の固定IPを設定した何らかのネットワーク装置を接続し、自宅側から192.168.100.200にてアクセス出来るかどうかを確認下さい。
 逆に192.168.0.200の固定IP等の設定しましたネットワーク装置をAU光HGWのハブへ接続し、会社から192.168.0.200にてアクセス出来るかどうかを確認願います。

書込番号:19439007

ナイスクチコミ!0


返信数が200件に達したため、このスレッドには返信できません

クチコミ一覧を見る


価格.com Q&Aを見る

この製品の最安価格を見る

RTX810
ヤマハ

RTX810

最安価格(税込):¥46,807発売日:2011年11月上旬 価格.comの安さの理由は?

RTX810をお気に入り製品に追加する <169

のユーザーが価格変動や値下がり通知、クチコミ・レビュー通知、購入メモ等を利用中です

 
 
 

クチコミ掲示板検索



検索対象カテゴリ
を対象として

新着ピックアップリスト

ピックアップリストトップ

新製品ニュース Headline

更新日:7月19日

クチコミ掲示板ランキング

(パソコン)

ユーザー満足度ランキング

有線ブロードバンドルーター
(最近5年以内の発売・登録)



ランキングを詳しく見る