『HGWへのアクセスについて2』のクチコミ掲示板

RTX810 製品画像

拡大

最安価格(税込):¥46,807 (前週比:±0 )

  • メーカー希望小売価格(税別):¥68,000
  • 発売日:2011年11月上旬

店頭参考価格帯:¥46,807 〜 ¥46,807 (全国1店舗)最寄りのショップ一覧

有線LAN速度:10/100/1000Mbps 有線LANポート数:4 対応セキュリティ:UPnP/VPN/DMZ RTX810のスペック・仕様

価格.comのまるごと安心 設置・修理・サポート。家電・PC・カメラ・ゲーム機が対象。初月無料!
ネットで買うなら!クレジットカード比較
この製品をキープ

ご利用の前にお読みください

  • RTX810の価格比較
  • RTX810の店頭購入
  • RTX810のスペック・仕様
  • RTX810のレビュー
  • RTX810のクチコミ
  • RTX810の画像・動画
  • RTX810のピックアップリスト
  • RTX810のオークション

RTX810ヤマハ

最安価格(税込):¥46,807 (前週比:±0 ) 発売日:2011年11月上旬

  • RTX810の価格比較
  • RTX810の店頭購入
  • RTX810のスペック・仕様
  • RTX810のレビュー
  • RTX810のクチコミ
  • RTX810の画像・動画
  • RTX810のピックアップリスト
  • RTX810のオークション

『HGWへのアクセスについて2』 のクチコミ掲示板

RSS


「RTX810」のクチコミ掲示板に
RTX810を新規書き込みRTX810をヘルプ付 新規書き込み



ナイスクチコミ5

返信200

お気に入りに追加

解決済
標準

HGWへのアクセスについて2

2015/12/27 19:17(1年以上前)


有線ブロードバンドルーター > ヤマハ > RTX810

スレ主 snooker147さん
クチコミ投稿数:2253件

↓前スレッドが制限数に達したため新規に建てました。
http://bbs.kakaku.com/bbs/K0000288280/#19384277


思いついて自宅PCから会社HGWにPINGを飛ばしてみました。応答ナシです。会社ルーターからは応答あります。

またPCに入っているノートン360を懸念されていましたが、アイフォンからL2TP経由で会社HGWにはアクセスできないことから推測は正しくない可能性が高いと思います。

個人的にはPCは関係なくHGWとルーターとの設定に何か過不足がありそうに感じています。

あとで双方のルーターのコンフィグを開示します。


色々すみませんがまたよろしくお願いします。


書込番号:19439135

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/27 19:49(1年以上前)

 2重NAT環境(NAT-T)では、Config上問題無いんですよね。
 トンネル経由の同一セグメントIPからの通信に、HGWが応答しないだけの話なんですよね。

 会社側の契約プロバイダの方にて、何らかのポート制限やVPN利用ポート制限等の有無、パソコン側の検疫機能しか無いんですが。

 ASAHIネットなどは、IPSEC-VPNでのESPパケットを許容していないプロバイダで、NAT-Tでの通信しかIPSECトンネル構成が採れない形になっております。
 
 思い切って、自宅と会社のIPセグメント・レベルを、L2スイッチレベルでVPNトンネル構成が可能な、L2TPv3-VPNトンネルへ大幅変更してみましょうか?

 それか、それぞれのHGWを初期化して、再度設定してみる等でしょうか。

 show ip route を見ても、それぞれのRTX810ルーターのLAN側同様のスタティック経路確保していますので、HGWへログイン出来ない筈は無いんですが。

書込番号:19439216

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/27 19:52(1年以上前)

 それぞれの拠点のRTX810ルーターの設定は触れず、それぞれの拠点のHGWを初期化(リセット)して、再度接続設定実施→RTX810ルーターへ再度接続してみる方法が、最初にしてみると良いかと考えます。

書込番号:19439225

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/27 20:06(1年以上前)

>sorio-2215さん

結構面白くなってきたのでまずはHGWのリセットをやってダメなら別の構成に進みましょう。

HGWの設定を記録しておきたいです。

自宅側
設定ファイルの保存→リセット→復元→ルータと接続

って感じですか?会社の方は明日以降になりますね。

書込番号:19439263

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/27 20:19(1年以上前)

HGWの初期化後に、機能設定を同様の設定に戻して下さい。
 NTT光電話ルーターの場合には、光電話機能の設定も確認しておいて下さい。

書込番号:19439306

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/27 20:27(1年以上前)

AU-HGWの場合、本体の電源コンセント抜き→後面更新ボタンを押す方法にて、リセット可能です。
 ※ http://qa.nifty.com/cs/catalog/faq_nqa/qid_14381/1.htm?classification=500001#anc01

NTT-HGWの場合、本体前面・初期化ボタンを長押し→初期状態ランプがオレンジ色で点灯する事を確認します。次に「再起動ボタン」を押します。

書込番号:19439327

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/28 08:26(1年以上前)

AuのHGWはリセットし、設定を復元しました。この段階ではまだ会社のHGWには入れません。

本日中に会社のHGWもリセットする予定です。

書込番号:19440342

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/28 09:04(1年以上前)

 HGWへのアクセスが出来ない要因として、通常はRTX810からのARP要求に応じ、HGWからIPを判別する情報を通知しますが、その通知機能に問題が有るのでは?

 ARP要求応答の問題である場合、HGWのDHCP機能を無効化しStatic設定にした場合に、どういう動作になるかも確認された方が良いかもしれません。

 当方では、DHCP機能が有効でもARP応答は問題有りません。

書込番号:19440410

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/28 09:36(1年以上前)

 NTT光電話接続機能としては、Yamaha「NVR500」ですと、LAN側にARP応答通信させる機能が有るんですけどね。

 「NVR500」の場合には、光電話機能とPPPOE接続機能・DMZホスト機能にて、RTX810へ転送する設定、ARP送信機能設定が出来るんですけどね。

 通常はあり得ませんが、RTX810ルーターのLAN2側にもARP応答設定を投入してみては如何でしょうか?
 「ip lan2 proxyarp on」

 会社・自宅双方のRTX810へ投入してみて下さい。

書込番号:19440473

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/28 09:38(1年以上前)

>sorio-2215さん

たしか両方のHGWにはDHCP機能を持たせていたはずです。しかしHGWにルーター以外の機器を接続する予定はないです。

よって静的・・でOKです。


よろしくお願いいたします。

書込番号:19440479

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/28 11:04(1年以上前)

>sorio-2215さん

ip lan2 proxyarp on

すれ違いでしたね。上記コマンドを双方のルーターに投入しましたが、やはりHGWにはアクセス不能です。

まだやっていないことは会社側HGWをリセットし復元することだけです。

業務中につき時間を見てやらざるを得ません。

書込番号:19440632

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/28 13:44(1年以上前)

>sorio-2215さん

会社HGWのリセット・復元も終了。しかし自宅のHGWへはアクセス不能です。



よろしくお願いします。

書込番号:19440902

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/28 17:36(1年以上前)

 会社HGWへは、自宅回線からアクセス出来たのですか?

 自宅HGWのIP(192.168.0.1/24)、詳細設定→その他設定→DMZホスト設定(192.168.0.254)と、詳細設定→静的ルーティング設定(宛先:192.168.101.0/24、宛先ゲートウェイ192.168.0.254)の設定がキチンと反映しているか、確認下さい。

 会社RTX810には、トンネル1経由で192.168.0.0/24のルーティング設定が投入されている状態ですので、上記の設定が内部的に反映されていない状態ですと、Static通信として許容されません。

書込番号:19441317

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/28 17:52(1年以上前)

 ついでに、自宅HGWの省エネモードを無効化下さい。
 それと、詳細設定→その他設定→IPSECパススルー機能(有効)→UPNP(有効)、自宅RTX810ルーターでのIDS機能を効かせる場合には、セキュリティ保護機能は無効設定確認下さい。

書込番号:19441353

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/29 00:27(1年以上前)

>sorio-2215さん

指摘された項目すべてチェックしましたが特に間違っているところはありませんでした。

なお

自宅→会社HGW
会社→自宅HGW

いずれも通信できません。


よろしくお願いします。

書込番号:19442457

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/29 08:26(1年以上前)

 初歩的な話ですが、会社・自宅双方、HGW→RTX810(LAN2)+HGW→RTX810(LAN1)の2点のケーブルで接続しており、ループになっていると言う事は有りませんかね?
 2重ルーター構成(RTX810・LAN間接続構成)の場合には、前者の1点のケーブルでOKですよ。

 双方のHGWのDHCP無効化しても、同様の現象でしょうか?

書込番号:19442861

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/29 11:20(1年以上前)

ケーブルは自宅・会社ともHGWとRTXの間は1本のみです。また両方のHGWのDHCPを先ほど無効化しました。

しかし状況に全く変化なしです。

何度か報告していますが、私の認識する不具合は双方の拠点から先方のHGWにアクセスできない点だけです。

会社が休みに入ったのでネットワークの全面変更は問題なく取りかかれます。


よろしくお願いいたします。

書込番号:19443153

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/29 14:31(1年以上前)

 確認ですが、会社RTX810ルーターへ、「ipsec ike mode-cfg address pool 1 192.168.103.200-192.168.103.210/32」
 
 自宅RTX810ルーターへ「ipsec ike mode-cfg address pool 1 192.168.101.200-192.168.101.210/32」と言った設定を追加投入しても、変化が無いか確認お願いします。

書込番号:19443591

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/29 14:36(1年以上前)

 それと、切り分けの為ですが、それぞれのHGWの静的ルーティング設定を削除し、再度HGWへのアクセスを確認することは可能でしょうか?

 DMZホスト設定を切る事は出来ませんので、先ずは確認願います。

書込番号:19443595

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/29 15:01(1年以上前)

 先刻の確認をしてみてダメであれば、L2Tpv3-VPNトンネル構成のConfigを確認しますので、暫しお待ち下さい。

 

書込番号:19443631

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/29 15:19(1年以上前)

 L2TPv3総体Configを確認中ですが、その前に多少強引な方法になるかもしれませんが、下記コマンドを確認出来ますでしょうか?

 @ IPフィルタ設定を2点登録します。・・会社側RTX810
    ip filter 101082 pass * * udp * 500
    ip filter 101083 pass * * esp * *
 A 会社側RTX810に、フィルタ透過ルーティングを設定する。
    ip route default gateway 192.168.100.1 filter 101082 101083 gateway tunnel 1

 上記の設定にて、それぞれのHGWへのアクセスが可能かどうか、確認願います。
 不整合がある場合には、元のコマンドへ復元下さい。

書込番号:19443680

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/29 17:32(1年以上前)

>sorio-2215さん

とりあえず[19443591]でのコマンド投入。変化なしです。

続きは夜にやります。


書込番号:19443972

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/30 10:31(1年以上前)

 先刻の設定にて、どうも経路確保が難しいと言うことであれば、静的ルーティングをIPSECトンネルに設定していますが、通常は必要ありませんが、動的ルーティングをトンネル内に通す設定をお試し下さい。

 ip lan routing protocol rip2
 rip use on
 tunnel select 1
 ip tunnel rip send on version 2
 ip tunnel mtu 1240

それぞれのRTX810ルーターへ設定してみて下さい。

書込番号:19445782

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/30 10:54(1年以上前)

>sorio-2215さん

↓エラーでした。

コマンド "ip lan routing protocol rip2" は入力できません。

エラー: コマンド名を確認してください。

コマンド書式が正しく、またブラウザで入力できるコマンドであることを確認してください。
設定に変更はありません。

書込番号:19445831

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/30 11:31(1年以上前)

>sorio-2215さん

@ IPフィルタ設定を2点登録します。・・会社側RTX810
    ip filter 101082 pass * * udp * 500
    ip filter 101083 pass * * esp * *

A 会社側RTX810に、フィルタ透過ルーティングを設定する。
    ip route default gateway 192.168.100.1 filter 101082 101083 gateway tunnel 1



Aのコマンド投入後VPN切れました。もう繋がりません。会社に行ってコマンド削除します。

書込番号:19445930

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/30 12:54(1年以上前)

 「コマンド "ip lan routing protocol rip2" は入力できません。」

 ↑ 調べました。RTX810では、利用出来ないコマンドですね。
   RTX810の場合、rip use on でOKです。

 フィルタ型ルーティングが利用出来ないとなると、やはりHGWのプロセスがおかしい点になりますね。

 先刻の会社・自宅のRIP設定のみの確認にて、それぞれのHGWへのアクセスをお試し下さい。
 rip use on
 tunnel select 1
 ip tunnel rip send on version 2
 ip tunnel mtu 1240

書込番号:19446106

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/30 15:16(1年以上前)

>sorio-2215さん

会社に来てみるとVPNだけでなくインターネット自体に接続できなくなっていました。コンフィグを開示します。よろしくお願いします。

ip routing process fast
ip route 192.168.0.0/24 gateway tunnel 1
ip route 192.168.101.0/24 gateway tunnel 1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.100.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
ip lan1 address 192.168.103.1/24
ip lan1 proxyarp on
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.100.254/24
ip lan2 mtu 1454
ip lan2 proxyarp on
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.103.1
ipsec ike local name 1 ipsec1 key-id
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ******
ipsec ike remote address 1 ***.***.141.4
ip tunnel mtu 1240
ip tunnel rip send on version 2
ip tunnel tcp mss limit auto
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.103.0/24 * * * *
ip filter 101004 pass * 192.168.103.0/24 icmp * *
ip filter 101005 pass * 192.168.103.0/24 established * *
ip filter 101006 pass * 192.168.103.0/24 tcp * ident
ip filter 101007 pass * 192.168.103.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.103.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.103.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.103.0/24 * * *
ip filter 101014 pass * 192.168.103.0/24 udp * ntp
ip filter 101015 pass * 192.168.103.0/24 udp ntp *
ip filter 101016 pass * 192.168.103.1 udp * 500
ip filter 101017 pass * 192.168.103.1 esp * *
ip filter 101018 pass * 192.168.103.1 udp * 1701
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.100.254
nat descriptor address inner 200 192.168.100.254 192.168.103.1-192.168.103.254
nat descriptor masquerade static 200 1 192.168.103.1 udp 500
nat descriptor masquerade static 200 2 192.168.103.1 esp
nat descriptor masquerade static 200 3 192.168.103.1 udp 1701
rip use on
ipsec auto refresh on
ipsec ike mode-cfg address pool 1 192.168.103.200-192.168.103.210/32
syslog debug on
telnetd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.103.2-192.168.103.99/24
dns server 192.168.100.1
dns server dhcp lan2
dns private address spoof on
httpd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
alarm entire off
sshd service on
sshd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
sshd host key generate *
sftpd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
#

書込番号:19446450

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/30 15:54(1年以上前)

 デフォルトゲートウェイの設定が、復元されていませんよ。
 HGWを経由して、インターネット接続する設定が、フィルタ型ルーティング設定を削除した時に、復元忘れかと思います。

 ※ ip route default gateway 192.168.100.1
  ↑ これを投入下さい。


 192.168.100.1の後に、トンネルルートでのインターネット接続経路変更すると、フィルタ型ルーティングとなります。
 ip route default gateway 192.168.100.1 filter 101082 101083 gateway tunnel 1

書込番号:19446531

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/30 16:00(1年以上前)

 フィルタ型ルーティングを使う場合ですが、
 フィルタコマンドとして、
  ip filter 101082 pass * * udp * 500
  ip filter 101083 pass * * esp * *

   ↑が先刻の参考例コマンドですが、
  提示の現状コマンドですと、101082と101083のフィルタルールは既に使われていますので、
  下記が、正規のコマンドになるかと存じます。 
    ip filter 101038 pass * * udp * 500
    ip filter 101039 pass * * esp * *
   ip route default gateway 192.168.100.1 filter 101038 101039 gateway tunnel 1
   ↑ が正規のコマンドになります。

書込番号:19446547

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/30 17:31(1年以上前)

>sorio-2215さん

※ ip route default gateway 192.168.100.1

↑を投入しインターネットに出られるようになったものの次の2コマンドでまた出られなくなりました。2コマンド削除してもまだ出られません。

またコンフィグ出しておきます。

ip routing process fast
ip route 192.168.0.0/24 gateway tunnel 1
ip route 192.168.101.0/24 gateway tunnel 1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.100.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
ip lan1 address 192.168.103.1/24
ip lan1 proxyarp on
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.100.254/24
ip lan2 mtu 1454
ip lan2 proxyarp on
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.103.1
ipsec ike local name 1 ipsec1 key-id
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 ***.***.141.4
ip tunnel mtu 1240
ip tunnel rip send on version 2
ip tunnel tcp mss limit auto
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.103.0/24 * * * *
ip filter 101004 pass * 192.168.103.0/24 icmp * *
ip filter 101005 pass * 192.168.103.0/24 established * *
ip filter 101006 pass * 192.168.103.0/24 tcp * ident
ip filter 101007 pass * 192.168.103.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.103.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.103.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.103.0/24 * * *
ip filter 101014 pass * 192.168.103.0/24 udp * ntp
ip filter 101015 pass * 192.168.103.0/24 udp ntp *
ip filter 101016 pass * 192.168.103.1 udp * 500
ip filter 101017 pass * 192.168.103.1 esp * *
ip filter 101018 pass * 192.168.103.1 udp * 1701
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.100.254
nat descriptor address inner 200 192.168.100.254 192.168.103.1-192.168.103.254
nat descriptor masquerade static 200 1 192.168.103.1 udp 500
nat descriptor masquerade static 200 2 192.168.103.1 esp
nat descriptor masquerade static 200 3 192.168.103.1 udp 1701
rip use on
ipsec auto refresh on
ipsec ike mode-cfg address pool 1 192.168.103.200-192.168.103.210/32
syslog debug on
telnetd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.103.2-192.168.103.99/24
dns server 192.168.100.1
dns server dhcp lan2
dns private address spoof on
httpd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
alarm entire off
sshd service on
sshd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
sshd host key generate *
sftpd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
#

書込番号:19446777

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/30 17:37(1年以上前)

デフォルトの「ip route default gateway 192.168.100.1」と、フィルタ型ルーティング付きのコマンドは、任意選択です。

 ご利用のHGWの固有機能差にて、フィルタ型ルーティング付きの方は、うまくルーティング出来ないと言う事ですね。
 フィルタ型ルーティングの方法は、利用出来ないと言う事ですね。

 「ip route default gateway 192.168.100.1」を投入戻し下さい。

 先刻のRIPのみでそれぞれHGWへのアクセスをお試し下さい。
 

書込番号:19446792

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/30 17:44(1年以上前)

 「ip route default gateway 192.168.100.1 filter 101038 101039 gateway tunnel 1」
 「ip filter 101038 pass * * udp * 500」、「ip filter 101039 pass * * esp * *」

 ↑のコマンドと、↓のコマンドは、任意選択で、一度コマンドを投入すると、上書きになると言うことです。

 「ip route default gateway 192.168.100.1」

書込番号:19446808

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/30 17:50(1年以上前)

>sorio-2215さん
>「ip route default gateway 192.168.100.1」を投入戻し下さい。
>先刻のRIPのみでそれぞれHGWへのアクセスをお試し下さい。

上記実行による会社ルーターの状況

・インターネットに出られた
・VPNが復活した
・自宅HGWにはつながらない

つまり元に戻っただけでした。

書込番号:19446819

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/30 17:59(1年以上前)

AU側のHGWのモデルナンバーを教えて下さい。

 フィルタ型ルーティングが出来ない事が、そもそもおかしい状態です。

 「BL-900HW」ですか?
 「BL-902HW」ですか?

書込番号:19446845

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/30 18:18(1年以上前)

前者です。

書込番号:19446897 スマートフォンサイトからの書き込み

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/30 18:34(1年以上前)

>sorio-2215さん

auひかりはNTTとあまりに仕組みが違うのでサポートに確認したことがあります。

「何故IDとPWをどこにも入れていないのに接続されているのですか?」

回答はHGWのmacアドレスを使ってネット上で認識しているといった内容だったです。

今回の事象と関係あるでしょうか?

書込番号:19446939

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/30 18:45(1年以上前)

 「BL-900HW」ですと、内部ファームウェア・バージョンの差によって、挙動が変わります。
 確認ですが、ファームウェアが最新の1.4.6になっているかの確認願います。

 更に、電話回線サービスの利用有無によってですが、例えば2回線・2番号の利用有無や、オプションのナンバーディスプレイやキャッチフォン、三者通話、転送電話サービスの利用有無によって、HGWの構成が変わる場合があります。

 上記の電話サービスの関連がある場合、HGWのDMZ設定では、うまく通信が不安定になる場合があります。

 DMZホストの設定ではなく、詳細設定→その他設定→IPSECパススルーにチェック投入しているかの確認と、DMZホストを無効化し、下記設定にて確認願います。

 HGWの詳細設定→ポートマッピング設定にてVPNに必要条件のポート開放をお試し下さい。

 @ LAN側ホスト(192.168.0.254)→プロトコル(UDP)→ポート番号(500〜500)→優先度(1)
 A LAN側ホスト(192.168.0.254)→プロトコル(ESP)→優先度(2)
 B LAN側ホスト(192.168.0.254)→プロトコル(UDP)→ポート番号(4500〜4500)→優先度(3)
 C LAN側ホスト(192.168.0.254)→プロトコル(UDP)→ポート番号(1701〜1701)→優先度(4)
 D LAN側ホスト(192.168.0.254)→プロトコル(その他、51)→優先度(5)
 E LAN側ホスト(192.168.0.254)→プロトコル(TCP)→ポート番号(1723〜1723)→優先度(6)
 F LAN側ホスト(192.168.0.254)→プロトコル(その他、47)→優先度(7)
 G LAN側ホスト(192.168.0.254)→プロトコル(TCP)→ポート番号(80〜80)→優先度(8)
 H LAN側ホスト(192.168.0.254)→プロトコル(TCP)→ポート番号(8080〜8080)→優先度(9)
 LAN側静的ルーティング設定を投入
 トップページ > 詳細設定 > 静的ルーティング設定 > エントリ一覧
 宛先IP(192.168.101.0/24)→ゲートウェイ192.168.0.254

 会社側HGWの設定も、DMZホスト設定では無く、上記の設定要素にて、確認出来れば良いのですが、残念ながらRT-500KIは、プロトコル番号でのポート開放設定は出来ない様です。

書込番号:19446971

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/30 19:12(1年以上前)

 調べましたが、会社HGWにも特異点が有る点が有ります。
 
 通常の電話サービス利用では、あり得ないのですが、DMZホスト設定とLAN側静的ルーティングの併用にて、IPベースとポートベースの転送を行うのは、王道なのですが、利用電話機能によって、DMZホスト機能(無効)→LAN側静的ルーティングのみの設定でなければ、安定しない場合が有るようです。

 会社HGWのLAN側静的ルーティング
  宛先IP(192.168.103.0/24)→宛先ゲートウェイ(192.168.100.254)→有効にチェック。
  詳細設定→ 静的IPマスカレード設定にて、AU-HGWのポート開放事例を参考に解放設定を設定下さい。
  プロトコル番号50、51、47番の転送は出来ないので、それ以外の設定
  変換対象プロトコル(TCP及びUDP)→変換対象ポート(UDP500、4500、1701、TCP1723それぞれ)→ 宛先IPアドレス(192.168.100.254)→宛先ポート(UDP500、4500、1701、TCP1723それぞれ)

書込番号:19447025

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/30 21:00(1年以上前)


 「auひかりはNTTとあまりに仕組みが違うのでサポートに確認したことがあります。」

 「何故IDとPWをどこにも入れていないのに接続されているのですか?」

 「回答はHGWのmacアドレスを使ってネット上で認識しているといった内容だったです。」

 ↑の件ですが、NTT系と違うのは、NTT系の場合イーサネットフレーム上にPPPフレームをカプセル化した認証情報を相互通信させ、各サイトネットワーク接続しているのに対し、KDDI系はPPPフレーム認証を経由せず、直接ダイレクトにKDDIのグローバルIP配信認証サーバから、認証IPを配布している回線です。

 PPPカプセルしない分、それぞれのネットワーク接続のレスポンスの維持がしやすい回線になっております。
 KDDIから直接認証機構を省略している分、HGWのWAN側MACアドレスとインターフェイス認証(802.11x認証)を設けている回線です。

 基本論理としては、最終的にグローバルIPを配布しているのは、同じですので、接続方式の違いになります。

書込番号:19447315

ナイスクチコミ!1


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/30 22:19(1年以上前)

>sorio-2215さん
自宅は1回線。ナンバーディスプレイのみ契約。HGWの設定は変更しました。

会社の方は明日やります。

書込番号:19447560 スマートフォンサイトからの書き込み

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/31 08:31(1年以上前)

 NTT-HGWの方の件ですが、プロトコル50、51、47番の転送設定が、静的IPマスカレード設定にて出来ない点が有りますが、RTX810ルーターの相互通信にて、NAT貫通出来るNAT-T(NATトラバーサル)設定にしていますので、NTT-HGWとAU-HGWの機能差を吸収出来る構成にしています。

 NAT-Tの場合、UDP500番とUDP4500番の転送が出来るルーターであれば、IPSEC-VPNトンネル構成が出来る仕様になっております。
プロトコル番号50(ESP)、51(AH)、47(GRE)などの転送は出来ないルーターでも、可能と言う事です。

書込番号:19448307

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/31 12:05(1年以上前)

>sorio-2215さん

会社のHGWにて下記操作完了です。但し×の付いたものはやっていません。

・・・・
 @ LAN側ホスト(192.168.0.254)→プロトコル(UDP)→ポート番号(500〜500)→優先度(1)
×A LAN側ホスト(192.168.0.254)→プロトコル(ESP)→優先度(2)
 B LAN側ホスト(192.168.0.254)→プロトコル(UDP)→ポート番号(4500〜4500)→優先度(3)
 C LAN側ホスト(192.168.0.254)→プロトコル(UDP)→ポート番号(1701〜1701)→優先度(4)
×D LAN側ホスト(192.168.0.254)→プロトコル(その他、51)→優先度(5)
 E LAN側ホスト(192.168.0.254)→プロトコル(TCP)→ポート番号(1723〜1723)→優先度(6)
×F LAN側ホスト(192.168.0.254)→プロトコル(その他、47)→優先度(7)
 G LAN側ホスト(192.168.0.254)→プロトコル(TCP)→ポート番号(80〜80)→優先度(8)
 H LAN側ホスト(192.168.0.254)→プロトコル(TCP)→ポート番号(8080〜8080)→優先度(9)

 LAN側静的ルーティング設定を投入
 トップページ > 詳細設定 > 静的ルーティング設定 > エントリ一覧
 宛先IP(192.168.101.0/24)→ゲートウェイ192.168.0.254
・・・・

2,5,7ができていないです。そのせいかどうか、HGWをブラウザから再起動させるボタンでは再起動不能でした。本体のハードウエアボタンを使いました。

で、状況ですが、会社から自宅のHGWは相変わらずアクセス不能です。

書込番号:19448755

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/31 12:18(1年以上前)

>sorio-2215さん

以下は会社のPCから自宅のnas(192.168.101.250)宛てのtracertの結果です。

1 <1 ms 2 ms <1 ms 192.168.103.1
2 17 ms 18 ms 18 ms 192.168.101.1
3 19 ms 18 ms 19 ms 192.168.101.250

ココにはHGWのIPアドレスが出ていませんが、これは正常なのですか?何となく今回のトラブルに関係あるような気がして・・。


よろしくお願いします。

書込番号:19448782

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/31 13:05(1年以上前)

 自宅→会社へは、可能になったのでしょうか?

書込番号:19448902

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/31 13:12(1年以上前)

 tracert数値が、NTT系で小さいのは、仕方有りません。
 NTT側のMTUやMSS-Limit基準値は、KDDI系に比べて小さいので、現状としてはNTTとKDDI回線を同期させる設定としては、NTT網の限界値を超える設定が出来ないので、仕方有りません。

 tracert値にて、Nexthopゲートウェイのルート確保されている状態にて、正常値です。

書込番号:19448919

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/31 13:16(1年以上前)

 会社の静的IPマスカレードの設定が間違っていますよ。

 @ LAN側ホスト(192.168.0.254)→プロトコル(UDP)→ポート番号(500〜500)→優先度(1)
×A LAN側ホスト(192.168.0.254)→プロトコル(ESP)→優先度(2)
 B LAN側ホスト(192.168.0.254)→プロトコル(UDP)→ポート番号(4500〜4500)→優先度(3)
 C LAN側ホスト(192.168.0.254)→プロトコル(UDP)→ポート番号(1701〜1701)→優先度(4)
×D LAN側ホスト(192.168.0.254)→プロトコル(その他、51)→優先度(5)
 E LAN側ホスト(192.168.0.254)→プロトコル(TCP)→ポート番号(1723〜1723)→優先度(6)
×F LAN側ホスト(192.168.0.254)→プロトコル(その他、47)→優先度(7)
 G LAN側ホスト(192.168.0.254)→プロトコル(TCP)→ポート番号(80〜80)→優先度(8)
 H LAN側ホスト(192.168.0.254)→プロトコル(TCP)→ポート番号(8080〜8080)→優先度(9)

 ↑のLAN側ホストは、192.168.100.254へ差替えて下さい旨のメッセージ投稿済みでしたが。
 
 以下、先刻のメッセージ一部ですが。 
 変換対象プロトコル(TCP及びUDP)→変換対象ポート(UDP500、4500、1701、TCP1723それぞれ)→ 宛先IPアドレス(192.168.100.254)→宛先ポート(UDP500、4500、1701、TCP1723それぞれ)

書込番号:19448936

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/31 13:19(1年以上前)

 会社のHGW(192.168.100.0/24)、会社のRTX810ルーター(192.168.103.0/24)ですので、会社HGWの静的IPマスカレード登録は、RTX810ルーターのWAN側セグメントIPへの転送でなければ、転送条件になりません。

書込番号:19448943

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/31 13:41(1年以上前)

>sorio-2215さん

単なるコピペの貼り間違いでした。すべての行でキチンと「192.168.100.254」としています。

で 自宅→会社HGW、会社→自宅HGW 両方ともアクセス不能です。


よろしくお願いします。

書込番号:19448999

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/31 14:37(1年以上前)

 確認ですが、それぞれの拠点RTX810ルーターの「show arp」にて、ARP情報を教えて頂けますか?
 

書込番号:19449127

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/31 16:45(1年以上前)

会社

カウント数: 7
インタフェース IPアドレス MACアドレス TTL(秒)
LAN2 192.168.100.1 :36:53:4b:cb 1198
LAN1(port1) 192.168.103.2 fd:28:3f:da 1193
LAN1(port1) 192.168.103.3 :87:81:69:34 1133
LAN1(port1) 192.168.103.4 98:77:8e:b2 1193
LAN1(port1) 192.168.103.100 42:7e:13:c0 1082
LAN1(port1) 192.168.103.250 3f:d5:27:a6 513
LAN1 192.168.103.253 74:fe:cd:20 338
#

自宅

カウント数: 9
インタフェース IPアドレス MACアドレス TTL(秒)
LAN2 192.168.0.1 a2:3b:3d:a4 1071
LAN1(port4) 192.168.101.3 3c:b1:72:65 74
LAN1(port4) 192.168.101.4 6:d8:f6:a4 1147
LAN1(port4) 192.168.101.7 69:28:0e:03 1150
LAN1(port4) 192.168.101.100 5:9f:c8:8e 1125
LAN1 192.168.101.101 7:fd:84:6a 824
LAN1(port4) 192.168.101.103 c7:fd:43:9e 1169
LAN1(port4) 192.168.101.200 45:43:2e:8a 1087
LAN1(port4) 192.168.101.250 73:fb:c4:e8 1155

書込番号:19449405

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/31 16:51(1年以上前)

>sorio-2215さん

現在の問題とズレますが質問です。

LAN1 192.168.101.101 MACアドレス 824

先ほど開示したARPの自宅に上のような情報がありました。他のデバイスにはある(PORT4)がこのデバイスにはないですね。

実はこのデバイス、別のトラブルを抱えているのです。(PORT4)がないことはどんな意味があるのですか?


よろしくお願いします。

書込番号:19449419

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/31 18:01(1年以上前)

 双方のHGWのIPのMACアドレスが、おかしいです。

 確認ですが、それぞれのHGWに一時的に端末接続して、Windowsのファイルを指定して実行→cmdにて、DOSプロンプトを表示→コマンドから、arp -a を実行頂けますが?

 表示されたそれぞれのIP(会社192.168.100.1、自宅192.168.0.1)のそれぞれのMACアドレスを静的ARPエントリ登録する方法をRTX810へ反映して欲しいのですが。

 会社側RTX810ルーターのコマンド
  ip lan2 arp static 192.168.100.1 (NTT-HGWのMACアドレス

 自宅側RTX810ルーターのコマンド
  ip lan2 arp static 192.168.0.1 (AU-HGWのMACアドレス

 MACアドレスの部分は、**:**:**:**:**:** 形式で登録します。 (:で区切るのが通例です。)
 どうも、それぞれのHGWの機能として、LAN側へARPリクエストの応答機能に問題が有る様です。


 更に、先刻登録しましたLAN2側へARP代理応答させるコマンドの消去を、それぞれのRTX810ルーターへお願いします。
 ※ no ip lan2 proxyarp on


「先ほど開示したARPの自宅に上のような情報がありました。他のデバイスにはある(PORT4)がこのデバイスにはないですね。」
 「実はこのデバイス、別のトラブルを抱えているのです。(PORT4)がないことはどんな意味があるのですか?」

 ↑の件ですが、Port4番目にカスケード接続のスイッチングハブ若しくは、無線ルーター(APモード)経由で、何らかの端末接続をしていませんでしょうか?



書込番号:19449553

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/31 18:16(1年以上前)

 ARP取得情報がおかしいと言うことは、LANケーブルの品質が良くない・要求しますカテゴリレベルの周波数帯域が無い等の要素も考えられます。

 確認ですが、それぞれの拠点の回線終端装置からHGW、HGWからRTX810までのLANケーブルは、CAT6(8極8芯、単線・ストレート、500Mhz)などの品質レベルのケーブルは利用されていますか?

 8極4芯の250Mhz以下の周波数帯のケーブル利用ですと、何らかの通信障害等けんしゅつされても仕方ない現象かと考えます。

 

書込番号:19449585

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/31 18:17(1年以上前)

>sorio-2215さん

macアドレスは前半部分を消しています。伏字にすれば良かったですね。スミマセン。

書込番号:19449587 スマートフォンサイトからの書き込み

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/31 18:32(1年以上前)

RTX810にそれぞれのHGWの静的ARPエントリ設定をしましたら、それぞれの拠点からHGWへアクセスをお試し下さい。

書込番号:19449619

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/31 19:51(1年以上前)

 静的ARPエントリの設定方法になると、何らかの要因にてHGWが故障した際に、登録変更が必要です。

書込番号:19449791

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/31 20:12(1年以上前)

両方にmacアドレス投入しました。しかしHGWにはアクセスできません。

自宅分コンフィグ

ip routing process fast
ip route default gateway 192.168.0.1
ip route 192.168.100.0/24 gateway tunnel 1
ip route 192.168.103.0/24 gateway tunnel 1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
ip lan1 address 192.168.101.1/24
ip lan1 proxyarp on
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.0.254/24
ip lan2 mtu 1492
ip lan2 nat descriptor 200
ip lan2 arp static 192.168.0.1 一部伏字:3d:a4
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:DHCP
provider ntpdate ntp.nict.jp
pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin ***.***.
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.101.1
ipsec ike local id 1 192.168.101.1/24
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ***.***.
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1 key-id
ip tunnel mtu 1240
ip tunnel rip send on version 2
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text ***.***.
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.101.0/24 * * * *
ip filter 101004 pass * 192.168.101.1 udp * 4500
ip filter 101005 pass * 192.168.101.1 udp * 1701
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.101.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.101.1 udp * 500
ip filter 101081 pass * 192.168.101.1 esp * *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.101.1-192.168.101.254
nat descriptor masquerade static 200 1 192.168.101.1 udp 500
nat descriptor masquerade static 200 2 192.168.101.1 esp
nat descriptor masquerade static 200 3 192.168.101.1 udp 1701
nat descriptor masquerade static 200 4 192.168.101.1 udp 4500
rip use on
ipsec auto refresh on
ipsec ike mode-cfg address pool 1 192.168.101.200-192.168.101.210/32
ipsec transport 2 2 udp 1701
syslog debug on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.101.2-192.168.101.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on
httpd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
alarm entire off
#

書込番号:19449839

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/31 20:15(1年以上前)

会社側コンフィグ

ip routing process fast
ip route default gateway 192.168.100.1
ip route 192.168.0.0/24 gateway tunnel 1
ip route 192.168.101.0/24 gateway tunnel 1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.100.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
ip lan1 address 192.168.103.1/24
ip lan1 proxyarp on
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.100.254/24
ip lan2 mtu 1454
ip lan2 nat descriptor 200
ip lan2 arp static 192.168.100.1 一部伏字53:4b:cb
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.103.1
ipsec ike local name 1 ipsec1 key-id
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ***.***.
ipsec ike remote address 1 ***.***.141.4
ip tunnel mtu 1240
ip tunnel rip send on version 2
ip tunnel tcp mss limit auto
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.103.0/24 * * * *
ip filter 101004 pass * 192.168.103.0/24 icmp * *
ip filter 101005 pass * 192.168.103.0/24 established * *
ip filter 101006 pass * 192.168.103.0/24 tcp * ident
ip filter 101007 pass * 192.168.103.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.103.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.103.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.103.0/24 * * *
ip filter 101014 pass * 192.168.103.0/24 udp * ntp
ip filter 101015 pass * 192.168.103.0/24 udp ntp *
ip filter 101016 pass * 192.168.103.1 udp * 500
ip filter 101017 pass * 192.168.103.1 esp * *
ip filter 101018 pass * 192.168.103.1 udp * 1701
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.100.254
nat descriptor address inner 200 192.168.100.254 192.168.103.1-192.168.103.254
nat descriptor masquerade static 200 1 192.168.103.1 udp 500
nat descriptor masquerade static 200 2 192.168.103.1 esp
nat descriptor masquerade static 200 3 192.168.103.1 udp 1701
rip use on
ipsec auto refresh on
ipsec ike mode-cfg address pool 1 192.168.103.200-192.168.103.210/32
syslog debug on
telnetd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.103.2-192.168.103.99/24
dns server 192.168.100.1
dns server dhcp lan2
dns private address spoof on
httpd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
alarm entire off
sshd service on
sshd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
sshd host key generate *
sftpd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
#

書込番号:19449848

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/31 20:33(1年以上前)

  会社側RTX810ルーターのNAT-Tの静的IPマスカレード設定が無くなってますよ。

  ※ nat descriptor masquerade static 200 4 192.168.103.1 udp 4500
    ↑ 登録し直し下さい。

 本来の趣旨では、自宅側RTX810ルーターの「nat descriptor masquerade static 200 2 192.168.101.1 esp」と、会社側RTX810ルーターの「nat descriptor masquerade static 200 2 192.168.103.1 esp」は不要なのですが。(残しておいても、差し支え有りません。 通信されないだけです)

それぞれのアクセスしてます、端末のARPキャッシュを削除・ブラウザの一時ファイルを全て削除し、再度確認下さい。

 Windowsパソコンでしたら、DOSプロンプトにて、「arp -d *」を実行下さい。

 静的なARP登録をしても、アクセス出来ないと言う事は、HGWのインターフェイスの問題、ARP払い出し機能の問題しか残らないかと存じます。

 当方のAU-HGWでは、同一機器にて正常応答、 PR-500系PR-400系、RT-400系RT-300系では経験上問題無かった記憶があります。
 

書込番号:19449892

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/31 20:36(1年以上前)

 それぞれのHGWのARP情報での応答問題となると、HGWの不具合若しくは、接続LAN施設ケーブルの損失や結線不良なども想定されます。
  
 LANケーブルテスターなどは、お持ちではありませんでしょうか?
 一度、NTTとKDDIのレンタル機器サポート部署へ確認する形になるかもしれません。

書込番号:19449896

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/31 20:58(1年以上前)

 HGWの特定プロバイダの組み合わせでのファームウェア問題も捨てきれません。

 次の策のL2TPv3-VPNのConfigイメージは出来ておりますが、先ずはHGWの挙動確認が優先かと考えます。

書込番号:19449965

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/31 21:15(1年以上前)

>sorio-2215さん

nat descriptor masquerade static 200 4 192.168.103.1 udp 4500

上記投入。ARPクリア。しかし自宅→会社HGWダメですね。今は会社へは行けません。

ケーブル不良は考えにくいです。1Gかそれ以下かをハブのLEDが教えてくれます。全てのケーブルが1Gなのを確認済みです。

HGW不良はNTTとauが同時に不良なのですか?確率からありそうにないですよね。

私はNTTとauどちらのサポートにも「今回のようなアクセスは技術的に無理」「やりたいのならケーブルを都度抜き挿ししろ」と断言されています。しかしネットワークなのだからそんなはずはないだろうと思って質問しています。


やれることがあればやります。よろしくお願いします。

書込番号:19450007

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2015/12/31 21:44(1年以上前)

 「HGW不良はNTTとAUが同時に不良なのですか?確率からありそうにないですよね。」

 ↑ 機械的な不良というより、接続プロバイダとプロバイダ接続機能に対する、ルーター搭載OSの問題の要素が想定されたのですが。

 以前有ったのですが、アライドテレシス製ルーターとSoftbank系回線HGWのVPN機能設定の際に、HGWの特定ファームウェアの問題で、HGWから払い出しMACアドレスと実通信MACアドレスが違うものが払い出しされる問題や、MACアドレスの払い出しされないので、そのMACアドレス引き当てのIPアドレス逆引きアクセスが出来ない問題が有った記憶があります。

 その際に、Softbankの側でβファームウェアの適用を促された記憶が有ります。

 YamahaルーターでのARPステータス確認でも、HGWのMACアドレス逆引きが出来ている性質上、HGWの挙動しか無い状態になります。
 
 IPSECトンネルのアクセスでの端末には、仮想的に会社IPアドレスをプールし、会社・自宅RTX810ルーターの同一LANに同一化させる設定もしていますし、その同一LAN-IPからのアクセスを受け付けない動作自体は、RTX810のConfigとは、外れる動作になっています。

 会社端末から、NTT-HGWへはアクセス出来るのですよね?
 自宅端末から、AU-HGWへはアクセス出来るのですよね?

 再度確認ですが、それぞれのHGWのARP動作だけのプロセスになっているかと判断しておりますが、HGWのハードウェア・リセット(ソフトウェア・リセットでは無く)後に、設定の復元では無く、逐一再設定は可能でしょうか?
 ハードウェア・リセット時に、HGWの内部留保のARP情報のクリアが出来れば良いのですが。

書込番号:19450088

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2015/12/31 22:13(1年以上前)

>sorio-2215さん

>会社端末から、NTT-HGWへはアクセス出来るのですよね?
>自宅端末から、AU-HGWへはアクセス出来るのですよね?

はい。どちらもできますよ。HGWとRTXのケーブルは直結です。1本しか使いません。

> 再度確認ですが、それぞれのHGWのARP動作だけのプロセスになっているかと判断しておりますが、
>HGWのハードウェア・リセット(ソフトウェア・リセットでは無く)後に、設定の復元では無く、逐一再設定は可能でしょうか?
> ハードウェア・リセット時に、HGWの内部留保のARP情報のクリアが出来れば良いのですが。

【明示的な手順を一度に示してもらえれば】できると思います。今まではあーでもないこーでもないとやってきましたが、手順書的なものがあり、それを一気にやってしまえば半日かからないでしょう。

書込番号:19450154

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/01 10:18(1年以上前)

 セキュリティ上・通信安定性上、どうかと言う話になりますが、RTX810ルーターの静的ルーティングを変更して、お試し下さい。

 会社側RTX810ルーター
  「no ip route 192.168.101.0/24 gateway tunnel 1」 
  「no ip route 192.168.0.0/24 gateway tunnel 1]
  「ip route 192.168.101.0/16 gateway tunnel 1」

 自宅側RTX810ルーター
  「no ip route 192.168.100.0/24 gateway tunnel 1」
  「no ip route 192.168.103.0/24 gateway tunnel 1」
  「ip route 192.168.103.0/16 gateway tunnel 1」

 それぞれ、3行目のコマンドにて、サブネットレベルで第2オークテットまでの検疫で、ルーティングさせる方法に変更してあります。
 HGWの設定変更前に、確認願います。

書込番号:19450964

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2016/01/01 10:33(1年以上前)

>sorio-2215さん

会社側RTXに第一行目を投入した直後にアクセス不能になりましたので会社に行って続きをやります。

自宅の方は投入完了です。

その後HGWをどうするのですか?

書込番号:19450995

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/01 11:25(1年以上前)

HGWについては、お待ち下さい。
 なるべくHGWの設定は、光電話機能に関係していますので、時間を要す話になるかと考えます。
 Yamaha系やアレクソン系光電話ゲートウェイとは違い、NTT系光電話のSIP-NAT周り、インターネットNAT変換周りのプロセスも有りますので。

書込番号:19451089

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/01 11:29(1年以上前)

 静的ルーティングの設定をしましたら、それぞれの拠点の回線終端装置、HGWからRTX810、無線LANルーターの電源OFF→ONをかけることを推奨します。

 それぞれの機器のMACエイジング機能やARP周りの問題も有りますので、先ずは自宅回線終端装置の電源OFF→ON、AU-HGWの電源OFF→ON、RTX810ルーターの電源OFF→ON、無線ルーターの電源OFF→ONと言った具合に、機器の再起動を実施下さい。

 その後、会社ネットワーク周りの電源OFF→ONを確認下さい。

書込番号:19451093

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2016/01/01 13:15(1年以上前)

>sorio-2215さん

各種機器の電源再投入を指示通りの順番で自宅・会社で完了。

状況に変化なしです。

書込番号:19451271

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/01 18:51(1年以上前)

 それぞれのRTX810ルーターのコマンドにて、「show arp」の検出に変化が有るか確認下さい。

 それと、自宅アクセスのWindows端末などから、「arp -s 192.168.100.1 (NTT-HGWのMACアドレス)」のDOSプロンプト実行にて、HGWへのアクセス可能か、確認下さい。

 逆に会社のWindows端末から、「arp -s 192.168.0.1 (AU-HGWのMACアドレス)」コマンド実行後に、AU-HGWへのアクセスを確認してみて下さい。

書込番号:19451888

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2016/01/01 21:24(1年以上前)

macアドレスは一部削除しています

自宅RTX

カウント数: 12
インタフェース IPアドレス MACアドレス TTL(秒)
LAN2 192.168.0.1 2:3b:3d:a4 permanent
LAN1(port4) 192.168.101.2 87:81:69:34 1146
LAN1(port4) 192.168.101.3 c:b1:72:65 1104
LAN1(port4) 192.168.101.4 76:d8:f6:a4 1121
LAN1(port4) 192.168.101.5 :e4:1d:34:73 1144
LAN1(port4) 192.168.101.6 98:77:8e:b2 1164
LAN1(port4) 192.168.101.7 69:28:0e:03 1168
LAN1 192.168.101.8 77:e1:57:d6 879
LAN1(port4) 192.168.101.100 :d5:9f:c8:8e 1134
LAN1(port4) 192.168.101.102 c7:06:6c:00 1141
LAN1(port4) 192.168.101.103 c7:fd:43:9e 1198
LAN1(port4) 192.168.101.200 :45:43:2e:8a 1103


会社RTX

カウント数: 5
インタフェース IPアドレス MACアドレス TTL(秒)
LAN2 192.168.100.1 :36:53:4b:cb permanent
LAN1(port1) 192.168.103.2 :fd:28:3f:da 1051
LAN1(port1) 192.168.103.100 42:7e:13:c0 56
LAN1(port1) 192.168.103.250 :3f:d5:27:a6 867
LAN1(port1) 192.168.103.253 :74:fe:cd:20 684

書込番号:19452181

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2016/01/01 21:35(1年以上前)

>sorio-2215さん

arp -s 192.168.100.1 一部伏字:53:4b:cb

を自宅PCのDOS窓から投入しましたがmacアドレス部分が「無効な引数」となりました。macアドレス部分は会社RTXのコンフィグから該当部分をコピペしたものです。実際にHGWを見た訳でないですが、macアドレスは昨日と同じはずですよね?

書込番号:19452205

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/02 08:42(1年以上前)

192.168.0.1、192.168.100.1それぞれのARP情報が、permanentになっていますので、静的ARP機能設定は、キチンと動作しています。

 アクセスします、クライアント側でARPの引き当てが出来ていない状況の様です。
 
 それぞれの拠点のRTX810ルーターには、LAN1側へProxyARP機能が稼働していますので、LAN1側と同一セグメントを構成します、IPSEC-VPN(NAT-T)であれば、ARP取得としては問題無い筈です。

 念のため、会社側 「no nat descriptor masquerade static 200 2 192.168.103.1 esp」、自宅側 「no nat descriptor masquerade static 200 2 192.168.101.1 esp」にて、ESPパケットを利用しない形にしていただけますでしょうか。

 どうも、クライアント側のARPステータス取得に、問題が有る様です。
 少し調べましたが、Norton360がインストールしている環境にて、ARP取得の問題が出ている様で、Norton360のファイアーウォール機能だけの問題では無く、ソフトウェア稼働を停止しても、正常通信出来ない問題が有る様です。

 Norton360の一時アンインストール、Norton以外に以前、セキュリティソフトなどの適用が有った条件でしたら、そのセキュリティソフトをレジストリレベルで、検索・削除が必要になる可能性があります。

 アンインストールツールには、「iobit uninstaller 5.0」が良いかと考えます。
 ※ http://jp.iobit.com/free/iou.html

 その他ファイアーウォール関係のソフトが、メーカー製PCですと初期パッケージとして適用されている場合も有りますが、それも検疫対象となります。

 それと、L2TPv3-VPN構成イメージの件ですが、L2TPv3トンネルですと、既存のHGWのIPも同一のセグメントとして構成しなければいけない条件となりますので、その際にNAT稼働周りの条件の精査が必要になるので、下記の様な構成が可能か、確認中です。

 会社側HGW(IP192.168.100.1/24、PPPOE接続、DHCP有、DMZ及び静的IPマスカレード無し、静的ルーティング無し)→RTX810(LAN2利用しない、LAN1でのL2TPv3トンネル構成、LAN1アドレスIP192.168.100.254/24、DHCP機能無し)。
 自宅側HGW(IP192.168.100.2/24、DHCP無し、DMZ及び静的IPマスカレード無し、静的ルーティング無し)→RTX810(LAN2利用しない、LAN1でのL2TPv3トンネル構成、LAN1アドレスIP192.168.100.253/24、DHCP機能無し)

 要は、L2TPv3-VPNですと、全てのIPアドレス管理が、会社側HGWのDHCP機能に依存する設定が可能かどうか、確認中となります。
 双方とも、HGWのアクセスが可能となると、HGWでのインターネットアクセス機能は外せない条件、RTX810のNAT機能は利用せず、VPN機能のみハブモードで利用する形が可能かどうかを判断しています。

書込番号:19452910

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/02 08:44(1年以上前)

 すいません。 下記文言誤入力になります。

 要は、L2TPv3-VPNですと、全てのIPアドレス管理が、会社側HGWのDHCP機能に依存する設定が可能かどうか、確認中となります。
            ↓
  要は、L2TPv3-VPNですと、全てのIPアドレス管理が、自宅側HGWのDHCP機能に依存する設定が可能かどうか、確認中となります。(グローバルIPの関係上)

書込番号:19452915

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2016/01/02 09:03(1年以上前)

>sorio-2215さん
自宅ではNorton系のソフトは使っていないです。ですから自宅から会社へのアクセスができない理由にはなり得ません。

しかしアバストは使っていますからそれが原因と言われると否定できないですかね。

書込番号:19452958 スマートフォンサイトからの書き込み

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2016/01/02 09:31(1年以上前)

>sorio-2215さん

>>念のため、会社側 「no nat descriptor masquerade static 200 2 192.168.103.1 esp」、自宅側 「no nat descriptor masquerade static 200 2 192.168.101.1 esp」にて、ESPパケットを利用しない形にしていただけますでしょうか。

上記投入済。状況に変化なし。

例のレジストリ削除ソフト試してみますか?

書込番号:19453019

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/02 09:54(1年以上前)

 L2TPv3トンネルのConfigイメージ投稿します。
 
 自宅側RTX810ルーター
 ip routing process fast
ip route default gateway 192.168.0.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.1/24
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.0.254/24
ip lan2 mtu 1492
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:DHCP
provider ntpdate ntp.nict.jp
pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin ***.***.
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.100.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ***.***.
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-1
l2tp syslog on
l2tp local router-id 192.168.100.1
l2tp remote router-id 192.168.100.2
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text ***.***.
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.101.0/24 * * * *
ip filter 101004 pass * 192.168.101.1 udp * 4500
ip filter 101005 pass * 192.168.101.1 udp * 1701
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.101.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.101.1 udp * 500
ip filter 101081 pass * 192.168.101.1 esp * *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.100.1-192.168.100.254
nat descriptor masquerade static 200 1 192.168.100.1 udp 500
nat descriptor masquerade static 200 2 192.168.100.1 esp
nat descriptor masquerade static 200 3 192.168.100.1 udp 1701
nat descriptor masquerade static 200 4 192.168.100.1 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 2 2 udp 1701
syslog debug on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on l2tpv3
httpd host 192.168.100.2-192.168.100.254
alarm entire off

書込番号:19453069

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/02 09:55(1年以上前)

 会社側RTX810ルーターのL2TPv3トンネル・イメージです。

ip routing process fast
ip route default gateway 192.168.99.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.99.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.2/24
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.99.254/24
ip lan2 mtu 1454
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.100.2 ***.***.***.*** (AUグローバルIP)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.100.2
ipsec ike local name 1 ipsec1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ***.***.
ipsec ike remote address 1 ***.***.***.*** (AUグローバルIP)
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-2
l2tp syslog on
l2tp local router-id 192.168.100.2
l2tp remote router-id 192.168.100.1
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.103.0/24 * * * *
ip filter 101004 pass * 192.168.103.0/24 icmp * *
ip filter 101005 pass * 192.168.103.0/24 established * *
ip filter 101006 pass * 192.168.103.0/24 tcp * ident
ip filter 101007 pass * 192.168.103.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.103.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.103.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.103.0/24 * * *
ip filter 101014 pass * 192.168.103.0/24 udp * ntp
ip filter 101015 pass * 192.168.103.0/24 udp ntp *
ip filter 101016 pass * 192.168.103.1 udp * 500
ip filter 101017 pass * 192.168.103.1 esp * *
ip filter 101018 pass * 192.168.103.1 udp * 1701
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.100.2 udp 500
nat descriptor masquerade static 200 2 192.168.100.2 esp
nat descriptor masquerade static 200 3 192.168.100.2 udp 1701
nat descriptor masquerade static 200 4 192.168.100.2 udp 4500
rip use on
ipsec auto refresh on
syslog debug on
telnetd host 192.168.100.2-192.168.100.254
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.103.2-192.168.103.99/24
dns server 192.168.100.1
dns server dhcp lan2
dns private address spoof on
httpd host 192.168.100.2-192.168.100.254
l2tp service on l2tpv3
alarm entire off
sshd service on
sshd host 192.168.100.2-192.168.100.254
sshd host key generate *
sftpd host 192.168.100.2-192.168.100.254

書込番号:19453076

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/02 10:12(1年以上前)

 L2TPv3トンネルのイメージですが、会社側のRTX810ルーターのIPを192.168.100.2/24にして(DHCP機能無効)、会社側HGWのIPを192.168.99.1/24(DHCP有で構いません、DMZホストに192.168.99.254)の構成をイメージしております。

 よって、会社HGWのIPを192.168.99.1へ変更+DMZホスト192.168.99.254へして下さい。

 DHCP機能でのIPアドレスは、自宅RTX810ルーターから自動付帯されるイメージになります。

 それぞれの拠点のRTX810ルーターのWANポートは、そのまま利用するイメージになります。

 よって、それぞれの拠点のネットワーク端末は、192.168.100.***/24、デフォルトゲートウェイ192.168.100.1(自宅RTX810ルーターIP)または192.168.100.2(会社RTX810ルーターIP)を指定、プライマリDNSも192.168.100.1または192.168.100.2を指定設定して下さい。

 それと、先ほどの自宅RTX810ルーターのDHCPアドレスが間違っていました。
 正規には、「dhcp scope 1 192.168.100.3-192.168.100.99/24」、「httpd host 192.168.100.3-192.168.100.254」になります。
 
 併せて、会社側の下記コマンド誤入力です。
no dhcp service server
no dhcp server rfc2131 compliant except remain-silent
no dhcp scope 1 192.168.103.2-192.168.103.99/24
 ↑ 上記にて、設定消去下さい。(DHCP機能は、自宅側RTX810ルーターのDHCP範囲となります)

 「telnetd host 192.168.100.3-192.168.100.254」、「httpd host 192.168.100.3-192.168.100.254」、「sftpd host 192.168.100.2-192.168.100.254」 を投入下さい。

 

書込番号:19453107

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/02 10:28(1年以上前)

 先刻の説明、誤入力です。
 (誤) 併せて、会社側の下記コマンド誤入力です。 以下
     ↓
 (正)  併せて、自宅側の下記コマンド誤入力です。

書込番号:19453130

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/02 12:02(1年以上前)

L2TPv3トンネル構成での、会社RTX810ルーターのDNSサーバの設定ですが、誤入力です。

 正しいのは、「dns server 192.168.100.1」ではなく、「dns server 192.168.100.2」です。

書込番号:19453327

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/02 14:10(1年以上前)

 コマンド内容を見て頂ければ、解るかと思いますが、L2TPv3-VPNの場合、それぞれの拠点にARP応答(ProxyARP)しセグメント中継する必要が無く、同一セグメントとしてVPN構成するための方法です。

 その代わり、それぞれの接続端末・ネットワーク機器のIPアドレスを衝突しないIPにする必要があります。

 

書込番号:19453603

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2016/01/02 15:53(1年以上前)

>sorio-2215さん

よく飲み込めていないので質問します。

今まで作ってきた構成はどのように変更していくのですか?イメージとして各拠点のコンフィグ案?を提示していますが、その中の「各行」をコマンドとして投入していくのでしょうか?


よろしくお願いします。

書込番号:19453761

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/02 17:10(1年以上前)

 簡単な話ですが、全てのコマンドを投入していくのですが、L2TPv3-VPNトンネルの大幅な構成変更ですので、簡易Webメニューからの設定は、RTX810の場合には、対応していません。

 LAN1をブリッジングし、L2TPv3用のトンネルと関連づけする設定などは、Webからではなく、コマンド投入していく形になります。
 RTX810の初期化からやった方が良いのですが、IPアドレスの管理方法などのモードの設定も一部有りますので、Telnet(シリアルポート経由)からのコマンド投入した方が早いです。
 
 Telnetからのコマンド投入には、フリーソフトの「TeraTerm」を利用し、TeraTermのCOMポート接続からコマンドを全て指定して投入すれば、IPアドレスでのコマンド投入では出来ない投入コマンドが、一括で可能です。

 設定参考例・・ http://jp.yamaha.com/products/network/solution/vpn/connect/vpn-connect-l2tpv3_ipsec-rtx1200/
 設定参考例A・・ http://www.rtpro.yamaha.co.jp/RT/docs/l2tpv3/

 確認ですが、ご利用のパソコンには、シリアルポートは有りませんでしょうか?
 シリアルポートが有れば、そのシリアルポートに、シリアルケーブル(クロス・9pin)にて、RTX810のシリアルポートを接続すれば、上記のソフトにて通信可能な筈です。

 パソコンにシリアルポートが無い場合には、別途USB・シリアル変換アダプタ(32・64bit兼用)が併せて必要かと考えます。
 ※  Ratoc製「REX-USB60F」、IODATA製「USB-RSAQ6」

 

書込番号:19453918

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/02 17:21(1年以上前)

 念のため申し上げますが、L2TPv3トンネルは、複数拠点のIP体系を同一化し、同一セグメントとして接続するため、VPN本拠点のRTX810ルーターのDHCPサーバ機能を、他拠点のDHCP機能としても利用する構成になります。

 同一セグメントでのIPアドレス管理のため、静的ルーティングやARP転送などを考慮する必要は有りませんが、本拠点のDHCPサーバの障害や、挙動変更が有った場合に、他拠点の端末のDHCP自動取得が出来ないモード(固定では可能)となる構成になります。

 要は、VPNトンネル経由で、DHCP機能を支店にも効かせる構成とイメージ下さい。
 
 中身は、DHCPリレーエージェントに近い機能ですが。
 ※ http://www.rtpro.yamaha.co.jp/RT/FAQ/TCPIP/dhcp-relay.html

書込番号:19453947

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2016/01/03 08:47(1年以上前)

>sorio-2215さん

説明を読んでの懸念があります。仮に自宅のDHCP機能を持ったルーターがダウンした場合は会社でのインターネット接続が不能になりますね?常に私が対応できるとは限りませんからこのような可能性をもった構成は受け入れられません。

現在の構成なら自宅でも会社でもどちらかダウンしても影響の範囲は限定的です。しかしご提案の構成では前述した事態が懸念されます。

以上から今回のご提案は採用できないです。どうもすみません。

求める要件
・自宅と会社それぞれのネットワークの不調がそのネットワーク内だけに収まること

もしもこの要件を満たせないのであれば、現構成への不満は相手方のHGWに接続できないことだけですから、そこを我慢するのはやむを得ないかな?と考えています。


よろしくお願いします。

書込番号:19455491

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/03 08:58(1年以上前)

 会社でのインターネット接続がダウンすると言うことではありませんよ。

 DHCPのみ機能しないと言う事になりますので、固定でIPアドレスを端末にしておけばOKです。

 会社のインターネット接続の際の固定IPの設定は、先刻の通り192.168.100.***/24、デフォルトゲートウェイ192.168.100.2、プライマリDNS192.168.100.2と設定すれば、OKと言う事です。

 インターネット接続まで、自宅経由すると言う事では有りません。
 VPNのみ、自宅・会社間をL2スイッチレベルで接続する構成ですので、機器間の接続相性やNATにまつわる不整合問題を回避出来る方法です。

 要は、会社での有線LAN端末は予め固定IP設定、スマホやモバイル端末については、特定ESS-ID宛てに接続しましたその接続設定情報のIPアドレス取得方法を、DHCP自動取得では無く、STATIC設定で固定IP設定にするだけです。

 他会社で利用されています、FAX複合機やNAS、特定端末は固定IPにされていますよね?

書込番号:19455507

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/03 09:01(1年以上前)

 L2TPv3-VPNトンネル構成を採用するかどうかは、一度設定してみて満足いくレベルかどうか、判断されてからでも遅くは無いかと考えます。

 今までのConfigデータは、バックアップしておけば、復元は容易です。

書込番号:19455510

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/03 09:08(1年以上前)

 先刻の対話の通り、L2TPv3/IPSECはRTX810では、Rev.11.01.21以降のファームウェアで対応しております。
 ただし、最新ファームウェア適用でのL2TPv3/IPSECの稼働設定条件として、未だ簡易Webメニューからの設定は出来ないので、Telnetコンソールからの設定になります。

 簡易Webメニューからのコマンド実行では、一部機能制限が有り、IPアドレスベースでログイン可能な端末から、コマンド投入できる機能になっておりますので、今回のようにIPアドレスにトンネルを関連づけする設定と言ったConfig投入は、出来ないと考えた方が良いかと存じます。

 当方のイメージでは、完全なL2レベルで自宅・会社間のVPNを構成可能とする設定ですので、HGWへのアクセスもすんなりいくかと考えます。

書込番号:19455520

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2016/01/03 10:06(1年以上前)

>sorio-2215さん

インターネットにアクセス不能になると思っていました。そうでないのならば受け入れられますね。

また各端末を固定IPにするのも問題ないです。シリアル変換ケーブルはFAXモデムに使っていますからすぐにでも始められますよ。

しかし疑問がまだあります。なぜコマンド入力でできないことがシリアルケーブル経由だとできるのでしょうか?単にテキストを送っているだけでないですか?

書込番号:19455643

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/03 10:20(1年以上前)

 簡易Webメニューから出来るのは、自身IPを含まない設定のみになりますので、L2TPv3/IPSECの様な、ルーター自身のIPを変更し、ブリッジングをかけるような設定は、出来ないと思った方が良いです。

 簡易Webメニュー表示は、ブラウザからルーター自身IPを参照していますよね?
 
 シリアルポートの接続コンソール設定は、IPネットワーク網からの投入では無い為です。
 念のためですが、接続シリアルケーブルは、クロスタイプでなければ正常通信出来ません。
 
 各端末の固定IPに関しましては、先刻の話の通り、自宅・会社とそれぞれ192.168.100.***/24のなりますので、衝突しないIPを設定下さい。
 固定IP設定の際、自宅端末はデフォルトゲートウェイ192.168.100.1、プライマリDNS192.168.100.1、会社端末の場合デフォルトゲートウェイ192.168.100.2、プライマリDNS192.168.100.2と設定下さい。

 先日のConfigイメージですと、会社から自宅HGWのアクセスは192.168.0.1、自宅から会社HGWのアクセスは192.168.99.1のイメージになります。

書込番号:19455670

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/03 12:12(1年以上前)

 正式・自宅RTX810ルーター、Configになります。
 
 自宅分コンフィグ

ip routing process fast
ip route default gateway 192.168.0.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.1/24
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.0.254/24
ip lan2 mtu 1492
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:DHCP
provider ntpdate ntp.nict.jp
pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin ***.***.
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.100.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ***.***.
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-1
l2tp syslog on
l2tp local router-id 192.168.100.1
l2tp remote router-id 192.168.100.2
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text ***.***.
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.101.0/24 * * * *
ip filter 101004 pass * 192.168.101.1 udp * 4500
ip filter 101005 pass * 192.168.101.1 udp * 1701
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.101.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.101.1 udp * 500
ip filter 101081 pass * 192.168.101.1 esp * *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.100.1-192.168.100.254
nat descriptor masquerade static 200 1 192.168.100.1 udp 500
nat descriptor masquerade static 200 2 192.168.100.1 esp
nat descriptor masquerade static 200 3 192.168.100.1 udp 1701
nat descriptor masquerade static 200 4 192.168.100.1 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 2 2 udp 1701
syslog debug on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.3-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on l2tpv3
httpd host 192.168.100.3-192.168.100.254
alarm entire off

書込番号:19455953

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/03 12:13(1年以上前)

 正式、会社RTX810ルーターConfigになります。

 ip routing process fast
ip route default gateway 192.168.99.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.99.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.2/24
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.99.254/24
ip lan2 mtu 1454
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.100.2 ***.***.***.*** (AUグローバルIP)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.100.2
ipsec ike local name 1 ipsec1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ***.***.
ipsec ike remote address 1 ***.***.***.*** (AUグローバルIP)
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-2
l2tp syslog on
l2tp local router-id 192.168.100.2
l2tp remote router-id 192.168.100.1
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.103.0/24 * * * *
ip filter 101004 pass * 192.168.103.0/24 icmp * *
ip filter 101005 pass * 192.168.103.0/24 established * *
ip filter 101006 pass * 192.168.103.0/24 tcp * ident
ip filter 101007 pass * 192.168.103.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.103.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.103.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.103.0/24 * * *
ip filter 101014 pass * 192.168.103.0/24 udp * ntp
ip filter 101015 pass * 192.168.103.0/24 udp ntp *
ip filter 101016 pass * 192.168.103.1 udp * 500
ip filter 101017 pass * 192.168.103.1 esp * *
ip filter 101018 pass * 192.168.103.1 udp * 1701
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.100.2 udp 500
nat descriptor masquerade static 200 2 192.168.100.2 esp
nat descriptor masquerade static 200 3 192.168.100.2 udp 1701
nat descriptor masquerade static 200 4 192.168.100.2 udp 4500
rip use on
ipsec auto refresh on
syslog debug on
telnetd host 192.168.100.3-192.168.100.254
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.103.3-192.168.103.99/24
dns server 192.168.100.1
dns server dhcp lan2
dns private address spoof on
httpd host 192.168.100.3-192.168.100.254
l2tp service on l2tpv3
alarm entire off
sshd service on
sshd host 192.168.100.3-192.168.100.254
sshd host key generate *
sftpd host 192.168.100.3-192.168.100.254

書込番号:19455958

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/03 12:30(1年以上前)

 補足です。
 先刻のConfigですが、IPフィルタ制限はかけていませんので、IPフィルタ制限をかける場合には、会社と自宅のIPフィルタのルールを一部変更下さい。

 自宅RTX810ルーター(下記) 
 「no ip filter 101003 reject 192.168.101.0/24 * * * *」
   ↓
 「ip filter 101003 reject 192.168.100.0/24 * * * *」

 「noip filter 101004 pass * 192.168.101.1 udp * 4500」
   ↓
 「ip filter 101004 pass * 192.168.100.1 udp * 4500」

 「no ip filter 101005 pass * 192.168.101.1 udp * 1701」
   ↓
 「ip filter 101005 pass * 192.168.100.1 udp * 1701」

 「no ip filter 101013 reject * 192.168.101.0/24 * * *」
   ↓
 「ip filter 101013 reject * 192.168.100.0/24 * * *」

 「no ip filter 101080 pass * 192.168.101.1 udp * 500」

 「ip filter 101080 pass * 192.168.100.1 udp * 500」

 「no ip filter 101081 pass * 192.168.101.1 esp * *」
   ↓
 「ip filter 101080 pass * 192.168.100.1 udp * 500」


 会社RTX810ルーター(下記)
 ip filter 101003 reject 192.168.103.0/24 * * * *
 ip filter 101004 pass * 192.168.103.0/24 icmp * *
 ip filter 101005 pass * 192.168.103.0/24 established * *
 ip filter 101006 pass * 192.168.103.0/24 tcp * ident
 ip filter 101007 pass * 192.168.103.0/24 tcp ftpdata *
 ip filter 101008 pass * 192.168.103.0/24 tcp,udp * domain
 ip filter 101009 pass * 192.168.103.0/24 udp domain *
 ip filter 101013 reject * 192.168.103.0/24 * * *
 ip filter 101013 reject * 192.168.103.0/24 * * *
 ip filter 101014 pass * 192.168.103.0/24 udp * ntp
 ip filter 101015 pass * 192.168.103.0/24 udp ntp *

  ↑の192.168.103.0/24を、192.168.100.0/24へ差替え投入下さい。

 ip filter 101016 pass * 192.168.103.1 udp * 500
 ip filter 101017 pass * 192.168.103.1 esp * *
 ip filter 101018 pass * 192.168.103.1 udp * 1701

  ↑の192.168.103.1/24を、192.168.100.2/24へ差替え投入下さい。

  ip filter 101019 pass * 192.168.100.2 udp * 4500
 
  ↑ 追加で投入下さい。

 なお、IPフィルタ機能を有効にされる場合には、ご存じかと思いますが、上記までのエントリ番号を、自宅・会社のRTX810ルーターのip secure filter in 〜 及び ip secure filter out 〜 へ追記が必要です。
 

書込番号:19456012

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2016/01/03 18:26(1年以上前)

>sorio-2215さん

ケーブル(リバース)を追加購入してようやく準備完了?です。テラタームから接続する方法を教えてください。

RTXのシリアルポートに接続しています。

現在自宅です。

書込番号:19456869

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/03 19:33(1年以上前)

TeraTermをインストール後、TeraTermを起動→新しい接続メニューが表示されますので、COMポートを選択→現在接続のCOMポートが表示されているかと存じますので、そのまま接続します。

 黒枠内に最初、パスワードを聞いてくるかと考えますが、そのままENTER→administrator→ENTERでログインします。
  TeraTermでのコマンド登録では、パスワード類は表示されませんが、入力間違いが無ければそのまま入力反映出来ます。

 ※ administratorでのログインしませんと、管理者ルーター設定モードになりません。
    管理者ルーター設定モードになっているかどうかは、入力欄に最初に#が表示されているかと存じます。
    #の後に、それぞれのコマンドを行ごとに登録可能となります。

 その後、コマンド投入モードになりますので、Config情報をそれぞれ行ごとに入力しENTERにて、登録します。
 最後に、saveで保存、restartでルーター再起動です。

書込番号:19457063

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/03 19:36(1年以上前)

TeraTermの黒枠内に、メモ帳などのConfigの貼り付けも可能ですが、行ごとにされた方が間違いが無いかと存じます。

 TeraTermの最新版は、「https://osdn.jp/projects/ttssh2/」に掲載されています。

書込番号:19457074

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/03 20:03(1年以上前)

 YamahaルーターのCOMポート接続の通信設定の参考までに。

 ※ http://atnetwork.info/yamaha/console01.html
    http://oatrap485.blogspot.jp/2013/01/yamaha.html

 コンソールでの設定順

 ※ http://atnetwork.info/yamaha/console02.html

書込番号:19457146

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2016/01/03 20:10(1年以上前)

>sorio-2215さん

新しい接続ウィンドウが開いていますが、、TCP/IPが選択状態です。シリアルポートはグレーアウト。

何かおかしいですか?

書込番号:19457162

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/03 20:25(1年以上前)

 パソコン本体のシリアルポートが無効、若しくはUSBシリアルアダプタ接続でしたら、そのシリアルアダプタが認識していませんよ。

 ドライバ適用していますか?

 Windowsのデバイスマネージャにて、シリアルポート(COMポート)た有効かどうか、有効の際に何番ポートで有効になっているか確認下さい。

 通常は、COMポート1です。

 パソコン本体の内蔵シリアルポートの場合、パソコンのBIOSのシリアルポート設定がEnableになっていない(Disable設定になっている)点も考えられます。

書込番号:19457216

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2016/01/03 20:35(1年以上前)

>sorio-2215さん

usbシリアルコンバータのドライバが入っていなかったです。現在はRTXに接続できました。

では各種設定を保存してからコマンドの投入を開始します。

書込番号:19457243

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2016/01/03 20:46(1年以上前)

>sorio-2215さん

rtx の環境を保存する方法を教えてください。tftpを使ってPCをホスト指定までできましたが、PCから操作可能なコマンドとして受け付けられません。

カンタンで早い方法希望です。できればPCにファイルを保存したいです。

書込番号:19457273

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/03 22:07(1年以上前)

 コマンドから、「tftp host any」と実行下さい。

 TFTPからの出力が可能となります。

 パソコンのDOSプロンプトから、TFTP出力要求したいのですよね?

 事前に、RTX810のコマンドに、上記のコマンド投入が必要です。

 若しくは、TeraTermの投入コマンドを終わりましたら、簡易WebメニューからのConfig出力でもOKですよ。

 @  [トップ] > [詳細設定と情報] > [設定ファイル・ファームウェアファイルのコピー]
      コピー元のファイル名 → 内蔵不揮発性メモリ(Config0)
      コピー先のファイル名 → USBメモリ
      実行。
 A  [トップ] > [詳細設定と情報] > [本製品の全設定(config)のレポート作成]

  ↑ どちらの方法でもOKです。

書込番号:19457556

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2016/01/03 22:28(1年以上前)

>sorio-2215さん
ひょっとしてコンフィグファイルって単なるテキストファイルですか?

ファイル名と拡張子はどうしますか?

書込番号:19457617 スマートフォンサイトからの書き込み

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/03 23:07(1年以上前)

 txt で良いかと考えますよ。
 
 Yamahaルーターでの簡易Webメニューからの出力も、デフォルトでtxtになってます。

 ファームウェア一体型情報として、出力された場合には、binファイルになります。

書込番号:19457745

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/03 23:10(1年以上前)

 デフォルトでは、USBポートから出力される形式も config.txt になっております。
 
 ※ http://www.rtpro.yamaha.co.jp/RT/docs/external-memory/copy.html

書込番号:19457756

ナイスクチコミ!1


スレ主 snooker147さん
クチコミ投稿数:2253件

2016/01/04 00:06(1年以上前)

>sorio-2215さん
ipv6 lan1 prefix ra-prefix@lan2::/64

1.テラタームで上のコマンドを打つと文字化けが帰ってきます。

2.1行ずつコピペしていくのは非常に面倒ですね。何とかできませんか?

現在はルーターが動かないのでHGWに配線しています。


よろしくお願いします。

書込番号:19457914

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/04 00:15(1年以上前)

先刻のteratermの文字コードを、SJISコードにする情報サイトの案内が、参考になりませんでしたか?

書込番号:19457945 スマートフォンサイトからの書き込み

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/04 00:19(1年以上前)

teratermの端末文字設定が、デフォルトでUTF-8になってますので、ヤマハの表示型式はSJISですので、変更下さい

書込番号:19457959 スマートフォンサイトからの書き込み

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2016/01/04 00:27(1年以上前)

>sorio-2215さん

文字コード変更しました。

しかし、先ほどの行を打つと「エラー:コマンド名を確認してください」となります。

書込番号:19457975

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/04 09:17(1年以上前)

IPV6周りのコマンドは、既に設定されていると、エラーになります。

 エラー行については、行を飛ばして、次のコマンド実行して下さい。

 投入済みコマンドについては、コマンドにて 「show config」にて、表示出来ます。

 それと、行指定でのコマンドの貼り付けですが、複数行まとめて貼り付けでも良いですよ。

 エラー行が出る場合もありますが、まとめて投入下さい。

 tunnel enable 2 まで投入しましたら、それ以後の行は、トンネルから抜けないと投入出来ませんので、一度、トンネルを抜けるコマンド 「tunnel select none」にて抜けてから、それ以後の行をまとめて貼り付け投入下さい。

 pp select anonymous 〜 pp enable anonymous の行も同様です。
 通常のグローバルコマンドを投入する場合には、「pp select none」で抜けないと、コマンド投入出来ません。

 エラーが出て投入出来なかった行は、後から投入出来ますので、その行をチェックしておいて下さい。

書込番号:19458447

ナイスクチコミ!1


スレ主 snooker147さん
クチコミ投稿数:2253件

2016/01/04 09:27(1年以上前)

>sorio-2215さん

cold start からやっていきます。

書込番号:19458464

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/04 09:39(1年以上前)

ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on


上記は、ひとくくりのコマンドですので、全角・半角の誤入力(全て半角)、間違った入力が無いかどうかだけになります。

 TeraTermからのコマンド投入ですと、送信テキスト情報によって、うまくいかない場合も有りますので、上記のIPV6周りのコマンドのみでしたら、それ以外のコマンドを投入後に、簡易Webメニューのコマンド投入でも可能です。

書込番号:19458483

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2016/01/04 09:45(1年以上前)

>sorio-2215さん
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on

投入完了。自宅関連の周辺機器設定を直しておきます。

書込番号:19458494

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2016/01/04 10:29(1年以上前)

>sorio-2215さん

自宅コンフィグです。「かんたん設定では」VPNが見えないのが不思議なのですが・・。


ip routing process fast
ip route default gateway 192.168.0.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.1/24
ip lan1 address 192.168.100.1/24
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.0.254/24
ip lan2 secure filter in 101003 101020 101021 101022 101023 101024 101025 101030 101032
ip lan2 secure filter out 101013 101020 101021 101022 101023 101024 101025 101099 dynamic 101080 101081 101082 101083 101084 101085 101098 101099
ip lan2 nat descriptor 200
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:auひかり
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ***.***.
ipsec ike remote address 1 any
l2tp tunnel auth off
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.101.1 udp * 4500
ip filter 101005 pass * 192.168.101.1 udp * 1701
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
nat descriptor address inner 200 192.168.0.254 192.168.100.1-192.168.100.254
nat descriptor masquerade static 200 1 192.168.100.1 udp 500
nat descriptor masquerade static 200 2 192.168.100.1 esp
nat descriptor masquerade static 200 3 192.168.100.1 udp 1701
nat descriptor masquerade static 200 4 192.168.100.1 udp 4500
rip use on
ipsec auto refresh on
ipsec ike remote address 2 any
ipsec transport 2 2 udp 1701
syslog debug on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.3-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on l2tpv3
httpd host 192.168.100.3-192.168.100.254
alarm entire off
#

書込番号:19458599

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/04 10:52(1年以上前)

LAN1アドレスをブリッジしているのは正常ですが、ブリッジしていないコマンドも投入されてますよ。

 ※ ip lan1 address 192.168.100.1/24
  ↑ 不要ですので、削除願います。 「no ip lan1 address 192.168.100.1/24」

 NATの設定を手直し下さい。

 nat descriptor address outer 200 primary → nat descriptor address outer 200 192.168.0.254

 ※ nat descriptor address outer 200 192.168.0.254 を投入下さい。

 下記IPフィルタも101003が投入されていないものに変更下さい。
 ip lan2 secure filter in 101003 101020 101021 101022 101023 101024 101025 101030 101032
  ↓
 ip lan2 secure filter in 101004 101005 101006 101007 101020 101021 101022 101023 101024 101025 101030 101032 101099
ip filter 101004 pass * 192.168.100.1 udp * 4500
ip filter 101005 pass * 192.168.100.1 udp * 1701
ip filter 101006 pass * 192.168.100.1 udp * 500
ip filter 101007 pass * 192.168.100.1 esp * *

 下記コマンドを、101013が投入されていないものへ変更下さい。
 ip lan2 secure filter out 101013 101020 101021 101022 101023 101024 101025 101099 dynamic 101080 101081 101082 101083 101084 101085 101098 101099
  ↓
 ip lan2 secure filter out 101020 101021 101022 101023 101024 101025 101099

書込番号:19458648

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2016/01/04 11:59(1年以上前)

>sorio-2215さん

相変わらずかんたん設定画面ではVPNの項目が0になっています。何故でしょうか?


ip routing process fast
ip route default gateway 192.168.0.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.1/24
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.0.254/24
ip lan2 secure filter in 101004 101005 101006 101007 101020 101021 101022 101023 101024 101025 101030 101032 101099
ip lan2 secure filter out 101020 101021 101022 101023 101024 101025 101099
ip lan2 nat descriptor 200
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:auひかり
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ***.***.
ipsec ike remote address 1 any
l2tp tunnel auth off
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.1 udp * 4500
ip filter 101005 pass * 192.168.100.1 udp * 1701
ip filter 101006 pass * 192.168.100.1 udp * 500
ip filter 101007 pass * 192.168.100.1 esp * *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.100.1-192.168.100.254
nat descriptor masquerade static 200 1 192.168.100.1 udp 500
nat descriptor masquerade static 200 2 192.168.100.1 esp
nat descriptor masquerade static 200 3 192.168.100.1 udp 1701
nat descriptor masquerade static 200 4 192.168.100.1 udp 4500
rip use on
ipsec auto refresh on
ipsec ike remote address 2 any
ipsec transport 2 2 udp 1701
syslog debug on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.3-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on l2tpv3
httpd host 192.168.100.3-192.168.100.254
alarm entire off
#

書込番号:19458773

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/04 13:33(1年以上前)

簡易Webメニューにトンネル登録されていない件ですが、先刻の対話の通り、簡易Webメニューには、未だトンネル追加・情報表示出来るファームウェアになっていません。
 Telnetコマンドとしてのトンネル設定対象の設定方法になっております。
 
 「tunnel encapsulation l2tpv3」を見ると解るかと考えますが、L2Tpv3の専用トンネルとして設定していますので、簡易Webメニューからトンネル設定していくと、L2TPv3モードの選択が無いかと存じます。
 L2TPv3トンネルのみ、コマンドから登録しておけばOKな状態です。
 (トンネル・エントリー1にて登録していますので、トンネル1は使えません)

 Yamahaルーターにおきましては、L2TP/IPSECのNATトラバーサルも、当初簡易Webメニューから設定出来ない仕様でした。ファームウェア更新にて、やっと、簡易WebメニューからL2TP/IPSEC(NAT-T)が設定出来る様になった、仕様が有ります。(Rev.11.01.19)

 よって現状では、簡易Webメニューでは表記されません。
 将来的にファームウェア更新対応にて、表記される可能性がありますので、それまでお待ち下さい。
 

書込番号:19458976

ナイスクチコミ!1


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/04 13:42(1年以上前)

 逆に言えば、簡易Webメニューからでは、全てのYamahaルーターの設定情報の投入・確認には、限界が有ると言うことです。

 簡易Webメニューは、あくまでも基本的な設定のみの確認が出来るものと判断下されば良いかと考えます。

 RTX1000やRTX1100世代では、「WWWブラウザ設定支援機能」と言っていましたが、基本的に機能設定の制限が有るものとして、Yamaha側も広報しております。
 ※ http://www.rtpro.yamaha.co.jp/RT/docs/web_assistance/

 RTX1200やRTX810では、上記の要素が有ったため、ユーザー自身でカスタムGUIを作成し、ルーターのメニュー機能追加する仕様を追加しております。
 ※ http://jp.yamaha.com/products/network/solution/custom_gui/
 ※ http://www.rtpro.yamaha.co.jp/RT/docs/custom-gui/index.html

 カスタムGUIを作成する要素まで、現時点では必要性が無いかと存じますので、Yamaha側にてファームウェア更新されるまで、お待ち下さいと言う事です。

書込番号:19458995

ナイスクチコミ!1


スレ主 snooker147さん
クチコミ投稿数:2253件

2016/01/04 13:46(1年以上前)

自宅での設定はオーケーですか?HGWは変えないですか?

完了ならば会社に行って作業しますが?

書込番号:19459008 スマートフォンサイトからの書き込み

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/04 13:51(1年以上前)

 L2TPv3トンネルの設定が、未だ接続情報欠落していますよ。

 tonnel select 1
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-1
l2tp syslog on
l2tp local router-id 192.168.100.1
l2tp remote router-id 192.168.100.2
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1

 ↑ 上記のコマンドが欠落していますと、 会社側からアクセスした際にトンネル認証されませんよ。

 「l2tp tunnel disconnect time 600」と「l2tp keepalive use off」が投入されていては、まずいです。
 L2TPリモートアクセスから転記されたのですか?
 L2TPv3トンネルの場合、常時切断・切断無しのトンネルですので、投入は×です。
 

書込番号:19459015

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/04 13:54(1年以上前)

 L2TPリモートアクセス(モバイル用)のトンネルも設定忘れてますよ。

pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin ***.***.
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous

pp select none

tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text ***.***.
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
tunnel enable 2

上記のコマンドを投入して下さい。

 

書込番号:19459021

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2016/01/04 14:10(1年以上前)

>sorio-2215さん

こんどはどうですか?

ip routing process fast
ip route default gateway 192.168.0.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.1/24
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.0.254/24
ip lan2 secure filter in 101004 101005 101006 101007 101020 101021 101022 101023 101024 101025 101030 101032 101099
ip lan2 secure filter out 101020 101021 101022 101023 101024 101025 101099
ip lan2 nat descriptor 200
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:auひかり
pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin ***.***.
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ***.***.
ipsec ike remote address 1 any
l2tp always-on on
l2tp hostname RTX810-1
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time 600
l2tp keepalive use off
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.100.1
l2tp remote router-id 192.168.100.2
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text ***.***.
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.1 udp * 4500
ip filter 101005 pass * 192.168.100.1 udp * 1701
ip filter 101006 pass * 192.168.100.1 udp * 500
ip filter 101007 pass * 192.168.100.1 esp * *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.100.1-192.168.100.254
nat descriptor masquerade static 200 1 192.168.100.1 udp 500
nat descriptor masquerade static 200 2 192.168.100.1 esp
nat descriptor masquerade static 200 3 192.168.100.1 udp 1701
nat descriptor masquerade static 200 4 192.168.100.1 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 2 2 udp 1701
syslog debug on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.3-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on l2tpv3
httpd host 192.168.100.3-192.168.100.254
alarm entire off
#

書込番号:19459048

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/04 14:16(1年以上前)

 OKです。

書込番号:19459061

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2016/01/04 14:19(1年以上前)

LTEからVPNにはいれないです。サーバーが反応しませんとのことです。

書込番号:19459067 スマートフォンサイトからの書き込み

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/04 14:20(1年以上前)

 あっ。
 tunnel select 1 の l2tp tunnel disconnect time 600 は、まずいです。

 l2tp tunnel disconnect time off、l2tp keepalive use on 60 3 に変更下さい。
 
tunnel select 1
l2tp tunnel disconnect time 600
l2tp keepalive use on 60 3

書込番号:19459073

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/04 14:22(1年以上前)

 L2TPv3とL2TPの併用ですよね。

 l2tp service on l2tpv3

 l2tp service on

 上記のコマンドと登録し直しにて、接続出来ませんか?

書込番号:19459074

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2016/01/04 14:25(1年以上前)

まだ入れないです。

書込番号:19459081

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/04 14:26(1年以上前)

tunnel select 1
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3

↑でした。誤入力です。登録し直し下さい。

書込番号:19459084

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/04 14:30(1年以上前)

 AU-HGWの設定ですが、静的IPマスカレード登録では無く、DMZホスト設定に戻してからお試し下さい。
 DMZホスト設定・・192.168.0.254/24、静的ルーティング・・宛先192.168.100.0/24、宛先ゲートウェイ192.168.0.254

書込番号:19459092

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2016/01/04 14:38(1年以上前)

ポートマッピングはそのままですか?

VPNは接続しましたが、ネットワークの中には入れていません。

書込番号:19459106

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/04 14:45(1年以上前)

 ポートマッピングは、削除下さい。

書込番号:19459121

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2016/01/04 14:48(1年以上前)

最新コンフィグ。

ip routing process fast
ip route default gateway 192.168.0.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.1/24
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.0.254/24
ip lan2 secure filter in 101004 101005 101006 101007 101020 101021 101022 101023 101024 101025 101030 101032 101099
ip lan2 secure filter out 101020 101021 101022 101023 101024 101025 101099
ip lan2 nat descriptor 200
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:auひかり
pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin ***.***.
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ***.***.
ipsec ike remote address 1 any
l2tp always-on on
l2tp hostname RTX810-1
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.100.1
l2tp remote router-id 192.168.100.2
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text ***.***.
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.1 udp * 4500
ip filter 101005 pass * 192.168.100.1 udp * 1701
ip filter 101006 pass * 192.168.100.1 udp * 500
ip filter 101007 pass * 192.168.100.1 esp * *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.100.1-192.168.100.254
nat descriptor masquerade static 200 1 192.168.100.1 udp 500
nat descriptor masquerade static 200 2 192.168.100.1 esp
nat descriptor masquerade static 200 3 192.168.100.1 udp 1701
nat descriptor masquerade static 200 4 192.168.100.1 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 2 2 udp 1701
syslog debug on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.3-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on
httpd host 192.168.100.3-192.168.100.254
alarm entire off
#

書込番号:19459126

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/04 14:57(1年以上前)

 最新Configとしては、間違いは認識出来ませんので、会社の方に取りかかって貰っても良いかと存じます。

 L2TPリモートアクセスについては、調べておきます。(会社の端末認識出来ましたか?)

 会社のRTX810ルーターのL2TPv3トンネル接続完了後でも、微細な変更にて、リモートアクセスについては、自宅RTX810ルーターのみの調整で可能かと存じます。

書込番号:19459141

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2016/01/05 12:25(1年以上前)

会社のコンフィグです。ネットに出られません。

ip routing process fast
ip route default gateway 192.168.99.1
ip route 192.168.0.0/16 gateway tunnel 1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.99.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.2/24
ip lan1 address 192.168.100.2/24
ip lan1 proxyarp on
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.99.254/24
ip lan2 mtu 1454
ip lan2 nat descriptor 200
ip lan2 arp static 192.168.100.1 00:25:36:53:4b:cb
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI蛛縺險螳
tunnel select 1
tunnel name IPsec(莨夂)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.2
ipsec ike local name 1 ipsec1 key-id
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text *******
ipsec ike remote address 1 ***.***.14.4
l2tp always-on on
l2tp hostname RTX810-2
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.100.2
l2tp remote router-id 192.168.100.1
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel rip send on version 2
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.103.0/24 * * * *
ip filter 101004 pass * 192.168.103.0/24 icmp * *
ip filter 101005 pass * 192.168.103.0/24 established * *
ip filter 101006 pass * 192.168.103.0/24 tcp * ident
ip filter 101007 pass * 192.168.103.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.103.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.103.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.103.0/24 * * *
ip filter 101014 pass * 192.168.103.0/24 udp * ntp
ip filter 101015 pass * 192.168.103.0/24 udp ntp *
ip filter 101016 pass * 192.168.103.1 udp * 500
ip filter 101017 pass * 192.168.103.1 esp * *
ip filter 101018 pass * 192.168.103.1 udp * 1701
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.100.254
nat descriptor address inner 200 192.168.100.254 192.168.103.1-192.168.103.254
nat descriptor masquerade static 200 1 192.168.103.1 udp 500
nat descriptor masquerade static 200 3 192.168.103.1 udp 1701
nat descriptor masquerade static 200 4 192.168.103.1 udp 4500
rip use on
ipsec auto refresh on
ipsec ike mode-cfg address pool 1 192.168.103.200-192.168.103.210/32
syslog debug on
telnetd host 192.168.103.2-192.168.103.254 192.168.101.2-192.168.101.254
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.103.3-192.168.103.99/24
dns server 192.168.100.1
dns server dhcp lan2
dns private address spoof on
l2tp service on l2tpv3
httpd host 192.168.100.3-192.168.100.254
alarm entire off
sshd service on
sshd host 192.168.100.3-192.168.100.254
sshd host key generate *
sftpd host 192.168.100.3-192.168.100.254
#

書込番号:19461843

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/05 12:34(1年以上前)

 NATのルール間違ってますよ。 DHCPサーバは不要です。

 以下誤りです。
nat descriptor address outer 200 192.168.100.254
nat descriptor address inner 200 192.168.100.254 192.168.103.1-192.168.103.254
nat descriptor masquerade static 200 1 192.168.103.1 udp 500
nat descriptor masquerade static 200 3 192.168.103.1 udp 1701
nat descriptor masquerade static 200 4 192.168.103.1 udp 4500
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.103.3-192.168.103.99/24
dns server 192.168.100.1


下記に変更下さい。 (TeraTermより、そのまま登録願います)
nat descriptor address outer 200 primary
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.100.2 udp 500
nat descriptor masquerade static 200 2 192.168.100.2 esp
nat descriptor masquerade static 200 3 192.168.100.2 udp 1701
nat descriptor masquerade static 200 4 192.168.100.2 udp 4500
no dhcp service server
no dhcp server rfc2131 compliant except remain-silent
no dhcp scope 1 192.168.103.3-192.168.103.99/24
dns server 192.168.99.1
dns server dhcp lan2
no ipsec ike mode-cfg address pool 1 192.168.103.200-192.168.103.210/32
telnetd host 192.168.100.3-192.168.100.254


 先刻の話のように、NTT-HGWのIPを192.168.99.1へ変更、静的IPマスカレードの削除(ポートマッピングの削除)、DMZホストに192.168.99.254の登録、LAN側静的ルーティングの設定(宛先192.168.100.0/24、宛先ゲートウェイ192.168.99.254)をして下さい。

書込番号:19461876

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/05 12:37(1年以上前)

 補足です。
 「dns server 192.168.100.1」は、間違いですので、削除願います。
 ↓ 
 no dns server 192.168.100.1 を実行すれば削除出来ます。

書込番号:19461881

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/05 12:40(1年以上前)

 IPフィルタの記述も間違っています。

ip filter 101003 reject 192.168.103.0/24 * * * *
ip filter 101004 pass * 192.168.103.0/24 icmp * *
ip filter 101005 pass * 192.168.103.0/24 established * *
ip filter 101006 pass * 192.168.103.0/24 tcp * ident
ip filter 101007 pass * 192.168.103.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.103.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.103.0/24 udp domain *
ip filter 101013 reject * 192.168.103.0/24 * * *
ip filter 101014 pass * 192.168.103.0/24 udp * ntp
ip filter 101015 pass * 192.168.103.0/24 udp ntp *

 ↑ 192.168.103.0/24を 192.168.100.0/24へ差替え登録し直し下さい。

以下のIPフィルタも間違っています。
ip filter 101016 pass * 192.168.103.1 udp * 500
ip filter 101017 pass * 192.168.103.1 esp * *
ip filter 101018 pass * 192.168.103.1 udp * 1701

 ↑ 192.168.103.1を 192.168.100.2に差替え登録下さい。

書込番号:19461890

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/05 12:47(1年以上前)

 トンネル1のAU光宛ての接続設定も投入されていませんよ。

 tunnel select 1
tunnel endpoint address 192.168.100.2 ***.***.***.***  (AUひかりグローバルIP)
 ipsec ike remote address 1 ***.***.***.***  (AUグローバルIP)

 ↑両方のコマンドが、キチンと投入されていませんと、VPN接続認証されません。
  ***.***.****.*** は、 AU光・グローバルIPに差替え投入下さい。

書込番号:19461914

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/05 14:16(1年以上前)

例によって、ブリッジモードのアドレスが、混在しています。

no ip lan1 address 192.168.100.2/24
を実行下さい。

書込番号:19462106 スマートフォンサイトからの書き込み

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2016/01/05 16:17(1年以上前)

>sorio-2215さん

お世話になります。

会社コンフィグです。ルーターからHGW 192.168.99.1に接続できません。

ip routing process fast
ip route default gateway 192.168.99.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.99.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.2/24
ip lan1 address 192.168.100.1/24
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.99.254/24
ip lan2 mtu 1454
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.100.2 au IP address
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.2
ipsec ike local name 1 ipsec1 key-id
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 au IP address
l2tp always-on on
l2tp hostname RTX810-2
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.100.2
l2tp remote router-id 192.168.100.1
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.103.0/24 * * *
ip filter 101016 pass * 192.168.100.2 udp * 500
ip filter 101017 pass * 192.168.100.2 esp * *
ip filter 101018 pass * 192.168.100.2 udp * 1701
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
nat descriptor address outer 200 primary
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.100.2 udp 500
nat descriptor masquerade static 200 2 192.168.100.2 esp
nat descriptor masquerade static 200 3 192.168.100.2 udp 1701
nat descriptor masquerade static 200 4 192.168.100.2 udp 4500
telnetd host 192.168.100.3-192.168.100.254
dns server dhcp lan2
dns private address spoof on
l2tp service on l2tpv3
httpd host 192.168.100.3-192.168.100.254
alarm entire off
sshd service on
sshd host 192.168.100.3-192.168.100.254
sftpd host 192.168.100.3-192.168.100.254
#

書込番号:19462339

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/05 17:55(1年以上前)

 只今出先より、帰社してきました。
 まだ LAN1不要アドレス設定が残ってますよ。

 「no ip lan1 address 192.168.100.1/24」を実行下さい。(TeraTermより)
 
 ※ ip bridge1 address 192.168.100.2/24 との混在は、まずいです。
 会社RTX810ルーターのアドレスは、あくまでも192.168.100.2/24です。
 L2TPv3ブリッジモード機能を有効にしていますが、会社RTX810ルーターは192.168.100.2/24です。

 DNSサーバのアドレス設定が、未だ投入されていませんよ。
 
 「dns servver 192.168.99.1」を登録下さい。

書込番号:19462557

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/05 18:00(1年以上前)


 先刻の対話の通り、192.168.100.1/24は、自宅RTX810ルーターのIP(ブリッジ有り)に設定されていますので、(会社RTX810ルーターのIPを192.168.100.1/24にすると)IPアドレスの重複処理になります。

  
 
 L2TPv3-VPNの本旨として、会社・自宅のセグメントは、同一セグメントの管理が出来る仕様になっていますが、IPアドレスの重複はまずい点、DHCPサーバの処理は、自宅RTX810ルーターの処理から、会社RTX810へのIPアドレス付帯処理となります。

書込番号:19462568

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/05 18:36(1年以上前)

 補足です。

 もし、会社RTX810へログインされたい場合には、仮想ブリッジアドレスと同一のアドレス設定でなければ、ログイン出来ないかと存じます。

 ip lan1 address 192.168.100.2/24

 ↑ 通常は必要ありませんが、もしコマンド設定すると言うことであれば、投入下さい。

書込番号:19462659

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2016/01/05 21:33(1年以上前)

1.相変わらずルーター(192.168.100.2)からHGW(192.168.99.1)に入れません。

2. ipsec ike local name 1 ipsec1 key-id ←key-id部分はadminが正解ですか?

以下会社コンフィグです。

ip routing process fast
ip route default gateway 192.168.99.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.99.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.2/24
ip lan1 address 192.168.100.2/24
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.99.254/24
ip lan2 mtu 1454
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.100.2 au IP
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.2
ipsec ike local name 1 ipsec1 key-id
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ********
ipsec ike remote address 1 au IP
l2tp always-on on
l2tp hostname RTX810-2
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.100.2
l2tp remote router-id 192.168.100.1
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101016 pass * 192.168.100.2 udp * 500
ip filter 101017 pass * 192.168.100.2 esp * *
ip filter 101018 pass * 192.168.100.2 udp * 1701
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
nat descriptor address outer 200 primary
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.100.2 udp 500
nat descriptor masquerade static 200 2 192.168.100.2 esp
nat descriptor masquerade static 200 3 192.168.100.2 udp 1701
nat descriptor masquerade static 200 4 192.168.100.2 udp 4500
telnetd host 192.168.100.3-192.168.100.254
dns server 192.168.99.1
dns server dhcp lan2
dns private address spoof on
l2tp service on l2tpv3
httpd host 192.168.100.3-192.168.100.254
alarm entire off
sshd service on
sshd host 192.168.100.3-192.168.100.254
sftpd host 192.168.100.3-192.168.100.254
#

書込番号:19463199

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/05 21:52(1年以上前)

下記のコマンドを投入しても、HGWへのアクセス出来ませんか?

nat descriptor address outer 200 192.168.99.254
nat descriptor address inner 200 auto

HGW側のDMZホストの設定192.168.99.254(外部からのパケットをすべて特定ホストに中継するにチェック)と、LAN側静的ルーティングの設定(宛先IPアドレス192.168.100.0/24、宛先ゲートウェイ192.168.99.254)がキチンと反映していましたら、アクセス出来る筈ですが。

書込番号:19463274

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2016/01/05 21:58(1年以上前)

>sorio-2215さん

こんばんは。

HGWのLAN側静的ルーティングエントリの設定は既にしていたのですが、「有効」にチェック漏れてました。

これでRTX経由でネットとHGWに行けるようになりました。

次はトンネルの接続ですね。

key-id 部分はどうですか??

書込番号:19463299

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/05 22:05(1年以上前)

2. ipsec ike local name 1 ipsec1 key-id ←key-id部分はadminが正解ですか?

 ↑の件ですが、自宅RTX810には、リモートネームのコマンドが未登録ですので、コマンド自体不要です。

  「ipsec ike local name 1 ipsec1 key-id」のコマンドを適用させたい場合には、自宅RTX810ルーターのトンネルに、「ipsec ike remote name 1 ipsec1 key-id」の登録が必要です。

 L2TPv3-VPNでは、リモートネーム→ローカルネームの名称解決は、必ずしも必要ではありませんので、削除しても良いかと存じます。

 tunnel select 1
no ipsec ike local name 1 ipsec1 key-id

  ↑のコマンドを投入下さい。
   ローカルネームのコマンド削除出来ます。

書込番号:19463327

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2016/01/05 22:09(1年以上前)

削除完了です。

トンネルは繋がってないみたいです。

書込番号:19463341

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/05 22:11(1年以上前)

  補足ですが、最終・自宅RTX810ルーターのConfigを見ますと、トンネル1に「ipsec ike remote name 1 ipsec1」が投入されていませんので、会社のトンネル1には、「ipsec ike local name 1 ipsec1」は不要と言う事です。


 会社端末から、自宅AU-HGWへのアクセスには192.168.0.1へアクセス、自宅RTX810ルーターには192.168.100.1にてアクセス、逆に自宅端末から会社NTT-HGWへのアクセスには192.168.99.1にてアクセス、RTX810ルーターには192.168.100.2にてアクセスと言ったイメージになります。

 VPN接続されているかどうかは、会社端末のLAN設定をDHCPから自動取得に設定して、IPアドレスが自動的に振られていればOKです。(192.168.100.***、自宅RTX810からのアドレス)

 

書込番号:19463353

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2016/01/05 22:22(1年以上前)

>会社端末から、自宅AU-HGWへのアクセスには192.168.0.1へアクセス、自宅RTX810ルーターには192.168.100.1にてアクセス、逆に自宅端末から会社NTT-HGWへのアクセスには192.168.99.1にてアクセス、RTX810ルーターには192.168.100.2にてアクセスと言ったイメージになります。

> VPN接続されているかどうかは、会社端末のLAN設定をDHCPから自動取得に設定して、IPアドレスが自動的に振られていればOKです。(192.168.100.***、自宅RTX810からのアドレス)

上記全て失敗です。

質問
VPNが繋がっていてもRTXでは(以前は見えた)トンネルが繋がる「絵」は出ないのですか???

書込番号:19463404

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/05 22:25(1年以上前)

 UDP1701のトランスポート・コマンドを投入指示忘れてました。
 
 自宅RTX810ルーター
 ipsec transport 1 1 udp 1701

 会社RTX810ルーター
 ipsec transport 1 1 udp 1701

 ついでに安定性の観点から、
 会社RTX810ルーターのリモート・ネーム、ローカルネームの登録をして置いた方が良いかと考えます。(key-id無し)

 会社RTX810ルーター
 tunnel select 1
ipsec ike local name 1 ipsec1

 自宅RTX810ルーター
 tunnel select 1
ipsec ike remote name 1 ipsec1

 念のためですが、
 会社RTX810ルーターの
 「tunnel select 1 → ipsec ike pre-shared-key 1 text ***.***.」
 と
 自宅RTX810ルーターの
 「tunnel select 1 → ipsec ike pre-shared-key 1 text ***.***.」
 は、キチンと同一のものになっているか、確認下さい。
 
 

書込番号:19463410

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2016/01/05 22:28(1年以上前)

>sorio-2215さん

質問

LTEからの接続も未だ成功していません。このことと現在の問題(VPNが繋がらない)は関係ないのでしょうか?

そろそろ帰宅します。LTE問題ならば自宅だけで解決できそうですので、できればコチラからやりませんか?



書込番号:19463422

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/05 22:30(1年以上前)


質問
VPNが繋がっていてもRTXでは(以前は見えた)トンネルが繋がる「絵」は出ないのですか???


 ↑の件ですが、Yamahaルーターの「WWWブラウザ設定支援機能」については、一部機能についてのステータス確認や、ごく簡易的なものに尽きるので、全ての構成が簡易ステータスとして視聴出来るとは、保証しておりません。

 先刻の説明通りファームウェア更新待ちになります。
 若しくは、構築に慣れてきましたら、カスタムGUIを作成する方法も有りますが、ファームウェア待ちにされた方が良いかと考えます。

書込番号:19463435

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2016/01/05 22:34(1年以上前)

コンフィグです。自宅に帰りますのでVPNが接続しない限り会社のルーターをいじることはもうできません。


ip routing process fast
ip route default gateway 192.168.99.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.99.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.2/24
ip lan1 address 192.168.100.2/24
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.99.254/24
ip lan2 mtu 1454
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.100.2 auIP
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.2
ipsec ike local name 1 ipsec1 key-id
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ********
ipsec ike remote address 1 auIP
l2tp always-on on
l2tp hostname RTX810-2
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.100.2
l2tp remote router-id 192.168.100.1
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101016 pass * 192.168.100.2 udp * 500
ip filter 101017 pass * 192.168.100.2 esp * *
ip filter 101018 pass * 192.168.100.2 udp * 1701
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
nat descriptor address outer 200 192.168.99.254
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.100.2 udp 500
nat descriptor masquerade static 200 2 192.168.100.2 esp
nat descriptor masquerade static 200 3 192.168.100.2 udp 1701
nat descriptor masquerade static 200 4 192.168.100.2 udp 4500
ipsec transport 1 1 udp 1701
telnetd host 192.168.100.3-192.168.100.254
dns server 192.168.99.1
dns server dhcp lan2
dns private address spoof on
l2tp service on l2tpv3
httpd host 192.168.100.3-192.168.100.254
alarm entire off
sshd service on
sshd host 192.168.100.3-192.168.100.254
sftpd host 192.168.100.3-192.168.100.254
#

書込番号:19463454

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2016/01/05 22:54(1年以上前)

自宅コンフィグです。コマンド投入後もVPNは繋がりません。

ip routing process fast
ip route default gateway 192.168.0.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.1/24
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.0.254/24
ip lan2 secure filter in 101004 101005 101006 101007 101020 101021 101022 101023 101024 101025 101030 101032 101099
ip lan2 secure filter out 101020 101021 101022 101023 101024 101025 101099
ip lan2 nat descriptor 200
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:auひかり
pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin ******
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ******
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1 key-id
l2tp always-on on
l2tp hostname RTX810-1
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.100.1
l2tp remote router-id 192.168.100.2
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text ******
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.1 udp * 4500
ip filter 101005 pass * 192.168.100.1 udp * 1701
ip filter 101006 pass * 192.168.100.1 udp * 500
ip filter 101007 pass * 192.168.100.1 esp * *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.100.1-192.168.100.254
nat descriptor masquerade static 200 1 192.168.100.1 udp 500
nat descriptor masquerade static 200 2 192.168.100.1 esp
nat descriptor masquerade static 200 3 192.168.100.1 udp 1701
nat descriptor masquerade static 200 4 192.168.100.1 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipsec transport 2 2 udp 1701
syslog debug on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.3-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on
httpd host 192.168.100.3-192.168.100.254
alarm entire off
#

書込番号:19463529

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/05 23:40(1年以上前)

RTX810ルーターのコマンドにて、
 「show ipsec sa」、「show log」、「show ipsec sa gateway 1 detail」の状態を教えて下さい。

 上記情報確認後、AU-HGWの再起動→RTX810の再起動を確認下さい。
 ※ RTX810は、コマンドからrestart

 

書込番号:19463688

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2016/01/05 23:51(1年以上前)

>sorio-2215さん

>「show ipsec sa」、「show log」、「show ipsec sa gateway 1 detail」

show log だけ膨大なログが出ました。他2つは特段の出力はないです。

書込番号:19463719

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2016/01/06 00:01(1年以上前)

show log の一部。多数回繰り返されています。

2016/01/05 09:39:09: [IKE] respond ISAKMP phase to ***.***.28.156
2016/01/05 09:39:09: [IKE] add ISAKMP context [5218] de3e2da6536b080c 00000000
2016/01/05 09:39:09: [IKE] receive message from unknown gateway ***.***.28.156
2016/01/05 09:39:10: [IKE] inactivate context [5218] de3e2da6536b080c 00000000
2016/01/05 09:39:10: [IKE] delete ISAKMP context [5218] de3e2da6536b080c 000000
00
2016/01/05 09:39:19: [IPv6] prefix 240f:e2:10dd:1::/64 (vlife: 300, plife: 300)
is assigned from LAN2 (RA)

書込番号:19463743

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/06 01:32(1年以上前)

 VPN認証とIPV6インターネット認証の掛け違いの現象が起きている様です。
 全てのログを見ている訳ではありませんが、一時AU-HGWから配信されるIPV6の通信を、RTX810側で停止して頂けますか?

 no ipv6 prefix 1 ra-prefix@lan2::/64
no ipv6 lan1 address auto
no ipv6 lan1 prefix ra-prefix@lan2::/64
no ipv6 lan1 rtadv send 1 2 o_flag=on

↑にて、IPV6機能停止出来る筈です。

 後日、会社側RTX810ルーターのIPV6停止も確認願います。
 no ipv6 routing process fast
 no ipv6 prefix 1 ra-prefix@lan2::/64
 no ipv6 lan1 address auto
 no ipv6 lan1 prefix ra-prefix@lan2::/64
 no ipv6 lan1 rtadv send 1 2 o_flag=on
 no ipv6 lan2 dhcp service client ir=on

書込番号:19463920

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2016/01/06 07:11(1年以上前)

>sorio-2215さん

自宅側RTXにコマンド投入しました。まだ接続しません。

ところで疑問があります。何故IPv6を使うのですか?以前説明した通り会社側のニフティ回線ではIPv6の使用を停止しています。理由は当方の認識しない方法で勝手にインターネットに繋がる状態を止めるためです。

またIPv6関連の設定は私自身が全く不明瞭のため今回の設定から完全に取り払ってほしいです。


以上ご検討願います。

書込番号:19464128

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/06 10:35(1年以上前)

IPV6の自動併用になっているのは、AU光の方が自動併用されていますので、完全なIPV6の遮蔽は出来ないかと存じます。
 Nifty側を停止しても、AU側は自動付帯サービスで、停止することは出来ない為です。
 
 AU-HGWの設定を見ると解るかと存じますが、IPV6を停止する設定が無いかと考えます。
 
 総体のConfigを確認しました。(特にConfig上の問題は無いかと存じます)
 ログ表記を見ますと、L2TPv3認証のための表示(receive message from unknown gateway ***.***.28.156)が有りますが、会社RTX810ルーターのL2TPv3の暗号化キーのやりとりで失敗している様です。
 会社RTX810ルーターの暗号化キーを更新するコマンドが欠如されている様です。
 会社RTX810ルーターへ「ipsec auto refresh on」をコマンド投入下さい。

  (念のための確認ですが) 自宅RTX810ルータートンネル1の「ipsec ike pre-shared-key 1 text ******」のキーと、会社RTX810ルーターの「ipsec ike pre-shared-key 1 text ********」のキーが違う文字列でのエラー認識されていないか、同じく会社RTX810ルータートンネル1の「tunnel endpoint address 192.168.100.2 au IP」と、「ipsec ike remote address 1 auIP」の、AUグローバルIPの確認もしておいて下さい。

 上記トンネル1の暗号化キー(pre-shared-key)が、双方とも同じものが設定されているか再確認、再度自宅AU-HGWのステータスにてAUグローバルIPを確認し、そのグローバルIPが、会社RTX810の該当箇所の数値と合致しているか、確認下さい。 
 
 同一セグメントの特定VPN設定のため、AU-HGW及び自宅RTX810の再起動(コマンド→restart)はしましたか?
 再起動後でなければ、正常なVPN接続機能とはならない為、確認下さい。
 
 その後、会社NTT-HGWの再起動→会社RTX810ルーターの再起動(コマンド→restart)をして欲しいのですが、その前に念のため 「no ip lan1 address 192.168.100.2/24」実行にて、会社RTX810ルーターへの192.168.100.2のブリッジのみの反映出来ているか、ブラウザにて、会社RTX810ルーターの簡易Webメニュー表示出来るか確認下さい。

 
 

書込番号:19464544

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/06 10:42(1年以上前)

 会社RTX810ルーターの暗号化キーを更新するコマンドが欠如されている様です。
 会社RTX810ルーターへ「ipsec auto refresh on」をコマンド投入下さい。

  ↑結構重要です。
 自宅RTX810ルーターには、自動的に設定投入された状態の様でしたが、何らかの要因にて会社側RTX810のVPN暗号化キーの更改をするコマンドが欠如していた様です。

 自宅RTX810ルーターの方にも、先刻のConfigを見ると投入されていましたが、再度確認しておいて下さい。

 自宅・会社双方、即時VPN暗号化キーの手動交換をさせるためのコマンドも有ります。
 自宅・会社RTX810のコマンド実行にて、「ipsec refresh sa」を実行下さい。
 AUTO更新だけでは無く、手動交換されるコマンドです。

書込番号:19464566

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2016/01/06 11:27(1年以上前)

>sorio-2215さん

おはようございます。

自宅ルーターに指示されたコマンド投入したほか設定の確認→HGW再起動→RTX再起動

しました。しばらくしたら会社に行って残りの作業をします。


またよろしくお願いします。

書込番号:19464672

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2016/01/06 13:10(1年以上前)

>sorio-2215さん

自宅でのネットの速度が急に遅くなっています。ルーターを外して計測して650M、ルーター経由で90Mです。昨夜はいつも通りのスピードでしたから今朝の設定変更が影響していると思います。

対策はありますか?

書込番号:19464985

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/06 13:39(1年以上前)

 L2TPv3/IPSECのネットワークが稼働後に、AU光のIPV6(ギガビット・オプション)の通信を許容させるしか無いですね。

 ※先刻のIPV6-RAプレフィックスの設定を戻して下さい。
ipv6 prefix 1 ra-prefix@lan2::/64
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on

 基本的に、AU光の場合IPV4/IPV6デュアルスタック接続回線のため、通常はIPV6オプションの設定を投入していても問題は無いのですが、VPNルーターの特定仕様やスペックによって、IPV4-Web認証+VPN認証と、IPV6インターネット排他認証に、性能の差が出るルーターも有ります。

AU-HGWのIPV6ギガビット機能の排他制御のためですが、AU-HGWのトップページ>詳細設定>DHCPv6サーバ設定にて、設定1のモードになっているか(RA広告のみ配信)だけは、確認しておいて下さい。
 不要なDHCPv6からのIPV6アドレス配信まで有効ですと、配下のRTX810での通信負荷が高くなるだけで、メリットは無いです。

書込番号:19465068

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2016/01/06 14:55(1年以上前)

設定を戻しhgwとrtx810を再起動させても遅いままです。

書込番号:19465224 スマートフォンサイトからの書き込み

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/06 15:25(1年以上前)

 AU光の中継ギガビット適用に戻っているかどうかは、KDDIスピードチェック・サービスか、IIJスピードテストなどが、正式なIPV6ギガビット・スループット計測が出来る様になっております。

 計測サイトですが、KDDI若しくはIIJサービスでの計測でしょうか?
 それ以外ですと、正確な数値測定は困難かと。

 ※ http://www.au.kddi.com/internet/auhikari/speed-check/
 ※ http://speedtest6.iijmio.jp/

 ↑ IPV6アドレスが付帯されていれば、KDDIのギガビット回線機能の適用が、RTX810中継されていると判断可能かと。
 

書込番号:19465318

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/06 15:26(1年以上前)

 L2TPv3/IPSECの接続検証前に、IPV6-RAプレフィックス設定を戻したのですか?

書込番号:19465323

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/06 15:44(1年以上前)

モバイル・スマホ用のL2TP/IPSECの接続ネットワークIP取得(自宅RTX810ルーター)が、もしうまくいかない場合には、RTX810ルーターの簡易Webメニューから、既存のトンネル2はL2TPトンネルとして認識しているかと存じますが、そのトンネル2のみ一度削除し、再度簡易Webメニューから、L2TP/IPSECの登録を実施してみて下さい。

 ※  [トップ] > [詳細設定と情報] > [VPN接続の設定] →Anonymousの方を削除
      [トップ] > [詳細設定と情報] > [VPN接続の設定] > [VPN接続の登録]  PP[02]または
 TUNNEL[02] →L2TP/IPsecを使用したリモートアクセスVPNサーバー(Anonymous)の登録を実施下さい。

 

書込番号:19465371

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/06 15:45(1年以上前)

 トンネル1は、L2TPv3トンネルですので、設定は触れずに願います。

書込番号:19465378

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2016/01/06 16:23(1年以上前)

http://speedtest6.iijmio.jp/

このサイトにアクセスしたところipv6項目を選べませんでした。速度測定はいつも2つのサイトのうち、上段のサイトでやっています。

その結果が先ほどの速度差です。HGWではipv6の配布をしないになっています。

まだ会社に行ってないので接続が確立する前に設定を元に戻しています。

書込番号:19465459

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/06 16:38(1年以上前)

IIJサイトで、IPV6の選択がグレーアウトしている状態ですと、IPV6の中継されていない状態ですので、IPV6-RAプレフィックス設定が反映していない状態ですので、本来のスループット計測では無いです。

書込番号:19465506

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2016/01/06 16:56(1年以上前)

auで650Mbpsでているのですが、何か問題でも?

但しヤマハを通すと90Mbpsになりますのでこまります。

書込番号:19465552 スマートフォンサイトからの書き込み

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/06 17:11(1年以上前)

IPV6-RAプレフィックスの設定を、VPN認証後に反映して下さい。
 IPV6RAプレフィックスの認証には、一度認証情報を切断しますと、IPV6リンクローカル認証から、本来の性能になるのに、時間がかかります。
 
 KDDIだけでは無く、NTTやSoftbank等も同様ですが、キャリア側にて顧客のRA配信でのネットワーク端末認識されるまでのタイムロスは有りますので、仕方ないです。
 IPV6-RAプレフィックスの設定コマンドを投入して、最長2〜3時間程度本来の性能になるまで保留待ちになる点や、ケースによっては、IPV6-RAプレフィックスの設定後に再度RTX810ルーターの再起動から、接続端末に正常なIPV6リンクローカルアドレスが付帯されるまで、遅延待ちは仕方ないです。

書込番号:19465591

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/06 17:19(1年以上前)

AU側で650Mbps検出しているのは、HGWの認証がKDDI側IPV6ネットワーク網から認証されている為で、その配下に有るRTX810のWAN側→LAN側を通じて、接続端末のIPV6認証通過の正常なリンクローカルアドレスが付帯される状態にしませんと、本来の性能にならないと言う事です。
 
 HGW配下へのIPV6リンクローカル認証には、時間がかかると言うことです。
 

書込番号:19465612

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/06 17:35(1年以上前)

 以下参考までに。
 ※ http://jp.yamaha.com/products/network/solution/flets/flets_other_service/flets-next-ipv6_ipoe-rtx1200/

 ↑ IPV6ネットワーク認証設定の設定例です。

書込番号:19465652

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2016/01/06 18:37(1年以上前)

うーん相変わらずiPhoneからの接続もダメですね。

サーバーが応答しませんとなります。

書込番号:19465841 スマートフォンサイトからの書き込み

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/06 18:51(1年以上前)

 先刻の簡易WebメニューからのL2TP/IPSEC(Anonymousアカウント)での接続設定(トンネル2)を削除→再度Webメニューから再度登録設定をしてみて下さい。

 L2TPリモートアクセス・トンネルについては、それが早いかと。
 その際にAnonymousアカウント(ID:admin/パスワード:****)は、当初のアカウントとパスワードにて、登録下さい。
 その際の暗号化キー(pre-shared-key 2 text ******)の部分も、当初のキーを確認登録し直し下さい。
 その後、再度コマンドにて、切断タイマーの登録も確認下さい。

 tunnel select 2
l2tp tunnel disconnect time 600
l2tp keepalive use off

書込番号:19465894

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2016/01/06 18:59(1年以上前)

やっぱりiphoneから繋がらないです。

iphoneの設定
タイプ:L2TP
サーバー:auのグローバルip
アカウント:admin
PW:****
シークレット:****
全ての信号を送信:オン
プロキシ:オフ

以下最新コンフィグです。

ip routing process fast
ip route default gateway 192.168.0.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.1/24
ip lan1 proxyarp on
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.0.254/24
ip lan2 secure filter in 101020 101021 101022 101023 101024 101025 101030 101032 101099
ip lan2 secure filter out 101020 101021 101022 101023 101024 101025 101099
ip lan2 nat descriptor 200
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:auひかり
pp select anonymous
pp name モバイル用
pp bind tunnel2
pp auth request chap-pap
pp auth username admin password
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1 key-id
l2tp always-on on
l2tp hostname RTX810-1
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.100.1
l2tp remote router-id 192.168.100.2
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text password
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.100.1-192.168.100.254
rip use on
ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipsec transport 2 2 udp 1701
syslog debug on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.3-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on
httpd host 192.168.100.3-192.168.100.254
alarm entire off
#

書込番号:19465926

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/06 19:02(1年以上前)

 先にL2TPv3/IPSEC(自宅・会社間)暗号化キーのエラーと、アクセスグローバルIP認識エラーの対応が先かと。
 
 自宅・会社それぞれのRTX810ルーターのトンネル1の「ipsec ike pre-shared-key 1 text ***.***」の、***.***を、もっと簡易的な半角英数字にされた方が良いですよ。
 会社RTX810ルーターの「tunnel endpoint address 192.168.100.2 ***.***.***.*** 」と、「ipsec ike remote address 1 ***.***.***.***」の、AUグローバルIP設定が、自宅側RTX810ルーターにて認識されていませんので、確認下さい。

書込番号:19465936

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/06 19:14(1年以上前)

 下記コマンドが、そのままですが、L2TPの削除はされたのでしょうか?
pp select anonymous
no pp name モバイル用
no pp bind tunnel2
no pp auth request chap-pap
no pp auth username admin password
no ppp ipcp ipaddress on
no ppp ipcp msext on
no ip pp remote address pool dhcp
no ip pp mtu 1258
pp enable anonymous
tunnel select 2
no tunnel encapsulation l2tp
no ipsec tunnel 2
no ipsec sa policy 2 2 esp 3des-cbc md5-hmac
no ipsec ike keepalive log 2 off
no ipsec ike keepalive use 2 off
no ipsec ike nat-traversal 2 on
no ipsec ike pre-shared-key 2 text password
no ipsec ike remote address 2 any
no l2tp tunnel auth off
no l2tp tunnel disconnect time 600
no l2tp keepalive use off
no ip tunnel tcp mss limit auto
tunnel enable 2
tunnel select none
no ipsec transport 2 2 udp 1701

上記コマンドを実行後、簡易Webメニューから再登録して下さい。
  不要なコマンドも有りますよ。(l2tp tunnel auth off)
  コマンド登録では無く、再度L2TPのみ最初から設定をWebから登録下さい。
IOS側も、一度アカウントを削除し、再度VPNアカウントを登録し直し下さい。
  IOS側の設定が間違っているか、(AUグローバルIP宛て admin/password、暗号化キー password) 程度しか無いです。

書込番号:19465971

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/06 19:19(1年以上前)

通常は必要無いかと思いますが、自宅・会社RTX810ルーターに「ip lan1 proxyarp on」のコマンド投入しても変わりませんか?
 

書込番号:19465996

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/06 19:49(1年以上前)

 当方にて、調査しました所、RTX810ルーターの一部機能制限が有るらしく、L2TPv3/IPSECとL2TP/IPSECの併用される設定の場合、自宅RTX810ルーターに限定し、ProxyARPとLAN1のアドレス固定設定が投入されていないといけない条件が有る様です。

 ip lan1 address 192.168.100.1/24
 ip lan1 ip lan1 proxyarp on

 上のコマンドを、自宅RTX810ルーターへTeratermから投入して、先刻のL2TPリモートアクセスもお試し下さい。

書込番号:19466113

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/06 20:03(1年以上前)

下記が正常なコマンドになるかと存じます。

 自宅RTX810ルーター

 ip routing process fast
ip route default gateway 192.168.0.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.1/24
ip lan1 address 192.168.100.1/24
ip lan1 proxyarp on
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ipv6 lan1 dhcp service server
ip lan2 address 192.168.0.254/24
ip lan2 mtu 1492
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:DHCP
provider ntpdate ntp.nict.jp
pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin password
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.100.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text passowrd1
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-1
l2tp syslog on
l2tp local router-id 192.168.100.1
l2tp remote router-id 192.168.100.2
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text password1
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.1 udp * 4500
ip filter 101005 pass * 192.168.100.1 udp * 1701
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.100.1 udp * 500
ip filter 101081 pass * 192.168.100.1 esp * *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.100.1-192.168.100.254
nat descriptor masquerade static 200 1 192.168.100.1 udp 500
nat descriptor masquerade static 200 2 192.168.100.1 esp
nat descriptor masquerade static 200 3 192.168.100.1 udp 1701
nat descriptor masquerade static 200 4 192.168.100.1 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipsec transport 2 2 udp 1701
syslog debug on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.3-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on l2tpv3
httpd host 192.168.100.3-192.168.100.254
alarm entire off

書込番号:19466172

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/06 20:07(1年以上前)

 正常な会社RTX810ルーター

 

ip routing process fast
ip route default gateway 192.168.99.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.99.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.2/24
ip lan1 address 192.168.100.2/24
ip lan1 proxyarp on
ip lan2 address 192.168.99.254/24
ip lan2 mtu 1454
ip lan2 nat descriptor 200
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.100.2 ***.***.***.*** (AUグローバルIP)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.100.2
ipsec ike local name 1 ipsec1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password1
ipsec ike remote address 1 ***.***.***.*** (AUグローバルIP)
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-2
l2tp syslog on
l2tp local router-id 192.168.100.2
l2tp remote router-id 192.168.100.1
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.0/24 icmp * *
ip filter 101005 pass * 192.168.100.0/24 established * *
ip filter 101006 pass * 192.168.100.0/24 tcp * ident
ip filter 101007 pass * 192.168.100.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.100.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.100.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101014 pass * 192.168.103.0/24 udp * ntp
ip filter 101015 pass * 192.168.103.0/24 udp ntp *
ip filter 101016 pass * 192.168.100.2 udp * 500
ip filter 101017 pass * 192.168.100.2 esp * *
ip filter 101018 pass * 192.168.100.2 udp * 1701
ip filter 101019 pass * 192.168.100.2 udp * 4500
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.100.2 udp 500
nat descriptor masquerade static 200 2 192.168.100.2 esp
nat descriptor masquerade static 200 3 192.168.100.2 udp 1701
nat descriptor masquerade static 200 4 192.168.100.2 udp 4500
rip use on
ipsec auto refresh on
syslog debug on
telnetd host 192.168.100.3-192.168.100.254
dns server 192.168.99.1
dns private address spoof on
httpd host 192.168.100.3-192.168.100.254
l2tp service on l2tpv3
alarm entire off
sshd service on
sshd host 192.168.100.3-192.168.100.254
sshd host key generate *
sftpd host 192.168.100.3-192.168.100.254

書込番号:19466189

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/06 20:10(1年以上前)

 会社のRTX810ルーターの「ipsec transport 1 1 udp 1701」も忘れずにチェック下さい。

書込番号:19466206

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/06 20:13(1年以上前)

 自宅RTX810ルーターのイメージConfigですが、誤入力です。
 「l2tp service on l2tpv3」では無く、「l2tp service on」です。

 既に投入済みかと思いますが。

書込番号:19466218

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2016/01/06 23:47(1年以上前)

>sorio-2215さん

たはは・・。HGWまでも繋がらなくなりました。

ip routing process fast
ip route default gateway 192.168.0.1
ip route 192.168.0.0/24 gateway tunnel 2
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.1/24
ip lan1 address 192.168.100.1/24
ip lan2 address 192.168.0.254/24
ip lan2 secure filter in 101003 101020 101021 101022 101023 101024 101025 101030 101032
ip lan2 secure filter out 101013 101020 101021 101022 101023 101024 101025 101099 dynamic 101080 101081 101082 101083 101084 101085 101098 101099
provider lan1 name LAN:
provider lan2 name PRV/0/3/5/0/0/0:auひかり
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.1
ipsec ike nat-traversal 1 on
l2tp tunnel auth off
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
tunnel select 2
tunnel name モバイル用
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc
ipsec ike keepalive use 2 off
ipsec ike local address 2 192.168.100.1
ipsec ike pre-shared-key 2 text password
ipsec ike remote address 2 any
ipsec ike remote name 2 admin key-id
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.1 udp * 4500
ip filter 101005 pass * 192.168.100.1 udp * 1701
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.100.1 udp * 500
ip filter 101081 pass * 192.168.100.1 esp * *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
ipsec auto refresh on
syslog debug on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.3-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on
httpd host 192.168.100.3-192.168.100.254
alarm entire off
#

書込番号:19467187

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2016/01/06 23:47(1年以上前)

回線速度は元通り早くなりました。ありがとうございます。

書込番号:19467190

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/07 07:32(1年以上前)

192.168.0.0/24へのアクセスが、L2TPリモートトンネルへ固定されてますよ。
 
 先刻の当方説明のConfigを見ましたか? (どちらから、転記されましたか?)
 L2TPモバイルのリモートアクセスのトンネルの設定になってませんよ。

不要・修正コマンドを投入下さい(下記をそのままコマンド実行下さい)
 no ip route 192.168.0.0/24 gateway tunnel 2
 ipv6 lan1 address auto
 ipv6 lan1 prefix ra-prefix@lan2::/64
 ipv6 lan1 rtadv send 1 2 o_flag=on
 ipv6 lan1 dhcp service server
 ip lan2 secure filter in 101004 101005 101020 101021 101022 101023 101024 101025 101030 101032 101080 101081 101099
ip lan2 secure filter out 101020 101021 101022 101023 101024 101025 101099
pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin password
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.100.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text passowrd
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-1
l2tp syslog on
l2tp local router-id 192.168.100.1
l2tp remote router-id 192.168.100.2
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text password
ipsec ike remote address 2 any
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
no ipsec ike local address 2 192.168.100.1
no ipsec ike remote name 2 admin key-id
tunnel enable 2

 上記の修正コマンドを投入後、会社RTX810ルーターのConfigが、別紙になっているか確認下さい。
 

書込番号:19467708

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/07 07:35(1年以上前)

 先刻の別紙分、会社RTX810ルーターの正常なConfigです。

 
ip routing process fast
ip route default gateway 192.168.99.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.99.1
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.2/24
ip lan1 address 192.168.100.2/24
ip lan1 proxyarp on
ip lan2 address 192.168.99.254/24
ip lan2 mtu 1454
ip lan2 nat descriptor 200
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.100.2 ***.***.***.*** (AUグローバルIP)
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.100.2
ipsec ike local name 1 ipsec1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 ***.***.***.*** (AUグローバルIP)
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-2
l2tp syslog on
l2tp local router-id 192.168.100.2
l2tp remote router-id 192.168.100.1
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.0/24 icmp * *
ip filter 101005 pass * 192.168.100.0/24 established * *
ip filter 101006 pass * 192.168.100.0/24 tcp * ident
ip filter 101007 pass * 192.168.100.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.100.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.100.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101014 pass * 192.168.103.0/24 udp * ntp
ip filter 101015 pass * 192.168.103.0/24 udp ntp *
ip filter 101016 pass * 192.168.100.2 udp * 500
ip filter 101017 pass * 192.168.100.2 esp * *
ip filter 101018 pass * 192.168.100.2 udp * 1701
ip filter 101019 pass * 192.168.100.2 udp * 4500
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.100.2 udp 500
nat descriptor masquerade static 200 2 192.168.100.2 esp
nat descriptor masquerade static 200 3 192.168.100.2 udp 1701
nat descriptor masquerade static 200 4 192.168.100.2 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 1 1 udp 1701
syslog debug on
telnetd host 192.168.100.3-192.168.100.254
dns server 192.168.99.1
dns private address spoof on
httpd host 192.168.100.3-192.168.100.254
l2tp service on l2tpv3
alarm entire off
sshd service on
sshd host 192.168.100.3-192.168.100.254
sshd host key generate *
sftpd host 192.168.100.3-192.168.100.254


 それと、自宅RTX810ルーターに、下記コマンドが削除されていますので、追加投入して下さい。
ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipsec transport 2 2 udp 1701

書込番号:19467714

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/07 07:46(1年以上前)

最終チェックとして、下記Configが正常な自宅RTX810ルーターの情報になります。
 投入済みの情報と照らし合わせて、投入済みで間違っているものは、削除下さい。
 
 
ip routing process fast
ip route default gateway 192.168.0.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.1/24
ip lan1 address 192.168.100.1/24
ip lan1 proxyarp on
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ipv6 lan1 dhcp service server
ip lan2 address 192.168.0.254/24
ip lan2 mtu 1492
ip lan2 secure filter in 101004 101005 101020 101021 101022 101023 101024 101025 101030 101032 101080 101081 101099
ip lan2 secure filter out 101020 101021 101022 101023 101024 101025 101099
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:DHCP
provider ntpdate ntp.nict.jp
pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin password
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.100.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text passowrd
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1
l2tp always-on on
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp hostname RTX810-1
l2tp syslog on
l2tp local router-id 192.168.100.1
l2tp remote router-id 192.168.100.2
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text password
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.1 udp * 4500
ip filter 101005 pass * 192.168.100.1 udp * 1701
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.100.1 udp * 500
ip filter 101081 pass * 192.168.100.1 esp * *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.100.1-192.168.100.254
nat descriptor masquerade static 200 1 192.168.100.1 udp 500
nat descriptor masquerade static 200 2 192.168.100.1 esp
nat descriptor masquerade static 200 3 192.168.100.1 udp 1701
nat descriptor masquerade static 200 4 192.168.100.1 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipsec transport 2 2 udp 1701
syslog debug on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.3-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on
httpd host 192.168.100.3-192.168.100.254
alarm entire off

書込番号:19467736

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/07 07:50(1年以上前)

 モバイルのL2TPリモートアクセスの接続ID(admin)で、接続パスワード(password)、暗号化キー(password)の条件になります。

書込番号:19467748

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2016/01/07 11:00(1年以上前)

>sorio-2215さん

自宅→会社 繋がりません。アイフォンもダメです。

自宅コンフィグ

ip routing process fast
ip route default gateway 192.168.0.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.0.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.1/24
ip lan1 address 192.168.100.1/24
ip lan1 proxyarp on
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ipv6 lan1 dhcp service server
ip lan2 address 192.168.0.254/24
ip lan2 mtu 1492
ip lan2 secure filter in 101004 101005 101020 101021 101022 101023 101024 101025 101030 101032 101080 101081 101099
ip lan2 secure filter out 101020 101021 101022 101023 101024 101025 101099
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:DHCP
provider ntpdate ntp.nict.jp
pp select anonymous
pp name 自宅
pp bind tunnel2
pp auth request chap-pap
pp auth username admin password
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel name IPsec(自宅)
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1 key-id
l2tp always-on on
l2tp hostname RTX810-1
l2tp tunnel auth off
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.100.1
l2tp remote router-id 192.168.100.2
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
tunnel select 2
tunnel name モバイル用
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text password
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp tunnel disconnect time 600
l2tp keepalive use off
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.1 udp * 4500
ip filter 101005 pass * 192.168.100.1 udp * 1701
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101080 pass * 192.168.100.1 udp * 500
ip filter 101081 pass * 192.168.100.1 esp * *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 192.168.0.254
nat descriptor address inner 200 192.168.0.254 192.168.100.1-192.168.100.254
nat descriptor masquerade static 200 1 192.168.100.1 udp 500
nat descriptor masquerade static 200 2 192.168.100.1 esp
nat descriptor masquerade static 200 3 192.168.100.1 udp 1701
nat descriptor masquerade static 200 4 192.168.100.1 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipsec transport 2 2 udp 1701
syslog debug on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.3-192.168.100.99/24
dns server 192.168.0.1
dns private address spoof on
schedule at 1 */* 01:30 * ntpdate ntp.nict.jp
l2tp service on
httpd host 192.168.100.3-192.168.100.254
alarm entire off
#

書込番号:19468094

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2016/01/07 11:19(1年以上前)

会社コンフィグです。

ip routing process fast
ip route default gateway 192.168.99.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.99.1
ipv6 routing process fast
ipv6 prefix 1 ra-prefix@lan2::/64
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.2/24
ip lan1 address 192.168.100.2/24
ip lan1 proxyarp on
ipv6 lan1 address auto
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 2 o_flag=on
ip lan2 address 192.168.99.254/24
ip lan2 mtu 1454
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.100.2 auIP
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.2
ipsec ike local name 1 ipsec1 key-id
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 auIP
l2tp always-on on
l2tp hostname RTX810-2
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.100.2
l2tp remote router-id 192.168.100.1
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.0/24 icmp * *
ip filter 101005 pass * 192.168.100.0/24 established * *
ip filter 101006 pass * 192.168.100.0/24 tcp * ident
ip filter 101007 pass * 192.168.100.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.100.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.100.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101014 pass * 192.168.103.0/24 udp * ntp
ip filter 101015 pass * 192.168.103.0/24 udp ntp *
ip filter 101016 pass * 192.168.100.2 udp * 500
ip filter 101017 pass * 192.168.100.2 esp * *
ip filter 101018 pass * 192.168.100.2 udp * 1701
ip filter 101019 pass * 192.168.100.2 udp * 4500
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.100.2 udp 500
nat descriptor masquerade static 200 2 192.168.100.2 esp
nat descriptor masquerade static 200 3 192.168.100.2 udp 1701
nat descriptor masquerade static 200 4 192.168.100.2 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 1 1 udp 1701
syslog debug on
telnetd host 192.168.100.3-192.168.100.254
dns server 192.168.99.1
dns server dhcp lan2
dns private address spoof on
l2tp service on l2tpv3
httpd host 192.168.100.3-192.168.100.254
alarm entire off
sshd service on
sshd host 192.168.100.3-192.168.100.254
sftpd host 192.168.100.3-192.168.100.254
#

書込番号:19468127

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2016/01/07 11:53(1年以上前)

最新の会社コンフィグです。

ip routing process fast
ip route default gateway 192.168.99.1
ip icmp echo-reply send-only-linkup on
ip keepalive 1 icmp-echo 10 5 192.168.99.1
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.2/24
ip lan1 address 192.168.100.2/24
ip lan1 proxyarp on
ip lan2 address 192.168.99.254/24
ip lan2 mtu 1454
ip lan2 nat descriptor 200
ipv6 lan2 dhcp service client ir=on
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:RT-500KI側に設定
tunnel select 1
tunnel name IPsec(会社)
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.100.2 auIP
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.2
ipsec ike local name 1 ipsec1 key-id
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 auIP
l2tp always-on on
l2tp hostname RTX810-2
l2tp tunnel auth on ipsec
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.100.2
l2tp remote router-id 192.168.100.1
l2tp remote end-id ipsec
ip tunnel mtu 1240
ip tunnel tcp mss limit 1240
tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101004 pass * 192.168.100.0/24 icmp * *
ip filter 101005 pass * 192.168.100.0/24 established * *
ip filter 101006 pass * 192.168.100.0/24 tcp * ident
ip filter 101007 pass * 192.168.100.0/24 tcp ftpdata *
ip filter 101008 pass * 192.168.100.0/24 tcp,udp * domain
ip filter 101009 pass * 192.168.100.0/24 udp domain *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101014 pass * 192.168.100.0/24 udp * ntp
ip filter 101015 pass * 192.168.100.0/24 udp ntp *
ip filter 101016 pass * 192.168.100.2 udp * 500
ip filter 101017 pass * 192.168.100.2 esp * *
ip filter 101018 pass * 192.168.100.2 udp * 1701
ip filter 101019 pass * 192.168.100.2 udp * 4500
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101031 pass * * established * *
ip filter 101032 pass * * tcp * ident
ip filter 101033 pass * * tcp ftpdata *
ip filter 101034 pass * * tcp,udp * domain
ip filter 101035 pass * * udp domain *
ip filter 101036 pass * * udp * ntp
ip filter 101037 pass * * udp ntp *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.100.2 udp 500
nat descriptor masquerade static 200 2 192.168.100.2 esp
nat descriptor masquerade static 200 3 192.168.100.2 udp 1701
nat descriptor masquerade static 200 4 192.168.100.2 udp 4500
rip use on
ipsec auto refresh on
ipsec transport 1 1 udp 1701
syslog debug on
telnetd host 192.168.100.3-192.168.100.254
dns server 192.168.99.1
dns private address spoof on
l2tp service on l2tpv3
httpd host 192.168.100.3-192.168.100.254
alarm entire off
sshd service on
sshd host 192.168.100.3-192.168.100.254
sftpd host 192.168.100.3-192.168.100.254
#

書込番号:19468203

ナイスクチコミ!0


クチコミ投稿数:2908件Goodアンサー獲得:232件

2016/01/07 13:21(1年以上前)

 L2TPv3トンネル認証が、うまく採れない状態かと考えます。

 自宅RTX810ルーターのトンネル認証が無効になってますよ。
 下記コマンドを自宅RTX810ルーターに投入下さい。
 tunnel select 1
l2tp tunnel auth on ipsec
tunnel select 2
no l2tp tunnel auth off


 自宅・会社RTX810ルーター、双方の簡易Webメニューから、「ipsec refresh sa」コマンド実行をお試し下さい。
最後に、自宅RTX810ルーター→会社RTX810ルーターのコマンドにて、「restart」を実行下さい。

 他のConfigについては、合致していますので、接続出来ない様でしたら、双方のRTX810にて、「show log」の情報をお教え下さい。
 

書込番号:19468415

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2016/01/07 13:27(1年以上前)

iPhoneからの接続成功です!

ただしルーターまで。各機器には繋がりません。

書込番号:19468427 スマートフォンサイトからの書き込み

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2016/01/07 14:24(1年以上前)

>sorio-2215さん

会社から自宅へ繋がったようですが、よくわからない現象が出ています。自宅のHGWとルーターにだけ入れないのです。その他の機器には入れます。

アイフォンから自宅への接続とは逆の現象ですね。

自宅から会社は試していません。


よろしくお願いします。

書込番号:19468540

ナイスクチコミ!0


スレ主 snooker147さん
クチコミ投稿数:2253件

2016/01/07 17:39(1年以上前)

HGWへのアクセスについて3

が消えました!

また建てますのでよろしくお願いします。

書込番号:19468942

ナイスクチコミ!0


返信数が200件に達したため、このスレッドには返信できません

クチコミ一覧を見る


価格.com Q&Aを見る

この製品の最安価格を見る

RTX810
ヤマハ

RTX810

最安価格(税込):¥46,807発売日:2011年11月上旬 価格.comの安さの理由は?

RTX810をお気に入り製品に追加する <169

のユーザーが価格変動や値下がり通知、クチコミ・レビュー通知、購入メモ等を利用中です

 
 
 

クチコミ掲示板検索



検索対象カテゴリ
を対象として

新着ピックアップリスト

ピックアップリストトップ

新製品ニュース Headline

更新日:7月19日

クチコミ掲示板ランキング

(パソコン)

ユーザー満足度ランキング

有線ブロードバンドルーター
(最近5年以内の発売・登録)



ランキングを詳しく見る