)
有線LAN速度:10BASE-T(10Mbps)/100BASE-TX(100Mbps)/1000BASE-T(1000Mbps) 有線LANポート数:10 対応セキュリティ:UPnP/VPN/DMZ
本ページでは掲載するECサイトやメーカー等から購入実績などに基づいて手数料を受領しています。
このページのスレッド一覧(全25スレッド)
| 内容・タイトル | ナイスクチコミ数 | 返信数 | 最終投稿日時 |
|---|---|---|---|
 L2TP/IPsecでリモートアクセス+IPsec拠点間通信の併用 |
5 | 5 | 2015年11月13日 14:46 |
auひかりBL900HWでの設定方法を教えて頂きたいです。 |
6 | 12 | 2015年11月10日 12:36 |
| ポートベースVLAN |
1 | 4 | 2015年8月13日 18:19 |
| NTTのPR500KI接続について教えてください |
5 | 5 | 2015年4月15日 16:39 |
| eo光 |
2 | 9 | 2015年3月18日 18:31 |
| Windows7標準L2TP/IPsecでの接続について |
7 | 37 | 2021年2月20日 09:36 |
- 「質問の絞込み」の未返信、未解決は最新1年、解決済みは全期間のクチコミを表示しています
お気に入りに追加
そろそろうちもリモートに本格的に対応しおうと、RTX1210の導入を考えていますが
現在、rt107eの3台で拠点間をIPsecVPNで3つのセグメントで結んでいます。
IPsecVPN
rt107e(親)−−− セグメント 192.168.0.1/24
|−−rt107e(子) セグメント 192.168.1.1/24
|−−rt107e(子) セグメント 192.168.2.1/24
この親をrt107eからRTX1210へ変更し、設定は流用
IPsecVPN
RTX1210(親)−−− セグメント 192.168.0.1/24
| |−−rt107e(子) セグメント 192.168.1.1/24
| |−−rt107e(子) セグメント 192.168.2.1/24
|
|−−L2TP/IPsec VPN 端末クライアント 192.168.0.200
と接続された際、 端末クライアントは RTX1210を通して、192.168.1.1や192.168.2.1へ
アクセスできるのでしょうか?
よろしくお願いします。
0点
「端末クライアント」に 192.168.1.0/24, 192.168.2.0/24 のルーティング先を 192.168.0.1 に設定できるなら可能ではないでしょうか。
書込番号:19270036
0点
本拠点をRTX1210ルータ-へ変更し、メッシュ方式のVPNトンネル設定をされない状態でしたら(スター型VPN)ですと、RTX1210とRT107EそれぞれのLANセグメント通信出来る様に、スタティック・ルーティング設定をIPSECトンネルルート向けに設定しれあげればOKです。
例として、RTX1210(192.168.0.1/24)・・トンネル@ip route 192.168.1.0/24 gateway tunnel 1、Aip route 192.168.2.0/24 gateway tunnel 2、RT107E@・・ip route 192.168.0.0/24 gateway tunnel 1、RT107EA・・ip route 192.168.0.0/24 gateway tunnel 2
L2TP/IPSECリモート端末から、RT107EのWebアクセス許容させる為には、「httpd host 192.168.0.2-192.168.0.254」と言った形に、簡易WebアクセスをIPベースでの許容させる設定を確認下さい。
Telnetアクセスを許容させる場合には、「telnetd service on」→「telnetd host 192.168.0.2-192.168.0.254」と言った形に設定確認下さい。
VPNスループット性能は、あまりににされなくても良いのですか?
VPN性能を考慮される場合には、RT107Eの方もRTX810や、NEC「UNIVERGE iX2105」あたりを考慮されると良いかと考えます。
書込番号:19272865
1点
案ずるより産むが易しでした。
すでに ip routeの設定はしてありますので、
L2TP/IPsecで接続したクライアントは192.168.0.1の配下に置かれ、
IPsec-VPNを通して192.168.1.1等へアクセス可能でした。
事前にYAMAHAサポートに聞いたら、サポートしません、(基本は同セグメントのみ)との
回答だったので。
書込番号:19312965
2点
そうですか。
YamahaでのWebコンソール機能は、httpd host設定でのIP範囲指定が可能ですので、「httpd host 192.168.0.2-192.168.0.254 192.168.1.2-192.168.1.254 192.168.2.2-192.168.2.254」とRTX1210ルーターへ登録すれば、L2TP/IPSECクライアントだけではなく、IPSEC拠点のIP許容範囲の設定も可能です。
老婆心ながらRT107Eルーターは、最大でもVPNスループットは、80Mbpsまでしか対応出来ませんので、利用用途によっては、RT107E拠点ルーターも更改された方が、RTX1210ルーターのメリットが有るかと考えます。
中古・オークションにて、RTX1200の在庫がだぶついている様ですので、拠点側をRTX1200ルーターにするのも一択ですが。
書込番号:19313428
2点
最近RTX1210を購入したのですが、ネットで調べた通りにコマンドを入力しても、うまくいかない状況で困っております。
DMZ機能を使うとこまでは分かるのですが...
環境は、auひかりHOME ホームゲートウェイはBL900HWです。
ONU---BL900HW---RTX1210---家庭内LAN
何かと至らぬ点もあるかと思いますがよろしくお願い致します。
0点
2段ルーターで何をしようとしているのか不明。
書込番号:19265763
0点
>Hippo-cratesさん
お世話になります。
VPNがしたいのですが...無理ですか?
書込番号:19265774
0点
何がやりたくて、どううまくいかないのか?
漠然とした質問では誰も答えようがないです。
どういう設定にしたのか?先ずはCONFIGを提示したらどうでしょうか。
# VPNするのにDMZ必要?
書込番号:19266377
0点
>とっふぃ〜さん
ご指摘ありがとうございます。お世話になります。
http://tokka.mao.gr.jp/article/61056099.htmlやhttp://pontago.hatenablog.com/entry/20100406/1270579396に書いてあるものを参考にしてというかまんま設定したのですが、繋がらない状況です。
何がしたいのかといいますとVPNをとりあえずしたい次第です。そのほかの機能は順を追って、ネットが接続できひと段落したらやろうかと考えております。
ONU---BL900HW---RTX1210---家庭内LAN
ipは、BL900HW 192.168.0.1 RTX1210(LAN2)192.168.0.2 (LAN1)192.168.10.1 という構成で考えております。
DMZは、いろいろなサイトでDMZが紹介されていたのでそれをまんまやりました。
書込番号:19268421
0点
こんにちは。
大前提として、二段ルーター環境で本機配下の機器から問題なくインターネット接続はできているんですよね?
書いてある情報だけからでは、それすらわかりませんでしたので…
まずそこからですね。
それから、参考にした1個目のサイトを見ると、L2TPトンネルを2個設定しています。
いきなり難しいことをやろうとしない方がいいと思います。
トンネル2個にするなら、1個でできるようになってから2個にステップアップするとよいでしょう。
あまりCUIでの設定に慣れていない初級者と見受けられましたので、まずはGUIで忠実に設定していけばいいと思います。
二段ルーター環境でも、本機に施すVPN設定自体は通常(一段の状態)と変わらないです。
本機のWANに信号を到達させるために通常とは異なる設定が必要になるのは、上段のルーター(HGW)の方です。
書込番号:19268841
0点
>宮のクマの雅さん
お世話になります。
まだ、インターネットにも接続できておりません。
出来ればそこから教えて頂きたいです。
大変お手数おかけしますが宜しくお願い致します。
書込番号:19269060 スマートフォンサイトからの書き込み
0点
参考にされているサイトと、macmaroさんの構成とは、真一緒じゃないですよね。
まんま同じ設定にしても繋がる訳がありません。(ある程度アレンジしてますよね?)
情報を小出しにして一から十まで教えを請うたところで、的確な回答は得られません。
的外れな適当な答えしか返ってこないですよ。
先ずはmacmaroさんがこれまでにやられた設定とconfigの提示くらいはしないと指摘しようがありません。
失礼ながら、macmaroさんのスキルで、今回やろうとしてることは少々敷居が高いように思います。
ヤマハルータでは、メーリングリストが用意されていてスキルの高い人達がたくさん参加しています。
http://www.rtpro.yamaha.co.jp/RT/users.html
また、サポート窓口もあるのでそちらに問い合わすのも1つの方法です。
http://jp.yamaha.com/products/network/support/contact/
当掲示板よりも具体的で詳細な回答が期待できると思いますよ。
書込番号:19269239
1点
VPN以前のお話です。
参考にしたコンフィグは一旦忘れ、本機の設定を一旦購入時の状態(初期設定)に戻し、
インターネット接続に関しては下記リンク内にあるWeb GUI操作マニュアルの34ページ、
「IPv4アドレスでインターネットに接続する」の「DHCP接続」で設定してください。
マニュアルにある「プロバイダー」の文言は、「上段ルーター(のDHCPサーバー機能)」と読み替えてください。
http://jp.yamaha.com/products/network/routers/rtx1210/
本機のLAN2(WAN)のIPアドレスですが、
「DHCPクライアント」を選択すると、運用していくうちに変化してしまう可能性があるので(非常にまずいので)、
「固定アドレス」にした方がいいと思います。
上段ルーターのDHCP設定で、リース範囲「以外」の同一ネットワークのIPアドレスを指定するようにしてください。
その際、デフォルトゲートウェイには手動で上段ルーターのLAN側IPアドレスを指定してください。
DNSサーバーのアドレスも手動で上段ルーターのLAN側IPアドレスを指定してください。
これで、二段ルーターの本機配下の機器からインターネット接続できるようになると思います。
(RTX810の場合ですが、GUI画面は多少違うものの、だいたいこの流れでいけています。)
書込番号:19271498
1点
当方も酷似構成で利用していますが、まず「BL-900HW」の初期値IPが192.168.0.1/24ですので、「BL-900HW」の設定として、詳細設定→その他の設定→DMZホスト機能(有効)、192.168.0.254/24と設定下さい。
その後、RTX1210のWAN設定を固定192.168.0.254/24、デフォルトゲートウェイ192.168.0.1、プライマリDNS192.168.0.1と設定下さい。
ご指定の192.168.0.2/24は、「BL-900HW」に他の端末を接続しない場合には構いませんが、出来ればDHCPサーバ機能が使っていないIPをDMZ設定された方が良いかと考えます。
コマンド設定を熟知されているので有れば、「ip route default gateway 192.168.0.1」、「ip lan2 address 192.168.0.254/24」、「ip lan2 mtu 1492」、「dns server 192.168.0.1」のコマンド設定されているか確認し、未投入で有れば、投入下さい。
念のためですが、NAT設定に、「nat descriptor address outer 300 192.168.0.254」、「nat descriptor address inner 300 192.168.0.254 192.168.10.1-192.168.10.254」を投入してみて下さい。
書込番号:19272901
2点
良かったですね。
老婆心ながら、BL-900HWの詳細設定に有ります、「ジャンボフレーム透過機能」は、有効にされない方が良いかと存じます。
RTX1210においても、ジャンボフレーム・パケット設定は対応しておりません。
代わりに独自のパケット最適化機能が搭載しておりますので、それは有効で良いかと考えます。
ファーストパス機能・・ http://www.rtpro.yamaha.co.jp/RT/docs/fastpath/
※ 「ip routing process fast」、「ipv6 routing process fast」 コマンド投入にて。
書込番号:19304858
2点
ご教示下さい。
ポートベースVLANに感して2つ質問があります。
1.ポートベースVLANですが、LANポートごとに分離するという認識で間違いないのでしょうか。
同じLANポートに違うPCを接続しなおしたとしても、同じ設定のままのVLANを使えるという認識でよろしいのでしょうか。
2.ポートベースVLANですが、設定したVLANの下にハブを接続した場合、そのハブに接続された機器はすべて、同じVLANグループになるのでしょうか。
例えば、下記の図で、
【RTX1210】ーー(LAN1)ーPC1
ー(LAN2)ー【ハブ】ーPC2
ーPC3
とつなぎ、LAN1とLAN2で、ポートベースVLANで分離してつないだ場合、LAN2の下にある、PC2,PC3は、すべてLAN2と同じグループのVLANと見なされるという認識で、よろしいのでしょうか。
よろしくお願いします。
書込番号:19042230 スマートフォンサイトからの書き込み
0点
図がおかしいので訂正します。
【RTX1210】ーー(LAN1)ーPC1
ー(LAN2)ー【ハブ】ーPC2
ーPC3
よろしくお願いします。
書込番号:19042233 スマートフォンサイトからの書き込み
0点
すみません。
図で空欄が、うまく入らないようで。
RTX1210の下に(LAN1) (LAN2)が接続されており、ハブの下にPC1 PC2が接続されている状態です。
よろしくお願いします。
書込番号:19042245 スマートフォンサイトからの書き込み
0点
RTX1210ルーターのLAN分割機能(ポートベースVLAN)につきましては、ご推察の通りです。
以下参考までに
※ LAN分割機能・・http://www.rtpro.yamaha.co.jp/RT/docs/lan-divide/
更にVLANで分割されたポートに、インターネットNAT変換を許容させるポートを限定する事も可能です。
※ http://jp.yamaha.com/products/network/solution/security/lan_side/disjunction/
書込番号:19043466
1点
下記のwebに載っていた方法で、PR500KIのUNIポートを利用して、RTX1210に接続し、PPPOE設定をしていたのですが、
ブロードバンド接続がうまく確立しません。
http://www.5cho-me.com/archives/172156
対応方法などご存知の方がいらっしゃいましたらご教授お願いします。
4点
『PR500KIのUNIポートを利用して、RTX1210に接続し、PPPOE設定をしていたのですが、
ブロードバンド接続がうまく確立しません。』
各機器の接続については、以下のページを確認されているのでしょうか?
現在のネットワーク構成(2014年7月現在)
http://www.5cho-me.com/archives/172178
書込番号:18597386
0点
ハブからPR500KIへの折り返し接続は不要だと思っていたのですが、折り返し接続を実施することで接続が確立できました。光電話を利用していなかったのでONUからルータ接続のみ実施すればよいと認識していたのですが、
なぜ折り返し接続が必要だったのかいまだ理解できていませんが......
書込番号:18649761
1点
既に解決済みになっておりますが...。
『光電話を利用していなかったのでONUからルータ接続のみ実施すればよいと認識していたのですが、
なぜ折り返し接続が必要だったのかいまだ理解できていませんが......』
「折り返し接続」A−Bについては、以下のネットワーク図からすると必要かと思います。
推定ですが、「折り返し接続」A−BをしないとPR-500KI正常にブートできずUNIポートを利用できないのではと考えます。
【変更前】 【変更後】
| |
| |
| |
[ONU] [ONU]
|UNIポート |
| +−−−−+UNIポート
| |
| [HUB]
| A| |
| +−−−+ +−−−+
| |B |
[NAT] [NAT] [RTX1210]
| | |
| | |
−−−+−−− −−−+−−−−−−−−−+−+−+−
| LANポート | | | |
※Web上ではズレが発生しますので、上記のネットワーク図をメモ帳などテキストエディタにペーストして確認してください。
書込番号:18650296
0点
LsLoverさんありがとうございます。
RP500KIがNATからの情報を得ないと正常にブートできないということですね。
私は昔の機器のイメージから、ONUだけでも正常にブートできると考えていました。
ありがとうございました。
書込番号:18650715
0点
最近の回線サービスは、高速回線収容の為かと存じますが、専用HGWのWAN側MACアドレス及び802.11x認証をしているサービスも有りますので、NTT回線も例外ではなく、NTT側設備から光電話ルーターのWAN側MACアドレス等の認証がされる状況でなければ、接続許容されないサービスになっている点は推察出来ます。
NGN網対象の光回線サービスは、光電話のみだけではなく、データ通信もNGN網での通信サービスになっていますが、その接続認証の為かと。
光電話オフィスタイプでは、ごく一般的なのですが、光電話オフィスアダプタや光電話対応PBX主装置の光電話多チャンネル・ユニットも故障での交換をしますと、交換の際にNTTサービスへ連絡し、交換後の光電話アダプタやユニットのMACアドレスを変更申請しませんと、インターネット接続許容されない点が有ります。
書込番号:18684491
0点
回線接続のみで、こちらのルーターを使用するのですか?
PPPOE接続、nat-masquarade設定レベルで迷われてるレベルでしたら、こちらのルーターは未使用の方が良いかと存じます。
もし、設定情報等提供希望でしたら、既存config情報提供お願いします。
重要プロバイダーID及びパスワードは、伏字で構いません。
書込番号:18579525 スマートフォンサイトからの書き込み
0点
追加確認箇所は、デフォルトゲート設定コマンド、dns serverコマンド、nat-masquarade outerコマンド、同じくmasquarade innerコマンド。
書込番号:18579547 スマートフォンサイトからの書き込み
0点
レス、ありがとうございます。
PPPoEで検索していると、TCPのmss clampが関係していると思っています。
コマンドマニュアルを見ると、defaultでdisableになっているようなので、
一度、試してみます。
書込番号:18580602
0点
??EO光の場合、MTU数値は一般的な1,454を利用しております。
RTX1210ルーターの場合、PPPOE接続設定においては、MRUオプション及びMTU数値は、1,454を指定してあれば、MSS数値の設定は必要無いかと存じます。
PPPOE接続されているとの事ですが、EO光指定のDNSサーバアドレスを指定していますでしょうか?
※ dns server pp 1 → dns server 60.56.0.135 218.251.89.134
※ dns server select 500001 pp 1 any . restrict pp 1 → dns server select 500001 60.56.0.135 218.251.89.134 any . restrict pp 1
※ provider dns server pp 1 1 → provider dns server 1 60.56.0.135 218.251.89.134
更に言うと、EO光の固定IPサービスの利用はされていませんか?
固定IPサービスを利用していましたら、nat-masquarade設定を変更しなければ、接続許容されません。
下記例として・・
nat descriptor type 300 masquerade
nat descriptor address outer 300 (EO光・グローバルIP)
nat descriptor address inner 300 auto
書込番号:18583779
0点
レスありがとうございます。
無事接続ができました。
ppp lcp mru on 1400
にするとokでした。1454は繋がらなかったと思いますが、、、気のせいかな?
契約は、固定IPです。nat-masquarade関係はまだ見ていません。
現在、各パソコンに繋がるケーブルをつなぐと、スピードが半分くらいにダウンして、
安定しません。(調査中)
ま、取りあえず繋がったので、ほっとしています。
書込番号:18587302
0点
??「ppp lcp mru on 1400」
通常は、ip pp mtu 1454のみでOKな筈ですが・・。
LANケーブルを接続して安定しないとの事ですが、LANケーブルはストレート・クロスの混在、カテゴリレベルの混在等をしていませんか?
更にハブ等の分岐配線ですが、カスケードを2段以内にしていますでしょうか?
CAT7も含めたSTPケーブルを利用すると、ノイズ滞留劣化等が起きる可能性も有ります。STPケーブルを利用される場合、それぞれの機器側にアース配線する様にして下さい。
出来れば、CAT6(UTP)ケーブル・単線・ストレート仕様をご利用ください。
書込番号:18588344
0点
ルーターから、ハブをカスケードしてどのくらい
安定性が損なわれるか、データをお願いします。
CAT6(UTP)ケーブル・単線・ストレートと、CAT5eで
どのくらいの減衰があるのか、データをお願いします。
(あんまりかかわりたくないんだけど、、、)
書込番号:18591984
0点
具体性の有るデータは、同一環境で無ければ、提示は難しいです。
ギガビット通信機器となると、最大で2段までのカスケード数がメーカー保証となりますが、実際の所、パケット衝突の確率・パケットロスの確率が高くなる点、通信量の問題ではなく、
衝突を検知してから、送信元に知らせるまでの時間の遅延が大きくなる点が有ります。
利用しているケーブルとして、CAT混在でクロス混在の時点で、全体のカテゴリレベルは4程度まで落ちる計算、伝送レートでの負荷も単純に4割程度の性能しか出ない形になります。
CAT5Eケーブルは、100Mbps対応ケーブルを無理矢理心線を変更し、本来ギガビット通信許容周波数である、250Mhz以上の周波数帯域を100Mhz周波数心線で利用可能にしている条件が有ります。
100Mhz周波数ケーブルをギガビット通信のケーブルへ転用された場合に、引き回し接続による遅延、特に上り速度・下り速度の均一化の保証が無い仕様が有ります。
CAT5Eケーブルを利用される場合には、規格上1mの近接距離にてギガビット通信の許容と言う条件が有ります。(伝送周波数性能が低いため)
本来、ギガビット通信は、8極8芯1ペアごとに250Mbps(250Mbps x 4ペア=1000Mbps)で送信と受信を兼ねる仕様が必須となっております。中でも、10m以上の迂回配線やカスケードを重ねる場合にも、より線では、迂回する毎に30〜40%の電気抵抗が発生する事になっております。
カテゴリレベルの相違・クロス混在(伝送周波数が足りない)でも、総体で30〜40%の終端抵抗がかかると想定下さい。
書込番号:18592191
2点
RTX1210ではノンサポートとは知りつつ...YMS-VPN8がお高いので、Windows7標準のL2TP/IPsecを使って(レジストリ変更済)運用しているのですが、同じグローバルアドレス配下の端末(win7)を2台以上接続しに行くと、接続ができている1台目のVPN接続が落ちる現象が発生します。再接続を何度かするうちにすべてつながり安定するのですが、原因は何でしょうか。
ログを確認すると
[IKE] SA[*] change state to DEAD
[IKE] delete SA[*]
がでた後
IP Tunnel[*] Down
で落ちています。
ダッシュボードの「VPN接続状態(リモートアクセス)」のインターフェース表示は
6台接続しているのなら、本来TUNNEL[1]〜TUNNEL[6]でつながると思うのですが
実際の例では以下のように歯抜け状態になっています。
(IP TunnelのUP Downを繰り返しているうちに以下の状態で安定。実際の例です。)
TUNNEL[02]
TUNNEL[03]
TUNNEL[05]
TUNNEL[13]
TUNNEL[07]
TUNNEL[01]
理解できる方いましたらご教授頂けないでしょうか。
よろしくお願い致します。
1点
確認ですが、L2TP/IPSECのトンネルを接続台数分のトンネル設定、PPPダイヤルアクセス用のID及びパスワードを接続トンネル分の数の作成(pp select anonymous→pp bind tunnel1-tunnel2→pp auth request mschap-v2、pp auth usernameから始まるIDとパスワード)をしていますか?
それと、ip pp remote address poolから始まる、L2TP/IPSEC接続時のプールしますIPアドレス範囲は特定していますでしょうか?
通常のDHCP端末と重複する様な設定(ip pp remote address pool auto)ではなく、プール範囲をDHCPと離した範囲に指定してみて下さい。
書込番号:18487606
2点
>確認ですが、L2TP/IPSECのトンネルを接続台数分のトンネル設定、PPPダイヤルアクセス用のID及びパスワードを接続トンネル分の数の作成(pp select anonymous→pp bind tunnel1-tunnel2→pp auth request mschap-v2、pp auth usernameから始まるIDとパスワード)をしていますか?
実際の接続は5,6台ですが、20台分のトンネル設定とそれぞれにIDとパスワードを作成しています。
もちろん、接続する端末はそれぞれのIDで接続しています。(実は同じIDでも2台まで接続できたのですが、YAMAHAに仕様外だと言われました)
>それと、ip pp remote address poolから始まる、L2TP/IPSEC接続時のプールしますIPアドレス範囲は特定していますでしょうか?
していません。「ip pp remote address pool auto」になっています。
てっきり通常のDHCP端末とは重複しないようにIPを割り当ててくれてると思ってたのですが...
ご指摘ありがとうございます。試してみます。
書込番号:18488475
1点
それは当たり前では?
プロトコルに依存するかもしれませんけど、一般的にVPNはNATを通過しませんよね?
NATでダメなものは言い換えるとグローバルIPを必要としているということだから、2つ開いたらアウトだと思うんだけど。(ちょっとズレてるかもだけど、要はVPNパススルーするルータが対応できると言ってなきゃ少なくても無理)
http://www.infraexpert.com/study/ipsec14.html
http://www.infraexpert.com/study/ipsec15.html
少なくても端末側がRTならアウト
http://www.rtpro.yamaha.co.jp/RT/FAQ/IPsec/faq_2_k.html
書込番号:18488686
0点
IPSEC-VPNでも、L2TP/IPSEC自体の規格は、一般的なVPNルーター(Yamaha含むNEC、Cisco、アライドテレシス)は、NATトラバーサルの機能は実装しておりますので、NATは通過出来る仕様ですよ。
Yamahaルーターでも、IPSEC-VPNでも接続回線によって、NATトラバーサル設定でのNAT貫通は出来ますので、誤解が有るかと存じます。
NATトラバーサル機能を利用しますと、IKE認証にUDP500番ポートではなく、UDP4500番を利用する形になります。
IKE Phase 1にて、IPsecピアとなる双方の機器がNAT Traversal確認→IPsecピアを構築する経路上にNAPTデバイスが存在可否確認→IKEで使用するポート番号の変更 (送信元・宛先ともに500 → 4500へ変更確認)が派生し、IKE Phase 2にてESPパケットをUDPでカプセル化するモードの決定→NAPTにより変更される前のIPアドレス情報の通知処理、IPsec-VPN確立後にはUDPカプセル化によるトランスポートまたはトンネルモードのESPパケットを送信する仕組みになります。
Yamahaルーターには、L2TPクライアントの複数受付可能な仕様になっていますので、設定レベルの問題かと存じます。その際には、トンネル毎に「ipsec ike nat-traversal」コマンドでのトランスポート転送モードの設定(UDP1701番での待ち受けポート設定も必要)が必要です。
書込番号:18489249
0点
追伸、質問者はWindowsパソコンでのNATトラバーサル通信が許容される様に、レジストリ変更していますので、一般的なIPSEC-VPN(NATトラバーサル機能が無い)ルーターでの説明には該当しないかと存じます。
書込番号:18489268
0点
sorio-2215さんのおっしゃる通り、NATトラバーサルの問題(ルーター越え)はレジストリ変更で対処して、実際に通信できているので問題ありません。接続が安定するまで、落ちたりつながったりとしばらくバタバタする点をなんとかしたいというのが解決したい点です。
L2TP/IPSEC接続時のプールの設定ですが、正しくは以下のように設定されていました。(ちなみにデフォルト設定です。)
(誤)「ip pp remote address pool auto」 → (正)「ip pp remote address pool dhcp」
プール範囲の設定について以下のアドバイスを頂いたのですが
>プール範囲をDHCPと離した範囲に指定してみて下さい。
rtx1210のDHCPの割り当て範囲を例えば以下に設定しているとすると
[192.168.0.100 - 192.168.0.150]
リモートのプール範囲は
[192.168.0.200 - 192.168.0.220]
のようにDHCP範囲外で設定するという認識でよろしいでしょうか。
よろしくお願い致します。
書込番号:18489996
0点
リポートプールしますIP範囲の認識は、解釈の通りでOKです。
当方もRTX1210とUNIVERGE iX2215にて、L2TP/IPSECを利用経験則ですが、L2TP同時クライアント接続にて、問題は出ておりません。
IX2215ですと、トンネル毎に接続します接続ユーザーID及びパスワードを限定させる設定も出来るのですが、RTX1210ですとanonymous接続にそれぞれ接続ユーザーIDとパスワードを登録する位しか出来ないですが、先ずはトラブルは出ておりません。
書込番号:18490095
0点
以下の設定例は参考になりませんか?
「ヤマハルーターのプライベートアドレス:192.168.100.1」ですので、192.168.0.1などに読み替えてください。
この設定例では、DHCPサーバのアドレスプール内のアドレスを設定しているようです。
【設定例3:NATトラバーサルを利用したL2TPクライアントの接続を受け付ける場合】
【L2TP接続を受け入れるための設定】
ip pp remote address pool 192.168.100.10-192.168.100.20 ==> 「dhcp scope 1 192.168.100.2-192.168.100.191/24」がデフォルト値かと思います。
http://www.rtpro.yamaha.co.jp/RT/docs/l2tp_ipsec/index.html?_ga=1.68082705.1850650006.1410221214#setting3
書込番号:18490290
0点
補足ですが、Yamahaルーターの場合ですが、他の方の補足メーカーサイトでの提示、特に注釈文「※動作検証では、接続・通信・切断が正常に行えることを確認しています。
長時間の接続試験は行っておりません。
※Android 4系の一部のOSでは、切断時にルーターに対して切断メッセージを送信しないものがあります。そのため、ルーター側でセッションが残ってしまい、次の接続をすぐに受けることができなくなります。対策として、ルーター側で早期に切断を検知できるようL2TPキープアライブを有効にすることを薦めます。」
上記の文面内容ですが、接続しますL2TPクライアント仕様によって、即時切断要求・応答する仕様のクライアントと、そうでないクライアントが有ります。
利用用途及び端末によってとなりますが、YamahaルーターOS仕様の場合、L2TPクライアントが切断時に、応答切断に遅延が派生し、再接続時に問題が出る場合も有ります。
その際には、L2TPセッション・タイマーの設定にて、経過時間による切断コマンドを設定しておいた方が良いかもしれません。メーカー指示のL2TPキープアライブでは無くなりますが、「l2tp tunnel disconnect time」コマンドをトンネル毎に秒単位設定をする等の対応が必要になる可能性も有ります。(例えば、l2tp tunnel disconnect time 600)
書込番号:18492258
0点
実はL2TPセッション・タイマーは設定済みで、全チャンネル「l2tp tunnel disconnect time 300」としましたが、動きは変わりませんでした。今はプール範囲を変えたので、様子をみているところです。
書込番号:18493059
0点
プール範囲を変えたのですが、改善されませんでした...残念(/Д`)。もう少し様子をみようと思います。
書込番号:18495218
0点
そうですか。確認ですが、契約回線及びプロバイダはどちらでしょうか?
光電話の有無(光電話ルーター等の機種・型式も併せて)教えて頂けますが?
それと、出先側回線サービス及び接続モバイルルーター機種等も教えて下さい。
書込番号:18495361
0点
先ほど聞き忘れました、ipsec autokey-proposalの暗号化レベルはどのモードをご利用でしょうか?
トンネルモードが「esp-aes esp-sha」でなければ、Windows8や7系では不安定な場合が有ります。
まさか、WindowsXPでは無いですよね? XPであれば、「esp-3des esp-sha」でなければ接続対応されません。
それと、PPPダイアルアクセスのレベルですが、chapでしょうか?それとも、mschap-v2でしょうか?
「pp select anonymous」での認証方式をchapにて、お試し下さい。
書込番号:18495802
0点
sorio-2215さん、いろいろ確認ありがとうございます。
以下確認事項です。
契約回線:NTTフレッツ光
プロバイダー:biglobe
光電話有:ひかり電話オフィスA
ルーター:OG800Xi
出先の回線:NTTフレッツ光
ルーター:上記と同等?
端末はすべてwin7です。
VPNの設定は以下となっています。
・ipsec sa policy 2 2 esp aes-cbc sha-hmac
・pp auth request mschap-v2
認証方式はchapに変更して試してみます。
トンネルモードも「esp-aes esp-sha」に変更するべきですかね...
上記に変更した場合、モバイル(iphone,ipad等)の接続に影響ありますか?
モバイルの接続も常時ではありませんがしています。
よろしくお願い致します。
書込番号:18497280
0点
この現象、経験があります。
次の3つのコマンドはどのようになっていますか?
ipsec ike keepalive use
l2tp tunnel disconnect time
l2tp keepalive use
もし次のようになっていなければ、だめ元で試してみてください。
ipsec ike keepalive use x off
l2tp tunnel disconnect time off
l2tp keepalive use on 10 3
書込番号:18497686
0点
光電話オフィスアダプタOG800Xi(BRI収容/8ch)をご利用という事で、同機のファームウェア問題による、PPPOEブリッジ機能の不確定要因が以前経験した事が有ります。
同機のファームウェアが最新か確認下さい。
同機のファームウェア更新には、NTT東/NTT西エリア別にファームウェアが分かれますが、工事専用ログインして、手動適用するのですが、アクセスIPが初期値であれば、PCを光電話オフィスアダプタのLANポート接続→ブラウザにて、「http://192.168.1.1」→ログインID(admin)、パスワード(akisky)にてログイン出来ます。
※ ファームウェア提供元・・NTT東(http://web116.jp/ced/support/version/voip/og400x_og800x/index.html)、NTT西(http://www.ntt-west.co.jp/flets/solution/kiki_info/software/746/)
出先回線装置・ルーターにおいても確認下さい。
トンネルモードも「esp-aes esp-sha」を指定、スマートフォンやタブレット、MVNO端末においては影響無い筈です。(http://www.rtpro.yamaha.co.jp/RT/docs/l2tp_ipsec/#client)
※ 例として「ipsec sa policy 1 1 esp aes-cbc sha-hmac」、「ipsec ike encryption 1 aes-cbc」
L2TPでは、コネクション制御メッセージの1つであるHelloメッセージを用いたキープアライブの仕組みがあり、IPsecのキープアライブとは独立しています。ヤマハルーターでは、L2TPキープアライブによってダウンが検出された場合には、StopCCNメッセージによるL2TPコネクションの切断処理を行った後で、該当するIPsec SAおよびISAKMP SAを削除します。3G回線を用いた接続では、電波状態などの理由でL2TPキープアライブとその応答がロスする可能性があります。
IPsecのキープアライブは、初期値としてヤマハルーターの独自仕様である heartbeat を使用します。スマートフォンなどに搭載されたL2TPクライアントでは heartbeat に対応していないため、L2TPクライアントで対応可能なキープアライブを設定する必要があります。IPsecのキープアライブに対応していないL2TPクライアントに対してはIPsecキープアライブの未使用が推奨されます。
Yamahaルーターにおいては、スマートフォンも共存するVPN設定において、キープアライブは推奨されない仕様です。
L2TP/IPsecのクライアントには、画面が消灯した場合や自動ロックがかかった場合に、L2TPキープアライブに対する応答を返さないものがあり、クライアントの設定を随意対応する必要と、IPsecのキープアライブは、初期値としてヤマハルーターの独自仕様である heartbeat 死活監視を採用しており、スマートフォンやタブレット、PC等の混在でのL2TP接続が有る場合には、死活監視の制御が難しくなります。環境により、キープアライブはすべきでは無いかと考えます。
因みにキープアライブ機能については、Yamahaにおいて独自のheartbeat死活監視、業界的にはdpd死活監視が採用されている場合が殆どです。(http://www.rtpro.yamaha.co.jp/RT/manual/rt-common/ipsec/ipsec_ike_keepalive_use.html)
書込番号:18498825
0点
いろいろ情報ありがとうございます。
一つずつ試してみようと思います。
まずは認証方式をchapでやってみます。
書込番号:18510427
0点
認証方式をchapにすると全くつながらなくなりました...(モバイルはつながります)
Winの設定でしょうか?
その他も確認予定です。
書込番号:18512412
0点
WindowsのL2TP/IPSECの接続設定は、仮想プライベート・ネットワーク接続での設定になります。
Windowsのコントロールパネルから、インターネット・オプション→接続タブ→該当の接続設定のプロパティを開き、ダイアルアップの設定→プロパティから、セキュリティタブ→次のプロトコルを許可するにチェック→チャレンジ ハンドシェイクプロトコル(CHAP)にチェック投入下さい。
書込番号:18513241
0点
チャレンジ ハンドシェイク認証プロトコル(CHAP)(H)へは元々チェックをいれています...
???
他の対策も試してみようと思います。
書込番号:18513288
0点
この後に17件の返信があります。
クチコミ掲示板検索
新着ピックアップリスト
-
【おすすめリスト】今年のうちにこれで組め的な自作ゲーミングPC案
-
【欲しいものリスト】PCカレン
-
【欲しいものリスト】タフなやつ
-
【欲しいものリスト】はぁじぃめぇとぇのじさぁくぴぃいしぃ
-
【欲しいものリスト】252
価格.comマガジン
注目トピックス
(パソコン)
