)
有線LAN速度:10BASE-T(10Mbps)/100BASE-TX(100Mbps)/1000BASE-T(1000Mbps) 有線LANポート数:10 対応セキュリティ:UPnP/VPN/DMZ
本ページでは掲載するECサイトやメーカー等から購入実績などに基づいて手数料を受領しています。
このページのスレッド一覧(全25スレッド)
| 内容・タイトル | ナイスクチコミ数 | 返信数 | 最終投稿日時 |
|---|---|---|---|
 PPPOEでVPN接続しており IPOE側のPCにアクセスしたい |
0 | 8 | 2021年11月10日 20:28 |
| OCNバーチャルコネクトでのネットボランチDNS設定について |
1 | 10 | 2021年11月4日 07:34 |
| Windows7標準L2TP/IPsecでの接続について |
7 | 37 | 2021年2月20日 09:36 |
| natループバック ヘアピンnat の設定方法を教えてください。 |
2 | 2 | 2020年4月29日 08:14 |
| IPフィルターの設定 |
3 | 2 | 2018年8月9日 15:24 |
| RTX1210 かRTX830の購入に迷い中 |
22 | 10 | 2018年4月18日 13:05 |
- 「質問の絞込み」の未返信、未解決は最新1年、解決済みは全期間のクチコミを表示しています
お気に入りに追加
連続投稿になってしまい申し訳ございません。
前回と違う内容でした為、新たに建てさせて頂きました。宜しくお願いいたします。
【困っているポイント】
PPPOEでVPN接続は出来まして、IPOEで接続しているPCにアクセス出来ず、困っております。
構成は、
HGW
↓
RTX-1210
↓━━━━↓
IPOE PPPOE VPN
↓
PC1 PC2 PC3
と言う環境で、PPPOE側のVPNにアクセスし、IPOEのファイルサーバーに接続したい形です。
【質問内容、その他コメント】
いつも質問ばかりすみません。
御詳しい方には大変頭が下がる思いで一杯です。
この様な環境で出来るのかも不明なのですが、ご教授御願い致します。
0点
『
HGW
↓
RTX-1210
↓━━━━↓
IPOE PPPOE VPN
↓
PC1 PC2 PC3
と言う環境で、PPPOE側のVPNにアクセスし、IPOEのファイルサーバーに接続したい形です。
』
RTX-1210(IPv4 PPPoE接続)のWAN側からLAN側セグメント上のVPNサーバに接続したVPNクライアントのVPN接続後のIPアドレスは、どのようなIPアドレスがDHCPサーバから配布されていますか?
RTX-1210(IPv4 PPPoE接続)のLANポートはどのポートを使用して、セグメントアドレスは、どの様に設定されているのでしょうか?
RTX-1210(IPv6 IPoE接続)のLANポートはどのポートを使用して、、セグメントアドレスは、どの様に設定されているのでしょうか?
RTX-1210(IPv4 PPPoE接続)のLANポートのセグメントアドレスとRTX-1210(IPv6 IPoE接続)のLANポートの静的ルーティングは設定されているのでしょうか?
書込番号:24438571
0点
スミマセン、訂正します。
【誤】
RTX-1210(IPv4 PPPoE接続)のLANポートのセグメントアドレスとRTX-1210(IPv6 IPoE接続)のLANポートの静的ルーティングは設定されているのでしょうか?
【正】
RTX-1210(IPv4 PPPoE接続)のLANポートのセグメントアドレス内の機器は、RTX-1210(IPv4 PPPoE接続)のLANポートのIPアドレスをデフォルトゲートウェイに設定して、RTX-1210(IPv4 PPPoE接続)経由でインターネットに接続します。
RTX-1210(IPv6 IPoE接続)のLANポートのセグメントアドレス内の機器は、RTX-1210(IPv6 IPoE接続)のLANポートのIPアドレスをデフォルトゲートウェイに設定して、RTX-1210(IPv4 PPPoE接続)経由でインターネットに接続します。
従いまして、RTX-1210(IPv4 PPPoE接続)のWAN側からLAN側セグメント上のVPNサーバに接続したVPNクライアントからアクセスできる機器は、RTX-1210(IPv4 PPPoE接続)のLANポートのセグメントアドレス内の機器にアクセスできます。
書込番号:24438611
0点
>極悪蠍さん
>> PPPOEでVPN接続は出来まして、IPOEで接続しているPCにアクセス出来ず、困っております。
LAN構成を同一LANセグメントにすると、解決するかと思います。
DHCPサーバは、出来ればIPoE側だけに設定され、
PPPoE側でIPv6パススルーを行わないようにして下さい。
>> PPPOE側のVPNにアクセスし、IPOEのファイルサーバーに接続したい形です。
ファイルサーバーの出入り口のDGWをPPPoE側に流れるよう設定されると解決するかと思います。
書込番号:24438978
0点
[ 書込番号:24438611 ]追加情報です。
RTX-1210(IPv4 PPPoE接続)とRTX-1210(IPv6 IPoE接続)を併設するインターネット接続環境においては、以下の内容にご留意ください。
RTX-1210(IPv4 PPPoE接続)のLANポートのセグメントアドレス内の機器から以下のURL*1にアクセスするとRTX-1210(IPv4 PPPoE接続)のWAN側IPv4アドレスが表示されます。
RTX-1210(IPv6 IPoE接続)のLANポートのセグメントアドレス内の機器から以下のURL*1にアクセスするとRTX-1210(IPv6 IPoE接続)のWAN側IPv4アドレスが表示されます。
*1: https://www.cman.jp/network/support/go_access.cgi
インターネットからアクセス可能なNASは、RTX-1210(IPv4 PPPoE接続)のLANポートのセグメントアドレス内に接続しますが、このNASにRTX-1210(IPv6 IPoE接続)のLANポートのセグメントアドレス内の機器にアクセスすると、コーディングにも依存しますが、RTX-1210(IPv4 PPPoE接続)のWAN側IPv4アドレスをRTX-1210(IPv6 IPoE接続)のWAN側IPv4アドレスに書き換えししまい、インターネットからNASにアクセスできないなどの障害が発生しますので、ご留意ください。
RTX-1210(IPv6 IPoE接続)のLANポートのセグメントアドレス内の機器にRTX-1210(IPv4 PPPoE接続)のLANポートのセグメントアドレス内の機器からアクセスすると同様の不具合が発生します。
書込番号:24439430
0点
[ 書込番号:24439430 ]内の内容を訂正します。
【誤】
インターネットからアクセス可能なNASは、RTX-1210(IPv4 PPPoE接続)のLANポートのセグメントアドレス内に接続しますが、このNASにRTX-1210(IPv6 IPoE接続)のLANポートのセグメントアドレス内の機器にアクセスすると、コーディングにも依存しますが、RTX-1210(IPv4 PPPoE接続)のWAN側IPv4アドレスをRTX-1210(IPv6 IPoE接続)のWAN側IPv4アドレスに書き換えししまい、インターネットからNASにアクセスできないなどの障害が発生しますので、ご留意ください。
【正】
インターネットからアクセス可能なNASは、RTX-1210(IPv4 PPPoE接続)のLANポートのセグメントアドレス内に接続しますが、このNASにRTX-1210(IPv6 IPoE接続)のLANポートのセグメントアドレス内の機器にアクセスすると、コーディングにも依存しますが、中間サーバ上のRTX-1210(IPv4 PPPoE接続)のWAN側IPv4アドレスをRTX-1210(IPv6 IPoE接続)のWAN側IPv4アドレスに書き換えししまい、インターネットからNASにアクセスできないなどの障害が発生しますので、ご留意ください。
書込番号:24439446
0点
>LsLoverさん
投稿有難う御座いました!
色々不明な点があり調べながらやっておりました所、同一セグメントにすることで解決致しました。
>おかめ@桓武平氏さん
投稿有難う御座いました。
同一セグメントの件、やってみました所、正常に認識するようになりました。
お二方には大変長文で御教授頂き、御手数をおかけし申し訳ございませんでした。
おかげ様で無事解決する事が出来ました。
本当に有難う御座いました。
書込番号:24439856
0点
『
色々不明な点があり調べながらやっておりました所、同一セグメントにすることで解決致しました。
』
解決できたようで何よりです。
繰り返しの投稿となりますが、[ 書込番号:24439446 ]については、十分にご留意ください。
書込番号:24439878
0点
>LsLoverさん
御返信有難う御座います。
承知致しました。有難う御座いました。
また不明な点が発生した場合 調べて分らなかった場合、投稿すると思うので、宜しくお願いいたします。
有難う御座いました
書込番号:24439886
0点
【困っているポイント】
GUI上で、ネットボランチを設定しようとすると、有効なインターフェースが存在しないため、ネットボランチDNSの設定を行うことができません。
と表示され、設定が出来ません。
【使用期間】
昨日購入し今現在設定しております。
【利用環境や状況】
OCNバーチャルコネクトで接続し、LAN2にWANを設定しております。
【質問内容、その他コメント】
毎度色々質問させて頂き、回答者様の方には誠に感謝を致しております。
有効なインターフェイスと言うのの解釈、接続方法が悪いのか。その辺が言葉の内容から分かり難い状態ですので、質問させて頂きました。
何卒宜しくお願いいたします。
0点
『
OCNバーチャルコネクトで接続し、LAN2にWANを設定しております。
』
以下のページで「現在の接続状況を確認」をご確認ください。
IPv4とIPv6が共に[IPoE方式]と表示されていますか?
『
OCN IPv6インターネット接続
現在の接続状況を確認しましょう
:
IPv4が[IPoE方式]・IPv6が[IPoE方式]
』
https://support.ntt.com/personal/purpose/detail/pid2900000jzj
上記のページからは、IPv6[IPoE方式]とIPv4 [PPPoE方式]の併用については、判断できません。
『公式には、[IPoE方式]と[PPPoE方式]の併用は出来ない』との書込みを見た記憶はありますが、「OCNバーチャルコネクトとIPv4 PPPoEを共存させたい」の書込みで併用が出来たようです。
IPv4 PPPoE接続は完了して、「LAN2にWANを設定」グローバルIPアドレスが割り当てられているのでしょうか?
『
OCNバーチャルコネクトとIPv4 PPPoEを共存させたい
』
https://bbs.kakaku.com/bbs/K0001279011/SortID=23950153/
『
GUI上で、ネットボランチを設定しようとすると、有効なインターフェースが存在しないため、ネットボランチDNSの設定を行うことができません。
』
「ネットボランチDNSへの登録:Web GUI設定」については、以下の設定例が記載されています。
「インターフェース」で、「LAN2にWANを設定」を選択できないのでしょうか?
『
(RTX1210 / NVR700W / NVR510 Web GUI設定)
ネットボランチDNSへの登録:Web GUI設定
:
5.ホストアドレスの設定をして、「次へ」をクリックします。
インターフェース:WAN/PP[01] (provider1)
※( ) 内は、プロバイダー情報の設定画面で入力した「設定名」が表示されます。
ホスト名:既設ルーターで使用していたホスト名
』
https://network.yamaha.com/setting/router_firewall/other_operation/netvolantedns_operation/netvolantedns-router_exchage#new_nvr510
書込番号:24419052
0点
追加情報です。
RTX1210のデュアルWANを使用する場合、
1.WAN(ISP1)のインタフェースの設定(LAN2ポートを使用)
2.WAN(ISP2)のインタフェースの設定 pp select 2
pppoe use lan3
として設定するようですので、WAN(ISP1)はLAN2ポートを使用、WAN(ISP2)はLAN3ポートを使用するように設定するようです。
※以下の引用については、本来全文を引用すべきですが、関連する内容に限定しておりますのでご注意ください。
『
2回線の光回線を活用して、100Mbit/sを越える帯域拡張を行いたい
本設定例は、以下の機種に対応しています。
対応機種: RTX1220 RTX1210 RTX1200
ルーターの設定例
#WAN(ISP1)のインタフェースの設定(LAN2ポートを使用)
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname (ISP1に接続するID) (ISP1に接続するパスワード)
ppp lcp mru on 1454
ppp ipcp ipaddress on
ip pp mtu 1454
ip pp nat descriptor 1
pp enable 1
ip route (接続状態監視先A) gateway pp 1 # 注釈2
ip keepalive 1 icmp-echo 3 3 (接続状態監視先A) # 注釈2
#WAN(ISP2)のインタフェースの設定 pp select 2
pp always-on on
pppoe use lan3
pp auth accept pap chap
pp auth myname (ISP2に接続するID) (ISP2に接続するパスワード)
ppp lcp mru on 1454
ppp ipcp ipaddress on
ip pp mtu 1454
ip pp nat descriptor 2
pp enable 2
ip route (接続状態監視先B) gateway pp 2 # 注釈2
ip keepalive 2 icmp-echo 3 3 (接続状態監視先B) # 注釈2
』
https://network.yamaha.com/setting/router_firewall/internet/internet_redundancy/dual_line
書込番号:24419080
0点
>LsLoverさん
御回答誠に有難う御座います。
PPPOEの設定をした所、ネットボランチのGUIで表示が出ました。
OCNバーチャルコネクトで設定してあるLAN2のほうのみでは出来なかったので、OCNバーチャルコネクトでネットボランチを設定するのは無理なのでしょうか?
>上記のページからは、IPv6[IPoE方式]とIPv4 [PPPoE方式]の併用については、判断できません。
『公式には、[IPoE方式]と[PPPoE方式]の併用は出来ない』との書込みを見た記憶はありますが、「OCNバーチャルコネクトとIPv4 PPPoEを共存させたい」の書込みで併用が出来たようです。
との御回答を頂いたので、1つまた知りたい事が出来たので質問致しますが、IPOEのOCNバーチャルコネクト LAN2 と、PPPOE接続のLAN3を1つにし、高速なネットワーク環境を構築する事は可能でしょうか?
宜しくお願いいたします。
書込番号:24419469
1点
『
OCNバーチャルコネクトで設定してあるLAN2のほうのみでは出来なかったので、OCNバーチャルコネクトでネットボランチを設定するのは無理なのでしょうか?
』
ネットボランチDNSは、所謂、Dynamic DNSサービスの「ホストアドレス」と「ネットボランチ電話番号」が取得できます。
「ホストアドレス」の用途としては、クライアント側でWebサーバ、メールサーバ、VPNサーバなどの接続先をホスト名で指定できます。
OCNバーチャルコネクト(IPoE接続)では、使用できるポート番号が制限されるため、OCNバーチャルコネクト(IPoE接続)のWAN側IPアドレスを登録しても、クライアント側で接続できません。
この対応として、利用できるポート番号の制限のないブロードバンドルータ(IPv4 PPPoE接続)を併設して、こちらのWAN側IPアドレスをネットボランチDNSに登録して利用します。
『
ネットボランチDNSサービスとは?
ネットボランチDNSサーバーに、グローバルIPアドレスなどを登録することにより、常に同じホストアドレス(または、ネットボランチ電話番号)で、グローバルIPアドレスの名前解決ができるようになります。
ネットボランチDNSサービスでは、VPN接続などで利用できる「ホストアドレス」と、インターネット電話で利用できる「ネットボランチ電話番号」の2種類を取得できます。それぞれの活用方法は、こちらをご覧ください。
』
https://network.yamaha.com/knowledge/netvolantedns
『
IPOEのOCNバーチャルコネクト LAN2 と、PPPOE接続のLAN3を1つにし、高速なネットワーク環境を構築する事は可能でしょうか?
』
OCNバーチャルコネクト(IPoE接続)とIPv4 PPPoE接続のNATルータを併設して、LAN3インターフェイスをネットボランチDNSへ登録して、ご利用ください。
書込番号:24419501
0点
RTX1210でのIPV4-Over-IPV6(動的IP)側の回線網でのNetvolanteDNSの監視は出来ませんよ。
既存のどうしてもシンプルにリモートアクセスなどの通信とIPV6の帯域の享受を受けたい場合には、
IPV4-Over-IPV6・固定IPサービスのプロバイダ選択下さい。
NetvolanteDNSは不要です。
OCNバーチャルコネクトの月額コスト、PPPOEの月額コストを2本契約しているのであれば、
V6プラス・固定IP、transix-IPV4・固定IPのプロバイダの接続が、RTX1210にて対応しておりますので、
ご確認ください。
※ インターリンク 「ZOOT-NATIVE・固定IP」、月額2,200円 → https://www.interlink.or.jp/service/zootnative/price.html
書込番号:24419879
0点
>LsLoverさん
御回答誠に有難う御座います。
なる程ですね。要するに OCNバーチャルコネクトだと出来ないと言う解釈で宜しいでしょうか?
また、IPOEとPPPOEを1つにまとめるのも 一筋縄ではいかなそうな感じが致しました。
>sorio-2215さん
御回答誠に有難う御座います。
ネットボランチはOCNバーチャルコネクトでは出来ない旨承知致しました。
固定IPを検討してみようと思います。
また、PPPOEと IPOE(OCNバーチャルコネクト)は、フレッツで自動的に二つを同時に使っても大丈夫になったので、フレッツ網のPPPOEとOCNバーチャルコネクト接続を一緒にまとめて1回線として識別させ、高速化出来るのかと気になりました。
無理でしたら仕方ないですが、可能でしたら 再度ご教授頂ければ幸いです。
宜しくお願いいたします。
書込番号:24420092
0点
PPPoEとバーチャルコネクトをデュアルにしても接続の性能向上はされないですが。
PPPoE側の輻輳処理も有りますし、バーチャルコネクトの動的IP側もポート制限があります。
双方のデメリットを解消しました回線が、IPV6系の固定IPサービスになります。
書込番号:24420124 スマートフォンサイトからの書き込み
0点
>sorio-2215さん
>LsLoverさん
御回答頂き誠に有難う御座いました。
問題が解決されましてスッキリ致しました。
また何か有りましたら質問致しますので、よろしくお願いします。
書込番号:24420744 スマートフォンサイトからの書き込み
0点
IPV6固定IPプロバイダーを変更される場合には、既存のOCNバーチャルコネクト側とフレッツV6オプションを切り離し確認をして頂く形になります。
切り離し後のプロバイダー切り替えになります。
書込番号:24421715 スマートフォンサイトからの書き込み
0点
>sorio-2215さん
返信遅くなり申し訳ございません。
御丁寧に有難う御座います。
承知致しました。
有難う御座いました!
書込番号:24428685
0点
RTX1210ではノンサポートとは知りつつ...YMS-VPN8がお高いので、Windows7標準のL2TP/IPsecを使って(レジストリ変更済)運用しているのですが、同じグローバルアドレス配下の端末(win7)を2台以上接続しに行くと、接続ができている1台目のVPN接続が落ちる現象が発生します。再接続を何度かするうちにすべてつながり安定するのですが、原因は何でしょうか。
ログを確認すると
[IKE] SA[*] change state to DEAD
[IKE] delete SA[*]
がでた後
IP Tunnel[*] Down
で落ちています。
ダッシュボードの「VPN接続状態(リモートアクセス)」のインターフェース表示は
6台接続しているのなら、本来TUNNEL[1]〜TUNNEL[6]でつながると思うのですが
実際の例では以下のように歯抜け状態になっています。
(IP TunnelのUP Downを繰り返しているうちに以下の状態で安定。実際の例です。)
TUNNEL[02]
TUNNEL[03]
TUNNEL[05]
TUNNEL[13]
TUNNEL[07]
TUNNEL[01]
理解できる方いましたらご教授頂けないでしょうか。
よろしくお願い致します。
1点
この間に17件の返信があります。
認証方式をchapにすると全くつながらなくなりました...(モバイルはつながります)
Winの設定でしょうか?
その他も確認予定です。
書込番号:18512412
0点
WindowsのL2TP/IPSECの接続設定は、仮想プライベート・ネットワーク接続での設定になります。
Windowsのコントロールパネルから、インターネット・オプション→接続タブ→該当の接続設定のプロパティを開き、ダイアルアップの設定→プロパティから、セキュリティタブ→次のプロトコルを許可するにチェック→チャレンジ ハンドシェイクプロトコル(CHAP)にチェック投入下さい。
書込番号:18513241
0点
チャレンジ ハンドシェイク認証プロトコル(CHAP)(H)へは元々チェックをいれています...
???
他の対策も試してみようと思います。
書込番号:18513288
0点
??chap認証ですと、mschap-v2認証より接続許容幅が広くなりますので、問題が出ない筈ですが・・。
キープアライブ設定は、未投入ですよね?
キープアライブ機能は、WebGUIからの設定ですとheartbeatが優先され、スマートフォンとWindows端末の同時併用が難しくなります。
モバイル端末やスマートフォン等の接続が出来るという事は、L2TPトンネル接続が接続端末のユーザー認証分の接続切り替えがうまくいっていない可能性が有ります。
それと併せて、IPsecのトランスポートモード設定の設定がトンネルルート毎にうまくいっているかどうかも確認下さい。(L2TP/IPSECトンネルのトンネル名称とUDP1701ポート利用の関連付け)
書込番号:18514019
0点
念のため、セキュリティソフト等のL2TPコネクション回りの制限等も確認下さい。
書込番号:18514040
0点
キープアライブ設定について
・ipsecのキープアライブはOFFになっています。
→ ipsec ike keepalive use x off
・CONFIGファイルに「l2tp keepalive use」の記述はありませんでした。
(デフォルトでOFFになっているのですかね...)
・l2tpの設定記述は以下のみ。
「l2tp tunnel disconnect time 300」
IPsecのトランスポートモード設定について
・ipsec transport 1 1 udp 1701 ←すべてのチャンネルが1701で設定されています。
・show status l2tpコマンドで確認すると、接続済みのポートはすべて1701です。
自機側送信元ポート: 1701
相手側送信元ポート: 1701
ちなみにいろいろ試す中で、rtx1210を再起動した後は
すべての接続が安定するまでの時間が早い気がします。
以下現状の設定です。
----------------------------
pp select anonymous
pp bind tunnel1-tunnel20
pp auth request mschap-v2(mschapから戻しました。)
pp auth username * * (以下20チャンネル分ユーザーとパス)
・
・
・
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp remote address pool 192.168.*.*-192.168.*.*(←DHCP範囲外を設定)
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel encapsulation l2tp
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac(esp-aes esp-shaで試す予定)
ipsec ike keepalive use 1 off
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ******
ipsec ike remote address 1 any
l2tp tunnel disconnect time 300 (←デフォルトはOFF、300に変更済)
ip tunnel tcp mss limit auto
tunnel enable 1
---------------------------------------------
状況の再確認ですが、同一グローバルアドレス配下の
クライアントを複数接続しなければ、問題ない状況です。
同一グローバルアドレス配下のクライアント2台目を接続しに行くと
先につながっているクライアントが落ちます。(落ちない時もある)
その後、クライアント2台がそれぞれ再接続を繰り返すうちに両方繋がります。
一度安定すると落ちることはありません。
2台で安定している状況でも、3台目の同グローバルアドレス配下のクライアントを接続しにいくと
3台とも不安定になり(2台の時もあり)、これも再接続を繰り返すうちにすべて繋がります。
書込番号:18516381
0点
うーん、接続トンネル数と接続ユーザー数(ID/Pass)が同一数の接続合致が有れば、問題は発生しない筈なのですが・・。
光電話オフィスアダプタのファームウェアは最新版か確認されましたか?
それと、ip secure filterから始まるポート許容は大丈夫でしょうか?(in / out)
※ UDP4500 UDP1701 esp ah 等
書込番号:18517536
0点
ポート許容の設定は以下となっています。
ip filter 200100 pass * 192.168.x.x udp * 500
ip filter 200101 pass * 192.168.x.x esp * *
ip filter 200102 pass * 192.168.x.x udp * 4500
ip filter 200103 pass * 192.168.x.x udp * 1701
光電話オフィスアダプタのファームウェアは最新でした。
出先も確か最新だったと思います。
(ちょっと自信ないので確認しに行こうと思います。)
ヤマハサイトのYMS-VPN8での接続設定をみると
l2tpキープアライブをonにしているようです。
→ l2tp tunnel disconnect time off
→ l2tp keepalive use on 10 3
→ l2tp keepalive log on
これも試してみるべきですかね...
書込番号:18517669
0点
キープアライブをしてみるのは差支え無いですが、あくまでもYamahaルーターは基準がheartbeatですので、Windowsクライアント側が仮に接続出来る様になったとしても、主なスマートフォン側については、HeartBeat仕様に対応していませんので、切断応答メッセージがルーター側へ流れず、再接続出来ない現象になる点が想定されます。
キープアライブ仕様つきましては、当方利用のNEC・UNIVERGEルーターですと、dpd死活監視機能になっておりますが、NECとYamahaにてdpd死活監視仕様のルーターでは問題が出ておりません。
仮に試す方法としては、dpdキープアライブ等でしょうか。
Yamahaの専用ツールですと、Yamahaルーターに併せて、キープアライブ仕様を仮想的にHeartbeatキープアライブを利用していると想定されます。
Windows標準機能でのL2TPクライアントでは、仮想的にHearbeatキープアライブを実装するのは難しいかと存じますので、他のキープアライブ機能設定を試すぐらいでしょうね。
ただし、当方環境では、Yamaha/NECにおいても、キープアライブ機能の設定しなくても複数併用は問題が出ておりません。
書込番号:18518027
0点
dpd(Dead Peer Detection)死活監視を利用される場合には、WebGUIでは設定出来ませんので、コマンド投入にて、「ipsec ike keepalive use ** on dpd 10 3」等でしょうか。
L2TPトンネル・キープアライブについては、当方の設定では未投入です。
**には、トンネル・エントリNoを任意に合わせてみて下さい。
以下抜粋として・・IPSEC-dpd
その名が示すように、接続相手の死活監視を行う機能です。 従来から IKE Heartbeat という名前で各社ルータではIKEの通信断をリアルタイムに検出する機能を有していましたが、 IKE Heartbeat はRFCにドラフト提案まではされたものの結局標準化されない結果となってしまい、各社ルータメーカが独自に機能を実装するようになってしまいまいした。
この結果、異機種間でIPSecを行った場合、相手のルータ再起動などによる死活が監視できず、それまで使っていたトンネル情報(SA)が生存時間で定義された期間はそのまま残ってしまい、これが残っている間は手動でSAを消すなど消さない限りはIPSecが利用できない状態となってしまいます。 (これが、IPSec中にルータの電源を切ると、再接続に時間がかかる原因)
RFCでは IKE Heartbea に代わり、新たに死活監視の仕組みとして DPD (RFC3706) として標準化して、最近(2012年現在)のルータではこの機能が利用できるようになっています。
したがって、相互接続の観点では DPD を利用する方が問題が少ないといえます。
DPDが利用できない場合には、ICMP(PING)による死活監視をするか、 IKE の生存期間を30分 / IKE-SAの生存期間を10分とかにするような「技」で逃げてください。
書込番号:18519353
0点
ふと気づいたのですが、「pp auth request mschap-v2(mschapから戻しました。)」の文言ですが、当方の伝えた点は「pp auth request mschap」ではなく「pp auth request chap」をお試し下さいという事ですよ。
「pp auth request mschap」にされたから、接続出来なくなったのではないでしょうか?
書込番号:18522794
0点
多少自己責任となりますが、Windowsの汎用L2TPクライアント機能との比較にて、Yamahaルーターとの相互接続の際に、YamahaのYMS-VPN8クライアントの利用ではなく、お試しとなりますが、「Avayaクライアントソフト」・・http://www.media.hiroshima-u.ac.jp/services/hinet/vpn-Newclient-download
上記サイトから、無償にてVPNクライアントツール(Avaya製)がダウンロード出来ますが、同社製のVPNクライアントソフトですと、IPSECクライアント接続機能になっておりますが、IPSECトンネルモードとして接続設定してみては如何でしょうか?
本来の解決案では有りませんが、上記のソフトを利用される場合には、Yamahaの死活監視機能は利用出来ないかと存じますので、YamahaルーターのIPSEC-IKEキープアライブをdpd死活監視モードの設定にしておき、L2TPトンネルではなく、通常のIPSECトンネルでの構築を試されては如何でしょうか?
※ 上記のVPNクライアントソフトの場合、dpd死活監視モードでの許容となっている為。
相互接続安定性が図れる状態でしたら、L2TPトンネルを全てIPSECトンネル設定(dpdキープアライブ有り)へ20トンネル変更すると良いかと存じます。
全ての拠点端末は、VPNクライアントツール(Avaya製)を利用する形になりますが・・。
書込番号:18532609
0点
先ほどのVPNクライアントソフトですが、「http://blog.michaelfmcnamara.com/2013/12/avaya-vpn-client-release-10-06-500-for-windows-8/」
上記のサイトのツールの方が、新規バージョンの様です。(Ver 10.06.500)
書込番号:18532664
0点
クライアントソフトの件、情報ありがとうございます。
ちょっと敷居が高そうですね...
認証方式「chap」で確認し接続できましたが、(設定間違いでした、すいません)
症状は変わらずでした...
書込番号:18538088
0点
VPNクライアントの件(Avayaクライアントソフト)ですが、IPSECクライアントですので、既存のL2TPトンネルの内、スマートフォン分のL2TPトンネルを残し、IPSECトンネルの追加でOKかと存じます。
以下Yamaha設定に追加にて、参考にして下さい。
※ http://jp.yamaha.com/products/network/solution/vpn/vpn_client/software/
IPSECトンネル例
tunnel select 1
ipsec tunnel 101
ipsec sa policy 101 1 esp aes-cbc sha-hmac
ipsec ike duration ipsec-sa 1 3600
ipsec ike duration isakmp-sa 1 3600
ipsec ike encryption 1 aes-cbc
ipsec ike esp-encapsulation 1 off
ipsec ike group 1 modp1024
ipsec ike hash 1 sha
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 off dpd
ipsec ike local address 1 (RTX1210の自身IP)・・192.168.100.1
ipsec ike local id 1 (RTX1210のローカルID名/24)・・192.168.100.0/24等
ipsec ike pre-shared-key 1 text (パスワード)
ipsec ike log 1 key-info message-info payload-info
ipsec ike pfs 1 on
ipsec ike remote address 1 any
tunnel enable 1
上記がIPSECトンネルの例ですが、VPNクライアントが英語表記にて難しいという事であれば、Fortiクライアントでも可能かと存じます。
Fortiクライアントでは、VPNでのフェーズ1にてIKEプロポーサルとDHグループの設定、鍵の有効期間等の設定をして頂ければOKかと。
※Fortiクライアント・・「http://www.scsk.jp/sp/fortinet/forticlient-scsk/」、「http://www.forticlient.com/」
上記であれば、日本語表記・VPNトンネル機能のみの設定であれば、無償です。
書込番号:18538707
0点
暫くコンタクトが無いですが、通常は必要有りませんが、L2TPトンネルのike lifetimeの設定をしてみては如何でしょうか?
ike リキーイング周りでのトラブルも想定されます。
あくまでもスマートフォンやタブレットの機種・搭載OS等での任意対応となりますが・・。
書込番号:18589269
0点
解決しました!
認証鍵(ipsec ike pre-shared-key 1 text "パスワード")について
ipsecチャンネルごとに異なるパスワードを設定することで
各クライアントで使用するチャンネルが固定されて、同じグローバルアドレス配下の
クライアントを複数台接続しても落ちることがなくなりました。
(以前はチャンネルの奪いあい?みたいなことが起きていました。)
RTX1210のWebGUIからの設定(かんたん設定→リモートアクセス→共通設定の変更)
だと、すべてのチャンネルの認証鍵が同じになるので
コマンドでチャンネルごとに認証鍵を変更する必要があります。
VPNクライアントの件(Avaya、Forti)、試してみましたがつながらず...
私の設定に間違いがあるのだと思いますが...
運用していくには、ルーター、クライアントともに設定項目が多く
また、今回の症状が解決するかも不明のため、諦めることにしました。
sorio-2215さん中心にみなさんから、いろいろなアドバイスを頂きありがとうございました。
書込番号:18594078
3点
うーん、通常はIKEリキーイング・キーは、同一でも問題無い筈なのですが・・。
良かったですね。
確かに、Yamaha系のL2TP/IPSECやL2TPv3系の接続機能は、あまり良くない性質が有りますが・・。
IPSECを処理するパケット最適化機能(ファーストパス)もソフトウェア処理ですし、NECや富士通の様に、パケット最適化のUFSキャッシュ機能ですと、CPUをダイレクトにアシストするコントローラーを実装していますが、VPNの機能・信頼性ですと、他社のVPNルーターの方が良い部分も有ります。
Fortiクライアントでの接続には、IKEキープアライブ機能はdpd死活監視が基本ですので、あまり苦慮する設定では無いかと思いますが・・。
書込番号:18595323
0点
私RTX1210で1台目でリモートアクセスはつながるのですが、2台目だとつながらずサポートの方にもいろいろ伺ったのですが解決せず。この投稿で解決する一筋の希望が見えてきました。素人なのでそれ以上のこともわからないのですが、共通キーを変えたら何台でもつながりそうです。大変感謝いたします。1年間悩み続けました。ありがとうございます。
書込番号:23977426
0点
初心者です。教えていただけないでしょうか。
各端末から[固定IP]でサーバーにアクセスしたいです。
現在、外部からでしたら固定IPでサーバーにアクセスできる状態です。
内部からアクセス出来ないので
natループバック、ヘアピンnat と呼ばれる設定をしたいのです。
固定IP
100.100.100.100
ヤマハ RTX 1210 デフォルトゲートウェイ
192.168.1.1
公開サーバーIPアドレス
192.168.1.200
端末
192.168.1.10
192.168.1.11
192.168.1.xxx
192.168.20.10
192.168.20.11
192.168.20.xxx
同一のLANに2セグメント混在しています。
この場合どのようにしたら良いのでしょうか。
よろしくお願いいたします。
1点
YAMAHAルーターは原則として固定IP環境でのヘアピンnatには対応していない。
対策としては固定IPを指定せずに、IPCPで取得すればヘアピンNATが有効になる。
http://www.rtpro.yamaha.co.jp/RT/manual/rt-common/nat/nat_descriptor_address_outer.html
書込番号:23365715
1点
補足ですが、必ずしも固定IP契約でNATループバックを利用出来ないわけでは無いです。
複数のグローバルIP契約の場合では、PPPOEセッション側で取得するグローバルIPとは別に、NAT Outer側のアドレスを別のグローバルIPを設定すれば、NATループバックは可能です。
例
pp select 1
ip pp address 100.100.100.100/32
nat descriptor address outer 100 100.100.100.105
書込番号:23367650
0点
IPフィルターを設定すると、ネットワークの接続が遮断されてしまいます。
私が行った設定は、LAN(イーサーネット)から、特定のアドレス(外部に借りてるサーバー)へ接続できなくする設定(静的送信方向フィルター)です。
これを行うと、ブラウザからまったくアクセスできなくなるので、ルーターを初期化しました。
何が心当たりがある方、回答よろしくお願いします。
0点
>IPフィルターを設定すると、ネットワークの接続が遮断されてしまいます。
>私が行った設定は、LAN(イーサーネット)から、特定のアドレス(外部に借りてるサーバー)へ接続できなくする設定(静的送信方向フィルター)です。
文面からはどのようなconfig設定しているのかよく分からないが…
rejectフィルターの後にpassフィルターを入れていないと最後にdefaultフィルタが適用されて通信不可になる。
http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/ip-packet-filter.html
暗黙のフィルタ・パターン (defaultフィルタ)
フィルタ適用コマンドによって、フィルタが適用されている状態で、 どのフィルタにもマッチしないパケットがあったとき、
暗黙的にdefaultフィルタが適用されます。
defaultフィルタは、すべてのパケットを破棄します。
書込番号:21789853
1点
Yamaha系ルーターのIPセキュア・フィルタのルールは、ファーストマッチですので、フィルタルール1番から、rejectルールの設定を順にしていくと、該当するルール順に実行し、最後のルールまで舐めていきます。
よって、最後のエントリーのフィルタに、passフィルタ設定をしませんと、通信できなくなります。
書込番号:22018813
2点
はじめまして、ネットワーク機器の購入初心者です。
現在、NTTの光回線からNURO biz スタンダードに切り替えるにあたり
ルータや無線APの入替えを考えおります。
利用状況から、RTX830で事足りるならコスト的にRTX830にしたいのですが、
今後、接続台数が増える状況であれば初回からRTX1210を導入するべきでしょうか?
またお勧めの無線APありましたら、そちらも教えて頂けますと幸いです。
現環境 NTT 光回線→ONU→WXR-1900DHP→WEX-1166DHP ×2(1階・2階で1台)
無線LAN接続数 Mac 10台前後 タブレットやiPhone等 10台前後
動画や画像データを扱う量が多い状況
よろしくお願いします。
0点
>またお勧めの無線APありましたら、そちらも教えて頂けますと幸いです。
http://buffalo.jp/product/wireless-lan/pro-ap/wapm-1266r/
書込番号:21729272
4点
> 利用状況から、RTX830で事足りるならコスト的にRTX830にしたいのですが、
> 今後、接続台数が増える状況であれば初回からRTX1210を導入するべきでしょうか?
スペック上は同等のスループットなので、NAT BOX程度の用途ならRTX830でもよろしいかと。
> またお勧めの無線APありましたら、そちらも教えて頂けますと幸いです。
せっかくなので
https://network.yamaha.com/products/wireless_lan/
とか
https://www.yamaha.com/ja/news_release/2018/18040401/
とか。
書込番号:21729723
3点
WAN回線の2回線併用しバックアップ回線運用でもしない限り、RTX1210の導入メリットは薄いかと思います。
双方とも、端末系を接続しました際のNATセッション数から、1回線あたりの性能は変わりません。
他にVPNトンネルを20トンネル以上の設定をしない限り、あまり恩恵は無いかと思います。
総体で20台のクライアント数となると、1台あたり1,000セッションを利用する形でも、20,000セッションしか利用しません。
利用使途が、動画再生や画像データの通信となると、例として、端末1台あたり、Youtubeの再生をすると、平均300〜500セッション消費しますが、台数分乗じて頂ければと思います。
全ての端末が、同時に動画再生したとしても、本機のNATセッション数65,534テーブルを枯渇するまでには至らないかと思います。
仮に至ったとしても、通信セッションが切れた場合の、タイマー切断の設定も可能ですし、最大のテーブル数に制約をかける事も可能です。
※ http://www.rtpro.yamaha.co.jp/RT/docs/nat-descriptor/session-limit.html
↑ Yamahaルーターは、NAT消費し、最大のNATセッション数の残り15%〜10%を切ると、不安定動作するタイプが多く、リミットをかける方法も出来ます。
書込番号:21732023
4点
>利用状況から、RTX830で事足りるならコスト的にRTX830にしたいのですが、
>今後、接続台数が増える状況であれば初回からRTX1210を導入するべきでしょうか?
800Mbps以上のパフォーマンスが期待できる回線の場合、RTX1210は避けた方が無難かな
Nuro bizで検証した時は800Mbps近辺でCPU負荷(90%以上)が異常に高く動作が怪しくなりました…
検証で利用した機器はRTX1210(Rev.14.01.20)
Fortigateの50Eとかを購入したほうが良いと思う。
何を使うにしても購入前に評価機を借りてテストしたほうが良いですよ
書込番号:21732689
6点
補足ですが、UTMまでは不要かと思います。
RTX830若しくは、性能的なアドバンテージを追求するのであれば、NEC 「UNIVERGE IX2106」、「UNIVERGE IX2215」あたりが良いかと思いますが。
NATセッションの同時接続性能、CPU処理をアシストするハードウェア・キャッシュ機能(UFSキャッシュ)を見ると、Yamaha系がファストパス機能がソフトウェア処理で有ることを考えると、20台程度であれば、上記NEC系で良いかと思います。
IX2106もIX2215も、NATセッション処理は、最大で250,000テーブルになってます。
書込番号:21734271
3点
RTX830の方がスループットは高いと思われます。
理由はあとから出ていてCPU(Core)数がRTX1210が1に対してRTX830が2です。
CPUとメモリの一覧 http://www.rtpro.yamaha.co.jp/RT/hardware/cpu.html
も参考になるかと思います。
CPUの使い方はYAMAHAの商品説明会の現場で質問した所、機能単位でどちらを使うかを分けているとの事でした。
機能的にはYAMAHAの販売戦略でRTX830にはなくRTX1210にしかない機能があるようですが、速度や台数という話だけであれば50-100台程度であればRTX830で十分なように思います。
> またお勧めの無線APありましたら、そちらも教えて頂けますと幸いです。
YAMAHA製の無線APをおすすめします。
LANマップ機能もルータと連動して使用できますので、ネットワークの可視化が可能です。
WLX202かまだ出ていませんが、WLX313がおすすめではないでしょうか。
書込番号:21759191
2点
ご意見を頂きました皆様 ありがとうございます!
頂いた内容と製品で最終検討させて頂こうと思います!
書込番号:21760726
0点
埼玉県越谷市民さん
「WLX202かまだ出ていませんが、WLX313がおすすめではないでしょうか。」
↑ WLX202が現行品で、新規発売品がWLX313の間違いですよね?
RTX830 VS IX2106 になるかと思いますが、単純なCPUクロックだけの話では無く、CPUキャッシュ機能がソフトウェア処理と、ハードウェア処理の比較になるかと思います。
※ http://www.rtpro.yamaha.co.jp/RT/docs/fastpath/
※ https://jpn.nec.com/univerge/ix/Spec/sw-spec.html?
VPNなどのトンネルの性能は、実性能としてIX系の方が良い性能が出ます。
IPフィルタなどのルール設定済みのIX系と、フィルタ未設定のRTX系での比較上、CPUロードの占有率やメモリリソースとしては、NECの方が良い性能が出る仕様になってます。
※ http://not-engineer.blogspot.jp/2016/09/ix2215-vs-rtx1210.html
書込番号:21760926
0点
NEC IX系の場合には、本旨的には提携ディーラーより法人名義契約での導入で、ファームウェア・ライセンス許諾及び保守サービスとなりますが、通販などで購入される場合には、NTT-Xストアやぷらっとオンライン様での購入が対応出来るかと存じます。
※ https://nttxstore.jp/_II_E115875670
※ https://online.plathome.co.jp/item/detail/41833432/NEC/UNIVERGE-IX2106/BE117769
↑ NTT-Sストアですと、5年間保証モデルになっています。
書込番号:21760937
0点
無線LAN系については、Arubaネットワークス様やNetgear法人モデルの選択が相性的に良いかと思います。
※ http://www.arubanetworks.com/ja/products/networking/access-points/
※ https://www.netgear.jp/business/ap-wireless/accesspoint
WLX313やWLX202と同等の性能で、自走式管理機能で言うと、Aruba「IAP-207」、1ランク上の製品ですと、「IAP-304」、「IAP-314」になるかと思います。
書込番号:21760957
0点
クチコミ掲示板検索
新着ピックアップリスト
-
【欲しいものリスト】はぁじぃめぇとぇのじさぁくぴぃいしぃ
-
【欲しいものリスト】252
-
【欲しいものリスト】252
-
【欲しいものリスト】あ
-
【欲しいものリスト】25
価格.comマガジン
注目トピックス
(パソコン)
