『IPsecによるVPN接続エラーについて』のクチコミ掲示板

[もぐえもん]

初めまして、皆さんから情報を収集できればと思い記載しております。
もし、似たような方がいましたら参考までに環境などの情報をいただけないでしょうか。


AX6000ルーターを経由したIPsecVPNがエラーとなり困っています。
他のwifiルーター（Aterm　WG1800HP）に交換すると、接続可能となるためAX6000側の問題と疑っている状況です。
AX6000のファームは（1.1.1 Build 20200714 rel.18254）です。

機器の構成は、
ONU-AtermWG2600HP3(Transix）-AX6000または、Aterm　WG1800HP（どちらもルーターモード）です。

AtermWG2600HP3−AX6000またはWG1800HPの間と、端末との間はNWセグメントを分けています。

AX6000側のALGの設定基本すべて有効としており、VPNパススルー関係の設定は有効となっています。
なお、AX6000がTrasixに正式対応していないため上記構成としています。

補足ですがONUにAX6000を直接接続し、IPv6パススルーとすることでWAN側への通信ができていることを確認しています。
スペックシートではTransix非対応と記載されていますが、実際は動いてるのが不思議です。


・AX6000側の設定変更に関しては、事情によりすぐに変えることができないのですが
気になるところとして、SPIファイヤーウォールを無効にする、HOMECAREをすべて無効にしてどうなるかと思っています。

・Win10側のwifi設定で、FWのプロファイルはパブリックを指定しています。

今のところ上記項目程度しか変更の案がないのですが、皆様で似たような事象が起きたかたがいればと思い情報収集したい次第です。

書込番号：23633203

[LsLover]

『機器の構成は、
　ONU-AtermWG2600HP3(Transix）-AX6000または、Aterm　WG1800HP（どちらもルーターモード）です。』

AtermWG2600HP3(Transix)でInternetに接続している場合、IPv4側グローバルIPアドレスを複数ユーザで共有しているため、利用できるポート番号は、制限されています。

ご利用のISPで、PPPoE（IPv4）接続も利用可能でしたら、WG2600HP3側でPPPoEパスルーを有効に設定して、AX6000側でPPPoE（IPv4）接続設定をしてください。

『AtermWG2600HP3−AX6000またはWG1800HPの間と、端末との間はNWセグメントを分けています。』

AX6000とWG1800HPを常時接続のネットワークをご検討でしょうか?

それともWG1800HPをAX6000に移行するネットワークをご検討なのでしょうか?
VPN（L2TP/IPSec）サーバは、WG1800HP内のサーバからAX6000内のサーバ移行するということでしょうか?

『他のwifiルーター（Aterm　WG1800HP）に交換すると、接続可能となるためAX6000側の問題と疑っている状況です。』

WG1800HP側でPPPoE（IPv4）接続設定をしていませんか?

書込番号：23633259

[Excel]

ご質問のお答えでないことは、ゴメンナサイなんっすけど・・・、

>AtermWG2600HP3−AX6000またはWG1800HPの間と、端末との間はNWセグメントを分けています。

ってことならばっすね、いっそのこと、「ONUからハブ分け」して使うっちゅー方法は、ナシでしょうか。(・・?

書込番号：23633300

[LsLover]

『AX6000ルーターを経由したIPsecVPNがエラーとなり困っています。』

AX6000のVPNサーバは、OpenVPNとPPTPにのみ対応しているようです。WG1800HPは、VPNサーバを搭載していないようです。
VPN（L2TP/IPSec）サーバは、自宅外のサーバに接続して、ご自宅のWG1800HPのLAN側機器からVPNクライアントソフトを使って接続できるが、AX6000のLAN側機器からVPNクライアントソフトを使って接続できないというご質問なのでしょうか?

VPN Server
It contains the following sections, please choose the appropriate VPN server
connection type as needed.
• Use OpenVPN to Access Your Home Network
• Use PPTP VPN to Access Your Home Network
https://static.tp-link.com/2020/202001/20200119/1910012697_Archer%20AX6000%201.0_UG_REV1.1.0.pdf

書込番号：23633347

[もぐえもん]

皆様申し訳ございません、出先の為環境だけ補足致します。
それぞれのコメントは落ち着きましたら返信致します。


・VPNは、ソフトウェアVPNで宅内から別のVPNサーバにアクセスして利用をします。
つまり、AX6000の配下につながるPC（1台）からIPsecVPNで外部のVPNサーバーにつないで利用しようとしています。
AX6000経由ではまったくつながらず、Aterm経由では問題が起きないためみなさんどうされてるのかと思ったところです。

書込番号：23633351

[LsLover]

『・VPNは、ソフトウェアVPNで宅内から別のVPNサーバにアクセスして利用をします。』

という条件でしたら、

『AtermWG2600HP3−AX6000またはWG1800HPの間と、端末との間はNWセグメントを分けています。』

「AX6000またはWG1800HPの間と、端末との間はNWセグメントを分けています。」の理由は?

WG2600HP3のLAN側端子はスイッチングハブですので、セグメント分けはできません。
WG2600HP3のLAN側で、「「AX6000またはWG1800HPの間」をNWセグメント分けしているのでしたら、VLANを形成するためのL3スイッチが必要ですが、型名を投稿してください。

ご自宅のネットワーク構成は以下のような構成なのでしょうか?

　　　｜
　　　｜
　[WG2600HP3]（Transix）
　　　｜
　　　｜192.168.a.0/24
　　　｜　　　　　192.168.c.0/24　　
　[L3スイッチ]−−−−−−−−−−−−[WG1800HP]
　　　｜
　　　｜192.168.b.0/24
　　　｜
　[AX6000]

書込番号：23633383

[LsLover]

WG2600HP3のLAN側端子はスイッチングハブですので、セグメント分けしない場合には、L3スイッチは不要です。

WG2600HP3のLAN側をセグメント分けしない場合、ご自宅のネットワーク構成は以下のような構成なのでしょうか?
ネットワークアドレス192.168.a.0/24などは、便宜的に記載しましたので、実際のネットワークアドレスとは異なります。

　　　 　｜
　　　　 ｜
　[WG2600HP3]（Transix）
　　 　　｜
−−−＋−＋−−−−−−＋−192.168.a.0/24
　　 　　　　　｜．ｎ　　　　　　　｜．ｍ
　　　　［ＡＸ６０００］　［ＷＧ１８００ＨＰ］
　　 　　　　　｜　　　　　　　　　｜
　　　192.168.c.0/24　　　　　192.168.d.0/24

AX6000のWAN側IPアドレス192.168.a.n
WG1800HPのWAN側IPアドレス192.168.a.m

WG2600HP3の静的ルーティングで以下の設定は、完了していますか?
宛先アドレス：192.168.c.0/24　ゲートウェイ：AX6000のWAN側IPアドレス192.168.a.n
宛先アドレス：192.168.d.0/24　ゲートウェイ：WG1800HPのWAN側IPアドレス192.168.a.m

書込番号：23633435

[もぐえもん]

皆様

すみません、予想外にコメントが多く返信しきれなくなっているため、大事そうな部分をかいつまんで記載いたしました。
質問しておいて大変申し訳ございません。こんなにコメントいただけると思っておらずびっくりしています…


　　　 　｜
　　　　 ｜
　[WG2600HP3]（Transix）　192.168.1.1（DHCP無効）
　　 　　｜
−−−＋−＋−−−−−−＋−192.168.1.1/24(static)
　　 　　　　　｜.2　　　　　　　｜.3
　　　　［ＡＸ６０００］　［ＷＧ１８００ＨＰ］
　　 　　　　　｜　　　　　　　　｜
　　　192.168.2.1/24　　　　192.168.3.1/24
　（DHCP有効.1のみ除外)　　（DHCP有効.1のみ除外)

WG2600HP3のWAN側IPアドレス192.168.1.1（static）
AX6000のWAN側IPアドレス192.168.1.2（static）
WG1800HPのWAN側IPアドレス192.168.1.3（static）

IPアドレスは仮で記載いたしました。
上記のような構成となっております。
すべてルーターモードで、間にL3SWはありません。
AX6000、WG1800のルーターでDHCPは有効としていますが、SSIDが違うため、DHCPによる応答は
直近のルーターが払い出す仕組みになっています。
また、AX6000とWG1800間にはルーティング情報がないのでお互いのLAN側端末同士は通信ができません。

ご質問いただいている点ですが

上記の状況で、AX6000側からIPsecVPNが接続できません。
そもそもネゴシエーションしていないように見えます。
WG1800側からはVPN接続可能です。

なお、AX6000、WG1800をそれぞれ1台だけにしても同様の症状です。

・セグメントを分けている理由について
仕事用とゲスト用でNWセグメントを分けています。（接続するSSIDと払い出すIPを分けています。）
AX6000のゲスト機能ではLAN側の通信等において制限も多くゲストにも自由に通信させることが
できないので利用しておりませんでした。
また、今回の構成ではVLANは利用していません。

・PPPoEの利用について
回線速度が著しく低下するため、PPPoEでの利用はそもそもで検討をしていませんでした。
そのため未記載でおりました。申し訳ありません。


切り分けの為、ということであればできそうですがそもそもTransixで契約しているので
ISPのIDとPASSがすぐには用意ができません…

こうして書いてみると出来ないことばかりなので、問題切り分けをする気があるのかと怒られそうです…
別のVPNサーバへの接続ではどうなるかといったことも戻ったら確認してみようと思います。

書込番号：23633510

[LsLover]

Archer　C7について、User Guideを確認しましたが、「特殊なNAT （ALGとパススルー設定） の無効化」のページとでは設定項目が異なるようです。

User Guide
（P74）
ALG - It is recommended to enable Application Layer Gateway (ALG) because ALG allows
customized Network Address Translation (NAT) traversal filters to be plugged into the
gateway to support address and port translation for certain application layer "control/data"
protocols such as FTP, TFTP, H323 etc.
https://static.tp-link.com/res/down/doc/Archer_C7(US)_V_2.0_UG.pdf

特殊なNAT （ALGとパススルー設定） の無効化
https://netlog.jpn.org/r271-635/2019/05/tp-link_ac1750_archer_c7_v5.html

当方で所有しているTL-ER6120のUser Guideには、以下の記載があります。
実際のTL-ER6120の設定画面は、同一の設定項目が表示されれいます。

User Guide
2.6 Configuring the ALG（P70）
Choose the menu Transmission > NAT > ALG to load the following page.
「レ」FTP ALG
「レ」H.323 ALG
「レ」PPTP ALG
「レ」SLIP ALG
「レ」IPSec ALG

1 VPN
1.2 Supported Features（P130）
PPTP
L2TP
IPSec
https://static.tp-link.com/2018/201810/20181031/1910012491_TL-ER6120ER5120ER6020_UG.pdf

『AX6000側のALGの設定基本すべて有効としており、VPNパススルー関係の設定は有効となっています。』

Archer AX6000では、OpenVPN,PPTP VPNに対応しているようですがL2TP/IPSec VPNには対応していないようです。
また、ALGに関する設定については、User Guideを「ALG」で検索しましたが、ヒットしませんでした。
AX6000側の設定画面の画像をアップロードして頂けませんか?

User Guide
Archer AX6000
Chapter 11
VPN Server
• Use OpenVPN to Access Your Home Network
• Use PPTP VPN to Access Your Home Network
https://static.tp-link.com/2020/202001/20200119/1910012697_Archer%20AX6000%201.0_UG_REV1.1.0.pdf

『・PPPoEの利用について
　回線速度が著しく低下するため、PPPoEでの利用はそもそもで検討をしていませんでした。』

これは、自宅側のVPNサーバを外部からVPNクライアントで接続するケースでの対応方法ですので、無視してください。

書込番号：23633804

[LsLover]

VPNクライアント側のルータのIPsecパススルーの設定は、以下の設定が必要のようです。

IPsecパススルー : コマンド設定 + RTX810 Web GUI設定
拠点 RTX810の設定例
IPsecパススルーの設定
5.プロトコルに「UDP」を選択し、ポートに「500」を入力します。使用ホストIPアドレスにVPNクライアントのIPアドレス「192.168.100.200」を入力して、「設定の確定」をクリックします。
8.プロトコルに「ESP」を選択します。使用ホストIPアドレスにVPNクライアントのIPアドレス「192.168.100.200」を入力して、「設定の確定」をクリックします。
https://network.yamaha.com/setting/router_firewall/vpn/connect/ipsec_pass_through-rtx810#rt2

書込番号：23633844

[もぐえもん]

皆様

すみません現在急な体調悪化で入院しております。戻りましたら、またご連絡いたします。申し訳ありません…

書込番号：23638819　スマートフォンサイトからの書き込み

[LsLover]

『現在急な体調悪化で入院しております。』

それは大変ですね。先ずは、体調回復に専念してください。

書込番号：23638973

[もぐえもん]

申し訳ございません、多少復活致しました。

VPNパススルーの設定画面をキャプチャしました。

また、その後の経過ですが結果的には本体交換ということで話が進んでおります。
交換で話が進んでるのでもしかしたらそのまま治るかもしれません・・・

ですので、これ以上は調査も負担にもなってしまうかと思いますので一度クローズさせていただければと思います。

たくさんのコメントなどいただき、いろいろと手は尽くしたとは思いますが
いろいろと情報などもあり進んだのかなと思っております。

皆様ありがとうございました。

書込番号：23653638

[LsLover]

体調は、回復されたのでしょうか?　無理はなさらず、お大事に。

『VPNパススルーの設定画面をキャプチャしました。』

ALGの設定（[L2TP パススルーを有効にする]と[IPSec パススルーを有効する]共に[有効]）に設定されているようです。
この状態で外部のVPN（L2TP/IPSec）サーバにVPNクライアントから接続できない状態なのでしょうか?

『また、その後の経過ですが結果的には本体交換ということで話が進んでおります。
　交換で話が進んでるのでもしかしたらそのまま治るかもしれません・・・』

外部のVPN（L2TP/IPSec）サーバに接続するには、交換する必要があるということなのでしょうか?

書込番号：23653807