VPN構築時ローカル機器にデフォルトGWかルーティングテーブルを追加しないといけない？

こんにちは
PPPoE固定GIP－モバイル機器ダイヤル回線間VPNを構築しましたが、
どうもローカルの機器の設定が変えられない制限条件があります。
現在デフォルトゲートウェイが設定されていなく、VPNのもう一方のPCからPingも通りません。
（ローカル機器にデフォルトGWかルーティングテーブルを設定すれば通信可能）
この状態ってそもそもVPN構築して通信を可能にするにはどうすれば良いでしょうか？

具体的にはヤマハRTX1200を使って設定していますので、設定を貼っておきます。
Aサイトルータ：
ip route default gateway pp 1
ip route 192.168.2.0/24 gateway tunnel 1
ip lan1 address 192.168.3.1/24
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname user passwd
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp address aaa.aaa.aaa.aaa/32
ip pp mtu 1454
pp enable 1
tunnel select 1
ipsec tunnel 101
ipsec sa policy 101 1 esp des-cbc md5-hmac
ipsec ike pre-shared-key 1 text secret
ipsec ike remote address 1 any
ipsec ike remote name 1 TEST
tunnel enable 1
nat descriptor log on
ipsec auto refresh on
dns server pp 1
dns private address spoof on

Bサイトルータ：
ip route default gateway pp 1
ip route 192.168.3.0/24 gateway tunnel 1
ip lan1 address 192.168.2.254/24
pp select 1
pp bind usb1
pp auth accept pap chap
pp auth myname test test
ppp lcp mru off 1792
ppp lcp accm on
ppp lcp pfc on
ppp lcp acfc on
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ipv6cp use off
ip pp nat descriptor 1
mobile auto connect on
mobile disconnect time off
mobile disconnect input time off
mobile disconnect output time off
mobile access-point name mopera.flat.foma.ne.jp cid=5
mobile access limit duration off
mobile access limit length off
mobile access limit time off
mobile display caller id off
pp enable 1
tunnel select 1
ipsec tunnel 101
ipsec sa policy 101 1 esp des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.2.254
ipsec ike local name 1 TEST key-id
ipsec ike pre-shared-key 1 text secret
ipsec ike remote address 1 aaa.aaa.aaa.aaa
tunnel enable 1
nat descriptor log on
nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.2.254 udp 500
nat descriptor masquerade static 1 2 192.168.2.254 esp
nat descriptor masquerade static 1 3 192.168.2.254 tcp 500
ipsec auto refresh on
dns server pp 1
usbhost modem flow control usb1 off
mobile use usb1 on

詳しい方がいましたら、ぜひご教示ください。
すごく困っています；

No.3 ベストアンサー 回答者： koi1234 回答日時： 2009/09/14 18:25

>PC2にGWが設定されていませんので、ルータB経由してPC1へのルートがないと思われます。

PC2のipconfigでデフォルトゲートウェイが空欄ってことでしょうか？
確信はありませんが
dns notice order dhcp me
dns notice order msext me
あたりかもしれませんね（確かこのあたりでDNSのIPなどが変っていた気がします）
http://oshiete1.goo.ne.jp/qa5105479.html
にUpしたconfigと比較した方が早いかもしれません

他に気がついた点では　nat descriptor address outer 設定

私のところではデフォルトゲートウェイ・DNSサーバ共に
ルータのIPが設定されています
PCはVista以外のWindows機が存在していてPC側は自動取得となっています
特にPC側単独でIPなどの変更は行っていません
各LAN内のPC間でVNCなども使っています（VPN間でも出来ています）

とこの文書修正しながら気がつきましたがDHCPサーバ何処で動かしてるんでしょうか？
RTXでやってないなら（やってるように見えませんが）
そちらの設定の問題ではないですか？

この回答への補足

ご回答ありがとうございます。
DHCP使用していなく、固定のローカルIPを使用しています。
nat descriptor address outer 設定なにが必要でしょうか
いろいろ試してみます＾＾；

補足日時：2009/09/15 08:53

No.4 回答者： koi1234 回答日時： 2009/09/15 10:26

>DHCP使用していなく、固定のローカルIPを使用しています。

PCで直接IP固定に設定していてデフォルトゲートウェイの
設定してないのであればルータの設定
以前の問題ではないでしょうか？

根本的にネット接続も出来ないのではないですか？

この回答へのお礼

やはりそうでしたね；
ローカルネットワーク（192.168.2.0/24）同士では通信できるので、
それを使っています。

いろいろありがとうございます。＾＾

お礼日時：2009/09/15 11:01

No.2 回答者： koi1234 回答日時： 2009/09/14 17:25

>実際PingではなくTelnetで向こうのルータの下の機器に入りたいですが、Telnetもだめでした。

向こうの機器にデフォルトGWを追加したらできましたが、本番では向こうの機器のネットワーク設定はいじれません；
>フィルタは設定していません。

ppにIPsec通過のフィルタとかなくて通りましたっけ？
ちょっとはっきりと覚えていなくてテストも出来ませんが
YAMAHAルータはデフォルトでパケット廃棄だったのではないかと記憶しています
その場合トンネル宛のパケットを全通過させる必要があるのではないかと思います

これも双方で行わないと無理なので相手側機器をいじくれない
というのが何一つConfig設定を変えられないということであれば
NGですが（管理的に替えるのが許されない的な話なのかアクセスできない為変えられないって意味なのかがわかりませんが）

感知的な話なのであれば相手側ルータ管理者にやってもらわないとどうしようもないです

例）トンネル通信全通過
ip tunnel secure filter in 4000
ip tunnel secure filter out 4000
ip tunnel intrusion detection in on
ip tunnel intrusion detection out on
ip filter 4000 pass-log * * （passだけでOK）

過去に私が使ってるルータ設定Upしたことがあります
参考になれば見てください
http://oshiete1.goo.ne.jp/qa5105479.html

双方ほぼ同等の設定でお互いのLAN内PCから相手側機器（ルータ）
Configの書き換え・確認（Telnet/TFtp) やファイル共有は出来ています
（当然ローカルIPアドレス指定）

フィルタ設定などで通過パケット・破棄パケットをsyslogで
モニタすれば何が原因かわかりやすいかと思います
（syslog用のコンフィグ追加しないといけないけど）

この回答へのお礼

ありがとうございます。
さきほどのPROXYARPをONにしても通信できませんでした。

説明が下手で申し訳ありません。
いじれないのは相手のルータではなくその下にあるPCの設定です。
イメージとしては
PC1－ルータA＝＝＝＝ルータB－PC２（GW設定なし、いじれないPC）
です。
PC1からPC2への通信ができませんでした。
PC2にGWが設定されていませんので、ルータB経由してPC1へのルートがないと思われます。

ルータの設定でフィルタなしに向こう側のクライアントPCでルーティングを追加すれば一応通信できました。。

ご指摘した内容で明日AMまた試したいと思います。
よろしくお願いします。

お礼日時：2009/09/14 17:35

No.1 回答者： koi1234 回答日時： 2009/09/14 16:54

問題としてる内容が良く把握できないのですが

VPN先にPingが通らないのは
双方のルータで
ip lan1 proxyarp on
追加すればいけると思います
（フィルタがないので全Config書いてるとは思えなませんがその設定がなければお試しください）

現状でもPingが通過してないだけでVPN接続できているのであれば
通信は出来ていると思うのですが何が出来ないのでしょうか？

此方RTX1000同士のグローバルIP ルータ間IPSecなので
ちょっと状況が違うのかもしれませんが
見た限りルータ間IPSecのように見えるので書いてみました

この回答への補足

さっそくのご回答ありがとうございます。
ip lan1 proxyarp onに関しては試してあとで試してみます＾＾
実際PingではなくTelnetで向こうのルータの下の機器に入りたいですが、Telnetもだめでした。向こうの機器にデフォルトGWを追加したらできましたが、本番では向こうの機器のネットワーク設定はいじれません；

フィルタは設定していません。
以上はテスト環境の全ての設定です。

NATでなにができそうが気がしないでもないですが・・・

補足日時：2009/09/14 16:57