RTX1100にてPPTPの接続が不安定（＋他も）

お世話になります

rtx1100を使用してVPNを構築しようとしており接続はpptpとip-secの両方を考えております
環境としましては以下のようになっております

動的IP（DDNS使用/PPPoE）
　｜
（lan2)
rtx1100
(lan1 - 192.168.1.1/24)
　｜
社内LAN - 192.168.1.10-30/24

VPNクライアント 192.168.1.50-55

色々なサイトを参考にさせて頂き一通り作業が終わりましたので外部からテスト接続をしたのですが
VPN自体ip-secでは弾かれてしまいましたがpptpでは接続が出来ました
その際、vpnクライアントはipアドレスは指定範囲でもらえていましたが
サブネットは社内ＬＡＮと同じ255.255.255.0ではなく255.255.255.255でした

ただ、pptpで接続されてもrtx1100まではpingもロスなしで繋がっているのですが
社内ＬＡＮへのアクセスが不安定であり
ＶＰＮクライアントのwindowsからのpingも全部ロスだったり、全部返ってきたり
1回だけ返ってきたりとまったく安定しません
無事社内ＬＡＮの共有フォルダにアクセスできていても不安定だからなのか
通信速度も遅く、ファイルを開いたりするのに時間がかかってしまいます

色々試してもみたのですが、全くわからず困り果ててしまいました
お手数とは思いますが、ぜひご教授お願い致します

また、以下に現状の問題点や当方がはまってしまっている内容も記載致します

・pptpが不安定（通信速度も遅い）
・ip-secが繋がらない
・vpnクライアントのサブネッが255.255.255.0ではなく255.255.255.255になってしまっている
・wan側のpingに反応しないようにしたい
・wan側の全ポートをステルスにしたい
・pptpのポートは動的フィルタで動作するのか？



login password *
administrator password *
login user user *
timezone +09:00
console prompt [RTX]
login timer 1800
ip route default gateway pp 1
ip filter source-route on
ip filter directed-broadcast on
ip lan1 address 192.168.1.1/24
ip lan1 proxyarp on
pp select 1
pppoe use lan2
pppoe auto connect on
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname user pass
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
ip pp nat descriptor 1
pp enable 1
pp enable 2
pp select anonymous
pp bind tunnel1-tunnel4
pp auth request mschap-v2
pp auth username user1 pass1
pp auth username user1 pass1
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type mppe-any
ip pp remote address pool 192.168.1.50-192.168.1.55
ip pp mtu 1258
pptp service type server
pp enable anonymous
tunnel select 1
tunnel encapsulation l2tp
ipsec tunnel 101
ipsec sa policy 101 1 esp aes-cbc sha-hmac
ipsec ike keepalive use 1 off
ipsec ike local address 1 192.168.1.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text string
ipsec ike remote address 1 any
l2tp tunnel disconnect time off
l2tp keepalive use on 10 3
l2tp keepalive log on
l2tp syslog on
ip tunnel tcp mss limit auto
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 102
ipsec sa policy 102 2 esp aes-cbc sha-hmac
ipsec ike keepalive use 2 off
ipsec ike local address 2 192.168.1.1
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text string
ipsec ike remote address 2 any
l2tp tunnel disconnect time off
l2tp keepalive use on 10 3
l2tp keepalive log on
l2tp syslog on
ip tunnel tcp mss limit auto
tunnel enable 2
tunnel select 3
tunnel encapsulation pptp
pptp tunnel disconnect time off
pptp keepalive use on
ip tunnel tcp mss limit auto
tunnel enable 3
tunnel select 4
tunnel encapsulation pptp
pptp tunnel disconnect time off
pptp keepalive use on
ip tunnel tcp mss limit auto
tunnel enable 4
ip filter 1 pass * 192.168.1.1 gre * *
ip filter 2 pass * 192.168.1.1 tcp * 1723
ip filter 3 pass * 192.168.1.1 esp * *
ip filter 4 pass * 192.168.1.1 udp * 500
ip filter 5 pass * 192.168.1.1 udp * 1701
ip filter 6 pass * 192.168.1.1 udp * 4500
ip filter 8 reject * * icmp-info * *
nat descriptor type 1 masquerade
nat descriptor address outer 1 ipcp
nat descriptor address inner 1 auto
nat descriptor masquerade static 1 3 192.168.1.1 esp
nat descriptor masquerade static 1 4 192.168.1.1 udp 500
nat descriptor masquerade static 1 5 192.168.1.1 udp 4500
nat descriptor masquerade static 1 6 192.168.1.1 gre
nat descriptor masquerade static 1 7 192.168.1.1 tcp 1723
ipsec auto refresh on
ipsec transport 1 101 udp 1701
ipsec transport 2 102 udp 1701
syslog host 192.168.1.10
syslog notice on
syslog debug on
tftp host none
telnetd service off
dhcp service server
dhcp scope 1 192.168.1.10-192.168.1.30/24
dns server pp 1
dns private address spoof on
pptp service on
l2tp service on
httpd host 192.168.1.1-192.168.1.254
sshd service on
sshd host 192.168.1.1-192.168.1.254
sshd host key generate *

No.9 回答者： hirasaku 回答日時： 2013/02/14 14:24

こんにちは。

hirasaku です。

すみません。NAT-Traversal なんで、ESP通す必要ないですね。
自宅ルータはudp 4500 と udp 500 を通せばOKです。

それと、フィルタですけど、今はすべてのインターフェースの
ip I/F secure filter は、はずしたほうがいいと思います。（in も out も）

最終的にLAN側インターフェースでアクセス制御するのであれば
フィルタ設定が必要と思われますけど、制御しないのであれば必要ないです。
WAN側からルータに入ってくるアクセス制御は必要です。
この場合、PPインターフェースにフィルタを適用したほうがいいと思います。
（NAT Descriptorを設定してあるのはPPインターフェースですよね）
なので、pp select で pp インターフェースモードにして
ip pp secure filter in でWAN側から入ってくるフィルタ
ip pp secure filter out でLAN側から出て行くフィルタを設定したほうが
わかりやすいのでは。
（まぁ好みの部分もありますが・・・）

それでは、がんばってください。

No.8 回答者： hirasaku 回答日時： 2013/02/14 11:58

こんんにちは。

hirasaku です。

う～ん。長期戦になりそうですね。

スマホですが、キャリアはdocomoでしょうか？
docomoだとPPTPは使えませんね。諦めましょう。

ということで、L2TP/IPSecでがんばりましょう。
また、確認ですが、スマホのテザルングでは大丈夫かと思いますが、
自宅のルータですが、TCP,UDPのポート転送ではなく、
ESPプロトコルをLAN側にパススルーできますか？
もし、ESPをパススルーできないルータだとL2TPもできませんね。
確認していただけますか？

では、Configですが、まず、余計な部分を（PPTPの設定など）を
はずしてきれいにしましょう。
コマンドの前に no をつければだいたいはずれます。

L2TPでPPP認証させる設定で、とりあえずトンネルは１つだけで
pp select anonymous
pp bind tunnel1
pp auth request mschap-v2
pp auth username user01 password
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type mppe-128
ip pp remote address pool 192.168.1.50-192.168.1.55
ip pp mtu 1258
ip pp tcp mss limit auto
pp enable anonymous

トンネルインターフェースとIKEフェーズの設定
tunnel select 1
tunnel encapsulation l2tp
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc sha-hmac
ipsec ike keepalive use 1 off
ipsec ike local address 1 192.168.1.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key text HIMITSU
ipsec ike remote address 1 any
l2tp tunnel disconnect time off
l2tp keepalive use on 10 3
ip tunnel tcp mss limit auto
tunnel enable 1

NATの設定
nat descriptor masquerade static 1 1 192.168.1.1 udp 4500
nat descriptor masquerade static 1 2 192.168.1.1 udp 500
nat descriptor masquerade static 1 3 192.168.1.1 esp

IPSecとL2TPの有効化
ipsec auto refresh on
ipsec transport 1 1 udp 1701
l2tp service on

ちなみにLANインターフェースにフィルタをかけていたらはずす
no ip lan1 secure filter in/out

でどうでしょう。

No.7 回答者： hirasaku 回答日時： 2013/02/12 17:33

こんにちは。

hirasaku です。

ちょっと失礼かもしれませんが、確認で。
VPNクライアントがいるIPセグメントは
192.168.1.0/24
なんて落ちはないですよね？

すみません。

この回答への補足

お世話になっております

VPNクライアントは確認の為
・会社ではノートPCからスマホを使ったデザリング(192.168.42.0/24)※確認時のものです
・自宅からはルータ配下（192.168.100.0/24）のノートPC（上記のと同じもの）
　と同じくルータ配下のデスクトップPC
　デスクトップPCには、ご教授頂いた
　Nat-traveral用のwindows7におけるレジストリ設定
　　⇒[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\PolicyAgent]
　　　"AssumeUDPEncapsulationContextOnSendRule "=dword:00000001

　　　1：クライアント、サーバーの片方がルータ配下
　　　2：クライアント、サーバーの両方がルータ配下

　　との事でしたので現状サーバー側のRTX1100はONU直下にありますので
　　当方の環境では「1」にしてみました
　　（「2」も試したのですが、エラーが変わらなかったのでそのまま「1」にしてあります）

にて状況をみておりますが、状況が変わらずです・・・

L2TP-VPNでも別途補足に記載しましたが
接続後、すぐに再度接続画面がでるなどしてしまいました

問題だらけで申し訳ありませんが、宜しくお願い致します

補足日時：2013/02/13 17:58

No.6 回答者： nnori7142 回答日時： 2013/02/10 20:01

　追加補足確認しました。

連絡遅れすいません。ＰＰＴＰサービスの接続切れの件ですが、ＰＰＴＰ-ＶＰＮの制限として、1Ｍｂｐｓの転送速度制限があります。あまりお勧めしにくい部分があります。
　Ｌ2ＴＰ-ＶＰＮのコマンド設定を確認しましたが、Ｎａｔ-ｔｒａｖｅｒｓａｌ設定追加設定（nat descriptor masquerade static 1 8 192.168.1.1 udp 1701）等の追加も必要かと存じます。
　ＮＡＳの接続形態として、Ｌ2ＴＰ-ＶＰＮでの接続のみにしてみては如何でしょうか？固定ＩＰお持ちでしたら、ＩＰＳＥＣ-ＶＰＮ（any接続モード有）での併用構築をお勧めします。
　

この回答への補足

お世話になっております

PPTP-VPNは転送速度制限があったのですね・・・
ご教授頂いた内容を元にL2TP-VPNにて接続してみました

　・nat descriptor masquerade static 1 8 192.168.1.1 udp 1701
　・Nat-traveral用のwindows7におけるレジストリ設定
　　⇒[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\PolicyAgent]
　　　"AssumeUDPEncapsulationContextOnSendRule "=dword:00000001

　　1：クライアント、サーバーの片方がルータ配下
　　2：クライアント、サーバーの両方がルータ配下

　　との事でしたので現状サーバー側のRTX1100はONU直下にありますので
　　当方の環境では「1」にしてみました
　　（「2」も試したのですが、後述するエラーが変わらなかったのでそのまま「1」にしてあります）


VPNクライアント（windows7）からL2TP-VPN接続後なのですが
VPNクライアント側のローカル接続（タスクトレイのアイコン）に黄色い三角マークがつき
内容を見てみると、「接続がありません」となり
「～へ接続」のユーザー名、パスワードを求められるVPNの接続画面に戻ってしまい
通信ができませんでした・・・
一応スマホからL2TPで接続してみましたが、そこではエラーも出ず接続ができました。

固定IPは持っておらず、DDNSにて対応しております
それでもIPSEC-VPNは可能なのでしょうか？

問題だらけで申し訳ありませんが、宜しくお願い致します

補足日時：2013/02/13 17:38

No.5 回答者： hirasaku 回答日時： 2013/02/06 14:12

こんにちは。

hirasaku です。

安定しませんか。。。
で、気になるところを。
NASのアドレスが 192.168.1.10 ですが、これは固定で割当てですよね？
dhcp scope とかぶってますので、scope をずらしましょう。
dhcp scope 1 192.168.1.11-192.168.1.30/24 とかに。

pp select anonymous の中に
ppp ipv6cp use off　（IPv6使ってないですよね？）
それと、トンネルの数だけ別ユーザー名で認証IDを登録したほうがいいかもしれません。

これで試してどうでしょう。
ちなみにファームウェアは最新ですよね？

あと、答えてなかった質問に対して。

L2TP/IPSecですが、No1さんが答えられているように、WindowsOSでは
AESは対応していません。3DESにしましょう。
それと、ルータの配下にクライアントを置いてのL2TPですよね。
WindowsOSはデフォルトnat-traversalは有効ではありません。
レジストいじらないとだめですね。ググればやり方でできます。

クライアントのVPN接続時のサブネットはそれで正常です。
HOSTアドレスですから。

あつ、Filterに関してですが、
解決するまでかけないほうがいいですね。
切り分けにFilterが邪魔したりしますから。
とりあえずNAPTでWAN側に出て行ってるので、ちょっとの間は大丈夫かと。
でも、切り分け終わったら必ずかけましょう。

ip filter は設定してあっても、これはあくまでアクセスリストなので、
インターフェースに ip インターフェース secure filter と設定しなければ、
ALLパスです。（ってことは危ないって言えば危ないですけど）
secure filterにアクセスFilterのNoをつけて設定した場合は
最後に暗黙のALL rejectが入りますので、気をつけてください。

では。

この回答への補足

お世話になっております

ファームウェアは最新の物（Rev.8.03.92）にアップデートしてあります

ご指摘がありました箇所
・NASは固定IP(192.168.1.10)なのでdhcp scope をずらす
・ppp ipv6cp use off
・pp auth username user1 pass1
pp auth username user2 pass2
pp auth username user3 pass3
pp auth username user4 pass4
を修正しましたが、やはり状況は変わらずです

VPN接続直後はNAS(192.168.1.10）へアクセスは出来るのですが
2～3分NAS(192.168.1.10）と通信しないでいるとアクセスが出来なくなります
この際、rtx1100(192.168.1.1)へはping/sshなど問題なくアクセスできており
社内LAN(192.168.1.11-192.168.1.30/24)へのアクセスができません

ですが、VPN接続直後からNAS(192.168.1.10）に向かってping -t 192.168.1.10
等のようにpingを打ち続けていれば、NAS(192.168.1.10）へしばらくアクセスしていなくても通信が切れず
他の社内LAN(192.168.1.11-192.168.1.30/24)へも問題なく通信が出来る状況です

pingを打ち続けている＝通信が途絶えずあると思い
pptpの接続がアクセスしないことにより自動で切れているのかとも思いましたが
pptp tunnel disconnect time off
によって切断しないようになっている認識で正しいのでしょうか？


L2TP/IPSecは3desに変更しました
nat-traversalに関しましてもぐぐって調べてみたいと思います
サブネットはあれで正常だったのですね…HOSTアドレス・・・調べてみたいと思います
filterに関してもほぼほぼ無知ですので、通信が安定し次第かけていきます
最後に暗黙のALL rejectですが・・・了解です

問題だらけとは思いますが、宜しくお願い致します

補足日時：2013/02/07 19:37

No.4 回答者： hirasaku 回答日時： 2013/02/02 18:39

こんにちは。

hirasaku です。

pptp keepalive use　をはずしてみればどうでしょう。
または　off　にする。
ip stealth pp1
でWAN側はステルスになります。もちろんpingも返しません。

PPTPは動的フィルタは使用できません。

では。

この回答への補足

お世話になります
ip stealth pp1
にてWAN側のステルス化はできました！

ですがpptp keepalive useを外してみたのですが
やはり通信は安定しませんでした

現状ではVPNの接続確立『直後』から
社内LAN上のNAS（192.168.1.10）へ
ping -t 192.168.1.10
のようにpingを連続して打っているとlossもなく
通信も安定したまま使えているのですが
pingをやめてしばらくたってから（5分位）だと
192.168.1.1へはlossなくpingも通りますが
社内LANのNAS 192.168.1.1へはpingも通らずアクセスができなくなってしまいます

VPN接続の直後以外からだと
192.168.1.1へのpingはlossなく通信しますが
社内LANのNAS192.168.1.10へは通ったりlossしたりと不安定な状況です・・・

補足日時：2013/02/05 22:19

No.3 回答者： nnori7142 回答日時： 2013/02/02 09:26

　先程伝え忘れました。

　VPNクライアントの回線のルーター等機器にVPNパススルー設定されていなければ、うまく通信されないケースもありますよ。VPNパススルー機能が十分でないルーターの場合は、ルーターのDMZ設定で、VPNクライアントPCのIPアドレスを設定してみて下さい。

この回答への補足

お世話になります

クライアントはwindows7になりpptpでの接続を試みており
社内LANからのインターネット接続やメール等の通信は問題なくできておりますが
「ip filterコマンドのin、out登録コマンドがありません」との事でしたので
これは設定せず通信が出来てしまっている現状が異常なのでしょうか？
ご教授のありましたフィルターの例を参考に登録してみようと思いますので
他にも登録したほうがよいフィルターなどがありましたらご教授ください

・nat descriptor masquerade ttl hold auto
・nat descriptor masquerade session limit　1 1 2000
・ip routing process fast
上記のコマンドは登録してました

また、VPNクライアントはパススルー機能がありませんでしたので
一応DMZにおいてあります

ですが、他の方の補足にも追加させていただきましたが
やはり通信は安定しませんでした

現状ではVPNの接続確立『直後』から
社内LAN上のNAS（192.168.1.10）へ
ping -t 192.168.1.10
のようにpingを連続して打っているとlossもなく
通信も安定したまま使えているのですが
pingをやめてしばらくたってから（5分位）だと
192.168.1.1へはlossなくpingも通りますが
社内LANのNAS 192.168.1.1へはpingも通らずアクセスができなくなってしまいます

VPN接続の直後以外からだと
192.168.1.1へのpingはlossなく通信しますが
社内LANのNAS192.168.1.10へは通ったりlossしたりと不安定な状況です・・・

補足日時：2013/02/05 22:28

No.2 回答者： nnori7142 回答日時： 2013/02/02 09:18

　先程の追加補足ですがRTX1100の場合、「nat descriptor masquerade ttl hold auto」辺りのコマンドを登録しておかないと、ルーターの負荷により通信レスポンスの低下現象や、NATセッションの制限により通信安定性のロスが出る場合もあります。

　「nat descriptor masquerade session limit」コマンドにより、通信セッション数の指定をしてみて下さい。
　例として、「nat descriptor masquerade session limit　1 1 2000」等です。
　私の場合更に、「ip routing process fast」等も登録してあります。RTX1200ですが・・・。

この回答への補足

補足したものに誤字がありました・・・

・nat descriptor masquerade ttl hold auto
・nat descriptor masquerade session limit　1 1 2000
・ip routing process fast
上記のコマンドは登録してました
また、VPNクライアントはパススルー機能がありませんでしたので
一応DMZにおいてあります

⇒上記のコマンドは登録しました
また、VPNクライアントはルーターにパススルー機能がありませんでしたので
一応DMZにおいてあります

となります
初歩ミスで申し訳ありませんが、宜しくお願い致します

補足日時：2013/02/06 01:18

No.1 回答者： nnori7142 回答日時： 2013/02/02 09:08

　お尋ねの件ですが、クライアントは何でしょうか？　スマートフォンやWindowsXPですと、3des暗号化レベルでなければ通信が安定しない場合がありますよ。

「ipsec sa policy 101 1 esp 3des-cbc sha-hmac」といった記述になります。
　それと、セキュアフィルターコマンドを登録しているのは分りましたが、ip filterコマンドのin、out登録コマンドがありませんよ。
　「ip lan2 secure filter in 1 2 3 4 5 6 8」と、outコマンド＋ダイナミックルーティングコマンドが登録されていませんよ。インターネット閲覧出来ないのではないでしょうか？
　例として、「ip filter 9 pass * * icmp * *」、「ip filter 10 pass * * established * *」、「
ip filter 11 pass * * tcp * ident」、「ip filter 99 pass * * * *」等の登録、「ip filter dynamic 100 * * ftp」、「ip filter dynamic 101 * * www」、「ip filter dynamic 102 * * domain」、「ip filter dynamic 103 * * smtp」、「ip filter dynamic 104 * * pop3」、「ip filter dynamic 105 * * netmeeting」、「ip filter dynamic 106 * * tcp」、「ip filter dynamic 107 * * udp」等のルーティング登録と、「ip lan2 secure filter out 1 2 3 4 5 6 8 9 10 11 99 dynamic 100 101 102 103 104 105 106 107」といった登録が必要かと存じます。