皆様、お知恵を拝借いただければ幸いです。

(株)USENのGATE02という企業向け光回線をYAMAHA RT57iで運用しようと作業をしていますが、外部から全くアクセスが出来ずに困っています。独自ドメインによる運用のため外部からのアクセスが必要です。

概略図

(USENネットワーク網)-- Internet
   |
   |
[ゲートウェイ]
   |
  LAN2
   |
  [RT57i]
   |
  LAN1
   |
  |------|
  |   |
 POP  www etc.


見ての通り、USEN のネットワーク網とは LAN間接続となり、ゲートウェイのアドレスは同一ネットワークのアドレスなので、割り当てられたグローバルIPアドレスをネットマスクで2つの異なるネットワークに分離し、外向き(LAN2)側をあらためてゲートウェイアドレスへルーティングをかけることで、内部から外部ネットワークへのアクセスが可能になりました。

しかし、この場合パケットを全てパスにして内向き(LAN1)のネットワークに外部からpingを打ってみたのですが、外からのicmpパケットは内向きのLAN1側インターフェイスまで到達し、replyを返しているものの、ping を打ったコンピュータには反応が返らないのです。外部から外向き、内向きそれぞれのアドレスにTelnet接続を試みても、出来ません。 おかしな事にSys-logを見てもTelnet接続をした記録がないのです。 つまりこれは、LAN2のインターフェイスに到達した時点でパケットの行き場がなくなったか、破棄されてしまったように思えてなりません。
ちなみに、パケット長の制約かと思い、MTUのサイズを何種類かに小さくしてみたのですが、全く改善しませんでした。

そもそも PP接続が主用途かと思われるRT57iでLAN間接続を行なうこと自体に無理があるように感じ始めているのですが、どなたか原因または解決方法をご存知の方がいらっしゃいましたら、ご教示いただけないでしょうか。

このQ&Aに関連する最新のQ&A

A 回答 (4件)

私もGate02で、同じような構成で一回はまりかけました。



RT57iでネットワークを分割しても、USENのゲートウェイではそれを認識していないために発生する現象です。
# MTUの問題ではなく、純粋にルーティングの問題です。
# USENのゲートウェイが持っているであろうrouting tableと、RT57iのrouting tableを比較すれば原因がわかると思います。

回避策としては、以下の2つしかないでしょう。

・Static NATで、内部LANのノードのIPをグローバルIPと1対1で割り当てる。(この場合、内部LANのノードのIPは、プライベートIPでかまいません)

・Proxy ARP機能を使って、ネットワーク分割した内部ノード当てのパケットを、RT57iが拾って中継してやるようにする。

前者は私がとった手法です。
後者は、理屈上うまくいくとは思いますが、試してません。
なお、RT57iでStatic NATやProxy ARPが実現可能かどうかは確認していないのであしからず(^^;

でわ。

この回答への補足

ご回答ありがとうございます。

私も MTU ではなく、ルーティングの問題だと思います。

実はいま、既存の回線から Broad-GATE02 へ切り替える作業中でして、静的 NAT によるプライベートアドレスからの変換を私も考えたのですが、既に各ノードはグローバルアドレスで運用していたので、極力その形態を維持したかったという実情もあります。

いま、LAN1 と LAN2 とにグローバルアドレスを分割してしまったので、現状で NAT を使うとグローバルアドレスが足りなくなってしまうので、躊躇している次第です。
しかし、問題の切り分けと言う意味からすると、一度プライベートアドレスからの NAT を試してみる価値はありますね! ありがとうございます。

補足日時:2005/04/05 14:45
    • good
    • 0
この回答へのお礼

アドバイスありがとうございました。

あれから試行錯誤しましたが、結局のところ Proxy ARP を使う事で、とりあえず解決しました。

お礼日時:2005/04/08 11:26

>・NAT 設定


>全てグローバルアドレスによる設定なので、現在は使っていません。

グローバルアドレスでもNAT している場合がありますので、
NAT の設定が無効になっているか確認してください。

また、以下のルーティング設定が入っているかの確認をお願いします。

付与されたグローバルが[100.100.100.0-15/28]の場合、
[100.100.100.0-7/29][100.100.100.8-15/29]に分割されます。

この中で使用可能なアドレスは、減少します。
×100.100.100.0/29:ネットワークアドレスのため
○100.100.100.1/29
○100.100.100.2/29
○100.100.100.3/29
○100.100.100.4/29
○100.100.100.5/29
○100.100.100.6/29
×100.100.100.7/29:NWブロードキャストアドレスのため

×100.100.100.8/29:ネットワークアドレスのため
○100.100.100.9/29
○100.100.100.10/29
○100.100.100.11/29
○100.100.100.12/29
○100.100.100.13/29
○100.100.100.14/29
×100.100.100.15/29:NWブロードキャストアドレスのため

よって、構成図は以下のようになります。


   |WAN:USENから割り当て
[ゲートウェイ]
   |LAN:100.100.100.1/29
   |
   |LAN2[100.100.100.0/29]
   |
   |WAN:100.100.100.2/29
   [RT57i]
   |LAN:100.100.100.9/29
   |
   |LAN1[100.100.100.8/29]
   |
   |100.100.100.10-14/29
   [Server]

□ルーティングの設定
[ゲートウェイ]
  0.0.0.0/0 Next-hop:Usen側
  100.100.100.8/29 Next-hop:100.100.100.2

[RT57i]
  0.0.0.0/0 Next-hop:100.100.100.1


この設定が入っていれば、通信は可能なはずです。

この回答への補足

ご回答ありがとうございます。

> グローバルアドレスでもNAT している場合がありますので、
> NAT の設定が無効になっているか確認してください。

了解致しました。 もう一度確認してみます。

一つ書き忘れた事がありました。
ゲートウェイとルーターの LAN2 側インターフェイスの間に、USEN のメディアコンバータが介在しており、これが光ケーブルの通信を Ethernet へ変換しています。

ルーティングの設定及び、ネットワーク構成は、ご説明いただいた通りで間違いありません。
これに、LAN2 側の 100.100.100.1/29 がゲートウェイアドレスとして USEN 側から指定されています。ゲートウェイはメディアコンバータの向こう側つまり、USEN のネットワーク網への入り口であるため、当方からの設定や操作は不可となっています。でも、外から LAN2 側インターフェイスへ Ping を打つと reply するので、ゲートウェイの問題ではないと考えています。

いずれにしても、皆様のご指摘から問題の原因が NAT の設定が絡んでいる疑いが濃くなってきたように思います。
今一度落ち着いて、皆様からのアドバイスやヒントを元に、再度トライしてみます。

補足日時:2005/04/05 15:01
    • good
    • 0

こんばんは


恐らく設定の漏れがあると思われます。
ゲートウェイとRT57i での以下の情報をもう少しください。

・アドレス設定
・ルーティング設定
・NAT 設定

もし宜しければ、今回契約されたUSEN でのサービス名を教えてください。

参考までに、今回の構成は以下のページの中に、
更にローカルルータがあるような構成でしょうか?

参考URL:http://www.allied-telesis.co.jp/support/list/rou …

この回答への補足

ご回答ありがとうございます。
私も、何らかの漏れがあるとは思うんですが...。(^^;

契約したサービスは、「GATE02 光ビジネスアクセスIP16」 というものです。
PPPoE ではありません。また、WAN側は unnumbered ではなくネットワーク接続型となります。
各設定は、No.1 の方のご回答に対する補足にも記述しましたが、

・アドレス指定
LAN2 と LAN1 はそれぞれ、グローバルアドレスです。USEN より 16個の割り当てをもらい、それを利用しています。 ゲートウェイアドレスは、そのうち特定の1個が指定されています。各ノードにはグローバルアドレスを付与して運用します。

・ゲートウェイアドレスの存在ゆえに、LAN間接続のようになってしまっています。
このため、各ノードはルーターの LAN1側インターフェイスのアドレスへ、LAN2側インターフェイスは指定されたゲートウェイへルーティングしています。

・NAT 設定
全てグローバルアドレスによる設定なので、現在は使っていません。

この状態で、LAN1側のノードからは、外部へのアクセスが問題なく出来ています。
なので、その逆も可能なはずなんですが...。
恐れ入りますが、よろしくお願い申し上げます。

補足日時:2005/04/05 11:57
    • good
    • 0

LAN2とLAN1はプライベートアドレスの異なるサブネットになっていますか


そして
ゲートウェイはIPマスカレードを動作させていますか
(LAN2側はプライベートアドレスになっていますか)

>ゲートウェイのアドレスは同一ネットワークのアドレスなので、割り当てられたグローバルIPアドレスをネットマスクで2つの異なるネットワークに分離し

ここに問題がありそうです

この構成ならば、ゲートウェイを撤去し、RT57iで(IPマスカレードで)接続するのが本来だと思います

ルーティングとアドレス変換の両者を勘案して、接続・設定を再検討してください

この回答への補足

ご回答ありがとうございます。

質問欄の文字数制限のため、十分な説明が出来なくてすみません。
LAN2 と LAN1 はそれぞれ、グローバルアドレスです。USEN より 16個の割り当てをもらい、それを利用しています。 ゲートウェイアドレスは、そのうち特定の1個を指定されています。

本来は2つに分けずに運用するためのものですが、USEN よりゲートウェイアドレスが決め打ちされているので、サブネットで分割しないと LAN2 と LAN1 が同一ネットワークになってしまいます。そこで試行錯誤した結果、ネットワークを分けてみた次第です。
従って、仮想的に LAN1 は内向き、LAN2 は外向きと記述しましたが、実際は両方ともグローバルアドレスによる分割です。

IP マスカレードは今のところ行なっていません。それは、LAN1 と LAN2 のインターフェイスに対し IN 方向のパケットを pass させることで、LAN2 に接続されたグローバルアドレスを持つノードへ外部からアクセスできるのでは、と考えたからです。

ただ、ご指摘通り、現状でもう少し頑張ってみた後、IP マスカレードも設定してみようと考えているところです。

ありがとうございます。

補足日時:2005/04/05 10:50
    • good
    • 0

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

Q8個のグローバルIPをRTX1200に設定したい

ヤマハのRTX1200に8個のグローバルIP設定で行き詰ってます。
状況は以下のようなものです。

 aaa.bbb.ccc.120/29 のグローバルアドレスの設定を目指してます

 aaa.bbb.ccc.121 でLAN側(192.168.XXX.254/24) の端末がインター
ネットの利用、VPNの設定は動作を確認済

 aaa.bbb.ccc.122 ~ aaa.bbb.ccc.126 の5IPと、LAN側にある
特定端末(固定IP)5台を関連付けしたい ← これが全て通りません

そこで試行錯誤し、設定したCONFIGが以下のようなものです。

ip route default gateway pp 1
ip lan1 address 192.168.XXX.254/24
ip lan1 secure filter in 100000 100001 100002 100003 100004 100005 100006 100007 100099
ip lan3 nat descriptor 1 2 3 4 5
pp disable all
pp select 1
description pp "PRV/PPPoE/0:NTT-ME 8IP"
pppoe use lan3
ppp lcp mru on 1454
ip pp address aaa.bbb.ccc.120/29
ip pp secure filter in 200003 200020 200021 200022 200023 200024 200025 200030 200032 200080 200081
ip pp secure filter out 200013 200020 200021 200022 200023 200024 200025 200099 dynamic 200080 200081
             200082 200083 200084 200098 200099
ip pp nat descriptor 1000
pp enable 1
ip filter 100000 reject * * udp,tcp 135 *
ip filter 100001 reject * * udp,tcp * 135
ip filter 100002 reject * * udp,tcp netbios_ns-netbios_dgm *
ip filter 100003 reject * * udp,tcp * netbios_ns-netbios_dgm
ip filter 100004 reject * * udp,tcp netbios_ssn *
ip filter 100005 reject * * udp,tcp * netbios_ssn
ip filter 100006 reject * * udp,tcp 445 *
ip filter 100007 reject * * udp,tcp * 445
ip filter 100099 pass * * * * *
ip filter 200000 reject 10.0.0.0/8 * * * *
ip filter 200001 reject 172.16.0.0/12 * * * *
ip filter 200002 reject 192.168.0.0/16 * * * *
ip filter 200003 reject 192.168.XXX.0/24 * * * *
ip filter 200010 reject * 10.0.0.0/8 * * *
ip filter 200011 reject * 172.16.0.0/12 * * *
ip filter 200012 reject * 192.168.0.0/16 * * *
ip filter 200013 reject * 192.168.XXX.0/24 * * *
ip filter 200020 reject * * udp,tcp 135 *
ip filter 200021 reject * * udp,tcp * 135
ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 200024 reject * * udp,tcp 445 *
ip filter 200025 reject * * udp,tcp * 445
ip filter 200030 pass * 192.168.xxx.0/24 icmp * *
ip filter 200031 pass * 192.168.xxx.0/24 established * *
ip filter 200032 pass * 192.168.xxx.0/24 tcp * ident
ip filter 200033 pass * 192.168.xxx.0/24 tcp ftpdata *
ip filter 200034 pass * 192.168.xxx.0/24 tcp,udp * domain
ip filter 200035 pass * 192.168.xxx.0/24 udp domain *
ip filter 200036 pass * 192.168.xxx.0/24 udp * ntp
ip filter 200037 pass * 192.168.xxx.0/24 udp ntp *
ip filter 200080 pass * 192.168.xxx.254 esp * *
ip filter 200081 pass * 192.168.xxx.254 udp * 500
ip filter 200099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 200080 * * ftp
ip filter dynamic 200081 * * domain
ip filter dynamic 200082 * * www
ip filter dynamic 200083 * * smtp
ip filter dynamic 200084 * * pop3
ip filter dynamic 200098 * * tcp
ip filter dynamic 200099 * * udp
nat descriptor type 1 masquerade
nat descriptor address outer 1 aaa.bbb.ccc.122
nat descriptor masquerade static 1 1 192.168.xxx.230 tcp 21,3389,49200,49500,49600
nat descriptor masquerade static 1 2 192.168.xxx.230 udp domain,tftp
nat descriptor type 2 masquerade
nat descriptor address outer 2 aaa.bbb.ccc.123
nat descriptor masquerade static 2 1 192.168.xxx.231 tcp 21,www,3389
nat descriptor type 3 masquerade
nat descriptor address outer 3 aaa.bbb.ccc.124
nat descriptor masquerade static 3 1 192.168.xxx.14 tcp 21,www,3389
nat descriptor type 4 masquerade
nat descriptor address outer 4 aaa.bbb.ccc.125
nat descriptor masquerade static 4 1 192.168.xxx.41 tcp 3389,9999
nat descriptor type 5 masquerade
nat descriptor address outer 5 aaa.bbb.ccc.126
nat descriptor masquerade static 5 1 192.168.xxx.234 tcp 21,www,3389
nat descriptor type 1000 masquerade
nat descriptor address outer 1000 aaa.bbb.ccc.121
nat descriptor address inner 1000 aaa.bbb.ccc.121 192.168.xxx.1-192.168.xxx.254
nat descriptor masquerade static 1000 101 192.168.xxx.254 udp 500
nat descriptor masquerade static 1000 102 192.168.xxx.254 esp

何が間違っているのかも判らぬ状況なので、ご指摘を頂ければ幸いです。
宜しくお願い申し上げます。

ヤマハのRTX1200に8個のグローバルIP設定で行き詰ってます。
状況は以下のようなものです。

 aaa.bbb.ccc.120/29 のグローバルアドレスの設定を目指してます

 aaa.bbb.ccc.121 でLAN側(192.168.XXX.254/24) の端末がインター
ネットの利用、VPNの設定は動作を確認済

 aaa.bbb.ccc.122 ~ aaa.bbb.ccc.126 の5IPと、LAN側にある
特定端末(固定IP)5台を関連付けしたい ← これが全て通りません

そこで試行錯誤し、設定したCONFIGが以下のようなものです。

ip route default gateway pp 1
ip lan1 ...続きを読む

Aベストアンサー

>最後の注意文にあるように、静的NAT部にポートの指定が無い分をフィルターで補いなさいよ、という部分に注意が必要という事と理解したのですが考え方に勘違いが無ければ良いのですが。

この解釈でいいです。

静的マスカレードの場合、指定したポートを対象としたNAT変換テーブルのみが作成されます。
NAT変換テーブルないものについてはパケットが破棄されます(デフォルト設定の場合)のでサーバまで到達しません。(それでもデフォルト動作に頼らずフィルタは設定したほうがいいと思うけど)

対して静的NATは単なるアドレス変換なので、全てのパケットがサーバまで到達します。
従って、使用するプロトコル及びポートのみが通過出来るようなフィルタを設定することが重要ということになります。


人気Q&Aランキング

おすすめ情報