プロが教えるわが家の防犯対策術!

YAMAHAのRTX1100を使わなくてはならなくなったのですが、設定がまったくわかりません。

WAN側ゲートウェイ:192.168.1.1

RTX1100
LAN側IP:192.168.11.1
WAN側IP:192.168.1.111

LAN側に繋がっているWindowsXP
IPアドレス      :192.168.11.2
サブネットマスク   :255.255.255.0
デフォルトゲートウェイ:192.168.11.1
DNSサーバ      :プロバイダ指定のIP

このような場合、
ip lan1 address 192.168.11.1/24# LANのインタフェースの設定
ip lan2 address 192.168.1.111/24# WANのインタフェースの設定
ip route 192.168.11.0/24 gateway 192.168.1.1#WAN側ゲートウェイの設定

これで動かないのですが、これ以上何をしなければならないのか解らない状態です。

このQ&Aに関連する最新のQ&A

A 回答 (7件)

#6の補足に関して



行われたことは、RTX1100のIPマスカレードを作動させたので、RTX1100配下のPCがインターネット接続が可能となったのです

このことで確認できたのは


WebCasterが 192.168.11.0/24のルート情報を持っていないことです


ですから、RTX1100がIPマスカレード停止の場合、WebCasterおよびその配下の192.168.1.xのPCからはRTX1100配下のPCに対する応答の宛先が不明だったのです

今の状態では、192.168.1.x から 192.168.11.y の参照はできません(逆は可能なはず)

ですので
ip lan2 nat descriptor 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 192.168.1.111
nat descriptor address inner 1 192.168.11.1-192.168.11.254
は削除すべきでしょう

そして WebCasterに

ip route 192.168.11.0/24  nexthop 192.168.1.111 のように

192.168.11.0/24 へのネクストホップ が 192.168.1.111 であることを設定するか 全てのルータ間でripで ルート情報を交換するかの いずれかでしょう(WebCasterのインターネット側へはrip送信しないでください)

WebCasterのルート設定は、蒸気のコマンドではエラーになると思います、説明書に従って設定してください

なお、WebCasterに触れることができないのでしたら、社内ネットワークとしては不適切ですが、現状しかありません

また、セキュリティ設定には一切触れておりませんので、適切な対応を行ってください

くどくなりますが整理します

WebCaster:現状に 192.168.11.0/24 のルート設定を追加する(固定設定もしくはrip交換を設定して)

RTX1100:IPマスカレード等のアドレス変換は行わない(設定を削除)
LAN1 192.168.11.1/24、LAN2 192.168.1.111/24
デフォルトゲートウェイ 192.168.1.1 を設定(WebCasterにrip交換を設定した場合はrip交換を設定)

DNSは別途検討

少々説明がわかりにくいかもしれません、前のようなネットワーク図に設定を書き込んで確認してください

この回答への補足

すみません、お手数をかけます。
まず、DNS、DHCPに関しては、今回の問題と分離するため、RTX1100配下のPCには決め打ちしています。

>今の状態では、192.168.1.x から 192.168.11.y の参照はできません(逆は可能なはず)
その通りでした。

最終目的は、
(1)管理者部
(2)サーバ部
(3)サーバ部(とりあえず1ヶ月ほど)
です。

(1)のRTX1100設置前の状態は、
WebCaster(192.168.1.1)---PC群(192.168.1.0/24)
PC群はDNS、DHCPは上位に任せる。
です。

管理者部は、サーバ部メンテナンス(主にweb)で、FTPなどをしなければならないので、RTX1100で、特別のトンネル掘ろうと思ったのです。
管理者部は、現状に手を加えず、サーバ部メンテナンス(主にweb)をする時だけ、何も意識せずに特別のトンネルを通ってサーバメンテしてしまう。
としたいと思ったのです。

それで、RTX1100を挿入して、
WebCaster(192.168.1.1)---(192.168.1.111)RTX1100(192.168.11.1)---PC群(192.168.11.0/24)
にして、RTX1100の挿入だけで、他の機器の設定せずに、サーバ部に対して特別のトンネルを掘る。
と考えました。

現在つまずいているのは、RTX1100を挿入して、挿入前のようにインターネットができる状態にならない事です。
(ほとんど目的の第1歩を踏み出す前の状態です)

この目的ならば、
ip lan1 address 192.168.11.1/24
ip lan2 address 192.168.1.111/24
ip route default gateway 192.168.1.1
ip lan2 nat descriptor 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 192.168.1.111
nat descriptor address inner 1 192.168.11.1-192.168.11.254
(ここには無いけれど、DHCP,DNSを下位に教える設定)

は正しいでしょうか?(この後トンネルを掘る、WebCasterが何も知らないBフレッツ接続ルータ状態である)

補足日時:2006/06/13 04:24
    • good
    • 0
この回答へのお礼

返事が大変遅くなってすみませんでした。
先日タイムアウトで自己解決を断念し、設定を他の人に頼みました。
他の作業も押していたので、色々アドバイスをもらったのに、ちゃんと作業をすることができずに、すみませんでした。

お礼日時:2006/07/22 07:09

見当がつきました、最上位のルータ(WebCaster)に


サブネット 192.168.11.0/24のルート情報が登録されていますか、もしくはWeBCasterとRTX1100の間でルート情報を交換する設定がなされていますか(rip等で)

念のための確認ですが、WebCasterにはIPマスカレード等のアドレス変換を行い、RTX1100はアドレス変換を行わない設定になっていますね

なお、DNSも管理PC→RTX1100→WebCasterとリンクさせるか、PCに決めうち設定をする必要があります

一段落したら、末端のPCから
tracert oshiete.goo.ne.jp  を試してみてください

oshiete.goo.ne.jp が IPアドレスに変換されなければ DNS参照不備

最終的には、全ネットワークを接続統合することと思いますが、今回の経験が生きるものと思います

************************************

[インターネット網]
   |
   |(8IP)専用線
+-----------------+aaa.bbb.ccc.248/29
|ルータ      |
|YAMAHA RTX1100 |
+-----------------+192.168.12.1/24
   |
+------------------+
|サーバ      |192.168.12.0/24
|web,mail,proxy等 |
+------------------+


ここでRTX1100でアドレス変換するのは適切では無いように思います(上記なら1IPでよい)
たとえば下図のようになるかと


[インターネット網]
   |
   |(8IP)専用線
+-----------------+
|ルータ      |
|YAMAHA RTX1100 |
+-----------------+1aaa.bbb.ccc.249/29
|   |
| +------------------+
| |サーバ      |aaa.bbb.ccc.250~254/29
| |web,mail,proxy等 |
| +------------------+

+-----------------+aaa.bbb.ccc.250~254/29
|ルータ      |ここはproxy/FWでも可
|YAMAHA RTX1100 |
+-----------------+1192.168.12.1/24

aaa.bbb.ccc.248/29 はサブネットを意味します、また
aaa.bbb.ccc.225/29 はブロードキャストが使用します

この回答への補足

>最上位のルータ(WebCaster)にサブネット 192.168.11.0/24のルート情報が登録されていますか、
すみません、してありません。

>もしくはWeBCasterとRTX1100の間でルート情報を交換する設定がなされていますか(rip等で)
すみません、してありません。

>念のための確認ですが、WebCasterにはIPマスカレード等のアドレス変換を行い、RTX1100はアドレス変換を行わない設定になっていますね
すみません、してありません。

>なお、DNSも管理PC→RTX1100→WebCasterとリンクさせるか、PCに決めうち設定をする必要があります
なっています。

WeBCasterのLAN側(192.168.1.0/24)は、RTX1100と同列のPCからインターネットにアクセスできる状態になっているだけです。
RTX1100は、
ip lan1 address 192.168.11.1/24
ip lan2 address 192.168.1.111/24
ip route default gateway 192.168.1.1
だけです。

すみません、上の4つの内、上から3つは意味不明状態です。



と書いてから、アップする前に色々調べて試行錯誤したら、動きました。

ip lan1 address 192.168.11.1/24
ip lan2 address 192.168.1.111/24
ip route default gateway 192.168.1.1
ip lan2 nat descriptor 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 192.168.1.111
nat descriptor address inner 1 192.168.11.1-192.168.11.254

これって正しいんでしょうか。
IPマスカレード等のアドレス変換が必要なのかと他の作業の合間に(隠れて)色々試行錯誤したら、これで動きました。(動いているようだ)
自分で書いてて、正解かわからないのですが、これで良いんでしょうか。
(WebCasterには何もしていません)

補足日時:2006/06/12 14:59
    • good
    • 0

一旦ネットワークの接続状態を整理して考えないと堂々巡りになりそうです



その上で、
PCとそのサブネットに接続されているルータの状況(IPアドレス自動取得は正常か、ルータへのpingは正常か等)
それが確認されてからサブネット間接続の確認に行かないと、うまく行かなかった場合に、原因究明に手間取ります

たとえば下図のような構成図を作成し、それぞれのルータの
IPアドレス・サブネットマスク、NAT・IPマスカレードを使用しているか等を明確にします
その上で、それぞれのルータをどのように設定するかを判断します

 インターネット
    |(ADSL/光)
   ルータX
    |
 サブネットX(8IPのグローバルアドレス)
    |            |     |
  ルータZ         ルータK   Webサーバ/メールサーバ
    |(192.168.1.0/24)
  ルータA
    |(192.168.11.0/24)
   PC・・・

ワンポイントアドバイスでは解決しなかったようですので、最初に戻って基本的なことからひとつずつ確認し、問題点を絞り込むのが結果としては早道になると思います
ルータの設定も全てリセットしてから行わないと残った設定が邪魔をすることが良くあります

なお、上図の場合IPアドレス変換を行うのは、ルータZのみになります
またルータZがプロキシサーバの場合もあります

質問者は全て掌握されていることと思いますが、回答する側には見えませんのであしからず

この回答への補足

質問する方が、何が解らないのかがわからない状態で、本当にすみません。
下の様な状態だと思います。

(1)管理者部
[インターネット網]
   |
   |(1IP)普通のBフレッツ
+------------------+
|ルータ      |
|WebCaster V110  |
+------------------+192.168.1.1/24
   |
+------------------+192.168.1.111/24
|ルータ      |
|YAMAHA RTX1100  |
+------------------+192.168.11.1/24(ここでつまずいている)
   |
+------------------+
|管理コンピュータ |192.168.11.21/24
|Windows XP    |
+------------------+


(2)サーバ部
[インターネット網]
   |
   |(8IP)Bフレッツ
+-----------------+aaa.bbb.ccc.ddd/29(まだわからない)
|ルータ      |
|YAMAHA RTX1100 |
+-----------------+192.168.12.1/24
   |
+-----------------+
|サーバ      |192.168.12.2/24
|web,mail,proxy等 |
+-----------------+


(3)サーバ部(とりあえず1ヶ月ほど)
[インターネット網]
   |
   |(8IP)専用線
+-----------------+aaa.bbb.ccc.248/29
|ルータ      |
|YAMAHA RTX1100 |
+-----------------+192.168.12.1/24
   |
+------------------+
|サーバ      |192.168.12.0/24
|web,mail,proxy等 |
+------------------+

サーバはとりあえず1台で、最終的には2台
webのには、IPベース(httpsを使いたいため)のバーチャルドメインが3つ。

以上の状況で、(1)と(3)が急務です。

ホスティング会社から指示のあった、

FWのWAN側IPアドレス
aaa.bbb.ccc.246(subnet:255.255.255.248)

というのが、いまいち理解できていないのですが。

(3)サーバ部(とりあえず1ヶ月ほど)
[インターネット網]
   |
+------------------+aaa.bbb.ccc.246/29
|FW        |
+------------------+
   |
   |(8IP)専用線
+------------------+aaa.bbb.ccc.248/29
|ルータ      |
|YAMAHA RTX1100  |
+------------------+192.168.12.1/24
   |
+------------------+
|サーバ      |192.168.12.0/24
|web,mail,proxy等 |
+------------------+

と言う事なんでしょうか。


とりあえず、(1)だけでもできれば突破口になるんじゃないかと考えています。
設定に関しては、cold start と言う工場出荷状態にするコマンドを発行しています。
設定後は、show configと言うコマンドで確認しています。

ip lan1 address 192.168.11.1/24
ip lan2 address 192.168.1.111/24
dhcp service server
dhcp scope 1 192.168.11.21-192.168.11.29/24

と設定しています。

この状態で管理コンピュータからの、
ping 192.168.11.1は通りません。
ipconfig /allをすると、以下になります。
Host Name . . . . . . . . . . . . : fumufumu
Primary DNS Suffix . . . . . . . :
Node Type . . . . . . . . . . . . : Broadcast
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No

Ethernet adapter ローカル エリア接続:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : VIA Networking ・・・・
Physical Address. . . . . . . . . : ??-??-??-??-??-??
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IP Address. . . . . . . . . . . . : 192.168.11.21
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.11.1
DHCP Server . . . . . . . . . . . : 192.168.11.1
DNS Servers . . . . . . . . . . . : aaa.bbb.ccc.1
                  aaa.bbb.ccc.1
Lease Obtained. . . . . . . . . . : 2006年6月10日 15:19:25
Lease Expires . . . . . . . . . . : 2006年6月13日 15:19:25

Web Caster V110に繋がっている(RTX1100と同じ位置の機械)からの
ping 192.168.1.111は通ります。

よろしくお願いします。

補足日時:2006/06/10 15:44
    • good
    • 0

192.168.11.0/24のネットワークから、192.168.1.1のルータを経由して、aaa.bbb.ccc.248/29への


経路を書くなら・・

ip route aaa.bbb.ccc.248/29 gateway 192.168.1.1

という定義が必要です。

192.168.1.0/24のネットワークにRTX1100以外のルータが無いのであれば、
デフォルトルートを、192.168.1.1へ向けても良いとは思いますけどね。

この回答への補足

相手側も含めて、一般のインターネットも見たいので、すべてのアドレスに行けるように設定したいと思います。
ip route 0.0.0.0/0 gateway 192.168.1.1
ではエラーになります。

ip route default gateway 192.168.1.1
と言うのもやってみましたが、エラーは起きませんが、だめでした。

それと、現状で
ip lan1 address 192.168.11.1/24
ip lan2 address 192.168.1.101/24
dhcp service server
dhcp scope 1 192.168.11.21-192.168.11.29/24
として、DHCPサーバ機能で、lan1側に繋がっているコンピュータにIPを発行しています。

ipconfigで確認して、DHCPは正常にIPを発行しています。
ところが、lan1側に繋がっているコンピュータから
ping 192.168.11.1
がタイムアウトになります。

192.168.1.1のルータに繋がっているコンピュータから
ping 192.168.1.111(lan2のIP)
は通るのですが、lan1側からはlan1のIPはpingが通らないのか、pingを受け付けないだけなのか解りません。

このような状況ですが、何か解決法があったらよろしくお願いします。

補足日時:2006/06/10 05:20
    • good
    • 0

>ip route 192.168.11.0/24 gateway 192.168.1.1 #WAN側ゲートウェイの設定



これではルーティングできません

そのルータが持っていない(知ることのできない)サブネットのルート情報を設定するのがルート設定です

そのルータは LAN側が192.168.11.1/24 ですから 192.168.11.0/24のサブネット情報を持っていますので、わざわざ設定する必要はありません

逆にWANの先にあるサブネットの情報を設定する必要があります

質問にはそのことが書かれていませんので、他のサブネットへは全てWAN側へ送る(つまりデフォルトゲートウェイ)と想定します

ip route 0.0.0.0/0 gateway (192.168.1.1) #WAN側ゲートウェイの設定

のようになるはずです、ただし、この記述については説明書に従って適切に行ってください

この回答への補足

ありがとうございます。
最終的にはBフレッツ(8IP)のネットワーク(公開Webなど)と、管理マシンのあるBフレッツ(1IP)のネットワークをVPN(IPsec)で結ぶのですが、Bフレッツの契約に時間がかかるので、8IPを借りて管理マシンと結ぶ予定です。
とりあえず管理マシンの部分だけ設定してみようと思ったのですが、どうにもなりません。
自宅で使っているルータ(NTTのWeb Caster V110)と同じようなものだと考えていたら、コンソールでコマンドを登録しなくてはいけないので、パニック状態です。
最終的にはVPN(IPsec)で結ぶ予定ですが、とりあえずはただ繋ぐだけでお手上げ状態です。

ハウジング側
最終的にはBフレッツ(8IP)

とりあえず、借りたIPの情報
下のような情報をもらいました。
お客様側IPアドレス
aaa.bbb.ccc.248/29(subnet:255.255.255.248)
(aaa.bbb.ccc.249~aaa.bbb.ccc.254)
FWのWAN側IPアドレス
aaa.bbb.ccc.246(subnet:255.255.255.248)

管理マシン側
192.168.1.0/24のネットワーク
ルータ(NTTのWeb Caster V110)のアドレスは192.168.1.1
この下にRTX1100が繋がり、管理マシンが繋がります。

このような状態です。

管理マシン側は、
ip lan1 address 192.168.11.1/24 # LANのインタフェースの設定
ip lan2 address 192.168.1.111/24 # WANのインタフェースの設定
で安易に繋がると思ったのですが、繋がりません。

>ip route 0.0.0.0/0 gateway (192.168.1.1) #WAN側ゲートウェイの設定
の意味もわからない常態ですが、調べます。

補足日時:2006/06/09 20:21
    • good
    • 0
この回答へのお礼

ip route 0.0.0.0/0 gateway 192.168.1.1
エラー: IPアドレスが認識できません
となってしまいます。

lan側(192.168.11.0/24)がwan側(192.168.11.1)経由で192.168.1.1を通って相手側も含めたインターネット全体に行けるようにする。
と指示すれば良いのでしょうが、適切な記述ができない状態です。

お礼日時:2006/06/10 05:20

WAN 側 (そのケーブルの先) は、実際は何につながっていますか。

この回答への補足

ありがとうございます。
NTTのWeb Caster V110です。

ただ、やりたい(やらせられる)事の入り口なので、Bフレッツ(開通までは専用線)もあります。

補足日時:2006/06/09 20:27
    • good
    • 0

>ip route 192.168.11.0/24 gateway 192.168.1.1 #WAN側ゲートウェイの設定



これが、おかしいと思いますけど・・
何がしたいのか判らないので、正しいルーティング指定は教えようがありません。

参考URL:http://www.rtpro.yamaha.co.jp/

この回答への補足

ありがとうございます。
ハウジングのサーバと管理マシンの間をVPN(IPsec)で結びたいのです。
でも最初の入り口で引っかかってしまいました。

ルータの設定がこんなに難しいとは思いませんでした。
他にも作業があるのに、一番難易度が低いと思っていたら、トップになってしまいました。

よろしくお願いします。

補足日時:2006/06/09 20:38
    • good
    • 0

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

Qyamaha rtx1100 ルーターの設定について

yamaha RTX1100を使って、
PC3台を単純にネット接続したいのですが、
設定が全くわかりません。
サーバーなどは一切しません。
今まではバッファローの4HGでIEから設定できていましたので、
初めてで困惑しています。

コンソール接続まではできたのですが、
その先が分かりません。

付属のマニュアルにはサーバーなどの設定ばかりで、
単純なネット接続を目的とした例が紹介されていませんでした。

使用している方がおられましたら、教えて下さい。
プロバイダの接続情報が
ID ○○
pass □□
dns △△
だった場合
どのように入力すればいいのでしょうか?

宜しくお願い致します。

Aベストアンサー

コンソール接続してプロンプトが返る状態なら

administrator
と打ち込んで、左端が#になった事を確認します。
(パスワードが設定されていなければカラリターンで)

予めコンフィグをメモ帳等で作っておき、貼り付けます。
-------------以下編集して貼り付けるモノ--------
ip lan1 address 192.168.0.1/24
nat descriptor type 1 masquerade
pp select 1
pppoe use lan2
pp auth accept chap pap
pp auth myname ○○ □□
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp nat descriptor 1
ppp lcp mru on 1454
ip pp mtu 1454
ppp ccp type none
pp enable 1
pp select none
ip route default gateway pp 1
dns server △△
dns private address spoof on
dhcp service server
dhcp scope 1 192.168.0.20-192.168.0.100/24
save
----------おわり-------------
やヴぇ変な風に張り付いた!って時は
cold start
とコマンド打てば、綺麗さっぱり消えてくれます。

LAN1にお手元のPCを接続
LAN2に回線側のケーブルを接続します。

こんな感じで繋がりませんか?
YAMAHAさんはけっこう親切なマニュアルとかいっぱいあったような気がしますけど・・・

コンソール接続してプロンプトが返る状態なら

administrator
と打ち込んで、左端が#になった事を確認します。
(パスワードが設定されていなければカラリターンで)

予めコンフィグをメモ帳等で作っておき、貼り付けます。
-------------以下編集して貼り付けるモノ--------
ip lan1 address 192.168.0.1/24
nat descriptor type 1 masquerade
pp select 1
pppoe use lan2
pp auth accept chap pap
pp auth myname ○○ □□
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp nat descripto...続きを読む

Qポートの80と443

こちらのサービス(https://secure.logmein.com/)を利用すると、インターネットを見られるサーバーのポートの80と443が空いていればルータやファイアウォールに特段の設定なく外部からサーバーを操作できるそうですが、逆にサーバーのポートの80や443を空けることには何か危険性があるのでしょうか。

Aベストアンサー

ポート80は一般的なHTTP、ポート443はHTTPSです。
この2つのポートがあいていなければインターネット接続(WEBブラウジング)は出来ません。
ですから、ほとんどのファイアウォールでこのポートは開いています。(インターネット接続を制限している社内LANでは当然閉じていますが)

ちなみに、よく使うポートとしてはFTPで20、21、SMTP(送信メール)で25、受信メールPOP3で110あたりです。セキュリティポリシー上、この辺は制限される事も多いですが、HTTP 80、HTTPS(暗号化用)443は通常閉じません。


危険性?
WEBプロトコルを使ってFTP的なファイル転送(WebDAV)やVPN等も出来るようになっています。当然そこにはある種の危険はつきものですが、WEBブラウジングに伴う危険と大きく変わりません。ウィルス等に感染していればこの2つのポートだけでも相当危険でしょうね。

参考まで。

QRTX1100の削除コマンド

ヤマハのRTX1100なのですが、configの1行だけ削除したい場合はどのようなコマンドを入力すれば良いのでしょうか?

pp auth username aaaaa bbbbb
この1行を削除したい場合の方法を教えてください。

Aベストアンサー

このコマンドの場合
no pp auth username aaaaa
かな。

Q8個のグローバルIPをRTX1200に設定したい

ヤマハのRTX1200に8個のグローバルIP設定で行き詰ってます。
状況は以下のようなものです。

 aaa.bbb.ccc.120/29 のグローバルアドレスの設定を目指してます

 aaa.bbb.ccc.121 でLAN側(192.168.XXX.254/24) の端末がインター
ネットの利用、VPNの設定は動作を確認済

 aaa.bbb.ccc.122 ~ aaa.bbb.ccc.126 の5IPと、LAN側にある
特定端末(固定IP)5台を関連付けしたい ← これが全て通りません

そこで試行錯誤し、設定したCONFIGが以下のようなものです。

ip route default gateway pp 1
ip lan1 address 192.168.XXX.254/24
ip lan1 secure filter in 100000 100001 100002 100003 100004 100005 100006 100007 100099
ip lan3 nat descriptor 1 2 3 4 5
pp disable all
pp select 1
description pp "PRV/PPPoE/0:NTT-ME 8IP"
pppoe use lan3
ppp lcp mru on 1454
ip pp address aaa.bbb.ccc.120/29
ip pp secure filter in 200003 200020 200021 200022 200023 200024 200025 200030 200032 200080 200081
ip pp secure filter out 200013 200020 200021 200022 200023 200024 200025 200099 dynamic 200080 200081
             200082 200083 200084 200098 200099
ip pp nat descriptor 1000
pp enable 1
ip filter 100000 reject * * udp,tcp 135 *
ip filter 100001 reject * * udp,tcp * 135
ip filter 100002 reject * * udp,tcp netbios_ns-netbios_dgm *
ip filter 100003 reject * * udp,tcp * netbios_ns-netbios_dgm
ip filter 100004 reject * * udp,tcp netbios_ssn *
ip filter 100005 reject * * udp,tcp * netbios_ssn
ip filter 100006 reject * * udp,tcp 445 *
ip filter 100007 reject * * udp,tcp * 445
ip filter 100099 pass * * * * *
ip filter 200000 reject 10.0.0.0/8 * * * *
ip filter 200001 reject 172.16.0.0/12 * * * *
ip filter 200002 reject 192.168.0.0/16 * * * *
ip filter 200003 reject 192.168.XXX.0/24 * * * *
ip filter 200010 reject * 10.0.0.0/8 * * *
ip filter 200011 reject * 172.16.0.0/12 * * *
ip filter 200012 reject * 192.168.0.0/16 * * *
ip filter 200013 reject * 192.168.XXX.0/24 * * *
ip filter 200020 reject * * udp,tcp 135 *
ip filter 200021 reject * * udp,tcp * 135
ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 200024 reject * * udp,tcp 445 *
ip filter 200025 reject * * udp,tcp * 445
ip filter 200030 pass * 192.168.xxx.0/24 icmp * *
ip filter 200031 pass * 192.168.xxx.0/24 established * *
ip filter 200032 pass * 192.168.xxx.0/24 tcp * ident
ip filter 200033 pass * 192.168.xxx.0/24 tcp ftpdata *
ip filter 200034 pass * 192.168.xxx.0/24 tcp,udp * domain
ip filter 200035 pass * 192.168.xxx.0/24 udp domain *
ip filter 200036 pass * 192.168.xxx.0/24 udp * ntp
ip filter 200037 pass * 192.168.xxx.0/24 udp ntp *
ip filter 200080 pass * 192.168.xxx.254 esp * *
ip filter 200081 pass * 192.168.xxx.254 udp * 500
ip filter 200099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 200080 * * ftp
ip filter dynamic 200081 * * domain
ip filter dynamic 200082 * * www
ip filter dynamic 200083 * * smtp
ip filter dynamic 200084 * * pop3
ip filter dynamic 200098 * * tcp
ip filter dynamic 200099 * * udp
nat descriptor type 1 masquerade
nat descriptor address outer 1 aaa.bbb.ccc.122
nat descriptor masquerade static 1 1 192.168.xxx.230 tcp 21,3389,49200,49500,49600
nat descriptor masquerade static 1 2 192.168.xxx.230 udp domain,tftp
nat descriptor type 2 masquerade
nat descriptor address outer 2 aaa.bbb.ccc.123
nat descriptor masquerade static 2 1 192.168.xxx.231 tcp 21,www,3389
nat descriptor type 3 masquerade
nat descriptor address outer 3 aaa.bbb.ccc.124
nat descriptor masquerade static 3 1 192.168.xxx.14 tcp 21,www,3389
nat descriptor type 4 masquerade
nat descriptor address outer 4 aaa.bbb.ccc.125
nat descriptor masquerade static 4 1 192.168.xxx.41 tcp 3389,9999
nat descriptor type 5 masquerade
nat descriptor address outer 5 aaa.bbb.ccc.126
nat descriptor masquerade static 5 1 192.168.xxx.234 tcp 21,www,3389
nat descriptor type 1000 masquerade
nat descriptor address outer 1000 aaa.bbb.ccc.121
nat descriptor address inner 1000 aaa.bbb.ccc.121 192.168.xxx.1-192.168.xxx.254
nat descriptor masquerade static 1000 101 192.168.xxx.254 udp 500
nat descriptor masquerade static 1000 102 192.168.xxx.254 esp

何が間違っているのかも判らぬ状況なので、ご指摘を頂ければ幸いです。
宜しくお願い申し上げます。

ヤマハのRTX1200に8個のグローバルIP設定で行き詰ってます。
状況は以下のようなものです。

 aaa.bbb.ccc.120/29 のグローバルアドレスの設定を目指してます

 aaa.bbb.ccc.121 でLAN側(192.168.XXX.254/24) の端末がインター
ネットの利用、VPNの設定は動作を確認済

 aaa.bbb.ccc.122 ~ aaa.bbb.ccc.126 の5IPと、LAN側にある
特定端末(固定IP)5台を関連付けしたい ← これが全て通りません

そこで試行錯誤し、設定したCONFIGが以下のようなものです。

ip route default gateway pp 1
ip lan1 ...続きを読む

Aベストアンサー

>最後の注意文にあるように、静的NAT部にポートの指定が無い分をフィルターで補いなさいよ、という部分に注意が必要という事と理解したのですが考え方に勘違いが無ければ良いのですが。

この解釈でいいです。

静的マスカレードの場合、指定したポートを対象としたNAT変換テーブルのみが作成されます。
NAT変換テーブルないものについてはパケットが破棄されます(デフォルト設定の場合)のでサーバまで到達しません。(それでもデフォルト動作に頼らずフィルタは設定したほうがいいと思うけど)

対して静的NATは単なるアドレス変換なので、全てのパケットがサーバまで到達します。
従って、使用するプロトコル及びポートのみが通過出来るようなフィルタを設定することが重要ということになります。

Q「宛先ホストに到達できません」とは

下記サイトのみ「宛先ホストに到達できません」となります。
その他のサイト(goo等)は接続できます。(ping応答あり)

「宛先ホストに到達できません」とはどういう時に出るのでしょうか?

自宅にある他PCも同現象です。

<ネット接続構成>
インターネット-無線LAN(WZR-G144N)-PC

<ping結果>
Microsoft Windows [Version 6.1.7601]
Copyright (c) 2009 Microsoft Corporation. All rights reserved.

C:\Users\xxxxx>ping sfp.kyoraku.jp

sfp.kyoraku.jp [1.1.81.114]に ping を送信しています 32 バイトのデータ:
192.168.11.1 からの応答: 宛先ホストに到達できません。
192.168.11.1 からの応答: 宛先ホストに到達できません。
192.168.11.1 からの応答: 宛先ホストに到達できません。
192.168.11.1 からの応答: 宛先ホストに到達できません。

1.1.81.114 の ping 統計:
パケット数: 送信 = 4、受信 = 4、損失 = 0 (0% の損失)、

C:\Users\xxxxx>ping www.goo.ne.jp

www.goo.ne.jp [218.213.142.230]に ping を送信しています 32 バイトのデータ:
218.213.142.230 からの応答: バイト数 =32 時間 =67ms TTL=242
218.213.142.230 からの応答: バイト数 =32 時間 =66ms TTL=242
218.213.142.230 からの応答: バイト数 =32 時間 =66ms TTL=242
218.213.142.230 からの応答: バイト数 =32 時間 =56ms TTL=242

218.213.142.230 の ping 統計:
パケット数: 送信 = 4、受信 = 4、損失 = 0 (0% の損失)、
ラウンド トリップの概算時間 (ミリ秒):
最小 = 56ms、最大 = 67ms、平均 = 63ms

C:\Users\xxxxx>

下記サイトのみ「宛先ホストに到達できません」となります。
その他のサイト(goo等)は接続できます。(ping応答あり)

「宛先ホストに到達できません」とはどういう時に出るのでしょうか?

自宅にある他PCも同現象です。

<ネット接続構成>
インターネット-無線LAN(WZR-G144N)-PC

<ping結果>
Microsoft Windows [Version 6.1.7601]
Copyright (c) 2009 Microsoft Corporation. All rights reserved.

C:\Users\xxxxx>ping sfp.kyoraku.jp

sfp.kyoraku.jp [1.1.81.114]に ping を送信しています 32 ...続きを読む

Aベストアンサー

状況からバッファローのルーターの問題であるような気がします。
ファームウェアのバージョンが低い場合は、アップデートで改善される「こと」もありますのでダメ元で試してみてはいかがでしょう?
あと、ルーターの経路情報や、ルーターにログインしてからpingテストをやってみて状況を確認してください。
ルーターからもpingが通らなければ(多分通らないと思いますが)、バッファローに問い合わせてみるのが解決への近道のような…。
他のルーターをお持ちでしたら、ルーターを変えてみるのもいいかもしれません。

Qpingでポートの指定

pingでIPアドレスを指定して、通信できるかどうかというのは
よく使いますが、pingでポートを指定して応答するかどうかは調べられるのでしょうか?

よろしくお願いします

Aベストアンサー

pingを含むICMPというプロトコルは、OSIの7レイヤで言うところのL2(同一セグメント内通信)とL3(IPルーティングされた通信)の両方にまたがる、ちょっと珍しいプロトコルです。

IPアドレスは指定できますが、別サブネットに属するIPアドレスに到達できればL3通信、できなければゲートウェイと呼ばれる同一サブネットに属する中継装置からの回答を得るという点でL2(MAC通信ではなく、同一セグメント内通信という意味)通信です。

ポート番号はL4で使用されるアドレスですから、L4機能の疎通確認はping(を含むICMP)ではできません。

FTPの疎通確認であれば、クライアントからサーバに対するTCP/21通信(FTP-CMD)が可能であること(サーバからクライアントへのTCP/21からの応答を含む)+サーバからクライアントに対するTCP/20通信(FTP-DATA)が可能であること(クライアントからサーバへのTCP/21からの応答を含む)が必要でしょう。

監視ソフトによるものであれば、
・クライアントからサーバへのログイン(TCP/21)
・クライアントからサーバへのlsの結果(TCP/20)
で確認すればよいでしょう。

pingを含むICMPというプロトコルは、OSIの7レイヤで言うところのL2(同一セグメント内通信)とL3(IPルーティングされた通信)の両方にまたがる、ちょっと珍しいプロトコルです。

IPアドレスは指定できますが、別サブネットに属するIPアドレスに到達できればL3通信、できなければゲートウェイと呼ばれる同一サブネットに属する中継装置からの回答を得るという点でL2(MAC通信ではなく、同一セグメント内通信という意味)通信です。

ポート番号はL4で使用されるアドレスですから、L4機能の疎通確認はping(を含む...続きを読む


人気Q&Aランキング