会員登録で5000円分が当たります

お世話になります。
VPN/パススルー機能について詳しい方どなたか教えて下さい。

現在 本社と支社でVPNをしており問題無く通信が出来ています。
今回、本社側のVPN化機能付きのAルータ(*1)の直上にVPNパススルー機能付きのBルータ(*2)を挟むと、VPNができません。この時どのホストからもInternetには繋がり,同セグメント,別セグメント間でPingが通ります。また検証の為別CルータをAルータのWAN側に直刺しすると同じ設定内容でのVPN通信が確立できます。
この検証用CルータをBルータのWAN側に刺すと上手く繋がりません。(Pingは双方向で出来ます)
Bルータパススルーが機能してないのでしょうか?
A・BどちらのルータにもVPNに関するログは残っていませんでした。
(*1)Persol社BSR14
WAN側PPPoE/VPN-IPsec/レスポンダー設定(アグレッシブモード/ESP/トンネルモード
(*2)Buffalo社BBR-4MG
IPsecパススルー(ESPトンネルモードのみ対応)→「使用する」/アクセス制限や静的ルーティングの設定は無し

この様な設定です、どなたか是非対策方法をご教授下さい。

このQ&Aに関連する最新のQ&A

A 回答 (8件)

状況は理解できました。


とりあえず、以下の構成で、

[PC1]--(L)[ルータA](W)--(L)[ルータB](W)--(W)[ルータC](L側)--[PC2]

以下の方向のping応答が確認できるようにしてください。

[PC1]→(W)[ルータC]

ルータBが適切にルーティングできていないようだと、VPNもなにも出来ません。
(PC2からのping確認は、ルータBのNATではじかれてしまうと思うので、確認する必要はないと思います。)

検証環境でこの状態が出来るかどうか、確認してみてください。

この回答への補足

Toshi0230さん、レス遅くなってしまって申し訳ありません。
会社でN/Wを止めて検証する時間が取れないでおりますが、
前回の検証では、
[PC1]--(L)[ルータA](W)--(L)[ルータB](W)~(Internet)~(固定IP)[ルータC](L)--[PC2]
の状態で[PC1]→(固定IP)[ルータC]にpingは通りました。
もちろん[PC1]⇔(Internet)も、
[PC2]⇔(Internet)もできました。
ですが[PC1]⇔[PC2]間でVPNは出来ませんでした。
[ルータB]を取ると[PC1]⇔[PC2]間でVPNが出来るようになりました。

補足日時:2006/08/07 16:36
    • good
    • 0

基本的な話ですが、ちょっと気になったので・・・・


ルータ間をVPN接続しない構成の場合、ルータA、ルータCにそれぞれ
相手のLAN側のルーティングが必要ですよ。
相手のルータのWAN側までPingが通っているてLAN側に届いていないので・・・
多分、相手のLAN側のネットワークをルータが知りません。
Staticルート記述するか(デフォルトルートでも良いですが)、ルータ間で
ダイナミックルーティングプロトコルを動かしてください。

VPNをやってると、ルーティングプロトコルの事を忘れがちになるので。

この回答への補足

Elgadoさん、ご協力ありがとうございます。
実は本題は、ルータA←→ルータC間でpingを通したいわけではなくて、ルータBを間に介した時に上手くパススルーさせて、ルータA⇔(ルータB)⇔ルータC間にVPNを通したいのです。。。(大変お手数なのですが、履歴をご参照下さい)
実際今でもプロトコルの巡回無しで、静的ルーティングも無しで、「本社」と「支社」のプライベートIPアドレス間でVPNを利用して通信が出来ています。
ところがルータBを間に介した配線をすると駄目なのです。(**)

補足日時:2006/07/31 17:52
    • good
    • 0

> ルータA⇔ルータC間でもVPNが確立した後はPingが双方向で通るようになります。



ルータBが間に入っているときは、ルータA~ルータC間のVPNがつながらないんですよね?
なのにVPNが確立した後にはPingが通るって???

おっしゃっていることに矛盾があるようです。
もう一度整理してください。
話を簡潔にするために、ルータA、B、Cを使った検証環境に対象を絞ります。

1. VPNを使わない状態で、ルータA←→ルータC間でPINGの疎通は確認できますか? あるいは別の方法で、通信が確立できていることを証明できますか?

2. 今回問題になっている側のインターネット接続回線は、IP1個の契約ですか?それとも複数の固定IPを持っていますか?

この回答への補足

Toshi0230さん、鋭いご質問ありがとうございます。

> ルータA⇔ルータC間でもVPNが確立した後はPingが双方向で通るようになります。

の説明をします。上記正確には検証時(直刺し)に、
[PC1]--(L)[ルータA](W)---(W)[ルータC](L側)--[PC2]の配線で、
【OK】[PC1]→(W)[ルータC]
【OK】[PC2]→(W)[ルータA]
【NG】[PC1]←→[PC2]
という状態で、VPNを確立させた後は、
【OK】[PC1]←→[PC2]になるという意味でした。
説明が足りなくて申し訳ありませんでした。

尚、固定IPは1つの契約です。
宜しくお願いします。

補足日時:2006/07/31 09:17
    • good
    • 0

なるほど接続後は通りますか・・



すみませぬ、こうなると実機を見ないことには分からないので
お役にたてませんです。

この回答への補足

ArukuMailさん、とんでもないです。ご協力ありがとうございました。
m(_ _)m

補足日時:2006/07/31 09:13
    • good
    • 0

>>ただ、VPNが確立するより前にプライベートIPアドレス間であるA⇔C間でPingは通らないという認識でおりますが。

。。

経験した問題は◎[ルータA](W側)⇔(L側)[ルータB]間で
ICMPが通らないとPPTPではまずかったです<無論
ホスト⇔ルータも

結論から言うと関係するセッションすべてICMPが通らないとうまくいかなかったです

この回答への補足

ArukuMail さん レスが遅れて申し訳ありません。

>経験した問題は◎[ルータA](W側)⇔(L側)[ルータB]間でICMPが通らないとPPTPではまずかったです。
上記◎[ルータA](W側)⇔(L側)[ルータB] 間でPingは通ります。ルータA⇔ルータC間でもVPNが確立した後はPingが双方向で通るようになります。

補足日時:2006/07/29 19:18
    • good
    • 0

一つやり方としては


VPN同士のネットワークとインターネットのネットワークが分離することだと思います。

うーん、目の前に機材の設定を見ていないのでなんとも
と言うことろですが

最後に、どちらのルータもICMPやPINGが通るようになっていますか?

私の場合IPSecではなくPOPTOPと言うマイクロソフトの
VPNサービスを利用したことがありましたが
その場合ICMPがとらないと
相互に通信ができなかったことがあります。

これでダメなら、すみませんわたしでは手におえませんm(__)m

この回答への補足

ArukuMailさん、たびたび迅速なご返答ありがとうございました。

Pingは以下の配線状態で、

[ルータA](W側)---(L側)[ルータB](W側)---(W側)[ルータC]

◎[ルータA](W側)⇔(L側)[ルータB]
◎[ルータB](W側)⇔(W側)[ルータC]
NG[ルータA](W側)⇔(W側)[ルータC] 

という感じです。
ただ、VPNが確立するより前にプライベートIPアドレス間であるA⇔C間でPingは通らないという認識でおりますが。。。
ありがとうございました。
m(_ _)m

補足日時:2006/07/28 16:20
    • good
    • 0

なるほど、臨海性能までつかうのかと思っていました。



ちなみに、NATを有効にすると、これまた動作に
影響が発生するかもしれません。<結局NATルーター側がVPNパケットの振り分け判断ができないから
いや同時にVPNセッションをローカル側で行った場合
不具合がでたようなきがします<当方BBR-4HG

友人曰く、ホームユースのルータが
統一規格に合わない仕様が多く
規格では通ってはいけないパケットが通ったり
その逆もあって、正常に動かなかった
っときいたことがわります<そのときはVPNではない。


ぎゃくにBのBBR-4MGを抜くといけないのでしょうか?
パーソルのルータだけでよいように思えるのですが

ポート自体TCPはその番号でもなく
UDP、TCP以外のプロトコルの透過も必要だったはずです

この回答への補足

ArukuMailさん たびたびありがとうございます。

>ぎゃくにBのBBR-4MGを抜くといけないのでしょうか?
当方,ルータBとルータAの間をDMZ化してWWWサーバを公開予定なので今回の配線となっております,,,

>ちなみに、NATを有効にすると、これまた動作に影響が発生するかもしれません。
ヘルプによると『インターネットに接続する場合はアドレス変換機能を使用してください。』とあり、本機ルータBでTCPとUDPしか選べない(「プロトコル全て」とかの選択肢は無い)ので、結論として、ポートの開放ではなく、「IPsec パススルー機能」を『使用する』にして使うしかないのでしょうか?
その場合は残念ながらA・B両ルータで定義しているパケット規格が一致してないので、もう別メーカのルータを利用するしかないという落ちになってしまいのでしょうか?

う~ん、残念です。

↓↓遅ればせながら参考までにイメージ図です↓↓
【OKの時】
(本社)--[ルータ甲]--[ルータ乙]~(インタネット)~[ルータA]--(支社)

VPN: [ルータ甲]⇔OK⇔[ルータA]
※[ルータ乙]=パススルー設定

【NGの時】
(本社)--[ルータ甲]--[ルータ乙]~(インタネット)~[ルータB]--[ルータA]--(支社)

VPN: [ルータ甲]⇔NG⇔[ルータA]
※[ルータ乙]&[ルータB]=パススルー設定

補足日時:2006/07/28 15:30
    • good
    • 0

いやどれもホームユースのルータですよ。

<パーソルのやつはなかなか面白い機能していましたが。
ビジネスユースのルータにするのが本来の事だと思います。

どのルータもVPNパスは本機にVPNの接続があって
通しますが、透過にはいかんせん簡易で作っています。
この簡易の仕様なので本来のVPNパケットをとうせない
ことがあります。
ちなみにホームユースルータには、VPNパケット(IPSecの場合)通せる数に制限があったかも。


ちなみにこれは重要なことですが
VPNはどのような仕様で相互を接続していますか?
これによりBBR-4MGにあるESPトンネルモードが使えるか
どうかにかかってくると思われます。
http://www.fmmc.or.jp/~fm/nwts/nwmg/keyword02/vp …

この回答への補足

ArukuMailさん 迅速なご回答ありがとうございます。

本社と支社と言っても、お恥ずかしながらSOHOですので暫定的・試験的に運用しております。(余裕ができしだいYAMAHA/RTX1100を設置する予定です)

>VPNはどのような仕様で相互を接続していますか?
VPNは現在『トンネルモード』で『ESP』を指定しています。

>ちなみにホームユースルータには、VPNパケット(IPSecの場合)通せる数に制限があったかも。
現在トンネル数は1本ですし、検証でBルータWAN側に直刺ししてもパススルーしないのも不思議な感じです,,,
現在も調査中で、先程ポート番号(500番)を明示的に開けてみたのですがやはり駄目でした。違うポート番号でしょうか?

宜しくお願いします。

補足日時:2006/07/28 13:30
    • good
    • 0

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

QL2TP/IPSecのルータのポート開放

L2TP/IPSecのルータのポート開放なんですが

ルータのポートフォワーディングで
1701 (udp) ・・・・l2tp
4500 (udp)・・・・ipsec-nat-t
500 (udp)・・・isakmp

の3つを宅内サーバに向けて開放していますが、つながりません。
ポート開放の番号や数が違うんでしょうか?

同じようにサーバ側のパケットフィルタリングでも上記3つを開放しています。

Aベストアンサー

 お尋ねの件ですが、1701ポートNoをトンネルトランスポートされるようにしていますか?
 4500番はNATトラバーサル用ポート番号、500番はIPSEC認証キー用番号ですが、ポート開放以外にルーターのIPフィルタのパス登録コマンド、out登録コマンドにて通信透過されるようにしていますか?
 上記のチェックでも駄目な場合、DMZホスト設定でルーターの着信データを全てサーバへ向けてみては如何でしょうか?
 DMZの場合、全てのデータ着信はサーバへ向きますので、セキュリティ設定はサーバ側にて破棄登録等実施された方が良いかもしれません。

QVPN接続中のクライアントPCがインターネットに接続できない。

現在、以下のような環境でVPNを実現しています。

PPTPサーバ: CentOS 4.1
ルータ : BBR-4MG(バッファロー製)

クライアント: Windows XP Pro SP2
ルータ : BBR-4HG(バッファロー製)

上記サーバに、外部ネットワークからPPTPサーバに
接続して、サーバ内にあるsambaで共有している
ファイルは読み込めます。

外部ネットワークからvpnにて接続している状態
でクライアントPCからhttp://yahoo.co.jpや
http://google.co.jpのページを見ることができません。
(FireFox1.5にて確認。エラーコードが表示されないのでエラーコードがわかりません。
"サーバが見つかりませんでした"と表示されます。きっと404のエラー??)

VPN接続中はPPTPサーバから、ローカルIPが割り振られています。

本来、VPNに接続している最中は、その他のWebページ
にアクセスできないものなのでしょうか?

PPTPサーバ側から割り振られているローカルIPと
クライアント側で割り振られているローカルIP
が異なるので、なんとなくクライアント側の
ルータがマスカレードしてくれないのかな?
と思っているんですが・・・。

現在、以下のような環境でVPNを実現しています。

PPTPサーバ: CentOS 4.1
ルータ : BBR-4MG(バッファロー製)

クライアント: Windows XP Pro SP2
ルータ : BBR-4HG(バッファロー製)

上記サーバに、外部ネットワークからPPTPサーバに
接続して、サーバ内にあるsambaで共有している
ファイルは読み込めます。

外部ネットワークからvpnにて接続している状態
でクライアントPCからhttp://yahoo.co.jpや
http://google.co.jpのページを見ることができません。
(FireFox1.5にて確認。エラー...続きを読む

Aベストアンサー

Windowsのダイアルアップネットワーク機能を使ってVPN(PPTP or IPSec/L2TP)接続を行っている場合、N接続中はデフォルトルートがダイアルアップネットワーク側に設定されるようです(これはモデム接続時も同じ)。
そのため、アクセス先のネットワークが、PPTPサーバ経由でインターネットにアクセスできるように設定されていない場合は、インターネットにはアクセスできないことになります。

回避策は……アクセス先のネットワークの設定を変更するくらいしか知りません。(__;
# クライアント側でなんとか出来ればいいんですけどねぇ。

Q一個口の意味を教えてください

タイトルと同じなのですが、注文で1個口で送料が記載されています。そこで、1個口とはどのような単位なのでしょうか?合わせて、でしょうか?それともひとつあたりとなるのでしょうか?辞典で調べたのですがよくわかりませんでしたので。。
よろしくお願いします。

Aベストアンサー

1個口とは箱の数が一個と言うことです。複数の商品を頼んだ場合でも、全てが一個の箱に入って送られてくるなら1個口です。逆にひとつの商品を頼んでも、複数の箱(たとえば3つの箱)に入って送られてくるなら3個口になります。
組み立て式の家具などの場合、たとえばベットを頼んでも、パーツ別(パーツの大きさ、長さに合わせて)に2個口、3個口で送られてくる場合がありますね。

QIPSecのaggressiveモードとmainモード

IPSecにはaggressiveモードとmainモードとがあるかと思いますが、なぜ固定IPならmainモード、動的IPならaggressiveモードとなっているのでしょうか?
ご存知の方いらっしゃいましたら教えてください。

Aベストアンサー

こんにちは。

正確には、「認証方法をPre-Shared Keyとしたときに」は動的IPの場合にはAggressiveモードを使わざるを得ないのです。よって固定IP==Mainモード、動的IP==Aggressiveモードというわけではありません。

Pre-Shared Key認証では、VPN装置毎にPre-Shared Keyを持つ必要があります。その時の装置とKeyの対応はIPで判断します。
MainモードはID情報(IPアドレス)を暗号化して交換します。その暗号化の為にはPre-Shared Keyが必要です。しかしPre-Shared Keyは相手のIPが判らないと特定できず、相手のIPは暗号化が可能になってからでないと入手できない....というループ問題になってしまいます。
よってMainモードでのPre-Shared Key認証ではあらかじめIPが判っている必要があるのです。

AggressiveモードではID情報は暗号化しません。Mainモードより情報交換が簡易化されているので、いきなり(暗号化無しで)ID情報(IP)を交換してしまいます。
よって動的IPでもかまわないのです。
当然にMainモードよりセキュリティレベルは少し下がります。

こんにちは。

正確には、「認証方法をPre-Shared Keyとしたときに」は動的IPの場合にはAggressiveモードを使わざるを得ないのです。よって固定IP==Mainモード、動的IP==Aggressiveモードというわけではありません。

Pre-Shared Key認証では、VPN装置毎にPre-Shared Keyを持つ必要があります。その時の装置とKeyの対応はIPで判断します。
MainモードはID情報(IPアドレス)を暗号化して交換します。その暗号化の為にはPre-Shared Keyが必要です。しかしPre-Shared Keyは相手のIPが判らないと特定できず、相手...続きを読む

QIP-VPNとインターネットVPNの違い

就職活動をしている大学生です。
セキュリティとネットワークに興味があり、そこから自分が何をやりたいのか突き詰めて行った結果VPNを提供している企業が浮かび上がって来ました、業界研究をしている際に疑問が出てきました。

IP-VPNとインターネットVPNの違いの違いがいまいちわかりません。

インターネットVPNはインターネット上を介したVPN、IPは事業者のネットワーク内のVPNって解釈でよいのですかね??

そうなるとプライベート回線を引くのとIP-VPNの違いは???

提供している事業者の違い、VPNに関すること、VPNの今後&求められるもの等、教えてください。

よろしくお願いします。

Aベストアンサー

こんちは。hirasakuです。

簡単に言うと
インターネットVPNはその名の通り、インターネット網を利用した拠点間をあたかもLANのように使うためのWAN構築です。
基本的にVPN接続するためのルータの設定(トンネリングや暗号化・認証など)はユーザーが設定し、運用管理もユーザーが行います。
インターネット網なので通信に対する保障がありませんので、VPNに通すデータを検討しなければならない場合もあります。
一番安価に構築できランニングコストが抑えられます。

IP-VPNは通信事業者の閉域IPネットワーク網を通信経路として用い、自社専用ネットワークであるかのようなWANを構築できるサービスのことです。
通信事業者側で用意している網は品質を保証してあり、ユーザー側はIP-VPN網に接続するだけで、セキュアな通信ができ、インターネットVPN同様LANのように使えます。

プライベート回線とは専用線やフレームリレー網などのことを言っているのですかね?
専用線は料金が距離に比例し、拠点間の距離が離れるほどコストが大きくなり、セルリレー/フレームリレーは、フルメッシュ型接続ですけど、柔軟なネットワーク構築が難しいという問題があります。専用線・フレームリレーなどは回線帯域の割にはコストが高いので、インターネットVPNやIP-VPNでコストを安くしてネットワークを構築するようになってきてます。

インターネットVPNやIP-VPNはプロトコルにIPを使わなくてはならないので、データはIPに乗せる必要があります。
そこで、広域イーサネットというサービスを各通信事業者が行っています。広域イーサネットはプロトコルをIP以外(IPXやSNAなど)を通すことができ、またイーサなので、WAN側に接続するのに極端な話、スイッチでつなげられますので、今までのようにルータの設定などいらなくなります。(VLAN構成にするならスイッチの設定が必要ですけけど)また、QoSなどデータの優先制御や帯域制御などもできますので、VoIPなどにも使えますね。
ということで、簡単に拠点間のLAN構築が可能になります。

提供しているサービスの違いは、どこも似たり寄ったりかなって思いますけど。
サービス提供エリアや、構築にあったオプションサービスなどで選べばいいのでは。

こんちは。hirasakuです。

簡単に言うと
インターネットVPNはその名の通り、インターネット網を利用した拠点間をあたかもLANのように使うためのWAN構築です。
基本的にVPN接続するためのルータの設定(トンネリングや暗号化・認証など)はユーザーが設定し、運用管理もユーザーが行います。
インターネット網なので通信に対する保障がありませんので、VPNに通すデータを検討しなければならない場合もあります。
一番安価に構築できランニングコストが抑えられます。

IP-VPNは通信事業者の閉域IPネットワ...続きを読む

QVPN接続でVPNから先のサーバーに到達できない。

PC 特に、通信関係に関しては、素人同然のものです。

会社のサーバーに自宅からアクセスしようと、VPN 接続を試みています。
VPN そのものは接続を確認できたのですが、VPN から先、つまり、会社のサーバー (IBM System i) に到達できません。
( 当然ですが ping も通りません )
会社の他の同僚は、問題なく使用できているのですが、私のところだけつながりません。

念のためですが、VPN そのものは接続できています。
その先にあるサーバーにアクセスできないのです。
言わずもがなですが、自宅の PC で、通常のネット環境には問題はありません。
インターネットも、メールも問題なく動作しています。


この場合、System i に到達できない理由として、どのような事が考えられるのでしょうか?

ちなみに、会社側のルーターは、以前、別のルーターを使用していたのですが、その時は、問題なく使用できていた、という実績があります。
その時と、自宅環境は変わっていないはずです。( 少なくとも意識して変更した事はありません )

素人考えでは、なんらかの、アドレスの指定が重複しているのでは??
と考えているのですが、デフォルト・ゲートウェイとか、IP アドレスとか、自宅側のルーターのアドレスだとか、そのあたりではないかと思っているのですが
下手に変更すると、ネットそのものに繋がらなくなくなってしまいます。

変更するにしても、一箇所だけではなく、何箇所か整合性をとって変更する必要があるかと思いますが、詳しいところまでは知らないので、苦労しています。
御存知の方がおられたら、お教え頂けませんでしょうか?

冒頭述べましたように、当方、パソコン、特に、通信関係に関しては、ほぼ、素人同然です。
他に、似たような質問も見かけたのですが、少し、難しくて理解できませんでしたので、質問させて頂きました。

一応、環境の説明をしておきます。

●自宅のPC
(メーカー) ショップメイド
(OS) Windows XP Professional Version 2002 Service Pack 3
●自宅のルーター・通信回線
(通信回線) NTT Bフレッツ
(ルーター) NEC RV-230NE
(プロバイダー) BIGLOBE
●会社のルーター
(ルーター) Buffalo BHR-4GRV
●会社のサーバー
IBM System i ( AS/400 )

尚、現状、自宅のネット環境は、私が知りえる範囲で以下の通りです。

< VPN 接続前の ipconfig コマンドの結果 >
Ethernet adapter ローカル エリア接続:

Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 192.168.1.3
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.1.1


< VPN 接続後の ipconfig コマンドの結果 >
Ethernet adapter ローカル エリア接続:

Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 192.168.1.3
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.1.1

PPP adapter XXXXX:

Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 192.168.1.8
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . : 192.168.1.8

( PPP adapter XXXXX の部分は、VPN 接続先の会社側のものかと思います。XXXXX は会社名なので伏せさせて頂きました)

VPN 接続した状態で、サーバー IBM System i のアドレス 192.168.1.201 に対して ping コマンドを発行すると
C:\>ping 192.168.1.201

Pinging 192.168.1.201 with 32 bytes of data:

Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 192.168.1.201:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

以上のように、timed out となってしまいます。

また、補足情報ですが、会社側のルーターの設定で、ルーターのデフォルト・ゲートウェイが、私の自宅と同じ、192.168.1.1 であり、これが原因ではないかと思い、192.168.1.150 に変更しました。
しかし、結果は、何も変わりませんでした。
他の同僚については、問題なく繋がっています。

以上です。
長文になってしまいましたが、何卒、宜しくお願い致します。

PC 特に、通信関係に関しては、素人同然のものです。

会社のサーバーに自宅からアクセスしようと、VPN 接続を試みています。
VPN そのものは接続を確認できたのですが、VPN から先、つまり、会社のサーバー (IBM System i) に到達できません。
( 当然ですが ping も通りません )
会社の他の同僚は、問題なく使用できているのですが、私のところだけつながりません。

念のためですが、VPN そのものは接続できています。
その先にあるサーバーにアクセスできないのです。
言わずもがなですが、自宅の PC で、通常...続きを読む

Aベストアンサー

自宅とVPN接続先(会社)サブネットが同じ 192.168.1.0/24 なのでこのような結果になってしまいますね。

対応としては、
(1)自宅のネットワークを 192.168.1.0/24 以外にする
(2)VPN接続後にルーティング情報を追加する
になると思います。

(1)が可能であればこちらの方がいいですね。

(2)は 192.168.1.201 のサーバのみに接続出来ればいいのであれば以下のコマンドをVPN接続が確立した後に実行します。

route add 192.168.1.201 mask 255.255.255.255 192.168.1.8 metric 1 if xxx

xxxは route print コマンドで出てくるVPN接続のインターフェースIDです。
(if以降は無くてもいいかもです)
192.168.1.8の部分も接続時に可変となる可能性がありますのでその都度「PPP adapter XXXXX:」側のIPアドレスに合わせます。

これで 192.168.1.201 だけならば接続出来ると思います。
複数のサーバに接続が必要ならばその分このコマンドを実行する必要があります。

毎回毎回VPN接続時に入力が必要なので可能なら(1)ですね。

自宅とVPN接続先(会社)サブネットが同じ 192.168.1.0/24 なのでこのような結果になってしまいますね。

対応としては、
(1)自宅のネットワークを 192.168.1.0/24 以外にする
(2)VPN接続後にルーティング情報を追加する
になると思います。

(1)が可能であればこちらの方がいいですね。

(2)は 192.168.1.201 のサーバのみに接続出来ればいいのであれば以下のコマンドをVPN接続が確立した後に実行します。

route add 192.168.1.201 mask 255.255.255.255 192.168.1.8 metric 1 if xxx

xxxは route print コマン...続きを読む

QVPN接続後Pingが通らない。

現在以下の内容をローカルで繋いてリモートアクセスのVPNテストを行っています。

PC1→(LAN2)YAMAHARTX1200(LAN1)→PC2

PC1にYMS-VPN7をインストールしました。

VPNを接続する前にPC1からPC2へPingをすると応答はOKなのですが、

その後PC1からリモートアクセスでVPN接続すると、Pingが通らなくなります。

ファイアーウォールは特に設定していません。

原因が分かる方がいらっしゃいましたら教えていただけますでしょうか。

宜しくお願い致します。

Aベストアンサー

VPN通信を設定すると、別途ファイアーウォール設定にて、LAN内の1台及び全てに対して、ポート開放しないと、外部とは、個別VPN通信できません。
TTPT用、IPsec用ポートをそれぞれ開放しておく事で、以前どおり、通信可能になります。
YAMAHAで、サポート説明して頂けます。

Q自宅のルーターにVPN接続でインターネット

海外から自宅のルーターにVPN接続でインターネットをしたいです。

特に自宅のサーバでデータをやり取りする必要もなく、日本のIPでインターネット接続がしたいだけです。
有料のVPN提供会社などありますが、せっかく自宅にずっと起動しているルーターがあるので、こちらを経由して接続できる方法を知りたいです。
(ネットワーク初心者なので、方法が良く分かりません。ちなみにproxyサーバという方法もありますが、VPNについて知りたいです。)

自宅のルーターはBUFFALO WHR2-G54です。
よろしくお願いします。

また、このような接続の場合の危険性については、いかがでしょうか?

Aベストアンサー

 残念ですが、かなり否定的な解答です。

 VPNで接続するには、VPN機能を提供するサーバーの役割をする機器が必要です。
 また、どのような方法で構築するにせよ、最低限、自宅側には固定IPが必要です。
 本当は、セキュリティー強度を考えると、海外の拠点側にも固定IPが欲しいです。(これはオプションです。)

 残念ですが、提示された機種のルーターにはVPNサーバー機能がありません。このため、自宅内に、VPNサーバーを提供する機器なりサーバーOS(例えば、windws2003とかwindows2008とか)を稼働させているパソコンが常時起動しているなら可能ですが・・・多分、どれもないでしょうね。(いや、普通、個人の自宅にこんなもの備えている人は少ないです。)

 どんな環境で構築するにせよ、VPNサーバーの構築を行うには、ネットワークに対する結構な知識が必要です。残念ながら、「ネットワーク初心者なので、方法が良く分かりません。」と言われるような知識で手を出せる様なものではありません。

 接続に対するセキュリティーにしても、外部に開かれたサーバーを用意すると言うことは、外部から自宅内への道を作ると言うことですから、この道には必ずそれなりのセキュリティーの対応を行う必要がありますが、これも結構ハードルは高いです。
 (いや、めちゃくちゃハードルが高いです。・・・考えください。最近、ハッカーに侵入されて個人情報を流出させた大手超有名企業や、HPを書き換えられた政府機関のサーバーなど結構ありますが、このセキュリティー対策を素人がやっていたと思いますか?そんなはずないですよね。)

 現実的なラインは、有料の外部サービスを使うのが一番の近道と思います。
 目的が、国内の制限サイトにアクセスすることというだけでしたら、国内にある公開プロキシを通すのが一番安直だと思いますけど・・・

 残念ですが、かなり否定的な解答です。

 VPNで接続するには、VPN機能を提供するサーバーの役割をする機器が必要です。
 また、どのような方法で構築するにせよ、最低限、自宅側には固定IPが必要です。
 本当は、セキュリティー強度を考えると、海外の拠点側にも固定IPが欲しいです。(これはオプションです。)

 残念ですが、提示された機種のルーターにはVPNサーバー機能がありません。このため、自宅内に、VPNサーバーを提供する機器なりサーバーOS(例えば、windws2003とかwindows2008...続きを読む

Qpingでポートの指定

pingでIPアドレスを指定して、通信できるかどうかというのは
よく使いますが、pingでポートを指定して応答するかどうかは調べられるのでしょうか?

よろしくお願いします

Aベストアンサー

pingを含むICMPというプロトコルは、OSIの7レイヤで言うところのL2(同一セグメント内通信)とL3(IPルーティングされた通信)の両方にまたがる、ちょっと珍しいプロトコルです。

IPアドレスは指定できますが、別サブネットに属するIPアドレスに到達できればL3通信、できなければゲートウェイと呼ばれる同一サブネットに属する中継装置からの回答を得るという点でL2(MAC通信ではなく、同一セグメント内通信という意味)通信です。

ポート番号はL4で使用されるアドレスですから、L4機能の疎通確認はping(を含むICMP)ではできません。

FTPの疎通確認であれば、クライアントからサーバに対するTCP/21通信(FTP-CMD)が可能であること(サーバからクライアントへのTCP/21からの応答を含む)+サーバからクライアントに対するTCP/20通信(FTP-DATA)が可能であること(クライアントからサーバへのTCP/21からの応答を含む)が必要でしょう。

監視ソフトによるものであれば、
・クライアントからサーバへのログイン(TCP/21)
・クライアントからサーバへのlsの結果(TCP/20)
で確認すればよいでしょう。

pingを含むICMPというプロトコルは、OSIの7レイヤで言うところのL2(同一セグメント内通信)とL3(IPルーティングされた通信)の両方にまたがる、ちょっと珍しいプロトコルです。

IPアドレスは指定できますが、別サブネットに属するIPアドレスに到達できればL3通信、できなければゲートウェイと呼ばれる同一サブネットに属する中継装置からの回答を得るという点でL2(MAC通信ではなく、同一セグメント内通信という意味)通信です。

ポート番号はL4で使用されるアドレスですから、L4機能の疎通確認はping(を含む...続きを読む

Qポートの80と443

こちらのサービス(https://secure.logmein.com/)を利用すると、インターネットを見られるサーバーのポートの80と443が空いていればルータやファイアウォールに特段の設定なく外部からサーバーを操作できるそうですが、逆にサーバーのポートの80や443を空けることには何か危険性があるのでしょうか。

Aベストアンサー

ポート80は一般的なHTTP、ポート443はHTTPSです。
この2つのポートがあいていなければインターネット接続(WEBブラウジング)は出来ません。
ですから、ほとんどのファイアウォールでこのポートは開いています。(インターネット接続を制限している社内LANでは当然閉じていますが)

ちなみに、よく使うポートとしてはFTPで20、21、SMTP(送信メール)で25、受信メールPOP3で110あたりです。セキュリティポリシー上、この辺は制限される事も多いですが、HTTP 80、HTTPS(暗号化用)443は通常閉じません。


危険性?
WEBプロトコルを使ってFTP的なファイル転送(WebDAV)やVPN等も出来るようになっています。当然そこにはある種の危険はつきものですが、WEBブラウジングに伴う危険と大きく変わりません。ウィルス等に感染していればこの2つのポートだけでも相当危険でしょうね。

参考まで。


人気Q&Aランキング