VPNがパススルーしていない？

お世話になります。
VPN/パススルー機能について詳しい方どなたか教えて下さい。

現在 本社と支社でVPNをしており問題無く通信が出来ています。
今回、本社側のVPN化機能付きのＡルータ(*1)の直上にVPNパススルー機能付きのＢルータ(*2)を挟むと、VPNができません。この時どのホストからもInternetには繋がり,同セグメント,別セグメント間でPingが通ります。また検証の為別ＣルータをＡルータのWAN側に直刺しすると同じ設定内容でのVPN通信が確立できます。
この検証用ＣルータをＢルータのWAN側に刺すと上手く繋がりません。（Pingは双方向で出来ます）
Ｂルータパススルーが機能してないのでしょうか？
Ａ・ＢどちらのルータにもVPNに関するログは残っていませんでした。
(*1)Persol社BSR14
WAN側PPPoE/VPN-IPsec/レスポンダー設定（アグレッシブモード/ESP/トンネルモード
(*2)Buffalo社BBR-4MG
IPsecパススルー（ESPトンネルモードのみ対応）→「使用する」/アクセス制限や静的ルーティングの設定は無し

この様な設定です、どなたか是非対策方法をご教授下さい。

No.1 回答者： ArukuMail 回答日時： 2006/07/28 13:11

いやどれもホームユースのルータですよ。

＜パーソルのやつはなかなか面白い機能していましたが。
ビジネスユースのルータにするのが本来の事だと思います。

どのルータもＶＰＮパスは本機にＶＰＮの接続があって
通しますが、透過にはいかんせん簡易で作っています。
この簡易の仕様なので本来のＶＰＮパケットをとうせない
ことがあります。
ちなみにホームユースルータには、ＶＰＮパケット（IPSecの場合）通せる数に制限があったかも。


ちなみにこれは重要なことですが
ＶＰＮはどのような仕様で相互を接続していますか？
これによりBBR-4MGにあるESPトンネルモードが使えるか
どうかにかかってくると思われます。
http://www.fmmc.or.jp/~fm/nwts/nwmg/keyword02/vp …

この回答への補足

ArukuMailさん　迅速なご回答ありがとうございます。

本社と支社と言っても、お恥ずかしながらSOHOですので暫定的・試験的に運用しております。（余裕ができしだいYAMAHA/RTX1100を設置する予定です）

＞ＶＰＮはどのような仕様で相互を接続していますか？
VPNは現在『トンネルモード』で『ESP』を指定しています。

＞ちなみにホームユースルータには、ＶＰＮパケット（IPSecの場合）通せる数に制限があったかも。
現在トンネル数は１本ですし、検証でＢルータWAN側に直刺ししてもパススルーしないのも不思議な感じです,,,
現在も調査中で、先程ポート番号（500番）を明示的に開けてみたのですがやはり駄目でした。違うポート番号でしょうか？

宜しくお願いします。

補足日時：2006/07/28 13:30

No.2 回答者： ArukuMail 回答日時： 2006/07/28 14:27

なるほど、臨海性能までつかうのかと思っていました。

ちなみに、ＮＡＴを有効にすると、これまた動作に
影響が発生するかもしれません。＜結局ＮＡＴルーター側がＶＰＮパケットの振り分け判断ができないから
いや同時にＶＰＮセッションをローカル側で行った場合
不具合がでたようなきがします<当方BBR-4HG

友人曰く、ホームユースのルータが
統一規格に合わない仕様が多く
規格では通ってはいけないパケットが通ったり
その逆もあって、正常に動かなかった
っときいたことがわります＜そのときはＶＰＮではない。


ぎゃくにＢのBBR-4MGを抜くといけないのでしょうか？
パーソルのルータだけでよいように思えるのですが

ポート自体ＴＣＰはその番号でもなく
UDP、TCP以外のプロトコルの透過も必要だったはずです

この回答への補足

ArukuMailさん たびたびありがとうございます。

>ぎゃくにＢのBBR-4MGを抜くといけないのでしょうか？
当方,ルータBとルータAの間をDMZ化してWWWサーバを公開予定なので今回の配線となっております,,,

>ちなみに、ＮＡＴを有効にすると、これまた動作に影響が発生するかもしれません。
ヘルプによると『インターネットに接続する場合はアドレス変換機能を使用してください。』とあり、本機ルータBでTCPとUDPしか選べない(「プロトコル全て」とかの選択肢は無い)ので、結論として、ポートの開放ではなく、「IPsec パススルー機能」を『使用する』にして使うしかないのでしょうか？
その場合は残念ながらA・B両ルータで定義しているパケット規格が一致してないので、もう別メーカのルータを利用するしかないという落ちになってしまいのでしょうか？

う～ん、残念です。

↓↓遅ればせながら参考までにイメージ図です↓↓
【OKの時】
(本社)--[ルータ甲]--[ルータ乙]～(インタネット)～[ルータA]--(支社)

VPN: [ルータ甲]⇔OK⇔[ルータA]
※[ルータ乙]=パススルー設定

【NGの時】
(本社)--[ルータ甲]--[ルータ乙]～(インタネット)～[ルータB]--[ルータA]--(支社)

VPN: [ルータ甲]⇔NG⇔[ルータA]
※[ルータ乙]&[ルータB]=パススルー設定

補足日時：2006/07/28 15:30

No.3 回答者： ArukuMail 回答日時： 2006/07/28 16:10

一つやり方としては

ＶＰＮ同士のネットワークとインターネットのネットワークが分離することだと思います。

うーん、目の前に機材の設定を見ていないのでなんとも
と言うことろですが

最後に、どちらのルータもICMPやPINGが通るようになっていますか？

私の場合IPSecではなくPOPTOPと言うマイクロソフトの
ＶＰＮサービスを利用したことがありましたが
その場合ICMPがとらないと
相互に通信ができなかったことがあります。

これでダメなら、すみませんわたしでは手におえませんｍ（＿＿）ｍ

この回答への補足

ArukuMailさん、たびたび迅速なご返答ありがとうございました。

Pingは以下の配線状態で、

[ルータＡ](W側)---(L側)[ルータＢ](W側)---(W側)[ルータＣ]

◎[ルータＡ](W側)⇔(L側)[ルータＢ]
◎[ルータＢ](W側)⇔(W側)[ルータＣ]
NG[ルータＡ](W側)⇔(W側)[ルータＣ]　

という感じです。
ただ、VPNが確立するより前にプライベートIPアドレス間であるＡ⇔Ｃ間でPingは通らないという認識でおりますが。。。
ありがとうございました。
ｍ（＿ ＿）ｍ

補足日時：2006/07/28 16:20

No.4 回答者： ArukuMail 回答日時： 2006/07/28 20:30

＞＞ただ、VPNが確立するより前にプライベートIPアドレス間であるＡ⇔Ｃ間でPingは通らないという認識でおりますが。

。。

経験した問題は◎[ルータＡ](W側)⇔(L側)[ルータＢ]間で
ICMPが通らないとＰＰＴＰではまずかったです＜無論
ホスト⇔ルータも

結論から言うと関係するセッションすべてICMPが通らないとうまくいかなかったです

この回答への補足

ArukuMail さん　レスが遅れて申し訳ありません。

＞経験した問題は◎[ルータＡ](W側)⇔(L側)[ルータＢ]間でICMPが通らないとＰＰＴＰではまずかったです。
上記◎[ルータＡ](W側)⇔(L側)[ルータＢ]　間でPingは通ります。ルータＡ⇔ルータＣ間でもVPNが確立した後はPingが双方向で通るようになります。

補足日時：2006/07/29 19:18

No.5 回答者： ArukuMail 回答日時： 2006/07/29 22:12

なるほど接続後は通りますか・・

すみませぬ、こうなると実機を見ないことには分からないので
お役にたてませんです。

この回答への補足

ArukuMailさん、とんでもないです。ご協力ありがとうございました。
ｍ（_ _）ｍ

補足日時：2006/07/31 09:13

No.6 回答者： Toshi0230 回答日時： 2006/07/30 22:17

> ルータＡ⇔ルータＣ間でもVPNが確立した後はPingが双方向で通るようになります。

ルータBが間に入っているときは、ルータA～ルータC間のVPNがつながらないんですよね？
なのにVPNが確立した後にはPingが通るって？？？

おっしゃっていることに矛盾があるようです。
もう一度整理してください。
話を簡潔にするために、ルータA、B、Cを使った検証環境に対象を絞ります。

1. VPNを使わない状態で、ルータA←→ルータC間でPINGの疎通は確認できますか？ あるいは別の方法で、通信が確立できていることを証明できますか？

2. 今回問題になっている側のインターネット接続回線は、IP１個の契約ですか？それとも複数の固定IPを持っていますか？

この回答への補足

Toshi0230さん、鋭いご質問ありがとうございます。

> ルータＡ⇔ルータＣ間でもVPNが確立した後はPingが双方向で通るようになります。

の説明をします。上記正確には検証時（直刺し）に、
［PC1］--(L)[ルータＡ](W)---(W)[ルータＣ](L側)--［PC2］の配線で、
【OK】［PC1］→(W)[ルータＣ]
【OK】［PC2］→(W)[ルータＡ]
【NG】［PC1］←→［PC2］
という状態で、VPNを確立させた後は、
【OK】［PC1］←→［PC2］になるという意味でした。
説明が足りなくて申し訳ありませんでした。

尚、固定IPは１つの契約です。
宜しくお願いします。

補足日時：2006/07/31 09:17

No.7 回答者： Elgado 回答日時： 2006/07/31 16:59

基本的な話ですが、ちょっと気になったので・・・・

ルータ間をVPN接続しない構成の場合、ルータA、ルータCにそれぞれ
相手のLAN側のルーティングが必要ですよ。
相手のルータのWAN側までPingが通っているてLAN側に届いていないので・・・
多分、相手のLAN側のネットワークをルータが知りません。
Staticルート記述するか(デフォルトルートでも良いですが)、ルータ間で
ダイナミックルーティングプロトコルを動かしてください。

VPNをやってると、ルーティングプロトコルの事を忘れがちになるので。

この回答への補足

Elgadoさん、ご協力ありがとうございます。
実は本題は、ルータＡ←→ルータＣ間でpingを通したいわけではなくて、ルータＢを間に介した時に上手くパススルーさせて、ルータＡ⇔（ルータＢ）⇔ルータＣ間にVPNを通したいのです。。。（大変お手数なのですが、履歴をご参照下さい）
実際今でもプロトコルの巡回無しで、静的ルーティングも無しで、「本社」と「支社」のプライベートIPアドレス間でVPNを利用して通信が出来ています。
ところがルータＢを間に介した配線をすると駄目なのです。（**）

補足日時：2006/07/31 17:52

No.8 回答者： Toshi0230 回答日時： 2006/08/02 01:24

状況は理解できました。

とりあえず、以下の構成で、

［PC1］--(L)[ルータＡ](W)--(L)[ルータＢ](W)--(W)[ルータＣ](L側)--［PC2］

以下の方向のping応答が確認できるようにしてください。

［PC1］→(W)[ルータＣ]

ルータＢが適切にルーティングできていないようだと、VPNもなにも出来ません。
（PC2からのping確認は、ルータＢのNATではじかれてしまうと思うので、確認する必要はないと思います。）

検証環境でこの状態が出来るかどうか、確認してみてください。

この回答への補足

Toshi0230さん、レス遅くなってしまって申し訳ありません。
会社でN/Wを止めて検証する時間が取れないでおりますが、
前回の検証では、
［PC1］--(L)[ルータＡ](W)--(L)[ルータＢ](W)～(Internet)～(固定IP)[ルータＣ](L)--［PC2］
の状態で［PC1］→(固定IP)[ルータＣ]にpingは通りました。
もちろん［PC1］⇔(Internet)も、
［PC2］⇔(Internet)もできました。
ですが［PC1］⇔［PC2］間でVPNは出来ませんでした。
[ルータＢ]を取ると［PC1］⇔［PC2］間でVPNが出来るようになりました。

補足日時：2006/08/07 16:36