VPNクライアントと対向側のルータの間にルータを挟んだ通信について教え

VPNクライアントと対向側のルータの間にルータを挟んだ通信について教えてください。

構成1 ○
[PC1（ciscoVPNクライアント）]---[ルータA（buffalo）]---インターネット---[ルータC（cisco)]---[PC2]
構成2 ×
[PC1（ciscoVPNクライアント）]---[ルータB（YAMAHA RTX1200）]---インターネット---[ルータC（cisco)]---[PC2]
構成3 ○
[PC1（ciscoVPNクライアント）]---インターネット---[ルータC（cisco)]---[PC2]

もともと構成1で、ルータAは一般的なインターネットルータで単純にインターネット用です。それを構成2に変更しました。ルータBはPPPoEと IPSecを併用しています。IPSecは他拠点のYAMAHAルータとVPNをむすんでいます。（ルータCは他社のルータで変更できません）

VPNの使い方は、PC1からルータCへVPN（IPSec）をつなぎにいき、そのあとPC1からPC2にリモートで接続しています。しかし、構成1から構成2に変更してから、IPSec自体はむすべるんですが、PC1とPC2間で通信ができなくなりました。リモート接続以前に、pingすら飛びません。

構成3のようにPC1にデータ通信カードをさした場合は、通信できます。構成2の社内LAN（ローカルアドレス）からルータBを経由した場合に通信ができません。
VPNクライアントの設定、ルータC、ネットワーク体系は変更していないため、ルータBの設定の問題と思われるのですが、全く原因がわからず困っております。

IPSecをむすんでから通信がうまくいかない理由をお願いいたします。RTX1200でのその実現方法も教えていただけましたら大変助かります。

宜しくお願いいたします。

No.3 ベストアンサー 回答者： root139 回答日時： 2010/09/11 16:48

> nat descriptor masquerade static 1 1 ルータB udp 500

> nat descriptor masquerade static 1 2 ルータB esp *
> この設定は、上記の「ルータB（YAMAHA RTX1200）自身で処理」のことだと思っているのですが合っているでしょうか？

そうだと思います。
http://www.rtpro.yamaha.co.jp/RT/docs/ipsec/nat. …

> またその場合、下記のような「パススルー」を設定すれば、両方とも可能になるということでしょうか？
> nat descriptor masquerade static 1 1 PC1 udp 500
> nat descriptor masquerade static 1 2 PC1 esp *

一つの nat descriptor に同一プロトコル同一ポート番号で複数の設定は出来ないと思いますので、変更することになります。
おそらくこの場合は、[PC1][PC2]間の通信はうまくいくと思われますが、今度は他拠点のYAMAHAルータとのIPSec接続が出来なくなるかと。

http://www.rtpro.yamaha.co.jp/RT/docs/ipsec/nat. …
にも書いて有りますが、外側のアドレス(グローバル)が複数あれば、一つを他拠点のYAMAHAルータとのIPSec専用にすることによって両立させることは可能だと思います。

外側のアドレス(グローバル)が一つしかなければ、回答1で述べられている通り、難しいかも知れません。

参考URL：http://www.rtpro.yamaha.co.jp/RT/FAQ/IPsec/

この回答へのお礼

そうなんですか。。
なかなか難しいものですね。

ありがとうございました。
どうするか検討してみます。

お礼日時：2010/09/12 11:34

No.4 回答者： koi1234 回答日時： 2010/09/11 16:57

#1です

>すみません。ルータ同士のIPSecと
>VPNクライアントとルータのIPSecを混在することが無理ということでしょうか？

私が言おうとしているのはそういうことです

（RTX1200側で）複数のグローバルIP使ってたりするのであれば
設定によっては可能だと思いますが（これは他の方も書かれてるのと同じ）

正確な記憶ではないのですがciscoーYAMAHA間でも設定によっては
VPNができたと記憶しています
（それができればの話になりますが）
PCからクライアントソフト使うことにこだわる必要もないのでは？
（環境によって使い分けましょうって事です）

この回答へのお礼

>正確な記憶ではないのですがciscoーYAMAHA間でも設定によっては
>VPNができたと記憶しています
>（それができればの話になりますが）
>PCからクライアントソフト使うことにこだわる必要もないのでは？
>（環境によって使い分けましょうって事です）
そうですね。
一度検討してみたいと思います。

ありがとうございました。

お礼日時：2010/09/12 11:36

No.2 回答者： root139 回答日時： 2010/09/11 15:32

ルータA（buffalo）ではVPNパススルー機能を使っていたと思います。

ルータB（YAMAHA RTX1200）でも同様の設定をされていますでしょうか？
http://www.rtpro.yamaha.co.jp/RT/FAQ/IPsec/faq_2 …

また、ルータB（YAMAHA RTX1200）自身も別の拠点とIPSecで繋いでいるとのことですので、IPSecのパケットがそれぞれの場合で適切に処理されるようになっていることが必要です。

・[PC1（ciscoVPNクライアント）] ⇔ [ルータC（cisco)]
　→ パススルー

・[ルータB（YAMAHA RTX1200）] ⇔ [他拠点のYAMAHAルータ]
　→ ルータB（YAMAHA RTX1200）自身で処理

参考URL：http://www.rtpro.yamaha.co.jp/RT/FAQ/IPsec/

この回答への補足

回答ありがとうございます。

PPPoEに対して、ESPとUDP500の通信をルータ（LAN側）へ流すIPマスカレードを設定しております。
nat descriptor masquerade static 1 1 ルータB udp 500
nat descriptor masquerade static 1 2 ルータB esp *

この設定は、上記の「ルータB（YAMAHA RTX1200）自身で処理」のことだと思っているのですが合っているでしょうか？

またその場合、下記のような「パススルー」を設定すれば、両方とも可能になるということでしょうか？
nat descriptor masquerade static 1 1 PC1 udp 500
nat descriptor masquerade static 1 2 PC1 esp *


宜しくお願いいたします。

補足日時：2010/09/11 16:10

No.1 回答者： koi1234 回答日時： 2010/09/11 15:08

ciscoは使ったことがないうえにRTX1200も触ったことはないため想像ですが

（RTX1000使ってるので）

>ルータBはPPPoEと IPSecを併用しています。IPSecは他拠点のYAMAHAルータとVPNをむすんでいます
ということはIPSec用のパケットをRTX1200で処理するように設定してるはずですよね？

ciscoVPNがIPSecなら結局パケットがPCに届いていないのでは？
という気がしますが（PPTPクライアントならまた別）

言いたいこととしては同一プロトコルのVPNパケットは
パススルーするのと自分自身で処理するの混在の形では使えないのでは？
ということです

configも何もない提示されてない状態では
判断つく人でもわからないような気がしますが
　　　（最低限でVPN関連の設定がどのようになっているのか）

この回答への補足

はい。ルータBでは、PPPoEにIPマスカレードの設定をしています。
ESPとTCPの500をルータのLAN側IPへ設定しています。
それ以外は破棄する形になっています。

>言いたいこととしては同一プロトコルのVPNパケットは
>パススルーするのと自分自身で処理するの混在の形では使えないのでは？
>ということです
すみません。ルータ同士のIPSecと
VPNクライアントとルータのIPSecを混在することが無理ということでしょうか？


>configも何もない提示されてない状態では
>判断つく人でもわからないような気がしますが
すみません。かなり急ぎのため説明不足でした

宜しくお願いします。

補足日時：2010/09/11 15:48