フリーソフトShrew Soft VPNを利用したRTX1000へのリ

フリーソフトShrew Soft VPNを利用したRTX1000へのリモートアクセスVPN(動的IP⇔動的IP、RTX1000でDDNS利用)

Shrew Soft VPN(IPsec)を用いて、イーモバイル接続のノートPCから自宅PC(192.168.0.4)のフォルダへアクセスすることが目的です。

現在ISACAMP SA、IPsecSA(2方向)が張れていますが

イーモバイル接続のノートPC(192.168.0.254)からRTX1000のLAN側IP(192.168.0.1)へ
PINGは通りますが、自宅PC(192.168.0.4)へPINGが通りません。

イーモバイル接続のノートPC(192.168.0.254)からRTX1000のLAN側IP(192.168.0.1)へ
telnetで入り、そこから自宅PC(192.168.0.4)へPINGすると通ります。

RTXのコンフィグは以下の通りで、Shrew Soft VPNの設定は
http://www.mediafire.com/imageview.php?quickkey= …
の画像のように設定しています。

どなたか192.168.0.4のフォルダが参照出来るように
ご教授お願い致します。

# show config
# RTX1000 Rev.8.01.28
security class 2 on on
ip route default gateway pp 1
ip route 192.168.0.254 gateway tunnel 1
ip icmp log on
ip lan1 address 192.168.0.1/24
pp select 1
pp always-on on
pppoe use lan2
pppoe auto connect on
pppoe auto disconnect off
pp auth accept chap
pp auth myname ID Password
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
ip pp nat descriptor 1
netvolante-dns hostname host pp XXXXXX.aa0.netvolante.jp
pp enable 1
tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc sha-hmac
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.0.1
ipsec ike log 1 key-info message-info payload-info
ipsec ike payload type 1 3
ipsec ike pre-shared-key 1 text YYYYYYYYY
ipsec ike remote address 1 any
ipsec ike remote name 1 S101
ip tunnel tcp mss limit auto
tunnel enable 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 ipcp
nat descriptor address inner 1 192.168.0.1-192.168.0.253
nat descriptor masquerade static 1 3 192.168.0.4 tcp 22
nat descriptor masquerade static 1 4 192.168.0.1 udp 500
nat descriptor masquerade static 1 5 192.168.0.1 esp
ipsec auto refresh on
telnetd service on
telnetd listen 23
telnetd host any
dhcp service server
dhcp scope 1 192.168.0.2-192.168.0.253/24
dns server pp 1
dns private address spoof

No.3 ベストアンサー 回答者： koi1234 回答日時： 2010/10/02 10:25

全文ちゃんと見てませんが

ip lan1 proxyarp on
が不足しているんではないかという気がします

この回答への補足

ご指摘の通りでした。
ノートから192.168．0.4にPINGを飛ばした場合
ヤマハルータ⇒デスクトップPCへ行くパケットの
送信元IPは(下の補足でも触れましたがNATは掛からず)
192.168.0.254となっているようで
デスクトップPCは、知らないIPなのでARPを流す
はずです。しかし、ルータのLAN側には192.168.0.254
がいないので、ARPの返答は返ってこないはずです。
そのため、デスクトップPCにはPINGが届くけれども
192.168.0.254のMACアドレスがわからないので
返信出来ないことになるのだろうと思います。

192.168.0.254を192.168.1.254にしてみると(ルーティングの設定も同じように
変えます。)
デスクトップPCは、別ネットワークへのPING返答なので
デフォルトゲートウェイの192.168.0.1へPING返答を送るので
proxyarp設定は不要でした。

なお、VISTAではPINGの許可設定がウインドウズファイアオール
に必要でした。

ファイル共有については
例外タブでファイル共有のチェックと445番(確かTCP)を新しく例外として
作ります。
VISTAとノート(XP)に同じアカウントとPWを作り
ファイル共有したいフォルダに共有設定を作ります。
接続は\\192.168.0.4\とファイル名を指定して実行すると
ノートPCから自宅パソコンのフォルダが見れるようになりました。

補足日時：2010/10/03 10:34

No.5 回答者： nnori7142 回答日時： 2010/10/03 12:38

　追加補足（３）確認しました。

そうなるとネットワーク構成の流れから、（通常は必要無いかと考えますが）スタティック・ルート設定にて、WAN→LAN（自宅PC）・LAN（自宅PC)→WANの静的ルートを確保するように追加設定してみてはどうでしょうか？
　

この回答への補足

回答頂きありがとうございます。
proxy arpだと他のIP(192.168.0.254以外のもの192.168.0.110とか)のMACアドレスを
求めるためのARPリクエストにもルータは答えてしまうはずなので、
VISTAに静的ルートを設定して、proxy arpをoffにして試してみたいと
思います。

補足日時：2010/10/04 01:34

No.4 回答者： nnori7142 回答日時： 2010/10/02 11:43

　No3の方の仰っています代理ARP機能（ip lan1 proxyarp on）については、Yamahaルーターサポート・設定例にあるPPTPクライアントに対し、IPアドレスを付与する場合に設定するコマンドですので、今回のケースIPSECトンネルモードでのVPN構築例ですと不要かと思いますよ。

　VPNクライアントツール側にてIPSEC通信・暗号化接続を実施する形になるかと存じます。
　もし、仮にPPTP-VPNにて接続をやり直す場合には、IPSECトンネルコマンド等を全て削除（noコマンドにて）PPTPパススルー及びPPTPサーバ設定、TCP1723・GRE透過設定を中心に実施して下さい。ちなみに、お持ちのRTX1000自体はPPTP接続のレスポンスがあまり良くないので、IPSEC-VPNにて可能でしたら統一された方が良いかと存じます。

この回答への補足

何度も回答大変ありがとうございます。
現状のところあくまでも私の憶測ですがルータからデスクトップPCへ
行くパケットの送信元IPを、ルータが192.168.0.254から192.168.0.1へ
変換しないので、デスクトップPCが192.168.0.254のMACアドレスを
調べようとするがそこに該当ノードがいないのでわからず、かと言って
同じネットワークのアドレスなので、デフォルトルートにも送れない
のでPINGの返信を返せないのだろうと推察しています。
そこで、ルータに、代理のMACアドレス(192.168.0.1のインターフェースのもの)を
返信する設定をいれると通信が可能になったのではと考えております。
設定投入でPING可能となるのは、IPsecとPPTPの両方で共通しておりました。

IPsecとPPTPを両方設定してみましたが、ご指摘の通りPPTPは
異常に遅いです。IPSEC-VPNで今後利用する予定です。

それにしてもフリーのVPNクライアントが使えることがわかって
大変満足な結果となりました。

皆様、ありがとうございました。

補足日時：2010/10/03 10:54

No.2 回答者： nnori7142 回答日時： 2010/10/01 22:04

　先ほど言い忘れましたが、指摘のVPNクライアントソフトの通信ポートの番号をYamahaルーターの方にも解放ポートとして設定してい

ますでしょうか？

この回答への補足

何度も回答ありがとうございます。
結論と致しましては、VPNクライアントソフトの通信ポートは
Yamahaルーターには設定不要でした。

補足日時：2010/10/03 10:04

No.1 回答者： nnori7142 回答日時： 2010/10/01 22:00

　お尋ねの件ですが、「nat descriptor masquerade static 1 4 192.168.0.1 udp 500

nat descriptor masquerade static 1 5 192.168.0.1 esp」にてIPSECパススルー透過させるパケットルール記述は理解できましたが、ゲートウェイIPではなく、パススルーさせるのは自宅PCのIPではないですか？

この回答への補足

平日半ばだったので質問後2日ほどレスが付かず、すぐに解決したかったので
自分で施行錯誤したところ自己解決しました。
回答は半ばあきらめて質問を削除しようと昨日再度覗いたところ
沢山レスを頂いており、驚きとまた、大変に感謝しております。
誠にありがとうございました。

(フリーソフト)Shrew Soft VPNとRTX1000を使った動的グローバルIP間での
IPsec接続はWEB上でまだ誰も公開されていないので
ここで詳しく情報を残したいと思います。

まず、質問本文文字制限で記載出来なかった
構成図です。

[ネットワーク構成]

　　　　　インターネットへ　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　インターネットへ
　　　　　　　　　 ∥　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 ∥
　　　　　　　　　 ∥　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 ∥
　　　　　　　　　 ∥XX.netvolante.jp　　　＃＃＃＃＃＃＃＃＃＃＃＃＃＃　∥
　　　　　　　　　 ∥　　　 ⇔　　　　　　　　 ＃　　　 暗号トンネル　　 　　　　＃　　∥ イーモバイル
　　　　　PPPoE∥動的グローバルIP　＃　　　　　　　　　　　　　　　　　　＃ 　　∥ 動的グローバルIP
　　　　┌－－－－－－－－－－－－－－┐　　　　　　┌－－－－－－－－－－－－－－┐
　　　　｜　　　　　　　　　　　　　　　　　　　　　　｜　　　　　　｜　　　　　　　　　　　　　　　　　　　　　｜
　　　　｜　　　　　ルータ　　　　　　　　　　　　　｜　　　　　　｜　　　　　ノートPC　　　　　　　　　　｜
　　　　｜　　　　　　　　　　　　　　　　　　　　　　｜　　　　　　｜　　　　　　　　　　　　　　　　　　　　　｜
　　　　└－－－－－－－－－－－－－－┘　　　　　　└－－－－－－－－－－－－－－┘
　　　　　　　　　　　｜192.168.0.1　　　　　　　　　　　　　　　　　　　　　　　　192.168.0.254
　　　　　　　　　　　｜　　　　　　　　　　　　　　　　　　　　 (Shrew Soft VPNの仮想LANインターフェースのIP)
　　　　　　　　　　　｜192.168.0.4
　　　　┌－－－－－－－－－－－－－－┐
　　　　｜　　　　　　　　　　　　　　　　　　　　　　｜
　　　　｜　　デスクトップPC(Vista)　　　　　　 ｜
　　　　｜　　　　　　　　　　　　　　　　　　　　　　｜
　　　　└－－－－－－－－－－－－－－┘


ルータ⇔ノートPC間でSA確立後に、ノートPCから192.168.0.4へPINGを打った場合で
ルータ⇒デスクトップPC(Vista)へ行くパケットですが、
nat descriptor masquerade static 1 4 192.168.0.1 udp 500
nat descriptor masquerade static 1 5 192.168.0.1 esp
によってIPヘッダの宛先IPが192.168.0.4から192.168.0.1へ書き換えは行われないようです。
そのため、
nat descriptor masquerade static 1 4 192.168.0.4 udp 500
nat descriptor masquerade static 1 5 192.168.0.4 esp
の記述は不要のようです。
http://www.rtpro.yamaha.co.jp/RT/docs/ipsec/nat. …
では、ルータLAN側IP(192.168.0.1)を指定しています。

補足日時：2010/10/03 09:57