RTX1200 PPTP接続して社内PCにアクセス

質問させていただきます。
RTX1200のルーターを会社に設置し、外出先からPPTPにてVPN接続ができるよう設定しました。
VPN接続はできて、ルーターのGUI管理画面も見ることができますが、ローカルにあるPCへのリモートデスクトップ、社内WEBサーバーへアクセスができません。

拠点間通信とLAN３にDMZを設定して公開wwwサーバーを立てています。
アドバイスをお願いします

No.4 ベストアンサー 回答者： koi1234 回答日時： 2011/05/05 21:44

最初に書いたように同じ環境で運用してないのでかなりあてずっぽうですが

パッと見で気になったところだけ書きます　サーバ関係置いているのはLAN3でしょうか？
dynamicフィルタの記載がなかったのですが
>ip lan3 secure filter in 2000
が気になりました

其の他フィルタということで記載がなかったのかもしれませんが
ip lan1 proxyarp on
を入れるとどうなるでしょうか
（場合によりip lan3 proxyarp on といったものも要るのかもしれません）

それ以外は特に問題なさそうな・・・
YAMAHAユーザのメーリングリストなどはご存知でしょうか？
そういったもの（メーリングリスト）への参加に抵抗が無ければ
そちらで質問したほうが的確なアドバイスが入るかもしれません
以下メーリングリストFAQ
http://www.rtpro.yamaha.co.jp/RT/FAQ/Users/MailL …

先に書いた syslog 等を確認する場合私は
http://www.rtpro.yamaha.co.jp/RT/utility/of-by-f …
で紹介されている　KZSYSLOG を使用しています
そういったツールと合わせ pass-log 等（フィルタリング設定）を駆使していけば
自力解決もできるのではないかと思います

この回答へのお礼

ありがとうございます
ip lan1 proxyarp on　を設定してlan1内に設置した社内サーバーへアクセスすることができました。

お礼日時：2011/05/05 22:51

No.3 回答者： koi1234 回答日時： 2011/04/28 19:11

>社内では192.168．2.100という通常のローカルIPで接続できます

>またPPTP接続すると、きちんと192.168.2.xxという社内ローカルIPアドレスが振られています。
そうするとアクセスできていいはずなんですけどね
　　　（社内接続で接続できるという段階でサーバ側の設定に問題はないと判断できます）

他に考えられる要因として上げれば
・社内接続時と社外接続時でファイヤーウォール設定が切り替わったりしてませんか？
　　（使ってるウイルス対策ソフトなどによってはありえます）
　　その場合原因はファイヤーフォールにあると思われます
　　（ファイヤーフォールOFFにして試したことはありますか？）

後は原因調査のためにルータログ調べるとかぐらいしか思いつきません
（syslog debug on とかその他駆使して確認）

アクセスできないときにどういったメッセージが出るとか
Pingで疎通の有無確認できる出来ない　とか
順番にチェックするべきことは多々あると思いますが

Configのフィルタ設定などが間違っているという落ちもあるかもしれません

（個人情報に当たる部分は伏せたうえで）
関連部分の設定を転載してみてはどうでしょうか
　　LAN・Tuunnel向けIn/Outフィルタ や　PPTP設定関連 等

他の詳しい人からの書き込みもあるかもしれません

ついでにお聞きします
>ルーターのGUI管理画面も見る
これも192.168.2.xxのルータローカルIPで見れるってことでいいんですよね？
（ルータへのLAN WEBアクセスはできている　　という認識であってますか？）
その場合ポートサーバポートは80でしょうか？
　　 仮に80で社内WEBサーバーもポート80で運用してるなら
　　 出先PCのファイヤーフォールというのも考えにくくなります
　　　（どこかでルーティング情報が崩れてる？）

この回答への補足

外部からVPNで接続すると192.168.2.1のルーターGUI画面にWEBアクセスはできています。
設定フィアルを転載します、アドバイスをお願いします

multi-session=on host=any
ip route default gateway pp 1
ip route 192.168.1.0/24 gateway tunnel 1
ip filter source-route on
ip filter directed-broadcast on
ip lan1 address 192.168.2.1/24
ip lan1 secure filter in 100000 100001 100002 100003 100004 100005 100006 100007 100099
ip lan3 address xxx.xxx.xxx.xxx/29
ip lan3 secure filter in 2000
ip lan3 secure filter out 3000 dynamic 100 101 200
pp select 1
description pp PRV/PPPoE/0:INTERLINK
pp keepalive interval 30 retry-interval=30 count=12
pp always-on on
pppoe use lan2
pppoe auto connect on
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname IDxxx PWxxx
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1500
ip pp secure filter in 1020 1030 1031 1040 1041 dynamic 201
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106
ip pp intrusion detection in on
ip pp nat descriptor 1
pp enable 1
pp select anonymous
pp bind tunnel2 tunnel4
pp auth request mschap-v2
pp auth username user1 password
pp auth username user2 password
pp auth username user3 password
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type mppe-any
ip pp remote address pool dhcp
ip pp mtu 1280
pptp service type server
pp enable anonymous
tunnel select 1
description tunnel shiten1
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac
ipsec ike keepalive use 1 auto heartbeat
ipsec ike local address 1 192.168.2.1
ipsec ike pre-shared-key 1 text xxxxxxx
ipsec ike remote address 1 xxx.xxx.xxx.xx
ip tunnel tcp mss limit auto
tunnel enable 1
tunnel select 2
tunnel encapsulation pptp
pptp tunnel disconnect time off
tunnel enable 2
tunnel select 3
tunnel encapsulation pptp
pptp tunnel disconnect time off
tunnel enable 3
tunnel select 4
tunnel encapsulation pptp
pptp tunnel disconnect time off
tunnel enable 4
tunnel encapsulation pptp
pptp tunnel disconnect time off
tunnel enable 15
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1020 reject 192.168.2.0/24 *
ip filter 1030 pass * 192.168.2.0/24 icmp
ip filter 1031 pass * xxx.xxx.xxx.xxx tcpflag=0x0002/0x0fff * www
ip filter 1040 pass * * tcp * 1723
ip filter 1041 pass * * gre
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter 100000 reject * * udp,tcp 135 *
ip filter 100001 reject * * udp,tcp * 135
ip filter 100002 reject * * udp,tcp netbios_ns-netbios_dgm *
ip filter 100003 reject * * udp,tcp * netbios_ns-netbios_dgm
ip filter 100004 reject * * udp,tcp netbios_ssn *
ip filter 100005 reject * * udp,tcp * netbios_ssn
ip filter 100006 reject * * udp,tcp 445 *
ip filter 100007 reject * * udp,tcp * 445
ip filter 100099 pass * * * * *
ip filter 200000 reject 10.0.0.0/8 * * * *
ip filter 200001 reject 172.16.0.0/12 * * * *
ip filter 200002 reject 192.168.0.0/16 * * * *
ip filter 200003 reject 192.168.2.0/24 * * * *
ip filter 200010 reject * 10.0.0.0/8 * * *
ip filter 200011 reject * 172.16.0.0/12 * * *
ip filter 200012 reject * 192.168.0.0/16 * * *
ip filter 200013 reject * 192.168.2.0/24 * * *
ip filter 200020 reject * * udp,tcp 135 *
ip filter 200021 reject * * udp,tcp * 135
ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 200024 reject * * udp,tcp 445 *
ip filter 200025 reject * * udp,tcp * 445
ip filter 200026 restrict * * tcpfin * www,21,nntp
ip filter 200027 restrict * * tcprst * www,21,nntp
ip filter 200030 pass * 192.168.2.0/24 icmp * *
ip filter 200031 pass * 192.168.2.0/24 established * *
ip filter 200032 pass * 192.168.2

補足日時：2011/05/05 13:55

No.2 回答者： koi1234 回答日時： 2011/04/28 17:33

訂正・補足しておきます

>該当PCを不通に車内で接続した場合普通にアクセスできますか
該当（）出先で使う）PCを社内で接続した場合それらサーバPCに普通にアクセスできますか

この回答への補足

はい、社内では192.168．2.100という通常のローカルIPで接続できます、またPPTP接続すると、きちんと192.168.2.xxという社内ローカルIPアドレスが振られています。

補足日時：2011/04/28 18:29

No.1 回答者： koi1234 回答日時： 2011/04/28 17:31

もう少し詳細がないと正確なことは言えないかもしれませんが

VPN接続できている ということなのでそれを前提で書きます
　　（社内のローカルIP取得はできている前提）

確認点は主に2点
・該当PCを不通に車内で接続した場合普通にアクセスできますか
　　これができないならVPN以前の問題です　多分ファイヤーフォール関係

・該当PCへのアクセスはローカルIP使って行っていますか？
　　社内で使ってる時のPC名など使ってアクセスしようとしたりしてませんか？
　　WINSなどがない限り直接該当IP入力する必要があります
　　（その為にサーバ側IPは固定する必要があります）
　　　　※ HOSTSファイルなどでIP定義してればPC名でのアクセスも可能

RTX1000で公開サーバ立てているわけではありませんが
普通にPPTPアクセスはできています