静的IPマスカレード設定

Question

宜しくお願いします。

ルーター　ＮＴＴ PR-S300NE

PC1 WINDOWS 7 PRO SP1 (192.168.1.XXX/24)(IP固定）
PC2 WINDOWS 7 PRO SP1 (192.168.1.YYY/24)(IP固定)
#ログオンユーザー名、パスワードはそれぞれ別々です。

接続は　ルーター→SWハブ→PC1
　　　　　　　　　　　　　　　　　↪PC2

ルーターの静的IPマスカレード設定でNATエントリを
エントリ番号/変換対象プロトコル/変換対象ポート/宛先アドレス/宛先ポート
1/TCP/3389/192.168.1.XXX/3389
2/TCP/3389/192.168.1.YYY/3389
と設定しました。

PC1の電源を落とし、PC2の電源を入れたまま外出し、リモート接続すると、リモート接続できません。（その逆もしかり）

NATエントリを１つだけにするとリモートデスクトップでもつながります。

NATエントリを２つのまま試しにPC2の宛先ポートを13389にレジストリで編集し、ルーターの方も13389にへんこうしたのですが、NATエントリが２つだとリモート接続できません。
#ルーターのNATエントリを１つにし、ルーターの宛先ポートを13389に変更し、PCのポートを13389に変更すると当然繋がります。
#イントラ環境のリモートデスクトップでは繋がります。

NATエントリを２つにし、尚且つ、PC1とPC2の電源を入れたまま外部からそれぞれ別々にリモート接続できる方法はありますか。

Wr5 · Accepted Answer

>ルーターの静的IPマスカレード設定でNATエントリを
>エントリ番号/変換対象プロトコル/変換対象ポート/宛先アドレス/宛先ポート
>1/TCP/3389/192.168.1.XXX/3389
>2/TCP/3389/192.168.1.YYY/3389
>と設定しました。

同じポート番号で複数のNATマスカレードは設定できません。
# 設定出来ているように見えても普通は不具合が発生します。

>NATエントリを２つのまま試しにPC2の宛先ポートを13389にレジストリで編集し、ルーターの方も13389にへんこうしたのですが、NATエントリが２つだとリモート接続できません。

は…
1/TCP/3389/192.168.1.XXX/3389
2/TCP/13389/192.168.1.YYY/13389
と設定した。
ということでしょうか？
この場合なら大丈夫のハズですが……。
# ちゃんとルータのWAN側IPアドレス指定しているんですよね？途中で変わっていた…とかはないですか？
ポート転送が正しく動作するならば…
1/TCP/3389/192.168.1.XXX/3389
2/TCP/13389/192.168.1.YYY/3389
でも大丈夫かと思われます。(通信に使うアプリ次第なので確実ではありませんが)
ファイヤーウォールは当然対策してあるんですよね？

ちなみに標準の3389ポートだとワームとかのアクセスがある場合があるようですが……。

私だと…PR-S300NEはブリッジモードにしてPPPoEは市販のルータを使いますね。
# 先日ONUが暴走したのか、PPPoE接続出来ない状態に陥りました。　2時間ほどONUの電源を切って復活しましたけど。

chie65535 · Answer

因みに、最近のルーターは、プロトコルとポートが重複したエントリがあると「エントリ番号が小さい方を優先する」ようになっています。

どうしてかと言うと、

TCP/4000-4020 機器１
TCP/4021　　　　 機器２
TCP/4022-4025 機器１
TCP/4026　　　　 機器３
TCP/4027-4040 機器１

と言う設定をする場合、重複しないように設定すると

1/TCP/4000-4020/機器１IP/4000-4020
2/TCP/4021　　　　/機器２IP/4021
3/TCP/4022-4025/機器１IP/4022-4025
4/TCP/4026　　　　/機器３iP/4026
5/TCP/4027-4040/機器１IP/4027-4040

というように、５つのエントリを消費します。

しかし、重複時にエントリ番号の小さい方を優先にすると

1/TCP/4021　　　　/機器２IP/4021
2/TCP/4026　　　　/機器３IP/4026
3/TCP/4000-4040/機器１IP/4000-4040

という、３つのエントリで済んでしまい、エントリの消費量が減ります。

ルーター自身の動作としても「エントリ登録時に重複チェックする必要は無いし、エントリを上から順に見て行って一致する物があったらそれを使う」という、とても単純な動作で済みます。

わざわざ「重複があったら動作が不安定になる」ような作りはしませんよ。

chie65535 · Answer

NATエントリでは「変換対象プロトコルとポートの組み合わせ」は重複してはいけません。

以下のようにして下さい。

1/TCP/3389/192.168.1.XXX/3389
2/TCP/13389/192.168.1.YYY/3389

PC１、PC２もどちらも、ポート番号3389で受けるようにします（デフォルトの設定で良い）

で、外部から接続する時は、PC１に繋ぐときはポート3389で、PC2に繋ぐときはポート13389で繋ぎます。

PC１もPC２も、ポート3389で動いていますが、外部からWANアドレスにアクセスすると、3389で動いているPCと、13389で動いているPCがあるように見えます。

NATの仕掛けは「変換対象プロトコルとポートの組み合わせを見て、LAN内部のどの機器に割り振るか？」です。

なので「変換対象プロトコルとポートの組み合わせは一意でなくてはならず、同じ組み合わせのエントリがあってはいけない」のです。

同じ組み合わせがあると「どっちに割り振れば良いのか判らない」ので、繋がらなくなります。

○良い例
1/TCP/3389/192.168.1.XXX/3389
2/TCP/13389/192.168.1.YYY/3389
変換対象プロトコルとポートの組み合わせが一意なのでOK。

×悪い例
1/TCP/3389/192.168.1.XXX/3389
2/TCP/3389/192.168.1.YYY/13389
TCP/3389でアクセスされたのをどっちに割り振れば良いか判らないのでNG。

×悪い例
1/TCP/4000-4009/192.168.1.XXX/4000-4009
2/TCP/4004/192.168.1.YYY/4004
TCP/4004でアクセスされたのをどっちに割り振れば良いか判らないのでNG。

×悪い例
1/TCP/4000-4009/192.168.1.XXX/4000-4009
2/TCP/4004-4015/192.168.1.YYY/4004-4015
TCP/4004～TCP4009でアクセスされたのをどっちに割り振れば良いか判らないのでNG。

「どっちのPCに繋ぐか」は、外部からアクセスする際に「ポート番号を変える事によって行う」のです。

従って「１つのポート番号で（同一のポート番号で）どっちか電源が入っている方に繋ぐ」と言う事は出来ません。

PC１だけ電源を入れている場合は、PC１に相当するポート番号で繋ぎます（上記例では3389）

PC２だけ電源を入れている場合は、PC２に相当するポート番号で繋ぎます（上記例では13389）

電源を切っている方のポート番号で繋ごうとした場合は、応答なしで繋がりません。

静的IPマスカレード設定

>ルーターの静的IPマスカレード設定でNATエントリを

この回答への補足

因みに、最近のルーターは、プロトコルとポートが重複したエントリがあると「エントリ番号が小さい方を優先する」ようになっています。

この回答への補足

NATエントリでは「変換対象プロトコルとポートの組み合わせ」は重複してはいけません。

この回答への補足

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング