
No.3ベストアンサー
- 回答日時:
お尋ねの件ですが、1701ポートNoをトンネルトランスポートされるようにしていますか?
4500番はNATトラバーサル用ポート番号、500番はIPSEC認証キー用番号ですが、ポート開放以外にルーターのIPフィルタのパス登録コマンド、out登録コマンドにて通信透過されるようにしていますか?
上記のチェックでも駄目な場合、DMZホスト設定でルーターの着信データを全てサーバへ向けてみては如何でしょうか?
DMZの場合、全てのデータ着信はサーバへ向きますので、セキュリティ設定はサーバ側にて破棄登録等実施された方が良いかもしれません。
この回答への補足
テーブル: filter
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT ah -- 0.0.0.0/0 0.0.0.0/0
2 ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0
3 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:500
4 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:1701
5 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:4500
VPN認証は通過していますが、上記許可ではクライアントがネットには繋がりませんでした。(espを追加許可しました)
サーバ側のファイアフォールを無効にすればネットに繋がるのですが。。
サーバ側のどのパケットでひっかかっているのやらです。。
ありがとうございます。
具体的なポート開放状況は#2さんへの返信で書かせてもらいました。
>DMZホスト設定でルーターの着信データを全てサーバへ向けて
DMZに置おいてサーバ側で制御するか、DMZに置かずルータで制御してサーバ側でファイアフォールなしにするかが一番簡単ですが
現在は、DMZには置かず、ルータで指定したもののパケットを許可しつつ、
サーバ側のパケットフィルタリングでもそれを許可するような2重設定にしています。
No.5
- 回答日時:
L2TP/IPSecは、VPN接続を行うときのプロトコルです。
VPN接続とは、通信を暗号化してインターネットをトンネリングすることで、専用線に近い安全性を確保する手法です。このため、自宅と会社を安全にインターネット接続する際などに活用されます。VPN接続はルーター側で設定することになりますが、まずはL2TP/IPSec関連のポート(1701、4500、500)を開放します。また、トンネルトランスポートの設定も行います。そしてVPN接続で使用する通信のポート(80など)もルーティングの設定が必要になります。さらに、パケットフィルタリングのローカル転送の設定も必要です。このほか、パソコン側でもVPN接続用の設定を行います。
VPN接続の設定については、ルーターのメーカーのホームページなどでも紹介されていますので、参考にすると良いでしょう。
No.4
- 回答日時:
追加補足確認しました。
そうすると、外部PCのルータの動的フィルター及びダイナミックルーティングにて、LAN内端末からTCP80番のルーティング許可を設定してあげる必要があるかと存じます。Yamahaのルーター設定の例として、「ip filter dynamic 1001 * * www」といったコマンドを、「ip lan3 secure filter out 2000 2001 2002 dynamic 1001」といったIPフィルタのoutコマンドにdynamicルーティングコマンドにて、許可でしょうか。
サーバ側にてフィルタ解除で接続可能と言う事は、フィルターのoutコマンドルールで、TCP80のルーティングはサーバ側ではなく、外部PCのルーターからルーティングさせる設定かと存じます。
この回答への補足
サーバのローカルインタフェース(eth0)の転送設定を見てみたら
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
1 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
とデフォルトでなっていて何も許可されていませんでした。これが原因だと思います。
異なるインタフェース間の転送(L2TP(仮想eth0)→物理インターフェース(eth0)の転送
(IP Fowarding)を有効にする設定として
*** /etc/sysctl.conf ***
net.ipv4.ip_foward=1 ※0から1に変更。
これで転送されるとばかり思っていて、勘違いしていました。
これは異なるインターフェース間の転送設定ですね。。。
仮想eth1から転送されてローカルインタフェースeth0に入ってきたものを
さらに、パケットフィルタリングのローカル転送Chain FORWARDで転送させるのを忘れていました。
よって、
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
2 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
4 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
5 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
これで無事転送され、ネットに繋がりました。勉強不足ですいません。
No.2
- 回答日時:
ipsecを利用する場合、認証方法によって以下を許可する必要があります。
ESP TCP/50
AH TCP/51
L2TPはそのままで通ると思いますが、ダメですか?
この回答への補足
1.ルータのポートフォワーディング
4500udp
500udp
※ルータは1701udpを開放しなくても大丈夫だった。
2.サーバのパケットフィルタリング
4500udp
500udp
1701udp
※この3つのどれか1つを外しても繋がりませんでしたので3つ開放しています。
とすることで外部からVPNサーバに接続でき認証まで通りました。
しかしこの状態で外部のクライアントからネットをするとネットにはつながりませんでした。
そこでサーバ側のパケットフィルタリングを無効(ファイアフォール無効)にすると
ネットに繋がるようになりました。
ということはサーバ側で4500udp/500udp/1701upd以外に開放しないといけないこととして
プロトコル番号50(esp)と書かれてあったのでそれも開放しましたが、VPN認証まではできていてもネットには繋がりませんでした。
そこでさらにルータ側もプロトコル50(esp)をサーバに向けて開放しましたが
それでもだめでした。
ルータ側は50(esp)を開放しなくてもサーバ側でパケットフィルタリングを無効にすればネットに繋がったのでルータの50(esp)開放は関係なく、サーバ側のパケットフィルタリングに問題があるのかと思います。
ということであとはサーバ側のパケットフィルタリングで何がひっかかっているのかが
分からない状況です。
サーバ側開放(まとめ)
4500upd
500udp
17001upd ←ここまででVPN認証通過。(しかしネットには繋がらず)
プロトコル番号50(esp)←これも追加しましたがネットには繋がらずです・・・
※パケットフィルタリング無効(ファイアフォール無効)にすればネットに繋がります。
No.1
- 回答日時:
探してみたらこんな情報がありましたが。
http://network.station.ez-net.jp/server/remote/L …
この人はできたと言っています。
50番ポートも処置が必要で、クライアント側がルータを使う場合はそちらも処置が必要だと報告していますねえ。
この回答への補足
ありがとうございます。
実は、そちらで紹介があがっているサイトを参考にしなががら設定をやったんですよ。
プロトコル番号50(esp)もサーバ側もルータ側も開放しましたが駄目でした。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- ルーター・ネットワーク機器 ひとつのスイッチでルーターの冗長化を複数させたい 1 2023/04/12 22:46
- LANケーブル・USBケーブル ポート開放ができるWi-Fiルーターを紹介して下さい。 昨日、ソフトバンクエアーを契約しました。 マ 2 2022/09/11 11:19
- FTTH・光回線 VPNルーターを設置したいですが、配線、設定に困っています。 2 2022/08/28 18:20
- ルーター・ネットワーク機器 YAMAHAルータ設定について 1 2022/09/03 16:31
- オンラインゲーム とても急いでいます。Minecraft Java版についてです。 MinecraftのJava版でマ 1 2023/03/15 21:19
- 防犯カメラ・監視カメラ・小型カメラ pr-400neポート開放 4 2023/07/31 16:07
- ルーター・ネットワーク機器 HWS33MWAポート開放方法 2 2023/08/10 16:13
- LANケーブル・USBケーブル ポート開放ができる工事不要のWi-Fiルーターがあれば、紹介して下さい。 8 2022/09/11 16:37
- ドメイン・サーバー・クラウドサービス スカパー(@skyperfectv.co.jpのドメインメール) POPサーバとポートについて @s 1 2023/07/03 11:43
- その他(パソコン・スマホ・電化製品) 工事不要で、店舗で受け取る事ができる、Wi-Fiのルーターがあれば、紹介して下さい。 「ソフトバンク 4 2022/09/11 13:29
このQ&Aを見た人はこんなQ&Aも見ています
関連するカテゴリからQ&Aを探す
おすすめ情報
- ・漫画をレンタルでお得に読める!
- ・昔のあなたへのアドバイス
- ・字面がカッコいい英単語
- ・許せない心理テスト
- ・歩いた自慢大会
- ・「I love you」 をかっこよく翻訳してみてください
- ・ゆるやかでぃべーと タイムマシンを破壊すべきか。
- ・はじめての旅行はどこに行きましたか?
- ・準・究極の選択
- ・この人頭いいなと思ったエピソード
- ・「それ、メッセージ花火でわざわざ伝えること?」
- ・ゆるやかでぃべーと すべての高校生はアルバイトをするべきだ。
- ・【お題】甲子園での思い出の残し方
- ・【お題】動物のキャッチフレーズ
- ・人生で一番思い出に残ってる靴
- ・これ何て呼びますか Part2
- ・スタッフと宿泊客が全員斜め上を行くホテルのレビュー
- ・あなたが好きな本屋さんを教えてください
- ・かっこよく答えてください!!
- ・一回も披露したことのない豆知識
- ・ショボ短歌会
- ・いちばん失敗した人決定戦
- ・性格悪い人が優勝
- ・最速怪談選手権
- ・限定しりとり
- ・性格いい人が優勝
- ・これ何て呼びますか
- ・チョコミントアイス
- ・単二電池
- ・初めて自分の家と他人の家が違う、と意識した時
- ・「これはヤバかったな」という遅刻エピソード
- ・ゴリラ向け動画サイト「ウホウホ動画」にありがちなこと
- ・泣きながら食べたご飯の思い出
- ・一番好きなみそ汁の具材は?
- ・人生で一番お金がなかったとき
- ・カラオケの鉄板ソング
- ・自分用のお土産
このQ&Aを見た人がよく見るQ&A
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
IPv6でwake on lanを設定したい
-
L2TP/IPSecのルータのポート開放
-
ネットワークゲームなどで通信...
-
Wi-FiがiPhoneには繋がるのにAn...
-
ローカルネットワーク接続1とか...
-
スマホが自宅Wi-Fiに繋がらない
-
無線接続の調子が悪いです
-
家庭のWi-Fiについて 最近家で...
-
スマート電球の接続が出来ません。
-
Wi-Fi無線LANルーターは5GHzと2...
-
IPMessengerで相手が表示されない
-
ADSLの接続&終了がエラーにな...
-
地元の天気予報が表示
-
街中のパチンコ店とかコンビニ...
-
返却ルータ、リセット忘れ
-
TP- LinkというWi-Fiルーターは...
-
ADSL回線時のNATタイマ(ルータ...
-
フレッツADSLサービス終了の連...
-
ネットカフェで自分のPCを
-
インターネットが海外接続とな...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
IPv6でwake on lanを設定したい
-
L2TP/IPSecのルータのポート開放
-
ネットワークゲームなどで通信...
-
同一ポート向けパケットを2台の...
-
yahoo BB12M無線LANでポー...
-
OCN Bフレッツ光 RV-S340NEの...
-
Wi-FiがiPhoneには繋がるのにAn...
-
ブレーカーが落ちた後のnet環境...
-
UltraVNCで、出来るだけ軽い設...
-
ぷららなのですがホスト名がwww...
-
wifiのルーターの置いてある部...
-
Wi-Fiの電波でレガシーアクセス...
-
ローカルネットワーク接続1とか...
-
LANケーブルを見てるとがピカピ...
-
Wi-Fi中継機をつけました。中継...
-
VPN設定を削除してしまいました
-
無線から有線への切り替えについて
-
インターネット接続の共有は管...
-
IPMessengerで相手が表示されない
-
IPMessengerで他フロアの人とメ...
おすすめ情報