新生活!引っ越してから困らないように注意すべきことは?>>

L2TP/IPSecのルータのポート開放

解決済

  • 質問者:testmaster_x
  • 質問日時:
  • 回答数:5

L2TP/IPSecのルータのポート開放なんですが

ルータのポートフォワーディングで
1701 (udp) ・・・・l2tp
4500 (udp)・・・・ipsec-nat-t
500 (udp)・・・isakmp

の3つを宅内サーバに向けて開放していますが、つながりません。
ポート開放の番号や数が違うんでしょうか?

同じようにサーバ側のパケットフィルタリングでも上記3つを開放しています。

通報する

この質問への回答は締め切られました。

質問の本文を隠す

このQ&Aに関連する最新のQ&A

ルーター YAMAHA」に関するQ&A: フレッツ光のルーターとYAMAHArt58i

さらに表示

TP とは」に関するQ&A: TPSとは・・・

A 回答 (5件)

No.3ベストアンサー

  • 回答者: nnori7142
  • 回答日時:

 お尋ねの件ですが、1701ポートNoをトンネルトランスポートされるようにしていますか?


 4500番はNATトラバーサル用ポート番号、500番はIPSEC認証キー用番号ですが、ポート開放以外にルーターのIPフィルタのパス登録コマンド、out登録コマンドにて通信透過されるようにしていますか?
 上記のチェックでも駄目な場合、DMZホスト設定でルーターの着信データを全てサーバへ向けてみては如何でしょうか?
 DMZの場合、全てのデータ着信はサーバへ向きますので、セキュリティ設定はサーバ側にて破棄登録等実施された方が良いかもしれません。

この回答への補足

テーブル: filter
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT ah -- 0.0.0.0/0 0.0.0.0/0
2 ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0
3 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:500
4 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:1701
5 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:4500

VPN認証は通過していますが、上記許可ではクライアントがネットには繋がりませんでした。(espを追加許可しました)
サーバ側のファイアフォールを無効にすればネットに繋がるのですが。。
サーバ側のどのパケットでひっかかっているのやらです。。

補足日時:2013/02/14 03:14
通報する
    • good
    • 2
通報する
この回答へのお礼

ありがとうございます。
具体的なポート開放状況は#2さんへの返信で書かせてもらいました。

>DMZホスト設定でルーターの着信データを全てサーバへ向けて

DMZに置おいてサーバ側で制御するか、DMZに置かずルータで制御してサーバ側でファイアフォールなしにするかが一番簡単ですが
現在は、DMZには置かず、ルータで指定したもののパケットを許可しつつ、
サーバ側のパケットフィルタリングでもそれを許可するような2重設定にしています。

通報する
お礼日時:2013/02/14 01:58

No.5

L2TP/IPSecは、VPN接続を行うときのプロトコルです。

VPN接続とは、通信を暗号化してインターネットをトンネリングすることで、専用線に近い安全性を確保する手法です。このため、自宅と会社を安全にインターネット接続する際などに活用されます。

VPN接続はルーター側で設定することになりますが、まずはL2TP/IPSec関連のポート(1701、4500、500)を開放します。また、トンネルトランスポートの設定も行います。そしてVPN接続で使用する通信のポート(80など)もルーティングの設定が必要になります。さらに、パケットフィルタリングのローカル転送の設定も必要です。このほか、パソコン側でもVPN接続用の設定を行います。

VPN接続の設定については、ルーターのメーカーのホームページなどでも紹介されていますので、参考にすると良いでしょう。
    • good
    • 0
通報する

専門家紹介

OCNセキュリティ編集部

職業:セキュリティアドバイザー

閲覧ありがとうございます。OCNセキュリティ編集部です。

最新のセキュリティ情報やおすすめのOCNセキュリティサービスをご紹介いたします。ぜひスマホやパソコンのセキュリティ対策にお役立てください。

・セキュリティ最新事情
「最新セキュリティ情報」はこちら
http://www.ntt.com/personal/ocn-security/case/in …
「セキュリティコラム」はこちら
http://www.ntt.com/personal/ocn-security/case/co …

・おすすめのOCNセキュリティ製品はこちら
http://www.ntt.com/personal/services/option/secu …

詳しくはこちら

専門家サイトへ

専門家

No.4

  • 回答者: nnori7142
  • 回答日時:

 追加補足確認しました。

そうすると、外部PCのルータの動的フィルター及びダイナミックルーティングにて、LAN内端末からTCP80番のルーティング許可を設定してあげる必要があるかと存じます。
 Yamahaのルーター設定の例として、「ip filter dynamic 1001 * * www」といったコマンドを、「ip lan3 secure filter out 2000 2001 2002 dynamic 1001」といったIPフィルタのoutコマンドにdynamicルーティングコマンドにて、許可でしょうか。
 サーバ側にてフィルタ解除で接続可能と言う事は、フィルターのoutコマンドルールで、TCP80のルーティングはサーバ側ではなく、外部PCのルーターからルーティングさせる設定かと存じます。

この回答への補足

サーバのローカルインタフェース(eth0)の転送設定を見てみたら


Chain FORWARD (policy ACCEPT)
num target prot opt source destination
1 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited

とデフォルトでなっていて何も許可されていませんでした。これが原因だと思います。


異なるインタフェース間の転送(L2TP(仮想eth0)→物理インターフェース(eth0)の転送
(IP Fowarding)を有効にする設定として
*** /etc/sysctl.conf ***
net.ipv4.ip_foward=1 ※0から1に変更。
これで転送されるとばかり思っていて、勘違いしていました。
これは異なるインターフェース間の転送設定ですね。。。

仮想eth1から転送されてローカルインタフェースeth0に入ってきたものを
さらに、パケットフィルタリングのローカル転送Chain FORWARDで転送させるのを忘れていました。



よって、

Chain FORWARD (policy ACCEPT)
num target prot opt source destination
1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
2 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
4 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
5 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited

これで無事転送され、ネットに繋がりました。勉強不足ですいません。

補足日時:2013/02/16 19:24
通報する
    • good
    • 1
通報する

No.2

  • 回答者: pakuti
  • 回答日時:

ipsecを利用する場合、認証方法によって以下を許可する必要があります。



ESP TCP/50
AH  TCP/51

L2TPはそのままで通ると思いますが、ダメですか?

この回答への補足

1.ルータのポートフォワーディング
4500udp
500udp
※ルータは1701udpを開放しなくても大丈夫だった。

2.サーバのパケットフィルタリング
4500udp
500udp
1701udp
※この3つのどれか1つを外しても繋がりませんでしたので3つ開放しています。

とすることで外部からVPNサーバに接続でき認証まで通りました。

しかしこの状態で外部のクライアントからネットをするとネットにはつながりませんでした。
そこでサーバ側のパケットフィルタリングを無効(ファイアフォール無効)にすると
ネットに繋がるようになりました。

ということはサーバ側で4500udp/500udp/1701upd以外に開放しないといけないこととして
プロトコル番号50(esp)と書かれてあったのでそれも開放しましたが、VPN認証まではできていてもネットには繋がりませんでした。

そこでさらにルータ側もプロトコル50(esp)をサーバに向けて開放しましたが
それでもだめでした。
ルータ側は50(esp)を開放しなくてもサーバ側でパケットフィルタリングを無効にすればネットに繋がったのでルータの50(esp)開放は関係なく、サーバ側のパケットフィルタリングに問題があるのかと思います。

ということであとはサーバ側のパケットフィルタリングで何がひっかかっているのかが
分からない状況です。

サーバ側開放(まとめ)
4500upd
500udp
17001upd ←ここまででVPN認証通過。(しかしネットには繋がらず)
プロトコル番号50(esp)←これも追加しましたがネットには繋がらずです・・・
※パケットフィルタリング無効(ファイアフォール無効)にすればネットに繋がります。

補足日時:2013/02/14 01:54
通報する
    • good
    • 1
通報する
この回答へのお礼

17001updは1701の間違いです。

通報する
お礼日時:2013/02/14 02:13

No.1

  • 回答者: Donotrely
  • 回答日時:

探してみたらこんな情報がありましたが。


http://network.station.ez-net.jp/server/remote/L …

この人はできたと言っています。
50番ポートも処置が必要で、クライアント側がルータを使う場合はそちらも処置が必要だと報告していますねえ。

この回答への補足

ありがとうございます。

実は、そちらで紹介があがっているサイトを参考にしなががら設定をやったんですよ。
プロトコル番号50(esp)もサーバ側もルータ側も開放しましたが駄目でした。

補足日時:2013/02/14 02:02
通報する
    • good
    • 0
通報する

このQ&Aに関連する人気のQ&A

TP とは」に関するQ&A: IP-VPNとインターネットVPNの違い

さらに表示

ルーター YAMAHA」に関するQ&A: 特定PCからのトラフィック量を監視したい

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

Q質問する(無料)

このQ&Aを見た人はこんなQ&Aも見ています

関連するQ&A

関連するカテゴリからQ&Aを探す

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

QVPN接続でVPNから先のサーバーに到達できない。

PC 特に、通信関係に関しては、素人同然のものです。

会社のサーバーに自宅からアクセスしようと、VPN 接続を試みています。
VPN そのものは接続を確認できたのですが、VPN から先、つまり、会社のサーバー (IBM System i) に到達できません。
( 当然ですが ping も通りません )
会社の他の同僚は、問題なく使用できているのですが、私のところだけつながりません。

念のためですが、VPN そのものは接続できています。
その先にあるサーバーにアクセスできないのです。
言わずもがなですが、自宅の PC で、通常のネット環境には問題はありません。
インターネットも、メールも問題なく動作しています。


この場合、System i に到達できない理由として、どのような事が考えられるのでしょうか?

ちなみに、会社側のルーターは、以前、別のルーターを使用していたのですが、その時は、問題なく使用できていた、という実績があります。
その時と、自宅環境は変わっていないはずです。( 少なくとも意識して変更した事はありません )

素人考えでは、なんらかの、アドレスの指定が重複しているのでは??
と考えているのですが、デフォルト・ゲートウェイとか、IP アドレスとか、自宅側のルーターのアドレスだとか、そのあたりではないかと思っているのですが
下手に変更すると、ネットそのものに繋がらなくなくなってしまいます。

変更するにしても、一箇所だけではなく、何箇所か整合性をとって変更する必要があるかと思いますが、詳しいところまでは知らないので、苦労しています。
御存知の方がおられたら、お教え頂けませんでしょうか?

冒頭述べましたように、当方、パソコン、特に、通信関係に関しては、ほぼ、素人同然です。
他に、似たような質問も見かけたのですが、少し、難しくて理解できませんでしたので、質問させて頂きました。

一応、環境の説明をしておきます。

●自宅のPC
(メーカー) ショップメイド
(OS) Windows XP Professional Version 2002 Service Pack 3
●自宅のルーター・通信回線
(通信回線) NTT Bフレッツ
(ルーター) NEC RV-230NE
(プロバイダー) BIGLOBE
●会社のルーター
(ルーター) Buffalo BHR-4GRV
●会社のサーバー
IBM System i ( AS/400 )

尚、現状、自宅のネット環境は、私が知りえる範囲で以下の通りです。

< VPN 接続前の ipconfig コマンドの結果 >
Ethernet adapter ローカル エリア接続:

Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 192.168.1.3
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.1.1


< VPN 接続後の ipconfig コマンドの結果 >
Ethernet adapter ローカル エリア接続:

Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 192.168.1.3
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.1.1

PPP adapter XXXXX:

Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 192.168.1.8
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . : 192.168.1.8

( PPP adapter XXXXX の部分は、VPN 接続先の会社側のものかと思います。XXXXX は会社名なので伏せさせて頂きました)

VPN 接続した状態で、サーバー IBM System i のアドレス 192.168.1.201 に対して ping コマンドを発行すると
C:\>ping 192.168.1.201

Pinging 192.168.1.201 with 32 bytes of data:

Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 192.168.1.201:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

以上のように、timed out となってしまいます。

また、補足情報ですが、会社側のルーターの設定で、ルーターのデフォルト・ゲートウェイが、私の自宅と同じ、192.168.1.1 であり、これが原因ではないかと思い、192.168.1.150 に変更しました。
しかし、結果は、何も変わりませんでした。
他の同僚については、問題なく繋がっています。

以上です。
長文になってしまいましたが、何卒、宜しくお願い致します。

PC 特に、通信関係に関しては、素人同然のものです。

会社のサーバーに自宅からアクセスしようと、VPN 接続を試みています。
VPN そのものは接続を確認できたのですが、VPN から先、つまり、会社のサーバー (IBM System i) に到達できません。
( 当然ですが ping も通りません )
会社の他の同僚は、問題なく使用できているのですが、私のところだけつながりません。

念のためですが、VPN そのものは接続できています。
その先にあるサーバーにアクセスできないのです。
言わずもがなですが、自宅の PC で、通常...続きを読む

Aベストアンサー

自宅とVPN接続先(会社)サブネットが同じ 192.168.1.0/24 なのでこのような結果になってしまいますね。

対応としては、
(1)自宅のネットワークを 192.168.1.0/24 以外にする
(2)VPN接続後にルーティング情報を追加する
になると思います。

(1)が可能であればこちらの方がいいですね。

(2)は 192.168.1.201 のサーバのみに接続出来ればいいのであれば以下のコマンドをVPN接続が確立した後に実行します。

route add 192.168.1.201 mask 255.255.255.255 192.168.1.8 metric 1 if xxx

xxxは route print コマンドで出てくるVPN接続のインターフェースIDです。
(if以降は無くてもいいかもです)
192.168.1.8の部分も接続時に可変となる可能性がありますのでその都度「PPP adapter XXXXX:」側のIPアドレスに合わせます。

これで 192.168.1.201 だけならば接続出来ると思います。
複数のサーバに接続が必要ならばその分このコマンドを実行する必要があります。

毎回毎回VPN接続時に入力が必要なので可能なら(1)ですね。

自宅とVPN接続先(会社)サブネットが同じ 192.168.1.0/24 なのでこのような結果になってしまいますね。

対応としては、
(1)自宅のネットワークを 192.168.1.0/24 以外にする
(2)VPN接続後にルーティング情報を追加する
になると思います。

(1)が可能であればこちらの方がいいですね。

(2)は 192.168.1.201 のサーバのみに接続出来ればいいのであれば以下のコマンドをVPN接続が確立した後に実行します。

route add 192.168.1.201 mask 255.255.255.255 192.168.1.8 metric 1 if xxx

xxxは route print コマン...続きを読む

他の回答も見る

QIPSECとL2TP/IPSECの違いについて

基本的な事ですいません。よくわからなくて困っておりますので助けていただけると助かります。

ヤマハのルータRTX1100と107eを使って2拠点間VPNを構築しようと思っています。ipsecを使う予定なのですが、ヤマハのサイトなど色々調べても、l2tp/ipsecでのVPNの設定例はiphoneやipadと拠点をつなぐ例になっているものばかりで、ルータを使っての拠点間VPNの場合はipsecの設定が紹介されています。
そもそもルータでつなぐ拠点間VPNの場合は選択肢としてl2tp/ipsecを使うことはできないのでしょうか? (意味ないのでしょうか?)

l2tp/ipsecの方が新しいファームから実装されているようなので、スピードやセキュリティ面でもそちらを使った方がいいのかなと思っているのですが(単純ですいません)

l2tp/ipsecを使うべきかipsecのみでいいのか教えていただけると幸いです

Aベストアンサー

 お尋ねの件ですが、L2TPアクセス自体リモートアクセス型接続ですので、LAN間接続VPNでは出来ません。
 参考サイト・・「http://www.rtpro.yamaha.co.jp/RT/docs/l2tp_ipsec/#support」
 因みに、RT107EのL2TPアクセスはファームウェア更新した際に利用可能となりますが、認証レベルはchapかpapしか対応出来ません。特定のアンドロイド端末ですと、mschap-v2しか対応出来ない機種もありますので、注意点です。
 よって、LAN間VPNはIPSEC-VPNになりますが、アクセスレスポンスで言うと「3des-cbc sha-hmac」、セキュリティレベルで言うと「aes256-cbc sha256-hmac」になります。なおIPSEC-VPN接続には、鍵交換用ポート解放・パススルー設定(UDP500)と、暗号化双方向通信ポートとしてespパケットをパススルーする設定が必要です。
 それと、相手先IPセグメント(対向ルーターセグメント)のネットワーク経路を通知する設定(静的ルーティング)をIPSECトンネルルートアクセス出来るようにしないといけません。Yamahaでは出来ませんが、富士通ルーターでは、「Ethernet over IP」設定をする事で、全拠点・同一セグメントでのアクセスが可能です。IPSECトンネル通信内部に仮想HUBを構築し、仮想HUBを経由して同一セグメントアクセスを可能としています。
 つまり、Yamahaルーターで構築する場合、夫々の拠点のIPアドレスは違う数値でなければいけない点、YamahaルーターのWAN側の接続機器(モデム)により、モデム内部にDMZ設定(YamahaのWAN側に全転送)、若しくは静的IPマスカレードにてespパケットとUDP500番の通信をYamahaWAN側へ転送する設定、モデムにもスタティックルート設定でYamahaとセグメント通信出来るようにする作業が発生することも想定されます。
 Yamahaルーターが、上記の様にルーターモデムに接続するのではなく、自身でPPPOE接続する場合にはYamahaのみの設定でOKです。 ※IPSEC-VPN接続する為には、グローバルIPが最低1個必要です。(NetvolanteDNSドメインでも代用可能です)

 お尋ねの件ですが、L2TPアクセス自体リモートアクセス型接続ですので、LAN間接続VPNでは出来ません。
 参考サイト・・「http://www.rtpro.yamaha.co.jp/RT/docs/l2tp_ipsec/#support」
 因みに、RT107EのL2TPアクセスはファームウェア更新した際に利用可能となりますが、認証レベルはchapかpapしか対応出来ません。特定のアンドロイド端末ですと、mschap-v2しか対応出来ない機種もありますので、注意点です。
 よって、LAN間VPNはIPSEC-VPNになりますが、アクセスレスポンスで言うと「3des-cbc sha-hmac」、...続きを読む

他の回答も見る

Qpingでポートの指定

pingでIPアドレスを指定して、通信できるかどうかというのは
よく使いますが、pingでポートを指定して応答するかどうかは調べられるのでしょうか?

よろしくお願いします

Aベストアンサー

pingを含むICMPというプロトコルは、OSIの7レイヤで言うところのL2(同一セグメント内通信)とL3(IPルーティングされた通信)の両方にまたがる、ちょっと珍しいプロトコルです。

IPアドレスは指定できますが、別サブネットに属するIPアドレスに到達できればL3通信、できなければゲートウェイと呼ばれる同一サブネットに属する中継装置からの回答を得るという点でL2(MAC通信ではなく、同一セグメント内通信という意味)通信です。

ポート番号はL4で使用されるアドレスですから、L4機能の疎通確認はping(を含むICMP)ではできません。

FTPの疎通確認であれば、クライアントからサーバに対するTCP/21通信(FTP-CMD)が可能であること(サーバからクライアントへのTCP/21からの応答を含む)+サーバからクライアントに対するTCP/20通信(FTP-DATA)が可能であること(クライアントからサーバへのTCP/21からの応答を含む)が必要でしょう。

監視ソフトによるものであれば、
・クライアントからサーバへのログイン(TCP/21)
・クライアントからサーバへのlsの結果(TCP/20)
で確認すればよいでしょう。

pingを含むICMPというプロトコルは、OSIの7レイヤで言うところのL2(同一セグメント内通信)とL3(IPルーティングされた通信)の両方にまたがる、ちょっと珍しいプロトコルです。

IPアドレスは指定できますが、別サブネットに属するIPアドレスに到達できればL3通信、できなければゲートウェイと呼ばれる同一サブネットに属する中継装置からの回答を得るという点でL2(MAC通信ではなく、同一セグメント内通信という意味)通信です。

ポート番号はL4で使用されるアドレスですから、L4機能の疎通確認はping(を含む...続きを読む

他の回答も見る

Qポートの80と443

こちらのサービス(https://secure.logmein.com/)を利用すると、インターネットを見られるサーバーのポートの80と443が空いていればルータやファイアウォールに特段の設定なく外部からサーバーを操作できるそうですが、逆にサーバーのポートの80や443を空けることには何か危険性があるのでしょうか。

Aベストアンサー

ポート80は一般的なHTTP、ポート443はHTTPSです。
この2つのポートがあいていなければインターネット接続(WEBブラウジング)は出来ません。
ですから、ほとんどのファイアウォールでこのポートは開いています。(インターネット接続を制限している社内LANでは当然閉じていますが)

ちなみに、よく使うポートとしてはFTPで20、21、SMTP(送信メール)で25、受信メールPOP3で110あたりです。セキュリティポリシー上、この辺は制限される事も多いですが、HTTP 80、HTTPS(暗号化用)443は通常閉じません。


危険性?
WEBプロトコルを使ってFTP的なファイル転送(WebDAV)やVPN等も出来るようになっています。当然そこにはある種の危険はつきものですが、WEBブラウジングに伴う危険と大きく変わりません。ウィルス等に感染していればこの2つのポートだけでも相当危険でしょうね。

参考まで。

他の回答も見る

QVPN接続後Pingが通らない。

現在以下の内容をローカルで繋いてリモートアクセスのVPNテストを行っています。

PC1→(LAN2)YAMAHARTX1200(LAN1)→PC2

PC1にYMS-VPN7をインストールしました。

VPNを接続する前にPC1からPC2へPingをすると応答はOKなのですが、

その後PC1からリモートアクセスでVPN接続すると、Pingが通らなくなります。

ファイアーウォールは特に設定していません。

原因が分かる方がいらっしゃいましたら教えていただけますでしょうか。

宜しくお願い致します。

Aベストアンサー

VPN通信を設定すると、別途ファイアーウォール設定にて、LAN内の1台及び全てに対して、ポート開放しないと、外部とは、個別VPN通信できません。
TTPT用、IPsec用ポートをそれぞれ開放しておく事で、以前どおり、通信可能になります。
YAMAHAで、サポート説明して頂けます。

他の回答も見る

QIPSecのaggressiveモードとmainモード

IPSecにはaggressiveモードとmainモードとがあるかと思いますが、なぜ固定IPならmainモード、動的IPならaggressiveモードとなっているのでしょうか?
ご存知の方いらっしゃいましたら教えてください。

Aベストアンサー

こんにちは。

正確には、「認証方法をPre-Shared Keyとしたときに」は動的IPの場合にはAggressiveモードを使わざるを得ないのです。よって固定IP==Mainモード、動的IP==Aggressiveモードというわけではありません。

Pre-Shared Key認証では、VPN装置毎にPre-Shared Keyを持つ必要があります。その時の装置とKeyの対応はIPで判断します。
MainモードはID情報(IPアドレス)を暗号化して交換します。その暗号化の為にはPre-Shared Keyが必要です。しかしPre-Shared Keyは相手のIPが判らないと特定できず、相手のIPは暗号化が可能になってからでないと入手できない....というループ問題になってしまいます。
よってMainモードでのPre-Shared Key認証ではあらかじめIPが判っている必要があるのです。

AggressiveモードではID情報は暗号化しません。Mainモードより情報交換が簡易化されているので、いきなり(暗号化無しで)ID情報(IP)を交換してしまいます。
よって動的IPでもかまわないのです。
当然にMainモードよりセキュリティレベルは少し下がります。

こんにちは。

正確には、「認証方法をPre-Shared Keyとしたときに」は動的IPの場合にはAggressiveモードを使わざるを得ないのです。よって固定IP==Mainモード、動的IP==Aggressiveモードというわけではありません。

Pre-Shared Key認証では、VPN装置毎にPre-Shared Keyを持つ必要があります。その時の装置とKeyの対応はIPで判断します。
MainモードはID情報(IPアドレス)を暗号化して交換します。その暗号化の為にはPre-Shared Keyが必要です。しかしPre-Shared Keyは相手のIPが判らないと特定できず、相手...続きを読む

他の回答も見る

QIP-VPNとインターネットVPNの違い

就職活動をしている大学生です。
セキュリティとネットワークに興味があり、そこから自分が何をやりたいのか突き詰めて行った結果VPNを提供している企業が浮かび上がって来ました、業界研究をしている際に疑問が出てきました。

IP-VPNとインターネットVPNの違いの違いがいまいちわかりません。

インターネットVPNはインターネット上を介したVPN、IPは事業者のネットワーク内のVPNって解釈でよいのですかね??

そうなるとプライベート回線を引くのとIP-VPNの違いは???

提供している事業者の違い、VPNに関すること、VPNの今後&求められるもの等、教えてください。

よろしくお願いします。

Aベストアンサー

こんちは。hirasakuです。

簡単に言うと
インターネットVPNはその名の通り、インターネット網を利用した拠点間をあたかもLANのように使うためのWAN構築です。
基本的にVPN接続するためのルータの設定(トンネリングや暗号化・認証など)はユーザーが設定し、運用管理もユーザーが行います。
インターネット網なので通信に対する保障がありませんので、VPNに通すデータを検討しなければならない場合もあります。
一番安価に構築できランニングコストが抑えられます。

IP-VPNは通信事業者の閉域IPネットワーク網を通信経路として用い、自社専用ネットワークであるかのようなWANを構築できるサービスのことです。
通信事業者側で用意している網は品質を保証してあり、ユーザー側はIP-VPN網に接続するだけで、セキュアな通信ができ、インターネットVPN同様LANのように使えます。

プライベート回線とは専用線やフレームリレー網などのことを言っているのですかね?
専用線は料金が距離に比例し、拠点間の距離が離れるほどコストが大きくなり、セルリレー/フレームリレーは、フルメッシュ型接続ですけど、柔軟なネットワーク構築が難しいという問題があります。専用線・フレームリレーなどは回線帯域の割にはコストが高いので、インターネットVPNやIP-VPNでコストを安くしてネットワークを構築するようになってきてます。

インターネットVPNやIP-VPNはプロトコルにIPを使わなくてはならないので、データはIPに乗せる必要があります。
そこで、広域イーサネットというサービスを各通信事業者が行っています。広域イーサネットはプロトコルをIP以外(IPXやSNAなど)を通すことができ、またイーサなので、WAN側に接続するのに極端な話、スイッチでつなげられますので、今までのようにルータの設定などいらなくなります。(VLAN構成にするならスイッチの設定が必要ですけけど)また、QoSなどデータの優先制御や帯域制御などもできますので、VoIPなどにも使えますね。
ということで、簡単に拠点間のLAN構築が可能になります。

提供しているサービスの違いは、どこも似たり寄ったりかなって思いますけど。
サービス提供エリアや、構築にあったオプションサービスなどで選べばいいのでは。

こんちは。hirasakuです。

簡単に言うと
インターネットVPNはその名の通り、インターネット網を利用した拠点間をあたかもLANのように使うためのWAN構築です。
基本的にVPN接続するためのルータの設定(トンネリングや暗号化・認証など)はユーザーが設定し、運用管理もユーザーが行います。
インターネット網なので通信に対する保障がありませんので、VPNに通すデータを検討しなければならない場合もあります。
一番安価に構築できランニングコストが抑えられます。

IP-VPNは通信事業者の閉域IPネットワ...続きを読む

他の回答も見る

Q自宅のルーターにVPN接続でインターネット

海外から自宅のルーターにVPN接続でインターネットをしたいです。

特に自宅のサーバでデータをやり取りする必要もなく、日本のIPでインターネット接続がしたいだけです。
有料のVPN提供会社などありますが、せっかく自宅にずっと起動しているルーターがあるので、こちらを経由して接続できる方法を知りたいです。
(ネットワーク初心者なので、方法が良く分かりません。ちなみにproxyサーバという方法もありますが、VPNについて知りたいです。)

自宅のルーターはBUFFALO WHR2-G54です。
よろしくお願いします。

また、このような接続の場合の危険性については、いかがでしょうか?

Aベストアンサー

 残念ですが、かなり否定的な解答です。

 VPNで接続するには、VPN機能を提供するサーバーの役割をする機器が必要です。
 また、どのような方法で構築するにせよ、最低限、自宅側には固定IPが必要です。
 本当は、セキュリティー強度を考えると、海外の拠点側にも固定IPが欲しいです。(これはオプションです。)

 残念ですが、提示された機種のルーターにはVPNサーバー機能がありません。このため、自宅内に、VPNサーバーを提供する機器なりサーバーOS(例えば、windws2003とかwindows2008とか)を稼働させているパソコンが常時起動しているなら可能ですが・・・多分、どれもないでしょうね。(いや、普通、個人の自宅にこんなもの備えている人は少ないです。)

 どんな環境で構築するにせよ、VPNサーバーの構築を行うには、ネットワークに対する結構な知識が必要です。残念ながら、「ネットワーク初心者なので、方法が良く分かりません。」と言われるような知識で手を出せる様なものではありません。

 接続に対するセキュリティーにしても、外部に開かれたサーバーを用意すると言うことは、外部から自宅内への道を作ると言うことですから、この道には必ずそれなりのセキュリティーの対応を行う必要がありますが、これも結構ハードルは高いです。
 (いや、めちゃくちゃハードルが高いです。・・・考えください。最近、ハッカーに侵入されて個人情報を流出させた大手超有名企業や、HPを書き換えられた政府機関のサーバーなど結構ありますが、このセキュリティー対策を素人がやっていたと思いますか?そんなはずないですよね。)

 現実的なラインは、有料の外部サービスを使うのが一番の近道と思います。
 目的が、国内の制限サイトにアクセスすることというだけでしたら、国内にある公開プロキシを通すのが一番安直だと思いますけど・・・

 残念ですが、かなり否定的な解答です。

 VPNで接続するには、VPN機能を提供するサーバーの役割をする機器が必要です。
 また、どのような方法で構築するにせよ、最低限、自宅側には固定IPが必要です。
 本当は、セキュリティー強度を考えると、海外の拠点側にも固定IPが欲しいです。(これはオプションです。)

 残念ですが、提示された機種のルーターにはVPNサーバー機能がありません。このため、自宅内に、VPNサーバーを提供する機器なりサーバーOS(例えば、windws2003とかwindows2008...続きを読む

他の回答も見る

Q起動しているサービスを確認するコマンド

初歩的な質問で恐縮ですが、ご教示いただけますと幸いです。

起動しているサービスを確認するために以下の2つのコマンドを打ってみるのですが、結果(出て来るサービス名)が違います。
このコマンドの違いについてご教示いただけますでしょうか。

(1)service --status-all
(2)chkconfig --list

Aベストアンサー

(1)service --status-all

サービスの現在のステータスを調べるコマンド

(2)chkconfig --list

OSのブート時に自動起動するサービスを調べるコマンド

違いが出るのは、
・ブート後に手動あるいは他のコマンドから起動したサービス
・ブート後に手動あるいは他のコマンドから、あるいはエラーで停止したサービス
・ブート後に実行はされるがすぐに停止して常駐しないサービス (ntpdate とか)

あるいは、(1)ではサービス名が表示されない物もあるので、どのサービスがどんなステータス出力をするのか知っておく必要もありますね。(service network statusとか)

他の回答も見る

QNTP の TCPポートは?

NTPは123/UDPでようは足りると思うのですが、
WELL KNOWN PORTとかいろいろな資料に「123/TCP」ポートが割当たってます。
ntpd,ntpdate等でNTPを使う場合、実際には123/TCPは使われているのでしょうか?

Aベストアンサー

RFC1305では「ntpには123/udpを割り当てる」となっていますが、RFC1700では「123 ntp」となっており、「123/udp」と明示されているわけではありません。
よって、「123/tcp ntp」が間違っている(または使えない)という明確な根拠にはなりません。

「現状では『123/tcp ntp』を実装するための定義が存在しない」程度に考えた方が良いと思います。

ただ、将来的にRFC2030のSNTPが(IPv6対応などの点で)主流になる可能性があるので、「123/tcp ntp」は定義されない可能性もあります。

他の回答も見る
ページトップページトップ

Q質問する(無料)

このQ&Aを見た人がよく見るQ&A

人気Q&Aランキング

おすすめ情報