BuffaloのPPTPサーバー単体動作不良

iphoneからVPNを張るために、PPTPサーバーのみを目的として、
BUFFALOルータ(WHR-300)を設置しましたが、うまくいきません。

＜構成＞

internet(NTT東光ネクスト)--IX2015--WHR-300

[IX2015]
　・WAN側はISPのPPPoEクライアント
　・LAN側は192.168.0.254/24
　・NAPT有効
　・1723/47番ポートともに、後述の192.168.0.1へポートマッピング。
　・アクセスリスト等はなし。

[WHR-300]※ルータモード(ルータモードでないとPPTPサーバー機能が無効化されるため。)
　・WAN側はケーブル挿さず
　・LAN側Iは192.168.0.1/24
　・PPTPサーバー有効、サーバIPアドレス等はデフォルト値。
　・PPTPユーザ情報は登録済み

＜補足＞
　・IX2015にはPPTPサーバがないため、PPTPサーバ機能のみの為に
　　このBUFFALOルータの設置しました。(WLANAP用途もありますが・・・)

＜質問＞
　1.iphoneのVPN機能より、PPTPサーバ(診断君で出ているグローバルアドレス)へ
　3G経由で接続を試みましたが、「サーバが応答しませんでした...」とのメッセージです。
　何がいけませんでしょうか？(iPhoneの設定は色々試しています。)

　2.iPhoneから宅内機器へのVPN接続を考えています。
　　1.が技術的に不可能の場合、IX2015の機能で代用できますか？(IPsec？？)

よろしくお願いいたします。

No.3 回答者： nnori7142 回答日時： 2013/05/12 17:38

　先ほどの補足ですが、当方の提示方法は、他の方の方法と違う方法ですが、IX2015のDMZホスト設定＋静的ルーティング設定で、NexthopゲートウェイをBuffaloのWAN固定IPを登録しておき、BuffaloのWAN側は固定IP（IX2015のDMZ指定）＋IX2015のIPゲートウェイ指定＋優先DNSにIX2015のIPといった構築をしておきます。

　上記段階で、Buffalo無線ルーターでPPTPサーバ機能の設定をする方法となります。このWANモードですと、Buffalo自身はWAN固定ですので、BuffaloDDNSは機能しない筈ですので、IX2015側でDDNS取得・更新対応させる方法となります。
　上記の方法だと、ネットワーク構築が煩雑化しますので、1台で集約出来、なおかつL2TP/IPSECゲートウェイ構築が可能なルーターへの更新の方が賢明かと判断した訳です。

No.2 回答者： nnori7142 回答日時： 2013/05/12 17:30

　お尋ねの件ですが、「UNIVERGE IX2015」を導入しているという事は、ある程度のコンソール設定が出来るという想定での話となりますが、ＩＸ2015の場合には仕様からIPSEC-VPN機能は搭載されておりますが、Iphoneからの認証ですとIPSEC-VPNの認証は対応しているかどうかは流動的です。

　基本的には、IX2015の機能としては、LAN間接続IPSEC-VPNですので、リモートアクセス型VPN（アドレス不定）対応する為には、L2TP/IPSEC若しくはPPTP-VPNしか出来ないかと存じます。
　PPTP-VPNの方はセキュリティの問題が出ておりますので、出来ればお勧めしにくい点、レスポンスもソフトウェアVPN接続同等となり、1Mbpsを上限とした接続レスポンスとなりますので、安定性・レスポンスからあまり期待しない方が賢明です。
　現状機器にて対応するとなると、PPTPしかないですが、その場合にはIX2015の方にDMZホスト設定（BuffaloのWAN側に相当するIP設定）＋静的ルーティング設定を実施、Buffaloはルーターモード（WAN側にIX2015のDMZ指定IP登録＋デフォルトゲートにIX2015のIP、DNSはIX2015のIP）といった構築となります。
　外部からのアクセスの際には、DDNS若しくは固定グローバルIPが必要ですが、BuffaloのWANモード形態からBuffaloDDNSは機能しないと見た方が良い点、DDNSはIX2015の方での自動取得更新をした方が良いかもしれません。
　何れの場合もPPTPレスポンスの問題と設定の煩雑化は否めないので、出来ましたらL2TP/IPSEC迄対応しているルーターへ更新（VPNはその1台で実施）＋Buffalo無線ブリッジモードで接続する形態が良いかと存じます。
　お勧めは、Yamaha製「RTX1100」や「RTX810」、「RT107e」ですが、何れも最新ファームウェア適用でL2TP対応となっております。「RT107e」のL2TP設定はコンソールからの構築に限定されるようですが、当方にて事例があります。Yamahaの場合には、NetvolanteDNSの設定でDDNSとグローバルIPの名称解決も対応可能です。中古等で安価に販売されていますので、検討してみては如何でしょうか？
　

No.1 回答者： Donotrely 回答日時： 2013/05/02 05:44

ご説明の方法では根本的にうまく行きそうにないと思います。

そもそもWHR-300のPPTPサーバ機能はWAN側で機能します。

方法としては2つあります。
何れも試した訳ではなく、可能性があるというにとどまりますので念の為。

方法1)
あなたの方法の延長線上です。
PPPOEはIX2015でセッションを確立します。

問題はPPTPパススルーが機能するかどうかですね。
これが無いと認証できません。
IX2015に設定があるのかないのか分かりません。
設定が無くても始めからPPTPパススルーが有効化されている場合もあります。
機種によりまちまちです。

IX2015のLAN側とWHR-300のWAN側をケーブル接続しますが、
このアドレス帯域はWHR-300のLAN側とは重ならないようにして下さい。
WHR-300のWAN側はPPPOEではなく固定IPにして下さい。
もちろんWHR-300はルータモードです。

IX2015から
・TCP(念の為UDPも)の1723番ポートをWHR300の固定IPへフォワードして下さい。
・プロトコル番号47のプロトコル(GRE)かこれを含む全プロトコルをWHR300の固定IPへフォワードして下さい。

以上でまずWHRのLAN側からインターネット接続できることを確認し、
成功したらWHR-300でPPTPを設定し、インターネット側から接続してみるという手順ですね。


方法2)
認証的にはこっちの方が多少不安が少いかもしれません。
IX2015をブリッジモードに設定して下さい。
これはPPPOEパススルーという呼ばれ方をすることもあります。
どこかに設定があるんじゃないかと思います。

ちなみに設定したり管理したりする場合はLAN側にアドレスが必要ですが、
このアドレスはWHR-300のLAN側と同じアドレスにすると問題を起す可能性があります。

次にWHR-300のWAN側をIX2015のLAN側にケーブル接続し、WHR-300のPPPOE機能で
プロバイダとセッションを確立して下さい。

これでまずWHRのLAN側からインターネット接続できることを確認し、
成功したらWHR-300でPPTPを設定し、インターネット側から接続してみるという手順ですね。


方法1)も方法2)も、成功したらLANはWHR-300のLAN側のみを使うようにして下さい。
IX2015のLAN側(つまりWHR-300のWAN側)は単純にWHR-300のLAN側と接続すると問題を起す可能性があるので、
接続しない方がいいと思います。
これをうまく接続する方法は別の問題としてまた聞くのがいいと思います。