YAMAHAルータのサイト間VPNの設定について

1.YAMAHAのルータを使用してサイト間VPNを行おうとしていますが、VPNトンネルが張れません。
2.ルータAのLAN１の端末からルータBのLAN1の端末宛、ルータBのLAN１の端末からルータAのLAN1の端末宛にPingを実施しましたが応答がありません。
3.RTX1000のWebUIにアクセスしてIPSECの項目を確認しましたが、両方ともダウン状態でした。
4.ルータAのLAN１の端末からPR-200NEを通ってインターネットへアクセスできること、ルータBのLAN１の端末からPR-200NEを通ってインターネットへアクセスできることを確認しております。

何が原因になっているかわからず、困っております。
ご教示を頂けますようお願いいたします。

【NTT PR-200NE ファームウェア:18.34】
静的ルーティング設定：宛先：192.168.168.0/24 インターフェイス：LAN　ゲートウェイ：192.168.1.60
静的ルーティング設定：宛先：192.167.167.0/24 インターフェイス：LAN　ゲートウェイ：192.168.1.50

【YAMAHA RTX1000 ファームウェア：8.01.29　VPNルータA】
ip route default gateway 192.168.1.1
ip lan1 address 192.167.167.167/24
ip lan2 address 192.168.1.50/24
tunnel select 1
ipsec tunnel 101
ipsec sa policy 101 1 esp aes-cbc sha-hmac
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.167.167.167
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 192.168.1.60
tunnel enable 1
ipsec auto refresh on
ip route 192.168.168.0/24

【YAMAHA RTX1000 ファームウェア：8.01.29　ルータB】
ip route default gateway 192.168.1.1
ip lan1 address 192.167.167.167/24
ip lan2 address 192.168.1.50/24
tunnel select 1
ipsec tunnel 101
ipsec sa policy 101 1 esp aes-cbc sha-hmac
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.168.168
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 192.168.1.50
tunnel enable 1
ipsec auto refresh on
ip route 192.167.167.0/24 gateway tunnel 1

No.7 ベストアンサー 回答者： hirasaku 回答日時： 2013/07/03 17:47

こんにちは。

hirasakuです。

解決しましたか？

両方のルータの
ipsec ike local address 1 を
lan2のアドレスにしてください。
nat をしてないので、この場合は lan2のアドレスにすればOKですよ。

では。

この回答への補足

ありがとうございます。

まだ、解決はしていないです。

固定IPでNATを使用していないので、ipsec ike local address 1はLAN2のアドレスでいいということでしょうか。

補足日時：2013/07/03 21:27

この回答へのお礼

ありがとうございます。

構成を下記のようにして、コンフィグレーションを修正したところVPN接続もでき、192.168.3.0/24及び192.168.4.0/24
からインターネットに接続できることを確認できました。

192.168.3.0/24--(LAN1) RTX1000(LAN2)---PR-200NE ---(LAN2) RTX1000(LAN1)--192.168.4.0/24


【NTT PR-200NE ファームウェア:18.34】
静的ルーティング設定：宛先：192.168.4.0/24 インターフェイス：LAN　ゲートウェイ：192.168.1.60
静的ルーティング設定：宛先：192.167.3.0/24 インターフェイス：LAN　ゲートウェイ：192.168.1.50

【YAMAHA RTX1000 ファームウェア：8.01.29　VPNルータA】
ip route default gateway 192.168.1.1
ip lan1 address 192.168.3.254/24
ip lan2 address 192.168.1.50/24
tunnel select 1
ipsec tunnel 101
ipsec sa policy 101 1 esp 3des-cbc sha-hmac
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.167.1.50
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 192.168.1.60
ipsec ike hash 1 sha
tunnel enable 1
ipsec auto refresh on
ip route 192.168.4.0/24 gateway tunnel 1

【YAMAHA RTX1000 ファームウェア：8.01.29　VPNルータB】
ip route default gateway 192.168.1.1
ip lan1 address 192.168.4.254/24
ip lan2 address 192.168.1.60/24
tunnel select 1
ipsec tunnel 101
ipsec sa policy 101 1 esp 3des-cbc sha-hmac
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.1.60
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 192.168.1.50
ipsec ike hash 1 sha
tunnel enable 1
ipsec auto refresh on
ip route 192.168.3.0/24 gateway tunnel 1

お礼日時：2013/07/03 22:20

No.6 回答者： koi1234 回答日時： 2013/07/03 16:29

No4 補足より

>RTX1000のみでテストということは
以下のURL参照して （インターネットのところは適当なローカルアドレスに変更）
http://jp.yamaha.com/products/network/solution/c …
テストしてみてくださいってことです
　　　それで動いてるならあとは間に挟んでる PR-200NE　の問題
既にRTX1000扱って無いので1200になってますがこのあたりの内容は変わらないはずです


VPNとして必要なのは　　ゲートウェイの設定と　VPN(IPsec)の設定 になります
WAN側を適当なアドレスに設定するから書かれてるままじゃ駄目よ　　っと


他の環境で動いたとか書いてあったのはSOHO向けのルータ（NSA3500）使ってたから
3セグメントとリア誓いが正常にできたってことではないかと思います

No.5 回答者： nnori7142 回答日時： 2013/07/03 13:05

　追加補足確認しました。

それでは、必ずといった保障はありませんが、まずルーターAの「ip route 192.168.168.0/24」→「ip route 192.168.168.0/24 gateway tunnel 1」と修正。
　それぞれのルーターにARP代理応答コマンドを登録してみては如何でしょうか？
　「ip lan1 proxyarp on」といったコマンドをルーターAとルーターBへ登録してみて下さい。

この回答への補足

ありがとうございます。

ルータAにip route 192.168.168.0/24 gateway tunnel 1は投入していましたが　記載ミスをしていました。

ルータA及びルータBへのip lan1 proxyarp onの追加について試してみます。

補足日時：2013/07/03 21:24

No.4 回答者： koi1234 回答日時： 2013/07/03 09:21

補足を見ました

>※PR-200NEのWANインターフェイスの先がThe Internetです。
PR-200NEで3セグメントを扱おうとhしているように思えますが
それが問題ではないかと思います
（一般的な家庭向けなどのルータで3セグメントの取り扱いはできません）

テスト環境ということですし問題点洗い出すためにPR-200NEを間に挟まずに
RTXのみでテストしてみてください
もしくは片方をWAN　　　もう一方をLANの2セグメント扱いで設定してみてください
PR-200Nにルーティングの設定は不要のはずです
※　設定のConfigきちんと見てませんが私はRTX1000での2拠点インターネット経由の
　　VPN構築実績はあります（発売後1年以内の時期での話）

この回答への補足

ありがとうございます。

PR-200NEで３つのセグメントを扱えないとはどういうことでしょうか。

RTX1000のそれぞれのLAN1に所属しているセグメントからも、PR-200NE配下のセグメントからも
インターネットに出ていけていますので、３つのセグメントは利用できていると思うのですが・・・。

RTX1000のみでテストということは、デフォルトルートを互いのLAN2に向けるまたは、デフォルトルートを
使用しないということでよろしいでしょうか。

補足日時：2013/07/03 12:19

No.3 回答者： nnori7142 回答日時： 2013/07/03 09:10

　お尋ねの件ですが、PR-200NEにてPPPOE接続→配下にRTX1000がそれぞれ相違セグメントにて2台あるといった認識で宜しいでしょうか？

　同一グローバル間のVPNは無理ではないでしょうか？実際にされる方法があるのであれば、RTX1000.同士をカスケード接続させ、RTX1000同士の静的ルート設定する方法ではないでしょうか？
　双方のRTX1000のnatエントリ接続でのインターネット接続出来るのは、同一グローバルIPを利用しました接続形態になっている形態かと存じます。
　それと、ルーターAのコンフィグが間違っていませんか？
　「ip lan2 address 192.168.1.50/24」→「ip lan2 address 192.168.1.60/24」ではないでしょうか？
　それぞれのヤマハルーターからみて、光電話ルーターを介したそれぞれ2重NATになっておりますが、ヤマハのセグメント同士のルーティングは光電話ルーターでは出来ないのでは？
　

この回答への補足

ありがとうございます。

>お尋ねの件ですが、PR-200NEにてPPPOE接続→配下にRTX1000がそれぞれ相違セグメントにて
>2台あるといった認識で宜しいでしょうか？

ご認識の通りです。

>同一グローバル間のVPNは無理ではないでしょうか？

LAN2のセグメントが同一の場合、VPNは行えないということでしょうか。
SonicWALLのUTM製品同士ではX1(WAN)インターフェイスが同一セグメントで行えていましたので、
できないということはないという認識でいます。
SonicWALLの場合、SonicWALLのログ及びSonicWALL搭載のパケットキャプチャ機能でVPNが
行われていることを確認しています。
YAMAHAの場合は、LAN2が同一の場合できないということでしょうか。

コンフィグを見て頂くと分かるかと思いますが、下記のような記載はしていないので、
NATを行っておりません。
----------------------------------------------------------------------------
nat descriptor type 1 masquerade
nat descriptor address outer 1 primary
nat descriptor address inner 1 192.167.167.1-192.167.167.167
----------------------------------------------------------------------------

>それと、ルーターAのコンフィグが間違っていませんか？
>　「ip lan2 address 192.168.1.50/24」→「ip lan2 address 192.168.1.60/24」ではないでしょうか？

すみません。ルータAではなく、ルータBのコンフィグに誤りがありました。
-----------------------------------
ip lan1 address 192.168.168.168/24
ip lan2 address 192.168.1.60/24
-----------------------------------

>それぞれのヤマハルーターからみて、光電話ルーターを介したそれぞれ2重NATになっておりますが、
>ヤマハのセグメント同士のルーティングは光電話ルーターでは出来ないのでは？

今回はVPNを行う設定ですが、VPNを行わない状態でPR-200NEでルーティング出来ていたので、それはない
思います。
YAMAHAでNATしていませんし、PR-200NEでスタティックルートを記載しているのでNATはされないです。
ローカルIPの場合、NATは特に必要はなく、ルーティングでいいと思っています。

補足日時：2013/07/03 12:49

No.2 回答者： koi1234 回答日時： 2013/07/03 06:32

Np1 訂正

>【YAMAHA RTX1000 ファームウェア：8.01.29　VPNルータA】
>【YAMAHA RTX1000 ファームウェア：8.01.29　ルータB】
と書いてあるのを見逃しました

でも状況が見えないのは同じ　　3拠点で VPN したいということなんでしょうか？
それとも PR-2000の下に 2台のRTX1000があってそのRTX1000間の通信をVPNしたいって話？

各ルータのLAN側・WAN側がつながっているのがインターネットなのか
ローカルLANなのかローカルLANであるならそのセグメントがいくつになっているのか
VPNを行いたいのはどこなのか　をわかりやすく記載してもらえないでしょうか

この回答への補足

分かりにくくてすみません。
192.167.167.0/24 ----（LAN1）【RTX1000:VPNルータA】(LAN2)----PR-200NE ----(LAN2)【RTX1000:VPNルータB】(LAN1) ---192.168.168.0/24
※PR-200NEのWANインターフェイスの先がThe Internetです。

構成は上記になります。
192.167.167.0/24のセグメントと192.168.168.0/24のセグメントをサイト間VPN接続したいと考えております。
なので、2拠点間のVPN接続になります。
ルータは、PR-200NEとRTX1000の2台でほかにルータはありません。
複数同じ機器がある場合、分かりやすくするため、RTX1000の1台目はVPNルータA、2台目はVPNルータBというふうにしていますので、
VPNルータA及びBの型番はRTX1000になります。

192.167.167.0/24はローカルアドレスではないので使用してはダメということだと思いますが実運用で使用したいのではなくテスト環境のため
なので問題ないと考えております。

SonicWALL社のUTM製品を使用して今回と同様の構成でサイト間VPNが行えているので同じようにテスト環境を構築したいと考えております。

|
192.167.167.0/24 ----（X0）【TZ100:VPNルータ】(X1)----NSA3500 ----(X1)【TZ100:VPNルータ】(X0) ---192.168.168.0/24
※NSA3500のX1インターフェイスの先がThe Internetです。

補足日時：2013/07/03 08:43

No.1 回答者： koi1234 回答日時： 2013/07/03 06:07

基本的に質問では状況が理解できなかったというのが正直なところ

>192.167.167.0/24
こんなアドレス勝手に使っちゃダメ

>ルータAのLAN１の端末からルータBのLAN1の端末宛、ルータBのLAN１の端末から
>ルータAの　LAN1の端末宛にPing
VPNしてる（したい）のは　RTX1000　と　PR-200NE　なんですよね？
疎通確認（Ping)するところが違ってるとしか思えませんが

質問読む限り私には
RTX1000 ー ルータ　ー　インターネット　ー　ルータ　－　PR200NE
になってるように読み取れるんですけど
やるなら
ルーター　RTX1000 ー インターネット　－ PR200NE　－　ルータ　
じゃないとだめなのでは？（ルータ自体の存在がイランという話があるけど）

また ルータA ルータB の型番は何なのでしょうか？