今だけ人気マンガ100円レンタル特集♪

LAN内に共有領域を設置し、LAN外部からこの共有領域にアクセスできるようにし、
かつLAN外部のPCからこの共有領域に対しネットワークドライブを割り当てる事を
めざしています。

実際の使用シーンとしては、友人やグループなどが同一のワードやエクセルファイル
に対し、添削や加筆を行う、といったイメージです。

これに関し、関連した質問をさせて頂いたところ、LAN外部のPCがLAN内部の共有領域
に対しネットワークドライブを割り当てる機能を持たせるには、LAN内部にVPNサーバ
を設置する必要がある、との事でしたので、現在は以下のようなネットワーク構成に
落ち着きました。


<現在のネットワーク構成>

  KDDIホームGW  ルータ兼PPTPサーバ  無線LAN AP

192.168.0.1 192.168.0.254   192.168.2.XXX
  ┌─────┐  ┌─────┐    ┌─────┐
  │        │  │        │    │        │
  │ BL900HW ├─┤ BHR-4GRV├─┬─┤ WR9500N │
  │        │  │ (DMZ)   │  │ │       │
  └─────┘  └──┬──┘  │ └─────┘
                   │       │
               ┌──┴──┐  │  ┌───────┐
               │ USB HDD │  ├─┤ LS-WX4.0TL/R1│
               └─────┘  │  └───────┘
                           │      BuffaloのNAS
                           │
                           │  ┌───────┐
                           └─┤ 自作サーバ  │
                              └───────┘
                                 Webサーバ&DNSサーバ


 auひかりを使っている関係上、ルーター機能を有するホームGW(ここでは
 BL900HW)が必須なので、2重ルーターになるのですが、Buffalo の BHR-4GRV
 という有線ブロードバンドルータをDMZ領域においています。BHR-4GRV には
 PPTPサーバ機能があるので、これを活用しています。
 BHR-4GRV の USB 端子に USB HDD を接続し、上記の共有領域にはこの HDD を
 割り当てています。

 その後段の NEC の無線ルータ(WR9500N)は、ルータ機能を停止し無線LANの
 アクセスポイントモードに特化した使い方としています。また WR9500N には
 Biglobe DDNS 機能をサポートしているので、PPTPサーバー構築の際の DDNS
 はここで対応しています。

 更に、LAN 内部に自作のホームページ公開用の Web サーバ をおいていますが、
 ここにはホームページにLAN内部からも http:// 形式でアクセスできるように
 LAN 内部用のDNS サーバー機能も持たしています。


<現状できているところと解決すべき問題点>

 (1)BHR-4GRV の PPTP サーバーの設定で、以下のような設定をする。
   この時、LAN外部のPCからは問題無くVPN(PPTP)接続が成功する。

   (a)サーバーIPアドレス、クライアントIPアドレスとも「自動設定」にする。

   (b)DNSサーバーのIPアドレスは、「ブロードステーションのLAN側IPアドレス」
     とする。(BHR-4GRV の設定画面では、BHR-4GRV の事をブロードステーション
     と称している。)

   (c)PPTP接続ユーザを1つ作成し、「IPアドレス割り当て方法」を
    「PPTPサーバー設定の範囲から取得」とする。

 (2)BHR-4GRV の 「NAS」設定の「共有フォルダ設定」で、
   (d)「アクセス制限機能」は「アクセス制限なし(読取/書込可能)」に設定し、
    「Webアクセス設定」は「アクセス制限を使用する」にチェックを入れる。

 (3)BHR-4GRV の 「NAS」設定の「ユーザー管理」で、
   (e) 上記の(c)で作成したものと同じユーザー名&パスワードで、新しく
     ユーザー名を作成する。

 (4)BHR-4GRV の 「NAS」設定の「共有サービス」で、
   (f) 共有フォルダー機能は「使用する」にチェックを入れる。
     ブロードステーション名はデフォルトのまま。
      (デフォルト値は、APXXXXXXXXXXXX XXはBHR-4GRVのMACアドレス)
     ワークグループ名はデフォルトの「WORKGROUP」のまま。
      (なお、LAN外部のPCのワークグループ名も「WORKGROUP」)


  この状態でLAN外部PCから、ネットワークドライブの割り付けを以下のように
  行うと、「アクセスできません」というエラーが返ってくる。
  もちろんLAN内部のPCではこの設定でネットワークドライブの割り当てが
  できています。

    ¥¥(ブロードステージョン名)¥disk1_pt1

        文字化けのため¥は全角文字としています。

なお、disk1_pt1 は BHR-4GRV が自動的に付ける名前。(1番目のディスクの
  パーティション1)

  外部PCは、WindowsXP と Windows7 の両方で確認したが現象は変わらず。

  いろいろと試行錯誤した結果、以下のような設定をすると WinsowsXP と
  Windows 7 の両方でネットワークドライブの割り当てができました。

 (5)LAN外部PCの Windows ファイヤーウオールを「無効」にし、かつ上記(c)で
   「IPアドレス割り当て方法」を「DHCPサーバー設定の範囲から取得」に変更する。

  しかし、この場合は、LAN外部PCから、LAN内部のNASに対してもネットワーク
  ドライブの割り当てができてしまうし、何よりもファイヤーウオールを「無効」
  にする事が気持ち悪いと思っています。

  そこで、LAN外部PCの Windows ファイヤーウオールは「有効」の状態で、各種
  設定(例外設定等)で対処し、かつLAN外部PCからネットワークドライブが
  割り当てられるのは BHR-4GRV に接続された USB HDD までとしたい、という
  事を実現したいのですが、以上に述べた設定をどのように変更したら良いのか
  に関し、ご教示をお願いいたします。

このQ&Aに関連する最新のQ&A

A 回答 (45件中1~10件)

 追加補足確認しました。

Buffaloルーターを回線終端装置へ接続する条件の件で、AU自身はノンサポートとなる旨の告知をしていますが、利用しますルーターの機種により、接続認証は成功する事例があるそうです。
 疑似MACアドレスをWAN側インターフェイスに対し変更出来るルーターが最低条件ですが、接続出来ても日別認証データ等の相互通信をされている様ですので、一時的に接続出来るかもしれないが、永続性は無いとの事です。
 その他の方法として論理的には、回線終端装置にL2スイッチを導入し、HGWのMACアドレス宛ての通信をスルーさせるように設定→HGWの光電話ポートNoが0x888eを利用している様ですので、0x888eのポートフィルタ転送でポート1に転送、それ以外をポート2に転送設定→L2スイッチのポート1にHGWを接続、ポート2にBuffaloルーター接続→物理的にはこれでOKですが、これでは802.11X認証されませんので、L2スイッチにDHCP snoop&proxy機能設定及びポート2を監視させ、port1のDHCPに偽のOFFERとACKを返すように改造すれば、恐らくはOKかと存じます。 ※これは、一部L2スイッチの改造行為になる為、ノンサポートです。
 
 

この回答への補足

補足説明ありがとうございます。

HGWを使わない可能性もあるようですが、固定電話はライフラインの1つですので(少なくても我が家では)HGWを外す事はしません。 この件は、元々のテーマとはあまり関係ない話と思うので、この辺で打ち切りたいと思います。

補足日時:2013/07/31 13:51
    • good
    • 0

 追加補足・他の方のやり取りを拝見しまして、「Buffaloの箱に対応キャリアとして、AUひかり」文言の部分ですが、AU自体としてはAUひかり+光電話契約でも、光電話無しでもHGWの設置での通信保証といった形にしている様です。


 IPV6デュアルスタック認証として、回線終端装置+HGWのWAN側MACアドレス及び802.11X認証しており、回線終端装置からBuffaloルーターへ直接接続してもMACアドレス相違でのグローバルIP配布されない形態となる筈です。
 Buffaloの箱にAUひかりと掲載しているのは、Buffalo自体がAUひかりの本質を理解されていない形である事が推察されます。
 もし、光電話無しで回線終端装置に直接、Buffaloルーターを接続しても、BuffaloルーターのWAN側MACアドレスを仮のMACアドレスに変更出来るタイプでなければ、接続認証されない筈です。つまり、IPV4/IPV6データ通信(IPV6-RAプロクシ)+IPV6光電話通信(IPV6-DHCPv6)の通信の内、光電話無しプランですと、MAC認証+IPV6-DHCPv6通信が全て、Buffaloルーターで賄う形となりますので、無理かと存じます。
 

この回答への補足

コメントありがとうございます。

>もし、光電話無しで回線終端装置に直接、Buffaloルーターを接続しても、BuffaloルーターのWAN側MACアドレスを仮のMACアドレスに変更出来るタイプでなければ、接続認証されない筈です。


上記の話は、KDDIのHGWレンタル品(BL900HW)と同じMACアドレスを擬似MACアドレスでWAN側に設定する、という話かと思いますが、IP電話を使う限りこの方法でも無理(=HGWを外せない)との理解をしています。 従って、これはBHR-4GRVの話ではなく、YAMAHAのルーターでも同じ(=HGWを外せない)と思いますが。。。。

補足日時:2013/07/31 09:28
    • good
    • 0

こんにちは。

hirasaku です。

補足、確認させていただきました。
結果OKで、それで運用ということでしたら
私がつべこべいうことではないので、お任せいたします。

ちょっと、私もこだわりがつよいもんで・・・

今回、なぜBuffaloのルータを入れたのか、過去の質問で
なんとなく、わかったような。
DDNSの問題とDHCPによるDNSサーバのIP指定ができるから
導入されたんですかね?WRの代わりに。
それで、流れでPPTPまでたどり着いたと。

それはさておき、最後に私のこだわりの部分だけでも。
たぶん、補足を読ませていただいた限りでは
私の設定は試されていないのかなと思います。

なぜかと申しますと、
>(5)BL900HWの静的ルーティング設定のエントリーで、
宛先IPアドレスを 192.168.2.0/24 ゲートウェイを 192.168.0.254
に設定する
私はこれを削除してください。と申し上げましたが残している
この設定は、ほかの方が回答されていましたが、
なぜBL900にこのルートが必要かわかりません。
BHRはアドレス変換してLAN側を通信させているわけですよ。
BHRのアドレス変換はLAN側ホストをWAN側のIPに
つまり、192.168.0.254 を使って通信してるんですよね。
ということは、BL900からしてみれば、BHRのLAN側ホストからの
通信(192.168.2.0/24からの)は全部BHRからの通信と
思っているわけですよ。192.168.0.254からの通信とね。
BL900は同一セグメントからの通信と思っているわけですから、
ルーティングテーブルなど使わずに素直に192.168.0.254に
返すわけです。
アドレス変換はLAN側のIPセグメントを隠す動作をします。
ということは、もし、BL900でPINGコマンドができるなら、
そのスタティックルートがあっても 192.168.2.0/24セグメントには
行けないんですよ。ルータの192.168.2.1にPING打っても
応答なしです。
もしこれがアドレス変換しないローカルルータとして設定している
のなら、スタティックルートは必要です。

それとPPTPの動作の件ですが、
今の環境では確かにBHRのWAN側はプライベートのアドレスを
使っています。プライベートIPを使っているからプライベートでしょ。
おっしゃりたいことはわかります。
しかし、BHRを中心に考えるとWAN側はアドレスに関係なく
WANという認識で動作しています。(アドレス変換を使っていれば)
設定画面を見ていただければわかると思いますが、
Internet側とLAN側っていう設定画面ですよね。
PPTPはInternet側からの通信をセキュアにして
LAN側ホストと通信させるための仕組みです。
このLAN側との通信ということで、仮想プライベートネットワーク
なんですよ。
それを今回Internet側のIPをPPTPクライアントに指定している。
これは、仕組みとしては想定外のことですよ。
今回うまく動作しているみたいですが・・・
(YAMAHAの58iでも同様の動きをしました。ログを見たらどういう
ことか、なんとなくわかりましたけど)

192.168.2.0/24 セグメントがそのような環境であれば仕方ない
ですね。
それと、これまで、いろんな設定を試されていると思いますので、
どれが正解なのかもわからない状態だと思います。

しかし、ご希望に近い状態に持ってこれてよかったです。

またしても、不甲斐ない落ちになってしましました。

では。

この回答への補足

hirasaku さん、コメントありがとうございます。


>今回、なぜBuffaloのルータを入れたのか、過去の質問で
なんとなく、わかったような。
DDNSの問題とDHCPによるDNSサーバのIP指定ができるから
導入されたんですかね?WRの代わりに。
それで、流れでPPTPまでたどり着いたと。


はい、全くおっしゃるとおりです。
Biglobe DDNS を使っていたのでWR9500Nを選択したのですが、WRはDNSのIPアドレスを指定できない事は購入後に初めて知りました。

>(5)BL900HWの静的ルーティング設定のエントリーで、
宛先IPアドレスを 192.168.2.0/24 ゲートウェイを 192.168.0.254
に設定する


はい、過去の経緯でご存知と思いますが、最初は、


(4)BL900HWのポートマッピング設定で、TCPの任意のポートの信号とgre(プロトコル番号47)の信号を 192.168.0.254 にマッピングする。 また、BHR-4GRV側もWAN→LANへ、プロトコル番号47の信号とTCPのポート1723の信号を通過させる。

だけの設定をしていました。 (5)の設定をしてもしなくても、機器の動作は外見上は変わらなかったので、今はオマジナイのような感じで何となく(5)の設定が残っているのが現状です。 でもこういう(非論理的な)発想が一番いけない事なんですよね。

正直なところ、「BL900に来た信号をBHR-4GRVに丸投げする」という点では(4)の設定も(5)の設定でも同じように思っていました。 しかし、(5)はNATを使わない環境での固定ルーティングの設定、というように考えれば、今回は(5)は不要なのでしょうね。

再度(5)の設定を外して動作確認をしても正常に動作するので、(5)は外す事にします。


>設定画面を見ていただければわかると思いますが、
Internet側とLAN側っていう設定画面ですよね。

はい、BHR-4GRVの設定画面では、おっしゃる通りですね。

一方、BHR-4GRVの梱包箱には対応ブロードバンド回線としてauひかりがちゃんと記載されているのも不思議です。これは、VoIP電話を使わないauひかりの事なのかもしれません。(VoIP電話を使う→HGWの使用が必至→BHRのWAN側はグローバルIPでなくなる、という事になるので)

いずれにせよ、今回の構成で、192.168.0.XXX というネットワーク空間ができ、HGWのUSB端子にUSB-HDDを接続する事により簡易NASがこの空間にでき、今のところ当方の希望の機能が実現できたので、当面はこれで様子を見たいと考えます。

いろいろとありがとうございました。

補足日時:2013/07/30 21:47
    • good
    • 0

 追加補足確認しました。

SOHO向けルーターは殆ど価格変動しませんよ。
 柔軟な構築が出来る分、一定の製造コストを要求しますので、価格乱高下があるのは個人向け機材のみです。
    • good
    • 0

 他の方の回答確認しました。

当面はBuffaloルーターで運用する様ですね。
 現時点で安定しているとの事で(VPNスループットがどの程度か解りませんが)、今後重いデータ参照時の不確定動作や暴走等は考えておいた方が良いでしょうね。(どちらにしても、1Mbps程度の通信レスポンスしか得られない筈)
 Buffaloルーターの場合には、負荷がかかった際のパケットロスやNATエントリ数が高くなってくると、すぐ暴走しますので、それだけはお伝えしておきます。(仕様上、NATエントリ数は4,096が上限になっておりますが、細かなNAT制限や、タイマーの設定は出来ないタイプですので・・・)

この回答への補足

コメントありがとうございます。

今のところ、共有するデータは、ワードとエクセルファイルで、PPTPユーザーも最大5人なので、当面は現在の構成で様子を見たいと思います。

将来、共有データが動画になったり、ユーザー数が増えたりした場合は、バージョンアップを検討します。 その頃はヤマハのルーターがもっと安く手に入ればうれしいですが。。。。

補足日時:2013/07/28 08:31
    • good
    • 0

こんにちは。

hirasaku です。

間が空いちゃいましたね。
申し訳ございません。本業が忙しかったもんで。

ところで、状況はどうでしょう?
って、YAMAHAを買っちゃいました?

過去からのやり取りをもう一度確認しました。
ここで、いったんクリアしてですね。
下記のようにBLとBHRを設定していただけないですか。
(APはいじらなくて大丈夫です)

まず、BLはやれること限られるので、普通に設定
BLのLAN側IPが 192.168.0.1/24 で、NAPTでインターネットへ。
DMZ設定で相手が 192.168.0.254(BHRのWAN側IP)に設定
もし、静的ルートの設定があるのなら、余計なので削除してください。
BuffaloのNASを 192.168.0.200 などにIPを設定
デフォルト・ゲートウェイは 192.168.0.1でいいです。
NASをBLのLAN側に接続してください。

BHRの設定
WAN側IPを 192.168.0.254/24 デフォルト・ゲートウェイを 192.168.0.1
LAN側IPを 192.168.2.1/24 NAPTでLAN側をWAN側に出す。
DHCPなどの機能を使うなら設定してください。
USB-HDDをBHRに接続。共有の設定をしてください。
APをアクセスポイント・モードで設定(されてると思いますが)
IPを192.168.2.254/24 などと設定。
BHRのLAN側に接続。.

BHRにPPTPの設定
PPTP接続してくるクライアントに割り当てるIPアドレスは
192.168.2.のセグメントならDHCPでも手動でも構いません。

クライアントPCを無線で接続。
インターネットに出れるか確認
NASの192.168.0.200に疎通確認
PCでコマンドプロンプトを開き、ping 192.168.0.200
応答(reply)が返ってきたら疎通はOK
NASの共有フォルダにアクセスできるか確認
\\192.168.0.200\共有フォルダ名
アクセスできればOK
できなければ、BHRのフィルタでWindowsファイル共有系の
ポートを通過させる設定。

PPTPでクライアントをつなぐ
BHRのUSB-HDDにアクセスできればOK
NAS(192.168.0.200)にアクセスできるか確認
できちゃった場合、PPTPの設定で
リモートゲートウェイを使うのチェックが入っているか確認
入っていたらはずす。
PPTP接続をやり直してNASにアクセスできるか確認
できなければOK

こんな感じですか。

PPTPにてクライアントに192.168.0 セグはおかしいという
話ですが、なぜかというと、外からLAN側にアクセスさせる
技術なのにWAN側(外側)アドレスはないでしょ。
ということです。
たまたま、多段NATによって、BHRのWAN側のアドレスは
プライベートですけど、本来そこはグローバルです。
トンネル掘って中に入ったのにまた、外に出された感じですか。
普通そんなことしませんよね。

で、重要なことはPPTP接続してくるクライアントの
PPTP接続設定の設定で「リモートゲートウェイを使う」の
チェックです。
これはクライアントに 192.168.0 セグをあたえたとしても
リモゲーを使うにチェック入れられちゃうと
192.168.2 セグと通信できてしまうということです。
これは、PPTP接続してくる端末の設定になるので、
友達にお願いしてチェックをはずしてもらっても、再度入れられたら
通信可能になるわけですよ。

なので、NASの共有フォルダにはアクセス権をつけるべきだと思います。
プレステや、その他の機器でもWindows共有の仕組みを使うのなら
ユーザー認証にも対応してると思いますが。

ちょっと、長文になってしまったので、今回はこの辺で。

では。

この回答への補足

hirasakuさん、本業でご多忙のところ、コメントを頂きまして感謝いたします。

まず、現時点での状況を報告いたします。


>ところで、状況はどうでしょう?
>って、YAMAHAを買っちゃいました?

YAHAHAのルーターは購入せずに、BHR-4GRVで実際に友人宅の有線ブロードバンド環境で動作確認してもらったところ、当初の目的であるワードやエクセルファイルの共用化に関しては、特にパフォーマンス(キー入力から表示応答までの時間等)にも問題無い状態との事でしたので、当面はこれで様子を見たいと考えています。

<現在の環境>
(1)共有のUSB-HDDは、BL900HWのUSBポートに接続。
(2)BL900HWのLAN側IPアドレスは、192.168.0.1。
(3)BL900HWのDMZホスト機能を有効にし、BHR-4GRVをDMZに置き、そのIPアドレスを 192.168.0.254 とする。
(4)BL900HWのポートマッピング設定で、TCPの任意のポートの信号とgre(プロトコル番号47)の信号を 192.168.0.254 にマッピングする。 また、BHR-4GRV側もWAN→LANへ、プロトコル番号47の信号とTCPのポート1723の信号を通過させる。
(5)BL900HWの静的ルーティング設定のエントリーで、宛先IPアドレスを 192.168.2.0/24 ゲートウェイを 192.168.0.254 に設定する。
(6)PPTP接続ユーザのIPアドレスは、192.168.0.100 からユーザー分(現在は4個)を手動割り当てを行う。
(7)BL900HWのWeb設定画面で、ユーザー名とパスワードは保存しない。
(8)外部のPPTPユーザーのPCにて、PPTP接続時のTCP/IP設定で、「リモートネットワークでデフォルトゲートウェイを使う」のチェックを外す。


なお、今回の検討をするに当たり、既存の 192.168.2.XXX のシステムには手を加えない事を前提としています。ここは、単にBuffalo のNASだけではなく、スカパーチューナーの録画保存先のHDDが接続されていたり、プレステ3用のHDDが接続されていたりしており、またそれ以外にも家族のPCのWindowsログオン時のユーザー名やパスワードも私は全部把握できていないので、ここに手を入れるのは影響が大きいからです。

当初は、USB-HDDをBHR-4GRVのUSBポートに接続し、PPTPクライアントのIPアドレスを、192.168.2.200 から割り当てて、このIPアドレスの信号をUSB-HDDにマッピングする事を考えていましたが、BHR-4GRVではこのようにPPTP接続ユーザー経路を編集する事はできないので、この考えは断念しました。



>PPTPにてクライアントに192.168.0 セグはおかしいという
話ですが、なぜかというと、外からLAN側にアクセスさせる
技術なのにWAN側(外側)アドレスはないでしょ。
ということです。
たまたま、多段NATによって、BHRのWAN側のアドレスは
プライベートですけど、本来そこはグローバルです。
トンネル掘って中に入ったのにまた、外に出された感じですか。
普通そんなことしませんよね。


ここのところがよく理解できていません。BL900HWがルーター機能を禁止できればBHRのWAN側はグローバルIPとなりますが、BL900HWのルーター機能を禁止できず今回のような設定をすると、BL900HWのLAN側は 192.168.0.XXX のネットワーク系になり、192.168.0.XXX のネットワーク系に簡易NASとしてUSB-HDDが置かれており、192.168.0.100 ~ のIPアドレスを割り当てられたPPTPユーザーはこの簡易NASにアクセスできる、という事が実現できているように思っています。

いずれにせよ、当面は友人たちに、このソリューション(といったら大げさな表現になりますが)をもう少し活用してもらい評価していきたいと思っています。

Buffalo製品は企業向けには信頼性がいまいち、という評価が多いですが、実売4500円程度でPPTPサーバーが簡単に構築できるので、プライベート用途として割り切って使えば、それなりに活用できると今回思いました。

補足日時:2013/07/27 16:46
    • good
    • 0

 追加返答確認しました。

KDDI担当へ伝えておきます。
 ただし、KDDIだけではなく、各社IPV4枯渇対応として、IPV6の接続設備への移行を早急に完了したい思惑もありますので、今後はIPV6接続・認証+802.11X認証の新設備認証端末として、専用のHGWの接続限定環境は増えてくる筈です。
 KDDIの場合ですと、AUひかりが対象でIPV4/IPV6のIPOE接続ネットワークになっており、その回線形態としてギガビット接続出来るネットワークを提供しております。中部関西電力(コミュファ光)やSo-net(NURO光)等は、IPV4/IPV6デュアルスタック接続になっていますし、NTT光NEXT隼等はIPV6-PPPOE接続ネットワークの為のIPV6トンネルアダプタ若しくは、IPV6対応ルーターでの接続が必須となってきます。
 NTT系のIPV6-PPPOE接続ネットワークに比べ、IPV6-IPOEネットワークは速度的に有利な回線となっておりますので、その分専用接続設備の為の制約は仕方ない状況かと存じます。
 IPV6回りの情報+専用HGWの提供情報は、「http://flets.com/next/ipv6_ipoe/isp.html」、「http://flets.com/next/ipv6_pppoe/isp.html」を参考にしてみて下さい。
 
    • good
    • 0

 追加補足確認しました。

追加でのヒントです。既存NASのMACアドレスは何でしょうか?
 Yamaha「RTX810」には、DHCP認証及びMACアドレスフィルタの設定が可能な点はお伝えしましたが、NASのMACアドレスでの制限をYamahaルーターに設定すれば、割当IPアドレス+MACアドレス毎の制限がかける事が可能です。
 参考サイト・・「http://jp.yamaha.com/products/network/solution/d …」、「http://jp.yamaha.com/products/network/solution/m …
 ※L2TP-VPN及びPPTP-VPNのアクセス、トンネルルート分けの設定例・・「http://jp.yamaha.com/products/network/solution/s …」、「http://jp.yamaha.com/products/network/solution/c …
 上記設定例にて、宅内LAN端末以外のMACアドレス及びIP接続を拒否、外部からのアクセスIPをIPフィルタでの制限をかけていけば、ご希望相応のセキュリティは可能かと存じます。
 CentOS6をご利用ですね。CentOSであれば、Samba4.0以降の適用が可能ですので、Active-Directory認証でのNASログイン制御も出来ますので、かなりセキュアな環境になるかと存じます。
 
    • good
    • 0

 先ほど伝えわすれました。

hirasakuさんの仰る点も確かにありますが、BuffaloルーターのPPTPクライアントでの細かな宛先許可等は出来ませんよ。(Buffalo確認済み)
 Active-Directory認証についても(やってみないと解りませんが)、Windows系でのActive-Derectoryですとライセンス回りの問題がありますが、方法的にLinuxでのActive-Directory認証といったケースもあるはずです。
 利用サーバのOSが解りませんが、Samba4.0以降を利用するといったケースもあるので、一概に有料とは言えませんよ。仮に有料だったとしても、それは私共で考える事ではなく、運用する方の予算と組合せで構成していくものです。無料は無料としての価値、安価な物は安価だけの価値しかないといった部分が個人の意見です。(安物買いの銭失いといった要素もありますので・・・)
 

この回答への補足

コメントありがとうございました。

ちなみに現在の自作サーバー(Webサーバー+DNSサーバー)のOSはCentos6で、ハードウェアのCPUはAtom525です。

現在の検討方向の優先順位としては、

(1)BL900にUSB-HDDを接続した場合の更なる検討。
   検討の結果、BHRをヤマハルーターに置き換えれば実現できそうならば、ヤマハ製ルーターの購入も検討する。

(2)3重ルーター(BHR背後のWR9500NをAPモードからルーターモードへ変更)の検討。

(3)Active-Directory認証の検討

という事で進めたいと思っています。
従って、Active-Directory認証は、3重ルーター構想が失敗した時に初めて検討する予定にしています。

補足日時:2013/07/19 22:20
    • good
    • 0

 追加補足確認しました。

KDDI回線の場合ですが、モデム(HGW)でのNAT越えでのDHCP認証は可能です。KDDIの場合ですが(当方のビジネスとして)、KDDI代理業務及び工事サービスを付帯してやっておりますが、KDDIメタルプラスモデムやHGWについては、DMZだけですと確かに第三者から見れば、NAT配下でのセグメント越えになり、DHCP難しいといったイメージになるかと存じますが、事業経験上ですが、DMZと静的ルーティングを双方する事で、同一セグメントとして内部処理する設計にしているそうです。(KDDI-ネットワークSEとの対話)
 実際の所、当方もやってみましたが、HGWでもRTX1200にてDHCP認証処理は出来ております。
 KDDIのモデム及びゲートウェイ自体が、そういった機材であると考えて頂いて差支えないです。
 それは、AUひかりHOMEだけではなく、AUひかりビジネスの契約でも同一です。
 アクセス制限の件については、RTX810やFWX120等でのDHCPクライアント・アクセス認証+MACアドレス認証、IPフィルタでの制限にてやってみてもらうしかないですね。
 
 

この回答への補足

nnori7142さんは、KDDI関連のお仕事をされているのですね。

一部のユーザーは、KDDIのHGW(BL900HW/BL190HW等)の貧弱な仕様に困っているようなので、機会があればユーザーの声をKDDIに伝えて頂く事を希望します。

少し脱線しました。

ヤマハルーターの件は、結局実機を入手して確認するしか無いようですね。 もう少し安ければ購入を検討するのですが。。。。

補足日時:2013/07/19 22:29
    • good
    • 0

このQ&Aに関連する人気のQ&A

1  2  3  4  5 次の回答→

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

QVPN接続でVPNから先のサーバーに到達できない。

PC 特に、通信関係に関しては、素人同然のものです。

会社のサーバーに自宅からアクセスしようと、VPN 接続を試みています。
VPN そのものは接続を確認できたのですが、VPN から先、つまり、会社のサーバー (IBM System i) に到達できません。
( 当然ですが ping も通りません )
会社の他の同僚は、問題なく使用できているのですが、私のところだけつながりません。

念のためですが、VPN そのものは接続できています。
その先にあるサーバーにアクセスできないのです。
言わずもがなですが、自宅の PC で、通常のネット環境には問題はありません。
インターネットも、メールも問題なく動作しています。


この場合、System i に到達できない理由として、どのような事が考えられるのでしょうか?

ちなみに、会社側のルーターは、以前、別のルーターを使用していたのですが、その時は、問題なく使用できていた、という実績があります。
その時と、自宅環境は変わっていないはずです。( 少なくとも意識して変更した事はありません )

素人考えでは、なんらかの、アドレスの指定が重複しているのでは??
と考えているのですが、デフォルト・ゲートウェイとか、IP アドレスとか、自宅側のルーターのアドレスだとか、そのあたりではないかと思っているのですが
下手に変更すると、ネットそのものに繋がらなくなくなってしまいます。

変更するにしても、一箇所だけではなく、何箇所か整合性をとって変更する必要があるかと思いますが、詳しいところまでは知らないので、苦労しています。
御存知の方がおられたら、お教え頂けませんでしょうか?

冒頭述べましたように、当方、パソコン、特に、通信関係に関しては、ほぼ、素人同然です。
他に、似たような質問も見かけたのですが、少し、難しくて理解できませんでしたので、質問させて頂きました。

一応、環境の説明をしておきます。

●自宅のPC
(メーカー) ショップメイド
(OS) Windows XP Professional Version 2002 Service Pack 3
●自宅のルーター・通信回線
(通信回線) NTT Bフレッツ
(ルーター) NEC RV-230NE
(プロバイダー) BIGLOBE
●会社のルーター
(ルーター) Buffalo BHR-4GRV
●会社のサーバー
IBM System i ( AS/400 )

尚、現状、自宅のネット環境は、私が知りえる範囲で以下の通りです。

< VPN 接続前の ipconfig コマンドの結果 >
Ethernet adapter ローカル エリア接続:

Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 192.168.1.3
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.1.1


< VPN 接続後の ipconfig コマンドの結果 >
Ethernet adapter ローカル エリア接続:

Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 192.168.1.3
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.1.1

PPP adapter XXXXX:

Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 192.168.1.8
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . : 192.168.1.8

( PPP adapter XXXXX の部分は、VPN 接続先の会社側のものかと思います。XXXXX は会社名なので伏せさせて頂きました)

VPN 接続した状態で、サーバー IBM System i のアドレス 192.168.1.201 に対して ping コマンドを発行すると
C:\>ping 192.168.1.201

Pinging 192.168.1.201 with 32 bytes of data:

Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 192.168.1.201:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

以上のように、timed out となってしまいます。

また、補足情報ですが、会社側のルーターの設定で、ルーターのデフォルト・ゲートウェイが、私の自宅と同じ、192.168.1.1 であり、これが原因ではないかと思い、192.168.1.150 に変更しました。
しかし、結果は、何も変わりませんでした。
他の同僚については、問題なく繋がっています。

以上です。
長文になってしまいましたが、何卒、宜しくお願い致します。

PC 特に、通信関係に関しては、素人同然のものです。

会社のサーバーに自宅からアクセスしようと、VPN 接続を試みています。
VPN そのものは接続を確認できたのですが、VPN から先、つまり、会社のサーバー (IBM System i) に到達できません。
( 当然ですが ping も通りません )
会社の他の同僚は、問題なく使用できているのですが、私のところだけつながりません。

念のためですが、VPN そのものは接続できています。
その先にあるサーバーにアクセスできないのです。
言わずもがなですが、自宅の PC で、通常...続きを読む

Aベストアンサー

自宅とVPN接続先(会社)サブネットが同じ 192.168.1.0/24 なのでこのような結果になってしまいますね。

対応としては、
(1)自宅のネットワークを 192.168.1.0/24 以外にする
(2)VPN接続後にルーティング情報を追加する
になると思います。

(1)が可能であればこちらの方がいいですね。

(2)は 192.168.1.201 のサーバのみに接続出来ればいいのであれば以下のコマンドをVPN接続が確立した後に実行します。

route add 192.168.1.201 mask 255.255.255.255 192.168.1.8 metric 1 if xxx

xxxは route print コマンドで出てくるVPN接続のインターフェースIDです。
(if以降は無くてもいいかもです)
192.168.1.8の部分も接続時に可変となる可能性がありますのでその都度「PPP adapter XXXXX:」側のIPアドレスに合わせます。

これで 192.168.1.201 だけならば接続出来ると思います。
複数のサーバに接続が必要ならばその分このコマンドを実行する必要があります。

毎回毎回VPN接続時に入力が必要なので可能なら(1)ですね。

自宅とVPN接続先(会社)サブネットが同じ 192.168.1.0/24 なのでこのような結果になってしまいますね。

対応としては、
(1)自宅のネットワークを 192.168.1.0/24 以外にする
(2)VPN接続後にルーティング情報を追加する
になると思います。

(1)が可能であればこちらの方がいいですね。

(2)は 192.168.1.201 のサーバのみに接続出来ればいいのであれば以下のコマンドをVPN接続が確立した後に実行します。

route add 192.168.1.201 mask 255.255.255.255 192.168.1.8 metric 1 if xxx

xxxは route print コマン...続きを読む

QL2TP/IPSecのルータのポート開放

L2TP/IPSecのルータのポート開放なんですが

ルータのポートフォワーディングで
1701 (udp) ・・・・l2tp
4500 (udp)・・・・ipsec-nat-t
500 (udp)・・・isakmp

の3つを宅内サーバに向けて開放していますが、つながりません。
ポート開放の番号や数が違うんでしょうか?

同じようにサーバ側のパケットフィルタリングでも上記3つを開放しています。

Aベストアンサー

 お尋ねの件ですが、1701ポートNoをトンネルトランスポートされるようにしていますか?
 4500番はNATトラバーサル用ポート番号、500番はIPSEC認証キー用番号ですが、ポート開放以外にルーターのIPフィルタのパス登録コマンド、out登録コマンドにて通信透過されるようにしていますか?
 上記のチェックでも駄目な場合、DMZホスト設定でルーターの着信データを全てサーバへ向けてみては如何でしょうか?
 DMZの場合、全てのデータ着信はサーバへ向きますので、セキュリティ設定はサーバ側にて破棄登録等実施された方が良いかもしれません。

QVPN接続間でLinkStationが見れません

A拠点:ルーター(YAMAHA RT-58i[192.168.0.YYY])+パソコン(Windows XP)
B拠点:ルーター(YAMAHA RT-58i[192.168.101.YYY])+LinkStation[192.168.101.XXX](LS-WXLシリーズ)

A拠点とB拠点をPPTPを使用したネットワーク型 LAN間接続VPNで接続しています。
ルーター内で接続は確認されています。

A拠点からB拠点へはルーター、リンクステーション(192.168.101.XXX(リンクステーションのIPアドレス)にプラウザで設定画面に入ることが可能です。(pingも帰ってきます)
B拠点からA拠点へも同様です。

B拠点にパソコンを持っていき、ルーターごしにLinkStationにLAN接続し、LinkStationの中のフォルダ(例:sherフォルダ)をマイコンピューターの「ツール」にある「ネットワークドライブの割り当て」から「\\192.168.101.XXX(リンクステーションのIPアドレス)\sher」で見ることは出来ます。

ただし、A拠点から同じように「\\192.168.101.XXX(リンクステーションのIPアドレス)\sher」を入力しても、「ネットワークパス\\192.168.101.XXX(リンクステーションのIPアドレス)\sherは見つかりませんでした」とエラーメッセージが出ます。

A拠点からB拠点のリンクステーション内のファイルを見るにはどのような設定をすればよいのでしょうか?
教えていただけますでしょうか?

リンクステーションのネットワーク設定ですが
IPアドレス:192.168.101.XXX
サブネット:255.255.255.0
デフォルト:192.168.101.YYY
優先DNS:192.168.101.YYY
と入力されています。

よろしくお願い致します。

A拠点:ルーター(YAMAHA RT-58i[192.168.0.YYY])+パソコン(Windows XP)
B拠点:ルーター(YAMAHA RT-58i[192.168.101.YYY])+LinkStation[192.168.101.XXX](LS-WXLシリーズ)

A拠点とB拠点をPPTPを使用したネットワーク型 LAN間接続VPNで接続しています。
ルーター内で接続は確認されています。

A拠点からB拠点へはルーター、リンクステーション(192.168.101.XXX(リンクステーションのIPアドレス)にプラウザで設定画面に入ることが可能です。(pingも帰ってきます)
B拠点からA拠点へも同様で...続きを読む

Aベストアンサー

>B拠点にパソコンを持っていき、ルーターごしにLinkStationにLAN接続し、LinkStationの中のフォルダ(例:sherフォルダ)をマイコンピューターの「ツール」にある「ネットワークドライブの割り当て」から「\\192.168.101.XXX(リンクステーションのIPアドレス)\sher」で見ることは出来ます。

確認ですがルータごしと書かれていますが、B拠点はLinkStationとパソコンが同一ネットワークになるので、単にルータのLANポートにパソコンが接続されている状態と思われますが合っていますか?

>A拠点からB拠点へはルーター、リンクステーション(192.168.101.XXX(リンクステーションのIPアドレス)にプラウザで設定画面に入ることが可能です。(pingも帰ってきます)
>ただし、A拠点から同じように「\\192.168.101.XXX(リンクステーションのIPアドレス)\sher」を入力しても、「ネットワークパス\\192.168.101.XXX(リンクステーションのIPアドレス)\sherは見つかりませんでした」とエラーメッセージが出ます。

この結果から、A拠点のパソコンからLinkStationへの通信は、
・ping(icmp)はOK
・ブラウザ(http)はOK
・共有(smb)はNG
と思われますが認識はあっていますか?

以上の解釈があっていればおそらくフィルタの設定だと思われます。
RT58iはデフォルトの設定でWindowsの共有に関する通信がフィルタされています。
ルータの設定画面で「詳細設定と情報」-「ファイアウォール設定」から「IPv4フィルタ」の設定の項目を確認してみて下さい。

>B拠点にパソコンを持っていき、ルーターごしにLinkStationにLAN接続し、LinkStationの中のフォルダ(例:sherフォルダ)をマイコンピューターの「ツール」にある「ネットワークドライブの割り当て」から「\\192.168.101.XXX(リンクステーションのIPアドレス)\sher」で見ることは出来ます。

確認ですがルータごしと書かれていますが、B拠点はLinkStationとパソコンが同一ネットワークになるので、単にルータのLANポートにパソコンが接続されている状態と思われますが合っていますか?

>A拠点からB拠...続きを読む

QVPNとローカルのネットワークを同時使用

ネットワークがらみでわからない事がありますので宜しくお願い致します。

メールを使用する際、以前は通常のインターネット接続からPOP,SMTPの利用が出来ましたが、最近になってVPN接続を行わないとメールが見れなくなりました。

その際、VPN接続をしていると、ローカルのサーバ等が見えなくなりますので少し困っております。

VPNを接続しながら、ローカルのネットワークも使用できるようなパソコン側の設定の仕方はないものでしょうか?

VPNは必要最小限の接続をして、使用しない時は切断をしておりますが、同時に使用しなければ使い勝手が悪い場合が多々あります。

OSはWindowsXPです。

Aベストアンサー

VPN接続にはWindows XPの「ネットワーク接続」を使用しているのでしょうか。その場合、次の設定をお試しください。

1. VPN接続に使用する「ネットワーク接続」設定を右クリック→プロパティ(R)を選択。
2. 「ネットワーク」タブにある「この接続は次の項目を使用します(O)」の中から「インターネット プロトコル(TCP/IP)」を選択し「プロパティ(R)」。
3. 「全般」タブ→詳細設定(V)。
4. 「全般」タブ→「リモート ネットワークでデフォルト ゲートウェイを使う(V)」のチェックを外す。

Qauひかりでの2重ルータの設定について

auひかりマンションタイプで契約しています。
私はネットワークに関する知識が疎く、手探りで行っている初心者です。
以下の目的に記載している項目に興味があり自宅環境を整えたいと思っております。
色々調べてみるも理解不足もあり、なかなか上手くいけずご教授お願いします。

■使用ルータ
 レンタルモデム&ルータ:Aterm BL172HV ・・・・・ 以下ルータA
  (ルータAは無線オプション契約していません)
 ルータ(無線・VPN用):WHR-G301N ・・・・・ 以下ルータB

■接続機器
設置場所やポート数から以下のように考えております(【】内はプライベートIPの割り振り方法です)。
ルータA(LANポート数:5、DHCP:ON)
 (1)【固 定】 nasne(増設の可能性あり)
 (2)【DHCP】 自宅用PC(複数)
 (3)【DHCP】 (設置予定)IP電話
 (4)【固 定】 (設置予定)自宅サーバ用PC
  ((1)、(2)によりポート不足の場合はHUBを購入予定)
ルータB(LANポート数:4、DHCP:ON)
 (5)【固 定】 テレビ(BRAVIA)
 (6)【DHCP】 PS4・PS3等のネットワーク対応ゲーム
 (7)【DHCP】 携帯機器(android端末、PSvita等) ・・・ Wi-fi接続

■現状
  [インターネット]---[モデム・ルータA]---[ルータB(ブリッジ)]で接続し、
 ルータAのDHCPをonで、空いてるLANポートに接続機器等をつないでいます。

■目的
 (1) IP電話の設置予定
 (2) BRAVIAとnasneをDLNA接続
 (3) I・O DATAのNASを外部から利用(リモートリンク2を使用)
 (4) PS4のリモートプレイを外部(PSVita)から利用
 (5) 外部からのWOL・VNCを利用
 (6) HTML・FTP等の自宅鯖PCを追加予定
 (7) VPNの構築(ルータBのPPTPサーバを利用して外部からnasneを閲覧したい)

IP電話を利用しつつルータBのVPNを利用するにはルータAとBの
2重ルータ環境であれば可能だと思い以下を参考に設定しました。
http://d.hatena.ne.jp/yoneh/20090304/1236156839

ルータAにnasne、ルータBにテレビやPSVitaを接続しており、それらの機器からnasneを参照できませんでした。
これは第3セグメントが異なり、サブネットマスクを255.255.255.0で設定しているため、ルータAとルータBのグループが別のネットワークとして働いているということでしょうか?
http://mbsupport.dip.jp/bk/2003/sub/916.htm
この場合、DHCPサーバ及びIPを固定している機器のサブネットマスクを255.255.0.0に設定すれば良いという事でしょうか?
または、ルータAとルータBの第1~3セグメントを同じにして同一グループに設定可能ですか?

まだ上記設定においてVPNの構築や外部からのWOL・VNC接続などの設定ですが、
ルータの設定を以下のようにするという理解で合っていますでしょうか?
(URLは設定の参考にしたサイトのアドレスです)

◆ポートマッピングの設定(ルータA)
◇VPNの設定
 ・・・ LAN側IPにルータBのIP、TCPプロトコルの1723番ポートとその他(47番プロトコル)を設定
 http://tenkitablog.blog110.fc2.com/blog-entry-354.html
◇WOLの設定
 ・・・ LAN側IPに192.168.0.255、UDPプロトコルの2304番ポートを設定
 (ルータBに接続されている機器にディレクテッド・ブロードキャストする場合は192.168.255.255を設定)
 http://halyou.blog84.fc2.com/blog-entry-985.html
 http://blog.livedoor.jp/kame_551/archives/52037154.html
 http://www.itbook.info/study/p60.html
◇自宅鯖の設定
 ・・・ LAN側IPに鯖PCのIP、HTTP/FTP用にTCPプロトコルの80/20-21番ポートを設定

◆LAN側IPアドレスの設定(ルータA・B)
◇ルータA(192.168.0.1)
 固定(最大):18台(192.168.0.2~192.168.0.19)
 DHCP:192.168.0.20から236台(192.168.0.20~192.168.0.255)
◇ルータB(192.168.1.1)
 固定(最大):18台(192.168.1.2~192.168.1.19)
 DHCP:192.168.1.20から236台(192.168.1.20~192.168.1.255)

目的(7)のためのVPN関係の設定・接続方法が理解できておりません。
上記ポートマッピングを行ったうえで外部からどのように接続・設定を行えばいいのでしょうか?
そもそもルータBのPPTPサーバを利用するのにルータ機能をONにする必要がある解釈が間違いで、
ルータAに上記ポートマッピングの設定を行い、ルータBはブリッジ接続でも良いのでしょうか?

知識不足につきうまくまとめきれず、長文乱文失礼しました。

auひかりマンションタイプで契約しています。
私はネットワークに関する知識が疎く、手探りで行っている初心者です。
以下の目的に記載している項目に興味があり自宅環境を整えたいと思っております。
色々調べてみるも理解不足もあり、なかなか上手くいけずご教授お願いします。

■使用ルータ
 レンタルモデム&ルータ:Aterm BL172HV ・・・・・ 以下ルータA
  (ルータAは無線オプション契約していません)
 ルータ(無線・VPN用):WHR-G301N ・・・・・ 以下ルータB

■接続機器
設置場所やポート...続きを読む

Aベストアンサー

No.2,3です。

なるほど。認識不足でした。
BuffaloのルーターのPPTPサーバー機能は、ルーターモードにさえしておけば
LAN側からアクセスしても動作するのですね。

> まだWOLが動作しておりません。
> BL172HVのポートマッピングでUDP2304を設定するだけではだめなのでしょうか。

WOLする方法は2つあると思います。
1つは、VPN接続する前にWOLのクライアントアプリからマジックパケットを
送信する方法。
→この場合、WOLのクライアントアプリは宛先にグローバルIPを指定して
BL172HVでLAN内にマジックパケットをブロードキャストするようポートマッピング
します。

2つめは、VPN接続した後、WOLのクライアントアプリからマジックパケットを
送信する方法。
→この場合、クライアントはVPN(192.168.1.*)のネットに接続できていますから、
WOLのクライアントアプリは192.168.1.255宛にマジックパケットを
ブロードキャストするよう設定すればよいです(BL172HVのポートマッピング不要)。


うまくいかない場合、何かエラーメッセージが出ていれば、
それを見て原因を考えればいいですが、何もメッセージが出ないで
マジックパケットの送信が無視されているような感じだったら、
パケットキャプチャソフトでPCにマジックパケットが届いているか
確認して、ルーターの問題かPCの問題かそれ以前のネットの問題か
問題原因を切り分ける必要があると思います。

No.2,3です。

なるほど。認識不足でした。
BuffaloのルーターのPPTPサーバー機能は、ルーターモードにさえしておけば
LAN側からアクセスしても動作するのですね。

> まだWOLが動作しておりません。
> BL172HVのポートマッピングでUDP2304を設定するだけではだめなのでしょうか。

WOLする方法は2つあると思います。
1つは、VPN接続する前にWOLのクライアントアプリからマジックパケットを
送信する方法。
→この場合、WOLのクライアントアプリは宛先にグローバルIPを指定して
BL172HVでLAN内にマジックパケットを...続きを読む


人気Q&Aランキング