BHR-4GRV で PPTP サーバー構築

LAN内に共有領域を設置し、LAN外部からこの共有領域にアクセスできるようにし、
かつLAN外部のPCからこの共有領域に対しネットワークドライブを割り当てる事を
めざしています。

実際の使用シーンとしては、友人やグループなどが同一のワードやエクセルファイル
に対し、添削や加筆を行う、といったイメージです。

これに関し、関連した質問をさせて頂いたところ、LAN外部のPCがLAN内部の共有領域
に対しネットワークドライブを割り当てる機能を持たせるには、LAN内部にVPNサーバ
を設置する必要がある、との事でしたので、現在は以下のようなネットワーク構成に
落ち着きました。


＜現在のネットワーク構成＞

　　KDDIホームGW　　ルータ兼PPTPサーバ　　無線LAN AP

192.168.0.1 192.168.0.254 　　192.168.2.XXX
　　┌─────┐　　┌─────┐　　　　┌─────┐
　　│ 　　　　　　　│　　│　　　　　　　 │　　　 │　　　　　　 　│
　　│ BL900HW　├─┤ BHR-4GRV├─┬─┤ WR9500N │
　　│　　　　　　 　│　　│　(DMZ) 　 │　　│　│　　　　　　　│
　　└─────┘　　└──┬──┘　　│　└─────┘
　　　　　　　　　　　　　　　　　　　│　　　　　 　│
　　　　　　　　　　　　　　　┌──┴──┐　　│ 　┌───────┐
　　　　　　　　　　　　　　　│ USB HDD │　　├─┤ LS-WX4.0TL/R1│
　　　　　　　　　　　　　　　└─────┘　　│ 　└───────┘
　　　　　　　　　　　　　　　　　　　　　　　　　　　│　　　　　　BuffaloのNAS
　　　　　　　　　　　　　　　　　　　　　　　　　　　│
　　　　　　　　　　　　　　　　　　　　　　　　　　　│ 　┌───────┐
　　　　　　　　　　　　　　　　　　　　　　　　　　　└─┤　自作サーバ　 │
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　└───────┘
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 Webサーバ＆DNSサーバ


　ａｕひかりを使っている関係上、ルーター機能を有するホームＧＷ（ここでは
　BL900HW）が必須なので、２重ルーターになるのですが、Buffalo の BHR-4GRV
　という有線ブロードバンドルータをDMZ領域においています。BHR-4GRV には
　PPTPサーバ機能があるので、これを活用しています。
　BHR-4GRV の USB 端子に USB HDD を接続し、上記の共有領域にはこの HDD を
　割り当てています。

　その後段の NEC の無線ルータ（WR9500N）は、ルータ機能を停止し無線LANの
　アクセスポイントモードに特化した使い方としています。また WR9500N には
　Biglobe DDNS 機能をサポートしているので、PPTPサーバー構築の際の DDNS
　はここで対応しています。

　更に、LAN 内部に自作のホームページ公開用の Web サーバ をおいていますが、
　ここにはホームページにLAN内部からも http:// 形式でアクセスできるように
　LAN 内部用のDNS サーバー機能も持たしています。


＜現状できているところと解決すべき問題点＞

　(1)BHR-4GRV の PPTP サーバーの設定で、以下のような設定をする。
　　 この時、LAN外部のPCからは問題無くVPN（PPTP）接続が成功する。

　　　(a)サーバーIPアドレス、クライアントIPアドレスとも「自動設定」にする。

　　　(b)DNSサーバーのIPアドレスは、「ブロードステーションのLAN側IPアドレス」
　　　　 とする。（BHR-4GRV の設定画面では、BHR-4GRV の事をブロードステーション
　　　　 と称している。）

　　　(c)PPTP接続ユーザを１つ作成し、「IPアドレス割り当て方法」を
　　　　「PPTPサーバー設定の範囲から取得」とする。

　(2)BHR-4GRV の 「NAS」設定の「共有フォルダ設定」で、
　　　(d)「アクセス制限機能」は「アクセス制限なし（読取／書込可能）」に設定し、
　　　　「Webアクセス設定」は「アクセス制限を使用する」にチェックを入れる。

　(3)BHR-4GRV の 「NAS」設定の「ユーザー管理」で、
　　　(e) 上記の(c)で作成したものと同じユーザー名＆パスワードで、新しく
　　　　　ユーザー名を作成する。

　(4)BHR-4GRV の 「NAS」設定の「共有サービス」で、
　　　(f) 共有フォルダー機能は「使用する」にチェックを入れる。
　　　　　ブロードステーション名はデフォルトのまま。
　　　　　　（デフォルト値は、APXXXXXXXXXXXX　XXはBHR-4GRVのMACアドレス）
　　　　　ワークグループ名はデフォルトの「WORKGROUP」のまま。
　　　　　　（なお、LAN外部のPCのワークグループ名も「WORKGROUP」）


　　この状態でLAN外部PCから、ネットワークドライブの割り付けを以下のように
　　行うと、「アクセスできません」というエラーが返ってくる。
　　もちろんLAN内部のPCではこの設定でネットワークドライブの割り当てが
　　できています。

　　　　￥￥（ブロードステージョン名）￥disk1_pt1

　　　　　　　　文字化けのため￥は全角文字としています。

なお、disk1_pt1 は BHR-4GRV が自動的に付ける名前。（１番目のディスクの
　　パーティション１）

　　外部PCは、WindowsXP と Windows7 の両方で確認したが現象は変わらず。

　　いろいろと試行錯誤した結果、以下のような設定をすると　WinsowsXP と
　　Windows 7　の両方でネットワークドライブの割り当てができました。

　(5)LAN外部PCの Windows ファイヤーウオールを「無効」にし、かつ上記(c)で
　　 「IPアドレス割り当て方法」を「DHCPサーバー設定の範囲から取得」に変更する。

　　しかし、この場合は、LAN外部PCから、LAN内部のNASに対してもネットワーク
　　ドライブの割り当てができてしまうし、何よりもファイヤーウオールを「無効」
　　にする事が気持ち悪いと思っています。

　　そこで、LAN外部PCの Windows ファイヤーウオールは「有効」の状態で、各種
　　設定（例外設定等）で対処し、かつLAN外部PCからネットワークドライブが
　　割り当てられるのは BHR-4GRV に接続された USB HDD までとしたい、という
　　事を実現したいのですが、以上に述べた設定をどのように変更したら良いのか
　　に関し、ご教示をお願いいたします。

No.1 回答者： koi1234 回答日時： 2013/07/10 12:20

>￥￥（ブロードステージョン名）￥disk1_pt1

外部からの接続時　そのPCで　ブロードステージョン名　の
名前解決ができていない可能性があります

プロードステーションもDHCP取得にしているようですが
固定IPに変更したほうがいいと思われます
その上で直接IPアドレスを直接入力してアクセスできるか確認してください

そうした場合外部から設定が～～　　とか書かれてますが
その意味がよくわかりませんでした
具体的にどのゼグメントにおかれてるPCから設定ができるといっているのでしょうか？

他に気になったこと
なんでDMZが必要なのかわからない（設定する必要性を感じません）
かえって悪影響が出ているのかもしれません

動いてるんならできてるんでしょうが
・BL900HWに対して PPTPパススルーの設定が必要
　そのために　BHR-4GRV の102.168.1.0/24 側は固定IPにする必要があります
　　

・初めに書いたように PPTP接続したPCで名前解決ができない可能性があるので
　そこからアクセスする機器に関しては固定IPで運用する方がいいと思われます

一通り書いた後に気が付いたけどBL900HWでPPTPパススルーできないから
DMZにしたってことなのかな？
　　　機器の説明書見たわけじゃないけどブリッジ設定ができませんか？
　　　（その場合全ての接続設定は　BHR-4GRV　で行う）
　　　できるんじゃないかと思うんですけど

この回答への補足

早速のコメント、ありがとうございます。

まず、

＞他に気になったこと　　なんでDMZが必要なのかわからない

の件ですが、ａｕひかりの場合は、ルーター機能を停止できないＫＤＤＩレンタル品のホームゲートウェイ（私の場合は BL-900HW）が必須で、BHR-4GRV にはグローバルＩＰを与える事ができません。　そこで、１つの解決案としてBHR-4GRV をＤＭＺホストにして、BL-900HWに来たパケットをBHR-4GRV に丸投げする、という対策案がネットに紹介されていたので、当方もこれを使っているわけです。　（NTTのフレッツのようにホームゲートウェイ相当部分がブリッジモードにできれば良いのですが）

念のため BL-900HW のVPN設定で「IPsecパススルー機能」は使用する、に設定しています。

＞そうした場合外部から設定が～～　　とか書かれてますが
その意味がよくわかりませんでした
具体的にどのゼグメントにおかれてるPCから設定ができるといっているのでしょうか？

表現がわかりにくく、申し訳ありません。しかし、元の文章中に「そうした場合外部から設定が」という表現は無いと思いますがどこの部分でしょうか？


＞外部からの接続時　そのPCで　ブロードステージョン名　の
名前解決ができていない可能性があります

これに関して、私には基本的なところが良くわかっていないようなので、アドバイス頂ければ幸いです。

私は、Biglobe の DDNS に加入しているので、VPN（PPTP）接続する際のインターネットアドレスには「mypage.bglb.jp」　と入力しています。（もちろん mypage は仮の名前ですが、.bglb.jp は Biglobe DDNS の固有値です。）

私が良くわかっていないとことは、LAN外部のPCがBHR-4GRV　に接続されたUSB HDD をアクセスするため、ネットワークプレースを追加する場合、「￥￥APXXXXXXXXXXXX￥disk1_pt1」という表記ではなく「http://mypage.bglb.jp/ZZZZ」という形式で入力する際、ZZZZ には何を入れたら良いのか、という点です。

試しに、「http://mypage.bglb.jp/disk1_pt1」と入力したところ、ユーザー名とパスワードの入力を促され、心当たりのものを入力しても受け付けられませんでした。

以上のような状況です。　よろしくお願いいたします。

補足日時：2013/07/10 17:36

No.2 回答者： koi1234 回答日時： 2013/07/10 19:43

No1です 補足内容に関して

>NTTのフレッツのように
そこまでの状態は分かりました　　それならDMZであっています

>念のため BL-900HW のVPN設定で「IPsecパススルー機能」は使用する、に設定
この設定は不要だったはずです
（パススルーはルータ自体でサーバになってるなら不要のはず）

>元の文章中に「そうした場合外部から設定が」という表現は無い
失礼しました 勝手に脳内変換したようです
>この場合は、LAN外部PCから、LAN内部のNASに対してもネットワークドライブ
>の割り当てができてしまうし
の部分が 固定IP設定に設定した場合 と読めたため
そうした場合(固定IPに設定した場合）と書いてしまいました

>私が良くわかっていないとことは、LAN外部のPCがBHR-4GRV　
>に接続されたUSB HDD をアクセスするため
私も勘違いしてた部分がありました 共有したいのは　BHR-4GRV の USB HDD 限定ですか？
（てっきり他のPCのDISKなども含まれているのかと思いました）

名前解決云々 についてもう少し細かく書きますと
PPTP接続した後
エクスプローラで \\192.168.2.*\disk1_pt でアクセスしたほうが確実です
192.168.2.* は BHR-4GRVのLAN側IPアドレスになります

ブロードステージョン名を打ったのでは192.168.2.* になっている
判断ができないのでは？ という意味です
　　　　LAN内からのアクセスではそういった名前解決の問題は出ないのが普通
　　　　PPTP接続先からはできない可能性があります

最終的に　　http://mypage.bglb.jp/disk1_pt1　　のようなアクセス
をしたいということでしたがそういった(http)アクセスで供給ができるのかは
BHR-4GRVの共有サービスがどのように実装されていか次第です

仮にそういった形で使用できるなら LAN内PCから同じ形式でアクセスしていると思うので
PPTP接続後は LAN内から接続するのと同様のアクセスで問題なく使えるはずです
（問題なのは名前解決だけ）

あと念のためPPTP接続完了後 自分のPCのIPアドレスセグメントが
192.168.2.*/24 になることも確認してください
なってなければ PPTP接続ができていません

この回答への補足

レスポンスありがとうございました。

＞私も勘違いしてた部分がありました 共有したいのは　BHR-4GRV の USB HDD 限定ですか？
（てっきり他のPCのDISKなども含まれているのかと思いました）

はい、USB HDD 限定、と考えています。
今回は、友人たちとファイルを共用するのが目的ですが、友人といえども、当方のLAN内部のPC内の情報は共有したくありません。


＞最終的に　　http://mypage.bglb.jp/disk1_pt1　　のようなアクセスをしたいということでしたが

いいえ、そうではありません。　名前解決＝上記のようなアクセス法、と連想してしまったので、このような表現になっただけで、LAN外部のPCから ￥￥XXXXXXX￥ZZZZZ　のような形式でも
ネットワークドライブのアサインができればそれでＯＫです。

＞名前解決云々 についてもう少し細かく書きますと
PPTP接続した後
エクスプローラで \\192.168.2.*\disk1_pt でアクセスしたほうが確実です
192.168.2.* は BHR-4GRVのLAN側IPアドレスになります

はい、￥￥APXXXXXXXXXXXX￥disk1_pt1 で正常にネットワークドライブが割り当てられる時は、￥￥192.168.2.1￥disk1_pt1 と指定してもＯＫですが、ＬＡＮ外部ＰＣのWindows ファイヤーウオールを有効にしたり、BHR-4GRVの設定でPPTP接続ユーザへのIPアドレス割り付け法を「DHCPサーバー設定の範囲から取得」から「PPTPサーバー設定の範囲から取得」に変更すると、ネットワークドライブの割り当てができなくなります。（この時のエラーは「ネットワークパスが見つからない。」という内容です。）


＞あと念のためPPTP接続完了後 自分のPCのIPアドレスセグメントが192.168.2.*/24 になることも確認してください
なってなければ PPTP接続ができていません

すみません、この自分のPCとはLAN外部のPCの事でしょうか？
そうだとした場合、前述のPPTP接続ユーザへのIPアドレス割り付け法を「PPTPサーバー設定の範囲から取得」にした場合でもPPTP接続はできます。その場合、LAN外部のPCのIPアドレスは　172.31.145.2 というclass B のプライベートアドレスが BHR-4GRV から割り当てられます。

以上、取り急ぎ、報告まで。

補足日時：2013/07/10 21:39

No.3 回答者： koi1234 回答日時： 2013/07/10 19:51

No2訂正

>>念のため BL-900HW のVPN設定で「IPsecパススルー機能」は使用する、に設定
>この設定は不要だったはずです
>（パススルーはルータ自体でサーバになってるなら不要のはず）

DMZ設定した段階で全パケット　BHR-4GRV に流れるのでパススルー設定は不要です
PPTPパススルー設定するなら逆にDMZ設定は要りません

両方行っても問題ない気はしますがそういったことはやったことが無いので
どうなるかわかりません
DMZ先とPPTPパススルー先は　BHR-4GRV になってるんですよね？

この回答への補足

BL-900HWで、パススルー　の設定はどちらでも現象は変わりません。

また、BL-900HWの「ポートマッピング」設定では、
　TCPの任意のポートの信号とプロトコル番号47（gre）は、192.169.0.254（BHR-4GRV のWAN側IPアドレス）にマッピングしています。

補足日時：2013/07/10 21:48

No.4 回答者： nnori7142 回答日時： 2013/07/10 19:52

　お尋ねの件ですが、まずHGWのDMZの設定に、192.168.0.254等と登録し、BuffaloルーターのWAN側設定をCATV等の設定→固定IP（192.168.0.254、ゲートウェイ192.168.0.1、優先DNS192.168.0.1）と設定します。

　更にHGWの静的ルーティング設定で、宛先アドレスを192.168.2.0/24、Nexthopゲートウェイ192.168.0.254と登録します。（Buffaloルーターセグメントを192.168.2.～の数値と仮定です）
　上記にてWAN側とLAN側の経路取得設定はOKです。念のため、HGWの詳細設定→セキュリティ保護機能の無効化と、IPフィルタの設定を全て削除した方が良いかもしれません。
　次にBuffaloルーターのPPTPパススルー設定（TCP1723とgreパケット透過）を実施し、PPTPサーバの設定＋PPTPサーバの設定を確認します。パススルー設定は、セキュリティタブのPPTPパススルーにて有効化します。
　次にNECアクセスポイントの設定をAPモードにされているかと存じますが、ネットワーク設定を「192.168.2.254等、ゲートウェイ192.168.2.1、優先DNS192.168.2.1」と設定確認して下さい。
　BIGLOBE-DDNSの設定は、BuffaloルーターのUPNP機能を利用しますので、Buffaloルーターの「ゲーム＆アプリ」タブ→UPNPの設定機能にて有効化です。
　念のため申し上げますが、PPTPサーバの機能はソフトウェア処理ですので、1Mbps程度のレスポンスしか出ません。Yamaha等L2TP-VPNやIPSEC-VPNを構築出来る様なハードウェアVPNまでの性能は出ませんので、重たいファイルの参照や保存には不向きです。それと、PPTP自体、ごく最近ですが、クラック可能なセキュリティ問題が出ておりますので、出来ればお奨めしません。
　それと、外部PCですが、利用回線はNAT配下でしょうか？NAT配下であれば、PPTPパススルー設定と、セキュリティ等の設定はゲートウェイ内部に投入する形態となります。
　とまあ、上記の内容ですが、当方もAUひかりHGW配下にYamaha「RTX1200」をL2TP-VPN＋IPSEC-VPNを設定し利用している立場の意見ですが・・・。

この回答への補足

いつもコメントを頂き、感謝いたします。
ａｕひかりでの類似のネットワーク構成なので、とても心強いです。
頂いたいろいろなコメントに対し、順次レスします。

まず、各機器の設定ですが、

＞HGWのDMZの設定に、192.168.0.254等と登録し、

はい、登録済みです。

＞BuffaloルーターのWAN側設定をCATV等の設定→固定IP（192.168.0.254、ゲートウェイ192.168.0.1、優先DNS192.168.0.1）と設定します。

はい、このように設定済みです。

＞更にHGWの静的ルーティング設定で、宛先アドレスを192.168.2.0/24、Nexthopゲートウェイ192.168.0.254と登録します。（Buffaloルーターセグメントを192.168.2.～の数値と仮定です）

ここのところは、「ポートマッピング」設定で、
　TCPの任意のポートの信号とプロトコル番号47（gre）は、192.169.0.254にマッピングする。
という設定をしていましたが、ご教示頂いたように「静的ルーティング設定」に変更しました。

＞次にBuffaloルーターのPPTPパススルー設定（TCP1723とgreパケット透過）を実施し、

この設定が漏れていましたので追加しました。

＞PPTPサーバの設定＋PPTPサーバの設定を確認します。パススルー設定は、セキュリティタブのPPTPパススルーにて有効化します。

PPTPサーバーの設定では、PPTP接続ユーザを１個追加しました。その際、IPアドレス割り当て方法は「DHCPサーバー設定の範囲から取得」というデフォルト値としました。また、セキュリティタブのPPTPパススルーは有効にしています。


＞NECアクセスポイントの設定をAPモードにされているかと存じますが、ネットワーク設定を「192.168.2.254等、ゲートウェイ192.168.2.1、優先DNS192.168.2.1」と設定確認して下さい。

NECアクセスポイント（WR9500N）のIPアドレスはBHR-4GRV の方で、192.168.2.160 に手動割り当てしていますので、192.168.2.254等のところは、192.168.2.160 となっています。　また、自作サーバ（Webサーバ＋LAN内部用DNSサーバ）のIPアドレスは　192.168.2.150 にBHR-4GRV の方で手動割り当てしていますので、WR9500Nの設定は、
　IPアドレス／ネットマスクは、　192.168.2.160/24
　ゲートウェイは　　　　　　　　192.168.2.1
　プライマリDNSは　　　　　　　192.168.2.150
　セカンダリDNSは　　　　　　　192.168.2.1
のように設定しています。

＞それと、外部PCですが、利用回線はNAT配下でしょうか？　

現在確認している環境は、LTE／３G　WiFiルーター（NECアクセステクニカ製のMR01LN：NEC Biglobe LTE を契約した時に付いてきたもの）に外部PCを無線LAN接続しています。MR01LNから外部PCへは、192.168.179.0/24　というIPアドレス系です。

「利用回線はNAT配下」という意味が私には正確にはわかっていませんが、現在の外部PCは 192.168.179.2 がMR01LNからアサインされています。

ここまでの設定確認で、外部PCのWindows ファイヤーウオールを「無効」にすると期待した動作（USB HDD へネットワークドライブの割り当て可能）となりますが、「有効」とすると割り当てができません。（「有効」時の例外には、「プリンターとファイルの共用」と「リモートデスクトップ」は入っています。）

今回頂いたコメントに関しては以上です。

補足日時：2013/07/11 06:53

No.5 回答者： nnori7142 回答日時： 2013/07/10 20:00

　先ほどの補足ですが、LAN外部PCがNAT配下である場合、そのNATルーターの方のIPフィルタの設定にて、パケット毎の廃棄・許可の設定をしていきます。

TCP1723とgreパケット以外の破棄番号指定してセキュリティ確保すれば、Windowsファイアーウォール許可・破棄の代替処置となります。
　

この回答への補足

「利用回線はNAT配下」という意味が私には正確にはわかっていませんが、前回（回答No4）の補足のところにも記載しましたとおり、

現在確認している環境は、LTE／３G　WiFiルーター（NECアクセステクニカ製のMR01LN：NEC Biglobe LTE を契約した時に付いてきたもの）に外部PCを無線LAN接続しています。MR01LNから外部PCへは、192.168.179.0/24　というIPアドレス系です。

現在の外部PCは 192.168.179.2 がMR01LNからアサインされています。

＞そのNATルーターの方のIPフィルタの設定にて、パケット毎の廃棄・許可の設定をしていきます。TCP1723とgreパケット以外の破棄番号指定してセキュリティ確保すれば、Windowsファイアーウォール許可・破棄の代替処置となります。

この意味は、MR01LN に何らかの設定（TCP1723とプロトコル47を通過させる等）が必要、という事をおっしゃっていますか？

補足日時：2013/07/11 06:59

No.6 回答者： koi1234 回答日時： 2013/07/10 22:48

No2 です No2の補足を見て 現状状態ややりたいことの詳細が見えてきた気ががします

>LAN外部のPCのIPアドレスは　172.31.145.2 という
>class B のプライベートアドレスが BHR-4GRV から割り当てられます。
それでは通信できないですね

ネットワークの構成少々変更したほうがいいかと思います

・BL900HW はルータモード DMZで　BHR-4GRV を設定 （今のまま変更なし）

・BHR-4GRV はルーターモード PPTPサーバ起動して
　　　WAN側セグメント 　192.168.0.0/24
　　　LAN側セグメント 　192.168.2.0/24　　　　　（ここまでは今と同じ）
　DDNSサービスに登録する（BHR-4GRVもDDNS対応してるはずです）
　PPTP接続ユーザへのIPアドレス割り付け法を「DHCPサーバー設定の範囲から取得」にする

・WR9500N でのDDNS登録無効
　動作モードはルーターモード
　　　WAN側セグメント 　192.168.2.0/24
　　　LAN側セグメント 　192.168.3.0/24　　（このセグメントは適当に書いただけ）

ちょっと手間だけど自分でBHR-4GRVのUSBにアクセスするときも
一旦BHR-4GRV にPPTP接続してからアクセスするようにする

・R9500Nでは共有関連のポートは閉じる
　　　開けたままなら　上に書いた　一旦BHR-4GRV にPPTP接続して
　　　の手間はなくなりますが
　　　友人といえども、当方のLAN内部のPC内の情報は共有したくありません。
　　　は満たせないかと思います（そう簡単にばれるってもんでもないですが）

BHR-4GRVのLAN上に全機器を設置した今の状況では
希望を満たせないと思われます
（私が思いつくのは上記での実現方法ぐらいです）

この回答への補足

コメントありがとうございました。

＞＞class B のプライベートアドレスが BHR-4GRV から割り当てられます。
＞それでは通信できないですね

はい、確かにおっしゃるとおりでした。

従って今は、

＞PPTP接続ユーザへのIPアドレス割り付け法を「DHCPサーバー設定の範囲から取得」にする

のように設定を変更しています。

＞DDNSサービスに登録する（BHR-4GRVもDDNS対応してるはずです）
＞・WR9500N でのDDNS登録無効

残念ながら、BHR-4GRV は Biglobe のDDNS　には対応していません。　また WR9500N は（ルーターモードでなくても）アクセスポイントモードでも Biglobe DDNS 対応処理を勝手にやってくれるので、貴重な存在です。

＞友人といえども、当方のLAN内部のPC内の情報は共有したくありません。
　　　は満たせないかと思います（そう簡単にばれるってもんでもないですが）

はい、確かに考えてみればリスクが少ないかもしれませんね。
なので、この項目は優先順位を下げたいと考えます。

＞・WR9500N でのDDNS登録無効
　動作モードはルーターモード　

WR9500Nもルーターモードにすると３重ルーターになるような気がしますので、それは複雑すぎて避けたいです。
（BHR-4GRV は無線ルーターでは無いので、ルーター機能を停止できないと思うので。）
　

補足日時：2013/07/11 07:24

No.7 回答者： koi1234 回答日時： 2013/07/10 22:52

書いた部分が編集ミスで抜けてるのに気が付いたので追加

>・WR9500N でのDDNS登録無効
>　動作モードはルーターモード
>　　　WAN側セグメント 　192.168.2.0/24
>　　　LAN側セグメント 　192.168.3.0/24　　（このセグメントは適当に書いただけ）

自分の機器は全て WR9500N のLANに構築

No.8 回答者： nnori7142 回答日時： 2013/07/11 05:02

　追加補足ですが、USB-HDD以外のアクセス制限ですが、BuffaloルーターのIPフィルタ設定での特定アクセス拒否の設定＋NAS自身のアクセス制限の設定となりますが、利用サーバがActive-Directory機能＋SMB認証機能の追加を利用可能であれば、認証でのアクセス制限をサーバに持たせる方法もあります。

　PPTPクライアントからのアクセスも、アクセス許可するアドレスの制限もケースにより併用していただければと思います。

この回答への補足

コメントありがとうございます。

残念ながら、ここにご記載頂いた内容を理解するには、私の方でもう少し勉強が必要なようです。

今は、「USB-HDD以外のアクセス制限」の対応は優先順位を下げて、回答No4の補足に記載した設定をしてもLAN外部PCのWindows ファイヤーウオールを「有効」にすると期待した動作をしない原因究明を優先したいと考えています。
これについては私自身、まったく解決の糸口を掴んでいませんので、引き続きサポートをお願いいたします。

補足日時：2013/07/11 07:40

No.9 回答者： koi1234 回答日時： 2013/07/11 07:41

No7の補足に対して

>WR9500Nもルーターモードにすると３重ルーターになるような気
気がする　　じゃなくてあらかさまな3重ルータです
ただし実際にグローバルIPぶられるのは　BHR-4GRV　になりますので
その他の設定は2重ルータと同じです

>はい、確かに考えてみればリスクが少ないかもしれませんね。
>なので、この項目は優先順位を下げたいと考えます。
誤解されて受け止められたような気がしますが
現状の構成で行った場合には友人がスキャンかけたりすれば
それほど労力無しで設置機器が分かったりしますよ
私がリスク少なくなると書いたのはルータ一個追加した時の話ですので誤解の無いように

>残念ながら、BHR-4GRV は Biglobe のDDNS　には対応していません。
Biglobe のDDNS にこだわる必要ありますか？（個人の勝手と言ってしまえば終わるけど）
DDNSサービス自体はどこのもの使ってもさほど違うはないと思うのですが


>＞PPTP接続ユーザへのIPアドレス割り付け法を「DHCPサーバー設定の範囲から取得」にする
>のように設定を変更しています。
それなら PPTP接続で外部 PCに割り当てられるIPアドレスは
192.168.2.XXX　　になるはずなのでNo2で書いた方法で
アクセスできてよさそうな気がしますができませんでしたか？

この回答への補足

一応、当方が希望する機能が実現できる案を考え、動作確認しました。　詳細は、回答１０の補足を参照して頂ければ幸いです。

なお、PPTP接続ユーザのIPアドレスを 192.168.2.XXX 系にして、VPN接続時のWindows ファイヤーウオールを無効にする事で、当初の目的の外部からネットワークドライブの割り当てができます。

DDNSは特に Biglobe にこだわっていませんが、個人HPのURLが変更になるのが面倒な事と、海外系の無料DDNSはいつの間にか有料になったり、等々の問題があるので、できれば変更したくない、というのが本音ですが、今回の問題とDDNSとはほとんど関係ないように思いますが。。。。

補足日時：2013/07/11 20:01

No.10 回答者： nnori7142 回答日時： 2013/07/11 08:37

　まず追加回答の1番目から、3G/LTE回線セグメントがLTEプライベートセグメントになっております。

（192.168.179.0/24）
　ですので、LTE接続端末のWifiルーターの内部設定画面（http://192.168.179.1)が開ける筈ですので、詳細設定→ポートマッピング設定で、TCP1723とgreパケットを通す様に設定します。
　それと、HGWの静的ルーティングの件ですが、あくまでもIPベースのルーティングですので、ポートベースの転送も双方必要です。「宛先アドレスを192.168.2.0/24、Nexthopゲートウェイ192.168.0.254と登録」＋「TCPの任意のポートの信号とプロトコル番号47（gre）は、192.169.0.254にマッピング」
　NECの無線アクセスポイントの設定は合致しており、BIGLOBE-DDNS取得はWAN側のルーターのUPNP機能での通信取得でOKです。（ただし、NECからみて、WAN側はあくまでも固定ですが、元々AUひかり自体はグローバルIP半固定みたいな物ですので、必要ないかもしれません）
　あとは、アクセスします外部PCからのアクセスをBuffaloルーターのIPフィルタでの制限をかける方法が基本ですが、BuffaloルーターのIPフィルタにて、送信元（PPTPクライアントIP）→NASのIP宛て、TCP137-139、445、21-22その他思い当たるポート番号を破棄する設定、送信元（PPTPクライアントIP）→サーバのIP宛て、TCP137-139、445、21-22、他不正アクセスポート番号破棄といった方法で設定していきます。
　勿論、BuffaloルーターのPPTPクライアントからのアクセス許可IPの設定にも許可IPの登録をしておきます。（友人宅割当て用）
　更にセキュリティをかける方法は、NASの方にサーバにSMB認証サーバに接続を委任するモード設定がありますので、利用していますサーバの確認ですが、Linuxであれば、Samba4.0からSMB認証＋ActiveDirectory機能が追加されましたので、Samba4.0に移行しドメイン・コントローラー認証に連動させる方法で、NASのセキュリティ確保も可能です。
　Windowsサーバであれば、勿論可能です。
　上記方法にて、如何でしょうか？

この回答への補足

まず、LTE/3G ルーター（MR01LN）の設定変更（ポートマッピング設定で、TCP1723とgreパケットを通す）をしても状況は変わりませんでした。　冷静に考えてみると、PC本体側のWindows ファイヤーウオールの設定で期待した動作になるので、MR01LNは無関係と考えて良いはずでした。

実は、PC本体側のWindows ファイヤーウオールの設定方法のところで当方が勘違いして、以下のようにすれば、VPN接続の時のみ
Windows ファイヤーウオールが無効になる事がわかりました。

　WindowsXPの場合で説明すると、

　　　デスクトップでマイネットワークを右クリック

　　　VPN接続のアイコンを右クリックし、プロパティを選択

　　　詳細設定タブでWindows ファイヤーウオール設定を選択

　　　今まではここで「Windows ファイヤーウオール設定を無効」としていたが、「有効」のまま詳細設定タブを選択

　　　この画面でVPN接続の項目だけチェックを外す

このように設定することで、VPN接続時ではない一般接続時にはWindows ファイヤーウオールが有効のままになります。


次に、LAN内でのUSB-HDD以外のアクセス制限に関し、いろいろと考えて試行錯誤した結果、以下のようにする事で、一応当方が考えていた機能が実現できたので、報告します。

＜対策案＞
　・USB HDD を BL-900HW 側に接続する。
　　　（以前に少し試行して止めたのですが、本日は深く突っ込んで検討しました。）

　・BHR-4GRV のPPTPサーバー設定で、PPTP接続ユーザのIPアドレスを、192.168.0.100 からユーザー分だけ手動で割り当てる。

　　このようにすると、PPTPユーザは、192.168.0.XXX の機器だけにアクセスできるように制限がかかるので、BL-900HWのUSBポートに接続された USB HDD にはアクセスできるが、192.168.2.XXX　のNAS等にはアクセスできない。

とりあえず、このようにして希望する機能は実現できたのですが、USB HDD に格納されているエクセルファイルを外部からアクセスした時、このファイルが開かれるまでの時間がLAN内部からの時に比べて遅いです。

外部接続の場合、３G回線を使っているから遅いのか、PPTPサーバーのソフト処理が重たくて遅いのか、未だ切り分けられていません。

やっぱりヤマハのVPNルーターが必要なのかもしれませんね。
そういえば、RTX1000　の中古品がずいぶん安く売られていましたが、これは買いですか？

当方は、現状有線LANポートがNAS（LinkStation）に接続されているので、Gigaポート対応でないと動画コンテンツの転送時に遅くて困るのですが。。。。

以上のような状況です。

補足日時：2013/07/11 19:51