BHR-4GRV で PPTP サーバー構築

LAN内に共有領域を設置し、LAN外部からこの共有領域にアクセスできるようにし、
かつLAN外部のPCからこの共有領域に対しネットワークドライブを割り当てる事を
めざしています。

実際の使用シーンとしては、友人やグループなどが同一のワードやエクセルファイル
に対し、添削や加筆を行う、といったイメージです。

これに関し、関連した質問をさせて頂いたところ、LAN外部のPCがLAN内部の共有領域
に対しネットワークドライブを割り当てる機能を持たせるには、LAN内部にVPNサーバ
を設置する必要がある、との事でしたので、現在は以下のようなネットワーク構成に
落ち着きました。


＜現在のネットワーク構成＞

　　KDDIホームGW　　ルータ兼PPTPサーバ　　無線LAN AP

192.168.0.1 192.168.0.254 　　192.168.2.XXX
　　┌─────┐　　┌─────┐　　　　┌─────┐
　　│ 　　　　　　　│　　│　　　　　　　 │　　　 │　　　　　　 　│
　　│ BL900HW　├─┤ BHR-4GRV├─┬─┤ WR9500N │
　　│　　　　　　 　│　　│　(DMZ) 　 │　　│　│　　　　　　　│
　　└─────┘　　└──┬──┘　　│　└─────┘
　　　　　　　　　　　　　　　　　　　│　　　　　 　│
　　　　　　　　　　　　　　　┌──┴──┐　　│ 　┌───────┐
　　　　　　　　　　　　　　　│ USB HDD │　　├─┤ LS-WX4.0TL/R1│
　　　　　　　　　　　　　　　└─────┘　　│ 　└───────┘
　　　　　　　　　　　　　　　　　　　　　　　　　　　│　　　　　　BuffaloのNAS
　　　　　　　　　　　　　　　　　　　　　　　　　　　│
　　　　　　　　　　　　　　　　　　　　　　　　　　　│ 　┌───────┐
　　　　　　　　　　　　　　　　　　　　　　　　　　　└─┤　自作サーバ　 │
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　└───────┘
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 Webサーバ＆DNSサーバ


　ａｕひかりを使っている関係上、ルーター機能を有するホームＧＷ（ここでは
　BL900HW）が必須なので、２重ルーターになるのですが、Buffalo の BHR-4GRV
　という有線ブロードバンドルータをDMZ領域においています。BHR-4GRV には
　PPTPサーバ機能があるので、これを活用しています。
　BHR-4GRV の USB 端子に USB HDD を接続し、上記の共有領域にはこの HDD を
　割り当てています。

　その後段の NEC の無線ルータ（WR9500N）は、ルータ機能を停止し無線LANの
　アクセスポイントモードに特化した使い方としています。また WR9500N には
　Biglobe DDNS 機能をサポートしているので、PPTPサーバー構築の際の DDNS
　はここで対応しています。

　更に、LAN 内部に自作のホームページ公開用の Web サーバ をおいていますが、
　ここにはホームページにLAN内部からも http:// 形式でアクセスできるように
　LAN 内部用のDNS サーバー機能も持たしています。


＜現状できているところと解決すべき問題点＞

　(1)BHR-4GRV の PPTP サーバーの設定で、以下のような設定をする。
　　 この時、LAN外部のPCからは問題無くVPN（PPTP）接続が成功する。

　　　(a)サーバーIPアドレス、クライアントIPアドレスとも「自動設定」にする。

　　　(b)DNSサーバーのIPアドレスは、「ブロードステーションのLAN側IPアドレス」
　　　　 とする。（BHR-4GRV の設定画面では、BHR-4GRV の事をブロードステーション
　　　　 と称している。）

　　　(c)PPTP接続ユーザを１つ作成し、「IPアドレス割り当て方法」を
　　　　「PPTPサーバー設定の範囲から取得」とする。

　(2)BHR-4GRV の 「NAS」設定の「共有フォルダ設定」で、
　　　(d)「アクセス制限機能」は「アクセス制限なし（読取／書込可能）」に設定し、
　　　　「Webアクセス設定」は「アクセス制限を使用する」にチェックを入れる。

　(3)BHR-4GRV の 「NAS」設定の「ユーザー管理」で、
　　　(e) 上記の(c)で作成したものと同じユーザー名＆パスワードで、新しく
　　　　　ユーザー名を作成する。

　(4)BHR-4GRV の 「NAS」設定の「共有サービス」で、
　　　(f) 共有フォルダー機能は「使用する」にチェックを入れる。
　　　　　ブロードステーション名はデフォルトのまま。
　　　　　　（デフォルト値は、APXXXXXXXXXXXX　XXはBHR-4GRVのMACアドレス）
　　　　　ワークグループ名はデフォルトの「WORKGROUP」のまま。
　　　　　　（なお、LAN外部のPCのワークグループ名も「WORKGROUP」）


　　この状態でLAN外部PCから、ネットワークドライブの割り付けを以下のように
　　行うと、「アクセスできません」というエラーが返ってくる。
　　もちろんLAN内部のPCではこの設定でネットワークドライブの割り当てが
　　できています。

　　　　￥￥（ブロードステージョン名）￥disk1_pt1

　　　　　　　　文字化けのため￥は全角文字としています。

なお、disk1_pt1 は BHR-4GRV が自動的に付ける名前。（１番目のディスクの
　　パーティション１）

　　外部PCは、WindowsXP と Windows7 の両方で確認したが現象は変わらず。

　　いろいろと試行錯誤した結果、以下のような設定をすると　WinsowsXP と
　　Windows 7　の両方でネットワークドライブの割り当てができました。

　(5)LAN外部PCの Windows ファイヤーウオールを「無効」にし、かつ上記(c)で
　　 「IPアドレス割り当て方法」を「DHCPサーバー設定の範囲から取得」に変更する。

　　しかし、この場合は、LAN外部PCから、LAN内部のNASに対してもネットワーク
　　ドライブの割り当てができてしまうし、何よりもファイヤーウオールを「無効」
　　にする事が気持ち悪いと思っています。

　　そこで、LAN外部PCの Windows ファイヤーウオールは「有効」の状態で、各種
　　設定（例外設定等）で対処し、かつLAN外部PCからネットワークドライブが
　　割り当てられるのは BHR-4GRV に接続された USB HDD までとしたい、という
　　事を実現したいのですが、以上に述べた設定をどのように変更したら良いのか
　　に関し、ご教示をお願いいたします。

No.5 回答者： nnori7142 回答日時： 2013/07/10 20:00

　先ほどの補足ですが、LAN外部PCがNAT配下である場合、そのNATルーターの方のIPフィルタの設定にて、パケット毎の廃棄・許可の設定をしていきます。

TCP1723とgreパケット以外の破棄番号指定してセキュリティ確保すれば、Windowsファイアーウォール許可・破棄の代替処置となります。
　

この回答への補足

「利用回線はNAT配下」という意味が私には正確にはわかっていませんが、前回（回答No4）の補足のところにも記載しましたとおり、

現在確認している環境は、LTE／３G　WiFiルーター（NECアクセステクニカ製のMR01LN：NEC Biglobe LTE を契約した時に付いてきたもの）に外部PCを無線LAN接続しています。MR01LNから外部PCへは、192.168.179.0/24　というIPアドレス系です。

現在の外部PCは 192.168.179.2 がMR01LNからアサインされています。

＞そのNATルーターの方のIPフィルタの設定にて、パケット毎の廃棄・許可の設定をしていきます。TCP1723とgreパケット以外の破棄番号指定してセキュリティ確保すれば、Windowsファイアーウォール許可・破棄の代替処置となります。

この意味は、MR01LN に何らかの設定（TCP1723とプロトコル47を通過させる等）が必要、という事をおっしゃっていますか？

補足日時：2013/07/11 06:59

No.4 回答者： nnori7142 回答日時： 2013/07/10 19:52

　お尋ねの件ですが、まずHGWのDMZの設定に、192.168.0.254等と登録し、BuffaloルーターのWAN側設定をCATV等の設定→固定IP（192.168.0.254、ゲートウェイ192.168.0.1、優先DNS192.168.0.1）と設定します。

　更にHGWの静的ルーティング設定で、宛先アドレスを192.168.2.0/24、Nexthopゲートウェイ192.168.0.254と登録します。（Buffaloルーターセグメントを192.168.2.～の数値と仮定です）
　上記にてWAN側とLAN側の経路取得設定はOKです。念のため、HGWの詳細設定→セキュリティ保護機能の無効化と、IPフィルタの設定を全て削除した方が良いかもしれません。
　次にBuffaloルーターのPPTPパススルー設定（TCP1723とgreパケット透過）を実施し、PPTPサーバの設定＋PPTPサーバの設定を確認します。パススルー設定は、セキュリティタブのPPTPパススルーにて有効化します。
　次にNECアクセスポイントの設定をAPモードにされているかと存じますが、ネットワーク設定を「192.168.2.254等、ゲートウェイ192.168.2.1、優先DNS192.168.2.1」と設定確認して下さい。
　BIGLOBE-DDNSの設定は、BuffaloルーターのUPNP機能を利用しますので、Buffaloルーターの「ゲーム＆アプリ」タブ→UPNPの設定機能にて有効化です。
　念のため申し上げますが、PPTPサーバの機能はソフトウェア処理ですので、1Mbps程度のレスポンスしか出ません。Yamaha等L2TP-VPNやIPSEC-VPNを構築出来る様なハードウェアVPNまでの性能は出ませんので、重たいファイルの参照や保存には不向きです。それと、PPTP自体、ごく最近ですが、クラック可能なセキュリティ問題が出ておりますので、出来ればお奨めしません。
　それと、外部PCですが、利用回線はNAT配下でしょうか？NAT配下であれば、PPTPパススルー設定と、セキュリティ等の設定はゲートウェイ内部に投入する形態となります。
　とまあ、上記の内容ですが、当方もAUひかりHGW配下にYamaha「RTX1200」をL2TP-VPN＋IPSEC-VPNを設定し利用している立場の意見ですが・・・。

この回答への補足

いつもコメントを頂き、感謝いたします。
ａｕひかりでの類似のネットワーク構成なので、とても心強いです。
頂いたいろいろなコメントに対し、順次レスします。

まず、各機器の設定ですが、

＞HGWのDMZの設定に、192.168.0.254等と登録し、

はい、登録済みです。

＞BuffaloルーターのWAN側設定をCATV等の設定→固定IP（192.168.0.254、ゲートウェイ192.168.0.1、優先DNS192.168.0.1）と設定します。

はい、このように設定済みです。

＞更にHGWの静的ルーティング設定で、宛先アドレスを192.168.2.0/24、Nexthopゲートウェイ192.168.0.254と登録します。（Buffaloルーターセグメントを192.168.2.～の数値と仮定です）

ここのところは、「ポートマッピング」設定で、
　TCPの任意のポートの信号とプロトコル番号47（gre）は、192.169.0.254にマッピングする。
という設定をしていましたが、ご教示頂いたように「静的ルーティング設定」に変更しました。

＞次にBuffaloルーターのPPTPパススルー設定（TCP1723とgreパケット透過）を実施し、

この設定が漏れていましたので追加しました。

＞PPTPサーバの設定＋PPTPサーバの設定を確認します。パススルー設定は、セキュリティタブのPPTPパススルーにて有効化します。

PPTPサーバーの設定では、PPTP接続ユーザを１個追加しました。その際、IPアドレス割り当て方法は「DHCPサーバー設定の範囲から取得」というデフォルト値としました。また、セキュリティタブのPPTPパススルーは有効にしています。


＞NECアクセスポイントの設定をAPモードにされているかと存じますが、ネットワーク設定を「192.168.2.254等、ゲートウェイ192.168.2.1、優先DNS192.168.2.1」と設定確認して下さい。

NECアクセスポイント（WR9500N）のIPアドレスはBHR-4GRV の方で、192.168.2.160 に手動割り当てしていますので、192.168.2.254等のところは、192.168.2.160 となっています。　また、自作サーバ（Webサーバ＋LAN内部用DNSサーバ）のIPアドレスは　192.168.2.150 にBHR-4GRV の方で手動割り当てしていますので、WR9500Nの設定は、
　IPアドレス／ネットマスクは、　192.168.2.160/24
　ゲートウェイは　　　　　　　　192.168.2.1
　プライマリDNSは　　　　　　　192.168.2.150
　セカンダリDNSは　　　　　　　192.168.2.1
のように設定しています。

＞それと、外部PCですが、利用回線はNAT配下でしょうか？　

現在確認している環境は、LTE／３G　WiFiルーター（NECアクセステクニカ製のMR01LN：NEC Biglobe LTE を契約した時に付いてきたもの）に外部PCを無線LAN接続しています。MR01LNから外部PCへは、192.168.179.0/24　というIPアドレス系です。

「利用回線はNAT配下」という意味が私には正確にはわかっていませんが、現在の外部PCは 192.168.179.2 がMR01LNからアサインされています。

ここまでの設定確認で、外部PCのWindows ファイヤーウオールを「無効」にすると期待した動作（USB HDD へネットワークドライブの割り当て可能）となりますが、「有効」とすると割り当てができません。（「有効」時の例外には、「プリンターとファイルの共用」と「リモートデスクトップ」は入っています。）

今回頂いたコメントに関しては以上です。

補足日時：2013/07/11 06:53

No.3 回答者： koi1234 回答日時： 2013/07/10 19:51

No2訂正

>>念のため BL-900HW のVPN設定で「IPsecパススルー機能」は使用する、に設定
>この設定は不要だったはずです
>（パススルーはルータ自体でサーバになってるなら不要のはず）

DMZ設定した段階で全パケット　BHR-4GRV に流れるのでパススルー設定は不要です
PPTPパススルー設定するなら逆にDMZ設定は要りません

両方行っても問題ない気はしますがそういったことはやったことが無いので
どうなるかわかりません
DMZ先とPPTPパススルー先は　BHR-4GRV になってるんですよね？

この回答への補足

BL-900HWで、パススルー　の設定はどちらでも現象は変わりません。

また、BL-900HWの「ポートマッピング」設定では、
　TCPの任意のポートの信号とプロトコル番号47（gre）は、192.169.0.254（BHR-4GRV のWAN側IPアドレス）にマッピングしています。

補足日時：2013/07/10 21:48

No.2 回答者： koi1234 回答日時： 2013/07/10 19:43

No1です 補足内容に関して

>NTTのフレッツのように
そこまでの状態は分かりました　　それならDMZであっています

>念のため BL-900HW のVPN設定で「IPsecパススルー機能」は使用する、に設定
この設定は不要だったはずです
（パススルーはルータ自体でサーバになってるなら不要のはず）

>元の文章中に「そうした場合外部から設定が」という表現は無い
失礼しました 勝手に脳内変換したようです
>この場合は、LAN外部PCから、LAN内部のNASに対してもネットワークドライブ
>の割り当てができてしまうし
の部分が 固定IP設定に設定した場合 と読めたため
そうした場合(固定IPに設定した場合）と書いてしまいました

>私が良くわかっていないとことは、LAN外部のPCがBHR-4GRV　
>に接続されたUSB HDD をアクセスするため
私も勘違いしてた部分がありました 共有したいのは　BHR-4GRV の USB HDD 限定ですか？
（てっきり他のPCのDISKなども含まれているのかと思いました）

名前解決云々 についてもう少し細かく書きますと
PPTP接続した後
エクスプローラで \\192.168.2.*\disk1_pt でアクセスしたほうが確実です
192.168.2.* は BHR-4GRVのLAN側IPアドレスになります

ブロードステージョン名を打ったのでは192.168.2.* になっている
判断ができないのでは？ という意味です
　　　　LAN内からのアクセスではそういった名前解決の問題は出ないのが普通
　　　　PPTP接続先からはできない可能性があります

最終的に　　http://mypage.bglb.jp/disk1_pt1　　のようなアクセス
をしたいということでしたがそういった(http)アクセスで供給ができるのかは
BHR-4GRVの共有サービスがどのように実装されていか次第です

仮にそういった形で使用できるなら LAN内PCから同じ形式でアクセスしていると思うので
PPTP接続後は LAN内から接続するのと同様のアクセスで問題なく使えるはずです
（問題なのは名前解決だけ）

あと念のためPPTP接続完了後 自分のPCのIPアドレスセグメントが
192.168.2.*/24 になることも確認してください
なってなければ PPTP接続ができていません

この回答への補足

レスポンスありがとうございました。

＞私も勘違いしてた部分がありました 共有したいのは　BHR-4GRV の USB HDD 限定ですか？
（てっきり他のPCのDISKなども含まれているのかと思いました）

はい、USB HDD 限定、と考えています。
今回は、友人たちとファイルを共用するのが目的ですが、友人といえども、当方のLAN内部のPC内の情報は共有したくありません。


＞最終的に　　http://mypage.bglb.jp/disk1_pt1　　のようなアクセスをしたいということでしたが

いいえ、そうではありません。　名前解決＝上記のようなアクセス法、と連想してしまったので、このような表現になっただけで、LAN外部のPCから ￥￥XXXXXXX￥ZZZZZ　のような形式でも
ネットワークドライブのアサインができればそれでＯＫです。

＞名前解決云々 についてもう少し細かく書きますと
PPTP接続した後
エクスプローラで \\192.168.2.*\disk1_pt でアクセスしたほうが確実です
192.168.2.* は BHR-4GRVのLAN側IPアドレスになります

はい、￥￥APXXXXXXXXXXXX￥disk1_pt1 で正常にネットワークドライブが割り当てられる時は、￥￥192.168.2.1￥disk1_pt1 と指定してもＯＫですが、ＬＡＮ外部ＰＣのWindows ファイヤーウオールを有効にしたり、BHR-4GRVの設定でPPTP接続ユーザへのIPアドレス割り付け法を「DHCPサーバー設定の範囲から取得」から「PPTPサーバー設定の範囲から取得」に変更すると、ネットワークドライブの割り当てができなくなります。（この時のエラーは「ネットワークパスが見つからない。」という内容です。）


＞あと念のためPPTP接続完了後 自分のPCのIPアドレスセグメントが192.168.2.*/24 になることも確認してください
なってなければ PPTP接続ができていません

すみません、この自分のPCとはLAN外部のPCの事でしょうか？
そうだとした場合、前述のPPTP接続ユーザへのIPアドレス割り付け法を「PPTPサーバー設定の範囲から取得」にした場合でもPPTP接続はできます。その場合、LAN外部のPCのIPアドレスは　172.31.145.2 というclass B のプライベートアドレスが BHR-4GRV から割り当てられます。

以上、取り急ぎ、報告まで。

補足日時：2013/07/10 21:39

No.1 回答者： koi1234 回答日時： 2013/07/10 12:20

>￥￥（ブロードステージョン名）￥disk1_pt1

外部からの接続時　そのPCで　ブロードステージョン名　の
名前解決ができていない可能性があります

プロードステーションもDHCP取得にしているようですが
固定IPに変更したほうがいいと思われます
その上で直接IPアドレスを直接入力してアクセスできるか確認してください

そうした場合外部から設定が～～　　とか書かれてますが
その意味がよくわかりませんでした
具体的にどのゼグメントにおかれてるPCから設定ができるといっているのでしょうか？

他に気になったこと
なんでDMZが必要なのかわからない（設定する必要性を感じません）
かえって悪影響が出ているのかもしれません

動いてるんならできてるんでしょうが
・BL900HWに対して PPTPパススルーの設定が必要
　そのために　BHR-4GRV の102.168.1.0/24 側は固定IPにする必要があります
　　

・初めに書いたように PPTP接続したPCで名前解決ができない可能性があるので
　そこからアクセスする機器に関しては固定IPで運用する方がいいと思われます

一通り書いた後に気が付いたけどBL900HWでPPTPパススルーできないから
DMZにしたってことなのかな？
　　　機器の説明書見たわけじゃないけどブリッジ設定ができませんか？
　　　（その場合全ての接続設定は　BHR-4GRV　で行う）
　　　できるんじゃないかと思うんですけど

この回答への補足

早速のコメント、ありがとうございます。

まず、

＞他に気になったこと　　なんでDMZが必要なのかわからない

の件ですが、ａｕひかりの場合は、ルーター機能を停止できないＫＤＤＩレンタル品のホームゲートウェイ（私の場合は BL-900HW）が必須で、BHR-4GRV にはグローバルＩＰを与える事ができません。　そこで、１つの解決案としてBHR-4GRV をＤＭＺホストにして、BL-900HWに来たパケットをBHR-4GRV に丸投げする、という対策案がネットに紹介されていたので、当方もこれを使っているわけです。　（NTTのフレッツのようにホームゲートウェイ相当部分がブリッジモードにできれば良いのですが）

念のため BL-900HW のVPN設定で「IPsecパススルー機能」は使用する、に設定しています。

＞そうした場合外部から設定が～～　　とか書かれてますが
その意味がよくわかりませんでした
具体的にどのゼグメントにおかれてるPCから設定ができるといっているのでしょうか？

表現がわかりにくく、申し訳ありません。しかし、元の文章中に「そうした場合外部から設定が」という表現は無いと思いますがどこの部分でしょうか？


＞外部からの接続時　そのPCで　ブロードステージョン名　の
名前解決ができていない可能性があります

これに関して、私には基本的なところが良くわかっていないようなので、アドバイス頂ければ幸いです。

私は、Biglobe の DDNS に加入しているので、VPN（PPTP）接続する際のインターネットアドレスには「mypage.bglb.jp」　と入力しています。（もちろん mypage は仮の名前ですが、.bglb.jp は Biglobe DDNS の固有値です。）

私が良くわかっていないとことは、LAN外部のPCがBHR-4GRV　に接続されたUSB HDD をアクセスするため、ネットワークプレースを追加する場合、「￥￥APXXXXXXXXXXXX￥disk1_pt1」という表記ではなく「http://mypage.bglb.jp/ZZZZ」という形式で入力する際、ZZZZ には何を入れたら良いのか、という点です。

試しに、「http://mypage.bglb.jp/disk1_pt1」と入力したところ、ユーザー名とパスワードの入力を促され、心当たりのものを入力しても受け付けられませんでした。

以上のような状況です。　よろしくお願いいたします。

補足日時：2013/07/10 17:36