RT107eというルータの設定について

RT107eというルータの設定について、解らない事だらけで誰か教えてください。

特定のポート（今回はFTP）のみVPN経由で外部へアクセスしたいです。

【拠点A】
LAN IP:192.168.1.0/24
ルータIP:192.168.1.1
クライアントPCAの設定
_IP:192.168.1.2
_NET MASK:255.255.255.0
_GW:192.168.1.1

【拠点B】
LAN IP:192.168.2.0/24
ルータIP:192.168.2.1
クライアントPCBの設定
_IP:192.168.2.2
_NET MASK:255.255.255.0
_GW:192.168.2.1

※DNSはプロバイダから教えてもらったアドレスを設定しています。

課題が色々あって、簡単なところから始めています。
今までにできた事です。

・拠点A、拠点Bともにインターネット接続ができていて、両拠点にあるクライアントPCから外部WEBサーバ（yahooとか）接続できるようになりました。
・拠点Aと拠点BはVPNで接続できるよう設定できました。
・ファイル共有は拠点Aと拠点Bで問題なく接続できるよう設定できました。
・両拠点にあるWEBサーバ（クライアントAとBに構築）も相互にアクセスできるよう設定できました。


今度は、拠点AからFTPを使い外部のFTPサーバへアクセスする時、拠点Aから外部へ接続するのではなく、一旦、VPNにて拠点Bを介して外部のFTPサーバへアクセスさせたいです。
ルーティングの設定かと思うんですけど、さっぱり解りません。
（クライアントも何か設定する必要があるのでしょうか？）

一応、拠点Aから下記設定にて外部のFTPサーバへアクセスする事はできました。

拠点Aの設定は大体こんな感じです。
（何やってんの？っていう突っ込みは沢山あります・・・）

ip route 192.168.2.0/24 gateway tunnel 1

ip lan1 address 192.168.1.0/24

provider filter routing connection

provider lan1 name LAN:
provider lan2 name PPPoE/0/1/5/0/0:Base1

pp select 1
・・・
ip pp secure filter in 120 121 123 124 125 201
ip pp secure filter out 120 121 123 124 125 999 dynamic 301 302
・・・
ip pp nat descriptor 10
pp enable 1
provider set 1 Base1
provider dns server pp 1 1
provider select 1

no tunnel enable all

tunnel select 1
tunnel name Base2
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.2.1
ipsec ike local id 1 192.168.2.0/24
ipsec ike pre-shared-key 1 text Base1_key
ipsec ike remote address 1 192.168.2.1
ip tunnel tcp mss limit auto
tunnel enable 1

ip filter 120 reject * * udp,tcp 135 *
ip filter 121 reject * * udp,tcp * 135
ip filter 122 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 123 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 124 reject * * udp,tcp 445 *
ip filter 125 reject * * udp,tcp * 445
ip filter 201 pass * 192.168.1.2 tcp * www
ip filter 999 pass * * * * *

ip filter dynamic 301 * * ftp
ip filter dynamic 302 * * www

nat descriptor type 10 masquerade
nat descriptor masquerade incoming 10 forward 192.168.1.2
nat descriptor masquerade static 10 1 192.168.1.2 tcp www

tftp host 192.168.1.2

どのような設定をすれば良いのでしょうか？
その他、ツッコミなどもお願いします。
よろしくお願いします。

No.4 回答者： nnori7142 回答日時： 2013/09/27 19:45

　追加補足ですが、「RTX1100」や「RTX1200」でしたら、恐らくインターネット回線毎LAN2とLAN3のセッションを分割させ、FTP接続します端末のIPからのNAT変換ルートを任意選択させる事も可能かと存じます。

　FTP接続します端末のIPを任意設定し、尚且つLAN1側インターフェイスをVLAN分割し、分割しましたポート毎にNAT変換＋IPSEC接続させる点と、FTP接続許可をさせる形態をとりましたら可能かと存じますが、やってみないと解りません。
　

No.3 回答者： nnori7142 回答日時： 2013/09/27 10:12

　そうですか。

FTPのみをVPNゲートウェイ先からの接続ですか。
　一つ方法ですが、RT107Eでは難しいかもしれませんが、「RTX1100」や「RTX1200」でしたら、WANインターフェイスを2系統構築する方法がとれますが、インターネットのみのNAPT経路（LAN2）と、インターネット＋IPSEC-VPN（LAN3）経路に分け、FTPのNAT変換をLAN3の方へのゲートウェイに充て、LAN2インターフェイスのFTP通信をIPフィルター等にて破棄させれば良いのではないでしょうか？
　上記方法ですと、それぞれのWANインターフェイスに対し、それぞれのプロバイダの設定が必要です。

この回答へのお礼

＞RT107Eでは難しいかもしれませんが・・・
このルーターでは無理なんですね。

ダメなら諦めたいと思います。

色々とアドバイスありがとうございます。

お礼日時：2013/09/27 13:22

No.2 回答者： maesen 回答日時： 2013/09/25 11:02

＞・拠点Aと拠点BはVPNで接続できるよう設定できました。

＞一応、拠点Aから下記設定にて外部のFTPサーバへアクセスする事はできました。

拠点Bのコンフィグが無いので外部のFTPサーバへアクセスできるかも重要ですが、
上記の内容が間違いなければ、拠点Aのコンフィグに

ip route 外部のFTPサーバのIPアドレス gateway tunnel 1

を追加すれば、拠点B経由になると思います。

＞特定のポート（今回はFTP）のみVPN経由で外部へアクセスしたいです。

外部のFTPサーバのIPアドレスで直接ルーティングするのがまずければ、
FTPはすべて拠点Bを経由することになりますが、フィルタ型ルーティングを使用することになると思います。

http://www.rtpro.yamaha.co.jp/RT/docs/filter-rou …


おそらくルータの設定をかんたん設定にて実施していると思いますが、
申し訳ありませんが、かんたん設定には詳しくないのでこれらのことが設定出来るのかはちょっと不明です。

この回答へのお礼

ご回答ありがとうございます。

今の所、外部ＦＴＰサーバは１箇所なので、今度試してみたいと思います。

お礼日時：2013/09/26 12:55

No.1 回答者： nnori7142 回答日時： 2013/09/24 17:57

　お尋ねの件ですが、拠点A側ルーターにespパケットの透過及びUDP500パケットのパススルーコマンドが抜けており、恐らくB拠点のルーターも抜けているかと存じますので、先ず、拠点A側に「nat descriptor masquerade static 10 2 192.168.1.1 esp」、「nat descriptor masquerade static 10 3 192.168.1.1 udp 500」を登録、「ipsec auto refresh on」も必要かと存じます。

　拠点B側は「「nat descriptor masquerade static 10 2 192.168.2.1 esp」、「nat descriptor masquerade static 10 3 192.168.2.1 udp 500」を登録、「ipsec auto refresh on」が必要かと存じます。
　FTP接続をVPN接続先ゲートウェイを経由させれば良いので、拠点A側の接続PCを固定IP設定で、ゲートウェイIPを拠点BのゲートウェイIPを設定、DNSサーバのIPを拠点BのゲートウェイIPを指定すればOKかと存じます。
　上記にて、インターネット等データ通信が、拠点B側ゲートウェイを経由しますので、FTP接続も拠点B側ゲートウェイを経由するようになるはずです。

この回答へのお礼

ご回答ありがとうございます。
諸設定の抜けをしていただきましてありがとうございます。

クライアントＰＣのゲートウェイを変える方法ですけど、そうしてしまうとＦＴＰ以外の（例えばＨＴＴＰ）も拠点Ｂ経由となってしまうと思います。ＦＴＰのみに限定する方法は無いでしょうか？

お礼日時：2013/09/26 12:54