- 締切済み
RTX1000のipsec接続
現在、RTX1000を使用して、本店・支店間のVPN接続の(CATVの固定アドレスを本店・支店で使用しています。)構 築をしています。本店・支店ともサーバーをたてずに、ピアツーピアの設定です。 本店・支店ともインターネットは見ることができますし メールも送受信できます。 webアシスタントの・・・現在のIPsec設定では状態はUPになってい て、相手方のルーターにPingも通ります。 現在設定をしているPCはWin2000ですが、 マイコンピュータ→ネットワークとダイヤルアップ→新しい接続の作成 で仮想プライベート接続を作成すると、 ※.※.※.※に接続中と出てと20秒くらいすると エラー678:応答がありませんでした。とメッセージが出てしまいます。・・・ 現在では、やれることはすべてやったつもりなのですが・・・皆目見当もつきません・・・どなたかお力をお貸しいただけませんでしょうか?
- みんなの回答 (6)
- 専門家の回答
みんなの回答
- suzui
- ベストアンサー率67% (199/297)
- suzui
- ベストアンサー率67% (199/297)
- suzui
- ベストアンサー率67% (199/297)
少し見えてきましたね。 この時点でいえることは、PCに仮想プライベート接続を作る必要はなさそうだ、ということです。 それから、本店のPCから支店のルータにpingを打って帰ってくるので、本店PC・本店ルータ・支店ルータくらいは正常の可能性があります。 次は、支店PCのIPアドレス・サブネットマスク・デフォルトゲートウェイを確認してください。 支店の人に頼んで、支店のPCから、 192.168.12.1 (支店ルータ) 192.168.11.1 (本店ルータ) 192.168.11.119 (本店PC) にpingを打ってもらい、結果を調べてみてください。 もしかしたら設定でpingをフィルタしているかもしれないので、実際にやりたいことが例えばファイル共有であれば、 \\支店PCのIPアドレス というのを本店PCの スタートメニュー>ファイル名を指定して実行 で試してみてください。 支店PCでファイルを共有していれば、共有リソースが表示されるかもしれません。 それでもだめなら、支店ルータの設定を書き込んでみてください。 参考URLととても似た構成なので、確認してみてください。
補足
いろいろありがとうございます。 こんな事を今さら聞くのもなんなのですが、実際に 接続できた場合は、どのような表示になるのでしょうか? マイネットワーク上に支店のPCが表示されるのでしょうか????? 現在支店にて(当社ではパソコンの使用できる者が すくないので)Ping調査をしました。 結果は 192.168.12.1 (支店ルータ)・・・・OK 192.168.11.1 (本店ルータ)・・・・OK 192.168.11.119 (本店PC)・ ・・・OK でした。 \\支店PCのIPアドレス というのを本店PCの スタートメニュー>ファイル名を指定して実行 で試してみてください。 支店PCでファイルを共有していれば、共有リソースが表示されるかもしれません。 →支店から、本店PC119(共有フォルダあり) で上記コマンドを使用しましたが。駄目でした。 それでもだめなら、支店ルータの設定を書き込んでみてください。 →支店の設定を書き込みます。 ip lan1 address 192.168.12.1/24 dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.12.2-192.168.12.254/24 nat descriptor type 1 masquerade nat descriptor address outer 1 primary nat descriptor address inner 1 auto nat descriptor masquerade static 1 1 192.168.12.1 udp 500 nat descriptor masquerade static 1 2 192.168.12.1 esp ip filter 100099 pass * * * * * ip filter 101001 reject 192.168.12.0/24 * * * * ip filter 101011 reject * 192.168.12.0/24 * * * ip filter 101020 reject * * udp,tcp 135 * ip filter 101021 reject * * udp,tcp * 135 ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 101024 reject * * udp,tcp 445 * ip filter 101025 reject * * udp,tcp * 445 ip filter 101030 pass * * icmp * * ip filter 101031 pass * * tcp * ident ip filter 101080 pass ***.***.***.*** 192.168.12.1 udp * 500 ip filter 101081 pass ***.***.***.*** 192.168.12.1 esp ip filter 101082 pass ***.***.***.*** ***.***.***.*** udp 500 ip filter 101083 pass ***.***.***.*** ***.***.***.*** esp * * ip filter 101099 pass * * * * * ip filter 500000 restrict * * * * * ip filter dynamic 101080 * * ftp ip filter dynamic 101081 * * domain ip filter dynamic 101082 * * www ip filter dynamic 101083 * * smtp ip filter dynamic 101084 * * pop3 ip filter dynamic 101098 * * tcp ip filter dynamic 101099 * * udp ip lan2 nat descriptor 1 ip lan2 address ***.***.***.***/** ip route default gateway ***.***.***.*** dns server ***.***.***.*** dns private address spoof on ip lan1 secure filter in 100099 ip lan2 secure filter in 101001 101020 101021 101022 101023 101024 101025 101030 101031 101080 101081 ip lan2 secure filter out 101011 101020 101021 101022 101023 101024 101025 101082 101083 101099 dynamic 101080 101081 101082 101083 101084 101098 101099 ip lan2 intrusion detection in on reject=on tunnel select 1 ipsec tunnel 101 ipsec sa policy 101 1 esp 3des-cbc md5-hmac ipsec ike local address 1 ***.***.***.*** ipsec ike pre-shared-key 1 text ********* ipsec ike remote address 1 ***.***.***.*** tunnel enable 1 ipsec auto refresh on ip route 192.168.11.0/24 gateway tunnel 1
- suzui
- ベストアンサー率67% (199/297)
>すいません・・・僕自身VPNのことが勉強不足で・・・ あせらず少しずつ明確にしていけば解決できるはずです。 それには事実を確認することが必要です。 以下の点について教えてください。 1.本店と支店の両方にRTXがありますか? 2.書き込んでくださったのは本店のRTXの設定ですか? 3.本店のサブネットは192.168.11.0/24で、 支店のサブネットは192.168.12.0/24でしょうか。 4.テストしているWindows 2000 PCは本店にありますか?それとも支店にありますか? 5.テストしているPCのIPアドレス・サブネットマスク・デフォルトゲートウェイは何ですか? 6.pingの対象としている、相手のアドレスは? うまくいった場合と失敗した場合の両方を教えてください。
補足
ありがとうございます。 >1.本店と支店の両方にRTXがありますか? → 本店・支店ともRTX1000です。 2.書き込んでくださったのは本店のRTXの設定ですか? → はい、本店のRTXの設定です。 3.本店のサブネットは192.168.11.0/24で、 支店のサブネットは192.168.12.0/24でしょうか。 → はい。本店 192.168.11.0/24で、 支店 192.168.12.0/24です。 4.テストしているWindows 2000 PCは本店にありますか?それとも支店にありますか? → テストしているWindows2000は本店です。 5.テストしているPCのIPアドレス・サブネットマスク・デフォルトゲートウェイは何ですか? → テスト機の IP 192.168.11.119 サブネット 255.255.255.0 デフォルトゲートウェイ 192.168.11.1です。 6.pingの対象としている、相手のアドレスは? → 成功のIP 192.168.12.1(支店側のルーターです。) 失敗のIP 192.168.12.130(支店側の任意のPCです。)
- suzui
- ベストアンサー率67% (199/297)
本店と支店の両方にRTXがあって、 LAN間接続を行っているのではありませんか? 「現在のIPsec設定では状態はUP」 という表現があるのでそう思いました。 ルータ間でVPN接続が完了していれば、 PCからVPN接続する必要はないと思います。 支店のPCから本店のPCが見えていませんか? pingなどで確認してみるといいと思います。 違っていたらすみません。 もし違うようなら、可能な範囲でRTXの設定を書き込んでみてください。何かわかるかもしれません。
補足
早速のお返事ありがとうございます。 すいません・・・僕自身VPNのことが勉強不足で・・・ >ルータ間でVPN接続が完了していれば、 PCからVPN接続する必要はないと思います。 suzukiさんの言われるような上記の状態 >支店のPCから本店のPCが見えていませんか? pingなどで確認してみるといいと思います。 については、相手方のルターにはPingが通りますが、他のPCには通りません。 参考までにLogを添付します。 宜しくお願いします。 ip route default gateway ***.***.***.*** ip route 192.168.12.0/24 gateway tunnel 1 ip lan1 address 192.168.11.1/24 ip lan1 secure filter in 100099 ip lan2 address ***.***.***.***/** ip lan2 secure filter in 101001 101020 101021 101022 101023 101024 101025 10103 0 101031 101080 2 3 ip lan2 secure filter out 101011 101020 101021 101022 101023 101024 101025 1010 82 101083 101099 dynamic 101080 101081 101082 101083 101084 101098 101099 ip lan2 intrusion detection in on reject=on ip lan2 nat descriptor 1 tunnel select 1 ipsec tunnel 101 ipsec sa policy 101 1 esp 3des-cbc md5-hmac ipsec ike local address 1 ***.***.***.*** ipsec ike pre-shared-key 1 text ********* ipsec ike remote address 1 ***.***.***.*** tunnel enable 1 ip filter 2 pass * * esp * * ip filter 3 pass * * udp * 500 ip filter 100099 pass * * * * * ip filter 101001 reject 192.168.11.0/24 * * * * ip filter 101011 reject * 192.168.11.0/24 * * * ip filter 101020 reject * * udp,tcp 135 * ip filter 101021 reject * * udp,tcp * 135 ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 101024 reject * * udp,tcp 445 * ip filter 101025 reject * * udp,tcp * 445 ip filter 101030 pass * * icmp * * ip filter 101031 pass * * tcp * ident ip filter 101080 pass ***.***.***.*** 192.168.11.1 udp * 500 ip filter 101081 pass ***.***.***.*** 192.168.11.1 esp ip filter 101082 pass ***.***.***.*** ***.***.***.*** udp 500 ip filter 101083 pass ***.***.***.*** ***.***.***.*** esp * * ip filter 101099 pass * * * * * ip filter 500000 restrict * * * * * ip filter dynamic 101080 * * ftp ip filter dynamic 101081 * * domain ip filter dynamic 101082 * * www ip filter dynamic 101083 * * smtp ip filter dynamic 101084 * * pop3 ip filter dynamic 101098 * * tcp ip filter dynamic 101099 * * udp nat descriptor type 1 masquerade nat descriptor address outer 1 primary nat descriptor address inner 1 auto nat descriptor masquerade static 1 1 ***.***.***.*** udp 500 nat descriptor masquerade static 1 2 ***.***.***.*** esp ipsec auto refresh on dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.11.2-192.168.11.254/24 dns server ***.***.***.*** dns private address spoof on
- kuma-ku
- ベストアンサー率54% (1558/2845)
お礼
suzuki様ありがとうございました。 今回は結局、自分のVPNとIpsecの理解不足でした。 最終的にはファイル共有を目的としていたのですが、 スタート→ファイル名を指定して実行→\\相手のアドレス を教えていただいた時に入力部分の\\を入力していなか ったため相手方の共有ファイルが見えませんでした。 設定的には、多分問題がなかったと思うのですが、 VPNの接続したときの最終的なイメージがわかっていなくて 進めたのに問題があった思います。 今回は非常に勉強になりました。Suzuki様ありがとう ございました。