- 締切済み
VPNがパススルーしていない?
お世話になります。 VPN/パススルー機能について詳しい方どなたか教えて下さい。 現在 本社と支社でVPNをしており問題無く通信が出来ています。 今回、本社側のVPN化機能付きのAルータ(*1)の直上にVPNパススルー機能付きのBルータ(*2)を挟むと、VPNができません。この時どのホストからもInternetには繋がり,同セグメント,別セグメント間でPingが通ります。また検証の為別CルータをAルータのWAN側に直刺しすると同じ設定内容でのVPN通信が確立できます。 この検証用CルータをBルータのWAN側に刺すと上手く繋がりません。(Pingは双方向で出来ます) Bルータパススルーが機能してないのでしょうか? A・BどちらのルータにもVPNに関するログは残っていませんでした。 (*1)Persol社BSR14 WAN側PPPoE/VPN-IPsec/レスポンダー設定(アグレッシブモード/ESP/トンネルモード (*2)Buffalo社BBR-4MG IPsecパススルー(ESPトンネルモードのみ対応)→「使用する」/アクセス制限や静的ルーティングの設定は無し この様な設定です、どなたか是非対策方法をご教授下さい。
- ryukyutaro
- お礼率47% (11/23)
- ネットワーク
- 回答数8
- ありがとう数3
- みんなの回答 (8)
- 専門家の回答
みんなの回答
- Toshi0230
- ベストアンサー率51% (836/1635)
状況は理解できました。 とりあえず、以下の構成で、 [PC1]--(L)[ルータA](W)--(L)[ルータB](W)--(W)[ルータC](L側)--[PC2] 以下の方向のping応答が確認できるようにしてください。 [PC1]→(W)[ルータC] ルータBが適切にルーティングできていないようだと、VPNもなにも出来ません。 (PC2からのping確認は、ルータBのNATではじかれてしまうと思うので、確認する必要はないと思います。) 検証環境でこの状態が出来るかどうか、確認してみてください。
- Elgado
- ベストアンサー率43% (174/404)
基本的な話ですが、ちょっと気になったので・・・・ ルータ間をVPN接続しない構成の場合、ルータA、ルータCにそれぞれ 相手のLAN側のルーティングが必要ですよ。 相手のルータのWAN側までPingが通っているてLAN側に届いていないので・・・ 多分、相手のLAN側のネットワークをルータが知りません。 Staticルート記述するか(デフォルトルートでも良いですが)、ルータ間で ダイナミックルーティングプロトコルを動かしてください。 VPNをやってると、ルーティングプロトコルの事を忘れがちになるので。
補足
Elgadoさん、ご協力ありがとうございます。 実は本題は、ルータA←→ルータC間でpingを通したいわけではなくて、ルータBを間に介した時に上手くパススルーさせて、ルータA⇔(ルータB)⇔ルータC間にVPNを通したいのです。。。(大変お手数なのですが、履歴をご参照下さい) 実際今でもプロトコルの巡回無しで、静的ルーティングも無しで、「本社」と「支社」のプライベートIPアドレス間でVPNを利用して通信が出来ています。 ところがルータBを間に介した配線をすると駄目なのです。(**)
- Toshi0230
- ベストアンサー率51% (836/1635)
> ルータA⇔ルータC間でもVPNが確立した後はPingが双方向で通るようになります。 ルータBが間に入っているときは、ルータA~ルータC間のVPNがつながらないんですよね? なのにVPNが確立した後にはPingが通るって??? おっしゃっていることに矛盾があるようです。 もう一度整理してください。 話を簡潔にするために、ルータA、B、Cを使った検証環境に対象を絞ります。 1. VPNを使わない状態で、ルータA←→ルータC間でPINGの疎通は確認できますか? あるいは別の方法で、通信が確立できていることを証明できますか? 2. 今回問題になっている側のインターネット接続回線は、IP1個の契約ですか?それとも複数の固定IPを持っていますか?
補足
Toshi0230さん、鋭いご質問ありがとうございます。 > ルータA⇔ルータC間でもVPNが確立した後はPingが双方向で通るようになります。 の説明をします。上記正確には検証時(直刺し)に、 [PC1]--(L)[ルータA](W)---(W)[ルータC](L側)--[PC2]の配線で、 【OK】[PC1]→(W)[ルータC] 【OK】[PC2]→(W)[ルータA] 【NG】[PC1]←→[PC2] という状態で、VPNを確立させた後は、 【OK】[PC1]←→[PC2]になるという意味でした。 説明が足りなくて申し訳ありませんでした。 尚、固定IPは1つの契約です。 宜しくお願いします。
- ArukuMail
- ベストアンサー率22% (115/510)
なるほど接続後は通りますか・・ すみませぬ、こうなると実機を見ないことには分からないので お役にたてませんです。
補足
ArukuMailさん、とんでもないです。ご協力ありがとうございました。 m(_ _)m
- ArukuMail
- ベストアンサー率22% (115/510)
>>ただ、VPNが確立するより前にプライベートIPアドレス間であるA⇔C間でPingは通らないという認識でおりますが。。。 経験した問題は◎[ルータA](W側)⇔(L側)[ルータB]間で ICMPが通らないとPPTPではまずかったです<無論 ホスト⇔ルータも 結論から言うと関係するセッションすべてICMPが通らないとうまくいかなかったです
補足
ArukuMail さん レスが遅れて申し訳ありません。 >経験した問題は◎[ルータA](W側)⇔(L側)[ルータB]間でICMPが通らないとPPTPではまずかったです。 上記◎[ルータA](W側)⇔(L側)[ルータB] 間でPingは通ります。ルータA⇔ルータC間でもVPNが確立した後はPingが双方向で通るようになります。
- ArukuMail
- ベストアンサー率22% (115/510)
一つやり方としては VPN同士のネットワークとインターネットのネットワークが分離することだと思います。 うーん、目の前に機材の設定を見ていないのでなんとも と言うことろですが 最後に、どちらのルータもICMPやPINGが通るようになっていますか? 私の場合IPSecではなくPOPTOPと言うマイクロソフトの VPNサービスを利用したことがありましたが その場合ICMPがとらないと 相互に通信ができなかったことがあります。 これでダメなら、すみませんわたしでは手におえませんm(__)m
補足
ArukuMailさん、たびたび迅速なご返答ありがとうございました。 Pingは以下の配線状態で、 [ルータA](W側)---(L側)[ルータB](W側)---(W側)[ルータC] ◎[ルータA](W側)⇔(L側)[ルータB] ◎[ルータB](W側)⇔(W側)[ルータC] NG[ルータA](W側)⇔(W側)[ルータC] という感じです。 ただ、VPNが確立するより前にプライベートIPアドレス間であるA⇔C間でPingは通らないという認識でおりますが。。。 ありがとうございました。 m(_ _)m
- ArukuMail
- ベストアンサー率22% (115/510)
なるほど、臨海性能までつかうのかと思っていました。 ちなみに、NATを有効にすると、これまた動作に 影響が発生するかもしれません。<結局NATルーター側がVPNパケットの振り分け判断ができないから いや同時にVPNセッションをローカル側で行った場合 不具合がでたようなきがします<当方BBR-4HG 友人曰く、ホームユースのルータが 統一規格に合わない仕様が多く 規格では通ってはいけないパケットが通ったり その逆もあって、正常に動かなかった っときいたことがわります<そのときはVPNではない。 ぎゃくにBのBBR-4MGを抜くといけないのでしょうか? パーソルのルータだけでよいように思えるのですが ポート自体TCPはその番号でもなく UDP、TCP以外のプロトコルの透過も必要だったはずです
補足
ArukuMailさん たびたびありがとうございます。 >ぎゃくにBのBBR-4MGを抜くといけないのでしょうか? 当方,ルータBとルータAの間をDMZ化してWWWサーバを公開予定なので今回の配線となっております,,, >ちなみに、NATを有効にすると、これまた動作に影響が発生するかもしれません。 ヘルプによると『インターネットに接続する場合はアドレス変換機能を使用してください。』とあり、本機ルータBでTCPとUDPしか選べない(「プロトコル全て」とかの選択肢は無い)ので、結論として、ポートの開放ではなく、「IPsec パススルー機能」を『使用する』にして使うしかないのでしょうか? その場合は残念ながらA・B両ルータで定義しているパケット規格が一致してないので、もう別メーカのルータを利用するしかないという落ちになってしまいのでしょうか? う~ん、残念です。 ↓↓遅ればせながら参考までにイメージ図です↓↓ 【OKの時】 (本社)--[ルータ甲]--[ルータ乙]~(インタネット)~[ルータA]--(支社) VPN: [ルータ甲]⇔OK⇔[ルータA] ※[ルータ乙]=パススルー設定 【NGの時】 (本社)--[ルータ甲]--[ルータ乙]~(インタネット)~[ルータB]--[ルータA]--(支社) VPN: [ルータ甲]⇔NG⇔[ルータA] ※[ルータ乙]&[ルータB]=パススルー設定
- ArukuMail
- ベストアンサー率22% (115/510)
いやどれもホームユースのルータですよ。<パーソルのやつはなかなか面白い機能していましたが。 ビジネスユースのルータにするのが本来の事だと思います。 どのルータもVPNパスは本機にVPNの接続があって 通しますが、透過にはいかんせん簡易で作っています。 この簡易の仕様なので本来のVPNパケットをとうせない ことがあります。 ちなみにホームユースルータには、VPNパケット(IPSecの場合)通せる数に制限があったかも。 ちなみにこれは重要なことですが VPNはどのような仕様で相互を接続していますか? これによりBBR-4MGにあるESPトンネルモードが使えるか どうかにかかってくると思われます。 http://www.fmmc.or.jp/~fm/nwts/nwmg/keyword02/vpn/mode.htm
補足
ArukuMailさん 迅速なご回答ありがとうございます。 本社と支社と言っても、お恥ずかしながらSOHOですので暫定的・試験的に運用しております。(余裕ができしだいYAMAHA/RTX1100を設置する予定です) >VPNはどのような仕様で相互を接続していますか? VPNは現在『トンネルモード』で『ESP』を指定しています。 >ちなみにホームユースルータには、VPNパケット(IPSecの場合)通せる数に制限があったかも。 現在トンネル数は1本ですし、検証でBルータWAN側に直刺ししてもパススルーしないのも不思議な感じです,,, 現在も調査中で、先程ポート番号(500番)を明示的に開けてみたのですがやはり駄目でした。違うポート番号でしょうか? 宜しくお願いします。
補足
Toshi0230さん、レス遅くなってしまって申し訳ありません。 会社でN/Wを止めて検証する時間が取れないでおりますが、 前回の検証では、 [PC1]--(L)[ルータA](W)--(L)[ルータB](W)~(Internet)~(固定IP)[ルータC](L)--[PC2] の状態で[PC1]→(固定IP)[ルータC]にpingは通りました。 もちろん[PC1]⇔(Internet)も、 [PC2]⇔(Internet)もできました。 ですが[PC1]⇔[PC2]間でVPNは出来ませんでした。 [ルータB]を取ると[PC1]⇔[PC2]間でVPNが出来るようになりました。