- ベストアンサー
VPN越しのファイル共有がうまくいかない理由と解決法
- VPN越しのファイル共有がうまくいかない理由とは?ファイアウォールの問題や設定の見直しが必要です。
- ファイアウォール解除により、VPN越しのファイル共有が可能になります。ただし、一部のフォルダへのアクセスは制限されることがあります。
- Win2003とWin2008は特別な設定をしなくてもVPN越しのファイル操作が可能ですが、他のOSでは設定の見直しが必要です。
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
VPN越し共有ですが暗号化や圧縮で遅延が多くなり、遅延に弱いwindowsファイル共有の実効レートは低くなります。 転送速度もかなり遅いです。 そのためにVISTA PCが共有の認識されるまでの時間がかかった だけな気もします。 ぶっちゃけるとwindowsファイル共有プロトコルが、VPN越しに向かない んです。 IPルーティングの話ですが PINGの使い方分かりますか?相互でPINGが通ることが 大前提です。 後、LAN Aと LAN Bは異種セグメントなので 共有されるんでしたらセグメントを揃えた方が敷居がさがると 思いますが LAN(A) ZyWALLP1のローカルIP 192.168.11.1 LAN(B) ZyWALLP1のローカルIP 192.168.12.1 11と12の部分がセグメント そんでバッテングしないように全て固定IPにした方がいいです。 後、ドメインをお使いですか?それともワークグループ? ワークグループでしたらグループは揃えてますよね? ↓参考URL http://homepage2.nifty.com/winfaq/networkchecklist.html 名前解決で共有したいのでしたらWINSの設定が必要になります。 IPアドレスのみでしたらWINSは必要ありません。 スタート→ファイル名を指定して実行 \\192.168.11.○(IPアドレス)\共有フォルダ名 エンター これで相手の共有フォルダが開けなければ根本的に 何かが間違ってます。
その他の回答 (2)
- safle
- ベストアンサー率55% (121/217)
とりあえず補足 Windows ファイアウォールによってブロックされていないことを確認する 。 [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。firewall.cpl と入力し、[OK] をクリックします。 [全般] タブで、[例外を許可しない] チェック ボックスがオフになっていることを確認します。 [例外] タブをクリックします。 [例外] タブで、[ファイルとプリンタの共有] チェック ボックスがオンになっていることを確認し、[OK] をクリックします。 その他ファイアウォールでしたら、下記ポートを例外か何かで 開放してください。 137 TCP/UDP netbios-ns NETBIOS Name Service 138 TCP/UDP netbios-dgm NETBIOS Datagram Service 139 TCP/UDP netbios-ssn NETBIOS Session Service 445 TCP/IP
お礼
いろいろアドバイス下さって、ありがとうございました。 おかげ様で、機能的には目標を達成できました。 心配なのはセキュリティ的な穴がないかといったところですが、いろいろ検証していこうと思います。 とりあえず、Vistaのほうもスコープの変更の方法がわかったので、NetlogonサービスはXPと同様にしてみました。 ルーターのファイアウォールが効いていれば、PCレベルのファイアウォールはそれほど神経質にならなくて良いのかなとも思いますが。そのあたりもいろいろ調べてみたいと思います。 以上で本件を締め切らせていただきます。 どうもありがとうございました。
補足
本当に助かりました。 ありがとうございます。 上記のポートをWindowsのファイアウォールで解放することで、万事解決しました。 VISTAでは、ファイル共有は解放済みでしたが、加えてNetlogon(445)を解放することで、ウィンドウズファイアウォールを有効にした状態で万事うまくいっている感じです。 XPのファイアウォールではVISTAとは異なる対応をしました。、「例外」タブで「ファイルとプリンタの共有」(上記の4つのポートに該当します)のチェックが入っていることを確認し、さらに「編集」で「スコープの変更」->「カスタムの一覧」と進み、LAN(A)とLAN(B)のサブネットを入力しました。これで、解決した感じです。 「編集」をクリックすると、編集対象のポートとして上記の4つが一覧されていましたので、私は4つともスコープを編集しましたが、4つとも変える必要があったかどうかは検証していません。 一つ気になっているのは、XPの変更ではNetlogonという名称のものにノータッチでうまくいきましいたから、VISTAでNetlogonを解放したことは、本当は正解ではないのかなと思うことです。 XPの変更を行ったあと、VISTAでも同じようになるようにやろうとしましたが、ファイアウォールの設定法が大きく異なっているようで、何をすれば同じことをしたことになるのかよくわかりませんでした。 もし、ご存じのことがあったら教えていただけたら幸いです。 (一応解決っぽいので、少しこの件のアドバイスを待ってみて、情報がなければこの件を終了しようと思います) あと、この情報を頂くのと前後して、以下の変更も加えましたので、それも必要かもしれません。 不要かもしれませんが、とりあえず同様のトラブルに遭う方が、一応疑ってみるポイントとして、書いてみておきます。 ●ZyWALLで、RIP-1だったのをRIP-2に変更してみた。(サブネットの情報も交換されるようなことが書いてあったので、今回の私の件では必要なのかと思いました) この変更を加えた直後の、それまでとの違いとして、VISTAのファイアウォールを有効にした状態のものをダブルクリックした場合のエラーメッセージが「・・・ファイアウォール・・・445の設定を行って下さい」といった感じに変わりました。 ●ZyWALLのDHCPテーブルを確認すると、「IPアドレス」「ホスト名」「MACアドレス」のうち、「ホスト名」が抜けて空白になっているものがあったりしました。抜けていない状態の場面も確認したことがあるので、不思議でした。理由も、影響も検証していませんが、念のために、PCのネットワークの「修正」をすることで、再度ホスト名が復帰しました。 また、いままで、ZyWALLのDHCPテーブルで「予約」をチェック入れていませんでしたが、入れました。もしかすると、これで、「いつの間にかホスト名が空白になる」ことを防げるかと期待してです。その効果はまだ不明です。
- safle
- ベストアンサー率55% (121/217)
VPNによりネットワークを接続する。 各マシン、もしくはルータのIPルーティングを設定し、相互の通信が行える状態にする。 名前解決の為のWINS及びDNSを設定、稼働させる【ここまでは必須】 ブラウジング(共有表示)させる必要がある場合はセグメント毎、ワークグループ(ドメイン)毎にWindowsServer製品でプライマリ・ドメインコントローラを立ててブラウズリストの交換を行えるようにする。 後は、共有権限の問題かな↓下記参照 http://www15.ocn.ne.jp/~sanin/indexgoo2022f.html そもそもVPNは、外部漏洩への安全性を高める目的で 設置されるわけですから簡単に外部からアクセス出来きたら 問題あると思います。 VISTAの「Public」フォルダは、共有フォルダとして 初めから設定されてますので他のフォルダとかが見えないのは 共有権限の問題の気がします。
お礼
ご丁寧にご教示いただき、誠にありがとうございます。 アクセス権以外の内容については、私にとっては未知に近い領域なので、試行錯誤しながら挑戦してみようと思っております。 アクセス権に関しては、私も疑っていて、考えられる試行はいろいろ挑戦しておりました。 結果的には今繋がっているので、そこはOKなのかと思っております。 「各マシン、もしくはルータのIPルーティングを設定し、相互の通信が行える状態にする。」という点なのですが、これは、私の抱える問題点のうち、どの部分に対応する対策と考えれば良いでしょうか? 現状では、「PCレベルのファイアウォールを解除すれば、(一部アクセス拒否されるケースがあったりしたが)ファイルの共有ができる」という状況です。 これを、同一LAN内にあるがごとく、ファイアウォールを解除せずともファイル共有できるようにするために、IPルーティングが必要という解釈で宜しいでしょうか。 私の現状が「相互の通信」が行えている状態なのか行えていない状態なのか、あるいは不完全ではあるが行えているのか、判断に困っています。 いずれにしても、「IPルーティングを行った」という意識はないので、しなければならないのだと思います。もしかしたら、そうとは知らず、過去ログの導くままにそれを行ったのかもしれないので、もう一度よく調べてみます。
補足
早速ご回答いただきましてありがとうございます。 実は、質問をアップロードした後に、少し状況に変化があって、補足したかったのですが、補足の付け方がわからず、困っておりました。 ご回答を頂ければ、こうして補足ができるようですが、それ以外には補足の方法は無いものでしょうか。 以下、新しい状況です。 「LAN(B)に所属しているノートPC(Vista)を、移動させてLAN(A)に参加させて・・・」と書きましたが、その後投稿を終え、元のLAN(B)に戻したところ、VPN越しに今まで操作できていなかったPbulic以外の共有フォルダのファイルも操作可能となりました。 全く腑に落ちてはいませんが。 「一度正常に繋がったことのあるPCは、ネットワークの所属先が変動しても、保持している情報を元に、何とか正常に接続することができる」的な印象を受けますがそんなことってあるんでしょうか。 補足は以上です。 ご教示いただいた内容に関してのお礼とコメントは別につけさせていただきます。
お礼
補足的な内容になりますが・・・ お教えに従いIPルーティングについて、いろいろ調べてみました。 私は、意味をよくわからずに、過去ログの設定例に習って、両側のZyWALLにおいて「RIP」を「Both」の方向で設定していました。 これは、IPルーティングの情報を互いのルータで動的に交換しあうもののようです。 ですから、RIPが信頼できるものであれば、IPルーティングの設定はおそらくできているのではないかと思います。 また、VPNの設定項目の中で「IPSecトンネルを通してのNetBIOSブロードキャスト機能の使用許可」にチェックを入れていることは、おそらくファイル共有に関係していると思います。 当面の目標は 「PCレベルでのファイアウォールを解除しなくても、VPN越しで、あたかも同一LAN内にいるようにファイル共有を実現できるようにしたい」です。 逆に言えば、それを良しとすれば、かなり希望に近いものができているとも思えます。 また、元々VPNを挑戦しようと思った理由の一つに、VPN越しのリモートデスクトップを試して見たいということもありました。いろいろ忙しくてまだそちらには手が回っていません。 もう少し色々やってみようと思います。
補足
重ねてのアドバイス、ありがとうございます。 試しましたところ、pingは双方から通りました。 ファイアウォールをWindowsのものにしたり、NTT(ウィルスバスターと同じ?)のものにしたり、外したりいろいろやっている最中でしたが、ファイアウォール無しで、pingが通りました。 ドメインではなく、ワークグループです。ワークグループ名は揃えてあります。 ドメインは、チャレンジしようか迷ったこともありましたが、難しそうだったことと、現状で事足りていた経緯があり、敬遠してました。 固定IPより、名前解決が望ましいと思いますので、全く未体験ゾーンですが、WINSを試行しようと思っております。 セグメントを揃えると、バッティングの可能性もあるわけなんですね。やはり、WINSなり、IPルーティングなりに挑戦したいと思います。 pingが通ったということは、それらをやってみる状況は整っているということなんですよね? また何か質問するかもしれませんが、お力をお貸しいただけましたら幸いです。