- ベストアンサー
VPNクライアントと対向ルータ間の通信について
- VPNクライアントと対向ルータ間の通信についての変更によって、通信ができなくなる原因とその解決方法を教えてください。
- ルータBの設定に問題があることが原因で、VPNクライアントとPC2間の通信ができない状況になっています。RTX1200での実現方法も教えていただけると助かります。
- 構成1から構成2に変更した際に、VPNクライアントとPC2の間で通信ができなくなりました。ルータBの設定に問題がある可能性がありますが、具体的な原因と解決方法を教えてください。
- asakusakings
- お礼率50% (2/4)
- ネットワーク
- 回答数4
- ありがとう数7
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
> nat descriptor masquerade static 1 1 ルータB udp 500 > nat descriptor masquerade static 1 2 ルータB esp * > この設定は、上記の「ルータB(YAMAHA RTX1200)自身で処理」のことだと思っているのですが合っているでしょうか? そうだと思います。 http://www.rtpro.yamaha.co.jp/RT/docs/ipsec/nat.html > またその場合、下記のような「パススルー」を設定すれば、両方とも可能になるということでしょうか? > nat descriptor masquerade static 1 1 PC1 udp 500 > nat descriptor masquerade static 1 2 PC1 esp * 一つの nat descriptor に同一プロトコル同一ポート番号で複数の設定は出来ないと思いますので、変更することになります。 おそらくこの場合は、[PC1][PC2]間の通信はうまくいくと思われますが、今度は他拠点のYAMAHAルータとのIPSec接続が出来なくなるかと。 http://www.rtpro.yamaha.co.jp/RT/docs/ipsec/nat.html にも書いて有りますが、外側のアドレス(グローバル)が複数あれば、一つを他拠点のYAMAHAルータとのIPSec専用にすることによって両立させることは可能だと思います。 外側のアドレス(グローバル)が一つしかなければ、回答1で述べられている通り、難しいかも知れません。
その他の回答 (3)
- koi1234
- ベストアンサー率53% (1866/3459)
#1です >すみません。ルータ同士のIPSecと >VPNクライアントとルータのIPSecを混在することが無理ということでしょうか? 私が言おうとしているのはそういうことです (RTX1200側で)複数のグローバルIP使ってたりするのであれば 設定によっては可能だと思いますが(これは他の方も書かれてるのと同じ) 正確な記憶ではないのですがciscoーYAMAHA間でも設定によっては VPNができたと記憶しています (それができればの話になりますが) PCからクライアントソフト使うことにこだわる必要もないのでは? (環境によって使い分けましょうって事です)
お礼
>正確な記憶ではないのですがciscoーYAMAHA間でも設定によっては >VPNができたと記憶しています >(それができればの話になりますが) >PCからクライアントソフト使うことにこだわる必要もないのでは? >(環境によって使い分けましょうって事です) そうですね。 一度検討してみたいと思います。 ありがとうございました。
- root139
- ベストアンサー率60% (488/809)
ルータA(buffalo)ではVPNパススルー機能を使っていたと思います。 ルータB(YAMAHA RTX1200)でも同様の設定をされていますでしょうか? http://www.rtpro.yamaha.co.jp/RT/FAQ/IPsec/faq_2_k.html また、ルータB(YAMAHA RTX1200)自身も別の拠点とIPSecで繋いでいるとのことですので、IPSecのパケットがそれぞれの場合で適切に処理されるようになっていることが必要です。 ・[PC1(ciscoVPNクライアント)] ⇔ [ルータC(cisco)] → パススルー ・[ルータB(YAMAHA RTX1200)] ⇔ [他拠点のYAMAHAルータ] → ルータB(YAMAHA RTX1200)自身で処理
補足
回答ありがとうございます。 PPPoEに対して、ESPとUDP500の通信をルータ(LAN側)へ流すIPマスカレードを設定しております。 nat descriptor masquerade static 1 1 ルータB udp 500 nat descriptor masquerade static 1 2 ルータB esp * この設定は、上記の「ルータB(YAMAHA RTX1200)自身で処理」のことだと思っているのですが合っているでしょうか? またその場合、下記のような「パススルー」を設定すれば、両方とも可能になるということでしょうか? nat descriptor masquerade static 1 1 PC1 udp 500 nat descriptor masquerade static 1 2 PC1 esp * 宜しくお願いいたします。
- koi1234
- ベストアンサー率53% (1866/3459)
ciscoは使ったことがないうえにRTX1200も触ったことはないため想像ですが (RTX1000使ってるので) >ルータBはPPPoEと IPSecを併用しています。IPSecは他拠点のYAMAHAルータとVPNをむすんでいます ということはIPSec用のパケットをRTX1200で処理するように設定してるはずですよね? ciscoVPNがIPSecなら結局パケットがPCに届いていないのでは? という気がしますが(PPTPクライアントならまた別) 言いたいこととしては同一プロトコルのVPNパケットは パススルーするのと自分自身で処理するの混在の形では使えないのでは? ということです configも何もない提示されてない状態では 判断つく人でもわからないような気がしますが (最低限でVPN関連の設定がどのようになっているのか)
補足
はい。ルータBでは、PPPoEにIPマスカレードの設定をしています。 ESPとTCPの500をルータのLAN側IPへ設定しています。 それ以外は破棄する形になっています。 >言いたいこととしては同一プロトコルのVPNパケットは >パススルーするのと自分自身で処理するの混在の形では使えないのでは? >ということです すみません。ルータ同士のIPSecと VPNクライアントとルータのIPSecを混在することが無理ということでしょうか? >configも何もない提示されてない状態では >判断つく人でもわからないような気がしますが すみません。かなり急ぎのため説明不足でした 宜しくお願いします。
お礼
そうなんですか。。 なかなか難しいものですね。 ありがとうございました。 どうするか検討してみます。