- ベストアンサー
RTX1200 PPTP接続して社内PCにアクセス
質問させていただきます。 RTX1200のルーターを会社に設置し、外出先からPPTPにてVPN接続ができるよう設定しました。 VPN接続はできて、ルーターのGUI管理画面も見ることができますが、ローカルにあるPCへのリモートデスクトップ、社内WEBサーバーへアクセスができません。 拠点間通信とLAN3にDMZを設定して公開wwwサーバーを立てています。 アドバイスをお願いします
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
最初に書いたように同じ環境で運用してないのでかなりあてずっぽうですが パッと見で気になったところだけ書きます サーバ関係置いているのはLAN3でしょうか? dynamicフィルタの記載がなかったのですが >ip lan3 secure filter in 2000 が気になりました 其の他フィルタということで記載がなかったのかもしれませんが ip lan1 proxyarp on を入れるとどうなるでしょうか (場合によりip lan3 proxyarp on といったものも要るのかもしれません) それ以外は特に問題なさそうな・・・ YAMAHAユーザのメーリングリストなどはご存知でしょうか? そういったもの(メーリングリスト)への参加に抵抗が無ければ そちらで質問したほうが的確なアドバイスが入るかもしれません 以下メーリングリストFAQ http://www.rtpro.yamaha.co.jp/RT/FAQ/Users/MailList/index.html 先に書いた syslog 等を確認する場合私は http://www.rtpro.yamaha.co.jp/RT/utility/of-by-for-win32.html で紹介されている KZSYSLOG を使用しています そういったツールと合わせ pass-log 等(フィルタリング設定)を駆使していけば 自力解決もできるのではないかと思います
その他の回答 (3)
- koi1234
- ベストアンサー率53% (1866/3459)
>社内では192.168.2.100という通常のローカルIPで接続できます >またPPTP接続すると、きちんと192.168.2.xxという社内ローカルIPアドレスが振られています。 そうするとアクセスできていいはずなんですけどね (社内接続で接続できるという段階でサーバ側の設定に問題はないと判断できます) 他に考えられる要因として上げれば ・社内接続時と社外接続時でファイヤーウォール設定が切り替わったりしてませんか? (使ってるウイルス対策ソフトなどによってはありえます) その場合原因はファイヤーフォールにあると思われます (ファイヤーフォールOFFにして試したことはありますか?) 後は原因調査のためにルータログ調べるとかぐらいしか思いつきません (syslog debug on とかその他駆使して確認) アクセスできないときにどういったメッセージが出るとか Pingで疎通の有無確認できる出来ない とか 順番にチェックするべきことは多々あると思いますが Configのフィルタ設定などが間違っているという落ちもあるかもしれません (個人情報に当たる部分は伏せたうえで) 関連部分の設定を転載してみてはどうでしょうか LAN・Tuunnel向けIn/Outフィルタ や PPTP設定関連 等 他の詳しい人からの書き込みもあるかもしれません ついでにお聞きします >ルーターのGUI管理画面も見る これも192.168.2.xxのルータローカルIPで見れるってことでいいんですよね? (ルータへのLAN WEBアクセスはできている という認識であってますか?) その場合ポートサーバポートは80でしょうか? 仮に80で社内WEBサーバーもポート80で運用してるなら 出先PCのファイヤーフォールというのも考えにくくなります (どこかでルーティング情報が崩れてる?)
補足
外部からVPNで接続すると192.168.2.1のルーターGUI画面にWEBアクセスはできています。 設定フィアルを転載します、アドバイスをお願いします multi-session=on host=any ip route default gateway pp 1 ip route 192.168.1.0/24 gateway tunnel 1 ip filter source-route on ip filter directed-broadcast on ip lan1 address 192.168.2.1/24 ip lan1 secure filter in 100000 100001 100002 100003 100004 100005 100006 100007 100099 ip lan3 address xxx.xxx.xxx.xxx/29 ip lan3 secure filter in 2000 ip lan3 secure filter out 3000 dynamic 100 101 200 pp select 1 description pp PRV/PPPoE/0:INTERLINK pp keepalive interval 30 retry-interval=30 count=12 pp always-on on pppoe use lan2 pppoe auto connect on pppoe auto disconnect off pp auth accept pap chap pp auth myname IDxxx PWxxx ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp mtu 1500 ip pp secure filter in 1020 1030 1031 1040 1041 dynamic 201 ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106 ip pp intrusion detection in on ip pp nat descriptor 1 pp enable 1 pp select anonymous pp bind tunnel2 tunnel4 pp auth request mschap-v2 pp auth username user1 password pp auth username user2 password pp auth username user3 password ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type mppe-any ip pp remote address pool dhcp ip pp mtu 1280 pptp service type server pp enable anonymous tunnel select 1 description tunnel shiten1 ipsec tunnel 1 ipsec sa policy 1 1 esp aes-cbc sha-hmac ipsec ike keepalive use 1 auto heartbeat ipsec ike local address 1 192.168.2.1 ipsec ike pre-shared-key 1 text xxxxxxx ipsec ike remote address 1 xxx.xxx.xxx.xx ip tunnel tcp mss limit auto tunnel enable 1 tunnel select 2 tunnel encapsulation pptp pptp tunnel disconnect time off tunnel enable 2 tunnel select 3 tunnel encapsulation pptp pptp tunnel disconnect time off tunnel enable 3 tunnel select 4 tunnel encapsulation pptp pptp tunnel disconnect time off tunnel enable 4 tunnel encapsulation pptp pptp tunnel disconnect time off tunnel enable 15 ip filter 1010 reject * * udp,tcp 135 * ip filter 1011 reject * * udp,tcp * 135 ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 1014 reject * * udp,tcp 445 * ip filter 1015 reject * * udp,tcp * 445 ip filter 1020 reject 192.168.2.0/24 * ip filter 1030 pass * 192.168.2.0/24 icmp ip filter 1031 pass * xxx.xxx.xxx.xxx tcpflag=0x0002/0x0fff * www ip filter 1040 pass * * tcp * 1723 ip filter 1041 pass * * gre ip filter 2000 reject * * ip filter 3000 pass * * ip filter 100000 reject * * udp,tcp 135 * ip filter 100001 reject * * udp,tcp * 135 ip filter 100002 reject * * udp,tcp netbios_ns-netbios_dgm * ip filter 100003 reject * * udp,tcp * netbios_ns-netbios_dgm ip filter 100004 reject * * udp,tcp netbios_ssn * ip filter 100005 reject * * udp,tcp * netbios_ssn ip filter 100006 reject * * udp,tcp 445 * ip filter 100007 reject * * udp,tcp * 445 ip filter 100099 pass * * * * * ip filter 200000 reject 10.0.0.0/8 * * * * ip filter 200001 reject 172.16.0.0/12 * * * * ip filter 200002 reject 192.168.0.0/16 * * * * ip filter 200003 reject 192.168.2.0/24 * * * * ip filter 200010 reject * 10.0.0.0/8 * * * ip filter 200011 reject * 172.16.0.0/12 * * * ip filter 200012 reject * 192.168.0.0/16 * * * ip filter 200013 reject * 192.168.2.0/24 * * * ip filter 200020 reject * * udp,tcp 135 * ip filter 200021 reject * * udp,tcp * 135 ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 200024 reject * * udp,tcp 445 * ip filter 200025 reject * * udp,tcp * 445 ip filter 200026 restrict * * tcpfin * www,21,nntp ip filter 200027 restrict * * tcprst * www,21,nntp ip filter 200030 pass * 192.168.2.0/24 icmp * * ip filter 200031 pass * 192.168.2.0/24 established * * ip filter 200032 pass * 192.168.2
- koi1234
- ベストアンサー率53% (1866/3459)
訂正・補足しておきます >該当PCを不通に車内で接続した場合普通にアクセスできますか 該当()出先で使う)PCを社内で接続した場合それらサーバPCに普通にアクセスできますか
補足
はい、社内では192.168.2.100という通常のローカルIPで接続できます、またPPTP接続すると、きちんと192.168.2.xxという社内ローカルIPアドレスが振られています。
- koi1234
- ベストアンサー率53% (1866/3459)
もう少し詳細がないと正確なことは言えないかもしれませんが VPN接続できている ということなのでそれを前提で書きます (社内のローカルIP取得はできている前提) 確認点は主に2点 ・該当PCを不通に車内で接続した場合普通にアクセスできますか これができないならVPN以前の問題です 多分ファイヤーフォール関係 ・該当PCへのアクセスはローカルIP使って行っていますか? 社内で使ってる時のPC名など使ってアクセスしようとしたりしてませんか? WINSなどがない限り直接該当IP入力する必要があります (その為にサーバ側IPは固定する必要があります) ※ HOSTSファイルなどでIP定義してればPC名でのアクセスも可能 RTX1000で公開サーバ立てているわけではありませんが 普通にPPTPアクセスはできています
お礼
ありがとうございます ip lan1 proxyarp on を設定してlan1内に設置した社内サーバーへアクセスすることができました。