- ベストアンサー
VPNでの通信ができず困ってます、RTX1200
- RTX1200を使用して2拠点間のネットワークをVPNで結びたいが、問題が発生している。
- VPN状況はリモートデスクトップ接続とping通信は可能だが、ファイル共有への接続ができない。
- 拠点Aの固定IPに関連付けたサーバー上のTinyVPNを使用すると、拠点Bのクライアントを操作できるが、逆方向の操作は不可能。
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
>考え方ですが、pp部で脅威への基本的ケアができてると考えてLAN1のフィルターから外せばLANセグメントの安全性を「それなり」に維持でき、VPNトンネルのデータアクセスが通るって感じでしょうか? インターネット(WAN)と接続しているインターフェースは実質ppですので、インターネット側から脅威への対策はppに設定するということになります。 (物理的に接続しているのはLAN2ですが、ここにはPPPoEにてカプセル化されたパケットがプロバイダに流れるだけなので、実質PPとなります) ppにて脅威に対するケアがされていれば基本的に問題無いということになります。 (もちろん全ての脅威が防げるわけではないですね) VPN側へのフィルタ設定は内側の脅威への対応となります。 例えば、拠点Bから拠点Aへの通信は特定のサーバしかアクセスを許可しないような場合は、その特定のサーバのIPアドレスのみアクセス出来るようなフィルタをVPN(tunnel)に設定することになります。 各インターフェースとフィルタが評価されるの位置については以下を参考にしてください。 http://www.rtpro.yamaha.co.jp/RT/FAQ/IPsec/faq_2_h.html#Rev4-network ちょっと難しいかもしれませんが、印刷してペンでなぞりながら見ていくと多少わかりやすくなるかなと思います。 それで共有フォルダは見られるようになったのかな?
その他の回答 (1)
- maesen
- ベストアンサー率81% (646/790)
状況から判断するとVPN自体は接続しているようですので、パケットフィルタあたりの可能性が高いように思います。 >因みにLAN側の物理ポートの設定は内向き(in)のみの指定で、外向きはデフォルトのまま何もフィルタがありません。 GUIの設定はあまり詳しくないのですが、 RTX1200のGUI設定では、セキュリティレベルによりますが初期設定としてLAN1インターフェースのINにファイル共有で使用するポートのrejectのフィルタ設定が入っていると思います。 TCP,UDPのポート135,137~139,445がフィルタの対象です。 LAN1のINでフィルタされるとルータの入り口でrejectされるのでトンネル側(VPN)にパケットは流れないことになります。 LAN1のINは、PC → ルータ(又はルータを通過する)のパケットが対象になります。 このあたりの設定を確認してみてはいかがでしょうか? ちなみにこの設定は外部にWindowsファイル共有関係のパケットが誤って流出することと、このパケットによりPP側で余計な発呼となるを防止することを想定している設定だと思います。 また、このフィルタを外す場合はPP側でファイル共有関係のパケットがインターネット側に流れないようにケアする必要があります。 (初期設定で既に設定が入っているように思いますが念のため)
お礼
コメントを頂きありがとうございます。 確かにLAN1インターフェイスでご指摘のポートがデフォルトで塞がれていました。 知識不足で、135、137~139は塞いでも、同様の機能を司る445が開けばいいのかなと考えていました。 GUIで設定画面を開くとVPNの中にもフィルターが項目として存在したので、ここで通す設定をしたらと考えていたのですが、LAN1ポートで塞いでしまえば無意味って事になりそうですね。 pp部にデフォルトで135、137~139、445を双方向塞ぐ設定が施されています。 考え方ですが、pp部で脅威への基本的ケアができてると考えてLAN1のフィルターから外せばLANセグメントの安全性を「それなり」に維持でき、VPNトンネルのデータアクセスが通るって感じでしょうか? 因みにLAN1のinって「WAN」→「ルータ」だと思い込んでました。 素人が手を出すものでない事は重々承知してますが、皆さんの指摘で勉強になる上にとても助かります。 お礼が遅れました失礼を末尾ではありますがお詫び申し上げます。
補足
補足に書き込み失礼します。 まだこれから拠点間のVPN設定のconfigを起こすのですが、その前にTinyVPNが双方向開通しちゃいましたのでご報告です。 仮想イーサーネットカードのDG、DNSと動作モードの組み合わせに問題があったようで、突然双方向のデータ通信ができてしまい解決してしまいました。 RTX1200とは分けて考えるべき事ですが、特定サーバーへの通路が確保できるようになった嬉しさに書き込みました。 あとは助っ人が来る明晩にRTX1200のVPNトンネル対向試験がTinyVPNのように通ってくれるよう解析と準備をするのみです。 現在IPsec(3DES)でping発行で繋がりますが、突然トンネルがダウンする事があり、常時安定接続のキーワードも探しています。 特にキーのタイマーとかも無さそうだし、回線の不安定とかが問題なのかなと考えています。
お礼
重ね重ね丁寧な説明を頂戴しありがとうございます。 運用中にルーターの変更ができないのでまだ試験してませんが、何か見えてきたような気がします。 子供の落書きのような相関図を何枚か書いていて、IP1個の光回線の拠点からは通らず、IP8個の拠点側にppでLAN内の端末(サーバ)の許可ポートとnat staticで、グローバルIPとLAN上のIPを関連付けた端末(サーバ)からのみ、TinyVPN経由ですが見える事実と重ねてさらなる勉強をしてみたいと思います。 VPNで相手側のネットワークに入りたいのは双方の端末からで、特定の端末からでは無いので1:1じゃない所がにわか知識の当方には壁だったりします。 片や動的IP1個、もう一方は静的IP8個で複数のサーバーが動いてるという双方を結び付けるって結構頭使うものですね。 VPNのフィルタは、結局ppと同じようにVPNのフィルタに設定すると考えるのですね、調べて勉強します。 この点がずっと疑問だったのですが、VPNにフィルタをかける例が出てるサイトを未だ一つもググっても見つけられていないので、「VPNのフィルタは使わないもの?」と、自分の中で不安要素でした。 ありがとうございます。
補足
大変遅くなりましたが、昨晩双方のルーター(RTX1200)のip lan1 secure filter in をpass以外削除する事で無事、VPNトンネルでのWindows機同士のデータ通信が開通しました! TinyVPNも別システムで無事に動作し、目標としていた動作を全て実現する事が皆様の後押しで叶いました。 安全なフィルターをまだまだ見直し、手を入れる必要があると思うし、この手の作業に終わりって無いように思えるので今後も精進致します。 本当にありがとうございました。