- ベストアンサー
YAMAHAルータのサイト間VPNの設定について
- YAMAHAのルータを使用してサイト間VPNを行おうとしていますが、VPNトンネルが張れません。
- ルータAのLAN1の端末からルータBのLAN1の端末宛、ルータBのLAN1の端末からルータAのLAN1の端末宛にPingを実施しましたが応答がありません。
- RTX1000のWebUIにアクセスしてIPSECの項目を確認しましたが、両方ともダウン状態でした。
- ネットワーク
- 回答数7
- ありがとう数9
- みんなの回答 (7)
- 専門家の回答
質問者が選んだベストアンサー
こんにちは。hirasakuです。 解決しましたか? 両方のルータの ipsec ike local address 1 を lan2のアドレスにしてください。 nat をしてないので、この場合は lan2のアドレスにすればOKですよ。 では。
その他の回答 (6)
- koi1234
- ベストアンサー率53% (1866/3459)
No4 補足より >RTX1000のみでテストということは 以下のURL参照して (インターネットのところは適当なローカルアドレスに変更) http://jp.yamaha.com/products/network/solution/connect/two_point_rtx1200/ テストしてみてくださいってことです それで動いてるならあとは間に挟んでる PR-200NE の問題 既にRTX1000扱って無いので1200になってますがこのあたりの内容は変わらないはずです VPNとして必要なのは ゲートウェイの設定と VPN(IPsec)の設定 になります WAN側を適当なアドレスに設定するから書かれてるままじゃ駄目よ っと 他の環境で動いたとか書いてあったのはSOHO向けのルータ(NSA3500)使ってたから 3セグメントとリア誓いが正常にできたってことではないかと思います
- nnori7142
- ベストアンサー率60% (755/1249)
追加補足確認しました。それでは、必ずといった保障はありませんが、まずルーターAの「ip route 192.168.168.0/24」→「ip route 192.168.168.0/24 gateway tunnel 1」と修正。 それぞれのルーターにARP代理応答コマンドを登録してみては如何でしょうか? 「ip lan1 proxyarp on」といったコマンドをルーターAとルーターBへ登録してみて下さい。
補足
ありがとうございます。 ルータAにip route 192.168.168.0/24 gateway tunnel 1は投入していましたが 記載ミスをしていました。 ルータA及びルータBへのip lan1 proxyarp onの追加について試してみます。
- koi1234
- ベストアンサー率53% (1866/3459)
補足を見ました >※PR-200NEのWANインターフェイスの先がThe Internetです。 PR-200NEで3セグメントを扱おうとhしているように思えますが それが問題ではないかと思います (一般的な家庭向けなどのルータで3セグメントの取り扱いはできません) テスト環境ということですし問題点洗い出すためにPR-200NEを間に挟まずに RTXのみでテストしてみてください もしくは片方をWAN もう一方をLANの2セグメント扱いで設定してみてください PR-200Nにルーティングの設定は不要のはずです ※ 設定のConfigきちんと見てませんが私はRTX1000での2拠点インターネット経由の VPN構築実績はあります(発売後1年以内の時期での話)
補足
ありがとうございます。 PR-200NEで3つのセグメントを扱えないとはどういうことでしょうか。 RTX1000のそれぞれのLAN1に所属しているセグメントからも、PR-200NE配下のセグメントからも インターネットに出ていけていますので、3つのセグメントは利用できていると思うのですが・・・。 RTX1000のみでテストということは、デフォルトルートを互いのLAN2に向けるまたは、デフォルトルートを 使用しないということでよろしいでしょうか。
- nnori7142
- ベストアンサー率60% (755/1249)
お尋ねの件ですが、PR-200NEにてPPPOE接続→配下にRTX1000がそれぞれ相違セグメントにて2台あるといった認識で宜しいでしょうか? 同一グローバル間のVPNは無理ではないでしょうか?実際にされる方法があるのであれば、RTX1000.同士をカスケード接続させ、RTX1000同士の静的ルート設定する方法ではないでしょうか? 双方のRTX1000のnatエントリ接続でのインターネット接続出来るのは、同一グローバルIPを利用しました接続形態になっている形態かと存じます。 それと、ルーターAのコンフィグが間違っていませんか? 「ip lan2 address 192.168.1.50/24」→「ip lan2 address 192.168.1.60/24」ではないでしょうか? それぞれのヤマハルーターからみて、光電話ルーターを介したそれぞれ2重NATになっておりますが、ヤマハのセグメント同士のルーティングは光電話ルーターでは出来ないのでは?
補足
ありがとうございます。 >お尋ねの件ですが、PR-200NEにてPPPOE接続→配下にRTX1000がそれぞれ相違セグメントにて >2台あるといった認識で宜しいでしょうか? ご認識の通りです。 >同一グローバル間のVPNは無理ではないでしょうか? LAN2のセグメントが同一の場合、VPNは行えないということでしょうか。 SonicWALLのUTM製品同士ではX1(WAN)インターフェイスが同一セグメントで行えていましたので、 できないということはないという認識でいます。 SonicWALLの場合、SonicWALLのログ及びSonicWALL搭載のパケットキャプチャ機能でVPNが 行われていることを確認しています。 YAMAHAの場合は、LAN2が同一の場合できないということでしょうか。 コンフィグを見て頂くと分かるかと思いますが、下記のような記載はしていないので、 NATを行っておりません。 ---------------------------------------------------------------------------- nat descriptor type 1 masquerade nat descriptor address outer 1 primary nat descriptor address inner 1 192.167.167.1-192.167.167.167 ---------------------------------------------------------------------------- >それと、ルーターAのコンフィグが間違っていませんか? > 「ip lan2 address 192.168.1.50/24」→「ip lan2 address 192.168.1.60/24」ではないでしょうか? すみません。ルータAではなく、ルータBのコンフィグに誤りがありました。 ----------------------------------- ip lan1 address 192.168.168.168/24 ip lan2 address 192.168.1.60/24 ----------------------------------- >それぞれのヤマハルーターからみて、光電話ルーターを介したそれぞれ2重NATになっておりますが、 >ヤマハのセグメント同士のルーティングは光電話ルーターでは出来ないのでは? 今回はVPNを行う設定ですが、VPNを行わない状態でPR-200NEでルーティング出来ていたので、それはない 思います。 YAMAHAでNATしていませんし、PR-200NEでスタティックルートを記載しているのでNATはされないです。 ローカルIPの場合、NATは特に必要はなく、ルーティングでいいと思っています。
- koi1234
- ベストアンサー率53% (1866/3459)
Np1 訂正 >【YAMAHA RTX1000 ファームウェア:8.01.29 VPNルータA】 >【YAMAHA RTX1000 ファームウェア:8.01.29 ルータB】 と書いてあるのを見逃しました でも状況が見えないのは同じ 3拠点で VPN したいということなんでしょうか? それとも PR-2000の下に 2台のRTX1000があってそのRTX1000間の通信をVPNしたいって話? 各ルータのLAN側・WAN側がつながっているのがインターネットなのか ローカルLANなのかローカルLANであるならそのセグメントがいくつになっているのか VPNを行いたいのはどこなのか をわかりやすく記載してもらえないでしょうか
補足
分かりにくくてすみません。 192.167.167.0/24 ----(LAN1)【RTX1000:VPNルータA】(LAN2)----PR-200NE ----(LAN2)【RTX1000:VPNルータB】(LAN1) ---192.168.168.0/24 ※PR-200NEのWANインターフェイスの先がThe Internetです。 構成は上記になります。 192.167.167.0/24のセグメントと192.168.168.0/24のセグメントをサイト間VPN接続したいと考えております。 なので、2拠点間のVPN接続になります。 ルータは、PR-200NEとRTX1000の2台でほかにルータはありません。 複数同じ機器がある場合、分かりやすくするため、RTX1000の1台目はVPNルータA、2台目はVPNルータBというふうにしていますので、 VPNルータA及びBの型番はRTX1000になります。 192.167.167.0/24はローカルアドレスではないので使用してはダメということだと思いますが実運用で使用したいのではなくテスト環境のため なので問題ないと考えております。 SonicWALL社のUTM製品を使用して今回と同様の構成でサイト間VPNが行えているので同じようにテスト環境を構築したいと考えております。 | 192.167.167.0/24 ----(X0)【TZ100:VPNルータ】(X1)----NSA3500 ----(X1)【TZ100:VPNルータ】(X0) ---192.168.168.0/24 ※NSA3500のX1インターフェイスの先がThe Internetです。
- koi1234
- ベストアンサー率53% (1866/3459)
基本的に質問では状況が理解できなかったというのが正直なところ >192.167.167.0/24 こんなアドレス勝手に使っちゃダメ >ルータAのLAN1の端末からルータBのLAN1の端末宛、ルータBのLAN1の端末から >ルータAの LAN1の端末宛にPing VPNしてる(したい)のは RTX1000 と PR-200NE なんですよね? 疎通確認(Ping)するところが違ってるとしか思えませんが 質問読む限り私には RTX1000 ー ルータ ー インターネット ー ルータ - PR200NE になってるように読み取れるんですけど やるなら ルーター RTX1000 ー インターネット - PR200NE - ルータ じゃないとだめなのでは?(ルータ自体の存在がイランという話があるけど) また ルータA ルータB の型番は何なのでしょうか?
お礼
ありがとうございます。 構成を下記のようにして、コンフィグレーションを修正したところVPN接続もでき、192.168.3.0/24及び192.168.4.0/24 からインターネットに接続できることを確認できました。 192.168.3.0/24--(LAN1) RTX1000(LAN2)---PR-200NE ---(LAN2) RTX1000(LAN1)--192.168.4.0/24 【NTT PR-200NE ファームウェア:18.34】 静的ルーティング設定:宛先:192.168.4.0/24 インターフェイス:LAN ゲートウェイ:192.168.1.60 静的ルーティング設定:宛先:192.167.3.0/24 インターフェイス:LAN ゲートウェイ:192.168.1.50 【YAMAHA RTX1000 ファームウェア:8.01.29 VPNルータA】 ip route default gateway 192.168.1.1 ip lan1 address 192.168.3.254/24 ip lan2 address 192.168.1.50/24 tunnel select 1 ipsec tunnel 101 ipsec sa policy 101 1 esp 3des-cbc sha-hmac ipsec ike keepalive use 1 on ipsec ike local address 1 192.167.1.50 ipsec ike pre-shared-key 1 text password ipsec ike remote address 1 192.168.1.60 ipsec ike hash 1 sha tunnel enable 1 ipsec auto refresh on ip route 192.168.4.0/24 gateway tunnel 1 【YAMAHA RTX1000 ファームウェア:8.01.29 VPNルータB】 ip route default gateway 192.168.1.1 ip lan1 address 192.168.4.254/24 ip lan2 address 192.168.1.60/24 tunnel select 1 ipsec tunnel 101 ipsec sa policy 101 1 esp 3des-cbc sha-hmac ipsec ike keepalive use 1 on ipsec ike local address 1 192.168.1.60 ipsec ike pre-shared-key 1 text password ipsec ike remote address 1 192.168.1.50 ipsec ike hash 1 sha tunnel enable 1 ipsec auto refresh on ip route 192.168.3.0/24 gateway tunnel 1
補足
ありがとうございます。 まだ、解決はしていないです。 固定IPでNATを使用していないので、ipsec ike local address 1はLAN2のアドレスでいいということでしょうか。