- 締切済み
BHR-4GRV で PPTP サーバー構築
LAN内に共有領域を設置し、LAN外部からこの共有領域にアクセスできるようにし、 かつLAN外部のPCからこの共有領域に対しネットワークドライブを割り当てる事を めざしています。 実際の使用シーンとしては、友人やグループなどが同一のワードやエクセルファイル に対し、添削や加筆を行う、といったイメージです。 これに関し、関連した質問をさせて頂いたところ、LAN外部のPCがLAN内部の共有領域 に対しネットワークドライブを割り当てる機能を持たせるには、LAN内部にVPNサーバ を設置する必要がある、との事でしたので、現在は以下のようなネットワーク構成に 落ち着きました。 <現在のネットワーク構成> KDDIホームGW ルータ兼PPTPサーバ 無線LAN AP 192.168.0.1 192.168.0.254 192.168.2.XXX ┌─────┐ ┌─────┐ ┌─────┐ │ │ │ │ │ │ │ BL900HW ├─┤ BHR-4GRV├─┬─┤ WR9500N │ │ │ │ (DMZ) │ │ │ │ └─────┘ └──┬──┘ │ └─────┘ │ │ ┌──┴──┐ │ ┌───────┐ │ USB HDD │ ├─┤ LS-WX4.0TL/R1│ └─────┘ │ └───────┘ │ BuffaloのNAS │ │ ┌───────┐ └─┤ 自作サーバ │ └───────┘ Webサーバ&DNSサーバ auひかりを使っている関係上、ルーター機能を有するホームGW(ここでは BL900HW)が必須なので、2重ルーターになるのですが、Buffalo の BHR-4GRV という有線ブロードバンドルータをDMZ領域においています。BHR-4GRV には PPTPサーバ機能があるので、これを活用しています。 BHR-4GRV の USB 端子に USB HDD を接続し、上記の共有領域にはこの HDD を 割り当てています。 その後段の NEC の無線ルータ(WR9500N)は、ルータ機能を停止し無線LANの アクセスポイントモードに特化した使い方としています。また WR9500N には Biglobe DDNS 機能をサポートしているので、PPTPサーバー構築の際の DDNS はここで対応しています。 更に、LAN 内部に自作のホームページ公開用の Web サーバ をおいていますが、 ここにはホームページにLAN内部からも http:// 形式でアクセスできるように LAN 内部用のDNS サーバー機能も持たしています。 <現状できているところと解決すべき問題点> (1)BHR-4GRV の PPTP サーバーの設定で、以下のような設定をする。 この時、LAN外部のPCからは問題無くVPN(PPTP)接続が成功する。 (a)サーバーIPアドレス、クライアントIPアドレスとも「自動設定」にする。 (b)DNSサーバーのIPアドレスは、「ブロードステーションのLAN側IPアドレス」 とする。(BHR-4GRV の設定画面では、BHR-4GRV の事をブロードステーション と称している。) (c)PPTP接続ユーザを1つ作成し、「IPアドレス割り当て方法」を 「PPTPサーバー設定の範囲から取得」とする。 (2)BHR-4GRV の 「NAS」設定の「共有フォルダ設定」で、 (d)「アクセス制限機能」は「アクセス制限なし(読取/書込可能)」に設定し、 「Webアクセス設定」は「アクセス制限を使用する」にチェックを入れる。 (3)BHR-4GRV の 「NAS」設定の「ユーザー管理」で、 (e) 上記の(c)で作成したものと同じユーザー名&パスワードで、新しく ユーザー名を作成する。 (4)BHR-4GRV の 「NAS」設定の「共有サービス」で、 (f) 共有フォルダー機能は「使用する」にチェックを入れる。 ブロードステーション名はデフォルトのまま。 (デフォルト値は、APXXXXXXXXXXXX XXはBHR-4GRVのMACアドレス) ワークグループ名はデフォルトの「WORKGROUP」のまま。 (なお、LAN外部のPCのワークグループ名も「WORKGROUP」) この状態でLAN外部PCから、ネットワークドライブの割り付けを以下のように 行うと、「アクセスできません」というエラーが返ってくる。 もちろんLAN内部のPCではこの設定でネットワークドライブの割り当てが できています。 ¥¥(ブロードステージョン名)¥disk1_pt1 文字化けのため¥は全角文字としています。 なお、disk1_pt1 は BHR-4GRV が自動的に付ける名前。(1番目のディスクの パーティション1) 外部PCは、WindowsXP と Windows7 の両方で確認したが現象は変わらず。 いろいろと試行錯誤した結果、以下のような設定をすると WinsowsXP と Windows 7 の両方でネットワークドライブの割り当てができました。 (5)LAN外部PCの Windows ファイヤーウオールを「無効」にし、かつ上記(c)で 「IPアドレス割り当て方法」を「DHCPサーバー設定の範囲から取得」に変更する。 しかし、この場合は、LAN外部PCから、LAN内部のNASに対してもネットワーク ドライブの割り当てができてしまうし、何よりもファイヤーウオールを「無効」 にする事が気持ち悪いと思っています。 そこで、LAN外部PCの Windows ファイヤーウオールは「有効」の状態で、各種 設定(例外設定等)で対処し、かつLAN外部PCからネットワークドライブが 割り当てられるのは BHR-4GRV に接続された USB HDD までとしたい、という 事を実現したいのですが、以上に述べた設定をどのように変更したら良いのか に関し、ご教示をお願いいたします。
- みんなの回答 (45)
- 専門家の回答
みんなの回答
- nnori7142
- ベストアンサー率60% (755/1249)
- nnori7142
- ベストアンサー率60% (755/1249)
追加補足・他の方のやり取りを拝見しまして、「Buffaloの箱に対応キャリアとして、AUひかり」文言の部分ですが、AU自体としてはAUひかり+光電話契約でも、光電話無しでもHGWの設置での通信保証といった形にしている様です。 IPV6デュアルスタック認証として、回線終端装置+HGWのWAN側MACアドレス及び802.11X認証しており、回線終端装置からBuffaloルーターへ直接接続してもMACアドレス相違でのグローバルIP配布されない形態となる筈です。 Buffaloの箱にAUひかりと掲載しているのは、Buffalo自体がAUひかりの本質を理解されていない形である事が推察されます。 もし、光電話無しで回線終端装置に直接、Buffaloルーターを接続しても、BuffaloルーターのWAN側MACアドレスを仮のMACアドレスに変更出来るタイプでなければ、接続認証されない筈です。つまり、IPV4/IPV6データ通信(IPV6-RAプロクシ)+IPV6光電話通信(IPV6-DHCPv6)の通信の内、光電話無しプランですと、MAC認証+IPV6-DHCPv6通信が全て、Buffaloルーターで賄う形となりますので、無理かと存じます。
補足
コメントありがとうございます。 >もし、光電話無しで回線終端装置に直接、Buffaloルーターを接続しても、BuffaloルーターのWAN側MACアドレスを仮のMACアドレスに変更出来るタイプでなければ、接続認証されない筈です。 上記の話は、KDDIのHGWレンタル品(BL900HW)と同じMACアドレスを擬似MACアドレスでWAN側に設定する、という話かと思いますが、IP電話を使う限りこの方法でも無理(=HGWを外せない)との理解をしています。 従って、これはBHR-4GRVの話ではなく、YAMAHAのルーターでも同じ(=HGWを外せない)と思いますが。。。。
- hirasaku
- ベストアンサー率65% (106/163)
こんにちは。 hirasaku です。 補足、確認させていただきました。 結果OKで、それで運用ということでしたら 私がつべこべいうことではないので、お任せいたします。 ちょっと、私もこだわりがつよいもんで・・・ 今回、なぜBuffaloのルータを入れたのか、過去の質問で なんとなく、わかったような。 DDNSの問題とDHCPによるDNSサーバのIP指定ができるから 導入されたんですかね?WRの代わりに。 それで、流れでPPTPまでたどり着いたと。 それはさておき、最後に私のこだわりの部分だけでも。 たぶん、補足を読ませていただいた限りでは 私の設定は試されていないのかなと思います。 なぜかと申しますと、 >(5)BL900HWの静的ルーティング設定のエントリーで、 宛先IPアドレスを 192.168.2.0/24 ゲートウェイを 192.168.0.254 に設定する 私はこれを削除してください。と申し上げましたが残している この設定は、ほかの方が回答されていましたが、 なぜBL900にこのルートが必要かわかりません。 BHRはアドレス変換してLAN側を通信させているわけですよ。 BHRのアドレス変換はLAN側ホストをWAN側のIPに つまり、192.168.0.254 を使って通信してるんですよね。 ということは、BL900からしてみれば、BHRのLAN側ホストからの 通信(192.168.2.0/24からの)は全部BHRからの通信と 思っているわけですよ。192.168.0.254からの通信とね。 BL900は同一セグメントからの通信と思っているわけですから、 ルーティングテーブルなど使わずに素直に192.168.0.254に 返すわけです。 アドレス変換はLAN側のIPセグメントを隠す動作をします。 ということは、もし、BL900でPINGコマンドができるなら、 そのスタティックルートがあっても 192.168.2.0/24セグメントには 行けないんですよ。ルータの192.168.2.1にPING打っても 応答なしです。 もしこれがアドレス変換しないローカルルータとして設定している のなら、スタティックルートは必要です。 それとPPTPの動作の件ですが、 今の環境では確かにBHRのWAN側はプライベートのアドレスを 使っています。プライベートIPを使っているからプライベートでしょ。 おっしゃりたいことはわかります。 しかし、BHRを中心に考えるとWAN側はアドレスに関係なく WANという認識で動作しています。(アドレス変換を使っていれば) 設定画面を見ていただければわかると思いますが、 Internet側とLAN側っていう設定画面ですよね。 PPTPはInternet側からの通信をセキュアにして LAN側ホストと通信させるための仕組みです。 このLAN側との通信ということで、仮想プライベートネットワーク なんですよ。 それを今回Internet側のIPをPPTPクライアントに指定している。 これは、仕組みとしては想定外のことですよ。 今回うまく動作しているみたいですが・・・ (YAMAHAの58iでも同様の動きをしました。ログを見たらどういう ことか、なんとなくわかりましたけど) 192.168.2.0/24 セグメントがそのような環境であれば仕方ない ですね。 それと、これまで、いろんな設定を試されていると思いますので、 どれが正解なのかもわからない状態だと思います。 しかし、ご希望に近い状態に持ってこれてよかったです。 またしても、不甲斐ない落ちになってしましました。 では。
補足
hirasaku さん、コメントありがとうございます。 >今回、なぜBuffaloのルータを入れたのか、過去の質問で なんとなく、わかったような。 DDNSの問題とDHCPによるDNSサーバのIP指定ができるから 導入されたんですかね?WRの代わりに。 それで、流れでPPTPまでたどり着いたと。 はい、全くおっしゃるとおりです。 Biglobe DDNS を使っていたのでWR9500Nを選択したのですが、WRはDNSのIPアドレスを指定できない事は購入後に初めて知りました。 >(5)BL900HWの静的ルーティング設定のエントリーで、 宛先IPアドレスを 192.168.2.0/24 ゲートウェイを 192.168.0.254 に設定する はい、過去の経緯でご存知と思いますが、最初は、 (4)BL900HWのポートマッピング設定で、TCPの任意のポートの信号とgre(プロトコル番号47)の信号を 192.168.0.254 にマッピングする。 また、BHR-4GRV側もWAN→LANへ、プロトコル番号47の信号とTCPのポート1723の信号を通過させる。 だけの設定をしていました。 (5)の設定をしてもしなくても、機器の動作は外見上は変わらなかったので、今はオマジナイのような感じで何となく(5)の設定が残っているのが現状です。 でもこういう(非論理的な)発想が一番いけない事なんですよね。 正直なところ、「BL900に来た信号をBHR-4GRVに丸投げする」という点では(4)の設定も(5)の設定でも同じように思っていました。 しかし、(5)はNATを使わない環境での固定ルーティングの設定、というように考えれば、今回は(5)は不要なのでしょうね。 再度(5)の設定を外して動作確認をしても正常に動作するので、(5)は外す事にします。 >設定画面を見ていただければわかると思いますが、 Internet側とLAN側っていう設定画面ですよね。 はい、BHR-4GRVの設定画面では、おっしゃる通りですね。 一方、BHR-4GRVの梱包箱には対応ブロードバンド回線としてauひかりがちゃんと記載されているのも不思議です。これは、VoIP電話を使わないauひかりの事なのかもしれません。(VoIP電話を使う→HGWの使用が必至→BHRのWAN側はグローバルIPでなくなる、という事になるので) いずれにせよ、今回の構成で、192.168.0.XXX というネットワーク空間ができ、HGWのUSB端子にUSB-HDDを接続する事により簡易NASがこの空間にでき、今のところ当方の希望の機能が実現できたので、当面はこれで様子を見たいと考えます。 いろいろとありがとうございました。
- nnori7142
- ベストアンサー率60% (755/1249)
- nnori7142
- ベストアンサー率60% (755/1249)
他の方の回答確認しました。当面はBuffaloルーターで運用する様ですね。 現時点で安定しているとの事で(VPNスループットがどの程度か解りませんが)、今後重いデータ参照時の不確定動作や暴走等は考えておいた方が良いでしょうね。(どちらにしても、1Mbps程度の通信レスポンスしか得られない筈) Buffaloルーターの場合には、負荷がかかった際のパケットロスやNATエントリ数が高くなってくると、すぐ暴走しますので、それだけはお伝えしておきます。(仕様上、NATエントリ数は4,096が上限になっておりますが、細かなNAT制限や、タイマーの設定は出来ないタイプですので・・・)
補足
コメントありがとうございます。 今のところ、共有するデータは、ワードとエクセルファイルで、PPTPユーザーも最大5人なので、当面は現在の構成で様子を見たいと思います。 将来、共有データが動画になったり、ユーザー数が増えたりした場合は、バージョンアップを検討します。 その頃はヤマハのルーターがもっと安く手に入ればうれしいですが。。。。
- hirasaku
- ベストアンサー率65% (106/163)
こんにちは。hirasaku です。 間が空いちゃいましたね。 申し訳ございません。本業が忙しかったもんで。 ところで、状況はどうでしょう? って、YAMAHAを買っちゃいました? 過去からのやり取りをもう一度確認しました。 ここで、いったんクリアしてですね。 下記のようにBLとBHRを設定していただけないですか。 (APはいじらなくて大丈夫です) まず、BLはやれること限られるので、普通に設定 BLのLAN側IPが 192.168.0.1/24 で、NAPTでインターネットへ。 DMZ設定で相手が 192.168.0.254(BHRのWAN側IP)に設定 もし、静的ルートの設定があるのなら、余計なので削除してください。 BuffaloのNASを 192.168.0.200 などにIPを設定 デフォルト・ゲートウェイは 192.168.0.1でいいです。 NASをBLのLAN側に接続してください。 BHRの設定 WAN側IPを 192.168.0.254/24 デフォルト・ゲートウェイを 192.168.0.1 LAN側IPを 192.168.2.1/24 NAPTでLAN側をWAN側に出す。 DHCPなどの機能を使うなら設定してください。 USB-HDDをBHRに接続。共有の設定をしてください。 APをアクセスポイント・モードで設定(されてると思いますが) IPを192.168.2.254/24 などと設定。 BHRのLAN側に接続。. BHRにPPTPの設定 PPTP接続してくるクライアントに割り当てるIPアドレスは 192.168.2.のセグメントならDHCPでも手動でも構いません。 クライアントPCを無線で接続。 インターネットに出れるか確認 NASの192.168.0.200に疎通確認 PCでコマンドプロンプトを開き、ping 192.168.0.200 応答(reply)が返ってきたら疎通はOK NASの共有フォルダにアクセスできるか確認 \\192.168.0.200\共有フォルダ名 アクセスできればOK できなければ、BHRのフィルタでWindowsファイル共有系の ポートを通過させる設定。 PPTPでクライアントをつなぐ BHRのUSB-HDDにアクセスできればOK NAS(192.168.0.200)にアクセスできるか確認 できちゃった場合、PPTPの設定で リモートゲートウェイを使うのチェックが入っているか確認 入っていたらはずす。 PPTP接続をやり直してNASにアクセスできるか確認 できなければOK こんな感じですか。 PPTPにてクライアントに192.168.0 セグはおかしいという 話ですが、なぜかというと、外からLAN側にアクセスさせる 技術なのにWAN側(外側)アドレスはないでしょ。 ということです。 たまたま、多段NATによって、BHRのWAN側のアドレスは プライベートですけど、本来そこはグローバルです。 トンネル掘って中に入ったのにまた、外に出された感じですか。 普通そんなことしませんよね。 で、重要なことはPPTP接続してくるクライアントの PPTP接続設定の設定で「リモートゲートウェイを使う」の チェックです。 これはクライアントに 192.168.0 セグをあたえたとしても リモゲーを使うにチェック入れられちゃうと 192.168.2 セグと通信できてしまうということです。 これは、PPTP接続してくる端末の設定になるので、 友達にお願いしてチェックをはずしてもらっても、再度入れられたら 通信可能になるわけですよ。 なので、NASの共有フォルダにはアクセス権をつけるべきだと思います。 プレステや、その他の機器でもWindows共有の仕組みを使うのなら ユーザー認証にも対応してると思いますが。 ちょっと、長文になってしまったので、今回はこの辺で。 では。
補足
hirasakuさん、本業でご多忙のところ、コメントを頂きまして感謝いたします。 まず、現時点での状況を報告いたします。 >ところで、状況はどうでしょう? >って、YAMAHAを買っちゃいました? YAHAHAのルーターは購入せずに、BHR-4GRVで実際に友人宅の有線ブロードバンド環境で動作確認してもらったところ、当初の目的であるワードやエクセルファイルの共用化に関しては、特にパフォーマンス(キー入力から表示応答までの時間等)にも問題無い状態との事でしたので、当面はこれで様子を見たいと考えています。 <現在の環境> (1)共有のUSB-HDDは、BL900HWのUSBポートに接続。 (2)BL900HWのLAN側IPアドレスは、192.168.0.1。 (3)BL900HWのDMZホスト機能を有効にし、BHR-4GRVをDMZに置き、そのIPアドレスを 192.168.0.254 とする。 (4)BL900HWのポートマッピング設定で、TCPの任意のポートの信号とgre(プロトコル番号47)の信号を 192.168.0.254 にマッピングする。 また、BHR-4GRV側もWAN→LANへ、プロトコル番号47の信号とTCPのポート1723の信号を通過させる。 (5)BL900HWの静的ルーティング設定のエントリーで、宛先IPアドレスを 192.168.2.0/24 ゲートウェイを 192.168.0.254 に設定する。 (6)PPTP接続ユーザのIPアドレスは、192.168.0.100 からユーザー分(現在は4個)を手動割り当てを行う。 (7)BL900HWのWeb設定画面で、ユーザー名とパスワードは保存しない。 (8)外部のPPTPユーザーのPCにて、PPTP接続時のTCP/IP設定で、「リモートネットワークでデフォルトゲートウェイを使う」のチェックを外す。 なお、今回の検討をするに当たり、既存の 192.168.2.XXX のシステムには手を加えない事を前提としています。ここは、単にBuffalo のNASだけではなく、スカパーチューナーの録画保存先のHDDが接続されていたり、プレステ3用のHDDが接続されていたりしており、またそれ以外にも家族のPCのWindowsログオン時のユーザー名やパスワードも私は全部把握できていないので、ここに手を入れるのは影響が大きいからです。 当初は、USB-HDDをBHR-4GRVのUSBポートに接続し、PPTPクライアントのIPアドレスを、192.168.2.200 から割り当てて、このIPアドレスの信号をUSB-HDDにマッピングする事を考えていましたが、BHR-4GRVではこのようにPPTP接続ユーザー経路を編集する事はできないので、この考えは断念しました。 >PPTPにてクライアントに192.168.0 セグはおかしいという 話ですが、なぜかというと、外からLAN側にアクセスさせる 技術なのにWAN側(外側)アドレスはないでしょ。 ということです。 たまたま、多段NATによって、BHRのWAN側のアドレスは プライベートですけど、本来そこはグローバルです。 トンネル掘って中に入ったのにまた、外に出された感じですか。 普通そんなことしませんよね。 ここのところがよく理解できていません。BL900HWがルーター機能を禁止できればBHRのWAN側はグローバルIPとなりますが、BL900HWのルーター機能を禁止できず今回のような設定をすると、BL900HWのLAN側は 192.168.0.XXX のネットワーク系になり、192.168.0.XXX のネットワーク系に簡易NASとしてUSB-HDDが置かれており、192.168.0.100 ~ のIPアドレスを割り当てられたPPTPユーザーはこの簡易NASにアクセスできる、という事が実現できているように思っています。 いずれにせよ、当面は友人たちに、このソリューション(といったら大げさな表現になりますが)をもう少し活用してもらい評価していきたいと思っています。 Buffalo製品は企業向けには信頼性がいまいち、という評価が多いですが、実売4500円程度でPPTPサーバーが簡単に構築できるので、プライベート用途として割り切って使えば、それなりに活用できると今回思いました。
- nnori7142
- ベストアンサー率60% (755/1249)
- nnori7142
- ベストアンサー率60% (755/1249)
- nnori7142
- ベストアンサー率60% (755/1249)
先ほど伝えわすれました。hirasakuさんの仰る点も確かにありますが、BuffaloルーターのPPTPクライアントでの細かな宛先許可等は出来ませんよ。(Buffalo確認済み) Active-Directory認証についても(やってみないと解りませんが)、Windows系でのActive-Derectoryですとライセンス回りの問題がありますが、方法的にLinuxでのActive-Directory認証といったケースもあるはずです。 利用サーバのOSが解りませんが、Samba4.0以降を利用するといったケースもあるので、一概に有料とは言えませんよ。仮に有料だったとしても、それは私共で考える事ではなく、運用する方の予算と組合せで構成していくものです。無料は無料としての価値、安価な物は安価だけの価値しかないといった部分が個人の意見です。(安物買いの銭失いといった要素もありますので・・・)
補足
コメントありがとうございました。 ちなみに現在の自作サーバー(Webサーバー+DNSサーバー)のOSはCentos6で、ハードウェアのCPUはAtom525です。 現在の検討方向の優先順位としては、 (1)BL900にUSB-HDDを接続した場合の更なる検討。 検討の結果、BHRをヤマハルーターに置き換えれば実現できそうならば、ヤマハ製ルーターの購入も検討する。 (2)3重ルーター(BHR背後のWR9500NをAPモードからルーターモードへ変更)の検討。 (3)Active-Directory認証の検討 という事で進めたいと思っています。 従って、Active-Directory認証は、3重ルーター構想が失敗した時に初めて検討する予定にしています。
- nnori7142
- ベストアンサー率60% (755/1249)
追加補足確認しました。KDDI回線の場合ですが、モデム(HGW)でのNAT越えでのDHCP認証は可能です。KDDIの場合ですが(当方のビジネスとして)、KDDI代理業務及び工事サービスを付帯してやっておりますが、KDDIメタルプラスモデムやHGWについては、DMZだけですと確かに第三者から見れば、NAT配下でのセグメント越えになり、DHCP難しいといったイメージになるかと存じますが、事業経験上ですが、DMZと静的ルーティングを双方する事で、同一セグメントとして内部処理する設計にしているそうです。(KDDI-ネットワークSEとの対話) 実際の所、当方もやってみましたが、HGWでもRTX1200にてDHCP認証処理は出来ております。 KDDIのモデム及びゲートウェイ自体が、そういった機材であると考えて頂いて差支えないです。 それは、AUひかりHOMEだけではなく、AUひかりビジネスの契約でも同一です。 アクセス制限の件については、RTX810やFWX120等でのDHCPクライアント・アクセス認証+MACアドレス認証、IPフィルタでの制限にてやってみてもらうしかないですね。
補足
nnori7142さんは、KDDI関連のお仕事をされているのですね。 一部のユーザーは、KDDIのHGW(BL900HW/BL190HW等)の貧弱な仕様に困っているようなので、機会があればユーザーの声をKDDIに伝えて頂く事を希望します。 少し脱線しました。 ヤマハルーターの件は、結局実機を入手して確認するしか無いようですね。 もう少し安ければ購入を検討するのですが。。。。
補足
補足説明ありがとうございます。 HGWを使わない可能性もあるようですが、固定電話はライフラインの1つですので(少なくても我が家では)HGWを外す事はしません。 この件は、元々のテーマとはあまり関係ない話と思うので、この辺で打ち切りたいと思います。