- 締切済み
BHR-4GRV で PPTP サーバー構築
LAN内に共有領域を設置し、LAN外部からこの共有領域にアクセスできるようにし、 かつLAN外部のPCからこの共有領域に対しネットワークドライブを割り当てる事を めざしています。 実際の使用シーンとしては、友人やグループなどが同一のワードやエクセルファイル に対し、添削や加筆を行う、といったイメージです。 これに関し、関連した質問をさせて頂いたところ、LAN外部のPCがLAN内部の共有領域 に対しネットワークドライブを割り当てる機能を持たせるには、LAN内部にVPNサーバ を設置する必要がある、との事でしたので、現在は以下のようなネットワーク構成に 落ち着きました。 <現在のネットワーク構成> KDDIホームGW ルータ兼PPTPサーバ 無線LAN AP 192.168.0.1 192.168.0.254 192.168.2.XXX ┌─────┐ ┌─────┐ ┌─────┐ │ │ │ │ │ │ │ BL900HW ├─┤ BHR-4GRV├─┬─┤ WR9500N │ │ │ │ (DMZ) │ │ │ │ └─────┘ └──┬──┘ │ └─────┘ │ │ ┌──┴──┐ │ ┌───────┐ │ USB HDD │ ├─┤ LS-WX4.0TL/R1│ └─────┘ │ └───────┘ │ BuffaloのNAS │ │ ┌───────┐ └─┤ 自作サーバ │ └───────┘ Webサーバ&DNSサーバ auひかりを使っている関係上、ルーター機能を有するホームGW(ここでは BL900HW)が必須なので、2重ルーターになるのですが、Buffalo の BHR-4GRV という有線ブロードバンドルータをDMZ領域においています。BHR-4GRV には PPTPサーバ機能があるので、これを活用しています。 BHR-4GRV の USB 端子に USB HDD を接続し、上記の共有領域にはこの HDD を 割り当てています。 その後段の NEC の無線ルータ(WR9500N)は、ルータ機能を停止し無線LANの アクセスポイントモードに特化した使い方としています。また WR9500N には Biglobe DDNS 機能をサポートしているので、PPTPサーバー構築の際の DDNS はここで対応しています。 更に、LAN 内部に自作のホームページ公開用の Web サーバ をおいていますが、 ここにはホームページにLAN内部からも http:// 形式でアクセスできるように LAN 内部用のDNS サーバー機能も持たしています。 <現状できているところと解決すべき問題点> (1)BHR-4GRV の PPTP サーバーの設定で、以下のような設定をする。 この時、LAN外部のPCからは問題無くVPN(PPTP)接続が成功する。 (a)サーバーIPアドレス、クライアントIPアドレスとも「自動設定」にする。 (b)DNSサーバーのIPアドレスは、「ブロードステーションのLAN側IPアドレス」 とする。(BHR-4GRV の設定画面では、BHR-4GRV の事をブロードステーション と称している。) (c)PPTP接続ユーザを1つ作成し、「IPアドレス割り当て方法」を 「PPTPサーバー設定の範囲から取得」とする。 (2)BHR-4GRV の 「NAS」設定の「共有フォルダ設定」で、 (d)「アクセス制限機能」は「アクセス制限なし(読取/書込可能)」に設定し、 「Webアクセス設定」は「アクセス制限を使用する」にチェックを入れる。 (3)BHR-4GRV の 「NAS」設定の「ユーザー管理」で、 (e) 上記の(c)で作成したものと同じユーザー名&パスワードで、新しく ユーザー名を作成する。 (4)BHR-4GRV の 「NAS」設定の「共有サービス」で、 (f) 共有フォルダー機能は「使用する」にチェックを入れる。 ブロードステーション名はデフォルトのまま。 (デフォルト値は、APXXXXXXXXXXXX XXはBHR-4GRVのMACアドレス) ワークグループ名はデフォルトの「WORKGROUP」のまま。 (なお、LAN外部のPCのワークグループ名も「WORKGROUP」) この状態でLAN外部PCから、ネットワークドライブの割り付けを以下のように 行うと、「アクセスできません」というエラーが返ってくる。 もちろんLAN内部のPCではこの設定でネットワークドライブの割り当てが できています。 ¥¥(ブロードステージョン名)¥disk1_pt1 文字化けのため¥は全角文字としています。 なお、disk1_pt1 は BHR-4GRV が自動的に付ける名前。(1番目のディスクの パーティション1) 外部PCは、WindowsXP と Windows7 の両方で確認したが現象は変わらず。 いろいろと試行錯誤した結果、以下のような設定をすると WinsowsXP と Windows 7 の両方でネットワークドライブの割り当てができました。 (5)LAN外部PCの Windows ファイヤーウオールを「無効」にし、かつ上記(c)で 「IPアドレス割り当て方法」を「DHCPサーバー設定の範囲から取得」に変更する。 しかし、この場合は、LAN外部PCから、LAN内部のNASに対してもネットワーク ドライブの割り当てができてしまうし、何よりもファイヤーウオールを「無効」 にする事が気持ち悪いと思っています。 そこで、LAN外部PCの Windows ファイヤーウオールは「有効」の状態で、各種 設定(例外設定等)で対処し、かつLAN外部PCからネットワークドライブが 割り当てられるのは BHR-4GRV に接続された USB HDD までとしたい、という 事を実現したいのですが、以上に述べた設定をどのように変更したら良いのか に関し、ご教示をお願いいたします。
- みんなの回答 (45)
- 専門家の回答
みんなの回答
- hirasaku
- ベストアンサー率65% (106/163)
- nnori7142
- ベストアンサー率60% (755/1249)
- nnori7142
- ベストアンサー率60% (755/1249)
- nnori7142
- ベストアンサー率60% (755/1249)
追加補足の件で、Windowsファイアーウォール機能での阻害ですが、Windowsファイアーウォール有効時での詳細設定→接続セキュリティの規則にて、PPTP-VPNでのアクセス(仮想プライベートネットワーク)に対してのプロトコル番号や接続視点IPアドレス、終点IPアドレスの許可の履歴登録がされていない状態かと想定されます。 Windowsファイアーウォール画面を開くと、詳細設定内に細かな通信規則の設定欄が御座います。 その中にTCP1723とgreパケットと仮想プライベートネットワーク接続の規則の関連付けが無ければ、接続は遮断される状態になってしまうかと想定されます。 通常は、こういった細かな設定はWindows側で設定していくと、面倒な作業となりますので、Windowsファイアーウォールは無効化→PPTP周りの制御しているルーター側でアクセス制限等された方が処理速度・利便性からみて良いかと存じます。
補足
Windowsファイアーウォールの件は、回答No10の補足のところにも記載しましたが、私の方で少し勘違いしていました。 VPN接続の時のみWindowsファイアーウォールを無効とする設定ができたので、これで試行してみたいと考えています。
- nnori7142
- ベストアンサー率60% (755/1249)
先ほどの補足事項ですが、PPTP-VPN自体、セキュリティクラックされやすい接続方法ですので、WANからのアクセス等において、外部回線側のポート解放等もありますので、出来ましたら、L2TP-VPN/IPSEC接続出来る形態への移行が望ましいです。 セキュリティを望まれるのでしたら、L2TPであれば、VPNルーター側でNATトラバーサルでの転送手法である点、IPSECと同等のセキュリティ暗号化での接続、VPNレスポンスもハードウェア制御での高速VPNも可能です。 PPTP-VPNのアクセスであれば、大抵のメーカーはソフトウェア制御のため、最大でも1Mbps程度のレスポンスしか得られない筈です。(L2TPであれば、利用回線にもよりますが、30~40Mbps程度は確保可能かと存じます) ギガビットインターネット接続+L2TP/IPSEC、双方対応する方法としては、個人的にはYamaha「RTX810」やNEC「UNIVERGE iX2105」あたりがお奨めです。こちらのVPNルーターであれば、細かなセキュリティフィルタの設定や帯域制御設定等も可能です。
補足
今回の用途は、企業での機密情報を扱うのではなく、友人どおしの情報交換が目的ですので、PPTPレベルで良いと判断しています。 OPEN-VPNの場合、クライアント側の Windows PC 側に設定ファイルやセキュリティ証明書を格納する必要があり、友人たちにはハードルが高いすぎる作業となります。 ただし、回答No10の補足にも記載しましたが、レスポンス性能に関しては、もう少し検討したいと考えています。
- nnori7142
- ベストアンサー率60% (755/1249)
まず追加回答の1番目から、3G/LTE回線セグメントがLTEプライベートセグメントになっております。(192.168.179.0/24) ですので、LTE接続端末のWifiルーターの内部設定画面(http://192.168.179.1)が開ける筈ですので、詳細設定→ポートマッピング設定で、TCP1723とgreパケットを通す様に設定します。 それと、HGWの静的ルーティングの件ですが、あくまでもIPベースのルーティングですので、ポートベースの転送も双方必要です。「宛先アドレスを192.168.2.0/24、Nexthopゲートウェイ192.168.0.254と登録」+「TCPの任意のポートの信号とプロトコル番号47(gre)は、192.169.0.254にマッピング」 NECの無線アクセスポイントの設定は合致しており、BIGLOBE-DDNS取得はWAN側のルーターのUPNP機能での通信取得でOKです。(ただし、NECからみて、WAN側はあくまでも固定ですが、元々AUひかり自体はグローバルIP半固定みたいな物ですので、必要ないかもしれません) あとは、アクセスします外部PCからのアクセスをBuffaloルーターのIPフィルタでの制限をかける方法が基本ですが、BuffaloルーターのIPフィルタにて、送信元(PPTPクライアントIP)→NASのIP宛て、TCP137-139、445、21-22その他思い当たるポート番号を破棄する設定、送信元(PPTPクライアントIP)→サーバのIP宛て、TCP137-139、445、21-22、他不正アクセスポート番号破棄といった方法で設定していきます。 勿論、BuffaloルーターのPPTPクライアントからのアクセス許可IPの設定にも許可IPの登録をしておきます。(友人宅割当て用) 更にセキュリティをかける方法は、NASの方にサーバにSMB認証サーバに接続を委任するモード設定がありますので、利用していますサーバの確認ですが、Linuxであれば、Samba4.0からSMB認証+ActiveDirectory機能が追加されましたので、Samba4.0に移行しドメイン・コントローラー認証に連動させる方法で、NASのセキュリティ確保も可能です。 Windowsサーバであれば、勿論可能です。 上記方法にて、如何でしょうか?
補足
まず、LTE/3G ルーター(MR01LN)の設定変更(ポートマッピング設定で、TCP1723とgreパケットを通す)をしても状況は変わりませんでした。 冷静に考えてみると、PC本体側のWindows ファイヤーウオールの設定で期待した動作になるので、MR01LNは無関係と考えて良いはずでした。 実は、PC本体側のWindows ファイヤーウオールの設定方法のところで当方が勘違いして、以下のようにすれば、VPN接続の時のみ Windows ファイヤーウオールが無効になる事がわかりました。 WindowsXPの場合で説明すると、 デスクトップでマイネットワークを右クリック VPN接続のアイコンを右クリックし、プロパティを選択 詳細設定タブでWindows ファイヤーウオール設定を選択 今まではここで「Windows ファイヤーウオール設定を無効」としていたが、「有効」のまま詳細設定タブを選択 この画面でVPN接続の項目だけチェックを外す このように設定することで、VPN接続時ではない一般接続時にはWindows ファイヤーウオールが有効のままになります。 次に、LAN内でのUSB-HDD以外のアクセス制限に関し、いろいろと考えて試行錯誤した結果、以下のようにする事で、一応当方が考えていた機能が実現できたので、報告します。 <対策案> ・USB HDD を BL-900HW 側に接続する。 (以前に少し試行して止めたのですが、本日は深く突っ込んで検討しました。) ・BHR-4GRV のPPTPサーバー設定で、PPTP接続ユーザのIPアドレスを、192.168.0.100 からユーザー分だけ手動で割り当てる。 このようにすると、PPTPユーザは、192.168.0.XXX の機器だけにアクセスできるように制限がかかるので、BL-900HWのUSBポートに接続された USB HDD にはアクセスできるが、192.168.2.XXX のNAS等にはアクセスできない。 とりあえず、このようにして希望する機能は実現できたのですが、USB HDD に格納されているエクセルファイルを外部からアクセスした時、このファイルが開かれるまでの時間がLAN内部からの時に比べて遅いです。 外部接続の場合、3G回線を使っているから遅いのか、PPTPサーバーのソフト処理が重たくて遅いのか、未だ切り分けられていません。 やっぱりヤマハのVPNルーターが必要なのかもしれませんね。 そういえば、RTX1000 の中古品がずいぶん安く売られていましたが、これは買いですか? 当方は、現状有線LANポートがNAS(LinkStation)に接続されているので、Gigaポート対応でないと動画コンテンツの転送時に遅くて困るのですが。。。。 以上のような状況です。
- koi1234
- ベストアンサー率53% (1866/3459)
No7の補足に対して >WR9500Nもルーターモードにすると3重ルーターになるような気 気がする じゃなくてあらかさまな3重ルータです ただし実際にグローバルIPぶられるのは BHR-4GRV になりますので その他の設定は2重ルータと同じです >はい、確かに考えてみればリスクが少ないかもしれませんね。 >なので、この項目は優先順位を下げたいと考えます。 誤解されて受け止められたような気がしますが 現状の構成で行った場合には友人がスキャンかけたりすれば それほど労力無しで設置機器が分かったりしますよ 私がリスク少なくなると書いたのはルータ一個追加した時の話ですので誤解の無いように >残念ながら、BHR-4GRV は Biglobe のDDNS には対応していません。 Biglobe のDDNS にこだわる必要ありますか?(個人の勝手と言ってしまえば終わるけど) DDNSサービス自体はどこのもの使ってもさほど違うはないと思うのですが >>PPTP接続ユーザへのIPアドレス割り付け法を「DHCPサーバー設定の範囲から取得」にする >のように設定を変更しています。 それなら PPTP接続で外部 PCに割り当てられるIPアドレスは 192.168.2.XXX になるはずなのでNo2で書いた方法で アクセスできてよさそうな気がしますができませんでしたか?
補足
一応、当方が希望する機能が実現できる案を考え、動作確認しました。 詳細は、回答10の補足を参照して頂ければ幸いです。 なお、PPTP接続ユーザのIPアドレスを 192.168.2.XXX 系にして、VPN接続時のWindows ファイヤーウオールを無効にする事で、当初の目的の外部からネットワークドライブの割り当てができます。 DDNSは特に Biglobe にこだわっていませんが、個人HPのURLが変更になるのが面倒な事と、海外系の無料DDNSはいつの間にか有料になったり、等々の問題があるので、できれば変更したくない、というのが本音ですが、今回の問題とDDNSとはほとんど関係ないように思いますが。。。。
- nnori7142
- ベストアンサー率60% (755/1249)
追加補足ですが、USB-HDD以外のアクセス制限ですが、BuffaloルーターのIPフィルタ設定での特定アクセス拒否の設定+NAS自身のアクセス制限の設定となりますが、利用サーバがActive-Directory機能+SMB認証機能の追加を利用可能であれば、認証でのアクセス制限をサーバに持たせる方法もあります。 PPTPクライアントからのアクセスも、アクセス許可するアドレスの制限もケースにより併用していただければと思います。
補足
コメントありがとうございます。 残念ながら、ここにご記載頂いた内容を理解するには、私の方でもう少し勉強が必要なようです。 今は、「USB-HDD以外のアクセス制限」の対応は優先順位を下げて、回答No4の補足に記載した設定をしてもLAN外部PCのWindows ファイヤーウオールを「有効」にすると期待した動作をしない原因究明を優先したいと考えています。 これについては私自身、まったく解決の糸口を掴んでいませんので、引き続きサポートをお願いいたします。
- koi1234
- ベストアンサー率53% (1866/3459)
- koi1234
- ベストアンサー率53% (1866/3459)
No2 です No2の補足を見て 現状状態ややりたいことの詳細が見えてきた気ががします >LAN外部のPCのIPアドレスは 172.31.145.2 という >class B のプライベートアドレスが BHR-4GRV から割り当てられます。 それでは通信できないですね ネットワークの構成少々変更したほうがいいかと思います ・BL900HW はルータモード DMZで BHR-4GRV を設定 (今のまま変更なし) ・BHR-4GRV はルーターモード PPTPサーバ起動して WAN側セグメント 192.168.0.0/24 LAN側セグメント 192.168.2.0/24 (ここまでは今と同じ) DDNSサービスに登録する(BHR-4GRVもDDNS対応してるはずです) PPTP接続ユーザへのIPアドレス割り付け法を「DHCPサーバー設定の範囲から取得」にする ・WR9500N でのDDNS登録無効 動作モードはルーターモード WAN側セグメント 192.168.2.0/24 LAN側セグメント 192.168.3.0/24 (このセグメントは適当に書いただけ) ちょっと手間だけど自分でBHR-4GRVのUSBにアクセスするときも 一旦BHR-4GRV にPPTP接続してからアクセスするようにする ・R9500Nでは共有関連のポートは閉じる 開けたままなら 上に書いた 一旦BHR-4GRV にPPTP接続して の手間はなくなりますが 友人といえども、当方のLAN内部のPC内の情報は共有したくありません。 は満たせないかと思います(そう簡単にばれるってもんでもないですが) BHR-4GRVのLAN上に全機器を設置した今の状況では 希望を満たせないと思われます (私が思いつくのは上記での実現方法ぐらいです)
補足
コメントありがとうございました。 >>class B のプライベートアドレスが BHR-4GRV から割り当てられます。 >それでは通信できないですね はい、確かにおっしゃるとおりでした。 従って今は、 >PPTP接続ユーザへのIPアドレス割り付け法を「DHCPサーバー設定の範囲から取得」にする のように設定を変更しています。 >DDNSサービスに登録する(BHR-4GRVもDDNS対応してるはずです) >・WR9500N でのDDNS登録無効 残念ながら、BHR-4GRV は Biglobe のDDNS には対応していません。 また WR9500N は(ルーターモードでなくても)アクセスポイントモードでも Biglobe DDNS 対応処理を勝手にやってくれるので、貴重な存在です。 >友人といえども、当方のLAN内部のPC内の情報は共有したくありません。 は満たせないかと思います(そう簡単にばれるってもんでもないですが) はい、確かに考えてみればリスクが少ないかもしれませんね。 なので、この項目は優先順位を下げたいと考えます。 >・WR9500N でのDDNS登録無効 動作モードはルーターモード WR9500Nもルーターモードにすると3重ルーターになるような気がしますので、それは複雑すぎて避けたいです。 (BHR-4GRV は無線ルーターでは無いので、ルーター機能を停止できないと思うので。)
補足
hirasakuさん、ご無沙汰しております。 BL-900HW での DHCP OFF の検討の際は、大変お世話になりました。 今回、私が実現したい事は、 LAN内にLAN内に共有領域を設置し、LAN外部からこの共有領域にアクセスする際にネットワークネットワークドライブを割り当てる。 実際の使用シーンとしては、友人等が共有領域に格納されているワードやエクセルファイルの添削や加筆を行う、といった事を考えているので、友人等がアクセスできるのはこの共有領域のみで、LAN内のNASにはアクセスできない方が望ましい。 という内容です。 これを実現するためには(特にネットワークドライブを割り当てるには)VPNサーバーを使わないと難しいようなので、PPTPサーバー機能を有する安価なBHR-4GRVを使い、BHR-4GRVのUSB端子に接続されたUSB HDD を共有領域とする、最初の質問の構成図を検討しています。 現在は、PPTPユーザの新規作成等の設定をしPPTP接続をし、PPTP接続ユーザのIPアドレスを 192.168.2.XXX 系にし、PPTP接続時には Windows のファイヤーウオールを無効にすれば、外部からネットワークドライブを割り当ててUSB HDD にアクセスできる、というところまでは実現できています。(何故、Windows のファイヤーウオールを無効にする必要があるのか、については要検討) 次に、外部PCがUSB HDD 以外のLAN内のNAS等にはアクセスできないように制御する方法に関しては、USB HDD を BL900HW のUSB端子に接続する事で今のところはうまく行っているように見えますが、元々KDDIがサポートしていないBL900HWの使い方なので、ちゃんと理論的に検証する必要がある、と思っています。 現在は、実現したい機能はできているのですが、USB HDD を BL900HWに接続した場合もBHR-4GRVに接続した場合も同じように USB HDD に格納されたエクセルファイルを開くのに時間がかかっているので、その原因(外部PC接続のための3G回線が遅いからか、またはBHR-4GRVのPPTPサーバー実現のソフト処理が重たいためなのか、の切り分け等々)を調査する必要があると考えています。 なお、あくまでもPPTPサーバー構築は実現したいことの具現化の1つの方法なので、PPTPサーバーを構築しなくても実現したいことが具現化できる方法があれば、それに越した事はありません。 以上が現時点の概要ですが、下記の質問に対しては、 >ちなみにXPですが、PPTP接続するときのアイコンのプロパティで ネットワークタブのなかで、 Microsoftネットワーク用ファイルとプリンタ共有と Microsoftネットワーク用クライアント にはチェック入ってますよね? (1)XPのデスクトップで「マイネットワーク」を右クリック (2)PPTP接続のアイコンが出てくるので、これを右クリックしプロパティを選択 (3)「ネットワーク」タブを選択すると、この接続は以下の項目を使用します、という項目の中に、「Microsoftネットワーク用ファイルとプリンタ共有」および「Microsoftネットワーク用クライアント」があり、チェックが入っています。 以上のような状況です。 よろしくお願いいたします。