締切済み

RTX-1200でのPPTP設定

2013/08/12 17:52

こんにちは。 YAMAHAのRTX-1200のPPTP設定について質問します。 RTX1200のルータを　拠点1、拠点2に設置しipsecで通信し外部からからPPTPにて接続ができるよう設定しました。しかし拠点1、拠点2間はipsecVPN接続は出来ておりますが、外部(WINDOWS7)からPPTP　の接続が出来ない状態です。ログを見ると 2013/08/12 17:33:36: PP[01] Rejected at NAT(1000): TCP AAA.AAA.AAA.AAA:55467 > BBB.BBB.BBB.BBB:1723 nat の設定間違いだと思うのですがアドバイスをお願いします ip route default gateway pp 1 ip route 192.168.114.0/24 gateway tunnel 1 ip filter source-route on ip filter directed-broadcast on ip lan1 address 192.168.200.5/24 pp select 1 description pp PRV/PPPoE/0: pp keepalive interval 30 retry-interval=30 count=12 pp always-on on pppoe use lan2 pppoe auto connect off pppoe auto disconnect off pp auth accept pap chap pp auth myname ***** ***** ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp mtu 1454 ip pp nat descriptor 1000 pp enable 1 pp select anonymous pp bind tunnel3-tunnel4 pp auth request mschap-v2 pp auth username user1 user1 ppp ipcp ipaddress on ppp ccp type mppe-any ip pp remote address pool 192.168.200.100-192.168.200.105 pptp service type server pp enable anonymous tunnel select 1 ipsec tunnel 101 ipsec sa policy 101 1 esp 3des-cbc sha-hmac ipsec ike keepalive use 1 on ipsec ike local address 1 192.168.200.5 ipsec ike nat-traversal 1 on ipsec ike pre-shared-key 1 text password ipsec ike remote address 1 ***.***.***.*** tunnel enable 1 tunnel select 3 tunnel encapsulation pptp tunnel enable 3 tunnel select 4 tunnel encapsulation pptp tunnel enable 4 nat descriptor log on nat descriptor type 1 masquerade nat descriptor masquerade static 1 1 192.168.200.5 udp 500 nat descriptor masquerade static 1 2 192.168.200.5 tcp 1723 nat descriptor masquerade static 1 3 192.168.200.5 udp 4500 nat descriptor masquerade static 1 4 192.168.200.5 esp nat descriptor masquerade static 1 5 192.168.200.5 gre nat descriptor type 1000 masquerade ipsec auto refresh on syslog notice on syslog debug on dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.200.150-192.168.200.230/24 dhcp scope bind 1 192.168.200.150 dns server pp 1 dns server select 500001 pp 1 any . restrict pp 1 pptp service on #

okun0130jp
お礼率0% (0/3)

ネットワーク
回答数2
ありがとう数1

みんなの回答 （2）
専門家の回答

みんなの回答

nnori7142
ベストアンサー率60% (755/1249)

2013/08/12 19:51 回答No.2

　先ほどの補足ですが、PPTP-VPN自体はソフトウェア制御でのVPNを行っており、レスポンス上限が1Mbps以下となっている点、PPTPアクセスのセキュリティ問題の漏洩の危険性がありますので、RTX1200でしたらL2TP-VPNアクセスをお奨めします。　先述のルーターのNATエントリ設定が間違っている状態で、IPSEC-VPN出来ていましたか？間違った静的IPマスカレード変換でのVPN接続は出来なかったと想定されますが・・・。　L2TP-VPN設定に変更される場合には、「tunnel select 3」を　tunnel encapsulation l2tp 　 ipsec tunnel 101 　 ipsec sa policy 101 1 esp aes-cbc sha-hmac 　ipsec ike keepalive use 1 off 　 ipsec ike local address 1 192.168.200.5 　 ipsec ike nat-traversal 1 on 　 ipsec ike pre-shared-key 1 text (暗号化キー）　ipsec ike remote address 1 any 　 l2tp tunnel disconnect time 600 　 l2tp keepalive use on 10 3 　l2tp keepalive log on 　l2tp syslog on 　 ip tunnel tcp mss limit auto 　 tunnel enable 3 　上記の設定に変更→「ipsec transport 1 101 udp 1701」及び「l2tp service on」を追記して下さい。　tunnel 4も同様にトンネルＮｏを変更して登録です。

ログインすると、全ての回答が全文表示されます。

nnori7142
ベストアンサー率60% (755/1249)

2013/08/12 19:26 回答No.1

　お尋ねの件ですが、「pp select 1」→「pppoe auto connect off」は不要かと存じます。　それと、「ip pp nat descriptor 1000」のＮＡＴエントリ設定をしているのに、「nat descriptor type 1 masquerade」は間違いですよ。正式には、「nat descriptor type 1000 nat-masquerade」と、追記で、「nat descriptor timer 1000 600」、「nat descriptor timer 1000 tcpfin 30」、「nat descriptor timer 1000 protocol=udp port=domain 30」、「nat descriptor address outer 1000 ipcp」、「nat descriptor address inner 1000 auto」を設定してみて下さい。　当然ですが、「nat descriptor masquerade static 1000 1 192.168.200.5 udp 500」、「nat descriptor masquerade static 1000 2 192.168.200.5 tcp 1723」、「nat descriptor masquerade static 1000 3 192.168.200.5 udp 4500」、「nat descriptor masquerade static 1000 4 192.168.200.5 esp」、「nat descriptor masquerade static 1000 5 192.168.200.5 gre」と修正して下さい。　更に、tunnel 3とtunnel 4の追記で、「pptp tunnel disconnect time 600」、「pptp keepalive use off」は設定しておいた方が良いかと存じます。

ログインすると、全ての回答が全文表示されます。