- 締切済み
RTX-1200でのPPTP設定
こんにちは。 YAMAHAのRTX-1200のPPTP設定について質問します。 RTX1200のルータを 拠点1、拠点2に設置しipsecで通信し 外部からからPPTPにて接続ができるよう設定しました。 しかし拠点1、拠点2間はipsecVPN接続は出来ておりますが、 外部(WINDOWS7)からPPTP の接続が出来ない状態です。 ログを見ると 2013/08/12 17:33:36: PP[01] Rejected at NAT(1000): TCP AAA.AAA.AAA.AAA:55467 > BBB.BBB.BBB.BBB:1723 nat の設定間違いだと思うのですが アドバイスをお願いします ip route default gateway pp 1 ip route 192.168.114.0/24 gateway tunnel 1 ip filter source-route on ip filter directed-broadcast on ip lan1 address 192.168.200.5/24 pp select 1 description pp PRV/PPPoE/0: pp keepalive interval 30 retry-interval=30 count=12 pp always-on on pppoe use lan2 pppoe auto connect off pppoe auto disconnect off pp auth accept pap chap pp auth myname ***** ***** ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp mtu 1454 ip pp nat descriptor 1000 pp enable 1 pp select anonymous pp bind tunnel3-tunnel4 pp auth request mschap-v2 pp auth username user1 user1 ppp ipcp ipaddress on ppp ccp type mppe-any ip pp remote address pool 192.168.200.100-192.168.200.105 pptp service type server pp enable anonymous tunnel select 1 ipsec tunnel 101 ipsec sa policy 101 1 esp 3des-cbc sha-hmac ipsec ike keepalive use 1 on ipsec ike local address 1 192.168.200.5 ipsec ike nat-traversal 1 on ipsec ike pre-shared-key 1 text password ipsec ike remote address 1 ***.***.***.*** tunnel enable 1 tunnel select 3 tunnel encapsulation pptp tunnel enable 3 tunnel select 4 tunnel encapsulation pptp tunnel enable 4 nat descriptor log on nat descriptor type 1 masquerade nat descriptor masquerade static 1 1 192.168.200.5 udp 500 nat descriptor masquerade static 1 2 192.168.200.5 tcp 1723 nat descriptor masquerade static 1 3 192.168.200.5 udp 4500 nat descriptor masquerade static 1 4 192.168.200.5 esp nat descriptor masquerade static 1 5 192.168.200.5 gre nat descriptor type 1000 masquerade ipsec auto refresh on syslog notice on syslog debug on dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.200.150-192.168.200.230/24 dhcp scope bind 1 192.168.200.150 dns server pp 1 dns server select 500001 pp 1 any . restrict pp 1 pptp service on #
- okun0130jp
- お礼率0% (0/3)
- ネットワーク
- 回答数2
- ありがとう数1
- みんなの回答 (2)
- 専門家の回答
みんなの回答
- nnori7142
- ベストアンサー率60% (755/1249)
先ほどの補足ですが、PPTP-VPN自体はソフトウェア制御でのVPNを行っており、レスポンス上限が1Mbps以下となっている点、PPTPアクセスのセキュリティ問題の漏洩の危険性がありますので、RTX1200でしたらL2TP-VPNアクセスをお奨めします。 先述のルーターのNATエントリ設定が間違っている状態で、IPSEC-VPN出来ていましたか?間違った静的IPマスカレード変換でのVPN接続は出来なかったと想定されますが・・・。 L2TP-VPN設定に変更される場合には、「tunnel select 3」を tunnel encapsulation l2tp ipsec tunnel 101 ipsec sa policy 101 1 esp aes-cbc sha-hmac ipsec ike keepalive use 1 off ipsec ike local address 1 192.168.200.5 ipsec ike nat-traversal 1 on ipsec ike pre-shared-key 1 text (暗号化キー) ipsec ike remote address 1 any l2tp tunnel disconnect time 600 l2tp keepalive use on 10 3 l2tp keepalive log on l2tp syslog on ip tunnel tcp mss limit auto tunnel enable 3 上記の設定に変更→「ipsec transport 1 101 udp 1701」及び「l2tp service on」を追記して下さい。 tunnel 4も同様にトンネルNoを変更して登録です。
- nnori7142
- ベストアンサー率60% (755/1249)
お尋ねの件ですが、「pp select 1」→「pppoe auto connect off」は不要かと存じます。 それと、「ip pp nat descriptor 1000」のNATエントリ設定をしているのに、「nat descriptor type 1 masquerade」は間違いですよ。正式には、「nat descriptor type 1000 nat-masquerade」と、追記で、「nat descriptor timer 1000 600」、「nat descriptor timer 1000 tcpfin 30」、「nat descriptor timer 1000 protocol=udp port=domain 30」、「nat descriptor address outer 1000 ipcp」、「nat descriptor address inner 1000 auto」を設定してみて下さい。 当然ですが、「nat descriptor masquerade static 1000 1 192.168.200.5 udp 500」、「nat descriptor masquerade static 1000 2 192.168.200.5 tcp 1723」、「nat descriptor masquerade static 1000 3 192.168.200.5 udp 4500」、「nat descriptor masquerade static 1000 4 192.168.200.5 esp」、「nat descriptor masquerade static 1000 5 192.168.200.5 gre」と修正して下さい。 更に、tunnel 3とtunnel 4の追記で、「pptp tunnel disconnect time 600」、「pptp keepalive use off」は設定しておいた方が良いかと存じます。
