- 締切済み
RTXでNAT変換がトンネルVPNに適用できない
1拠点にてRTX1200を2台LAN3どうしで繋いでいます。(ルータ1はネットボランチVPN(ipsec)で本部と接続しています) ルータ1←→(LAN3)←→ルータ2 LAN2 → pppoe LAN1 → パソコン端末 ルータ1(LAN1):172.31.90.0/24 ルータ2(LAN2):192.168.90.0/24 ルータ2の配下に 192.168.90.254 のネットカメラをセットしました。 この状態で 本部から 172.31.90.41 と 入力することで 繋がるようにしたいのです。(他拠点も全部172.31.・・なんで全部統一したいとの要望・・・) 静的NATの変換で可能かと考え下記の設定をしてみましたがうまくいきません。 現在ではルータ1からのnat変換は出来ています。 ルータ1から172.31.90.41でウェブカメラは監視できているのですが。 本部からだとpingが通らない現状なのです。 末筆で恐縮ですが、おわかりの方 ご教授お願いします。 ルータ1のコンフィグです。 ip route default gateway pp 1 ip route 本部 gateway tunnel 1 ip route 192.168.90.0/24 gateway ルータ2 ip lan1 address 172.31.90.10/24 ip lan1 nat descriptor 2 ip lan3 address ルータ2 pp select 1 ip pp nat descriptor 1 2 pp enable 1 tunnel select 1 ipsec tunnel 1 ip tunnel nat descriptor 2 tunnel enable 1 nat descriptor type 1 nat-masquerade nat descriptor address outer 1 ipcp nat descriptor address inner 1 172.31.90.1-172.31.90.255 nat descriptor masquerade static 1 1 172.31.90.10 udp 500 nat descriptor masquerade static 1 2 172.31.90.10 esp nat descriptor type 2 nat nat descriptor address outer 2 172.31.90.41 nat descriptor address inner 2 192.168.90.254 nat descriptor masquerade static 2 1 192.168.90.254 tcp www
- みんなの回答 (4)
- 専門家の回答
みんなの回答
- hirasaku
- ベストアンサー率65% (106/163)
こんにちは。hirasaku です。 解決しましたか? で、ちょっと物理的な結線がわからないのですが・・・ ルータ2のLAN2ポートとルータ1のLAN3ポートにケーブル挿しているんですかね? では、カメラはどこに挿しているのでしょうか? ルータ2のLAN1ポートですか? 投稿されている超簡単な図だとそう見えるのですが・・・ となると、ルータ2をつないでる意味ないと思いますけど。 私ならですけど、 ルータ2のLAN2ポートとルータ1のLAN1ポートに接続。 NATをかますのはルータ2のLAN2インターフェースで、 例えば、ルータ2のConfigは ip lan2 address 172.31.90.41/32 ip lan2 nat descriptor 1 ip lan1 address 192.168.90.1/24 nat descriptor type 1 nat nat descriptor address outer 1 172.31.90.41 nat descriptor address inner 1 192.168.90.1-192.168.90.254 nat descriptor static 1 1 172.31.90.41=192.168.90.254 1 ip route default gateway 172.31.90.10 なんて、設定しますけど。 ルータ1は単純なインターネット接続設定とIPSecトンネル設定だけでOKかと。 追加した余計なNAT設定は削除したほうがいいですよ。 トラベーサル設定もいりません。 本部側も192.168.90.0/24 のルーティングがいりません。 カメラに接続するのは、172.31.90.41 でするんですよね? どうでしょう。 では。
- nnori7142
- ベストアンサー率60% (755/1249)
先ほどお伝え忘れましたが、NATトラバーサル設定でのIPSEC-VPNですと、espパケット形式でのトンネル認証しませんので、「nat descriptor masquerade static 1 2 172.31.90.10 esp」は不要です。 代わりに、先刻のUDP4500番の透過コマンドがNATトラバーサル・VPN設定として必要です。 当然ですが、本部ルーターの方にも上記設定が必要です。本部とルーター1のIPSECトンネルは、ルーター2からみて複数NATを通過しているイメージとなりますので・・・。
- nnori7142
- ベストアンサー率60% (755/1249)
そうですか。気になった点ですが、「ip lan1 proxyarp on」といった、ProxyARP代理応答設定は投入してありますでしょうか? それと、本部側に経路情報を通知する設定投入で如何でしょうか? ルーター2の設定で、「ip tunnel rip send on version 2」、「ip tunnel ospf area backbone」の投入、「rip use on」、「ospf use on」、「ospf area backbone」などの経路情報通知コマンドを投入しても変わらないかどうか、同様に、ルーター1にもトンネルに経路情報通知コマンドを投入してみては如何でしょうか? 更に、気になった点ですが、IPSEC条件的に、「ip tunnel nat descriptor 2」といった、トンネル内にNATを効かせるのはおかしいです。(個人的は話ですが) 本部側のアクセス端末は、NAT配下となりますので、当然、ネットワークカメラもNAT配下として動作しておりますので、ケースによりNATトラバーサル設定がトンネル設定に追加で必要かもしれません。 先ずはお試しで、本部とルーター1に「ipsec ike nat-traversal 1 on」といったコマンドをトンネル設定に追加できますでしょうか?当然、NATトラバーサル用のパススルー設定がそれぞれのルーターで必要です。 例として、「nat descriptor masquerade static 1 3 192.168.90.10 udp 4500」等。
- nnori7142
- ベストアンサー率60% (755/1249)
この間のLAN3インターフェイス同士のネットワークカメラ・NAT変換の相談の方ですか? この間の設定は参考になりませんですか? 「nat descriptor address inner 2 192.168.90.254」→「nat descriptor address inner 2 172.31.90.41 192.168.90.254」と変更してみていただけますか? 基本的に、NAT変換のIPマスカレード・コマンドの基本概念として、Yamahaルーターである場合、WAN側アドレス(1個)をプライベートアドレス指定での共用する場合、「nat descriptor address inner」コマンドの方へ、共用するWAN側アドレスを指定、プライベートアドレスの指定をしなければいけません。 それと、「nat descriptor type 2 nat」ですが、これだと、IPアドレス/ポート別のNAT変換が効かない場合があります。よって、「nat descriptor type 2 nat-masquerade」と変更してみて頂けますでしょうか? 「nat descriptor type 2 nat」ですと、ポート別の変換ではなく、外向きアドレスと内向きアドレスをバインドさせる必要があるかと存じます。 例として、「nat descriptor static 2 1 172.31.90.41=192.168.90.254 1」といった形式になるかと存じます。
補足
前回も詳細な説明有難うございます。前回も質問させていただきましたが、pingの通信だけみて、ぬか喜びをしてしまった件になります・・orz.. ■ご指摘ありがとうございます。 nat descriptor address inner 2 172.31.90.41 192.168.90.254 に修正しました。 ■ nat descriptor type 2 nat-masquerade」と変更すると一見繋がるようにみえるのですが、webカメラを外してもpingが通信してしまいます。(実際にはつながってなくても通信を返します。)結果センターからwebカメラを見ることができません。ルータ1・2間では正常に動作します。 ■試しに nat descriptor type 2 nat nat descriptor static 2 1 72.31.90.41=192.168.90.254 1 だと ルータ1/2間は正常な結果がでるのですが。 センターから webカメラを見ることができません・ ■トンネルを通過すると駄目のようで・・ nat descriptor type 2 を LAN1 tunnel 1 に適用していますが lan1=○ tunnel 1=× になってしまいます。 トンネルとNATの関係がうまくいかないのです・・ 大変恐縮ですが、再度ご指摘いただけると幸いです。