- ベストアンサー
RTX1200でLAN1/LAN3でお互いVPN通信
- RTX1200においてLAN1とLAN3を使用したVPN通信がうまくできません。
- ステータスは正常に表示されているが、pingで通信確認が取れません。
- NATやファイアウォールの設定は確認しましたが、原因が分かりません。
- 100ban
- お礼率42% (53/126)
- その他([技術者向] コンピューター)
- 回答数4
- ありがとう数1
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
>一つ気になるのですが、 >lan1のIPからだと大丈夫なのですが、lan3のIPだからこのようになってしまうのでしょうか? おそらくこういうことだと思います。 ルータコンソールからping、tracerouteを実行した場合、始点IPアドレスとしてLANインターフェースに設定したIPアドレスが使用されるが、これがLAN1のIPアドレス(192.168.48.10)となる。 自拠点→拠点1は、192.168.48.10 から 192.168.28.10への通信なので問題無く通信できる。 自拠点→拠点2は、192.168.48.10 から 172.31.28.10への通信となるが、拠点2のルータには192.168.48.0/24を自拠点に向けるルーティングが無いので通信が成立しない。 ソースIPアドレスを-saで指定すると、172.31.48.10 から 172.31.28.10 となるため通信できる。 -saを使わない場合にLAN1のIPアドレスになるのは、おそらくそういう仕様なんでしょう。 >っていうことはPC端末からであれば通信確立そうです。 私もそう思います。
その他の回答 (3)
- maesen
- ベストアンサー率81% (646/790)
>traceroute 172.31.28.10 >1 * * * >2 * * * >3 * * * なるほど。 ルータのコンソールからコマンドを打っているということですよね。 一番近いゲートウェイにもたどりついていないですね。 traceroute 172.31.28.10 -sa 172.31.48.10 このコマンドではどうでしょうか。 pingも同じで、 ping 172.31.28.10 -sa 172.31.48.10 -saオプションはファームウェアのバージョンに注意です。(RTX1200 Rev.10.01.16以降) -saオプションが使えない場合は自拠点のLAN3にPCを接続してテストしないと判断が付かないです。 >172.31.28.0 → 172.31.48.0 までは通信○です。 pingなど通信は双方向なのでこれがOKならばトンネルは問題無いと思われます。 上記のコマンドでOKならば単純に始点IPアドレスの問題でコンフィグ的にはOKです。 ※今回の環境では始点となるネットワークが2つあるので。 違っていたらごめんなさいです。
補足
ありがとうございます。 -sa のオプションつけると通信が確認できます。 っていうことはPC端末からであれば通信確立そうです。 一つ気になるのですが、 lan1のIPからだと大丈夫なのですが、lan3のIPだからこのようになってしまうのでしょうか?
- maesen
- ベストアンサー率81% (646/790)
>コンフィグを見る限り、拠点2側つまりpp2にはNATを使用していないと思いますがどうしてそう思ったのでしょうか? >pp1/pp2に natも追加しました。 私の言い方が悪かったかもしれませんが、NATの設定が無いのが問題では無く、 原因はNATでは無いですよということが言いたかったのですが。 >pp2 → ip pp nat descriptor 2 pp2はipipトンネルだけが通れば良いのでこれは必要ない。 NATでIPアドレスを偽装する必要は質問を見る限りでは無いと思われます。 >nat descriptor type 2 masquerade >nat descriptor address outer 2 ipcp >nat descriptor address inner 2 172.31.48.1-172.31.48.254 同様にこれも必要ない。 NATの設定が無いと拠点2にpingが通らないのならば、他の何かがおかしい。 >拠点1 → 自拠点(lan3/172.31.48.10)○ 通信可能 >自拠点 → 拠点1(172.31.28.10) × 通信不可 たぶん拠点2の間違いですよね。 おかしなNATの設定があるので何とも言えませんが、pingが返るかは172.31.28.10によります。 なお、ルートの確認をする場合は pingではなく tracertを使用したほうがどこまで通信が出来てどこでNGかが分かりやすいです。 >nat descriptor address outer 1 ipcp >nat descriptor address inner 1 auto 余談ですが、この設定はデフォルトと同じなので、設定的には追加前と同じになります。
補足
本当にご指摘、ありがとうございます。 上記のとおりNATも書き直しました。 172.31.28.0 → 172.31.48.0 までは通信○です。 なのですが172.31.48.0 → 172.31.28.0 だけがxなんです。 トレースしかけても下記の通りです、 traceroute 172.31.28.10 1 * * * 2 * * * 3 * * * ・・・・ tunnel status でも 正常につながってますと・・ なんでxなのか さっぱりで・・
- maesen
- ベストアンサー率81% (646/790)
>NATの関係なのか うまく通信できてません。 コンフィグを見る限り、拠点2側つまりpp2にはNATを使用していないと思いますがどうしてそう思ったのでしょうか? >ip pp address 10.20.13.1/32(自拠点IP/NTT-VPNワイドサービス) >tunnel endpoint address 10.10.44.1 10.10.1.1(拠点2向け) これを見ると、pp2に設定しているIPアドレスと、トンネルのローカル側のIPアドレスが一致していませんが、記載のミスでしょうかそれともこのように設定しているのでしょうか? また、トンネルインターフェースのステータス正常とは何を見た結果でしょうか? show status tunnel 2 とかでしょうか。 ローカル側の設定が問題なさそうならば、リモート側の確認が必要ですね。
補足
大変失礼しました。 >ip pp address 10.20.13.1 → が間違っていました・・。 10.10.44.1 に変更しました。 show status tunnel 2 → 正常に接続されていますと表示されていたものですから・・。すみません・ pp1/pp2に natも追加しました。 pp2 → ip pp nat descriptor 2 nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor address inner 1 auto nat descriptor type 2 masquerade nat descriptor address outer 2 ipcp nat descriptor address inner 2 172.31.48.1-172.31.48.254 を追加したところ 拠点2のPCから自拠点ルータまでpingが可能になりました。 なのですが、中途半端にpingが△です。 拠点1 → 自拠点(lan3/172.31.48.10)○ 通信可能 自拠点 → 拠点1(172.31.28.10) × 通信不可 大変恐縮なのですが。お願いします。
お礼
本当ご丁寧にありがとうございます。 拠点PCからも通信が無事確認できました。 始点IPの問題と解決できてホットしました。 いつもありがとうございました。 たぶんまた質問すると思いますが・・またよろしくお願いします。