こんにちは。匠技術研究所の谷山です。
PPTPパススルーで一騒動でしたが、ヤマハRT58i、RT57i、NEC IP38X/58i、IP38X/57iでPPTPパススルーを設定する手順を紹介します。
1.Webインターフェイスでログインします。
2.設定画面へ移動
「詳細設定と情報」へ移動
「その他の設定」欄の「ファイアウォール設定」で「設定」へ移動
「ファイアウォールの設定インタフェース」でPP側の「IPv4フィルタ」へ移動
この画面が出ます。
(*)PPTPパススルー設定済みの画面です。初期設定ではフィルタ40番がありません。
3.フィルタの定義
「IPv4 静的IPフィルタの一覧」から「追加」へ移動
このような画面が出ます。以下のとおり設定し「設定の確定」へ移動します。
これでLAN上のPCからPPTPパススルーを使うことができます。
PPTPパススルーで一騒動でしたが、ヤマハRT58i、RT57i、NEC IP38X/58i、IP38X/57iでPPTPパススルーを設定する手順を紹介します。
1.Webインターフェイスでログインします。
2.設定画面へ移動
「詳細設定と情報」へ移動
「その他の設定」欄の「ファイアウォール設定」で「設定」へ移動
「ファイアウォールの設定インタフェース」でPP側の「IPv4フィルタ」へ移動
この画面が出ます。
(*)PPTPパススルー設定済みの画面です。初期設定ではフィルタ40番がありません。
3.フィルタの定義
「IPv4 静的IPフィルタの一覧」から「追加」へ移動
このような画面が出ます。以下のとおり設定し「設定の確定」へ移動します。
これでLAN上のPCからPPTPパススルーを使うことができます。
ファイアウォールの静的フィルタに下記のように設定したところ、
[セキュリティレベル7]の状態で正常に接続する事ができました。
VPNクライアント側 (RT56v)
PP01 PPTPパススルー
[TCP][1723][192.168.0.0/24][出]
[GRE][47][192.168.0.0/24][出][入]
VPNサーバ側 (RTA55i)
PP01 PPTPサーバ
[TCP][1723][192.168.0.0/24][入]
[GRE][47][192.168.0.0/24][出][入]
セキュリティレベルを変更する際は、ファイアウォール機能を適用し直していました。
この際にフィルタの内容がクリアされていることがあり、これに気づきませんでした。
どうも、一人勝手にお騒がせしました。
元記事はPPTPクライアント側の設定です。PPTPサーバーの場合も、同様に通過フィルターを設定する必要があり、かつIPマスカレードの設定が必要です。
セキュリティレベルの設定が高い場合は、動的フィルタが設定されるので、フィルタの動きは変わります。
PPTPサーバーなどVPN設定そのものは、仕事柄有償で承っています。またはセミナーにご参加いただいています。
引き続き、よろしくお願いします。
正常にアクセスできるか実験してみました。
BUFFALO BBR-4MGから正常に接続する事ができます。
しかし、RT56vから接続するとセキュリティレベルにより接続できない場合がありました。
接続側もファイヤーウォールのレベルを低くしないとPPTPサーバに接続できません。
[セキュリティレベル7]→NG
[セキュリティレベル3]→OK
[セキュリティレベル4]以上では、認証中で止まってしまい接続する事ができません。
これはレベルによって、セキュリティポリシーが違うことと、
静的フィルタよりもセキュリティのレベルが優先されることが原因なのでしょうか?
また、元々[セキュリティレベル7]の状態で利用することはできないのでしょうか?
RT58iやRT57iなどで、PPTPサーバまたはPPTPパススルーを使っている方は、
セキュリティレベルはどのようになっているのでしょうか?
ネットボランチのPPTPに関する内容を探していたら、ここに辿り着ました。
ファイヤーウィールを[セキュリティレベル7]に設定した状態で、
[PPTPを使用したリモートアクセスVPNサーバ(Anonymous)]機能を利用したいのですが、
うまく設定することができません。
ファイヤーウィールを[セキュリティレベル3]に設定すると、問題なく接続する事ができます。
しかし、[セキュリティレベル4]以上では、認証中で止まってしまい接続する事ができません。
ファイアウォールの静的フィルタには、
TCPのポート番号1723とGREのプロトコル番号47を登録し、許可しています。
これはネットボランチの仕様なのでしょうか?
また、[セキュリティレベル7]の状態で利用する方法などありましたら、ご教示ください。
よろしくお願いします。
--
NetVolnte RTA55i
FARM 4.06.67
先般、設定をして運用中なので「実績あり」です。
引き続きアクセスの程宜しくお願いします。
ふらっとPPTPについて調べていたところ貴殿の記事を見つけました。
ヤマハルータをPPTPサーバとしつつ、配下のクライアントから外向けのPPTPサーバに接続したい場合、
可能でしょうか?
※現在PPTPサーバ設定が入っており、フィルタ設定してもクライアントからうまく接続できません。
もしご存じでしたらお教えください。
ご指摘の通り、ヤマハルーターの配下のPCがPPTPクライアントとして動作するには、本記事のフィルターの設定、即ちGREの到着の通過だけで可能です。
ヤマハルーターをPPTPサーバーとして使うときは、先のnatの設定を追加しPPTP向けの通信がルーターに着信するように設定します。合わせて到着したPPTP関連パケットが通過するよう、フィルターの調整も行います。GREと、サーバー側の待ち受けポート1723/TCPを通過させます。
即ち、PPTPを使う場合は、接続形態によらずPPTPの通信を必ずルーターに到着するように設定します。
IPsecのことを忘れていました。ルーター配下のPCから複数のIPsecセッションを張るには、IPsecのNATトラバーサル機能をIPsecサーバーとクライアント両方で使う必要があります。NATトラバーサルの必要性を自動検出するクライアントはルーターを終端とするIPsec通信の設定があると通信できないことがあることを経験しています。
仰るとおりPPTPサーバーにしておりますし、そのルーターをパススルーさせてPC(PPTPクライアント)から別のルーターにPPTP接続させております。
PPTPサーバーにさせる必要がないのなら記事の通りフィルタを使えば良くて、PPTPサーバーにさせるのでしたらnatを設定すると言うことですか。
nat descriptor masquerade static 1 1 192.168.1.1 tcp 1723
nat descriptor masquerade static 1 2 192.168.1.1 gre
の設定で192.168.1.1がルーターだとすれば、この設定は「ルーターがPPTPサーバーになるための設定」です。
記事はルーター配下のパソコンなどの「PPTPクライアント」がインターネットを経由してPPTPサーバーに接続するための設定です。
ヤマハルーターは自身がPPTPサーバーにも、PPTPクライアントにもなれますし、ヤマハルーター配下にPPTPサーバーを置くことも、PPTPクライアントを置くこともできます。
先の設定で、ヤマハのルーターはPPTPサーバーとしてお使いですか?
nat descriptor masquerade static 1 1 192.168.1.1 tcp 1723
nat descriptor masquerade static 1 2 192.168.1.1 gre
でpptpパススルーしておりますがどう違うのでしょうか? メリット・デメリットってありますか?
同様にIPsecも通していますが1本しか通らないのが残念です。
PPTPサーバー設定成功の件、何よりです。
大村にはなかなか帰ることができませんね。これから大村城の菖蒲がきれいな時期でしょうか。
引き続き、よろしくお願いします。
OSSではお世話になりました。
宅内ネットワークを知人に貸してたら、pptpサーバ立てたいからルータでせき止めるのやめてくれ、っていわれました。ふらっとこちらにきて、おかげさまでさくっと設定できました:D
でも結局彼はopenvpnとl2tp+ipsecを試すとか意気込んでいました。
大村の友人も今は大村市民に戻ったそうです。