こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

締切り済みの質問

VPN接続先の端末にアクセスできない

インターネットに接続をしているYAMAHA RTX1200にVPNの設定を行い、RTX1200に外部からiPadにてL2TP接続を行いました。
VPNに接続はできるのですが、接続先(RTX1200配下)の端末に正常にアクセスすることができません。
現象としてはiPadからpingアプリでpingを打ったところ下記の様に1回のみ応答がありますが、その後はタイムアウトになってしまいます。
最終的にはファイルサーバへアクセスしたいのですが、pingがこの状態でファイルサーバへ接続することもできません。

36 bytes form 192.168.12.xx : icmp_seq=0 ttl=63 time=104 ms
Requet timeout for icmp_seq 1
Requet timeout for icmp_seq 2
・・・

下記リンクにコンフィグファイルを格納致しました。ご指摘いただけないでしょうか。

http://dtbn.jp/aWAOcHE

投稿日時 - 2013-08-10 01:11:56

QNo.8213266

困ってます

このQ&Aは役に立ちましたか?

2人が「このQ&Aが役に立った」と投票しています

回答(3)

ANo.3

 先ほどの補足です。追加コンフィグデータ確認しましたが、トンネルが複数設定されていますね。
 トンネル数に応じたUDP1701トランスポート転送が必要ですので、「ipsec transport 2 102 udp 1701」、「ipsec transport 3 103 udp 1701」は投入して下さい。先ほどは、トンネルが1系統しかありませんでしたよ。
 それと、複数のL2TPクライアント受けされるのでしょうか?
 複数のL2TPクライアントを受付される場合、「pp select anonymous」→「pp bind tunnel1」を「pp bind tunnel1-tunnel3」に変更、pp auth usernameの設定で、追加トンネルも含めて接続ユーザー及びパスワードを3接続分投入して下さい。

投稿日時 - 2013-08-10 18:16:23

ANo.2

 追加補足確認しました。ルーターのファームウェアは最新版にしていますでしょうか?
 それと、契約プロバイダはどちらでしょうか?契約プロバイダにより、ネットワークアクセス制限サービスを適用させている場合もあります。 ※例 ぷらら「ネットバリア・ベーシック」→Webサイトから解除してみて下さい。
 追加障害切り分けの為に、「show status pp 1」、「show nat descriptor address」、「show ip route」をtelnetコンソールから出力し、情報提供願います。
 それと、「show ipsec sa」と、L2TP接続時の「show status pp anonymous」、「show status l2tp」の情報、「show log」にてVPN接続時のログの提供も併せお願いします。
 遠隔側(Ipad)の回線はどちらでしょうか?Ipadの回線がルーターNAT配下である場合ですが、そのルーターのUDP500、espパケット、UDP1701、UDP4500番が解放されているかどうか、解放設定が全てうまく出来ていない場合は、DMZ設定でIpad側に全て転送する設定でも構いません。
 
 

投稿日時 - 2013-08-10 17:36:57

ANo.1

 お尋ねの件ですが、「pp select anonymous」の認証レベルを、chap-papではなくmschapv2に変更出来ますでしょうか?それと、「nat descriptor masquerade static 1000 104 192.168.12.1 udp 1701」の追加、「ipsec transport 2 102 udp 1701」と「ipsec transport 3 103 udp 1701」は不要かと存じます。
 それと、Yamaha系ルーターですと、長時間L2TP-VPN接続していると、接続履歴が残留し、再接続出来ない場合がありますので、「tunnel select 1」→「l2tp tunnel disconnect time off」を「l2tp tunnel disconnect time 600」等の切断タイマー設定はしておいた方が良いですよ。
 それと、Yamaha系ルーターのNATセッションタイマーは初期設定で長い設定が多く、初期設定のままですと、NAT変換周りのトラブルが多少あります。
 「nat descriptor timer 1000 600」、「nat descriptor timer 1000 tcpfin 30」、「nat descriptor timer 1000 protocol=udp port=domain 30」は追記しておいた方が良いかと存じます。
 上記確認後、「ip lan1 secure filter in 100000 100001 100002 100003 100004 100005 100006 100007 100099」は一度削除してお試しできますでしょうか?
 更に、コンフィグデータを確認しましたが、インターネット回線はグローバルIP(固定)でしょうか?
 固定でなければ、NetvolanteDNSサービスの登録設定が必要ですが・・・。
 

投稿日時 - 2013-08-10 10:16:47

補足

早速のご回答ありがとうございます。

ご指摘いただいた箇所を変更しても状況は同じように、1回のみpingが通りその後は接続できませんでした。

グローバルIPは固定でないためNetvolanteDNSも併せて実施致しました。

下記が現在のconfig情報ですが、他にもなにかお気づきの点あればお教えいただけないでしょうか。

http://dtbn.jp/WyXQ4HE

投稿日時 - 2013-08-10 16:15:22