自宅VPN:L2TP/IPsecパススルーは自分でポートマッピング設定できますか?
- データ通信
- iPhone 5c au
- mineo(au)
mineoAプランで、PPTPでのVPN接続が出来ないという問題が、5月頃から発生しており、直る見込みも無い様子です。
https://king.mineo.jp/question-answer/データ通信/音声通話 その他/3881
今迄、自宅LANの無線LANブロードバンドルーターに、PPTPでVPN接続していましたが、繋がらなくなったので、L2TP/IPsecのVPNを自宅に構築する事にしました。
L2TP対応の無線LANルーターに買い替えると何万円もするので、中古のVPNサーバーを格安の千円ちょっとで購入しました。(まだ届いていません)
機種は次のとおりです。
・注文中のVPNサーバー:YAMAHA RT107e
・既存の無線LANブロードバンドルーター:BUFFALO WHR-300HP
そこで質問したいのは、このVPNルーターを、既存の無線LANルーターの中(LAN側)に置くか、外(WAN側)に置くか、という問題です。
既存の無線LANルーターには、L2TP/IPsecパススルー機能がありません。
その為、内側には置けないと思って、外側にVPNサーバーを置く、上図のような構成を考えていました。
既存の無線LANルーターのルーター機能はオフにし、有線と無線をブリッジするだけにしようと思っていました。(二重ルーターにはしない)
ところが、どうやら、無線LANルーターの「IPフィルター」機能で、L2TP/IPsecパススルーを自分で設定できるのではないかと思い始めたのですが、どうでしょうか?
そうすると、無線LANルーターの内側にVPNを置けるのではないかと。
「IPフィルター」機能って、IPマスカレードとかポートマッピングとか言われているのと同じ事なんでしょうか??
具体的には、
・方向:INTERNET→LAN
・動作:通過
・送信元:ALL 宛先:192.168.1.xx(VPNサーバー)
・UDP 500(IPSec)
・UDP 1701(L2TP)
・UDP 4500(NATトラバーサル)
・esp (プロトコル番号 50)
この設定で、無線LANルーターの内側にVPNサーバーを設置しても行けるような気がするのですが、合っているでしょうか?
VPNサーバーが届いた後で試してみればわかるのですが、色々調べて考えるのが楽しくて。
おわかりになる方がいらっしゃいましたら、よろしくお願いします。
無線親機のルーター機能をOFFにすると、無線親機のIPアドレスが「192.168.11.100」に変更されます。
また、以下の機能が無効になりますのでご注意ください。
・ DHCPサーバー(IPアドレス自動割当)機能
・ 静的IPマスカレード(アドレス変換)機能
…
とありますが,無線LANルーターを外に置いてご希望の機能を使う場合,ルーター機能はオンにすることになるようです。この時内側のVPNサーバーのルーター機能はどうされますか?
横道逸れ失礼m(__)m
- 2
ベルりん
iPhone 12 mini(mineo(docomo))
参考になるかと。。。。
- 5
回答ありがとうございます。
ヘアピンNAT?うーんにわかには理解できないので、ちょっと調べてからお返事しますー。
Proxy arpは、VPNが外側でも内側でも、常にONにしています。
意味はわかってないのですが、L2TPのコンフィグサンプルに書かれていたので、入れています。
http://www.rtpro.yamaha.co.jp/RT/docs/l2tp_ipsec/
http://jp.yamaha.com/products/network/solution/setup_rtx1200/
YAMAHA VPNを内側に入れて、既存のLANと同じセグメントにする場合は、VPNクライアントのゲートウェイは、外側のルーター(バッファロー)になるんでしょうか?
YAMAHAになるんでしょうか?
バッファローにするとVPN接続が出来ませんでした。
私の設定がおかしいのかも?
CONFIGここにさらして見て頂いて良いのでしょうか??
パスワードとかは隠しますが。
まずは、ヘアピンNAT調べてみます。
- 57
ヘアピンNAT、検索して意味がわかりましたー!
そういう事ですかー。自宅WiFi端末からVPN接続できなかった理由が、やっと理解できました。
ファイアーウォールの設定を色々変えても解決せず、「ま、いっか」と諦めていましたが、原因がわかってスッキリしました!
些細な疑問でも書いてみるものですね。世の中には賢い人がいるものだ。
VPN内側でVPNクライアントを同じセグメントに入れる方法は、、、もうちょっと気力が湧いて来たら、またやってみます。とりあえず今はVPNもLANも安定稼働しているので、触るのが億劫になってしまいました。
設定を触り過ぎたせいか、無線LANルーターの方が不安定になってしまって、何度も初期化して疲れました。
VPNクライアントを、WAN側と同じセグメントのアドレスにすると、VPN接続した後、インターネットにも、WAN側ポートの既存LANにも繋がらなかったんですよねえ。
これも外側の無線LANルーターの問題だったりして??
ちなみにVPNのLANポートに有線接続したPCも、既存LANと同じセグメントにすると、WAN側に一切繋がらなくなってしまいました。
VPNクライアントのゲートウェイは、YAMAHA VPNのアドレスにして実験しました。
VPNクライアントのゲートウェイを、外側の無線LANルーターにすると、VPN接続自体が失敗しました。
設定ミスだったのかなあ。
気が向いたら、また内側に設定して試してみます。
ちなみに今日は、VPNサーバーを外側に出す構成にしています。その方が既存LANの速度が少し速く、通信も安定している気がします。
- 58
ベストアンサー獲得数 5 件
実際にそのような構成を組んだことがあります。(私の場合は上位も下位もYAMAHA)
BUFFALOルーターの詳細な挙動は分かりませんが、”IPフィルター”機能でで出来そうに思えますが、出来なければDMZ機能のアドレスにVPNサーバを受けるようにすれば可能でしょう。
なお、RT107eは旧世代品のため速度はそれほど出ないと思います。
なお、この機種でL2TP機能が安定して動作するかについては実経験上ちょっと疑問符が付きます。(設定は間違っていないのに突然切れることがあるかもしれません)
この機種の場合、発売当初からL2TPをサポートしていたわけではなく、後継機種の開発過程で得られたコードの一部をバックポートしてL2TPをサポートしたらしき経緯があります。
その後、この機種のファームウェア提供が事実上セキュリティフィックスのみとなったため、L2TPについては微妙な完成度になっているのは拭えません。(お試しL2TPサーバーとしてはGoodな値段だと思います)
- 15
YAMAHAのルーターが届く前に、自宅にあった「BUFFALO WZR-D1100H」というルーターで、ルータの内側にVPNを置くテストをしてみました。
PPTP機能しかないので、PPTPで試してみたのですが出来ました!
親のルーターに、下記の両方設定しないとダメでした。
・DMZで、VPNサーバーのアドレスを設定する
・IPフィルターで、PPTP(TCP1723)をVPNサーバーに渡す
・IPフィルターで、GRE(47)をVPNサーバーに渡す
そうこうしている内に、YAMAHAルーターが届きましたー!本物で試してみます!
- 25
ベストアンサー獲得数 115 件
ZenFone 3 SIMフリー(mineo(docomo))
まずいえることは、YAHAMAのルーターはカタログ通りです(どこかの車メーカーのように誤魔化しはありません)
業務向け機器と比べバッファローなどコンシューマ向け機器は、カタログ通りの速度はでません。
このような場合、基本のGATEWAYはRT107で無線機器はブリッジとして利用するのが正解です。
YAMAHAの場合YAMAHAのDDNSサービスが利用できるのとおそらくLAN1,LAN2の設定ができるのでL2接続でOpenVPNサーバーを立ち上げる方法がよいです。
仕事では、この方法で運用しています。
自宅は残念ながら光回線レンタルのルーターなのでsoftetherでL3接続にてVPNを構築しております。
VPNは接続できていますよ。
このあたりは、キャリアとかmineoだからとかの問題があるとは考えにくいはずです。
Andriod標準のPPTPは、使い勝手がわるいのでAndriodもOpenVPNクライアントを利用しています。
わたしなら、3階、1階はPLCで接続しますね
YAMAHAのConfigは、それなりに知識が必要です。
テキストですべてConfigを記述して行く方が、安全で細かい制御が可能です。
- 28
ZenFone 3 SIMフリー(mineo(docomo))
OpenVPNはSSLで使用できますよ
YamahaのDDNSは、20年近く使用していますが、今までダウンしたのは1回か2回
mineoの障害よりはるかに少ないです(笑)
CISCOでもYamahaでもConfigを書くには、それなりの知識が必要です。
マニュアルのコマンド記載には、全て書いてありませんよ
それで、商売している人が儲からないからです(笑)
公開されている記述とconfigマニュアルを理解しながら自分で書いていくとある程度できるようになります。
RTX1000やNVR500のようにWebでConfigが作成されますが、最終的には、Telnetで修正、追記を行います。
filterは、充分強固にしておいたほうが無難です。
昔は、対抗ルーター設定で¥100,000が相場でした。
今は、どうなのかな?
SoftetherをOpenVPNクライアントで使用する場合、L2とL3接続用Configが作成されます。
L2の場合 TAP L3の場合TUNでの接続となります。
TAPのAndriod版は有料ですが、テストのため購入しました。
実際に使用し動作OKを確認しました。
L2の場合、基本的には、VPN側のIPレンジと社内のIPレンジを分離します。社内には、必要な機器のみroute情報を追加するかPCのルートアクセスを利用します。
こうしておくとそこから外部に出る場合、どうにでも設定でコントロールできます。
L3の場合は同一レンジしかできないので、razikoを聞く場合自宅にある地域のラジオが聞けますが、LaLaCallは着信するが通話できなくなります。
おそらくL2の場合はLaLaCallは、通話できると思います。
わたくしはAプランで利用しています。
無線で使用していましたが、ダウンロードなどは、PLCで有線で行った方が速いので今は、PLCで使用しています。
- 43
そうなんですね。OpenVPNはSSLで使用できるんですね。
それは、ファイアーウォールの穴開けが不要?もしくは簡単で良いですね。
YAMAHAのDDNS使ってみましたが良さそうです。
filterは、かんたん設定画面から、勝手にそこそこの強度に設定してくれました。楽で良いです。
業務用のVPNサーバーは、今でも物凄く高いですね。中古とは言えピカピカで、千円台で買えて良かったです。
L2とL3というのは、ネットワークのレンジが一緒か別かという話だったんですねー。
調べたら、「TAPはブリッジ生成に使われ、TUNはルーティングに使われる」と書かれていました。
L3(ブリッジ?)だとLaLaCallが通話出来ないんですか?なぜでしょうね~
PLCってあまり流行らなかったような気がしていたのですが、調べると結構速度出そうで良さそうですね。モデム?が高そうですけど。有線LANを配線する事を思うとましなんですかね。
- 46
Galaxy S9 SC-02K docomo(docomo)
http://www.rtpro.yamaha.co.jp/RT/docs/l2tp_ipsec/index.html
対応機種に、RT107eがあり、Rev.8.03.92 以降であれば機能的に可能ですが、おそらくかなり敷居が高いと思います。(私の環境でもほぼ同じことができるはずですが時間がなくてやっていません)
また、RT107eの性能は今となってはかなり低く、ルータとして使うと、20Mbpsくらいしか出ないので、光回線でつかうにはちょっと力不足です。ただし、業務用なだけあって、機能や安定性はBuffaloより格段に良いと思います。
もしチャレンジしてみるのであれば、まずは、RT107eはインターネットに接続する親ルータにするのが良いと思います。
それでうまくいったら、RT107eを内側にしてNATトラバーサルにチャレンジしてみたほうが良いと思いますが、個人的にはうまくいく確率は低いような気がします。
あと、現在のPPTPですが、DDNSは何を使っているのでしょうか?もし、RT107eを使ってみるのであれば、RT107eでYAMAHAの無料のDDNSを使えるので、Baffaloの有料DDNSを使う必要はありません。
解決策になっておらず情報だけですが、とりあえずご参考まで。
- 31
今日、YAMAHAのルーターの設定をしてみています。
まずは、既存のルーターの外側に出した構成でやってみています。
かんたん画面から設定できる部分の、ルーター機能等は無事動いていて、家庭内で無線で通信できています。
ただ、コマンドで設定するL2TP/IPSecの設定が効いていないようで、苦戦しています。
そこでつまづいて止まってしまっています。
そもそもコマンドの入力の仕方が間違っているのか、VPN機能だけでなく、DHCPの細かい設定も、コマンド入力した設定が反映していないようです。
Webの簡単画面からコマンドを叩いているからダメなのかなあ。
後から、telnetやFTPなどでもコマンド設定してみます。
- 34
mineo Aプランから、自宅LANに入れました!わーい。
IPマスカレードの設定が反映していなかったようで、一旦WAN側の回線切断して、「設定の確定」を押したら、繋がりました。
設定の仕方がわかったので、後から、LANの内側にVPNを入れてみる実験をしてみます。
同じセグメントにしたり、別セグメントにしたり、試してみます。
それで速度比較してみます。
上手く行ったら、王国広場で別スレ立てて報告するかもー。2千円未満でL2TP/IPSec実現は、なかなかのものじゃないでしょうか?
自画自賛(笑)
- 40
iPhone 5s au(mineo(au)) ベストアンサー獲得数 5 件
オメデトウゴザイマス…で良いのかな?
- 41
既存のバッファローの無線LANルーターよりも内側に、VPNサーバーを設置する構成です。
この質問スレの答えは、「フィルター機能」設定ではNGで、「ポート変換」という機能が正解でした!
「ポート変換」機能で、L2TP/IPSecのポートをマッピングすると、VPNパススルーが出来ました!
「フィルター」機能は、ただのファイアーウォール機能でした。
フィルター設定しても、これらをVPNの宛先に向けてNAT変換してくれる訳ではありませんでした。
「ポート変換」機能が、YAMAHAで言うIPマスカレード設定で、こちらが正解でした!
LANの内側にVPN設置が出来ましたよーというご報告でした。
- 44
VPNの下の端末は、VPNのルーター機能を介して、既存のLANにアクセスしています。
これを、既存のLANと同じセグメントに入れる構成を、次に試してみようと思っています。
が、よくわからず試行錯誤しています。
WAN側をLAN2、LAN側をLAN1として設定できるようですが、同じセグメントの番号を振っても、ハブのように内外の通信の行き来が出来なさそうなんです。
ブリッジとして動くようにする設定がよくわからず…
もう少し調べて色々試してみます。
- 45
SotEtherでの仮想HUBみたいに出来たらよいのになあと思ったのですが…
WAN側と同じセグメントIPアドレスをVPNクライアントに振ると、WAN側(既存LAN)に出る事が出来なくなり、既存LANのビデオにアクセスが出来ません。
VPNクライアントのゲートウェイを、既存無線LANルーターにすると、VPNの接続自体が出来なくなります。
なので、ゲートウェイは、VPNサーバーに。
ルーター機能オフにしても、しなくても、WAN側とLAN側(VPNクライアント)が繋がらないです。
proxy arp onにもしているのですが。
私の設定の仕方が悪いのかなあ…
色々やったけど出来ないので、今日は諦めました。
- 50
ヤマハ、ONU/VoIP対応の次世代SOHO用ルーター、LTE回線対応モデルも
-----
少し関連があって,面白そうな製品なので,ご参考まで。
- 59
