Q&A
これではコードが読めません。
質問を編集し、<code>ボタンを押し、出てくる’’’の枠の中にコードを貼り付けてください
前提・実現したいこと
社内LANに、外出先からVPN接続したい
現在、YAMAHAのRTX1100を使用しており、VPNの構築検証の為に
他社からRTX810を拝借し、ルータの設定検証を行っています。
社内のLAN構成は、RTX1100から移植し問題無く接続できていますが
VPNでの接続が失敗します。
(事象)
クライアント側は
・接続試行中…が表示され、接続不可になる。
・EVNTLOGでは以下のLOGが表示されている状態
CoId={FEE0777A-02FD-4664-8DB6-F8E995A85B25}: ユーザー foo\baa は失敗した skynet という接続をダイヤルしました。失敗時に戻された理由コードは 789 です。
ルータ側は
yamahaのサイトを参照にして、L2TP/IPsecによるVPN接続について記載されているサンプルのフィルタを設定している。
Rejected at IN(2000) filter:xxxx が出ているが、余りにも大量の為、どれが対象のパケットなのか判らない。
###知りたい事
当方、システムエンジニアではありますが、ネットワーク関連の技術・知識が不足しており
ルータの設定は行った事がありません。
なので、
・この部分がおかしいので、こうすればどうだ
・こういった検証方法があるが、試したか?
といったご回答を頂けると助かります。
ご参考までに、ルータのソースを記載します。
※グローバルip、パスワード類は変更しています。
# remove `#' of next line. clear configuration clear log clear arp clear ip dynamic routing # # System configuration # login password * administrator password * console lines infinity console prompt honsya tftp host any # # IP configuration # ip route default gateway pp 1 ip route 61.126.0.0 gateway pp 1 ip route 192.168.10.0/24 gateway tunnel 1 # # IPv6 configuration # # # LAN configuration # ip lan1 address 192.168.1.220/24 ip lan2 address 219.163.0.17/29 # # ISDN configuration # ### BRI 1 ### # # PP configuration # pp disable all ### PP 1 ### pp select 1 pp always-on on pppoe use lan2 pp auth accept pap chap pp auth myname foo@baa.ocn.ne.jp mdqg38 ppp lcp mru on 1438 ppp ccp type none ip pp mtu 1438 #add str ip pp secure filter in 1020 1030 1040 1041 1042 1043 1044 2000 ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106 #add end ip pp intrusion detection in on ip pp nat descriptor 1 pp enable 1 # # PPTPまたはL2TP接続を受け入れるための設定 # pp select anonymous pp bind tunnel1-tunnel2 pp auth request chap mschap-v2 pp auth username aa aa pp auth username bb bb ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type mppe-any ip pp remote address pool 192.168.1.192-192.168.1.199 ip pp mtu 1258 pptp service type server pp enable anonymous # # TUNNEL configuration # no tunnel enable all ### TUNNEL 1 ### tunnel select 1 ipsec tunnel 101 ipsec sa policy 101 1 esp 3des-cbc md5-hmac ipsec ike local address 1 192.168.1.220 ipsec ike pre-shared-key 1 text hogehoge ipsec ike remote address 1 61.126.0.0 tunnel enable 1 # # VPN(L2TP/IPsec)の設定 # tunnel select 2 tunnel encapsulation l2tp ipsec tunnel 2 ipsec sa policy 2 2 esp aes-cbc sha-hmac ipsec ike keepalive use 2 off ipsec ike local address 2 192.168.1.220 ipsec ike nat-traversal 2 on ipsec ike pre-shared-key 2 text !!!!!! ipsec ike remote address 2 any l2tp tunnel disconnect time off l2tp keepalive use on 10 3 l2tp keepalive log on l2tp syslog on ip tunnel tcp mss limit auto tunnel enable 2 ipsec auto refresh on ipsec transport 1 2 udp 1701 l2tp service on # # LOOPBACK/NULL configuration # # # フィルターの設定 # ip filter source-route on ip filter directed-broadcast on ip filter 1010 reject * * udp,tcp 135 * ip filter 1011 reject * * udp,tcp * 135 ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 1014 reject * * udp,tcp 445 * ip filter 1015 reject * * udp,tcp * 445 ip filter 1020 reject 192.168.1.0/24 * ip filter 1030 pass * 192.168.1.0/24 icmp ip filter 1040 pass * 192.168.1.220 tcp * 1723 ip filter 1041 pass * 192.168.1.220 gre ip filter 1042 pass * 192.168.1.220 udp * 500 ip filter 1043 pass * 192.168.1.220 udp * 4500 ip filter 1044 pass * 192.168.1.220 esp ip filter 2000 reject * * ip filter 3000 pass * * ip filter dynamic 100 * * ftp ip filter dynamic 101 * * www ip filter dynamic 102 * * domain ip filter dynamic 103 * * smtp ip filter dynamic 104 * * pop3 ip filter dynamic 105 * * tcp ip filter dynamic 106 * * udp # # IP dynamic filter configuration # # # IP forward filter configuration # # # NAT Descriptor configuration # nat descriptor type 1 masquerade nat descriptor address outer 1 219.163.0.17 nat descriptor address inner 1 219.163.0.17 192.168.1.1-192.168.1.254 nat descriptor masquerade static 1 1 192.168.1.220 tcp 1723 nat descriptor masquerade static 1 2 192.168.1.220 gre nat descriptor masquerade static 1 3 192.168.1.220 udp 500 nat descriptor masquerade static 1 4 192.168.1.220 udp 4500 nat descriptor masquerade static 1 5 192.168.1.220 esp # # IPSEC configuration # ipsec auto refresh on # # IPv6 filter configuration # # # IPv6 dynamic filter configuration # # # Cooperation configuration # # # Queueing configuration # # # URL filter configuration # # # SYSLOG configuration # # # TFTP configuration # tftp host any # # TELNETD configuration # # # DHCP configuration # # # DHCPC configuration # # # DNS configuration # dns server 219.163.0.0 dns private address spoof on # # WINS configuration # # # SNMP configuration # # # Schedule configuration # # # TCP configuration # # # HTTPD configuration # # # Netvolante DNS configuration # # # UPnP configuration # # # HTTP Revision Up configuration # # # Status Notify configuration # # # SSHD configuration # # # SFTPD configuration # # # AUTH-USER configuration # # # Heartbeat configuration # # # SNTPD configuration # # If you want to save configuration to Nonvolatile memory, # remove `#' of next line. save # syslog debug on syslog notice on # restart #``` また、端末側の設定は以下の通りです。 VPNの種類:事前共有キーを使ったL2TP/IPSEC アダプタの設定は以下の通りです。 ・データの暗号化:暗号化が必要(サーバが拒否する場合は切断します) ・プロトコル:PAP,CHAP,MS-CHAP V2をオン ・ネットワーク->IPV4->IP設定->リモートネットワークでデフォルトゲートウェーを使うをオン
回答1件
0
RTX810なのか830なのかどっち?
とりあえずRTX800系にlan3ポートはないはず。lan1とlan2だけ。
ip lan1 address 192.168.1.220/24 ip lan3 address 219.163.0.0/29
あとクライアントのOSとかVPN接続設定の情報も提示しないと
そっちの設定もそもそも間違ってる可能性もある。
windows10だったらmschapv2をデフォルトで使うようになってないから
VPN認証設定のこいつは通らないとかいろいろある。
pp auth request mschap-v2
投稿2020/07/06 13:53
総合スコア3828
あなたの回答
tips
プレビュー
