Q&A
192.168.10/24と192.168.20/24はどちらかがタイプミスですか?
前提・実現したいこと
IP枯渇のため、一部端末を別セグメントに使用と考えております。
別セグメントにするにあたり、できるだけ現在の環境を変えないようにするため、NVR500の下に、rt57iを設置してセグメントを分けました。
以下の通信が行えるようにしたいです。
・rt57i配下に設置した端末(192.168.1.200)と、NVR500配下の端末(192.168.10.200)、NVR510配下の端末(192.168.100.200)が相互に通信および、それぞれの端末でインターネット通信
発生している問題・エラーメッセージ
rt57i
1・インターネット:OK 2・nvr500配下端末へのping:OK 3・nvr510配下端末へのping:OK
NVR500
1・インターネット:OK 2・rt57i配下端末へのping:NG 3・NVR510のLAN1へのping:OK
NVR510
1・インターネット:OK 2・rt57i配下端末へのping:NG 3・NVR500のLAN1へのping:OK
rt57i配下端末へのpingをOKにしたいです。
該当のソースコード
nvr500
1ip route default gateway pp 3 --> internet向け 2ip route 192.168.10.0/24 gateway 192.168.1.10 3ip route 192.168.100.0/24 gateway pp2 --> vpn先への接続設定 4 5# 6# LAN configuration 7# 8 9ip lan1 address 192.168.1.1/24
nvr510
1ip route default gateway pp 3 --> internet向け 2ip route 192.168.1.0/24 gateway pp2 --> vpn先への接続設定 3 4# 5# LAN configuration 6# 7 8ip lan1 address 192.168.100.1/24
rt57i
1ip route default gateway 192.168.1.1 2 3# 4# LAN configuration 5# 6 7ip lan1 address 192.168.10.1/24 8ip lan2 address 192.168.1.10/24 9ip lan2 nat descriptor 200 10 11# 12# NAT Descriptor configuration 13# 14 15nat descriptor type 200 masquerade 16nat descriptor address outer 200 192.168.1.11 17nat descriptor address inner 200 192.168.10.1-192.168.10.255 18 19# 20# DNS configuration 21# 22 23dns server 192.168.1.1 192.168.10.1
試したこと
「nat descriptor 200」を削除すると、nvr500からrt57iの通信はうまくいきますが、rt57iからインターネット接続ができなくなりました。
補足情報(FW/ツールのバージョンなど)
補足情報(FW/ツールのバージョンなど)
RT57i Rev.8.00.98 (Tue Apr 24 09:26:00 2018)
NVR500 Rev.11.00.38 (Fri Apr 20 08:32:26 2018)
NVR510 Rev.15.01.06 (Tue Feb 7 14:04:22 2017)
回答3件
0
192.168.100.0/24
192.168.1.0/24
192.168.10.0/24
これらのセグメント間を通信させたいときにNATは不要です。この構成でNATをするのはインターネットの出入り口で必要(プライベートIPとグローバルIPをNATする)なだけで、それ以外は無くてもよいです。
ルーティングを不足なく設定すれば通信可能です。
必要なルーティングは下記のとおりです
rt57i
・192.168.100.0/24 → ルーティング必要。default gatewayで192.168.1.1を指定しているため、個別のルーティングは不要
・192.168.1.0/24 → 自分自身が所有しているセグメントのため、ルーティング不要
・192.168.10.0/24 → 自分自身が所有しているセグメントのため、ルーティング不要
NVR500
・192.168.100.0/24 → VPNの先であるルーティングが必要
・192.168.1.0/24 → 自分自身が所有しているセグメントのため、ルーティング不要
・192.168.10.0/24 → rt57iの先であるルーティングが必要
NVR510
・192.168.100.0/24 → 自分自身が所有しているセグメントのため、ルーティング不要
・192.168.1.0/24 → VPNの先であるルーティングが必要
・192.168.10.0/24 → VPNの先であるルーティングが必要(上記でNVR500にルーティング入れているためNVR500→rt57iへルーティングする)
投稿2021/03/03 05:16
総合スコア2751
0
ベストアンサー
ご掲載頂いているnvr500のコンフィグは全量ですか?
パケットフィルタが関与していることは考えられないでしょうか?
YAMAHAルータはデフォルトでは、自身が持つインターフェースのみパケットを許可するルールが生成される仕様だったと記憶しています。
またnvr510には暗号化パケットの範囲に192.168.10.0.24を含めることと、ルートを設定する必要があります。
投稿2021/03/03 00:09
総合スコア4315
お忙しい中ご確認ありがとうございます。
> YAMAHAルータはデフォルトでは、自身が持つインターフェースのみパケットを許可するルールが生成される仕様だったと記憶しています。
特にフィルタは無い状態で、設定されているのは以下となり、すべて通過となっています。
NVR500
ip lan1 secure filter in 100099
ip filter 100099 pass * * * * *
> またnvr510には暗号化パケットの範囲に192.168.10.0.24を含めることと、ルートを設定する必要があります。
nvr510に「ip route 192.168.10.0/24」を追加した場合ですが、nvr510からrt57i配下の端末へ通信を行う場合、nvr500経由となりますが、nvr510から直接飛ばせないように思えますが、NAT(masquerade?)を行えばできるということでしょうか?
nvr510は192.168.20.0のパケットをどこに転送する必要があるかを考えてください。
ご質問者様のnvr510の設定は以下です。
> ip route 192.168.1.0/24 gateway pp2 --> vpn先への接続設定
現在の設定では、192.168.1.0/24のみをVPNトンネルに転送しています。
192.168.20.0/24は転送先が設定されていないため、default gateway pp 3 に転送されてしまいます。
あと、追加で。
前のご質問でも指摘しましたが、NATにした場合は相互通信は成り立ちません。
ご確認ありがとうございます。
> nvr510は192.168.20.0/24のパケットをどこに転送する必要があるかを考えてください。
知識不足で、うまく考えができず申し訳ありません。
NVR510→NVR500→rt57iの流れを作るにあたり、NVR510から、192.168.100.0/24を設定したとしても、NVR500で受け取れず破棄てしまうと考えておりました。
そのため、「ip route 192.168.1.0/24 gateway pp2jを行ってもできないと考えておりました。
NAT等を用いて、192.168.100.0/24を192.168.1.0/24に変換などなしで可能なのでしょうか?
> 前のご質問でも指摘しましたが、NATにした場合は相互通信は成り立ちません。
はい。頂いておりましたが、rt57i配下の端末から、NVR510への通信を行うにあたり、NATを使用しないとうまくいきませんでした。NATを使用しないでうまく通信させる方法はあるでしょうか?
すいません。間違ってました。
> nvr510は192.168.20.0/24のパケットをどこに転送する必要があるかを考えてください。
正しくは192.168.10.0/24ですね。
> NVR510から、192.168.100.0/24を設定したとしても、NVR500で受け取れず破棄てしまうと考えておりました。
これは何をおっしゃっているのか読みとけません。
nvr510が192.168.100.0/:24 → 192.168.10.0/24へのパケットを受けた際、宛先アドレスは対抗VPN側に存在するセグメントなので、対抗VPN側にパケットが転送する設定が必要だと考えます。
nvr500は自身が持つルーティングテーブルに従いパケットを転送します。
初歩的な内容とは思いますが、うまくできず申し訳ありません。
・192.168.10.0/24から、192.168.100.200へ飛ばす場合
rt57i
ip route default gateway 192.168.1.1
NVR500
ip route 192.168.100.0/24 gateway pp 2(vpn向けのインターフェース)
NVR510
ip route 192.168.1.0/24 gateway pp 2(vpn向けのインターフェース)
ip route 192.168.10.0/24 gateway pp 2(vpn向けのインターフェース)
・192.168.100.0/24から、192.168.10.200へ飛ばす場合
NVR510に以下を追加
ip route 192.168.10.0/24 gateway pp2
ということだと思いますが、192.168.100.200から192.168.10.200へpingを飛ばした場合、192.168.100.1->192.168.1.1->192.168.1.10->192.168.10.1->192.168.10.200と転送されると思いますが、192.168.10.200へのpingを192.168.1.1にルーティングするというのはNVR510に設定するものは、上記「ip route 192.168.10.0/24 gateway pp2」で合っているでしょうか?
192.168.10.200へのpingを192.168.1.1にルーティングし、さらに次へとというのがどの設定で行っているかがわからず、破棄すると考えておりました。
> NVR510に以下を追加
> ip route 192.168.10.0/24 gateway pp2
上記ご認識で間違いないです。
ご確認ありがとうございます。
うまくできず、おそらく下記理由からではないかと思われます。
VPNは「フレッツ・VPNワイド」を使用しており、「払い出しアドレスとして登録されていないアドレス宛のパケットはすべて網内で廃棄される」という説明がありました。
192.168.10.200から、192.168.100.200へtracertを実行すると
192.168.10.1->192.168.1.10->192.168.1.1まではうまくいきますが、以降はタイムアウトになります。
そのため、登録されていない、192.168.10.0/24をフレッツ網内でおとしているように思えます。
※NATを使用してうまく動作したのは、IPの付け替えを行っていたからでは?と素人発言ですが。
ただ、アドレス宛のパケットであって、送信元も関係あるかは不明ですが。。。
> VPNは「フレッツ・VPNワイド」を使用しており
だからコンフィグにVPN設定がないんですね。
理解しました。
とすると、カスタマコントロールにて通信セグメントを追加するか、RTXで拠点間VPNを構築するかでしか解決できないです。
情報が小出しとなり申し訳ありませんでした。ありがとうございます。
どちらの方法にするか検討させて頂きます。
0
まず、図中のNVR500が2つなので片方が510だと思います。また、192.168.20.0/24が192.168.10.1に接続されており、矛盾が生じております。
そして、本題ですが、おそらく下のNVR500のルーティングテーブルが原因だと思います。真ん中に位置するのでデフォルトルートだけでは対応できません。個別設定が必要です。
以下追記
失礼しました。タイトル見たところ、片一方側からはping合格するということですか?であればネットワーク的には問題なくOSやソフト的な問題かもしれません。
投稿2021/03/02 14:12
編集2021/03/02 14:59
総合スコア4830
あなたの回答
tips
プレビュー
