2重ルーターでのポートフォワーディング

#現在の構成

[モデム] - [ルーター1] - [ルーター2(RTX1210)] - [NAS][PC]

・[ルーター1]ローカルIP：192.168.10.1
・[ルーター2]WAN側IP：192.168.10.10
・[ルーター2]LAN側IP：192.168.1.1
・NAS IP：192.168.1.34
・通したいポート：5000

#やったこと

DDNSサービス登録 (*****.****.me)
[ルーター1]に静的IPマスカレード設定

変換対象プロトコル	変換対象ポート	変換後宛先
TCP/UDP	5000	192.168.10.10

[ルーター2]に静的IPマスカレード設定

変換対象プロトコル	変換対象ポート	変換後宛先
TCP	5000	192.168.1.34
UDP	5000	192.168.1.34

#問題
*****.****.me:5000 で外部からアクセスしてNASに接続できるようにしたい。
上記構成・設定で行っているがChromeでアクセスると拒否されましたとなる。
設定方法等で間違い等あれば教えてただケルト助かります。

#RTX1210 Config

# RTX1210 Rev.14.01.33 (Fri Nov  2 14:31:39 2018)
# MAC Address : ac:44:f2:6c:fc:db, ac:44:f2:6c:fc:dc, ac:44:f2:6c:fc:dd
# Memory 256Mbytes, 3LAN, 1BRI
# main:  RTX1210 ver=00 serial=S4H174211 MAC-Address=ac:44:f2:6c:fc:db MAC-Address=ac:44:f2:6c:fc:dc MAC-Address=ac:44:f2:6c:fc:dd
# Reporting Date: Dec 6 19:16:06 2021
administrator password encrypted *
login user kmecadmin *
user attribute kmecadmin connection=serial,telnet,remote,ssh,sftp,http gui-page=dashboard,lan-map,config login-timer=600
ip route default gateway dhcp lan2
ip keepalive 1 icmp-echo 10 5 dhcp lan2
ip lan1 address 192.168.1.1/24
switch control use lan1 on terminal=on
description lan2 WAN
ip lan2 address dhcp
ip lan2 secure filter in 101003 101020 101021 101022 101023 101024 101025 101030 101032 101100 101101 101102 101103 101104 101105
ip lan2 secure filter out 101013 101020 101021 101022 101023 101024 101025 101026 101027 101099 dynamic 101080 101081 101082 101083 101084 101085 101098 101099
ip lan2 nat descriptor 200
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.1.0/24 * * * *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.1.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101026 restrict * * tcpfin * www,21,nntp
ip filter 101027 restrict * * tcprst * www,21,nntp
ip filter 101030 pass * 192.168.1.0/24 icmp * *
ip filter 101031 pass * 192.168.1.0/24 established * *
ip filter 101032 pass * 192.168.1.0/24 tcp * ident
ip filter 101033 pass * 192.168.1.0/24 tcp ftpdata *
ip filter 101034 pass * 192.168.1.0/24 tcp,udp * domain
ip filter 101035 pass * 192.168.1.0/24 udp domain *
ip filter 101036 pass * 192.168.1.0/24 udp * ntp
ip filter 101037 pass * 192.168.1.0/24 udp ntp *
ip filter 101099 pass * * * * *
ip filter 101100 pass * 192.168.1.34 tcp * 6281
ip filter 101101 pass * 192.168.1.34 tcp * 5000
ip filter 101102 pass * 192.168.1.34 tcp * 5001
ip filter 101103 pass * 192.168.1.34 udp * 6281
ip filter 101105 pass * 192.168.1.34 udp * 5001
ip filter 101104 pass * 192.168.1.34 udp * 5000
ip filter 500000 restrict * * * * *
ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101098 * * tcp
ip filter dynamic 101085 * * submission
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
nat descriptor masquerade incoming 200 reject 
nat descriptor masquerade static 200 1 192.168.1.34 tcp 6281
nat descriptor masquerade static 200 2 192.168.1.34 tcp 5000
nat descriptor masquerade static 200 3 192.168.1.34 tcp 5001
nat descriptor masquerade static 200 4 192.168.1.34 udp 6281
nat descriptor masquerade static 200 5 192.168.1.34 udp 5000
nat descriptor masquerade static 200 6 192.168.1.34 udp 5001
telnetd host lan
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.1.2-192.168.1.254/24
dns host lan1
dns server dhcp lan2
dns server select 500201 dhcp lan2 any .
dns private address spoof on
schedule at 1 */* 00:00:00 * ntpdate ntp.nict.jp syslog
httpd host lan1
dashboard accumulate traffic on
Copyright © 2014 - 2018 Yamaha Corporation. All Rights Reserved.
コード

#NXSM-4BRU-2 静的IPマスカレード設定

#NAS(DS420+) ネットワーク設定

over

2021/12/01 03:01 編集

解決に結びつく指摘ではないと思っていますが、ルータ2のNAPT設定は192.168.1.100が正しいのではないでしょうか?

sousuke

2021/12/01 06:57

ポートは5005なのか5000なのかどっち？あとネットワーク内部(PCとか)から192.168.1.100:5000(5005)にアクセスして拒否されないのかどうか確認しましたか？

sosososo

2021/12/01 12:38

5000が正解です。修正致しました。ネットワーク内部からはアクセスができること確認しております。

sosososo

2021/12/01 13:38

192.168.1.100が正解です。誤記でしたので修正致しました。

退会済みユーザー

2021/12/01 22:58

拒否された際のメッセージは何でしょうか？あと、可能であれば、 [モデム] - [ルーター1] -[アクセスPC] - [ルーター2(RTX1210)] - [NAS][PC] [モデム] -[アクセスPC] - [ルーター1] - [ルーター2(RTX1210)] - [NAS][PC] の時のアクセス可否も知りたいです。

over

2021/12/02 00:05

NASはゲートウェイの設定されていますか?あとNASの型式を教えてください。

sosososo

2021/12/02 00:13

te2ji様試してみます！

sosososo

2021/12/02 00:16 編集

>拒否された際のメッセージは何でしょうか？拒否された際のメッセージはこのサイトにアクセスできません *.****.me で接続が拒否されました。 ERR_CONNECTION_REFUSED コンソール Not allowed to load local resource

sousuke

2021/12/02 00:17

上の人も言っていますが192.168.1.xxxのネットワークでNASのアクセス確認とルーター１のネットワーク（192.168.10.xxx）にPCを置いた場合の確認が両方できてから初めてルーター１の外から疎通できるので両方どうなるかみたいですね。

sosososo

2021/12/02 00:19

>NASはゲートウェイの設定されていますか? 特にNAS側でなにかを設定した記憶はありません。すみません、なにか設定が必要なのでしょうか？ >あとNASの型式を教えてください。 Synology DS420+

over

2021/12/02 00:26

NASでゲートウェイを設定してない限り、192.168.1.0以外のセグメントと通信できません。該当機器のゲートウェイ設定方法を調べてゲートウェイの設定を行ってください。ゲートウェイに設定すべきIPは「192.168.1.1」です。

sosososo

2021/12/02 05:34

192.168.1.xxxのネットワーク内からは通信ができています。今外出中で192.168.10.xxxのネットワーク内からの通信はまた未確認です。確認出来次第報告い致します。

sosososo

2021/12/02 12:37

皆様からご指示頂いた192.168.10.xxxのネットワーク内からの通信をやってみましたが、NASへは繋がりませんでした。どこの設定の見直しが必要でしょうか？

退会済みユーザー

2021/12/02 13:48

ERR_CONNECTION_REFUSED ならサーバまでパケットは届いてるんじゃないかなぁ。。。経路上のどっかのノードが Connection refused を返してるはずなんですけど、ルータやサーバのファイヤーウォールだと多分パケットは破棄されるので Time Out になります。良くあるのは、サーバのサービスが立ち上がっていないとか違うポートでサービス提供しているとかなんですけど、その観点で再度確認してみては？

sousuke

2021/12/02 15:05 編集

rtx1210のコンフィグ出したほうがいいと思います。あとルーター1の経路で192.168.1.xの通信を192.168.10.10に流す設定はありますか？

sosososo

2021/12/06 10:19

>rtx1210のコンフィグ出したほうがいいと思います。 Config追記しました。 NASのIPを忘れたため適当に192.168.1.100と記述していましたが、正確には192.168.1.34です。設定に間違いはなかったです。

sousuke

2021/12/06 15:11 編集

設定に間違いはないとか言わないほうが吉。pingで10.0/24から1.34に疎通はできるのでしょうか？ lan2のアドレスはdhcpになっているようですが192.168.10.10で固定しなくていいのでしょうか？

over

2021/12/07 00:03

> pingで10.0/24から1.34に疎通はできるのでしょうか？ NATにしている状態でpingによる疎通確認は可能なのでしょうか?

sousuke

2021/12/07 01:24 編集

>NATにしている状態でpingによる疎通確認は可能なのでしょうか? すみません、無理ですね忘れてくださいm(__)m

sosososo

2021/12/07 01:34

>設定に間違いはなかったです。すみません、「記述しているIPアドレスは192.168.1.100でしたが、本当は192.168.1.32で、正しい192.168.1.32で設定しています。」というつもりで書いていました。設定が全て間違っていないと言うつもりではなかったです。。。

sosososo

2021/12/07 01:43

>lan2のアドレスはdhcpになっているようですが192.168.10.10で固定しなくていいのでしょうか？固定しないといけないですね。。。 192.168.10.10からの割付でルーター1にはRTX1210しかつながってなかったため、192.168.10.10が割ついていただけのようです。ご指示頂いたテスト時は192.168.10.10が割ついていることも確認してからテストを行ったため問題ないと思います。

sosososo

2021/12/07 01:56

over様 NASのネットワーク設定画面の画像を追記しました。おっしゃっているゲートウェイ設定とはこれを指すのでしょうか？

over

2021/12/07 01:59

NASはゲートウェイの設定は行ったのでしょうか? NASが他セグメントと通信できる状態を構築すべきと考えます。 RTXのパケットフィルタリングが原因かはRTXの設定に「syslog notice on」を追加して[show syslog」でパケットフィルタのログが表示されるので確認してみてください。

sosososo

2021/12/07 02:27

>NASが他セグメントと通信できる状態を構築すべきと考えます。 >NASが他セグメントと通信できる状態を構築すべきと考えます私は静的IPマスカレード設定によってルーター1に入ってきたものは、ルーター2に中継されてNASへ届くので192.168.1.1のRTX1210としか通信しないため他セグメントとの通信を許可する必要はないと思っていたのですが、間違ってますか。。。？

sosososo

2021/12/07 02:39 編集

>RTXのパケットフィルタリングが原因かはRTXの設定に「syslog notice on」を追加して[show syslog」でパケットフィルタのログが表示されるので確認してみてください。 SYSLOGで関係ありそうなログです... XX.XX.XXX.XXは使用中のグローバルIPです。 192.168.1.67は私のPCです。。。？？ 2021/12/07 11:29:09: [INSPECT] LAN2[out][101098] TCP 192.168.1.67:58627 > XX.XX.XXX.XX:5000 (2021/12/07 11:29:02) 2021/12/07 11:29:09: [INSPECT] LAN2[out][101098] TCP 192.168.1.67:58626 > XX.XX.XXX.XX:5000 (2021/12/07 11:29:02) 2021/12/07 11:29:10: [INSPECT] LAN2[out][101098] TCP 192.168.1.67:58628 > XX.XX.XXX.XX:5000 (2021/12/07 11:29:03)

over

2021/12/07 03:01

> 私は静的IPマスカレード設定によってルーター1に入ってきたものは、ルーター2に中継されてNASへ届くので192.168.1.1のRTX1210としか通信しないため他セグメントとの通信を許可する必要はないと思っていたのですが、間違ってますか。。。？今回の設定NAPTにおいて送信元アドレスの書き換えは行っていない認識です。(認識あっていますか?) なので、送信元と通信できる環境は構築すべきというのが私の考えです。 TCPは返りの通信を以てセッションを確立するので、送信元と通信できる環境が必要と思っています。 > SYSLOGで関係ありそうなログです... これは動的フィルタ関連かと思いますが、「192.168.1.67」は今回の登場人物に含まれる何かですか? そうでなければ関係ないものと考えます。これは、グローバルからNASに接続した際のログを見ていますか?

sosososo

2021/12/08 00:17 編集

>今回の設定NAPTにおいて送信元アドレスの書き換えは行っていない認識です。(認識あっていますか?) ルーター1の静的IPマスカレード設定には変換後宛先とありますし、調べてみるとアドレスの変換を行うといった記述も見かけます。ですので私の認識としては先に記述したとおりでした。ただ、実際には通信てきていないですし、おっしゃっている方法で試してみます。 >送信元と通信できる環境が必要と思っています。 NAS側のゲートウェイの設定というのがよくわかりません。。。追記した画像の設定を行っていますが、おっしゃっている設定というのはこれでしょうか？まだ、192.168.10.*ネットワークからの疎通確認はできていません。後で確認してみます。

over

2021/12/08 00:31

> 追記した画像の設定を行っていますが、おっしゃっている設定というのはこれでしょうか？恐らく。 > まだ、192.168.10.*ネットワークからの疎通確認はできていません。後で確認してみます。 RTXはNATしているんですよね?であれば192.168.10のネットワークから192.168.1の疎通はNAPT定義した通信以外はrejectされます。

sosososo

2021/12/08 00:38 編集

>恐らく。ありがとうございます。。。 >RTXはNATしているんですよね?であれば192.168.10のネットワークから192.168.1の疎通はNAPT定義した通信以外はrejectされます。あ、そうでした。 192.168.1.32:5000で確認してみます。

sousuke

2021/12/08 15:24

直接関係ないかもしれんけどサブネットマスクは255.255.255.0では？