#現在の構成
[モデム] - [ルーター1] - [ルーター2(RTX1210)] - [NAS][PC] ・[ルーター1]ローカルIP:192.168.10.1 ・[ルーター2]WAN側IP:192.168.10.10 ・[ルーター2]LAN側IP:192.168.1.1 ・NAS IP:192.168.1.34 ・通したいポート:5000
#やったこと
- DDNSサービス登録 (*****.****.me)
- [ルーター1]に静的IPマスカレード設定
変換対象プロトコル | 変換対象ポート | 変換後宛先 |
---|---|---|
TCP/UDP | 5000 | 192.168.10.10 |
- [ルーター2]に静的IPマスカレード設定
変換対象プロトコル | 変換対象ポート | 変換後宛先 |
---|---|---|
TCP | 5000 | 192.168.1.34 |
UDP | 5000 | 192.168.1.34 |
#問題
*****.****.me:5000 で外部からアクセスしてNASに接続できるようにしたい。
上記構成・設定で行っているがChromeでアクセスると拒否されましたとなる。
設定方法等で間違い等あれば教えてただケルト助かります。
#RTX1210 Config
# RTX1210 Rev.14.01.33 (Fri Nov 2 14:31:39 2018) # MAC Address : ac:44:f2:6c:fc:db, ac:44:f2:6c:fc:dc, ac:44:f2:6c:fc:dd # Memory 256Mbytes, 3LAN, 1BRI # main: RTX1210 ver=00 serial=S4H174211 MAC-Address=ac:44:f2:6c:fc:db MAC-Address=ac:44:f2:6c:fc:dc MAC-Address=ac:44:f2:6c:fc:dd # Reporting Date: Dec 6 19:16:06 2021 administrator password encrypted * login user kmecadmin * user attribute kmecadmin connection=serial,telnet,remote,ssh,sftp,http gui-page=dashboard,lan-map,config login-timer=600 ip route default gateway dhcp lan2 ip keepalive 1 icmp-echo 10 5 dhcp lan2 ip lan1 address 192.168.1.1/24 switch control use lan1 on terminal=on description lan2 WAN ip lan2 address dhcp ip lan2 secure filter in 101003 101020 101021 101022 101023 101024 101025 101030 101032 101100 101101 101102 101103 101104 101105 ip lan2 secure filter out 101013 101020 101021 101022 101023 101024 101025 101026 101027 101099 dynamic 101080 101081 101082 101083 101084 101085 101098 101099 ip lan2 nat descriptor 200 ip filter 101000 reject 10.0.0.0/8 * * * * ip filter 101001 reject 172.16.0.0/12 * * * * ip filter 101002 reject 192.168.0.0/16 * * * * ip filter 101003 reject 192.168.1.0/24 * * * * ip filter 101010 reject * 10.0.0.0/8 * * * ip filter 101011 reject * 172.16.0.0/12 * * * ip filter 101012 reject * 192.168.0.0/16 * * * ip filter 101013 reject * 192.168.1.0/24 * * * ip filter 101020 reject * * udp,tcp 135 * ip filter 101021 reject * * udp,tcp * 135 ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 101024 reject * * udp,tcp 445 * ip filter 101025 reject * * udp,tcp * 445 ip filter 101026 restrict * * tcpfin * www,21,nntp ip filter 101027 restrict * * tcprst * www,21,nntp ip filter 101030 pass * 192.168.1.0/24 icmp * * ip filter 101031 pass * 192.168.1.0/24 established * * ip filter 101032 pass * 192.168.1.0/24 tcp * ident ip filter 101033 pass * 192.168.1.0/24 tcp ftpdata * ip filter 101034 pass * 192.168.1.0/24 tcp,udp * domain ip filter 101035 pass * 192.168.1.0/24 udp domain * ip filter 101036 pass * 192.168.1.0/24 udp * ntp ip filter 101037 pass * 192.168.1.0/24 udp ntp * ip filter 101099 pass * * * * * ip filter 101100 pass * 192.168.1.34 tcp * 6281 ip filter 101101 pass * 192.168.1.34 tcp * 5000 ip filter 101102 pass * 192.168.1.34 tcp * 5001 ip filter 101103 pass * 192.168.1.34 udp * 6281 ip filter 101105 pass * 192.168.1.34 udp * 5001 ip filter 101104 pass * 192.168.1.34 udp * 5000 ip filter 500000 restrict * * * * * ip filter dynamic 101080 * * ftp ip filter dynamic 101081 * * domain ip filter dynamic 101082 * * www ip filter dynamic 101083 * * smtp ip filter dynamic 101084 * * pop3 ip filter dynamic 101098 * * tcp ip filter dynamic 101085 * * submission ip filter dynamic 101099 * * udp nat descriptor type 200 masquerade nat descriptor address outer 200 primary nat descriptor masquerade incoming 200 reject nat descriptor masquerade static 200 1 192.168.1.34 tcp 6281 nat descriptor masquerade static 200 2 192.168.1.34 tcp 5000 nat descriptor masquerade static 200 3 192.168.1.34 tcp 5001 nat descriptor masquerade static 200 4 192.168.1.34 udp 6281 nat descriptor masquerade static 200 5 192.168.1.34 udp 5000 nat descriptor masquerade static 200 6 192.168.1.34 udp 5001 telnetd host lan dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.1.2-192.168.1.254/24 dns host lan1 dns server dhcp lan2 dns server select 500201 dhcp lan2 any . dns private address spoof on schedule at 1 */* 00:00:00 * ntpdate ntp.nict.jp syslog httpd host lan1 dashboard accumulate traffic on Copyright © 2014 - 2018 Yamaha Corporation. All Rights Reserved. コード
解決に結びつく指摘ではないと思っていますが、ルータ2のNAPT設定は192.168.1.100が正しいのではないでしょうか?
ポートは5005なのか5000なのかどっち?
あとネットワーク内部(PCとか)から192.168.1.100:5000(5005)にアクセスして
拒否されないのかどうか確認しましたか?
5000が正解です。
修正致しました。
ネットワーク内部からはアクセスができること確認しております。
192.168.1.100が正解です。誤記でしたので修正致しました。
拒否された際のメッセージは何でしょうか?
あと、可能であれば、
[モデム] - [ルーター1] -[アクセスPC] - [ルーター2(RTX1210)] - [NAS][PC]
[モデム] -[アクセスPC] - [ルーター1] - [ルーター2(RTX1210)] - [NAS][PC]
の時のアクセス可否も知りたいです。
NASはゲートウェイの設定されていますか?あとNASの型式を教えてください。
te2ji様
試してみます!
>拒否された際のメッセージは何でしょうか?
拒否された際のメッセージは
このサイトにアクセスできません
*.****.me で接続が拒否されました。
ERR_CONNECTION_REFUSED
コンソール
Not allowed to load local resource
上の人も言っていますが192.168.1.xxxのネットワークでNASのアクセス確認と
ルーター1のネットワーク(192.168.10.xxx)にPCを置いた場合の確認が
両方できてから初めてルーター1の外から疎通できるので両方どうなるかみたいですね。
>NASはゲートウェイの設定されていますか?
特にNAS側でなにかを設定した記憶はありません。
すみません、なにか設定が必要なのでしょうか?
>あとNASの型式を教えてください。
Synology DS420+
NASでゲートウェイを設定してない限り、192.168.1.0以外のセグメントと通信できません。
該当機器のゲートウェイ設定方法を調べてゲートウェイの設定を行ってください。
ゲートウェイに設定すべきIPは「192.168.1.1」です。
192.168.1.xxxのネットワーク内からは通信ができています。
今外出中で192.168.10.xxxのネットワーク内からの通信はまた未確認です。
確認出来次第報告い致します。
皆様からご指示頂いた192.168.10.xxxのネットワーク内からの通信をやってみましたが、NASへは繋がりませんでした。どこの設定の見直しが必要でしょうか?
ERR_CONNECTION_REFUSED ならサーバまでパケットは届いてるんじゃないかなぁ。。。
経路上のどっかのノードが Connection refused を返してるはずなんですけど、ルータやサーバのファイヤーウォールだと多分パケットは破棄されるので Time Out になります。
良くあるのは、サーバのサービスが立ち上がっていないとか違うポートでサービス提供しているとかなんですけど、その観点で再度確認してみては?
rtx1210のコンフィグ出したほうがいいと思います。
あとルーター1の経路で192.168.1.xの通信を192.168.10.10に流す設定はありますか?
>rtx1210のコンフィグ出したほうがいいと思います。
Config追記しました。
NASのIPを忘れたため適当に192.168.1.100と記述していましたが、正確には192.168.1.34です。
設定に間違いはなかったです。
設定に間違いはないとか言わないほうが吉。pingで10.0/24から1.34に疎通はできるのでしょうか?
lan2のアドレスはdhcpになっているようですが192.168.10.10で固定しなくていいのでしょうか?
> pingで10.0/24から1.34に疎通はできるのでしょうか?
NATにしている状態でpingによる疎通確認は可能なのでしょうか?
>NATにしている状態でpingによる疎通確認は可能なのでしょうか?
すみません、無理ですね忘れてくださいm(__)m
>設定に間違いはなかったです。
すみません、「記述しているIPアドレスは192.168.1.100でしたが、本当は192.168.1.32で、正しい192.168.1.32で設定しています。」というつもりで書いていました。設定が全て間違っていないと言うつもりではなかったです。。。
>lan2のアドレスはdhcpになっているようですが192.168.10.10で固定しなくていいのでしょうか?
固定しないといけないですね。。。
192.168.10.10からの割付でルーター1にはRTX1210しかつながってなかったため、192.168.10.10が割ついていただけのようです。ご指示頂いたテスト時は192.168.10.10が割ついていることも確認してからテストを行ったため問題ないと思います。
over様
NASのネットワーク設定画面の画像を追記しました。おっしゃっているゲートウェイ設定とはこれを指すのでしょうか?
NASはゲートウェイの設定は行ったのでしょうか?
NASが他セグメントと通信できる状態を構築すべきと考えます。
RTXのパケットフィルタリングが原因かはRTXの設定に「syslog notice on」を追加して[show syslog」でパケットフィルタのログが表示されるので確認してみてください。
>NASが他セグメントと通信できる状態を構築すべきと考えます。
>NASが他セグメントと通信できる状態を構築すべきと考えます
私は静的IPマスカレード設定によってルーター1に入ってきたものは、ルーター2に中継されてNASへ届くので192.168.1.1のRTX1210としか通信しないため他セグメントとの通信を許可する必要はないと思っていたのですが、間違ってますか。。。?
>RTXのパケットフィルタリングが原因かはRTXの設定に「syslog notice on」を追加して[show syslog」でパケットフィルタのログが表示されるので確認してみてください。
SYSLOGで関係ありそうなログです...
XX.XX.XXX.XXは使用中のグローバルIPです。
192.168.1.67は私のPCです。。。??
2021/12/07 11:29:09: [INSPECT] LAN2[out][101098] TCP 192.168.1.67:58627 > XX.XX.XXX.XX:5000 (2021/12/07 11:29:02)
2021/12/07 11:29:09: [INSPECT] LAN2[out][101098] TCP 192.168.1.67:58626 > XX.XX.XXX.XX:5000 (2021/12/07 11:29:02)
2021/12/07 11:29:10: [INSPECT] LAN2[out][101098] TCP 192.168.1.67:58628 > XX.XX.XXX.XX:5000 (2021/12/07 11:29:03)
> 私は静的IPマスカレード設定によってルーター1に入ってきたものは、ルーター2に中継されてNASへ届くので192.168.1.1のRTX1210としか通信しないため他セグメントとの通信を許可する必要はないと思っていたのですが、間違ってますか。。。?
今回の設定NAPTにおいて送信元アドレスの書き換えは行っていない認識です。(認識あっていますか?)
なので、送信元と通信できる環境は構築すべきというのが私の考えです。
TCPは返りの通信を以てセッションを確立するので、送信元と通信できる環境が必要と思っています。
> SYSLOGで関係ありそうなログです...
これは動的フィルタ関連かと思いますが、「192.168.1.67」は今回の登場人物に含まれる何かですか?
そうでなければ関係ないものと考えます。
これは、グローバルからNASに接続した際のログを見ていますか?
>今回の設定NAPTにおいて送信元アドレスの書き換えは行っていない認識です。(認識あっていますか?)
ルーター1の静的IPマスカレード設定には変換後宛先とありますし、調べてみるとアドレスの変換を行うといった記述も見かけます。ですので私の認識としては先に記述したとおりでした。ただ、実際には通信てきていないですし、おっしゃっている方法で試してみます。
>送信元と通信できる環境が必要と思っています。
NAS側のゲートウェイの設定というのがよくわかりません。。。
追記した画像の設定を行っていますが、おっしゃっている設定というのはこれでしょうか?
まだ、192.168.10.*ネットワークからの疎通確認はできていません。後で確認してみます。
> 追記した画像の設定を行っていますが、おっしゃっている設定というのはこれでしょうか?
恐らく。
> まだ、192.168.10.*ネットワークからの疎通確認はできていません。後で確認してみます。
RTXはNATしているんですよね?であれば192.168.10のネットワークから192.168.1の疎通はNAPT定義した通信以外はrejectされます。
>恐らく。
ありがとうございます。。。
>RTXはNATしているんですよね?であれば192.168.10のネットワークから192.168.1の疎通はNAPT定義した通信以外はrejectされます。
あ、そうでした。
192.168.1.32:5000で確認してみます。
直接関係ないかもしれんけどサブネットマスクは255.255.255.0では?
あなたの回答
tips
プレビュー