質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.51%

  • ネットワーク

    642questions

    ネットワークとは、複数のコンピューター間を接続する技術です。インターネットが最も主流なネットワークの形態で、TCP/IP・HTTP・DNSなどの様々なプロトコルや、ルータやサーバーなどの様々な機器の上に成り立っています。

  • VPN

    103questions

    VPN(Virtual Private Network)は、仮想プライベートネットワークとも呼ばれ、インターネットに接続してるユーザー間に仮想的な通信トンネルを構築した組織内ネットワークです。認証や暗号化を用いて通信経路を保護し安全なネットワークの構築ができます。

VPN接続したままIP制限されたサイトにアクセスできるように

解決済

回答 6

投稿

  • 評価
  • クリップ 1
  • VIEW 6,610

ayako01

score 18

実現したいこと

外出先からIP制限されたサイトにアクセスしたいです

前提

・目的のサイトは会社の固定グローバルIPでアクセス制限をかけてます。
・原則として、そのIP制限を広げるのはNGです。
・社内までのアクセスはVPNを使って、ある程度セキュアであることが求められてます。

ネットワーク構成

・社内のWAN回線を2つ持っており、以下のネットワーク構成にしてます。

Internet-(LAN2)RTX1200(LAN1)-(LAN1)FWX120(LAN2)-Internet[VPN]

RTX1200: 192.168.0.1(DHCP機能オン)
FWX120:  192.168.0.2(DHCP機能オフ)


RTX1200とFWX120のLAN1配下ネットワークは同一セグメントにして、結果的にFWX120のLAN1直下には192.168.0.0/24の各ホストが存在するようにしてます。

RTX1200のWAN側が固定のグローバルIPを持っており、FWX120のWAN側はネットボランチDNS(ダイナミックDNS)を利用してアクセスできるようにしてます。

発生している問題

・VPN接続後、ブラウザからインターネットを閲覧すると、タイムアウトエラーになりインターネットに出られません。
・IPを直打ちで叩いても見れないので、名前解決が問題ではないと思ってます。
・ちなみにVPN接続時はPPPアダプタが以下のようになってます。

PPP アダプター VPN 接続:

   接続固有の DNS サフィックス . . . :
   説明. . . . . . . . . . . . . . . : VPN 接続
   物理アドレス. . . . . . . . . . . :
   DHCP 有効 . . . . . . . . . . . . : いいえ
   自動構成有効. . . . . . . . . . . : はい
   IPv4 アドレス . . . . . . . . . . : 192.168.0.210(優先)
   サブネット マスク . . . . . . . . : 255.255.255.255
   デフォルト ゲートウェイ . . . . . : 0.0.0.0
   DNS サーバー. . . . . . . . . . . : 192.168.0.2
   NetBIOS over TCP/IP . . . . . . . : 有効

IPアドレスはFWX120側で指定した値なので問題ないつもりですが、サブネットマスクとデフォルトゲートウェイが気になってます。出たいデフォルトゲートウェイ(RTX1200)は192.168.0.1なはずなので・・。

試したこと

・FWX120にアクセスして、そこから「リモートデスクトップ」を用いて、192.168.0.0/24のホスト内に入ってしまえば、実現したいことは可能でした。

・WindowsのGUIで「リモートネットワークでデフォルトゲートウェイを使う」にチェックを外すと、インターネットには出れますが、社内ネットワークを経由せずにインターネットに出てしまうようで、やりたいことが実現できませんでした。(IP確認サイトでグローバルIPを見ましたが、会社のグローバルIPではありませんでした。)

・接続元のルーティングテーブルの書き換えも挑戦しましたがうまく行きませんでした。(そもそも正しく設定できたのか怪しいです。。)

補足情報(言語/FW/ツール等のバージョンなど)

・ルーターはどちらもヤマハ製です。
・接続元の端末はWindows機を想定してます。もちろんMacでもやりたいのですが、まずはWindowsから出来ればと思ってます。
・VPN接続時のプロトコルは L2TP over IPsecを使ってます。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 6

checkベストアンサー

+3

こんにちは。

昔似たようなことをやったことありますが、その時はデフォルト・ゲートウェイのメトリックを設定して、VPN側を優先するようにした記憶があります。(VPN経由のデフォルト・ゲートウェイとVPNへ接続するためのデフォルト・ゲートウェイの2つが存在することになるので。)
「リモートネットワークでデフォルトゲートウェイを使う」はそのための設定っぽいですね。当時のWindowsにはそのような設定がなかったのでメトリックを直接設定してました。

しかし、それ以前にVPN経由のデフォルト・ゲートウェイをRTX1200にしないことにはRTX1200のWANから外へ出ていくことができません。

IPアドレスはFWX120側で指定した値なので問題ないつもりですが、サブネットマスクとデフォルトゲートウェイが気になってます。

クライアントのIPアドレスをVPNサーバ(FWX120)で配布しているのであれば、そのデフォルト・ゲートウェイとサブネット・マスクもFWX120が配布しているのではないかと思います。FWX120にそのような設定はないでしょうか?
もしくは、FWX120がクライアントのIPアドレスを配布するのではなく、サブネット内のDHCPを使うような設定がFWX120にないでしょうか?

VPNを使ったのは随分前なので記憶が定かで無く、外していたらすいません。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

+2

直感的にはおっしゃるとおり、デフォルトゲートウェイの設定の問題に感じますが、一応問題の切り分けをしましょう。
※ちなみにDHCPが無効な状態でIPアドレス等はどこで設定しているか認識できていますでしょうか。

  • VPN接続時にリモートデスクトップに接続できている、ということはLAN内への接続はできている、と考えられます。

そのため、考えられる原因は

  • DNS名前解決に失敗している
  • 通信経路の選択がうまく行っていない

あたりです。
この確認にはどちらもコマンドプロンプトを利用します。

VPN接続した状態で、

nslookup [接続したいホスト名]

の結果を確認しましょう。
経路の確認には

tracert [接続したいホストのIPアドレス]

を確認しましょう。
接続タイムアウトしているということは、上記のどちらか、もしくは両方で何らかの状態が確認できるはずです。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/06/23 18:48 編集

    nslookupとtracertコマンドを実行した結果は以下の通りでした。
    これは「通信経路の選択がうまく行っていない」ということでしょうか・・?
    正直、この段階で次に何をすれば良いのか分からずで、ご教示いただけないでしょうか。

    > nslookup yahoo.co.jp
    サーバー:Unknown
    Address: 192.168.0.2

    権限のない回答:
    名前: yahoo.co.jp
    Addresses: 182.22.59.229
    183.79.135.206

    > tracert 182.22.71.250

    f10.top.vip.ssk.yahoo.co.jp [182.22.71.250] へのルートをトレースしています
    経由するホップ数は最大で30です:

    1 4ms 5ms 4ms 192.168.0.2
    2 * * * 要求がタイムアウトしました。
    以下同様です

    キャンセル

  • 2016/06/23 19:20

    もう1つ確認ですが、VPN接続をした状態で RTX1200: 192.168.0.1 への疎通はできていますか。

    キャンセル

0

SoftEtherは使えないのでしょうか?

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/06/23 18:00

    ご回答ありがとうございます。
    初期費用がかかること(サーバーを立てるだったり、機器を購入する)はある程度大丈夫なのですが、維持費用(月額ライセンス費用等)がかかるものは厳しいです。
    説明不足で申し訳ありません。

    キャンセル

  • 2016/06/23 18:05

    おじゃまします。

    本筋とは異なりますが仮にSoftEtherに興味があるとして、SoftEtherにはオープンソース版があります。
    http://ja.softether.org/
    こちらであれば維持費用は特に別途かかるものはありません。

    キャンセル

  • 2016/06/23 18:05

    SoftEtherにはオープンソース版もあります。
    https://www.softether.jp/2-research/11-sevpn

    キャンセル

0

ブラウザで proxy が設定されていないのでは?

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

0

WINDOWSのネットワークアダプターの設定で
対象のVPNのアダプターのプロパティ
⇒ インターネットプロトコルバージョン4(TCP/IPv4)のプロパティ
⇒ 全般の詳細設定
⇒ リモートネットワークでデフォルトゲートウェイを使うのチェックを入れる

上記でPPTP先のデフォルトゲートウェイが使用できないでしょうか。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

0

Windows標準のVPN/L2TPクライアントを使用しているのでしょうか?
また、FWX120にVPN接続して、RTX1200側からインターネットを閲覧したいということでしょうか?

まず、確認ですが、FWX120経由ではインターネットに出れないのでしょうか?
Windows標準のVPN/L2TPクライアントは細かい設定はできずに、以下を設定しているのであれば、接続元のゲートウェイを参照するはずです。

「リモートネットワークでデフォルトゲートウェイを使う」をチェックしている

従って、上記の状態、かつFWX120経由でインターネットに抜けられる設定であれば、インターネットは見れるはずです。(パケットフィルタしている場合は別ですよ)

で、RTX1200側から出たいとのことですが、
ここからは私もやったことないので、空想です。参考程度にしてください。
なぜなら、デフォルトゲートウェイをいじると、VPNの接続そのものが怪しくなると思っています。

① まず、FWX120にVPN接続するとクライアントにIPが付与されると思いますが、このとき、RTX1200から対象のIPに対して疎通できることがルーティングの大前提だと思います。
疎通できないのであれば、FWX120側でproxy arp をonにしてみるとか。

② ①で疎通確認がとれたなら、VPNで接続した端末からRTX1200への疎通ができるかを確認します。
①で疎通確認とれたなら、問題ないはずです。
そうしたら試しにゲートウェイを設定してみましょう。
コマンドプロンプトで以下を実行

route add 0.0.0.0 mask 0.0.0.0 "RTX1200 LAN側IPアドレス"

これでVPNが瓦解してしまうようであれば、ルーティングの仕方を考える必要ありです。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

同じタグがついた質問を見る

  • ネットワーク

    642questions

    ネットワークとは、複数のコンピューター間を接続する技術です。インターネットが最も主流なネットワークの形態で、TCP/IP・HTTP・DNSなどの様々なプロトコルや、ルータやサーバーなどの様々な機器の上に成り立っています。

  • VPN

    103questions

    VPN(Virtual Private Network)は、仮想プライベートネットワークとも呼ばれ、インターネットに接続してるユーザー間に仮想的な通信トンネルを構築した組織内ネットワークです。認証や暗号化を用いて通信経路を保護し安全なネットワークの構築ができます。