投稿2016/06/23 08:18
###実現したいこと
外出先からIP制限されたサイトにアクセスしたいです
###前提
・目的のサイトは会社の固定グローバルIPでアクセス制限をかけてます。
・原則として、そのIP制限を広げるのはNGです。
・社内までのアクセスはVPNを使って、ある程度セキュアであることが求められてます。
###ネットワーク構成
・社内のWAN回線を2つ持っており、以下のネットワーク構成にしてます。
Internet-(LAN2)RTX1200(LAN1)-(LAN1)FWX120(LAN2)-Internet[VPN] RTX1200: 192.168.0.1(DHCP機能オン) FWX120: 192.168.0.2(DHCP機能オフ)
RTX1200とFWX120のLAN1配下ネットワークは同一セグメントにして、結果的にFWX120のLAN1直下には192.168.0.0/24の各ホストが存在するようにしてます。
RTX1200のWAN側が固定のグローバルIPを持っており、FWX120のWAN側はネットボランチDNS(ダイナミックDNS)を利用してアクセスできるようにしてます。
###発生している問題
・VPN接続後、ブラウザからインターネットを閲覧すると、タイムアウトエラーになりインターネットに出られません。
・IPを直打ちで叩いても見れないので、名前解決が問題ではないと思ってます。
・ちなみにVPN接続時はPPPアダプタが以下のようになってます。
PPP アダプター VPN 接続: 接続固有の DNS サフィックス . . . : 説明. . . . . . . . . . . . . . . : VPN 接続 物理アドレス. . . . . . . . . . . : DHCP 有効 . . . . . . . . . . . . : いいえ 自動構成有効. . . . . . . . . . . : はい IPv4 アドレス . . . . . . . . . . : 192.168.0.210(優先) サブネット マスク . . . . . . . . : 255.255.255.255 デフォルト ゲートウェイ . . . . . : 0.0.0.0 DNS サーバー. . . . . . . . . . . : 192.168.0.2 NetBIOS over TCP/IP . . . . . . . : 有効
IPアドレスはFWX120側で指定した値なので問題ないつもりですが、サブネットマスクとデフォルトゲートウェイが気になってます。出たいデフォルトゲートウェイ(RTX1200)は192.168.0.1なはずなので・・。
###試したこと
・FWX120にアクセスして、そこから「リモートデスクトップ」を用いて、192.168.0.0/24のホスト内に入ってしまえば、実現したいことは可能でした。
・WindowsのGUIで「リモートネットワークでデフォルトゲートウェイを使う」にチェックを外すと、インターネットには出れますが、社内ネットワークを経由せずにインターネットに出てしまうようで、やりたいことが実現できませんでした。(IP確認サイトでグローバルIPを見ましたが、会社のグローバルIPではありませんでした。)
・接続元のルーティングテーブルの書き換えも挑戦しましたがうまく行きませんでした。(そもそも正しく設定できたのか怪しいです。。)
###補足情報(言語/FW/ツール等のバージョンなど)
・ルーターはどちらもヤマハ製です。
・接続元の端末はWindows機を想定してます。もちろんMacでもやりたいのですが、まずはWindowsから出来ればと思ってます。
・VPN接続時のプロトコルは L2TP over IPsecを使ってます。
回答6件
3
ベストアンサー
こんにちは。
昔似たようなことをやったことありますが、その時はデフォルト・ゲートウェイのメトリックを設定して、VPN側を優先するようにした記憶があります。(VPN経由のデフォルト・ゲートウェイとVPNへ接続するためのデフォルト・ゲートウェイの2つが存在することになるので。)
「リモートネットワークでデフォルトゲートウェイを使う」はそのための設定っぽいですね。当時のWindowsにはそのような設定がなかったのでメトリックを直接設定してました。
しかし、それ以前にVPN経由のデフォルト・ゲートウェイをRTX1200にしないことにはRTX1200のWANから外へ出ていくことができません。
IPアドレスはFWX120側で指定した値なので問題ないつもりですが、サブネットマスクとデフォルトゲートウェイが気になってます。
クライアントのIPアドレスをVPNサーバ(FWX120)で配布しているのであれば、そのデフォルト・ゲートウェイとサブネット・マスクもFWX120が配布しているのではないかと思います。FWX120にそのような設定はないでしょうか?
もしくは、FWX120がクライアントのIPアドレスを配布するのではなく、サブネット内のDHCPを使うような設定がFWX120にないでしょうか?
VPNを使ったのは随分前なので記憶が定かで無く、外していたらすいません。
投稿2016/06/23 09:41
編集2016/06/23 09:46
総合スコア23266
2
直感的にはおっしゃるとおり、デフォルトゲートウェイの設定の問題に感じますが、一応問題の切り分けをしましょう。
※ちなみにDHCPが無効な状態でIPアドレス等はどこで設定しているか認識できていますでしょうか。
そのため、考えられる原因は
あたりです。
この確認にはどちらもコマンドプロンプトを利用します。
VPN接続した状態で、
nslookup [接続したいホスト名]
の結果を確認しましょう。
経路の確認には
tracert [接続したいホストのIPアドレス]
を確認しましょう。
接続タイムアウトしているということは、上記のどちらか、もしくは両方で何らかの状態が確認できるはずです。
投稿2016/06/23 09:02
総合スコア2037
回答へのコメント
0
Windows標準のVPN/L2TPクライアントを使用しているのでしょうか?
また、FWX120にVPN接続して、RTX1200側からインターネットを閲覧したいということでしょうか?
まず、確認ですが、FWX120経由ではインターネットに出れないのでしょうか?
Windows標準のVPN/L2TPクライアントは細かい設定はできずに、以下を設定しているのであれば、接続元のゲートウェイを参照するはずです。
「リモートネットワークでデフォルトゲートウェイを使う」をチェックしている
従って、上記の状態、かつFWX120経由でインターネットに抜けられる設定であれば、インターネットは見れるはずです。(パケットフィルタしている場合は別ですよ)
で、RTX1200側から出たいとのことですが、
ここからは私もやったことないので、空想です。参考程度にしてください。
なぜなら、デフォルトゲートウェイをいじると、VPNの接続そのものが怪しくなると思っています。
① まず、FWX120にVPN接続するとクライアントにIPが付与されると思いますが、このとき、RTX1200から対象のIPに対して疎通できることがルーティングの大前提だと思います。
疎通できないのであれば、FWX120側でproxy arp をonにしてみるとか。
② ①で疎通確認がとれたなら、VPNで接続した端末からRTX1200への疎通ができるかを確認します。
①で疎通確認とれたなら、問題ないはずです。
そうしたら試しにゲートウェイを設定してみましょう。
コマンドプロンプトで以下を実行
route add 0.0.0.0 mask 0.0.0.0 "RTX1200 LAN側IPアドレス"
これでVPNが瓦解してしまうようであれば、ルーティングの仕方を考える必要ありです。
投稿2016/06/23 09:32
総合スコア4307
0
WINDOWSのネットワークアダプターの設定で
対象のVPNのアダプターのプロパティ
⇒ インターネットプロトコルバージョン4(TCP/IPv4)のプロパティ
⇒ 全般の詳細設定
⇒ リモートネットワークでデフォルトゲートウェイを使うのチェックを入れる
上記でPPTP先のデフォルトゲートウェイが使用できないでしょうか。
投稿2016/06/23 09:14
総合スコア173
0
ブラウザで proxy が設定されていないのでは?
投稿2016/06/23 09:10
退会済みユーザー
総合スコア0
回答へのコメント
あなたの回答
tips
プレビュー
Q&A
下記のような回答は推奨されていません。
このような回答には修正を依頼しましょう。
また依頼した内容が修正された場合は、修正依頼を取り消すようにしましょう。