質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.49%

  • ネットワーク

    654questions

    ネットワークとは、複数のコンピューター間を接続する技術です。インターネットが最も主流なネットワークの形態で、TCP/IP・HTTP・DNSなどの様々なプロトコルや、ルータやサーバーなどの様々な機器の上に成り立っています。

  • TCP

    189questions

    TCP(Transmission Control Protocol)とは、トランスポート層のプロトコルで、コネクション型のデータサービスです。

YAMAHA RTX1210でのconfing について

解決済

回答 2

投稿 編集

  • 評価
  • クリップ 2
  • VIEW 2,515

kudomasa

score 5

前提・実現したいこと

フレッツ光で接続しているのですが、2つのプロバイダを契約しており、プライベートIP別にグループを分けて接続・利用しています。
その中の1つ(片方)のグループを固定IP(1つ)に変更しました。
Web等は見れるのですが、PC1台だけに対してはグローバルIPアドレス、特定のUDPポートを開放する設定をしています。

発生している問題・エラーメッセージ

NATで内側のIPを設定するとその1台だけは問題ないですが、その方の端末ではWebがみれず。
IPマスカレードで設定するとPC1台だけがつながらず。

該当のソースコード

ip route default gateway pp 1 filter 100000 gateway pp 2 filter 100001 gateway pp 2 filter 100002
ip lan1 address 192.168.0.2/24

ip lan1 secure filter in 100010 100011 100012 100013 100014 100015 100016 100017 100018 100019 100121 100020 500000

switch control use lan1 on
switch control use lan2 on
pp select 1
description pp プロバイダ1
pp keepalive interval 30 retry-interval=30 count=12
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname プロバイダ情報
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp secure filter in 200100 200200 500000
ip pp nat descriptor 1000
pp enable 1
pp select 2
description pp プロバイダ2
pp keepalive interval 30 retry-interval=30 count=12
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname プロバイダ情報
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp address 固定IP
ip pp nat descriptor 2000
pp enable 2
ip filter 100000 pass 192.168.0.11-192.168.0.49 * * *
ip filter 100001 pass 192.168.0.50-192.168.0.59 * * *
ip filter 100002 pass 192.168.0.60-192.168.0.99 * * *
ip filter 100010 reject * * udp,tcp 135 *
ip filter 100011 reject * * udp,tcp * 135
ip filter 100012 reject * * udp,tcp netbios_ns-netbios_dgm *
ip filter 100013 reject * * udp,tcp * netbios_ns-netbios_dgm
ip filter 100014 reject * * udp,tcp netbios_ssn *
ip filter 100015 reject * * udp,tcp * netbios_ssn
ip filter 100016 reject * * udp,tcp 445 *
ip filter 100017 reject * * udp,tcp * 445
ip filter 100018 pass * * tcp * www
ip filter 100019 pass * * udp,tcp 46100-46122 *
ip filter 100020 pass * * udp,tcp * 1547
ip filter 100121 pass * 192.168.0.63 udp * 46100-46122
ip filter 200100 pass * 192.168.0.63 udp 46100-46122 46100-46122
ip filter 201100 pass * * udp * 1547,46100-46122
ip filter 201101 pass 固定IP * * 1547,46100-46122 *
ip filter 201102 pass * * udp * 1547,46100-46122
ip filter 500000 restrict * * * * *
ip filter dynamic 100100 * 192.168.0.63 udp
nat descriptor type 1000 masquerade
nat descriptor address outer 1000 ipcp
nat descriptor address inner 1000 auto
nat descriptor masquerade incoming 1000 reject 
nat descriptor type 2000 masquerade
nat descriptor address outer 2000 固定IP
nat descriptor address inner 2000 auto
nat descriptor masquerade incoming 2000 discard 
nat descriptor type 3000 nat
nat descriptor address outer 3000 ipcp
nat descriptor address inner 3000 auto
nat descriptor static 3000 500010 固定IP=192.168.0.60/28
nat descriptor masquerade incoming 3000 through 
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.0.11-192.168.0.125/24 expire 3:00
dhcp scope bind 1 IP ethernet MAC
dns host lan1
dns server pp 1
dns server select 500001 pp 1 any . restrict pp 1
dns server select 500002 pp 2 any . restrict pp 2
dns private address spoof on
upnp use on
upnp external address refer lan2
dashboard accumulate traffic on
dashboard accumulate nat on

試したこと

IPマスカレードで固定IPを設定して、その他の設定をしないで稼働すると端末ではWebを見る事ができました。

補足情報(言語/FW/ツール等のバージョンなど)

記述後、コマンドで流し込んだ後パネルから変更をかけたりして汚くなってまってます、すいません。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

質問への追記・修正、ベストアンサー選択の依頼

  • over

    2016/10/20 14:14

    最終目的は何でしょうか?固定IP側グループの特定の端末に対してUDPをNAPTして、他の端末がインターネットリソースに接続できる?でしょうか?また、configが動作の全てを物語ると思いますので、configを提示すればよりよい回答が得られるのではないでしょうか?(configを提示する場合はサイト依存のパラメータはマスクするのを忘れずに)

    キャンセル

  • kudomasa

    2016/10/20 16:00

    今、手元にないので家に帰ってから加工してあげさせていただきます。

    キャンセル

回答 2

checkベストアンサー

0

NATで内側のIPを設定するとその1台だけは問題ないですが、その方の端末ではWebがみれず。 
IPマスカレードで設定するとPC1台だけがつながらず。

これは、

NATで内側のIPを設定するとその1台だけは問題ないですが、そのの端末ではWebがみれず。 
IPマスカレードで設定すると、グローバルIP・特定portを解放する設定にしたいPC1台だけ
の特定portへの接続がつながらず。

と言いたいのでしょうか?読み手に推測させず、正確に状況を説明することが早い解決への第一歩です。

まず前提として、外側の固定IPが1つの状態で複数台で同時に使いたいのであれば、
Port も使って変換する NAPT(IP マスカレード)で対応する必要があります。
何をしたいのかがいまいち具体的でないので断定はできませんが、とりあえず、

nat descriptor masquerade static 2000 500010 192.168.0.60 udp 46100
nat descriptor masquerade static 2000 500011 192.168.0.60 udp 46101

といった記述を足すことで、「固定IP」の UDP port 46100~宛ての通信を、
192.168.0.60のUDP port 46100~へフォワードすることが可能です。また、
特定のport番号についてはport番号を変更されると困るというだけの場合には、

nat descriptor masquerade unconvertible port 2000 udp 46100-46122

とすることで、特定の port 番号(udp 46100-46122)についてはport番号を
変換させないようにすることも可能です。

おそらくはこのあたりで対応できるのではないでしょうか。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/10/21 10:59

    回答ありがとうございます。今日帰ったらコマンド投入してみたいと思います。

    キャンセル

  • 2016/10/24 13:12

    設定しましたら、大丈夫でした。NATはP to PでNAPTはP to MPというのはわかるんですが、YAMAHAの場合そう書かれていないので。 GUIではNATのみ、IPマスカレードのみ、NATとIPマスカレードという選択もあったりして混乱してしまいました。
    ありがとうございました。

    キャンセル

0

設定を見る限りだと、あまり理解されておらず設定されているように見えます。
パケットフィルタの設定を見る限りだと、192.168.0.63 に対して、46100-46122 をフォワードしたいということでしょうか?

であれば以下の設定が必要になります。
1)静的グローバルIPからのNAPTの場合
nat descriptor type "num" masquerade
nat descriptor address outer "num" "静的グローバルIP"
nat descriptor masquerade static "num" "num" 192.168.0.63 udp 46100-46122

2)動的グローバルIPからのNAPTの場合
nat descriptor type "num" masquerade
nat descriptor address outer "num" ipcp
nat descriptor masquerade static "num" "num" 192.168.0.63 udp 46100-46122
※"num"は適宜番号を設定してください。

なお、以下の設定をすると「IPマスカレードで設定するとPC1台だけがつながらず。」となるのでしょうか?
私には意味が分かりかねる設定ですが、問題があるように見えます。

nat descriptor type 3000 nat 
nat descriptor address outer 3000 ipcp 
nat descriptor address inner 3000 auto 
nat descriptor static 3000 500010 固定IP=192.168.0.60/28 
nat descriptor masquerade incoming 3000 through 

上記は何を意図して設定していますか?

またパケットフィルターについても、危険な設定が散見されます。

ip filter 100019 pass * * udp,tcp 46100-46122 * 

全ての送信元/udp,tcp/46100-46122 から、全ての送信先の全てのポートに許可する。

ip filter 100020 pass * * udp,tcp * 1547

全ての送信元/udp,tcp から、全ての送信先udp,tcp/1547 を許可する。

ip filter 201100 pass * * udp * 1547,46100-46122

全ての送信元/udp/1547,46100-46122 から、全ての送信先udp/1547,46100-46122 を許可する。
など。

ホストを公開する設定にあたっては、外部からの攻撃を最小限に留めるため、パケットフィルタリングの設定は重要になりますので、よく理解されたうえで設定すべきと考えます。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

同じタグがついた質問を見る

  • ネットワーク

    654questions

    ネットワークとは、複数のコンピューター間を接続する技術です。インターネットが最も主流なネットワークの形態で、TCP/IP・HTTP・DNSなどの様々なプロトコルや、ルータやサーバーなどの様々な機器の上に成り立っています。

  • TCP

    189questions

    TCP(Transmission Control Protocol)とは、トランスポート層のプロトコルで、コネクション型のデータサービスです。