質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.61%

  • Linux

    3639questions

    Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

  • ネットワーク

    523questions

    ネットワークとは、複数のコンピューター間を接続する技術です。インターネットが最も主流なネットワークの形態で、TCP/IP・HTTP・DNSなどの様々なプロトコルや、ルータやサーバーなどの様々な機器の上に成り立っています。

  • VPN

    80questions

    VPN(Virtual Private Network)は、仮想プライベートネットワークとも呼ばれ、インターネットに接続してるユーザー間に仮想的な通信トンネルを構築した組織内ネットワークです。認証や暗号化を用いて通信経路を保護し安全なネットワークの構築ができます。

L2TP/IPsecでVPN接続のトラブルシューティングについて。

解決済

回答 4

投稿

  • 評価
  • クリップ 0
  • VIEW 1,924

zakio49

score 21

前提・実現したいこと

L2TP/IPsec方式でVPN接続を行いたいです。
yamahaルーター側とmac/win/iphoneなど接続機器側での認証方式・鍵の間違いはないと思います。

エラーの解消方法としてどのような手法があるか教えていただけないでしょうか。

ネットワーク構成


Internet-|OG800Xa(ntt)---rtx1200(yamahaVPNルータ)---corega sw24gt(スイッチング HUB)---ftpサーバ・dnsサーバ

エラーメッセージ

<windowsの接続時のアラート>
リモートコンピューターと最初にネゴシエートするときに、セキュリティ層で処理エラーが検出された為、l2tp接続に失敗しました

<Mac接続時のエラーメッセージ>
・長いので質問の末尾に張らせていただきます。

試したこと

・PPTP方式によるVPNでは接続を確認してます。
・スマホ・iMac・windowsでも接続を試して自宅・会社でも接続エラーだったので機器側の故障ではないと思います。
・yamahaのvpnルータのL2TP・IPsecの設定は一通り試しました。

補足情報(言語/FW/ツール等のバージョンなど)

より詳細な情報

スマホ・iMac・windowsでも接続を試したので事前共有鍵で間違っていること、認証プロトコルの不一致ではじかれていることはないと思います。ただiMacでログを確認した際にIPsecの最初の段階で事前共有鍵があっていないといわれている気がします。

syslogは

2017/01/05 20:56:25: PP[01] Rejected at IN(default) filter: TCP 14.0.**.***:80 
> 192.168.100.8:60120
2017/01/05 20:56:25: PP[01] Rejected at IN(default) filter: TCP 14.0.**.***:80 
> 192.168.100.8:60123
2017/01/05 20:56:26: [INSPECT] PP[01][out][200082] TCP 192.168.100.31:51873 > 2
16.**.***.***:443 (2017/01/05 20:52:21)
2017/01/05 20:56:26: [INSPECT] PP[01][out][200082] TCP 192.168.100.2:34589 > 16
2.***.**.***:443 (2017/01/05 20:55:20)
2017/01/05 20:56:26: [INSPECT] PP[01][out][200082] TCP 192.168.100.31:51876 > 1
72.***.**.**:443 (2017/01/05 20:52:21)
2017/01/05 20:56:26: [INSPECT] PP[01][out][200081] UDP 119.***.**.***:10570 > 2
10.***.***.*:53 (2017/01/05 20:56:19)
2017/01/05 20:56:26: PP[01] Rejected at IN(default) filter: TCP 151.***.**.***:
443 > 192.168.100.5:50027
2017/01/05 20:56:26: PP[01] Rejected at IN(default) filter: TCP 52.***.**.**:80
 > 192.168.100.2:34676
2017/01/05 20:56:26: PP[01] Rejected at IN(default) filter: TCP 151.***.**.***:
443 > 192.168.100.5:50052
2017/01/05 20:56:27: [INSPECT] PP[01][out][200082] TCP 192.168.100.2:35292 > 52
.95.**.***:443 (2017/01/05 20:56:11)

考えられる解決法?

NTTのog800xaが何か悪さしている・fwのアップデートを行う。
wiresharkで事前共有鍵が正しいかを確認する。
yamahaさんに連絡する

yamahaのrtx1200の前にnttのブロードバンドルータがあるのが何か悪さをしているくらいしか皆目見当つかなく白旗状態なので、ご鞭撻いただければと思います。よろしくお願いいたします。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

質問への追記・修正、ベストアンサー選択の依頼

  • himazin.blm

    2017/01/12 09:28

    VPN接続設定がうまくいかなくなる原因は多岐にわたるため、ルータがどういう設定をされているかの情報は必要です。IP/ID/Pass/事前共有鍵等をダミーに置換した状態でconfigの内容を提示された方が良いでしょう。

    キャンセル

  • zakio49

    2017/01/13 14:40

    ご指摘ありがとうございます。configファイルを上げさせていただいたので見ていただければ幸いです。よろしくお願いいたします。

    キャンセル

回答 4

checkベストアンサー

0

設定を見せていただきました。詳細までは追っていませんが、ざっと見ただけでも気になる
点がいくつかありました。

まずL2TP/IPSecの場合、NATトラバーサル対応するなら下記が必要だと設定例にあります。

nat descriptor masquerade static 1 1 192.168.100.1 esp
nat descriptor masquerade static 1 2 192.168.100.1 udp 500
nat descriptor masquerade static 1 3 192.168.100.1 udp 4500 

しかし、この設定には3行目にあたる部分がないように見えます。そしてフィルタリング設定
でもudp4500指定はありませんし、それ以前にespを通す指定がないように見えます。
あとpp1の「ip pp secure filter in」行はフィルタ番号指定が途中で切れていませんか?

使われていない設定行も散見されますし、この設定をエクセルシートのB列にコピーして
下記のような作業をやることで、設定の整理整頓をしてみることをおすすめします。

  • A列にその設定行の意味を書く
  • インターフェース・プロトコルなどごとに背景色を変える
  • ip pp secure filter行の下に対応するip filter行を持ってくる
  • 同種の数値は文字色を変更して分類する(NATディスクリプタ番号=赤とか)

まあ、日本語のリファレンスマニュアルと豊富な技術資料文書があってなお、
最終的にはlog等を見ながら試行錯誤するしかないんですけどね・・・

フィルタリングについては、学習を目的にできる環境であれば、基本ルールをrejectに
設定した上で、最低限必要な穴だけを開ける形で通信させようとしてみると、
苦労はしますがかなり詳細に挙動を把握できるようになれますが、まあ現実的には
フィルタを緩く設定して、とにかく動作する状態を確保してからできる範囲で絞りこむ、
という形で進めるあたりとなるでしょう。

NAT/VPNで、処理対象パケットの発信元&宛先のIP・portがどのタイミングで
どう書き換わるのか、あたりを基本rejectなルールで最低限の許可フィルタで通そうと
すると、勉強にはなりますが、かなり困難です。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

0

<Mac接続時のエラーメッセージ>

1024-bit MODP group(2)


——ISAKMP phase1—

pre-shared key(1)
lifetime = 3600
lifebyte = 0
encklen=128
p:1 t:4
AES-CBC(7)—暗号化のアルゴリズム
MD5(1)-ハッシュ方式
1024-bit MODP group(2)
pre-shared key(1)
lifetime = 3600
lifebyte = 0
encklen=0
p:1 t:5
3DES-CBC(5)—暗号化のアルゴリズム
SHA(2)-secure hash system
1024-bit MODP group(2)
pre-shared key(1)-認証方式かパスワードで間違っている。
lifetime = 3600
lifebyte = 0
encklen=0
p:1 t:6
3DES-CBC(5)
MD5(1)-128ビットのハッシュ値を出力するハッシュ関数
1024-bit MODP group(2)
pre-shared key(1)
parse succeeded.
plogsetfile: about to add racoon log file: /var/log/racoon.log
racoon launched by launchd.

-racoon.logに書いていある
—ISAKMPのmainモード-
my interface: ::1 (lo0)-local loopback
my interface: 127.0.0.1 (lo0)
my interface: fe80::1%lo0 (lo0)
my interface: fe80::7e6d:62ff:ff:ff:ff:ff%en1 (en1)
my interface: 192.168.100.55 (en1)
my interface: 192.168.56.1 (vboxnet0)-virtualBox使わない
configuring default isakmp port.
12 addrs are configured successfully
192.168.56.1[500] used as isakmp port (fd=8)
192.168.56.1[4500] used as isakmp port (fd=9)
192.168.100.55[500] used as isakmp port (fd=10)
192.168.100.55[4500] used as isakmp port (fd=11)
fe80::7e6d:**:**:**%en1[500] used as isakmp port (fd=12)
fe80::7e6d:**:**:**%en1[4500] used as isakmp port (fd=13)
fe80::1%lo0[500] used as isakmp port (fd=14)
fe80::1%lo0[4500] used as isakmp port (fd=15)
127.0.0.1[500] used as isakmp port (fd=16)
127.0.0.1[4500] used as isakmp port (fd=17)
::1[500] used as isakmp port (fd=18)
::1[4500] used as isakmp port (fd=19)
found launchd socket.
accepted connection on vpn control socket.
received bind command on vpn control socket.-yamahaからの返事
checking listen addrs: 192.168.56.1[500]
checking listen addrs: 192.168.56.1[4500]
checking listen addrs: 192.168.100.55[500]

—通信機器の認証ができた-
suitable outbound SP found: 192.168.100.55/32[64246] 119.**.**.***/32[1701] proto=udp dir=out.
Suitable inbound SP found: 119.**.**.***/32[1701] 192.168.100.55/32[64246] proto=udp dir=in.
configuration found for 119.**.**.***.

ネゴシエーション、鍵計算用のパラメータの交換・計算していない・通信相手の認証

—IPSec SA—

*** New Phase 2
Got new Phase 2 version 16
****** state changed to: IKEv1 quick I start
new acquire 192.168.100.55/32[64246] 119.***.**.***/32[1701] proto=udp dir=out
 (proto_id=ESP spisize=4 spi=00000000 spi_p=00000000 encmode=Transport reqid=0:0)—セキュリテプロトコルの指定esp-
  (trns_id=AES encklen=256 authtype=hmac-sha)—暗号化方式・認証方式
  (trns_id=AES encklen=256 authtype=hmac-md5)
  (trns_id=AES encklen=128 authtype=hmac-sha)
  (trns_id=AES encklen=128 authtype=hmac-md5)
  (trns_id=3DES encklen=0 authtype=hmac-sha)
  (trns_id=3DES encklen=0 authtype=hmac-md5)
start search for IKE-Session. target 119.***.**.***[0].
New IKE-Session to 119.***.**.***[0].
Connecting.
In post_acquire
configuration found for 119.***.**.***.


ike_session_has_other_negoing_ph2: ph2 sub spid 61, db spid 61
IPsec-SA request for 119.***.**.*** queued due to no Phase 1 found.
*** New Phase 1
****** state changed to: IKEv1 ident I start
===
initiate new phase 1 negotiation: 192.168.100.55[500]<=>119.***.**.***[500]
begin Identity Protection mode.
IPSec Phase 1 started (Initiated by me).—初期化してるけど・・・
new cookie:
e1e8ee6f0bc110a6 
add payload of len 224, next type 13
add payload of len 16, next type 13
add payload of len 16, next type 13
add payload of len 16, next type 13
add payload of len 16, next type 13
add payload of len 16, next type 13
add payload of len 16, next type 13
add payload of len 16, next type 13
add payload of len 16, next type 13
add payload of len 16, next type 13
add payload of len 16, next type 13
add payload of len 20, next type 13
add payload of len 16, next type 0
500 bytes from 192.168.100.55[500] to 119.***.**.***[500]
sockname 192.168.100.55[500]
send packet from 192.168.100.55[500]
send packet to 119.***.**.***[500]
@@@@@@ data being sent:

e1e8ee6f 0bc110a6 00000000 00000000 01100200 00000000 000001f4 0d0000e4
00000001 00000001 000000d8 01010006 03000024 01010000 800b0001 800c0e10
80010007 800e0100 80030001 80020002 80040002 03000024 02010000 800b0001
800c0e10 80010007 800e0100 80030001 80020001 80040002 03000024 03010000
800b0001 800c0e10 80010007 800e0080 80030001 80020002 80040002 03000024
04010000 800b0001 800c0e10 80010007 800e0080 80030001 80020001 80040002
03000020 05010000 800b0001 800c0e10 80010005 80030001 80020002 80040002
******** ******** ******** ******** ******** ******** ******** ********
******** ******** ******** ******** ******** ******** ******** ********
******** ******** ******** ******** ******** ******** ******** ********
******** ******** ******** ******** ******** ******** ******** ********

1 times of 500 bytes message will be sent to 119.***.**.***[500]
Resend Phase 1 packet e1e8ee6f0bc110a6:0000000000000000
****** state changed to: IKEv1 ident I msg1 sent
IKE Packet: transmit success. (Initiator, Main-Mode message 1).
>>>>> phase change status = Phase 1 started by us
vpn control writing 20 bytes

—パケット送ったら、ph1のハンドラが確立できないって言われる
CHKPH1THERE: no established ph1 handler found
CHKPH1THERE: no established ph1 handler found
500 bytes from 192.168.100.55[500] to 119.***.**.***[500]
sockname 192.168.100.55[500]
send packet from 192.168.100.55[500]
send packet to 119.***.**.***[500]
@@@@@@ data being sent:

e1e8ee6f 0bc110a6 00000000 00000000 01100200 00000000 000001f4 0d0000e4
00000001 00000001 000000d8 01010006 03000024 01010000 800b0001 800c0e10
80010007 800e0100 80030001 80020002 80040002 03000024 02010000 800b0001
800c0e10 80010007 800e0100 80030001 80020001 80040002 03000024 03010000
800b0001 800c0e10 80010007 800e0080 80030001 80020002 80040002 03000024
04010000 800b0001 800c0e10 80010007 800e0080 80030001 80020001 80040002
03000020 05010000 800b0001 800c0e10 80010005 80030001 80020002 80040002
******** ******** ******** ******** ******** ******** ******** ********
******** ******** ******** ******** ******** ******** ******** ********
******** ******** ******** ******** ******** ******** ******** ********
******** ******** ******** ******** ******** ******** ******** ********

1 times of 500 bytes message will be sent to 119.***.**.***[500]
IKE Packet: transmit success. (Phase 1 Retransmit).
Resend Phase 1 packet e1e8ee6f0bc110a6:0000000000000000
CHKPH1THERE: no established ph1 handler found
vpn_control socket closed by peer.
received disconnect all command.
IPSec disconnecting from server 119.***.**.***


in ike_session_purgephXbydstaddrwop... purging Phase 2 structures
Phase 2 sa expired 192.168.100.55-119.***.**.***
****** state changed to: Phase 2 expired
in ike_session_purgephXbydstaddrwop... purging Phase 1 and related Phase 2 structures
IPsec-SA needs to be purged: ESP 192.168.100.55[0]->119.***.**.***[0] spi=1023410176(0x3d000000)
ISAKMP-SA expired 192.168.100.55[500]-119.***.**.***[500] spi:e1e8ee6f0bc110a6:0000000000000000
****** state changed to: Phase 1 expired
no ph1bind replacement found. NULL ph1.
vpncontrol_close_comm.



==== Got usr1 signal - re-parsing configuration.
==== flush negotiating sessions.
flushing ph2 handles: ignore_estab_or_assert 1...
Flushing Phase 1 handles: ignore_estab_or_assert 1...
already stopped ike_session_stopped_by_controller.
===== parsing configuration
reading configuration file /etc/racoon/racoon.conf
lifetime = 60
lifebyte = 0
encklen=0
p:1 t:1
3DES-CBC(5)
SHA(2)
1024-bit MODP group(2)
pre-shared key(1)
hmac(modp1024)
filename: /var/run/racoon/*.conf
glob found no matches for path "/var/run/racoon/*.conf"
parse succeeded.
SADB delete message: proto-id 3
src: 192.168.100.55[64246]
dst: 119.***.**.***[1701]
SADB delete message: proto-id 3
src: 119.***.**.***[1701]
dst: 192.168.100.55[64246]
SADB delete message: proto-id 3
src: 192.168.100.55[64246]
dst: 119.***.**.***[1701]
SADB delete message: proto-id 3
src: 119.***.**.***[1701]
dst: 192.168.100.55[64246]
CHKPH1THERE: ph2 handle has advanced too far (status 18432, START 6336, dying -1)... ignoring
performing auto exit
Flushing Phase 1 handles: ignore_estab_or_assert 0...
vpncontrol_close.
racoon shutdown

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

0

RTX1200の設定が不明なので推測で回答です。間違っていたらすいません。
もし、PPPoEパススルーを使用しない構成でog800xaがPPPoE接続をしているようであれば、NATトラバーサルをRTX1200側で設定する必要があると思います。
「NATトラバーサル」で検索すれば期待したサイト見つけられると思います。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

0

ルータのconfigファイルをあげさせていただきます。

login password *
administrator password *
login user admin *
security class 2 on on on
console info on
ip route default gateway pp 1
ip lan1 address 192.168.100.1/24
ip lan1 proxyarp on
ip lan1 secure filter in 100000 100001 100002 100003 100004 100005 100006 100007 100099
pp select 1
description pp PRV/PPPoE/0:BIGLOBE
pp keepalive interval 30 retry-interval=30 count=12
pp always-on on
pppoe use lan2
pppoe auto connect on
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname ************  ******
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp address *.*..*/32
ip pp mtu 1500
ip pp secure filter in 1 2 1020 200003 200020 200021 200022 200023 200024 200025 200030 200032
ip pp secure filter out 200013 200020 200021 200022 200023 200024 200025 200026 200027 200099 dynamic 200080 200081 200082 200083 200084 200098 200099
ip pp intrusion detection in on
ip pp intrusion detection in ip on reject=off
ip pp intrusion detection in ip-option on reject=off
ip pp intrusion detection in fragment on reject=off
ip pp intrusion detection in icmp on reject=off
ip pp intrusion detection in udp on reject=off
ip pp intrusion detection in tcp on reject=off
ip pp intrusion detection in default off
ip pp intrusion detection out on
ip pp intrusion detection out ftp on reject=off
ip pp intrusion detection out winny on reject=off
ip pp intrusion detection out share on reject=off
ip pp intrusion detection out default off
ip pp nat descriptor 1000
pp enable 1
pp select 2
url pp filter out 1
pp select 3
pp name sfc
pp bind tunnel6
pp auth request mschap-v2
pp auth username test test
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address dhcp
ip pp mtu 1258
pp enable 3
pp select anonymous
pp name test
pp bind tunnel1-tunnel5
pp auth request mschap-v2
pp auth username * **
pp auth username * **
pp auth username vpn_test aaaaa
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type mppe-any
ip pp remote address pool dhcp
ip pp mtu 1258
pptp service type server
pp enable anonymous
tunnel select 1
tunnel encapsulation pptp
tunnel enable 1
tunnel select 2
tunnel encapsulation pptp
tunnel enable 2
tunnel select 3
tunnel encapsulation pptp
tunnel enable 3
tunnel select 4
tunnel encapsulation pptp
tunnel enable 4
tunnel select 5
tunnel encapsulation l2tp
ipsec tunnel 1
ipsec sa policy 1 1 esp des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 off
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text *
ipsec ike remote address 1 any
l2tp tunnel auth off 
l2tp tunnel disconnect time 30
l2tp keepalive use on
ip tunnel tcp mss limit auto
tunnel enable 5
tunnel select 6
tunnel encapsulation l2tp
tunnel endpoint address *
...**
ipsec tunnel 2
ipsec sa policy 2 2 esp aes-cbc sha-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text *
ipsec ike remote address 2 *
...**
l2tp tunnel auth off 
l2tp keepalive use on
ip tunnel tcp mss limit auto
tunnel enable 6
ip filter 1 pass * * tcp * 1723
ip filter 2 pass * * gre
ip filter 1020 pass *... 192.168.100.1 udp * 500
ip filter 1021 pass *... 192.168.100.1 tcp * 1723
ip filter 1022 pass *... 192.168.100.1 gre
ip filter 100000 reject * * udp,tcp 135 *
ip filter 100001 reject * * udp,tcp * 135
ip filter 100002 reject * * udp,tcp netbios_ns-netbios_dgm *
ip filter 100003 reject * * udp,tcp * netbios_ns-netbios_dgm
ip filter 100004 reject * * udp,tcp netbios_ssn *
ip filter 100005 reject * * udp,tcp * netbios_ssn
ip filter 100006 reject * * udp,tcp 445 *
ip filter 100007 reject * * udp,tcp * 445
ip filter 100099 pass * * * * *
ip filter 200000 reject 10.0.0.0/8 * * * *
ip filter 200001 reject 172.16.0.0/12 * * * *
ip filter 200002 reject 192.168.0.0/16 * * * *
ip filter 200003 reject 192.168.100.0/24 * * * *
ip filter 200010 reject * 10.0.0.0/8 * * *
ip filter 200011 reject * 172.16.0.0/12 * * *
ip filter 200012 reject * 192.168.0.0/16 * * *
ip filter 200013 reject * 192.168.100.0/24 * * *
ip filter 200020 reject * * udp,tcp 135 *
ip filter 200021 reject * * udp,tcp * 135
ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 200024 reject * * udp,tcp 445 *
ip filter 200025 reject * * udp,tcp * 445
ip filter 200026 restrict * * tcpfin * www,21,nntp
ip filter 200027 restrict * * tcprst * www,21,nntp
ip filter 200030 pass * 192.168.100.0/24 icmp * *
ip filter 200031 pass * 192.168.100.0/24 established * *
ip filter 200032 pass * 192.168.100.0/24 tcp * ident
ip filter 200033 pass * 192.168.100.0/24 tcp ftpdata *
ip filter 200034 pass * 192.168.100.0/24 tcp,udp * domain
ip filter 200035 pass * 192.168.100.0/24 udp domain *
ip filter 200036 pass * 192.168.100.0/24 udp * ntp
ip filter 200037 pass * 192.168.100.0/24 udp ntp *
ip filter 200080 pass * 192.168.100.1 esp * *
ip filter 200081 pass * 192.168.100.1 udp * 500
ip filter 200099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 200080 * * ftp
ip filter dynamic 200081 * * domain
ip filter dynamic 200082 * * www
ip filter dynamic 200083 * * smtp
ip filter dynamic 200084 * * pop3
ip filter dynamic 200098 * * tcp
ip filter dynamic 200099 * * udp
nat descriptor type 1 masquerade
nat descriptor type 1000 masquerade
nat descriptor masquerade static 1000 1 192.168.100.1 tcp 1723
nat descriptor masquerade static 1000 2 192.168.100.1 gre
nat descriptor masquerade static 1000 101 192.168.100.1 esp
nat descriptor masquerade static 1000 102 192.168.100.1 udp 500
ipsec auto refresh on
ipsec transport 5 1 udp 1701
ipsec transport 6 2 udp 1701
url filter 1 pass-log ** *
syslog notice on
syslog info off
syslog debug on
tftp host 192.168.100.26
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.95/24
dns server pp 1
dns server select 500001 pp 1 any . restrict pp 1
dns private address spoof on
snmp sysname yamaha-rtx1200-00a0de68ffe7
pptp service on
httpd service on
httpd host lan1
sshd service on
sshd host key generate *
external-memory syslog filename usb1:rt_syslog.log
statistics cpu on
statistics memory on
statistics qos on

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.61%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

  • 解決済

    異なるネットワークへのルーティング方法

    現在使用しているPC(IPアドレス:192.168.5.3)はスイッチングハブHUB-Aに接続されています。 HUB-Aには、機器A(IPアドレス:192.168.251.1)も

  • 解決済

    WEBサーバの外部公開に伴う設定について

    ■前提・実現したいこと お世話になっております、ネットワーク初心者、Linux初心者です。 以下のような環境で外部にWEBサーバを公開(WEBサービスを公開)したいと思いま

  • 解決済

    1つのノードにだけtracertが到達しない

    いつもお世話になっています。 会社のネットワーク設定で問題が発生しており、原因調査の観点をお教え頂ければと思います。  前提 3つのネットワークがあり、その下にノード

  • 解決済

    keepalivedでのメール通知について

    CentOS7にてkeepalivedを入れており、アラートメールを飛ばすよう設定しています。 このアラートメールは現在、以下のように送られてきます。 => CHEC

  • 解決済

    nginxによるリバースプロキシの設定について

    前提・実現したいこと nginxを使用してリバースプロキシを構築し、1つのグローバルIPアドレスで複数のWEBサイトを公開しようとしています。 【confの設定】 serv

  • 解決済

    Raspberry PiのIPアドレス固定?

     基本的な情報 OS RASPBIAN STRETCH LITE August 2017 (最近出た新しいバージョンです) Raspberry Pi 3 MOdel B

  • 受付中

    VirtualBoxで作成したVMにpingが通らない

    VBのホストオンリーアダプターとNATをネットワークアダプタとして、VMを作成しました。 VMはCentOS7で ホストOSはMacOSXです。 ipも正常に設定されている

  • 解決済

    IPsecVPNの通信設定について

    拠点Bから拠点Aの通信をIPsecVPN技術を使用しております。 拠点Bから拠点Aにぶら下がっている端末にリモートアクセスが出来るので、 設定自体は問題ない思われますが、拠点Bから

同じタグがついた質問を見る

  • Linux

    3639questions

    Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

  • ネットワーク

    523questions

    ネットワークとは、複数のコンピューター間を接続する技術です。インターネットが最も主流なネットワークの形態で、TCP/IP・HTTP・DNSなどの様々なプロトコルや、ルータやサーバーなどの様々な機器の上に成り立っています。

  • VPN

    80questions

    VPN(Virtual Private Network)は、仮想プライベートネットワークとも呼ばれ、インターネットに接続してるユーザー間に仮想的な通信トンネルを構築した組織内ネットワークです。認証や暗号化を用いて通信経路を保護し安全なネットワークの構築ができます。