今回は疑問が一つありまして書き込みします。

解説にもfilterの設定がありますが、
「ip pp secure filter〜」はルータの内と外を行き来するデータにかかるとして、
「ip lan1 secure filter〜」はどういう経路にかかるのでしょう。
また、トンネリングされている2拠点間を行き来する経路にも、
このfilterがかかっているようです。
2拠点間の経路にはfilterをかけたくないのですが、
そのようなことはできるのでしょうか？

marronです。

> 解説にもfilterの設定がありますが、
> 「ip pp secure filter〜」はルータの内と外を行き来するデータにかかるとして、
> 「ip lan1 secure filter〜」はどういう経路にかかるのでしょう。
> また、トンネリングされている2拠点間を行き来する経路にも、
> このfilterがかかっているようです。
lan1 に通る通信全てがフィルタの対象となりますのでインターネット通信、VPN通信が対象となります。
VPN通信全てを許可するにはlan1のフィルタ設定に拠点のネットワークアドレスを
許可(pass)する定義をすることでVPN間通信を全て許可することが出来ます。
一度、お試しください。

以上よろしくお願いいたします。

返信ありがとうございます

> lan1 に通る通信全てがフィルタの対象となりますのでインターネット通信、VPN通信が対象となります。

とすると、
135・138といったポートの遮断はppセッションに対してのみ行えば、
VPN通信を含めた内部通信にはフィルタがかからず、
インターネットなどの外部との通信にのみフィルタがかかるという認識でよろしいですか？

> VPN通信全てを許可するにはlan1のフィルタ設定に拠点のネットワークアドレスを
> 許可(pass)する定義をすることでVPN間通信を全て許可することが出来ます。

ip filter 300000 pass 192.168.A.0/24 192.168.B.0/24 * * *
こんな感じでしょうか。
試してみます。

met様

marronです。
> > lan1 に通る通信全てがフィルタの対象となりますのでインターネット通信、VPN通信が対象となります。
>
> とすると、
> 135・138といったポートの遮断はppセッションに対してのみ行えば、
> VPN通信を含めた内部通信にはフィルタがかからず、
> インターネットなどの外部との通信にのみフィルタがかかるという認識でよろしいですか？
そうなると思います。
しかし、無駄なパケット(NetBiosなど)をppでブロックするよりは lan1 でブロックした方が
config的にはスマートですね。


> > VPN通信全てを許可するにはlan1のフィルタ設定に拠点のネットワークアドレスを
> > 許可(pass)する定義をすることでVPN間通信を全て許可することが出来ます。
>
> ip filter 300000 pass 192.168.A.0/24 192.168.B.0/24 * * *
> こんな感じでしょうか。
> 試してみます。
そうですね。
また、B拠点もどうように
ip filter 300000 pass 192.168.B.0/24 192.168.A.0/24 * * *
といった記述が必要となりますね。
お試しください。

今後ともよろしくお願いいたします。