RTX1000でVPNパススルーができるとホームページに書いてあるのに
http://netvolante.jp/products/rtx1000/
どうも、うまくいきません。
すでに、IPsecでのVPN接続をしているからでしょうか？
VPNパススルーを有効にする設定等があればご教授お願いします。

はじめまして。marronです。
最近、掲示板への書き込みがなかったので見落としかけました（＾＾；

> RTX1000でVPNパススルーができるとホームページに書いてあるのに
> http://netvolante.jp/products/rtx1000/
> どうも、うまくいきません。
> すでに、IPsecでのVPN接続をしているからでしょうか？
> VPNパススルーを有効にする設定等があればご教授お願いします。
IPsecを有効にしていてもVPNパススルーは利用できると思います。
VPNパススルーにも2種類有り
PPTPパススルー
IPsecパススルー　<--あんまり一般的ではないかな？
があります。

PPTPパススルーであればgre,tcp1723をルータのLAN側IPにスタティックで設定が必要になります。
nat descriptor masquerade static NAT番号 1 ルータLAN側IP tcp 1723
nat descriptor masquerade static NAT番号 2 ルータLAN側IP gre

また、IPsecパススルーであればudp500,espをルータのLAN側IPにスタティックで設定が必要になります。
nat descriptor masquerade static NAT番号 1 ルータLAN側IP udp 500
nat descriptor masquerade static NAT番号 2 ルータLAN側IP esp

こちらの設定はお済みでしょうか？一度、設定のご確認をお願いします。

管理人さん

早速のレスありがとうございます。
利用したいのはWindowsで利用するPPTPかな？それを利用しています。
もともと、IPsecの設定がしてありましたのでIPsecのマスカレード
設定は済んでいましたがPPTPパススルーの設定はありませんでしたので
先ほど追加して実験してみました。
しかし、やはり接続ができません。
他に設定がいるのでしょうか？

う〜ん。分からなくなってきました。
> PPTPパススルーであればgre,tcp1723をルータのLAN側IPにスタティックで設定が必要になります。
> nat descriptor masquerade static NAT番号 1 ルータLAN側IP tcp 1723
> nat descriptor masquerade static NAT番号 2 ルータLAN側IP gre
>
> また、IPsecパススルーであればudp500,espをルータのLAN側IPにスタティックで設定が必要になります。
> nat descriptor masquerade static NAT番号 1 ルータLAN側IP udp 500
> nat descriptor masquerade static NAT番号 2 ルータLAN側IP esp
>
> こちらの設定はお済みでしょうか？一度、設定のご確認をお願いします。

以下の記述を追加して接続できないってことは、フィルタか何か設定はありませんか？
ログをみればRejectしているのがあるかも知れません。

もし、フィルタの設定があればPPTPパススルーであればgre,tcp1723を通す設定をしてみてください。

設定をした後、接続ができなくてもshow log コマンドでログが何らかの原因が分かるかも知れません。

以上、よろしくお願い致します。
> 早速のレスありがとうございます。
> 利用したいのはWindowsで利用するPPTPかな？それを利用しています。
> もともと、IPsecの設定がしてありましたのでIPsecのマスカレード
> 設定は済んでいましたがPPTPパススルーの設定はありませんでしたので
> 先ほど追加して実験してみました。
> しかし、やはり接続ができません。
> 他に設定がいるのでしょうか？
>
> う〜ん。分からなくなってきました。
> > PPTPパススルーであればgre,tcp1723をルータのLAN側IPにスタティックで設定が必要になります。
> > nat descriptor masquerade static NAT番号 1 ルータLAN側IP tcp 1723
> > nat descriptor masquerade static NAT番号 2 ルータLAN側IP gre
> >
> > また、IPsecパススルーであればudp500,espをルータのLAN側IPにスタティックで設定が必要になります。
> > nat descriptor masquerade static NAT番号 1 ルータLAN側IP udp 500
> > nat descriptor masquerade static NAT番号 2 ルータLAN側IP esp
> >
> > こちらの設定はお済みでしょうか？一度、設定のご確認をお願いします。

管理人さん

フィルタが問題でした。
WAN側からのフィルタでgre,tcp1723を通すことで問題が解決しました。
ありがとうございました。

ログもみてみたのですが、リジェクトしているログは見つかりませんでした。何故だろう？

> 以下の記述を追加して接続できないってことは、フィルタか何か設定はありませんか？
> ログをみればRejectしているのがあるかも知れません。
>
> もし、フィルタの設定があればPPTPパススルーであればgre,tcp1723を通す設定をしてみてください。
>
> 設定をした後、接続ができなくてもshow log コマンドでログが何らかの原因が分かるかも知れません。

marronです。解決して何よりです。
> フィルタが問題でした。
> WAN側からのフィルタでgre,tcp1723を通すことで問題が解決しました。
> ありがとうございました。

> ログもみてみたのですが、リジェクトしているログは見つかりませんでした。何故だろう？
show log で表示されるログはRTX1000をご利用でしたら
デフォルトではフィルタのリジェクトログは出力されないようになっています。
syslog notice on
とすればfilterでログを残す設定をしていれば詳細にログが表示されるようになります。
しかし、このログはRTX1000内に残るものなのですぐに古いものが消えてしまいます。

多く残すにはsyslogサーバというものを構築することでログを管理できますので
本件については近々、Linuxを利用したsyslog取得を取り上げようと思います。

また、RTX1000ではVPNパススルーは1台のルータまたは1台の端末のみ
にしか対応していないため、RTX1000のVPNと同時にVPN Clientが接続することはできないようです。
http://www.rtpro.yamaha.co.jp/RT/FAQ/IPsec/faq_2_k.html

以上です。