Re^3: 光プレミアムその後掲示板～マロンくん.NET～

タイトル： Re^3: 光プレミアムその後

投稿日： 2005/09/13(Tue) 20:10

投稿者： q

はじめまして。
私も光プレミアムでCTUの下にVPNルータを接続して
IPSECが接続できるか実験をしています。
こたろーさんと同様な症状でSAが張れてTunnelも
アップしているのに１０数分でpingが飛ばなくな
ってしまいます。CTUを再起動するとまた正常に
しばらく通信できるが相手側に双方向でpingが
飛ばなくなるの繰り返しでした。
このCTU（日立製）はIPSECパススルーに対応して
いないためこのような挙動をするのかもしれません。

IPSECはESPパケットで通信を行うためIPSECパス
スルーをサポートしていないCTUはESPを判別でき
ないのではないかと考えています。
UDPポート500とプロトコル番号50を静的アドレス
ポート変換で割り当てればESPパケットを正常に
転送できるのではないかと思いましたがCTUはプロ
トコル番号の指定ができません。

セキュリティ的に少し問題ですが下記の通りに
CTUの設定を変更すると18時間くらい安定して
接続しています。Expingでパケットロスが0.4%
です。

テストした環境

プレミアム側（固定IP）－－ファミリー100側（固定IP）
　　　　　　　RV082－－－－IX2010
MAINモードに設定しています。
CTUのIPアドレスは192.168.0.1
RV082は192.168.0.2

CTUの設定変更
静的アドレス変換設定（ポート指定）
優先
順位1 使用する　接続先1 LAN側端末IPアドレス 192.168.0.2
プロトコル UDP　WAN側ポート番号　500

優先
順位2 使用する　接続先1 LAN側端末IPアドレス 192.168.0.2
プロトコル全プロトコル

静的アドレス変換設定（ポート変換）
ひょっとしてこれは必要ないかも

優先
順位1 適用する　接続先1 LAN側端末IPアドレス192.168.0.2
LAN側ポート番号 500　プロトコル　UDP WAN側　ポート番号500

ファイアウォール
詳細設定に変更
詳細設定画面
5個のルールを追加

1　許可接続先1　IPv4　WAN→LAN　UDP 指定しない
すべてのアドレスすべてのポート 192.168.0.2　500
2　許可接続先1　IPv4　WAN→LAN　50 指定しない
すべてのアドレスすべてのポート 192.168.0.2
すべてのポート
3　許可接続先1 IPv4 LAN→WAN 50 指定しない
192.168.0.2 すべてのポートすべてのアドレス
すべてのポート
4　許可接続先1 IPv4 LAN→WAN UDP 指定しない
192.168.0.2 すべてのポートすべてのアドレス 500

5　許可接続先1 IPv4 LAN→WAN すべてのプロトコル指定しない
192.168.0.2 すべてのポートすべてのアドレスすべてのポート

上記のようにUDP500とプロトコル番号50を双方向で
192.168.0.2への通信を許し、192.168.0.2から全ての
通信を許す設定を行いました。
いらない設定があると思うのでもう少しフィルタを
絞って実験してみます。

とりあえず今のところ通信はできているようです。
こたろーさんも是非トライしてみて下さい。
プレミアムの環境でIPSECがまともに動いたという
実績を他に見ないし。固定IP8サービスでunnumberedなら
苦労せずに接続できると思います。

> たしかにＩＰｓｅｃでトンネル構築できて通信確立できるのですが、朝出社すると
> ステータスではＩＰｓｅｃが確立しているのにＰｉｎｇが通らなかったり、一度ルーターにログインして
> ルーター内から一度Ｐｉｎｇを打つと元に戻ったりと今ひとつ安定して
> 動作してくれない状況です。
>
> ＣＴＵの挙動がおかしいような気もしますが、どこに原因があるか
> 今ひとつわからない状態です。
>
> またなにかわかりましたら報告します

<PR> 月額2100円/3675円でグローバル固定IPを取得、サーバ構築・VPN・SOHOが可能。「ZOOT for Bフレッツ」

- 関連一覧ツリー （▼ をクリックするとツリー全体を一括表示します）

Re: 光プレミアムその後 - marron(管理人) 05/09/05-10:15 No.282
- Re^2: 光プレミアムその後 - こたろー 05/09/06-15:28 No.283
  - Re^3: 光プレミアムその後 - q 05/09/13-20:10 No.284
    - Re^4: 光プレミアムその後 - q 05/09/13-22:07 No.285
      - Re^5: 光プレミアムその後 - marron(管理人) 05/09/13-22:59 No.286
        
        Re^6: 光プレミアムその後 - q 05/09/13-23:44 No.287
      - Re^5: 光プレミアムその後 - q 05/09/14-10:38 No.288
        
        Re^6: 光プレミアムその後 - こたろー 05/09/15-16:47 No.289
        
        Re^7: 光プレミアムその後 - q 05/09/15-22:12 No.290
        
        Re^8: 光プレミアムその後 - q 05/09/15-22:27 No.291
  - Re^3: 光プレミアムその後 - q 05/09/24-13:59 No.292
    - Re^4: 光プレミアムその後 - q 05/09/24-14:22 No.293
    - Re^4: 光プレミアムその後 - こたろー 05/09/25-12:21 No.294
      - Re^5: 光プレミアムその後 - ちぐさ 05/11/21-12:33 No.316
        
        Re^6: 光プレミアムその後(自己.. - ちぐさ 05/11/21-15:33 No.317
        
        Re^7: 光プレミアムその後(自己.. - q 05/11/21-23:11 No.318
        
        Re^6: 光プレミアムその後 - q 05/11/21-23:37 No.319
        
        Re^7: 光プレミアムその後 - ちぐさ 05/11/24-10:10 No.322
        
        Re^8: 光プレミアムその後 - q 05/11/25-08:41 No.323
        
        Re^9: 光プレミアムその後 - marron(管理人) 05/11/25-17:52 No.325
        
        Re^10: 光プレミアムその後 - q 05/11/26-15:37 No.326
        
        光プレミアムでIPSEC　VPN（NAT-.. - q 06/01/13-21:16 No.384
      - Re^5: 光プレミアムその後 - q 06/01/13-21:38 No.386

- 返信フォーム （この記事に返信する場合は下記フォームから投稿して下さい）

おなまえ

Ｅメール

タイトル

メッセージ 手動改行強制改行図表モード
> はじめまして。 > 私も光プレミアムでCTUの下にVPNルータを接続して > IPSECが接続できるか実験をしています。 > こたろーさんと同様な症状でSAが張れてTunnelも > アップしているのに１０数分でpingが飛ばなくな > ってしまいます。CTUを再起動するとまた正常に > しばらく通信できるが相手側に双方向でpingが > 飛ばなくなるの繰り返しでした。 > このCTU（日立製）はIPSECパススルーに対応して > いないためこのような挙動をするのかもしれません。 > > IPSECはESPパケットで通信を行うためIPSECパス > スルーをサポートしていないCTUはESPを判別でき > ないのではないかと考えています。 > UDPポート500とプロトコル番号50を静的アドレス > ポート変換で割り当てればESPパケットを正常に > 転送できるのではないかと思いましたがCTUはプロ > トコル番号の指定ができません。 > > セキュリティ的に少し問題ですが下記の通りに > CTUの設定を変更すると18時間くらい安定して > 接続しています。Expingでパケットロスが0.4% > です。 > > テストした環境 > > プレミアム側（固定IP）－－ファミリー100側（固定IP） > 　　　　　　　RV082－－－－IX2010 > MAINモードに設定しています。 > CTUのIPアドレスは192.168.0.1 > RV082は192.168.0.2 > > CTUの設定変更 > 静的アドレス変換設定（ポート指定） > 優先 > 順位1 使用する　接続先1 LAN側端末IPアドレス 192.168.0.2 > プロトコル UDP　WAN側ポート番号　500 > > 優先 > 順位2 使用する　接続先1 LAN側端末IPアドレス 192.168.0.2 > プロトコル全プロトコル > > 静的アドレス変換設定（ポート変換） > ひょっとしてこれは必要ないかも > > 優先 > 順位1 適用する　接続先1 LAN側端末IPアドレス192.168.0.2 > LAN側ポート番号 500　プロトコル　UDP WAN側　ポート番号500 > > ファイアウォール > 詳細設定に変更 > 詳細設定画面 > 5個のルールを追加 > > 1　許可接続先1　IPv4　WAN→LAN　UDP 指定しない > すべてのアドレスすべてのポート 192.168.0.2　500 > 2　許可接続先1　IPv4　WAN→LAN　50 指定しない > すべてのアドレスすべてのポート 192.168.0.2 > すべてのポート > 3　許可接続先1 IPv4 LAN→WAN 50 指定しない > 192.168.0.2 すべてのポートすべてのアドレス > すべてのポート > 4　許可接続先1 IPv4 LAN→WAN UDP 指定しない > 192.168.0.2 すべてのポートすべてのアドレス 500 > > 5　許可接続先1 IPv4 LAN→WAN すべてのプロトコル指定しない > 192.168.0.2 すべてのポートすべてのアドレスすべてのポート > > 上記のようにUDP500とプロトコル番号50を双方向で > 192.168.0.2への通信を許し、192.168.0.2から全ての > 通信を許す設定を行いました。 > いらない設定があると思うのでもう少しフィルタを > 絞って実験してみます。 > > とりあえず今のところ通信はできているようです。 > こたろーさんも是非トライしてみて下さい。 > プレミアムの環境でIPSECがまともに動いたという > 実績を他に見ないし。固定IP8サービスでunnumberedなら > 苦労せずに接続できると思います。 > > > たしかにＩＰｓｅｃでトンネル構築できて通信確立できるのですが、朝出社すると > > ステータスではＩＰｓｅｃが確立しているのにＰｉｎｇが通らなかったり、一度ルーターにログインして > > ルーター内から一度Ｐｉｎｇを打つと元に戻ったりと今ひとつ安定して > > 動作してくれない状況です。 > > > > ＣＴＵの挙動がおかしいような気もしますが、どこに原因があるか > > 今ひとつわからない状態です。 > > > > またなにかわかりましたら報告します
参照先

暗証キー (英数字で8文字以内)

プレビュー

タイトル	： Re^3: 光プレミアムその後
投稿日	： 2005/09/13(Tue) 20:10
投稿者	： q

おなまえ
Ｅメール
タイトル
メッセージ手動改行強制改行図表モード > はじめまして。 > 私も光プレミアムでCTUの下にVPNルータを接続して > IPSECが接続できるか実験をしています。 > こたろーさんと同様な症状でSAが張れてTunnelも > アップしているのに１０数分でpingが飛ばなくな > ってしまいます。CTUを再起動するとまた正常に > しばらく通信できるが相手側に双方向でpingが > 飛ばなくなるの繰り返しでした。 > このCTU（日立製）はIPSECパススルーに対応して > いないためこのような挙動をするのかもしれません。 > > IPSECはESPパケットで通信を行うためIPSECパス > スルーをサポートしていないCTUはESPを判別でき > ないのではないかと考えています。 > UDPポート500とプロトコル番号50を静的アドレス > ポート変換で割り当てればESPパケットを正常に > 転送できるのではないかと思いましたがCTUはプロ > トコル番号の指定ができません。 > > セキュリティ的に少し問題ですが下記の通りに > CTUの設定を変更すると18時間くらい安定して > 接続しています。Expingでパケットロスが0.4% > です。 > > テストした環境 > > プレミアム側（固定IP）－－ファミリー100側（固定IP） > 　　　　　　　RV082－－－－IX2010 > MAINモードに設定しています。 > CTUのIPアドレスは192.168.0.1 > RV082は192.168.0.2 > > CTUの設定変更 > 静的アドレス変換設定（ポート指定） > 優先 > 順位1 使用する　接続先1 LAN側端末IPアドレス 192.168.0.2 > プロトコル UDP　WAN側ポート番号　500 > > 優先 > 順位2 使用する　接続先1 LAN側端末IPアドレス 192.168.0.2 > プロトコル全プロトコル > > 静的アドレス変換設定（ポート変換） > ひょっとしてこれは必要ないかも > > 優先 > 順位1 適用する　接続先1 LAN側端末IPアドレス192.168.0.2 > LAN側ポート番号 500　プロトコル　UDP WAN側　ポート番号500 > > ファイアウォール > 詳細設定に変更 > 詳細設定画面 > 5個のルールを追加 > > 1　許可接続先1　IPv4　WAN→LAN　UDP 指定しない > すべてのアドレスすべてのポート 192.168.0.2　500 > 2　許可接続先1　IPv4　WAN→LAN　50 指定しない > すべてのアドレスすべてのポート 192.168.0.2 > すべてのポート > 3　許可接続先1 IPv4 LAN→WAN 50 指定しない > 192.168.0.2 すべてのポートすべてのアドレス > すべてのポート > 4　許可接続先1 IPv4 LAN→WAN UDP 指定しない > 192.168.0.2 すべてのポートすべてのアドレス 500 > > 5　許可接続先1 IPv4 LAN→WAN すべてのプロトコル指定しない > 192.168.0.2 すべてのポートすべてのアドレスすべてのポート > > 上記のようにUDP500とプロトコル番号50を双方向で > 192.168.0.2への通信を許し、192.168.0.2から全ての > 通信を許す設定を行いました。 > いらない設定があると思うのでもう少しフィルタを > 絞って実験してみます。 > > とりあえず今のところ通信はできているようです。 > こたろーさんも是非トライしてみて下さい。 > プレミアムの環境でIPSECがまともに動いたという > 実績を他に見ないし。固定IP8サービスでunnumberedなら > 苦労せずに接続できると思います。 > > > たしかにＩＰｓｅｃでトンネル構築できて通信確立できるのですが、朝出社すると > > ステータスではＩＰｓｅｃが確立しているのにＰｉｎｇが通らなかったり、一度ルーターにログインして > > ルーター内から一度Ｐｉｎｇを打つと元に戻ったりと今ひとつ安定して > > 動作してくれない状況です。 > > > > ＣＴＵの挙動がおかしいような気もしますが、どこに原因があるか > > 今ひとつわからない状態です。 > > > > またなにかわかりましたら報告します
参照先
暗証キー	(英数字で8文字以内)
	プレビュー