こんにちは　はじめまして。
とっても参考になる良いページをありがとうございます。

わたしも質問させて頂きたいのですが、よろしくお願い致します。

今ままで関西ＤＳＬと東京光（フレッツハイパーファミリー）でＩｐｓｅｃＶＬＡＮを使用していました。機器は両方ともＲＴＸ１１００です。

こんど関西を光（光プレミアム）に変えたのですが、ＯＮＵの下にＣＴＵというルーターもどきがついていて、ＲＴＸのルーター機能が使えません。

そこで質問なのですが、
　１．プロバイダーから割り振られたグローバルアドレスをＯＮＵが下ろしてくれるらしいのですが、ＲＴＸの設定はPPPOEを省いて設定すればいいのでしょうか？
　２．ＣＴＵの設定で静的アドレス変換機能があるのですが、その中の設定で・ポート番号の設定・ＬＡＮ側端末ＩＰアドレスがあるのですが、
ポートに関しては何番を開けて良いやらさっぱりわかりません。ＬＡＮ側端末ＩＰアドレスはＲＴＸを指定でよいのでしょうか？

どうかお力を貸して頂けますと助かります。
よろしくお願い致します。

はじめまして、 こたろー様

marronです。
> とっても参考になる良いページをありがとうございます。
>
> わたしも質問させて頂きたいのですが、よろしくお願い致します。
>
> 今ままで関西ＤＳＬと東京光（フレッツハイパーファミリー）でＩｐｓｅｃＶＬＡＮを使用していました。機器は両方ともＲＴＸ１１００です。
>
> こんど関西を光（光プレミアム）に変えたのですが、ＯＮＵの下にＣＴＵというルーターもどきがついていて、ＲＴＸのルーター機能が使えません。
光プレミアムですかうらやましい限りです。
私の地域ではBフレッツすらまだサービス開始していないど田舎です（＾＾；


> そこで質問なのですが、
> 　１．プロバイダーから割り振られたグローバルアドレスをＯＮＵが下ろしてくれるらしいのですが、ＲＴＸの設定はPPPOEを省いて設定すればいいのでしょうか？
NTT西日本のHPに
http://flets-w.com/hikari-p/omoushikomi_goriyou/broadband_router/
という記事がありましたが、CTUという機器がないと光プレミアムは接続できないようですね。


> 　２．ＣＴＵの設定で静的アドレス変換機能があるのですが、その中の設定で・ポート番号の設定・ＬＡＮ側端末ＩＰアドレスがあるのですが、
> ポートに関しては何番を開けて良いやらさっぱりわかりません。ＬＡＮ側端末ＩＰアドレスはＲＴＸを指定でよいのでしょうか？
参照先のPDFを見てみましたが、手元に機器がないのでどのような設定が
できるかよく分かりませんでした。
この静的アドレス変換はポートのマッピング機能なのでしょうか？
VPNを構築するのであれば関連するポートをCTU以下に設置したRTX1100に向ければよい気がします。

t-hirohumiの気まぐれ日記の記事
http://t-hirohumi.cocolog-nifty.com/thirohumi/2005/05/ntt_a9a4.html
にもあるようにCTU無しでは利用できないみたいでいろいろな制限がつくみたいですね。

お役に立てなくて申し訳ないです。
どなたか、当サイトをみているかたでYAMAHAルータで光プレミアムを利用している方が
見えましたら書き込みお願いします。

今後ともよろしくお願いします。

marronさんこんにちは

早速ご回答いただきましてありがとうございました。
光プレミアム結構やっかいです。（汗

私も最初はＣＴＵ外してチャレンジしてみたのですが、ダメで
このＣＴＵってのがかなりくせ者なんですよね。設定も面倒だし

ポートの設定はポートの機能を選択するリストとポート番号があるのですが
リスト　ftp ftpdata telnet smtp http pop3
もしＶＡＮで使うポート番号がわかれば〜と思って質問させていただきました。
どなかたご存じの方がいらっしゃいましたら教えてくださいまし
とりあえず全部試してみればいいのですが、

こんにちは
光プレミアムとRTX1100の構成なんとかつながりそうですので
報告したいと思います。

構成は以下のようになっています
CTU DHCP(OFF) 192.168.0.1
RTX1100 192.168.0.2
　
まずはRTX1100をCTUの直下に配置する
CTUの静的アドレス変換設定（ポート指定）の設定値
優先順位　1
接続先　接続1
プロトコル　TCP・UDP
ポート番号　TELNET（リストから選択）
LAN端末アドレス　192.168.0.2

RTXの設定
IPsec設定は通所通りに設定してPPOEの設定はしない
RTXにデフォルトゲートウェイ192.168.0.1を設定する

とりあえずこれでIPsecトンネルの開通はできましたので
何とかなりそうです

はじめまして
横からすみません・・・
私も同じような境遇でして、いろいろわからないことがあります。

内容は・・・

�@CTUの静的アドレス変換設定（ポート指定）の設定値
に関して・・・
Ipsecパススルー昨日だと思いますが・・・
ＵＤＰの５００は何とかなるとわ思いますが・・・
ＥＳＰに関してはどうしたら言いのでしょうか？
encapsrationするとか？

�A接続の具体的な図

�BプロバイダからのWAN側の固定ＩＰはあくまでもＣＴＵに
割振られるようですが、ＲＴＸ側のＶＰＮにてLocalならびに
リモートアドレスは（ipsec ike local address）何にすれば
良いですか？

�C �Bに付随して、nat descriptor address outerやinnerはどうすれば
いいのでしょうか？nat descriptor masquerade staticも・・・・


以上長々とすみません・・・
宜しく御願いいたします。




> こんにちは
> 光プレミアムとRTX1100の構成なんとかつながりそうですので
> 報告したいと思います。
>
> 構成は以下のようになっています
> CTU DHCP(OFF) 192.168.0.1
> RTX1100 192.168.0.2
> 　
> まずはRTX1100をCTUの直下に配置する
> CTUの静的アドレス変換設定（ポート指定）の設定値
> 優先順位　1
> 接続先　接続1
> プロトコル　TCP・UDP
> ポート番号　TELNET（リストから選択）
> LAN端末アドレス　192.168.0.2
>
> RTXの設定
> IPsec設定は通所通りに設定してPPOEの設定はしない
> RTXにデフォルトゲートウェイ192.168.0.1を設定する
>
> とりあえずこれでIPsecトンネルの開通はできましたので
> 何とかなりそうです

marronです。

はじめまして、高旗様
光プレミアムでのVPN接続ですが以下のスレッドを参考にしてください。
http://www.marronkun.net/cgi-bin/bbs/wforum.cgi?mode=allread&no=281&page=0

私自身、光プレミアムでのVPN体験がないのでお役に立てませんが
スレッドを見ると固定IPであれば可能であるようです。
一度、参考にしてみてください。

また、q様からコメントでNAT-Traversal機能を利用することで可能
かもしれないと報告がありました。
本BBSでNAT-Traversal機能を利用した報告がありませんので一度、実験して頂ければと思います。

また、他の方への情報提供として結果報告もして頂けると幸いです。

> 横からすみません・・・
> 私も同じような境遇でして、いろいろわからないことがあります。
>
> 内容は・・・
>
> �@CTUの静的アドレス変換設定（ポート指定）の設定値
> に関して・・・
> Ipsecパススルー昨日だと思いますが・・・
> ＵＤＰの５００は何とかなるとわ思いますが・・・
> ＥＳＰに関してはどうしたら言いのでしょうか？
> encapsrationするとか？
>
> �A接続の具体的な図
>
> �BプロバイダからのWAN側の固定ＩＰはあくまでもＣＴＵに
> 割振られるようですが、ＲＴＸ側のＶＰＮにてLocalならびに
> リモートアドレスは（ipsec ike local address）何にすれば
> 良いですか？
>
> �C �Bに付随して、nat descriptor address outerやinnerはどうすれば
> いいのでしょうか？nat descriptor masquerade staticも・・・・
>
>
> 以上長々とすみません・・・
> 宜しく御願いいたします。
>
>
>
>
> > こんにちは
> > 光プレミアムとRTX1100の構成なんとかつながりそうですので
> > 報告したいと思います。
> >
> > 構成は以下のようになっています
> > CTU DHCP(OFF) 192.168.0.1
> > RTX1100 192.168.0.2
> > 　
> > まずはRTX1100をCTUの直下に配置する
> > CTUの静的アドレス変換設定（ポート指定）の設定値
> > 優先順位　1
> > 接続先　接続1
> > プロトコル　TCP・UDP
> > ポート番号　TELNET（リストから選択）
> > LAN端末アドレス　192.168.0.2
> >
> > RTXの設定
> > IPsec設定は通所通りに設定してPPOEの設定はしない
> > RTXにデフォルトゲートウェイ192.168.0.1を設定する
> >
> > とりあえずこれでIPsecトンネルの開通はできましたので
> > 何とかなりそうです

I would love to hear more about this …
<a href=http://discount-coral-calcium.thepharmcanadian.info >discount coral calcium</a><a href=http://calcium-complex-coral-coraladvantage-marine.thepharmcanadian.info >calcium complex coral coraladvantage marine</a><a href=http://field-introduction-quantum-relativistic-theory.thepharmcanadian.info >field introduction quantum relativistic theory</a><a href=http://breast-enhancement-pump.thepharmcanadian.info >breast enhancement pump</a><a href=http://cialis-icos.thepharmcanadian.info >cialis icos</a>
[url=http://breast-enhancement-pump.thepharmcanadian.info] breast enhancement pump [/url][url=http://discount-coral-calcium.thepharmcanadian.info] discount coral calcium [/url][url=http://buy-cialis.thepharmcanadian.info] buy cialis [/url][url=http://calcium-complex-coral-coraladvantage-marine.thepharmcanadian.info] calcium complex coral coraladvantage marine [/url]

Thanks for the interesting and informative site. That’s definitely what I’ve been looking for.
<a href=http://members.lycos.co.uk/mikejessicasimpson/> jessica simpson </a>
[url=http://members.lycos.co.uk/mikejessicasimpson/] jessica simpson [/url]
<a href=http://members.lycos.co.uk/mikejessicasimpson//belong-i-jessica-lyric-simpson.html> belong i jessica lyric simpson </a><a href=http://members.lycos.co.uk/mikejessicasimpson//jessica-simpson-ticket.html> jessica simpson ticket </a><a href=http://members.lycos.co.uk/mikejessicasimpson//belong-i-jessica-simpson.html> belong i jessica simpson </a><a href=http://members.lycos.co.uk/mikejessicasimpson//dating-jessica-romo-simpson-tony--.html> dating jessica romo simpson tony </a><a href=http://members.lycos.co.uk/mikejessicasimpson//jessica-simpson-boot.html> jessica simpson boot </a><a href=http://members.lycos.co.uk/mikejessicasimpson//hair-jessica-sedu-simpson-style.html> hair jessica sedu simpson style </a><a href=http://members.lycos.co.uk/mikejessicasimpson//jessica-simpson-duke-of-hazzard.html> jessica simpson duke of hazzard </a><a href=http://members.lycos.co.uk/mikejessicasimpson//jessica-simpson-ringtone.html> jessica simpson ringtone </a><a href=http://members.lycos.co.uk/mikejessicasimpson//dating-jessica-romo-simpson-tony---.html> dating jessica romo simpson tony </a>
[url=http://members.lycos.co.uk/mikejessicasimpson//belong-i-jessica-lyric-simpson.html] belong i jessica lyric simpson [/url][url=http://members.lycos.co.uk/mikejessicasimpson//jessica-simpson-i-do-achieving-your-dream-wedding.html] jessica simpson i do achieving your dream wedding [/url][url=http://members.lycos.co.uk/mikejessicasimpson//jessica-simpson[url=http://members.lycos.co.uk/mikejessicasimpson//jessica-simpson-lyric.html] jessica simpson lyric [/url][url=http://members.lycos.co.uk/mikejessicasimpson//jessica-simpson-hot-pic.html] jessica simpson hot pic [/url][url=http://members.lycos.co.uk/mikejessicasimpson//jessica-simpson-hair-style.html] jessica simpson hair style [/url][url=http://members.lycos.co.uk/mikejessicasimpson//hair-jessica-sedu-simpson-style.html] hair jessica sedu simpson style [/url][url=http://members.lycos.co.uk/mikejessicasimpson//jessica-romo-simpson-tony.html] jessica romo simpson tony [/url]

はじめまして。

ネットワーク構成が書かれていないのであまり詳しく
アドバイスできませんが光プレミアムでIPSEC-VPNを
構築するならNAT-traversalに対応した機器を両サイ
トに導入することが比較的楽にネットワークを組める
と思います。

YAMAHAのRTXシリーズだとdraft-ietf-ipsec-udp-encaps-01.txt
: UDP Encapsulation of IPsec Packetsを実装しているようです。

書かれている内容を見ますと

ESPのカプセル化は、ESPパケットをUDPに乗せて送信する機能です。
ポート番号としてUDPの500番を使うので、見た目はIKEのパケットと
して見えます。この機能を使うと、NATやフィルタの影響でESPが通過
しない場合でも、 IPsecの通信を確立することができます。

RTシリーズでは、下記のInternet-Draftのうち、IKEのネゴシエーショ
ンや、 NAT-Keepaliveの機能を除いたものを実装しています。

参考　url　http://www.rtpro.yamaha.co.jp/RT/docs/ipsec/spec.html#func10

NAT-traversal機能は各社どこまでの機能を実装しているか異なりますので
メーカーは両サイト同一にしておいたほうがいいと思われます。
左側のサイト（固定IP側）は光プレミアム以外のサービスを
選択してください。


RTX--------internet--------CTU---RTX
(固定IP)　　　　　　　　　　　　（動的IP）

IKE、IPSECの細かいパラメータは両サイトで一致させておき
MAINモードを使わないでaggressive modeで設定します。
片側が動的の場合の設定例を参考にしてください。

http://www.rtpro.yamaha.co.jp/RT/docs/ipsec/example5.html

マニュアル　141ページ　15.25にESPをUDPをカプセル化して送受信する
っていう設定がありますので両サイトのRTXをONにしてください。

http://www.rtpro.yamaha.co.jp/RT/manual/Rev.8.03.08/Cmdref.pdf

マニュアルを見る限りRTXシリーズでNAT-traversalができそうなのですが
googleで検索しても”できたよ”っていう情報を発見できなかったのが
少し不安です。
手元にRTXシリーズがあるなら自分で検証してみるんですけど。

メーカに問い合わせてみてもいいかもしれませんね。
ついでに設定例をもらうといいかも。

センター側は光プレミアム以外のサービスを
使った設定例を作成してみました。

実機を持っていないので動作検証していません。
参考程度にしておいて下さい。また間違いなどが
有りましたら指摘して下さい。

CTUのDHCP払いだしアドレスは現在の仕様では
192.168.24.50からですので2-49は固定で使え
ます。

またCTUの静的アドレス変換でUDP500を
192.168.24.2にフォワーディングする
ように設定を変更しておく。
ファイアーウォール詳細設定でUDP500を
双方向で許可する設定をしておく。

ネットワーク構成
（ずれるかもしれません）

   センター側
   192.168.0.0/24
       　| 
　　　　 | 
+--------+--------+  
|     RTX1100     |     
+--------+--------+                          
         | 200.1.1.1/32
　　　　 |
　　　　 |internet
　　　　 |
+--------+--------+  
|     CTU　　     |                                 
+--------+--------+
         | 192.168.24.1/24
　　　　 |
　　　　 | 192.168.24.2/24
+--------+--------+  
|     RTX1100     |     
+--------+--------+  
       　| 
　　　　 | 
   192.168.1.0/24
   光プレミアム側


固定IP側の設定例

#
# LAN1 interface
#
ip lan1 address 192.168.0.1/24
#
# PP interface
#
pp select 1
pppoe use lan2
pp always-on on
ppp lcp mru on 1454
ip pp mtu 1454
ip route default gateway pp 1
ppp ccp type none
pp auth accept pap chap
pp auth myname NAME PASSWORD
ip pp address 200.1.1.1
ip pp nat descriptor 1
pp enable 1
#
# IKE
#
ipsec auto refresh on
ipsec ike esp-encapsulation 1 on
ipsec ike remote address 1 any
ipsec ike pre-shared-key 1 text prekey
ipsec ike remote name 1 cturtx
ipsec sa policy 101 1 esp aes-cbc sha1-hmac
#
# TUNNEL interface
#
tunnel select 1
ipsec tunnel 101
ip route 192.168.1.0/24 gateway tunnel 1
tunnel enable 1
#
# NAT descriptor
#
nat descriptor type 1 masquerade
nat descriptor address outer 1 200.1.1.1
nat descriptor address inner 1 200.1.1.1 192.168.0.1-192.168.0.254
nat descriptor masquerade static 1 1 200.1.1.1 udp 500
nat descriptor masquerade static 1 2 200.1.1.1 esp *

光プレミアム側の設定例

#
# LAN1 interface
#
ip lan1 address 192.168.1.1/24
#
# LAN2 interface
#
ip lan2 address 192.168.24.2/24
ip lan2 nat descriptor 1
#
#デフォルトルートをCTUへ
ip route default gateway 192.168.24.1
#
# IKE
#
ipsec auto refresh on
ipsec ike remote address 1 200.1.1.1
ipsec ike duration ipsec-sa 1 300
ipsec ike duration isakmp-sa 1 300
ipsec ike local name 1 cturtx key-id
ipsec ike esp-encapsulation 1 on
ipsec ike pre-shared-key 1 text prekey
ipsec sa policy 101 1 esp aes-cbc sha1-hmac
#
# TUNNEL interface
#
tunnel select 1
ipsec tunnel 101
ip route 192.168.0.0/24 gateway tunnel 1
tunnel enable 1
#
# NAT descriptor
#
nat descriptor type 1 nat-masquerade
nat descriptor address outer 1 192.168.24.2
nat descriptor address inner 1 192.168.1.1-192.168.1.254
nat descriptor masquerade static 1 1 192.168.24.2 udp 500
nat descriptor masquerade static 1 2 192.168.24.2 esp *

> センター側は光プレミアム以外のサービスを
> 使った設定例を作成してみました。
>
> 実機を持っていないので動作検証していません。
> 参考程度にしておいて下さい。また間違いなどが
> 有りましたら指摘して下さい。
>
> CTUのDHCP払いだしアドレスは現在の仕様では
> 192.168.24.50からですので2-49は固定で使え
> ます。
>
> またCTUの静的アドレス変換でUDP500を
> 192.168.24.2にフォワーディングする
> ように設定を変更しておく。
> ファイアーウォール詳細設定でUDP500を
> 双方向で許可する設定をしておく。
>
> ネットワーク構成
> （ずれるかもしれません）
>
> センター側
> 192.168.0.0/24
> 　|
> 　　　　 |
> +--------+--------+
> | RTX1100 |
> +--------+--------+
> | 200.1.1.1/32
> 　　　　 |
> 　　　　 |internet
> 　　　　 |
> +--------+--------+
> | CTU　　 |
> +--------+--------+
> | 192.168.24.1/24
> 　　　　 |
> 　　　　 | 192.168.24.2/24
> +--------+--------+
> | RTX1100 |
> +--------+--------+
> 　|
> 　　　　 |
> 192.168.1.0/24
> 光プレミアム側
>
>
> 固定IP側の設定例
>
> #
> # LAN1 interface
> #
> ip lan1 address 192.168.0.1/24
> #
> # PP interface
> #
> pp select 1
> pppoe use lan2
> pp always-on on
> ppp lcp mru on 1454
> ip pp mtu 1454
> ip route default gateway pp 1
> ppp ccp type none
> pp auth accept pap chap
> pp auth myname NAME PASSWORD
> ip pp address 200.1.1.1
> ip pp nat descriptor 1
> pp enable 1
> #
> # IKE
> #
> ipsec auto refresh on
> ipsec ike esp-encapsulation 1 on
> ipsec ike remote address 1 any
> ipsec ike pre-shared-key 1 text prekey
> ipsec ike remote name 1 cturtx
> ipsec sa policy 101 1 esp aes-cbc sha1-hmac
> #
> # TUNNEL interface
> #
> tunnel select 1
> ipsec tunnel 101
> ip route 192.168.1.0/24 gateway tunnel 1
> tunnel enable 1
> #
> # NAT descriptor
> #
> nat descriptor type 1 masquerade
> nat descriptor address outer 1 200.1.1.1
> nat descriptor address inner 1 200.1.1.1 192.168.0.1-192.168.0.254
> nat descriptor masquerade static 1 1 200.1.1.1 udp 500
> nat descriptor masquerade static 1 2 200.1.1.1 esp *
>
> 光プレミアム側の設定例
>
> #
> # LAN1 interface
> #
> ip lan1 address 192.168.1.1/24
> #
> # LAN2 interface
> #
> ip lan2 address 192.168.24.2/24
> ip lan2 nat descriptor 1
> #
> #デフォルトルートをCTUへ
> ip route default gateway 192.168.24.1
> #
> # IKE
> #
> ipsec auto refresh on
> ipsec ike remote address 1 200.1.1.1
> ipsec ike duration ipsec-sa 1 300
> ipsec ike duration isakmp-sa 1 300
> ipsec ike local name 1 cturtx key-id
> ipsec ike esp-encapsulation 1 on
> ipsec ike pre-shared-key 1 text prekey
> ipsec sa policy 101 1 esp aes-cbc sha1-hmac
> #
> # TUNNEL interface
> #
> tunnel select 1
> ipsec tunnel 101
> ip route 192.168.0.0/24 gateway tunnel 1
> tunnel enable 1
> #
> # NAT descriptor
> #
> nat descriptor type 1 nat-masquerade
> nat descriptor address outer 1 192.168.24.2
> nat descriptor address inner 1 192.168.1.1-192.168.1.254
> nat descriptor masquerade static 1 1 192.168.24.2 udp 500
> nat descriptor masquerade static 1 2 192.168.24.2 esp *

間違いを自分で発見して修正するつもりが
オペミスで誤った投稿してしまいました。
申し訳ございません。（汗）

間違い場所
拠点側の設定

nat descriptor address inner 1 192.168.1.1-192.168.1.254

nat descriptor address inner 1 192.168.24.2 192.168.1.1-192.168.1.254

192.168.24.2が抜けていました。

皆さんありがとう御座います。

私の環境の追加情報ですが・・・
双方とも固定のＩＰがあります。

それを踏まえた上で、どうなるものか・・・
下記に、ｑさんのコンフィグを参考にさせていただきまして
私なりに考えてみました。
間違いがあろうかと思いますので、
添削していただけないでしょうか？

お手数をお掛けしますが、宜しく御願いします。

ネットワーク構成
（ずれるかもしれません）

センター側
192.168.1.0/24
　|
　　　　 |
+--------+--------+
| RTX1000 |
+--------+--------+
| 200.1.1.1/32
　　　　 |
　　　　 |internet
　　　　 |
　　　　 |
　　　　 |
　　　　 |
　　　　 | unnumbered
+--------+--------+
| CTU　　 |
+--------+--------+
| 100.1.1.xxx/29
　　　　 |
　　　　 | 100.1.1.yyy/29
+--------+--------+
| RTX1100 |
+--------+--------+
　| 192.168.10.1/24
　　　　 |
192.168.10.0/24
光プレミアム側


固定IP１側の設定例

#
# LAN1 interface
#
ip lan1 address 192.168.1.1/24
#
# PP interface
#
pp select 1
pppoe use lan2
pp always-on on
ppp lcp mru on 1454
ip pp mtu 1454
ip route default gateway pp 1
ppp ccp type none
pp auth accept pap chap
pp auth myname NAME PASSWORD
ip pp address 200.1.1.1
ip pp nat descriptor 1
pp enable 1
#
# IKE
#
ipsec auto refresh on
ipsec ike esp-encapsulation 1 on
ipsec ike local address 1 200.1.1.1
ipsec ike pre-shared-key 1 text prekey
ipsec ike remote address 1 100.1.1.yyy
ipsec ike remote name 1 cturtx
ipsec sa policy 101 1 esp aes-cbc sha1-hmac
#
# TUNNEL interface
#
tunnel select 1
ipsec tunnel 101
ip route 192.168.10.0/24 gateway tunnel 1
tunnel enable 1
#
# NAT descriptor
#
nat descriptor type 1 masquerade
nat descriptor address outer 1 200.1.1.1
nat descriptor address inner 1 200.1.1.1 192.168.1.1-192.168.1.254
nat descriptor masquerade static 1 1 200.1.1.1 udp 500
nat descriptor masquerade static 1 2 200.1.1.1 esp *

光プレミアム側固定ＩＰ８の設定例

#
# LAN1 interface
#
ip lan1 address 192.168.10.1/24
#
# LAN2 interface
#
ip lan2 address 100.1.1.yyy/29
ip lan2 nat descriptor 1
#
#デフォルトルートをCTUへ
ip route default gateway 100.1.1.xxx/29
#
# IKE
#
ipsec auto refresh on
ipsec ike remote address 1 200.1.1.1
ipsec ike duration ipsec-sa 1 300
ipsec ike duration isakmp-sa 1 300
ipsec ike local name 1 cturtx key-id
ipsec ike esp-encapsulation 1 on
ipsec ike pre-shared-key 1 text prekey
ipsec ike local address 1 100.1.1.yyy
ipsec sa policy 101 1 esp aes-cbc sha1-hmac
#
# TUNNEL interface
#
tunnel select 1
ipsec tunnel 101
ip route 192.168.1.0/24 gateway tunnel 1
tunnel enable 1
#
# NAT descriptor
#
nat descriptor type 1 nat-masquerade
nat descriptor address outer 1 100.1.1.yyy
nat descriptor address inner 1 100.1.1.yyy 192.168.10.1-192.168.10.254
nat descriptor masquerade static 1 1 100.1.1.yyy udp 500
nat descriptor masquerade static 1 2 100.1.1.yyy esp *

> 間違いを自分で発見して修正するつもりが
> オペミスで誤った投稿してしまいました。
> 申し訳ございません。（汗）
>
> 間違い場所
> 拠点側の設定
>
> nat descriptor address inner 1 192.168.1.1-192.168.1.254
>
> nat descriptor address inner 1 192.168.24.2 192.168.1.1-192.168.1.254
>
> 192.168.24.2が抜けていました。

皆さんありがとう御座います。

私の環境の追加情報ですが・・・
双方とも固定のＩＰがあります。

それを踏まえた上で、どうなるものか・・・
下記に、ｑさんのコンフィグを参考にさせていただきまして
私なりに考えてみました。
間違いがあろうかと思いますので、
添削していただけないでしょうか？

お手数をお掛けしますが、宜しく御願いします。

ネットワーク構成
（ずれるかもしれません）

センター側
192.168.1.0/24
　|
|
+--------+--------+
| RTX1000 |
+--------+--------+
| 200.1.1.1/32
　　　　 |
　　　　 |internet
　　　　 |
　　　　 |
　　　　 |
　　　　 |
　　　　 | unnumbered
+--------+--------+
| CTU　　 |
+--------+--------+
| 100.1.1.xxx/29
　　　　 |
　　　　 | 100.1.1.yyy/29
+--------+--------+
| RTX1100 |
+--------+--------+
　| 192.168.10.1/24
　　　　 |
192.168.10.0/24
光プレミアム側


固定IP１側の設定例

#
# LAN1 interface
#
ip lan1 address 192.168.1.1/24
#
# PP interface
#
pp select 1
pppoe use lan2
pp always-on on
ppp lcp mru on 1454
ip pp mtu 1454
ip route default gateway pp 1
ppp ccp type none
pp auth accept pap chap
pp auth myname NAME PASSWORD
ip pp address 200.1.1.1
ip pp nat descriptor 1
pp enable 1
#
# IKE
#
ipsec auto refresh on
ipsec ike esp-encapsulation 1 on
ipsec ike local address 1 200.1.1.1
ipsec ike pre-shared-key 1 text prekey
ipsec ike remote address 1 100.1.1.yyy
ipsec ike remote name 1 cturtx
ipsec sa policy 101 1 esp aes-cbc sha1-hmac
#
# TUNNEL interface
#
tunnel select 1
ipsec tunnel 101
ip route 192.168.10.0/24 gateway tunnel 1
tunnel enable 1
#
# NAT descriptor
#
nat descriptor type 1 masquerade
nat descriptor address outer 1 200.1.1.1
nat descriptor address inner 1 200.1.1.1 192.168.1.1-192.168.1.254
nat descriptor masquerade static 1 1 200.1.1.1 udp 500
nat descriptor masquerade static 1 2 200.1.1.1 esp *

光プレミアム側固定ＩＰ８の設定例

#
# LAN1 interface
#
ip lan1 address 192.168.10.1/24
#
# LAN2 interface
#
ip lan2 address 100.1.1.yyy/29
ip lan2 nat descriptor 1
#
#デフォルトルートをCTUへ
ip route default gateway 100.1.1.xxx/29
#
# IKE
#
ipsec auto refresh on
ipsec ike remote address 1 200.1.1.1
ipsec ike duration ipsec-sa 1 300
ipsec ike duration isakmp-sa 1 300
ipsec ike local name 1 cturtx key-id
ipsec ike esp-encapsulation 1 on
ipsec ike pre-shared-key 1 text prekey
ipsec ike local address 1 100.1.1.yyy
ipsec sa policy 101 1 esp aes-cbc sha1-hmac
#
# TUNNEL interface
#
tunnel select 1
ipsec tunnel 101
ip route 192.168.1.0/24 gateway tunnel 1
tunnel enable 1
#
# NAT descriptor
#
nat descriptor type 1 nat-masquerade
nat descriptor address outer 1 100.1.1.yyy
nat descriptor address inner 1 100.1.1.yyy 192.168.10.1-192.168.10.254
nat descriptor masquerade static 1 1 100.1.1.yyy udp 500
nat descriptor masquerade static 1 2 100.1.1.yyy esp *

> 間違いを自分で発見して修正するつもりが
> オペミスで誤った投稿してしまいました。
> 申し訳ございません。（汗）
>
> 間違い場所
> 拠点側の設定
>
> nat descriptor address inner 1 192.168.1.1-192.168.1.254
>
> nat descriptor address inner 1 192.168.24.2 192.168.1.1-192.168.1.254
>
> 192.168.24.2が抜けていました。

私が掲載した設定例は光プレミアム側（CTU側）を
unnumberedを使わない方法ですのでNAT-traversalを
利用した設定になっています。

IP8固定アドレスでunnumberedを使う時は

ipsec ike esp-encapsulation 1 on　は両端で必要ありません。

またMAINモードで利用できると思いますので

センター側
ipsec ike local address 1 200.1.1.1
ipsec ike remote address 1 100.1.1.yyy
削除
ipsec ike remote name 1 cturtx

プレミアム側
ipsec ike local address 1 100.1.1.yyy
ipsec ike remote address 1 200.1.1.1
削除
ipsec ike local name 1 cturtx key-id

でいけるかと思います。

yamahaのサイトにIPSEC設定の自動生成ができる
ページがあります。
参考にしてください。

http://www.rtpro.yamaha.co.jp/RT/docs/ipsec/cfgmaker/index.html

フィルタ等の設定が入りませんので不正アクセス等に
気を付けて設定を追加してください。

可能ならテスト環境でやってみることをお勧めします。
既存の環境に光プレミアム側を追加するのであればISDN
接続でリモートで接続できれば少しは安心ですけど。

ＩＰＳｅｃトンネルはうまく張れたのですが、なんだか接続が安定しません。
ステータス見ると接続中になっているのにこちらのＲＴＸからあちらの
ＲＴＸにＰＩＮＧが飛ばなかったりと・・・
なかなか悩みが多いです（泣

こたろー様

marronです。
> ＩＰＳｅｃトンネルはうまく張れたのですが、なんだか接続が安定しません。
> ステータス見ると接続中になっているのにこちらのＲＴＸからあちらの
> ＲＴＸにＰＩＮＧが飛ばなかったりと・・・
> なかなか悩みが多いです（泣
状況報告ありがとうございます。

過去にYAMAHAのメーリングに光プレミアムについて討論が
交わされていたようですが、CTU以下での利用はかなりの制約があるようです。

記憶はうすいのですがYAMAHA担当者の書き込みによるとVPN接続は
利用ができないようなことを書いていたような。。。。

一度、YAMAHAに直接問い合わせてはいかがでしょうか？
http://netvolante.jp/support/contact/
また、当サイトを見ている方もいますので、結果を報告して頂けると幸いです。

> こたろー様
>
> marronです。
> 状況報告ありがとうございます。
>
> 過去にYAMAHAのメーリングに光プレミアムについて討論が
> 交わされていたようですが、CTU以下での利用はかなりの制約があるようです。
>
> 記憶はうすいのですがYAMAHA担当者の書き込みによるとVPN接続は
> 利用ができないようなことを書いていたような。。。。

試行錯誤した結果フレッツ光プレミアムとRTXを使用したＶＰＮについて
ほぼ成功しましたので報告します。

基本的な設定はこのツリーの前に書いた方法でＯＫです。
ＣＴＵを経由して内部のサーバーにアクセスすることもできましたし
ＲＴＸのリモートコントロールもＯＫでした。

ポイントかどうかわかりませんが、ＰＣの設定で

　デフォルトケートウェイを　ＲＴＸ
　ＤＮＳサーバを　　　　　　ＣＴＵ

にしないとネットとＶＰＮがうまく両立できません。

ほぼ成功と書いたのは一点だけ、片側で固定ＩＰを利用しない
場合のみ、いくら設定を変更してもだめでした。
ちなみに

　　　光プレミアム側（大阪 固定ＩＰ）←×→ テプコ光（東京 非固定IP）
　　　フレッツハイパーファミリー（東京　固定ＩＰ）← ○ → テプコ光（東京 非固定IP）

まだ何とかしようとチャレンジ中ですが、他のRTXもＣＴＵを使わないところは
すべてつながっているので・・・

> 一度、YAMAHAに直接問い合わせてはいかがでしょうか？
> http://netvolante.jp/support/contact/

メールで一度問い合わせたのですが、お世辞にも"親切"な対応でなかったのと、メールのやりとり回数がかかりそうでしたので、
それ以降は利用しませんでした。
業務サポートにそのへんの期待をしちゃいけなかったですかね（汗
電話では何回か問い合わせをしてアドバイスをいただきました。
専門用語が多くて少し戸惑いましたが・・・なんとか

少しでも参考になりましたでしょうか？
答えられる範囲ではお答えできますので聞いてください。

こたろー様

marronです。
状況報告ありがとうございました。
YAMAHAのメーリングリストで討論されていた光プレミアムでは
利用できないというのはなんだったのでしょう。。。

報告があるようにアグレッシブモードでは利用が難しいのでしょうか？
私も光プレミアムの環境があれば当ページにて紹介したいと思います。

今後ともよろしくお願い致します。
> > 状況報告ありがとうございます。
> >
> > 過去にYAMAHAのメーリングに光プレミアムについて討論が
> > 交わされていたようですが、CTU以下での利用はかなりの制約があるようです。
> >
> > 記憶はうすいのですがYAMAHA担当者の書き込みによるとVPN接続は
> > 利用ができないようなことを書いていたような。。。。
>
> 試行錯誤した結果フレッツ光プレミアムとRTXを使用したＶＰＮについて
> ほぼ成功しましたので報告します。
>
> 基本的な設定はこのツリーの前に書いた方法でＯＫです。
> ＣＴＵを経由して内部のサーバーにアクセスすることもできましたし
> ＲＴＸのリモートコントロールもＯＫでした。
>
> ポイントかどうかわかりませんが、ＰＣの設定で
>
> 　デフォルトケートウェイを　ＲＴＸ
> 　ＤＮＳサーバを　　　　　　ＣＴＵ
>
> にしないとネットとＶＰＮがうまく両立できません。
>
> ほぼ成功と書いたのは一点だけ、片側で固定ＩＰを利用しない
> 場合のみ、いくら設定を変更してもだめでした。
> ちなみに
>
> 　　　光プレミアム側（大阪 固定ＩＰ）←×→ テプコ光（東京 非固定IP）
> 　　　フレッツハイパーファミリー（東京　固定ＩＰ）← ○ → テプコ光（東京 非固定IP）
>
> まだ何とかしようとチャレンジ中ですが、他のRTXもＣＴＵを使わないところは
> すべてつながっているので・・・
>
> > 一度、YAMAHAに直接問い合わせてはいかがでしょうか？
> > http://netvolante.jp/support/contact/
>
> メールで一度問い合わせたのですが、お世辞にも"親切"な対応でなかったのと、メールのやりとり回数がかかりそうでしたので、
> それ以降は利用しませんでした。
> 業務サポートにそのへんの期待をしちゃいけなかったですかね（汗
> 電話では何回か問い合わせをしてアドバイスをいただきました。
> 専門用語が多くて少し戸惑いましたが・・・なんとか
>
> 少しでも参考になりましたでしょうか？
> 答えられる範囲ではお答えできますので聞いてください。

> こたろー様
> > marronです。
> 状況報告ありがとうございました。
> YAMAHAのメーリングリストで討論されていた光プレミアムでは
> 利用できないというのはなんだったのでしょう。。。
> > 報告があるようにアグレッシブモードでは利用が難しいのでしょうか？
> 私も光プレミアムの環境があれば当ページにて紹介したいと思います。
> > 今後ともよろしくお願い致します。
> > > 状況報告ありがとうございます。

そうですね、ヤマハのサポートに聞いたときもＣＴＵがＲＴＸに対してそのままグローバルを下ろせるのであれば、利用できますとの回答でした。

ただ、ＣＴＵの代わりとしてＲＴＸを利用することはできないとは言われました。
私のレポートでもＣＴＵ下にＲＴＸを置いてＰＰＯＥは利用しないというのが前提ですのでご注意ください。

前回のコメント(No267)でＩＰＳｅｃが安定しなかったのは
大阪のＲＴＸが熱暴走をしていたため（現地に行って触ったら触れないくらい）で、
設定や環境はまったく関係ありませんでした（汗
それと、古いファームのまで大きなパケットを送るとトンネルがおかしくなるので最新ファームに変更しました