掲示板～マロンくん.NET～

<PR> 月額2100円/3675円でグローバル固定IPを取得、サーバ構築・VPN・SOHOが可能。「ZOOT for Bフレッツ」

タイトル	： PPTP
記事No	： 96
投稿日	： 2004/09/09(Thu) 21:53
投稿者	：さら

はじめまして、さらと言います。
「ヤマハルーターで作る・・・」を参考にPPTPの設定を
していたのですがつまずいていた時にこのページの
ip lan1 proxyarp onの設定を発見して大変助かりました。

PPTPの設定で一つだけ質問させてください。
構成は下記のようなシンプルなものです。
    +-----------+
    | WindowsPC |
    +-----------+
          | 固定ではない
          | 
          |
    インターネット ########
                          #
                         VPN
                          #
    インターネット ########
          |
     LAN2 | 61.YY.YY.YY
     +---------+
     | RTX1000 |
     +---------+
     LAN1 | .254
          |
-----+----+----+---- 192.168.2.0/24
     |         |
 

上記のような構成で、PPTPの接続は成功しています。
しかし内部のサーバーに対してPingやその他の接続が
出来ません。
試しに以下のような設定をするとうまくいきます。
#全てを許可しているので当然ですが
ip filter 1 pass * * * * *
ip pp secure filter in 1  
ip pp secure filter out 1

質問したいのは実際のフィルタ設定ではこの設定はどのように
考えればよいのかという点です。リモートに割り当てられた
アドレスが192.168.2.101だとしたらこのアドレスをソースに
して目的のアドレスとプロトコルを登録するという考え方で
合っているのでしょうか？

# 図がずれていましたので管理人で図表モードに変更しました。

タイトル	： Re: PPTP
記事No	： 97
投稿日	： 2004/09/09(Thu) 23:29
投稿者	： marron(管理人)
参照先	： http://www.marronkun.net/

さら様

はじめまして。
> 「ヤマハルーターで作る・・・」を参考にPPTPの設定を
> していたのですがつまずいていた時にこのページの
> ip lan1 proxyarp onの設定を発見して大変助かりました。
当サイトがお役に立てて幸いです。

> 質問したいのは実際のフィルタ設定ではこの設定はどのように
> 考えればよいのかという点です。リモートに割り当てられた
> アドレスが192.168.2.101だとしたらこのアドレスをソースに
> して目的のアドレスとプロトコルを登録するという考え方で
> 合っているのでしょうか？
VPNクライアントで接続した場合のフィルタの適用場所ですが
PPTPの接続が確立出来ているなら
LAN1
TUNNEL1
がルールとしてきいてきます。
私の場合、PPTPクライアントに対しては全て許可にする設定を
LAN1の先頭にフィルタルールを追加して利用しています。

また、アクセスできない際どこで、リジェクトされているか調べるため
syslog notice on
としてshow logの結果を調査するもの良いと思います。

今後ともよろしくお願いします。

タイトル	： Re^2: PPTP
記事No	： 100
投稿日	： 2004/09/13(Mon) 17:04
投稿者	：さら

管理人様、お返事ありがとうございます。
ついでにもう一点お聞きしたいのですが、
PPTP関連のフィルタtcp 1723とgreはWAN側のinのみに
定義するものなのでしょうか？私が試した限りではout側も
定義しないと動かないような気もするのですが・・・

> さら様
>
> はじめまして。
> > 「ヤマハルーターで作る・・・」を参考にPPTPの設定を
> > していたのですがつまずいていた時にこのページの
> > ip lan1 proxyarp onの設定を発見して大変助かりました。
> 当サイトがお役に立てて幸いです。
>
> > 質問したいのは実際のフィルタ設定ではこの設定はどのように
> > 考えればよいのかという点です。リモートに割り当てられた
> > アドレスが192.168.2.101だとしたらこのアドレスをソースに
> > して目的のアドレスとプロトコルを登録するという考え方で
> > 合っているのでしょうか？
> VPNクライアントで接続した場合のフィルタの適用場所ですが
> PPTPの接続が確立出来ているなら
> LAN1
> TUNNEL1
> がルールとしてきいてきます。
> 私の場合、PPTPクライアントに対しては全て許可にする設定を
> LAN1の先頭にフィルタルールを追加して利用しています。
>
> また、アクセスできない際どこで、リジェクトされているか調べるため
> syslog notice on
> としてshow logの結果を調査するもの良いと思います。
>
> 今後ともよろしくお願いします。

タイトル	： Re^3: ダイナミックフィルタを利用してはいかがですか？
記事No	： 101
投稿日	： 2004/09/13(Mon) 19:04
投稿者	： marron(管理人)
参照先	： http://www.marronkun.net/

さら様

> ついでにもう一点お聞きしたいのですが、
> PPTP関連のフィルタtcp 1723とgreはWAN側のinのみに
> 定義するものなのでしょうか？私が試した限りではout側も
> 定義しないと動かないような気もするのですが・・・
そうですね。
LAN -> WANについても定義する必要があるかと思います。

私の利用では、ダイナミックフィルタ（動的）を利用しており
http://www.marronkun.net/network/yamaha/rtx1000_3.html
あまり、LANからのアクセスルールは気にせず利用しています。

スタティックフィルタ（静的）を利用であればLANからのルールは定義する必要があるかと思います。

LANからの利用を厳しく規制するのであればスタティックフィルタを
おすすめしますが、一部のプロトコルを禁止するのであればダイナミックフィルタをおすすめします。

以上です。