こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

締切り済みの質問

BHR-4GRV で PPTP サーバー構築

LAN内に共有領域を設置し、LAN外部からこの共有領域にアクセスできるようにし、
かつLAN外部のPCからこの共有領域に対しネットワークドライブを割り当てる事を
めざしています。

実際の使用シーンとしては、友人やグループなどが同一のワードやエクセルファイル
に対し、添削や加筆を行う、といったイメージです。

これに関し、関連した質問をさせて頂いたところ、LAN外部のPCがLAN内部の共有領域
に対しネットワークドライブを割り当てる機能を持たせるには、LAN内部にVPNサーバ
を設置する必要がある、との事でしたので、現在は以下のようなネットワーク構成に
落ち着きました。


<現在のネットワーク構成>

  KDDIホームGW  ルータ兼PPTPサーバ  無線LAN AP

192.168.0.1 192.168.0.254   192.168.2.XXX
  ┌─────┐  ┌─────┐    ┌─────┐
  │        │  │        │    │        │
  │ BL900HW ├─┤ BHR-4GRV├─┬─┤ WR9500N │
  │        │  │ (DMZ)   │  │ │       │
  └─────┘  └──┬──┘  │ └─────┘
                   │       │
               ┌──┴──┐  │  ┌───────┐
               │ USB HDD │  ├─┤ LS-WX4.0TL/R1│
               └─────┘  │  └───────┘
                           │      BuffaloのNAS
                           │
                           │  ┌───────┐
                           └─┤ 自作サーバ  │
                              └───────┘
                                 Webサーバ&DNSサーバ


 auひかりを使っている関係上、ルーター機能を有するホームGW(ここでは
 BL900HW)が必須なので、2重ルーターになるのですが、Buffalo の BHR-4GRV
 という有線ブロードバンドルータをDMZ領域においています。BHR-4GRV には
 PPTPサーバ機能があるので、これを活用しています。
 BHR-4GRV の USB 端子に USB HDD を接続し、上記の共有領域にはこの HDD を
 割り当てています。

 その後段の NEC の無線ルータ(WR9500N)は、ルータ機能を停止し無線LANの
 アクセスポイントモードに特化した使い方としています。また WR9500N には
 Biglobe DDNS 機能をサポートしているので、PPTPサーバー構築の際の DDNS
 はここで対応しています。

 更に、LAN 内部に自作のホームページ公開用の Web サーバ をおいていますが、
 ここにはホームページにLAN内部からも http:// 形式でアクセスできるように
 LAN 内部用のDNS サーバー機能も持たしています。


<現状できているところと解決すべき問題点>

 (1)BHR-4GRV の PPTP サーバーの設定で、以下のような設定をする。
   この時、LAN外部のPCからは問題無くVPN(PPTP)接続が成功する。

   (a)サーバーIPアドレス、クライアントIPアドレスとも「自動設定」にする。

   (b)DNSサーバーのIPアドレスは、「ブロードステーションのLAN側IPアドレス」
     とする。(BHR-4GRV の設定画面では、BHR-4GRV の事をブロードステーション
     と称している。)

   (c)PPTP接続ユーザを1つ作成し、「IPアドレス割り当て方法」を
    「PPTPサーバー設定の範囲から取得」とする。

 (2)BHR-4GRV の 「NAS」設定の「共有フォルダ設定」で、
   (d)「アクセス制限機能」は「アクセス制限なし(読取/書込可能)」に設定し、
    「Webアクセス設定」は「アクセス制限を使用する」にチェックを入れる。

 (3)BHR-4GRV の 「NAS」設定の「ユーザー管理」で、
   (e) 上記の(c)で作成したものと同じユーザー名&パスワードで、新しく
     ユーザー名を作成する。

 (4)BHR-4GRV の 「NAS」設定の「共有サービス」で、
   (f) 共有フォルダー機能は「使用する」にチェックを入れる。
     ブロードステーション名はデフォルトのまま。
      (デフォルト値は、APXXXXXXXXXXXX XXはBHR-4GRVのMACアドレス)
     ワークグループ名はデフォルトの「WORKGROUP」のまま。
      (なお、LAN外部のPCのワークグループ名も「WORKGROUP」)


  この状態でLAN外部PCから、ネットワークドライブの割り付けを以下のように
  行うと、「アクセスできません」というエラーが返ってくる。
  もちろんLAN内部のPCではこの設定でネットワークドライブの割り当てが
  できています。

    ¥¥(ブロードステージョン名)¥disk1_pt1

        文字化けのため¥は全角文字としています。

なお、disk1_pt1 は BHR-4GRV が自動的に付ける名前。(1番目のディスクの
  パーティション1)

  外部PCは、WindowsXP と Windows7 の両方で確認したが現象は変わらず。

  いろいろと試行錯誤した結果、以下のような設定をすると WinsowsXP と
  Windows 7 の両方でネットワークドライブの割り当てができました。

 (5)LAN外部PCの Windows ファイヤーウオールを「無効」にし、かつ上記(c)で
   「IPアドレス割り当て方法」を「DHCPサーバー設定の範囲から取得」に変更する。

  しかし、この場合は、LAN外部PCから、LAN内部のNASに対してもネットワーク
  ドライブの割り当てができてしまうし、何よりもファイヤーウオールを「無効」
  にする事が気持ち悪いと思っています。

  そこで、LAN外部PCの Windows ファイヤーウオールは「有効」の状態で、各種
  設定(例外設定等)で対処し、かつLAN外部PCからネットワークドライブが
  割り当てられるのは BHR-4GRV に接続された USB HDD までとしたい、という
  事を実現したいのですが、以上に述べた設定をどのように変更したら良いのか
  に関し、ご教示をお願いいたします。

投稿日時 - 2013-07-10 11:09:39

QNo.8170249

困ってます

このQ&Aは役に立ちましたか?

0人が「このQ&Aが役に立った」と投票しています

回答(45)

ANo.45

 追加補足確認しました。Buffaloルーターを回線終端装置へ接続する条件の件で、AU自身はノンサポートとなる旨の告知をしていますが、利用しますルーターの機種により、接続認証は成功する事例があるそうです。
 疑似MACアドレスをWAN側インターフェイスに対し変更出来るルーターが最低条件ですが、接続出来ても日別認証データ等の相互通信をされている様ですので、一時的に接続出来るかもしれないが、永続性は無いとの事です。
 その他の方法として論理的には、回線終端装置にL2スイッチを導入し、HGWのMACアドレス宛ての通信をスルーさせるように設定→HGWの光電話ポートNoが0x888eを利用している様ですので、0x888eのポートフィルタ転送でポート1に転送、それ以外をポート2に転送設定→L2スイッチのポート1にHGWを接続、ポート2にBuffaloルーター接続→物理的にはこれでOKですが、これでは802.11X認証されませんので、L2スイッチにDHCP snoop&proxy機能設定及びポート2を監視させ、port1のDHCPに偽のOFFERとACKを返すように改造すれば、恐らくはOKかと存じます。 ※これは、一部L2スイッチの改造行為になる為、ノンサポートです。
 
 

投稿日時 - 2013-07-31 12:37:48

補足

補足説明ありがとうございます。

HGWを使わない可能性もあるようですが、固定電話はライフラインの1つですので(少なくても我が家では)HGWを外す事はしません。 この件は、元々のテーマとはあまり関係ない話と思うので、この辺で打ち切りたいと思います。

投稿日時 - 2013-07-31 13:51:09

ANo.44

 追加補足・他の方のやり取りを拝見しまして、「Buffaloの箱に対応キャリアとして、AUひかり」文言の部分ですが、AU自体としてはAUひかり+光電話契約でも、光電話無しでもHGWの設置での通信保証といった形にしている様です。
 IPV6デュアルスタック認証として、回線終端装置+HGWのWAN側MACアドレス及び802.11X認証しており、回線終端装置からBuffaloルーターへ直接接続してもMACアドレス相違でのグローバルIP配布されない形態となる筈です。
 Buffaloの箱にAUひかりと掲載しているのは、Buffalo自体がAUひかりの本質を理解されていない形である事が推察されます。
 もし、光電話無しで回線終端装置に直接、Buffaloルーターを接続しても、BuffaloルーターのWAN側MACアドレスを仮のMACアドレスに変更出来るタイプでなければ、接続認証されない筈です。つまり、IPV4/IPV6データ通信(IPV6-RAプロクシ)+IPV6光電話通信(IPV6-DHCPv6)の通信の内、光電話無しプランですと、MAC認証+IPV6-DHCPv6通信が全て、Buffaloルーターで賄う形となりますので、無理かと存じます。
 

投稿日時 - 2013-07-30 22:10:32

補足

コメントありがとうございます。

>もし、光電話無しで回線終端装置に直接、Buffaloルーターを接続しても、BuffaloルーターのWAN側MACアドレスを仮のMACアドレスに変更出来るタイプでなければ、接続認証されない筈です。


上記の話は、KDDIのHGWレンタル品(BL900HW)と同じMACアドレスを擬似MACアドレスでWAN側に設定する、という話かと思いますが、IP電話を使う限りこの方法でも無理(=HGWを外せない)との理解をしています。 従って、これはBHR-4GRVの話ではなく、YAMAHAのルーターでも同じ(=HGWを外せない)と思いますが。。。。

投稿日時 - 2013-07-31 09:28:42

ANo.43

こんにちは。 hirasaku です。

補足、確認させていただきました。
結果OKで、それで運用ということでしたら
私がつべこべいうことではないので、お任せいたします。

ちょっと、私もこだわりがつよいもんで・・・

今回、なぜBuffaloのルータを入れたのか、過去の質問で
なんとなく、わかったような。
DDNSの問題とDHCPによるDNSサーバのIP指定ができるから
導入されたんですかね?WRの代わりに。
それで、流れでPPTPまでたどり着いたと。

それはさておき、最後に私のこだわりの部分だけでも。
たぶん、補足を読ませていただいた限りでは
私の設定は試されていないのかなと思います。

なぜかと申しますと、
>(5)BL900HWの静的ルーティング設定のエントリーで、
宛先IPアドレスを 192.168.2.0/24 ゲートウェイを 192.168.0.254
に設定する
私はこれを削除してください。と申し上げましたが残している
この設定は、ほかの方が回答されていましたが、
なぜBL900にこのルートが必要かわかりません。
BHRはアドレス変換してLAN側を通信させているわけですよ。
BHRのアドレス変換はLAN側ホストをWAN側のIPに
つまり、192.168.0.254 を使って通信してるんですよね。
ということは、BL900からしてみれば、BHRのLAN側ホストからの
通信(192.168.2.0/24からの)は全部BHRからの通信と
思っているわけですよ。192.168.0.254からの通信とね。
BL900は同一セグメントからの通信と思っているわけですから、
ルーティングテーブルなど使わずに素直に192.168.0.254に
返すわけです。
アドレス変換はLAN側のIPセグメントを隠す動作をします。
ということは、もし、BL900でPINGコマンドができるなら、
そのスタティックルートがあっても 192.168.2.0/24セグメントには
行けないんですよ。ルータの192.168.2.1にPING打っても
応答なしです。
もしこれがアドレス変換しないローカルルータとして設定している
のなら、スタティックルートは必要です。

それとPPTPの動作の件ですが、
今の環境では確かにBHRのWAN側はプライベートのアドレスを
使っています。プライベートIPを使っているからプライベートでしょ。
おっしゃりたいことはわかります。
しかし、BHRを中心に考えるとWAN側はアドレスに関係なく
WANという認識で動作しています。(アドレス変換を使っていれば)
設定画面を見ていただければわかると思いますが、
Internet側とLAN側っていう設定画面ですよね。
PPTPはInternet側からの通信をセキュアにして
LAN側ホストと通信させるための仕組みです。
このLAN側との通信ということで、仮想プライベートネットワーク
なんですよ。
それを今回Internet側のIPをPPTPクライアントに指定している。
これは、仕組みとしては想定外のことですよ。
今回うまく動作しているみたいですが・・・
(YAMAHAの58iでも同様の動きをしました。ログを見たらどういう
ことか、なんとなくわかりましたけど)

192.168.2.0/24 セグメントがそのような環境であれば仕方ない
ですね。
それと、これまで、いろんな設定を試されていると思いますので、
どれが正解なのかもわからない状態だと思います。

しかし、ご希望に近い状態に持ってこれてよかったです。

またしても、不甲斐ない落ちになってしましました。

では。

投稿日時 - 2013-07-30 14:38:28

補足

hirasaku さん、コメントありがとうございます。


>今回、なぜBuffaloのルータを入れたのか、過去の質問で
なんとなく、わかったような。
DDNSの問題とDHCPによるDNSサーバのIP指定ができるから
導入されたんですかね?WRの代わりに。
それで、流れでPPTPまでたどり着いたと。


はい、全くおっしゃるとおりです。
Biglobe DDNS を使っていたのでWR9500Nを選択したのですが、WRはDNSのIPアドレスを指定できない事は購入後に初めて知りました。

>(5)BL900HWの静的ルーティング設定のエントリーで、
宛先IPアドレスを 192.168.2.0/24 ゲートウェイを 192.168.0.254
に設定する


はい、過去の経緯でご存知と思いますが、最初は、


(4)BL900HWのポートマッピング設定で、TCPの任意のポートの信号とgre(プロトコル番号47)の信号を 192.168.0.254 にマッピングする。 また、BHR-4GRV側もWAN→LANへ、プロトコル番号47の信号とTCPのポート1723の信号を通過させる。

だけの設定をしていました。 (5)の設定をしてもしなくても、機器の動作は外見上は変わらなかったので、今はオマジナイのような感じで何となく(5)の設定が残っているのが現状です。 でもこういう(非論理的な)発想が一番いけない事なんですよね。

正直なところ、「BL900に来た信号をBHR-4GRVに丸投げする」という点では(4)の設定も(5)の設定でも同じように思っていました。 しかし、(5)はNATを使わない環境での固定ルーティングの設定、というように考えれば、今回は(5)は不要なのでしょうね。

再度(5)の設定を外して動作確認をしても正常に動作するので、(5)は外す事にします。


>設定画面を見ていただければわかると思いますが、
Internet側とLAN側っていう設定画面ですよね。

はい、BHR-4GRVの設定画面では、おっしゃる通りですね。

一方、BHR-4GRVの梱包箱には対応ブロードバンド回線としてauひかりがちゃんと記載されているのも不思議です。これは、VoIP電話を使わないauひかりの事なのかもしれません。(VoIP電話を使う→HGWの使用が必至→BHRのWAN側はグローバルIPでなくなる、という事になるので)

いずれにせよ、今回の構成で、192.168.0.XXX というネットワーク空間ができ、HGWのUSB端子にUSB-HDDを接続する事により簡易NASがこの空間にでき、今のところ当方の希望の機能が実現できたので、当面はこれで様子を見たいと考えます。

いろいろとありがとうございました。

投稿日時 - 2013-07-30 21:47:50

ANo.42

 追加補足確認しました。SOHO向けルーターは殆ど価格変動しませんよ。
 柔軟な構築が出来る分、一定の製造コストを要求しますので、価格乱高下があるのは個人向け機材のみです。

投稿日時 - 2013-07-28 12:58:57

ANo.41

 他の方の回答確認しました。当面はBuffaloルーターで運用する様ですね。
 現時点で安定しているとの事で(VPNスループットがどの程度か解りませんが)、今後重いデータ参照時の不確定動作や暴走等は考えておいた方が良いでしょうね。(どちらにしても、1Mbps程度の通信レスポンスしか得られない筈)
 Buffaloルーターの場合には、負荷がかかった際のパケットロスやNATエントリ数が高くなってくると、すぐ暴走しますので、それだけはお伝えしておきます。(仕様上、NATエントリ数は4,096が上限になっておりますが、細かなNAT制限や、タイマーの設定は出来ないタイプですので・・・)

投稿日時 - 2013-07-27 23:06:49

補足

コメントありがとうございます。

今のところ、共有するデータは、ワードとエクセルファイルで、PPTPユーザーも最大5人なので、当面は現在の構成で様子を見たいと思います。

将来、共有データが動画になったり、ユーザー数が増えたりした場合は、バージョンアップを検討します。 その頃はヤマハのルーターがもっと安く手に入ればうれしいですが。。。。

投稿日時 - 2013-07-28 08:31:11

ANo.40

こんにちは。hirasaku です。

間が空いちゃいましたね。
申し訳ございません。本業が忙しかったもんで。

ところで、状況はどうでしょう?
って、YAMAHAを買っちゃいました?

過去からのやり取りをもう一度確認しました。
ここで、いったんクリアしてですね。
下記のようにBLとBHRを設定していただけないですか。
(APはいじらなくて大丈夫です)

まず、BLはやれること限られるので、普通に設定
BLのLAN側IPが 192.168.0.1/24 で、NAPTでインターネットへ。
DMZ設定で相手が 192.168.0.254(BHRのWAN側IP)に設定
もし、静的ルートの設定があるのなら、余計なので削除してください。
BuffaloのNASを 192.168.0.200 などにIPを設定
デフォルト・ゲートウェイは 192.168.0.1でいいです。
NASをBLのLAN側に接続してください。

BHRの設定
WAN側IPを 192.168.0.254/24 デフォルト・ゲートウェイを 192.168.0.1
LAN側IPを 192.168.2.1/24 NAPTでLAN側をWAN側に出す。
DHCPなどの機能を使うなら設定してください。
USB-HDDをBHRに接続。共有の設定をしてください。
APをアクセスポイント・モードで設定(されてると思いますが)
IPを192.168.2.254/24 などと設定。
BHRのLAN側に接続。.

BHRにPPTPの設定
PPTP接続してくるクライアントに割り当てるIPアドレスは
192.168.2.のセグメントならDHCPでも手動でも構いません。

クライアントPCを無線で接続。
インターネットに出れるか確認
NASの192.168.0.200に疎通確認
PCでコマンドプロンプトを開き、ping 192.168.0.200
応答(reply)が返ってきたら疎通はOK
NASの共有フォルダにアクセスできるか確認
\\192.168.0.200\共有フォルダ名
アクセスできればOK
できなければ、BHRのフィルタでWindowsファイル共有系の
ポートを通過させる設定。

PPTPでクライアントをつなぐ
BHRのUSB-HDDにアクセスできればOK
NAS(192.168.0.200)にアクセスできるか確認
できちゃった場合、PPTPの設定で
リモートゲートウェイを使うのチェックが入っているか確認
入っていたらはずす。
PPTP接続をやり直してNASにアクセスできるか確認
できなければOK

こんな感じですか。

PPTPにてクライアントに192.168.0 セグはおかしいという
話ですが、なぜかというと、外からLAN側にアクセスさせる
技術なのにWAN側(外側)アドレスはないでしょ。
ということです。
たまたま、多段NATによって、BHRのWAN側のアドレスは
プライベートですけど、本来そこはグローバルです。
トンネル掘って中に入ったのにまた、外に出された感じですか。
普通そんなことしませんよね。

で、重要なことはPPTP接続してくるクライアントの
PPTP接続設定の設定で「リモートゲートウェイを使う」の
チェックです。
これはクライアントに 192.168.0 セグをあたえたとしても
リモゲーを使うにチェック入れられちゃうと
192.168.2 セグと通信できてしまうということです。
これは、PPTP接続してくる端末の設定になるので、
友達にお願いしてチェックをはずしてもらっても、再度入れられたら
通信可能になるわけですよ。

なので、NASの共有フォルダにはアクセス権をつけるべきだと思います。
プレステや、その他の機器でもWindows共有の仕組みを使うのなら
ユーザー認証にも対応してると思いますが。

ちょっと、長文になってしまったので、今回はこの辺で。

では。

投稿日時 - 2013-07-26 13:52:49

補足

hirasakuさん、本業でご多忙のところ、コメントを頂きまして感謝いたします。

まず、現時点での状況を報告いたします。


>ところで、状況はどうでしょう?
>って、YAMAHAを買っちゃいました?

YAHAHAのルーターは購入せずに、BHR-4GRVで実際に友人宅の有線ブロードバンド環境で動作確認してもらったところ、当初の目的であるワードやエクセルファイルの共用化に関しては、特にパフォーマンス(キー入力から表示応答までの時間等)にも問題無い状態との事でしたので、当面はこれで様子を見たいと考えています。

<現在の環境>
(1)共有のUSB-HDDは、BL900HWのUSBポートに接続。
(2)BL900HWのLAN側IPアドレスは、192.168.0.1。
(3)BL900HWのDMZホスト機能を有効にし、BHR-4GRVをDMZに置き、そのIPアドレスを 192.168.0.254 とする。
(4)BL900HWのポートマッピング設定で、TCPの任意のポートの信号とgre(プロトコル番号47)の信号を 192.168.0.254 にマッピングする。 また、BHR-4GRV側もWAN→LANへ、プロトコル番号47の信号とTCPのポート1723の信号を通過させる。
(5)BL900HWの静的ルーティング設定のエントリーで、宛先IPアドレスを 192.168.2.0/24 ゲートウェイを 192.168.0.254 に設定する。
(6)PPTP接続ユーザのIPアドレスは、192.168.0.100 からユーザー分(現在は4個)を手動割り当てを行う。
(7)BL900HWのWeb設定画面で、ユーザー名とパスワードは保存しない。
(8)外部のPPTPユーザーのPCにて、PPTP接続時のTCP/IP設定で、「リモートネットワークでデフォルトゲートウェイを使う」のチェックを外す。


なお、今回の検討をするに当たり、既存の 192.168.2.XXX のシステムには手を加えない事を前提としています。ここは、単にBuffalo のNASだけではなく、スカパーチューナーの録画保存先のHDDが接続されていたり、プレステ3用のHDDが接続されていたりしており、またそれ以外にも家族のPCのWindowsログオン時のユーザー名やパスワードも私は全部把握できていないので、ここに手を入れるのは影響が大きいからです。

当初は、USB-HDDをBHR-4GRVのUSBポートに接続し、PPTPクライアントのIPアドレスを、192.168.2.200 から割り当てて、このIPアドレスの信号をUSB-HDDにマッピングする事を考えていましたが、BHR-4GRVではこのようにPPTP接続ユーザー経路を編集する事はできないので、この考えは断念しました。



>PPTPにてクライアントに192.168.0 セグはおかしいという
話ですが、なぜかというと、外からLAN側にアクセスさせる
技術なのにWAN側(外側)アドレスはないでしょ。
ということです。
たまたま、多段NATによって、BHRのWAN側のアドレスは
プライベートですけど、本来そこはグローバルです。
トンネル掘って中に入ったのにまた、外に出された感じですか。
普通そんなことしませんよね。


ここのところがよく理解できていません。BL900HWがルーター機能を禁止できればBHRのWAN側はグローバルIPとなりますが、BL900HWのルーター機能を禁止できず今回のような設定をすると、BL900HWのLAN側は 192.168.0.XXX のネットワーク系になり、192.168.0.XXX のネットワーク系に簡易NASとしてUSB-HDDが置かれており、192.168.0.100 ~ のIPアドレスを割り当てられたPPTPユーザーはこの簡易NASにアクセスできる、という事が実現できているように思っています。

いずれにせよ、当面は友人たちに、このソリューション(といったら大げさな表現になりますが)をもう少し活用してもらい評価していきたいと思っています。

Buffalo製品は企業向けには信頼性がいまいち、という評価が多いですが、実売4500円程度でPPTPサーバーが簡単に構築できるので、プライベート用途として割り切って使えば、それなりに活用できると今回思いました。

投稿日時 - 2013-07-27 16:46:19

ANo.39

 追加返答確認しました。KDDI担当へ伝えておきます。
 ただし、KDDIだけではなく、各社IPV4枯渇対応として、IPV6の接続設備への移行を早急に完了したい思惑もありますので、今後はIPV6接続・認証+802.11X認証の新設備認証端末として、専用のHGWの接続限定環境は増えてくる筈です。
 KDDIの場合ですと、AUひかりが対象でIPV4/IPV6のIPOE接続ネットワークになっており、その回線形態としてギガビット接続出来るネットワークを提供しております。中部関西電力(コミュファ光)やSo-net(NURO光)等は、IPV4/IPV6デュアルスタック接続になっていますし、NTT光NEXT隼等はIPV6-PPPOE接続ネットワークの為のIPV6トンネルアダプタ若しくは、IPV6対応ルーターでの接続が必須となってきます。
 NTT系のIPV6-PPPOE接続ネットワークに比べ、IPV6-IPOEネットワークは速度的に有利な回線となっておりますので、その分専用接続設備の為の制約は仕方ない状況かと存じます。
 IPV6回りの情報+専用HGWの提供情報は、「http://flets.com/next/ipv6_ipoe/isp.html」、「http://flets.com/next/ipv6_pppoe/isp.html」を参考にしてみて下さい。
 

投稿日時 - 2013-07-20 17:02:35

ANo.38

 追加補足確認しました。追加でのヒントです。既存NASのMACアドレスは何でしょうか?
 Yamaha「RTX810」には、DHCP認証及びMACアドレスフィルタの設定が可能な点はお伝えしましたが、NASのMACアドレスでの制限をYamahaルーターに設定すれば、割当IPアドレス+MACアドレス毎の制限がかける事が可能です。
 参考サイト・・「http://jp.yamaha.com/products/network/solution/dhcp_mac/」、「http://jp.yamaha.com/products/network/solution/mac/
 ※L2TP-VPN及びPPTP-VPNのアクセス、トンネルルート分けの設定例・・「http://jp.yamaha.com/products/network/solution/setup_rtx1200/」、「http://jp.yamaha.com/products/network/solution/connect/triadic_rt1200_nvr500/
 上記設定例にて、宅内LAN端末以外のMACアドレス及びIP接続を拒否、外部からのアクセスIPをIPフィルタでの制限をかけていけば、ご希望相応のセキュリティは可能かと存じます。
 CentOS6をご利用ですね。CentOSであれば、Samba4.0以降の適用が可能ですので、Active-Directory認証でのNASログイン制御も出来ますので、かなりセキュアな環境になるかと存じます。
 

投稿日時 - 2013-07-19 23:59:45

ANo.37

 先ほど伝えわすれました。hirasakuさんの仰る点も確かにありますが、BuffaloルーターのPPTPクライアントでの細かな宛先許可等は出来ませんよ。(Buffalo確認済み)
 Active-Directory認証についても(やってみないと解りませんが)、Windows系でのActive-Derectoryですとライセンス回りの問題がありますが、方法的にLinuxでのActive-Directory認証といったケースもあるはずです。
 利用サーバのOSが解りませんが、Samba4.0以降を利用するといったケースもあるので、一概に有料とは言えませんよ。仮に有料だったとしても、それは私共で考える事ではなく、運用する方の予算と組合せで構成していくものです。無料は無料としての価値、安価な物は安価だけの価値しかないといった部分が個人の意見です。(安物買いの銭失いといった要素もありますので・・・)
 

投稿日時 - 2013-07-19 21:06:04

補足

コメントありがとうございました。

ちなみに現在の自作サーバー(Webサーバー+DNSサーバー)のOSはCentos6で、ハードウェアのCPUはAtom525です。

現在の検討方向の優先順位としては、

(1)BL900にUSB-HDDを接続した場合の更なる検討。
   検討の結果、BHRをヤマハルーターに置き換えれば実現できそうならば、ヤマハ製ルーターの購入も検討する。

(2)3重ルーター(BHR背後のWR9500NをAPモードからルーターモードへ変更)の検討。

(3)Active-Directory認証の検討

という事で進めたいと思っています。
従って、Active-Directory認証は、3重ルーター構想が失敗した時に初めて検討する予定にしています。

投稿日時 - 2013-07-19 22:20:32

ANo.36

 追加補足確認しました。KDDI回線の場合ですが、モデム(HGW)でのNAT越えでのDHCP認証は可能です。KDDIの場合ですが(当方のビジネスとして)、KDDI代理業務及び工事サービスを付帯してやっておりますが、KDDIメタルプラスモデムやHGWについては、DMZだけですと確かに第三者から見れば、NAT配下でのセグメント越えになり、DHCP難しいといったイメージになるかと存じますが、事業経験上ですが、DMZと静的ルーティングを双方する事で、同一セグメントとして内部処理する設計にしているそうです。(KDDI-ネットワークSEとの対話)
 実際の所、当方もやってみましたが、HGWでもRTX1200にてDHCP認証処理は出来ております。
 KDDIのモデム及びゲートウェイ自体が、そういった機材であると考えて頂いて差支えないです。
 それは、AUひかりHOMEだけではなく、AUひかりビジネスの契約でも同一です。
 アクセス制限の件については、RTX810やFWX120等でのDHCPクライアント・アクセス認証+MACアドレス認証、IPフィルタでの制限にてやってみてもらうしかないですね。
 
 

投稿日時 - 2013-07-19 20:44:45

補足

nnori7142さんは、KDDI関連のお仕事をされているのですね。

一部のユーザーは、KDDIのHGW(BL900HW/BL190HW等)の貧弱な仕様に困っているようなので、機会があればユーザーの声をKDDIに伝えて頂く事を希望します。

少し脱線しました。

ヤマハルーターの件は、結局実機を入手して確認するしか無いようですね。 もう少し安ければ購入を検討するのですが。。。。

投稿日時 - 2013-07-19 22:29:40

ANo.35

こんにちは。hirasaku です。

またもや、放置で申し訳ございません。

まず、クライアントのファイヤーウォールの件ですが、
Windows標準かZEROのどちらかを使う形でいいのでは。
あとは申し訳ございませんが、検証と確認をお願いします。

それで、またやり取りが増えていたので
確認させていただきました。

気になるのが、PPTPクライアントに192.168.0セグを与えても
192.168.2セグのNASが見えてしまうっていうのは
おかしいですね。
だって、NAT(アドレス変換)してるんですよね?
WAN側(Internet側)をアドレス変換かけているのに
192.168.2セグにいけちゃうのはおかしいですよ。
「アドレス変換」メニューで「使用する」にチェック入ってますかね。
BL側でDMZにBHRのWAN側アドレスを指定していて
LAN側見えちゃうのはNATがかかってない気がするのですが。

あと、PPTPサーバーメニューの最初の4項目は
BHRのLAN側IPをデフォルトから変更すると出なくなる仕様では。

で、PPTPクライアントに与えるアドレスですが、
BHRのWAN側とLAN側以外の、例えば、172.16.3.xxxとかを
手動で設定。
PPTPのサーバーIPは172.16.3.1とかに
DNSはいじらなくてOK。
これで、PPTP接続ユーザーの編集で接続可能アドレスを
192.168.2.xxxのNASを指定できませんかね?

実機ないので、確認できないのですが。
できれば、ラッキーなんですが。

ちょっと、突っ込みいれちゃいますけど、
個人宅でAD立ててる人って、そうめったにいないですよね。
WindowsServerとそれが入る筐体+ライセンス
お金かかりますよ。

NAT越えのPPTPクライアントにDHCP認証ってできるのかな?
やったことないからわからないですけど・・・

192.168.2.1/255.255.255.255 は
ブロードキャストアドレスではないです。
ホストアドレスですよ。

では。

投稿日時 - 2013-07-19 17:44:44

補足

コメントありがとうございました。


>気になるのが、PPTPクライアントに192.168.0セグを与えても
192.168.2セグのNASが見えてしまうっていうのは
おかしいですね。

本日再度確認したところ、今回は192.168.0.100のPPTPクライアントは、BL900に接続されているUSB-HDDはアクセスできるが、192.168.2セグのNASへの接続はできない、という期待どおりの動作になりました。 とりあえず事実だけをお知らせします。

昨日は、試験したPCは、無線LANのアクセスポイントをLAN内部のものと、LTE/3Gルーター(LAN外部)とに切り替えて(PCは再起動せずに)試験していたため、LAN内部の時のデーターがPCに残っていたために、PPTPクライアントに192.168.0セグを与えても192.168.2セグのNASが見えていたのかもしれません。(あくまで推測ですが)

本日は、PCを起動した時、外部(LTE/3Gルーター)を選択するようにし、PPTP接続後に改めて、LAN内部のNASに対しネットワークドライブが割り当てられるか、という確認をしました。

理論上の検証が完全にできていませんが、NASが見えないのが論理的にも正しいのならば、当初の目的が実現できるのでうれしいです。 ただし、以前 hirasaku さんから、「USB-HDDをBL900に接続するのはネットワーク的には正しくない。」という主旨のコメントを頂いたのが気になっています。 ここを補足して頂ければ幸いです。


>BHRのWAN側とLAN側以外の、例えば、172.16.3.xxxとかを
手動で設定。
PPTPのサーバーIPは172.16.3.1とかに
DNSはいじらなくてOK。
これで、PPTP接続ユーザーの編集で接続可能アドレスを
192.168.2.xxxのNASを指定できませんかね?

以前にもどこかの補足で記載しましたが、PPTP接続ユーザーの編集での接続可能アドレスは 192.168.2.xxx には、以下のようなエラーが出て設定できません。

  入力項目に間違いがあります。
  場所: IPアドレス
  内容: 本体のLAN側IPアドレスは指定できません

>192.168.2.1/255.255.255.255 は
ブロードキャストアドレスではないです。
ホストアドレスですよ。

はい、そうでした。 仮に設定する場合は192.168.2.1/255.255.255.252 のようにすべきでしたね。

投稿日時 - 2013-07-19 22:09:27

ANo.34

 先ほど伝え忘れですが、指摘の「192.168.2.1/255.255.255.255」といったブロードキャストアドレスへのアクセス制限については、規定値で閉じるIPフィルタ設定も御座います。
 「ip filter directed-broadcast on」、「ip filter source-route on」コマンドがが該当します。
 家庭用ルーターと違い、基本設定はWebブラウザでの簡易設定が可能ですが、細かな設定(先述の設定他)は、ターミナル接続でのコンソール設定となります。
 PCとシリアルポート接続し、シリアル接続+ターミナルソフト(ハイパーターミナルやTera-Term等)でのコマンド設定となります。

投稿日時 - 2013-07-19 13:12:40

ANo.33

 追記ですが、YamahaでのVPNアクセス制限の場合ですが、LANインターフェイス毎のIPフィルタ制限も併用するようになっており、LANインターフェイス毎のout/in別、ポートNo+IPアドレスでの制限も可能です。
 参考サイト・・「http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/
 ですので、外部からのアクセスを限定させ、パケット制御を細かくポート別・IP別に閉じる事で、閲覧制限も可能です。
 

投稿日時 - 2013-07-19 12:38:07

ANo.32

 追加補足確認しました。Yamahaルーターの場合ですが、PPTPクライアントのアクセス制限は、宛先IP形式での指定ではなく、PPTPクライアントの所有IP若しくは、配布IPのDHCP認証でのアクセス制限になります。
 参考サイト・・「http://www.rtpro.yamaha.co.jp/RT/docs/dhcp-auth/
 それと、PPTPやL2TP-VPNを複数トンネルを作成出来ますので、それぞれのセグメント分けでルーティング登録も可能です。 ※VPNトンネル対地数(最大)6拠点。PPTP+L2TP+IPSEC含めて。
 PPTP単体で言うと、PPTP複数アクセス用認証設定( Anonymous)とPPTP単一アクセスのみのアカウント設定を作成出来ますが、単一アクセスの方で作成し、PPTPクライアントへのプールするIPの範囲も限定する様に出来ます。このPPTPクライアントの配布IPはリモートアクセス型で設定する場合、DHCP機能と連動しておりますので、DHCP認証でのアクセス制限も併用する形態となります。
 参考サイト・・L2TP-VPN「http://jp.yamaha.com/products/network/solution/vpn-smartphone-setup_rtx810_gui/」、PPTP-VPN「http://jp.yamaha.com/products/network/solution/connect/triadic_rtx1200_rt58i/
 上記は、一部RTX1200を含んだ設定例になっておりますが、RTX810やFWX120に置き換えも可能です。
 

投稿日時 - 2013-07-19 12:32:41

補足

コメントありがとうございます。

コメント頂いた、回答No32~回答No34 に関し、未だ十分内容の確認ができていませんが、BHRの代わりにヤマハ製ルーターを使えば、3重ルーター構成にしなくても、当方が実現したいことが実現可能になるのでしょうか?

もちろん最終的には実機での検証が必要ですが、机上検討の結果でもかまいませんので、コメントを頂けないでしょうか?

以上、よろしくお願いいたします。

投稿日時 - 2013-07-19 17:07:48

ANo.31

 追加補足確認しました。アクセス制限が多彩なタイプとしては、依然対話しました、Active-Directory認証を所有サーバに機能設定し、それを元にNASのアクセス制限するしかないですね。NAS自身で自身を隠蔽するような機能が付いている物というのは聞いた事がありません。例外で、ブリッジフィルタ等の機能が付いているNASがあればご希望に沿う形となりますが、ご指定のQNAPの物についても自身でのフィルタ設定でのアクセス制限に留まっておりますので、このフィルタについてはルーターの方でも実装されている物になりますので、意味が無いかと存じます。
 ご指定のYamahaルーターの件については、「RTX810」や「FWX120」あたりでしたら、PPTPサーバ若しくはL2TPサーバ構築にて、IPセグメント毎のVPNトンネル・静的ルーティングの設定が可能です。更にVPNクライアント毎のIPアドレス等も含めて、DHCP認証端末機能設定をする事で、許可端末・不許可端末毎の特定セグメント・アクセス制限も可能です。
 基本的には、「RTX810」で網羅されておりますが、セキュリティを細かく設定されたい場合には、「FWX120」の方が良いでしょうね。どちらもギガビット・イーサーネット回線接続及びVPNスループットが最大200Mbpsの機材となります。

投稿日時 - 2013-07-18 23:54:49

補足

コメントありがとうございました。

>Active-Directory認証を所有サーバに機能設定し、それを元にNASのアクセス制限するしかないですね。

これは、以前に回答No8で頂いたコメントの事ですね。
自作サーバーにこの機能を入れるには、私自身もう少し勉強する必要があると思っています。

ヤマハのルーターに関し、もう少し教えて下さい。

回答No27の補足欄に記載したとおり、BHR-4GRVの場合は、PPPTP接続ユーザー経路の編集で、PPTP接続ユーザに対し、宛先IPアドレスを 192.168.2.1 サブネットを255.255.255.255に設定すると、
  入力項目に間違いがあります。
  場所: IPアドレス
  内容: 本体のLAN側IPアドレスは指定できません
というエラーが出ましたが、ヤマハのルーターはこのような設定ができるのでしょうか?

また、このようにPPPTP接続ユーザー経路の編集ができれば、PPTP接続ユーザはUSB-HDD以外の機器(NAS等)にはアクセスできない、という事になるのでしょうか?

いつも質問ばかりですみません。
よろしくお願いいたします。

投稿日時 - 2013-07-19 09:05:51

ANo.30

 先ほど伝え忘れましたが、HGW→Buffaloルーター配下のNASが見えてしまう件で、Buffalo配下のNEC無線ルーターをルーターモードに変更し、192.168.3.1~といったセグメントに設定→その配下にNASの移設+IP変更する方法にて対応可能かと存じます。その際にNEC無線ルーターのWANモードはローカルルーターモードで、WAN固定(192.168.2.254/24、ゲートウェイ192.168.2.1、優先DNS192.168.2.1)と設定すればOKです。
 その際には、Buffaloルーターに静的ルーティング(経路情報登録)にて、宛先アドレス(192.168.3.0/24)Nexthopゲートウェイ192.168.2.254といった数値設定すればOKかと存じます。
 上記にて、192.168.0.***のセグメントから192.168.3.***のセグメントの参照は出来ない形になるかと存じます。
 特定PPTPクライアント以外の、外部からのNASアクセスについては、3重ルーター構成となるため、静的IPマスカレード登録転送を3段階で行う設定を、HGWとBuffalo、NECルーターで設定しないと参照出来ない形態にもあるかと存じます。

投稿日時 - 2013-07-18 21:03:10

ANo.29

 追加補足確認しました。HGWにUSB-HDDを接続し、PPTPクライアントのIPを192.168.0.100を充てても、192.168.2.***のNASが見えてしまう訳としてですが、恐らくHGWにUSB-HDDを接続しても192.168.2~のセグメントの端末から参照可能な様に、HGWに静的ルーティング設定をしている為かと存じます。(宅内PCから、HGW接続のUSB-HDDの参照が可能という対策にもなっております)
 基本的に2重NAPT環境ですので、静的ルーティング+DMZによる解放が必要ですが、静的ルーティングは相違セグメント間のアクセスを出来るように経路設定をする為の物ですので、PPTPクライアントのアクセス先が192.168.0.100であれば、静的ルーティング経路として、Buffaloのゲートウェイ配下の端末が見えてしまうと想定されます。
 PPTPクライアントから192.168.2.***のNASの参照を出来ない様にする方法としては、PPTPクライアントの端末側でネットワーク検索機能を管理ツール等から無効化する、NAS自身にもアクセス拒否の設定をする、その他Buffaloルーター配下に更にルーターを設け、そのルーターにNASの接続を変えるといった方法があります。
 Buffaloルーターの配下に更にルーターを設けた場合ですが、192.168.2.***のセグメントと192.168.3.***といった新設ルーターのセグメントのみルーティング設定を、Buffaloルーターに設定する事で、192.168.0.***からのアクセスは不能となります。
 サーバが192.168.2.***である場合は、192.168.3.***のNASにはアクセスOK、宅内PCも192.168.2.***である場合も、192.168.3.***セグメントのNASのアクセスはOKとなります。
 bUffaloルーターの初期化しても、残留データがある点については、いつもの事で珍しい事ではありません。
 

投稿日時 - 2013-07-18 20:44:01

補足

コメントありがとうございました。

PPTPクライアントのIPを192.168.0.100を充てても、192.168.2.***のNASが見えてしまう理由が何となく理解できたような気がします。


>PPTPクライアントから192.168.2.***のNASの参照を出来ない様にする方法としては、PPTPクライアントの端末側でネットワーク検索機能を管理ツール等から無効化する、NAS自身にもアクセス拒否の設定をする、その他Buffaloルーター配下に更にルーターを設け、そのルーターにNASの接続を変えるといった方法があります。

私の方(PPTPサーバー側)でできることは、「NAS自身にもアクセス拒否の設定をする」と「Buffaloルーター配下に更にルーターを設け」という事になりますね。

後者は、回答No30のところにもコメントを頂きましたが、以前に回答No6で別の方に頂いたコメントと、基本的に同じですね。

3重ルーターを避けるためには、BuffaloのNASをアクセス制限機能が強化された別のものに変更するしかないように思うのですが(Buffalo NAS はIPアドレスによってアクセス制限をかけられない、と記憶しているので)、具体的にはどのような製品が該当するのか、ご存知でしょうか? (QNAP製の高価なものならば対応していたと記憶していますが。)

それと、今までの話は、BHR-4GRVを使う事が前提ですが、例えばお奨めのヤマハ製ルーターの場合には、例えば、PPTP接続ユーザー経路の設定が充実していて、回答No27にあるように、PPTP接続ユーザは、192.168.2.1へ宛先IPアドレスが設定可能、という設定はできないのでしょうか?

以上の点、もしご存じでしたらお願いいたします。

投稿日時 - 2013-07-18 22:11:25

ANo.28

 他の方とのやり取りを拝見しました。マニュアル記載のPPTPサーバのDHCPサーバ機能の有無についてですが、恐らくファームウェアを更新した際に、マニュアル記載事項から変更になっている可能性大ですね。
 Buffaloサポートでも、「初期化してみたら」といった回答ですと、自社でも把握されていない事項ではないかと存じますが、把握していない時点で信じがたいメーカーですね。
 元々、サポートに苦言があるメーカーでしたが、最終的にこういった形ではないでしょうか?
 PPTPサーバ機能・Web設定表記に、ファームウェアを更新した時に語記変更され、PPTPサーバ内項目にDHCPサーバが内包され、PPTPクライアント設定項目に、IP受取方法の指定といった語記変更をされたとの事かと存じます。
 PPTPクライアント側の設定で、PPTPサーバから受取といった設定ですと、PPTPサーバに仮想DHCPサーバからのIP受取、DHCPサーバからの受取ですと、Buffaloルーター若しくは、宅内DHCPサーバからの受取といった設定、IP手動はクライアント自身での設定といった形への仕様変更があったと想定されます。
 それにしても、ファームウェア(1.92)のメーカー・リリースノートにて、「Web設定語記変更」と記載されておりましたが、内容を記載していないので、不親切ですね。
 上記、PPTPクライアントの、PPTPサーバからの受取といったケースは、恐らく複数拠点での接続の際に、それぞれの拠点が同一セグメントだった際での、仮想ハブ接続・DHCP環境を考慮しているものと考察されます。(そんな気がしていましたが・・・) 多分、同一ルーター同士のLAN間PPTP接続の際に使われるものではないかと存じます。
 ですので、Buffaloルーターを使う限り、PPTPクライアント側でIP受取はDHCPからの受取と同時に、手動設定も恐らくはOKかと存じます。

投稿日時 - 2013-07-17 18:38:20

補足

コメントありがとうございます。

BHRにて、PPTPサーバーの設定項目が、マニュアルと実機で違う件ですが、その後当方で調査した下記の内容をBuffaloに送付しました。(今回実現したい事項に対し、この相違が重要な事なのかどうか、あまり良くわかりませんが。)

現在の状況を大ざっぱに整理すると、

(1)Windowsのファイヤウオールとセキュリティソフトのパーソナルファイヤウオールの関係の確認は当面保留。
 → これに付いては外部の友人のPCのセキュリティソフトが何を使っているかも考慮する必要があるので、当面は私の環境(ソースネクスト製のウイルスセキュリティ)で確認を継続。

(2)PPTP接続
 → 安定して接続でき問題無し

(3)エクセルファイルが開くのが遅い
 → 本件とは関係無い、既知の問題。 Excel 2003だけの問題で、「Office File Validation Add-In」をアンインストールすれば、遅い問題は回避できた。

(4)外部PCでのネットワークドライブの割り付け
 → 上記の(1)と関連すると思われるが、現在の私の環境では、ほぼ割り当てが成功するが、たまに「このコマンドを実行するのに十分な記憶域がありません」というエラーが出て、割り当てできない事があるので、今後要確認。

(5)外部PCはUSB-HDDだけをアクセス可能とし、他のLAN内部のNASにはアクセスできないようにアクセス制限をかける
 → 有力な方法が見つかっていない。
   (USB-HDDをBHRではなく、BL900に接続し、PPTP接続ユーザのIPアドレスを192.168.0.100に手動割り当てたのにもかかわらず、このPCから、192.168.2.XXXのNASが見えてしまう。何故??)

状況は以上です。

<Buffalo社への送信内容の抜粋>

そこで、以下のような試行を行いました。

(1)BHR-4GRVを初期化する。
(2)保存していたパラメーター値を復元する。

(注)我が家のLANは、192.168.2.XXX となっており、BHR-4GRVの初期値 192.168.12.XXX のままでは使えない。

前回の報告では、上記(1)と(2)の2つを実行した後に確認したら、PPTPサーバーの設定項目で最初の4項目が消えていたわけですが、今回確認したところ、(1)の初期化を終わった時点では4項目が存在していましたが、(2)のパラメーター値の復元を行ったら、4項目が消えていました。

そこで、(1)の初期化したBHR-4GRVを、LANクロスケーブルでPCと接続させ、パラメータ値を変更する方法で確認しました。
(これにより、上位のネットワーク機器と切り離した環境で確認ができる、と考えました。)

その結果わかった事は、LANクロスケーブルで接続されたPCからLANの設定項目(PDFマニュアルのP103)で、LAN側IPアドレスを192.168.12.1を192.168.2.1に変更し、DHCPサーバーでのIP割り当てを192.168.12.2から64個を192.168.2.100から64個に変更して設定を保存すると、(BHR-4GRVのそれ以外の項目は変更していない)、次にBHR-4GRVのWeb設定画面ではPPTPサーバー項目のうち最初の4項目は消えていました。

更におかしいのは、初期化した後(http://192.168.12.1の時)は、Web設定画面のパスワードは無しでOKですが、設定変更後(http://192.168.2.1の時)は以前に使っていたパスワードが保存されています。

以上の結果からBHR-4GRVを初期化しても、一部のパラメーター完全に初期化されない、というBHR-4GRV側に問題がある、と思われます。(上位のネットワーク機器は切り離しているので、こちらには問題は無いように考えられます。)

投稿日時 - 2013-07-18 19:08:51

ANo.27

こんにちは。hirasaku です。

すみません。時間が経過してしまいまして。

ちょっと、過去のやり取りとBHRについてちょこっと調べてみたり
してたら、返答遅くなっちゃいました。

補足、読ませていただきました。
なるほど、そのような使い方をされていたわけですね。
私自身、メディアプレーヤーやPS3などは使ってないので、
詳しくはわからないのですが。
ただ、そのような機器でも共有フォルダにアクセス可能な
機能があるのなら、ユーザー認証に対応してるような気がしますが。

それで、BHRのマニュアルなど、調べてみると、
PPTPの動きっていうのが、ちょっと見えてきたような感じです。
過去のやり取りの中で、マニュアルの内容が違うようなことが
書かれてますが、ちょっとそこはWebに載ってるマニュアルで。

PPTPサーバーの設定のなかで、DHCPサーバー機能を使用するに
設定した場合、BHRがDHCPサーバーになり、割当て範囲の中から
PCに配る仕組みですね。
このとき、LAN側にもDHCP機能を使用すると設定してある場合、
PPTP側と連動してませんか?
例えば、PPTP設定でDHCPの割当て範囲を変更すると、
LAN側の割当て範囲も勝手に変わっているとか。
この辺は確認してみないとわからないのですが。
それで、DHCP機能を使用しないにすると、下の拡張設定から選ぶ
ことになるような。
このとき自動にすると172のセグメントが配られるわけで、
では、手動ではどうなるかというと、ここはあくまで想像ですが、
BHRのLAN側セグメントとは別のセグメントしか割り当てられない
仕様ではないでしょうか。
で、その下にPPTP接続ユーザー経路の編集で経路を作ってあげないと
通信ができないのでは。

ということは、このPPTP接続ユーザー経路で、PPTP接続してくる
ユーザーによって、経路制御できるということになりますね。
すみません、あくまで想像ですので、やってみないとわからないのですが。

ちなみに、DHCPサーバー機能を使用するにしても、
このPPTP接続ユーザー経路の編集ってできますでしょうか?
もし、出来るのであれば、PPTPユーザーによって、
NASにアクセスできないようにできるのではないかと。

例えば、UserAはあて先192.168.2.1 サブネット255.255.255.255or/32
と設定できるなら、NASにはアクセスできなくなりますね。

ちょっと、お試しください。

あっ、ユーザー認証については、上記のことを試されてからのほうが
いいような気がします。

では。

投稿日時 - 2013-07-16 13:57:47

補足

コメントありがとうございます。

BHRのPPTPサーバー設定画面が、マニュアルと私の実機で違う点に関し、本日Buffaloからメールが来ましたが、
    ブラウザはIE?  初期化で確認してみたら?
という内容だったので、
  WinXP-IE8とWin7-IE10の両方で確認済み。初期化しても変化なし。
と返信しました。 また1~2日で何かレスがある事を期待しています。

私の実機では、BHR-4GRV 製品マニュアル http://manual.buffalo.jp/buf-doc/35012132-02.pdf の P99 にある、最初の4項目(自動入力、LAN側IPアドレス、DHCPサーバー機能、割り当てIPアドレス)の設定項目がありません。
従って、以下の事は(設定項目が無いので)確認できません。

>PPTPサーバーの設定のなかで、DHCPサーバー機能を使用するに設定した場合、BHRがDHCPサーバーになり、割当て範囲の中からPCに配る仕組みですね。
このとき、LAN側にもDHCP機能を使用すると設定してある場合、PPTP側と連動してませんか?


PPTP接続ユーザのIPアドレスの割り当ては、実機でどうなっているか? に関しては、

(1)P99の「クライアントIPアドレス」を自動設定した場合、
  同ページの「PPTP接続ユーザの編集」をクリックすると、PPTP接続ユーザの追加/編集ができ、各ユーザに対し、
  PPTP接続ユーザの「ユーザ名」、「パスワード」、「IPアドレス割り当て方法」、「RIP送信機能(使用する/使用しない)」が設定できるようになっています。
   (最後の項目は、深く考えないで、デフォルトの「使用する」のままにしています。)
  ここでの「IPアドレス割り当て方法」には、(a)DHCPサーバー設定の範囲から取得、(b) PPTPサーバー設定の範囲から取得、(c)固定IPアドレスの3通りが設定できます。

  (a)を選択すると、マニュアル P103 の「LAN」項目で、192.168.2.100 から 64台と設定した範囲(つまり、192.168.2.100~192.168.2.163)から割り当てられます。
  (b)を選択すると、マニュアル P99 の自動設定どおり、最初のPPTP接続ユーザには 172.31.101.2 が割り当てられます。
  (c)を選択すると、文字通り固定値が割り当てる事が可能で、USB-HDD を BHR に接続する時は 192.168.2.200 ~ を割り当て、USB-HDD を BL900 に接続する時は、192.168.0.100~を割り当てています。

(2)P99の「クライアントIPアドレス」を手動設定した場合、例えば 192.168.2.200 から10台と設定しようとすると、
   入力項目に間違いがあります。
   場所: クライアントIPアドレス
   内容: LAN側ネットワーク内のIPアドレスは使用できません
  とエラーが出ます。 192.168.2.XXX 系の値は手動設定できません。 192.168.0.XXX 系の値は設定できます。


PPPTP接続ユーザー経路の編集に関して、私も同様な事を考え、

>例えば、UserAはあて先192.168.2.1 サブネット255.255.255.255or/32と設定できるなら、NASにはアクセスできなくなりますね。
ちょっと、お試しください。

試してみましたが、

  入力項目に間違いがあります。
  場所: IPアドレス
  内容: 本体のLAN側IPアドレスは指定できません

というエラーが出るので、今はPPPTP接続ユーザー経路の編集の項目は何も設定していません。

以上のような状況です。 よろしくお願いいたします。

投稿日時 - 2013-07-16 23:27:47

ANo.26

こんばんは。hirasaku です。

放置してしまい、申し訳ございません。
ちょっと忙しかったもので。。。

私への補足読ませていただきました。

また、話がズレちゃってますね。

あのぉ、目的はPPTP接続時にUSB-HDDにネットワークドライブの割り当てが
できるようにしたいということですよね。

BHRのDHCPについて、いろいろやられているようですが、
DHCPサーバ設定範囲からで、ちゃんとできているんですよね?
この方法に何か問題があるのでしょうか?

話を戻しますね。

先の回答で、聞き忘れてたウイルス対策ソフトの件、
別の方が聞かれたみたいなので、その辺も参考にさせていただきました。

まず、ZEROというソフトにファイヤーウォール機能はないのですか?
ZEROにファイヤーウォールがなくて、Windows標準のファイヤーウォールを
使っているんですか?
もし、ZEROにファイヤーウォールがあるのなら、ZEROのファイヤーウォールを
使ったほうがいいのでは。
Windows標準のファイヤーウォールはOFFにしてZEROのファイヤーウォールで
設定を調整するのが推奨です。
ZEROにないのであれば、Windows標準のファイヤーウォールの設定で、
ファイルとプリンター共有を例外に設定してみてどうか。ですか。

それと、認証のところを整理しましょうか。
まず、Windowsログオンの認証ですが、これはPCの電源を入れたときに
ユーザー名とパスワードを入力してWindowsを起動してますよね。
これはPCにアカウントがあります。

PPTPの認証はPPTPで接続するときにユーザーIDとパスワードを入力して
PPTP接続を確立します。
これは、PPTPサーバつまりBHRにアカウントがあります。

そして、USB-HDDの共有フォルダに接続するときのIDとパスワードですが、
この場合、BHRにアカウントを持っていると思いますが、
このアカウントはPPTPで設定したアカウントとは別メニューで設定
しているのでしょうか?
それとも、一つのアカウントを使いまわしているのでしょうか?
これ、意外と重要です。

最後にNASの共有フォルダにアクセスするためのアカウント情報は
NASにアカウント情報を設定してるはずです。

つまりですね、USB-HDDとNASが同一セグメントにいたとしても、
NAS側にフリーアクセスの共有フォルダを作らず、かつ
友達が使うアカウントをNASに作らなければ、NASの共有フォルダに
アクセスできないということになります。

これが、友達以外に公開するのであれば、悪意を持った方が、アタックして
いたずらするかもしれませんが、友達だけですよね?
PPTPは脆弱性があるといわれていますが、
一個人のそれも、いつ接続してくるかわからないリモート接続のセッションを
見張ってるなんてあると思いますか?

100パーセントないとは言えませんが、ほとんどないのでは。

上記のことを踏まえて、PPTPクライアントに192.168.0.のセグメントを
割り当てることはネットワーク的におかしいので、推奨しません。
また、BL900にUSB-HDDを接続ということも考えておりません。

ということで、BHRにUSB-HDDを接続して、ユーザーアカウントによって、
アクセス制限かけたほうがスッキリすると思いますが。

最後にBHRのIPって192.168.2.1 っていう落ちはないですよね?

では。

投稿日時 - 2013-07-14 23:45:20

補足

hirasaku さん、いつも詳しいコメントありがとうございます。

>あのぉ、目的はPPTP接続時にUSB-HDDにネットワークドライブの割り当てが
できるようにしたいということですよね。

はい。LAN外部のPCからも、USB-HDD に対しネットワークドライブの割り当てができるようにしたい、という事で、PPTP接続にはこだわりません。ただし、PPTPが一番現実的のようなので、今はこれに注力しています。


頂いたコメントに対し、何点かよくわからない点がありましたので、教えて下さい。


>最後にBHRのIPって192.168.2.1 っていう落ちはないですよね?

これはどういう意味でしょうか?

BHR-4GRV は、LAN内の機器の IP アドレスを割り付ける DHCP サーバーの役割を担っており、IP アドレスは 192.168.2.1 です。
ただし、BHRのPPTPサーバー設定画面では、PPTPサーバーのIPアドレスは「自動設定」としています。(ここは、192.168.2.XXX のような LAN 内のIPアドレスは手動設定できませんでした。)


>そして、USB-HDDの共有フォルダに接続するときのIDとパスワードですが、この場合、BHRにアカウントを持っていると思いますが、このアカウントはPPTPで設定したアカウントとは別メニューで設定しているのでしょうか?
それとも、一つのアカウントを使いまわしているのでしょうか?
これ、意外と重要です。

BHRに USB-HDD を接続した場合、現在の BHR の設定画面では、USB-HDDの共有フォルダに接続する時のIDとパスワードを設定することはできません。設定場面ではBHRの事を「ブロードステーション」と称していますが

  ¥¥(ブロードステーション名)¥disk1_pt1 または
  ¥¥192.168.2.1¥disk1_pt1

にて、USB-HDD にアクセスできます。 (LAN内部のPC、およびPPTP接続された外部のPCからも)

 上記でブロードステーション名のデフォルト値は APXXXXXXXXXXXX (XXXXXXXXXXXX はBHR のMACアドレス)で、USB-HDDは1個のパーティションの場合は disk1_pt1 となります。
 

>最後にNASの共有フォルダにアクセスするためのアカウント情報はNASにアカウント情報を設定してるはずです。
つまりですね、USB-HDDとNASが同一セグメントにいたとしても、NAS側にフリーアクセスの共有フォルダを作らず、かつ
友達が使うアカウントをNASに作らなければ、NASの共有フォルダにアクセスできないということになります。


これは理解しています。 しかし、現在、NAS(Buffaloの LS-WV4.0TL/R1J というものです)には、デジカメで撮った写真や動画などが格納されていますが、LAN内部からは特にアクセス制限をしていません。 つまりNASのフォルダーはLAN内部からはフリーアクセスの共有フォルダーです。 というのは、このNASへアクセスするのはPCだけでなく、メディアプレーヤ(例えば、Buffalo のリンクシアター LT-H91LAN)や、プレーステーション3 からもこのNASにアクセスできます。 PC以外の機器ではWindows ログオン時のユーザー名という概念が無いと思うので、NASに対しPC以外の機器からアクセス制限をする設定が(可能かもしれませんが)煩雑になりそうなので、現在はアクセス制限をしていません。 

NASとして、IPアドレスによるアクセス制限が可能なものを使えば、全ての問題が解決するとは思っています。
つまり、外部PCのPPTPクライアントへのIPアドレスを、例えば 192.168.2.200 のように手動で割り当てておいて、NASへアクセス可能なIPアドレスに 192.168.2.200 を加えない、といった方法で。

しかし現在の Buffalo 製NASは、IPアドレスによるアクセス制限機能が無いようなので、USB-HDD を 192.168.2.XXX 以外に置くことを検討しているわけです。



>上記のことを踏まえて、PPTPクライアントに192.168.0.のセグメントを割り当てることはネットワーク的におかしいので、推奨しません。


すみません、この辺(PPTPクライアントに192.168.0.のセグメントを割り当てることはネットワーク的におかしい点)に関し、もう少し詳しく教えて頂けませんか?

BL900 に USB-HDD を接続する弊害としては、

 (1)外部から、この USB-HDD にアクセスする際、例えば
    ¥¥192.168.0.1¥buffalo-1
   のように、直接IPアドレスを入力する必要があること。

    ¥¥ATERM-XXXXXX¥buffalo-1
   のような形式では、名前解決ができないのでアクセスできない。

    (注)buffalo-1 の部分は、接続される USB-HDD によって変更になる。

  (2)外部のPCから、http://192.168.0.1 とアクセスするとBL900の設定画面が見えてしまう。

というのが思いつきますが、(1)はIPアドレスを直接設定する事で割り切る、(2)はBL900 のユーザ名とパスワードを保存しない、というようにすれば良いのではないでしょうか?

それと、前から考えていた事ですが、外部PCのPPTPクライアントのIPアドレス系を 192.168.1.XXX 系に手動設定し、家の中に今回の目的専用の安価なNASを1個用意し、この安価なNASのIPアドレスを 192.168.1.XXX 系に固定にする、というアイディアはどうでしょうか?

以上、コメント返信頂ければ幸いです。

投稿日時 - 2013-07-15 09:42:24

ANo.25

 ウイルスセキュリティZEROの件ですが、やはり特定パソコンの環境での不具合が多々有る様です。
 ブラウザ表示が極端に遅くなったり、ダウンロード遅延の問題、PCの環境によっては起動しなくなる問題も出ている様です。その際の対処ですが、原因の切り分けも含めて稼働を停止させても、サービスで動作している為、意味が無い状態である事が多分にある為、一度レジストリも含めてアンインストールしてから、VPN接続検証されると良いかと存じます。
 それと、メーカー製PCにて、元々プリインストールされていましたウイルス対策系ソフトの削除も確認された方が良いかと存じます。レジストリの残留していて、変な動きを示す場合や、その他スパイウェア等でのネットワーク常時負荷状態である場合も想定されます。
 一度、「Spybot2.0」や「Ad-awareFree」での検索・駆除、レジストリクリーナーでの不要レジストリ削除後でのVPNレスポンスチェック、3G/LTE接続でのMTU/RWINの調整等も確認されると良いかもしれません。

投稿日時 - 2013-07-13 21:41:03

補足

Excel 2003 のファイルが開くのが遅い、という特定のPCに関し、ウイルスセキュリティのアンインストール、TuneUp Utilities 2013 や CCleaner によるレジストリーの掃除と不要な一時ファイルの消去を行いましたが、状況変化はありませんでした。

ネットで「Excel 2003 がネットワークドライブのファイルを開くのに時間がかかる問題」というのがあったので、この内容を見ていますが、この話は元々のPPTPサーバーの話とは関係ない、と思いますので、この特定のPCの問題は一時打ち切りにしたいと考えます。

投稿日時 - 2013-07-14 12:25:16

ANo.24

 補足回答確認しました。ルーター初期化は、ご推察の通りです。(工場出荷時に戻す作業です)

投稿日時 - 2013-07-13 18:49:19

補足

コメントありがとうございました。

工場出荷時に戻した後、保存していた設定値に復元しましたが、今のところ現象には変化がないように見えます。

投稿日時 - 2013-07-13 21:14:37

ANo.23

 追記です。Buffaloのルーターの一つ前のファームウェアに戻す事が出来るのであれば、それをトライしてみる方法もあるかと存じます。
 それと、BuffaloルーターのPPTPサーバタブの拡張設定にある内容で、自動設定にすると、172.34~といった数値割当されるといったニュアンスかと存じますが、この自動設定というのは、恐らくBuffaloルーターのPPTPサーバ内部に仮想ハブを設け、仮想ハブ内での接続を可能とする手法を設けているのだと判断しましたが、出先PCやLAN間接続をされる際に、出先回線ネットワークが同一セグメントだった際の仮想ハブモードの様な物を用意してくれているのでは?と判断しました。
 よく、業務用ルーターでもあるのですが、同一セグメント間VPN対応規格「Ether Over IP」規格が搭載されているルーターも同じ様な設定が可能なタイプもありますが・・・。

投稿日時 - 2013-07-13 18:46:25

補足

コメントありがとうございます。

1つ前のファームウェアのバージョン(Ver 1.90)は入手可能でしたが、PPTPクライアントへのIPアドレスを手動で割り付けができないようなので、トライはしない事にしました。

投稿日時 - 2013-07-14 12:18:04

ANo.22

 追加補足回答確認しました。Buffaloルーターの設定画面表記が、マニュアルと違う点ですが、ファームウェア更新時に(Ver1.92)、無くなってしまった表記かもしれませんね。ただし、表記が無くなってしまった機能表記の一部だったのかもしれません。
 Buffalo製の場合良くある事なのですが、メーカー側で表記が無くしてしまった際に、機能の移譲がうまくされていない、若しくは、PPTP稼働モードのDHCP周りの設定するプログラムモードの部分をミスっているのかもしれませんよ。 マニュアルに記載されていて、実際の実機にはその機能が無いという事は、ファームウェアバグの様な気がしますね。
 こちらのルーターは、あまり利用ユーザーの良いイメージが無い機材ですので、一応念のためですが、一度ルーターを初期化してみて、再度メニュー表示させてみては如何でしょうか?
 メーカー的には、結構やらかすメーカーですので・・・。

投稿日時 - 2013-07-13 18:25:10

補足

Buffalo のサイトの質問フォームにて、添付ファイル(現在の私のWeb画面の画像ファイル)を付けて送付しました。

でも3連休で、元々レスポンスが遅いメーカーなので、いつ返信が来るかわかりませんが、返信を受け取ったら報告します。

>一度ルーターを初期化してみて、再度メニュー表示させてみては如何でしょうか?

ここでの初期化とは、ルーターの再起動ではなく、工場出荷時に戻し再度設定する(または、保存していた設定値を復元する)、という事でしょうか?

投稿日時 - 2013-07-13 18:46:35

ANo.21

 先ほど伝え忘れましたが、Buffaloルーターの「インターネット/LAN」タブ→「PPTPサーバ」タブのDHCPサーバを利用しない設定ですとどうなりますでしょうか?
 上記設定でも、「インターネット/LAN」タブ→「LAN」タブのDHCPサーバは有効になっていれば、プライベートIP側DHCPのアドレスが配布されませんでしょうか?
 「PPTPサーバ」タブのDHCPサーバというのは、PPTPサーバに独自にDHCP機能を持たせる場合の機能ではないでしょうか?
 上記設定で、PPTPクライアントに、192.168.2.~の数値割当て効きませんでしょうか?効くのであれば、PPTPサーバの設定の拡張設定でのサーバIP(ルーターIP)通知と、範囲指定登録に192.168.2~の数値設定は効くのではないかといった判断ですが・・・。

投稿日時 - 2013-07-13 16:28:14

補足

コメントありがとうございます。

> 先ほど伝え忘れましたが、Buffaloルーターの「インターネット/LAN」タブ→「PPTPサーバ」タブのDHCPサーバを利用しない設定ですとどうなりますでしょうか?


最初はこの意味がわかりませんでした。
というのは、現在の私の設定画面にはこのような項目が存在していないので。

そこで、BHR-4GRVの製品マニュアル
 http://manual.buffalo.jp/buf-doc/35012132-02.pdf

を見ると、99ページの上部にこのような設定項目がありますね。

私の現在のWeb画面は、最初の4項目が無く、いきなり

  PPTPサーバー機能  使用する

から始まっています。

ちなみに私の BHR-4GRV のバージョンは、
 BHR-4GRV Ver.1.92 (R1.04/B1.00)
となっています。

念のため、現在 Buffalo サイトにアップロードされているファームウェアをダウンロードし、ファームウェア書き換えを行いましたが、現状は変化がありません。

これは Buffalo に問い合わせが必要ですね。

投稿日時 - 2013-07-13 17:54:27

ANo.20

 追加補足回答確認しました。そうすると、BuffaloルーターのPPTP機能におけるDHCP配布機能は、通常のプライベートLANアドレス配布のDHCP機能とは別の機能を持っている事になります。
 調べたのですが、Buffaloの応用マニュアル等を確認すると、PPTPサーバ設定でのDHCP配布する設定をすると、何故かBuffaloプライベートIP側DHCPと連動したIP配布ではなく、それ自身持っているIPを振る様ですね。それが、先刻の「172.31.145.~」といった数値から振られるものの様です。
 厄介ですね。BuffaloルーターのDHCP機能がPPTPクライアント先へもうまく効いていないといった事しか考えられませんね。当方使っています、「RTX1200」ではPPTP(今は使っていませんが、L2TP-VPN利用)での接続をしても、RTX1200自身のDHCPとPPTPサーバのIPアドレス・プール設定が同一でも特に問題ありませんし、PPTPクライアントへもRTX1200のプライベートIP側のDHCP配布も効きますよ。
 ウイルスセキュリティですか、調べた所、ウイルスセキュリティZEROの適用パソコンの個体差(組合せソフトによる)でのインターネット接続時の負荷や、ブラウザの負荷が高くなる現象、ファイルダウンロード時の負荷の問題が出ている様です。
 一度、VPN接続が重くなるPCのウイルス対策ソフトをアンインストールでの検証をされた方が良いかもしれません。
 ただ、動作軽減出来たとしても、元々PPTP自体、負荷をかけると使用に耐えない接続形態ではありますが・・・。
 

投稿日時 - 2013-07-13 15:45:39

補足

コメントありがとうございます。

>調べたのですが、Buffaloの応用マニュアル等を確認すると、PPTPサーバ設定でのDHCP配布する設定をすると、何故かBuffaloプライベートIP側DHCPと連動したIP配布ではなく、それ自身持っているIPを振る様ですね。それが、先刻の「172.31.145.~」といった数値から振られるものの様です。


これについては、以前に実際に確認しました。

(1)クライアント側を「DHCPサーバー設定の範囲から取得」の設定すると、BuffaloプライベートIP側DHCPと連動したIP配布を行います。(私の環境では、DHCPの割り当て範囲が 192.168.2.100 から64個ですが、PPTPクライアントには、この範囲のIPアドレスが割り当てられました。)


(2)クライアント側を「PPTPサーバー設定の範囲から取得」と設定し、サーバー側を「クライアントIPアドレスを自動設定」にした場合には、class B プライベートである、 172.31.199.XXX というデフォルト値が割り当てられました。

(1)ができるのに、PPTPサーバーのIPアドレスを 192.168.2.1 に手動設定できないのは何故なのか、良くわかりませんが。。。

ウイルスセキュリティの関しては、以前に「アンインストール」ではなく「パーソナルファイヤーウオールを停止」という設定で試した事がありますが、現象は改善されませんでした。

投稿日時 - 2013-07-13 16:15:22

ANo.19

 追加補足確認しました。そうすると、BuffaloルーターのPPTPサーバのIPアドレスをクライアントへのプールする機能はこちらのルーターの場合、自動(仮のIPアドレスを振るといった形態という事ですね。
 面妖なルーターですね、IPアドレスをプールする際に相違サーバIPアドレスを設定(例として192.168.3.1)、クライアントへの振るIPを192.168.3.2~といった形態であれば可能といったニュアンスという事ですかね?
 通常簡易的なPPTPサーバ機能付ルーターですと、クライアントにVPNルーターのIPがそのままDHCPプール出来る機能(範囲指定可)だったりするのですが・・・。
 では、PPTPサーバの設定にて、拡張設定内→サーバIPを192.168.3.1等、クライアント・プールIPを192.168.3.2~といった設定で、次に、「インターネット/LAN」タブ→「経路情報」にて、3G/LTE-Wifiルーターの宛先IP(192.168.179.0/24)と、Nexthopゲートウェイ(192.168.0.254/24→HGWのIP)の登録では挙動動作如何でしょうか? ※通常、こういったBuffalo自身に3G/LTE-WifiルーターのプライベートIPセグメントの通す設定は必要ないかと存じますが・・・。
 一部WindowsXP端末が遅いといった件ですが、特定PCのセキュリティソフト等でのアクセス制限等はかかっていないのですよね? ※ウイルスバスター等のソフトでVPN接続上のレスポンス問題もありましたが・・。
 それと、Buffaloルーターのファームウェアは更新されましたか?(念のためですが・・)

投稿日時 - 2013-07-13 12:08:49

補足

いつも早急なレスポンス、感謝いたします。

BHRのファームウェアバージョンは Ver1.92 という最新版を使っています。

また、PPTPクライアント用PCのセキュリティソフトは、3台ともソースネクストの「ウイルスセキュリティ」を使っています。


>面妖なルーターですね、IPアドレスをプールする際に相違サーバIPアドレスを設定(例として192.168.3.1)、クライアントへの振るIPを192.168.3.2~といった形態であれば可能といったニュアンスという事ですかね?

はい、サーバーを 192.168.1.1 クライアントに割り付けるアドレスを 192.168.1.100~ のような設定はできました。


> 通常簡易的なPPTPサーバ機能付ルーターですと、クライアントにVPNルーターのIPがそのままDHCPプール出来る機能(範囲指定可)だったりするのですが・・・。

BHRの場合は、クライアントへのIPアドレス割り付け方法として、
 (1)DHCPサーバー設定の範囲から取得
 (2)PPTPサーバー設定の範囲から取得
 (3)手動での固定IP

の3通りから選択可能です。


>では、PPTPサーバの設定にて、拡張設定内→サーバIPを192.168.3.1等、クライアント・プールIPを192.168.3.2~といった設定で、次に、「インターネット/LAN」タブ→「経路情報」にて、3G/LTE-Wifiルーターの宛先IP(192.168.179.0/24)と、Nexthopゲートウェイ(192.168.0.254/24→HGWのIP)の登録では挙動動作如何でしょうか?

ゲートウェイに、192.168.0.254 をアサインすると、

 入力項目に間違いがあります。
 場所: ゲートウェイ
 内容: 本体のInternet側IPアドレスは指定できません

のエラーが返ってきます。

取り急ぎ、ご報告まで。

投稿日時 - 2013-07-13 14:30:40

ANo.18

こんにちは。hirasaku です。

こちらこそ。前回は不甲斐ない落ちで申し訳ございませんでした。
また、お会いできましたね。

現状は私への補足でなんとなく把握したつもりです。
確認ですが、
PPTPクライアントに割当てているアドレスは、192.168.2のセグメントである。
PPTPサーバーはBHRである。
USB-HDDはBL900に接続してある(192.168.0のセグメントで)
PPTPのセッションは成功している。
BHRのセグメントにいるPCやNASに疎通が図れる。
BL900に接続されているUSB-HDDには
¥¥IPアドレス¥フォルダ名でアクセスできる。
また、ネットワークドライブの割当ても可能である。

ということで、よろしいでしょうか?

そこで、私の疑問でもあり、PXC00231さんの疑問でもあるのですが、
そもそも、Windowsファイヤーウォールって自分自身を外部から守る
機能なので、今回のように外部へつなげるようなアクセスは
許可のはずなんですけど。
でも、ファイヤーウォールをはずすとできるんですよね。。。

それと、現在のPPTP接続の設定(192.168.2.xxxを使ってPPTP)では
BL900にUSB-HDDをつないでも、192.168.xxxのNASにも接続できる
はずなんですが。。。
できなくなってますか?

最後に共有ファイルへのアクセスの遅さですが、
3G回線ではきついのでは。と思いますよ。
自分のスマホが3Gですけど、はっきり言って遅いっす。
それも、共有ファイルを直接編集、更新したりするんですよね。
3Gは出ても3Mくらいですかね。

そして、USB-HDDの制御をしているのがルータっていうのもどうかと。
ルータ本来の機能ではないですから。
ルータは経路制御するものですよ。本当は。

ということで、逆に現状を質問してしまいましたが、
この辺がわからないとお答えができないかと思います。

よろしくお願いします。

投稿日時 - 2013-07-12 16:04:01

補足

早速のコメント、ありがとうございます。

>確認ですが、
>PPTPクライアントに割当てているアドレスは、192.168.2のセグメントである。
>PPTPサーバーはBHRである。
>USB-HDDはBL900に接続してある(192.168.0のセグメントで)
>PPTPのセッションは成功している。
>BHRのセグメントにいるPCやNASに疎通が図れる。
>BL900に接続されているUSB-HDDには¥¥IPアドレス¥フォルダ名でアクセスできる。
>また、ネットワークドライブの割当ても可能である。

>ということで、よろしいでしょうか?

PPTPサーバーはBHR(BHR-4GRV)です。

USB-HDDの接続は、今は問題切り分けのために、2つのUSB HDD をBHRとBL900に接続して検討していますが、最終的にはBL900だけの1つにしたいと思っています。

回答No16の補足のところにも記載しましたが、

BHRのPPTPサーバー設定項目で、
 PPTPサーバーのIPアドレスを192.168.2.1 と手動設定すると、「本体のLAN側IPアドレスは指定できません」というエラーが出るので今は「自動設定」としています。

また、PPTPクライアントのIPアドレス設定は、
  BL900に接続のUSB HDDをアクセスするユーザー(ユーザーAと称します)用に192.168.0.100からユーザー数分

  BHR に接続のUSB HDDをアクセスするユーザー(ユーザーBと称します)用に192.168.2.200からユーザー数分

を手動設定しています。 PPTPクライアントPCで「ipconfig」コマンドで、上記の手動設定したIPアドレスが割り当てられる事は確認済みです。

ユーザーAの場合もユーザBの場合も、PPTP接続までは100%成功します。

ユーザAは、¥¥192.168.0.1¥buffalo-a と入力することで BL900 に接続された USB HDD に対してネットワークドライブの割り当てはできますが、¥¥192.168.2.1¥disk1_pt1 と入力して BHR に接続された USB HDD に対しネットワークドライブを割り当てようとしても、「ネットワークパスは見つかりません」というエラーが出て割り当てができません。

ユーザBは、¥¥192.168.2.1¥disk1_pt1と入力することで BHR に接続された USB HDD に対してネットワークドライブの割り当てはできますが、¥¥192.168.0.1¥buffalo-1 と入力して BL900 に接続された USB HDD に対しネットワークドライブを割り当てようとしても、「ネットワークパスは見つかりません」というエラーが出て割り当てができません。
なお、ユーザーBは、BHR接続の USB HDD 以外にも、LAN内(192.168.2.XXX 系)のNASに対してもネットワークドライブが割り当てできてしまいます。

ご質問の「BHRのセグメントにいるPCやNASに疎通が図れる。」の意味が良くわかりませんでしたが、上記の内容で回答になっているでしょうか?


Windowsファイヤーウォールに関しては、その後いろいろ確認しているのですが、「有効」にしてもネットワークドライブの割り当てに成功する場合もあったり、「無効」にしても失敗する場合があったり、といった状況なので、もう少し状況を整理する必要がありそうです。ネットワークドライブの割り当て失敗は別の要因かもしれません。

パフォーマンスの件も、回答No16の補足に記載しましたが、どうも特定のPC固有の設定問題のような気がして来ました、当方は LTE/3G ルーターですが LTE 接続になっているためか、上記補足でエクセルファイルが5秒以内に表示されるPCの場合は、それほど違和感はありませんでした。


>そして、USB-HDDの制御をしているのがルータっていうのもどうかと。ルータ本来の機能ではないですから。


確かに、ルーターの「おまけ機能」のような位置づけの簡易NAS機能を使う事自体が、期待のしすぎ、なのかもしれません。
今回の用途専用にNASを用意する事は可能ですが、外部PCからこの専用のNASだけにアクセスを許し、LAN内部のNASへのアクセスを禁止する簡単な方法が良くわからなかったので、HW900の簡易NAS機能を使うのが有力、と思っている次第です。

以上です。よろしくお願いいたします。

投稿日時 - 2013-07-13 11:58:38

ANo.17

 更に追加補足ですが、レスポンスの話ですが、詳細設定タブ→「ジャンボフレーム透過機能」を有効化し、配下Buffaloルーターはジャンボフレーム対応ですので、多少レスポンスはアップするかもしれません。
 PPTPを使う限り上限は見えていますので、もう一つの方法ですが(望まない方法かも?)、利用していますサーバに「SoftEther VPN 1.0」といったフリーVPNサーバでの仮想HUB+L2TP-VPN、若しくはL2TPv3-VPNでの構築でしょうか。
 上記VPNサーバであれば、サーバOSの仕様に併せWindows用とLinux用がありますので,サーバにインストールする手法で、BuffaloルーターのPPTPサーバを使わない方法ですね。こちらのVPNサーバを適用される場合には、Buffaloルーターにアドレス変換設定(静的IPマスカレード)にて、TCP5555、1194、992、443番をVPNサーバ機のIPに転送する設定になります。
 外部PCからは、「SoftEther VPN 1.0」のクライアントツールを適用させ、仮想ハブ経由でのダイヤルアクセス設定を投入する方法です。その際に、外部PCのLTE-Wifiルーターの設定で、TCP5555、1194、992、443を解放する方法となります。

投稿日時 - 2013-07-12 07:25:14

補足

アドバイスありがとうございます。

PPTPを使わない方法(Open-VPN等) は近い将来検討してみたいと考えていますが、今は現状のPPTPでの問題を決着させる事を優先としたい、と思っています。
 

投稿日時 - 2013-07-13 10:53:06

ANo.16

 先刻お伝え忘れましたが、Buffalo-PPTPサーバの設定の設定を触れる際に、PPTPサーバ内→拡張設定にて、「インターネット/LANタブ」→「PPTPサーバ・IPアドレス」を初期値は自動設定になっておりますが、それを手動で192.168.2.1としましょうか、それと、「クライアントIPアドレス」を「192.168.2.2~」といった数値設定で、外部からの接続します仮想プライベート・ネットワーク接続します端末接続へPPTPサーバからのIPアドレスがプールされる筈です。
 ただし、それだけですと、Buffaloルーター・PPTPサーバからみて、PPTPクライアントとなるIPが動的不定となりますので、更にセキュリティ面から、BuffaloルーターのPPTPサーバ内に接続可能アドレス制限でPPTPクライアント・IPアドレスを特定させ、BuffaloルーターのIPフィルタ等の設定で、その他機器へのアクセスを制限させようとするイメージが先刻の話です。
 接続速度が遅いのは、先刻の話の様にPPTP通信仕様の問題と、少しでもアクセスの負荷を軽減させようとするのであれば、外部PCの仮想プライベートネットワーク接続のプロパティ→ネットワークタブ→インターネットプロトコルVer4(TCP/IP)プロパティ→詳細設定→リモートネットワークでデフォルトゲートウェイを使うにチェックが投入されていれば外すといった方法でしょうか。 
 上記の様に、「リモートネットワークでデフォルトゲートウェイを使う」にチェックが投入されていると、外部PCのインターネット閲覧接続にもBuffaloルーターを経由しようとする動作となる為、チェックを外す方法になるかと存じます。(速度が遅い対策としては、スズメの涙かもしれません)
 上記までの方法で、HGWの接続しますUSB-HDDのルートでも、Buffaloルーターに接続しますUSB-HDDのルートでも外部PCからアクセスは可能となるはずです。先刻のHGWに投入しました、ポート解放+静的ルーティングが正常稼働していましたらの話ですが・・・。

投稿日時 - 2013-07-12 06:36:55

補足

コメントありがとうございます。

>Buffalo-PPTPサーバの設定の設定を触れる際に、PPTPサーバ内→拡張設定にて、「インターネット/LANタブ」→「PPTPサーバ・IPアドレス」を初期値は自動設定になっておりますが、それを手動で192.168.2.1としましょうか、

はい、以前にこれを試みましたが、

 入力項目に間違いがあります。
 場所: サーバーIPアドレス
 内容: 本体のLAN側IPアドレスは指定できません

というエラーが出てしまい、このような設定はできません。

ちなみに、PPTPクライアントIPアドレスも、192.168.2.200 から10個分自動割り当て、という設定にしたかったのですが、この場合も、

 入力項目に間違いがあります。
 場所: クライアントIPアドレス
 内容: 本体のLAN側IPアドレスは指定できません

というエラーが出てしまいます。

従って今は、ここでの設定は自動設定のままにし、PPTPクライアントユーザの設定のところで、IPアドレスを手動に設定しています。 (BL900HWにUSB HDD を接続している場合は、192.168.0.100からユーザー数分、BHR-4GRV にUSB HDDを接続している場合は、192.168.2.200からユーザー数分)

今のところは、PPTP接続までは安定してできていますが、その後のUSB HDD にネットワークドライブを割り当てるところが、 Windows ファイヤーウオールの設定絡みで、想定どおりに動作していません。

また、「リモートネットワークでデフォルトゲートウェイを使う」の設定は、最初からチェックを外しています。

パフォーマンスに関し、25KB程度のエクセルファイルが表示されるまでの時間が遅い(1分以上かかる)ので、PPTPサーバーのソフト処理が重たいのかも?? と考えていましたが、以下のように、重点的に評価していた PC1の他にあと2台追加確認したところ、遅いのはPC1だけ、という結果になってしまいました。従って、今回の問題はPC1固有の問題かもしれませんので、引き続き検討してみます。

 PC1 WinXP Pro → エクセルを開くのに1分以上かかる。
 PC2 WinXP Home → 同 5秒以内
 PC3 Win7 Pro → 同 5秒以内

以上です。

投稿日時 - 2013-07-13 10:49:45

ANo.15

こんにちは。hirasaku です。

横入りで申し訳ございませんが、ちょっと話がズレてるかと。
PXC00231さんは過去、私が、BL900のときに回答させていただいたと思います。

で、今ままでのやり取りを拝見させていただきましたが、
まず、ちゃんと切り分けをしてみましょう。
ここに投稿された時点の状態に接続構成を戻すことをお奨めします。
こういう場合は、変に機器接続を変えないほうがいいと思いますよ。

というのは、ここに投稿された時点で、すでにPPTPの接続は出来ていたのですよね?
PPTP接続後BHRに接続されたHDDにネットワークドライブ割り当てをしようとして
失敗していたのですよね?

PPTPはリモートVPN接続のための通路を確保するだけなので、
通信が出来る、できないとはちょっと違います。
PPTP接続が確立されていても通信できない場合は、PPTPとは別の原因があると
考えたほうがいいでしょう。
例えば、PPTP接続したときのクライアントPCに割り当てられたIPアドレスなどです。
PPTP接続してもLAN側アドレスと異なるアドレスがPCに振られれば通信が出来ないのは
当たり前です。
(今回の場合ですよ。異なるアドレスでも経路制御すればできるパターンはあります)

このことは今回のやり取りの中でありましたよね。172のアドレスが・・・なんて。
で、BL900にHDDをつけて、PPTPクライアントに192.168.0.のセグメントのアドレスを振った。
これも間違いです。
セキュリティ・ゲートウェイはBHRであり、PPTPはBHRのLAN側とつなげるための仕組みです。
それをWAN側のアドレスを割り当てたとなると接続形態的がおかしいです。
たまたま、通信ができているだけで、通信が遅いっていう原因ではないでしょうか。
192.168.2.のセグメントを割り当てて正常な通信が出来るはずです。

と、まぁ、長くなるので、変にいじくらないで、無駄な投資を避けて
なんとかしようと思いますので、元に戻しましょう。

ちなみにXPですが、PPTP接続するときのアイコンのプロパティで
ネットワークタブのなかで、
Microsoftネットワーク用ファイルとプリンタ共有と
Microsoftネットワーク用クライアント
にはチェック入ってますよね?

投稿日時 - 2013-07-11 23:21:21

補足

hirasakuさん、ご無沙汰しております。
BL-900HW での DHCP OFF の検討の際は、大変お世話になりました。

今回、私が実現したい事は、

 LAN内にLAN内に共有領域を設置し、LAN外部からこの共有領域にアクセスする際にネットワークネットワークドライブを割り当てる。 実際の使用シーンとしては、友人等が共有領域に格納されているワードやエクセルファイルの添削や加筆を行う、といった事を考えているので、友人等がアクセスできるのはこの共有領域のみで、LAN内のNASにはアクセスできない方が望ましい。

という内容です。

これを実現するためには(特にネットワークドライブを割り当てるには)VPNサーバーを使わないと難しいようなので、PPTPサーバー機能を有する安価なBHR-4GRVを使い、BHR-4GRVのUSB端子に接続されたUSB HDD を共有領域とする、最初の質問の構成図を検討しています。

現在は、PPTPユーザの新規作成等の設定をしPPTP接続をし、PPTP接続ユーザのIPアドレスを 192.168.2.XXX 系にし、PPTP接続時には Windows のファイヤーウオールを無効にすれば、外部からネットワークドライブを割り当ててUSB HDD にアクセスできる、というところまでは実現できています。(何故、Windows のファイヤーウオールを無効にする必要があるのか、については要検討)

次に、外部PCがUSB HDD 以外のLAN内のNAS等にはアクセスできないように制御する方法に関しては、USB HDD を BL900HW のUSB端子に接続する事で今のところはうまく行っているように見えますが、元々KDDIがサポートしていないBL900HWの使い方なので、ちゃんと理論的に検証する必要がある、と思っています。

現在は、実現したい機能はできているのですが、USB HDD を
BL900HWに接続した場合もBHR-4GRVに接続した場合も同じように USB HDD に格納されたエクセルファイルを開くのに時間がかかっているので、その原因(外部PC接続のための3G回線が遅いからか、またはBHR-4GRVのPPTPサーバー実現のソフト処理が重たいためなのか、の切り分け等々)を調査する必要があると考えています。

なお、あくまでもPPTPサーバー構築は実現したいことの具現化の1つの方法なので、PPTPサーバーを構築しなくても実現したいことが具現化できる方法があれば、それに越した事はありません。

以上が現時点の概要ですが、下記の質問に対しては、

>ちなみにXPですが、PPTP接続するときのアイコンのプロパティで
ネットワークタブのなかで、
Microsoftネットワーク用ファイルとプリンタ共有と
Microsoftネットワーク用クライアント
にはチェック入ってますよね?



(1)XPのデスクトップで「マイネットワーク」を右クリック

(2)PPTP接続のアイコンが出てくるので、これを右クリックしプロパティを選択

(3)「ネットワーク」タブを選択すると、この接続は以下の項目を使用します、という項目の中に、「Microsoftネットワーク用ファイルとプリンタ共有」および「Microsoftネットワーク用クライアント」があり、チェックが入っています。

以上のような状況です。
よろしくお願いいたします。

投稿日時 - 2013-07-12 01:48:43

ANo.14

 先ほどの「RTX1000」ですと、最近のギガビット・インターネット主要規格のIPV6-IPOE/PPPOEに対応しておりません。インターネットスループット(最大100Mbps)、リモートアクセスでの速度増速を図る為のL2TP-VPNに対応しておりません。
 能力的に「RT57i」+IPSEC(LAN間接続、最大55Mbps)、NATセッション数(最大4,096)ですので、NATセッション消費するとすぐにリブート・暴走します。ADSL世代の製品ですので、仕方ない仕様です。
 多少高価ですが、先述のルーター(新品)ですと、2~3年で壊れる物ではありませんので、複数年でのトータルコスト+運用面+メーカーサポートもありますので、先述のモデルにされた方が賢明かと存じます。

投稿日時 - 2013-07-11 20:41:05

ANo.13

 No.10~の補足返答確認しました。BuffaloのVPNルーターは、見せかけだけの製品ですよ。
 表面的に、ギガビット・インターネット対応でVPNが出来てといった事が主体ですが、仕様をよく見るとわかるのですが、VPN接続等に影響します制御仕様がソフトウェア処理である点、VPNとインターネットを併用した際のNATセッション数をみても、端的な家庭用だけの価格帯の製品である点は捨てきれません。
 価格だけをみて失敗しているユーザーも多く、こちらの製品を利用されている方でも、処理能力・仕様から高い負荷をかけた通信をかけた利用方法ですと、2年程度もてば良い方かと存じます。
 予算があれば、Yamaha「RTX810」ですと、最近のギガビットインターネット+IPV6-IPOE/PPPOEまでの接続(最大1Mbps)、L2TP/IPSEC-VPN(ハードウェア処理・最大200Mbps)、最大NATセッション数10,000と、NEC「UNIVERGE iX2105」ですと、ギガビット・インターネット(IPV6-IPOE/PPPOE)、L2TP/IPSEC-VPN(ハードウェア処理・最大1.2Gbps)、最大NATセッション数65,535となっています。
 上記2機種であれば、かなり満足いく運用レベルのVPNネットワーク/インターネット併用接続が可能かと存じます。特にNEC製ですと、Yamahaでも苦手とする、ショートパケット処理(SkypeやBittrent、スマートフォン等の高い負荷でのリモートアクセス処理)も含めた高速NAT変換仕様として有名です。Yamahaですと、NAT変換切断タイマ‐やリミット設定、QOS等も細かく調整しませんと、NATセッション残10%程度になるとリブートや誤動作も発生します。

投稿日時 - 2013-07-11 20:23:54

ANo.12

 追加補足の件で、Windowsファイアーウォール機能での阻害ですが、Windowsファイアーウォール有効時での詳細設定→接続セキュリティの規則にて、PPTP-VPNでのアクセス(仮想プライベートネットワーク)に対してのプロトコル番号や接続視点IPアドレス、終点IPアドレスの許可の履歴登録がされていない状態かと想定されます。
 Windowsファイアーウォール画面を開くと、詳細設定内に細かな通信規則の設定欄が御座います。
 その中にTCP1723とgreパケットと仮想プライベートネットワーク接続の規則の関連付けが無ければ、接続は遮断される状態になってしまうかと想定されます。
 通常は、こういった細かな設定はWindows側で設定していくと、面倒な作業となりますので、Windowsファイアーウォールは無効化→PPTP周りの制御しているルーター側でアクセス制限等された方が処理速度・利便性からみて良いかと存じます。
 

投稿日時 - 2013-07-11 17:45:54

補足

Windowsファイアーウォールの件は、回答No10の補足のところにも記載しましたが、私の方で少し勘違いしていました。

VPN接続の時のみWindowsファイアーウォールを無効とする設定ができたので、これで試行してみたいと考えています。

投稿日時 - 2013-07-11 20:06:02

ANo.11

 先ほどの補足事項ですが、PPTP-VPN自体、セキュリティクラックされやすい接続方法ですので、WANからのアクセス等において、外部回線側のポート解放等もありますので、出来ましたら、L2TP-VPN/IPSEC接続出来る形態への移行が望ましいです。
 セキュリティを望まれるのでしたら、L2TPであれば、VPNルーター側でNATトラバーサルでの転送手法である点、IPSECと同等のセキュリティ暗号化での接続、VPNレスポンスもハードウェア制御での高速VPNも可能です。
 PPTP-VPNのアクセスであれば、大抵のメーカーはソフトウェア制御のため、最大でも1Mbps程度のレスポンスしか得られない筈です。(L2TPであれば、利用回線にもよりますが、30~40Mbps程度は確保可能かと存じます)
 ギガビットインターネット接続+L2TP/IPSEC、双方対応する方法としては、個人的にはYamaha「RTX810」やNEC「UNIVERGE iX2105」あたりがお奨めです。こちらのVPNルーターであれば、細かなセキュリティフィルタの設定や帯域制御設定等も可能です。
 
 

投稿日時 - 2013-07-11 08:53:01

補足

今回の用途は、企業での機密情報を扱うのではなく、友人どおしの情報交換が目的ですので、PPTPレベルで良いと判断しています。

OPEN-VPNの場合、クライアント側の Windows PC 側に設定ファイルやセキュリティ証明書を格納する必要があり、友人たちにはハードルが高いすぎる作業となります。

ただし、回答No10の補足にも記載しましたが、レスポンス性能に関しては、もう少し検討したいと考えています。

投稿日時 - 2013-07-11 20:13:45

ANo.10

 まず追加回答の1番目から、3G/LTE回線セグメントがLTEプライベートセグメントになっております。(192.168.179.0/24)
 ですので、LTE接続端末のWifiルーターの内部設定画面(http://192.168.179.1)が開ける筈ですので、詳細設定→ポートマッピング設定で、TCP1723とgreパケットを通す様に設定します。
 それと、HGWの静的ルーティングの件ですが、あくまでもIPベースのルーティングですので、ポートベースの転送も双方必要です。「宛先アドレスを192.168.2.0/24、Nexthopゲートウェイ192.168.0.254と登録」+「TCPの任意のポートの信号とプロトコル番号47(gre)は、192.169.0.254にマッピング」
 NECの無線アクセスポイントの設定は合致しており、BIGLOBE-DDNS取得はWAN側のルーターのUPNP機能での通信取得でOKです。(ただし、NECからみて、WAN側はあくまでも固定ですが、元々AUひかり自体はグローバルIP半固定みたいな物ですので、必要ないかもしれません)
 あとは、アクセスします外部PCからのアクセスをBuffaloルーターのIPフィルタでの制限をかける方法が基本ですが、BuffaloルーターのIPフィルタにて、送信元(PPTPクライアントIP)→NASのIP宛て、TCP137-139、445、21-22その他思い当たるポート番号を破棄する設定、送信元(PPTPクライアントIP)→サーバのIP宛て、TCP137-139、445、21-22、他不正アクセスポート番号破棄といった方法で設定していきます。
 勿論、BuffaloルーターのPPTPクライアントからのアクセス許可IPの設定にも許可IPの登録をしておきます。(友人宅割当て用)
 更にセキュリティをかける方法は、NASの方にサーバにSMB認証サーバに接続を委任するモード設定がありますので、利用していますサーバの確認ですが、Linuxであれば、Samba4.0からSMB認証+ActiveDirectory機能が追加されましたので、Samba4.0に移行しドメイン・コントローラー認証に連動させる方法で、NASのセキュリティ確保も可能です。
 Windowsサーバであれば、勿論可能です。
 上記方法にて、如何でしょうか?

投稿日時 - 2013-07-11 08:37:18

補足

まず、LTE/3G ルーター(MR01LN)の設定変更(ポートマッピング設定で、TCP1723とgreパケットを通す)をしても状況は変わりませんでした。 冷静に考えてみると、PC本体側のWindows ファイヤーウオールの設定で期待した動作になるので、MR01LNは無関係と考えて良いはずでした。

実は、PC本体側のWindows ファイヤーウオールの設定方法のところで当方が勘違いして、以下のようにすれば、VPN接続の時のみ
Windows ファイヤーウオールが無効になる事がわかりました。

 WindowsXPの場合で説明すると、

   デスクトップでマイネットワークを右クリック

   VPN接続のアイコンを右クリックし、プロパティを選択

   詳細設定タブでWindows ファイヤーウオール設定を選択

   今まではここで「Windows ファイヤーウオール設定を無効」としていたが、「有効」のまま詳細設定タブを選択

   この画面でVPN接続の項目だけチェックを外す

このように設定することで、VPN接続時ではない一般接続時にはWindows ファイヤーウオールが有効のままになります。


次に、LAN内でのUSB-HDD以外のアクセス制限に関し、いろいろと考えて試行錯誤した結果、以下のようにする事で、一応当方が考えていた機能が実現できたので、報告します。

<対策案>
 ・USB HDD を BL-900HW 側に接続する。
   (以前に少し試行して止めたのですが、本日は深く突っ込んで検討しました。)

 ・BHR-4GRV のPPTPサーバー設定で、PPTP接続ユーザのIPアドレスを、192.168.0.100 からユーザー分だけ手動で割り当てる。

  このようにすると、PPTPユーザは、192.168.0.XXX の機器だけにアクセスできるように制限がかかるので、BL-900HWのUSBポートに接続された USB HDD にはアクセスできるが、192.168.2.XXX のNAS等にはアクセスできない。

とりあえず、このようにして希望する機能は実現できたのですが、USB HDD に格納されているエクセルファイルを外部からアクセスした時、このファイルが開かれるまでの時間がLAN内部からの時に比べて遅いです。

外部接続の場合、3G回線を使っているから遅いのか、PPTPサーバーのソフト処理が重たくて遅いのか、未だ切り分けられていません。

やっぱりヤマハのVPNルーターが必要なのかもしれませんね。
そういえば、RTX1000 の中古品がずいぶん安く売られていましたが、これは買いですか?

当方は、現状有線LANポートがNAS(LinkStation)に接続されているので、Gigaポート対応でないと動画コンテンツの転送時に遅くて困るのですが。。。。

以上のような状況です。

投稿日時 - 2013-07-11 19:51:41

ANo.9

No7の補足に対して

>WR9500Nもルーターモードにすると3重ルーターになるような気
気がする  じゃなくてあらかさまな3重ルータです
ただし実際にグローバルIPぶられるのは BHR-4GRV になりますので
その他の設定は2重ルータと同じです

>はい、確かに考えてみればリスクが少ないかもしれませんね。
>なので、この項目は優先順位を下げたいと考えます。
誤解されて受け止められたような気がしますが
現状の構成で行った場合には友人がスキャンかけたりすれば
それほど労力無しで設置機器が分かったりしますよ
私がリスク少なくなると書いたのはルータ一個追加した時の話ですので誤解の無いように

>残念ながら、BHR-4GRV は Biglobe のDDNS には対応していません。
Biglobe のDDNS にこだわる必要ありますか?(個人の勝手と言ってしまえば終わるけど)
DDNSサービス自体はどこのもの使ってもさほど違うはないと思うのですが


>>PPTP接続ユーザへのIPアドレス割り付け法を「DHCPサーバー設定の範囲から取得」にする
>のように設定を変更しています。
それなら PPTP接続で外部 PCに割り当てられるIPアドレスは
192.168.2.XXX  になるはずなのでNo2で書いた方法で
アクセスできてよさそうな気がしますができませんでしたか?

投稿日時 - 2013-07-11 07:41:49

補足

一応、当方が希望する機能が実現できる案を考え、動作確認しました。 詳細は、回答10の補足を参照して頂ければ幸いです。

なお、PPTP接続ユーザのIPアドレスを 192.168.2.XXX 系にして、VPN接続時のWindows ファイヤーウオールを無効にする事で、当初の目的の外部からネットワークドライブの割り当てができます。

DDNSは特に Biglobe にこだわっていませんが、個人HPのURLが変更になるのが面倒な事と、海外系の無料DDNSはいつの間にか有料になったり、等々の問題があるので、できれば変更したくない、というのが本音ですが、今回の問題とDDNSとはほとんど関係ないように思いますが。。。。

投稿日時 - 2013-07-11 20:01:36

ANo.8

 追加補足ですが、USB-HDD以外のアクセス制限ですが、BuffaloルーターのIPフィルタ設定での特定アクセス拒否の設定+NAS自身のアクセス制限の設定となりますが、利用サーバがActive-Directory機能+SMB認証機能の追加を利用可能であれば、認証でのアクセス制限をサーバに持たせる方法もあります。
 PPTPクライアントからのアクセスも、アクセス許可するアドレスの制限もケースにより併用していただければと思います。

投稿日時 - 2013-07-11 05:02:01

補足

コメントありがとうございます。

残念ながら、ここにご記載頂いた内容を理解するには、私の方でもう少し勉強が必要なようです。

今は、「USB-HDD以外のアクセス制限」の対応は優先順位を下げて、回答No4の補足に記載した設定をしてもLAN外部PCのWindows ファイヤーウオールを「有効」にすると期待した動作をしない原因究明を優先したいと考えています。
これについては私自身、まったく解決の糸口を掴んでいませんので、引き続きサポートをお願いいたします。

投稿日時 - 2013-07-11 07:40:10

ANo.7

書いた部分が編集ミスで抜けてるのに気が付いたので追加

>・WR9500N でのDDNS登録無効
> 動作モードはルーターモード
>   WAN側セグメント  192.168.2.0/24
>   LAN側セグメント  192.168.3.0/24  (このセグメントは適当に書いただけ)

自分の機器は全て WR9500N のLANに構築

投稿日時 - 2013-07-10 22:52:24

ANo.6

No2 です No2の補足を見て 現状状態ややりたいことの詳細が見えてきた気ががします

>LAN外部のPCのIPアドレスは 172.31.145.2 という
>class B のプライベートアドレスが BHR-4GRV から割り当てられます。
それでは通信できないですね

ネットワークの構成少々変更したほうがいいかと思います

・BL900HW はルータモード DMZで BHR-4GRV を設定 (今のまま変更なし)

・BHR-4GRV はルーターモード PPTPサーバ起動して
   WAN側セグメント  192.168.0.0/24
   LAN側セグメント  192.168.2.0/24     (ここまでは今と同じ)
 DDNSサービスに登録する(BHR-4GRVもDDNS対応してるはずです)
 PPTP接続ユーザへのIPアドレス割り付け法を「DHCPサーバー設定の範囲から取得」にする

・WR9500N でのDDNS登録無効
 動作モードはルーターモード
   WAN側セグメント  192.168.2.0/24
   LAN側セグメント  192.168.3.0/24  (このセグメントは適当に書いただけ)

ちょっと手間だけど自分でBHR-4GRVのUSBにアクセスするときも
一旦BHR-4GRV にPPTP接続してからアクセスするようにする

・R9500Nでは共有関連のポートは閉じる
   開けたままなら 上に書いた 一旦BHR-4GRV にPPTP接続して
   の手間はなくなりますが
   友人といえども、当方のLAN内部のPC内の情報は共有したくありません。
   は満たせないかと思います(そう簡単にばれるってもんでもないですが)

BHR-4GRVのLAN上に全機器を設置した今の状況では
希望を満たせないと思われます
(私が思いつくのは上記での実現方法ぐらいです)

投稿日時 - 2013-07-10 22:48:05

補足

コメントありがとうございました。

>>class B のプライベートアドレスが BHR-4GRV から割り当てられます。
>それでは通信できないですね

はい、確かにおっしゃるとおりでした。

従って今は、

>PPTP接続ユーザへのIPアドレス割り付け法を「DHCPサーバー設定の範囲から取得」にする

のように設定を変更しています。

>DDNSサービスに登録する(BHR-4GRVもDDNS対応してるはずです)
>・WR9500N でのDDNS登録無効

残念ながら、BHR-4GRV は Biglobe のDDNS には対応していません。 また WR9500N は(ルーターモードでなくても)アクセスポイントモードでも Biglobe DDNS 対応処理を勝手にやってくれるので、貴重な存在です。

>友人といえども、当方のLAN内部のPC内の情報は共有したくありません。
   は満たせないかと思います(そう簡単にばれるってもんでもないですが)

はい、確かに考えてみればリスクが少ないかもしれませんね。
なので、この項目は優先順位を下げたいと考えます。

>・WR9500N でのDDNS登録無効
 動作モードはルーターモード 

WR9500Nもルーターモードにすると3重ルーターになるような気がしますので、それは複雑すぎて避けたいです。
(BHR-4GRV は無線ルーターでは無いので、ルーター機能を停止できないと思うので。)
 

投稿日時 - 2013-07-11 07:24:09

ANo.5

 先ほどの補足ですが、LAN外部PCがNAT配下である場合、そのNATルーターの方のIPフィルタの設定にて、パケット毎の廃棄・許可の設定をしていきます。TCP1723とgreパケット以外の破棄番号指定してセキュリティ確保すれば、Windowsファイアーウォール許可・破棄の代替処置となります。
 

投稿日時 - 2013-07-10 20:00:27

補足

「利用回線はNAT配下」という意味が私には正確にはわかっていませんが、前回(回答No4)の補足のところにも記載しましたとおり、

現在確認している環境は、LTE/3G WiFiルーター(NECアクセステクニカ製のMR01LN:NEC Biglobe LTE を契約した時に付いてきたもの)に外部PCを無線LAN接続しています。MR01LNから外部PCへは、192.168.179.0/24 というIPアドレス系です。

現在の外部PCは 192.168.179.2 がMR01LNからアサインされています。

>そのNATルーターの方のIPフィルタの設定にて、パケット毎の廃棄・許可の設定をしていきます。TCP1723とgreパケット以外の破棄番号指定してセキュリティ確保すれば、Windowsファイアーウォール許可・破棄の代替処置となります。

この意味は、MR01LN に何らかの設定(TCP1723とプロトコル47を通過させる等)が必要、という事をおっしゃっていますか?

投稿日時 - 2013-07-11 06:59:37

ANo.4

 お尋ねの件ですが、まずHGWのDMZの設定に、192.168.0.254等と登録し、BuffaloルーターのWAN側設定をCATV等の設定→固定IP(192.168.0.254、ゲートウェイ192.168.0.1、優先DNS192.168.0.1)と設定します。
 更にHGWの静的ルーティング設定で、宛先アドレスを192.168.2.0/24、Nexthopゲートウェイ192.168.0.254と登録します。(Buffaloルーターセグメントを192.168.2.~の数値と仮定です)
 上記にてWAN側とLAN側の経路取得設定はOKです。念のため、HGWの詳細設定→セキュリティ保護機能の無効化と、IPフィルタの設定を全て削除した方が良いかもしれません。
 次にBuffaloルーターのPPTPパススルー設定(TCP1723とgreパケット透過)を実施し、PPTPサーバの設定+PPTPサーバの設定を確認します。パススルー設定は、セキュリティタブのPPTPパススルーにて有効化します。
 次にNECアクセスポイントの設定をAPモードにされているかと存じますが、ネットワーク設定を「192.168.2.254等、ゲートウェイ192.168.2.1、優先DNS192.168.2.1」と設定確認して下さい。
 BIGLOBE-DDNSの設定は、BuffaloルーターのUPNP機能を利用しますので、Buffaloルーターの「ゲーム&アプリ」タブ→UPNPの設定機能にて有効化です。
 念のため申し上げますが、PPTPサーバの機能はソフトウェア処理ですので、1Mbps程度のレスポンスしか出ません。Yamaha等L2TP-VPNやIPSEC-VPNを構築出来る様なハードウェアVPNまでの性能は出ませんので、重たいファイルの参照や保存には不向きです。それと、PPTP自体、ごく最近ですが、クラック可能なセキュリティ問題が出ておりますので、出来ればお奨めしません。
 それと、外部PCですが、利用回線はNAT配下でしょうか?NAT配下であれば、PPTPパススルー設定と、セキュリティ等の設定はゲートウェイ内部に投入する形態となります。
 とまあ、上記の内容ですが、当方もAUひかりHGW配下にYamaha「RTX1200」をL2TP-VPN+IPSEC-VPNを設定し利用している立場の意見ですが・・・。

投稿日時 - 2013-07-10 19:52:26

補足

いつもコメントを頂き、感謝いたします。
auひかりでの類似のネットワーク構成なので、とても心強いです。
頂いたいろいろなコメントに対し、順次レスします。

まず、各機器の設定ですが、

>HGWのDMZの設定に、192.168.0.254等と登録し、

はい、登録済みです。

>BuffaloルーターのWAN側設定をCATV等の設定→固定IP(192.168.0.254、ゲートウェイ192.168.0.1、優先DNS192.168.0.1)と設定します。

はい、このように設定済みです。

>更にHGWの静的ルーティング設定で、宛先アドレスを192.168.2.0/24、Nexthopゲートウェイ192.168.0.254と登録します。(Buffaloルーターセグメントを192.168.2.~の数値と仮定です)

ここのところは、「ポートマッピング」設定で、
 TCPの任意のポートの信号とプロトコル番号47(gre)は、192.169.0.254にマッピングする。
という設定をしていましたが、ご教示頂いたように「静的ルーティング設定」に変更しました。

>次にBuffaloルーターのPPTPパススルー設定(TCP1723とgreパケット透過)を実施し、

この設定が漏れていましたので追加しました。

>PPTPサーバの設定+PPTPサーバの設定を確認します。パススルー設定は、セキュリティタブのPPTPパススルーにて有効化します。

PPTPサーバーの設定では、PPTP接続ユーザを1個追加しました。その際、IPアドレス割り当て方法は「DHCPサーバー設定の範囲から取得」というデフォルト値としました。また、セキュリティタブのPPTPパススルーは有効にしています。


>NECアクセスポイントの設定をAPモードにされているかと存じますが、ネットワーク設定を「192.168.2.254等、ゲートウェイ192.168.2.1、優先DNS192.168.2.1」と設定確認して下さい。

NECアクセスポイント(WR9500N)のIPアドレスはBHR-4GRV の方で、192.168.2.160 に手動割り当てしていますので、192.168.2.254等のところは、192.168.2.160 となっています。 また、自作サーバ(Webサーバ+LAN内部用DNSサーバ)のIPアドレスは 192.168.2.150 にBHR-4GRV の方で手動割り当てしていますので、WR9500Nの設定は、
 IPアドレス/ネットマスクは、 192.168.2.160/24
 ゲートウェイは        192.168.2.1
 プライマリDNSは       192.168.2.150
 セカンダリDNSは       192.168.2.1
のように設定しています。

>それと、外部PCですが、利用回線はNAT配下でしょうか? 

現在確認している環境は、LTE/3G WiFiルーター(NECアクセステクニカ製のMR01LN:NEC Biglobe LTE を契約した時に付いてきたもの)に外部PCを無線LAN接続しています。MR01LNから外部PCへは、192.168.179.0/24 というIPアドレス系です。

「利用回線はNAT配下」という意味が私には正確にはわかっていませんが、現在の外部PCは 192.168.179.2 がMR01LNからアサインされています。

ここまでの設定確認で、外部PCのWindows ファイヤーウオールを「無効」にすると期待した動作(USB HDD へネットワークドライブの割り当て可能)となりますが、「有効」とすると割り当てができません。(「有効」時の例外には、「プリンターとファイルの共用」と「リモートデスクトップ」は入っています。)

今回頂いたコメントに関しては以上です。

投稿日時 - 2013-07-11 06:53:17

ANo.3

No2訂正
>>念のため BL-900HW のVPN設定で「IPsecパススルー機能」は使用する、に設定
>この設定は不要だったはずです
>(パススルーはルータ自体でサーバになってるなら不要のはず)

DMZ設定した段階で全パケット BHR-4GRV に流れるのでパススルー設定は不要です
PPTPパススルー設定するなら逆にDMZ設定は要りません

両方行っても問題ない気はしますがそういったことはやったことが無いので
どうなるかわかりません
DMZ先とPPTPパススルー先は BHR-4GRV になってるんですよね?

投稿日時 - 2013-07-10 19:51:40

補足

BL-900HWで、パススルー の設定はどちらでも現象は変わりません。

また、BL-900HWの「ポートマッピング」設定では、
 TCPの任意のポートの信号とプロトコル番号47(gre)は、192.169.0.254(BHR-4GRV のWAN側IPアドレス)にマッピングしています。

投稿日時 - 2013-07-10 21:48:14

ANo.2

No1です 補足内容に関して

>NTTのフレッツのように
そこまでの状態は分かりました  それならDMZであっています

>念のため BL-900HW のVPN設定で「IPsecパススルー機能」は使用する、に設定
この設定は不要だったはずです
(パススルーはルータ自体でサーバになってるなら不要のはず)

>元の文章中に「そうした場合外部から設定が」という表現は無い
失礼しました 勝手に脳内変換したようです
>この場合は、LAN外部PCから、LAN内部のNASに対してもネットワークドライブ
>の割り当てができてしまうし
の部分が 固定IP設定に設定した場合 と読めたため
そうした場合(固定IPに設定した場合)と書いてしまいました

>私が良くわかっていないとことは、LAN外部のPCがBHR-4GRV 
>に接続されたUSB HDD をアクセスするため
私も勘違いしてた部分がありました 共有したいのは BHR-4GRV の USB HDD 限定ですか?
(てっきり他のPCのDISKなども含まれているのかと思いました)

名前解決云々 についてもう少し細かく書きますと
PPTP接続した後
エクスプローラで \\192.168.2.*\disk1_pt でアクセスしたほうが確実です
192.168.2.* は BHR-4GRVのLAN側IPアドレスになります

ブロードステージョン名を打ったのでは192.168.2.* になっている
判断ができないのでは? という意味です
    LAN内からのアクセスではそういった名前解決の問題は出ないのが普通
    PPTP接続先からはできない可能性があります

最終的に  http://mypage.bglb.jp/disk1_pt1  のようなアクセス
をしたいということでしたがそういった(http)アクセスで供給ができるのかは
BHR-4GRVの共有サービスがどのように実装されていか次第です

仮にそういった形で使用できるなら LAN内PCから同じ形式でアクセスしていると思うので
PPTP接続後は LAN内から接続するのと同様のアクセスで問題なく使えるはずです
(問題なのは名前解決だけ)

あと念のためPPTP接続完了後 自分のPCのIPアドレスセグメントが
192.168.2.*/24 になることも確認してください
なってなければ PPTP接続ができていません

投稿日時 - 2013-07-10 19:43:00

補足

レスポンスありがとうございました。

>私も勘違いしてた部分がありました 共有したいのは BHR-4GRV の USB HDD 限定ですか?
(てっきり他のPCのDISKなども含まれているのかと思いました)

はい、USB HDD 限定、と考えています。
今回は、友人たちとファイルを共用するのが目的ですが、友人といえども、当方のLAN内部のPC内の情報は共有したくありません。


>最終的に  http://mypage.bglb.jp/disk1_pt1  のようなアクセスをしたいということでしたが

いいえ、そうではありません。 名前解決=上記のようなアクセス法、と連想してしまったので、このような表現になっただけで、LAN外部のPCから ¥¥XXXXXXX¥ZZZZZ のような形式でも
ネットワークドライブのアサインができればそれでOKです。

>名前解決云々 についてもう少し細かく書きますと
PPTP接続した後
エクスプローラで \\192.168.2.*\disk1_pt でアクセスしたほうが確実です
192.168.2.* は BHR-4GRVのLAN側IPアドレスになります

はい、¥¥APXXXXXXXXXXXX¥disk1_pt1 で正常にネットワークドライブが割り当てられる時は、¥¥192.168.2.1¥disk1_pt1 と指定してもOKですが、LAN外部PCのWindows ファイヤーウオールを有効にしたり、BHR-4GRVの設定でPPTP接続ユーザへのIPアドレス割り付け法を「DHCPサーバー設定の範囲から取得」から「PPTPサーバー設定の範囲から取得」に変更すると、ネットワークドライブの割り当てができなくなります。(この時のエラーは「ネットワークパスが見つからない。」という内容です。)


>あと念のためPPTP接続完了後 自分のPCのIPアドレスセグメントが192.168.2.*/24 になることも確認してください
なってなければ PPTP接続ができていません

すみません、この自分のPCとはLAN外部のPCの事でしょうか?
そうだとした場合、前述のPPTP接続ユーザへのIPアドレス割り付け法を「PPTPサーバー設定の範囲から取得」にした場合でもPPTP接続はできます。その場合、LAN外部のPCのIPアドレスは 172.31.145.2 というclass B のプライベートアドレスが BHR-4GRV から割り当てられます。

以上、取り急ぎ、報告まで。

投稿日時 - 2013-07-10 21:39:36

ANo.1

>¥¥(ブロードステージョン名)¥disk1_pt1

外部からの接続時 そのPCで ブロードステージョン名 の
名前解決ができていない可能性があります

プロードステーションもDHCP取得にしているようですが
固定IPに変更したほうがいいと思われます
その上で直接IPアドレスを直接入力してアクセスできるか確認してください

そうした場合外部から設定が~~  とか書かれてますが
その意味がよくわかりませんでした
具体的にどのゼグメントにおかれてるPCから設定ができるといっているのでしょうか?

他に気になったこと
なんでDMZが必要なのかわからない(設定する必要性を感じません)
かえって悪影響が出ているのかもしれません

動いてるんならできてるんでしょうが
・BL900HWに対して PPTPパススルーの設定が必要
 そのために BHR-4GRV の102.168.1.0/24 側は固定IPにする必要があります
  

・初めに書いたように PPTP接続したPCで名前解決ができない可能性があるので
 そこからアクセスする機器に関しては固定IPで運用する方がいいと思われます

一通り書いた後に気が付いたけどBL900HWでPPTPパススルーできないから
DMZにしたってことなのかな?
   機器の説明書見たわけじゃないけどブリッジ設定ができませんか?
   (その場合全ての接続設定は BHR-4GRV で行う)
   できるんじゃないかと思うんですけど

投稿日時 - 2013-07-10 12:20:58

補足

早速のコメント、ありがとうございます。

まず、

>他に気になったこと  なんでDMZが必要なのかわからない

の件ですが、auひかりの場合は、ルーター機能を停止できないKDDIレンタル品のホームゲートウェイ(私の場合は BL-900HW)が必須で、BHR-4GRV にはグローバルIPを与える事ができません。 そこで、1つの解決案としてBHR-4GRV をDMZホストにして、BL-900HWに来たパケットをBHR-4GRV に丸投げする、という対策案がネットに紹介されていたので、当方もこれを使っているわけです。 (NTTのフレッツのようにホームゲートウェイ相当部分がブリッジモードにできれば良いのですが)

念のため BL-900HW のVPN設定で「IPsecパススルー機能」は使用する、に設定しています。

>そうした場合外部から設定が~~  とか書かれてますが
その意味がよくわかりませんでした
具体的にどのゼグメントにおかれてるPCから設定ができるといっているのでしょうか?

表現がわかりにくく、申し訳ありません。しかし、元の文章中に「そうした場合外部から設定が」という表現は無いと思いますがどこの部分でしょうか?


>外部からの接続時 そのPCで ブロードステージョン名 の
名前解決ができていない可能性があります

これに関して、私には基本的なところが良くわかっていないようなので、アドバイス頂ければ幸いです。

私は、Biglobe の DDNS に加入しているので、VPN(PPTP)接続する際のインターネットアドレスには「mypage.bglb.jp」 と入力しています。(もちろん mypage は仮の名前ですが、.bglb.jp は Biglobe DDNS の固有値です。)

私が良くわかっていないとことは、LAN外部のPCがBHR-4GRV に接続されたUSB HDD をアクセスするため、ネットワークプレースを追加する場合、「¥¥APXXXXXXXXXXXX¥disk1_pt1」という表記ではなく「http://mypage.bglb.jp/ZZZZ」という形式で入力する際、ZZZZ には何を入れたら良いのか、という点です。

試しに、「http://mypage.bglb.jp/disk1_pt1」と入力したところ、ユーザー名とパスワードの入力を促され、心当たりのものを入力しても受け付けられませんでした。

以上のような状況です。 よろしくお願いいたします。

投稿日時 - 2013-07-10 17:36:05

あなたにオススメの質問