RTシリーズのPPTPに関するFAQ


RTのPPTPについて


新規作成日2002/May/16
最終変更日2021/Apr/08
文書サイズ 15KB


RTのPPTPについて





[Q1] PPTPに対応している機種は?


[A] RTシリーズ
    RT300i(*)、RT105e/i/p(*)

    RTXシリーズ
    RTX830, RTX810, RTX1000、RTX1100、RTX1500(*)、RTX1200、RTX1210、RTX1220

    FWXシリーズ
    FWX120

    RTVシリーズ
    RTV700

    NetVolanteシリーズ
    NVR700W、NVR510、NVR500、RT58i、RT57i、RTA55i、RTW65i(*)、RTW65b(*)、RT56v

    (*)ファームウェアのバージョンアップが必要です。
       RTW65i: Rev.5.03.21b以降
       RTW65b: Rev.5.03.21b以降
       RT300i: Rev.6.03.08以降
       RT105e/i/p: Rev.6.03.08以降
       RTX1000: Rev.7.00.14以降
       RTX1500: Rev.8.03.68以降


[Q2] PPTPのデータの暗号化はできますか?


[A] できます。MPPE暗号化プロトコルで暗号化方式を決定します。MPPEは、 PPPプ
    ロトコルの CCPを拡張したもので、暗号化アルゴリズムとして RC4を用い、鍵長
    40bit、 56bitまたは128bitを使います。RTは、40bitと128bitをサポートしてい
    ます。暗号鍵生成のために認証プロトコルのMS-CHAPまたはMS-CHAPv2を利用しま
    す。

   MPPE: Microsoft Point-to-Point Encryption
   PPP: Point-to-Point
   CCP: Compression Control Protocol
   MS-CHAP: Microsoft Challenge Handshake Authentication Protocol
   MS-CHAPv2: Microsoft Challenge Handshake Authentication Protocol Version 2



[Q3] PPTPの暗号化の鍵長は?


[A] 40bitと128bitをサポートしています。コンソールからは、ppp ccp typeコマ
    ンドで設定します。簡単設定からは、接続形態に問わず mppe-anyが設定され
    ます。

    MPPE: Microsoft Point-to-Point Encryption
    mppe-any: 128bitと40bitの両方の鍵長が使用できることを接続相手先に知ら
              せ、MPPEのネゴシエーションでどちらかに決定します。



[Q4] PPTPの最大セッション数は?


[A] 機種毎に以下のようになっています。

    RTシリーズ
    RT300i : 30(推奨値 4)
    RT105e : 20(推奨値 4)
    RT105i/RT105p : 10(推奨値 4)

    RTXシリーズ
    RTX830  :  6(推奨値 4)
    RTX810  :  6(推奨値 4)
    RTX1000 : 30(推奨値 4)
    RTX1100 : 30(推奨値 4)
    RTX1200 : 30(推奨値 4)
    RTX1210 : 30(推奨値 4)
    RTX1220 : 30(推奨値 4)
    RTX1500 : 60(推奨値 4)

    FWXシリーズ
    FWX120  : 30(推奨値 4)

    RTVシリーズ
    RTV700  :30(推奨値 4)

    NetVolanteシリーズ
    NVR700W (Rev.15.00.10以降) : 20(推奨値 4)
    NVR700W (上記以外)          :  6(推奨値 4)
    その他のNetVolanteシリーズ : 4



[Q5] PPTPの認証は?


[A] MS-CHAP、MS-CHAPv2でユーザ/パスワード認証が可能です。

   MS-CHAP: Microsoft Challenge Handshake Authentication Protocol
   MS-CHAPv2: Microsoft Challenge Handshake Authentication Protocol Version 2



[Q6] リモートアクセスVPNでのアクセス制御はできますか?


[A] MPPEで暗号化方式が成立しなかった場合に着信拒否するか否かの設定ができま
    す。コンソールからは、ppp ccp no-encryptionコマンドで設定します。 簡単設
    定からは、リモートアクセス VPNの設定で、暗号化なしでは接続拒否、暗号化な
    しでも接続許可のどちらかが選択できるようになっています。

   MPPE: Microsoft Point-to-Point Encryption



[Q7] 圧縮に対応していますか?


[A] 対応していません。WindowsのPPTPクライアントの場合は、PPPの設定でソフト
    ウェアによる圧縮を行うのチェックを外してください。RTシリーズやNetVolante
    シリーズがクライアントの場合は特に設定の必要はありません。



[Q8] PPTPの相手先の設定の制限はありますか?


[A] Anonymousでは制限はありません。その他は機種毎によって異なります。
    機種毎のPPTPの最大セッション数が制限値です。NetVolanteシリーズの簡単
    設定からは、Anonymousの場合も4つまでしか設定できません。



[Q9] Firewallの内側にリモートアクセスVPNサーバを設置する場合に注意する点は?


[A] ネットワーク管理者に相談して、TCPのポート番号1723とGREのプロトコル番号
    47を通すようにしてください。PPTPでは、トンネル制御に TCPのポート1723をデー
    タ通信にGREのプロトコル番号47を使います。



[Q10] NATとリモートアクセスVPNサーバを併用する場合に注意する点は?


[A] ネットワーク管理者に相談して、TCPのポート番号1723とGREのプロトコル番号
    47を通すようにしてください。PPTPでは、トンネル制御に TCPのポート1723をデー
    タ通信にGREのプロトコル番号47を使います。



[Q11] NATでPPTPトンネルを通す設定は?


[A] 静的IPマスカレードで、サーバ側では、外側(PP1)からの1723/TCPとGREを通し
    ます。クライアントからはGREを通してください。
    ip lan1 address 192.168.0.1/24
    nat descriptor type 1 masquerade
    nat descriptor masquerade static 1 1 192.168.0.1 tcp 1723
    nat descriptor masquerade static 1 2 192.168.0.1 gre
    pp select 1
    ip pp nat descriptor 1
    ...
    pp enable 1



[Q12] LAN間接続VPNでサーバ側からの接続はできますか?


[A] できます。
    サーバ側からデータが送出されるとPPTP制御コネクション開始要求(SCCRQ)でPPTP
    トンネルを張り、クライアント側から着呼要求(ICRQ)を通知して通信可能になり
    ます。
    クライアント側には pptp service on コマンドの設定を追加して下さい。
    また、NATを使う場合には、クライアント側に1723/TCPとGREを通す設定も追加し
    てください。双方向からの接続には、サーバ、クライアント両方に1723/TCPとGRE
    を通す設定が必要になります。

    ※ RTA55i: Rev.4.06.19b以降
       RTW65i: Rev.5.03.21b以降
       RTW65b: Rev.5.03.21b以降

サーバ       クライアント
 │   SCCRQ    │
 │─────→│
 │   SCCRP    │
 │←─────│
 │   ICRQ     │
 │←─────│
 │   ICRP     │
 │─────→│
 │   ICCN     │
 │←─────│

 SCCRQ: Start-Control-Connection-ReQuest PPTP制御コネクションの開始要求
 SCCRP: Start-Control-Connection-RePly PPTP制御コネクション開始要求への応答
 ICRQ: Incoming-Call-ReQuest 着呼要求
 ICRP: Incoming-Call-RePly 着呼要求への応答
 ICCN: Incoming-Call-CoNnected 着呼接続



[Q13] リモートアクセスVPNでサーバ側からの接続はできますか?


[A] できません。



[Q14] 固定IPアドレスがない場合でもインターネットVPNはできますか?


[A] できます。ネットボランチ DNSサービスを使用します。接続相手先がネットボ
    ランチDNSサービスで取得したホストアドレスを知っている必要があります。 相
    手先のIPアドレスを設定する代りに相手先のドメイン名(FQDN)を設定します。コ
    ンソールからは、tunnel endpoint nameコマンドでそのドメイン名を設定します。
    簡単設定からは、「接続先のホスト名またはIPアドレス」の欄にドメイン名を入
    力してください。

    FQDN: Fully Qualified Domain Name



[Q15] こんなエラーメッセージが表示されましたが?


[A]┌────────────────┬────────────────┐
   │ エラーメッセージ               │  内容                          │
   ├────────────────┼────────────────┤
   │暗号化失敗による着信拒否        |MPPEのネゴシエーションで暗号化が|
   │Reject No-Encryption            |成立せず着信拒否しました        |
   ├────────────────┼────────────────┤
   |TCPレスポンス待ちタイムアウト   |TCPのセッション要求に対する応答 |
   |TCP response timeout            |がありませんでした              |
   ├────────────────┼────────────────┤
   |相手応答なし                    |接続相手先からの応答がありません|
   |No control connection           |                                |
   ├────────────────┼────────────────┤
   |トンネル切断タイマタイムアウト  |PPTPトンネル中にデータパケットが|
   |Tunnel disconnect timer timeout |ない状態が続き切断します        |
   ├────────────────┼────────────────┤
   |キープアライブ失敗              |接続相手先からの応答がなく、検出|
   |Keepalive failure               |回数を越え、切断します          |
   └────────────────┴────────────────┘



[Q16] PPTP接続していて気付くと切断されています。何故ですか?


[A] PPTPトンネル切断タイマにより、タイマ時間、PPTPトンネル中をデータが通過
    しない場合には、切断されます。 pptp tunnel disconnect timeコマンドで調整
    してください。



[Q17] PPPフォワーディング機能には対応していますか?


[A] 対応していません。 PPPフォワーディング機能は、PCにPPTPクライアント機能
    がない場合やPPTPクライアントを使わずに、ダイヤルアップサーバであるルータ
    がPPTPクライアントになり、受信した PPPパケットを相手先のPPTPサーバにフォ
    ワードする機能です。
                                                  │┌─┐
                                                  ├┤PC|
    ┌─┐          ┌──┐             ┌──┐│└─┘
    │PC├─ PSTN ─┤RT-A├─ Internet ─┤RT-B├┤
    └─┘          └──┘              └──┘│┌─┐
                         PPTPトンネル             ├┤PC|
             PPP         ┌────────┐     │└─┘
       ←====================================→
                         └────────┘
PC: 端末
RT-A: PPTPクライアント(PPPフォワーディング機能を持つ)
RT-B: PPTPサーバ



[Q18] 使用できる回線は何ですか?


[A] ブロードバンド回線(CATV、ADSL)回線とISDN回線、専用線です。

    (*)NetVolanteシリーズでは、下記表のリビジョンにリビジョンアップを
        することで、ISDN回線の場合でもかんたん設定ページから設定できます。
        それ以前のリビジョンでは、コンソールからの設定のみになります。

    +--------+----------------+
    | RTA55i | Rev.4.06.35 〜 |
    +--------+----------------+
    | RTW65i | Rev.5.03.25 〜 |
    +--------+----------------+
     RT56v, RTW65b は ISDNポートがないため未対応



[Q19] RADIUSサーバを使って、PPTPの認証ができますか?


[A] できません。対応は未定です。



[Q20] リモートアクセスVPNで、サーバ側のAnonymousとPPはどのように使い分ければ
      良いでしょうか?


[A] IPアドレスが不特定である複数のPPTPクライアントからの接続を受ける場合は
    Anonymous(設定例)を使います(図1)。相手が特定できる場合はPPを使います(図2)。


   《図1》
      [ISP1、ISP2]
      - ISP1はInternet Service Providerで、PC1とADSLで繋がっています。
      - ISP2はInternet Service Providerで、PC2とCATVで繋がっています。
      [RT-A、PC3、PC4 ]
      - RT-AはPPTPサーバで、インターネット側に172.16.0.1を持っていて、
        192.168.0.0/24のネットワークのゲートウェイになっています。
      - PC3、PC4は192.168.0.0/24のネットワーク上の端末です。
      [PC1]
      - PC1はPPTPクライアントで、ISP1から172.16.1.1が割り当てられます。
      - PC1はRT-AとPPTPで接続するとRT-Aから192.168.0.4が割り当てられます。
      - PC1は192.168.0.0/24のネットワークの端末として動作します。
      - PC1はPC3やPC4と通信することができるようになります。
      [PC2]
      - PC2はPPTPクライアントで、ISP2から172.16.2.1が割り当てられます。
      - PC2はRT-AとPPTPで接続するとRT-Aから192.168.0.5が割り当てられます。
      - PC2は192.168.0.0/24のネットワークの端末として動作します。
      - PC2はPC3やPC4と通信することができるようになります。

       172.16.1.1
192.168.0.4                                        192.168.0.0/24
    ┌──┐          ┌──┐        172.16.0.1     │┌──┐
    │PC1 ├─ ADSL ─┤ISP1├──┐       192.168.0.1├┤PC3 |
    └──┘          └──┘              ┌──┐  │└──┘
                                 Internet ─┤RT-A├─┤  192.168.0.2
    ┌──┐          ┌──┐              └──┘  │┌──┐
    │PC2 ├─ CATV ─┤ISP2├──┘                  ├┤PC4 |
    └──┘          └──┘                        │└──┘
       172.168.2.1                                        192.168.0.3
192.168.0.5

        ※IPアドレスは環境によって異なります

   《図2》
      [RT-B、PC6、PC7]
      - RT-BはPPTPサーバで、インターネット側に172.16.3.1を持っていて、
        192.168.1.0/24のネットワークのゲートウェイになっています。
      - PC6、PC7は192.168.1.0/24のネットワーク上の端末です。
      [PC5]
      - PC5はPPTPクライアントで、固定のIPアドレス172.16.4.1を持っています。
      - PC5はRT-BとPPTPで接続するとRT-Bから192.168.1.4が割り当てられます。
      - PC5は192.168.1.0/24のネットワークの端末として動作します。
      - PC5は、PC6やPC7と通信することができるようになります。

                                 192.168.1.0/24
       172.16.4.1     172.16.3.1     │┌──┐
192.168.1.4               192.168.1.1├┤PC6 |
    ┌──┐              ┌──┐  │└──┘
    │PC5 ├─  Internet ─┤RT-B├─┤  192.168.1.2
    └──┘               └──┘  │┌──┐
                                     ├┤PC7 |
                                     │└──┘
                                         192.168.1.3

        ※IPアドレスは環境によって異なります



[Q21] PPTPサーバとPPTPクライアントはどのように使い分けますか?


[A] PPTPサーバは認証する側、PPTPクライアントは認証される側になります。
    アクセス制御を管理する側がサーバになります。



[Q22] PPTPクライアント同士で接続できますか?


[A] できません。クライアントとサーバが対で通信可能になります。
    コンソールからは、pptp service typeコマンドで、NetVolanteシリーズの簡単
    設定からは、「サーバ/クライアント」の欄のどちらかをチェックして下さい。



[Q23] PPTPクライアントとPPTPサーバは共存できますか?


[A] できます。PP1はクライアントで、ANONYMOUSはサーバのように、PP番号で使い
    分けます。



[Q24] リモートアクセスVPNとLAN間接続VPNはどのように使い分けますか?


[A] PPTPクライアントが、PPTPサーバと同じネットワーク上の端末として動作する
    場合には《リモートアクセスVPN》で、PPTPクライアントとPPTPサーバが異なる
    ネットワークでルーティングによる通信を行う場合は《LAN間接続VPN》という
    使い分けになります。




[ FAQ for RT-Series ]
[ FAQ for PPTP ]