RTシリーズのPPTPに関するFAQ
RTのPPTPについて
新規作成日 | 2002/May/16 |
最終変更日 | 2022/Sep/05 |
文書サイズ | 16KB |
RTのPPTPについて
[Q1] PPTPに対応している機種は? [A] RTシリーズ RT300i(*)、RT105e/i/p(*) RTXシリーズ RTX830, RTX810, RTX1000、RTX1100、RTX1500(*)、RTX1200、RTX1210、RTX1220、RTX1300 FWXシリーズ FWX120 RTVシリーズ RTV700 NetVolanteシリーズ NVR700W、NVR510、NVR500、RT58i、RT57i、RTA55i、RTW65i(*)、RTW65b(*)、RT56v (*)ファームウェアのバージョンアップが必要です。 RTW65i: Rev.5.03.21b以降 RTW65b: Rev.5.03.21b以降 RT300i: Rev.6.03.08以降 RT105e/i/p: Rev.6.03.08以降 RTX1000: Rev.7.00.14以降 RTX1500: Rev.8.03.68以降 [Q2] PPTPのデータの暗号化はできますか? [A] できます。MPPE暗号化プロトコルで暗号化方式を決定します。MPPEは、 PPPプ ロトコルの CCPを拡張したもので、暗号化アルゴリズムとして RC4を用い、鍵長 40bit、 56bitまたは128bitを使います。RTは、40bitと128bitをサポートしてい ます。暗号鍵生成のために認証プロトコルのMS-CHAPまたはMS-CHAPv2を利用しま す。 MPPE: Microsoft Point-to-Point Encryption PPP: Point-to-Point CCP: Compression Control Protocol MS-CHAP: Microsoft Challenge Handshake Authentication Protocol MS-CHAPv2: Microsoft Challenge Handshake Authentication Protocol Version 2 [Q3] PPTPの暗号化の鍵長は? [A] 40bitと128bitをサポートしています。コンソールからは、ppp ccp typeコマ ンドで設定します。簡単設定からは、接続形態に問わず mppe-anyが設定され ます。 MPPE: Microsoft Point-to-Point Encryption mppe-any: 128bitと40bitの両方の鍵長が使用できることを接続相手先に知ら せ、MPPEのネゴシエーションでどちらかに決定します。 [Q4] PPTPの最大セッション数は? [A] 機種毎に以下のようになっています。 RTシリーズ RT300i : 30(推奨値 4) RT105e : 20(推奨値 4) RT105i/RT105p : 10(推奨値 4) RTXシリーズ RTX830 : 6(推奨値 4) RTX810 : 6(推奨値 4) RTX1000 : 30(推奨値 4) RTX1100 : 30(推奨値 4) RTX1200 : 30(推奨値 4) RTX1210 : 30(推奨値 4) RTX1220 : 30(推奨値 4) RTX1300 : 30(推奨値 4) RTX1500 : 60(推奨値 4) FWXシリーズ FWX120 : 30(推奨値 4) RTVシリーズ RTV700 :30(推奨値 4) NetVolanteシリーズ NVR700W (Rev.15.00.10以降) : 20(推奨値 4) NVR700W (上記以外) : 6(推奨値 4) その他のNetVolanteシリーズ : 4 [Q5] PPTPの認証は? [A] MS-CHAP、MS-CHAPv2でユーザ/パスワード認証が可能です。 MS-CHAP: Microsoft Challenge Handshake Authentication Protocol MS-CHAPv2: Microsoft Challenge Handshake Authentication Protocol Version 2 [Q6] リモートアクセスVPNでのアクセス制御はできますか? [A] MPPEで暗号化方式が成立しなかった場合に着信拒否するか否かの設定ができま す。コンソールからは、ppp ccp no-encryptionコマンドで設定します。 簡単設 定からは、リモートアクセス VPNの設定で、暗号化なしでは接続拒否、暗号化な しでも接続許可のどちらかが選択できるようになっています。 MPPE: Microsoft Point-to-Point Encryption [Q7] 圧縮に対応していますか? [A] 対応していません。WindowsのPPTPクライアントの場合は、PPPの設定でソフト ウェアによる圧縮を行うのチェックを外してください。RTシリーズやNetVolante シリーズがクライアントの場合は特に設定の必要はありません。 [Q8] PPTPの相手先の設定の制限はありますか? [A] Anonymousでは制限はありません。その他は機種毎によって異なります。 機種毎のPPTPの最大セッション数が制限値です。NetVolanteシリーズの簡単 設定からは、Anonymousの場合も4つまでしか設定できません。 [Q9] Firewallの内側にリモートアクセスVPNサーバを設置する場合に注意する点は? [A] ネットワーク管理者に相談して、TCPのポート番号1723とGREのプロトコル番号 47を通すようにしてください。PPTPでは、トンネル制御に TCPのポート1723をデー タ通信にGREのプロトコル番号47を使います。 [Q10] NATとリモートアクセスVPNサーバを併用する場合に注意する点は? [A] ネットワーク管理者に相談して、TCPのポート番号1723とGREのプロトコル番号 47を通すようにしてください。PPTPでは、トンネル制御に TCPのポート1723をデー タ通信にGREのプロトコル番号47を使います。 [Q11] NATでPPTPトンネルを通す設定は? [A] 静的IPマスカレードで、サーバ側では、外側(PP1)からの1723/TCPとGREを通し ます。クライアントからはGREを通してください。 ip lan1 address 192.168.0.1/24 nat descriptor type 1 masquerade nat descriptor masquerade static 1 1 192.168.0.1 tcp 1723 nat descriptor masquerade static 1 2 192.168.0.1 gre pp select 1 ip pp nat descriptor 1 ... pp enable 1 [Q12] LAN間接続VPNでサーバ側からの接続はできますか? [A] できます。 サーバ側からデータが送出されるとPPTP制御コネクション開始要求(SCCRQ)でPPTP トンネルを張り、クライアント側から着呼要求(ICRQ)を通知して通信可能になり ます。 クライアント側には pptp service on コマンドの設定を追加して下さい。 また、NATを使う場合には、クライアント側に1723/TCPとGREを通す設定も追加し てください。双方向からの接続には、サーバ、クライアント両方に1723/TCPとGRE を通す設定が必要になります。 ※ RTA55i: Rev.4.06.19b以降 RTW65i: Rev.5.03.21b以降 RTW65b: Rev.5.03.21b以降 サーバ クライアント │ SCCRQ │ │─────→│ │ SCCRP │ │←─────│ │ ICRQ │ │←─────│ │ ICRP │ │─────→│ │ ICCN │ │←─────│ SCCRQ: Start-Control-Connection-ReQuest PPTP制御コネクションの開始要求 SCCRP: Start-Control-Connection-RePly PPTP制御コネクション開始要求への応答 ICRQ: Incoming-Call-ReQuest 着呼要求 ICRP: Incoming-Call-RePly 着呼要求への応答 ICCN: Incoming-Call-CoNnected 着呼接続 [Q13] リモートアクセスVPNでサーバ側からの接続はできますか? [A] できません。 [Q14] 固定IPアドレスがない場合でもインターネットVPNはできますか? [A] できます。ネットボランチ DNSサービスを使用します。接続相手先がネットボ ランチDNSサービスで取得したホストアドレスを知っている必要があります。 相 手先のIPアドレスを設定する代りに相手先のドメイン名(FQDN)を設定します。コ ンソールからは、tunnel endpoint nameコマンドでそのドメイン名を設定します。 簡単設定からは、「接続先のホスト名またはIPアドレス」の欄にドメイン名を入 力してください。 FQDN: Fully Qualified Domain Name [Q15] こんなエラーメッセージが表示されましたが? [A]┌────────────────┬────────────────┐ │ エラーメッセージ │ 内容 │ ├────────────────┼────────────────┤ │暗号化失敗による着信拒否 |MPPEのネゴシエーションで暗号化が| │Reject No-Encryption |成立せず着信拒否しました | ├────────────────┼────────────────┤ |TCPレスポンス待ちタイムアウト |TCPのセッション要求に対する応答 | |TCP response timeout |がありませんでした | ├────────────────┼────────────────┤ |相手応答なし |接続相手先からの応答がありません| |No control connection | | ├────────────────┼────────────────┤ |トンネル切断タイマタイムアウト |PPTPトンネル中にデータパケットが| |Tunnel disconnect timer timeout |ない状態が続き切断します | ├────────────────┼────────────────┤ |キープアライブ失敗 |接続相手先からの応答がなく、検出| |Keepalive failure |回数を越え、切断します | └────────────────┴────────────────┘ [Q16] PPTP接続していて気付くと切断されています。何故ですか? [A] PPTPトンネル切断タイマにより、タイマ時間、PPTPトンネル中をデータが通過 しない場合には、切断されます。 pptp tunnel disconnect timeコマンドで調整 してください。 [Q17] PPPフォワーディング機能には対応していますか? [A] 対応していません。 PPPフォワーディング機能は、PCにPPTPクライアント機能 がない場合やPPTPクライアントを使わずに、ダイヤルアップサーバであるルータ がPPTPクライアントになり、受信した PPPパケットを相手先のPPTPサーバにフォ ワードする機能です。 │┌─┐ ├┤PC| ┌─┐ ┌──┐ ┌──┐│└─┘ │PC├─ PSTN ─┤RT-A├─ Internet ─┤RT-B├┤ └─┘ └──┘ └──┘│┌─┐ PPTPトンネル ├┤PC| PPP ┌────────┐ │└─┘ ←====================================→ └────────┘ PC: 端末 RT-A: PPTPクライアント(PPPフォワーディング機能を持つ) RT-B: PPTPサーバ [Q18] 使用できる回線は何ですか? [A] ブロードバンド回線(CATV、ADSL)回線とISDN回線、専用線です。 (*)NetVolanteシリーズでは、下記表のリビジョンにリビジョンアップを することで、ISDN回線の場合でもかんたん設定ページから設定できます。 それ以前のリビジョンでは、コンソールからの設定のみになります。 +--------+----------------+ | RTA55i | Rev.4.06.35 〜 | +--------+----------------+ | RTW65i | Rev.5.03.25 〜 | +--------+----------------+ RT56v, RTW65b は ISDNポートがないため未対応 [Q19] RADIUSサーバを使って、PPTPの認証ができますか? [A] できません。対応は未定です。 [Q20] リモートアクセスVPNで、サーバ側のAnonymousとPPはどのように使い分ければ 良いでしょうか? [A] IPアドレスが不特定である複数のPPTPクライアントからの接続を受ける場合は Anonymous(設定例)を使います(図1)。相手が特定できる場合はPPを使います(図2)。 《図1》 [ISP1、ISP2] - ISP1はInternet Service Providerで、PC1とADSLで繋がっています。 - ISP2はInternet Service Providerで、PC2とCATVで繋がっています。 [RT-A、PC3、PC4 ] - RT-AはPPTPサーバで、インターネット側に172.16.0.1を持っていて、 192.168.0.0/24のネットワークのゲートウェイになっています。 - PC3、PC4は192.168.0.0/24のネットワーク上の端末です。 [PC1] - PC1はPPTPクライアントで、ISP1から172.16.1.1が割り当てられます。 - PC1はRT-AとPPTPで接続するとRT-Aから192.168.0.4が割り当てられます。 - PC1は192.168.0.0/24のネットワークの端末として動作します。 - PC1はPC3やPC4と通信することができるようになります。 [PC2] - PC2はPPTPクライアントで、ISP2から172.16.2.1が割り当てられます。 - PC2はRT-AとPPTPで接続するとRT-Aから192.168.0.5が割り当てられます。 - PC2は192.168.0.0/24のネットワークの端末として動作します。 - PC2はPC3やPC4と通信することができるようになります。 172.16.1.1 192.168.0.4 192.168.0.0/24 ┌──┐ ┌──┐ 172.16.0.1 │┌──┐ │PC1 ├─ ADSL ─┤ISP1├──┐ 192.168.0.1├┤PC3 | └──┘ └──┘ ┌──┐ │└──┘ Internet ─┤RT-A├─┤ 192.168.0.2 ┌──┐ ┌──┐ └──┘ │┌──┐ │PC2 ├─ CATV ─┤ISP2├──┘ ├┤PC4 | └──┘ └──┘ │└──┘ 172.168.2.1 192.168.0.3 192.168.0.5 ※IPアドレスは環境によって異なります 《図2》 [RT-B、PC6、PC7] - RT-BはPPTPサーバで、インターネット側に172.16.3.1を持っていて、 192.168.1.0/24のネットワークのゲートウェイになっています。 - PC6、PC7は192.168.1.0/24のネットワーク上の端末です。 [PC5] - PC5はPPTPクライアントで、固定のIPアドレス172.16.4.1を持っています。 - PC5はRT-BとPPTPで接続するとRT-Bから192.168.1.4が割り当てられます。 - PC5は192.168.1.0/24のネットワークの端末として動作します。 - PC5は、PC6やPC7と通信することができるようになります。 192.168.1.0/24 172.16.4.1 172.16.3.1 │┌──┐ 192.168.1.4 192.168.1.1├┤PC6 | ┌──┐ ┌──┐ │└──┘ │PC5 ├─ Internet ─┤RT-B├─┤ 192.168.1.2 └──┘ └──┘ │┌──┐ ├┤PC7 | │└──┘ 192.168.1.3 ※IPアドレスは環境によって異なります [Q21] PPTPサーバとPPTPクライアントはどのように使い分けますか? [A] PPTPサーバは認証する側、PPTPクライアントは認証される側になります。 アクセス制御を管理する側がサーバになります。 [Q22] PPTPクライアント同士で接続できますか? [A] できません。クライアントとサーバが対で通信可能になります。 コンソールからは、pptp service typeコマンドで、NetVolanteシリーズの簡単 設定からは、「サーバ/クライアント」の欄のどちらかをチェックして下さい。 [Q23] PPTPクライアントとPPTPサーバは共存できますか? [A] できます。PP1はクライアントで、ANONYMOUSはサーバのように、PP番号で使い 分けます。 [Q24] リモートアクセスVPNとLAN間接続VPNはどのように使い分けますか? [A] PPTPクライアントが、PPTPサーバと同じネットワーク上の端末として動作する 場合には《リモートアクセスVPN》で、PPTPクライアントとPPTPサーバが異なる ネットワークでルーティングによる通信を行う場合は《LAN間接続VPN》という 使い分けになります。
[ FAQ for RT-Series ]
[ FAQ for PPTP ]