こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

締切り済みの質問

rtx1210でIPVPNが途中で切れる

RTX1210でIPVPNで自社と本社Aで本社Bで通信してます。
本社A側でのみVPNが途絶えてしまいます。厳密にいうとVPNが途絶えたというより本社A向けのルーティングが×になってる感じなんです。
VPNが×になっても一度自社側ルータを再起動すればVPNは復帰するのですが、数時間経過すると×になります。 トンネルの状態をみても正常なのですが 通信できない状態にあります。
LAN1のIP1-100まではPP1で経由し、IP101-255までをpp2経由としているのですが フィルターにてPP1を経由するようにフィルターを記述してるつもりなんです。 
何がだめなのかご指摘いただけると幸いです。

*************

ip route default gateway pp 1 filter 1 2 gateway pp 2 filter 3 4

ip route 172.24.61.0.0/24 gateway tunnel 61 対向本社B
ip route 192.168.10.1.0/24 gateway tunnel 1 対向本社A

ip filter source-route on
ip filter directed-broadcast on
ip lan1 address 192.168.1.1/24
ip lan1 proxyarp on

ip lan1 secure filter in 10000 10001 20000
ip lan1 wol relay broadcast

pp select 1
pp auth myname プロバイダーIDA
ip pp address 固定IP/32  (本社A対向側とVPN)
ip pp nat descriptor 1
pp enable 1

pp select 2
pp auth myname プロバイダーIDB
ppp ipcp ipaddress on
ip pp nat descriptor 2
netvolante-dns use pp server=1 auto
netvolante-dns hostname host pp server=1 name.aa0.netvolante.jp
pp enable 2

tunnel select 1 (×になってしまう方)
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on
ipsec ike pre-shared-key 1 text hogehogehoge
ipsec ike remote address 1 対向本社A固定IP (本社対向側は自社固定IP【PP1側】を指定)
ip tunnel tcp mss limit auto
tunnel enable 1
tunnel select 61

ipsec tunnel 61(こちらは切断されない・・)
ipsec sa policy 61 61 esp 3des-cbc md5-hmac
ipsec ike keepalive log 61 off
ipsec ike keepalive use 61 on
ipsec ike pre-shared-key 61 text hogehogehoge
ipsec ike remote address 61 対向本社B固定IP
ip tunnel tcp mss limit auto
tunnel enable 61

ip filter 1 pass-log 192.168.1.1-192.168.1.100 * * * * (1-100はpp1経由
ip filter 2 pass-log * 192.168.10.0/24 * * 
ip filter 3 pass-log 192.168.1.101-192.168.1.255 * * * *
ip filter 4 pass * * * *

ip filter 10000 reject 192.168.1.0/24 192.168.10.199-192.168.10.240 (アクセス拒否リスト)
ip filter 10001 reject 192.168.1.0/24 192.168.10.250(アクセス拒否リスト)
ip filter 20000 pass * *

nat descriptor type 1 masquerade
nat descriptor address outer 1 固定IP
nat descriptor address inner 1 auto
nat descriptor masquerade static 1 1 固定IP udp 500
nat descriptor masquerade static 1 2 固定IP esp
nat descriptor masquerade static 1 3 固定IP udp 4500

nat descriptor type 2 masquerade
nat descriptor address outer 2 ipcp
nat descriptor address inner 2 auto
nat descriptor masquerade static 2 1 LAN1アドレス udp 500
nat descriptor masquerade static 2 2 LAN1アドレス esp
nat descriptor masquerade static 2 3 LAN1アドレス udp 4500
dns service recursive
dns server select 1 pp 1 any . restrict pp 1
dns server select 2 pp 2 any . restrict pp 2
dns private address spoof on

投稿日時 - 2018-10-31 18:24:12

QNo.9553208

すぐに回答ほしいです

このQ&Aは役に立ちましたか?

0人が「このQ&Aが役に立った」と投票しています

回答(2)

ANo.2

VPN接続できなくなった時の自社ルータのルーティング情報はどうなっていますか?
自社内に192.168.10.1.0/24の経路情報を流す機器はありませんか?

投稿日時 - 2018-11-02 19:46:14

ANo.1

こんにちは。hirasakuです。

不明な点があるので、逆質問になりますが。
これIP-VPNじゃなくてインターネットVPNですよね?
IP-VPN網の契約してるんですか?
それと、このConfig伏せるところは伏せていいのですが、実際のConfigですか?
もし、実際のConfigなら若干足りないところや、間違いなどありますが。
LOGもあれば、もう少しアドバイスできますけど。

投稿日時 - 2018-11-02 14:05:53

あなたにオススメの質問