- PR -

VPN接続するとインターネット切断

«前のページへ 1|2|3 次のページへ»
投稿者投稿内容
jun
ベテラン
会議室デビュー日: 2003/01/07
投稿数: 80
お住まい・勤務地: 愛知県
投稿日時: 2009-01-07 23:37
JUNといいます。
こんばんわ。

WindowsのVPNですね。

【通信要件】
・社員PC→VPNサーバー
・社員PC→メインマシン
・メインマシン→社員PC
・VPNサーバー→社員PC
・社員PC、メインマシンよりインターネット接続ができること。

【課題】
・メインマシン→VPNサーバー:VPN接続可能・通常インターネット接続不可

という事でよいですよね?

この場合、メインマシンはVPNサーバにVPN接続しなくても、
社員PCがVPNサーバに接続すれば、

メインマシン(192.168.11.8)と社員PC(192.168.11.105)で通信はできますよね?

タケシさんのコメントで・・・

#メインマシンをVPN接続しなければこのままでもいいんですけどね・・・。

という事を考えると暗号化されないといけない要件があるのでしょうか?

そうすると・・・

Windowsファイアーウォールが有効になっていないか?
ドメインの検索(nslookupなど)ができるか?
コマンドプロンプトからroute printの結果はどのようになっているか?

などを確認すると良いような気がします。

昔やっていたシステムでは、VPN(PPTP)で接続した後に、バッチでルーティングを切りなおすような事をしていましたが、場合によっては同様の手法で解決できるかもしれません。






BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2009-01-08 08:22
肝心なこと確認してませんでした。
下記の構成だとルータにIPsecVPNを仕込みLAN間部分のみVPNにする方式がBESTだと
思いますが、実際に適用されているのはWindowsVPNという状況ですよね?

コード:
    インターネット                 インターネット
      |                       |
   タケシオフィス                   社員宅
      |                       |
  -------ルーター-----                 ルーター
 |         |                  |
メインマシン(XP)  VPNサーバー(2000server)    社員PC(XP)
(192.168.11.8)  (192.168.11.9)          (IP不明)
 (192.168.11.102)    (192.168.11.101)       (192.168.11.105)

前のアドバイスでセグメント分割案を出した意味は当初の質問内容中に
「LANを2本にすればいける問題ですか?」
との問いかけがあったためです。
→ 通常のルーティング部分とVPNによるルーティング部分が混在していると
  問題の切り分けが難しくなるので、一旦分けて考えては如何という意図。

私の方に誤解があるのかも知れませんので、VPN部分に関して再度説明願います。
タケシ
会議室デビュー日: 2009/01/04
投稿数: 7
投稿日時: 2009-01-08 13:57
引用:

junさんの書き込み (2009-01-07 23:37) より:
JUNといいます。
こんばんわ。

WindowsのVPNですね。

【通信要件】
・社員PC→VPNサーバー
・社員PC→メインマシン
・メインマシン→社員PC
・VPNサーバー→社員PC
・社員PC、メインマシンよりインターネット接続ができること。

【課題】
・メインマシン→VPNサーバー:VPN接続可能・通常インターネット接続不可

という事でよいですよね?

この場合、メインマシンはVPNサーバにVPN接続しなくても、
社員PCがVPNサーバに接続すれば、

メインマシン(192.168.11.8)と社員PC(192.168.11.105)で通信はできますよね?

タケシさんのコメントで・・・

#メインマシンをVPN接続しなければこのままでもいいんですけどね・・・。

という事を考えると暗号化されないといけない要件があるのでしょうか?

そうすると・・・

Windowsファイアーウォールが有効になっていないか?
ドメインの検索(nslookupなど)ができるか?
コマンドプロンプトからroute printの結果はどのようになっているか?

などを確認すると良いような気がします。

昔やっていたシステムでは、VPN(PPTP)で接続した後に、バッチでルーティングを切りなおすような事をしていましたが、場合によっては同様の手法で解決できるかもしれません。









まず、
・通信要件
・課題
はおっしゃるとおりです。

route printの結果は
(VPNなし)
===========================================================================
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.11.1 192.168.11.8 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.11.0 255.255.255.0 192.168.11.8 192.168.11.8 20
192.168.11.8 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.11.255 255.255.255.255 192.168.11.8 192.168.11.8 20
224.0.0.0 240.0.0.0 192.168.11.8 192.168.11.8 20
255.255.255.255 255.255.255.255 192.168.11.8 10004 1
255.255.255.255 255.255.255.255 192.168.11.8 192.168.11.8 1
Default Gateway: 192.168.11.1
===========================================================================
Persistent Routes:
None

(vpnあり)
===========================================================================
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.11.1 192.168.11.8 20
0.0.0.0 0.0.0.0 192.168.200.2 192.168.200.2 1
121.82.217.58 255.255.255.255 192.168.11.1 192.168.11.8 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.11.0 255.255.255.0 192.168.11.8 192.168.11.8 20
192.168.11.8 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.11.255 255.255.255.255 192.168.11.8 192.168.11.8 20
192.168.200.0 255.255.255.0 192.168.200.2 192.168.200.2 1
192.168.200.2 255.255.255.255 127.0.0.1 127.0.0.1 50
192.168.200.255 255.255.255.255 192.168.200.2 192.168.200.2 50
224.0.0.0 240.0.0.0 192.168.11.8 192.168.11.8 20
224.0.0.0 240.0.0.0 192.168.200.2 192.168.200.2 50
255.255.255.255 255.255.255.255 192.168.11.8 192.168.11.8 1
255.255.255.255 255.255.255.255 192.168.200.2 192.168.200.2 1
255.255.255.255 255.255.255.255 192.168.200.2 10004 1
Default Gateway: 192.168.200.2
===========================================================================
Persistent Routes:
None

となりました。
・ファイヤーウォールは切っても効果なし。
・暗号化は特に必要なし(非機密情報のみ通信のため)
・メインマシンから社員VPNIPへの接続不可(パスが見つかりません)
タケシ
会議室デビュー日: 2009/01/04
投稿数: 7
投稿日時: 2009-01-08 13:59
引用:

BackDoorさんの書き込み (2009-01-08 08:22) より:
肝心なこと確認してませんでした。
下記の構成だとルータにIPsecVPNを仕込みLAN間部分のみVPNにする方式がBESTだと
思いますが、実際に適用されているのはWindowsVPNという状況ですよね?

コード:
    インターネット                 インターネット
      |                       |
   タケシオフィス                   社員宅
      |                       |
  -------ルーター-----                 ルーター
 |         |                  |
メインマシン(XP)  VPNサーバー(2000server)    社員PC(XP)
(192.168.11.8)  (192.168.11.9)          (IP不明)
 (192.168.11.102)    (192.168.11.101)       (192.168.11.105)

前のアドバイスでセグメント分割案を出した意味は当初の質問内容中に
「LANを2本にすればいける問題ですか?」
との問いかけがあったためです。
→ 通常のルーティング部分とVPNによるルーティング部分が混在していると
  問題の切り分けが難しくなるので、一旦分けて考えては如何という意図。

私の方に誤解があるのかも知れませんので、VPN部分に関して再度説明願います。



はい。現在行っているのはwindowsVPNです。
LANを2本という表現は、メインマシンには1ポートしかないため、物理的に、VPN通信用ポートとインターネット用ポートに分ければ・・・というお話です。
ant
ベテラン
会議室デビュー日: 2002/07/11
投稿数: 51
投稿日時: 2009-01-08 16:16
route print の結果を見ると、今はVPNのIPが 192.168.200.XX になっているんですかね。

VPN接続の割り当てIPが 192.168.200.0/24 で、VPNサーバのLANのIPが 192.168.11.9 とした場合、
メインマシンのコマンドプロンプトで以下のコマンドを実行することで
VPN接続せずに社員PCに接続できるのではないかと思います。
> route ADD 192.168.200.0 MASK 255.255.255.0 192.168.11.9

## これ以降は上の方法でうまくいった場合についての補足です。 ##

route add の設定はシャットダウンすると消えるので、
継続的に使うなら -p オプションをつけて実行して下さい。

メインマシンのデフォルトゲートウェイがルータを指しているなら
ルータに192.168.200.0/24宛のデータは192.168.11.9(VPNサーバのIP)に投げる
というような設定をしておけば、上記の route add コマンドを実行しなくてもよいと思います。
メインマシン1台だけしか使わないとか、ルータの設定がいじれないなら上の方法。
台数が多いとかルータの設定がいじれるなら下の方法がいいと思います。
とかち
会議室デビュー日: 2009/01/08
投稿数: 1
投稿日時: 2009-01-08 16:48
ルートは提示されておりますが、肝心なDNSの設定が提示されておりませんが
メインマシンのDNSは2000Serverのアドレスなのでしょうか?

私も会社で同じ構成で構築しております。(Severも2000Serverです)
ルートに誤りがないのであればDNSの設定誤りの感じがします。

確認すべきこと
1.メインマシンのネットワークはブリッジモード接続になっていないことを確認する
2.VpnOff時、2000Serverでインターネットに接続可能か
3.VpnOn時、2000Serverでインターネットに接続可能か
4.メインマシンのDNSの設定を2000Serverでなくルーターに変更してみる

4でつながるのであれば2000ServerのDNS設定ミスと思われます。

その場合、2000Serverの設定を確認願います。
1.2000ServerがDNSサーバーとして起動しているのか
2.NICのDNS参照の設定
3.ルーティングとリモートアクセスの設定


タケシ
会議室デビュー日: 2009/01/04
投稿数: 7
投稿日時: 2009-01-08 18:35
引用:

antさんの書き込み (2009-01-08 16:16) より:
route print の結果を見ると、今はVPNのIPが 192.168.200.XX になっているんですかね。

VPN接続の割り当てIPが 192.168.200.0/24 で、VPNサーバのLANのIPが 192.168.11.9 とした場合、
メインマシンのコマンドプロンプトで以下のコマンドを実行することで
VPN接続せずに社員PCに接続できるのではないかと思います。
> route ADD 192.168.200.0 MASK 255.255.255.0 192.168.11.9

## これ以降は上の方法でうまくいった場合についての補足です。 ##

route add の設定はシャットダウンすると消えるので、
継続的に使うなら -p オプションをつけて実行して下さい。

メインマシンのデフォルトゲートウェイがルータを指しているなら
ルータに192.168.200.0/24宛のデータは192.168.11.9(VPNサーバのIP)に投げる
というような設定をしておけば、上記の route add コマンドを実行しなくてもよいと思います。
メインマシン1台だけしか使わないとか、ルータの設定がいじれないなら上の方法。
台数が多いとかルータの設定がいじれるなら下の方法がいいと思います。


メインマシンでコマンドを実行しました。
・・・VPNIPで接続できました。
これでメインマシン→社員PCへはVPNIPで接続できますが、逆(社員PC→メインマシン)は\\182.168.11.8で接続可能なのでしょうか?
jun
ベテラン
会議室デビュー日: 2003/01/07
投稿数: 80
お住まい・勤務地: 愛知県
投稿日時: 2009-01-08 18:51
JUNです。
こんばんわ。

引用:

タケシさんの書き込み (2009-01-08 18:35) より:
メインマシンでコマンドを実行しました。
・・・VPNIPで接続できました。
これでメインマシン→社員PCへはVPNIPで接続できますが、逆(社員PC→メインマシン)は\\182.168.11.8で接続可能なのでしょうか?


多分、『社員PC→メインマシン』については、

192.168.200.2
※メインマシンのVPNIP

にアクセスすることで接続可能になると思われます。
«前のページへ 1|2|3 次のページへ»

スキルアップ/キャリアアップ(JOB@IT)