- - PR -
何故か特定のVPNクライアントだけ差別されてしまいます。
1
投稿者 | 投稿内容 |
---|---|
|
投稿日時: 2003-12-06 15:34
こんにちは。
Win2k(192.168.2.102) | |─Win2k(192.168.2.66) | eth0(192.168.2.2) RedHat9 ppp0 | ADSLモデム |(↑事務所側) | WAN | |(↓自宅側) ADSLモデム | ppp0 RedHat9 eth0(192.168.0.1) | Win2k(192.168.0.89) として"事務所⇔自宅"でipsecでのトンネリングを実験したく思って freeswan-module-2.01_2.4.20_8-0.i386.rpm freeswan-userland-2.01_2.4.20_8-0.i386.rpm をダウンロード・インストールしました。 jitaku.ddyn.netのppp0のアドレス…hhh.hhh.hhh.hhh jitaku.ddyn.netのP-t-Pアドレス…xxx.xxx.xxx.xxx jimusho.ddyn.netのppp0のアドレス…ooo.ooo.ooo.ooo jimusho.ddyn.netのP-t-Pアドレス…yyy.yyy.yyy.yyy で表す事にします。 [root@jitaku.ddyn.net]# grep -v ^# /etc/ipsec.conf version 2.0 # conforms to second version of ipsec.conf specification config setup interfaces="ipsec0=ppp0" klipsdebug=none plutodebug=none conn %default type=tunnel keyingtries=10 authby=rsasig keylife=1h pfs=yes conn hh-to-oo left=hhh.hhh.hhh.hhh leftsubnet=192.168.0.0/24 leftid=@jitaku.ddyn.net leftrsasigkey=0sAQP…pA9VU9 leftnexthop=xxx.xxx.xxx.xxx right=ooo.ooo.ooo.ooo rightsubnet=192.168.2.0/24 rightid=@jimusho.ddyn.net rightrsasigkey=0sAQN7…6IXIn rightnexthop=yyy.yyy.yyy.yyy auto=add conn block auto=ignore conn private auto=ignore conn private-or-clear auto=ignore conn clear-or-private auto=ignore conn clear auto=ignore conn packetdefault auto=ignore [root@jitaku.ddyn.net]# grep -v ^# /etc/ipsec.secrets hhh.hhh.hhh.hhh ooo.ooo.ooo.ooo : PSK "password" : RSA { # RSA 2192 bits jitaku.ddyn.net Mon Sep 8 16:30:37 2003 # for signatures only, UNSAFE FOR ENCRYPTION #pubkey=0sAQ…A9VU9 : (以下省略) : [root@jimusho.ddyn.net]# grep -v ^# /etc/ipsec.conf version 2.0 # conforms to second version of ipsec.conf specification config setup interfaces="ipsec0=ppp0" klipsdebug=none plutodebug=none conn %default type=tunnel keyingtries=0 authby=rsasig keylife=1h pfs=yes conn hh-to-oo left=ooo.ooo.ooo.ooo leftsubnet=192.168.2.0/24 leftid=@jimusho.ddyn.net leftrsasigkey=0sAQN…6IXIn leftnexthop=yyy.yyy.yyy.yyy right=hhh.hhh.hhh.hhh rightsubnet=192.168.0.0/24 rightid=@jitaku.ddyn.net rightrsasigkey=0sAQP…9VU9 rightnexthop=xxx.xxx.xxx.xxx auto=add conn block auto=ignore conn private auto=ignore conn private-or-clear auto=ignore conn clear-or-private auto=ignore conn clear auto=ignore conn packetdefault auto=ignore [root@jimusho.ddyn.net]# grep -v ^# /etc/ipsec.secrets ooo.ooo.ooo.ooo hhh.hhh.hhh.hhh : PSK "password" : RSA { # RSA 2192 bits jimusho.ddyn.net Thu Sep 4 21:06:29 2003 # for signatures only, UNSAFE FOR ENCRYPTION #pubkey=0sAQN…IXIn : (以下省略) : としてVPNを実現しています。 192.168.0.89←192.168.2.66 からはエクスプローラに「\\\\192.168.0.89\\kyouyu」 としてアクセスできるのですが 192.168.0.89←192.168.2.102 だと「\\\\192.168.0.89\\kyouyuにアクセスできません。アクセスが拒否されまし た。」 となってしまいます。 [user@192.168.2.102]$ ping 192.168.0.89 Pinging 192.168.0.89 with 32 bytes of data: Reply from 192.168.0.89: bytes=32 time=120ms TTL=126 Reply from 192.168.0.89: bytes=32 time=130ms TTL=126 Reply from 192.168.0.89: bytes=32 time=121ms TTL=126 Reply from 192.168.0.89: bytes=32 time=130ms TTL=126 Ping statistics for 192.168.0.89: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 120ms, Maximum = 130ms, Average = 125ms とチャンとpingは飛びます。 192.168.2.2、192.168.0.1ともパケットフィルタリングのアクセス制御はホスト名で はなく、 192.168.2.という風に常にネットワークアドレスで指定してます (192.168.2.102、192.168.2.66とも同環境にしたいので)。 実際に念のために [root@jimusho.ddyn.net]# grep -lr 192.168.2.102 /etc や [root@jimusho.ddyn.net]# grep -lr 192.168.2.66 /etc や [root@jitaku.ddyn.net]# grep -lr 192.168.2.102 /etc や [root@jitaku.ddyn.net]# grep -lr 192.168.2.66 /etc としても何もヒットしません。 でも何故か192.168.2.102は差別されてしまいます。 更には、ワークグループは全て「WORKGROUP」にしています。 うーん、どうして差別されるのでしょうか? |
|
投稿日時: 2003-12-10 18:48
こんにちは
早速なんですが、お書きになった情報から察するに PINGが疎通できていると言うことですので、VPN構築事態には 特に問題が起きている訳ではなく、WIN2Kの認証で引っかかって いるのでは?と思われます。 ご利用になっているクライアントのアカウントとPASSをお互いの WIN2Kに設定されているかどうか、今一度確認してみてはどう でしょうか?。 もし見当違いな事を言っているようでしたらゴメンナサイ。 |
|
投稿日時: 2003-12-11 22:10
ご回答お待ちしてました。
> ご利用になっているクライアントのアカウントとPASSをお互いの > WIN2Kに設定されているかどうか、今一度確認してみてはどう > でしょうか?。 root@192.168.0.89←Administrator@192.168.2.66 は成功 root@192.168.0.89←YUKA@192.168.2.102 は失敗 しています。つまり、YUKA@192.168.0.89が存在しないのが原因だということでしょうか? それにしては、 root@192.168.0.89→YUKA@192.168.2.102 は成功しますが、root@192.168.2.102は存在しないんですよね。 うーん、不思議です… |
|
投稿日時: 2003-12-26 00:58
自己レスです。
>> ご利用になっているクライアントのアカウントとPASSをお互いの >> WIN2Kに設定されているかどうか、今一度確認してみてはどう >> でしょうか?。 > root@192.168.0.89←Administrator@192.168.2.66 > は成功 > root@192.168.0.89←YUKA@192.168.2.102 > は失敗 > しています。つまり、YUKA@192.168.0.89が存在しないのが原因だということで しょ > うか? YUKA@192.168.0.89を新規に追加して漸く root@192.168.0.89←YUKA@192.168.2.102 が成功しました。 > それにしては、 > root@192.168.0.89→YUKA@192.168.2.102 > は成功しますが、root@192.168.2.102は存在しないんですよね。 > うーん、不思議です… よくよく調べてみましたら、 SAMBAサーバYUKA@192.168.2.2が存在してました。 そのせいで root@192.168.0.89→YUKA@192.168.2.102 が成功してたようです。 |
|
投稿日時: 2004-01-05 20:28
うまく疎通できるようになってよかったですね。
返答が解決の糸口になったようでこちらもうれしく思います。 おつかれさまでした。 |
|
投稿日時: 2004-01-06 18:20
どうもきっかけを作って戴いて大変ありがとうございました。
|
1