このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

MN-128 SOHO(会社)とMN-128 SL10(自宅)をLAN接続。

発言者:みやぎ ひろかた
( Date Monday, June 19, 2000 17:10:48 )


はじめまして。常にご参考させて頂いております。

皆様の御知恵を御貸しして頂きたく存じます。

目的:会社のダイアルアップルーター MN-128 SOHOと自宅のダイアルアップルーター MN-128 SL10をLAN接続。
※会社からのコールバック(MN-128 SOHO)で、自宅(MN-128 SL10)とISDNを通しLAN接続を行い、自宅のパソコンを会社のLANに収容を行いたい。
接続後は、自宅から社内LANを通じインターネットへ接続も行いたい。
(自宅、会社ともDHCPサーバーおよびAutoDNSは使用していません)

現状:構成は以下のようになっております。
IIJ
 - 社内LAN (192.168.0.0)
   - ファイアーウォール(192.168.XX.1)
    - 部内LAN(192.1.1.0) ルーター(192.1.1.254)
  - 端末A〜(192.1.1.2〜)
  - MN-128 SOHO(192.1.1.1)
ISDN
 - 自宅LAN:MN-128 SL10(192.1.2.0)
  - 端末B〜(192.1.2.1〜)

社内には既存のLANがあります。(インターネットへ接続可)
また、部内LANには社内LANに対してファイアーウォールが
組まます。DNSは社内LANにあります。
部内の端末Aは、確実に端末としての機能を果たしています。

症状:

MN128−SOHOでホームオフィスを参考に設定を試みているのですが、
自宅でも会社でも

<メッセージ>

接続に失敗しました(網理由表示#21:通信拒否)。
パラメータを確認・修正し、もう一度実行してください。

のエラーメッセージが出て全く接続できません。

うまく接続させたいのですが、御存じでしたら参考になる接続例等をお教え頂ければ幸いです。

SAWANO さんからのコメント
( Monday, June 19, 2000 18:13:47 )

>接続に失敗しました(網理由表示#21:通信拒否)。
>パラメータを確認・修正し、もう一度実行してください。
発信者番号が非通知の契約になっているとか・・
そんなことはないですか?
まずコールバック無しで試してみるとどうでしょう


kyu さんからのコメント
( Tuesday, June 20, 2000 10:00:03 )

ボイスワープなんて使ってませんか?
これ使ってる回線だとなぜかデジタルも転送されて
こんなようなメッセージが出ました。経験者です。
ボイスワープはボイスだけをワープするんじゃないのですね。
ミカカさん、変な名前付けないでね(^^)
すぐにボイスワープを解約しました。
それか、デジタルの着信をルーターが拒否しているのかも。
デジタルの着信を許可してますか?
とにかく、私自身、自宅のsohoをつかって会社のrt-102に
ダイアルサインアップしてますからsohoの設定だけでも
帰ってから調べてみますね。

ろばたろう さんからのコメント
( Tuesday, June 20, 2000 10:58:02 )

>接続に失敗しました(網理由表示#21:通信拒否)。
>パラメータを確認・修正し、もう一度実行してください

ですが、電話番号が123-4567*1というサブアドレス?で自宅から
会社側に着信していませんか?。MN-128SOHOの接続/切断ログを見れば
わかるかと思います。

それから、MN128経由で会社側インターネットにアクセスする場合は、
MN128に192.1.1.254をStaticRouteで記述する必要があると思います。

私もついこの間、会社側MN128SOHOSL-11,自宅MN128SOHOSL-10で
同じ経験をしました。(会社、自宅ともにiナンバー契約をしていて、
自宅から会社側の副番号に着信させています。コールバックは使って
いません。)

ご参考になれば幸いです。

SAWANO さんからのコメント
( Tuesday, June 20, 2000 11:41:19 )

着信しないのは ろばたろうさん がいわれた通り 「ルータ」→「ISDN」の設定で
*1 となっている可能性が強いと思います 空白でよいと思います。

あと 発信者番号非通知の場合コールバックができないはずで、契約変更した覚えが
あります
頑張ってください!

みやぎ ひろかた さんからのコメント
( Tuesday, June 20, 2000 11:56:11 )

コメントありがとうございます。
ろばたろうさん、SAWANOさんのおっしゃる通り、「ルータ」→「ISDN」の設定で
*1に設定していました。
発信者番号非通知にはしていないので、この箇所を自宅、会社ともに設定を修正
し、報告いたします。(現在、会社ですので帰宅後、自宅の方を修正いたします)

本当にありがとうございます。

みやぎ ひろかた さんからのコメント
( Thursday, June 22, 2000 10:22:59 )

皆様、ありがとうございました。
見事に接続することが出来ました。
原因は、「ルータ」→「ISDN」の設定で*1とCBCP設定に関する知識不足でした。
コールバックも無課金で大丈夫なことに気がつきました。
ファームウェアーも最新版に変更しました。
皆様のご助力のおかげで、ファーストステップは完了しました。
ありがとうございます。

セカンドステージですが、ろばたろうさんがご教授して下さった、
「MN128経由で会社側インターネットにアクセスする場合は、MN128に192.1.1.254を
StaticRouteで記述する必要があると思います。」に関連した事項と考えられます設定
についてですが、会社のMN128に、
ip route 192.168.0.0/16/2 local 192.1.1.254
と記述しておりますが、うまく動作しておりません。

ここの設定理由ですが、、
社内LANは、192.168.XXX.XXXを使用しておりますので、192.168.0.0
マスクは、デフォルトで16だったためそのままにしております。
ホップアカウントは良くわかりませんでしたので、参考書の記述例に習いました。

MN128の記述内容が間違っているために会社側インターネットへのアクセスが出来
ないものと思われますが、マスクおよびホップアカウントについての規則について
勉強不足もありまして、接続するに至っておりません。

まことに失礼なお願いとは存じますが、再度ご教授して頂ければ幸いです。
よろしくお願いいたします。



ろばたろう さんからのコメント
( Thursday, June 22, 2000 13:39:26 )

みやぎ様はじめまして。

社内LAN=192.168.0.0ということは192.168.0.0/16
(subnetmaskは255.255.0.0)が既知の設定でしょうか?
また部内LAN=192.1.1.0というのは、192.1.1.0/24
(subnetmaskは255.255.255.0)が既知の設定でしょうか?
それと会社側MN128SOHOは部門内に設置されているか?
現在の設定で部門内に設置されているサーバー(があれば)にアクセスできて
いて、インターネットに出られないのか?
この辺りを御確認ください。

以下は社内は/16で部門は/24と仮定した場合です。

会社側MN128SOHOの設定は
本体のIPアドレスは192.1.1.1/24と記述。
リモートアクセスサーバーは”ON”で自宅SL-10側に与えるIPアドレス(付与可能な部門LAN内のIPアドレスとマスク)を設定。
AutoDNSは”ON”で社内LANにあるDNSのIPアドレスを設定。
MN128に部門LAN内のrouter(192.1.1.254)を教えるために、コマンドで
『ip route 0.0.0.0/0/2 local 192.1.1.254』と記述してみてください。
(但し『』内は私の環境であるMN128SOHOSL-11Ver1.40の場合であって
この通りではないかもしれません。>マニュアル要参照です)

>ip route 192.168.0.0/16/2 local 192.1.1.254
>と記述しておりますが、うまく動作しておりません。

自信がなくなってきましたが、要は会社側MN128は自宅からの要求パケットを
中継し部門LAN内のルータに渡すためにはその経路に関わる自宅側SL-10以外のルーターすべては同じネットワークアドレス内に存在していることだと
思います。

なお私の環境では、コールバックは未使用で会社内では部門別がない
(単一)のでもし間違っていたらごめんなさい。


SAWANO さんからのコメント
( Thursday, June 22, 2000 13:44:12 )

えっと MN128同士の場合 スタティックルートの設定っていらないよう
に思ったのですが・・
僕の場合は設定しなくても動いてます。必要なのかな??

LAN間接続はできているが、会社のLANをくぐってインターネットに
出ていけないということであれば、会社のIPマスカレード変換で自宅の
IPが設定されていなかったりして・・・

あと自宅のルータのIPって192.1.2.0なんですか? 192.1.2.1じゃなくて?

はずしてたらすみません・・

SAWANO さんからのコメント
( Thursday, June 22, 2000 13:55:29 )

>リモートアクセスサーバーは”ON”で自宅SL-10側に与えるIPアドレス
>(付与可能な部門LAN内のIPアドレスとマスク)を設定。
ん?ルータ機能を使ってのLAN間接続ですよね?>みやぎさん
リモートアクセスサーバ機能を使うのであれば その通りと思いますが
LAN間接続の場合はOFFでいいと思いますよ

みやぎ ひろかた さんからのコメント
( Thursday, June 22, 2000 17:22:36 )

さっそく、ご教示下さいましてありがとうございます。
始めに、現状の設定をご説明させて頂きます。

会社側MN128SOHOの設定は、
本体のIPアドレス:192.1.1.1/24
リモートアクセスサーバー:”ON”
リモートIPアドレス:192.1.1.3
AutoDNS:”ON”
LAN側DNSサーバーアドレス:192.168.1.1
IP応用設定オプション:ip route 192.168.0.0/16/2 local 192.1.1.254
としております。

一方、自宅側MN128SL10の設定ですが、
本体のIPアドレス:192.1.2.1/24
AutoDNS:”ON”
としております。
また、自宅のパソコンですが、
IPアドレス:192.1.2.2
DNSサーバーアドレス:192.1.2.1
ゲートウェイアドレス:192.1.2.1
としております。

ろばたろう様のご指摘されている、

> 社内LAN=192.168.0.0ということは192.168.0.0/16
>(subnetmaskは255.255.0.0)が既知の設定でしょうか?
> また部内LAN=192.1.1.0というのは、192.1.1.0/24
>(subnetmaskは255.255.255.0)が既知の設定でしょうか?

については、社内LANが192.168.XXX.YYYとしてあり、部門毎にXXXが与えられており、小生の部門には、XXが与えれており、その中の192.168.XX.1と言うアドレスが、社内LANに対するファイアーウォール(192.168.XX.1)=部内LANのゲートウェイ(192.1.1.254)となっております。
今回、会社側MN128SOHOに
ip route 192.168.0.0/16/2 local 192.1.1.254
と設定致しました理由は、社内LAN全体に対しての経路と考えて行った次第であります。

> それと会社側MN128SOHOは部門内に設置されているか?

会社側MN128SOHOは部門内に設置致しております。

> 現在の設定で部門内に設置されているサーバー(があれば)にアクセスできて
> いて、インターネットに出られないのか?
> この辺りを御確認ください。

本日、自宅に戻り次第確認致しまして、明日、またご返事させて頂きます。

みやぎ ひろかた さんからのコメント
( Thursday, June 22, 2000 17:25:20 )

連続の投稿失礼致します。
SAWANO様からご指摘頂きました、

>LAN間接続はできているが、会社のLANをくぐってインターネットに
>出ていけないということであれば、会社のIPマスカレード変換で自宅の
>IPが設定されていなかったりして・・・

>LAN間接続の場合はOFFでいいと思いますよ

の点についてですが、詳しくご教授して頂ければ幸いです。

参考書の方には、IPアドレスは重なってはいけないと記載されておりました。
そこで、小生は会社側と自宅側のIPは分けなければならないと憶測しまして、
192.1.1.0(会社側)と192.1.2.0(自宅側)を使用致しました。
そこで、会社側のNM128に自宅から繋げたときに、その回線に対して192.1.1.X
を与えなければならないのではと憶測致しまして、リモートアクセスサーバー
をONしてIPアドレスの記載を行った次第であります。
ご指摘の通り、リモートIPアドレスに関しては、NM128のヘルプにもその事項が
記載されおり、リモートアクセスサーバ機能を使用するときに、接続するパソコ
ンに対して与えるアドレスとなっておりますが、勉強不足のため理解が出来てお
りません。

自宅のパソコンを自宅側のNM128SL10と部内LANの中に設置してあるNM128 SOHO
(192.1.1.1)を接続し自宅のパソコンを部内LANの一員として使用する場合、
自宅のパソコンは、部内LANに対しては192.1.1.1で繋がっているのでしょうか?
その場合、自宅側のNM128SL10のルーター設定-接続のDNSサーバアドレスは、
192.1.1.1と設定すればよろしいのでしょうか?

勝手な質問ばかりで申し訳ございませんが、なにとぞご教授のほどよろしくお願
い申し上げます。

>あと自宅のルータのIPって192.1.2.0なんですか? 192.1.2.1じゃなくて?

申し訳ございません。192.1.2.1に訂正させて頂きます。

SAWANO さんからのコメント
( Thursday, June 22, 2000 18:30:51 )

>の点についてですが、詳しくご教授して頂ければ幸いです。
はい 知っていることをお伝えします。
専門家ではないので用語等に誤りがありましたら、先生方フォロー下さい。(^^;

まず2つのMN128同士を接続するときの形態ですが
会社側のMN128をリモートアクセスサーバとしてPPP接続する場合と、LAN間接続が
あります。
リモートアクセスサーバとして利用する場合、多いのは出先などからISDN回線で
PPP接続したい場合です。(ダイヤルアップルータではなくTAしかない場合とか)
この場合はPPP接続してくるバソコンにルータで使用している範囲のIPを与えるため
「リモートアクセスサーバ」をONしてIPアドレスを与える必要があります。

LAN間接続の場合ですが違うIPアドレスレンジのネットワークを接続してくれます(ルーティング)
ですから みやぎさんのばあい 会社側の192.1.1.0と自宅の192.1.2.0のルーティングを
するということです。

接続自体は出来ているようですから・・インターネットを利用できない原因ですが
LAN内は192.から始まるプライベートアドレスで運用していますよね
それをグローバルに変換しているはずなんです
(IPマスカレード とか NATとかいいます)
それをどんなマシンやソフトで行っているか わかりませんが 仮に専用線接続を
MN128でやるとすると、下記のような記述をします。
ip nat 1 192.1.1.2-192.1.1.255 210.***.***.1 remote 0
ip nat 2 192.1.2.2-192.1.2.255 210.***.***.2 remote 0
「192.1.1.2-192.1.1.255」・・この部分がプライベート
「210.***.***.1」・・この部分がグローバル
(記述の方法は色々あるでしょうが・・)

ということでグローバルアドレスへの変換が出来ていないのでは? と思った次第です。

ろばたろう さんからのコメント
( Thursday, June 22, 2000 18:35:10 )

設定を拝読させていただきますとおそらくいまの状態では
部内LAN内のサーバーにアクセスができて、それ経由のInternetは
できないだろうと思われます。

私も以前の課程で、社内(部門)LANはアクセス可で、インターネットは
不可でして、Staticrouteを記述しましたところ、通過できました。
もしRASの使用が問題ないのならStaticRouteの記述だけだと思います。

ちなみに私の場合は
自宅SOHO SL10=192.168.0.1/24,端末=192.168.0.2/24
会社側のSOHO SL-11は上述どおりRAS ON、AUTODNS ONです。
つまり、みやぎ様のおっしゃる”IPアドレスは重なってはいけない”旨の
マニュアルに基づいております。

これで会社に発信しますと自宅SL10にはRASで与えたIPアドレス、
AUTODNSで与えたDNSアドレスが届いています。

ただ私の場合は普段の自宅internetはダイヤルアッププロバイダーの
使用が基本で、それが自動発信先にしており会社に接続したい場合はSL-10の
WEB設定画面から手動で行っております。
この辺りはみやぎ様と自宅でのお使いの環境が違うかもしれません。

私もSAWANO様のご指摘内容で接続可能でしたら御教授ください。

もっと自信がなくなってきたので自宅に帰り、設定を確認してみます。
間違っていましたらすみません。



SAWANO さんからのコメント
( Thursday, June 22, 2000 18:44:04 )

しつこいですが・・(^^;
自宅のMN128をモデムとして使っている場合はPPP接続ですから
会社側をリモートアクセスサーバとしなければなりません。
自宅のMacとMN128をイーサネットでつないであればLAN間接続のほうが
らくちんでしょう(自宅が複数台とか)

みやぎ ひろかた さんからのコメント
( Friday, June 23, 2000 14:16:49 )

ろばたろう様ありがとうございます。
早速、帰宅後確認致しました。

>設定を拝読させていただきますとおそらくいまの状態では
>部内LAN内のサーバーにアクセスができて、それ経由のInternetは
>できないだろうと思われます。

ご指摘頂きました通り、部内のLAN経由のInternet接続が出来ておりません。
自宅側MN128SLの方から、会社側MN128SOHOに接続したときの状態ですが、

自宅側MN128SLが、

接続モード:LAN型
リンクプロトコル:LCP/MP IPCP BACP
相手先ルータアドレス:192.1.1.1
相手先DNSサーバアドレス:192.168.1.1

会社側MN128SOHOが、

接続モード:LAN型
リンクプロトコル:LCP/MP IPCP BACP
相手先ルータアドレス:192.1.2.1
相手先DNSサーバアドレス:192.1.2.1

と表示されております。

今回、ろばたろう様のご指導のもと、

ルータ設定-IP応用設定に(会社側MN128SOHO)
ip route 0.0.0.0/0/2 local 192.1.1.254
と記載して接続を試みたところ、
IP経路情報には
# Destination Route
    destination        gateway     mode  if  metric  ttl    remote
------------------ --------------- ---- ---- ------ ----- ----------
192.1.1.0/24       192.1.1.2       DRCT 0    0      -    
192.1.1.2/32       192.1.1.2       DRCT 0    0      -    
default            192.1.1.254     STAT 0    2      -
と表示されましたが、部内のLAN経由のInternet接続がされませんでした。
  
また、

ルータ設定-IP応用設定に(会社側MN128SOHO)
ip route 192.168.xx.0/32/2 local 192.1.1.254
と記載して接続を試みたところ、
IP経路情報には
# Destination Route
    destination        gateway     mode  if  metric  ttl    remote
------------------ --------------- ---- ---- ------ ----- ----------
192.1.1.0/24       192.1.1.2       DRCT 0    0      -    
192.1.1.2/32       192.1.1.2       DRCT 0    0      -    
192.168.xx.0/24    -               -    -    16     -    
192.168.xx.0/32    192.1.1.254     STAT 0    2      -
と表示されました。こちらも部内のLAN経由のInternet接続がされませんでした。

小生のケースの場合、部内LANの別のルーター経由の経路を登録するにあたり、

社内LANのDNSサーバアドレス:192.168.1.1に接続するために、
ip route 192.168.1.0/32/2 local 192.1.1.254
と記載するべきなのでしょうか?

御存じでしたらお教え頂ければ幸いです。

みやぎ ひろかた さんからのコメント
( Friday, June 23, 2000 14:20:03 )

再度、連続の投稿失礼致します。
SAWANO様ありがとうございます。
詳しくご教授して頂き感謝致しております。
本日、自宅に戻り次第確認致しまして、またご返事させて頂きます。

小生、リモートアクセスとルーティングに関してかなり勉強が不足しておりました。
会社側と表現しておりましたMN128SOHOは部内LANに設置致しており、グローバルに対
しては、部内LANの上位にある社内LANで変換致しております。
今回会社側のMN128SOHOにIPアドレスを与える方法として、リモートIPアドレスで良い
のだと思い込んでおりました。
SAWANO様のご指摘の通り、自宅ではパソコンを複数台使用しており、すべてイーサネッ
トだけで繋いでおりますので、リモートアクセスサーバとしてではなく、ルーターと
してMN128同士を繋げなければならないのですね。(間違っているようでしたら、お手
数でも再びご教授して頂ければ幸いです。)
(本内容、SAWANO様は始めから小生にご教授していらしゃいましたが、小生が勉強不足
のため、理解に時間がかかりましたことおわび致します。)

>LAN間接続の場合ですが違うIPアドレスレンジのネットワークを接続してくれます(ルーティング)
>ですから みやぎさんのばあい 会社側の192.1.1.0と自宅の192.1.2.0のルーティングを
>するということです。
>接続自体は出来ているようですから・・インターネットを利用できない原因ですが
>LAN内は192.から始まるプライベートアドレスで運用していますよね
>それをグローバルに変換しているはずなんです
>(IPマスカレード とか NATとかいいます)
>それをどんなマシンやソフトで行っているか わかりませんが 仮に専用線接続を
>MN128でやるとすると、下記のような記述をします。
>ip nat 1 192.1.1.2-192.1.1.255 210.***.***.1 remote 0
>ip nat 2 192.1.2.2-192.1.2.255 210.***.***.2 remote 0
>「192.1.1.2-192.1.1.255」・・この部分がプライベート
>「210.***.***.1」・・この部分がグローバル
>(記述の方法は色々あるでしょうが・・)
>ということでグローバルアドレスへの変換が出来ていないのでは? と思った次第です。

現在、

   インターネット
         |210.***.***.***
+--------+--------+                 社内LAN
|  ゲートウェイ    |                 DNS 192.168.1.1
+--------+--------+
         |                        192.168.0.0/24
---------+------------------------+--------------------+-----------
         |                                             |
+--------+--------+                           +--------+--------+
|  事業所ルーター  |                           |  事業所ルーター  |
+--------+--------+                           +-----------------+
         |192.168.XX.254                                192.168.XXX.254
         |                        192.168.XX.0/24
---------+------------------------+----------------
         |                        |
         |192.168.XX.1            |192.168.XX.XXX
+--------+-------------+        [ PC ]
|部門ファイアーウォール|
+--------+-------------+
         |192.1.1.254               
[部内LAN]|                        192.1.1.0/24
---------+------------------------+----------------
         |                        |
         |192.1.1.1               |192.1.1.XXX
+--------+--------+             [ PC ]
|    MN128SOHO    |
|        |        |
|  IPルーティング  |
|        |        |
|     MN128SL10   |
+--------+--------+
         |192.1.2.1
[自宅LAN]|
---------+------------------------+----------------
         |                        |
         |192.1.2.2               |192.1.2.3
       [ PC ]                   [ PC ]
       
のような状態になっております。

ご教授して頂いたアドレスの変換についてですが、
自宅のMN128SL10のルータ設定-IP応用設定に
ip nat 1 192.1.2.2-192.1.2.255 192.1.1.3 remote 15
と記載すれば、会社側のNM128に自宅からISDNで繋げたときに、自宅のLANが192.1.1.3として
接続され、部内LANの一員として繋がるようになるのでしょうか?
それともいらないのでしょうか?

毎回勝手な質問ばかりで申し訳ございませんが、お教え頂ければ幸いです。

ろばたろう さんからのコメント
( Friday, June 23, 2000 15:53:26 )

だんだん自信がなくなってきました...

会社側MN128の本体IPアドレスは192.1.1.1でしょうか?
もしそうならば...

    destination        gateway     mode  if  metric  ttl    remote
------------------ --------------- ---- ---- ------ ----- ----------
192.1.1.0/24       192.1.1.2       DRCT 0    0      -    
192.1.1.2/32       192.1.1.2       DRCT 0    0      -    
default            192.1.1.254     STAT 0    2      -

1行目と2行目のgatewayは192.1.1.1
2行目のdestinationのIPアドレスは192.1.1.1/32
であると思います。

dnsサーバー192.168.1.1は部門外にいるわけですから、192.1.1.254を越える
接続=internet接続ができればその記述は不要だと思います。
(私の会社環境もdnsはグローバルIP側に置いております。)
もしいまの状態がinternet接続がdomainでできないのでしたら
ipアドレスで外のサーバーにアクセスできるかを確認する方法もあるかと思います。

不運にもSAWANO様とわずかな時間差で投稿になってしまい申し訳ありません。
SAWANO様ご指摘のLAN間接続(私も自宅を含め同じ環境ですので興味があります!)
のほうがつたない私のリモート接続よりも解決が早いかもしれません。
異なるやり方が並行してはいけませんし、SAWANO様のほうが最初に
お答えいただいているのは確かなことですので、私はここで投稿を控えます。

途中で割り込んだ形ですみませんでした。

SAWANO さんからのコメント
( Friday, June 23, 2000 16:41:04 )

こんにちは もうすこしですね!

部内のMN128に
ip nat 1 192.1.2.2-192.1.2.3 192.1.1.3
と記述すればいいのかな と思います。( remote は必要ないと思います
あと192.1.1.3って 勿論あいてますよね?)

私の場合は専用線に接続しているMN128で 社内のと外部のと(自宅含む)を、まとめてNAT変換
していますけど(プライベート→別のプライベート→グローバル と2段階の変換になるのが
なんとなく好まないので・・)
でも それだと他の人の手を煩わせなきゃいけないですもんね

この方法は私が実際に試したわけではないです。 
・・が帰る前にでもセットしていってみてはどうですか?