サーバーの公開ができない

このトラブルシューティングは、以下の機種に対応しています。

対応機種: RTX5000 RTX3500 RTX1210 RTX1200

設定例はこちら

インデックス

症状     切り分け手順     状態確認方法     トラブル原因と対処方法

症状:サーバーの公開ができない。

ここでは、ルーターの基本的な設定が終了し、インターネット接続ができている状態で、サーバー公開ができないケースでのトラブルシューティングを提供します。

下記の前提で説明します。
・RTX1210の設定値や出力結果をベースに説明します。

ルーターLAN1 IPアドレス 192.168.0.1
ルーターWAN(PP[01]) IPアドレス 172.16.112.2
(固定グローバルIPアドレス)
ルーターLAN3 IPアドレス 192.168.10.1
WWWサーバー プライベートIPアドレス 192.168.10.2
FTPサーバー プライベートIPアドレス 192.168.10.3
インターネット側の外部PC グローバルIPアドレス 10.0.0.1

切り分け手順:通信状況を以下の手順で確認し、問題の切り分け作業を行います。

1-1 から順に確認してください。

1-1

サーバーと同一LAN上のPCからWWWサーバー(192.168.10.2)、FTPサーバー(192.168.10.3)にアクセスできますか?

アクセスできない場合は
サーバーの設定に問題があると考えられますので、サーバーの設定を確認してください。
※ 同一LAN上の通信であれば、ルーターのフィルターやNATは適用されません。

1-2

LAN1上のPCからWWWサーバー(192.168.10.2)、FTPサーバー(192.168.10.3)にアクセスできますか?

アクセスできない場合は
ルーターのLAN3のフィルターの設定内容を確認してください。
参考:
3-2. LAN3フィルターの設定間違いによるWWWサーバー接続失敗。
3-4. LAN3フィルターの設定間違いによるFTPサーバー接続失敗。
※ LAN1からLAN3へのアクセスはNATが適用されていませんので、プライベートIPアドレスで通信することになります。

1-3

インターネット側からルーターのグローバルIPアドレス(172.16.112.2)へWWW、FTPでのアクセスができますか?

アクセスできない場合は
ルーターの状態を確認するため状態確認方法へ進んでください。
※ サーバー公開ができない主な原因は、フィルターやNATの設定間違いが考えられます。

正常に動作しています。

状態確認方法

この項目ではコマンドによる状態確認方法を紹介します。表示例は正常接続時のものです。
トラブル発生時の状態と比較することで、問題解決の助けとなります。

2-1 プロバイダとの接続状態を確認する。

ルーターの"show status pp 1"コマンドを実行し、内容を確認します。

[正常時]
# show status pp 1
PP[01]:
説明:
PPPoEセッションは接続されています
接続相手:
通信時間: 3時間7分59秒
受信: 1582 パケット [141230 オクテット]  負荷: 0.0%
送信: 1587 パケット [1903340 オクテット]  負荷: 0.0%
PPPオプション
  LCP Local: Magic-Number MRU, Remote: CHAP Magic-Number MRU
  IPCP Local: Primary-DNS(172.16.113.1), Remote:
  PP IP Address Local: 172.16.112.2, Remote: Unnumbered
  IPV6CP Local: Interface-ID, Remote: Interface-ID
  PP Interface-ID Local: 02a0defffeae6789, Remote: 02a0defffe37b50a
  CCP: None
[解説]
接続に成功し"PPPoEセッションは接続されています"と表示されています。

2-2 NATディスクリプタの状態を確認する。

ルーターの"show nat descriptor address"コマンドを実行し、内容を確認します。

[正常時]
# show nat descriptor address
NAT/IPマスカレード 動作タイプ : 2
参照NATディスクリプタ : 1, 適用インタフェース : PP[01](1)
Masqueradeテーブル
    外側アドレス: 172.16.112.2
    ポート範囲: 60000-64095, 49152-59999, 44096-49151   1 セッション
プロトコル      内側アドレス                  宛先   マスカレード    種別
   TCP       192.168.10.3.21             *.*.*.*.*           21       static---(1)
   TCP       192.168.10.2.80             *.*.*.*.*           80       static---(2)
---------------------
有効なNATディスクリプタテーブルが1個ありました
[解説]
(1)FTPサーバーを公開するための静的IPマスカレードです。
(2)WWWサーバーを公開するための静的IPマスカレードです。

2-3 経路情報を確認する。

ルーターの"show ip route"コマンドを実行し、経路情報を確認します。

[正常時]
# show ip route
宛先ネットワーク    ゲートウェイ     インタフェース  種別  付加情報
default             -                    PP[01]    static---(1)
172.16.112.2/32     -                    PP[01]  implicit
172.16.113.1/32     -                    PP[01] temporary
192.168.0.0/24      192.168.0.1            LAN1  implicit
192.168.10.0/24     192.168.10.1           LAN3  implicit
[解説]
(1)"default"は"ip route default gateway pp 1"コマンドで設定された静的経路です。
インターネットに接続するためには、"default"経路が必要です。

2-4 デバッグログを確認する。

ルーターに"syslog debug on"を設定し、その後"disconnect 1"を実行します。
LAN1上のPCからWWWブラウザを起動し、URLに"network.yamaha.com/"を指定します。
その後、ルーターで"show log"コマンドを実行すると以下のようなログが表示されます。

[接続成功時ログの例]
2015/04/07 14:13:28: PPPOE[01] Connecting to PPPoE server
2015/04/07 14:13:28: PPPOE[01] SEND PADI
2015/04/07 14:13:28:   11 09 00 00 00 0e 01 01  00 00 01 03 00 06 59 e1
2015/04/07 14:13:28:   93 ef 2f cb
2015/04/07 14:13:31: PPPOE[01] SEND PADI
2015/04/07 14:13:31:   11 09 00 00 00 0e 01 01  00 00 01 03 00 06 59 e1
2015/04/07 14:13:31:   93 ef 2f cb
2015/04/07 14:13:31: PPPOE[01] RECV PADO
2015/04/07 14:13:31:   11 07 00 00 00 1c 01 01  00 00 01 02 00 00 01 04
2015/04/07 14:13:31:   00 06 00 a0 de ae 67 8a  01 03 00 06 59 e1 93 ef
2015/04/07 14:13:31:   2f cb
2015/04/07 14:13:31: PPPOE[01] SEND PADR
2015/04/07 14:13:31:   11 19 00 00 00 1c 01 01  00 00 01 02 00 00 01 04
2015/04/07 14:13:31:   00 06 00 a0 de ae 67 8a  01 03 00 06 59 e1 93 ef
2015/04/07 14:13:31:   2f cb
2015/04/07 14:13:31: PPPOE[01] RECV PADS
2015/04/07 14:13:31:   11 65 00 03 00 1c 01 01  00 00 01 02 00 00 01 04
2015/04/07 14:13:31:   00 06 00 a0 de ae 67 8a  01 03 00 06 59 e1 93 ef
2015/04/07 14:13:31:   2f cb
2015/04/07 14:13:31: PPPOE[01] PPPoE Connect
2015/04/07 14:13:31: PP[01] SEND LCP ConfReq in STARTING
2015/04/07 14:13:31:  c0 21 01 01 00 0e 01 04  07 00 05 06 34 3a 72 ca
2015/04/07 14:13:31: PP[01] RECV LCP ConfReq in REQSENT
2015/04/07 14:13:31:  c0 21 01 01 00 13 01 04  05 ae 03 05 c2 23 05 05
2015/04/07 14:13:31:  06 0e 14 75 4a 00 00 00  00 00 00 00 00 00 00 00
2015/04/07 14:13:31:  00 00 00 00 00 00 00 00
2015/04/07 14:13:31: PP[01] SEND LCP ConfAck in REQSENT
2015/04/07 14:13:31:  c0 21 02 01 00 13 01 04  05 ae 03 05 c2 23 05 05
2015/04/07 14:13:31:  06 0e 14 75 4a
2015/04/07 14:13:31: PP[01] RECV LCP ConfAck in ACKSENT
2015/04/07 14:13:31:  c0 21 02 01 00 0e 01 04  07 00 05 06 34 3a 72 ca
2015/04/07 14:13:31:  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00
2015/04/07 14:13:31:  00 00 00 00 00 00 00 00
2015/04/07 14:13:31: PP[01] RECV CHAP Challenge in CS_LISTEN/SS_CLOSED
2015/04/07 14:13:31:  c2 23 01 01 00 20 10 f2  03 8c 25 4b f4 7f 4d c0
2015/04/07 14:13:31:  c1 cb 91 81 2c f8 c7 31  39 32 2e 31 36 38 2e 31
2015/04/07 14:13:31:  2e 31 00 00 00 00 00 00
2015/04/07 14:13:31: PP[01] SEND CHAP Response in CS_LISTEN/SS_CLOSED
2015/04/07 14:13:31:  c2 23 02 01 00 19 10 89  de 59 8b f1 9f 88 dc 22
2015/04/07 14:13:31:  d7 5c 67 11 7a 60 11 75  73 65 72
2015/04/07 14:13:31: PP[01] RECV CHAP Success in CS_OPEN/SS_CLOSED
2015/04/07 14:13:31:  c2 23 03 01 00 1d 41 75  74 68 65 6e 74 69 63 61
2015/04/07 14:13:31:  74 69 6f 6e 20 73 75 63  63 65 65 64 65 64 2e 00
2015/04/07 14:13:31:  00 00 00 00 00 00 00 00
2015/04/07 14:13:31: PP[01] SEND CCP ConfReq in STARTING
2015/04/07 14:13:31:  80 fd 01 01 00 09 11 05  00 01 03
2015/04/07 14:13:31: PP[01] SEND IPCP ConfReq in STARTING
2015/04/07 14:13:31:  80 21 01 01 00 10 81 06  00 00 00 00 83 06 00 00
2015/04/07 14:13:31:  00 00
2015/04/07 14:13:31: PP[01] SEND IPV6CP ConfReq in STARTING
2015/04/07 14:13:31:  80 57 01 01 00 0e 01 0a  02 a0 de ff fe ae 67 89
2015/04/07 14:13:31: PP[01] RECV IPCP ConfReq in REQSENT
2015/04/07 14:13:31:  80 21 01 01 00 04 00 00  00 00 00 00 00 00 00 00
2015/04/07 14:13:31:  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00
2015/04/07 14:13:31:  00 00 00 00 00 00 00 00
2015/04/07 14:13:31: PP[01] SEND IPCP ConfAck in REQSENT
2015/04/07 14:13:31:  80 21 02 01 00 04
2015/04/07 14:13:31: PP[01] RECV IPV6CP ConfReq in REQSENT
2015/04/07 14:13:31:  80 57 01 01 00 0e 01 0a  02 a0 de ff fe 37 b5 0a
2015/04/07 14:13:31:  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00
2015/04/07 14:13:31:  00 00 00 00 00 00 00 00
2015/04/07 14:13:31: PP[01] SEND IPV6CP ConfAck in REQSENT
2015/04/07 14:13:31:  80 57 02 01 00 0e 01 0a  02 a0 de ff fe 37 b5 0a
2015/04/07 14:13:31: PP[01] RECV CCP TermAck in REQSENT
2015/04/07 14:13:31:  80 fd 06 01 00 04 00 00  00 00 00 00 00 00 00 00
2015/04/07 14:13:31:  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00
2015/04/07 14:13:31:  00 00 00 00 00 00 00 00
2015/04/07 14:13:31: PP[01] RECV IPCP ConfRej in ACKSENT
2015/04/07 14:13:31:  80 21 04 01 00 0a 83 06  00 00 00 00 00 00 00 00
2015/04/07 14:13:31:  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00
2015/04/07 14:13:31:  00 00 00 00 00 00 00 00
2015/04/07 14:13:31: PP[01] SEND IPCP ConfReq in ACKSENT
2015/04/07 14:13:31:  80 21 01 02 00 0a 81 06  00 00 00 00
2015/04/07 14:13:31: PP[01] RECV IPV6CP ConfAck in ACKSENT
2015/04/07 14:13:31:  80 57 02 01 00 0e 01 0a  02 a0 de ff fe ae 67 89
2015/04/07 14:13:31:  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00
2015/04/07 14:13:31:  00 00 00 00 00 00 00 00
2015/04/07 14:13:31: PP[01] PPP/IPV6CP up
2015/04/07 14:13:31: PP[01] Local  PP Interface-ID 02a0defffeae6789
2015/04/07 14:13:31: PP[01] Remote PP Interface-ID 02a0defffe37b50a
2015/04/07 14:13:31: PP[01] RECV IPCP ConfNak in ACKSENT
2015/04/07 14:13:31:  80 21 03 02 00 0a 81 06  c0 a8 01 01 00 00 00 00
2015/04/07 14:13:31:  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00
2015/04/07 14:13:31:  00 00 00 00 00 00 00 00
2015/04/07 14:13:31: PP[01] SEND IPCP ConfReq in ACKSENT
2015/04/07 14:13:31:  80 21 01 03 00 0a 81 06  c0 a8 01 01
2015/04/07 14:13:31: PP[01] RECV IPCP ConfAck in ACKSENT
2015/04/07 14:13:31:  80 21 02 03 00 0a 81 06  c0 a8 01 01 00 00 00 00
2015/04/07 14:13:31:  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00
2015/04/07 14:13:31:  00 00 00 00 00 00 00 00
2015/04/07 14:13:31: PP[01] PPP/IPCP up  (Local: None, Remote: None)
2015/04/07 14:13:31: PP[01] Local  PP IP address 172.16.112.2
2015/04/07 14:13:31: PP[01] Remote PP IP address 0.0.0.0
"PP[01] PPP/IPCP up"が表示され、プロバイダとの接続が成功していることが分かります。
参考:PPPoEのFAQ

2-5 動的フィルターの動作を確認する。

ルーターの"show log"コマンドを実行し、ログを確認します。
※ログ採取の前にルーターに"syslog notice on"を設定しておきます。

[正常時]
2015/04/07 14:24:49: [INSPECT] PP[01][in][201] TCP 10.0.0.1:50679 > 192.168.10.2:80 
(2015/04/07 14:24:44)---(1) 2015/04/07 14:24:49: [INSPECT] LAN3[out][101] TCP 10.0.0.1:50679 > 192.168.10.2:80
(2015/04/07 14:24:44)---(2) 2015/04/07 15:12:39: [INSPECT] PP[01][in][202] TCP 10.0.0.1:53105 > 192.168.10.3:21
(2015/04/07 15:11:05)---(3) 2015/04/07 15:12:39: [INSPECT] LAN3[out][100] TCP 10.0.0.1:53105 > 192.168.10.3:21
(2015/04/07 15:11:05)---(4)
[解説]
(1)WWWサーバー(TCP 80番ポート)へのアクセスが、PP1のIN方向の動的フィルターの201番により通過しました。
(2)WWWサーバー(TCP 80番ポート)へのアクセスが、LAN3のOUT方向の動的フィルターの101番により通過しました。
(3)FTPサーバー(TCP 21番ポート)へのアクセスが、PP1のIN方向の動的フィルターの202番により通過しました。
(4)FTPサーバー(TCP 21番ポート)へのアクセスが、LAN3のOUT方向の動的フィルターの100番により通過しました。

トラブル原因と対処方法

この項目では各トラブル発生時の状態と、原因及びその解決方法を紹介します。
正常時の状態と比較することで、問題解決の助けとなります。

3-1 PP1フィルターの設定間違いによるWWWサーバーへの接続失敗

このケースは、フィルターの設定間違いによるWWWサーバー公開失敗事例です。
以下では、ルーターの状態を確認し原因の究明を行います。

ログの確認
※ログ採取の前にルーターに"syslog notice on"を設定しておきます。

以下ログが表示されました。

2015/04/08 14:02:53: PP[01] Rejected at IN(2000) filter: TCP 10.0.0.1:62807> 192.168.10.2:80
[解説]
WWWサーバー(TCP 80番ポート)へのアクセスが、PP1のIN方向の静的フィルターの2000番で破棄されています。
例えば、このような原因としては以下が考えられます。

・PP1のIN方向にTCP 80番ポート宛のパケットを通す静的フィルターの1031番が設定されていない。
・PP1のIN方向にTCP 80番ポート宛のパケットを通す動的フィルターの201番が設定されていない。 ※ 設定例では、PP1のIN方向に静的フィルターの1031番と動的フィルターの201番で
WWWサーバーへのアクセスを通していますので、これらが設定されていないとインターネットからWWWサーバーへのアクセスができません。
参考:正常時状態
対処方法
以下のように、フィルターを正しく設定してください。
pp select 1
ip pp secure filter in 1020 1030 1031 1032 2000 dynamic 201 202

3-2 LAN3フィルターの設定間違いによるWWWサーバーへの接続失敗

このケースは、フィルターの設定間違いによるWWWサーバー公開失敗事例です。
以下では、ルーターの状態を確認し原因の究明を行います。

ログの確認
※ログ採取の前にルーターに"syslog notice on"を設定しておきます。

以下ログが表示されました。

2015/04/07 15:32:43: [INSPECT] PP[01][in][201] TCP 10.0.0.1:62627 > 192.168.10.2:80 (2015/04/07 15:31:52)
2015/04/07 15:32:43: LAN3 Rejected at IN(2000) filter: TCP 192.168.10.2:80 > 10.0.0.1:62654
[解説]
WWWサーバー(TCP 80番ポート)からの応答パケットが、LAN3のIN方向のフィルターの2000番で破棄されています。
例えば、このような原因としては以下が考えられます。

・LAN3のOUT方向にTCP 80番ポート宛のパケットを通す動的フィルターの101番が設定されていない。 ※ 設定例では、LAN3のIN方向に静的フィルターの2000番で全てのパケットを破棄しています。
同時にLAN3のOUT方向に静的フィルターの3000番と動的フィルターの101番でWWWサーバーへのアクセスを通していますので、これらが設定されていないとWWWサーバーからの応答パケットが通過できません。
参考:正常時状態
対処方法
以下のように、フィルターを正しく設定してください。
ip lan3 secure filter out 3000 dynamic 100 101 200

3-3 PP1フィルターの設定間違いによるFTPサーバーへの接続失敗

このケースは、フィルターの設定間違いによるFTPサーバー公開失敗事例です。
以下では、ルーターの状態を確認し原因の究明を行います。

ログの確認
※ログ採取の前にルーターに"syslog notice on"を設定しておきます。

以下ログが表示されました。

2015/04/07 15:38:08: PP[01] Rejected at IN(2000) filter: TCP 10.0.0.1:63376 > 192.168.10.3:21
[解説]
FTPサーバーへのアクセス(TCP 21番ポート)が、PP1のIN方向のフィルターの2000番で破棄されています。
例えば、このような原因としては以下が考えられます。

・PP1のIN方向にTCP 21番ポート宛のパケットを通す静的フィルターの1032番が設定されていない。
・PP1のIN方向にTCP 21番ポート宛のパケットを通す動的フィルターの202番が設定されていない。 ※ 設定例では、PP1のIN方向に静的フィルターの1032番と動的フィルターの202番でFTPサーバーへのアクセスを通していますので、これらが設定されていないとインターネットからFTPサーバーへのアクセスができません。
参考: 正常時状態
対処方法
以下のように、フィルターを正しく設定してください。
pp select 1
ip pp secure filter in 1020 1030 1031 1032 2000 dynamic 201 202

3-4 LAN3フィルターの設定間違いによるFTPサーバーへの接続失敗

このケースは、フィルターの設定間違いによるFTPサーバー公開失敗事例です。
以下では、ルーターの状態を確認し原因の究明を行います。

ログの確認
※ログ採取の前にルーターに"syslog notice on"を設定しておきます。
以下ログが表示されました。
2015/04/07 16:08:23: LAN3 Rejected at IN(2000) filter: TCP 192.168.10.3:21 > 10.0.0.1:64395
2015/04/07 16:08:27: [INSPECT] PP[01][in][202] TCP 10.0.0.1:64346 > 192.168.10.3:21 (2015/04/07 16:06:08)
[解説]
FTPサーバー(TCP 21番ポート)からの応答パケットが、LAN3のIN方向のフィルターの2000番で破棄されています。
例えば、このような原因としては以下が考えられます。

・LAN3のOUT方向にTCP 21番ポート宛のパケットを通す動的フィルターの100番が設定されていない。 ※ 設定例では、LAN3のIN方向に静的フィルターの2000番で全てのパケットを破棄しています。
同時にLAN3のOUT方向に静的フィルターの3000番と動的フィルターの100番でFTPサーバーへのアクセスを通していますので、これらが設定されていないとFTPサーバーからの応答パケットが通過できません。
参考:正常時状態
対処方法
以下のように、フィルターを正しく設定してください。
ip lan3 secure filter out 3000 dynamic 100 101 200

3-5 NATディスクリプタの設定間違いによるWWWサーバーへの接続失敗

このケースは、NATディスクリプタの設定間違いによるWWWサーバー公開失敗事例です。
以下では、ルーターの状態を確認し原因の究明を行います。

NATディスクリプタのアドレスマップ確認
# show nat descriptor address
NAT/IPマスカレード 動作タイプ : 2
参照NATディスクリプタ : 1, 適用インタフェース : PP[01](1)
Masqueradeテーブル
    外側アドレス: 172.16.112.2
    ポート範囲: 60000-64095, 49152-59999, 44096-49151
プロトコル      内側アドレス                  宛先   マスカレード    種別
   TCP       192.168.10.3.21             *.*.*.*.*           21       static---(1)
---------------------
有効なNATディスクリプタテーブルが1個ありました
[解説]
(1)WWWサーバーを公開するための静的IPマスカレードが設定されていません。
参考:正常時状態
対処方法
以下のように、静的IPマスカレードが設定されているか確認してください。
nat descriptor masquerade static 1 1 192.168.10.2 tcp www

3-6 NATディスクリプタの設定間違いによるFTPサーバーへの接続失敗

このケースは、NATディスクリプタの設定間違いによるFTPサーバー公開失敗事例です。
以下では、ルーターの状態を確認し原因の究明を行います。

NATディスクリプタのアドレスマップ確認
# show nat descriptor address
NAT/IPマスカレード 動作タイプ : 2
参照NATディスクリプタ : 1, 適用インタフェース : PP[01](1)
Masqueradeテーブル
    外側アドレス: 172.16.112.2
    ポート範囲: 60000-64095, 49152-59999, 44096-49151
プロトコル      内側アドレス                  宛先   マスカレード    種別
   TCP       192.168.10.2.80             *.*.*.*.*           80       static---(1)
---------------------
有効なNATディスクリプタテーブルが1個ありました
[解説]
(1)FTPサーバーを公開するための静的IPマスカレードが設定されていません。
参考:正常時状態
対処方法
以下のように、静的IPマスカレードが設定されているか確認してください。
nat descriptor masquerade static 1 2 192.168.10.3 tcp 21

それでも問題が解決しない場合は、サポート窓口までご相談ください。