VPN(PPTP)接続ができない

管理番号：YMHRT-3721

このトラブルシューティングの対応機種は、RTX1300、RTX1220、RTX1210、RTX1200、RTX830、RTX810、NVR700W、NVR510、NVR500です。

設定例はこちら

コマンド設定例

インデックス

症状切り分け手順状態確認方法トラブル原因と対処方法

症状：VPN(PPTP)接続ができない

ここでは、ルーターの基本的な設定が終了し、対向側ルーターとVPN(PPTP)接続ができないケースでのトラブルシューティングを提供します。

下記の前提で説明します。
・拠点1から拠点2への接続を対象としています。それ以外の場合はIPアドレスを置き換えてください。
・RTX1210の設定値や出力結果をベースに説明します。

拠点1 ルーターLAN1 IPアドレス	192.168.101.1
拠点1 ルーターWAN(PP[01]) IPアドレス	203.0.113.1 (固定グローバルIPアドレス)
拠点2 ルーターLAN1 IPアドレス	192.168.102.1
拠点2 ルーターWAN(PP[01]) IPアドレス (ネットボランチDNSホスト名)	203.0.113.2 (kyoten2.xxx.netvolante.jp)
拠点3 ルーターLAN1 IPアドレス	192.168.103.1
拠点3 ルーターWAN(PP[01]) IPアドレス (ネットボランチDNSホスト名)	203.0.113.3 (kyoten3.xxx.netvolante.jp)

切り分け手順：通信状況を以下の手順で確認し、問題の切り分け作業を行います。

1-1 から順に確認してください。

1-1

ルーター(拠点1)のLAN1側からインターネット上のping.netvolante.jpへのpingは応答がありますか？
入力コマンド [ ping -sa 192.168.101.1 ping.netvolante.jp ]

応答がない場合は
インターネット接続に失敗していますので、こちらを参考に設定を確認してください。

1-2

ルーター(拠点1)のLAN1側からルーター(拠点2)のネットボランチDNSホスト名へのpingは応答がありますか？
入力コマンド [ ping -sa 192.168.101.1 kyoten2.xxx.netvolante.jp ]

応答がない場合は
ルーター(拠点2)でネットボランチDNSへの登録ができているかを確認してください。
ネットボランチDNSのFAQ

1-3

ルーター(拠点1)のLAN1側からルーター(拠点2)のLAN1側へのpingは応答がありますか？
入力コマンド [ ping -sa 192.168.101.1 192.168.102.1 ]
※VPNの接続には多少時間がかかる場合があります。

応答がない場合は
ルーター(拠点1)の状態を確認するため状態確認方法へ進んでください。

1-1から1-3に当てはまらない場合は、正常に動作しています。

状態確認方法

この項目ではコマンドによる状態確認方法を紹介します。
表示例は正常接続時のものです。
トラブル発生時の状態と比較することで、問題解決の助けとなります。

2-1 プロバイダーとの接続状態を確認する

2-2 NATディスクリプタの状態を確認する

2-3 経路情報を確認する

2-4 デバッグログを確認する

2-1 プロバイダーとの接続状態を確認する

ルーターの"show status pp 1"コマンドを実行し、内容を確認します。

[正常時]

# show status pp 1
PP[01]:
説明:
PPPoEセッションは接続されています
接続相手:
通信時間: 3秒
受信: 286 パケット [21478 オクテット]  負荷: 0.0%
送信: 307 パケット [18525 オクテット]  負荷: 0.0%
PPPオプション
　　LCP Local: Magic-Number MRU, Remote: CHAP Magic-Number MRU
　　IPCP Local:, Remote:
　　PP IP Address Local: 203.0.113.1, Remote: Unnumbered
　　IPV6CP Local: Interface-ID, Remote: Interface-ID
　　PP Interface-ID Local: 02a0defffeae6867, Remote: 02a0defffe37b50a
　　CCP: None

[解説]
接続に成功し"PPPoEセッションは接続されています"と表示されています。

2-2 NATディスクリプタの状態を確認する

ルーターの"show nat descriptor address"コマンドを実行し、内容を確認します。

[正常時]

# show nat descriptor address
NAT/IPマスカレード 動作タイプ : 2
参照NATディスクリプタ : 1, 適用インタフェース : PP[01](1)
Masqueradeテーブル
    外側アドレス: ipcp/203.0.113.1
    ポート範囲: 60000-64095, 49152-59999, 44096-49151   32 セッション
プロトコル      内側アドレス                  宛先   マスカレード    種別
  PPTP       192.168.101.1.*             *.*.*.*.*            *       static---(1)
   TCP    192.168.101.1.1723             *.*.*.*.*         1723       static---(2)
  -*-    -*-    -*-    -*-    -*-    -*-    -*-    -*-    -*-    -*-    -*-
      No.       内側アドレス    セッション数  ホスト毎制限数         種別
       1         203.0.113.1              30           65534         dynamic
       2       192.168.101.1               1           65534         dynamic
---------------------
有効なNATディスクリプタテーブルが1個ありました

[解説]
(1)GREを通すための静的IPマスカレードです。
(2)TCP 1723番ポートを通すための静的IPマスカレードです。

2-3 経路情報を確認する

ルーターの"show ip route"コマンドを実行し、経路情報を確認します。

[正常時]

# show ip route
宛先ネットワーク    ゲートウェイ     インタフェース  種別  付加情報
default             -                    PP[01]    static---(1)
192.168.101.0/24    192.168.101.1          LAN1  implicit
203.0.113.10/32     -                    PP[01] temporary
192.168.102.0/24    -                    PP[02]    static---(2)
192.168.102.1/32    -                    PP[02] temporary
192.168.103.0/24    -                    PP[03]    static---(3)
192.168.103.1/32    -                    PP[03] temporary
192.168.200.100/32  -           PP[ANONYMOUS01] temporary

[解説]
(1)"default"は"ip route default gateway pp 1"コマンドで設定された静的経路です。
インターネットに接続するためには、"default"経路が必要です。
(2)"ip route 192.168.102.0/24 gateway pp 2"コマンドで設定された対向拠点(拠点2)のLAN側への静的経路です。
(3)"ip route 192.168.103.0/24 gateway pp 3"コマンドで設定された対向拠点(拠点3)のLAN側への静的経路です。

2-4 デバッグログを確認する

あらかじめルーターに"syslog debug on"を設定しておきます。
その後、ルーターで"show log"コマンドを実行すると以下のようなログが表示されます。

[VPN接続成功時ログの例]

# show log
2015/04/17 22:04:06: TUNNEL[01] PPTP connection is established: 203.0.113.2
2015/04/17 22:04:06: PP[02] PPTP Connect
2015/04/17 22:04:06: PP[02] SEND LCP ConfReq in STARTING
2015/04/17 22:04:06:　 ff 03 c0 21 01 01 00 13  01 04 07 00 03 05 c2 23
2015/04/17 22:04:06:　 80 05 06 d3 b4 9c 90
2015/04/17 22:04:06: PP[02] RECV LCP ConfReq in REQSENT
2015/04/17 22:04:06:　 ff 03 c0 21 01 01 00 0e  01 04 07 00 05 06 01 bf
2015/04/17 22:04:06:　 0a 5a
2015/04/17 22:04:06: PP[02] SEND LCP ConfAck in REQSENT
2015/04/17 22:04:06:　 ff 03 c0 21 02 01 00 0e  01 04 07 00 05 06 01 bf
2015/04/17 22:04:06:　 0a 5a
2015/04/17 22:04:09: PP[02] SEND LCP ConfReq in ACKSENT
2015/04/17 22:04:09:　 ff 03 c0 21 01 01 00 13  01 04 07 00 03 05 c2 23
2015/04/17 22:04:09:　 80 05 06 d3 b4 9c 90
2015/04/17 22:04:09: PP[02] RECV LCP ConfAck in ACKSENT
2015/04/17 22:04:09:　 ff 03 c0 21 02 01 00 13  01 04 07 00 03 05 c2 23
2015/04/17 22:04:09:　 80 05 06 d3 b4 9c 90
2015/04/17 22:04:09: PP[02] SEND CHAP Challenge in CS_CLOSED/SS_CLOSED
2015/04/17 22:04:09:　 ff 03 c2 23 01 01 00 1a  08 f4 31 fe df 1c 6c db
2015/04/17 22:04:09:　 63 31 39 32 2e 31 36 38  2e 31 30 31 2e 31
2015/04/17 22:04:09: PP[02] RECV CHAP Response in CS_CLOSED/SS_INIT-CHAL
2015/04/17 22:04:09:　 ff 03 c2 23 02 01 00 3d  31 00 00 00 00 00 00 00
2015/04/17 22:04:09:　 00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00
2015/04/17 22:04:09:　 00 df 5b d5 38 8a c8 0d  bc eb 03 f7 39 7c 55 fa
2015/04/17 22:04:09:　 c6 7f 47 5e 4e d9 01 74  df 01 6b 79 6f 74 65 6e
2015/04/17 22:04:09:　 32
2015/04/17 22:04:09: PP[02] SEND CHAP Success in CS_CLOSED/SS_INIT-CHAL
2015/04/17 22:04:09:　 ff 03 c2 23 03 01 00 1d  41 75 74 68 65 6e 74 69
2015/04/17 22:04:09:　 63 61 74 69 6f 6e 20 73  75 63 63 65 65 64 65 64
2015/04/17 22:04:09:　 2e

2015/04/17 22:04:09: PP[02] SEND CCP ConfReq in STARTING
2015/04/17 22:04:09:　 ff 03 80 fd 01 01 00 0a  12 06 01 00 00 60
2015/04/17 22:04:09: PP[02] SEND IPCP ConfReq in STARTING
2015/04/17 22:04:09:　 ff 03 80 21 01 01 00 0a  03 06 00 00 00 00
2015/04/17 22:04:09: PP[02] SEND IPV6CP ConfReq in STARTING
2015/04/17 22:04:09:　 ff 03 80 57 01 01 00 0e  01 0a 02 a0 de ff fe ae
2015/04/17 22:04:09:　 68 67
2015/04/17 22:04:09: PP[02] RECV CCP ConfReq in REQSENT
2015/04/17 22:04:09:　 ff 03 80 fd 01 01 00 0a  12 06 01 00 00 60
2015/04/17 22:04:09: PP[02] SEND CCP ConfNak in REQSENT
2015/04/17 22:04:09:　 ff 03 80 fd 03 01 00 0a  12 06 01 00 00 40
2015/04/17 22:04:09: PP[02] RECV IPCP ConfReq in REQSENT
2015/04/17 22:04:09:　 ff 03 80 21 01 01 00 0a  03 06 00 00 00 00
2015/04/17 22:04:09: PP[02] SEND IPCP ConfRej in REQSENT
2015/04/17 22:04:09:　 ff 03 80 21 04 01 00 0a  03 06 00 00 00 00
2015/04/17 22:04:09: PP[02] RECV IPV6CP ConfReq in REQSENT
2015/04/17 22:04:09:　 ff 03 80 57 01 01 00 0e  01 0a 02 a0 de ff fe 7e
2015/04/17 22:04:09:　 1d 4a
2015/04/17 22:04:09: PP[02] SEND IPV6CP ConfAck in REQSENT
2015/04/17 22:04:09:　 ff 03 80 57 02 01 00 0e  01 0a 02 a0 de ff fe 7e
2015/04/17 22:04:09:　 1d 4a
2015/04/17 22:04:09: PP[02] RECV CCP ConfNak in REQSENT
2015/04/17 22:04:09:　 ff 03 80 fd 03 01 00 0a  12 06 01 00 00 40
2015/04/17 22:04:09: PP[02] SEND CCP ConfReq in REQSENT
2015/04/17 22:04:09:　 ff 03 80 fd 01 02 00 0a  12 06 01 00 00 40
2015/04/17 22:04:09: PP[02] RECV IPCP ConfRej in REQSENT
2015/04/17 22:04:09:　 ff 03 80 21 04 01 00 0a  03 06 00 00 00 00
2015/04/17 22:04:09: PP[02] SEND IPCP ConfReq in REQSENT
2015/04/17 22:04:09:　 ff 03 80 21 01 02 00 0a  03 06 c0 a8 65 01
2015/04/17 22:04:09: PP[02] RECV IPV6CP ConfAck in ACKSENT
2015/04/17 22:04:09:　 ff 03 80 57 02 01 00 0e  01 0a 02 a0 de ff fe ae
2015/04/17 22:04:09:　 68 67
2015/04/17 22:04:09: PP[02] PPP/IPV6CP up
2015/04/17 22:04:09: PP[02] Local  PP Interface-ID 02a0defffeae6867
2015/04/17 22:04:09: PP[02] Remote PP Interface-ID 02a0defffe7e1d4a
2015/04/17 22:04:09: PP[02] RECV CCP ConfReq in REQSENT
2015/04/17 22:04:09:　 ff 03 80 fd 01 02 00 0a  12 06 01 00 00 40
2015/04/17 22:04:09: PP[02] SEND CCP ConfAck in REQSENT
2015/04/17 22:04:09:　 ff 03 80 fd 02 02 00 0a  12 06 01 00 00 40
2015/04/17 22:04:09: PP[02] RECV IPCP ConfReq in REQSENT
2015/04/17 22:04:09:　 ff 03 80 21 01 02 00 0a  03 06 c0 a8 66 01
2015/04/17 22:04:09: PP[02] SEND IPCP ConfAck in REQSENT
2015/04/17 22:04:09:　 ff 03 80 21 02 02 00 0a  03 06 c0 a8 66 01
2015/04/17 22:04:09: PP[02] RECV CCP ConfAck in ACKSENT
2015/04/17 22:04:09:　 ff 03 80 fd 02 02 00 0a  12 06 01 00 00 40
2015/04/17 22:04:09: PP[02] RECV IPCP ConfAck in ACKSENT
2015/04/17 22:04:09:　 ff 03 80 21 02 02 00 0a  03 06 c0 a8 65 01
2015/04/17 22:04:09: PP[02] PPP/IPCP up  (Local: 192.168.101.1, Remote: 192.168.102.1)
2015/04/17 22:04:09: PP[02] Local  PP IP address 192.168.101.1
2015/04/17 22:04:09: PP[02] Remote PP IP address 192.168.102.1

[解説]
"PP[02] PPP/IPCP up"が表示され、VPN接続が成功していることが分かります。

トラブル原因と対処方法

この項目では各トラブル発生時の状態と、原因およびその解決方法を紹介します。
正常時の状態と比較することで、問題解決の助けとなります。

3-1 PP1フィルターの設定間違いによるVPN接続失敗

3-2 NATディスクリプタの設定間違いによるVPN接続失敗

3-3 VPN接続は成功しているが、通信ができない

3-1 PP1フィルターの設定間違いによるVPN接続失敗

このケースは、静的フィルターの設定間違いによるVPN接続失敗事例です。
以下では、ルーターの状態を確認し原因の究明を行います。

ログの確認
※ログ採取の前にルーターに"syslog debug on"、"syslog notice on"を設定しておきます。

ケース1
VPN接続に失敗したときに以下ログが表示されました。

2015/04/17 22:11:11: PP[01] Rejected at IN(2000) filter: TCP 203.0.113.2:60017 > 192.168.101.1:1723
2015/04/17 22:11:17: same message repeated 1 times

[解説]
ログからTCP 1723番ポート宛てのパケットがPP1 IN方向の静的フィルター(2000番)で破棄されていることが分かります。
たとえば、このような原因としては以下が考えられます。

・PP1のIN方向にTCP 1723番ポート宛てのパケットを通す静的フィルター(1040番)が設定されていない。

※ 設定例では、PP1のIN方向にPPTP接続に必要なTCPの1723番ポートとGREを通しています。この設定がないとVPN接続ができません。

対処方法
以下のように、静的フィルターを正しく設定してください。

pp select 1
ip pp secure filter in 1020 1030 1040 1041 2000

ケース2
"show status pp 2"コマンドで確認すると「PPTPセッションは接続されています」と表示されますが、通信できません。

show status pp 2
PP[02]:
PPTPセッションは接続されています
接続相手: NVR500
通信時間: 27秒
受信: 0 パケット [0 オクテット]
送信: 10 パケット [230 オクテット]

　
・ログは以下のとおり

# show log
2015/04/17 22:16:52: TUNNEL[01] PPTP connection is established: 203.0.113.2
2015/04/17 22:16:52: PP[02] PPTP Connect
2015/04/17 22:16:52: PP[02] SEND LCP ConfReq in STARTING
2015/04/17 22:16:52:   ff 03 c0 21 01 01 00 13  01 04 07 00 03 05 c2 23
2015/04/17 22:16:52:   80 05 06 ec d7 c6 77
2015/04/17 22:16:52: PP[01] Rejected at IN(2000) filter: proto=47 203.0.113.2 >192.168.101.1
2015/04/17 22:16:52: [INSPECT] PP[01][out][102] UDP 203.0.113.1:10156 > 203.0.113.21:53 (2015/04/17 22:16:42)
2015/04/17 22:16:54: [INSPECT] PP[01][out][102] UDP 203.0.113.1:10224 > 203.0.113.21:53 (2015/04/17 22:16:48)
2015/04/17 22:16:55: PP[02] SEND LCP ConfReq in REQSENT
2015/04/17 22:16:55:   ff 03 c0 21 01 01 00 13  01 04 07 00 03 05 c2 23
2015/04/17 22:16:55:   80 05 06 ec d7 c6 77
2015/04/17 22:16:55: PP[01] Rejected at IN(2000) filter: proto=47 203.0.113.2 >192.168.101.1
2015/04/17 22:16:57: same message repeated 2 times
2015/04/17 22:16:57: [INSPECT] PP[01][out][102] UDP 203.0.113.1:10995 > 203.0.113.21:53 (2015/04/17 22:16:52)
2015/04/17 22:16:58: PP[02] SEND LCP ConfReq in REQSENT
2015/04/17 22:16:58:   ff 03 c0 21 01 01 00 13  01 04 07 00 03 05 c2 23
2015/04/17 22:16:58:   80 05 06 ec d7 c6 77
2015/04/17 22:16:58: PP[01] Rejected at IN(2000) filter: proto=47 203.0.113.2 >192.168.101.1
2015/04/17 22:17:01: same message repeated 2 times
2015/04/17 22:17:01: PP[02] SEND LCP ConfReq in REQSENT
2015/04/17 22:17:01:   ff 03 c0 21 01 01 00 13  01 04 07 00 03 05 c2 23
2015/04/17 22:17:01:   80 05 06 ec d7 c6 77
2015/04/17 22:17:01: PP[01] Rejected at IN(2000) filter: proto=47 203.0.113.2 >192.168.101.1
2015/04/17 22:17:02: same message repeated 2 times
2015/04/17 22:17:02: [INSPECT] PP[01][out][102] UDP 203.0.113.1:10156 > 203.0.113.21:53 (2015/04/17 22:16:56)
2015/04/17 22:17:04: PP[02] SEND LCP ConfReq in REQSENT
2015/04/17 22:17:04:   ff 03 c0 21 01 01 00 13  01 04 07 00 03 05 c2 23
2015/04/17 22:17:04:   80 05 06 ec d7 c6 77
2015/04/17 22:17:04: PP[01] Rejected at IN(2000) filter: proto=47 203.0.113.2 >192.168.101.1
2015/04/17 22:17:07: PP[02] SEND LCP ConfReq in REQSENT
2015/04/17 22:17:07:   ff 03 c0 21 01 01 00 13  01 04 07 00 03 05 c2 23
2015/04/17 22:17:07:   80 05 06 ec d7 c6 77
2015/04/17 22:17:07: PP[01] Rejected at IN(2000) filter: proto=47 203.0.113.2 >192.168.101.1
2015/04/17 22:17:10: PP[02] SEND LCP ConfReq in REQSENT
2015/04/17 22:17:10:   ff 03 c0 21 01 01 00 13  01 04 07 00 03 05 c2 23
2015/04/17 22:17:10:   80 05 06 ec d7 c6 77
2015/04/17 22:17:10: PP[01] Rejected at IN(2000) filter: proto=47 203.0.113.2 >192.168.101.1
2015/04/17 22:17:13: PP[02] SEND LCP ConfReq in REQSENT
2015/04/17 22:17:13:   ff 03 c0 21 01 01 00 13  01 04 07 00 03 05 c2 23
2015/04/17 22:17:13:   80 05 06 ec d7 c6 77
2015/04/17 22:17:13: PP[01] Rejected at IN(2000) filter: proto=47 203.0.113.2 >192.168.101.1
2015/04/17 22:17:16: PP[02] SEND LCP ConfReq in REQSENT
2015/04/17 22:17:16:   ff 03 c0 21 01 01 00 13  01 04 07 00 03 05 c2 23
2015/04/17 22:17:16:   80 05 06 ec d7 c6 77
2015/04/17 22:17:16: PP[01] Rejected at IN(2000) filter: proto=47 203.0.113.2 >192.168.101.1

[解説]
ログからプロトコルの47番(GRE)がPP1 IN方向の静的フィルター(2000番)で破棄されていることが分かります。
たとえば、このような原因としては以下が考えられます。
　
・PP1のIN方向にプロトコルの47番(GRE)パケットを通す静的フィルター(1041番)が設定されていない。
　
※ 設定例では、PP1のIN方向にPPTP接続に必要なTCPの1723番ポートとGREを通しています。この設定がないとVPN接続ができません。
参考：正常時状態

対処方法
以下のように、静的フィルターを正しく設定してください。

pp select 1
ip pp secure filter in 1020 1030 1040 1041 2000

3-2 NATディスクリプタの設定間違いによるVPN接続失敗

このケースは、NATディスクリプタの設定間違いによるVPN接続失敗事例です。
以下では、ルーターの状態を確認し原因の究明を行います。

NATディスクリプタのアドレスマップ確認

# show nat descriptor address
NAT/IPマスカレード 動作タイプ : 2
参照NATディスクリプタ : 1, 適用インタフェース : PP[01](1)
Masqueradeテーブル
　　外側アドレス: ipcp/203.0.113.1
　　ポート範囲: 60000-64095, 49152-59999, 44096-49151
---------------------
有効なNATディスクリプタテーブルが1個ありました

[解説]
VPN接続するための静的IPマスカレードが設定されていません。
参考：正常時状態

対処方法
以下のように、静的IPマスカレードが設定されているか確認してください。

nat descriptor masquerade static 1 1 192.168.0.1 tcp 1723
nat descriptor masquerade static 1 2 192.168.0.1 gre

3-3 VPN接続は成功しているが、通信ができない。

このケースは、経路情報の設定間違いによるVPN接続失敗事例です。
以下では、ルーターの状態を確認し原因の究明を行います。

経路情報の確認

# show ip route
宛先ネットワーク    ゲートウェイ     インタフェース  種別  付加情報
default             -                    PP[01]    static
192.168.101.0/24    192.168.101.1          LAN1  implicit
203.0.113.10/32     -                    PP[01] temporary
192.168.102.1/32    -                    PP[02] temporary
192.168.103.0/24    -                    PP[03]    static
192.168.103.1/32    -                    PP[03] temporary
192.168.200.100/32  -           PP[ANONYMOUS01] temporary

[解説]
ログには"PP[02] PPP/IPCP up"が表示され、VPN接続が成功していることを確認することができますが、VPN経由の通信ができません。
"show ip route"コマンドで経路情報を確認すると、以上のようにPP[02]宛ての192.168.102.0/24への経路が設定されていません。
参考：正常時状態

対処方法
以下のように、経路を正しく設定してください。

ip route 192.168.102.0/24 gateway pp 2

それでも問題が解決しない場合は、サポート窓口までご相談ください。