RV016、RV042、RV042GおよびRV082 VPNルータのバーチャルプライベートネットワーク(VPN)上のアクセスリストのトラブルシューティング

ダウンロードオプション

PDF (1.4 MB)
Adobe Reader を使ってさまざまなデバイスで表示
ePub (1.3 MB)
iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
Mobi (Kindle) (516.1 KB)
Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示

Updated: 2018 年 12 月 11 日

Document ID:SMB3064

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポートコンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版（リンクからアクセス可能）もあわせて参照することを推奨します。

RV016、RV042、RV042GおよびRV082 VPNルータのバーチャルプライベートネットワーク(VPN)上のアクセスリストのトラブルシューティング

目的

アクセスコントロールリスト(ACL)は、許可条件と拒否条件の集合です。ACLは、特定のリソースへのアクセスを許可するユーザプロセスまたはシステムプロセスを指定します。ACLは、ネットワークリソースに到達しようとする正当でない試みをブロックできます。この状況では、両方のルータにACLが設定されていても、一方のルータがACLによって許可されたトラフィックの許可リストと拒否リストを区別できない場合に問題が発生する可能性があります。設定のテストには、アクティブなパケットフィルタ/ファイアウォールのタイプをチェックするために使用されるオープンソースツールであるzenmapが使用されます。

この記事では、2台のVPNルータ間のゲートウェイ間VPNで動作しない許可ACLをトラブルシューティングする方法について説明します。

該当するデバイス

・ RV016
・ RV042
・ RV042G
・ RV082

[Software Version]

・ v4.2.2.08

VPN上のACLの設定

ステップ1:Web構成ユーティリティにログインし、[Firewall] > [Access Rules]を選択します。「アクセス規則」ページが開きます。

注：デフォルトのアクセスルールは編集できません。上の図に示すユーザ設定のアクセスルールは、次のプロセスで編集できます。

ステップ2:[Add]ボタンをクリックして、新しいアクセスルールを追加します。「アクセス・ルール」ページが変わり、サービスとスケジュール領域が表示されます。1つのアクセスルールの追加については、次の手順で説明します。

ステップ3:[Action]ドロップダウンリストから[Deny]を選択し、サービスを拒否します。

ステップ4:[サービス]ドロップダウンリストから、ルールに適用する必要なサービスを選択します。

ステップ5:（オプション）サービスのドロップダウンリストに存在しないサービスを追加するには、[サービス管理]をクリックします。サービス管理では、必要に応じてサービスを作成できます。サービスが作成されたら、[OK]をクリックして設定を保存します。

ステップ6:[Log packets that match this rule]を[Log]ドロップダウンリストから選択して、一致するログだけを記録するか、[Not Log]を選択してアクセスルールに一致しないログを記録します。

ステップ7:[Source Interface]ドロップダウンリストから、アクセスルールのソースであるインターフェイスタイプを選択します。使用可能なオプションは次のとおりです。

・ LAN：送信元インターフェイスがローカルエリアネットワークの場合はLANを選択します。

・ WAN：送信元インターフェイスがISPの場合はWANを選択します。

・ DMZ：送信元インターフェイスが非武装地帯の場合はDMZを選択します。

・ ANY — ANYを選択して、上記のいずれかのインターフェイスとして送信元インターフェイスを作成します。

ステップ8:[Source IP]ドロップダウンリストから、アクセスルールに適用する送信元アドレスを選択します。使用可能なオプションは次のとおりです。

・ Single：単一のIPアドレスの場合は[Single]を選択し、IPアドレスを入力します。

・ Range:IPアドレスの範囲である場合は[Range]を選択し、範囲内の最初と最後のIPアドレスを入力します。

・ ANY:[ANY]を選択して、すべての送信元IPアドレスにルールを適用します。

ステップ9:[Destination IP]ドロップダウンリストから、アクセスルールに適用する宛先アドレスを選択します。使用可能なオプションは次のとおりです。

・ Single：単一のIPアドレスの場合は[Single]を選択し、IPアドレスを入力します。

・ Range:IPアドレスの範囲である場合は[Range]を選択し、範囲内の最初と最後のIPアドレスを入力します。

・ ANY:[ANY]を選択して、すべての宛先IPアドレスにルールを適用します。

ステップ10:[Time]ドロップダウンリストから、ルールがアクティブなタイミングを定義する方法を選択します。その内容は次のとおりです。

・ Always:[Time]ドロップダウンリストから[Always]を選択すると、アクセスルールは常にトラフィックに適用されます。

・ Interval:[Time]ドロップダウンリストから[Interval]を選択すると、アクセスルールがアクティブな特定の時間間隔を選択できます。間隔を指定した後、[有効な時間]フィールドでアクセスルールをアクティブにする日数のチェックボックスをオンにします。

ステップ11:[Save]をクリックして、設定を保存します。

ステップ12：ステップ2 ～ 10を繰り返し、それぞれのフィールドを図に示すフィールドと一致させます。ここでは、お客様に応じたアクセスルールが適用されます。最初の7は一部のサービスを許可し、8番目は他のすべてのトラフィックを拒否します。この設定は、2番目のルータでも行われます。IPSecポート500が許可されます。

注：両方のルータに対して、アクセスルールが必要に応じて設定されていることを確認します。

VPNルータ# 1

VPNルータ# 2

ステップ13:http://nmap.org/download.htmlからZenmap(NMAP)をインストールし、192.168.2.0 LANのPCで起動します。

注：これは、ルータの背後にあるLANで、7つの追加ACLがあります。ターゲットIP(192.168.1.101)は、リモートゲートウェイLAN上のPCです。

ステップ14：プロファイルから[Quick Scan]を選択し、[Scan]をクリックします。これにより、ACLに従ってオープンおよびフィルタリングされたポートを確認できます。上の図に示す結果が表示されます。出力は、RV0xx # 1で設定されている許可されたACLに関係なく、これらのポートが閉じられていることを示しています。リモートゲートウェイのLAN IP(192.168.1.1)へのポートを確認しようとすると、ポート80と443が開いていることを検出します(PC 192.168.1.101に閉されていた)。