この場合、ルータでポートフォワーディングを許可しなければいけない通信は、一般家庭でよくあるケースだとUDP/500とUDP/4500です。(参考)
これらのうちUDP/500はArcher C80にちょっとわかりにくい設定が必要でした。 なおプロトコル番号50のESPや、UDP/1701もルータに設定するものとしてる情報がありますが、これは通常の環境(一般家庭でNAT環境下で使うような)ではルータ等途中の機器に設定する必要はないようです。
ESPについては、IPSecのNATトラバーサルをする場合は直接使わずUDPでカプセル化してUDP/4500で通信しますし、
UDP/1701はL2TPに使うそうですが、これもIPSecでカプセル化された状態でルータ等途中の機器を通るのでルータ等に設定しておく必要はないとのこと。 (by Wikipedia 笑) ちなみに現環境は以下の通り。
ファームウェア バージョン:
1.5.10 Build 210316 Rel.39865n(4A50)
ハードウェア バージョン:
Archer C80 1.0まず普通にポートフォワーディングの設定
UDP/500とUDP/4500を設定します。
IPSecパススルーを止める
セキュリティ の ALG って設定から、IPSecパススルーを止めます。デフォルトオンでした。(これはTP-Linkコミュニティの類似質問を参考にしました。)
なんでIPSecパススルーをオフにする必要があるの?
他のWi-FiルータだとIPSecパススルーをオンにしていても、ポートフォワーディングの設定をすればちゃんとUDP/500への通信をフォワーディングできる機種はありますが、なぜ本機はオフにしなくてはならないのでしょうか?別なWi-Fiルータ Atermの説明書 などをみると、IPSecパススルーは基本的にNATの中のPCから外側にあるVPNサーバに接続するときに使う機能だと思うので、今回のケース(NATの中にVPNサーバを置いて外からアクセスさせたい)ならば本来関係ない気もするのですが…
また別なサイトには…以下のようにあります。
(きちんとした実装であれば)これらの機能{注: VPNソフトのNAT Traversal 機能と, ルータのVPNパススルー機能}が衝突することはありませんので、両方の方式を同時利用しても構いません。ルータ SEIL VPNパススルー機能についての解説 , 波括弧は後付け
この辺よくわかってないので何とも言えません。
コメント