スポンサーリンク

ポート開放出来ない(チェック失敗する)

問い合わせの多いネット設定関連

ポートの開放が出来ない、ポートチェックに失敗するまたはポートが突然開放されなくなった(閉じてしまった)と多数ご質問頂きますが、kagemaruによるリモート設定でブロードバンドルータとパソコンの設定を確認してみると、概ね小さな設定間違いによることがポート開放できない原因の大半を占めます。なので、もしポート開放出来なくてお困りの方は次の事を確認してみてくだささい。
備考、ゲーム機は必ず失敗します。PS3 Wii 3DS スマホ PSVITA ポートチェックする方法を参考にパソコンで確認下さい。
備考2、Minecraftの説明をアップしました。
但し次のインターネットとネットワーク環境の方は除きます。以下に該当の方はルータの設定を行っても改善することがないのでよろしくお願い致します。

  • 二重ルータ環境(二重ルータ確認方法
    • 個別にネットワークを整える必要がありますルータ設定BBSにご相談下さい
  • LANアダプター3個以上搭載(ネット不安定の確認
    • WindowsXP/VISTA/7はLANは二個以内のルールがあります
  • 無線と有線両方繋いでいる
    • 両方繋いではいけません。必ずインターネットへの経路は一つにして下さい。もしくはメットリックを小さくして下さい。
  • ESETやZERO等アンチウイルスを使っている(ファイヤーウォール設定にやや問題がある)
    • 初心者に優しいウイルスバスターかノートンに変えてください
  • 相性の悪いパソコンウイルス対策製品をセットしてしまった。こちらの方(No40の内容)にAvastを適用して不具合が生じた事例があるのでご参考までに。
    • 改善策、復元を試すかWindows初期化頂く必要があります。

ネットワーク問題点の確認

上記で取り上げたインターネット環境をクリアしている方は次の事を確認して下さい。
とにかくまずはパソコン側のIPアドレスです。こちらの方がルータへの設定時に間違えたアドレス(位置)への指定だとポートは当然転送されてくることはありません。

次にブロードバンドルータのポート開放設定を確認します。

上記でパソコンのアドレスを確認いただいたと思いますが(固定しているからと言って確認作業を怠ってはいけません、必ずコマンドプロンプトからipconfigで確認下さい)、今度はブロードバンドルータの設定で確認したIPアドレスと一致しているかを確認します。メーカー別のルータ設定サンプル図を御覧ください。(ファームウェアによっては確認画面相違あります)

基本的に確認ただくのは、例えばIPアドレスが192.168.1.10だった場合四番目の値10だけ一致しているかを見て頂ければ良いのですが、もしも万が一異なるルータが存在する場合三番目の値が一致しないことがあります。なので192.168.1.10であれば、1.10の値が一致していれば、ポート開放の宛先アドレスは間違いないことになります。
もしもルータ側の設定と、パソコン側のIPアドレス相違ある場合は、ルータ側の設定にあるIPアドレスへと固定してしまうことで問題を解決することが出来ます。

無線LANと有線LAN両方繋いでないですか?

近年のブロードバンドルータには無線/有線両方対応するハイブリッドモデルが多数ありますが、無線と有線LANアダプタを両方つなぐとチェック時失敗します。理由は通り道が2つあるとWindows側で正しく外部からの通信に応答出来なくなるためです。
確認方法は、コマンドプロンプトからipconfigと入力してEnterキーを押します。図の様に同じゲートウェイが存在する場合どちらかを無効化にするか、通信を切って下さい。例えばLANケーブルを抜くなどで対応すれば通信トラブルを改善出来ます。

備考、hamachiも例外ではありません。hamachiをセットアップしている場合正しく通信できない場合もあります。

アプリケーションが正しく動作しているかを確認する

ポートチェック時の失敗の原因の殆は、通信を待ち受けているアプリケーションの設定が完了していないことが多くの原因を占めます。なので、ポート開放失敗またはポート開放できない場合はまずルータ側から指定のポートがパケットが転送されてくるかをチェックしてみると良いと思います。
一番簡単な方法はTCPプロトコルならANHTTPDと言うWEBサーバツールを使う方法が一番簡単です。
例えばご質問の多いShareのポート開放が出来ない場合は、Shareのポート番号を確認下さい(Shareポート番号
仮にShareのポート番号が、31592(自分のパソコン上で確認)だったとした場合は、shareを終了しANHTTPDの動作ポートを80番から31592に変更しポートをチェックさせてみてください。
もしポートチェックした際にポート開放できていれば、アプリケーションが動作していないことが原因となります。
ANHTTPDの説明はこちらWEBサーバ 80番のポート開放を参照下さい。ANHTTPDを使ったポート設定図説明
また、UDP側のポートチェックに付いても(ANHTTPDを応用することは出来ません。)ポートチェック時は必ずUDPポートを使うアプリケーションを終了しておく必要がありますので念のため。
備考:Winsock error0:サーバソケットを使用できません。他のHTTPサーバ゙が動いてないか確認してください。あるいはホポート番号を変えて下さい。とエラーとなる場合考えられる理由
このエラーとなる場合は、WireSharkを使ってもらったほうがいいのですが(Wireshark(ワイヤーシャーク)ポート転送確認)、その前にユーザーが意図せずにこのエラーはパソコンウイルスに感染している可能性も考えられます。

  1. パソコンウイルスに感染している
  2. アプリケーションを正しく終了出来ていない
  3. パソコンそのものの不具合

スカイプを使っている

世界中の誰とでも無料で通話出来る便利なTELアプリケーションなのですが、相手からの着信を待ち受けに80/443番ポート又は1024以降のポートを専有してしまいます。基本的な設定があっているのにスカイプが有るために正常な設定から混乱されて意味不明なポート転送設定をされて袋小路に陥るユーザー様が多くありますので、とりあえずまずスカイプ使っているなら自動起動しないように設定変更してパソコンを再起動し、スカイプが動作していないことを確認の上再度ポート開放を確認してみてください。
スカイプ専有ポート公式説明
サーバ関連でお困りの場合はUse port 80 and 443 as alternatives for incoming
connectionsのチェックを外してください。但し80/443以外のポートを使って大容量ファイルの転送を行うとISP規制を受ける可能性があるのでご注意ください。

TCP UDP プロトコル設定が間違っている

サーバアプリケーションにはTCPポートを使うことが多いのですが、レクリエーション系インターネットコンテンツにはUDPポートを使っている事が多くあります。
なので例えば、ルータへのポート開放設定時に、プロトコルを間違えてTCPとしている場合があります。この場合ポート開放は失敗となってしまいますのでご注意下さい。
UDPとTCPプロトコル指定間違え。例えばPspNetPartyサーバ(UDPポートを使う)を立ち上げようとしてTCPプロトコルで設定してしまった等の問題点もあります。

もしくはTCPプロトコルを使う通信アプリケーションだと思っていたが、実際にダウンロードしたアプリケーションはUDPプロトコルを使うアプリケーションであったと言うこともしばしあります。
例えばShareと言うアプリケーションはTCP/UDP版二種類あります。間違えてUDP版をダウンロードして接続試行する場合は、UDPポートを開放する必要があります。EX2はTCP版で、NT5はUDP版となります。確認する方法は図を参照下さい。

NICが二つありそれぞれゲートウェイを持っている

ノートパソコンでこの問題が多いと思うのですが、有線LANと無線LANの二つのLANアダプター(NIC)が搭載されたパソコンで、二つともブロードバンドルータへと経路を持っている状態が時々見受けられます。
この状態だとメトリック値によってトラフィック経路が決まるのですが、トラフィック値が同じ値にある場合は不安定となってしまいます(ルータからポート転送先アダプタアドレスがマチマチとなる)
これを確認するにはipconfig /allコマンドで確認できるのですが、出力される情報が多すぎるので何処を見て良いのかわからないと思いますのでnetstatコマンドでチェックしてください。
ipconfig /all サンプル

C:\Users\kagemaru>ipconfig /all
Windows IP 構成
イーサネット アダプタ ローカル エリア接続:
接続固有の DNS サフィックス . . . :
説明. . . . . . . . . . . . . . . : Realtek PCI GBE Family Controller
物理アドレス. . . . . . . . . . . : 00-19-21-3A-**-**
DHCP 有効 . . . . . . . . . . . . : いいえ
自動構成有効. . . . . . . . . . . : はい
リンクローカル IPv6 アドレス. . . . : fe80::4029:dcfb:cfe2:ecc6%**(優先)
IPv4 アドレス . . . . . . . . . . : 192.168.1.73(優先)
サブネット マスク . . . . . . . . : 255.255.255.0
デフォルト ゲートウェイ . . . . . : 192.168.1.1
DNS サーバー. . . . . . . . . . . : 8.8.8.8
8.8.4.4
NetBIOS over TCP/IP . . . . . . . : 有効

少し簡単な確認方法、netstat -rコマンドで二つのゲートウェイが無いかを確認する手順でチェックしてみましょう。以下の様にゲートウェイが2つ存在する場合は、ルータからのポート転送を正しく受信することができなくなります。この場合、有線LAN側又は無線LAN側どちらを有効ににしてパソコンをインターネットに接続したいのかを決め、ゲートウェイをひとつにするか、メトリック値を手動で変更し、優先するLANアダプターを設定してください。詳しくはネットワーク接続 (IP自動取得やネット不安定の確認)のページをご覧ください。

C:\Users\kagemaru>netstat -r
インターフェイス一覧
14…** 22 cf 31 d8 ** ……GW-USWExtreme
11…** 25 22 6f cd ** ……Realtek PCIe GBE Family Controller
15…** 00 27 00 d4 ** ……VirtualBox Host-Only Ethernet Adapter
IPv4 ルート テーブル
アクティブ ルート:
ネットワーク宛先 ネットマスク ゲートウェイ インターフェイ
ス メトリック
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.44 266 (←ゲートウェイ)
0.0.0.0 0.0.0.0 192.168.2.1 192.168.2.103 25 (←ゲートウェイ2)
127.0.0.0 255.0.0.0 リンク上 127.0.0.1 306
127.0.0.1 255.255.255.255 リンク上 127.0.0.1 306
127.255.255.255 255.255.255.255 リンク上 127.0.0.1 306

Proxy(プロキシ)を使っている

Proxyサーバを使っている場合や、iフィルターを使っている場合はポートチェック時必ず失敗します。
確認方法としましては、コントロールパネルからインターネットオプションもしくはInternetExplorerのツールからインターネットオプションを開いて
接続タブを開いてLANの設定を開きます。ローカルエリアネットワークの設定画面のプロキシサーバの設定にチェックが入っている場合はProxy(プロキシ)サーバやiフィルター経由になるのでポートチェックは必ず失敗します。

IPフィルタの設定が存在する

何らかの理由で、意図しない接続元のホストからのアタックなどがあり、ルータ側で接続元ホストの拒否設定をした可能性がある場合もしくは、正しく通信できない為にIPフォルタルールに誤った通信許可拒否設定をしてしまった場合は、IPフィルタのルールが優先的に適用されるのでポート開放設定は有効とならない場合があります。念のためIPフォルタの存在がある場合は無効化にして再試行してみてください。
注意:以下の説明にありますのは一部の機種の説明です。全て共通の設定とは限らないので各自所有のルータマニュアルを確認下さい。
バッファローブロードバンドルータの例です。セキュリティからIPフィルタを開いて頂いて、IPフィルタ登録情報が有効となっている場合はポート転送は優先されません。

コレガブロードバンドルータの場合セキュリティからファイアウォールを開いて、高に設定されている場合は外部不正アタックと判断されている場合があります。デフォルトの中に切り替えて再試行下さい。

NEC系ブロードバンドルータの場合、詳細設定からパケットフィルタ設定から確認頂けます。ただNECのブロードバンドルータはパケットフィルタルールとポートマッピングの設定は競合しない様子。なので外部ホストanyとした場合で個別ポート番号設定が存在したとしてもポート転送番号が競合していなければポートマッピングしていのパケットは通過出来ます。

IPv6アドレスがブリッジ割当されてしまっている

IPv6対応アプリケーションであれば問題は無いのですが、IPv4にしか対応していないアプリケーションやサーバの場合、IPv6が割当されているとポート開放できない事があります。
IPv6アドレスが意図しないで割り当てされている場合はセキュリティ面でも心配なので、セキュア事も考えて無効にした方が望ましい。
IPv6アドレスが割り当てされているかを確認するには、IPアドレスを確認した時にfe80::~以外の値が割当されている場合IPv6グローバルアドレスが割り当てされている。
2018-ipv6-05172
ポート開放できない場合も含めてIPv6を無効にして下さい。
https://www.akakagemaru.info/port/windows7ipv6.html

その他のネットワーク問題点

なんらかの原因でブロードバンドルータが正しく動作していないことがあります(ファームウェア動作不良)。対処方法はルータの主電源OFF/ONまたはルータの初期化を行う必要があります。
その他、ブロードバンドルータによっては、二つ以上のポート開放設定を作成することでポート開放出来なくなる問題のある製品もあります。
例えば海外製品linksysは5個PortForward設定を作成すると不具合を生じるファームウェア、DMZが動かないファームウェアバージョンがあったり、eo光の有料ギガビットブロードバンドルータだと1つしかポート開放が作成出来ないなどの問題もあります。
ブロードバンドルータが原因でポート開放できないのか、パソコン側の不具合でポート開放できないのかを切り分けられる環境のかたなら、例えばCATV回線なら一度CATVモデムにパソコンを直結してみる、フレッツ光/ADSLなら同様にNTTモデムにパソコンを直接つないでPPPoE広帯域接続でつないでみてポート開放されるのならブロードバンドルータ側の問題点として集中的に調べることが可能になります。(モデムに直結
その他、私の気がついた点と致しましてポート開放よくある間違いにまとめてますので御覧ください
よくある質問一覧に戻る

コメント

  1. ありがとうございます。今後は、仮想マシン側の設定を中心に調べてみたいと思います。
    「CentOS7」のファイアウォールについては、AnsibleによってfirewalldでTCP/3306,TCP/4444,TCP/4567,TCP/4568,TCP/10080のポート開放を自動で行いましたが、TCP/4444,TCP/4568のポートだけ閉じたままです。
    試しに別の仮想サーバにてfirewalldでTCP/80のポート開放を手動で行ったところ、nmapコマンドで確認するとポートは閉じたままでした。「CentOS7」OS本体のファイアウォールについて知見をお持ちでしたら、教えていただけますでしょうか。

    • kagemaru より:

      かなり以前にlinuxマシンでアパッチを動かしていたことはあるのですが、それいらほぼlinux系マシンは触ってないので薄っすらとしかファイアウォール標準としかは記憶してないですすみません。
      CentOS7にももちろんファイアウォール実装されているはずなのですが、コマンドラインでご自身でご確認頂くほかありません
      何れにしても細かく設定を追加するよりも、ファイアウォールをeth0またはeth1(があれば)に対して一旦全て無効
      その上で外部接続が可能になっているのか調べてみる必要はあると思います。
      単純な切り分けとしては、CentOS7にアパッチの機能があるなら起動頂いて
      仮想マシンホスト元のWindows10からCentOS7宛先にhttp://ローカルパス(CentOS7のIP)を開いてアパッチの文言が出てくればファイアウォール機能解除成功と判断
      その上で、今度はルーターにCentOS7宛先に80番ポート開放を行い、スマホでも良いのでhttp://グローバルIPを指定して開いてアパッチの文言が表示されるのか
      コマンドライン上では無くて物理的に通信が到達しているのか調べて頂くのが一番簡単かなと思います。

    • CentOS7のファイアウォールにおいて、インターフェースに対してfirewalldのゾーンをtrusted(すべてのパケットが許可される)に設定することで、Windows10からCentOS7宛先を開いてアパッチの文言を確認できました。
      しかし、ルーターにCentOS7宛先の80番ポート開放を行い、ポートチェックのサイトで80番ポートの開放を確認できましたが、スマホからグローバルIPを指定して開いてもページを開けません。
      グローバルIPはポートチェックのサイトなどで確認しているため、間違えていないと思うのですが、他に設定が必要なことがあるのでしょうか。

      • kagemaru より:

        確認頂いてありがとうございます、となると仮想マシンだけ疑う必要があります。この設定が必要なのかもしれないですね。VMウェアが異なるならバージョン名など教えてもらえればまた調べてみます。
        https://miko.info/?p=805
        恐らく~.conf(基本的な設定情報)ファイルが存在するのでそちらの方に、ますはTCP/80を追加してアパッチへの応答が可能になるのかお調べ頂くといいと思います。
        アパッチへの応答ができるならSQL(TCP/4568 & TCP/4444をそれぞれconfファイルへ追記、80は削除)への外部アクセスも問題なくできるはずなので。

  2. スマホからCentOS7宛先に”http://プライベートIP”を指定して開くとアパッチの文言が表示されて、httpのポート開放に成功しました。
    GaleraClusterで利用するポートのうち、TCP/4444とTCP/4568のポートは閉じたままですが、httpのポートが開放されたので、WordPress構築という目的を達成することができました。そのために、TCP/4444とTCP/4568のポートの件については一旦棚上げさせていただきたいと思います。
    CentOS7のファイアウォールをインターフェースに対して無効化したり、Windows10やスマホからCentOS7宛先に”http://CentOS7のIP”を開いてアパッチの文言が表示されるかで切り分けるのは、簡単で、ポート開放について理解が深まりました。心より感謝申し上げます。

    • kagemaru より:

      確認いただいてありがとうございます、httpのポートが開けばWordPressならSQLはローカルホスト宛先を指定で良いので動作問題なさそうですよね。
      コマンドラインでポートチェックもありなのですが、肝心の挙動面では物理的にサーバーを動かして確認するが、勘違いや誤解を招く必要も無いのでスムーズに目的が達成できると思います。

タイトルとURLをコピーしました