Page 1 of 1

開放が必要なポートが分かりません。

Posted: Fri Sep 02, 2022 12:56 am
by beginnerSS
お世話になります。SoftEtherVPNサーバーで仮想HUBを設定したVPS上のWindowsサーバーに、SoftEtherVPNクライアントを導入したPCから接続(ブリッジ接続?)を行っています。
そしてVPSにはファイアウォールのサービスがあったので、そこでサーバーへの通信の許可を設定しています。
SoftEtherVPNサーバーはそのWindowsサーバーに導入しているので、このファイアウォールを通過する際はSoftEtherVPN が使用する5555等のポ―トさえ許可すれば、VPNセッション中の通信はカプセル化された Ethernet フレーム?に組み替えられているので通信できるのではないかと考えていました。(カプセル化された Ethernet フレームはSoftEtherVPNサーバーで通常のtcpパケットに戻される?という理解です。)
しかし実際には、VPSのファイアウォール段階でPCとサーバーの間のデータベースサービスで使用するポート番号を許可しないと通信できません。サーバー内のWindowsファイアウォールでデータベースサービスで使用するポート番号を許可するのが必要なことは何となくそうなのかな…と思ったのですが、VPSのファイアウォールの設定にサービスで利用するポート番号の許可設定が必要な理由が分かりません。基本的な理解が出来てないように思います。間違いをご指摘いただければ幸いです。よろしくお願いいたします。

Re: 開放が必要なポートが分かりません。

Posted: Fri Sep 02, 2022 5:27 am
by cedar
ご理解は正しいと思います。
もしファイアウオールでデータベースのポートを開かないと通信できないようであれば、おそらくデータベースとの通信はVPNを通さず平文で行われていると思われますのでご注意ください。

Re: 開放が必要なポートが分かりません。

Posted: Fri Sep 02, 2022 7:11 am
by beginnerSS
早々のご回答ありがとうございます。
具体的にはクライアントPC側(WindowsPC)でSoftEtherVPNクライアントでサーバーを指定して接続しています。この状態でipconfigを行うと、Windows IP 構成イーサネット アダプター VPN - VPN Client: に仮想DHCPで割り当てられる192.168.30.XというIPが表示されます。またファイルDNSで指定していますが、この時のサーバー指定はIPでなくWindowsのホスト名で指定しています。もしかしてここに仮想ハブのIPを登録するべきなのでしょうか?実はこの方法がうまく行かなかったのでWindowsのホスト名を使っています。
この設定でサービスを実行するためのサーバーとの通信は行えています。しかしご指摘の「データベースとの通信はVPNを通さず平文で行われている」という状況は、どのようにしたら改善出来るか分かりません。
どうぞよろしくご教示お願い致します。

Re: 開放が必要なポートが分かりません。

Posted: Mon Sep 05, 2022 10:32 am
by cedar
DB サーバーから同じ仮想 HUB に VPN 接続されているでしょうか?

Re: 開放が必要なポートが分かりません。

Posted: Tue Sep 06, 2022 12:59 am
by beginnerSS
ご返答ありがとうございます。
DBサーバー機(windowsServer)に仮想ハブ(192.168.30.1)を設定し、リモートPCは仮想DHCPで振られた192.168.30.10以下で接続しています。ただDBサーバー機は固定IPのみサーバー設定でIPV4に設定されています。hostファイル(windowsにあるのでしょうか?)等で、192.168.30.2といったVPN接続時のIPを別途指定する必要があるのでしょうか?
現在DBサーバーへの接続DSNは、DBサーバー機の固定IPを使うとVPN経由にならないと考え、windowsのホスト名を指定して接続しています。修正すべき点を教えてください。
どうぞよろしくお願いいたします。

Re: 開放が必要なポートが分かりません。

Posted: Tue Sep 06, 2022 10:50 am
by cedar
DB サーバーに VPN クライアントを導入して、DBクライアントと同じ仮想 HUB に接続してください。
仮想 LAN カードには 192.168.30.2 などの 静的 IP アドレスを設定すると良いでしょう。
VPN Server を導入していたとしても、初期設定では導入されているホスト自身は VPN と通信できません。
また、仮想 NAT は無効化し、仮想 DHCP で、デフォルトゲートウェイの設定を配布しないように設定してください。
(これを怠ると、うっかり VPN Server 自身が DHCP で自分自身をデフォルトゲートウェイとして認識してしまった場合に、外部からアクセス不能になる可能性があります。)

Re: 開放が必要なポートが分かりません。

Posted: Sun Sep 11, 2022 1:50 am
by beginnerSS
平日はサーバー設定の変更がやりづらいため、確認。お返事が遅くなってしまいました。申し訳ありません。
サーバーにはNICが1枚しかなく、仮想 HUBにもそれを指定していたため、まずサーバーのIPアドレスに192.168.30.2を追加指定したところ、F/WをVPNに必要なもの以外閉じても無事疎通しました。
お騒がせしました。ありがとうございます!

Re: 開放が必要なポートが分かりません。

Posted: Mon Sep 12, 2022 2:15 am
by cedar
NATを使用する構成でも通信は可能ですが、NAT を利用するため通信速度が遅くなったり、また、クライアント側のデフォルトゲートウェイを書き換えてしまうため、インターネットとの通信がVPN経由で行われてしまう状態になっている可能性があります。