L2TP/IPsecで接続できなくなりました

SoftEther VPN に関するご質問はこのフォーラムにお気軽にご投稿ください。
Post Reply
BORJARNON
Posts: 5
Joined: Sat May 30, 2015 6:47 pm

L2TP/IPsecで接続できなくなりました

Post by BORJARNON » Sat May 30, 2015 7:38 pm

こんにちは

2015年5月初めまではAndroid、Windows8.1(OS標準VPN)でSoftEtherVPNサーバに接続できていましたが、
急に接続できなくなりました。
サーバーログを見ると、下記ログが出力されてそこから先が進まないようです
「サーバー・クライアント間でこの IPsec SA が確立されました。」
(ログを添付しました)


家庭用ルータを新しくしたのが問題かと思い、古いルータ(以前接続できていたルータ…設定もそのまま)に戻してみても接続できませんでした。

Windowsファイアウォールを一時的にOFFにもしてみましたが、状況は変わりませんでした。
(なおOpenVPNクライアントを使用すると、SoftEtherVPNサーバに接続可能です)

何が原因なのか全くわからずお手上げな状態です…


1. オペレーティングシステムの名前および CPU ビット
Windows7 64bit

2. "ifconfig -a" (UNIX) または "ipconfig /all" (Windows) の結果
3. "uname -a" (UNIX) または "systeminfo" (Windows) の結果
添付ファイル 20150526ipconfig_sysinfo.txt

4. SoftEther VPN のビルド番号
SoftEther VPN 4.0(Ver4.15, Build 9538)

5. どの SoftEther VPN のコンポーネントを使用していますか?
SoftEther VPN server

6. VPN サーバーとインターネットとの間に NAT やファイアウォールデバイスはありますか?
(もし NAT またはファイアウォールがある場合、VPN サーバーの TCP リスナポートに対して TCP ポートを開く必要があります。)
存在しますが、以前接続できていた下記設定から、特に変更していませんでした。
ESP
UDP500,4500
TCP1723(不要?)
をVPNサーバにポートフォワーディング

念のため、VPNサーバのTCPリスナーポートもポートフォワーディングおよび通過設定してみましたが、状況は変わりませんでした。

7. SecureNAT 機能を使用していますか?
使用していません

8. 現在の vpn_server.config または vpn_bridge.config ファイルの内容を投稿に添付してください。
添付ファイル vpn_server.config.txt
You do not have the required permissions to view the files attached to this post.

cedar
Site Admin
Posts: 2070
Joined: Sat Mar 09, 2013 5:37 am

Re: L2TP/IPsecで接続できなくなりました

Post by cedar » Sat May 30, 2015 10:08 pm

VPN Server 自体はアップデートされていないでしょうか。
古いバージョンに戻してみると動作することがあるようです。

BORJARNON
Posts: 5
Joined: Sat May 30, 2015 6:47 pm

Re: L2TP/IPsecで接続できなくなりました

Post by BORJARNON » Sun May 31, 2015 1:04 pm

返信有難うございます。
アップデートに関しては、接続できていた時期に下記のように1度行いましたが、その後も接続できていました。

1.最初:Ver4.14, Build 9529をインストールし、接続していました。
2.アップデート:その後、3月末にVer4.15, Build 9538(現在インストールしているもの)にアップデートしましたが、そこから1ヶ月以上は接続できていました。

念のため先ほど、最初に入れていたVer4.14, Build 9529に戻したり、最新の4.17, Build 9562にしてみたりしましたが、状況は変わりませんでした。

cedar
Site Admin
Posts: 2070
Joined: Sat Mar 09, 2013 5:37 am

Re: L2TP/IPsecで接続できなくなりました

Post by cedar » Mon Jun 01, 2015 1:29 pm

ログを拝見すると、IPSec の折衝が終わって、L2TPの折衝が開始されずに止まっているように見えます。
単純なファイアウオールなどのトラブルであれば、4500/UDPか500/UDPのいずれかが全く通信できないというケースが多いので、ここまで進んでいて止まるのは不思議です。
ログの内容は、Android から接続した場合でも Windows から接続した場合でも同様でしょうか?

BORJARNON
Posts: 5
Joined: Sat May 30, 2015 6:47 pm

Re: L2TP/IPsecで接続できなくなりました

Post by BORJARNON » Thu Jun 04, 2015 4:44 pm

WindowsでもAndroidと基本的に同じログ(↓の方に貼り付けました)になります。
Windowsの場合は、確立されました~のあとに接続削除のログが出ます(Windows側でタイムアウト時に切断している?)

■追加
ふと思い立ち、外部ネットワーク経由ではなく、VPNサーバと同一LAN内から直接接続(同時にWindowsファイアウォールOFFも)を試行したところ、やはり同じ状況&ログになりました…。



2015-06-05 01:01:16.948 IPsec ESP セッション (IPsec SA) 5 (クライアント: 6) (49.106.xx.xxx:4500 -> 0.0.0.0:4500): サーバー・クライアント間でこの IPsec SA が確立されました。
2015-06-05 01:01:52.041 IPsec IKE セッション (IKE SA) 4 (クライアント: 6) (49.106.xx.xxx:4500 -> 0.0.0.0:4500): この IKE SA を削除しました。
2015-06-05 01:01:52.041 IPsec ESP セッション (IPsec SA) 5 (クライアント: 6) (49.106.xx.xxx:4500 -> 0.0.0.0:4500): この IPsec SA を削除しました。
2015-06-05 01:01:52.041 IPsec ESP セッション (IPsec SA) 5 (クライアント: 6) (49.106.xx.xxx:4500 -> 0.0.0.0:4500): この IPsec SA を削除しました。
2015-06-05 01:01:52.041 IPsec クライアント 6 (49.106.xx.xxx:4500 -> 0.0.0.0:4500): この IPsec クライアントを削除しました。

cedar
Site Admin
Posts: 2070
Joined: Sat Mar 09, 2013 5:37 am

Re: L2TP/IPsecで接続できなくなりました

Post by cedar » Fri Jun 05, 2015 8:02 pm

おそらくログの記録タイミングはタイムアウト時ですが、タイムアウト時間は10秒程度のはずなので、最後のログから30秒程度は何らかの通信を行っていると思われます。
通常は Windows の IPsec 関連のサービスが動作している場合は、VPN サーバーが自動的に止めるはずですが、もし動作している場合は止めてみてください。

hiroshi
Posts: 128
Joined: Tue Mar 19, 2013 5:07 pm

Re: L2TP/IPsecで接続できなくなりました

Post by hiroshi » Sat Jun 06, 2015 1:26 am

BORJARNONさん こんにちは~

割り込んで申し訳ございません。
ログの中身について気になったので教えてください。

例えばセッションの確立のログで、サーバー側が「0.0.0.0:4500」となっているのは投稿のためのマスクでしょうか?
自分のログを見るとAndroidでWAN、LANの両方からの接続で、サーバーのIPアドレス(例えば「192.168.11.100:4500」)になっているのですが・・・

BORJARNON
Posts: 5
Joined: Sat May 30, 2015 6:47 pm

Re: L2TP/IPsecで接続できなくなりました

Post by BORJARNON » Sun Jun 07, 2015 2:19 am

返信有難うございます。

>cedarさん
IPsec関連のサービスとして、下記3つを停止&無効にしてみましたが、接続削除~のログが出るまでの時間を含め、特に状況に変化はありませんでした。
IPsec Policy Agent(これだけ起動していました)
IKE and AuthIP IPsec Keying Modules
Remote Access Connection Manager

>hiroshiさん
0.0.0.0の部分はマスクしていないそのままの状態です。
※マスクはすべて”x”で行っています

OpenVPNやSoftEther VPNクライアントで接続成功した場合にも0.0.0.0と出ているので、特に気にしていませんでしたが…
以前接続できていたときのログを消してしまったので、以前はどうだったのか、現在0.0.0.0と出るのが正常なことなのかの判断がつかなくなってしまいました…。
(繋がらなくなったあとにVPNサーバを入れたり消したりしているうちにログファイルまで消してしまいました(;_;) )


追加
WindowsUpdateが問題かとも思い…接続できていた時期以降のものを消しても見ましたが違ったようです。
一部(KB3020370とKB3020369…)消せませんでしたが。。

cedar
Site Admin
Posts: 2070
Joined: Sat Mar 09, 2013 5:37 am

Re: L2TP/IPsecで接続できなくなりました

Post by cedar » Sun Jun 07, 2015 11:37 am

hiroshiさんの仰るように、IPアドレス関連の問題だったとしたら、(物理)LAN カードの設定を見なおしてみるのが良いかもしれません。

hiroshi
Posts: 128
Joined: Tue Mar 19, 2013 5:07 pm

Re: L2TP/IPsecで接続できなくなりました

Post by hiroshi » Sun Jun 07, 2015 10:55 pm

BORJARNONさん おはようございます

もう一つ気になることがあります。
添付されたipconfigですが、デフォルトゲートウェイが2つ存在してるように見えます。
何か特別なルーティングをされてるのでしょうか?

hiroshi
Posts: 128
Joined: Tue Mar 19, 2013 5:07 pm

Re: L2TP/IPsecで接続できなくなりました

Post by hiroshi » Tue Jun 09, 2015 4:00 am

失礼しました。
IPv6のアドレスですね。

BORJARNON
Posts: 5
Joined: Sat May 30, 2015 6:47 pm

接続できるようになりました!

Post by BORJARNON » Tue Jun 09, 2015 2:18 pm

結論的には、hostsファイルが原因でした。
127.0.0.1 自ホスト名
のエントリを削除したところ、接続できるようになりました。

その状態でログを確認したところ、サーバのIPアドレスとして0.0.0.0となっていた部分が、実際のサーバのローカルIPアドレスに変化していました。

hostsにエントリを追加したあとVPNにしばらく繋いでおらず、IPアドレス~の指摘を受けるまですっかり忘れていました。。
申し訳ございません。。


>hiroshiさん
はい、デフォルトゲートウェイが2つあるのは、それぞれIPv6用とIPv4用でした。
IPv6用のを全部マスクしてしまったので紛らわしくてすみません。。


>cedarさん、hiroshiさん
いろいろと相談にのっていただきありがとうございました。
自分一人では気づかなかったと思います…大変助かりました。

hiroshi
Posts: 128
Joined: Tue Mar 19, 2013 5:07 pm

Re: L2TP/IPsecで接続できなくなりました

Post by hiroshi » Sat Jun 13, 2015 1:44 pm

そもそも自ら意図せずに15000行というのは異常事態だと思います。
まずはhostsファイルの機能(役割)や編集方法、異常時の対策や既定に戻す方法を理解するのが近道かと思います。

Post Reply