現在、AWS内の、違うリージョン間で、SoftEtherのVPN間を(パブリックIPを使って)カスケード接続しているのですが、双方のインスタンスのセキュリティグループのoutbound はオープンですが、Inbound側を完全に閉じている(いかなるポートからのアクセスも不許可にしている)にもかかわらず、カスケード接続はOnlineのままとなり、問題なく通信できてしまっています。私の認識では、カスケード接続時は、SSL (TCP443)を使ってお互い接続していいると思っていたので、片方でも、セキュリティーグループ設定においてそのSSLTCP443を不許可としたら、接続が切れるのだろうと想定していましたが、そうにはならなくて、ちょっとびっくりしています。どなたか、この状態についてご説明できる方ご助言いただけないでしょうか。
よろしくお願いします。
AWSにおける別リージョンでのカスケード接続について
-
- Site Admin
- Posts: 2197
- Joined: Sat Mar 09, 2013 5:37 am
Re: AWSにおける別リージョンでのカスケード接続について
TCPによる接続に失敗した場合、UDPによる通信を試みます。
UDPの通信にはinbound/outboundの区別がないため成立してしまうのではないかと思われます。
UDPの通信にはinbound/outboundの区別がないため成立してしまうのではないかと思われます。
-
- Posts: 6
- Joined: Tue Apr 16, 2019 6:33 pm
Re: AWSにおける別リージョンでのカスケード接続について
お返事ありがとうございます。
>TCPによる接続に失敗した場合、UDPによる通信を試みます。
>UDPの通信にはinbound/outboundの区別がないため成立してしまうのではないかと思われます。
ただ、上記のご説明ですと、以下の設定に矛盾が生じます。
現在、クライアントPCからVPN接続するために、AWSのInbound にて、UDP 4500 とUDP 500 の接続許可をしております。仮にこれを閉じた場合、クライアントPCは、想定通り、このVPN サーバーに接続できなくなる事を確認しております。もしUDPにinbound/outboundの区別がない場合、これもまた接続できてしまう理屈にならないでしょうか。
よろしくおねがいします。
>TCPによる接続に失敗した場合、UDPによる通信を試みます。
>UDPの通信にはinbound/outboundの区別がないため成立してしまうのではないかと思われます。
ただ、上記のご説明ですと、以下の設定に矛盾が生じます。
現在、クライアントPCからVPN接続するために、AWSのInbound にて、UDP 4500 とUDP 500 の接続許可をしております。仮にこれを閉じた場合、クライアントPCは、想定通り、このVPN サーバーに接続できなくなる事を確認しております。もしUDPにinbound/outboundの区別がない場合、これもまた接続できてしまう理屈にならないでしょうか。
よろしくおねがいします。
-
- Posts: 6
- Joined: Tue Apr 16, 2019 6:33 pm
Re: AWSにおける別リージョンでのカスケード接続について
少し、私の頭の中が混乱気味ですが。。。
cedarさんのおっしゃられているのは、以下の状況ということでしょうか。
1 まずお互いのカスケード接続を確立させる。(最初の接続は、TCP443で許可した状態)
2 その後AWSセキュリティーグループでTCP443接続を含む全ての外部接続を不許可にする。
3 SoftEtherはTCP443でカスケード接続できなくなってしまったため、UDPに自動で切り替え接続を試みる。
4 相手側のSoftEtherも、TCP443で接続できくなったため、UDPに自動で切り替わって接続しようとしている。
5 相手側のネットワーク内に彷徨っているUDPパッケットを見つけて自分のだと認識してピックアップしてしまう。
ということでしょうか?
cedarさんのおっしゃられているのは、以下の状況ということでしょうか。
1 まずお互いのカスケード接続を確立させる。(最初の接続は、TCP443で許可した状態)
2 その後AWSセキュリティーグループでTCP443接続を含む全ての外部接続を不許可にする。
3 SoftEtherはTCP443でカスケード接続できなくなってしまったため、UDPに自動で切り替え接続を試みる。
4 相手側のSoftEtherも、TCP443で接続できくなったため、UDPに自動で切り替わって接続しようとしている。
5 相手側のネットワーク内に彷徨っているUDPパッケットを見つけて自分のだと認識してピックアップしてしまう。
ということでしょうか?
-
- Site Admin
- Posts: 2197
- Joined: Sat Mar 09, 2013 5:37 am
Re: AWSにおける別リージョンでのカスケード接続について
UDPによる接続の際には、ソフトイーサ社の提供するブローカーサーバーを介してタイミングを合わせて双方からUDP接続を開始します。
UDP には、本質的には Inbound/Outbound の区別がないため、ファイアウオールはおそらく、先に内側からのパケットが発信されたときに逆の経路のパケットを、それに対する返信とみなして許可するという動作になっていると思います。
このため、双方のホストが同時に相手に対して通信を開始すると通信が成立するということだと思います。
IPsec の場合には、サーバー側から先に発信する動作がないため、通信が成立しないのではないかと思います。
UDP には、本質的には Inbound/Outbound の区別がないため、ファイアウオールはおそらく、先に内側からのパケットが発信されたときに逆の経路のパケットを、それに対する返信とみなして許可するという動作になっていると思います。
このため、双方のホストが同時に相手に対して通信を開始すると通信が成立するということだと思います。
IPsec の場合には、サーバー側から先に発信する動作がないため、通信が成立しないのではないかと思います。
-
- Posts: 6
- Joined: Tue Apr 16, 2019 6:33 pm
Re: AWSにおける別リージョンでのカスケード接続について
詳細なご説明ありがとうございます。
すみません、カスケード接続(UDP接続の場合)の際にソフトイーサ社のサーバーを介していることを知りませんでした。非常に便利な機能ではありますが、設定によっては自動で他社システムに依存する形になってしまい、弊社セキュリティーチームへの説得がかなり困難になってしまいます。
SSL(TCP443)接続が許可されない場合、想定通り接続できなくなる設定(UDP接続をトライしない)方法はございますでしょうか。
ご教授何卒よろしくお願いします。
すみません、カスケード接続(UDP接続の場合)の際にソフトイーサ社のサーバーを介していることを知りませんでした。非常に便利な機能ではありますが、設定によっては自動で他社システムに依存する形になってしまい、弊社セキュリティーチームへの説得がかなり困難になってしまいます。
SSL(TCP443)接続が許可されない場合、想定通り接続できなくなる設定(UDP接続をトライしない)方法はございますでしょうか。
ご教授何卒よろしくお願いします。
-
- Site Admin
- Posts: 2197
- Joined: Sat Mar 09, 2013 5:37 am
Re: AWSにおける別リージョンでのカスケード接続について
カスケード接続の設定で「NAT-T 無効」のチェックボックスを入れることで、TCP 接続のみに限定できます。
-
- Posts: 6
- Joined: Tue Apr 16, 2019 6:33 pm
Re: AWSにおける別リージョンでのカスケード接続について
私の勉強不足でした申し訳ございません。
今先程、私も設定方法をドキュメントで発見できました。
ありがとうございました。
今先程、私も設定方法をドキュメントで発見できました。
ありがとうございました。