お世話になります、お知恵をお貸しください。
Softether VPNで仮想レイヤ3スイッチを利用して2セグメントを連結しようとしていますが、上手く行きません。
現象として、VPN Bridge側から、VPN Server側ネットワークのデフォルトゲートウェイにはpingが通り、HTTPを利用しての設定画面などは開ける状態です。しかし、その他の端末にはアクセスできず、pingも通りません(同一セグメントからのpingには応答することを確認済み)。
逆に、VPN Server側のネットワークからは、VPN Bridge側へのpingは、デフォルトゲートウェイにも、その他の端末にも届くという状態です。
・その他気になる点としては
BRIDGEが動作するPC上の仮想OSのLinuxから、VPN Server側のデフォルトゲートウェイにpingを送信した場合、通常通りの応答ですが、それ以外の端末にpingを送信した場合は「Redirect Host」のメッセージが1度だけ表示されること(全てパケットロスト、Redirect HostはBRIDGE側の仮想HUB)。
BRIDGE側のネットワークから、SERVER上の、SERVER側物理ネットワークとブリッジ接続されているHUBにpingを送信した場合は応答があるのに、同じHUBにtracerouteした場合、Windowsは完了するのに、Linuxは完了しない(BRIDGEとカスケード接続されている仮想HUB以降全てのホップが*となる)。
■Softether VPNの構成
VPN Server側:Version4.21 Build 9613 Windows Server 2012 Standard(192.168.11.0/24)
VPN Bridge側:Version Build 9613 Windows 10(192.168.11.0/24)
どちらもFirewallを無効の状態で試しています。
・VPN Server上にA, Bという仮想Hubを作成
・更に仮想レイヤスイッチRouterを作成
・Router上に仮想インターフェース、
IA(仮想HUB Aと接続、192.168.11.250/255.255.255.0)
IB(仮想HUB Bと接続、192.168.1.254/255.255.255.0)
・仮想HUB AはVPN Serverが物理的にEthernetに接続されているNICとローカルブリッジ接続
・VPN BridgeにはBRIDGEというHUBを作成し、VPN Bridgeが物理的にEthernetに接続されているNICとローカル
・BRIDGEはVPN Server上の仮想HUB IBとカスケード接続
■物理ネットワーク関連
VPNServerが接続されている192.168.11.0/24のデフォルトゲートウェイ192.168.11.1に、ルーティングテーブルとして、
宛先:192.168.1.0/24
ゲートウェイ:192.168.11.250(仮想HUB AのIPアドレス)
メトリック:15
VPNBridgeが接続されている192.168.1.0/24のデフォルトゲートウェイ192.168.1.1に、ルーティングテーブルとして
宛先:192.168.11.0/24
ゲートウェイ:192.168.1.254(仮想HUB BのIPアドレス)
メトリック:設定なし、ルーター内ではエントリ順で最優先、他にルーティングテーブルはなし
仮想レイヤ3スイッチにおいて、Server側のLANにアクセスできない
-
cedar
- Site Admin
- Posts: 2265
- Joined: Sat Mar 09, 2013 5:37 am
Re: 仮想レイヤ3スイッチにおいて、Server側のLANにアクセスできない
Windows と Linux の traceroute は見かけは似ていますが、違うプロトコルを使用するため、結果が異なるばあいがあります。
http://www.infraexpert.com/study/tcpip6.html
ただ、ご説明の通りであれば、設定内容には問題はないように見えます。
構成にVMを使用されているなどの、特殊な部分はないでしょうか。
http://www.infraexpert.com/study/tcpip6.html
ただ、ご説明の通りであれば、設定内容には問題はないように見えます。
構成にVMを使用されているなどの、特殊な部分はないでしょうか。
-
kske_sakai
- Posts: 3
- Joined: Mon May 16, 2016 6:10 am
Re: 仮想レイヤ3スイッチにおいて、Server側のLANにアクセスできない
お返事ありがとうございます。
tracertとtracerouteの件、完全に不勉強でした。ありがとうございます。
仮想化についてですが、どちらのマシンも仮想OSのホストではありますが、仮想化されたOS上にはインストールされていません。
また、動作している仮想OSはブリッジ接続されており、それぞれのセグメントと同一のセグメントに属しています。
追加になってしまいましたが、192.168.1.*からのpingに192.168.11.250(VPN Serverが動作している物理ネットワークカードのIPアドレス)も応答します。
まとめるとVPN Serverの仮想インターフェース、仮想HUBと、動作している物理サーバーそのもの、デフォルトゲートウェイのみ応答するようです。
ルーティングテーブルにミスはなさそうですが、週明けにルーターを入れ替えるなどしてテストしてみます。
tracertとtracerouteの件、完全に不勉強でした。ありがとうございます。
仮想化についてですが、どちらのマシンも仮想OSのホストではありますが、仮想化されたOS上にはインストールされていません。
また、動作している仮想OSはブリッジ接続されており、それぞれのセグメントと同一のセグメントに属しています。
追加になってしまいましたが、192.168.1.*からのpingに192.168.11.250(VPN Serverが動作している物理ネットワークカードのIPアドレス)も応答します。
まとめるとVPN Serverの仮想インターフェース、仮想HUBと、動作している物理サーバーそのもの、デフォルトゲートウェイのみ応答するようです。
ルーティングテーブルにミスはなさそうですが、週明けにルーターを入れ替えるなどしてテストしてみます。
-
kske_sakai
- Posts: 3
- Joined: Mon May 16, 2016 6:10 am
Re: 仮想レイヤ3スイッチにおいて、Server側のLANにアクセスできない
お世話になっています。
報告遅れましたが、192.168.11.0/24のデフォルトゲートウエイ(192.168.11.1)を別の機器に入れ替えたところ、
問題なく動作しました。
元ルーターの設定と変わりなかったので、完全に機器の不具合だったようです。お騒がせしました。
報告遅れましたが、192.168.11.0/24のデフォルトゲートウエイ(192.168.11.1)を別の機器に入れ替えたところ、
問題なく動作しました。
元ルーターの設定と変わりなかったので、完全に機器の不具合だったようです。お騒がせしました。
-
cedar
- Site Admin
- Posts: 2265
- Joined: Sat Mar 09, 2013 5:37 am
Re: 仮想レイヤ3スイッチにおいて、Server側のLANにアクセスできない
NAT内同士のルーティングは、ヘアピンNATと呼ばれる特殊な状況に相当し、ルーターによっては仕様上対応していないものもあるようです。
(例えば Linux の iptables の masqualade では、ヘアピンNAT用の設定を追加しないと機能しません。)
(例えば Linux の iptables の masqualade では、ヘアピンNAT用の設定を追加しないと機能しません。)