拠点間VPNで、VPN Server(拠点A)とVPN Server(拠点B)をIPV6でカスケードで接続後、VPN Server(拠点A)用PC1を物理LANへつないだ場合、仮想HUBカスケード接続のセキュリティポリシーが機能しない。

[hiura]

拠点間VPNで、VPN Server(拠点A)とVPN Server(拠点B)をIPV6でカスケードで接続後、VPN Server(拠点A)用PC1を物理LANへつないだ場合、仮想HUBカスケード接続のセキュリティポリシーが機能しない。

仮想HUBカスケード接続のセキュリティポリシー「IPV6ルータ広告からデフォルトルータ指定を削除」が適用されない。

マニュアル
https://ja.softether.org/4-docs/1-manual/3/3.4

カスケード接続に関連付けるセキュリティポリシー
カスケード接続を受ける側の仮想 HUB で、そのカスケード接続を経由して入ってくる仮想 Ethernet フレーム（①）に対してセキュリティポリシーを適用したい場合は、そのカスケード接続のために使用する「ユーザー」に対して希望するセキュリティポリシーの設定を行ってください。
カスケード接続を行う側の仮想 HUB で、そのカスケード接続を経由して入ってくる仮想 Ethernet フレーム（②）に対してセキュリティポリシーを適用したい場合は、そのカスケード接続の接続設定画面で [セキュリティポリシー] ボタンをクリックしてセキュリティポリシーを設定してください。


マニュアルから、フレームとセキュリティポリシーの関係は以下の通りであると理解しています。

Code: Select all

A-----LAN_A-----仮想HUB_A-------IPV6カスケード接続を行う側------->IPV6カスケード接続を受ける側---------仮想HUB_B-----LAN_B-----B

                ---------------------------------仮想 Ethernet フレーム（①）----------------------->仮想HUB_B入力時適用
                仮想HUB_A入力時適用<--------------仮想 Ethernet フレーム（②）------------------------

仮想HUB_Bが①のフレームを受信時、仮想HUB_Bでユーザのセキュリティポリシーが適用される。
仮想HUB_Aが②のフレームを受信時、仮想HUB_Aでカスケード接続の接続設定画面のセキュリティポリシーが適用される。


-----------------------------------------------------------------------------------------------------------------------------
テスト結果
COLOR=red 仮想HUB_A,仮想HUB_B間をIPV6でカスケード接続し、
仮想HUB_Aのカスケード接続の接続設定画面のセキュリティポリシーの「IPV6ルータ広告からデフォルトルータ指定を削除」を有効に設定しても
USB ETHERNET ADAPTER 2にIPV6デフォルトGWが設定される！。なぜ？。
ルータはB側にあり、IPV6のROUTER ADVERTISEMENTはB側からA側へ伝送されるので仮想 Ethernet フレーム（②）に該当するので、
カスケード接続の接続設定画面のセキュリティポリシーが適用されると予想されるが、実際は適用されない。
-----------------------------------------------------------------------------------------------------------------------------
セキュリティポリシー設定等は以下の通り

・仮想HUB_Bの拡張オプション
NoIPv6DefaultRouterInRAWhenIPv6=0

・仮想HUB_Aのカスケード接続の接続設定画面のセキュリティポリシー
IPV6ルータ広告からデフォルトルータ指定を削除：有効

・仮想HUB_Bのユーザのセキュリティポリシー
IPV6ルータ広告からデフォルトルータ指定を削除：ー
-----------------------------------------------------------------------------------------------------------------------------

Code: Select all

テスト用物理ネットワーク構成図
		    |  
ONU-----BL900HW-----|-----PC1:VPN SERVER /WIN10 PRO
                    |          |  |LOCAL BRIDGE         物理LAN(リピータHUB)
                    |          |  |USB ETHERNET ADAPTER 1   |
                    |          |  --------------------------|-----PC3:VISTA
                    |          -----------------------------|
                    |              USB ETHERNET ADAPTER 2   |
                    |
                    |                            　      物理LAN
                    |                              　　　　 |
                    |-----WX3000HP(ルータ、DHCPサーバ)------|-----------------PC2:VPN SERVER /WIN10 HOME
                    |                                      |    LOCAL BRIDGE

Code: Select all

テスト用論理ネットワーク構成図
                        拠点A                                         拠点B
                        PC1:VPN SERVER                                PC2:VPN SERVER 

			仮想HUB  IPV6 CASCADE接続 +++++++++++++++++++++> 仮想HUB
	               	    |                                                |
            物理LAN    	    |ローカルブリッジ                                 |ローカルブリッジ
                |           |                                                |
      PC3-------|-----	USB ETHERNET ADAPTER 1             	       ETHERNET ADAPTER
                |                                                            |
		|-----	USB ETHERNET ADAPTER 2                        -------------物理LAN
                |      (IPV6デフォルトGWが設定される！)                       |
                |                                                      WX3000HP(ルータ、DHCPサーバ)

拠点A:
PC1:VPN Server （VER4.34 BUILD9745）in WIN10 PRO
ローカルブリッジ設定(ブリッジ先ETHERNET デバイスは別のUSB ETHERNET ADAPTER 1)
拠点A-->拠点BのVPN ServerにIPV6でカスケード接続
物理LAN上にPC3:VISTA有
PC1:USB ETHERNET ADAPTER 1 をWIRESHARKでキャプチャー

拠点B:
PC2:VPN Server （VER4.34 BUILD9745）in WIN10 HOME
ローカルブリッジ設定(ブリッジ先ETHERNET デバイスは同一のETHERNET ADAPTER)
物理LAN上にDHCPサーバ有
PC2:ETHERNET ADAPTER をWIRESHARKでキャプチャー

USB ETHERNET ADAPTER 1(BUFFALO:LUA4-U3-AGTE-WH)
USB ETHERNET ADAPTER 2(BUFFALO:LUA3-U2-ATX)

BL900HW設定:
BL900HW/IPV6アドレス配布[RA:プレフィックス配布 DHCPv6:プレフィックス/IPv6アドレス配布]
BL900HW/IPV4アドレス配布[DHCPサーバ機能:使用する,IPアドレス／ネットマスク:192.168.0.1/ 24]

WX3000HP設定:
WX3000HP/動作モード[ローカルルータ]
WX3000HP/IPV6アドレス配布[DHCPv6サーバ機能:使用する(Stateless)]
WX3000HP/IPV4アドレス配布[DHCPサーバ機能:ON,リースタイム(時間):0,DHCP割当アドレス:192.168.10.101 - 192.168.10.200]
WX3000HP/ポート開放[IPV4:NAT/TCP443ポート,IPV6:パケットフィルタ/TCP443ポート通過]

[cedar]

NoIPv6DefaultRouterInRAWhenIPv6 仮想 HUB オプションおよびセキュリティポリシーは、IPv6 のデフォルトルータが VPN 経由で取得された際に VPN セッションが切れてしまう問題を回避するための設定なので、IPv4 で接続されているセッションでは無視されるようです。

[hiura]

>NoIPv6DefaultRouterInRAWhenIPv6 仮想 HUB オプションおよびセキュリティポリシーは、IPv6 のデフォルトルータが VPN 経由で取得された際に VPN セッションが切れてしまう問題を回避するための設定なので、IPv4 で接続されているセッションでは無視されるようです。
理解しました。

本件はIPV6でカスケード接続しています。
テスト結果から言えることは、IPV6 デフォルトGWが削除されるか、されないかは、
仮想HUB_Bのユーザのセキュリティポリシーの「IPV6ルータ広告からデフォルトルータ指定を削除」の設定値で決まる。ケース１、ケース２。
仮想HUB_Aのカスケード接続のセキュリティポリシーの「IPV6ルータ広告からデフォルトルータ指定を削除」の設定値は意味無し。ケース３。
マニュアルと違うのでは？

Code: Select all

----------------------------------------------------------------------------------------------------------------------------------
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　ケース１  ケース２　　ケース３
----------------------------------------------------------------------------------------------------------------------------------                                                                                
設定①・仮想HUB_Bの拡張オプション/NoIPv6DefaultRouterInRAWhenIPv6　　　　　　　　　　　　　 　 　　:0        :0         :0
設定②・仮想HUB_Bのユーザのセキュリティポリシー/IPV6ルータ広告からデフォルトルータ指定を削除　　　　 ：ー       :有効      :ー
設定③・仮想HUB_Aのカスケード接続のセキュリティポリシー/IPV6ルータ広告からデフォルトルータ指定を削除 ：ー       :ー        :有効
----------------------------------------------------------------------------------------------------------------------------------
テスト結果　・IPV6 デフォルトGW 削除された(〇)　削除されない(Ｘ)　　　　　　　　　　　　　　　　　　 :Ｘ       :〇        :Ｘ
----------------------------------------------------------------------------------------------------------------------------------

無加工のRAフレームが仮想HUB_Aまで届いていると思われる状態（ケース１）でカスケードポリシ有効にしても（ケース３）、なんの影響もない。

[cedar]

確かにコード上では下記のようにポリシーが設定されたセッションに渡されるパケットがフィルタ処理されているようです。

if (dest_session->Policy->NoIPv6DefaultRouterInRA ||
(dest_session->Policy->NoIPv6DefaultRouterInRAWhenIPv6 && dest_session->IPv6Session) ||
(hub->Option->NoIPv6DefaultRouterInRAWhenIPv6 && dest_session->IPv6Session))
{
DeleteIPv6DefaultRouterInRA(packet);
}

https://github.com/SoftEtherVPN/SoftEth ... ub.c#L4744

[cedar]

ポリシーの説明では、下記のように正しく書かれているようなので、マニュアルの方に注意書きが必要ですね。

このポリシーが設定されているセッションに対して、仮想 HUB の他のセッションの IPv6 ルータが発信する IPv6 ルータ広告メッセージのルータ有効期間の値が 0 以外の数値の場合、この値を強制的に 0 に書き換えて伝送します。これにより、VPN クライアントコンピュータが VPN 接続した先のネットワークに存在するルータをデフォルトルータとして利用することにより物理的な IPv6 通信が途切れてしまう誤作動を防止することができます。

[hiura]

>確かにコード上では下記のようにポリシーが設定されたセッションに渡されるパケットがフィルタ処理されているようです。
ポリシーが設定されたセッションにパケットを出力時（入力時ではない）、フィルタ処理されるのは理解しました。

IPV6の場合はデフォルトルータ指定を削除する機能があるのに、
IPV4の場合はデフォルトルータ指定を削除する機能がないようですが、何か理由はあるのでしょうか？

[eddiewu]

現在のSoftether Windowsクライアントでは、IPv4のルーティング調整はしていますが、IPv6ルートは調整しないです。なのでIPv6で接続した場合、デフォルトゲートウェイによって本来の接続が切断されてしまう恐れがあります。
cedar様、ご補足があればお願いします。

[hiura]

デフォルトルータ指定を削除する機能をまとめると、以下の通りであると認識しています。

テスト結果：
１．PC1のUSB ETHERNET ADAPTER 2 に適用する場合（VPN SERVER実行端末）：
IPV6の場合はデフォルトルータ指定を削除する機能がある。設定①仮想HUB_Bユーザのセキュリティポリシー/NoIPv6DefaultRouterInRA、仮想HUB_Bの拡張オプション/NoIPv6DefaultRouterInRAWhenIPv6
IPV4の場合はデフォルトルータ指定を削除する機能がある。設定②仮想HUB_Aの拡張オプション/RemoveDefGwOnDhcpForLocalhost

２．PC3のETHERNET ADAPTERに適用する場合（VPN SOFTWAREをインストールしていない端末）：
IPV6の場合はデフォルトルータ指定を削除する機能がある。設定①と共通で個別には設定できない。
IPV4の場合はデフォルトルータ指定を削除する機能がないようですが、何か理由はあるのでしょうか？

仕様（考え方）？：
１．PC1のSOFTETHER SOFTWAREが実行されている端末に対しては、払い出し制御は行う。ゆえに、IPV4&IPV6デフォルトルータ削除機能はある。
２．PC3のSOFTETHER SOFTWAREがインストールされていない端末に対しては、払い出し制御は行わない。パススルーさせる。ゆえに、IPV4&IPV6デフォルトルータ削除機能はない。

VPN SOFTWAREをインストールしていない端末に、IPV6デフォルトルータ削除機能があるように見えるのは、
IPV6 RAはマルチキャスト宛で発信しているため、個別に設定できるようにできなかった為である？。

[cedar]

この掲示板には作者は滅多に書き込まないので、仕様の意図については回答は得られないと思います。

[hiura]

>この掲示板には作者は滅多に書き込まないので、仕様の意図については回答は得られないと思います。
理解しました。

仕様を確認します。あとは自分で判断します。
２．PC3のETHERNET ADAPTERに適用する場合（VPN SOFTWAREをインストールしていない端末）：
「IPV4の場合はデフォルトルータ指定を削除する機能がない」は正しいですか？/間違いですか？

よろしくお願いします。

[cedar]

DHCPv4応答を通しつつ、デフォルトゲートウェイ設定だけを削除する機能は無いのではないかと思います。