ProxyServerに経由でのインターネットに接続できない。

[imamurakz]

構成図

Internet─Router(UTM)─10.172.160.0/24 Seg─ProxyServer
　　　　　　　　　│　　　　　　　　　　　(10.172.160.21)
　　　　　　　　　│
　　　　　　　　　├─10.174.0.0/16 Seg─S.E VPN Bridge─ﾄﾝﾈﾘﾝｸﾞ─S.E VPN Server─ﾄﾝﾈﾘﾝｸﾞ─S.E VPN Client
　　　　　　　　　│　　　　　　　　　　(10.174.0.111)　　　　　(10.174.0.10)　　　　　(10.172.0.21)
　　　　　　　　　│
　　　　　　　　　├─10.173.0.0/16 Seg─FileServer
　　　　　　　　　│　　　　　　　　　　(10.173.0.11)
　　　　　　　　　他のSeg

インターネットへの通信はProxyServer経由で行っています。
SoftEtherVPNによるL2VPNは動いており、
S.E VPN ClientからFileServerやProxyServerにはPingやSMBによるファイル共有
は正常に行われています。

上述の構成図の時、
S.E VPN Clientの端末から、
ProxyServer経由（OSのプロキシ設定でProxyServer経由に変更済み）で
ブラウジングを行う場合、インターネットに接続できません。

S.E VPN BridgeにProxyServer経由の設定を入れたら、
インターネットに接続できます。

[cedar]

ブラウザによっては、OS のプロキシの設定を参照しない場合もあるので、ブラウザの設定を確認してみたほうが良いかもしれません。

[imamurakz]

インターネットへの接続は、ProxyServer経由であることが必須になっています。

[cedar]

はい。
なので、ブラウザのプロクシの設定を確認してみて下さい。

[imamurakz]

ブラウザのプロクシの設定は確認済みです。

構成図を分かりやすくしました。

　　　　　　　Internet　　　　　　　　　　　　　
──┬───────────────┬──　　　　　　
┌─┴─┐　　　　　　　　┌─┴─┐　　　　　　
│RT-A│　　　　　　　　│RT-B│　　　　　　
└─┬─┘　　　　　　　　└─┬─┘　　　　　　
　　│　　　　　　　　　　│┏━━━━━┓　
　　│　　　　　　　　　　├┨Proxy　　 ┃　
　　│　　　　　　　　　　│┗━━━━━┛　
　　│　　　　　　　　　　│┏━━━━━┓　
　　│　　　　　　　　　　├┨S.E_VPN_Br┃　
　　│　　　　　　　　　　│┗━━━━━┛　
　　│　　　　　　　　 ┌─┴─┐　　　　　　
　　│　　　　　　　　 │FW-1│　　　　　　
　　│　　　　　　　　 └─┬─┘　　　　　　
　　│　　　　　　　　　　│┏━━━━━┓　
　　│　　　　　　　　　 　├┨S.E_VPN_Sv┃　
　　│　　　　　　　 　　　│┗━━━━━┛　
　　│　　　　　　　　　┌─┴─┐　　　　　　
　　│　　　　　　　　　│FW-2│　　　　　　
　　│　　　　　　　　　└─┬─┘　　　　　　
┏━┷━━━━━┓　　　　│　　　　　　　　
┃ｸﾗｲｱﾝﾄ　　　　┃　　　　│　　　　　　　　
┃　[S.E_VPN_Cl]┠──────┘
┗━━━━━━━┛　　　　　　　　　　　　　　　
　　　　　　　　　　　　　　　　　　　　　　　　

通常、ｸﾗｲｱﾝﾄからInternetには、ルーター「RT-A」を経由する。

しかし、ブラウザの場合、クライアント「S.E_VPN_Cl」からInternetには、
Proxyを経由してルーター「RT-B」から通信を行う。

ブラウザ以外では、Proxyやルーター「RT-B」に
Ping(10～20ms程度)で通信出来ています。
ブラウザでProxyを経由した場合にのみ、
ほぼ繋がらない、
ごくまれに繋がるときもある、
繋がるときはgoole検索は速かった、
検索先のサイトも表示できていました。

[cedar]

つながらないときには、どのようなエラーとなるでしょうか。
可能であれば、Web にアクセスした際に、Wireshark などで仮想 LAN カードの通信をキャプチャしてみて、Proxy への通信が正しく行われているかを確認してみて下さい。

[imamurakz]

ブラウザからのアクセスしたときの、画面および WinSharkの画面を送ります。

[cedar]

4.0464から4.128069秒の間で900バイトほどプロキシからの応答が欠落しているように見えます。

[hiura]

割り込んですいません。
参考になるかどうかわかりませんが。。。

PROXY SERVERのMTUサイズのメッセージがVPN回線を通過できないのでは？。
VPN回線自体のパケットがロスト（FW-1又はFW-2で破棄された）して、結果として回線内を流れるパケットも破棄されたのではないでしょうか？。
VPN CLIENT端末からPROXY SERVER端末までの実際のMTUを求めれば、それが原因かどうかわかると思います。

VPN CLIENT端末（10.172.0.21)）からPINGコマンドでPROXY SERVER端末（10.172.160.21）までのMTUサイズをしらべる。下記参照。
https://atmarkit.itmedia.co.jp/ait/arti ... ws017.html

VPN回線上ではなく、物理回線上で、pingが通る最大のデータ・サイズを求め、MTUサイズを計算する。
ping　-f　-l　1472　10.172.160.21 ……データ・サイズ＝1472bytesでの実行例。
MTU=1472（データ・サイズ）＋8（ICMPヘッダ）＋20（IPヘッダ） ……データ・サイズからMTUを計算する。

注１：
PROXY SERVER=10.172.160.21
VPN CLIENT 　=10.172.0.21

注２：
PROXY SERVERのMSSは1309　(WIRESHARKのCAPTUREから)。
MTU=20(IPヘッダー) +20(TCPヘッダー) +MSS =40 +1309=1349

[hiura]

VPN BRIDGEの物理NICのMTU（VPN回線ではない）を変更してみたらどうでしょうか？

>S.E VPN BridgeにProxyServer経由の設定を入れたら、
>インターネットに接続できます。

とのことなので、この場合の、RT-BとVPN SERVER間のMTUを推測すると1349(WIRESHARKのCAPTUREからMSS=1309)であるので。この値のMTUならFW-1を通過できるということ。
従って、VPN BRIDGE, VPN SERVER間の物理回線のMTUも同じ値1349に設定すれば、 FW-1を通過するものと思います。

具体的には、VPN BRIDGEの物理NICのMTU（VPN回線ではない）を1349に変更する。変更後はVPN BRIDGEの再立ち上げ実施。
下記参照：
https://tomoyuki65.com/how-to-change-mt ... indows-10/


追加：
下線付きTEXTは無視してください。
VPN CLIENT端末＆VPN SERVER端末間（①）、VPN BRIDGE端末＆VPN SERVER端末間（②）のVPN回線はTCPとの前提で、推測していました。
①はUDP(UDP高速化機能)みたいです。②もUDPと思われます。MSS=1309(WIRESHARK CAPTURE）はUDP高速化機能が計算した値。

[eddiewu]

とのことなので、この場合の、RT-BとVPN SERVER間のMTUを推測すると1349(WIRESHARKのCAPTUREからMSS=1309)であるので。この値のMTUならFW-1を通過できるということ。
従って、VPN BRIDGE, VPN SERVER間の物理回線のMTUも同じ値1349に設定すれば、 FW-1を通過するものと思います。

1349はSE ServerがUDP高速化を有効にした場合仮想NICに与えるMTUです。物理回線のMTUではありません。

[hiura]

>1349はSE ServerがUDP高速化を有効にした場合仮想NICに与えるMTUです。物理回線のMTUではありません。

マニュアルのどこに、書いてあるのでしょうか？

[eddiewu]

>1349はSE ServerがUDP高速化を有効にした場合仮想NICに与えるMTUです。物理回線のMTUではありません。

マニュアルのどこに、書いてあるのでしょうか？

たぶん書いてないですね。以下、UdpAccel.cからの抜粋です。

Code: Select all

// Calculate the best MSS
UINT UdpAccelCalcMss(UDP_ACCEL *a)
{
	UINT ret;

	// Validate arguments
	if (a == NULL)
	{
		return 0;
	}

	ret = MTU_FOR_PPPOE; <-- 1454 (PPPoE over L2TP)

	// IPv4
	if (a->IsIPv6)
	{
		ret -= 40;
	}
	else
	{
		ret -= 20; <-- 1434　 (MTU, 以下同じ)
	}

	// UDP
	ret -= 8; <-- 1426

	if (a->PlainTextMode == false)
	{
		// IV
		ret -= UDP_ACCELERATION_PACKET_IV_SIZE_V1; <-- 1406
	}

	// Cookie
	ret -= sizeof(UINT); <-- 1402

	// My Tick
	ret -= sizeof(UINT64); <-- 1394

	// Your Tick
	ret -= sizeof(UINT64); <-- 1386

	// Size
	ret -= sizeof(USHORT); <-- 1384

	// Compress Flag
	ret -= sizeof(UCHAR); <-- 1383

	if (a->PlainTextMode == false)
	{
		// Verify
		ret -= UDP_ACCELERATION_PACKET_IV_SIZE_V1; <-- 1363
	}

	// Ethernet header (communication packets)
	ret -= 14; <-- 1349 (Tunnel MTU)

	// IPv4 Header (communication packets)
	ret -= 20;

	// TCP header (communication packet)
	ret -= 20; <-- 1309 (Tunnel MSS)

	return ret;
}

[hiura]

UDP高速化機能を無効にし、VPN回線をTCPにしてみたらどうでしょうか？

・VPN BRIDGE端末, VPN SERVER端末間のVPN回線はTCPとする（UDP高速化機能を無効にする）。
・VPN CLIENT端末, VPN SERVER端末間のVPN回線はTCPとする（UDP高速化機能を無効にする）。

UDP高速化機能は再送機能がないとのこと。
viewtopic.php?f=15&t=67141