毎日VPNが切断される

[SGCOOK]

SoftEtherで50台ほどサーバーに接続しているのですが
毎日、午前11:30前後　午後4:00前後　になると切断されます
先週の月曜日からの現象なので１週間になります
休みの日に１日サーバーを起動していたのですが切断はされなかったです
切断されたらサーバーを再起動すれば正常に利用できます
クライアントにウィルス検索をさせているところですが、対応に苦労しています
HUB名をVPNから変更するようなアナウンスがありますが、これで直りますか？

[cedar]

サーバーログには何か異常は記録されていないでしょうか。

変更するようにアナウンスされているのは IPsec VPN 機能を使っている場合の、事前共有鍵です。

[SGCOOK]

事前共有鍵でした
ログをみると
TCP リスナー (ポート 443) に対する DoS アタックを検出しました。接続元は IP アドレス ***.***.***.***, ポート番号 **** です。このコネクションは強制切断します。
とあったので、接続元アドレスをブロックしました(Windows Server)
その後はログにこの記録はなくなりましたが、相変わらず切断しています。

[cedar]

DoS 攻撃の記録はクライアントの IP アドレスではなかったでしょうか。
同一の IP アドレスから、同時に接続要求が多数あった場合、DoS 攻撃として検知される可能性があります。
多数のクライアントが接続している NAT などが、何らかの理由で瞬断して、同時に再接続が発生しているなどの可能性も考えられます。

また、問題の起きた時刻付近で、何か他の異常そうなログはなかったでしょうか。

[SGCOOK]

DoS攻撃はあるグローバルアドレスでした。
このアドレスは別のファイルサーバーでVPNルーターで接続するためのアドレスです。
このアドレスからSoftEther VPN Serverに接続は出来ないはずなのですが。

[SGCOOK]

大事な情報だったかもしれませんが、利用しているサーバーはAWSのWindowsServerです。

[cedar]

切断が発生した時刻には何のログも残っていなかったでしょうか。

[SGCOOK]

切断されたら、すぐサーバー再起動しているのでわからないです。
ログを見ると今日はいつもと違って特定の時間帯ではなく既に大量のDoS攻撃が登録されています。
ただ切断されているのはDoS攻撃がおさまった１０分後のようです。

[cedar]

再起動するとログが消える現象が発生しているでしょうか。
そうだとすると、OS になにか異常があるかもしれません。

[SGCOOK]

再起動してもログは残っておりますが切断から起動の間はログが残っていないという意味です。

[cedar]

切断のログには原因が書かれていないでしょうか。

また、正常であれば、再起動の際に VPN Server 終了のログも記録されるはずです。
これが記録されていない場合は VPN Server が異常終了している可能性が考えられます。

[SGCOOK]

>また、正常であれば、再起動の際に VPN Server 終了のログも記録されるはずです。
>これが記録されていない場合は VPN Server が異常終了している可能性が考えられます。
記録されているので、正常だと思います。

[cedar]

> 切断から起動の間はログが残っていないという意味です。
と書かれておりましたが、これは事実ではなかったのですね。

それで、切断のログには、切断の理由が記録されていないでしょうか。

[SGCOOK]

サーバー エンジンのシャットダウン処理を開始しています。
これはWindowsServerを再起動した際の記録ですが（AWSではインスタンス再起動）
この直前は特にあやしい記録はありませんが、調べてみます。

[cedar]

すべてが正常であれば意図せずに VPN 接続が切断されることはありません。
切断のログ自体が異常の記録なのです。
切断のときのエラーコードを教えて下さい。

[SGCOOK]

切断時にはエラーコードの記録はないですが
その前には
(コード 0) で終了しました
(コード 11) で終了しました
(コード 5) で終了しました
の記録があります

[SGCOOK]

接続時にはと書きましたが
エラーコードの記録は１つもないです

[SGCOOK]

接続時->切断時の間違いでした

[cedar]

エラーコード 0 はVPNセッションの正常な終了を意味します。
クライアントの操作によって切断された場合はこれになります。

エラーコード 5 は、VPN クライアントではないものが接続してきた場合のエラーコードです。
これもクライアントからの接続ではないので、起きている問題とは関係ないように思います。

エラーコード 11 は、成立済みのセッションが、外部的に通信を切断された場合などに
発生するエラーです。

https://www2.softether.jp/jp/vpn2/manual/web/12-5.aspx

50 人が接続している VPN Server が停止すると、50件分の切断のログが残ると思いますが、障害発生のタイミングでのエラーコードの比率は11が多いのではないかと思いますが、いかがでしょうか。

[SGCOOK]

(コード 11) で終了しました
の記録はたくさん記録されていますが、クライアントのパソコンをシャットダウンしたからではないのでしょうか？

[cedar]

サーバーではなくクライアントをシャットダウンされたのでしょうか？

[SGCOOK]

普段の利用で正常な場合でもクライアントパソコンは営業に出かけるときなどはシャットダウンして出かけます。

[SGCOOK]

普段の利用で正常な場合でもクライアントパソコンは営業に出かけるときなどはシャットダウンして出かけます。

[cedar]

>毎日、午前11:30前後　午後4:00前後　になると切断されます

ということですが、この時刻には切断は記録されていないでしょうか。

[SGCOOK]

自分でサーバーを再起動する前にはそれらしい強制切断のような記録はないです

[SGCOOK]

切断される時間は毎日10分くらい遅くなっています

[cedar]

切断されたときに、クライアント側では再接続の画面などが表示されるでしょうか？

表示されないとすると、VPN 接続自体はつながったままで、別の部分で通信に問題が生じている可能性が考えられます。

[SGCOOK]

>切断されたときに、クライアント側では再接続の画面などが表示されるでしょうか？
切断されたらサーバーをすぐ再起動しているので、そこは確認していませんでした。
確認します。

[SGCOOK]

事前共有鍵の件もありましたのでVPNが切断されているとばかり思っておりましたが
VPNは接続されていました。
クライアントからサーバーのデータベースのコネクトが切断されているようです。
これからまたVPNも含めて調べていきます。

[cedar]

VPN サーバーの再起動で回復するということなので、全くの無関係とも考えにくいと思われます。
再起動の際は、VPN Server のサービスだけを再起動しているでしょうか、それとも OS ごと再起動しているでしょうか。

[SGCOOK]

OSごと再起動しています。

[cedar]

例えば、ローカルブリッジの動作不良が起きているような場合には、VPN Server のサービスだけ再起動することで回復する可能性があります。
逆に、これで回復しなければ、VPN Server 以外の部分に問題があることが分かるのではないかと思います。

[SGCOOK]

ローカルブリッジ機能は利用していません。

[cedar]

VPN 経由でアクセスしている DB サーバーとは、どのように接続されているでしょうか？

[SGCOOK]

データベース接続用のコネクトシステムがあってサーバー側は特定のポートを開ければ接続できるしくみです。

[cedar]

仮想HUBは、初期設定では、(VPN サーバー自身を含めて)仮想 HUB 外部と通信することはできません。
SecureNAT など、仮想 HUB とデータベースサーバーをつなぐ、何らかの設定を行われていないでしょうか？

[SGCOOK]

SoftEther VPN Server <->SoftEther VPN Client で接続すれば
LANと同じ感覚で利用していますが...

[SGCOOK]

SecureNATの設定はしています

[cedar]

DBサーバーへの接続には、VPN サーバーのグローバル IP アドレスを指定されている感じでしょうか？

[SGCOOK]

VPNサーバーのプライベートアドレスを指定です。

[cedar]

SecureNAT のモードが切り替わってしまっているのかもしれませんね。
カーネルモード SecureNAT を無効化したほうが良いかもしれません。

https://ja.softether.org/4-docs/3-kb/VPNFAQ036

[SGCOOK]

DisableKernelModeSecureNAT=1にしました

[SGCOOK]

先ほど切断されました
VPNは接続されていましたが、サーバーのプライベートアドレスにPingが通りませんでした。

[cedar]

確認ですが、VPN Azure クラウドサービスは使用されていないでしょうか？
VPN Azure サービスは、最近、通信が不安定となるケースが多く報告されています。

[SGCOOK]

VPN Azureは利用していません。

[cedar]

クライアントからの接続モードが NAT トラバーサルになっていたり、UDP 高速化モードが有効な場合、パケットが欠落する状態になっても検出されない可能性があります。

接続先指定の横の「NAT-T無効」と、高度な通信設定のUDP高速化モード無効を設定すると状況が変わるでしょうか。

[SGCOOK]

>接続先指定の横の「NAT-T無効」と、高度な通信設定のUDP高速化モード無効を設定すると状況が変わるでしょうか。
クライアント側の設定ですね？やってみます。

[SGCOOK]

まだ、設定変更の確認はしておりませんが
先ほど、切断したのでサーバー再起動しました。
その後ログを見ると、再起動後にDOS攻撃が沢山あります。再起動前にはDOS攻撃の記録はないです。

[SGCOOK]

ログを見ると
大量のブロードキャストパケットを検出しました。ポリシーに従ってパケットを破棄する場合があります。......
の記録が結構ありまして、SQL型データベースなのでそのように記録されているのかなと思っておりますが...

[cedar]

一般的な SQL サーバーでは大量のブロードキャスト通信を行うことはないと思われます。
キャプチャしてみて、同内容のパケットが繰り返されているようであれば、ブロードキャストストームと呼ばれるネットワーク構成の異常が疑われます。

[SGCOOK]

ネットワークは
１．データベースサーバー用 SoftEther VPN で接続
２．ファイルサーバー用　VPNルータで接続（YAMAHA VPN ルータ　利用）
の２つ

ファイルサーバーにアクセスすると
大量のブロードキャストパケットを検出しました。ポリシーに従ってパケットを破棄する場合があります。......
が記録されているようです

[SGCOOK]

いや
何もしていなくても
大量のブロードキャストパケットを検出しました。ポリシーに従ってパケットを破棄する場合があります。......
の記録はあります。（行数は５行くらいですが）

[cedar]

偶然一時的にブロードキャストが多かった場合でも、このメッセージは記録されます。
しかし、通常よりも多くのブロードキャストパケットの送信が長時間続いていて、他の通信の妨げになっているようであれば、何か問題がある可能性が疑われます。
可能であれば、現象が起きている間のパケットログを取得するか、パケットキャプチャを行ってみてください。

[SGCOOK]

Dos攻撃も考えられないでしょうか？

[cedar]

このメッセージは仮想 HUB 内部の通信についての表示なので、（少なくともこのメッセージ単体では）DoS 攻撃は考えられません。

[SGCOOK]

切断し始めたのは9月6日からですがそれ以降
TCP リスナー (ポート 443) に対する DoS アタックを検出しました。が記録されています。
9月5日以前のログを調べても　TCP リスナー (ポート 443) に対する DoS アタックを検出しました。　の記録はないです
会社が休みの日は数人の利用はありますが　TCP リスナー (ポート 443) に対する DoS アタックを検出しました。　の記録もなく　切断もされないです。
誰かのパソコンがウィルスに感染してDoS攻撃しているのかもと思い駆除ソフトで検索させていますが　状況は変わってないです。

[cedar]

DoS 攻撃のログでは、ファイルサーバーのIPアドレスから攻撃を受けていると表示されるという認識ですが間違いないでしょうか。

[SGCOOK]

そうです。
YAMAHAのルーターで構築している別のVPN用のグローバルアドレスです。

[cedar]

例えば、何かが VPN 越しに、そのルーターのNATのLAN側のアドレスをデフォルトゲートウェイとして取得してしまって、そこから VPN 接続を試みている状態になっているといった可能性は考えられると思います。
ただ、これを確認する簡単な方法は思いつきません。

ブロードキャストパケットの問題について、問題が生じている時刻のパケットログを取ってみるのは有効かもしれません。

[SGCOOK]

TCP リスナー (ポート 443) に対する DoS アタックを検出しました。接続元は IP アドレス ***.***.***.***, ポート番号 **** です。このコネクションは強制切断します。送信元 IP アドレスは 192.168.40.***, 宛先 IP アドレスは 224.0.0.251 です。
宛先は224.0.0.251はマルチキャストで使われているアドレスのようです。営業所にはIPカメラが設置されています。

仮想NAT機能が気になっていますが有効にしています。MTU値=1500バイト　TCPセッションのタイムアウト=28800秒　UDPセッションのタイムアウト=28800秒

[cedar]

仮想 HUB では、マルチキャストのパケットはブロードキャストとして扱われ、すべてのセッションに転送されてしまいます。
IP カメラが動画をマルチキャストで配信しているとすると、それがネットワークに大きな負荷を掛けてしまっている可能性も考えられます。
アクセスリスト機能で、224.0.0.251 宛のパケットを遮断するようにしてみると、良いかもしれません。

[SGCOOK]

遮断の設定をして　「TCP リスナー (ポート 443) に対する DoS アタックを検出しました。」
の記録はなくなりましたが　切断されました。

[cedar]

マルチキャストによる通信が DoS 攻撃として認識されることはありませんので、DoS 攻撃が検出されなくなったことは無関係と思われます。
マルチキャストの抑制は「大量のブロードキャストパケットを検出しました。」に対する対策です。

やはり、マルチキャストとは別にパケットのループが生じているのではないかと思います。
パケットをキャプチャして、状況を確認することをお勧めします。

[SGCOOK]

パケットログはデフォルトのDHCP 以外もでしょうか？

[cedar]

トラブル発生中とそうでないときで、全イーサネットパケットのログがあると、ループ発生が原因かどうかは見分けられると思います。
もし、ループ発生であれば、問題発生中、同一内容のパケットが大量に記録されるはずです。

[SGCOOK]

パケットログを調べています
SoftEther VPN Client から　wsd(5357)ポートに結構パケットが流れていますが問題ないでしょうか？
このような記事があります↓
https://docs.microsoft.com/ja-jp/securi ... 9/ms09-063

[cedar]

VPN Client のプロセスからパケットが出ているでしょうか。
また、パケットは TCP でしょうか、UDP でしょうか。

[SGCOOK]

ルータのUPnPを利用しないにしたら記録からなくなりました。
その他、サーバーに流れる不審な（流れる必要のない）パケットをブロックしたら、今のところ切断しなくなりました。
IPカメラを各営業所で利用しているのですが、多くのパケットを流していた可能性もあるかと思いますがIPカメラの設定については
わかりません。

[SGCOOK]

おかげさまで、マルチキャストパケットを遮断することで切断しなくなりました。
SoftEtherの設定機能は細かい設定が可能なので凄いです。
残りARPパケット：FF-FF-FF-FF-FF-FFが気になるところです。