物理NICと仮想NICが同じセグメントのIPが割当たった場合の挙動

SoftEther VPN に関するご質問はこのフォーラムにお気軽にご投稿ください。
Post Reply
hagi-
Posts: 7
Joined: Tue Aug 25, 2020 8:31 am

物理NICと仮想NICが同じセグメントのIPが割当たった場合の挙動

Post by hagi- » Wed Sep 28, 2022 7:24 am

構成.jpg
添付の構成で組んだ際、Juniper SRXが不安定な挙動をいたしました。

意図して行ったわけでは無いのですが、
RDP ZoneにWin10のノートPCを繋ぎ、物理NICと仮想NICに同じセグメントのIPが割当たったタイミングで、
Juniper SRXの通信が不安定になりだした次第です。

仮想NICとはいえ、NICが2枚刺しで、かつデフォルトゲートウェイが同じIPを指している状況なのですが、この様な状態になるとネットワークが不安定になり得ますでしょうか?

構成としては望ましく無いかどうかを知りたい次第です。

よろしくお願いいたします。
You do not have the required permissions to view the files attached to this post.

cedar
Site Admin
Posts: 1866
Joined: Sat Mar 09, 2013 5:37 am

Re: 物理NICと仮想NICが同じセグメントのIPが割当たった場合の挙動

Post by cedar » Wed Sep 28, 2022 10:14 am

物理NICと仮想NICで同じセグメントのIPアドレスが割り当てられたPCでは、NICの優先順位によって、どちらかが無視されます。
物理NICが無視された場合は、VPN 通信を維持できなくなり、切断状態となるはずです。

OS の TCP/IP スタックが正常であれば、上流のルーターには、特に大きな悪影響はないはずです。

hagi-
Posts: 7
Joined: Tue Aug 25, 2020 8:31 am

Re: 物理NICと仮想NICが同じセグメントのIPが割当たった場合の挙動

Post by hagi- » Wed Sep 28, 2022 11:32 am

ご返信ありがとうございます。
やはり上位のルータにまで影響が及ぶのはおかしいですよね。。。

挙動としては別途Juniper SRX複数台で組んでいるVPNセッションが不安定になり、テスト中に他拠点からネットワークが切れたと連絡が入った次第です。
各拠点のJuniper SRXのグローバルにPINGを飛ばしてみたところ、数回TimeOutが発生して繋がってを繰り返している感じでした。
急いでSoftEther側のネットワークを物理的に切り離して暫く様子を見ていたのですが、切断以降も若干のTimeOutが見受けられましたが徐々に安定を取り戻して言った感じです。
同じセグメントのIPが当たることでネットワークがループしたような挙動をしたのかなと、その時は思った次第です。

テストした際はNICのメトリック値をデフォルト状態にしていたので、物理NICが優先度が高くなるように仮想NIC側のメトリック値を設定してみようと思います。

個人的には物理NICと仮想NICに同じセグメントのIPが当たらないようネットワーク構成を見直した方が良いかと思っているのですが、ご見解をお聞かせいただけると助かります。

cedar
Site Admin
Posts: 1866
Joined: Sat Mar 09, 2013 5:37 am

Re: 物理NICと仮想NICが同じセグメントのIPが割当たった場合の挙動

Post by cedar » Wed Sep 28, 2022 11:17 pm

IP アドレスとは関係のない、イーサネットレベルのループができていた可能性もありますね。
現象が再発するようなら、パケットキャプチャを取ってみるのが良いと思います。

同一 PC で IP セグメントが重なると、他の機器に障害を起こさなかったとしても、どちらかのネットワークが使用できない状態になるので、構成の見直しは必要だと思います。

hagi-
Posts: 7
Joined: Tue Aug 25, 2020 8:31 am

Re: 物理NICと仮想NICが同じセグメントのIPが割当たった場合の挙動

Post by hagi- » Fri Sep 30, 2022 1:33 pm

お礼が遅くなり申し訳ございません。
ご意見をお聞かせいただき、ありがとうございました。
色々試して、構築を進めていきたいと思います。

hiura
Posts: 108
Joined: Wed Mar 10, 2021 1:56 am

Re: 物理NICと仮想NICが同じセグメントのIPが割当たった場合の挙動

Post by hiura » Sat Oct 01, 2022 5:23 am

VPN CLIENTの高度な通信設定の「ルーティングテーブルの調整処理を行わない」にチェックが入っていると思います。
チェックを外して、トライしてみてください。不安定は解消されるのでは。

VPN通信に使用するTCPコネクションを複数使用した場合、
TCP1本目のコネクションとTCP2本目以降のコネクションのVPN接続元IPアドレスが違うためと推測。
これが原因で、ループを起こしている可能性が考えられます。
https://www.vpnusers.com/viewtopic.php?f=15&t=67780

接続元IPアドレスが異なるコネクションが発生する現象について。

・TCP1本目のコネクションが物理LANカードとVPN SERVER間で確立する(セッションが確立後、仮想NICのIPアドレスが確定?)。
・OSはルーティングテーブルに仮想NICのルートを6行追加する。
・下記は仮想NICが192.168.161.110の例です。メトリックは値が違うかもしれませんが。

0.0.0.0 0.0.0.0 192.168.160.41 192.168.161.110 2
192.168.161.0 255.255.255.0 リンク上 192.168.161.110 257<ーーー※1
192.168.161.110 255.255.255.255 リンク上 192.168.161.110 257
192.168.161.255 255.255.255.255 リンク上 192.168.161.110 257
224.0.0.0 240.0.0.0 リンク上 192.168.161.110 257
255.255.255.255 255.255.255.255 リンク上 192.168.161.110 257

※1:TCP2本目以降のコネクションはロンゲストマッチによりこのルートが採用される。



・TCP2本目以降のコネクションはロンゲストマッチ(パケットの転送先を選択するルール)により、※1のルート(仮想NIC)が採用される。
・物理NICのデフォルトGWのルートがあっても、そのルートは採用されない。
・なので、TCP2本目以降のコネクションが仮想NICとVPN SERVER間で確立する。

Post Reply