仮想レイヤ3スイッチにおいて、Server側のLANにアクセスできない

SoftEther VPN に関するご質問はこのフォーラムにお気軽にご投稿ください。
Post Reply
kske_sakai
Posts: 3
Joined: Mon May 16, 2016 6:10 am

仮想レイヤ3スイッチにおいて、Server側のLANにアクセスできない

Post by kske_sakai » Wed May 25, 2016 3:00 pm

お世話になります、お知恵をお貸しください。
Softether VPNで仮想レイヤ3スイッチを利用して2セグメントを連結しようとしていますが、上手く行きません。

現象として、VPN Bridge側から、VPN Server側ネットワークのデフォルトゲートウェイにはpingが通り、HTTPを利用しての設定画面などは開ける状態です。しかし、その他の端末にはアクセスできず、pingも通りません(同一セグメントからのpingには応答することを確認済み)。
逆に、VPN Server側のネットワークからは、VPN Bridge側へのpingは、デフォルトゲートウェイにも、その他の端末にも届くという状態です。

・その他気になる点としては
BRIDGEが動作するPC上の仮想OSのLinuxから、VPN Server側のデフォルトゲートウェイにpingを送信した場合、通常通りの応答ですが、それ以外の端末にpingを送信した場合は「Redirect Host」のメッセージが1度だけ表示されること(全てパケットロスト、Redirect HostはBRIDGE側の仮想HUB)。
BRIDGE側のネットワークから、SERVER上の、SERVER側物理ネットワークとブリッジ接続されているHUBにpingを送信した場合は応答があるのに、同じHUBにtracerouteした場合、Windowsは完了するのに、Linuxは完了しない(BRIDGEとカスケード接続されている仮想HUB以降全てのホップが*となる)。

■Softether VPNの構成
VPN Server側:Version4.21 Build 9613 Windows Server 2012 Standard(192.168.11.0/24)
VPN Bridge側:Version Build 9613 Windows 10(192.168.11.0/24)
どちらもFirewallを無効の状態で試しています。

・VPN Server上にA, Bという仮想Hubを作成
・更に仮想レイヤスイッチRouterを作成
・Router上に仮想インターフェース、
  IA(仮想HUB Aと接続、192.168.11.250/255.255.255.0)
  IB(仮想HUB Bと接続、192.168.1.254/255.255.255.0)
・仮想HUB AはVPN Serverが物理的にEthernetに接続されているNICとローカルブリッジ接続

・VPN BridgeにはBRIDGEというHUBを作成し、VPN Bridgeが物理的にEthernetに接続されているNICとローカル
・BRIDGEはVPN Server上の仮想HUB IBとカスケード接続

■物理ネットワーク関連
VPNServerが接続されている192.168.11.0/24のデフォルトゲートウェイ192.168.11.1に、ルーティングテーブルとして、
宛先:192.168.1.0/24
ゲートウェイ:192.168.11.250(仮想HUB AのIPアドレス)
メトリック:15

VPNBridgeが接続されている192.168.1.0/24のデフォルトゲートウェイ192.168.1.1に、ルーティングテーブルとして
宛先:192.168.11.0/24
ゲートウェイ:192.168.1.254(仮想HUB BのIPアドレス)
メトリック:設定なし、ルーター内ではエントリ順で最優先、他にルーティングテーブルはなし

cedar
Site Admin
Posts: 2070
Joined: Sat Mar 09, 2013 5:37 am

Re: 仮想レイヤ3スイッチにおいて、Server側のLANにアクセスできない

Post by cedar » Thu May 26, 2016 8:31 am

Windows と Linux の traceroute は見かけは似ていますが、違うプロトコルを使用するため、結果が異なるばあいがあります。
http://www.infraexpert.com/study/tcpip6.html

ただ、ご説明の通りであれば、設定内容には問題はないように見えます。
構成にVMを使用されているなどの、特殊な部分はないでしょうか。

kske_sakai
Posts: 3
Joined: Mon May 16, 2016 6:10 am

Re: 仮想レイヤ3スイッチにおいて、Server側のLANにアクセスできない

Post by kske_sakai » Fri May 27, 2016 1:01 pm

お返事ありがとうございます。

tracertとtracerouteの件、完全に不勉強でした。ありがとうございます。

仮想化についてですが、どちらのマシンも仮想OSのホストではありますが、仮想化されたOS上にはインストールされていません。
また、動作している仮想OSはブリッジ接続されており、それぞれのセグメントと同一のセグメントに属しています。

追加になってしまいましたが、192.168.1.*からのpingに192.168.11.250(VPN Serverが動作している物理ネットワークカードのIPアドレス)も応答します。
まとめるとVPN Serverの仮想インターフェース、仮想HUBと、動作している物理サーバーそのもの、デフォルトゲートウェイのみ応答するようです。
ルーティングテーブルにミスはなさそうですが、週明けにルーターを入れ替えるなどしてテストしてみます。

kske_sakai
Posts: 3
Joined: Mon May 16, 2016 6:10 am

Re: 仮想レイヤ3スイッチにおいて、Server側のLANにアクセスできない

Post by kske_sakai » Wed Jun 01, 2016 9:13 am

お世話になっています。

報告遅れましたが、192.168.11.0/24のデフォルトゲートウエイ(192.168.11.1)を別の機器に入れ替えたところ、
問題なく動作しました。
元ルーターの設定と変わりなかったので、完全に機器の不具合だったようです。お騒がせしました。

cedar
Site Admin
Posts: 2070
Joined: Sat Mar 09, 2013 5:37 am

Re: 仮想レイヤ3スイッチにおいて、Server側のLANにアクセスできない

Post by cedar » Fri Jun 03, 2016 8:25 am

NAT内同士のルーティングは、ヘアピンNATと呼ばれる特殊な状況に相当し、ルーターによっては仕様上対応していないものもあるようです。
(例えば Linux の iptables の masqualade では、ヘアピンNAT用の設定を追加しないと機能しません。)

Post Reply