【不明点】Softether VPNがWin10とRHEL7での差分

SoftEther VPN に関するご質問はこのフォーラムにお気軽にご投稿ください。
Post Reply
syuu2018
Posts: 11
Joined: Thu Nov 15, 2018 1:57 am

【不明点】Softether VPNがWin10とRHEL7での差分

Post by syuu2018 » Fri Nov 16, 2018 8:46 am

皆様、こんにちは

自宅で、Win10とRHEL7(Linux)でSoftether VPNを構築してみて、
下記不明な現象が発生しましたが、
ご存知の方がいらっしゃいましたら、是非ご教示いただけますようお願いいたします。

■Win10(192.168.1.5)でSoftether VPN稼働の場合に、
 ①リモートClientでエラーなく、vpn利用できる
 ②Win10(192.168.1.5)にログインできる
 ③他のサーバー(192.168.1.x)にログインできる

■RHEL7(192.168.1.6)でSoftether VPN稼働の場合に、
 ①リモートClientでvpn利用できるが、利用の際下記メッセージが表示される。
 ②RHEL7(192.168.1.6)に直接にログインできない。(ただし他の192.168.1.x経由すればログインできる)
 ③他のサーバー(192.168.1.x)にログインできる

※メッセージ:
** NAT Traversal 接続 - 安定性低下の可能性があります **

VPN Client は VPN Server 'localhost-vpn' に NAT トラバーサル (UDP ホールパンチング) モードで接続しました。

NAT トラバーサルによって、VPN Client は NAT やファイアウォールの背後にある VPN Server に、それらの NAT やファイアウォールでのポートフォワーディングの設定を行うことなく接続することができます。

しかし、NAT トラバーサルは UDP をベースとした通信を使用するため、VPN セッションが不安定になる原因となる場合があります。たとえば、安価な NAT ルータが VPN Server と VPN Client との間に存在する場合、NAT トラバーサル上の VPN トンネルは 5 分ごとに切断される場合があります。また、安価な ISP が大規模な NAT を使用している場合にも NAT トラバーサルは不安定になります。これはルータや ISP の品質の問題であり、SoftEther VPN の問題ではありません。

これを解決するためには、NAT トラバーサルを使用するのではなく、直接 TCP/IP によって VPN Server のリスナーポートに VPN Client が接続することができるようにします。そのためには、VPN Server のリスナーポートがインターネットに対して公開されるように、NAT におけるポートフォワーディング設定を行ってください。NAT におけるポートフォワーディング設定の方法は、NAT の管理者に問い合わせるか、NAT 製品の説明書をお読みください。

VPN Server が TCP ポートをインターネットに対して公開しているにも関わらずこのメッセージが表示される場合は、VPN Client の接続設定画面で「NAT-T 無効」をチェックしてください。

cedar
Site Admin
Posts: 2070
Joined: Sat Mar 09, 2013 5:37 am

Re: 【不明点】Softether VPNがWin10とRHEL7での差分

Post by cedar » Fri Nov 16, 2018 9:55 am

ルーターでのポート開放はどのように設定されているでしょうか。

ローカルブリッジ機能使用時に、Windows 以外の OS で、VPN サーバーのホスト自身にパケットが届かないのは仕様です。

https://ja.softether.org/4-docs/1-manua ... 9.E3.80.82

syuu2018
Posts: 11
Joined: Thu Nov 15, 2018 1:57 am

Re: 【不明点】Softether VPNがWin10とRHEL7での差分

Post by syuu2018 » Tue Nov 20, 2018 2:10 am

cedarさん

ご返信ありがとうございます。

| ルーターでのポート開放はどのように設定されているでしょうか。
  →ポート開放の設定は、デフォルト-リスナー-ポート4つの内、1194のみを開放しております。

| ローカルブリッジ機能使用時に、Windows 以外の OS で、VPN サーバーのホスト自身にパケットが届かないのは仕様です。
  →Linuxの仕様ということですね。理解できました。
   ありがとうございました!!!

cedar
Site Admin
Posts: 2070
Joined: Sat Mar 09, 2013 5:37 am

Re: 【不明点】Softether VPNがWin10とRHEL7での差分

Post by cedar » Tue Nov 20, 2018 2:46 am

1194/tcp のみ Linux 側に転送していて、443/tcp など、他のポートは Windows の方に転送しているという理解で良いでしょうか。

クライアントでは、接続先の指定として IP アドレスを指定しているでしょうか。
NAT-T の接続の際にはポート番号の指定は無視されますので、サーバーの識別には DDNS のホスト名が参照されます。
このため、同じ IP アドレス下に複数の VPN サーバーがあるとき、IP アドレス指定で接続すると別の VPN サーバーに接続される可能性があります。
NAT-T を使用せず、強制的に TCP で接続したい場合は、クライアントの接続設定で NAT-T 無効をチェックするか、接続先サーバー名の末尾に「/tcp」を追加してください。

syuu2018
Posts: 11
Joined: Thu Nov 15, 2018 1:57 am

Re: 【不明点】Softether VPNがWin10とRHEL7での差分

Post by syuu2018 » Tue Nov 20, 2018 3:50 am

cedarさん

ご返信ありがとうございます。

| 1194/tcp のみ Linux 側に転送していて、443/tcp など、他のポートは Windows の方に転送しているという理解で良いでしょうか。
  →Linux 側がデフォルトで、443/tcp、992/tcp、1194/tcp、5555/tcpをリスナーしていますが、
   ルーター側が、1194のみを開放しております。
   他のポートは転送しておりません。
   (Windowsは検証のため、一時構築しました。Linux構築後、Windowsを停止しました。)
 
  →すみません、完全に理解してないですが、上記4つのポートが違うサービスを提供してますでしょうか?
   全部開放の必要がありますでしょうか?
   4つの内1つを開放して、Client側接続時そのポートを指定すればいいと思っていました。

| クライアントでは、接続先の指定として IP アドレスを指定しているでしょうか。
  →1194のみでも、vpn***.softether.netあるいはIPアドレス、両方指定が可能と検証しました。
   NAT-Tについて、今の所、すみません、全くわかりませんので、
   もうちょっと資料を確認してから、ご回答しいます。

cedar
Site Admin
Posts: 2070
Joined: Sat Mar 09, 2013 5:37 am

Re: 【不明点】Softether VPNがWin10とRHEL7での差分

Post by cedar » Tue Nov 20, 2018 4:37 am

> 上記4つのポートが違うサービスを提供してますでしょうか?

すべてのリスナーは同一の機能を提供します。

> Windowsは検証のため、一時構築しました。Linux構築後、Windowsを停止しました。

同一 NAT 下に複数の VPN サーバーがあるときに、NAT-T 機能が VPN サーバーを識別できず、
意図しない VPN サーバーに接続してしまうケースがあるため、確認いたしました。
他の VPN サーバーが動作していないのであれば問題ないと思います。

クライアント側で NAT-T 無効を設定してみて、TCP で接続できれば問題ないはずです。

syuu2018
Posts: 11
Joined: Thu Nov 15, 2018 1:57 am

Re: 【不明点】Softether VPNがWin10とRHEL7での差分

Post by syuu2018 » Tue Nov 20, 2018 5:29 am

cedarさん

| クライアント側で NAT-T 無効を設定してみて、TCP で接続できれば問題ないはずです。
 →クライアント側で NAT-T 無効する前に、VPN利用(接続)できますが、
  NAT-T 無効したら(接続先の後ろに/tcpが追加され)、VPN利用(接続)できなくなりました。
  また何かLinux(RHEL7.4)の制限でしょうか。。
  ちなみに、firewalldやselinuxを無効化してあります。

cedar
Site Admin
Posts: 2070
Joined: Sat Mar 09, 2013 5:37 am

Re: 【不明点】Softether VPNがWin10とRHEL7での差分

Post by cedar » Tue Nov 20, 2018 6:03 am

何らかの理由でポート開放が機能していないと思われます。
設定を確認してみてください。

syuu2018
Posts: 11
Joined: Thu Nov 15, 2018 1:57 am

Re: 【不明点】Softether VPNがWin10とRHEL7での差分

Post by syuu2018 » Tue Nov 20, 2018 6:48 am

cedarさん

ご返信ありがとうございます。

Windows10とRHEL7.4のネット環境上は同じ設定してありますが、
RHEL7.4だけがTCP で接続できないのは不思議ですね。

もしかして、Oracle VirtualBoxとRHEL7.4との間何か問題があるかもしれません。(以前も似たような問題がありました。)
次は、RHEL7.4ではなく、CentOSやUbuntuでTCP で接続できるか検証しようと思います。

syuu2018
Posts: 11
Joined: Thu Nov 15, 2018 1:57 am

Re: 【不明点】Softether VPNがWin10とRHEL7での差分

Post by syuu2018 » Wed Nov 21, 2018 1:26 pm

上記、CentOSやUbuntuでTCP で接続できるか検証の続きですが、
検証した所、やはりCentOS7とUbuntu18.04も同じくTCP で接続できない状態です。

原因は設定の問題か、VirtualBoxの問題か、引き続き調査いたします。

syuu2018
Posts: 11
Joined: Thu Nov 15, 2018 1:57 am

Re: 【不明点】Softether VPNがWin10とRHEL7での差分

Post by syuu2018 » Wed Jan 16, 2019 7:09 am

cedarさん

原因が判明しました!

RHEL7にnetwork(旧)NetworkManager(新)が両方有効化になっていると思いますが、
NetworkManager(新)の方を停止したら、上記問題がなくなりました。
SoftEtherクライアント接続マネージャーで「NAT-T無効」しても、VPNに繋がります。

ありがとうございました!

Post Reply