Page 1 of 1

[SOLVED]SecureNAT+ローカルブリッジしないとローカルPCで通信できない?(ローカルWebサーバとの相互通信用途の構成は?)

Posted: Thu Apr 04, 2019 3:37 am
by hiro-gj
皆さまこんにちは

SoftEtherVPN Server 4.29 b 9680

--【質問1】--
「SecureNAT」(仮想 NAT および仮想 DHCP サーバー)を有効にした場合、
通常ならばSoftEtherVPNサーバがインストールされたローカルPC上では
「SecureNAT」のゲートウェイ(初期値:192.168.30.1)への通信は出来るものでしょうか?

私のPC環境の場合、
ネットワークに接続されたLANインターフェースを「ローカルブリッジ」しないと、
「SecureNAT」のゲートウェイ(初期値:192.168.30.1)からPingリプライが確認できませんでした。
※記録動画(取得有効期限1日)
https://send.firefox.com/download/61cd2 ... NKC_zXXvQg

<参考にした情報>
https://ja.softether.org/4-docs/1-manual
11.1.10 VPN Server をインストールしたにもかかわらず外部からその VPN Server に接続してもローカルネットワークにアクセスできない場合
>大半の場合は仮想 HUB と物理的な LAN カードとの間のローカルブリッジ接続を忘れています。
>「3.6 ローカルブリッジ」 を参照して、ローカルブリッジ接続を正しく設定してください。
>簡易的なリモートアクセスサーバーとして利用する場合は、「3.7 仮想 NAT および仮想 DHCP サーバー」 で解説されている仮想 NAT 機能を使用することもできます。

3.7.4 仮想 NAT 機能の注意事項
>・パケットの無限ループが発生するような接続方法の防止
>通常、ローカルブリッジ接続や VPN Client によって localhost に対して VPN 接続するような接続方法と、仮想 NAT 機能を同時に使用することはありません。


--【質問2】--
上記は、本来使いたい「クラウドサーバ」での動作の切り分けのために実施していました。
(結果通信ができる方法があれば良いと思っています。)
「クラウドサーバ」では上記と同じく「ローカルブリッジ」を作っても
「SecureNAT」のゲートウェイ(初期値:192.168.30.1)からPingリプライが確認できませんでした。

従って、「3.6.6 プロミスキャスモードに対応していない LAN カードの使用」に従い、
「bool NoPromiscuousMode true」を実施しましたが、状況が変わりませんでした。

<参考にした情報>
https://ja.softether.org/4-docs/1-manual
3.6.6 プロミスキャスモードに対応していない LAN カードの使用


以上です。
よろしくお願いします。

Re: SecureNAT+ローカルブリッジしないとローカルPCで通信できない?

Posted: Thu Apr 04, 2019 7:38 am
by hiro-gj
皆さま

すみません【質問2】については勘違いがあり情報修正させていただきます。

 >「クラウドサーバ」では上記と同じく「ローカルブリッジ」を作っても
 >「SecureNAT」のゲートウェイ(初期値:192.168.30.1)からPingリプライが確認できませんでした。

→「ローカルブリッジ」に設定したLAN側NICに「SecureNAT」と同じNWセグメントのIPアドレス(例:192.168.30.254)を振ったら
「SecureNAT」のゲートウェイ(初期値:192.168.30.1)からPingリプライが確認できました。

Re: SecureNAT+ローカルブリッジしないとローカルPCで通信できない?

Posted: Thu Apr 04, 2019 11:56 am
by hiro-gj
皆さま

とりあえず予定していた双方向通信は出来たのでご報告します。
※添付:双方向通信が出来た接続構成.png

 クラウドサーバ:「さくらのVPS for Windows Server」
 LTEルータ:I/Oデータさんから借用中の「UD-LT1/EX」

しかしなぜ、
 ・そもそもSecureNAT+ローカルブリッジしないとならなかったのか?
 ・サーバ側NICにエイリアスのIPアドレスが必要だったのか?
この辺が全く判っておりません。。
(やってみたら繋がったという状況です。)

引き続き解説を頂きたくよろしくお願いします。

Re: SecureNAT+ローカルブリッジしないとローカルPCで通信できない?

Posted: Fri Apr 05, 2019 10:26 am
by cedar
[quote]「SecureNAT」(仮想 NAT および仮想 DHCP サーバー)を有効にした場合、
通常ならばSoftEtherVPNサーバがインストールされたローカルPC上では
「SecureNAT」のゲートウェイ(初期値:192.168.30.1)への通信は出来るものでしょうか?[/quote]

できない状態が正常です。

一般的な使用方法では、VPN サーバーが SecureNAT の仮想ホストと通信できる必要はありません。
例えると、ブロードバンドルーターの WAN 側ポートと LAN 側ポートを接続して通信させるようなもので、異常な動作を招くため、このような設定は推奨されません。

Re: SecureNAT+ローカルブリッジしないとローカルPCで通信できない?

Posted: Fri Apr 05, 2019 5:38 pm
by hiro-gj
cedarさん
解説ありがとうございます

同一PC内からSecureNATに接続したい場合は、
ローカルブリッジでは無く
そのServerと共にClientもインストールして
そのClientから接続するのが推奨される方法でしょうか?

Re: SecureNAT+ローカルブリッジしないとローカルPCで通信できない?

Posted: Fri Apr 05, 2019 8:47 pm
by cedar
SecureNAT は、NAT 機能と DHCP サーバー機能ぐらいしか提供しておらず、いずれも VPN サーバーのホストからアクセスできる必要はないはずです。
どういった目的でしょうか?

Re: SecureNAT+ローカルブリッジしないとローカルPCで通信できない?

Posted: Sat Apr 06, 2019 2:05 am
by hiro-gj
cedarさんお世話になります。
cedar wrote:
Fri Apr 05, 2019 8:47 pm
SecureNAT は、NAT 機能と DHCP サーバー機能ぐらいしか提供しておらず、いずれも VPN サーバーのホストからアクセスできる必要はないはずです。
どういった目的でしょうか?
⇒「#64059_構成図(20190406修正).png」も添付しました。
この図を元に以下情報を展開させていただきます。
※なお修正内容は一部IPアドレスのタイプミスを直しただけで上のスレッドに添付した図と基本的に構成は変わっていません。

【目的】
 ・VPNサーバのホスト(クラウドサーバ:さくらのVPS for WindowsServer)上のWebサイトにLTEルータによるVPNでアクセスしたい。
 ・そのWebサイトからLTEルータを経由してリモートの機器(図ではノートPCで書きました)内の制御サーバへアクセスしたい。
 ※相互にsourceおよびdestinationになる双方向の通信が必要です。

【この構成図に至る試行錯誤】
 ①クラウドサーバ上のSoftEtherVPN Serverで「SecureNAT」「L2TP(暗号化されていない)」および、
  リモートのLTEルータのmodemインターフェースをBridge、NAT:MASQ、ルーティング:192.168.30/24をすることで、
  リモートでは「SecureNAT」のゲートウェイ(192.168.30.1)およびその仮想DHCPから割り当てられた192.168.30.10からPingリプライは確認できた。
  では192.168.30.1または192.168.30.10でWebサイトにアクセス出来るのか?と思っていたが出来なかった。
 ②クラウドサーバ上で「SecureNAT」のゲートウェイ(192.168.30.1)でWebサイトへアクセス出来るのか試したが出来なかった。
 ③クラウドサーバの物理localNICと「ローカルブリッジ」するだけで②が出来るか試したが出来なかった。
 ④あきらめてクラウドサーバの物理localNICに固定IPアドレス(192.168.30.254あるいは10.10.10.10)を振ってWebサイトアクセスを確認した。
  *ただしこの時点ではクラウドサーバのローカル上のみでのアクセスの確認。リモートからはまだアクセスできない。
 ⑤同時に物理localNICに192.168.30.254を割り振ることで「SecureNAT」のゲートウェイ(192.168.30.1)にPingリプライ出来ることを確認した。
  *ただしリモートからは192.168.30.254のPingリプライは確認できない。
 ⑥この⑤によってクラウドサーバからリモートのLTEルータのLAN側(192.168.8.1および192.168.8.10)へPingリプライが確認できた。
 ⑦クラウドサーバの物理localNICに10.10.10.10そのIPエイリアスとして192.168.30.254を振り、
  リモートのLTEルータでルーティング:10.10.10.10/32をすることでリモートから10.10.10.10でWebサイトアクセスが出来るようになった。
  *ただしリモートからは192.168.30.254のPingリプライおよびWebサイトアクセスは出来ない。
   念のためリモートのLTEルータにルーティング192.168.30.254/32の追加も試したが同じく出来なかった。
  *クラウドサーバの物理localNIC内の10.10.10.10と192.168.30.254はどちらをIPエイリアスにしても通信の状態は同じように見えたが、
   とにかくリモートからは192.168.30.254のPingリプライは確認できない。
 ⑧Webサイトからリモートの機器(192.168.8.10)内の制御サーバへアクセス出来なかったが、
  リモートのLTEルータでDNATすることで出来るようになった。

【補足】
 実はクラウドサーバに使っている「さくらのVPS for WindowsServer」は他に2台(計3台)契約しており、
 一年ほど前に契約した1台のサーバで同じく試すと、そちらは「SecureNAT」して「ローカルブリッジ」なし、
 クラウドサーバの物理localNICに何等かのIPアドレス(例:10.10.10.22、IPエリアスなし)を割り当てれば、
 リモートからWebサイト(例:10.10.10.22)へアクセス出来るのです。
 *ただしリモート側へのPingリプライは出来ません。(出来るようにする追い込み試験は行っていません。まだ。)
 従ってクラウドサーバ基盤でも若干違いは発生しているのだろうなとは思っています。例えば物理NICの種類やVMの構成設定など。

以上です。
よろしくお願いします。

Re: SecureNAT+ローカルブリッジしないとローカルPCで通信できない?

Posted: Sun Apr 07, 2019 10:20 pm
by cedar
目的の部分は理解できますが、

> クラウドサーバ上で「SecureNAT」のゲートウェイ(192.168.30.1)でWebサイトへアクセス出来るのか試したが出来なかった。

このテストの意図が分かりません。
このクラウドサーバとは、SecureNATが動作しているホスト自身ですよね?
自分自身をデフォルトゲートウェイにすると、無限ループとなりインターネットとの通信は行えなくなると思います。

Re: SecureNAT+ローカルブリッジしないとローカルPCで通信できない?

Posted: Mon Apr 08, 2019 12:27 am
by hiro-gj
cedarさんお世話になります。
> クラウドサーバ上で「SecureNAT」のゲートウェイ(192.168.30.1)でWebサイトへアクセス出来るのか試したが出来なかった。

このテストの意図が分かりません。
このクラウドサーバとは、SecureNATが動作しているホスト自身ですよね?
自分自身をデフォルトゲートウェイにすると、無限ループとなりインターネットとの通信は行えなくなると思います。
いえ、SecureNATが動作しているホストのデフォルトゲートウェイには設定していません。
私の認識違いで「SecureNAT」の192.168.30.1は、ローカルの仮想NICとして動作していると思っていたので、
192.168.30.1でWebサイトにアクセスできるのかな?と叩いたが表示しなかった、という事です。

なお「ローカルブリッジ」で対応付けした物理localNICの設定は次のようになっています。
メインのIPアドレス:10.10.10.10
IPエイリアス:192.168.30.254
デフォルトゲートウェイ:設定なし(空欄)

よろしくお願いします。

Re: SecureNAT+ローカルブリッジしないとローカルPCで通信できない?

Posted: Mon Apr 08, 2019 12:33 am
by cedar
状況は了解しました。

ローカルブリッジは、クラウド上のグローバル IP セグメントと仮想 HUB をブリッジ接続してしまうため、
VPN クライアントの設定によっては意図しない脆弱性の原因となる可能性があります。
VPN サーバー自身が物理的な LAN とは独立したセグメントとして仮想 HUB のセグメントにアクセスしたい
場合には、tap モードのローカルブリッジか、VPN Client を使用する方法をおすすめします。

tap モードのローカルブリッジは Windows では使用できないので、このケースでは VPN Client を導入する
方法が良いと思われます。

このとき、VPN 接続の前に仮想 LAN カードに静的な IP アドレスを設定するようにして、DHCP などで
仮想 LAN カードにデフォルトゲートウェイが設定されないように注意してください。
仮想LANカードにデフォルトゲートウェイが設定されるとクラウドサーバーにアクセスできなくなります。

Re: SecureNAT+ローカルブリッジしないとローカルPCで通信できない?

Posted: Mon Apr 08, 2019 1:15 am
by hiro-gj
cedarさんありがとうございます。
tap モードのローカルブリッジは Windows では使用できないので、このケースでは VPN Client を導入する
方法が良いと思われます。
なるほど、今までのForumでも”Linuxはtapを”という話題になっていたので、
そういう事なのだろうなとは思っていました。

ありがとうございます、試してみます。

Re: SecureNAT+ローカルブリッジしないとローカルPCで通信できない?

Posted: Mon Apr 08, 2019 4:51 am
by hiro-gj
cedarさん、皆さん

⇒構成図を「#64059_構成図(SEClient利用に修正20190408).png」に修正しました。

※この構成の場合、リモートから192.168.30.254へもpingリプライが確認できますが、
 一応今までの構成に合わせて10.10.10.10も構成に加えました。

ちなみに、SE Clientの「接続先VPNサーバ」のアドレスは、GlobalNICのIPアドレスの指定しかないですよね?
「接続先VPNサーバ」としてSecureNATのIPアドレス(192.168.30.1)へは接続できませんでした。

以上です。

Re: SecureNAT+ローカルブリッジしないとローカルPCで通信できない?

Posted: Mon Apr 08, 2019 5:02 am
by cedar
192.168.30.1 は VPN サーバーではなく、仮想的なルーターのアドレスなので、どのような状態でもVPN 接続はできません。

クラウドサーバ上の VPN Client から、自分自身の仮想 HUB に接続する場合は、グローバル IP アドレスを指定する代わりにlocalhost(127.0.0.1)を指定することもできます。

Re: SecureNAT+ローカルブリッジしないとローカルPCで通信できない?

Posted: Mon Apr 08, 2019 6:45 am
by hiro-gj
cedarさん
クラウドサーバ上の VPN Client から、自分自身の仮想 HUB に接続する場合は、グローバル IP アドレスを指定する代わりにlocalhost(127.0.0.1)を指定することもできます。
ありがとうございます。localhostで接続できました。
本件は「解決」にさせていただきたく思います。

⇒「#64059_構成図(SEClient利用,接続サーバlocalに変更20190408).png」に変更しました。
皆さま、よろしければご参考ください。

Re: [SOLVED]SecureNAT+ローカルブリッジしないとローカルPCで通信できない?(ローカルWebサーバとの相互通信用途の構成は?)

Posted: Thu Apr 11, 2019 9:41 am
by hiro-gj
(補追1)
 構成図の192.168.30.254へリモートからの通信が出来なかったのは、
 SecureNATで払い出すゲートウェイアドレスの指定を間違って192.168.30.1にしていたためでした。
 SecureNATで払い出すゲートウェイアドレスを192.168.30.254にすることで通信が出来ました。

(追補2)
 LTEルータの仕様か、VPN確立後、何等かリモート側から通信が始まらないと
 サーバ側から通信を始めることが出来ませんでしたが、
 このUD-LT1/EXの機能で、[アプリケーション設定]-[ICMP検出] :宛先アドレスを、
 サーバ側ローカルPC内に張ったSEClientの仮想NICのIPアドレス宛へ指定して動作させることで、
 VPN確立すればあたかも何時でもサーバ側から通信も行えるように運用することができました。