仮想L3スイッチによる接続で部分的にPINGが通らない

SoftEther VPN に関するご質問はこのフォーラムにお気軽にご投稿ください。
Post Reply
tosca2010
Posts: 5
Joined: Mon May 06, 2019 1:05 am

仮想L3スイッチによる接続で部分的にPINGが通らない

Post by tosca2010 » Mon May 06, 2019 1:36 am

仮想L3スイッチで自宅LANとAWSのVPCを接続しようとしています。

【Server(AWS)側】(OS:Amazon Linux 2)
10.1.0.0/24, GW:10.1.0.1, VPN-Serverが動作するインスタンス:10.1.0.4
・仮想HUB1(自宅側とのカスケード接続用):カスケード接続ユーザー1,ローカルブリッジなし、SecureNAT無効
・仮想HUB2(AWS-サブネット用):ユーザーなし、ローカルブリッジ1(*1), SecureNAT無効
・仮想L3スイッチは後述
(*1) ブリッジbr0を作成して、tap_tap0 とeth0をインタフェースとして、VPN-Serverには「tap0」で仮想HUB2に登録

【自宅側】(Windows7, アクセスポイント、タブレット、その他なんでも)
192.168.1.1/24, GW:192.168.1.1, VPN-Serverが動作するPC:192.168.1.3
・仮想HUB3(カスケード接続元):ユーザーなし、ローカルブリッジ1(デフォルトのもの),SecureNAT無効

【仮想L3スイッチ】(Server側)
192.168.1.254/24: 仮想HUB1
10.1.0.254/24: 仮想HUB2

【デフォルトゲートウェイ設定】
自宅側: 192.168.1.1 に静的ルーティング設定: 10.1.0.0/24 -> 192.168.1.254
Server側: AWSではデフォルトゲートウェイに設定ができないので、インスタンスで192.168.1.0/24->10.1.0.254にまわす設定をした。

☆結果
1. PC->AWS
 ・192.168.1.3からpingを打ったところ、10.1.0.4(VPN-Serverのインスタンス)までは届いた。
 ・しかし、10.1.0.1(デフォルトルータ)に届かない。別のインスタンスにも通らない。
2. AWS->PC
 ・10.1.0.4からpingを打ったところ、192.168.1.3(VPN-BridgeのPC)には届かない。
 ・しかし192.168.1.3以外なら、どんな機器へもpingが通る。

以上のような状況となっております。特にPC->AWSがひどい状況でこれを打開するために注意点や誤りなどご教示いただけませんでしょうか。
よろしくお願いいたします。

cedar
Site Admin
Posts: 2070
Joined: Sat Mar 09, 2013 5:37 am

Re: 仮想L3スイッチによる接続で部分的にPINGが通らない

Post by cedar » Tue May 07, 2019 9:46 am

> 10.1.0.1(デフォルトルータ)に届かない
デフォルトルータは 192.168.1.0/24 への経路を知らないので、これは当然と思われます。
他のインスタンスでは経路を設定されているでしょうか。

tosca2010
Posts: 5
Joined: Mon May 06, 2019 1:05 am

Re: 仮想L3スイッチによる接続で部分的にPINGが通らない

Post by tosca2010 » Tue May 07, 2019 11:37 am

ご教示ありがとうございます。
早速、別のインスタンス(10.1.0.6)に帰り道を設定しようとしたところ、
そもそも10.1.0.6から仮想L3スイッチ(10.1.0.254)にpingが飛ばないことがわかりました。
そこで10.1.0.254のMACアドレスをarpで設定したのですが、まだpingが通りませんでした。
さらに10.1.0.254へのリクエストを10.1.0.4(br0)に送るように設定しましたが、
pingが通りませんでお手上げになってしまいました。
ネットワークの知識に疎くてすみません。

cedar
Site Admin
Posts: 2070
Joined: Sat Mar 09, 2013 5:37 am

Re: 仮想L3スイッチによる接続で部分的にPINGが通らない

Post by cedar » Wed May 08, 2019 10:18 am

そうなると、ローカルブリッジが機能していないように思えます。
サービス側でVMから入出力されるパケットのうち、VM自身のMACアドレス以外をフィルタしているのかもしれません。

tosca2010
Posts: 5
Joined: Mon May 06, 2019 1:05 am

Re: 仮想L3スイッチによる接続で部分的にPINGが通らない

Post by tosca2010 » Thu May 09, 2019 10:48 am

この問題は何かAWSの方の仕様に係わる気がしてきました。
AWSの識者にも力添えをお願いしようと思います。

どうもありがとうございました。

tosca2010
Posts: 5
Joined: Mon May 06, 2019 1:05 am

Re: 仮想L3スイッチによる接続で部分的にPINGが通らない

Post by tosca2010 » Sat May 11, 2019 10:39 pm

お世話になっています。
問題がかなり特定できてきました。

1. 192.168.1.3から10.1.0.4にpingは通っている。
2. 192.168.1.3から10.1.0.6にpingが通らない。
 ・このとき、仮想HUB1のログにはecho requestが届いているが、仮想HUB2のログには届いていない。
3. 2.の状況下で、10.1.0.6から192.168.1.254にpingを打つと、瞬時に192.168.1.3 -> 10.1.0.6 が通るようになる。

現象をみると、仮想L3スイッチの192.168.1.254 -> 10.1.0.254 の間でうまくルーティングができていない
ように見えます。

こんなことってあるのでしょうか?

tosca2010
Posts: 5
Joined: Mon May 06, 2019 1:05 am

Re: 仮想L3スイッチによる接続で部分的にPINGが通らない

Post by tosca2010 » Mon May 13, 2019 9:26 am

解決しました。ARPの問題でした。
192.168.1.254側が行き先のMACアドレスを知ろうとしてARPのブロードキャストを流すのですが、
それが10.1.0.4で止まっていました。それで、10.1.0.4からpingが飛ぶと、MACアドレスがわかるので
その瞬間につながってしまうのでした。

10.1.0.4でARP PROXYをすることで解決しました。
以上です。

Post Reply