Page 1 of 1

Android,iphoneからの接続

Posted: Sat Jan 11, 2020 1:52 am
by beginnerSS
お世話になります。
PCからCentOSのサーバー機への接続はできているんですが、そのサーバー機にスマホからの接続がうまくいきません。手順としてはサーバー機のsoftetherVPNのvpnserver.xmlに、500udpと4500udpのポートを登録し、同時にwrapperでこの二つのポートを開けてみました。さらにwindowsPCのSoftEtherVPN Server Managerを起動し、L2TP/IPsec 機能の有効を行いました。そうしてスマホにVPNを設定して通信を試みると、しばらく接続を試みていますが「切断されました」が出てしまいます。またこの際、ホスト名はAzure?のDDNSホスト名を登録してあります。
何とか手掛かりがいただきたいのですが... どうぞよろしくお願いいたします。

Re: Android,iphoneからの接続

Posted: Tue Jan 14, 2020 10:20 am
by cedar
VPN Azure は、インターネット上の中継サービスですが、L2TP には対応していません。
softether.net の方のアドレスを指定してください。

Re: Android,iphoneからの接続

Posted: Tue Jan 14, 2020 11:28 am
by beginnerSS
ご回答ありがとうございます。
私の誤解でした。Azureのホスト名ではなく、*************softether.netというDDNSのホスト名で指定していますが、「接続中」がしばらく続いたのち「切断されました」と出ます。勘違いで申し訳ありません。アドバイスよろしくお願いいたします。

Re: Android,iphoneからの接続

Posted: Wed Jan 15, 2020 1:22 am
by cedar
成功しているPCからの接続にも L2TP を使用しているでしょうか?

Re: Android,iphoneからの接続

Posted: Wed Jan 15, 2020 2:05 am
by beginnerSS
回答ありがとうございます。
ただ私通信に詳しくありません。L2TPの使用はPC以外の接続についてweb上の情報から設定を追加したと思います。従来の繋がっている通信がL2TPを使用しているか否かは何を確認すればわかるでしょうか?
初歩的な質問で申し訳ありません。よろしくお願いいたします。
PCからの接続は、SoftEtherVPN Clientから行っていました。

Re: Android,iphoneからの接続

Posted: Wed Jan 15, 2020 3:53 am
by cedar
SoftEther VPN Client からの接続は SoftEther VPN プロトコルとなり、L2TP ではありません。

VPN サーバーにグローバル IP アドレスは割り当てられているでしょうか。
SoftEther VPN プロトコルの場合には、NAT トラバーサル機能によって、NAT 内のサーバーに接続できますが、L2TP の場合には NAT 内の VPN サーバーに接続するには、NAT 側のポート転送の設定が必要です。

Re: Android,iphoneからの接続

Posted: Wed Jan 15, 2020 5:11 am
by beginnerSS
何度も申し訳ありません。
サーバーにはグローバルIPはふられていません。DDNSのホスト名で指定しています。
また現状のルーターではポート転送は行っていません。これが原因でしょうか?
その場合、ルーターにポート転送というのは5555ポートををサーバーにしているPCの192.168.....のローカルIPに転送するということでしょうか?
ルーターの静的NAT転送でWANからの5555ポートをサーバー機のローカルポートに転送しましたが、接続できませんでした。アドバイスよろしくお願いいたします。

Re: Android,iphoneからの接続

Posted: Wed Jan 15, 2020 5:37 am
by cedar
DDNS のホスト名では、ルーターが持っている(はずの)グローバル IP アドレスまでしか指してくれず、ローカル IP アドレスには直接アクセスできません。
(もちろん、ルーターに ISP からグローバル IP アドレスが割り当てられていない場合には、転送を設定しても動作しません。)

L2TP/IPsec で使用するポートは UDP/500 と UDP/4500 なので、これらを VPN サーバーのローカル IP アドレスに転送してみてください。

Re: Android,iphoneからの接続

Posted: Wed Jan 15, 2020 6:01 am
by beginnerSS
ご回答ありがとうございます。
ご指摘のUDP500,UDP4500をルーターの静的NAT転送で、サーバー機のローカルIPに設定しましたが、やはり切断されます。何度も申し訳ありません。アドバイスよろしくお願いいたします。

Re: Android,iphoneからの接続

Posted: Wed Jan 15, 2020 6:26 am
by cedar
ルーターの設定画面で確認できるWAN側のIPアドレスと、インターネット上でDDNS名を指定してpingなどした時に名前解決されるIPアドレスは同一になっているでしょうか。
先のポストのように、ISPによってはグローバル IP アドレスを提供していないものもあります。

Re: Android,iphoneからの接続

Posted: Thu Jan 16, 2020 3:24 am
by beginnerSS
ご回答ありがとうございます。
返信が遅くなり申し訳ありません。
ルーターで確認したWAN側IPと、DDNS名でpingを実行した時返ってくるIPは一致しています。
よろしくお願いいたします。

Re: Android,iphoneからの接続

Posted: Thu Jan 16, 2020 3:35 am
by cedar
スマホからの VPN 接続発信時に、VPN Server のログには、何か記録は残っているでしょうか。

Re: Android,iphoneからの接続

Posted: Thu Jan 16, 2020 5:13 am
by beginnerSS
ご回答ありがとうございます。
内容が十分理解できませんが、。コピーしたログの下の方にある..

「2020-01-16 13:56:58.526 [HUB "CntOSVpnHub"] コネクション "CID-31": ユーザー認証に失敗しました。提示されたユーザー名は "user" でした。
2020-01-16 13:56:58.546 コネクション "CID-31" は理由 "ユーザー認証に失敗しました。" (コード 9) で終了しました。
2020-01-16 13:56:58.546 コネクション "CID-31" が終了しました。」

この辺りが問題でしょうか? ただスマホ側のユーザー名、パスワードは、SoftEtherVPN Server Managerのユーザー管理で設定した内容を何度も書き直して接続を試みていますが...(設定したユーザー名はuserです。)
以下に前後の関係ありそうなログをコピーしてお送りします。
どうぞよろしくお願い致します。


2020-01-16 13:56:56.179 IPsec クライアント 3 (61.205.4.204:2159 -> 192.168.1.222:500): 新しい IPsec クライアントを作成しました。
2020-01-16 13:56:56.179 IPsec IKE セッション (IKE SA) 2 (クライアント: 3) (61.205.4.204:2159 -> 192.168.1.222:500): 新しい IKE SA (Main Mode) を作成しました。Initiator Cookie: 0x9009ECE8D55FEBE5, Responder Cookie: 0x6605218743CE3AFE, DH グループ: MODP 1024 (Group 2), ハッシュアルゴリズム: SHA-1, 暗号化アルゴリズム: AES-CBC, 暗号鍵サイズ: 256 bits, 有効期限: 4294967295 kbytes または 28800 秒
2020-01-16 13:56:56.330 IPsec クライアント 3 (61.205.4.204:4500 -> 192.168.1.222:4500): このクライアントのポート番号情報が更新されました。
2020-01-16 13:56:56.330 IPsec クライアント 3 (61.205.4.204:4500 -> 192.168.1.222:4500):
2020-01-16 13:56:56.330 IPsec IKE セッション (IKE SA) 2 (クライアント: 3) (61.205.4.204:4500 -> 192.168.1.222:4500): サーバー・クライアント間でこの IKE SA が確立されました。
2020-01-16 13:56:57.494 IPsec IKE セッション (IKE SA) 2 (クライアント: 3) (61.205.4.204:4500 -> 192.168.1.222:4500): クライアント側から QuickMode の折衝が開始されました。
2020-01-16 13:56:57.494 IPsec ESP セッション (IPsec SA) 2 (クライアント: 3) (61.205.4.204:4500 -> 192.168.1.222:4500): 新しい IPsec SA (方向: クライアント -> サーバー) を作成しました。SPI: 0x5FAA70B1, DH グループ: (null), ハッシュアルゴリズム: SHA-1, 暗号化アルゴリズム: AES-CBC, 暗号鍵サイズ: 256 bits, 有効期限: 4294967295 kbytes または 28800 秒
2020-01-16 13:56:57.494 IPsec ESP セッション (IPsec SA) 2 (クライアント: 3) (61.205.4.204:4500 -> 192.168.1.222:4500): 新しい IPsec SA (方向: サーバー -> クライアント) を作成しました。SPI: 0xF0DD239, DH グループ: (null), ハッシュアルゴリズム: SHA-1, 暗号化アルゴリズム: AES-CBC, 暗号鍵サイズ: 256 bits, 有効期限: 4294967295 kbytes または 28800 秒
2020-01-16 13:56:57.535 IPsec ESP セッション (IPsec SA) 2 (クライアント: 3) (61.205.4.204:4500 -> 192.168.1.222:4500): サーバー・クライアント間でこの IPsec SA が確立されました。
2020-01-16 13:56:58.182 IPsec クライアント 3 (61.205.4.204:4500 -> 192.168.1.222:4500): L2TP サーバーモジュールを開始しました。
2020-01-16 13:56:58.395 L2TP PPP セッション [61.205.4.204:1701]: 新しい PPP セッション (上位プロトコル: L2TP) が開始されました。PPP クライアント IP アドレス: 61.205.4.204 (ホスト名: "anonymous"), PPP クライアント ポート番号: 1701, PPP サーバー IP アドレス: 192.168.1.222, PPP サーバー ポート番号:1701, クライアント ソフトウェア名: "L2TP VPN Client", IPv4 TCP MSS (Max Segment Size): 1314 bytes
2020-01-16 13:56:58.516 TCP リスナー (ポート 0) にクライアント (IP アドレス 61.205.4.204, ホスト名 "61-205-4-204m5.grp1.mineo.jp", ポート番号 1701) が接続しました。
2020-01-16 13:56:58.516 クライアント (IP アドレス 61.205.4.204, ホスト名 "61-205-4-204m5.grp1.mineo.jp", ポート番号 1701) に対応するコネクション "CID-31" が作成されました。
2020-01-16 13:56:58.516 コネクション "CID-31" に対する SSL 通信が開始されました。暗号化アルゴリズム名は "(null)" です。
2020-01-16 13:56:58.526 [HUB "CntOSVpnHub"] コネクション "CID-31" (IP アドレス 61.205.4.204, ホスト名 61-205-4-204m5.grp1.mineo.jp, ポート番号 1701, クライアント名 "L2TP VPN Client", バージョン 4.25 ビルド 9656) が仮想 HUB への接続を試行しています。提示している認証方法は "外部サーバー認証" でユーザー名は "user" です。
2020-01-16 13:56:58.526 [HUB "CntOSVpnHub"] コネクション "CID-31": ユーザー認証に失敗しました。提示されたユーザー名は "user" でした。
2020-01-16 13:56:58.546 コネクション "CID-31" は理由 "ユーザー認証に失敗しました。" (コード 9) で終了しました。
2020-01-16 13:56:58.546 コネクション "CID-31" が終了しました。
2020-01-16 13:56:58.546 クライアント (IP アドレス 61.205.4.204, ポート番号 1701) との間のコネクションは切断されました。
2020-01-16 13:56:58.820 L2TP PPP セッション [61.205.4.204:1701]: "PAP" (Password Authentication Protocol、クリアテキストパスワード認証プロトコル) におけるユーザー認証に失敗しました。
2020-01-16 13:56:58.820 L2TP PPP セッション [61.205.4.204:1701]: PPP プロトコルエラーが発生したか、または PPP セッションが切断されました。

Re: Android,iphoneからの接続

Posted: Thu Jan 16, 2020 6:55 am
by cedar
ユーザー認証に失敗しているように見えます。
ユーザー user は標準パスワード認証に設定されているでしょうか?
また、サーバー側とクライアント側で設定したパスワードに違いはないでしょうか。

Re: Android,iphoneからの接続

Posted: Thu Jan 16, 2020 12:01 pm
by beginnerSS
ありがとうございます!!
新しくユーザーを追加し、そのユーザーとパスワードを試すと接続に成功しました。
ただ一つ問題があります。VPN経由でサーバーのwebページにアクセスしたいのですが、ページはかえってきますが、PHPのセッション管理がうまくいきません。同じページにLAN\wifiでスマホをつないだ状態でローカルIPで接続すると、セッションはちゃんと管理されています。これは解決可能でしょうか?

Re: Android,iphoneからの接続

Posted: Fri Jan 17, 2020 12:56 am
by cedar
そのサイトがどうやってセッションを管理しているか分からないので、サイトの管理者の方に確認いただくのが良いかと思います。

Re: Android,iphoneからの接続

Posted: Fri Jan 17, 2020 1:14 am
by beginnerSS
ありがとうございます。
この件解決しました。
ご対応ありがとうございました。