IPoE接続のリモートアクセスで下りの通信がタイムアウトしてしまう
Posted: Fri Feb 07, 2020 2:44 am
お世話になります。
PPPoE接続環境にあるSoftether VPN Serverに対して、IPoE接続環境にあるクライアントから
リモートアクセスをした際に、下りの通信がタイムアウトしてしまい、困っております。
何か考えられる原因がありましたらご教示いただければと思います。
◆症状
サーバーのある拠点にリモートアクセスした際に、ファイルの送信は問題なく出来ているのですが
ファイルを受信しようとすると、タイムアウトしてしまいます。
ただ、下りの全ての通信がタイムアウトするわけではなく、pingはサーバとクライアント間で
相互に届いております。また、300KB程度までの容量のファイルであれば、遅いながらも受信できるのですが、
1Mを超えるような容量のファイルを受信しようとするとタイムアウトします。
一方で、上りの通信ではタイムアウトは発生せず、
容量に関係なくファイルの送信ができています。
ファイルのやりとりをする対象は拠点内に設置したNASです。
また、リモート接続後に、拠点内のルーターの管理画面などを開いた際も
画面が表示されるまで、異様に時間が掛かります。
環境は以下のとおりです。
◆環境
●サーバー側(PPPoE接続)
・Ubuntu 18.04 デスクトップ版 x64
・Softether VPN Server Version 4.29 Build 9680
・SecureNAT は無効状態
・専用に追加したNICに対してローカルブリッジを設定。管理マネージャにて「動作中」を確認。
(IPは0.0.0.0を手動設定。v6のアドレスも::に手動設定)
・ルーターの内側にサーバー設置しているため、ルーターにおいて以下の内容を設定。
・パケットフィルタにてクライアントのIPからのINを許可
・パケットフィルタにてクライアントのIP宛のOUTを許可
・パケットフィルタにてポート5555宛のINを許可(TCP/UDP共に)
・パケットフィルタにてポート5555が発信元のOUTを許可(TCP/UDP共に)
・ポート5555をサーバーのIPアドレスにポートマッピング(TCP/UDP共に)
・静的ルーティングにて、接続してきたクライアントのIPアドレス宛のゲートウェイをサーバーのIPアドレスに指定。
・サーバーマシンのファイアウォールにて以下の内容を設定。
・パケットフィルタにてクライアントのIPからのINを許可
・パケットフィルタにてクライアントのIP宛のOUTを許可
・パケットフィルタにてクライアントのリモート接続後のIPからのINを許可
・パケットフィルタにてクライアントのリモート接続後のIP宛のOUTを許可
・パケットフィルタにてポート5555宛のINを許可(TCP/UDP共に)
・パケットフィルタにてポート5555が発信元のOUTを許可(TCP/UDP共に)
●クライアント側(v6プラスとv4グローバルIPを使用したIPIPトンネルによるIPoE接続)
・Windows10 home x64
・Softether VPN Client Version 4.29 Build 9680
・NATトラバーサルは無効を選択
・UDP高速化機能は無効を選択
・ルーターにおいて以下の内容を設定。
・パケットフィルタにてサーバーのIPからのINを許可
・パケットフィルタにてサーバーのIP宛のOUTを許可
・パケットフィルタにてポート5555が発信元のINを許可(TCP/UDP共に)
・パケットフィルタにてポート5555宛のOUTを許可(TCP/UDP共に)
・Windows標準のセキュリティ機能を使用。サードパーティのセキュリティソフトは不使用。
何かしら、ファイアウォールの設定にミスがある可能性を考え、
VPN Azureを使用してアクセスしてみましたが同じ症状のままでした。
現在、原因として疑っているのは、IPoE通信におけるMTUの上限値の影響です。
NTTの資料によると、フレッツのIPoE通信におけるMTUの上限値は1500byteであり、
それを超えるパケットを受信した場合は破棄する、という記載がありました。
・東日本電信電話株式会社 IP通信網サービスのインタフェース -フレッツシリーズ-
https://flets.com/pdf/ip-int-flets-3.pdf
※ 2.4.1.2 最大転送単位(MTU)の項目に記載がありました
サーバー側でifconfigを実行したところ、ローカルブリッジに指定しているNICのMTUが
1986になっているのを確認しました。
これらのことから、以下のように推測しております。
送信する際は、クライアント側の仮想NICのMTUが1500であるため、
IPoE通信におけるMTUの上限を超えず、問題なく通信できている。
逆に受信する際は、サーバー側のローカルブリッジのNICのMTUが1986と
IPoE通信におけるMTUの上限を超えているため、それを超えるパケットがクライアント宛に送信された際に
破棄されてタイムアウトする、という状態なのではないかと考えております。
(pingや容量の小さいファイルは1500以下のパケットであるためタイムアウトしない)
過去のトピックにて、以下のものを読みました。
・ブリッジするとインターフェースのMTUが変更される。
https://forum.vpngate.net/viewtopic.php?t=61326
このトピックにおいて、「仮想HUBから送られてきたパケットに対して、ローカルブリッジしている
インターフェイスのMTUが小さい場合には自動的に拡張する機能があります。」とありますが、
この機能を無効化し、ローカルブリッジしたNICのMTUを固定することはできないでしょうか。
また、この推測が見当違いで、何か別の要因が考えられましたらご教示ください。
よろしくお願い致します。
PPPoE接続環境にあるSoftether VPN Serverに対して、IPoE接続環境にあるクライアントから
リモートアクセスをした際に、下りの通信がタイムアウトしてしまい、困っております。
何か考えられる原因がありましたらご教示いただければと思います。
◆症状
サーバーのある拠点にリモートアクセスした際に、ファイルの送信は問題なく出来ているのですが
ファイルを受信しようとすると、タイムアウトしてしまいます。
ただ、下りの全ての通信がタイムアウトするわけではなく、pingはサーバとクライアント間で
相互に届いております。また、300KB程度までの容量のファイルであれば、遅いながらも受信できるのですが、
1Mを超えるような容量のファイルを受信しようとするとタイムアウトします。
一方で、上りの通信ではタイムアウトは発生せず、
容量に関係なくファイルの送信ができています。
ファイルのやりとりをする対象は拠点内に設置したNASです。
また、リモート接続後に、拠点内のルーターの管理画面などを開いた際も
画面が表示されるまで、異様に時間が掛かります。
環境は以下のとおりです。
◆環境
●サーバー側(PPPoE接続)
・Ubuntu 18.04 デスクトップ版 x64
・Softether VPN Server Version 4.29 Build 9680
・SecureNAT は無効状態
・専用に追加したNICに対してローカルブリッジを設定。管理マネージャにて「動作中」を確認。
(IPは0.0.0.0を手動設定。v6のアドレスも::に手動設定)
・ルーターの内側にサーバー設置しているため、ルーターにおいて以下の内容を設定。
・パケットフィルタにてクライアントのIPからのINを許可
・パケットフィルタにてクライアントのIP宛のOUTを許可
・パケットフィルタにてポート5555宛のINを許可(TCP/UDP共に)
・パケットフィルタにてポート5555が発信元のOUTを許可(TCP/UDP共に)
・ポート5555をサーバーのIPアドレスにポートマッピング(TCP/UDP共に)
・静的ルーティングにて、接続してきたクライアントのIPアドレス宛のゲートウェイをサーバーのIPアドレスに指定。
・サーバーマシンのファイアウォールにて以下の内容を設定。
・パケットフィルタにてクライアントのIPからのINを許可
・パケットフィルタにてクライアントのIP宛のOUTを許可
・パケットフィルタにてクライアントのリモート接続後のIPからのINを許可
・パケットフィルタにてクライアントのリモート接続後のIP宛のOUTを許可
・パケットフィルタにてポート5555宛のINを許可(TCP/UDP共に)
・パケットフィルタにてポート5555が発信元のOUTを許可(TCP/UDP共に)
●クライアント側(v6プラスとv4グローバルIPを使用したIPIPトンネルによるIPoE接続)
・Windows10 home x64
・Softether VPN Client Version 4.29 Build 9680
・NATトラバーサルは無効を選択
・UDP高速化機能は無効を選択
・ルーターにおいて以下の内容を設定。
・パケットフィルタにてサーバーのIPからのINを許可
・パケットフィルタにてサーバーのIP宛のOUTを許可
・パケットフィルタにてポート5555が発信元のINを許可(TCP/UDP共に)
・パケットフィルタにてポート5555宛のOUTを許可(TCP/UDP共に)
・Windows標準のセキュリティ機能を使用。サードパーティのセキュリティソフトは不使用。
何かしら、ファイアウォールの設定にミスがある可能性を考え、
VPN Azureを使用してアクセスしてみましたが同じ症状のままでした。
現在、原因として疑っているのは、IPoE通信におけるMTUの上限値の影響です。
NTTの資料によると、フレッツのIPoE通信におけるMTUの上限値は1500byteであり、
それを超えるパケットを受信した場合は破棄する、という記載がありました。
・東日本電信電話株式会社 IP通信網サービスのインタフェース -フレッツシリーズ-
https://flets.com/pdf/ip-int-flets-3.pdf
※ 2.4.1.2 最大転送単位(MTU)の項目に記載がありました
サーバー側でifconfigを実行したところ、ローカルブリッジに指定しているNICのMTUが
1986になっているのを確認しました。
これらのことから、以下のように推測しております。
送信する際は、クライアント側の仮想NICのMTUが1500であるため、
IPoE通信におけるMTUの上限を超えず、問題なく通信できている。
逆に受信する際は、サーバー側のローカルブリッジのNICのMTUが1986と
IPoE通信におけるMTUの上限を超えているため、それを超えるパケットがクライアント宛に送信された際に
破棄されてタイムアウトする、という状態なのではないかと考えております。
(pingや容量の小さいファイルは1500以下のパケットであるためタイムアウトしない)
過去のトピックにて、以下のものを読みました。
・ブリッジするとインターフェースのMTUが変更される。
https://forum.vpngate.net/viewtopic.php?t=61326
このトピックにおいて、「仮想HUBから送られてきたパケットに対して、ローカルブリッジしている
インターフェイスのMTUが小さい場合には自動的に拡張する機能があります。」とありますが、
この機能を無効化し、ローカルブリッジしたNICのMTUを固定することはできないでしょうか。
また、この推測が見当違いで、何か別の要因が考えられましたらご教示ください。
よろしくお願い致します。