拠点間接続の疎通不可

SoftEther VPN に関するご質問はこのフォーラムにお気軽にご投稿ください。
Post Reply
zeekfritz
Posts: 11
Joined: Sat May 09, 2020 6:48 pm

拠点間接続の疎通不可

Post by zeekfritz » Sat May 09, 2020 7:08 pm

2台のwindowsサーバーにて別セグメントの拠点間接続を構築していますがping疎通できません。

▼拠点A(VPN Server)
192.168.0.0/24
▽仮想L3スイッチ接続用仮想HUB設定
仮想HUB名「Virtual HUB #1」※ユーザなし、ローカルブリッジ接続あり
仮想HUB名「Virtual HUB #2」※ユーザあり(拠点Bのホスト名)、ローカルブリッジ接続なし、拠点Bとのカスケード接続用

▼拠点B(VPN Bridge)
172.16.0.0/24
仮想HUB名「BRIDGE」※拠点Aの仮想HUB「Virtual HUB #2」にカスケード接続、ローカルブリッジ接続あり

▼仮想L3スイッチ設定(VPN Server)
レイヤ3スイッチ名 「Virtual l3sw」
▽仮想インターフェイス一覧
①192.168.0.254 255.255.255.0 「Virtual HUB #1」
②172.16.0.254 255.255.255.0 「Virtual HUB #2」
※ルーティングテーブルの設定はしておりません。

この状態で、拠点Bから、L3の
172.16.0.254と192.168.0.254へのpingは通る状態ですが、
その他の端末(192.168.0.40など)へのpingが通りません。

なにか不足な情報等ありましたら追記致します。
お手数ですがご確認宜しく御願い致します。

cedar
Site Admin
Posts: 2070
Joined: Sat Mar 09, 2013 5:37 am

Re: 拠点間接続の疎通不可

Post by cedar » Sun May 10, 2020 10:11 am

ping の送付元と送付先のホストにはルーティングの設定は行われているでしょうか。
それぞれのデフォルトゲートウェイとなっているルーターで設定する方法もあります。

zeekfritz
Posts: 11
Joined: Sat May 09, 2020 6:48 pm

Re: 拠点間接続の疎通不可

Post by zeekfritz » Sun May 10, 2020 10:24 am

ルーティングは設定済みです。
ですので、拠点Bからの仮想L3の192.168.0.254まではtraceできます。

ちなみに、拠点の仮想HUBへクライアントから直接接続すると、拠点AのDHCPからのIP割り当てを受けて
問題なく通信可能ですので、ローカルブリッジは問題ないような気がします。

cedar
Site Admin
Posts: 2070
Joined: Sat Mar 09, 2013 5:37 am

Re: 拠点間接続の疎通不可

Post by cedar » Sun May 10, 2020 11:16 am

ルーティングは、どのホストにどのような設定をされているでしょうか。
ローカルブリッジに問題がないとすると、ルーティングに問題があるような気がします。

zeekfritz
Posts: 11
Joined: Sat May 09, 2020 6:48 pm

Re: 拠点間接続の疎通不可

Post by zeekfritz » Sun May 10, 2020 12:52 pm

拠点Bのデフォルトゲートウェイでの設定ができないため、
拠点Bのホストにて、route add 192.168.0.0 mask 255.255.255.0 172.16.0.254 として
設定しております。

ほかに設定はございますでしょうか?

cedar
Site Admin
Posts: 2070
Joined: Sat Mar 09, 2013 5:37 am

Re: 拠点間接続の疎通不可

Post by cedar » Sun May 10, 2020 8:00 pm

拠点A側のルーターまたはホストでも、帰りの経路の設定が必要です。

zeekfritz
Posts: 11
Joined: Sat May 09, 2020 6:48 pm

Re: 拠点間接続の疎通不可

Post by zeekfritz » Mon May 11, 2020 5:41 am

拠点A側ではルーターに 172.16.0.0 mask 255.255.255.0 192.168.0.254
の設定済です。

仮想L3がうまく動いていない気がするのですが、確かめる方法はないでしょうか。。

cedar
Site Admin
Posts: 2070
Joined: Sat Mar 09, 2013 5:37 am

Re: 拠点間接続の疎通不可

Post by cedar » Mon May 11, 2020 6:06 am

仮想L3スイッチは、設定項目も少なく、ハードウェアに依存する挙動もないため、上手く動いていない可能性は低いと思います。

しかし、確認するとすれば、拠点A側のping宛先のPCでwiresharkなどで送受信されるパケットを調べる方法が有効と思います。

また、拠点AのPCからtracerouteしてみると、更に詳しい状況がわかるかも知れません。

zeekfritz
Posts: 11
Joined: Sat May 09, 2020 6:48 pm

Re: 拠点間接続の疎通不可

Post by zeekfritz » Mon May 11, 2020 7:31 am

拠点Aからのtraceroute結果を取り急ぎ貼り付けます。

172.16.0.1 へのルートをトレースしています。経由するホップ数は最大 30 です

1 <1 ms <1 ms <1 ms 192.168.0.1
2 <1 ms <1 ms <1 ms 192.168.0.254
3 * * * 要求がタイムアウトしました。
4 * * * 要求がタイムアウトしました。

L3スイッチより先にとどかないです。

引き続きパケットキャプチャで確認してみます。

cedar
Site Admin
Posts: 2070
Joined: Sat Mar 09, 2013 5:37 am

Re: 拠点間接続の疎通不可

Post by cedar » Mon May 11, 2020 7:48 am

命名規則からすると、172.16.0.1 は拠点Bのルーターではないでしょうか。
帰りの経路が設定されていないのであれば、traceroute の最後のステップは応答がなくて正常です。

zeekfritz
Posts: 11
Joined: Sat May 09, 2020 6:48 pm

Re: 拠点間接続の疎通不可

Post by zeekfritz » Mon May 11, 2020 8:59 am

おっしゃる通りでした!
拠点AからBの経路設定した端末への疎通確認はできました!

ただ、拠点BからAへ、192.168.0.1(ルーティング設定したルーター)への
疎通はできるものの、その他の端末(192.168.0.40)へ疎通できません。

cedar
Site Admin
Posts: 2070
Joined: Sat Mar 09, 2013 5:37 am

Re: 拠点間接続の疎通不可

Post by cedar » Mon May 11, 2020 9:11 am

ping は送受信のパケットの形式がほぼ対照なので、一方が通信できてば逆方向も大抵の場合は通信可能です。

Windowsファイアウオールなどでpingの待ち受けが遮断されている可能性もあります。
LAN 内からの ping は届くでしょうか。
ファイル共有など、他のプロトコルで疎通確認してみると良いかも知れません。

zeekfritz
Posts: 11
Joined: Sat May 09, 2020 6:48 pm

Re: 拠点間接続の疎通不可

Post by zeekfritz » Mon May 11, 2020 9:49 am

LAN内からはping は届く状態です。

拠点Bからのトレース

192.168.0.1 へのルートをトレースしています。経由するホップ数は最大 30 です

1 9 ms 9 ms 10 ms 172.16.0.254
2 23 ms 19 ms 12 ms 192.168.0.1

トレースを完了しました。

-------------------------------------------------------------------------------------------------------
192.168.0.40 へのルートをトレースしています
経由するホップ数は最大 30 です:

1 8 ms 9 ms 7 ms 172.16.0.254
2 * * * 要求がタイムアウトしました。

ちなみに、192.168.0.40からの拠点Bへの疎通はできています。

cedar
Site Admin
Posts: 2070
Joined: Sat Mar 09, 2013 5:37 am

Re: 拠点間接続の疎通不可

Post by cedar » Mon May 11, 2020 9:55 am

traceroute は必ずしもping (ICMP echo)を使用していないため、応答の有無がpingとは違う場合があります。
他のプロトコルで疎通のテストは行われたでしょうか。

zeekfritz
Posts: 11
Joined: Sat May 09, 2020 6:48 pm

Re: 拠点間接続の疎通不可

Post by zeekfritz » Mon May 11, 2020 10:12 am

SMBとRDPプロトコルで試しましたが状況は一緒です。

ちなみに、
拠点Aの端末(192.168.0.40)から拠点B端末(172.16.0.136)
traceroute→OK
ping→OK

拠点Aのルーター(192.168.0.1)から拠点B端末(172.16.0.136)
traceroute→OK
ping→NG

拠点Bの端末(172.16.0.136)から拠点Aのルーター(192.168.0.1)
traceroute→OK
ping→OK

拠点Bの端末(172.16.0.136)から拠点Aの端末(192.168.0.40)
traceroute→NG
ping→NG

という状況です。

cedar
Site Admin
Posts: 2070
Joined: Sat Mar 09, 2013 5:37 am

Re: 拠点間接続の疎通不可

Post by cedar » Mon May 11, 2020 10:30 am

192.168.0.40 の LAN のネットワーク接続の「ネットワークプロファイル」(ネットワークの場所)がパブリックに設定されていないでしょうか。

zeekfritz
Posts: 11
Joined: Sat May 09, 2020 6:48 pm

Re: 拠点間接続の疎通不可

Post by zeekfritz » Mon May 11, 2020 10:41 am

192.168.0.40がVPNサーバー機で、社内ネットワークとなっています。

cedar
Site Admin
Posts: 2070
Joined: Sat Mar 09, 2013 5:37 am

Re: 拠点間接続の疎通不可

Post by cedar » Mon May 11, 2020 11:12 am

ローカルブリッジで自ホストと通信はWindows機であれば通常は可能なはずです。
(アグリゲーションやタグVLANなど、特殊な構成では通信できない場合もあります。)
VPNサーバー機以外では、通信はできるでしょうか。

zeekfritz
Posts: 11
Joined: Sat May 09, 2020 6:48 pm

Re: 拠点間接続の疎通不可

Post by zeekfritz » Mon May 11, 2020 12:06 pm

拠点BからAへの通信は、ルーター(192.168.0.1)へのみ可能な状態です。

zeekfritz
Posts: 11
Joined: Sat May 09, 2020 6:48 pm

Re: 拠点間接続の疎通不可

Post by zeekfritz » Mon May 11, 2020 2:50 pm

おそらく解決しました!

原因は、拠点Aのルーターのルーティングがなんかおかしい!ということでした。

拠点A内からの通信はルーティングするのに、復路のルーティングはしない(192.168.0.1自身のみできる)
という状況でした。

拠点Aの192.168.0.40端末にrouteコマンドで設定したところ、(デフォルトGWへ行かず直接L3のアドレス)
無事疎通できたので、拠点Aのルーターの入れ替えを検討します。

いろいろとご教授いただきありがとうございました!

Post Reply