SoftEther VPN User Forum

質問があります。
SoftetherVPN Serverを入れると、そのLANが明らかに不安定な状態になります。

導入してから引っ越し（ケーブルネット）をして、引越し先（同じケーブルネット）ではそれが顕著です。
色々とPC（Intel64、AMD64、ラズパイ含む。OSはWin、ラズパイOS、Ubuntuなど複数OSで検証）を入れ替えて検証した結果VPN Serverを入れた途端に下記症状が発生します。

◆引越し前（一年前）：LANの応答が遅い。
　具体的にはリモートデスクトップのセッション開始まで時間がかかる。VPN Serverがない状態では1～2秒。あると5秒以上かかる。

◆引越し後（現在）：LANの応答が遅いだけでなく、インターネット接続自体が途絶する（ケーブルモデムが動作しない）。2分以上切れます。この間、ローカル接続自体は問題なし。
　さらにVPN Serverの設定画面にすら入れないことも頻繁に発生。（サーバが見つかりません、と表示される。自分自身がVPN Serverなのにローカルのループバック接続すら不可）
　昨日は5分程度、LANがすべて不通となる深刻な症状が発生。
　VPN ServerをLANから切り離すと応答速度と安定性はいずれも見違えたように向上。

◆光回線の知人宅（現在）：引越し前と同様だが、引越し後の症状はない。

VPN Serverのバージョンはいずれも導入時点の最新版RTMを使ってます。Betaは使っていません。

このVPN Serverってこういう弊害が発生するものでしょうか？

誤った設定があると、LAN の不調の原因となる可能性はあります。

LAN との間の通信量が異常に大きかったり、仮想 HUB に設定した仮想 DHCP サーバーが LAN に露出していないかなど確認してみてください。
意図せず、VPN Gate のボランティアプログラムに参加してしまっている可能性もあるかもしれません。

cedarさん

返信ありがとうございます。
当面の稼働を諦めて、段階を積んで原因を特定にかかります。
・インストールのみ＞数日経過観察
・ローカルブリッジのみ＞数日経過観察
・ユーザー追加のみ＞数日経過観察
・vpnazure設定のみ＞数日経過観察
・接続試験のみ＞数日経過観察
といった具合で設定一段階ごとに様子を見てみます。

検証の結果、初期段階から問題が発生しました。

標準セットアップ＞続行せず終了
VPN Server Manager起動＞localhostに接続＞エラー：「プロトコルエラーが発生しました。接続先サーバーからエラーが返されました。」
設定がどうのというレベルではないようです。
この現象は他の検証用PCでも発生しているため、原因はますますわからなくなりました。
Linuxはこの接続エラーまではいかず接続と設定は可能になり、LANを切り離してもファイアーウォールを無効にしても発生するので、Windowsの不具合と考えるのが妥当かと思います。

SoftEther VPN は、アンインストールしても設定は残りますが、検証の際には設定ファイルを削除されているでしょうか。
(設定の検証のためにバックアップを取ってから削除したほうがいいと思います。)

cedarさん

OSをクリーンインストールしたので、残留はありえません。
それでも再発しているので、やはりOS起因と考えられます。

追記
なぜか、インストールした直後の設定だけは接続できます。
それ以後はServer Manager経由で設定画面に進ませてくれません。

クリーンインストール環境ということなので、セキュリティソフトとの干渉とも考えにくいですね。

プロトコルエラーは、VPN サーバーではないサービスに接続してしまった場合のエラーです。
Windows の初期設定では 443 番ポートは空いているはずなのですが、何らかの原因で 443 番ポートを使用する別のサービスが動作している可能性がありますので、5555 番ポートなど競合の可能性が低いポートで接続してみると良いかもしれません。

cedarさん

色々とアドバイスありがとうございます。
ファイアーウォールを切って試しましたが
443：ポートエラー
それ以外：サーバーが応答しません
なってしまいます。

いよいよ手詰まりのようです。

ポートエラーというのは、プロトコルエラーのことでしょうか？

ほかのポートでも接続できないということであれば、サービスが起動していないか、通信が妨げられているように思われます。
インストール先フォルダのサーバーログでは、サービスが起動した形跡はあるでしょうか？

cedarさん

8888：数秒施行後、「サーバーへの接続が失敗しました。ネットワーク接続や、接続先サーバのアドレスやポート番号を確認してください」
と出てきます。

443、992、5555：即時反応「プロトコルエラーが発生しました。接続先からエラーが返されました」
と出てきます。

ログは
西暦月日時間　CID-XXXがサーバー管理モードで接続しました。
と記録されているので、起動はしています。
その後、
西暦月日時間　TCP リスナー (ポート 5555) に対する DoS アタックを検出しました。接続元は IP アドレス 127.0.0.1, ポート番号 64906 です。このコネクションは強制切断します。
が大量に出てきます。
ローカル接続すらDoS攻撃と扱われていました。

原因がわかったので
https://ja.softether.org/4-docs/1-manua ... 1%E7%90%86
を参照し、DoSアタック防御を無効にすることで接続できました。（Softetherのプロセスを終わらせてから編集する必要あり）
標準で有効になっているという記述があります。
この状態は、運用上あまりよろしくないのかと思いますが、有効にすると今度は使用不可というジレンマに陥っています。
本当にDoSアタックされた時の備えがあればよいのですが・・・

投稿時点の症状を起点として、話が別の方向に行ってしまったので、これまでの流れを整理します。
１．SoftetherVPNサーバをLANに起動するとWAN接続のケーブルモデムが動作を停止してしまう
２．クリーンインストールでも症状が変わらず
３．さらに症状が進み、サーバのローカル接続（Server Manager）で全部のポートにおいてエラーが発生する
４．同じくクリーンインストールでも症状が変わらず
５．標準有効のDoS攻撃対策を無効にすることで「３．」は解消
６．ただし本当にDoS攻撃された時や、輻輳起因（？）のLAN不安定「１．」が解消するか未知数
このまま数日、様子見をしてみます。

DoS 攻撃防御機能は、かなりの頻度で連続したアクセスがないと発動しないので、少し不審な感じはありますね。
LAN との不審な通信がないかについても、パケットキャプチャしてみたほうがいいかもしれません。

cedarさん

いろいろとアドバイスありがとうございます。
あれこれと検証していたので、返信が遅くなりました。
ログを見てみたら、ループバックで5555ポートに30秒ごとのアクセスが自動で行われていました。
操作せずに放っておいても起きているので、バックグラウンドで走っているようです。

ログ引用
2024-07-02 10:12:22.048 TCP リスナー (ポート 5555) に対する DoS アタックを検出しました。接続元は IP アドレス 127.0.0.1, ポート番号 62730 です。このコネクションは強制切断します。
2024-07-02 10:12:53.689 TCP リスナー (ポート 5555) に対する DoS アタックを検出しました。接続元は IP アドレス 127.0.0.1, ポート番号 62749 です。このコネクションは強制切断します。
2024-07-02 10:13:25.189 TCP リスナー (ポート 5555) に対する DoS アタックを検出しました。接続元は IP アドレス 127.0.0.1, ポート番号 62770 です。このコネクションは強制切断します。
2024-07-02 10:13:56.783 TCP リスナー (ポート 5555) に対する DoS アタックを検出しました。接続元は IP アドレス 127.0.0.1, ポート番号 62790 です。このコネクションは強制切断します。

バックグラウンドで30秒に一度、自動的にポート番号を変更（12～20加算）しながら接続試行していました。
周期的な接続試行なのでブロック判断されていたようです。
パケット解析をしてみましたが、5555に対してループバックは検出できないのかもしれません。該当するものが検出されません。
送信元のプロセスをどうやって特定できるか、探ってみます。

netstat -ano | find "5555"
でプロセスIDを特定しました。

C:\Users\dummy>netstat -ano | find "5555"
TCP 0.0.0.0:5555 0.0.0.0:0 LISTENING 7856
TCP 127.0.0.1:5555 127.0.0.1:63529 TIME_WAIT 0
TCP 127.0.0.1:5555 127.0.0.1:63549 TIME_WAIT 0
TCP 127.0.0.1:5555 127.0.0.1:63577 TIME_WAIT 0
TCP 127.0.0.1:5555 127.0.0.1:63597 TIME_WAIT 0
TCP [::]:5555 [::]:0 LISTENING 7856

0と7856が該当し、それぞれ以下のとおりでした。
0：System idle process ＜こいつが犯人
7856：vpnserver_x64（受信待ち）

おまえか。
このプロセスはOSの動作なので、もうどうしようもない気がしてきました。

ここまでの確認内容を元に時間軸で示すとこうなります。
１．SoftetherVPNをインストールする
２．System idle process がポートアタックをバックグラウンドで30秒に一度仕掛ける
３．インストール直後のアタック判定されないうちはともかく、アタック判定されるとServer Manager接続を拒否される
４．アタックブロックを解除するとServer Managerで接続可能
◆未解決問題
LANが不安定になり、ケーブルモデムが機能を停止して自動再起動がかかる。（ただしここ一年くらいに限る。それ以前は特に問題なし）
VPNが稼働していると特にLAN不安定が発生している。
LAN内にVPNを入れないと安定しているように見える（まだ検証中のため断定困難）
◆残課題
アタックブロックを解除することで、本当にアタックされた場合はどうすれば・・・？

これはシステムが接続を試みていることを意味するのではなく、接続しようとしたプロセスが
ポートを開放したので、同じポートが一定時間再利用されないようにシステムがポートを
閉じている状態を意味しているようです。

https://stackoverflow.com/questions/228 ... y-pid-zero

こういった接続ログツールを使ってみるのが良いかもしれません。

https://www.nirsoft.net/utils/tcp_log_view.html

cedar さん

せっかくアドバイスいただいたのに、返信が遅くなりました。
色々と検証していました。

ケーブル会社からのアクセスが多数ありました。
ソースポートがどれも53なので、DNS関係でしょう。
ターゲットポートは50000～70000くらいの間で動いています。

同じLAN内に別でLinuxのVPNサーバを立ててみたものの、こちらは一週間以上問題なく動作しています。
そしてやはり、Windows側はVPNサーバを動かしてから一時間以内に接続拒否が始まります。
これ以上の原因追求は難しいかもしれません。