インターネットのアクセスはSoftEtherのVPNではなく自宅の物理的なネットワークで行いたい

[SDL_TK]

MicrosoftAzureのVM(WindowsServer2019)にSoftEtherVPNServerをインストールし、
クライアントPCからSoftEterVPNClientで接続を行っています。

MicrosoftAzureのVMへはVPN経由でインターネットのアクセスは自宅の物理的なネットワークで行いたいのですが
以下のURLを参考にして対応してみましたがMicrosoftAzureのVMへpingが通らなくなりVPN接続ができなくなりました。

https://ja.softether.org/4-docs/3-kb/VPNFAQ020

設定を見直すところは何かあるかご教授頂けますでしょうか。

【MicrosoftAzure】
・受信ポートルール：ポート443(HTTPS)を追加
・ネットワークインタフェース/IP構成：[IP転送を有効にする]にチェック
・プライベートIPアドレスの設定：割り当てを[静的]にし[プライベートIPアドレス]を設定

【SoftEtherVPNServer】
◆ユーザーのプロパティ
・ユーザー名
・グループ名
・認証方法：固有証明書認証
→固有証明書認証の証明書作成ツールで証明書を作成

◆仮想NATおよび仮想DHCP機能(SecureNAT)の設定
・SecureNAT機能を有効にする(E)を選択

◆VPN Azure サービスの設定
・VPN Azureを無効にする(D)を選択

◆IPsec / L2TP / EtherIP / L2TPv3設定
・L2TPサーバー機能を有効にする(L2TP over IPsec)：チェック

◆OpenVPN/MS-SSTP設定
・OpenVPNサーバー機能を有効にする：チェック
・MS-SSTP VPN サーバー機能を有効にする：チェック

【SoftEhterVPNClient】
・ホスト名：○○〇.softether.net
・ポート番号：443
・仮想HUB名：SoftEtherVPNServerで設定した名前
・認証の種類：クライアント証明書認証
・ユーザー名：SoftEhterVPNServerで設定したユーザー
・クライアント証明書：SoftEtherServerの固有証明書認証の証明書作成ツールで作成した証明書

※上記の設定ではpingが通りVPN接続ができますが、URLのネットワーク接続の設定を行うとpingが通らなくなります。

[cedar]

URLの説明はVPN先のデフォルトゲートウェイを使わなくなるように設定するものです。
アクセス先のサーバーを仮想 HUB に接続してしまうのがオススメなのですが、それが難しい場合には、クライアント側の PC にアクセスしたいサーバーへの経路として仮想 NAT のアドレスを静的に追加してしまう方法もあります。

[SDL_TK]

ご回答ありがとうございます。

知識が足りず申し訳ございませんがそれぞれの設定の仕方についてご教授頂けますでしょうか。

>URL の説明は VPN 先のデフォルトゲートウェイを使わなくなりよう設定したものです。
>アクセス先のサーバーを仮想 HUB に接続してしまうのがオススメなのですが、

上記設定はSoftEtherVPNClinetで作成した仮想LANカードのVPN Client Adapterを
クライアントPCの[コントロールパネル]>[ネットワークとインターネット]>[ネットワーク接続]の
TCP/IPv4のプロパティの[次のアドレスを使う]、[次のDNSサーバーのアドレスを使う]に
サーバーに設定したSoftEhterVPNServerの[SecureNATの設定の情報]を設定すれば良いという事でしょうか？

>それが難しい場合には、クライアント側の PC にアクセスしたいサーバーへの経路として
>仮想 NAT のアドレスを静的に追加してしまう方法もあります。

上記方法は下記URLのカスケード接続のやり方なのでしょうか。

https://ja.softether.org/4-docs/1-manual/3/3.4

お忙しいところ申し訳ございませんがよろしくお願いいたします。

[cedar]

>アクセス先のサーバーを仮想 HUB に接続してしまうのがオススメなのですが、

VPN 経由でインターネットに接続する必要がないということなので､この VPN は
Azure クラウド上のホストに接続することが目的ではないかと思います｡

接続先となるホストがクライアントと同じ仮想 HUB に接続していれば､
ルーティングの必要がないので直接通信できます｡

利用したいVMに VPN クライアントを導入して同じ仮想 HUB に接続します｡

>仮想 NAT のアドレスを静的に追加してしまう方法もあります。

こちらは､VPN クライアントの側の PC のルーティングテーブルに仮想 NAT を追加する方法です｡
管理者権限のあるプロンプトから､次のように実行します｡

route -p add [接続先ホストのIPアドレス] gateway [仮想NATのIPアドレス]

ただし､この設定を行うと経路を削除するまで VPN なしでは対象のホストに接続できなくなる点に注意が必要です｡

[SDL_TK]

ご教授頂きありがとうございます。

現在、ご教授頂いた設定を試してますが上手くいかなかった場合、
また書き込ませて頂きますのでその際はご助言いただけますと幸いです。

[SDL_TK]

いつもお世話になっております。

1つ目の方法を試そうと設定を行ってみましたがやり方が悪いのかAzureのVM環境にpingが通らない、
またRDPでも接続ができなくなってしまいました。
よって１つ目の方法のみ今回質問させて下さい。

>>VPN 経由でインターネットに接続する必要がないということなので､この VPN は
>>Azure クラウド上のホストに接続することが目的ではないかと思います｡

15:24時点では回答してませんでしたが上記認識であっています。

>接続先となるホストがクライアントと同じ仮想 HUB に接続していれば､
>ルーティングの必要がないので直接通信できます｡

>利用したいVMに VPN クライアントを導入して同じ仮想 HUB に接続します｡

利用したいSoftEtherVPNServerが設定されているサーバーVMに
SoftEtherVPNClientをインストールし、
接続元のクライアントPCのSoftEtherVPNClientと同じ設定を行いました。
すると最初に書いた様にpingが通らない、またRDPで接続ができないという状況になりました。

MicrosoftAzure環境のサーバーのVMを再起動してSoftEtherVPNClientの設定をオフラインにすると
クライアントPCでのSoftEtherVPNClientの設定をONにしpingが通り、RDPでも見えるようになりました。

お忙しいところ申し訳ございませんが気が付く点等ご教授頂けますでしょうか。
よろしくお願いいたします。

[cedar]

接続先のホストでメトリックの設定を変更しないと、仮想 HUB 側がデフォルトゲートウェイになってしまいます。
とりあえず仮想 HUB をオフラインにすれば回復するはずです。
上の構成にする場合には、仮想 DHCP でデフォルトゲートウェイの設定を配る必要はないので、デフォルトゲートウェイを空欄にしてみてください。

また、VPN で対象のホストに接続する際には仮想 LAN カード側のIPアドレスでアクセスしてください。
仮想 DHCP では IP アドレスの固定機能がないので、仮想 LAN カードには固定で 192.168.30.xx/24 のアドレスを設定してしまうのが便利です。

[SDL_TK]

ご教授頂きありがとうございます。

> 接続先のホストでメトリックの設定を変更しないと、仮想 HUB 側がデフォルトゲートウェイになってしまいます。
> とりあえず仮想 HUB をオフラインにすれば回復するはずです。
> 上の構成にする場合には、仮想 DHCP でデフォルトゲートウェイの設定を配る必要はないので、デフォルトゲートウェイを空欄にしてみてください。

上記ですが[SecureNATの設定]の[仮想DHCPサーバーの設定]>[クライアントに割り当てるオプションの設定]>[デフォルトゲートウェイのアドレス(F)]を
空欄にするという認識でよろしいでしょうか？

> また、VPN で対象のホストに接続する際には仮想 LAN カード側のIPアドレスでアクセスしてください。
> 仮想 DHCP では IP アドレスの固定機能がないので、仮想 LAN カードには固定で 192.168.30.xx/24 のアドレスを設定してしまうのが便利です。

上記の仮想LANカードのIPアドレスは
サーバーVM上にインストールしたSoftEhterVPNClientの仮想LANカードを[Windowsネットワーク接続の設定]で開き、
右クリック>[プロパティ]>[インターネット プロトコル バージョン4]>[プロパティ]で開いた
[インターネット プロトコル バージョン4(TCP/IPv4)のプロパティ]に対し
[次のIPアドレスを使う(S)]の[IPアドレス(I)]で固定にしたいIPアドレスの設定、
[次のDNSサーバーのアドレスを使う(E)]にはSoftEhterVPNServerの
[SecureNATの設定]>[仮想DHCPサーバーの設定]>[DNSサーバーのアドレス1(V)]で登録したアドレスを設定すれば良いでしょうか？

また、クライアントPCの仮想LANカードにも同様の設定が必要でしょうか？

理解が足りず申し訳ございませんがご教授いただけますでしょうか。

よろしくお願いいたします。

[cedar]

>上記ですが[SecureNATの設定]の[仮想DHCPサーバーの設定]>[クライアントに割り当てるオプションの設定]>[デフォルトゲートウェイのアドレス(F)]を
空欄にするという認識でよろしいでしょうか？

はい。こちらはそのとおりです。

> [インターネット プロトコル バージョン4(TCP/IPv4)のプロパティ]に対し
> [次のIPアドレスを使う(S)]の[IPアドレス(I)]で固定にしたいIPアドレスの設定、

はい。OS によって設定箇所は微妙に違いますが、それです。

> [次のDNSサーバーのアドレスを使う(E)]にはSoftEhterVPNServerの
> [SecureNATの設定]>[仮想DHCPサーバーの設定]>[DNSサーバーのアドレス1(V)]で登録したアドレスを設定すれば良いでしょうか？

VPN 経由で DNS を使う必要がなければ、DNS サーバーの設定は不要です。

> クライアントPCの仮想LANカードにも同様の設定が必要でしょうか？

これはどちらでも構いません。DHCP のままのほうが運用は楽ではないかと思います。

[SDL_TK]

いつもお世話になっております。

2024/7/5(金)12:00に回答頂いた対応を行ってみましたが理解足りない為か上手く行きませんでした。

その前に2024/7/4(木)11:16の２つ目のVPNクライアント側のＰＣのルーティングテーブルに仮想NATを追加する方法を試してみようと思います。

route -p add [接続先ホストのIPアドレス] gateway [仮想NATのIPアドレス]

上記を教えて頂いたのですがgatewayの引数が無効だと表示されます。

[接続先ホストのIPアドレス]は接続先ホスト(MicrosoftAzureVM)のプライベートIPアドレスを設定しましたが
[仮想NATのIPアドレス]は以下の図の①～⑨のどの値を設定すれば良いでしょうか？
ちなみに自分は②のアドレスを設定しました。

SecureNATの設定.png

お手数おかけしますがご教授の程よろしくお願いいたします。

[cedar]

②です。
(通常なら②⑦⑧は同じアドレスになっていると思います。)

このあたりの設定が難しいと感じるようであれば、一度ルーティングの入門書などを読んでみるのが良いと思います。

[SDL_TK]

ありあがとうございます。

②のアドレスを入れましたが引数が無効だと言われます。

こちらの方継続して調べてみますが、行き詰った際にはまた質問させて頂ければ幸いです。

[cedar]

すみません。Windows の route コマンドでは、gateway と書く必要がありませんでした。

route -p add [接続先ホストのIPアドレス] [仮想NATのIPアドレス]

では、いかがでしょうか。

[SDL_TK]

ご教示頂きありがとうございます。

gatwayを外すことでコマンドが通りました。

しかしイーサネットが[識別されないネットワーク/インターネットアクセスなし]、
仮想LANカードがインターネットアクセスとなり、
クライアント環境ではなくMicrosoftAzureVM側でインターネットに接続されている感じに見えます。

インターネットはMicrosoftAzureのクラウドVM環境からではなく
クライアントPCから接続したいので引き続き対応が必要です。

一度2024/7/5(金)12:00に回答頂いた内容で再度対応を行ってみます。

[cedar]

DHCP サーバーの設定からデフォルトゲートウェイを削除していれば、VPN側がインターネット接続になることはないはずなのですが、おかしいですね。

[SDL_TK]

いつもお世話になっております。

昨夜送って頂いたメッセージを確認し本日対応をしたところイーサネットがインターネットアクセス、
仮想LANカードがインターネットアクセスなしとなり希望通りとなりました。

暫くこの設定で使って様子を見ます。

ご教授頂きありがとうございました。

2024/7/5(金)12:00に回答頂いた内容も試していましたが
そちらは別の環境で試してみます。