Page 1 of 1
ルーター越しのVPN ServerにTCPでVPNClientで接続できない
Posted: Wed Feb 01, 2017 2:39 pm
by yamada1e@yahoo.co.jp
ルーターに対してport5555(TCP)・443(TCP)・500(UDP)・4500(UDP)のIPマスカレード設定・ポートフォワーディング設定を施している。
接続先にDDNS名/TCP・port5555を指定してVPNClientで接続しようとすると、接続に失敗する。
接続先にDDNS名・port5555でを指定してVPNClientで接続すると、NAT Traversal接続となる。
マニュアルで確認する限りでは、TCP接続が可能とであるように読めるが、各種設定上の注意点について情報を戴けると助かります。
よろしくお願いします。
Re: ルーター越しのVPN ServerにTCPでVPNClientで接続できない
Posted: Thu Feb 02, 2017 9:03 am
by cedar
PC自身のファイアウオールなどで通信が制限されるケースもあります。
LAN 内からプライベート IP アドレスで接続できるか確認してみてください。
Re: ルーター越しのVPN ServerにTCPでVPNClientで接続できない
Posted: Thu Feb 02, 2017 10:05 am
by yamada1e@yahoo.co.jp
早速の回答ありがとうございます。
LAN内環境で、接続先をコンピュータ名・コンピュータ名/TCPを指定しての試行は、問題なく接続できています。
接続時のプロトコルは「TCP/IP」と判断されます。
また、接続先をコンピュータ名/を指定しての試行は、当然ながら接続できません。
これまでにも、ファイアウォールの設定を見直していました。その中で適用範囲に「パブリック」が設定されていない
ものには、「パブリック」を追加したり等で確認していますが、解決できませんでした。
ちなみに、VPNServerはWindows Server 2012R2上となっています。
お手数でも、追加の情報を戴ければ有難く思います。
Re: ルーター越しのVPN ServerにTCPでVPNClientで接続できない
Posted: Fri Feb 03, 2017 9:13 am
by cedar
設定内容自体には問題はないように思われます。
他のグローバル IP アドレスを持つインターネット接続からテストされているでしょうか。
接続テストが同じ NAT 下からだと失敗する事があるようです。
Re: ルーター越しのVPN ServerにTCPでVPNClientで接続できない
Posted: Fri Feb 03, 2017 12:09 pm
by yamada1e@yahoo.co.jp
cedar wrote:
> 設定内容自体には問題はないように思われます。
> 他のグローバル IP アドレスを持つインターネット接続からテストされているでしょうか。
> 接続テストが同じ NAT 下からだと失敗する事があるようです。
ご連絡ありがとうございます。
他のグローバル IP アドレスを持つインターネット接続からテストしています。
LAN内からの接続テストについての追加情報です。
1.LAN内IPでの接続は、NAT-T・TCPの両者とも接続可でした。
2.WAN側IPでの接続は、NAT-Tは接続可、TCPは接続不可となりました。
ルーターのSysLog、VPNServerのログも見ておりますが、わたくしの稚拙な知識では
問題を見通せない状態です。
ログから糸口をつかむにはどのようなポイントを押さえればよいか情報を戴ければ
有難く思います。
よろしくお願いします。
Re: ルーター越しのVPN ServerにTCPでVPNClientで接続できない
Posted: Sat Feb 04, 2017 10:25 am
by cedar
TCPでWAN側に接続して、何のログも残らないようであれば、ポート転送に失敗している
可能性が高いと思われます。
(あるいは、ファイアウオールがあれば遮断されている可能性もあります。)
Re: ルーター越しのVPN ServerにTCPでVPNClientで接続できない
Posted: Tue Feb 07, 2017 1:14 am
by yamada1e@yahoo.co.jp
cedar wrote:
> TCPでWAN側に接続して、何のログも残らないようであれば、ポート転送に失敗している
> 可能性が高いと思われます。
> (あるいは、ファイアウオールがあれば遮断されている可能性もあります。)
VPNServerの稼働しているPC上で、WireSharkのログをTCPの5555ポートについてのみ
取得してみました。
私では十分な解析ができませんので、お時間のある時に一見していただき、問題の所在を
ご指摘いただければ有難く存じます。
よろしくお願いいたします。
Re: ルーター越しのVPN ServerにTCPでVPNClientで接続できない
Posted: Tue Feb 07, 2017 9:37 am
by cedar
通信内容は暗号化されているので、パケットキャプチャしても通信内容はわかりません。
まずはVPNサーバーのサーバーログを確認してみることをお勧めします。
Re: ルーター越しのVPN ServerにTCPでVPNClientで接続できない
Posted: Tue Feb 07, 2017 9:44 am
by cedar
パケットログからは、SYN の着信に対して SYN+ACK の応答を返しているにも関わらず、その先の通信が行われていないように見えます。
返信が届いていないとすると、ファイアウオールの設定ミスが考えられると思います。
Re: ルーター越しのVPN ServerにTCPでVPNClientで接続できない
Posted: Wed Feb 08, 2017 2:08 pm
by yamada1e@yahoo.co.jp
cedar wrote:
> パケットログからは、SYN の着信に対して SYN+ACK の応答を返しているにも関わらず、その先の通信が行われていないように見えます。
> 返信が届いていないとすると、ファイアウオールの設定ミスが考えられると思います。
非常に貴重なヒントを頂戴して助かりました。
ファイアウォールを見直し、TCPのPORT5555の受信方向は期待通りに通過できているので、送信方向がブロックされていると考え、新たに送信側フィルターにTCPのPORT5555を通過できるように追加設定しました。
これですんなりとTCPにてコネクションが確立できました。
お陰様で、NAT-Tによるコネクションに比べてレスポンスの向上と、安定性が同時に確保できたようです。
お忙しいところ、誠に有難うございました。
今後ともよろしくお願いいたします。