Page 1 of 1

拠点間VPN接続についての質問

Posted: Tue Jul 04, 2017 1:14 am
by opticalmaterials
大変お世話になっております。
現在、softetherを利用して、拠点間VPNを構築しております。
しかしながら、手詰まりしている箇所がございます。
ネットワークの知識が乏しく、いろいろやってみましたが、VPNによるローカル同士の通信が行えない状態です。

【状況】
クラウド - 社内 間VPNを構築を行っています。
【行いたいこと】
softetherのすべて同一セグメント接続を使うのではなく、仮想L3スイッチを用いたルーティングを行いたい。
クラウド環境上にsoftetherを利用したVPNルータを構築し、物理ルータ(Cisco C841M)と拠点間VPNを構築したい。

【構築イメージ】
vPC-vHub(クラウド側) - 仮想L3SW - vHub(拠点側) <--- internet ---> cisco C841M - localPC
vPC側セグメント: 192.168.100.0/24
仮想L3SWIP:vPC側:192.168.100.200
        :localPC側:192.168.1.200
localPC側セグメント:192.168.1.0/24

vHub(拠点側)と仮想Hubの接続状態は以下の通りです。
#####拠点側VPNルータ対向仮想HUB############
VPN Server/NW>sessionlist
SessionList コマンド - 接続中のセッション一覧の取得
項目 |値
----------------+---------------------
セッション名 |SID-L3-CLOUDSW-2
VLAN ID |-
場所 |ローカルセッション
ユーザー名 |L3SW_CLOUDSW
接続元ホスト名 |仮想レイヤ 3 スイッチ
TCP コネクション|0 / 0
転送バイト数 |20,896,897
転送パケット数 |360,405
----------------+---------------------
セッション名 |SID-L2TPV3_****-[L2TPV3_****]-3
VLAN ID |-
場所 |ローカルセッション
ユーザー名 |l2tpv3_****
接続元ホスト名 |***.***.***.***(グローバルip)
TCP コネクション|1 / 1
転送バイト数 |15,882,666
転送パケット数 |240,983
コマンドは正常に終了しました。

仮想HubとCiscoルータとはセッションが貼れているようですが、
localPCからvPCのアドレスに対してpingを打つと、応答がありません。
また、localPCからvPCまでtracerouteを行うと、Ciscoルータまでしか
通っていないので、正しくセッションが貼れているかどうかを
どうやって確認するかご教示いただきたいです。
(Ciscoの設定は公式の通りに行っております。)

以上、よろしくお願いいたします。

Re: 拠点間VPN接続についての質問

Posted: Tue Jul 04, 2017 9:03 am
by cedar
vpc と Cisco のルーターで互いに相手側のネットワークへの経路のゲートウェイとして仮想L3スイッチの仮想インターフェイスのアドレスを設定する必要があります。

Re: 拠点間VPN接続についての質問

Posted: Tue Jul 04, 2017 1:38 pm
by opticalmaterials
アドバイスありがとうございます。
現状のルート設定を見直してみます。
ただ、その前の段階で、vPCからL3SWへのpingが通らず、悩んでおります。

vPC -- | eth2 -- bridge -- vHub(クラウド側) -- vL3SW -- vHub(拠点側) | --- internet ...
( | |で囲まれた部分はSoftether vpn server として動いているクラウドサーバです。)
としているのですが、 vPCから vHub(クラウド側)へのpingは通るものの
vL3SWまで到達しておらず、この設定がうまくいっていないように見えます。
ただ、vL3SWのルーティングテーブルをみると、vPCのMACや上記には記載しておりませんが
localPC(拠点内物理PC)のMACアドレスは登録されているようなので、
なぜ疎通確認が出来ないのかが不明です。
Linuxサーバですので、下記のような接続が必要なのでしょうか?
vPC -- | eth2/eth3 == bridge × 2 == vHub(クラウド側) --vL3SW ...
『3.6.11 ローカルブリッジを利用する注意点』にも描かれておりますが、
VPN用のトンネリング用ethとブリッジおよび通信用のeth3とブリッジの構成が必要でしょうか?

以上、よろしくお願いいたします。

Re: 拠点間VPN接続についての質問

Posted: Wed Jul 05, 2017 1:50 am
by opticalmaterials
大変お世話になります。
相変わらず、SoftEtherにおける接続で手詰まっております。

接続想定を図に起こして、先ず私の理解がこんな形で問題ないか
ご教示いただきたいです。

というのも、図のvPCからローカルブリッジ接続した
eth2のipまでは疎通が取れ、vHub(Cloud)の状態も、接続されているようですが、
vL3SW(192.168.1.1)まで疎通が取れておりません。
(vHub(Cloud)のMACテーブルには、vPCのMACが登録されますので、
恐らくは、vHub(Cloud)まで届いているものと考えています。)

そもそもこのような接続で、最終目的である、localPCとのVPN接続が
構築可能なのかもわからなくなってきました。

何か問題解決の糸口になる
情報をご教示いただければ幸いです。

以上、よろしくお願いいたします。

Re: 拠点間VPN接続についての質問

Posted: Wed Jul 05, 2017 10:29 am
by cedar
クラウド環境ではプロミスキャスモードが正常に動作しないケースが多いので、vpcと仮想HUBの接続はVPNにされてはいかがでしょうか

Re: 拠点間VPN接続についての質問

Posted: Thu Jul 06, 2017 5:58 am
by opticalmaterials
大変お世話になります。
softetherでの、接続は結局添付資料のような形になりました。
何とかvPCとlocalPCの疎通が取れて、VPNが貼れるようになりました。
ありがとうございました。

原因は、ちょっと良くわかないのですが
それぞれ一つ一つ確認し、最初にvPCとsoftetherとのvHubのチェックからしていって、
vL3SWを経由して10.10.10.5まで接続できることを確認したら、
VPNをルータと貼って、ルータに192.168.1.0/24の通信を10.10.10.1へ送信するよう
指示したら、何とか疎通が取れました。

ただ、今は閉塞したローカル上で環境を再現してテストした結果ですので、
ご指摘の通り、プロミスキャスモードが動かなかった場合、別の手段を考える必要があると
思っています。

皆様ご指摘ありがとうございました。
本件はこれにてクローズさせていただきます。