SecureNATにデフォルトゲートウェイを切り替えると通信切断が発生する

[sho.n]

お世話になります。

softEther 4.42 9798をVPSサーバにて運用しています。

VPSサーバは仮想ルータが入っていて、公開のIPとサーバのIPアドレスが
違う状態です。
VPS側のファイヤーウォールで仮想HUBのポートとSSHとHTTPのポートが空いています。
OSはAlmaaLinux 9.4です。

VPSサーバ上でwww.yahoo.co.jpにpingをしても特に通信切断は発生しません。
仮想HUBの中のみの通信の場合も通信切断は発生しません。

仮想HUBのSecureNATを有効にして、
クライアント(LinuxでVPNCluentを使っています。)のデフォルトゲートウェイをSecureNATに変更して、
（静的ルートで仮想HUBのIPは通常のゲートウェイにしています）
すべての通信を仮想HUBに切り替えて、
www.yahoo.co.jpにpingをすると、通信切断が発生します。
下記のように完全に切断されるわけではなく、 icmp_seqが飛んでしまう感じの通信切断が発生します。

64 bytes from 124.83.184.124 (124.83.184.124): icmp_seq=1 ttl=56 time=7.97 ms
64 bytes from 124.83.184.124 (124.83.184.124): icmp_seq=2 ttl=56 time=3.83 ms
64 bytes from 124.83.184.124 (124.83.184.124): icmp_seq=3 ttl=56 time=3.44 ms
64 bytes from 124.83.184.124 (124.83.184.124): icmp_seq=9 ttl=56 time=3.47 ms
64 bytes from 124.83.184.124 (124.83.184.124): icmp_seq=10 ttl=56 time=3.63 ms
64 bytes from 124.83.184.124 (124.83.184.124): icmp_seq=11 ttl=56 time=3.98 ms
64 bytes from 124.83.184.124 (124.83.184.124): icmp_seq=12 ttl=56 time=3.72 ms
64 bytes from 124.83.184.124 (124.83.184.124): icmp_seq=16 ttl=56 time=7.36 ms

他のサーバで同じ設定で仮想HUBを作成して、同様の設定で接続しても通信切断は起きないので
サーバの環境かなとは思っていますが、どのように調べたらよいか分からずに困っています。

このような場合に見るべき設定やコマンド等を教えてもらえますでしょうか。

よろしくお願いいたします。

[cedar]

デフォルトゲートウェイの変更によって、VPN サーバーへの経路が失われてしまうような構成にはなっていないでしょうか。
Windows 版の VPN Client では、デフォルトゲートウェイが変更されると自動的に VPN サーバーへの経路を追加する動作がありますが、Linux 版ではこの動作はありません。

[sho.n]

お返事ありがとうございます。

下記のような形で経路は確保出来ていると思います。
sudo route add VPNサーバのIP/32 gw 通常のゲートウェイ
sudo route del default gw 通常のゲートウェイ
sudo route add default gw SecureNATのIP

完全に通信切断というよりかパケットロスが発生している感じです。

他のサーバで同じ設定で実施してみましたが、通信切断起きずに通信できている状態です。

よろしくお願いいたします

[cedar]

SecureNAT には、いくつかの動作モードがあり、動作モードによって内部的な動作は割と大きく違います。
モードを変えてみることで改善するかもしれません。

https://ja.softether.org/4-docs/3-kb/VPNFAQ036

[sho.n]

ありがとうございます。

変更して試して見ましたが、状況は変わりませんでした。
何かいい方法や調べる方法があれば教えて下さい。

よろしくお願いいたします

[cedar]

vpncmd 管理ツールを使用している場合、SecureNAT の現在の動作モードは SecureNatStatusGet コマンドで確認できます。

[sho.n]

ありがとうございます。

動作モードを確認しながら、３つのモードで試して見ましたが、
状況は変わりませんでした。

他に何か調べるべきところはありますでしょうか。

よろしくお願いいたします

[cedar]

そうしますと、SecureNAT が原因ではなく、VPN の通信自体が不安定な状態なのかもしれません。
セッションの状態を表示してみて、接続が TCP/IP で行われている状態になっているか確認してみて下さい。
また、UDP 高速化機能を無効にしてみて下さい。

[sho.n]

ありがとうございます。

セッションを確認して、TCP/IPでUDP高速化機能の使用中はいいえになっておりました。

NATを使用せずに、仮想HUB内のクライアント同士の接続は安定しております。

NATを起動させて、ゲートウェイを変更すると通信切断が発生しています。

やっぱり、VPNサーバとの相性とかですかね・・・・・

[cedar]

そういえば、SecureNAT の ICMP の扱いは特殊で、動作モードによっては無視したりするようなコードもあるようです。

https://github.com/SoftEtherVPN/SoftEth ... al.c#L7409

SecureNAT の疎通のテストには ICMP は使わないほうが良いかもしれません。

ところで、VPN サーバーのホストからは yahoo への ping はロストしないでしょうか？

[sho.n]

ありがとうございます。

VPN サーバーのホストからYAHOOへのpingは途切れないのです。

SecureNatを経由した時のみに発生して、
ファイルのダウンロード等で少し長めの通信をすると途切れ途切れで
最終的にエラーになってしまいます。

この時は、HUB内の他の端末との接続もとぎれてしまいます。

何が原因なのか・・・・、VPN サーバーのホストとの相性なんですかね・・・・

[cedar]

確かにその切り分けですと、SecureNAT が怪しいですね。
ローカルブリッジ機能とSecureNAT機能を両方同時に使用しているといったこともないでしょうか。

[sho.n]

ありがとうございます。

はい。ローカルブリッジは使用しておりません。

他のVPNサーバだとうまくいくので、悩ましいです。
サーバを切り替えることも検討していますが・・・

[cedar]

そうですね。原因が分かれば、同様の現象に悩む他のユーザーの助けになるかもしれませんが、別のサーバーに変えてしまうのが現実的かもしれません。

[sho.n]

ですよね・・・・

VPSの側の仮想ルータが怪しいような気がしないでも無いのですが、
調べる手段がわからないので・・・・