Packetix VPNクラウド上のVMにインストールし、クライアントからPacketix経由でVMにアクセスしたい

[techpiro]

Softether VPN Serverをクラウド上のVM(Linux)にインストールし、そのインストールしたLinuxホストをVPN側から直接アクセスさせたい場合についての質問です。

問題　VPNサーバインストールはうまくいき、サーバ側でローカルブリッジ設定して、tapデバイスにIPアドレスを振り、Ping疎通は確認できるようになったが、不定期にPingが落ちてしまう。

環境

○Ubuntuバージョン
OCNのクラウドサービス 「クラウドn」のVM上にUbuntuにてサーバを構築して
います。

# cat /etc/os-release
NAME="Ubuntu"
VERSION="18.04.1 LTS (Bionic Beaver)"
ID=ubuntu
ID_LIKE=debian
PRETTY_NAME="Ubuntu 18.04.1 LTS"
VERSION_ID="18.04"
VERSION_CODENAME=bionic

○Softether VPN Server(SoftEther VPN Server)
クラウドVM上にSoftetherVPNをインストールし、VPN経由でこのサーバ自体のサービスをを公開できないか技術検証をしています。

SoftEther VPN Server(64bit)(Open Source)
Version 4.28 Build 9669

ローカルブリッジを設定し、tapデバイスを作成してIPアドレスを振りました。

The VPN network interface
auto tap_vpn01
iface tap_vpn01 inet static
address 10.4.1.1/24

○クライアント
Softether VPN 4.0(Ver 4.25, Build 9656)
IP アドレス 10.4.1.10/24

○詳細事象
SoftetherVPN Serverとは接続可能で、VPN自体が切断される事はありません。

cloudn01.****.jp(153.***.**.**) へのPing状況は損失無

153.***.**.** からの応答: バイト数 =32 時間 =20ms TTL=52
153.***.**.** からの応答: バイト数 =32 時間 =12ms TTL=52

153.***.**.** の ping 統計:
パケット数: 送信 = 1297、受信 = 1297、損失 = 0 (0% の損失)、
ラウンド トリップの概算時間 (ミリ秒):
最小 = 12ms、最大 = 64ms、平均 = 14ms

VPN経由でLinuxホストのtapデバイスへのPingはかなりの確率でタイムアウト
します。
10.4.1.1へのPing状況（34%の損失）

10.4.1.1 からの応答: バイト数 =32 時間 =18ms TTL=64
要求がタイムアウトしました。
要求がタイムアウトしました。
10.4.1.1 からの応答: バイト数 =32 時間 =18ms TTL=64

10.4.1.1 の ping 統計:
パケット数: 送信 = 1224、受信 = 807、損失 = 417 (34% の損失)、
ラウンド トリップの概算時間 (ミリ秒):
最小 = 16ms、最大 = 2019ms、平均 = 23ms

○試したこと
Ubuntu(VM)サーバ上に仮想ブリッジbr0を作成して、

# The VPN network interface
#auto tap_vpn01
#iface tap_vpn01 inet static
# address 10.4.1.1/24

auto br0
iface br0 inet static
address 10.4.1.1/24

brige_ports ens3

tapデバイスを仮想ブリッジに追加

ip tuntap
sudo brctl addif br0 tap_vpn01

としても症状は変わらなかった。

参考
https://khws4v1.myhome.cx/article/2015/ ... %E5%AE%9A/

参考
viewtopic.php?f=15&t=2385

[cedar]

ローカルブリッジに問題があるのか、VPN 通信に問題があるのかを切り分ける必要があります。
DHCPサーバーを無効にしたSecureNATを設定してみても、やはり ping はドロップするでしょうか。

[techpiro]

ご返信ありがとうございます。

>ローカルブリッジに問題があるのか、VPN 通信に問題があるのかを切り分ける必要があります。
>DHCPサーバーを無効にしたSecureNATを設定してみても、やはり ping はドロップするでしょうか。

DHCPサーバを無効にした仮想NAT設定でPing試験でも同じ現象でやはりかなりの確立でPaketが落ちます。

要求がタイムアウトしました。
要求がタイムアウトしました。
10.4.1.1 からの応答: バイト数 =32 時間 =23ms TTL=128
10.4.1.1 からの応答: バイト数 =32 時間 =18ms TTL=128
10.4.1.1 からの応答: バイト数 =32 時間 =16ms TTL=128
10.4.1.1 からの応答: バイト数 =32 時間 =16ms TTL=128
10.4.1.1 からの応答: バイト数 =32 時間 =16ms TTL=128

10.4.1.1 の ping 統計:
パケット数: 送信 = 671、受信 = 502、損失 = 169 (25% の損失)、
ラウンド トリップの概算時間 (ミリ秒):
最小 = 14ms、最大 = 907ms、平均 = 20ms

[cedar]

tap デバイス側の問題ではないようですね。

UDP の優先度が低いルーターがあるようなので、クライアントの接続設定でNAT-T無効とUDP高速化無効を設定してみてください。

[techpiro]

ありがとうございます。

>クライアントの接続設定でNAT-T無効とUDP高速化無効

で、Pingが落ちる事もなくなりました。また、

ローカルブリッジを設定し、tapデバイスを作成してIPアドレスを振る

The VPN network interface
auto tap_vpn01
iface tap_vpn01 inet static
address 10.4.1.1/24

事により、vpnserverをインストールしたホスト自体にアクセスが可能となり、内部サービスにもアクセスできるようになりました。

追加で質問ですが、今回クライアントの接続設定でNAT-T無効とUDP高速化無効を行いましたが、vpnserver側のオプション設定でクライアントNAT-T無効とUDP高速化無効設定に関わらず、クライアントがNAT-T無効とUDP高速化無効として振舞うよう指定する事は出来ませんでしょうか？

どうぞよろしくお願いいたします。

[cedar]

NAT-T については、設定ファイルの下記の行で制限できるようです。

bool DisableNatTraversal false

UDP 高速化機能については制限する設定が見つかりませんでした。

[techpiro]

細かい質問にまでご回答いただきましたありがとうございました。大変助かりました。

bool DisableNatTraversal false

につきまして、

bool DisableNatTraversal true

としたところ、クライアントのNAT-T無効のチェックを外してもPingが落ちる事は無くなりました。

今後ともどうぞよろしくお願いいたします。