社内LANのIPアドレスセグメントは192.168.0.*です。
SoftEherVPNは192.168.40.*で接続するようにSecureNATで設定しています
社内LANに接続している得体のしれないIPアドレス192.168.0.17があり調べていくとSoftEther側でDHCPで取得されているIPアドレスのようですが
何か利用しているのでしょうか?
IPアドレスの件
-
- Site Admin
- Posts: 2166
- Joined: Sat Mar 09, 2013 5:37 am
Re: IPアドレスの件
SecureNAT の WAN 側の IP アドレスではないでしょうか?
-
- Posts: 123
- Joined: Thu Feb 25, 2016 9:23 am
Re: IPアドレスの件
社内ネットワークのIPアドレスは192.168.0.31です
VPNで設定しているIPアドレスは192.168.40.191です
この他に192.168.0.17を取得しているという事でしょうか?
VPNで設定しているIPアドレスは192.168.40.191です
この他に192.168.0.17を取得しているという事でしょうか?
-
- Site Admin
- Posts: 2166
- Joined: Sat Mar 09, 2013 5:37 am
Re: IPアドレスの件
SecureNAT の仮想 NAT 機能には 3 つの動作モードがありますが、このうちカーネルモード NAT では、WAN 側として、ホストの各インターフェイスで DHCP でインターネットに出られる IP アドレスを探して取得して使用します。
https://ja.softether.org/4-docs/3-kb/VPNFAQ036
https://ja.softether.org/4-docs/3-kb/VPNFAQ036
-
- Posts: 123
- Joined: Thu Feb 25, 2016 9:23 am
Re: IPアドレスの件
https://ja.softether.org/4-docs/3-kb/VPNFAQ036
にアクセスできませんでした
にアクセスできませんでした
-
- Site Admin
- Posts: 2166
- Joined: Sat Mar 09, 2013 5:37 am
Re: IPアドレスの件
当該 FAQ の全文を引用します。
質問
SecureNAT にはいくつかの動作モードがあるようです。それぞれの動作モードにはどのような特徴がありますか。また、SecureNAT の動作モードを指定することはできますか。
回答
3 つの動作モード
SoftEther VPN の SecureNAT の仮想 NAT 機能には3つの動作モードがあります。
それは「ユーザーモード」と「カーネルモード」と「Raw IP モード」です。
これらは、仮想 HUB からホスト OS の接続するネットワークへの NAT ルーティング機能を提供するという点では同じ機能を持っていますが、外部のネットワークへの接続方法が異なります。
仮想 NAT の現在の動作モードは「仮想 NAT および仮想 DHCP サーバー」のダイアログ内の「SecureNAT の動作状況の表示」から確認することができます。NAT 機能が動作中で、カーネルモード NAT も Raw IP モード NAT も動作していない場合はユーザーモード NAT が動作中です。
ユーザーモード SecureNAT
ユーザーモード SecureNAT は最初に実装されたモードで、仮想 HUB 内部から外部への TCP, UDP でのアクセスを一度ストリームに変換して、ホスト OS の提供する TCP/IP スタックでの通信に変換します。
通信に特権を必要とせず、一般ユーザーの権限でも動作することからユーザーモードと呼ばれています。
一方、通信を一度ストリームに解釈し、それを再度 TCP の通信に再構成する必要があるため通信のスループットは他のモードよりも低くなってしまいます。
カーネルモード SecureNAT
カーネルモード SecureNAT は、ローカルブリッジ機能が使用しているドライバや低レベル API を使用してホスト OS に接続されたインターフェイスと直接通信を行います。
一般的な NAT 処理と同様にパケットの内容の解釈を行わずにヘッダの書き換えのみで動作するため、ユーザーモード SecureNAT と比較して高速に動作します。
一方、外部との通信に低レベル動作を行うため、ホストの管理者権限が必要となる場合があります。
また、ホスト OS の TCP/IP スタックを使用せずに通信を行うために、SecureNAT 仮想ホストの仮想インターフェイスはホスト OS とは違う IP アドレスと MAC アドレスを持っています。このため、MAC スプーフィングが禁止された環境では利用できない場合があります。
Raw IP モード SecureNAT
Raw IP モード SecureNAT は、カーネルモード SecureNAT と同様に通信パケットのヘッダの書き換えのみで高速に動作しますが、Linux の Raw IP ソケットを使用して通信を行うため、ホスト OS の IP アドレスと MAC アドレスを共有できます。
このため、VM やクラウド環境などの MAC スプーフィングが禁止された環境でも利用できる可能性があります。
しかし、仮想 NAT 宛のパケットに対してホスト OS の TCP/IP スタックが応答してしまうことを防ぐために、iptables でホスト OS の応答を遮断するフィルタを追加する必要があるため、動作には VPN Server から iptables が利用できる状態である必要があります。
また、ホスト OS の応答を遮断する方法のない Linux 以外の OS ではこのモードは利用できません。
利用モードの選択
SecureNAT は仮想 NAT 機能の利用時に、ホスト OS に接続されたイーサネットインターフェイスと Raw IP ソケットで、 DHCP 要求を送信してみます。この DHCP 要求で IP アドレスを取得できたら、インターネット上の Web サーバーの名前解決が DNS で行えることと、解決された IP アドレスへの HTTP での接続が可能であることを確認します。全てに成功した場合のみ、そのインターフェイスが仮想 NAT の WAN 側として使用されます。イーサネットインターフェイスでの通信に成功した場合はカーネルモード SecureNAT が使用され、Raw IP ソケットでの通信に成功した場合は Raw IP モード SecureNAT が使用されます。いずれも成功しなかった場合はユーザモード SecureNAT が使用されます。
また、仮想 HUB 拡張オプションから、各モードの利用を明示的に禁止することもできます。
カーネルモードを禁止する場合は「DisableKernelModeSecureNAT」を、Raw IP モードを禁止する場合は「DisableRawIpModeSecureNAT」を、ユーザモードを禁止する場合は「DisableUserModeSecureNAT」を、それぞれ「1」に設定して下さい。
質問
SecureNAT にはいくつかの動作モードがあるようです。それぞれの動作モードにはどのような特徴がありますか。また、SecureNAT の動作モードを指定することはできますか。
回答
3 つの動作モード
SoftEther VPN の SecureNAT の仮想 NAT 機能には3つの動作モードがあります。
それは「ユーザーモード」と「カーネルモード」と「Raw IP モード」です。
これらは、仮想 HUB からホスト OS の接続するネットワークへの NAT ルーティング機能を提供するという点では同じ機能を持っていますが、外部のネットワークへの接続方法が異なります。
仮想 NAT の現在の動作モードは「仮想 NAT および仮想 DHCP サーバー」のダイアログ内の「SecureNAT の動作状況の表示」から確認することができます。NAT 機能が動作中で、カーネルモード NAT も Raw IP モード NAT も動作していない場合はユーザーモード NAT が動作中です。
ユーザーモード SecureNAT
ユーザーモード SecureNAT は最初に実装されたモードで、仮想 HUB 内部から外部への TCP, UDP でのアクセスを一度ストリームに変換して、ホスト OS の提供する TCP/IP スタックでの通信に変換します。
通信に特権を必要とせず、一般ユーザーの権限でも動作することからユーザーモードと呼ばれています。
一方、通信を一度ストリームに解釈し、それを再度 TCP の通信に再構成する必要があるため通信のスループットは他のモードよりも低くなってしまいます。
カーネルモード SecureNAT
カーネルモード SecureNAT は、ローカルブリッジ機能が使用しているドライバや低レベル API を使用してホスト OS に接続されたインターフェイスと直接通信を行います。
一般的な NAT 処理と同様にパケットの内容の解釈を行わずにヘッダの書き換えのみで動作するため、ユーザーモード SecureNAT と比較して高速に動作します。
一方、外部との通信に低レベル動作を行うため、ホストの管理者権限が必要となる場合があります。
また、ホスト OS の TCP/IP スタックを使用せずに通信を行うために、SecureNAT 仮想ホストの仮想インターフェイスはホスト OS とは違う IP アドレスと MAC アドレスを持っています。このため、MAC スプーフィングが禁止された環境では利用できない場合があります。
Raw IP モード SecureNAT
Raw IP モード SecureNAT は、カーネルモード SecureNAT と同様に通信パケットのヘッダの書き換えのみで高速に動作しますが、Linux の Raw IP ソケットを使用して通信を行うため、ホスト OS の IP アドレスと MAC アドレスを共有できます。
このため、VM やクラウド環境などの MAC スプーフィングが禁止された環境でも利用できる可能性があります。
しかし、仮想 NAT 宛のパケットに対してホスト OS の TCP/IP スタックが応答してしまうことを防ぐために、iptables でホスト OS の応答を遮断するフィルタを追加する必要があるため、動作には VPN Server から iptables が利用できる状態である必要があります。
また、ホスト OS の応答を遮断する方法のない Linux 以外の OS ではこのモードは利用できません。
利用モードの選択
SecureNAT は仮想 NAT 機能の利用時に、ホスト OS に接続されたイーサネットインターフェイスと Raw IP ソケットで、 DHCP 要求を送信してみます。この DHCP 要求で IP アドレスを取得できたら、インターネット上の Web サーバーの名前解決が DNS で行えることと、解決された IP アドレスへの HTTP での接続が可能であることを確認します。全てに成功した場合のみ、そのインターフェイスが仮想 NAT の WAN 側として使用されます。イーサネットインターフェイスでの通信に成功した場合はカーネルモード SecureNAT が使用され、Raw IP ソケットでの通信に成功した場合は Raw IP モード SecureNAT が使用されます。いずれも成功しなかった場合はユーザモード SecureNAT が使用されます。
また、仮想 HUB 拡張オプションから、各モードの利用を明示的に禁止することもできます。
カーネルモードを禁止する場合は「DisableKernelModeSecureNAT」を、Raw IP モードを禁止する場合は「DisableRawIpModeSecureNAT」を、ユーザモードを禁止する場合は「DisableUserModeSecureNAT」を、それぞれ「1」に設定して下さい。
-
- Posts: 123
- Joined: Thu Feb 25, 2016 9:23 am
Re: IPアドレスの件
192.168.0.17は社内LANのために使っているIPアドレスでしたが、どうやらDHCP機能で先に取得されていたようです
やむなく社内用のIPアドレスを変更しました。SoftEther側でDHCPで取得できる範囲の指定または除外する機能はありますか?
やむなく社内用のIPアドレスを変更しました。SoftEther側でDHCPで取得できる範囲の指定または除外する機能はありますか?
-
- Site Admin
- Posts: 2166
- Joined: Sat Mar 09, 2013 5:37 am
Re: IPアドレスの件
仮想 NAT は、通常の DHCP クライアントとして動作するので、DHCP サーバーが正しく構成されていれば、静的に割り当て済みの IP アドレスが割り当てられることはないはずです。
割り当て済みの IP アドレスを配布しないように DHCP サーバーの設定を調整してみてください。
DHCP サーバーの設定を変更できない場合は、カーネルモード NAT を無効に設定することで、遅いけれど余分の IP アドレスを必要としないユーザーモード NAT が使用されます。
割り当て済みの IP アドレスを配布しないように DHCP サーバーの設定を調整してみてください。
DHCP サーバーの設定を変更できない場合は、カーネルモード NAT を無効に設定することで、遅いけれど余分の IP アドレスを必要としないユーザーモード NAT が使用されます。