Page 1 of 1

仮想 LAN 内にブロードキャスト通信を閉じ込めたい

Posted: Wed Nov 29, 2017 7:36 am
by sirase
お世話になっております。

VPS 上の Ubuntu Linux サーバに、SoftEther VPN Server を構築しております。
Bridge はしておらず、仮想 HUB を作成しその HUB へ Windows パソコンから複数で
接続し、クライアント同士で VPN 通信をしています。いわゆる「スター型」の構成です。

現在困っているのは、この構成で仮想 LAN 内の Windows パソコンが、宛先 255.255.255.255 の
ブロードキャスト通信を発生させた際に、同一仮想 HUB 内の全ての端末へ通信が届くのは
正常な挙動として問題ないのですが、VPN の外側、もう少し具体的に書きますと
VPS をレンタルしている他のお客さんのサーバにまでブロードキャスト通信が飛んでいる状況になっています。
これを、VPN 内部のみに閉じ込めたい(VPN の外側へまでブロードキャスト通信するのをブロックしたい)のですが、
VPN Server 側の設定で対応可能でしょうか?もし可能でしたら具体的な設定方法をご教示頂ければ幸いです。

現在、方法がわからないので、Ubuntu が備えているファイアウォールである ufw にて、

ufw deny out to 255.255.255.255

等と設定してみているのですが、tcpdump で確認している限りではブロックできておらず未だに外部へ
ブロードキャスト通信を投げてしまっているようです。

以上、ご教示のほどよろしくお願い致します。

Re: 仮想 LAN 内にブロードキャスト通信を閉じ込めたい

Posted: Fri Dec 01, 2017 10:10 am
by cedar
誤ってローカルブリッジを設定されていないでしょうか?

Re: 仮想 LAN 内にブロードキャスト通信を閉じ込めたい

Posted: Fri Dec 01, 2017 3:02 pm
by sirase
ご返答頂きありがとうございます。
念の為再度確認しました。GUI の管理ツールとコマンドライン両方で確認しましたが、
ブリッジはやはりしていません。
下記コマンドラインで確認した際の出力結果となります。

--
VPN Server>BridgeList
BridgeList コマンド - ローカルブリッジ接続の一覧の取得
番号|仮想 HUB 名|ブリッジ先 LAN カードまたは tap デバイス名|状態
----+-----------+------------------------------------------+----
コマンドは正常に終了しました。

VPN Server>
--

本来はブリッジせずに使うとブロードキャスト通信が仮想 LAN 内で発生しても、
実際の LAN (この場合は VPS 事業者の LAN を指します)へはブロードキャストしない仕様なのでしょうか?

下記、About コマンドの出力結果抜粋です。
--
SoftEther VPN コマンドライン管理ユーティリティ (vpncmd コマンド)
Version 4.20 Build 9608 (Japanese)
Compiled 2016/04/17 21:59:35 by yagi at pc30
Copyright (c) SoftEther VPN Project. All Rights Reserved.
--
このバージョンを使用しております。

引き続き、何かヒントとなりそうなことがありましたらご教示頂ければ幸いです。

以上、よろしくお願い致します。

Re: 仮想 LAN 内にブロードキャスト通信を閉じ込めたい

Posted: Fri Dec 01, 2017 8:11 pm
by cedar
それでは、仮想NAT機能は使用されていないでしょうか。仮想NATは、一部のブロードキャストを中継することがあるようです。

Re: 仮想 LAN 内にブロードキャスト通信を閉じ込めたい

Posted: Sat Dec 02, 2017 2:01 pm
by sirase
ご返答ありがとうございます。

SecureNAT 機能は有効にしており、その設定画面中の「仮想NAT機能を使用する」にも
チェックが入っています(使用しています)。
SecureNAT機能を有効にしているのは、単に DHCP サーバ機能を利用して
接続してきたクライアントに仮想 IP アドレスを配布したいからです。

SecureNAT 機能を有効にし、DHCP サーバ機能のみを有効化、仮想 NAT のところはチェックを外して
無効化することで、ブロードキャスト通信が外部に漏れなくなりますか?

また、仮想 NAT を無効化することによって、VPN クライアント同士の通信は可能だが
VPN クライアントが VPN サーバを中継してのインターネットへの通信は出来なくなる、であっていますか?
そもそも VPN クライアントは、VPN クライアント同士で通信する際だけに SoftEther を経由し、
インターネット、WAN 側への通信については SoftEther を経由せず直接繋がるように
設定しているので、仮想 NAT を無効化しても特に問題はないと考えていますが、念の為お伺い致します。

上記認識が正しいのであれば、仮想 NAT を無効化することで本件は解決しそうです。

以上、お手数ですが再度ご教示頂ければと思います。

Re: 仮想 LAN 内にブロードキャスト通信を閉じ込めたい

Posted: Sat Dec 02, 2017 9:38 pm
by cedar
何か原因でブロードキャストが漏れているのか特定されていないので、解決するかどうかは分かりません。
仮想NATは使用されていないはずなので、試しに無効化されてみてはいかがでしょうか。

Re: 仮想 LAN 内にブロードキャスト通信を閉じ込めたい

Posted: Thu Dec 07, 2017 11:04 am
by sirase
本件仮想 NAT を使用しない設定にすることで、ブロードキャスト通信が外部へ
漏れなくなったことを確認致しました。
ご助言頂き、まことにありがとうございました。
本件は解決とさせて頂きます。

以上、今後共よろしくお願い致します。