Windows標準ツールとSoftEther VPN Clientの通信における相違点について

SoftEther VPN に関するご質問はこのフォーラムにお気軽にご投稿ください。
Post Reply
solman0727
Posts: 1
Joined: Fri Mar 02, 2018 1:50 am

Windows標準ツールとSoftEther VPN Clientの通信における相違点について

Post by solman0727 » Fri Mar 02, 2018 2:34 am

初めてフォーラムに投稿させて頂きます。
ユーザネーム「solman0727」と申します。
よろしくお願い致します。

<質問>
 ・Windows標準のvpnクライアントとSoftEtherのvpn Clientを比較した場合、
  「L2TP/IPsec 」での通信を行う時の違いを教えて下さい。

<質問の背景>
 ・参画プロジェクトにて、
  AWS EC2インスタンス上にVPNサーバを構築しました。
  クライアント側はWindows 標準のvpnクライアントを使用しています。
  作業拠点は、日本、中国の2拠点です。

  ある時点より、
  日本拠点からは問題なくvpn接続が成功するのに対し、
  中国拠点からの接続に障害が発生し接続が行えなくなりました。
  中国拠点側のクライアントに対し、
  レジストリの変更など複数の変更を行いましたが、
  障害の解消には至りませんでした。

  しかし、SoftEtherのvpn Clientをインストールし接続を試行したところ、
  正常に接続が成功する事を確認しました。
  後学のために今回の障害の原因を調査しています。

<接続障害時のエラーメッセージ>
 ・エラー789 リモートコンピューターと最初にネゴシエートするときに、
  セキュリティ層で処理エラーが検出されたため、L2TP接続に失敗しました。

<環境情報>
 【サーバ】
   ・プラットフォーム:AWS EC2 アジアパシフィック (東京)
   ・OS:Windows Server 2008 R2 SP1
   ・VPN:SoftEther VPN Server 4.24.9651
   ・VPN認証方式:ユーザ名/パスワード
 
 【クライアント】
   ・OS:Winsows 10 or Windows7
   ・VPN Client:Windows 標準ツール

<確認済み事項>
 1. 両拠点の端末、サーバ、ネットワーク機器に関するハード、ソフトの変更はありません。
 2. 中国拠点端末からのOutbound UDP 500、4500の通信は正常に行えます。
 3. 金盾疎通確認の結果は成功しています。
 4. vpnを使用しないICMP、RDPの接続は成功しています。
 5. 下記のOSサービスが起動状態である事を確認しています。
   ・IKE and AuthIP IPsec Keying Modules
   ・IPsec Policy Agent

<試行したが障害解消には至らなかった変更点>
 1. vpnサーバの再起動
 2. 既存vpnクライアント設定の削除、再設定
 3. 中国拠点作業者のプライベートモバイルのテザリングによる通信
 4. 日本拠点の接続ユーザ/パスワードでの接続
 5. 下記のレジストリ更新
   ■HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
   ・DWORD (32bit)値
   ・名前:AssumeUDPEncapsulationContextOnSendRule
   ・値:2
   ■HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
   ・DWORD (32bit)値
   ・名前:LmCompatibilityLevel
   ・値:1
 6. サーバ側事前共有鍵の変更
 7. 下記のローカルセキュリティポリシーの変更
   ■「ネットワークセキュリティ: LAN Manager認証レベル」
    ・「LMと NTLMを送信する?ネゴシエーションの場合、
      NTLMv2セッション セキュリティを使う」を選択
   ■「ネットワークセキュリティ: NTLM SSP ベース (セキュア RPCを含む) の クライアント向け最小セッション
    ・「128ビット暗号化が必要」のチャックをはずす
 8. ファイアーウォール無効化
 9. セキュリティソフト無効化
 10. vpnクライアント「Cisco AnyConnect Secure Mobility Client」の使用


長文での投稿申し訳ありません。
何かアドバイス頂ければ幸いです。

cedar
Site Admin
Posts: 1061
Joined: Sat Mar 09, 2013 5:37 am

Re: Windows標準ツールとSoftEther VPN Clientの通信における相違点について

Post by cedar » Fri Mar 02, 2018 10:17 am

中国の VPN 規制が強化された影響で、メジャーな VPN プロトコルの通信は、内容にかかわらず遮断されるケースがあるようです。
SoftEther VPN Client の接続は HTTPS に偽装しているため、簡易な VPN フィルタの影響を受けにくくなっています。

クライアントから L2TP/IPsec での接続を行った時に、VPN サーバーのログに何も出力されないようであれば、途中で遮断されている可能性が高いと思われます。

また、
> 5. 下記のOSサービスが起動状態である事を確認しています。
>   ・IKE and AuthIP IPsec Keying Modules
>   ・IPsec Policy Agent
正常であれば VPN サーバーではこれらのサービスは停止状態になっているはずです。
これらが起動しているようであれば、L2TP/IPsec の設定が正しくないかもしれません。

Post Reply