Page 1 of 1

アクセスリストについて

Posted: Fri Jun 22, 2018 9:54 am
by tadm
基本的な質問で恐縮です。
アクセスリストの動作について確認を行っているのですが、どうもうまく動作していません。
設定についてアドバイスいただければと思います。

-構成-
・L2TP/IPSecで、ユーザはVLANに所属し仮想HUB経由で上位ゲートウェイからインターネットに向かいます
・クライアントIP:192.168.120.10
・フィルタ対象IP:172.16.10.100(ホスト)※上位ゲートウェイの外側にあります。
・クライアント(VPNユーザ)から、フィルタ対象IPへのIP通信を拒否したい

-設定-
以下の内容でリストを1つ設定しました。
・動作:破棄
・優先順位:100
・送信元の名前:[未指定]
・宛先の名前:[未指定]
・送信元MACアドレス:すべての送信元に対して適用
・宛先MACアドレス:すべての宛先に対して適用
・送信元IPアドレス:全ての送信元に対して適用
・送信先IPアドレス:172.16.10.100 / 255.255.255.255
・プロトコルの種類:すべてのIPv4/IPv6プロトコル

保存を行っても、依然通信ができる状態です。(宛先サーバにPing確認で行いました)
試しに、送信先IPアドレス指定を「すべての送信先に対して適用」にするとPingが失敗するようになるので
制御が効いているように見えます。そのため、単純に設定の仕方だと思っています。
宛先を「172.16.10.0/255.255.255.0」や、送信元を「192.168.120.0/24」にするなども試してみましたが
どれも通信がフィルタされませんでした。

他に考えられる設定はありますでしょうか?
なお、仮想HUBの設定として関係あるか不明ですが以下の設定をしています。
・「仮想HUB拡張オプションの編集」の”AssignVLanIdByRadiusAttribute”を0->1に変更
・「仮想HUB拡張オプションの編集」の”NoMacAddressLog”を1−>0に変更

よろしくお願いいたします。

Re: アクセスリストについて

Posted: Mon Jun 25, 2018 6:13 am
by tadm
質問したものです。
テストをしていて、環境に依存する可能性がありそうだと思ったため情報を追記します。


-SoftEtherVPNサーバの設定-

・Radius認証での認証を行っています。
・Radius連携でVLAN情報を取得しダイナミックにユーザの所属VLANを割り当てます
・仮想HUBのローカルブリッジ接続先の物理I/Fで、802.1QのTrunkで接続しています


Radisu認証+VLAN情報の割り当ては問題なく動いています。
今回、この環境に追加してVPNクライアントの通信を一部制御するために、アクセスリストを
設定したいなと思いました。
上記、Radius認証+VLANのダイナミックな割当がアクセスリストがうまく動かない事象に関連する
可能性ありますでしょうか?

パスワード認証+VLAN割り当てを行わない方式ではアクセスリストはうまく動いたことを追記しておきます。


お知恵をお貸しいただければと思います。
よろしくお願いいたします。

Re: アクセスリストについて

Posted: Mon Jun 25, 2018 9:41 am
by cedar
SoftEther VPN では、VLAN のタグ付きパケットは、VLAN ID までしか解釈されないため、IP アドレスでのフィルタリングはできません。

Re: アクセスリストについて

Posted: Tue Jun 26, 2018 12:31 am
by tadm
SoftEtherVPNの仕様ということですね。

別の方法でのアクセス制御を含めて検討したいと思います。
ご回答ありがとうございます。