It is currently Sun Jun 25, 2017 6:53 pm

All times are UTC




Post new topic Reply to topic  [ 10 posts ] 
Author Message
PostPosted: Wed Feb 01, 2017 2:39 pm 

Joined: Wed Feb 01, 2017 2:10 pm
Posts: 5
ルーターに対してport5555(TCP)・443(TCP)・500(UDP)・4500(UDP)のIPマスカレード設定・ポートフォワーディング設定を施している。
接続先にDDNS名/TCP・port5555を指定してVPNClientで接続しようとすると、接続に失敗する。
接続先にDDNS名・port5555でを指定してVPNClientで接続すると、NAT Traversal接続となる。
マニュアルで確認する限りでは、TCP接続が可能とであるように読めるが、各種設定上の注意点について情報を戴けると助かります。
よろしくお願いします。


Top
 Profile  
Reply with quote  
PostPosted: Thu Feb 02, 2017 9:03 am 
Site Admin

Joined: Sat Mar 09, 2013 5:37 am
Posts: 755
PC自身のファイアウオールなどで通信が制限されるケースもあります。
LAN 内からプライベート IP アドレスで接続できるか確認してみてください。


Top
 Profile  
Reply with quote  
PostPosted: Thu Feb 02, 2017 10:05 am 

Joined: Wed Feb 01, 2017 2:10 pm
Posts: 5
早速の回答ありがとうございます。

LAN内環境で、接続先をコンピュータ名・コンピュータ名/TCPを指定しての試行は、問題なく接続できています。
接続時のプロトコルは「TCP/IP」と判断されます。
また、接続先をコンピュータ名/を指定しての試行は、当然ながら接続できません。

これまでにも、ファイアウォールの設定を見直していました。その中で適用範囲に「パブリック」が設定されていない
ものには、「パブリック」を追加したり等で確認していますが、解決できませんでした。
ちなみに、VPNServerはWindows Server 2012R2上となっています。

お手数でも、追加の情報を戴ければ有難く思います。


Top
 Profile  
Reply with quote  
PostPosted: Fri Feb 03, 2017 9:13 am 
Site Admin

Joined: Sat Mar 09, 2013 5:37 am
Posts: 755
設定内容自体には問題はないように思われます。
他のグローバル IP アドレスを持つインターネット接続からテストされているでしょうか。
接続テストが同じ NAT 下からだと失敗する事があるようです。


Top
 Profile  
Reply with quote  
PostPosted: Fri Feb 03, 2017 12:09 pm 

Joined: Wed Feb 01, 2017 2:10 pm
Posts: 5
cedar wrote:
> 設定内容自体には問題はないように思われます。
> 他のグローバル IP アドレスを持つインターネット接続からテストされているでしょうか。
> 接続テストが同じ NAT 下からだと失敗する事があるようです。

ご連絡ありがとうございます。
他のグローバル IP アドレスを持つインターネット接続からテストしています。

LAN内からの接続テストについての追加情報です。
1.LAN内IPでの接続は、NAT-T・TCPの両者とも接続可でした。
2.WAN側IPでの接続は、NAT-Tは接続可、TCPは接続不可となりました。

ルーターのSysLog、VPNServerのログも見ておりますが、わたくしの稚拙な知識では
問題を見通せない状態です。
ログから糸口をつかむにはどのようなポイントを押さえればよいか情報を戴ければ
有難く思います。

よろしくお願いします。


Top
 Profile  
Reply with quote  
PostPosted: Sat Feb 04, 2017 10:25 am 
Site Admin

Joined: Sat Mar 09, 2013 5:37 am
Posts: 755
TCPでWAN側に接続して、何のログも残らないようであれば、ポート転送に失敗している
可能性が高いと思われます。
(あるいは、ファイアウオールがあれば遮断されている可能性もあります。)


Top
 Profile  
Reply with quote  
PostPosted: Tue Feb 07, 2017 1:14 am 

Joined: Wed Feb 01, 2017 2:10 pm
Posts: 5
cedar wrote:
> TCPでWAN側に接続して、何のログも残らないようであれば、ポート転送に失敗している
> 可能性が高いと思われます。
> (あるいは、ファイアウオールがあれば遮断されている可能性もあります。)

VPNServerの稼働しているPC上で、WireSharkのログをTCPの5555ポートについてのみ
取得してみました。
私では十分な解析ができませんので、お時間のある時に一見していただき、問題の所在を
ご指摘いただければ有難く存じます。

よろしくお願いいたします。


Attachments:
File comment: VPNServerの稼働しているPC上で、WireSharkのログをTCPの5555ポートについてのみ
取得してみました。

VpnConnectLog.pcapng.txt [4.5 KiB]
Downloaded 61 times
Top
 Profile  
Reply with quote  
PostPosted: Tue Feb 07, 2017 9:37 am 
Site Admin

Joined: Sat Mar 09, 2013 5:37 am
Posts: 755
通信内容は暗号化されているので、パケットキャプチャしても通信内容はわかりません。
まずはVPNサーバーのサーバーログを確認してみることをお勧めします。


Top
 Profile  
Reply with quote  
PostPosted: Tue Feb 07, 2017 9:44 am 
Site Admin

Joined: Sat Mar 09, 2013 5:37 am
Posts: 755
パケットログからは、SYN の着信に対して SYN+ACK の応答を返しているにも関わらず、その先の通信が行われていないように見えます。
返信が届いていないとすると、ファイアウオールの設定ミスが考えられると思います。


Top
 Profile  
Reply with quote  
PostPosted: Wed Feb 08, 2017 2:08 pm 

Joined: Wed Feb 01, 2017 2:10 pm
Posts: 5
cedar wrote:
> パケットログからは、SYN の着信に対して SYN+ACK の応答を返しているにも関わらず、その先の通信が行われていないように見えます。
> 返信が届いていないとすると、ファイアウオールの設定ミスが考えられると思います。

非常に貴重なヒントを頂戴して助かりました。
ファイアウォールを見直し、TCPのPORT5555の受信方向は期待通りに通過できているので、送信方向がブロックされていると考え、新たに送信側フィルターにTCPのPORT5555を通過できるように追加設定しました。
これですんなりとTCPにてコネクションが確立できました。
お陰様で、NAT-Tによるコネクションに比べてレスポンスの向上と、安定性が同時に確保できたようです。

お忙しいところ、誠に有難うございました。
今後ともよろしくお願いいたします。


Top
 Profile  
Reply with quote  
Display posts from previous:  Sort by  
Post new topic Reply to topic  [ 10 posts ] 

All times are UTC


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot post attachments in this forum

Search for:
Jump to:  
Powered by phpBB® Forum Software © phpBB Group
Return to www.softether.org