It is currently Sun Jun 25, 2017 3:34 am

All times are UTC




Post new topic Reply to topic  [ 2 posts ] 
Author Message
PostPosted: Tue Apr 04, 2017 4:39 pm 

Joined: Tue Apr 04, 2017 4:15 pm
Posts: 1
いつもありがたくご利用させて頂いております。

現在、iPhoneでのみVPN接続がどうしてもできず、質問させて下さい。

●環境

サーバ側:
 AWS EC2のサーバ(AmazonLinux)に、softetherをインストールしております。
 Version 4.20 Build 9608 (Japanese)
 public IPを設定しております。
 ポートは500と4500を開けております。

 サーバ側の設定は、下記を参考にしております。
 http://dev.classmethod.jp/smartphone/softether_l2tp_over_ipsec/
 尚、DEFAULT以外のHUBは作成しておりません。

クライアント側①(接続可能):
 MacOS Sierra
 L2TPにて、各種設定を行い、接続したところ、VPN接続できました。
 確認はGlobalIPのサイトから確認しています。

クライアント側②(接続不可):
 iPhone
 iOS10
 L2TPにて、クライアント②と同様の設定をしております。
 また、クライアント①、②は同一LAN内に存在します。

●事象
 クライアント②にて、接続しようとしたところ、"L2TP-VPNサーバが応答しませんでした。"と出て、接続を確立することができません。クライアント①では接続できます。
 エラーメッセージが出る際、クライアント①⇔サーバ間の接続は切っています。

●接続時ログ(クライアント②からサーバへ接続した時の、サーバ側のログ)

※IPの第一オクテットは隠してます。
 時間を置いて接続し直したりして、たしかにクライアント②からの接続であることを確認しています。

2017-04-04 16:30:22.370 IPsec クライアント 15 (XXX.0.236.70:500 -> YYY.31.24.238:500): 新しい IPsec クライアントを作成しました。
2017-04-04 16:30:22.370 IPsec IKE セッション (IKE SA) 8 (クライアント: 15) (XXX.0.236.70:500 -> 172.31.24.238:500): 新しい IKE SA (Main Mode) を作成しました。Initiator Cookie: 0xCF772E2BAC6CFC9F, Responder Cookie: 0x844978BE93DF2EC7, DH グループ: MODP 1536 (Group 5), ハッシュアルゴリズム: SHA-1, 暗号化アルゴリズム: AES-CBC, 暗号鍵サイズ: 256 bits, 有効期限: 4294967295 kbytes または 3600 秒
2017-04-04 16:30:22.745 IPsec クライアント 15 (XXX.0.236.70:4500 -> YYY.31.24.238:4500): このクライアントのポート番号情報が更新されました。
2017-04-04 16:30:22.745 IPsec クライアント 15 (XXX.0.236.70:4500 -> YYY.31.24.238:4500):
2017-04-04 16:30:22.745 IPsec IKE セッション (IKE SA) 8 (クライアント: 15) (XXX.0.236.70:4500 -> 172.31.24.238:4500): サーバー・クライアント間でこの IKE SA が確立されました。
2017-04-04 16:30:32.652 IPsec クライアント 15 (XXX.0.236.70:4500 -> YYY.31.24.238:4500): この IPsec クライアントを削除しました。
2017-04-04 16:30:32.652 IPsec IKE セッション (IKE SA) 8 (クライアント: 15) (YYY.0.236.70:4500 -> 172.31.24.238:4500): この IKE SA を削除しました。
2017-04-04 16:30:45.152 IPsec クライアント 16 (XXX.0.236.70:4500 -> YYY.31.24.238:4500): 新しい IPsec クライアントを作成しました。
2017-04-04 16:30:56.263 IPsec クライアント 16 (XXX.0.236.70:4500 -> YYY.31.24.238:4500): この IPsec クライアントを削除しました。

●接続時ログ(クライアント①からサーバへ接続した時の、サーバ側のログ)

2017-04-04 16:35:27.675 IPsec クライアント 17 (XXX.0.236.70:500 -> YYY.31.24.238:500): 新しい IPsec クライアントを作成しました。
2017-04-04 16:35:27.675 IPsec IKE セッション (IKE SA) 9 (クライアント: 17) (XXX.0.236.70:500 -> YYY.31.24.238:500): 新しい IKE SA (Main Mode) を作成しました。Initiator Cookie: 0xCC4B4313F60FB2F
1, Responder Cookie: 0xC59278923E37104D, DH グループ: MODP 1536 (Group 5), ハッシュアルゴリズム: SHA-1, 暗号化アルゴリズム: AES-CBC, 暗号鍵サイズ: 256 bits, 有効期限: 4294967295 kbytes または 3
600 秒
2017-04-04 16:35:27.929 IPsec クライアント 17 (XXX.0.236.70:4500 -> YYY.31.24.238:4500): このクライアントのポート番号情報が更新されました。
2017-04-04 16:35:27.929 IPsec クライアント 17 (XXX.0.236.70:4500 -> YYY.31.24.238:4500):
2017-04-04 16:35:27.929 IPsec IKE セッション (IKE SA) 9 (クライアント: 17) (XXX.0.236.70:4500 -> YYY.31.24.238:4500): サーバー・クライアント間でこの IKE SA が確立されました。
2017-04-04 16:35:28.668 IPsec IKE セッション (IKE SA) 9 (クライアント: 17) (XXX.0.236.70:4500 -> YYY.31.24.238:4500): クライアント側から QuickMode の折衝が開始されました。
2017-04-04 16:35:28.668 IPsec ESP セッション (IPsec SA) 2 (クライアント: 17) (XXX.0.236.70:4500 -> YYY.31.24.238:4500): 新しい IPsec SA (方向: クライアント -> サーバー) を作成しました。SPI: 0x5
60B59A6, DH グループ: (null), ハッシュアルゴリズム: SHA-1, 暗号化アルゴリズム: AES-CBC, 暗号鍵サイズ: 256 bits, 有効期限: 4294967295 kbytes または 3600 秒
2017-04-04 16:35:28.668 IPsec ESP セッション (IPsec SA) 2 (クライアント: 17) (XXX.0.236.70:4500 -> YYY.31.24.238:4500): 新しい IPsec SA (方向: サーバー -> クライアント) を作成しました。SPI: 0x9
02586D, DH グループ: (null), ハッシュアルゴリズム: SHA-1, 暗号化アルゴリズム: AES-CBC, 暗号鍵サイズ: 256 bits, 有効期限: 4294967295 kbytes または 3600 秒
2017-04-04 16:35:28.790 IPsec ESP セッション (IPsec SA) 2 (クライアント: 17) (XXX.0.236.70:4500 -> YYY.31.24.238:4500): サーバー・クライアント間でこの IPsec SA が確立されました。
2017-04-04 16:35:28.800 IPsec クライアント 17 (XXX.0.236.70:4500 -> YYY.31.24.238:4500): L2TP サーバーモジュールを開始しました。
2017-04-04 16:35:29.064 L2TP PPP セッション [XXX.0.236.70:1701]: 新しい PPP セッション (上位プロトコル: L2TP) が開始されました。PPP クライアント IP アドレス: XXX.0.236.70 (ホスト名: "air.local"
), PPP クライアント ポート番号: 1701, PPP サーバー IP アドレス: YYY.31.24.238, PPP サーバー ポート番号:1701, クライアント ソフトウェア名: "L2TP VPN Client", IPv4 TCP MSS (Max Segment Size): 131
4 bytes
2017-04-04 16:35:29.500 TCP リスナー (ポート 0) にクライアント (IP アドレス XXX.0.236.70, ホスト名 "fm-dyn-XXX-0-236-70.fast.net.id", ポート番号 1701) が接続しました。
2017-04-04 16:35:29.500 クライアント (IP アドレス XXX.0.236.70, ホスト名 "fm-dyn-XXX-0-236-70.fast.net.id", ポート番号 1701) に対応するコネクション "CID-4" が作成されました。
2017-04-04 16:35:29.500 コネクション "CID-4" に対する SSL 通信が開始されました。暗号化アルゴリズム名は "(null)" です。
2017-04-04 16:35:29.510 [HUB "DEFAULT"] コネクション "CID-4" (IP アドレス XXX.0.236.70, ホスト名 fm-dyn-XXX-0-236-70.fast.net.id, ポート番号 1701, クライアント名 "L2TP VPN Client", バージョン 4.20 ビルド 9608) が仮想 HUB への接続を試行しています。提示している認証方法は "外部サーバー認証" でユーザー名は "USERXXX" です。
2017-04-04 16:35:29.510 [HUB "DEFAULT"] コネクション "CID-4": ユーザー "USERXXX" として正しく認証されました。
2017-04-04 16:35:29.510 [HUB "DEFAULT"] コネクション "CID-4": 新しいセッション "SID-USERXXX-[L2TP]-3" が作成されました。(IP アドレス XXX.0.236.70, ポート番号 1701, 物理レイヤのプロトコル: "Legacy VPN - L2TP")
2017-04-04 16:35:29.510 [HUB "DEFAULT"] セッション "SID-USERXXX-[L2TP]-3": パラメータが設定されました。最大 TCP コネクション数 1, 暗号化の使用 はい, 圧縮の使用 いいえ, 半二重通信の使用 いいえ, タイムアウト 20 秒
2017-04-04 16:35:29.510 [HUB "DEFAULT"] セッション "SID-USERXXX-[L2TP]-3": VPN Client の詳細: (クライアント製品名 "L2TP VPN Client", クライアントバージョン 420, クライアントビルド番号 9608, サーバ
ー製品名 "SoftEther VPN Server (64 bit)", サーバーバージョン 420, サーバービルド番号 9608, クライアント OS 名 "L2TP VPN Client", クライアント OS バージョン "-", クライアントプロダクト ID "-",
クライアントホスト名 "air.local", クライアント IP アドレス "XXX.0.236.70", クライアントポート番号 1701, サーバーホスト名 "YYY.31.24.238", サーバー IP アドレス "YYY.31.24.238", サーバーポート番
号 1701, プロキシホスト名 "", プロキシ IP アドレス "0.0.0.0", プロキシポート番号 0, 仮想 HUB 名 "default", クライアントユニーク ID "3C545203182E20F332B73F58FA18YYYE")
2017-04-04 16:35:29.622 L2TP PPP セッション [XXX.0.236.70:1701]: DHCP サーバーから IP アドレスを取得しようと試行しています。
2017-04-04 16:35:30.017 [HUB "DEFAULT"] SecureNAT: DHCP エントリ 2 が作成されました。MAC アドレス: CA-51-C3-FD-7B-FD, IP アドレス: 192.168.30.10, ホスト名: air.local, 有効期限: 7200 秒
2017-04-04 16:35:30.017 [HUB "DEFAULT"] セッション "SID-SECURENAT-1": このセッション上のホスト "00-AC-E6-0D-75-7C" (192.168.30.1) の DHCP サーバーは、別のセッション "SID-USERXXX-[L2TP]-3" 上のホス
ト "CA-51-C3-FD-7B-FD" に対して新しい IP アドレス 192.168.30.10 を割り当てました。
2017-04-04 16:35:30.017 L2TP PPP セッション [XXX.0.236.70:1701]: DHCP サーバーから IP アドレスを取得しました。クライアント IP アドレス: 192.168.30.10, サブネットマスク: 255.255.255.0, デフォル
トゲートウェイ: 192.168.30.1, ドメイン名: "", DNS サーバー 1: 192.168.30.1, DNS サーバー 2: 0.0.0.0, WINS サーバー 1: 0.0.0.0, WINS サーバー 2: 0.0.0.0, DHCP サーバー IP アドレス: 192.168.30.1, リース時間: 7200 秒
2017-04-04 16:35:30.017 L2TP PPP セッション [XXX.0.236.70:1701]: クライアントの IP アドレスおよびその他の IP ネットワーク情報の設定が完了しました。クライアント IP アドレス: 192.168.30.10, サブ
ネットマスク: 255.255.255.0, デフォルトゲートウェイ: 192.168.30.1, DNS サーバー 1: 192.168.30.1, DNS サーバー 2: 0.0.0.0, WINS サーバー 1: 0.0.0.0, WINS サーバー 2: 0.0.0.0


Top
 Profile  
Reply with quote  
PostPosted: Wed Apr 05, 2017 8:29 am 
Site Admin

Joined: Sat Mar 09, 2013 5:37 am
Posts: 755
原因は分かりませんが、IPsec の鍵交換が完了したあと、トンネル形成(ESP)のネゴシエーション開始要求がクライアントから届いていないように見えます。
(サーバーからクライアントへの応答メッセージが欠落している可能性もあります。)

他のネットワーク環境でも、同様に接続できないでしょうか。


Top
 Profile  
Reply with quote  
Display posts from previous:  Sort by  
Post new topic Reply to topic  [ 2 posts ] 

All times are UTC


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot post attachments in this forum

Search for:
Jump to:  
Powered by phpBB® Forum Software © phpBB Group
Return to www.softether.org