拠点間VPN接続についての質問

SoftEther VPN に関するご質問はこのフォーラムにお気軽にご投稿ください。
Post Reply
opticalmaterials
Posts: 4
Joined: Tue Jul 04, 2017 12:47 am

拠点間VPN接続についての質問

Post by opticalmaterials » Tue Jul 04, 2017 1:14 am

大変お世話になっております。
現在、softetherを利用して、拠点間VPNを構築しております。
しかしながら、手詰まりしている箇所がございます。
ネットワークの知識が乏しく、いろいろやってみましたが、VPNによるローカル同士の通信が行えない状態です。

【状況】
クラウド - 社内 間VPNを構築を行っています。
【行いたいこと】
softetherのすべて同一セグメント接続を使うのではなく、仮想L3スイッチを用いたルーティングを行いたい。
クラウド環境上にsoftetherを利用したVPNルータを構築し、物理ルータ(Cisco C841M)と拠点間VPNを構築したい。

【構築イメージ】
vPC-vHub(クラウド側) - 仮想L3SW - vHub(拠点側) <--- internet ---> cisco C841M - localPC
vPC側セグメント: 192.168.100.0/24
仮想L3SWIP:vPC側:192.168.100.200
        :localPC側:192.168.1.200
localPC側セグメント:192.168.1.0/24

vHub(拠点側)と仮想Hubの接続状態は以下の通りです。
#####拠点側VPNルータ対向仮想HUB############
VPN Server/NW>sessionlist
SessionList コマンド - 接続中のセッション一覧の取得
項目 |値
----------------+---------------------
セッション名 |SID-L3-CLOUDSW-2
VLAN ID |-
場所 |ローカルセッション
ユーザー名 |L3SW_CLOUDSW
接続元ホスト名 |仮想レイヤ 3 スイッチ
TCP コネクション|0 / 0
転送バイト数 |20,896,897
転送パケット数 |360,405
----------------+---------------------
セッション名 |SID-L2TPV3_****-[L2TPV3_****]-3
VLAN ID |-
場所 |ローカルセッション
ユーザー名 |l2tpv3_****
接続元ホスト名 |***.***.***.***(グローバルip)
TCP コネクション|1 / 1
転送バイト数 |15,882,666
転送パケット数 |240,983
コマンドは正常に終了しました。

仮想HubとCiscoルータとはセッションが貼れているようですが、
localPCからvPCのアドレスに対してpingを打つと、応答がありません。
また、localPCからvPCまでtracerouteを行うと、Ciscoルータまでしか
通っていないので、正しくセッションが貼れているかどうかを
どうやって確認するかご教示いただきたいです。
(Ciscoの設定は公式の通りに行っております。)

以上、よろしくお願いいたします。

cedar
Site Admin
Posts: 2070
Joined: Sat Mar 09, 2013 5:37 am

Re: 拠点間VPN接続についての質問

Post by cedar » Tue Jul 04, 2017 9:03 am

vpc と Cisco のルーターで互いに相手側のネットワークへの経路のゲートウェイとして仮想L3スイッチの仮想インターフェイスのアドレスを設定する必要があります。

opticalmaterials
Posts: 4
Joined: Tue Jul 04, 2017 12:47 am

Re: 拠点間VPN接続についての質問

Post by opticalmaterials » Tue Jul 04, 2017 1:38 pm

アドバイスありがとうございます。
現状のルート設定を見直してみます。
ただ、その前の段階で、vPCからL3SWへのpingが通らず、悩んでおります。

vPC -- | eth2 -- bridge -- vHub(クラウド側) -- vL3SW -- vHub(拠点側) | --- internet ...
( | |で囲まれた部分はSoftether vpn server として動いているクラウドサーバです。)
としているのですが、 vPCから vHub(クラウド側)へのpingは通るものの
vL3SWまで到達しておらず、この設定がうまくいっていないように見えます。
ただ、vL3SWのルーティングテーブルをみると、vPCのMACや上記には記載しておりませんが
localPC(拠点内物理PC)のMACアドレスは登録されているようなので、
なぜ疎通確認が出来ないのかが不明です。
Linuxサーバですので、下記のような接続が必要なのでしょうか?
vPC -- | eth2/eth3 == bridge × 2 == vHub(クラウド側) --vL3SW ...
『3.6.11 ローカルブリッジを利用する注意点』にも描かれておりますが、
VPN用のトンネリング用ethとブリッジおよび通信用のeth3とブリッジの構成が必要でしょうか?

以上、よろしくお願いいたします。

opticalmaterials
Posts: 4
Joined: Tue Jul 04, 2017 12:47 am

Re: 拠点間VPN接続についての質問

Post by opticalmaterials » Wed Jul 05, 2017 1:50 am

大変お世話になります。
相変わらず、SoftEtherにおける接続で手詰まっております。

接続想定を図に起こして、先ず私の理解がこんな形で問題ないか
ご教示いただきたいです。

というのも、図のvPCからローカルブリッジ接続した
eth2のipまでは疎通が取れ、vHub(Cloud)の状態も、接続されているようですが、
vL3SW(192.168.1.1)まで疎通が取れておりません。
(vHub(Cloud)のMACテーブルには、vPCのMACが登録されますので、
恐らくは、vHub(Cloud)まで届いているものと考えています。)

そもそもこのような接続で、最終目的である、localPCとのVPN接続が
構築可能なのかもわからなくなってきました。

何か問題解決の糸口になる
情報をご教示いただければ幸いです。

以上、よろしくお願いいたします。
You do not have the required permissions to view the files attached to this post.

cedar
Site Admin
Posts: 2070
Joined: Sat Mar 09, 2013 5:37 am

Re: 拠点間VPN接続についての質問

Post by cedar » Wed Jul 05, 2017 10:29 am

クラウド環境ではプロミスキャスモードが正常に動作しないケースが多いので、vpcと仮想HUBの接続はVPNにされてはいかがでしょうか

opticalmaterials
Posts: 4
Joined: Tue Jul 04, 2017 12:47 am

Re: 拠点間VPN接続についての質問

Post by opticalmaterials » Thu Jul 06, 2017 5:58 am

大変お世話になります。
softetherでの、接続は結局添付資料のような形になりました。
何とかvPCとlocalPCの疎通が取れて、VPNが貼れるようになりました。
ありがとうございました。

原因は、ちょっと良くわかないのですが
それぞれ一つ一つ確認し、最初にvPCとsoftetherとのvHubのチェックからしていって、
vL3SWを経由して10.10.10.5まで接続できることを確認したら、
VPNをルータと貼って、ルータに192.168.1.0/24の通信を10.10.10.1へ送信するよう
指示したら、何とか疎通が取れました。

ただ、今は閉塞したローカル上で環境を再現してテストした結果ですので、
ご指摘の通り、プロミスキャスモードが動かなかった場合、別の手段を考える必要があると
思っています。

皆様ご指摘ありがとうございました。
本件はこれにてクローズさせていただきます。
You do not have the required permissions to view the files attached to this post.

Post Reply