クライアント側のFWのport開放について

SoftEther VPN に関するご質問はこのフォーラムにお気軽にご投稿ください。
Post Reply
monokurousagi
Posts: 4
Joined: Sun Jun 09, 2024 3:28 pm

クライアント側のFWのport開放について

Post by monokurousagi » Sun Jun 09, 2024 3:56 pm

以下の接続構成(簡略)となっている場合、クライアント側のFWのportは何を解放すればよいのでしょうか?

クライアントPC(SoftEther VPN Client) --- RT --- FW --- インターネット --- RT --- VPN-server

SSL-VPNということで、
クライアントからVPNサーバーのDDNSで割り振ったFQDNを指定しての443の通信は、開放しているのですが、接続不可な状態です。

なにか必要な要件を見逃しているでしょうか?

また、クライアントPCが所属するネットワークは、閉域となっており、外部ネットワークとの接続性はありません。許可された宛先・portのみ、NATされて通信できるようになっています。

cedar
Site Admin
Posts: 2107
Joined: Sat Mar 09, 2013 5:37 am

Re: クライアント側のFWのport開放について

Post by cedar » Mon Jun 10, 2024 10:59 am

SoftEther VPN Client の接続設定ではデフォルトで443を含む4種類のポート番号を選択できますが、443以外のものを選択されていないでしょうか?
443 番ポートの通信は、追加でセキュリティ要件が設定されているケースもあるので、他のポートのほうが通りやすい場合もあるかも知れません。
(認証機関の発行した証明書を提示しないサーバーへは接続できないなど)

monokurousagi
Posts: 4
Joined: Sun Jun 09, 2024 3:28 pm

Re: クライアント側のFWのport開放について

Post by monokurousagi » Mon Jun 10, 2024 4:06 pm

返信ありがとうございます!

一応、VPNserver側には443指定で繋がるぞって聞いてたので、これだけで行けるかなって思ったのですが、VPNクライアント側に、エラーコード1が帰ってきてました。。

おっしゃる通り、何か別の設定がされているのか、または、FWのログを見るとDNS(UDP-53)がドロップされてたので、それがダメだったのか。

もう少しVPNserver側の事情を知るか、クライアント側での切り分けが必要そうです。

cedar
Site Admin
Posts: 2107
Joined: Sat Mar 09, 2013 5:37 am

Re: クライアント側のFWのport開放について

Post by cedar » Tue Jun 11, 2024 4:25 am

DNSが通らないと接続先の IP アドレスを解決できないので、それが原因の可能性が高そうですね。

monokurousagi
Posts: 4
Joined: Sun Jun 09, 2024 3:28 pm

Re: クライアント側のFWのport開放について

Post by monokurousagi » Tue Jun 11, 2024 5:57 am

DNS許可後のログを確認すると、DNSの通信は透過できていることを確認しました。

新たに気づいたのは、
TCP-443のトラフィックに関して、
セッションが確立できていないというログが出ていたこと で、ログから読み取った内容は以下の通り。
・FW的にはトラフィックは透過している
・ハンドシェイク後、通信が発生してないのか、ハンドシェイク中に切れたのか、どちらか分からないがセッションを切られている
・セッションを切った(セッションリセットした)のは、サーバー側であること


クライアント側の設定が不十分なのか?と思うのですが、切り分けで、同じクライアント端末をiphoneでテザリングした場合は、VPN接続できたとのこと。。。

なにか通信要件が足りないのか、VPN-server側からの必要な通信を暗黙にブロックしているのか。。

つらつら書きましたが、ピンと来ていない状況です。

cedar
Site Admin
Posts: 2107
Joined: Sat Mar 09, 2013 5:37 am

Re: クライアント側のFWのport開放について

Post by cedar » Tue Jun 11, 2024 7:31 am

よくあるファイアウオールの挙動で、成立してしまった通信を中断させたい場合に、サーバーからのパケットを偽装して RST を送ることがあります。
クライアント側でパケットキャプチャして確認したのであれば、それかもしれません。

monokurousagi
Posts: 4
Joined: Sun Jun 09, 2024 3:28 pm

Re: クライアント側のFWのport開放について

Post by monokurousagi » Wed Jun 12, 2024 12:29 am

>サーバーからのパケットを偽装して RST を送ることがあります。
そういう場合もあるんですね。

自身の役割上、あくまでFW上のログしか確認しかしていなかったので、
実際にクライアント側のパケットキャプチャをしてもらって、その結果を眺めたいと思います。

もし、ご教示頂けるなら、クライアントの、どのネットワークアダプタをパケットキャプチャすればよかったでしょうか。

ひとまず、有線で接続しているとしたら、
有線LANアダプタ と 仮想LANカード をキャプチャすれば良いのかなと思っています。

cedar
Site Admin
Posts: 2107
Joined: Sat Mar 09, 2013 5:37 am

Re: クライアント側のFWのport開放について

Post by cedar » Wed Jun 12, 2024 1:08 am

クライアントでパケットキャプチャをしてもあまり意味がないので、ファイアウオールへのアクセス権限があるなら
ログや設定を確認してみるのが良いのではないかと思います。

Post Reply