アクセスリストで特定MACヘッダ以外を破棄させるには?

SoftEther VPN に関するご質問はこのフォーラムにお気軽にご投稿ください。
Post Reply
yousan
Posts: 5
Joined: Fri Feb 27, 2015 6:34 am

アクセスリストで特定MACヘッダ以外を破棄させるには?

Post by yousan » Fri Feb 27, 2015 7:22 am

ネットワークの勉強を兼ねてSoftEther VPN実験専用のLANを作って試していますが躓いています。
Windows7-AにVPNサーバをインストールし、ルーター越しで別セグメントのWindows7-Bに入れたVPNクライアントから
Aの仮想HUBに対するVPN接続と、A側ネットワーク配下の他PC内の共有フォルダへのアクセス等が出来ている状態です。
使用ソフトのVerはサーバクライアント共Ver 4.14, Build 9529, betaです。

そこで仮想HUBのアクセスリストにVPNクライアントのMACヘッダ指定で接続許可
(それ以外のMACヘッダからのパケットはすべて破棄)を試したいのですが、
特定のMACヘッダ「以外」を破棄させる指定方法が判りません。

全て破棄の項目を作って、その前に通過させればよいかと思って
リストの1番目項目
通過で送信元MACヘッダ
00-00-00-00-00-05 ←通過させたいホスト
FF-FF-FF-FF-FF-FF
で他はデフォルト。
次に2番目の項目で、
破棄で
他はデフォルト
を作ってみたのですが、全て破棄されてダメでした。
基礎的な部分が判っていないのだろうと思っていますが
どうかご教示頂きたくよろしくお願い致します。

hiroshi
Posts: 128
Joined: Tue Mar 19, 2013 5:07 pm

Re: アクセスリストで特定MACヘッダ以外を破棄させるには?

Post by hiroshi » Fri Feb 27, 2015 8:26 am

yousanさん こんにちは~

>通過で送信元MACヘッダ
>00-00-00-00-00-05 ←通過させたいホスト
>FF-FF-FF-FF-FF-FF

上記は実際に仮想LANカードにご自身で変更されたものでしょうか?
もしそうだとすると下記の件が影響しているのではないでしょうか?
的外れだったらごめんなさい。

http://www.vpnusers.com/viewtopic.php?f=7&t=1679

yousan
Posts: 5
Joined: Fri Feb 27, 2015 6:34 am

Re: アクセスリストで特定MACヘッダ以外を破棄させるには?

Post by yousan » Fri Feb 27, 2015 10:52 am

hiroshiさんありがとうございます。

>上記は実際に仮想LANカードにご自身で変更されたものでしょうか?

あ、誤解を招いた書き方をしてしまいました。
>>00-00-00-00-00-05 ←通過させたいホスト
このMACヘッダはフォーラムへの書き込みのために一例として書いた値で、
実際は仮想LANカードのインストール結果のままを設定しています。
仮想LANカードインストール結果と仮想HUBに接続された後の
仮想HUB側で記録されたMACヘッダとも一致を確認していまして、
そのヘッダ値を設定しマスク値は単一ホストで設定してみたのが実際です。

ちなみに、この通過させたい単一ホストのMACヘッダ設定のフィルタルールを「破棄」に変更した場合は、
そのルール一つだけできちんと破棄されているようでVPN接続状態にはなるものの
DHCPが受けられず割り当てられたIPは169.254.~になります。
この動きから指定したMACヘッダ値は正しいと思っています。
しかし指定ホスト以外を破棄させる書き方が判らずで。

cedar
Site Admin
Posts: 1189
Joined: Sat Mar 09, 2013 5:37 am

Re: アクセスリストで特定MACヘッダ以外を破棄させるには?

Post by cedar » Fri Feb 27, 2015 1:44 pm

動作確認はどのように行っているでしょうか。
ping などの応答を必要とするプロトコルで確認する場合は、
宛先が 00-00-00-00-00-05 のパケットも許可するようにしてみてください。

yousan
Posts: 5
Joined: Fri Feb 27, 2015 6:34 am

Re: アクセスリストで特定MACヘッダ以外を破棄させるには?

Post by yousan » Sat Feb 28, 2015 4:28 am

お世話になっております。
cedarさんありがとうございます。

現在の状態と試した事を改めて記載します。
構成
------------
Windows7Pro32b
(VPNServer&仮想HUB)
192.168.11.20
 |
AルーターLAN-192.168.11.1
AルーターWAN-192.168-50.1(443ポート転送192.168.11.20:443)
 |
HUB(先々帯域制限など試すつもりで暫定のHUB)
 |
BルーターWAN-192.168.50.10
BルーターLAN-192.168.21.1
 |
192.168.21.2
Windows7Pro32b
(VPNリモートアクセスクライアント仮想LAN-MAC:00-AC-F2-C8-C8-D5)
後に検証用でVPNクライアントを1台追加しました。
------------
MACヘッダでのフィルタルール動作状況は以下で判断しました

1クライアントの接続後のパケット通過によってVPNServer側からDHCPの割り当てと失敗の結果を見ました。
通過時は192.168.11.n、破棄時は169.254.236.216等の169.254.~になりました。
2通過したときの確認はクライアント側からVPNServer192.168.11.20へpingが通ること、
逆にVPNServerからクライアントに割り当てられた192.168.11.nへpingが通ることも確認し、
破棄時は接続後pingは双方通らないことで判断しました。
3.通過した時はクライアント側からエクスプローラーのネットワークでVPNServer機のNETBIOS名と
共有設定しているフォルダへのアクセスが可能であること、破棄時はPC名も見えずアクセス不可で判断しました。

それから破棄時は仮想HUBの管理→セッション管理を見るとセッション自体は存在し、
DHCPの失敗によってクライアント側で設定されたIPアドレス169.254.~でVPNServer側も認識している状態でした。
------------
フィルタ設定で試した事と結果

1フィルタリストに全て破棄のルールを一つだけ追加。設定はIPv4の追加で破棄を設定し他はデフォルトのルール。
フィルタID1破棄 優先1000 対象は全て
結果はクライアント接続で破棄されて通信できない期待通り。

2上の1項全て破棄の前に全て通過のルールを追加。設定はIPv4の追加で通過を設定し他はデフォルトのルール。
上の破棄は優先順位を1200に変更し以下のリスト状態。
フィルタID1 通過 優先1000 対象は全て
フィルタID2 破棄 優先1200 対象は全て
結果はクライアント接続後通信可能に変わり期待通り。
フィルタID1を無効にすれば通信できなくなり期待通り。

3.上の2項で設定したID1の内容に送信元MACヘッダを指定
フィルタID1 通過 優先1000 送信元MAC:00-AC-F2-C8-C8-D5/FF-FF-FF-FF-FF-FF
フィルタID2 破棄 優先1200 対象は全て
結果は通信できなくなりIPアドレス割り当て等の動作確認3点はいずれも破棄されている状態。

4.上の3項で設定した送信元MACヘッダのマスクをAll0と最下位1bitだけ1を試すと
マスク00-00-00-00-00-00 通過して通信可能 MAC無視と同意でしょうから違うMACヘッダに設定しても通過。
マスク00-00-00-00-00-01 通信不可

5.MACヘッダ設定を確認するため2台目のVPNクライアントを作り1台目だけ破棄する動作を確認
フィルタID1 破棄 優先1000 送信元MAC:00-AC-F2-C8-C8-D5/FF-FF-FF-FF-FF-FF ←1台目のPC
このフィルタだけにして1台目のVPNクライアントは通信できなくなり、
2台めのVPNクライアントは通信可能のままで期待通り。

6.上の5項の条件で2台めのVPNクライアントのMACアドレスを設定しクライアント側の通信状況が入れ替わるか確認
フィルタID1 破棄 優先1000 送信元MAC:00-AC-12-CA-5B-27/FF-FF-FF-FF-FF-FF ←2台目のPC
通信の可否が入れ替わったので、上記5までの通過させたいPCのMAC固有の問題は無いと思います。

ということで破棄設定は期待通り動くけど、通過設定ができないという状況で
質問としては特定MACヘッダ以外を破棄する方法ですが、
それ以前に1台の例えば00-AC-F2-C8-C8-D5だけ指定し通過させる設定すらできていない状態です。
最終的にはVPNリモートアクセスとして数台のPCを想定しているので
それらからのMACとユーザー名の紐付けで制限できないか試していました。

cedar
Site Admin
Posts: 1189
Joined: Sat Mar 09, 2013 5:37 am

Re: アクセスリストで特定MACヘッダ以外を破棄させるには?

Post by cedar » Sat Feb 28, 2015 2:16 pm

その設定では、指定のMACアドレスでのパケットの送信しか許可(通過)できません。
当然、DHCP の応答を受信できないため、IP アドレスは割り当てられません。
DHCP サーバーの MAC アドレスを許可リストに追加するか、ブロードキャストと
許可したいホストの MAC アドレスを宛先とするようなパケットを許可して下さい。

yousan
Posts: 5
Joined: Fri Feb 27, 2015 6:34 am

Re: アクセスリストで特定MACヘッダ以外を破棄させるには?

Post by yousan » Mon Mar 02, 2015 10:54 am

お世話になっております。
cedarさんありがとうございます。

おかげ様でMACヘッダで制限通過の設定をするとは、どういう段階に影響するのかにようやく目が行きました。
あまりの基本にお恥ずかしい限りですが勉強になりました。

クライアント側から投げるブロードキャストとDHCPサーバーとクライアントの相互通信の許可を行って、指定MACヘッダのクライアントだけ通過設定が出来ました。
その後はVPNサーバーPC内でファイル共有を行った場合やVPNサーバー側セグメントの他Windowsにファイル共有を設定した場合等で送信側受信側の追加設定と変更や、クライアントからの共有フォルダへの接続への影響、lmhostsで名前解決する等、ネット上で見かけた初級参考解説の再現もできまして、ようやくスタート地点に立てました。
ありがとうございました。

Post Reply