SoftEther VPN User Forum

SoftEther VPN User Forum
https://forum.vpngate.net/

L2TP/IPSec接続について

https://forum.vpngate.net/viewtopic.php?f=15&t=60543

Page 1 of 1

L2TP/IPSec接続について

Posted: Thu May 10, 2018 9:20 am
by kubo
お世話になります。

以下構成でVPN Serverを構築しましたが、L2TPでなぜか接続できません。が、softether-vpnclientからは接続できます。

サーバー側
・Debian(Jessie)を搭載したルーターに、softether-vpnserver-v4.25-9656-rtm-2018.01.15-linux-arm_eabi-32bitへVPN Serverをインストール。
・本ルーターにはSIMが搭載しておりpppにてネット接続(NATではない)。
・Vpn-Serverにはローカルブリッジを作成し、L2TPサーバー機能を有効にしている。
・ファイアーウォールは全て許可している状態。

クライアント側
・クライアントはWindows10のPC。NAT環境のため、レジストリでNATトラバーサル有効に変更。
・正しい事前共有キーとID、パスワードを設定されている。
 
・が、上記サーバーにはL2TP/IPSecでは接続できない。しかし、クライアントへsoftether-vpnclientをインストールして、VPN Clientからは接続できる。
・また、このクライアントからは、他L2TP/IPSecのVPNサーバーには接続できるので、クライアント側の設定はおそらく正しいと思われる。

以上より、サーバー側の設定か何かが原因だと思うのですが、VPN Server側のログには特に残っていないようなので、どこから追っていくのがいいのかなど何かアドバイスいただければと思います。

お手数をおかけいたしますが、よろしくお願いいたします。

Re: L2TP/IPSec接続について

Posted: Thu May 10, 2018 10:33 am
by cedar
ログに何も残っていないということなので、アクセス自体がサーバーまで届いていないと思われます。
IPsecで使用するポート番号は固定なので、同ホストで他にIPsecのサーバーやクライアントになるプロセスがある場合はポートを開くのに失敗している可能性があります。
netstat コマンドなどで、vpnserver が動作していない時に UDP/500、UDP/4500 ポートが使用されていないか確認してみてください。

Re: L2TP/IPSec接続について

Posted: Thu May 10, 2018 12:35 pm
by kubo
早速のアドバイスありがとうございます。

vpnserver停止している時に、UDP500,UDP4500ポートを確認しましたが、使用されていませんでした。
また、vpnserver起動後に、netstat -lupnで確認すると以下のように表示されるので(udp6は省略)、500,4500ともvpnserverが使用していると思います。

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
udp 0 0 0.0.0.0:43191 0.0.0.0:* 17061/vpnserver
udp 0 0 0.0.0.0:27378 0.0.0.0:* 17061/vpnserver
udp 0 0 127.0.0.1:4500 0.0.0.0:* 17061/vpnserver
udp 0 0 192.168.1.1:4500 0.0.0.0:* 17061/vpnserver
udp 0 0 100.68.173.101:4500 0.0.0.0:* 17061/vpnserver
udp 0 0 0.0.0.0:57304 0.0.0.0:* 17061/vpnserver
udp 0 0 0.0.0.0:36337 0.0.0.0:* 17061/vpnserver
udp 0 0 127.0.0.1:500 0.0.0.0:* 17061/vpnserver
udp 0 0 192.168.1.1:500 0.0.0.0:* 17061/vpnserver
udp 0 0 100.68.173.101:500 0.0.0.0:* 17061/vpnserver
udp 0 0 0.0.0.0:52822 0.0.0.0:* 17060/vpnserver

クライアント側からは他L2TP/IPSecサーバーへは、やはり接続できるので、クライアント側は大丈夫だろうと思いますが、クライアント側の問題でしょうか?
申し訳ありませんが、よろしくお願いいたします。

Re: L2TP/IPSec接続について

Posted: Fri May 11, 2018 9:44 am
by cedar
他のサーバーにアクセス可能であれば、クライアント側の問題である可能性は低いと思います。

サーバー側の ISP で IPsec を遮断しているといったことはないでしょうか。

また、SoftEther VPN プロトコルでは、UDP ホールパンチングによる NAT トラバーサル機能が働くため
上流に NAT がある場合でも接続できてしまうケースがあります。
VPN サーバーのホストに UDP が到達する状態になっているか確認してみたほうが良いかもしれません。

Re: L2TP/IPSec接続について

Posted: Wed May 16, 2018 12:20 pm
by kubo
ご回答ありがとうございます。大変助かります。また、返信遅くなりましてすいません。
SIM側もプライベートアドレスなので、ISP側で遮断している可能性があります。

SoftEhterのL2TP/IPSec+DDNSなら、両端がNATでもつながるものと勝手に勘違いしておりました。
SIM側のNAT越えについてはISP側に可能かどうか確認中ですが、ユーザー側でUDPが到達するかどうかの確認はどうするのが一般的でしょうか?私自身がやり方わかっておりませんので、申し訳ありませんがご教授いただけると幸いです。

Re: L2TP/IPSec接続について

Posted: Thu May 17, 2018 8:51 am
by cedar
IPsec の NAT 越え機能はサーバー側では機能しません。
明示的に NAT でポート転送を行う必要があるため、ISP で NAT されている場合は使用できない可能性が高いです。

Re: L2TP/IPSec接続について

Posted: Thu May 17, 2018 12:12 pm
by kubo
ご回答ありがとうございます。
IPsec の NAT 越え機能はサーバー側では機能しないということで了解いたしました。
お手数をおかけいたしました。L2TP/IPSecは諦め、SoftetherのVPN-Clientを使用することで進めたいと思います。
ありがとうございました。
All times are UTC
Page 1 of 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/