Active-Stanby構成の待ち受け側仮想NICでL2TP接続が繋がらない

SoftEther VPN に関するご質問はこのフォーラムにお気軽にご投稿ください。
Post Reply
tanabe_Syouiti
Posts: 4
Joined: Fri Apr 10, 2020 6:51 am

Active-Stanby構成の待ち受け側仮想NICでL2TP接続が繋がらない

Post by tanabe_Syouiti » Fri Apr 10, 2020 7:19 am

vmware ESXi 6.7.0 Update2環境にCentOS7でSoftEtherサーバを構築しました。
SoftEtherサーバに割り当てた仮想NICには物理NICが2つActive-Standbyで登録されているのですが、L2TPで外部から接続できなくて困っています。
SoftEtherServerはVersion4.25 Build 9656です。
なお、この状態でもSoftEtherVPNClientでは接続可能なのは確認しています。
また、L2TP接続は仮想NICに登録する物理NICを1つに減らすと接続できることも確認しました。
仮想スイッチに対して無差別モードも許可をしております。

待ち受け側仮想NICに物理NIC2つをActive-Standby構成で登録した環境でL2TPでも接続できるようにしたいのですが、どのように解決したら良いでしょうか。
どうか皆様のご助力をお願い致します。

cedar
Site Admin
Posts: 1339
Joined: Sat Mar 09, 2013 5:37 am

Re: Active-Stanby構成の待ち受け側仮想NICでL2TP接続が繋がらない

Post by cedar » Fri Apr 10, 2020 9:54 am

ローカルブリッジ機能を使用していなければ、無差別モードの設定は不要です。

サーバーログにはエラーなどの記録はないでしょうか。

tanabe_Syouiti
Posts: 4
Joined: Fri Apr 10, 2020 6:51 am

Re: Active-Stanby構成の待ち受け側仮想NICでL2TP接続が繋がらない

Post by tanabe_Syouiti » Sun Apr 12, 2020 4:36 pm

ご回答ありがとうございます。

ローカルブリッジ機能を使用しております。
サーバログには以下の通り出力されていました。
2020-04-13 00:52:15.205 IPsec クライアント 1 (XXX.XXX.XXX.XXX:50622 -> YYY.YYY.YYY.YYY:500): 新しい IPsec クライアントを作成しました。
2020-04-13 00:52:15.205 IPsec IKE セッション (IKE SA) 1 (クライアント: 1) (XXX.XXX.XXX.XXX:50622 -> YYY.YYY.YYY.YYY:500): 新しい IKE SA (Main Mode) を作成しました。Initiator Cookie: 0x3815FB75482F2B1C, Responder Cookie: 0xDB53A52395DD2A06, DH グループ: MODP 1024 (Group 2), ハッシュアルゴリズム: SHA-1, 暗号化アルゴリズム: AES-CBC, 暗号鍵サイズ: 256 bits, 有効期限: 4294967295 kbytes または 28800 秒
2020-04-13 00:52:15.316 IPsec クライアント 1 (XXX.XXX.XXX.XXX:4500 -> YYY.YYY.YYY.YYY:4500): このクライアントのポート番号情報が更新されました。
2020-04-13 00:52:15.316 IPsec クライアント 1 (XXX.XXX.XXX.XXX:4500 -> YYY.YYY.YYY.YYY:4500):
2020-04-13 00:52:15.316 IPsec IKE セッション (IKE SA) 1 (クライアント: 1) (XXX.XXX.XXX.XXX:4500 -> YYY.YYY.YYY.YYY:4500): サーバー・クライアント間でこの IKE SA が確立されました。
2020-04-13 00:52:16.377 IPsec IKE セッション (IKE SA) 1 (クライアント: 1) (XXX.XXX.XXX.XXX:4500 -> YYY.YYY.YYY.YYY:4500): クライアント側から QuickMode の折衝が開始されました。
2020-04-13 00:52:16.377 IPsec ESP セッション (IPsec SA) 1 (クライアント: 1) (XXX.XXX.XXX.XXX:4500 -> YYY.YYY.YYY.YYY:4500): 新しい IPsec SA (方向: クライアント -> サーバー) を作成しました。SPI: 0x6F103238, DH グループ: (null), ハッシュアルゴリズム: SHA-1, 暗号化アルゴリズム: AES-CBC, 暗号鍵サイズ: 256 bits, 有効期限: 4294967295 kbytes または 28800 秒
2020-04-13 00:52:16.377 IPsec ESP セッション (IPsec SA) 1 (クライアント: 1) (XXX.XXX.XXX.XXX:4500 -> YYY.YYY.YYY.YYY:4500): 新しい IPsec SA (方向: サーバー -> クライアント) を作成しました。SPI: 0x9ED8C0D, DH グループ: (null), ハッシュアルゴリズム: SHA-1, 暗号化アルゴリズム: AES-CBC, 暗号鍵サイズ: 256 bits, 有効期限: 4294967295 kbytes または 28800 秒
2020-04-13 00:52:16.407 IPsec ESP セッション (IPsec SA) 1 (クライアント: 1) (XXX.XXX.XXX.XXX:4500 -> YYY.YYY.YYY.YYY:4500): サーバー・クライアント間でこの IPsec SA が確立されました。
2020-04-13 00:52:17.185 IPsec クライアント 1 (XXX.XXX.XXX.XXX:4500 -> YYY.YYY.YYY.YYY:4500): L2TP サーバーモジュールを開始しました。
2020-04-13 00:52:17.447 L2TP PPP セッション [XXX.XXX.XXX.XXX:1701]: 新しい PPP セッション (上位プロトコル: L2TP) が開始されました。PPP クライアント IP アドレス: XXX.XXX.XXX.XXX (ホスト名: "anonymous"), PPP クライアント ポート番号: 1701, PPP サーバー IP アドレス: YYY.YYY.YYY.YYY, PPP サーバー ポート番号:1701, クライアント ソフトウェア名: "L2TP VPN Client", IPv4 TCP MSS (Max Segment Size): 1314 bytes
2020-04-13 00:52:18.135 TCP リスナー (ポート 0) にクライアント (IP アドレス XXX.XXX.XXX.XXX, ホスト名 "XXX.XXX.XXX.XXX", ポート番号 1701) が接続しました。
2020-04-13 00:52:18.135 クライアント (IP アドレス XXX.XXX.XXX.XXX, ホスト名 "XXX.XXX.XXX.XXX", ポート番号 1701) に対応するコネクション "CID-1" が作成されました。
2020-04-13 00:52:18.135 コネクション "CID-1" に対する SSL 通信が開始されました。暗号化アルゴリズム名は "(null)" です。
2020-04-13 00:52:18.135 [HUB "MADLab.VPN"] コネクション "CID-1" (IP アドレス XXX.XXX.XXX.XXX, ホスト名 XXX.XXX.XXX.XXX, ポート番号 1701, クライアント名 "L2TP VPN Client", バージョン 4.25 ビルド 9656) が仮想 HUB への接続を試行しています。提示している認証方法は "外部サーバー認証" でユーザー名は "********" です。
2020-04-13 00:52:18.135 [HUB "MADLab.VPN"] コネクション "CID-1": ユーザー "********" として正しく認証されました。
2020-04-13 00:52:18.135 [HUB "MADLab.VPN"] コネクション "CID-1": 新しいセッション "SID-********-[L2TP]-2" が作成されました。(IP アドレス XXX.XXX.XXX.XXX, ポート番号 1701, 物理レイヤのプロトコル: "Legacy VPN - L2TP")
2020-04-13 00:52:18.135 [HUB "MADLab.VPN"] セッション "SID-********-[L2TP]-2": パラメータが設定されました。最大 TCP コネクション数 1, 暗号化の使用 はい, 圧縮の使用 いいえ, 半二重通信の使用 いいえ, タイムアウト 20 秒
2020-04-13 00:52:18.135 [HUB "MADLab.VPN"] セッション "SID-********-[L2TP]-2": VPN Client の詳細: (クライアント製品名 "L2TP VPN Client", クライアントバージョン 425, クライアントビルド番号 9656, サーバー製品名 "SoftEther VPN Server (64 bit)", サーバーバージョン 425, サーバービルド番号 9656, クライアント OS 名 "L2TP VPN Client", クライアント OS バージョン "-", クライアントプロダクト ID "-", クライアントホスト名 "anonymous", クライアント IP アドレス "XXX.XXX.XXX.XXX", クライアントポート番号 1701, サーバーホスト名 "YYY.YYY.YYY.YYY", サーバー IP アドレス "YYY.YYY.YYY.YYY", サーバーポート番号 1701, プロキシホスト名 "", プロキシ IP アドレス "0.0.0.0", プロキシポート番号 0, 仮想 HUB 名 "*******", クライアントユニーク ID "47C3D69FCF577FF95F7820CBEC228837")
2020-04-13 00:52:18.185 L2TP PPP セッション [XXX.XXX.XXX.XXX:1701]: DHCP サーバーから IP アドレスを取得しようと試行しています。
2020-04-13 00:52:23.189 L2TP PPP セッション [XXX.XXX.XXX.XXX:1701]: DHCP サーバーからの IP アドレスの取得に失敗しました。PPP の通信を受諾するためには DHCP サーバーが必要です。仮想 HUB の Ethernet セグメント上で DHCP サーバーが正しく動作しているかどうか確認してください。DHCP サーバーを用意することができない場合は、仮想 HUB の SecureNAT 機能を用いることもできます。
2020-04-13 00:52:29.792 L2TP PPP セッション [XXX.XXX.XXX.XXX:1701]: VPN クライアントの IP アドレスがまだ決定されていないにもかかわらず、VPN クライアントが通信を行おうとしました。
2020-04-13 00:52:29.792 L2TP PPP セッション [XXX.XXX.XXX.XXX:1701]: PPP プロトコルエラーが発生したか、または PPP セッションが切断されました。
2020-04-13 00:52:29.853 IPsec ESP セッション (IPsec SA) 1 (クライアント: 1) (XXX.XXX.XXX.XXX:4500 -> YYY.YYY.YYY.YYY:4500): この IPsec SA を削除しました。
2020-04-13 00:52:29.853 IPsec IKE セッション (IKE SA) 1 (クライアント: 1) (XXX.XXX.XXX.XXX:4500 -> YYY.YYY.YYY.YYY:4500): この IKE SA を削除しました。
2020-04-13 00:52:29.853 IPsec ESP セッション (IPsec SA) 1 (クライアント: 1) (XXX.XXX.XXX.XXX:4500 -> YYY.YYY.YYY.YYY:4500): この IPsec SA を削除しました。
2020-04-13 00:52:29.974 [HUB "********"] セッション "SID-********-[L2TP]-2": セッションが終了しました。統計情報は次の通りです。合計送信データサイズ: 34904 バイト, 合計受信データサイズ: 1320 バイト
2020-04-13 00:52:29.994 コネクション "CID-1" は理由 "VPN セッションが削除されました。管理者がセッションを切断したか、クライアントから VPN Server への接続が切断された可能性があります。" (コード 11) で終了しました。
2020-04-13 00:52:29.994 コネクション "CID-1" が終了しました。
2020-04-13 00:52:29.994 クライアント (IP アドレス XXX.XXX.XXX.XXX, ポート番号 1701) との間のコネクションは切断されました。
2020-04-13 00:52:40.285 IPsec クライアント 1 (XXX.XXX.XXX.XXX:4500 -> YYY.YYY.YYY.YYY:4500): この IPsec クライアントを削除しました。

DCHPサーバ側のログも以下に記載します。
Apr 13 00:52:18 dhcp dhcpd: DHCPDISCOVER from **:**:**:**:**:** via ens192
Apr 13 00:52:19 dhcp dhcpd: DHCPOFFER on ZZZ.ZZZ.ZZZ.ZZZ to **:**:**:**:**:** (anonymous) via ens192
Apr 13 00:52:19 dhcp dhcpd: DHCPDISCOVER from **:**:**:**:**:** (anonymous) via ens192
Apr 13 00:52:19 dhcp dhcpd: DHCPOFFER on ZZZ.ZZZ.ZZZ.ZZZ to **:**:**:**:**:** (anonymous) via ens192
Apr 13 00:52:21 dhcp dhcpd: DHCPDISCOVER from **:**:**:**:**:** (anonymous) via ens192
Apr 13 00:52:21 dhcp dhcpd: DHCPOFFER on ZZZ.ZZZ.ZZZ.ZZZ to **:**:**:**:**:** (anonymous) via ens192
Apr 13 00:52:23 dhcp dhcpd: DHCPDISCOVER from **:**:**:**:**:** (anonymous) via ens192
Apr 13 00:52:23 dhcp dhcpd: DHCPOFFER on ZZZ.ZZZ.ZZZ.ZZZ to **:**:**:**:**:** (anonymous) via ens192

DHCPによるアドレス割り当てに失敗しているように見えるのですが、SoftEtherVPNClientでの接続は出来ているので違いがイマイチ分かりません。
お詳しい方からのご助言をいただければと思います。

cedar
Site Admin
Posts: 1339
Joined: Sat Mar 09, 2013 5:37 am

Re: Active-Stanby構成の待ち受け側仮想NICでL2TP接続が繋がらない

Post by cedar » Tue Apr 14, 2020 10:19 am

dhcpd はどこで動作していて、どのように仮想 HUB に接続されているでしょうか。

tanabe_Syouiti
Posts: 4
Joined: Fri Apr 10, 2020 6:51 am

Re: Active-Stanby構成の待ち受け側仮想NICでL2TP接続が繋がらない

Post by tanabe_Syouiti » Thu Apr 16, 2020 2:57 pm

お返事ありがとうございます。

dhcpdはSoftEtherサーバと同じネットワークセグメント上にいる別のサーバ上で動作しています。
dhcpdによるIPアドレス割当はXXX.XXX.XXX.2~XXX.XXX.XXX.31の範囲です。
InternetからSoftEtherサーバへはポートフォワーディングによりパケットを転送しています。
ネットワーク的には下図のようになっています。
   [Internet]
     |
    [Router]
   XXX.XXX.XXX.248
     |
 +----------+------------+-------(XXX.XXX.XXX.0/24)
 |         |
[DHCP Server}  [SoftEther Server]
XXX.XXX.XXX.254 XXX.XXX.XXX.247

以上で説明になりますでしょうか?

cedar
Site Admin
Posts: 1339
Joined: Sat Mar 09, 2013 5:37 am

Re: Active-Stanby構成の待ち受け側仮想NICでL2TP接続が繋がらない

Post by cedar » Fri Apr 17, 2020 10:37 am

そうすると、やはりローカルブリッジの部分が機能していないように見えますね。

イーサネットデバイスへの直接のローカルブリッジが上手く動作しない場合は、
tap デバイスへのローカルブリッジに変更して、tapデバイスとイーサネットデバイスを
Linux の機能でブリッジしたほうが良いかもしれません。

tanabe_Syouiti
Posts: 4
Joined: Fri Apr 10, 2020 6:51 am

Re: Active-Stanby構成の待ち受け側仮想NICでL2TP接続が繋がらない

Post by tanabe_Syouiti » Sat Apr 18, 2020 3:21 am

お返事ありがとうございます。
ローカルブリッジ機能が機能していない可能性とのことでしたので、一度ローカルブリッジを削除して再起動後、再度ローカルブリッジを設定したところうまく動作するようになりました。
お忙しいところお付き合いいただきましてありがとうございました。

Post Reply