基本的な質問です。

SoftEther VPN に関するご質問はこのフォーラムにお気軽にご投稿ください。
Post Reply
beginnerSS
Posts: 27
Joined: Fri May 25, 2018 4:56 am

基本的な質問です。

Post by beginnerSS » Tue Apr 21, 2020 10:50 pm

お世話になります。
これまで、DDNSを使って固定IPのない自宅PCに、出先から接続するためsoftEtherVPNを使っていましたが、固定IPのVPSサーバーを契約しこの利用を始めたところ、このサーバー上にデータベースを1433ポートで接続していますが、VPSの全ポートが解放されているのかsoftEtherVPNを起動してもしなくても繋がってしまいます。こうした場合は5555(softEtherVPNのリッスンポート)以外を閉めてしまえばよいということでしょうか?初心者の質問で申し訳ありません。よろしくご教示ください。

beginnerSS
Posts: 27
Joined: Fri May 25, 2018 4:56 am

Re: 基本的な質問です。

Post by beginnerSS » Tue Apr 21, 2020 10:52 pm

追加です。ポートを閉めるというのはfirewalldでなく、VPSの業者さんのルーターをイメージしています。

cedar
Site Admin
Posts: 1331
Joined: Sat Mar 09, 2013 5:37 am

Re: 基本的な質問です。

Post by cedar » Wed Apr 22, 2020 7:37 am

VPNサーバーはどこに設置されているのでしょうか?
仮想HUBとデータベースサーバーの接続はどのように行っているでしょうか?

beginnerSS
Posts: 27
Joined: Fri May 25, 2018 4:56 am

Re: 基本的な質問です。

Post by beginnerSS » Wed Apr 22, 2020 8:42 am

ご返信ありがとうございます!

VPSサーバーはインターネット上のサービスですが固定IPをふってもらい(ネットマスクは/23です)SSHでセットアップし使用しています。
データベースも単にSSH経由でそのVPS上にインストールし、1433のポートを介してODBCで使うようにしており、このODBCはインターネットを介して?つながっています。softEtherVPNは同様にDDNSを使わずに固定IPでインストールし、手元のPCのクライアントソフトから接続できることを確認しています。(DHCPのIPが割り当てられたとメッセージが出ます。)
ここから、どうやったらsoftEtherVPN経由でデータベースにつなげられるかがわかりません。現状はVPNと関係なく1433ポートで通信しているように思えます。基本がわかっておらず申し訳ありません。
どうぞよろしくご教示ください。

cedar
Site Admin
Posts: 1331
Joined: Sat Mar 09, 2013 5:37 am

Re: 基本的な質問です。

Post by cedar » Wed Apr 22, 2020 9:25 am

SoftEther VPN Server は自宅に設置されているんですよね?
VPSから、自宅の VPN Server に接続されているのであれば、VPS側で5555ポートを開けておく必要はないと思います。

DBサーバーでバインドするIPアドレスを指定できるのであれば、仮想LANカード側のIPアドレスだけにバインドするようにしてみてください。

beginnerSS
Posts: 27
Joined: Fri May 25, 2018 4:56 am

Re: 基本的な質問です。

Post by beginnerSS » Wed Apr 22, 2020 11:34 am

返信ありがとうございます。
SoftEther VPN Server はインターネット上のVPSサーバーにセットしてあります。自宅のPCのSoftEther VPNクライアントから、VPSサーバーのデータベースに接続したいということなのですが...

cedar
Site Admin
Posts: 1331
Joined: Sat Mar 09, 2013 5:37 am

Re: 基本的な質問です。

Post by cedar » Wed Apr 22, 2020 12:52 pm

VPS サーバーのOSには何を利用されているでしょうか。

beginnerSS
Posts: 27
Joined: Fri May 25, 2018 4:56 am

Re: 基本的な質問です。

Post by beginnerSS » Wed Apr 22, 2020 10:36 pm

OSはCentOS7.7 1908 です。

beginnerSS
Posts: 27
Joined: Fri May 25, 2018 4:56 am

Re: 基本的な質問です。

Post by beginnerSS » Wed Apr 22, 2020 10:49 pm

追伸です。
データベースはMSSQLserverのLinux版です。
SoftTherVPNサーバーのDHCPで割り振られたIPのみ受け付けるようにできれば良いように思いましたが、(クライアントのPCは自宅の回線はプロバイダーが割り当てるIPですがSoftTherVPN経由ならこれで通信できるのではと考えました。)その場合はVPSサーバーの業者さんのファイアーウォールでの設定でしょうか? あるいはfirewalld等で方法があるのでしょうか?

cedar
Site Admin
Posts: 1331
Joined: Sat Mar 09, 2013 5:37 am

Re: 基本的な質問です。

Post by cedar » Thu Apr 23, 2020 1:43 am

SoftEther VPN Server の Linux 版の場合はtapデバイスへのローカルブリッジを作成するのが簡単です。
仮想 HUB に接続した仮想LANカードが作成されるので、適当なIPアドレスを設定しておいてください。

MySQL の方で、仮想 LAN カードの方の IP アドレスだけにバインドすれば、インターネットからの接続はできなくなります。
https://www.softel.co.jp/blogs/tech/archives/4715

beginnerSS
Posts: 27
Joined: Fri May 25, 2018 4:56 am

Re: 基本的な質問です。

Post by beginnerSS » Thu Apr 23, 2020 2:57 am

すいません。
データベースはMySQLではなく、Linux版のSQLServerです。とりあえず検索してみましたが、待ち受けIPアドレスを制限する方法が見つけられませんでした。もう少しヒントをいただけないでしょうか?

cedar
Site Admin
Posts: 1331
Joined: Sat Mar 09, 2013 5:37 am

Re: 基本的な質問です。

Post by cedar » Thu Apr 23, 2020 4:04 am

失礼しました。Linux 版の MS SQL は使ったことがないのですが、説明書によると環境変数で待受アドレスのバインドが指定できるようです。

https://docs.microsoft.com/ja-jp/sql/li ... rver-ver15

beginnerSS
Posts: 27
Joined: Fri May 25, 2018 4:56 am

Re: 基本的な質問です。

Post by beginnerSS » Thu Apr 23, 2020 4:48 am

お手数かけて申し訳ありません。
ご指定のページを見ましたが、待ち受けポート番号は変えられるようですが、IPアドレスの制限は見つけられませんでした。(私が読み違えているでしょうか?)
またVPSサーバーのfirewalldで
$firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="XXX.XXX.XXX.XXX" port protocol="tcp" port="1403" accept"
といった設定を見つけたので試してみようと思っています。"XXX.XXX.XXX.XXX"部分を"XXX.XXX.XXX.XXX/23"とIPにネットマスクをつけて=範囲で指定できれば目的は達成できるのですが... これについて何かご教示頂けると助かります。
また基本的な質問で恐縮ですが、ご教示いただいた「Linux 版の場合はtapデバイスへのローカルブリッジを作成するのが簡単です。仮想 HUB に接続した仮想LANカードが作成されるので、適当なIPアドレスを設定しておいてください。」の部分がよくわかっていません。これはクライアントPC側の仮想カードを追加し、そこにプロパティ画面でIPV4のアドレス欄をVPSの/23マスク内のIPアドレスを固定IPとして設定するということでしょうか?(この設定に代わる部分がsoftEtherVPN接続時に画面に出てくるDHCPによるIPアドレスの配布と思っておりました... またこの場合クライアントPCの仮想カードは複数出来ることになりますがこれは問題ない?)その際VPSサーバー側のsoftEtherVPNの設定は何か必要になるでしょうか?どうぞよろしくお願いいたします。

cedar
Site Admin
Posts: 1331
Joined: Sat Mar 09, 2013 5:37 am

Re: 基本的な質問です。

Post by cedar » Thu Apr 23, 2020 7:06 am

すみません、firewalld については詳しくないです。

あまり詳しく書かれていないのですが、MSSQL_IP_ADDRESS の環境変数が DB サーバをバインドする IP アドレスの設定ではないかという気がします。

cedar
Site Admin
Posts: 1331
Joined: Sat Mar 09, 2013 5:37 am

Re: 基本的な質問です。

Post by cedar » Thu Apr 23, 2020 7:09 am

tapデバイスへのローカルブリッジを設定すると、VPS 内に仮想 LAN カードが作成されます。
そこに、仮想 DHCP で配布している IP ネットワークの固定アドレスを設定してください。

beginnerSS
Posts: 27
Joined: Fri May 25, 2018 4:56 am

Re: 基本的な質問です。

Post by beginnerSS » Fri Apr 24, 2020 5:16 am

ご返信ありがとうございます。
ローカルブリッジがよく理解できていないようです。
現状クライアントPCからsoftEterVPNクラインとでVPSに接続し、ipconfigを行うと
Windows IP 構成
イーサネット アダプター VPN - VPN Client:
接続固有の DNS サフィックス . . . . .:
リンクローカル IPv6 アドレス. . . . .: fe80::c9a:64cb:bdb:1df3%22
IPv4 アドレス . . . . . . . . . . . .: xxx.xxx.xxx.xxx ( VPNサーバーの固定IPのネットマスク内のIPで仮想DHCPでプールしたIPの最初のもの)
サブネット マスク . . . . . . . . . .: 255.255.255.0
デフォルト ゲートウェイ . . . . . . .: 192.168.30.1
となります。
このデフォルトゲートウェイがtapのIPと思っておりました。因みにsoftEterVPN ServerManagerで確認すると、仮想HUBは作成済みですがブリッジは何も作られてない状態です。
今の状態で、VPN経由でクライアントPCが xxx.xxx.xxx.xxx で接続している=ブリッジが成立していると考えていたのは間違いなのでしょうか?

それと教えていただいた「VPS 内に仮想 LAN カードが作成」ですが、仮想HUBを指定してtapデバイス接続を選択すると、「新しいtapデバイス名」の指定を求められます。「仮想 DHCP で配布している IP ネットワークの固定アドレスを設定」というのはここに登録する?ということでしょうか?またDHCPが配布するIPは可変と思いますが、どのような指定になるのでしょう?
基本的な質問ばかりで恐縮ですが、よろしくご教示ください。

cedar
Site Admin
Posts: 1331
Joined: Sat Mar 09, 2013 5:37 am

Re: 基本的な質問です。

Post by cedar » Fri Apr 24, 2020 5:25 am

何も設定していない状態では仮想 HUB は独立したネットワークになっていて、VPN Server 自身とも通信はできません。
VPN Server のホストが仮想 HUB と通信するために作る仮想 LAN カードが tap デバイスです。
仮想 HUB で 192.168.30.0/24 のアドレスを使用されるのであれば、192.168.30.2 など DHCP で割り当てないアドレスを tap デバイスに割り当てて、DB サーバーへのアクセスに使用してください。

beginnerSS
Posts: 27
Joined: Fri May 25, 2018 4:56 am

Re: 基本的な質問です。

Post by beginnerSS » Fri Apr 24, 2020 7:28 am

ご説明ありがとうございます。
つまり今の状況は、VPSサーバーは仮想HUBとつながっていないということですね。
もう一つ確認させてください。仮想HUBのDHCPの設定はSoftEtherVPNのServer Managerの「Secure NATの設定」画面から「仮想ソフトのインターフェイスの設定」に実際のVPSサーバーに割り当てられた固定IPアドレス(ネットマスクはCクラスにしています。)を記入し、右側の「仮想DHCPの機能を使用する」にチェックを入れて、配布IPアドレス帯に上記の実際にVPSサーバーに割り振られているIP(ネットマスク/23)の一部をサブネットをCクラスとして記入しました。デフォルトゲートウェイは記入不要かと思いましたが、一応192.168.30.1と記入しています。configの編集を開いてみても、こうした設定通りになっているようですが、この辺りに問題はあるでしょうか?(ゲートウェイが割り当てるIPとかけ離れているのが何となく気持ち悪いようにも感じるのですが..)
クライアントPCからSoftEtherVPNを起動すると、固定IPからプールした最初のIPが割り当てられているとメッセージが出るので,、これでも良いように思います..もしそうであればtapデバイスにはこのDHCPのENDの次のIP辺りを振っておけばよろしいということでしょうか?
何度も申し訳ありません。
よろしくお願いいたします。

cedar
Site Admin
Posts: 1331
Joined: Sat Mar 09, 2013 5:37 am

Re: 基本的な質問です。

Post by cedar » Fri Apr 24, 2020 7:53 am

その仮想ホストのインターフェイスの設定は、仮想 HUB 内の仮想 DHCP サーバーなどを提供しているホストのアドレスであって、VPS 自身のアドレスを書くべきではありません。
仮想 HUB で閉じたネットワークとなるので、デフォルトの 192.168.30.0/24 でもいいですし、適当なプライベート IP アドレスのセグメントを設定しても良いと思いますが、グローバル IP アドレスを設定するべきではありません。

また、この場合、VPN 経由でインターネットと通信を行う必要がないのでデフォルトゲートウェイは空欄にするのが適切です。

tap デバイスには、仮想 DHCP で割り当てているセグメント内で、DHCPの割り当て外の固定アドレスを割り当てるのが良いと思います。

beginnerSS
Posts: 27
Joined: Fri May 25, 2018 4:56 am

Re: 基本的な質問です。

Post by beginnerSS » Sat Apr 25, 2020 2:57 pm

何度も申し訳ありません。
ご教示いただいた方法で、SoftEtherVPN Server Managerから以下のように設定してみましたが、1433も22も通信できません。因みにクライアントからVPSサーバーへsoftEtherVPnで接続すると、「192.168.30.3を配布した」というメッセージが出て接続状態になり、192.168.30.2(仮想ホストのIP)にpingは通るのですが、ポート番号を1433等指定してtelnetをかけてみると接続に失敗します。また5555でも失敗します。このような状態でデータベース等には接続できません。
(なおVPNを立ち上げない固定IPでの接続は、SSH、データベース等問題なく接続します。SELinux、firewalldはそれぞれdisable,stopにして試しています。)
行った設定は、①SoftEtherVPN Server Managerの「ローカルブリッジ設定」で、仮想HUBを指定して新しいtapデバイスにブリッジ接続を設定しました。(といってもtapデバイスに適当に名前を付けただけです)②次に「SecureNATの設定」画面の仮想ホストのネットワークインターフェイスの設定に192.168.30.2(255.255.255.0)を指定し、右側の「仮想DHCPサーバーの機能を使用する」にチェックを入れて、配布アドレスを192.168.30.3から192.168.30.200まで(255.255.255.0)と指定し、デフォルトゲートウェイは空欄としました。いただいたメッセージを繰り返し読み返しておりますが、混乱するばかりで間違い箇所がわからず大変困っております。何度も恐縮ですがどうぞよろしくご教示お願いいたします。

cedar
Site Admin
Posts: 1331
Joined: Sat Mar 09, 2013 5:37 am

Re: 基本的な質問です。

Post by cedar » Sat Apr 25, 2020 9:36 pm

SecureNAT の仮想ホストとと VPS は別のものです。
tapアドレスに設定するアドレスはLinuxの設定で行ってください。
(もちろん仮想ホストとは別のアドレスにしないと衝突します。)

beginnerSS
Posts: 27
Joined: Fri May 25, 2018 4:56 am

Re: 基本的な質問です。

Post by beginnerSS » Sun Apr 26, 2020 2:45 am

何度もありがとうございました!
ようやくつながることができました。
原因は、VPSサーバーのsoftEtherVPN起動時に、tapにIPを割り当てるshを実行させていましたが、何故かうまく動いてなかったようです。
tapにifconfigから192/168.30.2を設定すると、うまく動きだしました。
サポート心から感謝しています!!!
今後ともよろしくお願いいたします。

cedar
Site Admin
Posts: 1331
Joined: Sat Mar 09, 2013 5:37 am

Re: 基本的な質問です。

Post by cedar » Sun Apr 26, 2020 2:50 am

VPN Server の起動から、tap デバイスの作成まで数秒かかるので、sleep を入れておくとうまくいくようです。

beginnerSS
Posts: 27
Joined: Fri May 25, 2018 4:56 am

Re: 基本的な質問です。

Post by beginnerSS » Sun Apr 26, 2020 5:45 am

ありがとうございます。
sleepを入れてみます!

Post Reply