拠点間VPNが想定した状態にならない

SoftEther VPN に関するご質問はこのフォーラムにお気軽にご投稿ください。
Post Reply
hiro
Posts: 3
Joined: Fri May 28, 2021 4:30 am

拠点間VPNが想定した状態にならない

Post by hiro » Fri May 28, 2021 4:34 am

皆様のお力をお借りしたく投稿します。

現在、東京と埼玉で拠点間VPNを構築しています。
行った操作としては

・東京(192.168.0.1/24、ルータ:192.168.0.1、Win10)
VPN Serverをインストール
Tokyoという仮想HUBを作成、ローカルブリッジを有線LAN設定
BRIDGEという仮想HUBを作成、ユーザー「Saitama」を作成
仮想L3スイッチを作成
 仮想HUB「Tokyo」の仮想インターフェイス用IPアドレスを192.168.0.111/24に設定
 仮想HUB「BRIDGE」の仮想インターフェイス用IPアドレスを192.168.1.111/24に設定
ルーティングテーブルは設定無し
ルータにて静的ルーティング「192,168.1.0/24」のゲートウェイを「192.168.1.111」に設定

・埼玉(192.168.1.0/24、ルータ:192.168.1.1、Win10)
VPN Bridgeをインストール
BRIDGEという仮想HUBを作成、ローカルブリッジを有線LAN設定
HUB内のカスケード接続で東京の「BRIDGE」に合わせてユーザーとパスワードを設定
ルータにて静的ルーティング「192,168.0.0/24」のゲートウェイを「192.168.0.111」に設定

上記の設定にて拠点間接続はできましたが、お互いの拠点間で仮想インターフェイス(192.168.X.111)へのみpingは通りますが、
それ以外の通信(ping、SMBなど)がすべて使えない状態です。
目的は拠点間でファイル共有やWeb管理画面のあるネットワーク機器で操作することです。
何か足りない設定や、修正箇所があるでしょうか?

cedar
Site Admin
Posts: 1587
Joined: Sat Mar 09, 2013 5:37 am

Re: 拠点間VPNが想定した状態にならない

Post by cedar » Mon May 31, 2021 10:33 am

> ルータにて静的ルーティング「192,168.1.0/24」のゲートウェイを「192.168.1.111」に設定

この部分ですが、ルータに設定するゲートウェイはルーターから直接アクセスできるアドレスにする必要があります。
この場合は、「192.168.0.111」が適切と思われます。
ブリッジ側も同様です。

hiro
Posts: 3
Joined: Fri May 28, 2021 4:30 am

Re: 拠点間VPNが想定した状態にならない

Post by hiro » Tue Jun 01, 2021 4:10 am

>>cedarさん
返信ありがとうございます。
失礼しました。タイプミスをしていました。
東京は宛先:192.168.1.0/24/GW:192.168.0.111
埼玉は宛先:192.168.0.0/24/GW:192.168.1.111
でそれぞれ設定してあります。
東京から埼玉にアクセスする際は、東京に設置してあるVPNサーバの仮想インターフェイスを
埼玉から東京にアクセスする際は、埼玉に設置してあるVPNブリッジの仮想インターフェイスを参照するよう、ルータに静的ルーティングを設定してあります。
他に見直し箇所はあるでしょうか?
東京のサーバにクライアント接続をできるようにして、クライアント接続については想定どおり何も問題なく動作しました。

cedar
Site Admin
Posts: 1587
Joined: Sat Mar 09, 2013 5:37 am

Re: 拠点間VPNが想定した状態にならない

Post by cedar » Tue Jun 01, 2021 5:48 am

設定自体は正しいように思えます。
traceroute などで、どこで通信が途切れているのかを確認されることをお勧めします。

hiro
Posts: 3
Joined: Fri May 28, 2021 4:30 am

Re: 拠点間VPNが想定した状態にならない

Post by hiro » Wed Jun 02, 2021 2:50 am

>>cedar さん
確認ありがとうございます。

経路検証をしたところ、対向拠点にすら届いていませんでした。
東京>埼玉:192.168.0.1>192.168.0.111 でストップ(traceroute 192.168.1.111、192.168.1.1のどちらも)
ただし埼玉の拠点192.168.1.111にpingを飛ばすと反応あり。経路検証は上記のとおり。
埼玉>東京:192.168.1.1>192.168.1.111 でストップ(traceroute 192.168.0.111、192.168.0.1のどちらも)
ただし東京の拠点192.168.0.111にpingを飛ばすと反応あり。経路検証は上記のとおり。

それぞれのセキュリティソフトを一時的に無効化したところ、対向拠点の機器に対してpingだけは通るようになりました。(SMBやWeb管理画面は変わらず不可)
この辺に原因があると思われますので、その線でもう少し確認を進めていきます。
アンインストールしないと、本当の意味で完全にセキュリティソフトを切れないのかもしれません。
ノーガード検証は少々リスキーですが、万一の際にほかへ被害が及ばないようあらゆる権限を奪ったユーザーアカウントにて検証を進めていきます。

進展があったので、この質問は一旦クローズにしたいと思います。
助言いただきありがとうございました。
躓いた際はご助力いただけると幸いです。

Post Reply