開放が必要なポートが分かりません。

SoftEther VPN に関するご質問はこのフォーラムにお気軽にご投稿ください。
Post Reply
beginnerSS
Posts: 37
Joined: Fri May 25, 2018 4:56 am

開放が必要なポートが分かりません。

Post by beginnerSS » Fri Sep 02, 2022 12:56 am

お世話になります。SoftEtherVPNサーバーで仮想HUBを設定したVPS上のWindowsサーバーに、SoftEtherVPNクライアントを導入したPCから接続(ブリッジ接続?)を行っています。
そしてVPSにはファイアウォールのサービスがあったので、そこでサーバーへの通信の許可を設定しています。
SoftEtherVPNサーバーはそのWindowsサーバーに導入しているので、このファイアウォールを通過する際はSoftEtherVPN が使用する5555等のポ―トさえ許可すれば、VPNセッション中の通信はカプセル化された Ethernet フレーム?に組み替えられているので通信できるのではないかと考えていました。(カプセル化された Ethernet フレームはSoftEtherVPNサーバーで通常のtcpパケットに戻される?という理解です。)
しかし実際には、VPSのファイアウォール段階でPCとサーバーの間のデータベースサービスで使用するポート番号を許可しないと通信できません。サーバー内のWindowsファイアウォールでデータベースサービスで使用するポート番号を許可するのが必要なことは何となくそうなのかな…と思ったのですが、VPSのファイアウォールの設定にサービスで利用するポート番号の許可設定が必要な理由が分かりません。基本的な理解が出来てないように思います。間違いをご指摘いただければ幸いです。よろしくお願いいたします。

cedar
Site Admin
Posts: 1837
Joined: Sat Mar 09, 2013 5:37 am

Re: 開放が必要なポートが分かりません。

Post by cedar » Fri Sep 02, 2022 5:27 am

ご理解は正しいと思います。
もしファイアウオールでデータベースのポートを開かないと通信できないようであれば、おそらくデータベースとの通信はVPNを通さず平文で行われていると思われますのでご注意ください。

beginnerSS
Posts: 37
Joined: Fri May 25, 2018 4:56 am

Re: 開放が必要なポートが分かりません。

Post by beginnerSS » Fri Sep 02, 2022 7:11 am

早々のご回答ありがとうございます。
具体的にはクライアントPC側(WindowsPC)でSoftEtherVPNクライアントでサーバーを指定して接続しています。この状態でipconfigを行うと、Windows IP 構成イーサネット アダプター VPN - VPN Client: に仮想DHCPで割り当てられる192.168.30.XというIPが表示されます。またファイルDNSで指定していますが、この時のサーバー指定はIPでなくWindowsのホスト名で指定しています。もしかしてここに仮想ハブのIPを登録するべきなのでしょうか?実はこの方法がうまく行かなかったのでWindowsのホスト名を使っています。
この設定でサービスを実行するためのサーバーとの通信は行えています。しかしご指摘の「データベースとの通信はVPNを通さず平文で行われている」という状況は、どのようにしたら改善出来るか分かりません。
どうぞよろしくご教示お願い致します。

cedar
Site Admin
Posts: 1837
Joined: Sat Mar 09, 2013 5:37 am

Re: 開放が必要なポートが分かりません。

Post by cedar » Mon Sep 05, 2022 10:32 am

DB サーバーから同じ仮想 HUB に VPN 接続されているでしょうか?

beginnerSS
Posts: 37
Joined: Fri May 25, 2018 4:56 am

Re: 開放が必要なポートが分かりません。

Post by beginnerSS » Tue Sep 06, 2022 12:59 am

ご返答ありがとうございます。
DBサーバー機(windowsServer)に仮想ハブ(192.168.30.1)を設定し、リモートPCは仮想DHCPで振られた192.168.30.10以下で接続しています。ただDBサーバー機は固定IPのみサーバー設定でIPV4に設定されています。hostファイル(windowsにあるのでしょうか?)等で、192.168.30.2といったVPN接続時のIPを別途指定する必要があるのでしょうか?
現在DBサーバーへの接続DSNは、DBサーバー機の固定IPを使うとVPN経由にならないと考え、windowsのホスト名を指定して接続しています。修正すべき点を教えてください。
どうぞよろしくお願いいたします。

cedar
Site Admin
Posts: 1837
Joined: Sat Mar 09, 2013 5:37 am

Re: 開放が必要なポートが分かりません。

Post by cedar » Tue Sep 06, 2022 10:50 am

DB サーバーに VPN クライアントを導入して、DBクライアントと同じ仮想 HUB に接続してください。
仮想 LAN カードには 192.168.30.2 などの 静的 IP アドレスを設定すると良いでしょう。
VPN Server を導入していたとしても、初期設定では導入されているホスト自身は VPN と通信できません。
また、仮想 NAT は無効化し、仮想 DHCP で、デフォルトゲートウェイの設定を配布しないように設定してください。
(これを怠ると、うっかり VPN Server 自身が DHCP で自分自身をデフォルトゲートウェイとして認識してしまった場合に、外部からアクセス不能になる可能性があります。)

beginnerSS
Posts: 37
Joined: Fri May 25, 2018 4:56 am

Re: 開放が必要なポートが分かりません。

Post by beginnerSS » Sun Sep 11, 2022 1:50 am

平日はサーバー設定の変更がやりづらいため、確認。お返事が遅くなってしまいました。申し訳ありません。
サーバーにはNICが1枚しかなく、仮想 HUBにもそれを指定していたため、まずサーバーのIPアドレスに192.168.30.2を追加指定したところ、F/WをVPNに必要なもの以外閉じても無事疎通しました。
お騒がせしました。ありがとうございます!

cedar
Site Admin
Posts: 1837
Joined: Sat Mar 09, 2013 5:37 am

Re: 開放が必要なポートが分かりません。

Post by cedar » Mon Sep 12, 2022 2:15 am

NATを使用する構成でも通信は可能ですが、NAT を利用するため通信速度が遅くなったり、また、クライアント側のデフォルトゲートウェイを書き換えてしまうため、インターネットとの通信がVPN経由で行われてしまう状態になっている可能性があります。

Post Reply