VPNクライアントからの接続がDOSエラーで弾かれる

[tomneko]

これまで運用していたVPNサーバーに対しての接続が、特定のクライアントから突然出来なくなりました。

接続出来るクライアントと出来ないクライアントがあり、接続出来るクライアントから接続してサーバーログを確認したところ、以下のような状況であることがわかりました。

接続できないクライアントからの接続要求がDoSと認識されて切断されていたのです。

＞TCP リスナー (ポート 5555) に対する DoS アタックを検出しました。接続元は IP アドレス xxx.xxx.xxx.xxx, ポート番号 49938 です。このコネクションは強制切断します。

VPNサーバー側は　4.38で、接続できるクライアントは4.38、接続出来ないクライアントが4.29だったので4.41に更新してみましたが状況は変わらず。

サーバー設定の　DisableDosProction を true にしたところ、接続出来るようになりましたが、このままではまずいですよね。

VPNクライアントからの接続要求がDoSと誤認されるのはなぜなのでしょうか？そこを解消しないと本来のDoS攻撃へのプロテクトを無効にしたままというのもどうなのかと。

よろしくお願いいたします。

[tomneko]

一つ思い当たるのが、昨日2.5Gbeのスイッチングハブを導入して、接続できなくなったPCとルーターの間に設置したことです。


前：ルーター +------+ 1GbeHub +-----+ PC

後：ルーター +------+ 1GbeHub +-----+ 2.5GbeHub +-----+ PC

しかし、このPC上のVMWareWorkstaion上の仮想マシンからは接続が出来たのです。

速いマシンと速いHUBだとDoS的な状態になる？のでしょうか？

[tomneko]

すいません、VPNサーバー側ですが、4.38ではなく4.25でした。これが原因かもしれませんね。

週明けに、4.41に入れ替えて試してみます。

[tomneko]

週明けと思いましたが、リモートでも更新出来たのを思い出し、はらはらしながらやってみました。v.4.41へ更新完了。

結果、DisableDoSProtection を false にしても、問題なく接続出来ました。

更新履歴のv4.29でDoSについて書かれているところがありましたが、バッファチェックの関連なので、今回の件とは関係ないようです。

v.4.25では、PC側の設定によっては接続要求がDoSとして認識されて弾かれることがある、ということかと思います。

古いままなのがいけないんですよね。失礼しました。

[tomneko]

その後、半日使ってみた中で、結局不安定な状態が続き、接続してもいつのまにか切断したり、再接続が出来なかったりが続きました。。。

そこで、もとへ戻って2.5GbeのHUBを飛ばして1GbeのHUBへつなぎ直したところ、、、まったく問題が起きません。

やはり、HUB（またはHUBとの相性）が悪かったようです。

アイ・オー・データ機器のETQG-ESH05、2.5Gbeの5ポートHUBです。

PC側をAutoNegotiationから固定で2.5Gや1Gにしてみても、症状は変わりませんでした。これが原因で間違いないと思います。

PC側は、Realtek PCIe 2.5GbE Family Controller　ですが、これとの相性が悪いのかなぁ。Intelカード入れたら良くなるでしょうか。

また何か分かれば追記します。

[cedar]

DoS 攻撃防御機能は、同一 IP アドレスから VPN 接続に至らない接続が連続して行われた場合に作動します。
おそらくバージョンはあまり関係なく、通信が不安定になっていたなどで、偶然何度か連続して接続切断が起きてしまい、攻撃のような挙動に見えてしまい、自動再接続による接続で攻撃判定が継続してしまったのではないかと思います。
そうなった場合は、クライアント側で10分程度接続をやめてみるか、サーバーを再起動することで回復します。

[tomneko]

リプライ、ありがとうございます。

その後、ELECOM製のEHC-Q05MA-HJB 2.5Gbeスイッチングハブを追加購入し、入れ替えたところ完璧に安定しました。

なので、アイ・オー・データ機器のETQG-ESH05が悪かったようです。初期不良として返品しました。

1万円もしないものなので買い足して試しましたが、困りますね。

ありがとうございました。