L3スイッチが機能しなくなった。(カスケード接続の不具合)

SoftEther VPN に関するご質問はこのフォーラムにお気軽にご投稿ください。
Post Reply
Uehara
Posts: 5
Joined: Mon Mar 25, 2024 11:47 pm

L3スイッチが機能しなくなった。(カスケード接続の不具合)

Post by Uehara » Tue Mar 26, 2024 6:19 am

■相談内容

 拠点Aと拠点BをL3スイッチにより拠点間接続を構築しておりました。
 また、拠点Aと拠点Bに対して VPN クライアント接続マネージャで問題無く接続が可能。

 しばらくは正常に動作しており問題は無かったのですが、拠点AにあるNASのデータファイルを開く際に非常に時間を必要とし場合によってはタイムアウトが発生しました。

 いろいろ原因調査した結果、L3スイッチに登録したLANカードと他の機器のIPアドレスが競合している事が判明しました。
 競合した機器のIPアドレスを変更しました。
 その後、拠点間接続(カスケード接続)でエラーになり接続できない様になりました。

■変更点1
 競合した機器のIPアドレスを 192.168.4.250 → 192.168.4.240に変更


■カスケード接続のエラーメッセージ
 カスケード接続 "Head-Office--No1-Factory": 接続が切断されたか、接続に失敗しました。理由: サーバーへの接続が失敗しました。ネットワーク接続や、接続先サーバーのアドレスやポート番号を確認してください。 (コード 1)

■変更点2
 拠点A側のVNP ServerのLANカードがプロパティで登録されたアドレスと ipconfigで確認したアドレスが異なっていた。
 設定を見直しipconfigでも192.168.0.250で取得された事を確認
   LANアダプタプロパティ:192.168.0.250
   ipconfigで取得したアドレス:169.254.X.X

■カスケード設定、L3スイッチの設定のやり直し
 一度、カスケード設定とL3スイッチの設定を削除して新規で登録
 この時、カスケードの設定をする際に「ホスト名」と「ポート番号」の設定をすると「仮想HUB名」の設定がドロップダウンで選択出来る様になるはずが表示されない。
 その為、手入力で「仮想HUB名」を設定した。

 これらの設定を新規で作成し直してもカスケード接続はエラーのまま変化がない。

■環境
 拠点A(メイン) VPN Serverを設置
   LAN1: 192.168.0.254
   LAN2: 192.158.0.250 (L3スイッチに登録)IPアドレスがプロパティの値と異なっていた
   ルーター: ip filter 400102 pass * 192.168.0.250 tcp * 5555,https
         ip filter 400103 pass * 192.168.0.250 udp * 500,4500
         nat descriptor masquerade static 1 3 192.168.0.250 tcp 5555,https
         nat descriptor masquerade static 1 4 192.168.0.250 udp 500,4500
         ip route 192.168.4.0/24 gateway 192.168.0.250

 拠点B(サブ)  VPN Serverwを設置
   LAN1: 192.168.4.254
   LAN2: 192.168.4.250 (このアドレスが他の機器と重複していた為、他の機器のアドレスを変更)
   ルーター: ip filter 400100 pass * 192.168.0.250 tcp * 5555,https
         ip filter 400101 pass * 192.168.0.250 udp * 500,4500
         nat descriptor masquerade static 20000 1 192.168.0.250 tcp 5555,https
         nat descriptor masquerade static 20000 2 192.168.0.250 udp 500,4500
         ip route 192.168.0.0/24 gateway 192.168.4.250
■pingについて
 拠点Aから
   192.168.4.250 OK
   192.168.4.254 NG
   192.168.4.1  NG
 拠点Bから
   192.168.0.250 NG
   192.168.0.254 NG
   192.168.0.1  NG

■疑問点
 現状、pingが正しく通らなくなっているのですが、L3スイッチで拠点間接続が可能になった後にルータの設定に変更はしておりませんん。
 SoftEther の設定変更などでpingが通らなくなる事が有るのか疑問です。

何か情報が有ればご協力いただければ幸いです。

cedar
Site Admin
Posts: 2207
Joined: Sat Mar 09, 2013 5:37 am

Re: L3スイッチが機能しなくなった。(カスケード接続の不具合)

Post by cedar » Tue Mar 26, 2024 10:34 am

仮想 L3 スイッチは、ホストとなる PC とは別の仮想的なルーターですので、PC と同じ IP アドレスは使用できません。

Uehara
Posts: 5
Joined: Mon Mar 25, 2024 11:47 pm

Re: L3スイッチが機能しなくなった。(カスケード接続の不具合)

Post by Uehara » Thu Mar 28, 2024 1:52 am

cedar様

早速のご返信ありがとうございます。

ご指摘頂きました「PC と同じ IP アドレスは使用できません。」の意味はVPV ServerをインストールしているPCのアドレスの事でしょうか。

■現状の設定
拠点A
 VPN ServerをインストールしたPCにはNICが2枚搭載されており、ローカルブリッジで設定したNIC(192.168.0.254)とL3スイッチに設定したNIC(192,168,0.250)のアドレスは異なっております。
拠点B
 拠点Aと同様にNICが2枚搭載されており同様のIPアドレスの設定になっております。

この様に、両拠点のPCのIPアドレスをL3スイッチ用として振り分けて設定しております。
この設定に問題があるという事でしょうか。

また、この設定で暫くは接続できておりました事をお伝えさせて頂きます。
今では、Ping が通らなくなっております。何かDDNSの問題の様にも考えております。
何か情報がございましたら、よろしくお願いします。

cedar
Site Admin
Posts: 2207
Joined: Sat Mar 09, 2013 5:37 am

Re: L3スイッチが機能しなくなった。(カスケード接続の不具合)

Post by cedar » Thu Mar 28, 2024 4:37 am

仮想 L3 スイッチの設定で NIC を指定する箇所はないと思います。
仮想 L3 スイッチの仮想インターフェイスは仮想 HUB に接続しており、NIC とは関係ないものなので、
同じアドレスを設定すると NIC の IP アドレスと競合します。

Uehara
Posts: 5
Joined: Mon Mar 25, 2024 11:47 pm

Re: L3スイッチが機能しなくなった。(カスケード接続の不具合)

Post by Uehara » Mon Apr 01, 2024 9:22 am

CEDAR様

お世話になっております。お忙しい中、貴重なご意見ありがとうございます。

暫くは、「仮想HUBと接続しており、NICとは関係ないもの~」をご指摘を頂いた内容が理解できておりませんでしたが、マニュアル類を確認し直したところNICには関係なく設定するIPアドレスという事を理解しました。
ローカルのネットワークに接続されたNICが無いとIPアドレスを割り当ては出来ない物と決めつけておりました。
その上で、新たに下記のように設定しました。

 拠点A(メイン) VPN Serverを設置
   LAN1: 192.168.0.244
   LAN2: 192.158.0.245 (ローカルブリッジ)
L3スイッチ:192.168.0.254 (メイン側)
        :192.168.4.254 (サブ側)

   ルーター: ip filter 400102 pass * 192.168.0.244 tcp * 5555,https
         ip filter 400103 pass * 192.168.0.244 udp * 500,4500
         nat descriptor masquerade static 1 3 192.168.0.244 tcp 5555,https
         nat descriptor masquerade static 1 4 192.168.0.244 udp 500,4500
         ip route 192.168.4.0/24 gateway 192.168.0.254

 拠点B(サブ)  VPN Serverwを設置
   LAN1: 192.168.4.244
   LAN2: 192.168.4.245 (ローカルブリッジ)
   ルーター: ip filter 400100 pass * 192.168.4.244 tcp * 5555,https
         ip filter 400101 pass * 192.168.0.244 udp * 500,4500
         nat descriptor masquerade static 20000 1 192.168.0.244 tcp 5555,https
         nat descriptor masquerade static 20000 2 192.168.0.244 udp 500,4500
         ip route 192.168.0.0/24 gateway 192.168.4.254

■エラーの発生に変化なし
上記の様に変更をしまして、再度、L3スイッチの設定後に拠点B側でカスケード接続を実施しましたが、以前から発生する「接続が切断されたか、接続に失敗しました。理由: サーバーへの接続が失敗しました。ネットワーク接続や、接続先サーバーのアドレスやポート番号を確認してください。」 (コード 1)
のエラーが発生します。

カスケード接続の設定画面で「ホスト名」と「ポート番号」を指定すると該当する「仮想HUB名」が表示されるはずが、表示されません。
「仮想HUB名」を手入力で設定して登録してもエラーが発生します。

■DDNSに関係?
DDNSに登録されているアドレスと不整合が発生しているのでしょうか。

拠点Aから拠点Bに対してダイナミックDNSホスト名でpingを実行するとIPV6のアドレスで通ります。
但し、拠点Bから拠点Aに対してIPV4のみに応答するホスト名を使用するとpingが通りません。

拠点Bから拠点Aに対してダイナミックDNSホスト名でpingを実行するとIPV6のアドレスに対して実行されますが、通りません。
但し、拠点Bから拠点Aに対してIPV4のみに応答するホスト名を使用するとpingが通ります。

いずれにしても、一度は拠点間の接続が確立されておりましたが、IPアドレスの重複問題を解決後にこの状態になっている状況です。

cedar
Site Admin
Posts: 2207
Joined: Sat Mar 09, 2013 5:37 am

Re: L3スイッチが機能しなくなった。(カスケード接続の不具合)

Post by cedar » Mon Apr 01, 2024 10:28 pm

ping が通らないだけだと、DDNS の問題なのか、(ルーティングなど)設定に問題があるのか、単に ping に応答しない設定なのかは判別できません。

まずは、接続できていた頃のログを確認して、元の状態で IPv6 で繋がっていたのか、IPv4 で繋がっていたのかを確認してみるのが良いと思います。
それが分かれば、次にそのプロトコルで、どういう経路で繋がっていたのかを確認して、それを修復する設定を試みます。

Uehara
Posts: 5
Joined: Mon Mar 25, 2024 11:47 pm

Re: L3スイッチが機能しなくなった。(カスケード接続の不具合)

Post by Uehara » Thu Apr 04, 2024 6:28 am

edar様

何度も貴重なご意見ありがとうございます。

まずは前回ご指摘頂いたIPアドレスの設定について変更した所、カスケード接続のエラーのタイミングに変化が有りました。
現状はカスケードのユーザー認証でエラーになりました。
エラーの内容と、接続出来ていた時と現在との違いについてIPV6とIPV4のどちらかで接続されていたかログを確認しました。

■接続できていた時のログ(IPV4での接続)
[HUB "VPN-No1-Factory"] カスケード接続 "XXXX-Office": 接続が完了しました。セッション名: "SID-CASCADE1-5"
[HUB "VPN-No1-Factory"] カスケード接続 "XXXX-Office" が確立されました。カスケードセッション "SID-LINK-4" を作成しました。
TCP リスナー (ポート 5555) にクライアント (IP アドレス COLOR=#FF0000 127.0.0.1, ホスト名 "COLOR=#FF0000 VPN-XXXX-Factory", ポート番号 49902) が接続しました。
クライアント (IP アドレス 127.0.0.1, ホスト名 "VPN-XXXX-Factory", ポート番号 49902) に対応するコネクション "CID-7-7C5728842B" が作成されました。
コネクション "CID-7-7C5728842B" に対する SSL 通信が開始されました。暗号化アルゴリズム名は "TLS_AES_256_GCM_SHA384" です。
コネクション "CID-7-7C5728842B" がサーバー管理モードで接続しました。
コネクション "CID-7-7C5728842B" が管理モードでのログインに成功しました。
コネクション "CID-7-7C5728842B" は管理モードのための新しいリモートプロシージャコールセッション "RPC-3516" を生成しました。
コネクション "CID-7-7C5728842B" は理由 "エラーはありません。" (コード 0) で終了しました。
コネクション "CID-7-7C5728842B" が終了しました。
クライアント (IP アドレス 127.0.0.1, ポート番号 49902) との間のコネクションは切断されました。

■現在のログでユーザー認証でエラーになる。(IPV6で接続)
TCP リスナー (ポート 5555) にクライアント (IP アドレス COLOR=#FF0000 240b:12:XXXX:XXXX:XXXX:XXXX:7609:4ef3, ホスト名 "COLOR=#FF0000 VPN-XXXX-Factory.flets-east.jp", ポート番号 52528) が接続しました。
クライアント (IP アドレス 240b:12:XXXX:XXXX:XXXX:XXXX:7609:4ef3, ホスト名 "VPN-XXXX-Factory.flets-east.jp", ポート番号 52528) に対応するコネクション "CID-909-A5721ECEA6" が作成されました。
コネクション "CID-909-A5721ECEA6" に対する SSL 通信が開始されました。暗号化アルゴリズム名は "TLS_AES_256_GCM_SHA384" です。
[HUB "VPN-No1-Factory"] コネクション "CID-909-A5721ECEA6" (IP アドレス 240b:12:XXXX:XXXX:XXXX:XXXX:7609:4ef3, ホスト名 VPN-XXXX-Factory.flets-east.jp, ポート番号 52528, クライアント名 "SoftEther VPN Server (Cascade Mode)", バージョン 4.42 ビルド 9798) が仮想 HUB への接続を試行しています。提示している認証方法は "パスワード認証" でユーザー名は "XXXX-user" です。
[HUB "VPN-No1-Factory"] コネクション "CID-909-A5721ECEA6": ユーザー認証に失敗しました。提示されたユーザー名は "XXXX-user" でした。
[HUB "VPN-No1-Factory"] カスケード接続 "XXXX-Office": 接続が切断されたか、接続に失敗しました。理由: ユーザー認証に失敗しました。 (コード 9)
コネクション "CID-909-A5721ECEA6" は理由 "ユーザー認証に失敗しました。" (コード 9) で終了しました。

このログからご指摘頂いた「どうゆう経路でつながっていたのかを確認~」と「それを修理する設定を試みる」に対しての方法についてご質問させてください。

・「どうゆう経路でつながっていたのかを確認~」
  こちらについては過去の接続経路を確認する方法が知識がなく不明です。以前接続していた経路を確認する方法が有るのでしょうか。
・「それを修理する設定を試みる」
  こちらはカスケード接続の「接続先 VPN Serverの指定」のホスト名にIPV4のホスト名を指定すればよろしいのでしょうか。
  例 ホスト名:XXXX-XXXX-office.v4.softether.net
  こちらのIPV4のホスト名を設定するとユーザー認証エラーの前に以前お伝えしたエラー「接続が切断されたか、接続に失敗しました。理由: サーバーへの接続が失敗しました。ネットワーク接続や、接続先サーバーのアドレスやポート番号を確認してください。」 (コード 1) こちらが返ってきます。
  別の方法はございますでしょうか。

大変申し訳ございませんが、何か情報を頂けると幸いです。
よろしくお願いします。

cedar
Site Admin
Posts: 2207
Joined: Sat Mar 09, 2013 5:37 am

Re: L3スイッチが機能しなくなった。(カスケード接続の不具合)

Post by cedar » Thu Apr 04, 2024 10:13 am

上のログの「CID-7-7C5728842B」はカスケード接続ではなく、管理ツールからの接続のログのようです。

また、ユーザー認証のエラーということなので、ユーザー名かパスワードが間違っている可能性が高いと思われます。
(ユーザーが削除されている可能性もあります。)

Uehara
Posts: 5
Joined: Mon Mar 25, 2024 11:47 pm

Re: L3スイッチが機能しなくなった。(カスケード接続の不具合)

Post by Uehara » Wed Apr 10, 2024 6:09 am

edar様

ご連絡ありがとうございます。

>上のログの「CID-7-7C5728842B」はカスケード接続ではなく、管理ツールからの接続のログのようです。
  こちらに関しては
   ■接続できていた時のログ(IPV4での接続)
    TCP リスナー (ポート 5555) にクライアント (IP アドレス COLOR=#FF0000 127.0.0.1, ホスト名 COLOR=#FF0000 "VPN-XXXX-Factory", ポート番号 49902) が接続しました。
   ■現在のログでユーザー認証でエラーになる。(IPV6で接続)
    TCP リスナー (ポート 5555) にクライアント (IP アドレス COLOR=#FF0000 240b:12:XXXX:XXXX:XXXX:XXXX:7609:4ef3, ホスト名 COLOR=#FF0000 "VPN-XXXX-Factory.flets-east.jp", ポート番号 52528) が接続しました。

  この赤字の違いを比較して頂こうと考えておりました。前はIPV4で接続で現在はIPV6での接続になっております。

また、
>ユーザー認証のエラーということなので、ユーザー名かパスワードが間違っている可能性が高いと思われます。
  こちらに関してもパスワードの変更や新しいユーザーの作成などを行いましたが、エラーは無くならない状況です。

念の為、他のPCから「SoftEther VPN クライアント接続」を使用して当該の仮想HUBに接続を試みたところエラーにはなりませんでした。
この事から、ユーザー名及びパスワードの間違いではなさそうです。

マニュアルにもこのエラーメッセージについてはご指摘頂いた内容のユーザー名とパスワードの間違いが考えられるとありますが、設定には問題ないと思われます。

ちなみにlocalhostにpingを実行するとIPV6で実行されるのでIPV4の優先順位を上げてlocalhostへのpingはIPV4で実行される事は確認できましたが、ユーザー認証のエラーには変わりませんでした。

何か、他に考えられる事はございますでしょうか。

cedar
Site Admin
Posts: 2207
Joined: Sat Mar 09, 2013 5:37 am

Re: L3スイッチが機能しなくなった。(カスケード接続の不具合)

Post by cedar » Wed Apr 10, 2024 7:15 am

> この赤字の違いを比較して頂こうと考えておりました。

VPN 接続ではなく、その PC 内部での管理接続なので通信に成功して当然であり、通信環境の比較には不適当と思われます。
VPN 接続のログを探してみてください。

> 念の為、他のPCから「SoftEther VPN クライアント接続」を使用して当該の仮想HUBに接続を試みたところエラーにはなりませんでした。

カスケード接続の設定が誤っている可能性もありますので、そちらを作り直してみるのも良いかも知れません。

Post Reply