SoftEther VPN 家族間ネットワーク接続構築においてマスター側の設定が完了しましたので、次に接続先の設定を行います。
接続先の設定
この記事ではネットワーク接続に必要な東京の自宅の「仮想HUB(B)」と大阪の赴任先の「仮想HUB(B)」との間の「カスケード接続」の設定を行います。
「カスケード接続」は専用の設定から行いますが、基本的にはSoftEther VPN ServerによるVPN接続です。
「家族間ネットワーク接続設定シート」の確認
前回までの設定で「家族間ネットワーク接続設定シート」の内容はこのようになっています。
更新日:20XX/XX/XX
作成者:ネットワーク(A):東京の自宅機能:マスター(仮想レイヤ3スイッチ、カスケード接続用仮想HUB)管理者: 田中(父)
連絡先:
メールアドレス:
A-1.ネットワークアドレス:192.168.2.0
A-2.ブロードバンドルーター IPアドレス:192.168.2.1
A-3.仮想レイヤ3スイッチ IPアドレス:192.168.2.254
A-6.SoftEther VPN Server パソコンIPアドレス: 192.168.2.100
A-7.SoftEther VPN Server 管理者パスワード: XXXXXXXX
A-8.SoftEther VPN Server ダイナミックDNSホスト名:vpnXXXXXXXXX.softether.net
A-9.仮想HUB名:Tanaka-Tokyo
A-14.カスケード接続 仮想HUB名:Tanaka-Osaka
A-15.カスケード接続 仮想HUB パスワード:(自動設定)
A-16.カスケード接続 仮想HUB ユーザー名:cascade1
A-17.カスケード接続 仮想HUB ユーザーパスワード:XXXXXXXX
A-18.仮想レイヤ3スイッチ名:Tanaka-Family
ネットワーク(B):大阪の赴任先
機能:接続先
管理者: 田中(父)
連絡先:
メールアドレス:
B-1.ネットワークアドレス:192.168.1.0
B-2.ブロードバンドルーター IPアドレス:192.168.1.1
B-3.仮想レイヤ3スイッチ IPアドレス:192.168.1.254
B-6.SoftEther VPN Server パソコンIPアドレス: 192.168.1.100
B-7.SoftEther VPN Server 管理者パスワード: XXXXXXXX
B-9.仮想HUB名:Tanaka-Osaka
B-19.カスケード接続 接続設定名:
SoftEther VPNサーバー管理マネージャの起動
接続先のSoftEther VPN Serverパソコンで作業を行います。モデルケースでは大阪の赴任先となります。
物理的な作業はありませんのでTeamViewerなどでのリモート管理環境からも作業は行えます。
SoftEther VPN Serverパソコンで「SoftEther VPN サーバー管理マネージャ」を起動します。
「localhost(このサーバー)」を選択して「接続」をクリックします。
カスケード接続の設定
「VPN Server "localhost"の管理」が表示されます。
「Tanaka-Osaka」を選択して「仮想HUBの管理」をクリックします。
「Tanaka-Osakaの管理」が表示されますので「カスケード接続の管理」をクリックします。
「Tanaka-Osaka上のカスケード接続」が表示されるので「新規作成」をクリックします。
「新しい接続設定のプロパティ」が表示されます。
「接続設定名」は「仮想HUB名」と区別するためと、接続先が分かるようにするために、ここでは「Tokyo」とします。
「接続先VPN Serverの指定」と「ユーザー認証」の部分は「家族間ネットワーク接続設定シート」を参照して設定します。
- ホスト名 <-- A-8.SoftEther VPN Server ダイナミックDNSホスト名:vpnXXXXXXXXX.softether.net
- ポート番号 <-- 5555 (固定値)
- 仮想HUB名 <-- A-14.カスケード接続 仮想HUB名:Tanaka-Osaka
- ユーザー名 <-- A-16.カスケード接続 仮想HUB ユーザー名:cascade1
- パスワード <-- A-17.カスケード接続 仮想HUB ユーザーパスワード:XXXXXXXX
前回の記事で「仮想HUB(B)」の設定が正しくされていると「ホスト名」と「ポート番号」を入力すると「仮想HUB名」をドロップダウンで選択できるようになりますので「Tanaka-Osaka」を選択します。
すべてを入力し、「接続設定名」を「家族間ネットワーク接続設定シート」の「B-19.カスケード接続 接続設定名」に記入したら「OK」をクリックして閉じます。
今作成した「Tokyo」を選択して「オンライン」をクリックします。
正しく設定されていれば「オンライン(接続済み)」となり「接続完了時刻」が表示されます。
「カスケード接続」は自動で再接続されますので、Windows 10の更新プログラム適用などでSoftEther VPN Serverパソコンを再起動しても自動的に再接続されます。「接続完了時刻」は最後に再接続された日時となります。
「オンライン(接続済み)」となったことを確認したら「閉じる」をクリックして閉じます。
「閉じる」をクリックして「Tanaka-Osakaの管理」を閉じます。
大阪の赴任先の作業完了
これで東京の自宅の「仮想HUB(B)」と大阪の赴任先の「仮想HUB(B)」との間の「カスケード接続」の設定は完了です。
「閉じる」をクリックして「VPN Server "localhost"の管理」を閉じます。
「SoftEther VPNサーバー管理マネージャの終了」をクリックして「SoftEther VPNサーバー管理マネージャ」を閉じます。
「家族間ネットワーク接続設定シート」の完成
これまでの設定で「家族間ネットワーク接続設定シート」の内容はこのようになります。
参照しない項目もありますが、第3の場所と接続する場合に競合しないようにするための覚書として残しておいてください。
更新日:20XX/XX/XX
作成者:ネットワーク(A):東京の自宅
機能:マスター(仮想レイヤ3スイッチ、カスケード接続用仮想HUB)
管理者: 田中(父)
連絡先:
メールアドレス:
A-1.ネットワークアドレス:192.168.2.0
A-2.ブロードバンドルーター IPアドレス:192.168.2.1
A-3.仮想レイヤ3スイッチ IPアドレス:192.168.2.254
A-6.SoftEther VPN Server パソコンIPアドレス: 192.168.2.100
A-7.SoftEther VPN Server 管理者パスワード: XXXXXXXX
A-8.SoftEther VPN Server ダイナミックDNSホスト名:vpnXXXXXXXXX.softether.net
A-9.仮想HUB名:Tanaka-Tokyo
A-14.カスケード接続 仮想HUB名:Tanaka-Osaka
A-15.カスケード接続 仮想HUB パスワード:(自動設定)
A-16.カスケード接続 仮想HUB ユーザー名:cascade1
A-17.カスケード接続 仮想HUB ユーザーパスワード:XXXXXXXX
A-18.仮想レイヤ3スイッチ名:Tanaka-Family
ネットワーク(B):大阪の赴任先
機能:接続先
管理者: 田中(父)
連絡先:
メールアドレス:
B-1.ネットワークアドレス:192.168.1.0
B-2.ブロードバンドルーター IPアドレス:192.168.1.1
B-3.仮想レイヤ3スイッチ IPアドレス:192.168.1.254
B-6.SoftEther VPN Server パソコンIPアドレス: 192.168.1.100
B-7.SoftEther VPN Server 管理者パスワード: XXXXXXXX
B-9.仮想HUB名:Tanaka-Osaka
B-19.カスケード接続 接続設定名:Tokyo
まとめ
これで大阪の赴任先のSoftEther VPN Serverの設定は完了です。
次回は東京の自宅と大阪の赴任先の両方のルーターの設定を行います。
- [1 Gen]SoftEther VPNによる家族間ネットワーク接続環境構築(1)概要
- [1 Gen]SoftEther VPNによる家族間ネットワーク接続環境構築(2)要件の確認と役割の決定
- [1 Gen]SoftEther VPNによる家族間ネットワーク接続環境構築(3)必要事項の設定シートへの書き出し
- [1 Gen]SoftEther VPNによる家族間ネットワーク接続環境構築(4)マスター側の設定
- [1 Gen]SoftEther VPNによる家族間ネットワーク接続環境構築(5)接続先の設定
- [1 Gen]SoftEther VPNによる家族間ネットワーク接続環境構築(6)ルーティングの設定
- [1 Gen]SoftEther VPNによる家族間ネットワーク接続環境構築(7)スループットの測定
コメント
はじめまして。お世話になります。
当サイトを参考に、家族間でのVPNサーバー構築(Raspberry PIによる)を目指している初心者です。
ひとつ質問させていただきたいことがございます。
「(4) マスター側の設定」のレイヤ3スイッチの設定のところで、Tanaka-Osaka側(大阪)の
仮想レイヤ3スイッチ IPアドレス192.168.1.254の設定ですが、この仮想レイヤスイッチの
設定方法の記述がなく、こちらすでに設定された状態での話をしているのように感じました。
「(5) 接続先の設定」にも大阪側IPアドレス192.168.1.254の仮想レイヤスイッチの設定方法
が記述がなされていないようですが、「(4) マスター側の設定 - 仮想レイヤ3スイッチの作成と設定」を
参考に自宅(東京)側と同じように設定をすればよろしいのでしょうか。
初心者でおかしいことを言っていたら申し訳ございません。
ご確認、よろしくお願いいたします。
コメントを頂きありがとうございます。
ご質問を勘違いしていたら、もう一度コメントをください。
まず、構成図をもういちど確認して頂きたいのですが、東京と大阪の構成は完全対称構成ではありません。
2つのネットワークを橋渡しするレイヤ3スイッチは1つしか設置しません。
そのためレイヤ3スイッチを東京と大阪のどちらに設置するかですが、この記事では東京に設置することとしています。
そのため、東京にも仮想HUB(B)を設置して、大阪の仮想HUB(B)との間をVPN接続して、大阪のネットワークを東京に引き込んでいます。
レイヤ3スイッチの目的は、東京の仮想HUB(A)と大阪のネットワークをVPNで引き込んだ仮想HUB(B)とのルーティングです。
大阪にはレイヤ3スイッチを設置する必要はありません。
お世話になります。
ご回答(助言)を頂きまして大変ありがとうございます。
大阪側のネットワークアドレスが192.168.1.0ということで
大阪側端末で192.168.1.254の設定を何かしないといけないのか
とつい勝手に思いこんでしまっておりました。
っということで、
実家側の端末(本サイトでいう大阪側)をごにょごにょしてしまって
おかしげなことになっていた次第です。
わたくしの大勘違いでした。いろいろと申し訳ございませんでした。
本サイトの通りで、自宅(東京)側だけにレイヤ3スイッチを置くことで
よかったんですね… 非常にお恥ずかしいです。
再度本サイトの通りにやってみます。
※現在、実家側の接続端末(ラズパイ)は実家において帰ってしまったので後日作業です…
それともう一つレイヤ3接続設定でご確認したいことがございます。
「(2) ネットワーク環境の検討」よりブリッジ接続とレイヤ3による接続には違いがある
とのことを踏まえると、ブリッジ接続の設定は必要ないようなので、本サイトでいう東京側、大阪側のローカルブリッジの設定は何もする必要はない(「ローカルブリッジ設定(B)」ボタンは触るな!)という考え方でよろしいでしょうか。
いろいろと申し訳ないですが、ご教授していただければありがたい次第です。
初心者的質問で、申し訳ないですがよろしくお願いいたします。
コメントを頂きありがとうございます。
本来の拠点間接続なら基幹ネットワークを設定し、そこに各地区のレイヤ3スイッチを接続するのが正しいのでしょうが、2拠点なら基幹ネットワークは必要ないと考えたため、このような構成となっています。
ここで説明している家族間接続(レイヤ3スイッチによる接続)では、極力、既存のネットワーク環境に変更を加えないことを前提としています。
あくまで、SoftEther VPN Serverの仮想ネットワーク上での接続なので、物理ネットワークとの接続を行うローカルブリッジを変更する必要はありません。
お世話になります。
この度も助言頂きましてありがとうございます。
本日、実家に行きましたので本サイトを参考に実家端末の設定を修正、自宅端末の設定も
再度確認しました。
結果ですが、やっと無事、自宅と実家がL3スイッチによるVPN接続できるようになりました。
ルーティングもうまくいっております。
今回の作業で、自宅と実家の接続はできたものの、ルーティングがうまく動いていないトラブルにも
あいました。原因は自宅ルーター設定での凡ミスでしたので、その時のことを書き残しておきます。
「LAN側静的ルーティング設定」において自宅のルーター(NTT PR-400NE)の設定に
宛先アドレス、、ゲートウェイの設定は正しく記述したものの、エントリー番号横の
チェック入れ忘れによりルーティングが機能していなかったが原因でした(無効になってた)。
ちなみに実家のルーター(NTT PR-500KI)の設定は宛先アドレス等を正しく設定、また
有効/無効のチェックはきちんと入っていました(チェックにより有効)。
チェック一つの入れ忘れのようなちょっとした設定ミスでも動かないものですね。
最後になりますが、
色々な助言やご教授していただいたことで、うまく動作させることができました。
大変感謝しております。
このたびは、お世話になりました。ありがとうございました。
追記:
自宅、実家ともSoftether VPNの端末はラズパイ。っということでOSはLinux(Laspberry Pi OS)です。
次の目標は自宅側端末にSAMBAによるファイルサーバーの構築です。
これまでのバックアップは取っておかないと…笑
コメントを頂きありがとうございます。
無事にネットワークの接続ができたようで良かったです。
ネットワークは1か所チェックが入っていなかったりするだけで、つながらなくなりますので結構面倒です。
そのため設定シートと設定画面で説明してもユーザーの環境と違うところが多いため、VPNはどうしても高いスキルを要求することになってしまいます。
Raspberry PiはZeroと4で試してみましたが、VPNサーバーとしてだけ使うなら十分な性能だと思います。
連載は書き直すため、その時に別のプラットフォームも説明するつもりです。
お世話になります。
現在2拠点での接続を試みています。
一応接続はできているようなのですが、Pingが通りません。
ルータのルーティングの設定なども確認していますが。
初歩的な質問ですが大阪側のPCへSoftEtherのインストールはBRIDGEでインストールされているのでしょうか?もしそうならばManagerからlocalhostへ接続すると仮想HUB名が「BRIDGE」になりますがこれで良いのでしょうか?
さらに、カスケード接続を見ると右端の接続先仮想HUBが空欄です。
よろしければお教え下さい。
コメントを頂きありがとうございます。
この連載では前提条件を「SoftEther VPNによる家族間ネットワーク接続環境構築(2) 要件の確認と役割の決定」の「要件の確認」で説明しました。
東京と大阪のSoftEther VPN Serverはともに、SoftEther VPN BridgeではなくSoftEther VPN Serverがインストールされていることを前提としています。
SoftEther VPN Bridgeをインストールした場合でも接続はできますが、動作確認はしていないため、SoftEther VPN Serverにインストールし直すことをお勧めします。
お返事ありがとうございました。
良くわかりました。
もう一度両方ともSERVERで試してみます。
拠点が複数あるので、、、難しいですね。
コメントを頂きありがとうございます。
この記事で説明したものは2つのネットワークをつなぐことに特化した簡易的な方法ですので、複数のネットワークをつなぐ場合は別の構成にした方がよいと思います。
どのようなものが良いかは実験しながら勉強中で、まだ記事にはできていません。
お世話になっております。
RaspiとSoftEtherで拠点間VPNを構築しています。
その際、すごく参考にさせて頂いておりありがとうございます。
ほぼ上手く動作しているのですが1点不思議な状況になりご質問させて頂きました。
東京、大阪ともルータで動作しているDHCPでIPを取得していますが、
タイミングにより東京で「192.168.1.xx」のIPアドレス、大阪で「192.168.2.xx」のIPアドレスを
取得してしまう事があります。
よく考えてみると、2つのセグメントで2つのDHCPサーバーを動かしているようなものなので、
複数のDHCPサーバーを動かした場合、早く応答したDHCPサーバーからIPアドレスを取得すると思うので、
タイミングで東京で大阪のIP、大阪で東京のIPを取得してしまう事もありえるのかと思われます。
運用されていて、こういう事はありませんでしたか?
また、防ぐためにどういう対処方法がありますでしょうか?
いい方法があれば教えて頂きたいです。
恐れ入りますが、よろしくお願いいたします。
コメントを頂きありがとうございます。
レイヤ3スイッチで接続された2つのネットワークのそれぞれにDHCPサーバーが存在しても別のネットワークのDHCPサーバーからアドレスを取得することはありません。
DHCPサーバーからアドレスを取得する場合、まずDHCPサーバーを探すためのブロードキャストパケットを送出しますが、ブロードキャストはレイヤ3スイッチを越えないためです。
今回のケースでは、双方のネットワークで相手のネットワークのアドレスを取得してしまうということですので、何か根本的な設定間違いをしているように思えます。
確認ですが、この記事の図で「東京の自宅」の「仮想HUB(B)」に「ローカルブリッジ」は接続していませんよね。ローカルブリッジで東京の自宅のネットワークに接続してしまうとレイヤ3スイッチが意味を無くし、直接2つのネットワークを接続していることになってしまいます。
そうでない場合は、両方のネットワークで異なるアドレスを取得することから、両方のネットワークに各々2台のDHCPサーバーが稼働していると思われます。
DHCPサーバーと成りうるのはブロードバンドルーター、Wi-Fiルーター、仮想HUB、Linuxなどです。
記事で説明しているのは新規にSoftEther VPN ServerをWindows 10で立ち上げた場合ですので、既存のRaspberry Piで使っていたSoftEther VPN Serverを流用した場合は、スタンドアロンの設定が残っている可能性もあります。
まずはDHCPサーバーを探してみてください。
それでも分からない場合は、昔はdhcploc.exeというコマンドが使えたようですがサポートが終了したため入手できません。
こちらのサイトで説明しているDHCPTestを使うことでDHCPサーバーをリストアップできます。
Monitoring with PowerShell: Monitoring Rogue DHCP Servers
https://www.cyberdrain.com/monitoring-with-powershell-monitoring-rogue-dhcp-servers/
PowerShellスクリプトを実行するか、直接
https://cyberdrain.com/wp-content/uploads/2020/04/dhcptest-0.7-win64.exe
をダウンロードしてから実行して、
d [Enter]
でDHCPサーバーを探してみるとよいでしょう。
ブロードキャストはレイヤ3スイッチを越えませんので、複数のDHCPサーバーから応答があるということは、どこかの設定が間違っているということです。
お返事いただきありがとうございます。
すごいです!
設定を確認したところ、ご指摘頂いた通り
「東京の自宅」の「仮想HUB(B)」に「ローカルブリッジ」を設定していました。
タイミングによりだったので、すぐに結果はわからないのですが、
今のところ大丈夫そうです。
しばらく様子を見たいと思います。
教えていただき、本当にありがとうございます。
すごく助かりました。
どうぞよろしくお願いいたします。
ご確認頂きありがとうございます。
とりあえず問題の原因が見つかったようで良かったです。
ローカルブリッジが原因なら再発は無いでしょうが、もしも発生するようでしたら先の返答のようにDHCPサーバーを探してみてください。
お力を借りたく、投稿しました。
東京-大阪間でVPNを張ろうとしています。
東京:主サーバで稼働、第3オクテット以下は10.0/24、静的ルーティングは10.200(仮想HUBのIP)
大阪:主サーバに接続、第3オクテット以下は11.0/24、静的ルーティングは11.200(仮想HUBのIP)
東京の主サーバは通常のVPNクライアント接続も兼ねています。
VPN1の仮想HUBを作成し、1ユーザーを登録しています。
VPN2の仮想HUBは大阪との接続用です。1ユーザーを登録しました。
L3スイッチの設定でVPN1(10.200)とVPN2(11.200)を両方登録しました。
VPN1の側はクライアント接続があるので、仕方なく手順に無いブリッジを設定しています。
大阪のサーバでVPN2を作成し、東京側のVPN2に登録しているユーザーの認証情報を登録しました。
ブリッジやL3は設定していません。
VPN自体は成立し、お互いに仮想HUBのIPへはping、tracertも通ります。(VPNサーバのIPに向けたpingは不可)
お互いのVPNサーバへファイルアクセスもできます。
しかし東京から大阪、大阪から東京で相互に他のPC、プリンタ等へのpingやtracert、ファイルアクセスはタイムアウトしてしまいます。
どこか設定が足りないはずですが、それが何かが不明です。
クライアント接続とは共存できないものなのかな、と推測していますけど、遠隔の操作にあたり設定を切るに切れません。
追加の設定箇所についてご教示願えるでしょうか?
コメントを頂きありがとうございます。
頂いたコメントから以下の環境だと推測されますので間違いが無いかご確認願います。
●東京
ネットワークアドレス:192.168.10.0
サブネットマスク:255.255.255.0
デフォルトゲートウェイ:不明
SoftEther VPN Server:VPN1
SoftEther VPN ServerパソコンIPアドレス:不明
仮想HUB:クライアント接続用に1台設置
大阪との接続用に1台設置
ローカルブリッジ:設置
レイヤ3スイッチ:設置
東京側レイヤ3スイッチIPアドレス:192.168.10.200
大阪側レイヤ3スイッチIPアドレス:192.168.11.200
●大阪
ネットワークアドレス:192.168.11.0
サブネットマスク:255.255.255.0
デフォルトゲートウェイ:不明
SoftEther VPN Server:VPN2
SoftEther VPN ServerパソコンIPアドレス:不明
仮想HUB:東京都の接続用に1台設置
ローカルブリッジ:なし
レイヤ3スイッチ:なし
●確認できていること
・(東京のSoftEther VPN Serverパソコンから)大阪側レイヤ3スイッチアドレスへのPing、Tracertは問題無し
・(大阪のSoftEther VPN Serverパソコンから)東京側レイヤ3スイッチアドレスへのPing、Tracertは問題無し
・東京のSoftEther VPN Serverパソコンから大阪のSoftEther VPN Serverパソコンへのファイルアクセスは問題無し
・大阪のSoftEther VPN Serverパソコンから東京のSoftEther VPN Serverパソコンへのファイルアクセスは問題無し
・東京(どの端末かは不明)から大阪のPC、プリンターなどへのPing、Tracert、ファイルアクセスはタイムアウト
・大阪(どの端末かは不明)から東京のPC、プリンターなどへのPing、Tracert、ファイルアクセスはタイムアウト
●推測される問題点
まず、仮想HUBはIPアドレスを持ちません。レイヤ3スイッチに設定するIPアドレスはそれぞれのネットワークから見たレイヤ3スイッチのIPアドレスです。
説明不足で申し訳ございませんが、SoftEther VPN Server同士の接続に利用するSoftEther VPN Serverは、単体で設置する場合と同様に、以下の構成要素は両方のネットワークで必須です。
・SoftEther VPN Server
・自身のネットワークで使用する仮想HUB
・自身の物理ネットワークと仮想ネットワークを接続するローカルブリッジ
もしも、大阪のSoftEther VPN Server(VPN2)にローカルブリッジを設置していない場合は、仮想ネットワークと大阪の物理ネットワークがつながっていないことになります。
また、大阪のSoftEther VPN Serverパソコンから東京のPC、プリンターなどへのPingやTracertがタイムアウトになる場合は、ブロードバンドルーターにルーティング設定がされていない可能性があります。
ご多忙の中、回答ありがとうございます。
ご指摘のとおり、IPアドレスは仮想HUBではなく、仮想L3スイッチのIPアドレスでした。勘違いで失礼しました。
今は少し状況が変わり、以下のとおりになっています。
お手数ですが、引き続きお力添え願います。
情報が小出しになってしまいましたが、ご容赦ください。
●東京(10.0/24)から大阪(11.0/24)のアクセスについて
・ルータ(synology~11.1)
ping、tracert共に可
WebGUI画面へのアクセス不可(このページは動作していません)
※11.0/24(大阪内へ)の静的ルーティングとして10.222(東京SVの仮想L3スイッチ)を設定済み
・大阪のVPNサーバ(~11.100)
ping、tracert、リモートデスクトップ、SMBアクセス共に可(ただし11.100のアドレス指定ではリモート不可。PC名でのアクセス可)
仮想L3スイッチ(~11.222)へping、tracert可
・NAS(~11.218)
ping、tracertは通りました。
東京から大阪のNASにSMBアクセスすると「見つかりません」で接続不可。
・その他のPC
ping、tracert可、SMBアクセス不可
・VPNサーバの設定
仮想HUBを2つ作成
仮想HUBを2つともブリッジ
仮想L3スイッチを2つの仮想HUBでIPアドレスを割り当て(VPN1:111.222/24、VPN2:10.222/24)
ルーティングテーブル設定 IP:10.0/24、GW:10.222/IP:11.0/24、GW:11.222
●大阪(11.0/24)から東京(10.0/24)のアクセスについて
・ルータ(Yamaha~10.254)
ping、tracert共に可、Webアクセス不可(同一NW内限りでのアクセス許可のため想定どおりの動作)
※10.0/24(東京内へ)の静的ルーティングとして11.222(大阪SVの仮想L3スイッチ)を設定済み
・東京のVPNサーバ
ping、tracert、リモートデスクトップ、SMBアクセス共に可(ただし10.215のアドレス指定ではリモート不可。PC名でのアクセス可)
仮想L3スイッチ(~10.222)へping、tracert可
・NAS(~10.51)
ping、tracer共に不可
大阪から東京のNASにSMBアクセスすると「見つかりません」で接続不可(ping応答すらないので当然ですが)
※tracertでは11.222(大阪の仮想L3スイッチ)で応答があり、そこで止まる
・その他のPC
ping、tracert、SMBアクセス不可
・VPNサーバの設定
という状況です。
東京から大阪はサーバのみSMBアクセス可で、それ以外の機器はpingやtracertで通るもののSMBとWebアクセス不可
大阪から東京はサーバのみSMBアクセス可で、それ以外の機器はルータを除きpingやtracert不可、Webアクセス不可
大阪のVPN2とローカルブリッジを切るとサーバ以外が不通となります。ブリッジを設定すると上記のとおりです。
なっています。
ページ内で紹介いただいてる手順では、大阪側のローカルブリッジは設定しないことになっていますが、これでよいのかわからなくなりました。
どんな原因が考えられるでしょうか?
コメントを頂きありがとうございます。
状況説明と環境説明が混ざっており正しく読み取れません。
>●東京(10.0/24)から大阪(11.0/24)のアクセスについて
>・ルータ(synology~11.1)
> ping、tracert共に可
> WebGUI画面へのアクセス不可(このページは動作していません)
> ※11.0/24(大阪内へ)の静的ルーティングとして10.222(東京SVの仮想L3ス>イッチ)を設定済み
この説明は192.168.11.1に192.168.11.0へのパケットを192.168.10.222に転送するように設定しているように読み取れます。
>●大阪(11.0/24)から東京(10.0/24)のアクセスについて
>・ルータ(Yamaha~10.254)
> ping、tracert共に可、Webアクセス不可(同一NW内限りでのアクセス許可のた>め想定どおりの動作)
> ※10.0/24(東京内へ)の静的ルーティングとして11.222(大阪SVの仮想L3スイッチ)を設定済み
こちらも同様に192.168.10.254に192.168.10.0へのパケットを192.168.11.222に転送するように設定しているように読み取れます。どういうことでしょうか。
状況の説明ではなく、東京と大阪の環境を教えて頂けませんでしょうか。
ご多忙の中で返信いただきありがとうございます。
一度、大阪はServerではなくBridgeにてセットアップを進めようと思います。
なぜかどちらもServerでどちらもローカルブリッジを張らないと拠点間通信できないというのが、混乱の元になっているようです。
それと、ルータから払い出されるDHCPアドレス(第3オクテットは異なる)が拠点をまたいで入り込んでいる状況も確認できました。
ちょっと状況を整理して出直します。
再びご助力願うかもしれませんが、引き続きよろしくお願いします。
コメントを頂きありがとうございます。
お役に立てず申し訳ございません。
SoftEther VPN ServerとSoftEther VPN Bridgeの違いは、前者はクライアント接続と拠点間接続の両方の機能を持ちますが、後者は拠点間接続に特化したものです。
片方をSoftEther VPN Bridgeで構築した場合、後々、クライアント接続が必要になった場合にSoftEther VPN Serverをインストールし直す必要があります。
ただし、不要な機能が動作していることでパフォーマンスが落ちる可能性はあります。
ローカルブリッジは仮想ネットワーク(仮想HUB)と物理ネットワークを接続するものです。
どこで物理ネットワークに接続する必要があるかを考えれば、設置すべき場所、設置してはいけない場所が見えてくると思います。
なお、レイヤ3スイッチで2拠点を接続するだけなら、ルーティングテーブルは設定する必要はありません。
Solomonさん
とんでもないです。
大阪でVPNクライアントを受け入れる予定はないため、今のところ拠点間疎通に特化させることにしました。
余計なことをしてしまったせいで、混乱してしまっています。
あれこれいじって、余分な設定が入っていることを考慮し、関係機器の設定を一度初期化してやり直しました。
結果はお互いの仮想L3スイッチ以外と通信できなくなりました。
お手数ですが、再び助力願います。
以下、設定と状況を分けて書きます。
◆東京VPNサーバ
ルータIP:192.168.10.254
ルータのスタティックルート設定
宛先:192.168.111.0
マスク:255.255.255.0
ゲートウェイ:192.169.10.222
サーバーIP:192.168.10.215
仮想L3スイッチIP(東京SV分):192.168.10.222
仮想L3スイッチIP(大阪BR分):192.168.111.222
仮想HUB名(東京SV分):VPN <変更の仕方が不明だったため標準設定
仮想HUB名(大阪BR分):tokyo-hub
仮想L3スイッチ設定(VPN):192.168.10.222
仮想L3スイッチ設定(tokyo-hub):192.168.111.222
仮想L3スイッチルーティングテーブル:設定無し
ローカルブリッジ(VPN):有効
ローカルブリッジ(tokyo-hub):有効
◆大阪ブリッジ(設定箇所に制限あり)
ルータIP:192.168.111.1
ルータのスタティックルート
宛先:192.168.10.0
マスク:255.255.255.0
ゲートウェイ:192.169.111.222
サーバーIP:192.168.111.100
仮想L3スイッチIP:-
仮想HUB名:BRIDGE <変更方法が不明だったため標準設定
仮想L3スイッチ設定:-
仮想L3スイッチルーティングテーブル:-
ローカルブリッジ(BRIDGE):有効
カスケード接続先:tokyo-hub(オンライン接続済み を確認)
状況がさらに変わりました。
大阪から東京へのping、tracertは192.168.10.222(仮想L3)以外が通じなくなりました。
逆も同じで、192.168.111.222(仮想L3)以外は届きません。
それでいてルータだけWeb設定画面は想定どおりアクセスを拒否されました。pingが届かないのにWebアクセスが可能というところが疑問です。
ゴールは東京大阪でSMB(ファイルアクセス)とWebアクセス(多機能機器のブラウザ経由による設定画面)を可能にすることです。
どこの設定を見直せばよいでしょうか?
よろしくお願いします。
コメントを頂きありがとうございます。
まず、東京VPNサーバーのローカルブリッジ(tokyo-hub)を削除してください。
次に、テストを行うクライアントのファイアウォールを無効にしてください。
この状態でどうなるかを確認してください。
Solomonさん
確認と返信いただきありがとうございます。
東京VPNサーバーのローカルブリッジ(tokyo-hub)を削除し、FWを無効にしましたが状況が変わりませんでした。
他に確認、設定変更箇所はあるでしょうか?
よろしくお願いします。
コメントを頂きありがとうございます。
お教え頂いた設定以外に不要な設定をしていなければ、設定上の問題は見つかりません。
SoftEther VPN Bridgeで構成した場合は、当方で想定した環境ではなく動作検証もするつもりはありませんので、自己責任で運用願います。
また、SoftEther VPN ServerはWindowsパソコン上に構築することを前提としており、Linuxなど他の環境で構築した場合はOS固有の問題がありますので、こちらも自己責任で運用願います。
なお、SoftEther VPN Serverは有線LANでしか構築できません。NICが無線LANの場合は、構築てきているように見えても機能しません。無線LANしか無いパソコンで構築する場合はUSB有線LANアダプターなどを用いて有線LANで構築する必要があります。
セキュリティ対策ソフトをWindwos標準添付のWindows Defender以外を使う場合は、SoftEther VPN Serverパソコンおよびクライアントパソコンの双方で適切な除外設定が必要になります。すべてのセキュリティ対策ソフトを止めて問題が解決するなら、そこに問題があることになります。
全体的に各コンポーネントの役割が理解できていないため、SoftEther VPN Serverが正しく構成できていないように思われます。そのため、定石どおりに東京、大阪それぞれの環境にSoftEther VPN Serverのクライアント接続環境を構築して、動作確認ができた段階で拠点間接続の設定を追加した方が、試行錯誤を繰り返すよりは早いと思われます。
Solomonさん
ご多忙の中で返信いただきありがとうございました。
そうですか、本来であればこの設定にて拠点間通信ができる想定ということですので、経路設定などどこが壁になっているかを確認して進行する必要がありそうです。
お互いに仮想L3スイッチで通信が止まってしまうところまでは特定できているので、手探りで原因を追求していくこととします。
ご対応ありがとうございました。
コメントを頂きありがとうございます。
お役に立てず申し訳ございません。
SoftEther VPN Serverや仮想HUB、仮想レイヤ3スイッチはSoftEther VPN Serverパソコンのメモリー上で動作し、SoftEther VPN Server間の拠点間接続もVPN回線上で行われます。
そのため動作しているように見えても、それはあくまでSoftEther VPN Serverパソコン上での話で、物理ネットワークとは隔絶されています。
物理ネットワークとの橋渡しをするものがローカルブリッジで、設置する場所を間違えると余計なパケットが流れ込みネットワーク全体の動作がおかしくなります。
それぞれの装置を図に描いてみるとおかしな接続をしている場合などは理解し易いでしょう。
pingやWebアクセスが全くできない場合は、ローカルブリッジの設定がおかしいか、ハード的要因で動作していないかのどちらかでしょう。
pingは通るがWebアクセスはできないなど、特定のアプリケーションだけが動作しない場合は、セキュリティ対策ソフトが通信を遮断している可能性が高いです。
Windows Defender以外の市販セキュリティ対策ソフトは、クライアントでの利用を前提としているため、サーバー系アプリケーションは通信を遮断している場合が多いです。そのため、SoftEther VPN Server用の除外設定が必要になります。
参考になる記事を有難く読ませていただきました。
よろしければお知恵を貸し願えればと思いコメントさせていただきます。
事情があり両拠点のルーターを直接操作することができずSoftetherによる拠点間VPNに挑戦しております。
拠点A
192.168.0.0/24
ルーター 192.168.0.1
Softether Server 192.168.0.2 (DDNS,VPNAZURE有効)
仮想Hub vHub1(ローカルブリッジ) vHub2 (User User01/Password)
仮想スイッチ L3SW 192.168.0.254 (vHub1に接続) 192.168.1.254(vHub2に接続)
拠点B
192.168.1.0/24
ルーター 192.168.1.1
Softehter Server 192.168.1.2
仮想Hub vHub2(ローカルブリッジ、拠点AのvHub2にカスケード接続)
※ファイヤーウォール越えの為、VPNAZUREを利用して接続しています。
と言う構成で、前述のとおり両拠点ともルーターを操作できないため、両サーバーにおいてコマンドプロンプトより
拠点A
ROUTE ADD 192.168.1.0 MASK 255.255.255.0 192.168.0.254
拠点B
ROUTE ADD 192.168.0.0 MASK 255.255.255.0 192.168.1.254
とルーティングテーブルを設定
どちらからも仮想スイッチ(相手側)まではPINGが通ることが確認できましたが、それ以外の端末(Serverを含む)に対してはPINGが通らない、フォルダー共有などができない状態です。
ルーティングテーブルが利用できないPC等から応答がない事は承知しているのですが、設定してあるサーバー機からも応答がない原因が特定できていません。
ご提示いただいている事例と異なる環境であることは理解しておりますが、原因等にお心当たりがあればご教示いただけますでしょうか?
コメントを頂きありがとうございます。
頂いた情報から推測すると仮想ネットワークと実ネットワークとの繋ぎ目であるローカルブリッジが機能していないように思えます。
ローカルブリッジを設定しているネットワークアダプターは有線LANアダプターでしょうか。
無線LANアダプターはプロミスキャスモードが使えないためローカルブリッジを機能させることができません。
VPNサーバー以外のルーティングテーブルを設定したPCから仮想スイッチにPINGが通らなければローカルブリッジの問題だと思われます。
PINGが通るならローカルブリッジの問題ではありませんので、まずは別のPCからPINGが通るか確かめてみては如何でしょうか。
早速のお返事ありがとうございます。
両拠点ともにローカルブリッジは有線LANアダプターを選択しており、念のため無線アダプターは無効にしております。
現状、拠点A側はServerをインストールした端末のみしか使用できないため他PCからは確認をとれておりません。
拠点Bは別PCからでも仮想スイッチの拠点A側までPINGが通る事が確認できましたが、やはり拠点AのServer機IPにはPINGが通りません。
拠点Bと別系統LAN間において同一設定で実験してみましたが、こちらは問題なくファイル共有できるところまで行けましたので、拠点A側のLAN環境の影響があるのかもしれません。
拠点AにSoftether Clientでリモート接続はできたので、VPNAZUREでのファイヤーウォール越え自体は問題ないと思ったのですが。
コメントを頂きありがとうございます。
御回答頂いた状況からローカルブリッジとVPNArureでの接続には問題無いと思われます。
まず、ルーティングが正しく設定されているか確認してください。
route print
このコマンドでルーティグテーブルを表示したときに、設定したルートは登録されていますでしょうか。
再起動後もルートを残す場合は「-p」オプションを付けてaddコマンドを実行する必要があるそうです。
route -p add 192.168.1.0 mask 255.255.255.0 192.168.0.254
route -p add 192.168.0.0 mask 255.255.255.0 192.168.1.254
設定されると「IPv4 ルート テーブル」の項目の「固定ルート」に表示されます。
次にファイル共有を使うならネットワークプロファイルはプライベートに設定すると思いますが、Windows Defenderファイアウォールをファイアウォールとして使っている場合は、ルールに無い通信はすべてブロックされるようです。
Pingの宛先のPCで以下の設定を行います。
Windows Defenderファイアウォールでは「受信の規則」の「コアネットワーク診断-ICMPエコー要求(ICMPv4受信)」のプロファイルが「プライベート、パブリック」のルールを開きます。
「スコープ」タブの「リモートIPアドレス」を見ると「ローカルサブネット」が指定されているので「任意のIPアドレス」に変更します。
「全般」タブの「有効」にチェックを入れて「OK」でダイアログを閉じます。
他のクライアント向けセキュリティソフトの場合も同様にすべてのICMPv4要求を許可します。
この状態でPingが通るか確かめてください。
Pingの結果がファイアウォールの有効/無効で変わるならファイアウォールルールによるものですので、PCでファイル共有するならば関連するファイアウォール設定を変更すれば、使えるようになると思われます。
ご返信ありがとうございます。
ファイヤーウォールは両端末とも無効にしてみましたが症状は変わりませんでした。
その後に此方でも色々と試してみました結果、一応は望む結果となりました。
拠点Aを主とし拠点Bから拠点Aに接続していたものを、拠点Bに新たにスイッチを作成し主とする
設定で新たに環境を作成しなおしたところ、ファイル共有・リモートデスクトップ接続は可能になった事が確認できました。
原因は未だ不明ではありますが、やはり拠点A側のネットワーク環境(ルーター?)が問題なのだろうと言うことに落ち着きました。
色々とお知恵をお貸しいただき本当にありがとうございました。
コメントを頂きありがとうございます。
ファイアウォールを無効にしても状況は変わらず、L3スイッチの位置を変更することで改善したとのことですね。
L3スイッチとルーターの関係で問題があったのでしょうが、改善したのなら良かったです。
おちからになれず申し訳ございません。