web-dev-qa-db-ja.com

Windows VPNサーバーはVPNクライアントと通信できますが、ローカルネットワークからVPNクライアントにパケットを送信しません

Windows Server 2012とそのWindows 7およびWindows 8 VPNクライアントを、スプリットトンネリングとオフサブネットアドレス指定を使用するSSTP VPNで構成したいのですが、問題が発生しています。RRASサーバーがパケットをVPNに送信しません自分以外のマシンのクライアント。

私のVPNサーバーはAmazonの「仮想プライベートクラウド」で実行されているため、NICが他のすべてのAmazon VPCサーバーと共有するプライベートなRFC1918ネットワーク上のIPアドレスとパブリックNAT(Amazonはこれを「Elastic IP」と呼びます)を介してすべてのトラフィックをプライベートアドレスに転送するIP。

RRASをインストールしてVPNを設定しました。 Amazonのプライベートサブネットは172.16.0.0/17(これは「Amazon LAN」と呼んでいるものです)ですが、すべてのVPNクライアントが10.128.0.0/20(「 VPN LAN」)。

私のAmazonコントロールパネルでは、次のことを行いました。

  • VPNサーバーの送信元/送信先チェックを無効にしました
  • VPNサーバーのネットワークインターフェイスをポイントする10.128.0.0/20プールのルートテーブルにエントリを追加しました。

ルーティングとリモートアクセスMMC内、サーバー名のプロパティメニュー内で、次の操作を行いました。

  • [全般]タブ-> IPv4ルーター(オン)、LANおよびデマンドダイヤルルーティングに対応
  • [全般]タブ-> [IPv4リモートアクセスサーバー](オン)
  • IPv4タブ-> IPv4転送を有効にする(チェックあり)
  • IPv4タブ->静的アドレスプール、および10.128.0.1-10.128.15.154を指定

クライアントとすべてのサーバーで、ファイアウォールでICMPが明示的に許可されていること、またはファイアウォールが完全に無効になっていることを確認しました(もちろん、恒久的な計画ではありません)。

クライアントで、スプリットトンネリングを有効にするために、VPN接続のプロパティに移動し、[ネットワーク]-> [IPv4]-> [プロパティ]-> [詳細設定]-> [IP設定]タブをオフにし、[リモートネットワークでデフォルトゲートウェイを使用する]チェックボックスをオフにしました。 「クラスベースのルート追加を無効にする」にチェックを入れた。

この時点で、クライアントはWindows 7/8 VPNクライアントを使用して接続できます。 10.128.0.0/20プールからIPが割り当てられますが、ルートを自動的に設定しないため、リモートネットワークと通信できません。リモートネットワークとVPNネットワークへのルートを次のように設定できます(クライアント上):

route add 172.16.0.0/17 <VPN IP ADDRESS> 
route add 10.128.0.0/20 <VPN IP ADDRESS> 

これで、クライアントはVPNサーバーのVPN LANアドレス(10.128.0.1)と、そのAmazon LANアドレス(172.16.1.32)にpingできるようになります。ただし、Amazon LAN上の他のマシンと通信しようとすると、問題が発生します。pingは応答を受け取りません。

したがって、たとえば、クライアントが稼働していることがわかっているシステムにpingを実行しようとして、172.16.0.113のようなpingに応答した場合、それらの応答は表示されません(「要求がタイムアウトしました」と表示されます)。 VPNサーバーのWiresharkは、クライアントからのpingを確認し、172.16.0.113から送信された応答も確認しますが、その応答がクライアントに返されることはないようです。

さらに、クライアントのVPN LANアドレスに172.16.0.113からpingを実行すると、VPNサーバーのWiresharkにはpingが表示されますが、応答は表示されません。

要約すると、

  • VPNサーバーはAmazon LAN(172.16.0.0/17)上の他のマシンにpingを送信して応答を受信でき、そのネットワーク上の他のマシンは同じようにそれを実行できます。
  • VPNクライアントは、前述のようにクライアントが適切なルートを追加した後、サーバーのAmazon LANアドレスにpingを送信して応答を受信できます。
  • VPNクライアントは、サーバーのVPN LANアドレス10.128.0.1にpingを送信でき、VPNサーバーは、クライアントが前述のように適切なルートをルートに追加した後、10.128.0.0/20範囲のクライアントのVPN LANアドレスにpingを送信できます。
  • VPNクライアントはAmazon LAN上のマシンにpingを送信できますが、それらのマシンが応答を送信すると、VPNサーバーで停止します-クライアントに転送されないため、クライアントに「リクエストがタイムアウトしました」というメッセージが表示されます。逆に、Amazon LAN上のマシンがクライアントの10.128.0.0/20 VPN LANアドレスをpingしようとすると、VPNサーバーはpingを認識しますが、クライアントはpingを実行しないため、応答を生成しません。

VPNサーバーがAmazon LANからVPN LAN上のクライアントにパケットを送信しないのはなぜですか? VPN LAN上のクライアントと確実に通信でき、ルーティングが有効になっています。VPNLAN-> Amazon LANからパケットをルーティングすることはできますが、その逆はできません。ここで何が欠けていますか?

ルート

VPNクライアントからのルーティングテーブルを次に示します。クライアントはVirtualBoxですVM Windows 8を実行しています。そのvboxアダプターのIPアドレスは/ 24で10.0.2.15です。このクライアントはNAT(実際には、 vboxアダプターはローカルネットワークにNAT変換されているため、二重NATの背後にあります。このルートテーブルはafterからのもので、手動でルートを10.128.0.0に追加しています/ 20および172.16.0.0/17。

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0         10.0.2.2        10.0.2.15     10
         10.0.2.0    255.255.255.0         On-link         10.0.2.15    266
        10.0.2.15  255.255.255.255         On-link         10.0.2.15    266
       10.0.2.255  255.255.255.255         On-link         10.0.2.15    266
       10.128.0.0    255.255.240.0         On-link        10.128.0.3     15
       10.128.0.3  255.255.255.255         On-link        10.128.0.3    266
    10.128.15.255  255.255.255.255         On-link        10.128.0.3    266
    54.213.67.179  255.255.255.255         10.0.2.2        10.0.2.15     11
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
       172.16.0.0    255.255.128.0         On-link        10.128.0.3     15
   172.16.127.255  255.255.255.255         On-link        10.128.0.3    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link         10.0.2.15    266
        224.0.0.0        240.0.0.0         On-link        10.128.0.3    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link         10.0.2.15    266
  255.255.255.255  255.255.255.255         On-link        10.128.0.3    266
===========================================================================
Persistent Routes:
  None

次に、Windows Server 2012を実行しているRRASサーバーからのルーティングテーブルを示します。このサーバーも、上記のようにNATの背後にあります。 NICは1つだけです。/23上のプライベートIPアドレスは172.16.1.32です(それ自体が/ 17ネットワークの一部です。/23の外側にある/ 17の部分は無視するのが妥当だと思います。 VPNクライアントから到達できない、または到達できない)。

VPN仮想アダプターには独自のアドレス10.128.0.1があり、クライアントが初めて接続したときに自動的に割り当てられます。表示される10.128.0.1(それ自体への)および10.128.0.2(その唯一のクライアントへの)のルートも、そのときに自動的に追加されます。ルートはVPNサーバーに手動で追加されません。

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0       172.16.0.1      172.16.1.32     10
       10.128.0.1  255.255.255.255         On-link        10.128.0.1    286
       10.128.0.2  255.255.255.255       10.128.0.2       10.128.0.1     31
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  169.254.169.250  255.255.255.255       172.16.0.1      172.16.1.32     10
  169.254.169.251  255.255.255.255       172.16.0.1      172.16.1.32     10
  169.254.169.254  255.255.255.255       172.16.0.1      172.16.1.32     10
       172.16.0.0    255.255.254.0         On-link       172.16.1.32     11
      172.16.1.32  255.255.255.255         On-link       172.16.1.32    266
     172.16.1.255  255.255.255.255         On-link       172.16.1.32    266
       172.16.2.0    255.255.254.0      172.168.0.1      172.16.1.32     11
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link       172.16.1.32    266
        224.0.0.0        240.0.0.0         On-link        10.128.0.1    286
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link       172.16.1.32    266
  255.255.255.255  255.255.255.255         On-link        10.128.0.1    286
===========================================================================
Persistent Routes:
  None

これもサーバー2012を実行しているサーバーのプライベートネットワーク上の別のマシンのルーティングテーブルです。これにはNICが1つあり、プライベートIPアドレスは172.16.1.177です。つまり、VPNサーバーと同じ/ 23にあります。 (10.128.0.0/20へのルートは、Amazonによって制御されるゲートウェイで設定されるため、ここには表示されないことに注意してください。Amazonへの正しいルートを追加しました。これは、WiresharkがVPNサーバーはパケットを参照します。)

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0       172.16.0.1     172.16.1.177     10
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  169.254.169.250  255.255.255.255       172.16.0.1     172.16.1.177     10
  169.254.169.251  255.255.255.255       172.16.0.1     172.16.1.177     10
  169.254.169.254  255.255.255.255       172.16.0.1     172.16.1.177     10
       172.16.0.0    255.255.254.0         On-link      172.16.1.177    266
     172.16.1.177  255.255.255.255         On-link      172.16.1.177    266
     172.16.1.255  255.255.255.255         On-link      172.16.1.177    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link      172.16.1.177    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link      172.16.1.177    266
===========================================================================
Persistent Routes:
  None

Amazonコンソールのルートは次のとおりです。私はこれらが正しいと思います-トラフィックis結局のところ、VPNサーバーに戻されるだけです-しかし、誰かがそれらを見たい場合は、ここにあります。 (Amazonは少し奇妙なことをします。eni-2f3e8244 / i-77e26440は、NIC、およびigw-d4bc27bcは、すべてのインスタンスがインターネットとの通信に使用する、Amazonが制御するインターネットNAT /ゲートウェイを指します。)

10.128.0.0/20   eni-2f3e8244 / i-77e26440   
172.16.0.0/17   local   
0.0.0.0/0       igw-d4bc27bc
8

サーバーに静的ルートを追加して、10.128.0.0/20に到達するにはVPNのサーバーLANアドレスを経由する必要があることをサーバーに通知するとどうなるでしょうか。

route add 10.128.0.0 mask 255.255.240.0 a.b.c.d

A.b.c.dをVPNサーバーのLANアドレスに置き換えます。

これは、少なくとも、Amazonのルーティングに関する問題を除外します。

1
Silvio Massina