SoftEther | ばすにっきTips https://takabus.com/tips プログラミングやサーバー、日々のTipsをメモしています。 Sat, 25 Mar 2023 00:32:54 +0000 ja hourly 1 https://wordpress.org/?v=6.4.3 https://takabus.com/tips/wp-content/uploads/2022/12/cropped-tips-1-32x32.png SoftEther | ばすにっきTips https://takabus.com/tips 32 32 【SoftEther】Hyper-V上にSoftEtherを構築する手順(メモ) https://takabus.com/tips/2765/ https://takabus.com/tips/2765/#respond Sat, 25 Mar 2023 00:32:53 +0000 https://takabus.com/tips/?p=2765 Hyper-V上のLinuxマシンにSoftEtherサーバを構築する手順をメモしておきます。自分用です。

環境

  • OS:Debian 11(Hyper-V上に構築)
  • SoftEther 4.38 Build 9760 安定版

仮想マシンの設定

ネットワークアダプタを2つ作る

仮想マシンにネットワークアダプタを2つ作る。

  • 1つ目はサーバーマシンのメインNIC
  • 2つ目はローカルブリッジ用のNIC

にしていく。

※「レガシーネットワークアダプタ」を選択する必要はなし。通常のネットワークアダプタでOK。

※TAPを作ってブリッジする方法もありますが、ローカルブリッジ用のNICを別に用意する方法が推奨されているので、そちらでやっていく。

スプーフィングを有効化

2つ目のネットワークアダプタに対し、MACアドレスのスプーフィングを有効にする。必須。

ネットワークアダプタが1つしか表示されていないが、2つ作ること。

1つ目のネットワークアダプタはスプーフィングしなくていい。(と思う)

ネットワークの設定

ホストOS(ここではDebian)のネットワークの設定をする。以下で動作OKだった。

#vi /etc/network/interfaces
auto eth0
iface eth1 inet static
        address         192.168.1.80
        network         192.168.1.0
        netmask         255.255.255.0
        broadcast       192.168.1.255
        gateway         192.168.1.1
        dns-nameservers 192.168.1.1
        mtu             1454


auto eth1
iface eth2 inet manual
        mtu 2000

1つ目のNICは通常通りの設定。2つ目(ローカルブリッジ用のNIC)は上記の太字のように設定。

詳細は調べていないが、自環境ではMTUは2000にしないとダメでした。

最初MTUを1400にしていたところ、VPN接続直後にSoftEther側に自動的にMTUを2000に変更されてしまう。

自動的に変更されると、以降VPN接続・通信ともに不可となる。DHCPからIPを受けることが出来ず、新たにVPN接続できない状況になった。接続中のVPNからの通信も不可となった。

最初からMTUを2000に設定しておくと、自動的なMTUの変更が発生せず、通信できるようになった。

ルーターのポート開放(マスカレード)

ルーターの静的NAPTでSoftEtherにポートフォワードする。

  • 1つ目のNICにポートフォワードする。(2つ目ではない)
  • ルーター・サーバーともにファイアウォールの設定も忘れずに

以上。

]]> https://takabus.com/tips/2765/feed/ 0 【SoftEther】エラー720でVPNに接続できないときの対処法 https://takabus.com/tips/1647/ https://takabus.com/tips/1647/#respond Tue, 27 Sep 2022 11:16:09 +0000 https://takabus.com/tips/?p=1647 エラー720が発生し、SoftEther VPNに接続できないときの対処法を紹介します。

エラー720とは?

エラー720は、VPNに接続しようとしているPCにIPアドレスが降ってこないことから起こります。

つまり、「VPNサーバーには到達できているけど、接続先のDHCPサーバーからIPアドレスが割り当てられないので通信できない」という状態で発生するエラーです。

SoftEtherで考えられる原因

SoftEther VPNをサーバーに構築し、VPN経由でサーバーがあるネットワークに入れるようにするには、おもに2つの方法があります。

  1. ネットワークカードを2つ用意して、うち1つをSoftEtherからローカルネットワークに入る専用にする
  2. TAP(仮想ネットワークインターフェース)を作成し、ネットワークインターフェースとSoftEtherをブリッジしてやる

どちらかの方法を選ぶことになりますが、多くの方はネットワークカードを増設する必要がない、2を使っていることと思います。おそらくネット上から拾ってきたスクリプトを使って、ブリッジさせているはずです。

しかし、2.のケースでエラー720が発生している場合は、ほぼ確実にブリッジに失敗しています。

試しにブリッジの状態を確認してみましょう。

$brctl show
bridge name     bridge id               STP enabled     interfaces
br0             8000.00ac5d6ddhn1       no              eth0
                                                        tap_softvpn

上記は正常に出来ているときの出力です。interfacesにSoftEtherのTAPデバイス(ここではtap_softvpn)が表示されていなければ、ブリッジできていません。ブリッジできていないと、IPアドレスをサーバーがあるネットワークから取得できません。これが原因で720が発生しているのです。

とりあえずの解決法

いちばん簡単な解決法はSecureNATを使うことです。

SoftEtherには仮想ネットワークを構築することができるSecureNATという機能があります。

SecureNATを使うと、リモート端末はサーバーが接続されている実際のネットワークではなく、SoftEther上の仮想ネットワークに参加することになります。SecureNAT上には仮想のDHCPサーバーを構築することもできるため、IP正常にアドレスが割り振られるようになり、720は解決します。もちろん、サーバーがあるネットワークともNATを介して通信できますから、ちゃんと使えるVPNになります。

根本的な解決法

TAPをブリッジさせるスクリプトを見直しましょう。

スクリプトの最初で待機しておくのがコツです。TAPデバイスはSoftEtherが起動してから作成されます。SoftEtherが起動するまでしっかり待ってから、ブリッジをかけるとうまくいきます。

]]> https://takabus.com/tips/1647/feed/ 0