VPN経由でインタネット接続はProxyを通したい

SoftEther VPN に関するご質問はこのフォーラムにお気軽にご投稿ください。
Post Reply
R7038XX
Posts: 13
Joined: Mon Mar 24, 2014 1:08 pm

VPN経由でインタネット接続はProxyを通したい

Post by R7038XX » Tue Mar 25, 2014 2:11 pm

スマートフォンからVPN経由でIntranetに接続していますが、
通常の3GやLTEでは、インターネットをさせたくなく、
インターネット接続は必ずProxyを通したいです。
どのように設定?構築すれば宜しいでしょうか?

hiroshi
Posts: 128
Joined: Tue Mar 19, 2013 5:07 pm

Re: VPN経由でインタネット接続はProxyを通したい

Post by hiroshi » Wed Mar 26, 2014 1:25 am

R7038XXさん こんにちは~

試してませんが・・・
VPNに接続するスマホにProxy設定をすれば良いのではないでしょうか?

それとも
「自宅等にProxyサーバを構築して、それ経由でインターネットに接続したい」
ということでしょうか?
だとすると、現在の環境や構成や用途を明記しないと回答は得られないと思いますし、
そもそも、ここのフォーラムにはそぐわない質問かと思います。

R7038XX
Posts: 13
Joined: Mon Mar 24, 2014 1:08 pm

Re: VPN経由でインタネット接続はProxyを通したい

Post by R7038XX » Wed Mar 26, 2014 10:22 am

中小企業の新米インフラ担当で、
右も左もまだまだな状態で、申し訳ございません。

社用でAndoridを支給予定でセキュリティの観点から、
SoftEtherVPNを使用し、社内に接続の上、
インターネット接続は、必ず、社内のProxyを通したいとの事です。

Wi-Fiであれば、設定が可能ですが、
通常LTEや3G接続時に、Proxyを設定する事は可能なのでしょうか?

hiroshi
Posts: 128
Joined: Tue Mar 19, 2013 5:07 pm

Re: VPN経由でインタネット接続はProxyを通したい

Post by hiroshi » Wed Mar 26, 2014 2:06 pm

こんばんは~

Proxy設定可能なブラウザがあるような話を聞いた気がしますが・・・
勘違いだったらすみません。

話は少し外れますが今回の目的は

外出先のAndroid端末からインターネットへ接続するには必ずVPNにより社内ネットワークに接続してProxyサーバ経由で接続を行う。

ということだと思いますが
外出先からVPN接続するか否かは、ユーザ操作に依存されますので
インターネットへの接続を必ずVPN経由で行わせることは難しいのでは?という疑問が浮かびました。
この辺は、何かアイデアをお持ちですか?

R7038XX
Posts: 13
Joined: Mon Mar 24, 2014 1:08 pm

Re: VPN経由でインタネット接続はProxyを通したい

Post by R7038XX » Thu Mar 27, 2014 12:06 pm

> 外出先からVPN接続するか否かは、ユーザ操作に依存されますので
> インターネットへの接続を必ずVPN経由で行わせることは難しいのでは?という疑問が浮かびました。
> この辺は、何かアイデアをお持ちですか?

そこは従業員のモラル等も含め、今後の検討課題ですが、
まずは、VPNでのProxy接続を実現することが課題とされています。

ネット上では、実現しているような記事を見かけるので、
可能だとは思うのですが、自分の知識では、遠く及ばず、
教示頂けると助かります。

hiroshi
Posts: 128
Joined: Tue Mar 19, 2013 5:07 pm

Re: VPN経由でインタネット接続はProxyを通したい

Post by hiroshi » Thu Mar 27, 2014 10:54 pm

おはようございます。
検証も何もしていませんが思いついたのは下記のとおりです。


①スマホ側にProxy設定
標準ブラウザにはProxy設定が出来ないようなので
Proxy設定可能なブラウザアプリを導入する。
またはProxy設定用アプリを導入する。

②社内に透過型Proxyサーバーを構築
クライアント側のproxy設定は必要なくなると思います。

R7038XX
Posts: 13
Joined: Mon Mar 24, 2014 1:08 pm

Re: VPN経由でインタネット接続はProxyを通したい

Post by R7038XX » Fri Mar 28, 2014 11:11 am

> ②社内に透過型Proxyサーバーを構築
> クライアント側のproxy設定は必要なくなると思います。

透過型Proxyを現在構築していますが、やはり、透過に成らないようで、
LTEでアクセスしてしまいます。

構成としては、イカのようになっています。
Android -- WAN(VPN) -- Router -- PC -- WM(Proxy)

hiroshi
Posts: 128
Joined: Tue Mar 19, 2013 5:07 pm

Re: VPN経由でインタネット接続はProxyを通したい

Post by hiroshi » Fri Mar 28, 2014 12:02 pm

こんばんはー

情報が少なくてなんとも・・・
ここを確認して出来る限りの情報を開示てください。
http://www.vpnusers.com/viewtopic.php?f=15&t=2791

R7038XX
Posts: 13
Joined: Mon Mar 24, 2014 1:08 pm

Re: VPN経由でインタネット接続はProxyを通したい

Post by R7038XX » Fri Mar 28, 2014 1:29 pm

透過にならい事象にあまり関係ないような気がしますが、
イカのようになっています。

1. オペレーティングシステムの名前および CPU ビット
CentOS 6.5 x32

2. "ifconfig -a" (UNIX)
eth0 Link encap:Ethernet HWaddr xx:xxx:xx:xx:xx:xx
inet addr:192.168.0.xx Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: xxxx::xxxx:xxxx:xxxx:xxxx/64 Scope:Link
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:154 errors:0 dropped:0 overruns:0 frame:0
TX packets:103 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:26496 (25.8 KiB) TX bytes:14057 (13.7 KiB)
Interrupt:18 Base address:0x2000

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)

3. "uname -a" (UNIX)
Linux localhost.localdomain 2.6.32-431.5.1.el6.i686
#1 SMP Tue Feb 11 21:56:33 UTC 2014 i686 i686 i386 GNU/Linux

4. SoftEther VPN のビルド番号
Version 4.06 Build 9433

5. どの SoftEther VPN のコンポーネントを使用していますか?
VPN Server

6. VPN サーバーとインターネットとの間に NAT やファイアウォールデバイスはありますか?
ルータが有りますが、UDP 500、UPD 4500 は開放してあり、VPN接続できる状態です。

7. SecureNAT 機能を使用していますか?
使用していません

以上、よろしくお願い致します。

hiroshi
Posts: 128
Joined: Tue Mar 19, 2013 5:07 pm

Re: VPN経由でインタネット接続はProxyを通したい

Post by hiroshi » Sat Mar 29, 2014 10:27 am

言い方が悪くて意図があまり伝わっていないようですみません。
社内ネットワークやProxyサーバも含めた全体の情報を開示すべきとお伝えしたかった次第です。

R7038XX wrote:
> 透過にならい事象にあまり関係ないような気がしますが、
> イカのようになっています。

関係ないということはAndroid端末からVPNサーバへの接続は確認済みということですよね。
でしたら、残るは社内ネットワークの構成や透過Proxyサーバの設定に問題があると考えられ
そのことについては、冒頭にも書いたとおりここにそぐわない質問だと思います。

「目的に対して、何をどこまで、どのようにやって、現在こういう状態にある」ということを
明確に閲覧者に伝えないとヒントや解決策は得られないと思います。

既に実行済みかと思いますが、自分だったら以下の①~③で切り分けして、課題を絞り込みます。
①Android端末からVPNサーバへの接続確認
②社内ネットワーク内のクライアントPCから透過Proxyサーバ経由の外部webサーバへの接続確認
③①及び②が接続できた場合、Android端末からVPNにて透過Proxyサーバ経由の外部webサーバへの接続確認

R7038XX
Posts: 13
Joined: Mon Mar 24, 2014 1:08 pm

Re: VPN経由でインタネット接続はProxyを通したい

Post by R7038XX » Sat Mar 29, 2014 2:30 pm

必要な状況説明が足らず、ご迷惑をお掛けしております。

> ②社内ネットワーク内のクライアントPCから透過Proxyサーバ経由の外部webサーバへの接続確認
> ③①及び②が接続できた場合、Android端末からVPNにて透過Proxyサーバ経由の外部webサーバへの接続確認

②までは、確認ができていますので、
Android端末からVPNにて透過Proxyサーバ経由の外部webサーバへの接続が出来ておりません。
SoftEther側で何か設定が必要なのでしょうか?
社内からは、接続できているので、VPNかAndoridの設定が必要なのではと
考えております。

hiroshi
Posts: 128
Joined: Tue Mar 19, 2013 5:07 pm

Re: VPN経由でインタネット接続はProxyを通したい

Post by hiroshi » Sun Mar 30, 2014 9:51 am

訂正です。
①Android端末からVPNサーバへの接続確認

①Android端末からVPNによる社内ネットワークへリモートアクセスの接続確認

R7038XX
Posts: 13
Joined: Mon Mar 24, 2014 1:08 pm

Re: VPN経由でインタネット接続はProxyを通したい

Post by R7038XX » Sun Mar 30, 2014 3:23 pm

> ①Android端末からVPNによる社内ネットワークへリモートアクセスの接続確認

NASやPC等にあるFileの参照や書き込みなどは、出来ています。

hiroshi
Posts: 128
Joined: Tue Mar 19, 2013 5:07 pm

Re: VPN経由でインタネット接続はProxyを通したい

Post by hiroshi » Sun Mar 30, 2014 10:38 pm

構成がわからず的外れかも知れませんが
VPNサーバとProxyサーバは同一のCentOS上に構築していますか?
もしそのような構成の場合、Linuxの制限事項の対策が必要です。

http://ja.softether.org/4-docs/1-manual ... 9.E3.80.82

R7038XX
Posts: 13
Joined: Mon Mar 24, 2014 1:08 pm

Re: VPN経由でインタネット接続はProxyを通したい

Post by R7038XX » Mon Mar 31, 2014 2:54 pm

同一Serverに構築しています。

教えて頂いたURLの情報を読ませて頂きましたが、
いいわけですが、自身の知識量が低く理解できず、悩んでおります。

同一Serverの場合、何が問題なのでしょうか?
構成は

Android----WAN----Router----PC----WM(Softether&Proxy)

となっております。

hiroshi
Posts: 128
Joined: Tue Mar 19, 2013 5:07 pm

Re: VPN経由でインタネット接続はProxyを通したい

Post by hiroshi » Mon Mar 31, 2014 11:20 pm

かなり端折りますが、Linuxの制約によって
CentOS内部の仮想HUBに接続したVPNクライアントから
同じCentOSの内部に直接通信が出来ない。ようです。

対策の概要は
①サーバ機にローカルブリッジ用のNICを増設する。
②そのNICを既存NICと同じ社内ネットワークに接続する。
③そのNICにローカルブリッジを変更する。

イメージとしては
既存NICから入ってきたVPNクライアントからの通信を
ローカルブリッジ用NICから社内ネットワークに出してあげて
あたかも社内ネットワークのクライアントからの通信のように
既存NICから内部へ入る。
ような感じで自分は捉えています。

ググってみたら非常に分かり易いサイトを見つけました。
http://tomorrow.meyon.gonna.jp/?eid=1005115

R7038XX
Posts: 13
Joined: Mon Mar 24, 2014 1:08 pm

Re: VPN経由でインタネット接続はProxyを通したい

Post by R7038XX » Fri Apr 04, 2014 11:58 am

やはり、公衆無線LAN等の使用も検討しているとの事で
セキリティ上、社内Proxyを透過させるとの方針となりました。

教えて頂いた情報を元にeth1を0.0.0.0で追加
ローカルブリッジの設定をeth1に設定し、

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 8080
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 8080

の様に透過していますが、やはり、スマートフォンからは、
LTEで直接接続されてしまい、透過Proxyに接続されないようです。

他に確認スべき事項はありますでしょうか?
ちなみに「ESファイル」等のアプリでは社内のNAS等はアクセス出来ております。

hiroshi
Posts: 128
Joined: Tue Mar 19, 2013 5:07 pm

Re: VPN経由でインタネット接続はProxyを通したい

Post by hiroshi » Fri Apr 04, 2014 1:38 pm

こんばんは~

だめですか・・・

・VPNを含めた各ログのエラーは確認されましたか?
・社内ネットワーク上のPCは、透過Proxy経由で外部に接続できますか?
・Androidから透過Proxyを通さずにVPNにて社内ネットワークと接続した状態で外部に接続できますか?

R7038XX
Posts: 13
Joined: Mon Mar 24, 2014 1:08 pm

Re: VPN経由でインタネット接続はProxyを通したい

Post by R7038XX » Sat Apr 05, 2014 3:15 am

お世話になります。

> VPNを含めた各ログのエラーは確認されましたか?

特にErrorは出力されておりません。
そもそも、ConnectionのLogすら出力されておりません故、
直接LTEで接続になっているのだと思います。

・社内ネットワーク上のPCは、透過Proxy経由で外部に接続できますか?

問題ございません。

・Androidから透過Proxyを通さずにVPNにて社内ネットワークと接続した状態で外部に接続できますか?

どの様に確認すれば宜しいでしょうか?
現時点での状態は、
VPN経由で、社内のNAS等は参照できています。
Webやアプリは、LTEで直接接続されているようです。

以上、よろしくお願い致します。

hiroshi
Posts: 128
Joined: Tue Mar 19, 2013 5:07 pm

Re: VPN経由でインタネット接続はProxyを通したい

Post by hiroshi » Sat Apr 05, 2014 6:07 am

これまた的外れかも知れませんが^^;
VPNクライアント(Android)からの通信は透過Proxyに向いていないような気がします。
VPNクライアントのデフォルトゲートウェイはどのようになっていますか?

hiroshi
Posts: 128
Joined: Tue Mar 19, 2013 5:07 pm

Re: VPN経由でインタネット接続はProxyを通したい

Post by hiroshi » Sun Apr 06, 2014 3:00 am

R7038XX wrote:
> iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT
> --to-port 8080
> iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT
> --to-port 8080

追加したNIC(eth1)は仮想HUBから社内ネットワーク側へ「出口」にあたると思います。
Proxyへの「入り口」はeth0?ではないでしょうか?

 VPNクライアント
   ↓
 (eth0)
   ↓
 仮想HUB
   ↓
(ローカルブリッジ)
   ↓
  eth1
   ↓
 社内ネットワーク
   ↓
  eth0
   ↓
 透過Proxy


また、透過ProxyでのHTTPSについては良くわかりません。

R7038XX
Posts: 13
Joined: Mon Mar 24, 2014 1:08 pm

Re: VPN経由でインタネット接続はProxyを通したい

Post by R7038XX » Mon Apr 07, 2014 11:04 am

教えて頂いた情報ではにeth1を0.0.0.0で追加
ローカルブリッジの設定をeth1に設定するとありました。
提供して頂いた情報が間違っているということでしょうか?

ご指摘いただいた件を修正し

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 8080

としましたら、Androidからブラウザが接続出来なくなってしまいました。
ちなみに、ProxyのLogには、ConnectionLog等はありませんでした。
Logが無いということは、正しくRouting?ブリッジ?出来て居ないということでしょうか?

hiroshi
Posts: 128
Joined: Tue Mar 19, 2013 5:07 pm

Re: VPN経由でインタネット接続はProxyを通したい

Post by hiroshi » Mon Apr 07, 2014 10:48 pm

おはようございます。

iptablesのログは確認しましたか?
社内ネットワークのクライアントPCは透過Proxyを通過していますか?(ブラウザのProxy設定なしで)
クライアント側のデフォルトゲートウェイは?

情報が皆無に等しく確認のしようがありません。

ネットワーク構成図(社内ネットワーク含むすべて)
各設定内容

これらを開示しないことには時間の無駄のように思います。
手元になければ作成してください。

R7038XX
Posts: 13
Joined: Mon Mar 24, 2014 1:08 pm

Re: VPN経由でインタネット接続はProxyを通したい

Post by R7038XX » Tue Apr 08, 2014 2:34 pm

> iptablesのログは確認しましたか?

iptablesはLogを取得していません。

> 社内ネットワークのクライアントPCは透過Proxyを通過していますか?(ブラウザのProxy設定なしで)

社内ネットワークは透過Proxyを通過しています。
ProxyのLogは確認済み

> クライアント側のデフォルトゲートウェイは?

ここで指すクライアント側とは?

> ネットワーク構成図(社内ネットワーク含むすべて)

構成は以前も書きましたが
Android---Internet---Router---PC(VM上でSoftEther&透過Proxy)
です。

設定は、透過のiptables以外は特に行っていません。
SoftEtherに関しても、ほぼ初期設定でVPN接続は出来ています。
環境は、VM上でCentOS6.5を動かしSoftEtherでVPNをしています。

事象としては、社内からは透過Proxyを通過するが、
VPN経由だとProxyを通過しない。です。

dorastone
Posts: 8
Joined: Mon Dec 16, 2013 4:15 am

Re: VPN経由でインタネット接続はProxyを通したい

Post by dorastone » Tue Sep 09, 2014 9:26 am

R7038xxさんこんにちわ。

興味本位で横から失礼致します。
>>ネットワーク構成図(社内ネットワーク含むすべて)
Android---Internet---Router---PC(VM上でSoftEther&透過Proxy)

今提示頂いているネットワーク図ではちょっと情報が少ないですね。
もう少し細かく教えていただかないとわかりづらいかなと思います。


パッと気になりましたのは、

・VPNにつないだ状態でAndroidから社内の透過ProxyサーバにPingが通るか。
・VPNにつないだ状態で社内の透過Proxyを設定せずにスマホからWebページが見えるか(googleでもなんでも良いです。)
・VPNにつないだ状態でAndroidからENVCheckerを見た場合、リモートホストはどこになっているか?(携帯会社のISPか自社のISPか)
・現在Android側でProxyの設定を行っているようですが、どのような手法で(ブラウザで)設定しているか。
・Proxyのアドレスは何を設定しているのでしょうか(社内で使われているホスト名?IP直接?)
・Androidの設定でForwarding routesの設定は行っているか?(VPN経由でインターネット接続を行う場合には0.0.0.0/0を設定する必要があります。)

以上です。

Post Reply