Page 1 of 1

SSLプロキシ環境下での利用について

Posted: Thu Dec 07, 2017 5:55 am
by Illiya
利用しているインターネット環境は、クライアントの信頼されたルート証明機関に証明書をインストールする必要があります。
これはセキュリティ上の理由でSSLプロキシを導入しており、ネットワーク管理者がSSL通信の内容もフィルタリングする必要があるためです。

このような環境下においてsoftether vpnを使ったvpnセッションを外部と張ることは可能でしょうか?
また、管理者に見られて困るような通信はしないため、通信の内容がフィルタリングされること自体は問題ありません。プロキシサーバに個別設定を作ることは管理も煩雑になるためできれば避けたいため、投稿させて頂きます。

よろしくお願いいたします。

Re: SSLプロキシ環境下での利用について

Posted: Fri Dec 08, 2017 4:40 am
by cedar
デフォルトではサーバー証明書を検証しない設定になっているため、全く問題ありません。
また、必要であれば、信頼する認証機関の証明書を追加することも可能です。

Re: SSLプロキシ環境下での利用について

Posted: Fri Dec 08, 2017 5:56 am
by Illiya
問題なく利用できるとのこと、ご返答ありがとうございます。

現在、VPNクライアントから仮想HUBが見つからず苦戦しています。
一般のインターネット回線からAndroidで接続を試したところセッションを張ることには成功しており
最低限VPNサーバとしては機能しているようです。
また、443番ポートもVPNサーバへ向けて開けてあります。

仮想HUBが見えない原因としてはSSLプロキシが怪しいと考えていたのですが、別のところに問題があるかもしれません。
一応、softetherのサイトはWebページ閲覧規制の対象となっております。
そのため、VPNクライアントの接続設定のホスト名に「xxxx.softether.net」のドメインを利用すると仮想HUBが見つからない可能性はありますでしょうか?
今は現地に入れないため確認が取れませんが、週明けにはグローバルIPにて確認してみようと思います。

また、他に仮想HUBが一覧に出てこない原因として考えられる要因はありますでしょうか?
よろしくお願いいたします。

Re: SSLプロキシ環境下での利用について

Posted: Fri Dec 08, 2017 6:08 am
by cedar
名前解決に失敗している可能性はあると思います。
仮想HUB名は手動で指定してみて、接続エラーが何になるか確認してみるのが良いと思います。

Re: SSLプロキシ環境下での利用について

Posted: Mon Dec 11, 2017 5:29 am
by Illiya
確認しました。
結論から申し上げると、接続先がFQDNでも、グローバルIPアドレスでも、下記エラーのためつながりませんでした。

エラー(エラーコード2)
プロトコルエラーが発生しました。接続先サーバーからエラーが返されました。

こちらで確認したところ、名前解決は出来ていそうです。DNSサーバに対してnslookupで問い合わせたところ、正しいグローバルIPアドレスが帰ってきます。

Re: SSLプロキシ環境下での利用について

Posted: Mon Dec 11, 2017 6:07 am
by cedar
そのとき、サーバー側ではどのような記録となっているでしょうか。
何も記録が残っていないとすると、プロクシサーバー上で名前解決に失敗している可能性があります。

Re: SSLプロキシ環境下での利用について

Posted: Mon Dec 11, 2017 11:17 am
by Illiya
サーバ側でのログですが2回接続を試みて、以下のログが残っていました。

TCP リスナー (ポート 443) にクライアント (IP アドレス xxx.xxx.xxx.xxx, ホスト名 "xxx.xxx.xxx.xxx", ポート番号 13323) が接続しました。
クライアント (IP アドレス xxx.xxx.xxx.xxx, ホスト名 "xxx.xxx.xxx.xxx", ポート番号 13323) に対応するコネクション "CID-806" が作成されました。
コネクション "CID-806" に対する SSL 通信が開始されました。暗号化アルゴリズム名は "AES128-SHA" です。
コネクション "CID-806" は理由 "SoftEther VPN ソフトウェア以外のクライアントがポートに接続しました。" (コード 5) で終了しました。
コネクション "CID-806" が終了しました。
クライアント (IP アドレス xxx.xxx.xxx.xxx, ポート番号 13323) との間のコネクションは切断されました。


TCP リスナー (ポート 443) にクライアント (IP アドレス xxx.xxx.xxx.xxx, ホスト名 "xxx.xxx.xxx.xxx", ポート番号 26631) が接続しました。
クライアント (IP アドレス xxx.xxx.xxx.xxx, ホスト名 "xxx.xxx.xxx.xxx", ポート番号 26631) に対応するコネクション "CID-807" が作成されました。
コネクション "CID-807" に対する SSL 通信が開始されました。暗号化アルゴリズム名は "AES128-SHA" です。
コネクション "CID-807" は理由 "SoftEther VPN ソフトウェア以外のクライアントがポートに接続しました。" (コード 5) で終了しました。
コネクション "CID-807" が終了しました。
クライアント (IP アドレス xxx.xxx.xxx.xxx, ポート番号 26631) との間のコネクションは切断されました。

xxx.xxx.xxx.xxxは接続元のグローバルIPアドレスになるため、伏せてあります。
接続のたびに接続元のポートは違うようです。
上記エラー(コード5)はどのような場合に発生するか、わかりますでしょうか?

Re: SSLプロキシ環境下での利用について

Posted: Tue Dec 12, 2017 8:55 am
by cedar
SoftEther VPN プロトコル以外の HTTPS リクエストを受信した時にこのエラーが記録されます。
プロクシがSSL証明書の発行元を検査する設定になっていないでしょうか?

Re: SSLプロキシ環境下での利用について

Posted: Tue Dec 12, 2017 11:19 pm
by Illiya
検査する設定になっているものと「思われます」。
色々なソリューションが入っているため確定することは難しいですが、webページ系のウイルス対策が関係しているかもしれません。もしくは上記記載のsslプロキシあたりでしょうか、、、。
一応、上記ウイルス対策はエンドポイントにインストールされたいるわけではなく、アプライアンスの製品のサーバを置いています。

証明書の検査が入る場合はクライアント側のシステムに手を入れることなくsoftether vpnを使った運用は難しいでしょうか?

Re: SSLプロキシ環境下での利用について

Posted: Tue Dec 12, 2017 11:26 pm
by cedar
VPNサーバーのサーバー証明書を、プロクシが信頼する認証局の発行したものに差し替えれば接続できるかもしれません。
まずは、失敗の原因を確定するため、プロクシのログを確認してみるのが良いと思います。