MS-SSTPで仮想HUBを指定してのログインのみ、下記エラーで即時失敗します。
「リモートコンピューターへの接続を確立できなかったので、この接続に使われたポートは閉じています。」
仮想HUBを付与(@、¥どちらも試行済み)せず、ID/PASSのみ入力してデフォルトの仮想HUBに
着信させる場合は問題ありません。
あくまで、MS-SSTPで明示的に仮想HUBを指定しようとしたときのみ失敗します。
着信させたい仮想HUBは複数種類あり、現在はSoftEtherクライアントで設定を分けているのですが、
こちらは問題ありません。スマホから「ユーザー名@仮想HUB」指定でも問題ありません。
何か設定不備が考えられますでしょうか。
追記:VPN着信にはVPN Azureを使用しています。
MS-SSTPで仮想HUBを指定してのログイン失敗
-
cedar
- Site Admin
- Posts: 2081
- Joined: Sat Mar 09, 2013 5:37 am
Re: MS-SSTPで仮想HUBを指定してのログイン失敗
VPN Azure ではリスナーの設定に関係なく、VPN クライアントの接続先のポート番号は 443 に設定する必要がありますが、そのようになっているでしょうか。
-
paopaocafe2
- Posts: 32
- Joined: Sun Aug 08, 2021 2:25 pm
Re: MS-SSTPで仮想HUBを指定してのログイン失敗
SoftEtherのリッスンポートも念のため443にしてあります。
VPNクライアント(MS-SSTP)側ですが、接続先FQDNの後ろに「:443」を付与してみましたが
結果は変わらずでした。
〇:ユーザー名、パスワード のみ入力(仮想HUBはデフォルトが選出)
×:ユーザー名@仮想HUB名、パスワード 入力
同一の接続設定で、上記を試行しています。
VPNクライアント(MS-SSTP)側ですが、接続先FQDNの後ろに「:443」を付与してみましたが
結果は変わらずでした。
〇:ユーザー名、パスワード のみ入力(仮想HUBはデフォルトが選出)
×:ユーザー名@仮想HUB名、パスワード 入力
同一の接続設定で、上記を試行しています。
-
cedar
- Site Admin
- Posts: 2081
- Joined: Sat Mar 09, 2013 5:37 am
Re: MS-SSTPで仮想HUBを指定してのログイン失敗
サーバー側のログには何かヒントになる情報は記録されていないでしょうか。
-
paopaocafe2
- Posts: 32
- Joined: Sun Aug 08, 2021 2:25 pm
Re: MS-SSTPで仮想HUBを指定してのログイン失敗
他の通信は一切せず、ログで分かったことは
・ログは「server_log/vpn」しかファイル生成されていない
(security_log/v仮想HUBは生成されない)
・「server_log/vpn」の内容は以下のとおり
2024-01-06 00:17:00.745 TCP リスナー (ポート 0) にクライアント (IP アドレス 118.104.100.162, ホスト名 "118-104-100-162.area6b.commufa.jp", ポート番号 64283) が接続しました。
2024-01-06 00:17:00.745 クライアント (IP アドレス 118.104.100.162, ホスト名 "118-104-100-162.area6b.commufa.jp", ポート番号 64283) に対応するコネクション "CID-137-052ABCD4B8" が作成されました。
2024-01-06 00:17:00.745 コネクション "CID-137-052ABCD4B8" に対する SSL 通信が開始されました。暗号化アルゴリズム名は "TLS_AES_256_GCM_SHA384" です。
2024-01-06 00:17:11.021 コネクション "CID-137-052ABCD4B8" は理由 "接続が切断されました。" (コード 3) で終了しました。
2024-01-06 00:17:11.021 コネクション "CID-137-052ABCD4B8" が終了しました。
2024-01-06 00:17:11.021 クライアント (IP アドレス 118.104.100.162, ポート番号 64283) との間のコネクションは切断されました。
接続試行後、上記以外のログ情報は存在しておらず、ヒントとなる情報は見受けられませんでした。
クライアント側からすると、まさに瞬間的即時にアラート表示されます。(認証や確立にかかる時間は無いように見える)
これらの情報から、何か分かりそうでしょうか。
・ログは「server_log/vpn」しかファイル生成されていない
(security_log/v仮想HUBは生成されない)
・「server_log/vpn」の内容は以下のとおり
2024-01-06 00:17:00.745 TCP リスナー (ポート 0) にクライアント (IP アドレス 118.104.100.162, ホスト名 "118-104-100-162.area6b.commufa.jp", ポート番号 64283) が接続しました。
2024-01-06 00:17:00.745 クライアント (IP アドレス 118.104.100.162, ホスト名 "118-104-100-162.area6b.commufa.jp", ポート番号 64283) に対応するコネクション "CID-137-052ABCD4B8" が作成されました。
2024-01-06 00:17:00.745 コネクション "CID-137-052ABCD4B8" に対する SSL 通信が開始されました。暗号化アルゴリズム名は "TLS_AES_256_GCM_SHA384" です。
2024-01-06 00:17:11.021 コネクション "CID-137-052ABCD4B8" は理由 "接続が切断されました。" (コード 3) で終了しました。
2024-01-06 00:17:11.021 コネクション "CID-137-052ABCD4B8" が終了しました。
2024-01-06 00:17:11.021 クライアント (IP アドレス 118.104.100.162, ポート番号 64283) との間のコネクションは切断されました。
接続試行後、上記以外のログ情報は存在しておらず、ヒントとなる情報は見受けられませんでした。
クライアント側からすると、まさに瞬間的即時にアラート表示されます。(認証や確立にかかる時間は無いように見える)
これらの情報から、何か分かりそうでしょうか。
-
cedar
- Site Admin
- Posts: 2081
- Joined: Sat Mar 09, 2013 5:37 am
Re: MS-SSTPで仮想HUBを指定してのログイン失敗
見たことがない症例です。
サーバー側でエラーを返した記録がないので、サーバーから送られた情報をクライアント側で解釈できず、クライアント側から切断処理が行われたように見えます。(あるいは、VPN Azure クラウド側のエラーかもしれません。)
ただ、ユーザー名の指定によって、仮想 HUB 選択までの応答が変わる部分にも思い当たりません。
サーバー側でエラーを返した記録がないので、サーバーから送られた情報をクライアント側で解釈できず、クライアント側から切断処理が行われたように見えます。(あるいは、VPN Azure クラウド側のエラーかもしれません。)
ただ、ユーザー名の指定によって、仮想 HUB 選択までの応答が変わる部分にも思い当たりません。
-
paopaocafe2
- Posts: 32
- Joined: Sun Aug 08, 2021 2:25 pm
Re: MS-SSTPで仮想HUBを指定してのログイン失敗
仮想HUBを指定せず、ID/PASSのみの場合はログインできているので
関係ないかも知れませんが、クラアイント側にSoftEtherの証明書を
インストールする必要はありますでしょうか?
公式ドキュメントではそのような記載は見当たらなかったので。。。
MS-SSTPはSoftEther以外で使用したことがなく、証明書インストールが
暗黙で必須なのか、SoftEtherのエミュレート機能の場合は不要なのか
分かりません。
関係ないかも知れませんが、クラアイント側にSoftEtherの証明書を
インストールする必要はありますでしょうか?
公式ドキュメントではそのような記載は見当たらなかったので。。。
MS-SSTPはSoftEther以外で使用したことがなく、証明書インストールが
暗黙で必須なのか、SoftEtherのエミュレート機能の場合は不要なのか
分かりません。
-
cedar
- Site Admin
- Posts: 2081
- Joined: Sat Mar 09, 2013 5:37 am
Re: MS-SSTPで仮想HUBを指定してのログイン失敗
SoftEther VPN Server に SSTP クライアントから直接接続する場合には、接続の際に指定するドメインの証明書をサーバーに設定して、それをクライアントにインポートする必要があります。
しかし、VPN Azure クラウドサービスでは、VPN サーバーの証明書は使用せず、クラウドサービス側で一般的なクライアントが信頼する認証局の発行するワイルドーカード証明書を提示しているので、クライアントに個別の証明書を登録しておく必要がないことが長所です。
しかし、VPN Azure クラウドサービスでは、VPN サーバーの証明書は使用せず、クラウドサービス側で一般的なクライアントが信頼する認証局の発行するワイルドーカード証明書を提示しているので、クライアントに個別の証明書を登録しておく必要がないことが長所です。
-
paopaocafe2
- Posts: 32
- Joined: Sun Aug 08, 2021 2:25 pm
Re: MS-SSTPで仮想HUBを指定してのログイン失敗
ユーザーの簡便性からしても、VPN Azureは魅力的ですね。
問題の件、別の筐体で新たにSoftether VPNを立て、別のWAN回線にしても、1NIC/2NIC構成問わず
同じ結果となりました。(相変わらずユーザー名に仮想HUBを明示的に指名した場合のみ即切断発生)
@や¥で文字列連結するユーザー名が、MS-SSTP的にNGなのでしょうか。。。
VPNクライアント自身が切断処理していることから見ても、認証以前の問題のように思えます。
問題の件、別の筐体で新たにSoftether VPNを立て、別のWAN回線にしても、1NIC/2NIC構成問わず
同じ結果となりました。(相変わらずユーザー名に仮想HUBを明示的に指名した場合のみ即切断発生)
@や¥で文字列連結するユーザー名が、MS-SSTP的にNGなのでしょうか。。。
VPNクライアント自身が切断処理していることから見ても、認証以前の問題のように思えます。
-
paopaocafe2
- Posts: 32
- Joined: Sun Aug 08, 2021 2:25 pm
Re: MS-SSTPで仮想HUBを指定してのログイン失敗
興味深いことが分かりました。
今まで、接続情報を設定する際、ユーザー名とパスワードを都度入力(保存しない)して
いました。この場合、ユーザー名に仮想HUBを指定するとNG、仮想HUBを指定しないとOK
でした。(ただし、仮想HUBはデフォルトに固定される)
たまたま、ユーザー名とパスワードを保存して、ユーザー名に仮想HUBを指定するとOKに
なりました。もちろん、仮想HUBを指定しなくてもOKです。
都度入力の要否はさておき、結果としてサインイン情報を保存しておけば、仮想HUB指定でも
問題なさそうです。
都度入力の際は、MS-SSTPの文字列引き渡しのシーケンスやロジックに差があるのかも知れません。
今まで、接続情報を設定する際、ユーザー名とパスワードを都度入力(保存しない)して
いました。この場合、ユーザー名に仮想HUBを指定するとNG、仮想HUBを指定しないとOK
でした。(ただし、仮想HUBはデフォルトに固定される)
たまたま、ユーザー名とパスワードを保存して、ユーザー名に仮想HUBを指定するとOKに
なりました。もちろん、仮想HUBを指定しなくてもOKです。
都度入力の要否はさておき、結果としてサインイン情報を保存しておけば、仮想HUB指定でも
問題なさそうです。
都度入力の際は、MS-SSTPの文字列引き渡しのシーケンスやロジックに差があるのかも知れません。