拠点間VPNで、Server(拠点A)とVPN Server(拠点B)をIPV6でカスケードで接続後、VPN Server(拠点A)用PC1を物理LANへつないだ場合、仮想HUBカスケード接続のセキュリティポリシーが機能しない。

SoftEther VPN に関するご質問はこのフォーラムにお気軽にご投稿ください。
Post Reply
hiura
Posts: 28
Joined: Wed Mar 10, 2021 1:56 am

拠点間VPNで、Server(拠点A)とVPN Server(拠点B)をIPV6でカスケードで接続後、VPN Server(拠点A)用PC1を物理LANへつないだ場合、仮想HUBカスケード接続のセキュリティポリシーが機能しない。

Post by hiura » Fri Jun 18, 2021 1:06 pm

仮想HUBカスケード接続のセキュリティポリシー「IPV6ルータ広告からデフォルトルータ指定を削除」が適用されない。

マニュアル
https://ja.softether.org/4-docs/1-manual/3/3.4

カスケード接続に関連付けるセキュリティポリシー
カスケード接続を受ける側の仮想 HUB で、そのカスケード接続を経由して入ってくる仮想 Ethernet フレーム(①)に対してセキュリティポリシーを適用したい場合は、そのカスケード接続のために使用する「ユーザー」に対して希望するセキュリティポリシーの設定を行ってください。
カスケード接続を行う側の仮想 HUB で、そのカスケード接続を経由して入ってくる仮想 Ethernet フレーム(②)に対してセキュリティポリシーを適用したい場合は、そのカスケード接続の接続設定画面で [セキュリティポリシー] ボタンをクリックしてセキュリティポリシーを設定してください。


マニュアルから、フレームとセキュリティポリシーの関係は以下の通りであると理解しています。

Code: Select all

A-----LAN_A-----仮想HUB_A-------IPV6カスケード接続を行う側------->IPV6カスケード接続を受ける側---------仮想HUB_B-----LAN_B-----B

                ---------------------------------仮想 Ethernet フレーム(①)----------------------->仮想HUB_B入力時適用
                仮想HUB_A入力時適用<--------------仮想 Ethernet フレーム(②)------------------------
仮想HUB_Bが①のフレームを受信時、仮想HUB_Bでユーザのセキュリティポリシーが適用される。
仮想HUB_Aが②のフレームを受信時、仮想HUB_Aでカスケード接続の接続設定画面のセキュリティポリシーが適用される。


-----------------------------------------------------------------------------------------------------------------------------
テスト結果
仮想HUB_A,仮想HUB_B間をIPV6でカスケード接続し、
仮想HUB_Aのカスケード接続の接続設定画面のセキュリティポリシーの「IPV6ルータ広告からデフォルトルータ指定を削除」を有効に設定しても
USB ETHERNET ADAPTER 2にIPV6デフォルトGWが設定される!。なぜ?。
ルータはB側にあり、IPV6のROUTER ADVERTISEMENTはB側からA側へ伝送されるので仮想 Ethernet フレーム(②)に該当するので、
カスケード接続の接続設定画面のセキュリティポリシーが適用されると予想されるが、実際は適用されない。
-----------------------------------------------------------------------------------------------------------------------------
セキュリティポリシー設定等は以下の通り

・仮想HUB_Bの拡張オプション
NoIPv6DefaultRouterInRAWhenIPv6=0

・仮想HUB_Aのカスケード接続の接続設定画面のセキュリティポリシー
IPV6ルータ広告からデフォルトルータ指定を削除:有効

・仮想HUB_Bのユーザのセキュリティポリシー
IPV6ルータ広告からデフォルトルータ指定を削除:ー
-----------------------------------------------------------------------------------------------------------------------------

Code: Select all

テスト用物理ネットワーク構成図
		    |  
ONU-----BL900HW-----|-----PC1:VPN SERVER /WIN10 PRO
                    |          |  |LOCAL BRIDGE         物理LAN(リピータHUB)
                    |          |  |USB ETHERNET ADAPTER 1   |
                    |          |  --------------------------|-----PC3:VISTA
                    |          -----------------------------|
                    |              USB ETHERNET ADAPTER 2   |
                    |
                    |                                   物理LAN
                    |                                   |
                    |-----WX3000HP(ルータ、DHCPサーバ)------|-----PC2:VPN SERVER /WIN10 HOME
                    |                                      |LOCAL BRIDGE

Code: Select all

テスト用論理ネットワーク構成図
                        拠点A                                         拠点B
                        PC1:VPN SERVER                                PC2:VPN SERVER 

			仮想HUB  IPV6 CASCADE接続 +++++++++++++++++++++> 仮想HUB
	               	    |                                                |
            物理LAN    	    |ローカルブリッジ                                 |ローカルブリッジ
                |           |                                                |
      PC3-------|-----	USB ETHERNET ADAPTER 1             	       ETHERNET ADAPTER
                |                                                            |
		|-----	USB ETHERNET ADAPTER 2                        -------------物理LAN
                |      (IPV6デフォルトGWが設定される!)                       |
                |                                                      WX3000HP(ルータ、DHCPサーバ)
拠点A:
PC1:VPN Server (VER4.34 BUILD9745)in WIN10 PRO
ローカルブリッジ設定(ブリッジ先ETHERNET デバイスは別のUSB ETHERNET ADAPTER 1)
拠点A-->拠点BのVPN ServerにIPV6でカスケード接続
物理LAN上にPC3:VISTA有
PC1:USB ETHERNET ADAPTER 1 をWIRESHARKでキャプチャー

拠点B:
PC2:VPN Server (VER4.34 BUILD9745)in WIN10 HOME
ローカルブリッジ設定(ブリッジ先ETHERNET デバイスは同一のETHERNET ADAPTER)
物理LAN上にDHCPサーバ有
PC2:ETHERNET ADAPTER をWIRESHARKでキャプチャー

USB ETHERNET ADAPTER 1(BUFFALO:LUA4-U3-AGTE-WH)
USB ETHERNET ADAPTER 2(BUFFALO:LUA3-U2-ATX)

BL900HW設定:
BL900HW/IPV6アドレス配布[RA:プレフィックス配布 DHCPv6:プレフィックス/IPv6アドレス配布]
BL900HW/IPV4アドレス配布[DHCPサーバ機能:使用する,IPアドレス/ネットマスク:192.168.0.1/ 24]

WX3000HP設定:
WX3000HP/動作モード[ローカルルータ]
WX3000HP/IPV6アドレス配布[DHCPv6サーバ機能:使用する(Stateless)]
WX3000HP/IPV4アドレス配布[DHCPサーバ機能:ON,リースタイム(時間):0,DHCP割当アドレス:192.168.10.101 - 192.168.10.200]
WX3000HP/ポート開放[IPV4:NAT/TCP443ポート,IPV6:パケットフィルタ/TCP443ポート通過]
Last edited by hiura on Mon Jul 12, 2021 3:31 am, edited 4 times in total.

cedar
Site Admin
Posts: 1610
Joined: Sat Mar 09, 2013 5:37 am

Re: 拠点間をVPN Server(拠点A)とVPN Server(拠点B)で構築時、VPN Server(拠点A)用PC1を物理LANへつないだ場合、仮想HUBカスケード接続のセキュリティポリシーが機能しない。

Post by cedar » Tue Jun 22, 2021 9:32 am

NoIPv6DefaultRouterInRAWhenIPv6 仮想 HUB オプションおよびセキュリティポリシーは、IPv6 のデフォルトルータが VPN 経由で取得された際に VPN セッションが切れてしまう問題を回避するための設定なので、IPv4 で接続されているセッションでは無視されるようです。

hiura
Posts: 28
Joined: Wed Mar 10, 2021 1:56 am

Re: 拠点間をVPN Server(拠点A)とVPN Server(拠点B)で構築時、VPN Server(拠点A)用PC1を物理LANへつないだ場合、仮想HUBカスケード接続のセキュリティポリシーが機能しない。

Post by hiura » Fri Jul 02, 2021 1:05 am

>NoIPv6DefaultRouterInRAWhenIPv6 仮想 HUB オプションおよびセキュリティポリシーは、IPv6 のデフォルトルータが VPN 経由で取得された際に VPN セッションが切れてしまう問題を回避するための設定なので、IPv4 で接続されているセッションでは無視されるようです。
理解しました。

本件はIPV6でカスケード接続しています。
テスト結果から言えることは、IPV6 デフォルトGWが削除されるか、されないかは、
仮想HUB_Bのユーザのセキュリティポリシーの「IPV6ルータ広告からデフォルトルータ指定を削除」の設定値で決まる。ケース1、ケース2。
仮想HUB_Aのカスケード接続のセキュリティポリシーの「IPV6ルータ広告からデフォルトルータ指定を削除」の設定値は意味無し。ケース3。
マニュアルと違うのでは?

Code: Select all

----------------------------------------------------------------------------------------------------------------------------------
                                                  ケース1  ケース2  ケース3
----------------------------------------------------------------------------------------------------------------------------------                                                                                
設定①・仮想HUB_Bの拡張オプション/NoIPv6DefaultRouterInRAWhenIPv6                  :0        :0         :0
設定②・仮想HUB_Bのユーザのセキュリティポリシー/IPV6ルータ広告からデフォルトルータ指定を削除     :ー       :有効      :ー
設定③・仮想HUB_Aのカスケード接続のセキュリティポリシー/IPV6ルータ広告からデフォルトルータ指定を削除 :ー       :ー        :有効
----------------------------------------------------------------------------------------------------------------------------------
テスト結果 ・IPV6 デフォルトGW 削除された(〇) 削除されない(X)                   :X       :〇        :X
----------------------------------------------------------------------------------------------------------------------------------

無加工のRAフレームが仮想HUB_Aまで届いていると思われる状態(ケース1)でカスケードポリシ有効にしても(ケース3)、なんの影響もない。

cedar
Site Admin
Posts: 1610
Joined: Sat Mar 09, 2013 5:37 am

Re: 拠点間VPNで、Server(拠点A)とVPN Server(拠点B)をIPV6でカスケードで接続後、VPN Server(拠点A)用PC1を物理LANへつないだ場合、仮想HUBカスケード接続のセキュリティポリシーが機能しない。

Post by cedar » Tue Jul 06, 2021 7:06 am

確かにコード上では下記のようにポリシーが設定されたセッションに渡されるパケットがフィルタ処理されているようです。

if (dest_session->Policy->NoIPv6DefaultRouterInRA ||
(dest_session->Policy->NoIPv6DefaultRouterInRAWhenIPv6 && dest_session->IPv6Session) ||
(hub->Option->NoIPv6DefaultRouterInRAWhenIPv6 && dest_session->IPv6Session))
{
DeleteIPv6DefaultRouterInRA(packet);
}

https://github.com/SoftEtherVPN/SoftEth ... ub.c#L4744

cedar
Site Admin
Posts: 1610
Joined: Sat Mar 09, 2013 5:37 am

Re: 拠点間VPNで、Server(拠点A)とVPN Server(拠点B)をIPV6でカスケードで接続後、VPN Server(拠点A)用PC1を物理LANへつないだ場合、仮想HUBカスケード接続のセキュリティポリシーが機能しない。

Post by cedar » Tue Jul 06, 2021 7:11 am

ポリシーの説明では、下記のように正しく書かれているようなので、マニュアルの方に注意書きが必要ですね。
このポリシーが設定されているセッションに対して、仮想 HUB の他のセッションの IPv6 ルータが発信する IPv6 ルータ広告メッセージのルータ有効期間の値が 0 以外の数値の場合、この値を強制的に 0 に書き換えて伝送します。これにより、VPN クライアントコンピュータが VPN 接続した先のネットワークに存在するルータをデフォルトルータとして利用することにより物理的な IPv6 通信が途切れてしまう誤作動を防止することができます。

hiura
Posts: 28
Joined: Wed Mar 10, 2021 1:56 am

Re: 拠点間VPNで、Server(拠点A)とVPN Server(拠点B)をIPV6でカスケードで接続後、VPN Server(拠点A)用PC1を物理LANへつないだ場合、仮想HUBカスケード接続のセキュリティポリシーが機能しない。

Post by hiura » Sun Jul 11, 2021 8:38 am

>確かにコード上では下記のようにポリシーが設定されたセッションに渡されるパケットがフィルタ処理されているようです。
ポリシーが設定されたセッションにパケットを出力時(入力時ではない)、フィルタ処理されるのは理解しました。

IPV6の場合はデフォルトルータ指定を削除する機能があるのに、
IPV4の場合はデフォルトルータ指定を削除する機能がないようですが、何か理由はあるのでしょうか?

eddiewu
Posts: 81
Joined: Wed Nov 25, 2020 9:10 am

Re: 拠点間VPNで、Server(拠点A)とVPN Server(拠点B)をIPV6でカスケードで接続後、VPN Server(拠点A)用PC1を物理LANへつないだ場合、仮想HUBカスケード接続のセキュリティポリシーが機能しない。

Post by eddiewu » Sun Jul 11, 2021 8:57 am

現在のSoftether Windowsクライアントでは、IPv4のルーティング調整はしていますが、IPv6ルートは調整しないです。なのでIPv6で接続した場合、デフォルトゲートウェイによって本来の接続が切断されてしまう恐れがあります。
cedar様、ご補足があればお願いします。

hiura
Posts: 28
Joined: Wed Mar 10, 2021 1:56 am

Re: 拠点間VPNで、Server(拠点A)とVPN Server(拠点B)をIPV6でカスケードで接続後、VPN Server(拠点A)用PC1を物理LANへつないだ場合、仮想HUBカスケード接続のセキュリティポリシーが機能しない。

Post by hiura » Tue Jul 13, 2021 3:50 am

デフォルトルータ指定を削除する機能をまとめると、以下の通りであると認識しています。

テスト結果:
1.PC1のUSB ETHERNET ADAPTER 2 に適用する場合(VPN SERVER実行端末):
IPV6の場合はデフォルトルータ指定を削除する機能がある。設定①仮想HUB_Bユーザのセキュリティポリシー/NoIPv6DefaultRouterInRA、仮想HUB_Bの拡張オプション/NoIPv6DefaultRouterInRAWhenIPv6
IPV4の場合はデフォルトルータ指定を削除する機能がある。設定②仮想HUB_Aの拡張オプション/RemoveDefGwOnDhcpForLocalhost

2.PC3のETHERNET ADAPTERに適用する場合(VPN SOFTWAREをインストールしていない端末):
IPV6の場合はデフォルトルータ指定を削除する機能がある。設定①と共通で個別には設定できない。
IPV4の場合はデフォルトルータ指定を削除する機能がないようですが、何か理由はあるのでしょうか?

仕様(考え方)?:
1.PC1のSOFTETHER SOFTWAREが実行されている端末に対しては、払い出し制御は行う。ゆえに、IPV4&IPV6デフォルトルータ削除機能はある。
2.PC3のSOFTETHER SOFTWAREがインストールされていない端末に対しては、払い出し制御は行わない。パススルーさせる。ゆえに、IPV4&IPV6デフォルトルータ削除機能はない。

VPN SOFTWAREをインストールしていない端末に、IPV6デフォルトルータ削除機能があるように見えるのは、
IPV6 RAはマルチキャスト宛で発信しているため、個別に設定できるようにできなかった為である?。
Last edited by hiura on Sat Jul 17, 2021 9:24 am, edited 1 time in total.

cedar
Site Admin
Posts: 1610
Joined: Sat Mar 09, 2013 5:37 am

Re: 拠点間VPNで、Server(拠点A)とVPN Server(拠点B)をIPV6でカスケードで接続後、VPN Server(拠点A)用PC1を物理LANへつないだ場合、仮想HUBカスケード接続のセキュリティポリシーが機能しない。

Post by cedar » Wed Jul 14, 2021 11:02 am

この掲示板には作者は滅多に書き込まないので、仕様の意図については回答は得られないと思います。

hiura
Posts: 28
Joined: Wed Mar 10, 2021 1:56 am

Re: 拠点間VPNで、Server(拠点A)とVPN Server(拠点B)をIPV6でカスケードで接続後、VPN Server(拠点A)用PC1を物理LANへつないだ場合、仮想HUBカスケード接続のセキュリティポリシーが機能しない。

Post by hiura » Sat Jul 17, 2021 9:30 am

>この掲示板には作者は滅多に書き込まないので、仕様の意図については回答は得られないと思います。
理解しました。

仕様を確認します。あとは自分で判断します。
2.PC3のETHERNET ADAPTERに適用する場合(VPN SOFTWAREをインストールしていない端末):
「IPV4の場合はデフォルトルータ指定を削除する機能がない」は正しいですか?/間違いですか?

よろしくお願いします。

cedar
Site Admin
Posts: 1610
Joined: Sat Mar 09, 2013 5:37 am

Re: 拠点間VPNで、Server(拠点A)とVPN Server(拠点B)をIPV6でカスケードで接続後、VPN Server(拠点A)用PC1を物理LANへつないだ場合、仮想HUBカスケード接続のセキュリティポリシーが機能しない。

Post by cedar » Tue Jul 20, 2021 4:47 am

DHCPv4応答を通しつつ、デフォルトゲートウェイ設定だけを削除する機能は無いのではないかと思います。

Post Reply