ProxyServerに経由でのインターネットに接続できない。

SoftEther VPN に関するご質問はこのフォーラムにお気軽にご投稿ください。
Post Reply
imamurakz
Posts: 4
Joined: Thu Sep 02, 2021 4:20 am

ProxyServerに経由でのインターネットに接続できない。

Post by imamurakz » Thu Sep 02, 2021 4:28 am

構成図

Internet─Router(UTM)─10.172.160.0/24 Seg─ProxyServer
         │           (10.172.160.21)
         │
         ├─10.174.0.0/16 Seg─S.E VPN Bridge─トンネリング─S.E VPN Server─トンネリング─S.E VPN Client
         │          (10.174.0.111)     (10.174.0.10)     (10.172.0.21)
         │
         ├─10.173.0.0/16 Seg─FileServer
         │          (10.173.0.11)
         他のSeg

インターネットへの通信はProxyServer経由で行っています。
SoftEtherVPNによるL2VPNは動いており、
S.E VPN ClientからFileServerやProxyServerにはPingやSMBによるファイル共有
は正常に行われています。

上述の構成図の時、
S.E VPN Clientの端末から、
ProxyServer経由(OSのプロキシ設定でProxyServer経由に変更済み)で
ブラウジングを行う場合、インターネットに接続できません。

S.E VPN BridgeにProxyServer経由の設定を入れたら、
インターネットに接続できます。

cedar
Site Admin
Posts: 1703
Joined: Sat Mar 09, 2013 5:37 am

Re: ProxyServerに経由でのインターネットに接続できない。

Post by cedar » Thu Sep 02, 2021 10:00 am

ブラウザによっては、OS のプロキシの設定を参照しない場合もあるので、ブラウザの設定を確認してみたほうが良いかもしれません。

imamurakz
Posts: 4
Joined: Thu Sep 02, 2021 4:20 am

Re: ProxyServerに経由でのインターネットに接続できない。

Post by imamurakz » Wed Sep 08, 2021 6:16 am

インターネットへの接続は、ProxyServer経由であることが必須になっています。

cedar
Site Admin
Posts: 1703
Joined: Sat Mar 09, 2013 5:37 am

Re: ProxyServerに経由でのインターネットに接続できない。

Post by cedar » Wed Sep 08, 2021 8:53 am

はい。
なので、ブラウザのプロクシの設定を確認してみて下さい。

imamurakz
Posts: 4
Joined: Thu Sep 02, 2021 4:20 am

Re: ProxyServerに経由でのインターネットに接続できない。

Post by imamurakz » Thu Sep 09, 2021 6:51 am

ブラウザのプロクシの設定は確認済みです。

構成図を分かりやすくしました。

       Internet             
──┬───────────────┬──      
┌─┴─┐        ┌─┴─┐      
│RT-A│        │RT-B│      
└─┬─┘        └─┬─┘      
  │          │┏━━━━━┓ 
  │          ├┨Proxy   ┃ 
  │          │┗━━━━━┛ 
  │          │┏━━━━━┓ 
  │          ├┨S.E_VPN_Br┃ 
  │          │┗━━━━━┛ 
  │         ┌─┴─┐      
  │         │FW-1│      
  │         └─┬─┘      
  │          │┏━━━━━┓ 
  │           ├┨S.E_VPN_Sv┃ 
  │           │┗━━━━━┛ 
  │         ┌─┴─┐      
  │         │FW-2│      
  │         └─┬─┘      
┏━┷━━━━━┓    │        
┃クライアント    ┃    │        
┃ [S.E_VPN_Cl]┠──────┘
┗━━━━━━━┛               
                        

通常、クライアントからInternetには、ルーター「RT-A」を経由する。

しかし、ブラウザの場合、クライアント「S.E_VPN_Cl」からInternetには、
Proxyを経由してルーター「RT-B」から通信を行う。

ブラウザ以外では、Proxyやルーター「RT-B」に
Ping(10~20ms程度)で通信出来ています。
ブラウザでProxyを経由した場合にのみ、
ほぼ繋がらない、
ごくまれに繋がるときもある、
繋がるときはgoole検索は速かった、
検索先のサイトも表示できていました。

cedar
Site Admin
Posts: 1703
Joined: Sat Mar 09, 2013 5:37 am

Re: ProxyServerに経由でのインターネットに接続できない。

Post by cedar » Thu Sep 09, 2021 10:42 am

つながらないときには、どのようなエラーとなるでしょうか。
可能であれば、Web にアクセスした際に、Wireshark などで仮想 LAN カードの通信をキャプチャしてみて、Proxy への通信が正しく行われているかを確認してみて下さい。

imamurakz
Posts: 4
Joined: Thu Sep 02, 2021 4:20 am

Re: ProxyServerに経由でのインターネットに接続できない。

Post by imamurakz » Thu Sep 16, 2021 11:06 am

ブラウザからのアクセスしたときの、画面および WinSharkの画面を送ります。
You do not have the required permissions to view the files attached to this post.

cedar
Site Admin
Posts: 1703
Joined: Sat Mar 09, 2013 5:37 am

Re: ProxyServerに経由でのインターネットに接続できない。

Post by cedar » Thu Sep 16, 2021 8:38 pm

4.0464から4.128069秒の間で900バイトほどプロキシからの応答が欠落しているように見えます。

hiura
Posts: 47
Joined: Wed Mar 10, 2021 1:56 am

Re: ProxyServerに経由でのインターネットに接続できない。

Post by hiura » Mon Sep 20, 2021 11:07 am

割り込んですいません。
参考になるかどうかわかりませんが。。。

PROXY SERVERのMTUサイズのメッセージがVPN回線を通過できないのでは?。
VPN回線自体のパケットがロスト(FW-1又はFW-2で破棄された)して、結果として回線内を流れるパケットも破棄されたのではないでしょうか?。
VPN CLIENT端末からPROXY SERVER端末までの実際のMTUを求めれば、それが原因かどうかわかると思います。

VPN CLIENT端末(10.172.0.21))からPINGコマンドでPROXY SERVER端末(10.172.160.21)までのMTUサイズをしらべる。下記参照。
https://atmarkit.itmedia.co.jp/ait/arti ... ws017.html

VPN回線上ではなく、物理回線上で、pingが通る最大のデータ・サイズを求め、MTUサイズを計算する。
ping -f -l 1472 10.172.160.21 ……データ・サイズ=1472bytesでの実行例。
MTU=1472(データ・サイズ)+8(ICMPヘッダ)+20(IPヘッダ) ……データ・サイズからMTUを計算する。

注1:
PROXY SERVER=10.172.160.21
VPN CLIENT  =10.172.0.21

注2:
PROXY SERVERのMSSは1309 (WIRESHARKのCAPTUREから)。
MTU=20(IPヘッダー) +20(TCPヘッダー) +MSS =40 +1309=1349

hiura
Posts: 47
Joined: Wed Mar 10, 2021 1:56 am

Re: ProxyServerに経由でのインターネットに接続できない。

Post by hiura » Thu Sep 23, 2021 5:20 am

VPN BRIDGEの物理NICのMTU(VPN回線ではない)を変更してみたらどうでしょうか?

>S.E VPN BridgeにProxyServer経由の設定を入れたら、
>インターネットに接続できます。

とのことなので、この場合の、RT-BとVPN SERVER間のMTUを推測すると1349(WIRESHARKのCAPTUREからMSS=1309)であるので。この値のMTUならFW-1を通過できるということ。
従って、VPN BRIDGE, VPN SERVER間の物理回線のMTUも同じ値1349に設定すれば、 FW-1を通過するものと思います。

具体的には、VPN BRIDGEの物理NICのMTU(VPN回線ではない)を1349に変更する。変更後はVPN BRIDGEの再立ち上げ実施。
下記参照:
https://tomoyuki65.com/how-to-change-mt ... indows-10/


追加:
下線付きTEXTは無視してください。
VPN CLIENT端末&VPN SERVER端末間(①)、VPN BRIDGE端末&VPN SERVER端末間(②)のVPN回線はTCPとの前提で、推測していました。
①はUDP(UDP高速化機能)みたいです。②もUDPと思われます。MSS=1309(WIRESHARK CAPTURE)はUDP高速化機能が計算した値。
Last edited by hiura on Wed Sep 29, 2021 9:32 am, edited 2 times in total.

eddiewu
Posts: 148
Joined: Wed Nov 25, 2020 9:10 am

Re: ProxyServerに経由でのインターネットに接続できない。

Post by eddiewu » Thu Sep 23, 2021 6:41 am

hiura wrote:
Thu Sep 23, 2021 5:20 am
とのことなので、この場合の、RT-BとVPN SERVER間のMTUを推測すると1349(WIRESHARKのCAPTUREからMSS=1309)であるので。この値のMTUならFW-1を通過できるということ。
従って、VPN BRIDGE, VPN SERVER間の物理回線のMTUも同じ値1349に設定すれば、 FW-1を通過するものと思います。
1349はSE ServerがUDP高速化を有効にした場合仮想NICに与えるMTUです。物理回線のMTUではありません。

hiura
Posts: 47
Joined: Wed Mar 10, 2021 1:56 am

Re: ProxyServerに経由でのインターネットに接続できない。

Post by hiura » Sun Sep 26, 2021 5:30 am

>1349はSE ServerがUDP高速化を有効にした場合仮想NICに与えるMTUです。物理回線のMTUではありません。

マニュアルのどこに、書いてあるのでしょうか?

eddiewu
Posts: 148
Joined: Wed Nov 25, 2020 9:10 am

Re: ProxyServerに経由でのインターネットに接続できない。

Post by eddiewu » Sun Sep 26, 2021 6:32 am

hiura wrote:
Sun Sep 26, 2021 5:30 am
>1349はSE ServerがUDP高速化を有効にした場合仮想NICに与えるMTUです。物理回線のMTUではありません。

マニュアルのどこに、書いてあるのでしょうか?
たぶん書いてないですね。以下、UdpAccel.cからの抜粋です。

Code: Select all

// Calculate the best MSS
UINT UdpAccelCalcMss(UDP_ACCEL *a)
{
	UINT ret;

	// Validate arguments
	if (a == NULL)
	{
		return 0;
	}

	ret = MTU_FOR_PPPOE; <-- 1454 (PPPoE over L2TP)

	// IPv4
	if (a->IsIPv6)
	{
		ret -= 40;
	}
	else
	{
		ret -= 20; <-- 1434  (MTU, 以下同じ)
	}

	// UDP
	ret -= 8; <-- 1426

	if (a->PlainTextMode == false)
	{
		// IV
		ret -= UDP_ACCELERATION_PACKET_IV_SIZE_V1; <-- 1406
	}

	// Cookie
	ret -= sizeof(UINT); <-- 1402

	// My Tick
	ret -= sizeof(UINT64); <-- 1394

	// Your Tick
	ret -= sizeof(UINT64); <-- 1386

	// Size
	ret -= sizeof(USHORT); <-- 1384

	// Compress Flag
	ret -= sizeof(UCHAR); <-- 1383

	if (a->PlainTextMode == false)
	{
		// Verify
		ret -= UDP_ACCELERATION_PACKET_IV_SIZE_V1; <-- 1363
	}

	// Ethernet header (communication packets)
	ret -= 14; <-- 1349 (Tunnel MTU)

	// IPv4 Header (communication packets)
	ret -= 20;

	// TCP header (communication packet)
	ret -= 20; <-- 1309 (Tunnel MSS)

	return ret;
}

hiura
Posts: 47
Joined: Wed Mar 10, 2021 1:56 am

Re: ProxyServerに経由でのインターネットに接続できない。

Post by hiura » Wed Sep 29, 2021 2:15 am

UDP高速化機能を無効にし、VPN回線をTCPにしてみたらどうでしょうか?

・VPN BRIDGE端末, VPN SERVER端末間のVPN回線はTCPとする(UDP高速化機能を無効にする)。
・VPN CLIENT端末, VPN SERVER端末間のVPN回線はTCPとする(UDP高速化機能を無効にする)。

UDP高速化機能は再送機能がないとのこと。
viewtopic.php?f=15&t=67141

Post Reply