SoftEther VPN User Forum

SoftEther VPN User Forum
https://forum.softether.org/

教えてください。

https://forum.softether.org/viewtopic.php?f=15&t=66444

Page 1 of 1

教えてください。

Posted: Tue Dec 08, 2020 7:53 am
by boopop
SoftEther VPN ServerのVer 4.34, Build 9745を使用しています
仮想HUB1つ、リスナーは5555ポートのみ(443,992,1194は停止中)、
DDNSは ?????.softether.net を使用
ローカルブリッジは設定して、レイヤ3スイッチはなし
IPsec/L2TP、OpenVPN/MS-SSTP、VPN Azureはチェックを外してすべて無効にしています。
その他はほぼ初期設定のままです

ルーターは、ポートマッピングもしていませんしUPnP機能も使用していません

SoftEther VPN Server Managerからは
ローカルからは 192.168.0.xx でポートは5555でアクセスできます
ポート5555番以外はエラーで接続できません

ここまでは普通なのですがSoftEther VPN Server Managerで
?????.softether.net または WAN側IPアドレスでアクセスすると
ポート番号は5555番以外でも関係なくどのポートでもアクセスできてしまいます
しかも外部に公開していないのに。別の場所にあるServerにもアクセスできました。

これは正常な動作でしょうか?
外部からアクセスできないようにする方法はありますか?

Re: 教えてください。

Posted: Tue Dec 08, 2020 8:22 am
by cedar
NATトラバーサル機能で接続する場合は、ポート番号の指定は無視されます。
クライアント側の接続設定で、「NAT-T無効」を指定するか、サーバーの設定ファイルで「DisableNatTraversal」を「true」にすることでNATトラバーサル機能を抑止できます。

Re: 教えてください。

Posted: Tue Dec 08, 2020 8:57 am
by boopop
ありがとうございました。

DisableNatTraversalを true に設定したら外部からのアクセスはできなくなりました

初期値が false だったので。。。怖い設定ですね

いっぱいレス失礼します。

Posted: Thu Dec 10, 2020 4:50 am
by boopop
現状は L2TP over IPsec しか使用しないようにしたので
DisableNatTraversal の値を true にして
500と4500のみポートマッピングして使用しています
仮想HUB-AでL2TP over IPsec、(仮想HUB-Bで拠点間で停止中)

ただカスケード接続を利用して拠点間VPNしようとすると
SoftEther VPN ServerのTCPポートをポートマッピングするか
DisableNatTraversal の値を false に戻すしかないと思うのですが
そうすると仮想HUB-Bへの接続だけでなく
SoftEther VPN Server Managerからサーバー管理モードでアクセスできます

話は変わりますが
softetherのDDNSを利用している場合
nslookupコマンドで適当にxxxのところに単語などを入れると
それなりにsoftetherを起動してそうなアドレスが見つかります
nslookup xxx.softether.net
さらにSoftEther VPN Server Managerの仮想HUBのカスケード接続で
ホスト名を見つけたアドレスにすると
NATトラバーサル機能が有効な場合は数秒待てば
無効な場合でもポート番号さえあえば仮想HUBが表示されると思います
(自分のにしか試してないのでわかりませんが)
集めたアドレスとポートを使えば
SoftEther VPN Server Managerからサーバー管理モードで
あとは数文字のパスワードさえわかれば
SoftEther VPN Serverへ不正アクセス可能なように思えるのですが
これを防ぐ方法はあるのでしょうか
softetherのDDNSを利用していない場合でも
SoftEther VPN Server Managerからカスケード接続のとこで
適当にホスト名を入れれば反応するかもしれませんし、
頭がいい人は自分でツールを作れるかもしれません


こんなことがありそうなので実現したいのは、わがままですが
外部からのSoftEther VPN Serverへのアクセスは仮想HUB-Bへの接続のみ
(仮想HUB-Aへは表現あってなさそうですがUDP500/4500)
SoftEther VPN Server Managerでの接続はローカルネットワークからのみ
NATトラバーサル機能は、仮想HUB-Bに対してのみ有効とか
わがまま設定があればいいんですけどサーバー全体っぽいので無理ですよね

知りたいことは
SoftEther VPN Server Managerからサーバー管理モードでアクセスは、
数文字の管理者パスワード以外にはSoftEther VPN Server側には
アクセス規制が存在しないかどうかです

よろしくお願いします。

Re: 教えてください。

Posted: Thu Dec 10, 2020 6:14 am
by cedar
サーバーマネージャでの管理接続元IPアドレスは、この設定で制限することができます。

https://ja.softether.org/4-docs/1-manua ... 6.E9.99.90

Re: 教えてください。

Posted: Thu Dec 10, 2020 7:27 am
by boopop
cedarさん、ありがとうございました。

マニュアル読んで設定できました
192.168.1.*
とか
192.168.1.1-10
の範囲指定は無理でしたが
192.168.1.0/24
は大丈夫みたいでした。。。たぶん

ほかにもデメリットとかリスクがあるかを考慮して
SoftEther VPN Serverへのポートマッピングか
NATトラバーサル機能を有効にしようかと思います

お世話になりました。
All times are UTC
Page 1 of 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/