教えてください。

SoftEther VPN に関するご質問はこのフォーラムにお気軽にご投稿ください。
Post Reply
boopop
Posts: 8
Joined: Sat Dec 05, 2020 4:00 am

教えてください。

Post by boopop » Tue Dec 08, 2020 7:53 am

SoftEther VPN ServerのVer 4.34, Build 9745を使用しています
仮想HUB1つ、リスナーは5555ポートのみ(443,992,1194は停止中)、
DDNSは ?????.softether.net を使用
ローカルブリッジは設定して、レイヤ3スイッチはなし
IPsec/L2TP、OpenVPN/MS-SSTP、VPN Azureはチェックを外してすべて無効にしています。
その他はほぼ初期設定のままです

ルーターは、ポートマッピングもしていませんしUPnP機能も使用していません

SoftEther VPN Server Managerからは
ローカルからは 192.168.0.xx でポートは5555でアクセスできます
ポート5555番以外はエラーで接続できません

ここまでは普通なのですがSoftEther VPN Server Managerで
?????.softether.net または WAN側IPアドレスでアクセスすると
ポート番号は5555番以外でも関係なくどのポートでもアクセスできてしまいます
しかも外部に公開していないのに。別の場所にあるServerにもアクセスできました。

これは正常な動作でしょうか?
外部からアクセスできないようにする方法はありますか?

cedar
Site Admin
Posts: 2066
Joined: Sat Mar 09, 2013 5:37 am

Re: 教えてください。

Post by cedar » Tue Dec 08, 2020 8:22 am

NATトラバーサル機能で接続する場合は、ポート番号の指定は無視されます。
クライアント側の接続設定で、「NAT-T無効」を指定するか、サーバーの設定ファイルで「DisableNatTraversal」を「true」にすることでNATトラバーサル機能を抑止できます。

boopop
Posts: 8
Joined: Sat Dec 05, 2020 4:00 am

Re: 教えてください。

Post by boopop » Tue Dec 08, 2020 8:57 am

ありがとうございました。

DisableNatTraversalを true に設定したら外部からのアクセスはできなくなりました

初期値が false だったので。。。怖い設定ですね

boopop
Posts: 8
Joined: Sat Dec 05, 2020 4:00 am

いっぱいレス失礼します。

Post by boopop » Thu Dec 10, 2020 4:50 am

現状は L2TP over IPsec しか使用しないようにしたので
DisableNatTraversal の値を true にして
500と4500のみポートマッピングして使用しています
仮想HUB-AでL2TP over IPsec、(仮想HUB-Bで拠点間で停止中)

ただカスケード接続を利用して拠点間VPNしようとすると
SoftEther VPN ServerのTCPポートをポートマッピングするか
DisableNatTraversal の値を false に戻すしかないと思うのですが
そうすると仮想HUB-Bへの接続だけでなく
SoftEther VPN Server Managerからサーバー管理モードでアクセスできます

話は変わりますが
softetherのDDNSを利用している場合
nslookupコマンドで適当にxxxのところに単語などを入れると
それなりにsoftetherを起動してそうなアドレスが見つかります
nslookup xxx.softether.net
さらにSoftEther VPN Server Managerの仮想HUBのカスケード接続で
ホスト名を見つけたアドレスにすると
NATトラバーサル機能が有効な場合は数秒待てば
無効な場合でもポート番号さえあえば仮想HUBが表示されると思います
(自分のにしか試してないのでわかりませんが)
集めたアドレスとポートを使えば
SoftEther VPN Server Managerからサーバー管理モードで
あとは数文字のパスワードさえわかれば
SoftEther VPN Serverへ不正アクセス可能なように思えるのですが
これを防ぐ方法はあるのでしょうか
softetherのDDNSを利用していない場合でも
SoftEther VPN Server Managerからカスケード接続のとこで
適当にホスト名を入れれば反応するかもしれませんし、
頭がいい人は自分でツールを作れるかもしれません


こんなことがありそうなので実現したいのは、わがままですが
外部からのSoftEther VPN Serverへのアクセスは仮想HUB-Bへの接続のみ
(仮想HUB-Aへは表現あってなさそうですがUDP500/4500)
SoftEther VPN Server Managerでの接続はローカルネットワークからのみ
NATトラバーサル機能は、仮想HUB-Bに対してのみ有効とか
わがまま設定があればいいんですけどサーバー全体っぽいので無理ですよね

知りたいことは
SoftEther VPN Server Managerからサーバー管理モードでアクセスは、
数文字の管理者パスワード以外にはSoftEther VPN Server側には
アクセス規制が存在しないかどうかです

よろしくお願いします。

cedar
Site Admin
Posts: 2066
Joined: Sat Mar 09, 2013 5:37 am

Re: 教えてください。

Post by cedar » Thu Dec 10, 2020 6:14 am

サーバーマネージャでの管理接続元IPアドレスは、この設定で制限することができます。

https://ja.softether.org/4-docs/1-manua ... 6.E9.99.90

boopop
Posts: 8
Joined: Sat Dec 05, 2020 4:00 am

Re: 教えてください。

Post by boopop » Thu Dec 10, 2020 7:27 am

cedarさん、ありがとうございました。

マニュアル読んで設定できました
192.168.1.*
とか
192.168.1.1-10
の範囲指定は無理でしたが
192.168.1.0/24
は大丈夫みたいでした。。。たぶん

ほかにもデメリットとかリスクがあるかを考慮して
SoftEther VPN Serverへのポートマッピングか
NATトラバーサル機能を有効にしようかと思います

お世話になりました。

Post Reply