仮想HUB 管理オプションの『deny_routing』(ルータ動作の禁止)につきまして

SoftEther VPN に関するご質問はこのフォーラムにお気軽にご投稿ください。
Post Reply
TakIchikawa
Posts: 9
Joined: Tue Feb 12, 2019 2:28 am

仮想HUB 管理オプションの『deny_routing』(ルータ動作の禁止)につきまして

Post by TakIchikawa » Thu May 06, 2021 9:57 am

こんにちわ。

仮想HUBの管理オプションに『deny_routing』(ルータ動作の禁止)というのがありますが、
これは SoftEther VPN Clientからの接続でしか有効にならないものでしょうか?

L2TPサーバー機能を有効にして Windows/Mac標準の VPNクライアント機能だけで使っているのですが、
deny_routingを1にしても、ルーティングの動作は何も変わりないような気がしています。

 
やりたいこととして
固定GlobalIPで SoftEtherを作って仮想HUBを2個作ってメンバーに公開していまして
・片方は単なる固定GlobalIPが欲しい時用
・もう一方は別拠点内部へのトンネル(拠点内部から Bridge接続)
にして使い分けてもらっているのですが、
必要がないのに拠点内部を経由してインターネットに出ていくのが多いのを制限したいのです。

そういう時に有効なオプションだと思っているのですが、
L2TP(IPsec)で使っている場合は拠点のルータ側の設定を変更して制限するしかないものでしょうかね。

cedar
Site Admin
Posts: 2066
Joined: Sat Mar 09, 2013 5:37 am

Re: 仮想HUB 管理オプションの『deny_routing』(ルータ動作の禁止)につきまして

Post by cedar » Thu May 06, 2021 10:18 am

deny_routing は VPN クライアントがルーターとして振る舞う、つまり、自身の IP アドレス以外へのトラフィックを受け取ることを制限する機能です。
VPN クライアントから別のセグメントへのアクセスを禁止したい場合は、単純にローカルブリッジなどの他のセグメントへの経路を削除するか、アクセスリスト機能でゲートウェイルーターのMACアドレスとの通信を禁止してください。

TakIchikawa
Posts: 9
Joined: Tue Feb 12, 2019 2:28 am

Re: 仮想HUB 管理オプションの『deny_routing』(ルータ動作の禁止)につきまして

Post by TakIchikawa » Fri May 07, 2021 10:56 am

アドバイスありがとうございます。
期待するものが『deny_routing』でないのはわかりました。


ただ、自分の環境はちょっと込み入ってるかもしれなくて。
固定IP(例 AWS)を持っている VPNサーバーは 仮想HUBが 3個作ってあって、一般のクライアントからは 2個が待ち受けです。(説明上 VPNsvr, VPNtun とします)
もう1個は可変のIPアドレス(例 自宅)内にある VPNBridgeからのカスケード接続の先になっていて(説明上 VPNbrg)
VPNbrg と VPNtun をローカルブリッジ設定しています。

VPNsvrに接続したときはインターネットに(例 AWS)固定IPで出ていきます。
VPNtunに接続したときは 可変のIPアドレス のネットワークの内部に入れます。
 ただしクライアントの設定がデフォルトだと、この VPNtun=VPNbrg⇒VPNBridge経由(例だと自宅経由)でインターネットに出ていくので、これを止めたいのです。


『アクセスリスト機能でゲートウェイルーターのMACアドレスとの通信を禁止』をやってみようと
VPNtunと VPNbrgのアクセスリストの管理で 送信元MACアドレス/宛先MACアドレスの組み合わせで破棄のルールをいろいろ設定してみましたが、
VPNへの接続がうまく完了しなくなるか、すべての通信が許可される(制限されない)か、いずれにしかならないようでした。
また VPNBridgeでは アクセスリストの管理 はボタンが有効にならずに使えないようなのです。

この場合、どこに気を付けて設定/見直せばよいものでしょうか?


『単純にローカルブリッジなどの他のセグメントへの経路を削除』
これは、どこで設定する想定のものでしょうか?
SoftEtherではなく VPNサーバーまたは VPNBridgeのコンソールでの OSのルーティングでしょうか?

理解が追い付いてなくて申し訳ないのですが。
もう少しアドバイスいただけると助かります。
(もしくは前提としている環境の作り方が間違っていたりしますでしょうかね?)

cedar
Site Admin
Posts: 2066
Joined: Sat Mar 09, 2013 5:37 am

Re: 仮想HUB 管理オプションの『deny_routing』(ルータ動作の禁止)につきまして

Post by cedar » Sat May 08, 2021 11:31 am

> 『単純にローカルブリッジなどの他のセグメントへの経路を削除』

これはゲートウェイルーターのあるネットワークへのローカルブリッジ削除するという想定でした。
この場合、自宅の VPN Bridge 経由で通信が行われているので、用途を考えると難しいと思います。

クライアントの仮想 LAN カードのメトリックを大きな値に設定することで、他のネットワーク接続よりもデフォルトゲートウェイの優先順位を下げる方法が良いかもしれません。

TakIchikawa
Posts: 9
Joined: Tue Feb 12, 2019 2:28 am

Re: 仮想HUB 管理オプションの『deny_routing』(ルータ動作の禁止)につきまして

Post by TakIchikawa » Mon May 10, 2021 7:19 am

ありがとうございます。
いろいろ組み合わせているため、SoftEtherの機能で制限するのは難しい構成になっているということでしょうかね。


各クライアント毎で「このVPN接続の時はデフォルトの通信を VPNに回さないよう設定してくれ」というのは本末転倒になってしまうので、
(もともとは それに気が付いていない/気にかけない各クライアントに気をつけてもらいたいがためなので)

Bridgeをしているマシン側で外部との通信を VPNサーバーとのみ通信可能にする方向で試してみようと思います。
OSレベルで制限(iptables等)するかもしくは自宅のルータ側で設定するか…
Bridge自身が Updateができるようにするために別途で HTTPの Proxy作るか、名前を引ける DNSも建てるか…
面倒なことにいっぱい引っかかる気がしますが。

ありがとうございました。

cedar
Site Admin
Posts: 2066
Joined: Sat Mar 09, 2013 5:37 am

Re: 仮想HUB 管理オプションの『deny_routing』(ルータ動作の禁止)につきまして

Post by cedar » Mon May 10, 2021 8:49 am

おそらく VPN Bridge からのカスケード接続でルーターの提供する DHCP サービスが VPN Client に届いてしまっているのが問題ではないかと思います。
カスケード接続のセキュリティポリシーでDHCPを遮断し、仮想 HUB 側でSecure NAT 機能の仮想DHCPサービスを動作させ、デフォルトゲートウェイの設定を外してIPアドレスのみを提供する設定にしてみてはいかがでしょうか。

Post Reply