SecureNAT利用時に「NAT DNS セッション」が使われない、「NAT UDP/IP セッション数」を減らしたい
Posted: Tue Jun 01, 2021 5:50 am
SecureNATを設定した仮想HUBにリモートアクセスVPNとしてクライアントを接続した際、
「仮想NATルータの状況」を確認すると、UDP/IPで接続先ポートが53のNATテーブルエントリが多数表示されます。
「SecureNATの動作状況」を確認しても、「NAT DNS セッション数」は0のままであり、「NAT UDP/IP セッション数」が多い傾向にあります。
何かの設定変更などで、「NAT DNS セッション」がカウントされるようにできますでしょうか。どういった状況でカウントされる値なのでしょうか。
クエリと応答の対が判別できるDNSとして認識できれば、UDP/IP セッションの増加は抑えられるのではないかと考えています。
もちろん、NAT UDP/IPセッション数は、UDPセッションタイムアウトの設定値(デフォルト60秒)にしたがって減っていくのですが、
例えばWebブラウザなどで多数の名前解決を行うクライアントが同時に多数(数十程度)VPN接続している場合、
仮想HUBごとのNATエントリ数の上限4096に容易に達するのではないかと懸念しています。
SoftEther VPN Serverを動作させているネットワークの関係上、ローカルブリッジは使わず、SecureNATにしています。
ネットワーク構成上、仮想NATにはUDPのパケットはDNSかDHCPなどしか流さないようにしているため、
現在は暫定の対処として、UDPセッションタイムアウトを15秒にして、セッション数が減るのをはやめています。
サーバ:
CentOS 8.2 - SoftEther VPN Server 4.34, Build 9745
ほか、検証用のWindows 10 20H2でも同様
クライアント:
ChromeOS 90 - 組み込みOpenVPN
iOS 14.6 - 組み込みL2TP/IPsec
Windows 10 20H2 19042.985 - SoftEther VPN Client 4.34, Build 9745
10.211.254.254 は仮想ホストのIPアドレスです。デフォルトの 192.168.30.1 から変更していますが、この値に特に意味はありません。
「仮想NATルータの状況」を確認すると、UDP/IPで接続先ポートが53のNATテーブルエントリが多数表示されます。
「SecureNATの動作状況」を確認しても、「NAT DNS セッション数」は0のままであり、「NAT UDP/IP セッション数」が多い傾向にあります。
何かの設定変更などで、「NAT DNS セッション」がカウントされるようにできますでしょうか。どういった状況でカウントされる値なのでしょうか。
クエリと応答の対が判別できるDNSとして認識できれば、UDP/IP セッションの増加は抑えられるのではないかと考えています。
もちろん、NAT UDP/IPセッション数は、UDPセッションタイムアウトの設定値(デフォルト60秒)にしたがって減っていくのですが、
例えばWebブラウザなどで多数の名前解決を行うクライアントが同時に多数(数十程度)VPN接続している場合、
仮想HUBごとのNATエントリ数の上限4096に容易に達するのではないかと懸念しています。
SoftEther VPN Serverを動作させているネットワークの関係上、ローカルブリッジは使わず、SecureNATにしています。
ネットワーク構成上、仮想NATにはUDPのパケットはDNSかDHCPなどしか流さないようにしているため、
現在は暫定の対処として、UDPセッションタイムアウトを15秒にして、セッション数が減るのをはやめています。
サーバ:
CentOS 8.2 - SoftEther VPN Server 4.34, Build 9745
ほか、検証用のWindows 10 20H2でも同様
クライアント:
ChromeOS 90 - 組み込みOpenVPN
iOS 14.6 - 組み込みL2TP/IPsec
Windows 10 20H2 19042.985 - SoftEther VPN Client 4.34, Build 9745
10.211.254.254 は仮想ホストのIPアドレスです。デフォルトの 192.168.30.1 から変更していますが、この値に特に意味はありません。