L2TP接続時のMACアドレスとIPアドレス固定化

SoftEther VPN に関するご質問はこのフォーラムにお気軽にご投稿ください。
Post Reply
paopaocafe2
Posts: 32
Joined: Sun Aug 08, 2021 2:25 pm

L2TP接続時のMACアドレスとIPアドレス固定化

Post by paopaocafe2 » Thu Aug 12, 2021 12:10 am

MACアドレスの固定化については、過去スレッドやリリースノートを参考に、
「仮想HUBの管理>ユーザーの管理>説明」の箇所へ”MAC:xx:xx:xx:xx:xx:xx”
とすることで、実現出来ています。(仮想DHCPサーバーのリーステーブルで確認)

続けてIPアドレスを固定したいのですが、仮想DHCPサーバーにはMACアドレスに
紐付けて固定したIPアドレスを払い出すのは出来ないようです(?)

そこで、仮想HUBがブリッジした物理NICに対し、Windows Server OSの
DHCPサーバー機能でIPアドレスの固定払い出し(仮想DHCPサーバーは不使用)を
検討しましが、このような方法で「MACアドレスとIPアドレス固定化」は実現可能
でしょうか?

MACアドレスの割り当てとIPアドレスの割り当てタイミングやシーケンス等で
問題になることはありますでしょうか?

最終的に実現したいのは、L2TPで接続してきた機器のIPアドレスを固定化することです。

cedar
Site Admin
Posts: 2070
Joined: Sat Mar 09, 2013 5:37 am

Re: L2TP接続時のMACアドレスとIPアドレス固定化

Post by cedar » Thu Aug 12, 2021 9:32 pm

Windows であれば、ローカルブリッジしたデバイスで仮想 HUB と相互に通信できるので、可能と思われます。

タイミングについてですが、L2TP 接続については、DHCP 要求を出しているのは L2TP セッションを処理している PPP モジュールで、この要求に応答があるまでは、L2TP の通信は開始されません。
このため、他の MAC アドレスで通信が行われてしまうといったことは起きないと思います。

paopaocafe2
Posts: 32
Joined: Sun Aug 08, 2021 2:25 pm

Re: L2TP接続時のMACアドレスとIPアドレス固定化

Post by paopaocafe2 » Fri Aug 13, 2021 12:47 am

cedar様

お世話になります。

L2TPとDHCPのシーケンスのロジック/流れを教示いただきありがとうございます。
理屈的には問題なさそうですね。

たとえばですが、4セグメント(=4仮想HUB)に対して接続してきた各端末にIPアドレスを
固定払い出しとする際、やはりローカルブリッジする物理NICが4つ必要でしょうか。

なんらかの方法(SoftEther含む)で仮想NICを生成し、それぞれをDHCPのスコープに属する
IPアドレスを振っておけば、物理NICの準備が不要となり得るでしょうか。

cedar
Site Admin
Posts: 2070
Joined: Sat Mar 09, 2013 5:37 am

Re: L2TP接続時のMACアドレスとIPアドレス固定化

Post by cedar » Fri Aug 13, 2021 1:13 am

はい。
DHCP サーバーとなる PC に VPN Client を導入して接続すればローカルブリッジは必要ありません。
(それが VPN Server と同ホストでも問題ありません。)

paopaocafe2
Posts: 32
Joined: Sun Aug 08, 2021 2:25 pm

Re: L2TP接続時のMACアドレスとIPアドレス固定化

Post by paopaocafe2 » Fri Aug 13, 2021 1:40 am

cedar様

お世話になります。

「DHCP サーバーとなる PC に VPN Client を導入して接続すれば」の”接続すれば”について
深堀りさせてください。

ローカルブリッジはあくまで仮想HUBを”物理NIC(+その背後のネットワーク)”を
接続するものだとすると、各DHCPスコープに対応させるインターフェースに”仮想NIC”を
使用する場合は不要ということでしょうか。
(仮想HUBに”仮想NIC”をローカルブリッジすることは不要?不毛?不可?)

”仮想NIC”の場合、どのようにして仮想HUBとのバインドを行うのでしょうか。
(”物理NIC”の場合がローカルブリッジがバインドの役割を果たしていると認識しています)

cedar
Site Admin
Posts: 2070
Joined: Sat Mar 09, 2013 5:37 am

Re: L2TP接続時のMACアドレスとIPアドレス固定化

Post by cedar » Fri Aug 13, 2021 1:59 am

VPN Client の仮想 NIC は VPN 接続を行うことで仮想 HUB と接続します。

この状態でローカルブリッジしてしまうと、VPN 接続とローカルブリッジで L2 のループができてしまうため危険です。

paopaocafe2
Posts: 32
Joined: Sun Aug 08, 2021 2:25 pm

Re: L2TP接続時のMACアドレスとIPアドレス固定化

Post by paopaocafe2 » Fri Aug 13, 2021 2:21 am

cedar様

お世話になります。

そこはVPN接続なんですね。なかなか興味深いです。(動作、確認しました)

「この状態でローカルブリッジしてしまうと、VPN 接続とローカルブリッジで L2 のループができてしまう」
この部分、具体的にどのような状態を指すのでしょうか?

<現在の構成>
■同一サーバー内で

 物理NIC--(ローカルブリッジ)--仮想HUB--(VPN)--仮想NIC
 ※すべて同一サブネット

となっていますが。。。

cedar
Site Admin
Posts: 2070
Joined: Sat Mar 09, 2013 5:37 am

Re: L2TP接続時のMACアドレスとIPアドレス固定化

Post by cedar » Fri Aug 13, 2021 2:25 am

イーサネットでは、2つのスイッチの間に2つ以上の経路があると、ブロードキャストが無限にループして通信不能となる性質があります。

特定の仮想 HUB と仮想 NIC の間に、VPN 接続とローカルブリッジという 2 つの経路があるとこの状態となってしまいます。

 ↓ーーーVPN 接続ーーー↓
仮想 HUB       仮想 NIC
  ↑ーローカルブリッジー↑

paopaocafe2
Posts: 32
Joined: Sun Aug 08, 2021 2:25 pm

Re: L2TP接続時のMACアドレスとIPアドレス固定化

Post by paopaocafe2 » Fri Aug 13, 2021 2:43 am

cedar様

お世話になります。(物理的な)L2ループについては理解しております。

 ↓ーーーVPN 接続ーーー↓
仮想 HUB       仮想 NIC
  ↑ーローカルブリッジー↑

における、”VPN接続”は教示いただいた方法で接続確認済み、ただし
実験的に"ローカルブリッジ接続"を試行しようとしたところ、そもそも
選択肢にS.E.Clientで生成した”仮想NIC”は出現しませんでした。(”物理NIC”のみ出現。安全措置?)
”VPN接続”した上で、仮に”ローカルブリッジ接続”できてしまったとしたら、問題ということですね。

小生の
■同一サーバー内で

 物理NIC--(ローカルブリッジ)--仮想HUB--(VPN)--仮想NIC
 ※すべて同一サブネット

という構成についてはループとはなっていなので、問題ないという認識ですが、よろしいでしょうか。
(単一のサーバー内で、仮想HUBに対し同一サブネットの物理NICと仮想NICが別IPでぶら下がっている状態)

cedar
Site Admin
Posts: 2070
Joined: Sat Mar 09, 2013 5:37 am

Re: L2TP接続時のMACアドレスとIPアドレス固定化

Post by cedar » Fri Aug 13, 2021 3:43 am

図のように直線的な接続のみであれば、(Windows の機能で別途ブリッジなど行わなければ)ループは起きません。

しかし、同一のセグメントに複数の NIC が接続している状態なので、IP 層でのルーティングによるループが起きないように注意する必要はあります。

paopaocafe2
Posts: 32
Joined: Sun Aug 08, 2021 2:25 pm

Re: L2TP接続時のMACアドレスとIPアドレス固定化

Post by paopaocafe2 » Fri Aug 13, 2021 4:09 am

cedar様

お世話になります。

そうですね。L3でのルーティングループには留意するようにします。

タイトルについては、これで解決しました。
(更新履歴より、L2TP/IPsec, SSTP および OpenVPN L3が同等の手法でIP固定化を実現できる認識)

そもそも、ですがSoftEtherVPN Clientの場合は”仮想NIC”でIPを固定化してしまえば問題
ないのでしょうか?

あらゆるVPN(クライアント側)接続手段で、IPを固定化する方法の確立を目指しています。

cedar
Site Admin
Posts: 2070
Joined: Sat Mar 09, 2013 5:37 am

Re: L2TP接続時のMACアドレスとIPアドレス固定化

Post by cedar » Fri Aug 13, 2021 4:53 am

SoftEther VPN Client の仮想 LAN カードの MAC アドレスはレジストリに保存されていて、基本的には変わりません。

しかし、OpenVPN の場合、DHCP で期待する形式の IP アドレスが得られなかったときに MAC アドレスを変更してリトライするケースがあるため、完全に固定するのは難しいかもしれません。

https://github.com/SoftEtherVPN/SoftEth ... IPC.c#L944

paopaocafe2
Posts: 32
Joined: Sun Aug 08, 2021 2:25 pm

Re: L2TP接続時のMACアドレスとIPアドレス固定化

Post by paopaocafe2 » Fri Aug 13, 2021 5:24 am

cedar様

お世話になります。

「OpenVPN の場合、DHCP で期待する形式の IP アドレスが得られなかったときに MAC アドレスを変更してリトライするケースがある」
については、別スレッドで「IPアドレスの下位 2bit が 01 であることを要求する」との回答をいただいておりますが、
こちらのことを指していますでしょうか。

であれば、「仮想HUBの管理>ユーザーの管理>説明」の箇所へ”MAC:xx:xx:xx:xx:xx:xx”とすること」で
(リトライ以前に)MACアドレスを固定化し、さらにDHCPの予約で当該MACアドレスに対して下位2bitが
01となるIPアドレスを割り当てるようにしておけば良いと考えますが、いかがでしょうか。

cedar
Site Admin
Posts: 2070
Joined: Sat Mar 09, 2013 5:37 am

Re: L2TP接続時のMACアドレスとIPアドレス固定化

Post by cedar » Fri Aug 13, 2021 5:54 am

外因によるエラーなど不測の事態が起きなければ、その方法で問題ないように思われます。

paopaocafe2
Posts: 32
Joined: Sun Aug 08, 2021 2:25 pm

Re: L2TP接続時のMACアドレスとIPアドレス固定化

Post by paopaocafe2 » Fri Aug 13, 2021 5:59 am

cedar様

お世話になります。

本件、複数要件の組み合わせで実現するため、100%確定的ではない部分はあるものの
概ねは実現可能との目処が立ちました。

ご助言、ありがとうございました。

以上

Post Reply