Page 1 of 1

毎日VPNが切断される

Posted: Mon Sep 13, 2021 9:15 am
by SGCOOK
SoftEtherで50台ほどサーバーに接続しているのですが
毎日、午前11:30前後 午後4:00前後 になると切断されます
先週の月曜日からの現象なので1週間になります
休みの日に1日サーバーを起動していたのですが切断はされなかったです
切断されたらサーバーを再起動すれば正常に利用できます
クライアントにウィルス検索をさせているところですが、対応に苦労しています
HUB名をVPNから変更するようなアナウンスがありますが、これで直りますか?

Re: 毎日VPNが切断される

Posted: Mon Sep 13, 2021 10:19 am
by cedar
サーバーログには何か異常は記録されていないでしょうか。

変更するようにアナウンスされているのは IPsec VPN 機能を使っている場合の、事前共有鍵です。

Re: 毎日VPNが切断される

Posted: Mon Sep 13, 2021 12:12 pm
by SGCOOK
事前共有鍵でした
ログをみると
TCP リスナー (ポート 443) に対する DoS アタックを検出しました。接続元は IP アドレス ***.***.***.***, ポート番号 **** です。このコネクションは強制切断します。
とあったので、接続元アドレスをブロックしました(Windows Server)
その後はログにこの記録はなくなりましたが、相変わらず切断しています。

Re: 毎日VPNが切断される

Posted: Mon Sep 13, 2021 10:58 pm
by cedar
DoS 攻撃の記録はクライアントの IP アドレスではなかったでしょうか。
同一の IP アドレスから、同時に接続要求が多数あった場合、DoS 攻撃として検知される可能性があります。
多数のクライアントが接続している NAT などが、何らかの理由で瞬断して、同時に再接続が発生しているなどの可能性も考えられます。

また、問題の起きた時刻付近で、何か他の異常そうなログはなかったでしょうか。

Re: 毎日VPNが切断される

Posted: Mon Sep 13, 2021 11:32 pm
by SGCOOK
DoS攻撃はあるグローバルアドレスでした。
このアドレスは別のファイルサーバーでVPNルーターで接続するためのアドレスです。
このアドレスからSoftEther VPN Serverに接続は出来ないはずなのですが。

Re: 毎日VPNが切断される

Posted: Mon Sep 13, 2021 11:41 pm
by SGCOOK
大事な情報だったかもしれませんが、利用しているサーバーはAWSのWindowsServerです。

Re: 毎日VPNが切断される

Posted: Mon Sep 13, 2021 11:49 pm
by cedar
切断が発生した時刻には何のログも残っていなかったでしょうか。

Re: 毎日VPNが切断される

Posted: Tue Sep 14, 2021 1:02 am
by SGCOOK
切断されたら、すぐサーバー再起動しているのでわからないです。
ログを見ると今日はいつもと違って特定の時間帯ではなく既に大量のDoS攻撃が登録されています。
ただ切断されているのはDoS攻撃がおさまった10分後のようです。

Re: 毎日VPNが切断される

Posted: Tue Sep 14, 2021 2:08 am
by cedar
再起動するとログが消える現象が発生しているでしょうか。
そうだとすると、OS になにか異常があるかもしれません。

Re: 毎日VPNが切断される

Posted: Tue Sep 14, 2021 2:13 am
by SGCOOK
再起動してもログは残っておりますが切断から起動の間はログが残っていないという意味です。

Re: 毎日VPNが切断される

Posted: Tue Sep 14, 2021 2:51 am
by cedar
切断のログには原因が書かれていないでしょうか。

また、正常であれば、再起動の際に VPN Server 終了のログも記録されるはずです。
これが記録されていない場合は VPN Server が異常終了している可能性が考えられます。

Re: 毎日VPNが切断される

Posted: Tue Sep 14, 2021 3:07 am
by SGCOOK
>また、正常であれば、再起動の際に VPN Server 終了のログも記録されるはずです。
>これが記録されていない場合は VPN Server が異常終了している可能性が考えられます。
記録されているので、正常だと思います。

Re: 毎日VPNが切断される

Posted: Tue Sep 14, 2021 3:09 am
by cedar
> 切断から起動の間はログが残っていないという意味です。
と書かれておりましたが、これは事実ではなかったのですね。

それで、切断のログには、切断の理由が記録されていないでしょうか。

Re: 毎日VPNが切断される

Posted: Tue Sep 14, 2021 3:30 am
by SGCOOK
サーバー エンジンのシャットダウン処理を開始しています。
これはWindowsServerを再起動した際の記録ですが(AWSではインスタンス再起動)
この直前は特にあやしい記録はありませんが、調べてみます。

Re: 毎日VPNが切断される

Posted: Tue Sep 14, 2021 3:35 am
by cedar
すべてが正常であれば意図せずに VPN 接続が切断されることはありません。
切断のログ自体が異常の記録なのです。
切断のときのエラーコードを教えて下さい。

Re: 毎日VPNが切断される

Posted: Tue Sep 14, 2021 4:48 am
by SGCOOK
切断時にはエラーコードの記録はないですが
その前には
(コード 0) で終了しました
(コード 11) で終了しました
(コード 5) で終了しました
の記録があります

Re: 毎日VPNが切断される

Posted: Tue Sep 14, 2021 4:57 am
by SGCOOK
接続時にはと書きましたが
エラーコードの記録は1つもないです

Re: 毎日VPNが切断される

Posted: Tue Sep 14, 2021 5:06 am
by SGCOOK
接続時->切断時の間違いでした

Re: 毎日VPNが切断される

Posted: Tue Sep 14, 2021 5:31 am
by cedar
エラーコード 0 はVPNセッションの正常な終了を意味します。
クライアントの操作によって切断された場合はこれになります。

エラーコード 5 は、VPN クライアントではないものが接続してきた場合のエラーコードです。
これもクライアントからの接続ではないので、起きている問題とは関係ないように思います。

エラーコード 11 は、成立済みのセッションが、外部的に通信を切断された場合などに
発生するエラーです。

https://www2.softether.jp/jp/vpn2/manual/web/12-5.aspx

50 人が接続している VPN Server が停止すると、50件分の切断のログが残ると思いますが、障害発生のタイミングでのエラーコードの比率は11が多いのではないかと思いますが、いかがでしょうか。

Re: 毎日VPNが切断される

Posted: Tue Sep 14, 2021 7:10 am
by SGCOOK
(コード 11) で終了しました
の記録はたくさん記録されていますが、クライアントのパソコンをシャットダウンしたからではないのでしょうか?

Re: 毎日VPNが切断される

Posted: Tue Sep 14, 2021 7:15 am
by cedar
サーバーではなくクライアントをシャットダウンされたのでしょうか?

Re: 毎日VPNが切断される

Posted: Tue Sep 14, 2021 7:20 am
by SGCOOK
普段の利用で正常な場合でもクライアントパソコンは営業に出かけるときなどはシャットダウンして出かけます。

Re: 毎日VPNが切断される

Posted: Tue Sep 14, 2021 7:20 am
by SGCOOK
普段の利用で正常な場合でもクライアントパソコンは営業に出かけるときなどはシャットダウンして出かけます。

Re: 毎日VPNが切断される

Posted: Tue Sep 14, 2021 7:30 am
by cedar
>毎日、午前11:30前後 午後4:00前後 になると切断されます

ということですが、この時刻には切断は記録されていないでしょうか。

Re: 毎日VPNが切断される

Posted: Tue Sep 14, 2021 7:51 am
by SGCOOK
自分でサーバーを再起動する前にはそれらしい強制切断のような記録はないです

Re: 毎日VPNが切断される

Posted: Tue Sep 14, 2021 7:52 am
by SGCOOK
切断される時間は毎日10分くらい遅くなっています

Re: 毎日VPNが切断される

Posted: Tue Sep 14, 2021 8:09 am
by cedar
切断されたときに、クライアント側では再接続の画面などが表示されるでしょうか?

表示されないとすると、VPN 接続自体はつながったままで、別の部分で通信に問題が生じている可能性が考えられます。

Re: 毎日VPNが切断される

Posted: Tue Sep 14, 2021 8:36 am
by SGCOOK
>切断されたときに、クライアント側では再接続の画面などが表示されるでしょうか?
切断されたらサーバーをすぐ再起動しているので、そこは確認していませんでした。
確認します。

Re: 毎日VPNが切断される

Posted: Wed Sep 15, 2021 7:48 am
by SGCOOK
事前共有鍵の件もありましたのでVPNが切断されているとばかり思っておりましたが
VPNは接続されていました。
クライアントからサーバーのデータベースのコネクトが切断されているようです。
これからまたVPNも含めて調べていきます。

Re: 毎日VPNが切断される

Posted: Wed Sep 15, 2021 7:51 am
by cedar
VPN サーバーの再起動で回復するということなので、全くの無関係とも考えにくいと思われます。
再起動の際は、VPN Server のサービスだけを再起動しているでしょうか、それとも OS ごと再起動しているでしょうか。

Re: 毎日VPNが切断される

Posted: Wed Sep 15, 2021 9:15 am
by SGCOOK
OSごと再起動しています。

Re: 毎日VPNが切断される

Posted: Wed Sep 15, 2021 9:40 am
by cedar
例えば、ローカルブリッジの動作不良が起きているような場合には、VPN Server のサービスだけ再起動することで回復する可能性があります。
逆に、これで回復しなければ、VPN Server 以外の部分に問題があることが分かるのではないかと思います。

Re: 毎日VPNが切断される

Posted: Wed Sep 15, 2021 9:53 am
by SGCOOK
ローカルブリッジ機能は利用していません。

Re: 毎日VPNが切断される

Posted: Wed Sep 15, 2021 10:00 am
by cedar
VPN 経由でアクセスしている DB サーバーとは、どのように接続されているでしょうか?

Re: 毎日VPNが切断される

Posted: Wed Sep 15, 2021 10:24 am
by SGCOOK
データベース接続用のコネクトシステムがあってサーバー側は特定のポートを開ければ接続できるしくみです。

Re: 毎日VPNが切断される

Posted: Wed Sep 15, 2021 10:31 am
by cedar
仮想HUBは、初期設定では、(VPN サーバー自身を含めて)仮想 HUB 外部と通信することはできません。
SecureNAT など、仮想 HUB とデータベースサーバーをつなぐ、何らかの設定を行われていないでしょうか?

Re: 毎日VPNが切断される

Posted: Wed Sep 15, 2021 10:36 am
by SGCOOK
SoftEther VPN Server <->SoftEther VPN Client で接続すれば
LANと同じ感覚で利用していますが...

Re: 毎日VPNが切断される

Posted: Wed Sep 15, 2021 10:39 am
by SGCOOK
SecureNATの設定はしています

Re: 毎日VPNが切断される

Posted: Wed Sep 15, 2021 10:44 am
by cedar
DBサーバーへの接続には、VPN サーバーのグローバル IP アドレスを指定されている感じでしょうか?

Re: 毎日VPNが切断される

Posted: Wed Sep 15, 2021 12:59 pm
by SGCOOK
VPNサーバーのプライベートアドレスを指定です。

Re: 毎日VPNが切断される

Posted: Wed Sep 15, 2021 11:34 pm
by cedar
SecureNAT のモードが切り替わってしまっているのかもしれませんね。
カーネルモード SecureNAT を無効化したほうが良いかもしれません。

https://ja.softether.org/4-docs/3-kb/VPNFAQ036

Re: 毎日VPNが切断される

Posted: Thu Sep 16, 2021 12:26 am
by SGCOOK
DisableKernelModeSecureNAT=1にしました

Re: 毎日VPNが切断される

Posted: Thu Sep 16, 2021 2:40 am
by SGCOOK
先ほど切断されました
VPNは接続されていましたが、サーバーのプライベートアドレスにPingが通りませんでした。

Re: 毎日VPNが切断される

Posted: Thu Sep 16, 2021 9:23 am
by cedar
確認ですが、VPN Azure クラウドサービスは使用されていないでしょうか?
VPN Azure サービスは、最近、通信が不安定となるケースが多く報告されています。

Re: 毎日VPNが切断される

Posted: Thu Sep 16, 2021 9:37 am
by SGCOOK
VPN Azureは利用していません。

Re: 毎日VPNが切断される

Posted: Thu Sep 16, 2021 8:40 pm
by cedar
クライアントからの接続モードが NAT トラバーサルになっていたり、UDP 高速化モードが有効な場合、パケットが欠落する状態になっても検出されない可能性があります。

接続先指定の横の「NAT-T無効」と、高度な通信設定のUDP高速化モード無効を設定すると状況が変わるでしょうか。

Re: 毎日VPNが切断される

Posted: Fri Sep 17, 2021 12:25 am
by SGCOOK
>接続先指定の横の「NAT-T無効」と、高度な通信設定のUDP高速化モード無効を設定すると状況が変わるでしょうか。
クライアント側の設定ですね?やってみます。

Re: 毎日VPNが切断される

Posted: Fri Sep 17, 2021 2:41 am
by SGCOOK
まだ、設定変更の確認はしておりませんが
先ほど、切断したのでサーバー再起動しました。
その後ログを見ると、再起動後にDOS攻撃が沢山あります。再起動前にはDOS攻撃の記録はないです。

Re: 毎日VPNが切断される

Posted: Fri Sep 17, 2021 5:36 am
by SGCOOK
ログを見ると
大量のブロードキャストパケットを検出しました。ポリシーに従ってパケットを破棄する場合があります。......
の記録が結構ありまして、SQL型データベースなのでそのように記録されているのかなと思っておりますが...

Re: 毎日VPNが切断される

Posted: Fri Sep 17, 2021 10:17 am
by cedar
一般的な SQL サーバーでは大量のブロードキャスト通信を行うことはないと思われます。
キャプチャしてみて、同内容のパケットが繰り返されているようであれば、ブロードキャストストームと呼ばれるネットワーク構成の異常が疑われます。

Re: 毎日VPNが切断される

Posted: Sat Sep 18, 2021 5:06 am
by SGCOOK
ネットワークは
1.データベースサーバー用 SoftEther VPN で接続
2.ファイルサーバー用 VPNルータで接続(YAMAHA VPN ルータ 利用)
の2つ

ファイルサーバーにアクセスすると
大量のブロードキャストパケットを検出しました。ポリシーに従ってパケットを破棄する場合があります。......
が記録されているようです

Re: 毎日VPNが切断される

Posted: Sat Sep 18, 2021 7:47 am
by SGCOOK
いや
何もしていなくても
大量のブロードキャストパケットを検出しました。ポリシーに従ってパケットを破棄する場合があります。......
の記録はあります。(行数は5行くらいですが)

Re: 毎日VPNが切断される

Posted: Sat Sep 18, 2021 8:03 am
by cedar
偶然一時的にブロードキャストが多かった場合でも、このメッセージは記録されます。
しかし、通常よりも多くのブロードキャストパケットの送信が長時間続いていて、他の通信の妨げになっているようであれば、何か問題がある可能性が疑われます。
可能であれば、現象が起きている間のパケットログを取得するか、パケットキャプチャを行ってみてください。

Re: 毎日VPNが切断される

Posted: Sat Sep 18, 2021 8:14 am
by SGCOOK
Dos攻撃も考えられないでしょうか?

Re: 毎日VPNが切断される

Posted: Sat Sep 18, 2021 8:47 am
by cedar
このメッセージは仮想 HUB 内部の通信についての表示なので、(少なくともこのメッセージ単体では)DoS 攻撃は考えられません。

Re: 毎日VPNが切断される

Posted: Mon Sep 20, 2021 3:14 am
by SGCOOK
切断し始めたのは9月6日からですがそれ以降
TCP リスナー (ポート 443) に対する DoS アタックを検出しました。が記録されています。
9月5日以前のログを調べても TCP リスナー (ポート 443) に対する DoS アタックを検出しました。 の記録はないです
会社が休みの日は数人の利用はありますが TCP リスナー (ポート 443) に対する DoS アタックを検出しました。 の記録もなく 切断もされないです。
誰かのパソコンがウィルスに感染してDoS攻撃しているのかもと思い駆除ソフトで検索させていますが 状況は変わってないです。

Re: 毎日VPNが切断される

Posted: Tue Sep 21, 2021 10:13 am
by cedar
DoS 攻撃のログでは、ファイルサーバーのIPアドレスから攻撃を受けていると表示されるという認識ですが間違いないでしょうか。

Re: 毎日VPNが切断される

Posted: Tue Sep 21, 2021 10:34 am
by SGCOOK
そうです。
YAMAHAのルーターで構築している別のVPN用のグローバルアドレスです。

Re: 毎日VPNが切断される

Posted: Tue Sep 21, 2021 10:48 am
by cedar
例えば、何かが VPN 越しに、そのルーターのNATのLAN側のアドレスをデフォルトゲートウェイとして取得してしまって、そこから VPN 接続を試みている状態になっているといった可能性は考えられると思います。
ただ、これを確認する簡単な方法は思いつきません。

ブロードキャストパケットの問題について、問題が生じている時刻のパケットログを取ってみるのは有効かもしれません。

Re: 毎日VPNが切断される

Posted: Wed Sep 22, 2021 2:38 am
by SGCOOK
TCP リスナー (ポート 443) に対する DoS アタックを検出しました。接続元は IP アドレス ***.***.***.***, ポート番号 **** です。このコネクションは強制切断します。送信元 IP アドレスは 192.168.40.***, 宛先 IP アドレスは 224.0.0.251 です。
宛先は224.0.0.251はマルチキャストで使われているアドレスのようです。営業所にはIPカメラが設置されています。

仮想NAT機能が気になっていますが有効にしています。MTU値=1500バイト TCPセッションのタイムアウト=28800秒 UDPセッションのタイムアウト=28800秒

Re: 毎日VPNが切断される

Posted: Wed Sep 22, 2021 2:51 am
by cedar
仮想 HUB では、マルチキャストのパケットはブロードキャストとして扱われ、すべてのセッションに転送されてしまいます。
IP カメラが動画をマルチキャストで配信しているとすると、それがネットワークに大きな負荷を掛けてしまっている可能性も考えられます。
アクセスリスト機能で、224.0.0.251 宛のパケットを遮断するようにしてみると、良いかもしれません。

Re: 毎日VPNが切断される

Posted: Wed Sep 22, 2021 6:46 am
by SGCOOK
遮断の設定をして 「TCP リスナー (ポート 443) に対する DoS アタックを検出しました。」
の記録はなくなりましたが 切断されました。

Re: 毎日VPNが切断される

Posted: Wed Sep 22, 2021 7:29 am
by cedar
マルチキャストによる通信が DoS 攻撃として認識されることはありませんので、DoS 攻撃が検出されなくなったことは無関係と思われます。
マルチキャストの抑制は「大量のブロードキャストパケットを検出しました。」に対する対策です。

やはり、マルチキャストとは別にパケットのループが生じているのではないかと思います。
パケットをキャプチャして、状況を確認することをお勧めします。

Re: 毎日VPNが切断される

Posted: Wed Sep 22, 2021 7:56 am
by SGCOOK
パケットログはデフォルトのDHCP 以外もでしょうか?

Re: 毎日VPNが切断される

Posted: Wed Sep 22, 2021 8:06 am
by cedar
トラブル発生中とそうでないときで、全イーサネットパケットのログがあると、ループ発生が原因かどうかは見分けられると思います。
もし、ループ発生であれば、問題発生中、同一内容のパケットが大量に記録されるはずです。

Re: 毎日VPNが切断される

Posted: Tue Sep 28, 2021 2:56 am
by SGCOOK
パケットログを調べています
SoftEther VPN Client から wsd(5357)ポートに結構パケットが流れていますが問題ないでしょうか?
このような記事があります↓
https://docs.microsoft.com/ja-jp/securi ... 9/ms09-063

Re: 毎日VPNが切断される

Posted: Tue Sep 28, 2021 9:02 am
by cedar
VPN Client のプロセスからパケットが出ているでしょうか。
また、パケットは TCP でしょうか、UDP でしょうか。

Re: 毎日VPNが切断される

Posted: Tue Sep 28, 2021 9:38 am
by SGCOOK
ルータのUPnPを利用しないにしたら記録からなくなりました。
その他、サーバーに流れる不審な(流れる必要のない)パケットをブロックしたら、今のところ切断しなくなりました。
IPカメラを各営業所で利用しているのですが、多くのパケットを流していた可能性もあるかと思いますがIPカメラの設定については
わかりません。

Re: 毎日VPNが切断される

Posted: Fri Oct 01, 2021 12:50 am
by SGCOOK
おかげさまで、マルチキャストパケットを遮断することで切断しなくなりました。
SoftEtherの設定機能は細かい設定が可能なので凄いです。
残りARPパケット:FF-FF-FF-FF-FF-FFが気になるところです。