OPENVPNクライアント接続NG

SoftEther VPN に関するご質問はこのフォーラムにお気軽にご投稿ください。
Post Reply
Vyasa
Posts: 2
Joined: Wed Apr 19, 2023 6:45 am

OPENVPNクライアント接続NG

Post by Vyasa » Fri Apr 28, 2023 8:03 am

複数の仮想HUBの存在するSoftEther VPNサーバーに新たに仮想HUBを設けて、OPENVPN(v.2.6.3)で接続を計画しています。

OPEVPNの認証方式は「証明書認証」を使用します。
① OPENVPN/MS-SSTP設定→OPENVPNクライアント用サンプルファイルを生成でサンプル生成
② 登録したユーザの証明書作成ツールを用いて「xxx,cer」「xxx.key」(xxxはユーザ名)作成

①で作成したyccremotetest_openvpn_site_to_site_bridge_l2.ovpnファイルの
;<cert>-</cert>、<key>-</key>間に②の内容を追加しました。

③ auth-user-passをコメント

【質問1】
OPENVPNクライアント側では、どの(仮想HUB)ユーザへの接続かの指定は必要でしょうか。
auth-user-passを用いて指定するのでしょうか。
Packetix側では「固有証明書認証」の場合、ユーザのパスワードを設定する場所が見当たりません。
どのように設定するばいいのでしょうか。

【質問2】
③の後、接続においてエラー発生。

2023-04-28 14:25:08 DEPRECATED OPTION: --cipher set to 'AES-128-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305). OpenVPN ignores --cipher for cipher negotiations.
2023-04-28 14:25:08 Note: dev-type not tun, disabling data channel offload.
2023-04-28 14:25:08 OpenVPN 2.6.2 [git:v2.6.2/3577442530eb7830] Windows-MSVC [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] [DCO] built on Mar 24 2023
2023-04-28 14:25:08 Windows version 10.0 (Windows 10 or greater), amd64 executable
2023-04-28 14:25:08 library versions: OpenSSL 3.0.8 7 Feb 2023, LZO 2.10
2023-04-28 14:25:08 DCO version: v0
2023-04-28 14:25:08 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25342
2023-04-28 14:25:08 Need hold release from management interface, waiting...
2023-04-28 14:25:08 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:55949
2023-04-28 14:25:08 MANAGEMENT: CMD 'state on'
2023-04-28 14:25:08 MANAGEMENT: CMD 'log on all'
2023-04-28 14:25:08 MANAGEMENT: CMD 'echo on all'
2023-04-28 14:25:08 MANAGEMENT: CMD 'bytecount 5'
2023-04-28 14:25:08 MANAGEMENT: CMD 'state'
2023-04-28 14:25:08 MANAGEMENT: CMD 'hold off'
2023-04-28 14:25:08 MANAGEMENT: CMD 'hold release'
2023-04-28 14:25:08 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
2023-04-28 14:25:08 MANAGEMENT: >STATE:1682659508,RESOLVE,,,,,,
2023-04-28 14:25:08 TCP/UDP: Preserving recently used remote address: [AF_INET]20.78.100.221:1194
2023-04-28 14:25:08 Socket Buffers: R=[65536->65536] S=[65536->65536]
2023-04-28 14:25:08 UDPv4 link local: (not bound)
2023-04-28 14:25:08 UDPv4 link remote: [AF_INET]20.78.100.221:1194
2023-04-28 14:25:08 MANAGEMENT: >STATE:1682659508,WAIT,,,,,,
2023-04-28 14:25:15 SIGTERM[hard,] received, process exiting
2023-04-28 14:25:15 MANAGEMENT: >STATE:1682659515,EXITING,SIGTERM,,,,,

設定等でおかしいところがありましたらご教授頂けたら幸いです。
よろしくお願いいたします。

cedar
Site Admin
Posts: 2052
Joined: Sat Mar 09, 2013 5:37 am

Re: OPENVPNクライアント接続NG

Post by cedar » Fri Apr 28, 2023 10:38 am

SoftEther VPN Server は、認証情報を選択するためにユーザー名を使用するため、auth-user-pass の設定は必須です。

Vyasa
Posts: 2
Joined: Wed Apr 19, 2023 6:45 am

Re: OPENVPNクライアント接続NG

Post by Vyasa » Tue May 02, 2023 1:51 am

回答ありがとうございます。
遅れて申し訳ありません。
再度お尋ねしますが、「auth-user-pass」で使用する、ユーザは"ユーザー名@仮想 HUB 名"で指定する思いますが、パスワードを入力しないと「OK」ボタンが押下できません。
サーバー側のユーザー登録時に「固有証明書認証」を選択し、証明書を登録していますのでパスワードが設定できません。この場合、「auth-user-pass」で使用するパスワードはどこに設定するのでしょか。
以上、よろしくお願いいたします。

cedar
Site Admin
Posts: 2052
Joined: Sat Mar 09, 2013 5:37 am

Re: OPENVPNクライアント接続NG

Post by cedar » Tue May 02, 2023 2:45 am

パスワードと証明書を同時に指定する機能がないバージョンの SoftEther VPN Server を使用されているでしょうか。
その場合は、auth-user-pass を使用せず、ユーザー名は証明書の Subject Name で指定して下さい。

mune
Posts: 11
Joined: Mon Dec 03, 2018 5:53 am

Re: OPENVPNクライアント接続NG

Post by mune » Fri Nov 24, 2023 6:30 am

横から失礼します。

本件と同じ問題を抱えています。
パスワードと証明書を同時に指定する機能がないバージョンの SoftEther VPN Server を使用しており、
auth-user-pass を使用しない場合、ユーザー名は証明書の Subject Name で指定しますが、仮想HUB名はどのように指定するのでしょうか。

パスワードと証明書を同時に指定する機能がある SoftEther VPN Server のバージョンはどれでしょうか。

cedar
Site Admin
Posts: 2052
Joined: Sat Mar 09, 2013 5:37 am

Re: OPENVPNクライアント接続NG

Post by cedar » Fri Nov 24, 2023 6:42 am

仮想 HUB 名は、ユーザー名の一部として「ユーザー名@仮想 HUB 名」のように指定できます。

mune
Posts: 11
Joined: Mon Dec 03, 2018 5:53 am

Re: OPENVPNクライアント接続NG

Post by mune » Fri Nov 24, 2023 7:37 am

早速のご返答ありがとうございます。
「ユーザー名@仮想 HUB 名」のように指定していますが、仮想HUBが指定されていないときに割り当てられる「DEFAULT」になってしまいます。

例えば、仮想HUB「abc」に「test2」というユーザーで認証すると server_log に以下のように出力されます。
証明書および秘密鍵はSoftEther VPN Server 管理マネージャを使用し、該当ユーザーの「証明書作成ツール」から作成したものを使用しています。

--------------
OpenVPN セッション 37619 (xxx.xxx.xxx.xxx:49434 -> yyy.yyy.yyy.yyy:1194) チャネル 0: 受信したオプション文字列: "V4,dev-type tap,link-mtu 1589,tun-mtu 1532,proto UDPv4,cipher AES-128-CBC,auth SHA1,keysize 128,key-method 2,tls-client"
OpenVPN セッション 37619 (xxx.xxx.xxx.xxx:49434 -> yyy.yyy.yyy.yyy:1194) チャネル 0: Client certificate received (subject: CN="test2@abc"), will use certificate authentication.
OpenVPN セッション 37619 (xxx.xxx.xxx.xxx:49434 -> yyy.yyy.yyy.yyy:1194) チャネル 0: 送信するオプション文字列: "V4,dev-type tap,link-mtu 1589,tun-mtu 1532,proto UDPv4,cipher AES-128-CBC,auth SHA1,keysize 128,key-method 2,tls-server"
TCP リスナー (ポート 0) にクライアント (IP アドレス xxx.xxx.xxx.xxx, ホスト名 "xxxxyyyyzzz.jp", ポート番号 49434) が接続しました。
クライアント (IP アドレス xxx.xxx.xxx.xxx, ホスト名 "xxxxyyyyzzz.jp", ポート番号 49434) に対応するコネクション "CID-64721" が作成されました。
コネクション "CID-64721" に対する SSL 通信が開始されました。暗号化アルゴリズム名は "(null)" です。
[HUB "DEFAULT"] コネクション "CID-64721" (IP アドレス xxx.xxx.xxx.xxx, ホスト名 xxxxyyyyzzz.jp, ポート番号 49434, クライアント名 "OpenVPN Client", バージョン 4.42 ビルド 9798) が仮想 HUB への接続を試行しています。提示している認証方法は "OpenVPN 証明書認証" でユーザー名は "test2@abc" です。
[HUB "DEFAULT"] コネクション "CID-64721": ユーザー認証に失敗しました。提示されたユーザー名は "test2@abc" でした。
OpenVPN セッション 37619 (xxx.xxx.xxx.xxx:49434 -> yyy.yyy.yyy.yyy:1194) チャネル 0: チャネルの接続処理に失敗しました。
コネクション "CID-64721" は理由 "ユーザー認証に失敗しました。" (コード 9) で終了しました。
コネクション "CID-64721" が終了しました。
--------------

認識相違ありましたらご指摘いただけますと幸いです。

mune
Posts: 11
Joined: Mon Dec 03, 2018 5:53 am

Re: OPENVPNクライアント接続NG

Post by mune » Fri Nov 24, 2023 7:56 am

早速のご回答ありがとうございます。
例えば、仮想HUB「test2」にユーザー「test2」が存在し、証明書にて認証するとserver_logに以下のように出力されます。

証明書は SoftEther VPN サーバー管理マネージャーから該当仮想HUBの該当ユーザーより「証明書作成ツール」を使用して作成したものです。
「ユーザー名@仮想 HUB 名」のように指定していますが、仮想HUB名が指定されていないときに使用される「DEFAULT」となってしまいます。

------------
OpenVPN セッション 37619 (xxx.xxx.xxx.xxx:49434 -> yyy.yyy.yyy.yyy:1194) チャネル 0: 受信したオプション文字列: "V4,dev-type tap,link-mtu 1589,tun-mtu 1532,proto UDPv4,cipher AES-128-CBC,auth SHA1,keysize 128,key-method 2,tls-client"
OpenVPN セッション 37619 (xxx.xxx.xxx.xxx:49434 -> yyy.yyy.yyy.yyy:1194) チャネル 0: Client certificate received (subject: CN="test2@abc"), will use certificate authentication.
OpenVPN セッション 37619 (xxx.xxx.xxx.xxx:49434 -> yyy.yyy.yyy.yyy:1194) チャネル 0: 送信するオプション文字列: "V4,dev-type tap,link-mtu 1589,tun-mtu 1532,proto UDPv4,cipher AES-128-CBC,auth SHA1,keysize 128,key-method 2,tls-server"
TCP リスナー (ポート 0) にクライアント (IP アドレス xxx.xxx.xxx.xxx, ホスト名 "xxxxyyyyzzz.jp", ポート番号 49434) が接続しました。
クライアント (IP アドレス xxx.xxx.xxx.xxx, ホスト名 "xxxxyyyyzzz.jp", ポート番号 49434) に対応するコネクション "CID-64721" が作成されました。
コネクション "CID-64721" に対する SSL 通信が開始されました。暗号化アルゴリズム名は "(null)" です。
[HUB "DEFAULT"] コネクション "CID-64721" (IP アドレス xxx.xxx.xxx.xxx, ホスト名 xxxxyyyyzzz.jp, ポート番号 49434, クライアント名 "OpenVPN Client", バージョン 4.42 ビルド 9798) が仮想 HUB への接続を試行しています。提示している認証方法は "OpenVPN 証明書認証" でユーザー名は "test2@abc" です。
[HUB "DEFAULT"] コネクション "CID-64721": ユーザー認証に失敗しました。提示されたユーザー名は "test2@abc" でした。
OpenVPN セッション 37619 (xxx.xxx.xxx.xxx:49434 -> yyy.yyy.yyy.yyy:1194) チャネル 0: チャネルの接続処理に失敗しました。
コネクション "CID-64721" は理由 "ユーザー認証に失敗しました。" (コード 9) で終了しました。
コネクション "CID-64721" が終了しました。
------------

認識相違がございましたら、ご指摘いただけると幸いです。

cedar
Site Admin
Posts: 2052
Joined: Sat Mar 09, 2013 5:37 am

Re: OPENVPNクライアント接続NG

Post by cedar » Fri Nov 24, 2023 9:56 am

私の勘違いでした。
証明書しか指定できないバージョンでは、仮想HUB名は指定できないようです。

mune
Posts: 11
Joined: Mon Dec 03, 2018 5:53 am

Re: OPENVPNクライアント接続NG

Post by mune » Fri Nov 24, 2023 12:03 pm

ご確認ありがとうございます。
管理の観点から仮想HUBを分けたいと考えています。
パスワードと証明書を同時に指定する機能がある SoftEther VPN Server のバージョンはどれでしょうか。

現在、以下の製品・バージョンを使用していますが、機能がなさそうです。
SoftEther VPN Server (64bit)
Version 4.42 Build 9788 (Japanese)

cedar
Site Admin
Posts: 2052
Joined: Sat Mar 09, 2013 5:37 am

Re: OPENVPNクライアント接続NG

Post by cedar » Fri Nov 24, 2023 3:40 pm

私も使用していないのでよくわからないのですが、5.x系に実装されているようです。

mune
Posts: 11
Joined: Mon Dec 03, 2018 5:53 am

Re: OPENVPNクライアント接続NG

Post by mune » Tue Nov 28, 2023 5:56 am

検索の仕方が問題なのか、SoftEther VPN Server 5.x系を探しても見つかりませんでした。
まだ世に出回っていない(=開発中)でしょうか。

開発中であれば、可能な範囲で以下をご教示いただけますか。
・リリース予定(例:2024年秋など)
・同一仮想HUB内に複数のユーザを登録する場合、ユーザ同士で通信が起きないようにするには「セキュリティーポリシー」の「プライバシーフィルターモード」を有効にすればよろしいでしょうか。
 他に設定すべき項目はございますか。

cedar
Site Admin
Posts: 2052
Joined: Sat Mar 09, 2013 5:37 am

Re: OPENVPNクライアント接続NG

Post by cedar » Tue Nov 28, 2023 6:08 am

SoftEther VPN 5.x 系統は、GitHub で公開されています。

https://github.com/SoftEtherVPN/SoftEtherVPN

> ユーザ同士で通信が起きないようにするには「セキュリティーポリシー」の「プライバシーフィルターモード」を有効にすればよろしいでしょうか。

はい。プライバシーフィルタモードが有効なユーザー同士はユニキャストの通信が遮断されます。

mune
Posts: 11
Joined: Mon Dec 03, 2018 5:53 am

Re: OPENVPNクライアント接続NG

Post by mune » Mon Dec 18, 2023 9:13 am

返答が遅くなり、申し訳ありません。

記載いただいたGitから「Version 5.02 Build 5180 (English)」をインストールしましたが、証明書とパスワードの組み合わせが実現できないようです。
vpncmdとAPIを確認しましたが、それらしきものが見当たりませんでした。

方法をご教示いただくことは可能でしょうか。

cedar
Site Admin
Posts: 2052
Joined: Sat Mar 09, 2013 5:37 am

Re: OPENVPNクライアント接続NG

Post by cedar » Mon Dec 18, 2023 9:46 am

すみません。
パスワード認証と証明書認証が併用できるという情報は、私のパッチノートの誤読でした。
現在のバージョンでも、パスワードが指定されていると証明書は無視されるようになっています。

https://github.com/SoftEtherVPN/SoftEth ... PN.c#L1119

Post Reply