KUSANAGI OSでVPNServerが起動しない

[subwaypkpk]

お世話になっております。
ネットワーク周りを触るのが今回が初めてなので色々と的外れなことを書いているかもしれないのですが、よろしくお願いします。

SIZE=150 困っていること
さくらのVPSにKUSANAGI OSを入れ、そこにSoftEtherVPNServerを導入しようとしています。
PC間接続のチュートリアルを参考に作業をし、問題なく各種設定ができたと思ったのですが、いざ接続しようとしたところで接続できず困っています。

SIZE=150 詳細
さくらのVPSにKUSANAGI OSを入れ、そこにSoftEtherVPNServerを導入しようとしています。（KUSANAGIは対応OSに含まれていませんが、KUSANAGIはCentOS7を元にしているのでできるだろうと見込んで作業しています）
クライアント側はMacのため、SoftEther VPNClientは使わずL2TP over IPSecを利用しています。
PC 間接続 VPN - SoftEther VPNhttps://ja.softether.org/4-docs/2-howto ... Ad-hoc_VPN
のチュートリアルを参考に、ざっくり以下の通り設定しました。

１）VPNServerのインストール
２）仮想HUBの作成
３）ユーザーの作成
４）L2TPサーバー機能の有効化
6.3.69 "IPsecEnable": IPsec VPN サーバー機能の有効化 / 無効化
https://ja.softether.org/4-docs/1-manua ... 9.E5.8C.96
５）SecureNatの有効化
6.4.89 "SecureNatEnable": 仮想 NAT および DHCP サーバー機能 (SecureNAT 機能) の有効化
https://ja.softether.org/4-docs/1-manua ... 9.E5.8C.96
６）仮想DHCPサーバー機能の有効化
.4.100 "DhcpEnable": SecureNAT 機能の仮想 DHCP サーバー機能の有効化
https://ja.softether.org/4-docs/1-manua ... 9.E5.8C.96

この状態で、https://さくらVPSのIPアドレス:5555/ を閲覧することは可能なのでVPNServerは稼働しているのかとおもうのですが、一方でさくらVPS上で

Code: Select all

ip addr show

した時にlocalhostと外向けのアドレスしか見当たらず、DHCPサーバーが本来動くはずの 192.168.30.1 のアドレスを持っているものはありませんでした。

#### 聞きたいこと
・Linuxでサーバーを立ててMacをクライアントにしたい場合、これらの作業手順は間違ってないでしょうか？　足りない作業があったりするでしょうか？
・サーバーが正常に稼働している場合、

Code: Select all

ip addr show

すると 192.168.30.1 などのアドレスにDHCPサーバーがたっているものでしょうか
・こういう場合、どうやって直していけば良いのでしょうか

#### その他情報
OS：KUSANAGI （CentOS7 x86_64 64bit）

[cedar]

192.168.30.1 は SecureNAT が作成する VPN Server 内の仮想ホストのアドレスです。

この状態では(一部例外を除いて) 接続しているクライアントは VPN 経由でクライアント同士やインターネットと通信することは可能ですが、VPN Server を動作させているホストとは通信できません。

VPN Server のホストと通信させたい場合には、tap デバイスへのローカルブリッジを作成して、できた tap デバイスに仮想 HUB 内の IP アドレスを設定してください。
(このとき DHCP で IP アドレスを取ってしまうと、SecureNAT をデフォルトゲートウェイとしてしまうため、サーバーに外部からアクセスできなくなりますので注意してください。)

[subwaypkpk]

cedarさん

ご返信いただきありがとうございます！
なるほど、

Code: Select all

ip adds show

を使ってDHCPサーバーが正常に動作しているかは分からないのですね。
ではこのとき、VPNServer自体のアドレスは表示されないものなのでしょうか？

つまり、接続がうまくいっていないことは分かっているのもの、どこに問題があるのかの切り出しが全くできずお手上げになっています。
サーバーの設定に問題があるのか、クライアントの設定項目に間違いがあるのかなど、どうにか原因を探っていきたいのですが、手掛かりの探り方をご存知でしたら教えていただけると幸いです。

以上です。お忙しい中ご返信ありがとうございます。
どうぞよろしくお願いします。

[cedar]

> VPNServer自体のアドレスは表示されないものなのでしょうか？

この状態では仮想 HUB と VPN Server のホストは接続されていないので、仮想 HUB のセグメントには IP アドレスは持っていません。

>VPN Server のホストと通信させたい場合には、tap デバイスへのローカルブリッジを作成して、できた tap デバイスに仮想 HUB 内の IP アドレスを設定してください。

こちらは試されたでしょうか？

[subwaypkpk]

cedarさん

どうもありがとうございます。

＞こちらは試されたでしょうか？
まだでした。意図を読み取れてなかったです。
SoftEther VPN Serverでクライアントと接続するためには、「VPN Server のホストと通信させ」る必要があるのですね。試してみます。

[subwaypkpk]

cedarさん

お世話になっております。

すみません、ローカルブリッジとtapデバイスの作成についてなのですが、これってbridgeCreateでtapデバイスを作成したのち、vpnserverを入れているサーバーのコマンドプロンプトからifconfigするとtap_xxxという感じでtapデバイスが表示される認識で合っていますでしょうか。

その認識で進めていたのですが、ifconfigにtap_xxxという名前のデバイスが表示されず困っています。何か前提となる作業があったりするのでしょうか。


DHCPを無効化したり、

Code: Select all

ip tuntap add mode tap tap名

したりしてみているのですが、どちらもうまく行きませんでした。
（前者は結果変わらず、後者はbridgeCreateコマンドで同tap名を指定するとエラーになる）

お手を煩わせて申し訳ないのですが、よろしくお願いします。

[cedar]

手順としては間違っていないと思います。
vpnserver は root 権限で動作しているでしょうか。

[subwaypkpk]

cedarさん

VPSにrootユーザーで入り、VPNServerを起動しています。
手順としては間違ってないとのことですので、一旦新しいHubを立ててクリーンな状態で試してみようかなと思います。
どうもありがとうございます。

追記：
あとすみません、作成したBridgeをBridgeListで見てみるとエラー状態となっていました。
まだifconfigでIPの設定ができていなかったのでそういうものかと思っていたんですが、これは関係していたりするんでしょうか。
なお、「3.6.9 tap デバイスの使用」に書いてある必要条件は確認済みで、CentOS7系のKUSANAGIであるため「Universal TUN/TAPデバイス」はカーネルに組み込まれていると思いますし、「/dev/net/tun ファイル」も存在を確認しています。

[cedar]

Tap は（仮想）イーサネットデバイスなので、IP アドレスが無くても動作します。

既存のTapデバイスが存在するときにエラーになるということなので、/TAP オプションの指定忘れでもないかと思います。
root ユーザーなので tun デバイスのパーミッション不足ということもないと思いますし、ちょっと原因が分かりません。

[subwaypkpk]

cedarさん

お世話になっております。
TAPデバイスの作成なのですが、あのあと新しいHUBを立てて試したところ無事、作成できました。エラーにならず、ifconfigからも見えています。

次は
> できた tap デバイスに仮想 HUB 内の IP アドレスを設定してください。

というところかと思います。

作業としては仮想HUBの設定でそのHUBの持つIPアドレスの範囲を192.168.0.xみたいな感じで指定して、その中の一つをifconfigでTAPデバイスに設定してやるのかだろうと考えています。

ただ、コマンドの一覧や「3.4 仮想 HUB の機能」を読んでいますと、IPを設定する箇所が見当たりません。HubListで見れる仮想HUBのステータスにもIPの範囲っぽいのはなく、IPテーブル数、セッション数はそれっぽいかと思ったのですが説明を読んで見る限りIPアドレスの範囲を指定しているふうではありません。

初歩的な質問ばかりで申し訳ないのですが、こちらはどのように設定すれば良いのでしょうか。もしくは認識に間違いがあればご指摘いただきたいです。

以上になります。どうぞよろしくお願いします。

[cedar]

仮想HUBは、普通のLANで言うスイッチングハブに相当する機能です。
このため、仮想HUB自体は(基本的には)IP層の設定を持ちませんので、設定の必要はありません。
(SecureNAT 使用時には SecureNAT の仮想ホストはIPアドレスの設定を持ちますが、今は設定されていないはずです。)