【AWS】OpenVPNにてコネクションは張れたが、AWS上のプライベートなインスタンス(Linux Server)へpingが通らない

[佐々木紀彰]

初めまして、掲題の通り、AWS上でOpenVPNを利用して開発環境の構築途中、コネクションは張れたのですが、プライベーとなインスタンスへアクセスできない。という状況です。

おそらく、OpenVPNサーバ内のserver.confの書き方が悪く、ルーティングがうまくいっていないと推測しているのですが、どのように修正したら良いか打つ手がなくなってしまいました。

どなたか、お知恵を貸していただけると助かります。

よろしくお願いします。

[Taro Yamazaki]

こんにちは、やまざきです。

いくつかのケースが考えられますが、切り分けとして...

[1] VPNサーバー ⇒ WebサーバーへのPING疎通確認
[2] VPN接続中のVPNクライアントのルーティングテーブルの確認（Webサーバーのアドレスブロック 172.31.30.0/24 宛てが正しく定義され、クライアントにプッシュされているか）
[3] VPNサーバーでのIP Forwardingが正しく設定できているかの確認（IP Forwadingの有効化/ファイアウォール設定など）
[4] Webサーバーのルーティングテーブルの確認（VPNクライアントのアドレスブロック 10.8.0.0/24 宛てが正しく定義されているか）

といったあたりからご確認いただくとよろしいかと思います。

> --
> このメールは Google グループのグループ「OpenVPN Japan Users Group」に登録しているユーザーに送られています。
> このグループから退会し、グループからのメールの配信を停止するには openvpn-japan-user...@googlegroups.com <mailto:openvpn-japan-user...@googlegroups.com> にメールを送信してください。
> その他のオプションについては https://groups.google.com/d/optout にアクセスしてください。

--
::
:: Taro Yamazaki [ ta...@plum-systems.co.jp ]
::
:: Plum Systems Inc.
:: 2-3-11-2F, Kurihira, Asao-ku,
:: Kawasaki, Kanagawa
:: http://www.plum-systems.co.jp/

[佐々木紀彰]

やまざき様

お返事ありがとうございます。

また、ご連絡おそくなってしまい申し訳ありません。

頂いた切り分け方法、実施させて頂きました。(大変参考になりました！)

①②まではうまくいったのですが、③のフォワーディングが上手くいきませんでした。(もしかしたら③はうまくいっていて④で止まってしまっているのかもしれませんが、確かめる術がなく、③と記載させて頂きます。)

VPNのクライアントとなるクライアントPC(Windows)で"route PRINT"を実行したところ、Webサーバが属するサブネットへのルート(172.31.30.0/24)は設定されているようです。

で、一点気になるのが、VPNコネクションを張る際に、VPNサーバ(AWS上のLinux、グローバルIPは"XX.XX.XX.XX"、プライベートIPは"172.31.10.10"です)、クライアント(手元のWindows PC)双方に10.8.0.X/24のIPを割り振っているのですが、VPNクライアント(10.8.0.6)➡VPNサーバ(10.8.0.1)へのpingは成功するのに、VPNサーバ(10.8.0.1)➡VPNクライアント(10.8.0.6)へのpingは失敗します。

VPN サーバ上でのIPフォワーディングの設定はこのサイト(http://redhatlinux.kt.fc2.com/cont/router.htm)を参考に実施し、IPフォワーディング自体はできているが、上記のpingが通らないことにより疎通がうまくいっていないという仮説を立てており、こちらをどう解決するか考えているのですが、いかがでしょうか？

もはやOpenVPNの質問から離れてしまっている気もするのですが、お返事頂けると大変助かります。

よろしくお願い致します。

2018年10月9日火曜日 16時23分24秒 UTC+9 Taro Yamazaki:

こんにちは、やまざきです。

いくつかのケースが考えられますが、切り分けとして...

[1] VPNサーバー ⇒ WebサーバーへのPING疎通確認
[2] VPN接続中のVPNクライアントのルーティングテーブルの確認（Webサーバーのアドレスブロック 172.31.30.0/24 宛てが正しく定義され、クライアントにプッシュされているか）
[3] VPNサーバーでのIP Forwardingが正しく設定できているかの確認（IP Forwadingの有効化/ファイアウォール設定など）
[4] Webサーバーのルーティングテーブルの確認（VPNクライアントのアドレスブロック 10.8.0.0/24 宛てが正しく定義されているか）

といったあたりからご確認いただくとよろしいかと思います。


On 2018/10/07 13:52, 佐々木紀彰 wrote:
> 初めまして、掲題の通り、AWS上でOpenVPNを利用して開発環境の構築途中、コネクションは張れたのですが、プライベーとなインスタンスへアクセスできない。という状況です。
>
> おそらく、OpenVPNサーバ内のserver.confの書き方が悪く、ルーティングがうまくいっていないと推測しているのですが、どのように修正したら良いか打つ手がなくなってしまいました。
>
> どなたか、お知恵を貸していただけると助かります。
>
> よろしくお願いします。
>
> --
> このメールは Google グループのグループ「OpenVPN Japan Users Group」に登録しているユーザーに送られています。

> このグループから退会し、グループからのメールの配信を停止するには openvpn-japan-users-group+unsub...@googlegroups.com <mailto:openvpn-japan-users-group+unsubscribe@googlegroups.com> にメールを送信してください。

[山崎 太郎]

こんにちは、やまざきです。

> で、一点気になるのが、VPNコネクションを張る際に、VPNサーバ(AWS上のLinux、グローバルIPは"XX.XX.XX.XX"、プライベートIPは"172.31.10.10"です)、クライアント(手元のWindows PC)双方に10.8.0.X/24のIPを割り振っているのですが、VPNクライアント(10.8.0.6)➡VPNサーバ(10.8.0.1)へのpingは成功するのに、VPNサーバ(10.8.0.1)➡VPNクライアント(10.8.0.6)へのpingは失敗します。

こちらですが、Windows PC側がPING(ICMP）をブロックしている、という可能性はないでしょうか？
WindowsファイアウォールやセキュリティソフトウェアでPINGをブロックしているケースがよくあります。

VPNサーバー⇒VPNクライアント間のVPNアドレスのPINGが成功しているということなので、VPN接続と疎通は問題ないと思われます。

となるとやはりVPNサーバーのルーティング設定ですが、AWSということなので、AWSのネットワーク設定に起因している可能性もあるかもしれません。Elastic Network InterfaceのSource/Destination Check設定、あとはセキュリティグループやルートテーブルなどでしょうか。

On 2018/10/12 11:22, 佐々木紀彰 wrote:
> やまざき様
>
> お返事ありがとうございます。
> また、ご連絡おそくなってしまい申し訳ありません。
>
> 頂いた切り分け方法、実施させて頂きました。(大変参考になりました！)
> ①②まではうまくいったのですが、③のフォワーディングが上手くいきませんでした。(もしかしたら③はうまくいっていて④で止まってしまっているのかもしれませんが、確かめる術がなく、③と記載させて頂きます。)
>
> VPNのクライアントとなるクライアントPC(Windows)で"route PRINT"を実行したところ、Webサーバが属するサブネットへのルート(172.31.30.0/24)は設定されているようです。
>
> で、一点気になるのが、VPNコネクションを張る際に、VPNサーバ(AWS上のLinux、グローバルIPは"XX.XX.XX.XX"、プライベートIPは"172.31.10.10"です)、クライアント(手元のWindows PC)双方に10.8.0.X/24のIPを割り振っているのですが、VPNクライアント(10.8.0.6)➡VPNサーバ(10.8.0.1)へのpingは成功するのに、VPNサーバ(10.8.0.1)➡VPNクライアント(10.8.0.6)へのpingは失敗します。
>
> VPN サーバ上でのIPフォワーディングの設定はこのサイト(http://redhatlinux.kt.fc2.com/cont/router.htm)を参考に実施し、IPフォワーディング自体はできているが、上記のpingが通らないことにより疎通がうまくいっていないという仮説を立てており、こちらをどう解決するか考えているのですが、いかがでしょうか？
>
> もはやOpenVPNの質問から離れてしまっている気もするのですが、お返事頂けると大変助かります。
>
> よろしくお願い致します。
>
> 2018年10月9日火曜日 16時23分24秒 UTC+9 Taro Yamazaki:
>
>
> こんにちは、やまざきです。
>
> いくつかのケースが考えられますが、切り分けとして...
>
> [1] VPNサーバー ⇒ WebサーバーへのPING疎通確認

> [2] VPN接続中のVPNクライアントのルーティングテーブルの確認（Webサーバーのアドレスブロック 172.31.30.0/24 <http://172.31.30.0/24> 宛てが正しく定義され、クライアントにプッシュされているか）

> [3] VPNサーバーでのIP Forwardingが正しく設定できているかの確認（IP Forwadingの有効化/ファイアウォール設定など）

> [4] Webサーバーのルーティングテーブルの確認（VPNクライアントのアドレスブロック 10.8.0.0/24 <http://10.8.0.0/24> 宛てが正しく定義されているか）

>
> といったあたりからご確認いただくとよろしいかと思います。
>
>
> On 2018/10/07 13:52, 佐々木紀彰 wrote:
> > 初めまして、掲題の通り、AWS上でOpenVPNを利用して開発環境の構築途中、コネクションは張れたのですが、プライベーとなインスタンスへアクセスできない。という状況です。
> >
> > おそらく、OpenVPNサーバ内のserver.confの書き方が悪く、ルーティングがうまくいっていないと推測しているのですが、どのように修正したら良いか打つ手がなくなってしまいました。
> >
> > どなたか、お知恵を貸していただけると助かります。
> >
> > よろしくお願いします。
> >
> > --
> > このメールは Google グループのグループ「OpenVPN Japan Users Group」に登録しているユーザーに送られています。

> > このグループから退会し、グループからのメールの配信を停止するには openvpn-japan-user...@googlegroups.com <javascript:> <mailto:openvpn-japan-user...@googlegroups.com <javascript:>> にメールを送信してください。
> > その他のオプションについては https://groups.google.com/d/optout <https://groups.google.com/d/optout> にアクセスしてください。
>
> --
> ::
> :: Taro Yamazaki [ ta...@plum-systems.co.jp <javascript:> ]

> ::
> :: Plum Systems Inc.
> ::  2-3-11-2F, Kurihira, Asao-ku,
> ::  Kawasaki, Kanagawa

> ::  http://www.plum-systems.co.jp/ <http://www.plum-systems.co.jp/>

>
> --
> このメールは Google グループのグループ「OpenVPN Japan Users Group」に登録しているユーザーに送られています。

> このグループから退会し、グループからのメールの配信を停止するには openvpn-japan-user...@googlegroups.com <mailto:openvpn-japan-user...@googlegroups.com> にメールを送信してください。