サーバ側LANの他ホストのサービスに接続できない

560 views
Skip to first unread message

Kenichiro YOSHITOMI

unread,
Aug 9, 2014, 7:22:55 AM8/9/14
to openvpn-japa...@googlegroups.com
お世話になります。

freebsdをopenvpnサーバとし、iPhone/iPadをクライアントとしてopenvpnを利用しています。
クライアントにてvpnは確立し、openvpnサーバ上のサービスにはアクセスできるのですが、
openvpnサーバと同一LANに接続されているサーバ上のサービスにアクセスできません。

・クライアント→LAN上のサーバへのpingは通り、iOSのポートスキャンアプリでも該当ポート(ssh,smtp,httpなど)は
 応答ありと表示されるのですが、実際のssh,webアクセスやメール送受信はできません。
・openvpnサーバ上でtun0インターフェイスのキャプチャをtcdumpコマンドで行うとtun0からパケットを
 送出しているのでフォワーディングには問題なさそうです。
・LAN上のサーバにクライアントのアドレス空間(192.168.100.0/24)への静的経路は設定済みです。
・openvpnサーバ上でパケットフィルタなどファイアウォール的なものは動作していません。
・添付"client.conf” 中の”hogehoge.example.jp”は実際にはfqdnを書いており、ddnsサービスで名前解決可能な状態です。

対処法をご教示いただけませんでしょうか。

環境は以下の通りです。

#ソフトウェア
openvpnサーバ:freeBSD 10.0-RELEASE-p7 OpenVPN 2.3.4 amd64-portbld-freebsd10.0
クライアント:iPhone5s/iPad mini iOS7.1.1 openvpn connect 1.0.4

#ネットワーク
openvpnサーバ:(物理)10.0.100.201/24 (tun0)192.168.100.1
メールサーバ:10.0.100.203/24
webサーバ:10.0.100.204/24
ゲートウェイ:10.0.100.201

クライアント:192.168.100.6, 192.168.100.10


client.conf
server.conf

Kenichiro YOSHITOMI

unread,
Aug 10, 2014, 11:24:12 PM8/10/14
to openvpn-japa...@googlegroups.com
プロトコルをtcpに変更するなど試行錯誤していたところ、接続できていないわけではなく、
ものすごく遅い(sshセッションが開くまでに約一分)ことまでは分かりましたが
対処法が見つからず、わたしの環境では実用にたえないという結論になりました。
pptpなど別の方法を模索することにします。
ありがとうございました。

Taro Yamazaki

unread,
Aug 11, 2014, 12:44:27 AM8/11/14
to openvpn-japa...@googlegroups.com

こんにちは、やまざきです。

・LAN上のサーバー⇒VPNクライアントへのPINGや通信は問題なく行えるでしょう
か?

・iOS以外のVPNクライアントで接続した場合の挙動はいかがでしょうか?

・VPNサーバーのログに何か手がかりになりそうな出力はないでしょうか? VPN
接続自体は安定しているということでよろしいでしょうか?

もう既に他のオプションを検討しておられるということですが、もしさらに調査
されるようでしたらこのあたりをご確認いただくと手がかりになるかもしれません。

VPN通信が不安定な場合はネットワーク経路上の問題の場合もあります。その場
合は、tun-mtuやmssfixの値を下げてみると改善される場合があります。

なお、TCPはUDPに比べてかなりスループットが落ちます。まだお試しになってい
ないようでしたらこちらの方法もお試しください。

http://yamatamemo.blogspot.jp/2011/05/openvpn-tips-tcp.html

ご参考まで。


On 2014/08/09 20:22, Kenichiro YOSHITOMI wrote:
> お世話になります。
>
> freebsdをopenvpnサーバとし、iPhone/iPadをクライアントとしてopenvpnを利用
> しています。
> クライアントにてvpnは確立し、openvpnサーバ上のサービスにはアクセスできる
> のですが、
> openvpnサーバと同一LANに接続されているサーバ上のサービスにアクセスできま
> せん。
>
> ・クライアント→LAN上のサーバへのpingは通り、iOSのポートスキャンアプリで
> も該当ポート(ssh,smtp,httpなど)は
>  応答ありと表示されるのですが、実際のssh,webアクセスやメール送受信はで
> きません。
> ・openvpnサーバ上でtun0インターフェイスのキャプチャをtcdumpコマンドで行
> うとtun0からパケットを
>  送出しているのでフォワーディングには問題なさそうです。
> ・LAN上のサーバにクライアントのアドレス空間(192.168.100.0/24)への静的経
> 路は設定済みです。
> ・openvpnサーバ上でパケットフィルタなどファイアウォール的なものは動作し
> ていません。
> ・添付"client.conf” 中の”hogehoge.example.jp”は実際にはfqdnを書いてお
> り、ddnsサービスで名前解決可能な状態です。
>
> 対処法をご教示いただけませんでしょうか。
>
> 環境は以下の通りです。
>
> #ソフトウェア
> openvpnサーバ:freeBSD 10.0-RELEASE-p7 OpenVPN 2.3.4
> amd64-portbld-freebsd10.0
> クライアント:iPhone5s/iPad mini iOS7.1.1 openvpn connect 1.0.4
>
> #ネットワーク
> openvpnサーバ:(物理)10.0.100.201/24 (tun0)192.168.100.1
> メールサーバ:10.0.100.203/24
> webサーバ:10.0.100.204/24
> ゲートウェイ:10.0.100.201
>
> クライアント:192.168.100.6, 192.168.100.10
>
>
> --
> このメールは Google グループのグループ「OpenVPN Japan Users Group」に登
> 録しているユーザーに送られています。
> このグループから退会し、グループからのメールの配信を停止するには
> openvpn-japan-user...@googlegroups.com
> <mailto:openvpn-japan-user...@googlegroups.com> にメール
> を送信してください。
> その他のオプションについては https://groups.google.com/d/optout にアクセ
> スしてください。


--
::: Taro Yamazaki [ ta...@plum-systems.co.jp ]
: <Blog> http://yamatamemo.blogspot.jp/
: <LinkedIn> http://www.linkedin.com/in/yamata
-------------------------------------------------------------
: Plum Systems Inc.
: 2-3-11-2F, Kurihira, Asao, Kawasaki, Kanagawa, 215-0031, JAPAN
: http://www.plum-systems.co.jp/
Reply all
Reply to author
Forward
0 new messages