GreenZONEへ通信できない。（OpenVPNとvpnux Connecter Lite）

[taj...@gmail.com]

初めまして

神田ともうします。

Endian CommunityをダウンロードしOpnenVPNの
設定を下記を参考に設定してみました。

http://www.plum-systems.co.jp/endian-community/vpn.html

無事に接続はできたのですがClientからEndianのインターフェースまでは
Pingが通るのですがEndianのGreenゾーンにまったく通信ができません。

調べた結果、通常のVPNClientと同様に自信に割り振られた
IPにルーティングされるようになっているのですが、なぜか
Endianのインターフェース以外への通信はPCの上のあるDGWへ
パケットがながれてしまい通信ができないことがわかりました。

アカウント設定にある「すべてのトラフィックをVPNサーバー経由にする:」も
効果がなく理由がわかりません。


PCClient　10.0.0.160
PC上のDGW 10.3.1.1

Client：Windows 7 Pro

Endian eth0：Green　10.0.0.1/24
Endian eth1： Main（UpLink）　グローバルIP

----PC上のnetstat -nr------
IPv4 ルート テーブル
===========================================================================
アクティブ ルート:
ネットワーク宛先        ネットマスク          ゲートウェイ       インターフェイ
ス  メトリック
          0.0.0.0          0.0.0.0         10.3.1.1        10.3.1.99     10
         10.0.0.0    255.255.255.0            リンク上        10.0.0.160    286
       10.0.0.160  255.255.255.255            リンク上        10.0.0.160    286
       10.0.0.255  255.255.255.255            リンク上        10.0.0.160    286

--------------------
tracert 10.0.0.1
10.0.0.1 へのルートをトレースしています。経由するホップ数は最大 30 です
  1     4 ms     4 ms     4 ms  10.0.0.1
トレースを完了しました。

tracert 10.0.0.10
10.0.0.10 へのルートをトレースしています。経由するホップ数は最大 30 です
  1    <1 ms    <1 ms    <1 ms  10.3.1.1
  2     3 ms     2 ms     3 ms  ******
  3  ^C

[Michiro Tsunashima]

神田様

こんばんは、綱島です。

ルーティングテーブルを拝見しましたが、

10.0.0.0のゲートウェイが正しく設定されてないようです。

コマンドプロンプトから手動で以下を追加した場合はいかがでしょうか。

route add 10.0.0.0 mask 255.255.255.0 10.0.0.1

vpnux Connectorとの相性もあるかもしれないですね…

試しにOpenVPN GUI for Windowsでテストされるのも良いかもしれません。

2013年2月18日月曜日 11時58分43秒 UTC+9 taj...@gmail.com:

[taj...@gmail.com]

綱島様

 

ご連絡ありがとうございます。

 

わたしもそうは思いまして色々ルーティング追加したのですが

現象がかわりませんでした。

          0.0.0.0          0.0.0.0         10.3.1.1        10.3.1.99     10
         10.0.0.0    255.255.255.0            リンク上        10.0.0.160    286

         10.0.0.0    255.255.255.0         10.0.0.1       10.0.0.160     31　　←追加

       10.0.0.160  255.255.255.255            リンク上        10.0.0.160    286
       10.0.0.255  255.255.255.255            リンク上        10.0.0.160    286

 

またvpnux Connectorのツイッターを見るとOpenVPNのクライアントでも

同様の現象が出ているらしくイマイチ的を得ない状況のようです。

※そこではルーティングを消して書き直すとうまくいくと書いてあったのですが、それもNGでした。

 

今のところWindows7でしか試していないのでWinXPを準備して

ためしてみます。

 

 

 

 

2013年2月18日月曜日 23時44分27秒 UTC+9 Michiro Tsunashima:

[seafay]

To: 神田様

高橋＠seafay です。

私の環境での問題については解決ができたので、ご報告します。

当方の環境はESXi 上にVMとして構築していたために発生した問題のようです。

以下のURLに書かれているとおり、接続対象のvSwichの設定の

プロミスキャス（無差別）モードを拒否から承諾に変更するとルーティングの設定を行わなくても良くなりました。

http://wiert.me/2010/10/12/endian-firewall-connected-client-can-access-efw-but-no-other-hosts/

以上です。

2013年2月24日 19:14 seafay <seafay...@gmail.com>:

To: 神田様

高橋@seafay と申します。

私も、Endian FW 2.5.1 環境において、同様の事象に遭遇しています。

現状の回避策として、以下のVPN接続後に対応で接続すること自体は可能になってます。

ですが、クライアントの問題ではなく、Endian側の問題のようではあるのですが

根本的な回避策については不明なので、恒久対策を知りたいところです。

# TAP IFのID確認

route print 

インターフェイス一覧

27...00 00 00 00 00 00 ......TAP-Win32 Adapter V9

# VPNクライアントで接続後に一度、ルーティングを削除

route delete VPN接続先NW

# 改めてIFを指定して登録

route add VPN接続先NW mask VPN接続先NWマスク VPN接続先GW if 27

以上です。

2013年2月19日 10:00 <taj...@gmail.com>:

--
このメールは Google グループのグループ「Endian Firewall Community Japan Users Group」の登録者に送られています。
このグループから退会し、メールの受信を停止するには、endian-firewall-community-j...@googlegroups.com にメールを送信します。
その他のオプションについては、https://groups.google.com/groups/opt_out にアクセスしてください。
 
 

[seafay]

To: 神田様

高橋@seafay と申します。

私も、Endian FW 2.5.1 環境において、同様の事象に遭遇しています。

現状の回避策として、以下のVPN接続後に対応で接続すること自体は可能になってます。

ですが、クライアントの問題ではなく、Endian側の問題のようではあるのですが

根本的な回避策については不明なので、恒久対策を知りたいところです。

# TAP IFのID確認

route print 

インターフェイス一覧

27...00 00 00 00 00 00 ......TAP-Win32 Adapter V9

# VPNクライアントで接続後に一度、ルーティングを削除

route delete VPN接続先NW

# 改めてIFを指定して登録

route add VPN接続先NW mask VPN接続先NWマスク VPN接続先GW if 27

以上です。

2013年2月19日 10:00 <taj...@gmail.com>:

綱島様

--