- - PR -
OpenVPNとパーソナルファイアーウォール
| 投稿者 | 投稿内容 | ||||||||
|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2005-09-19 06:29
こんにちは。いつも参考にさせて頂いております。
OpenVPN2.0.2を使用してサーバを構築しております。 証明書の発行(TLS)、クライアント(Windows版Ope nVPN)からVPNサーバへの接続については正常に行え る事を確認したのですが、一つ困った現象が発生し ております。 クライアント側にウィルスバスター2005インターネッ トセキュリティをインストールしているのですが、 パーソナルファイアーウォールを有効にするとトン ネルを通しての通信が一切できなくなります。トン ネルを通さない通信については、正常に行えます。 このような現象に遭遇した方、解決方法をご存知で あればご教示願います。 | ||||||||
|
投稿日時: 2005-09-19 17:13
こんにちわ.
その Firewall を利用していないので間違っているかもしれませんが, localhost 宛ての通信を許可してやらないとならないとか? 或いは localhost からの通信を許可してやるとか? 通信の流れに従って,その Firewall が抑制している通信を 許可してやればよいのではないかと. Firewall の log を参照すれば,その流れもわかるのでは? | ||||||||
|
投稿日時: 2005-09-19 22:51
kazさん。ご回答ありがとうございます。
ウィルスバスターのログを確認してみましたが、 特に制限にひっかかっているような痕跡はあり ません。 また不思議な事にnslookpuを起動してOpenVPN サーバ内で稼働しているBINDにクエリーを行っ たところレスポンスが返ってきました。 これってUDPのみトンネルを通して通信できて いるってことですよね? #何故にICMP、TCPのみトンネルを通れないの #でしょうか? では、では。 [ メッセージ編集済み 編集者: American 編集日時 2005-09-19 22:51 ] | ||||||||
|
投稿日時: 2005-09-19 23:12
こんばんは。
私も、OpenVPN を最近使用して、通信不能という不可解なトラブルに巻き込まれたことがあります。 今でも原因は不明なのですが、MTU 関連のパラメータを小さくすることでその時は改善しました。 一応、色々試してみると良いかな、と。 以上、ご参考まで。 | ||||||||
|
投稿日時: 2005-09-20 00:49
おぉっと、大事な事を忘れていました。
大前提として、通信を試すときには、ちゃんと解析材料を残さないと、ですね。
確かに仰る通りの症状に見えますが、これだけでは判断を下すに性急かと。
これだけを見ると、OpenVPNサービスの通信が、パーソナルファイアーウォールにブロックされている ( もしくは TAN/TUPアダプタの通信がブロックされている ) というのが第一感でして、症状に一貫性が見出せないためです。 通信を試すときには、クライアント・サーバ両方で ethereal, tcpdump 等でパケットキャプチャをした方が良いと思います。 ※それも、実在のLANアダプタと、TUN/TAPアダプタを両方並行して、です。 OpenVPN の通信を解析するのは困難なのですが… ( 暗号化されているし )、 通信の有無が分かるだけでも大きいと思います。 ※ verb の設定値を上げて、OpenVPN本体の詳細なログを採っても良いですね… 上げ過ぎると訳分からなくなりますけど。 | ||||||||
|
投稿日時: 2005-09-20 03:42
angelさん。ご回答ありがとうございます。
angelさんが対応した時と同様なケースとは言い切れませんが MTU関連のパラメータを公開いただけないでしょうか。 | ||||||||
|
投稿日時: 2005-09-20 10:16
おはようございます。
パラメータを公開するのは別に構わないですよ。 一応、設定した OpenVPN2 の全パラメータを挙げておきましょう。 ( 但し一部伏せますが ) ご利用は計画的に、かつ自己責任でお願いします。( 常套句 ) ○サーバ側設定 ( Linux ) local サーバIPアドレス port サーバポート番号 proto udp dev tap ca CA証明書ファイル名 cert サーバ証明書ファイル名 key サーバ証明書と対になる私有鍵ファイル名 dh DH鍵交換パラメータファイル #↓クライアントに割り振るアドレスの空間 server ネットワークアドレス ネットマスク ifconfig-pool-persist クライアント毎のアドレス対応ファイル名 keepalive 10 120 max-clients 10 user サーバプロセス動作ユーザ名 group サーバプロセス動作グループ名 persist-key persist-tun tun-mtu 1400 fragment 1280 mssfix 1280 verb 5 ○クライアント側設定 ( Windows ) dev tap proto udp remote サーバドメイン名 サーバポート番号 resolv-retry infinite nobind persist-key persist-tun tun-mtu 1400 fragment 1280 mssfix 1280 ca CA証明書ファイル名 cert クライアント証明書ファイル名 key クライアント証明書と対になる私有鍵ファイル名 verb 3 | ||||||||
|
投稿日時: 2005-09-21 06:15
angelさん。ご返信ありがとうございます。
公開頂いた設定をこちらの環境に移植してみましたが 不具合解消となりません。 #サーバのTUNデバイスに割り当てられているIPへの #Pingさえ通りません。 やはりTAPドライバとウィルスバスターの相性の問題 なのでしょうか。 **********************サーバ設定********************** daemon mode server proto udp port 5500 dev tap server VPN内でのサブネット 255.255.255.0 float ifconfig-pool-persist ipp.txt push "route 社内サブネット 255.255.255.0 VPN内でのサーバアドレス" push "dhcp-option DNS VPN内でのサーバアドレス" comp-lzo tls-server ca CA証明書 cert サーバ証明書 key サーバ秘密鍵 dh DH鍵交換ファイル inactive 600 verb 3 keepalive 10 120 tun-mtu 1400 fragment 1280 mssfix 1280 **********************クライアント設定********************** client remote aaa.bbb.ccc.ddd proto udp port 5500 dev tap tun-mtu 1400 fragment 1280 mssfix 1280 tls-client ca CA証明書 cert クライアント証明書 key クライアント秘密鍵 ns-cert-type server comp-lzo resolv-retry infinite nobind persist-key pull float verb 4 [ メッセージ編集済み 編集者: American 編集日時 2005-09-21 06:17 ] | ||||||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。