リモートアクセスVPNでの同セグ通信が失敗する

業務のテレワーク化が進んできていることもあり、
あまり触ったことのないリモートアクセスVPNを検証していた。

SSL-VPNやIPsecでのリモートアクセスはちょこっと構築したことがあったので、
最近はあまり使われなくなったPPTPやL2TP/IPsecを使用して、
接続先のLANセグメントと同一セグメントにしてみたかったのである。

ちなみに使用したのはVyOSのバージョン1.1.8である。

設定方法はここでは割愛するが、結果として同セグ通信が上手く行かなかった。
なのでここではトラブルシューティングした内容をメモしておく。

今更PPTPやL2TP/IPsecを使用してリモートアクセスすることも少ないとは思うが・・・。


調査1:異なるセグメントを払い出してみる


同一セグメントにしたいのにこれをやっちゃぁ元も子もないが、
VPNの設定に問題が無いことを確認するには有用かと思われる。

結果:問題なく通信できた。

ということで、VPNの設定には問題はなさそうだ。
異セグであれば通信可能ということで同セグであることが問題なのは明らかだ。


調査2:LAN側機器にルーティングを追加してみる


色々とPingなど打って確認していたところ、
リモートPCへ払い出したアドレスからルータのLAN側アドレスへは通信可能だった。

ということはLAN内の機器が応答を返せていない可能性が高い。

同一セグメント設定なので、LAN内の機器からはConnectで認識されている。
しかし通信できないということで、
LAN内の機器にリモートPC宛のホストルートを設定してみた。

結果:問題なく通信できた。

むむ・・・これはARP解決できていないのか?
ということで、LAN内の機器でARPテーブルを確認したところ、
なんとリモートPCのアドレスは"Incomplete"となっていた。
あらら、これじゃ確かに通信できないわ。


調査3:ルータのLAN側インターフェースの設定を確認


NATで同一セグメントにする場合も同じようなことが言えるが、
実際は同一セグメント内に無いのにあるように見せかけるには、
ゲートウェイとなっている機器(今回の場合はルータ)のLAN側インターフェースにて
Proxy ARPが有効になっている必要がある。

Cisco機器ではデフォルト有効になっていて、
環境によっては変に代理応答してしまうことがあるので無効にすることも多いかと思う。
なので自分の中では「Proxy ARPは邪魔なら無効にする」という認識が強かった。

今回使用したルータのVyOSはConfig上特に何も表示されていなかったので
当然Proxy ARPも有効になっているものと思い込んでいた。

確認するshowコマンドが見当たらない・・・ので、
諦めてConfigモードのヘルプで確認していたところ、
以下のような記述を見つけた。

[edit]
vyos@vyos# set interfaces ethernet eth1 ip
Possible completions:
arp-cache-timeout
ARP cache entry timeout in seconds
disable-arp-filter
Disable arp-filter on this interface
enable-arp-accept
Enable arp-accept on this interface
enable-arp-announce
Enable arp-announce on this interface
enable-arp-ignore
Enable arp-ignore on this interface
enable-proxy-arp
Enable proxy-arp on this interface
> ospf Open Shortest Path First (OSPF) parameters
proxy-arp-pvlan
Enable private VLAN proxy ARP on this interface
> rip Routing Information Protocol (RIP)
source-validation
Policy for source validation by reversed path, as specified in RFC3704


"enable-proxy-arp"ということはVyOSはデフォルト無効なのか。

ということで、以下コマンドを入力してProxy ARPを有効にする。

set interfaces ethernet eth1 ip enable-proxy-arp


これで確認したところ、あっさりと通信できるようになった。


今回はProxy ARPはデフォルト有効だろうと勝手に思い込んでいた自分のミスだ。
ついついCisco基準で考えてしまうので、気をつけなければいけないなぁ・・・。


以上。



できるテレワーク入門 在宅勤務の基本が身に付く本


人気記事