質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
VPN

VPN(Virtual Private Network)は、仮想プライベートネットワークとも呼ばれ、インターネットに接続してるユーザー間に仮想的な通信トンネルを構築した組織内ネットワークです。認証や暗号化を用いて通信経路を保護し安全なネットワークの構築ができます。

Linux

Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

ネットワーク

ネットワークとは、複数のコンピューター間を接続する技術です。インターネットが最も主流なネットワークの形態で、TCP/IP・HTTP・DNSなどの様々なプロトコルや、ルータやサーバーなどの様々な機器の上に成り立っています。

Q&A

解決済

1回答

554閲覧

外部からOpenVPNサーバに繋いで、直接VMにアクセスできるようにしたい

teketeke

総合スコア46

VPN

VPN(Virtual Private Network)は、仮想プライベートネットワークとも呼ばれ、インターネットに接続してるユーザー間に仮想的な通信トンネルを構築した組織内ネットワークです。認証や暗号化を用いて通信経路を保護し安全なネットワークの構築ができます。

Linux

Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

ネットワーク

ネットワークとは、複数のコンピューター間を接続する技術です。インターネットが最も主流なネットワークの形態で、TCP/IP・HTTP・DNSなどの様々なプロトコルや、ルータやサーバーなどの様々な機器の上に成り立っています。

0グッド

0クリップ

投稿2017/12/04 01:08

編集2017/12/04 10:34

###前提・実現したいこと
OpenVPNサーバを使って、外部から直接VMにアクセスできるようにしたいです。
現在以下の問題があるのですが、どこの設定を修正すれば良いかおわかりになる方はいらっしゃいますでしょうか。

また、問題の切り分けの為に実施した方が良いものがあればご教授いただけますでしょうか。

###発生している問題・エラーメッセージ
OpenVPNサーバに接続した外部のクライアントAからVM(CentOS7)に対して直接「ping」「ssh」は可能ですが、ブラウザからhttp/httpsの接続をすることができません。
ブラウザから接続をすると、「応答時間が長すぎます」を表示されます。

###試したこと
・内部のクライアントBからはhttp/https接続に問題ない
・クライアントAからクライアントBにRDPで繋いでクライアントBからの接続は問題ない
・該当VMのFWを停止しても変わらない
・別のVMには接続できた(ネットワークが異なる)
・L3、L2スイッチにアクセスリストの設定は無い(ciscoなので「show access-lists」を実行し、何も表示されないことを確認)

###補足情報(言語/FW/ツール等のバージョンなど)
ネットワークの構成図のようなものを添付致します。
イメージ説明

追記1
・クライアントAからOpenVPNに接続後、ブラウザで接続するとVM側のaccess.log,error.logともにログは出てきませんでした。
追記2
・curlの結果タイムアウトになりました。
curl.exe 172.16.100.100
curl: (7) Failed to connect to 172.16.100.100 port 80: Timed out
・nmapの結果tcp80につながらないようです。
ーー
nmap -p 80 172.16.100.100
Starting Nmap 7.60 ( https://nmap.org ) at 2017-12-04 16:40 ???? (?W?€??)
Nmap scan report for 172.16.100.100
Host is up (0.068s latency).

PORT STATE SERVICE
80/tcp filtered http

Nmap done: 1 IP address (1 host up) scanned in 5.63 seconds
ーー

追記3
・サーバはnginxを使用しています。
・tracertの結果を見ると問題無いように見えます。

tracert 172.16.100.100

172.16.100.100 へのルートをトレースしています。経由するホップ数は最大 30 です
1 60 ms 57 ms 56 ms 10.88.1.1 (OpenVPN)
2 63 ms 55 ms 59 ms 172.16.251.10 (L3)
3 75 ms 57 ms 77 ms 172.16.100.100

追記4
・クライアントAから接続した時は/var/log/nginx/のaccess.logとerror.logのどちらにもログは出ていませんでした。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

m_yoko

2017/12/04 01:38

クライアントA側からVMにアクセスした際のVM側のhttpサーバのログ等はどうなっていますか?クライアントAからのパケット自体は到達していますか?レスポンスは返していますでしょうか?
m_yoko

2017/12/04 06:44

curlやnetcatで80へのアクセスはどうなっておりますでしょうか?nmapで80にスキャンかけて結果をお願い致します。httpサーバは何をお使いでしょうか
m_yoko

2017/12/04 08:19

filterdになる場合パケットがどこかで消えているか、遮断されています。疎通が本当に行えているでしょうか?tracerouteで経路を一度確認していただけますか?
m_yoko

2017/12/04 10:28

httpのパケットはnginxまでは到達していますでしょうか?nginxのログの参照をお願い致します
m_yoko

2017/12/05 01:21

VMサーバーとクライアント側でなんらかのフィルタリングが行われているような気がします。どちらもパケットのダンプ(tcpdumpやwireshark等)を行ってパケットが流れているか調査お願い致します
guest

回答1

0

自己解決

m_yoko様

回答いただきありがとうございます。

FWなどの設定を再確認したところ、OpenVPNのiptablesで該当ネットワーク宛ての通信が許可されていませんでした。
お騒がせ致しました。
※pingはともかくsshが全てに通っているのはポリシー的に問題あるような気がしますが。

iptablesで許可したところ無事に接続できました。
ありがとうございました。

投稿2017/12/06 08:16

teketeke

総合スコア46

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問