OpenVPNを用いた拠点間VPN接続の方法について

前提・実現したいこと

OpenVPNの環境構築初心者です。
社内の物理的に離れた拠点間ネットワークをOpenVPNを使用して接続することを考えています。

現在、社内にはOpenVPN Serverが1台稼働しています。
このOpenVPN Serverへ接続するための拠点側(クライアント側)の構成イメージは以下を想定しています。
![

クライアント側のWin10Pro端末にOpenVPN Clientをインストールし、稼働させると
問題無く社内へ接続出来、社内サーバーへの参照も可能です。

やりたいことは、OpenVPN ClientでVPN接続できている端末をゲートウェイとして
クライアント側の端末には特に意識することなく社内環境へ接続できる構成です。

発生している問題・エラーメッセージ

Client2のデフォゲを「Client1」に設定し、社内サーバーへ疎通を試みたところ
社内サーバーへ接続できない状態です。
ヒントや、調査方法、試してみるべき設定等あればご教示ください。

試したこと

VPNを接続した状態のClient1のルーティングテーブルは以下のような状態でした。

===========================================================================
インターフェイス一覧
  9...00 ff 7e 71 fb de ......TAP-Windows Adapter V9
 16...54 b2 03 19 4a e0 ......Realtek PCIe GbE Family Controller
  3...fc 77 74 d1 22 9d ......Intel(R) Dual Band Wireless-AC 3168
  7...fc 77 74 d1 22 9e ......Microsoft Wi-Fi Direct Virtual Adapter
 17...fe 77 74 d1 22 9d ......Microsoft Wi-Fi Direct Virtual Adapter #2
 15...fc 77 74 d1 22 a1 ......Bluetooth Device (Personal Area Network)
  1...........................Software Loopback Interface 1
===========================================================================

IPv4 ルート テーブル
===========================================================================
アクティブ ルート:
ネットワーク宛先        ネットマスク          ゲートウェイ       インターフェイス  メトリック
          0.0.0.0          0.0.0.0     192.168.11.1   192.168.11.250    281
         10.8.0.0    255.255.255.0         10.8.0.5         10.8.0.6      5
         10.8.0.4  255.255.255.252            リンク上          10.8.0.6    261
         10.8.0.6  255.255.255.255            リンク上          10.8.0.6    261
         10.8.0.7  255.255.255.255            リンク上          10.8.0.6    261
        127.0.0.0        255.0.0.0            リンク上         127.0.0.1    331
        127.0.0.1  255.255.255.255            リンク上         127.0.0.1    331
  127.255.255.255  255.255.255.255            リンク上         127.0.0.1    331
     192.168.11.0    255.255.255.0            リンク上    192.168.11.250    281
     192.168.11.0    255.255.255.0         10.8.0.5         10.8.0.6      5
   192.168.11.250  255.255.255.255            リンク上    192.168.11.250    281
   192.168.11.255  255.255.255.255            リンク上    192.168.11.250    281
     192.168.61.0    255.255.255.0         10.8.0.5         10.8.0.6      5
        224.0.0.0        240.0.0.0            リンク上         127.0.0.1    331
        224.0.0.0        240.0.0.0            リンク上    192.168.11.250    281
        224.0.0.0        240.0.0.0            リンク上          10.8.0.6    261
  255.255.255.255  255.255.255.255            リンク上         127.0.0.1    331
  255.255.255.255  255.255.255.255            リンク上    192.168.11.250    281
  255.255.255.255  255.255.255.255            リンク上          10.8.0.6    261
===========================================================================
固定ルート:
  ネットワーク アドレス          ネットマスク  ゲートウェイ アドレス  メトリック
          0.0.0.0          0.0.0.0     192.168.11.1     既定
===========================================================================

IPv6 ルート テーブル
===========================================================================
アクティブ ルート:
 If メトリック ネットワーク宛先      ゲートウェイ
  1    331 ::1/128                  リンク上
  9    291 fe80::/64                リンク上
  9    291 fe80::b86c:2641:e631:59ba/128
                                    リンク上
  1    331 ff00::/8                 リンク上
  9    291 ff00::/8                 リンク上
===========================================================================

client1をデフォゲに設定したclient2のルーティングテーブルは以下の状態です。

===========================================================================
インターフェイス一覧
 17...80 fa 5b 64 e7 d5 ......Realtek PCIe GbE Family Controller
 11...a4 c3 f0 c7 87 b6 ......Microsoft Wi-Fi Direct Virtual Adapter
 14...a6 c3 f0 c7 87 b5 ......Microsoft Wi-Fi Direct Virtual Adapter #2
 18...a4 c3 f0 c7 87 b5 ......Intel(R) Dual Band Wireless-AC 3168
  2...a4 c3 f0 c7 87 b9 ......Bluetooth Device (Personal Area Network)
  1...........................Software Loopback Interface 1
===========================================================================

IPv4 ルート テーブル
===========================================================================
アクティブ ルート:
ネットワーク宛先        ネットマスク          ゲートウェイ       インターフェイス  メトリック
          0.0.0.0          0.0.0.0     192.168.11.1   192.168.11.100    291
        127.0.0.0        255.0.0.0            リンク上         127.0.0.1    331
        127.0.0.1  255.255.255.255            リンク上         127.0.0.1    331
  127.255.255.255  255.255.255.255            リンク上         127.0.0.1    331
     192.168.11.0    255.255.255.0            リンク上    192.168.11.100    291
   192.168.11.100  255.255.255.255            リンク上    192.168.11.100    291
   192.168.11.255  255.255.255.255            リンク上    192.168.11.100    291
        224.0.0.0        240.0.0.0            リンク上         127.0.0.1    331
        224.0.0.0        240.0.0.0            リンク上    192.168.11.100    291
  255.255.255.255  255.255.255.255            リンク上         127.0.0.1    331
  255.255.255.255  255.255.255.255            リンク上    192.168.11.100    291
===========================================================================
固定ルート:
  ネットワーク アドレス          ネットマスク  ゲートウェイ アドレス  メトリック
          0.0.0.0          0.0.0.0     192.168.11.1     既定
===========================================================================

IPv6 ルート テーブル
===========================================================================
アクティブ ルート:
 If メトリック ネットワーク宛先      ゲートウェイ
  1    331 ::1/128                  リンク上
  1    331 ff00::/8                 リンク上
===========================================================================
固定ルート:
  なし

・client2のデフォゲをclient1に設定し、pingやtracertを実施し、client1までは到達しますが
VPNネットワークへの通信箇所でパケットロストしていました。
・client1のファイアウォールを無効にしても同じ事象です。
・client1のルーター化は、「Routing and Remote Access」サービスを用いて設定しています。

VPN Serverの設定は以下のようにしています。

port 1194
proto tcp
dev tun
ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/server.crt
key /etc/openvpn/server/server.key
dh /etc/openvpn/server/dh.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.61.0 255.255.255.0"
push "route 192.168.11.0 255.255.255.0"
client-config-dir /etc/openvpn/ccd
route 192.168.11.0 255.255.255.0
client-to-client
duplicate-cn
keepalive 10 120
tls-auth /etc/openvpn/server/ta.key 0 # This file is secret
cipher AES-256-CBC
comp-lzo
max-clients 10
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn-status.log
log         /var/log/openvpn.log
log-append  /var/log/openvpn.log
verb 3

補足

＜VPN構成＞
・VPNは基本となる「tun」で構成させています。

＜その他＞
・その他情報が必要でしたら、情報収集致します。

行動規範の内容に同意します

回答3件

少なくともclient2のGWは上記「route print」結果からすると、client1には向いておらず、router(192.168.11.1)を向いています。
(default)GWはPC1台に1つしか設定できません。Windowsの場合はI/FごとにGW設定がありますが、複数I/Fに異なるGWを設定した場合の動作は不定です。
なので、VPN-NW分についてはroute addで該当NW(10.8.0.0/24)に対してのrouter(=client1)を記述するようにすべきです。

投稿2021/02/25 05:57

KeithF

総合スコア6

自己解決

Linuxサーバを新たに構築し、同様の構成を作成することで意図する動きにすることが出来ました。
本件、クローズします。

投稿2019/05/28 14:15

micmic

総合スコア12

ぱっと見た感じ、サブネットマスクが間違っています。

以下を質問に追記して下さい
イメージ図にインターフェイスのアドレスを記述するとわかりやすいです。
あと、ネットワークアドレスの記述もあると良いです。

投稿2019/05/24 16:36

退会済みユーザー

総合スコア0

micmic

2019/05/24 17:13 編集

すみません、サブネットマスクは記述間違いですね。「255.255.255.0」になっていたかと記憶しています。 VPN Client起動し、接続させた際に自動でルーティングテーブルに追記されていました。

退会済みユーザー

2019/05/24 23:35

> 記述間違いですね。まぁ、そうですよね＾＾；修正しておいて下さい。 Windows 機をルータにしたことはないので、これ以上はあまり役に立つ回答は出来ません。質問に記述のない妄想を以下の通り記述しておきます。 Client2 から 10.8.0.6 への通信が成立しなければ、client1 の問題(ルーティングかファイアウォールだと思う) Client2 から 10.8.0.6 への通信が成立するのであれば、server/VPN server の問題(戻りのルーティング経路情報がない) 他の要素もありそうですが、徒然なるままに書きましたｗ＊追加の情報は、図に追記すると回答付きやすくなると思いますよ。

micmic

2019/05/25 01:14

ご指摘ありがとうございます。指摘いただいた点を踏まえ、質問内容を更新しました。

退会済みユーザー

2019/05/25 03:03

VPN Server の設定がよく読み取れませんでしたが、VPN 用の仮想インターフェイスに関しても図に追記したほうが良いです。

micmic

2019/05/25 05:30

VPNで使用している仮想インタフェースを追記しました。

行動規範の内容に同意します

あなたの回答