質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.35%
VPN

VPN(Virtual Private Network)は、仮想プライベートネットワークとも呼ばれ、インターネットに接続してるユーザー間に仮想的な通信トンネルを構築した組織内ネットワークです。認証や暗号化を用いて通信経路を保護し安全なネットワークの構築ができます。

SoftEther VPN

SoftEther VPNは、筑波大学の研究プロジェクトとして開発されていたL2-VPNソフトウェア。かつては「SoftEther 1.0」として開発・配布されていました。安定性に優れ、さらに拡張性と柔軟性を持つソフトウェアです。

HTTPS

HTTPS(Hypertext Transfer Protocol Secure)はHypertext Transfer プロトコルとSSL/TLS プロトコルを組み合わせたものです。WebサーバとWebブラウザの間の通信を暗号化させて、通信経路上での盗聴や第三者によるなりすましを防止します。

Apache

Apacheは、Apache HTTP Serverの略で、最も人気の高いWebサーバソフトウェアの一つです。安定性が高いオープンソースソフトウェアとして商用サイトから自宅サーバまで、多くのプラットフォーム向けに開発・配布されています。サーバーソフトウェアの不具合(NCSA httpd)を修正するパッチ(a patch)を集積、一つ独立したソフトウェアとして開発されました。

proxy

proxy(プロキシー)は、企業などの内部コンピュータとインターネットの中間に位置し、例えば直接インターネットに接続できない内部コンピュータの代理としてインターネットに接続する等をするシステム、もしくは代理として機能を実行するソフトウェアです。内部ネットワークへのアクセスを一元管理し、内部からの特定の種類の接続以外を遮断すること、外部からの不正アクセスを拒否することなどに用いられます。

Q&A

0回答

1919閲覧

SoftEtherをApacheの仮想ホスト経由で利用できるか

rogueref

総合スコア727

VPN

VPN(Virtual Private Network)は、仮想プライベートネットワークとも呼ばれ、インターネットに接続してるユーザー間に仮想的な通信トンネルを構築した組織内ネットワークです。認証や暗号化を用いて通信経路を保護し安全なネットワークの構築ができます。

SoftEther VPN

SoftEther VPNは、筑波大学の研究プロジェクトとして開発されていたL2-VPNソフトウェア。かつては「SoftEther 1.0」として開発・配布されていました。安定性に優れ、さらに拡張性と柔軟性を持つソフトウェアです。

HTTPS

HTTPS(Hypertext Transfer Protocol Secure)はHypertext Transfer プロトコルとSSL/TLS プロトコルを組み合わせたものです。WebサーバとWebブラウザの間の通信を暗号化させて、通信経路上での盗聴や第三者によるなりすましを防止します。

Apache

Apacheは、Apache HTTP Serverの略で、最も人気の高いWebサーバソフトウェアの一つです。安定性が高いオープンソースソフトウェアとして商用サイトから自宅サーバまで、多くのプラットフォーム向けに開発・配布されています。サーバーソフトウェアの不具合(NCSA httpd)を修正するパッチ(a patch)を集積、一つ独立したソフトウェアとして開発されました。

proxy

proxy(プロキシー)は、企業などの内部コンピュータとインターネットの中間に位置し、例えば直接インターネットに接続できない内部コンピュータの代理としてインターネットに接続する等をするシステム、もしくは代理として機能を実行するソフトウェアです。内部ネットワークへのアクセスを一元管理し、内部からの特定の種類の接続以外を遮断すること、外部からの不正アクセスを拒否することなどに用いられます。

0グッド

1クリップ

投稿2020/04/08 05:32

SoftEtherVPN を Apache2.4 が動作しているLinuxServerへインストールしました。
Apacheでは TCP/80,TCP/443 を Listenしています。

そこでSoftEtherがListenしているTCP/5555 へ仮想ホストを利用してProxyできないかと考えて以下のような仮想ホストを作成しました。

apache

1<VirtualHost *:443> 2 ServerName vpn.example.com 3 (中略) 4 ProxyPass / https://localhost:5555/ 5</VirtualHost>

SoftEtherクライアント側ではホスト名を vpn.example.com,ポート名を443に指定。
名前解決はクライアント側、サーバ側ともhostsファイルで設定しています。
SoftEtherクライアントが入っている側のブラウザでhttps://vpn.example.com/ をリクエストすると、SoftEther の設定画面が表示されるため、仮想ホストの設定は誤っていないと思われます。

ところが、SoftEtherクライアントから接続を要求すると、サーバ側では設定した仮想ホストへはリクエストがいかず、 IPアドレスベースでのリクエストになってしまっています。
実際にはアドレスベースのリクエストは mod_securityで403エラーになります(このエラーで現象に気づきました)。アドレスベースでのアクセスを禁止するルールに引っかかっているのです。
これはmod_securityのログです。

mod_security

1[Wed Apr 08 13:31:04.319360 2020] [:error] 2[pid 6583:tid 140555883308800] [client xxx.xxx.xx.xx:48170] 3[client xxx.xxx.xx.xx] 4ModSecurity: Access denied with code 403 (phase 2). Pattern match "^[\\d.:]+$" at REQUEST_HEADERS:Host. 5[file "/usr/local/apache2/conf/extra/base_rules/modsecurity_crs_21_protocol_anomalies.conf"] [line "101"] 6 [id "960017"] [rev "2"] [msg "Host header is a numeric IP address"] 7 [data "210.148.106.165"] [severity "WARNING"] 8 [ver "OWASP_CRS/2.2.8"] [maturity "9"] [accuracy "9"] 9 [tag "OWASP_CRS/PROTOCOL_VIOLATION/IP_HOST"] 10[tag "WASCTC/WASC-21"] [tag "OWASP_TOP_10/A7"] 11[tag "PCI/6.5.10"] 12[tag "http://technet.microsoft.com/en-us/magazine/2005.01.hackerbasher.aspx"] 13 [hostname "nnn.nnn.nnn.nnn"] [uri "/"] [unique_id "Xo1TiPhqCCAkyb1WSoOwswAAB@M"]

SoftEtherクライアントはHTTPSプロトコルを利用するものの、仮想ホストには対応していないのでしょうか。

もしかしたらhostsでの名前解決とDNSでの名前解決でビヘイビアが違ったりするのかな、そんなわけないなぁなどと唸っているところです。

試したことがある方いらっしゃいませんでしょうか。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

dodox86

2020/04/08 06:04

> もしかしたらhostsでの名前解決とDNSでの名前解決でビヘイビアが違ったりするのかな、そんなわけないなぁなどと唸っているところです。 apache2サーバー側のSSL証明書の関係で、サーバー側ではFDQNなどのホスト名でhttps接続時の検証をするはずなので、hostsで名前解決されてしまってIPアドレスベースでHTTPリクエストすると挙動は変わるのではないでしょうか。
rogueref

2020/04/08 07:09

うーむ、なるほど。 ブラウザとVPNクライアントでビヘイビアが違うってこともあるかもですね。 DNSにレコード追加してみます。
rogueref

2020/04/08 23:49

DNSで名前解決しても同現象でしたね。 Softetherクライアントは仮想ホストを理解しないってことでいいのかな。
dodox86

2020/04/09 00:36

> DNSで名前解決しても同現象でしたね。 そうでしたか。仮想ホストかどうかはサーバー側が意識するものな気がしますが、SoftEtherは必ずIPアドレスでアクセスしてしまうのでしょうかね。サーバー側でIPアドレスを逆引きさせるとか。そうだとすると影響ある気もします。(この辺、私では分かりませんので単なる推測です)
rogueref

2020/04/09 00:42

>SoftEtherは必ずIPアドレスでアクセスしてしまうのでしょうかね。 挙動をみているとそんな感じがします。 SoftEtherのフォーラムでもapacheからリバースプロクシしているような事例はみあたりませんでした。
dodox86

2020/04/09 00:44

少し質問を読み違えていました。 > SoftEtherクライアントから接続を要求すると、 なので、SoftEtherクライアントの所業っぽいですね。HTTPリクエストのヘッダーの"Host:" フィールドにどうしてもIPアドレスが入ってしまうのであれば、ダメだということではないでしょうか。
dodox86

2020/04/09 00:47

あ、いえ、HTTP(S)の接続ではなくて、VPNの接続ですか。であれば "Host:"フィールドの話は関係ないですね。コメントを混乱させてすみません。(忘れてください)
rogueref

2020/04/09 00:50

ポートは443を利用していますが、HTTPSじゃなくてVPNプロトコルだから、仮想ホストなんか知らねえよって感じですね。 いろいろありがとうございます。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

まだ回答がついていません

会員登録して回答してみよう

アカウントをお持ちの方は

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.35%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問