Q&A
VPNサーバはグローバルから参照できる構成になっているのでしょうか?
> ルーターの47, 1723番ポートを開放したあと
ポート開放にしか触れていないので気になりました。上記の表現はNAPTも含んでいますか?
前提・実現したいこと
UbuntuをPPTPサーバとし、VPNを実現したいのですが失敗してしまいます。
発生している問題・エラーメッセージ
Windows10からの接続時に、以下のエラーメッセージが表示されます
VPNに接続できません リモートコンピューターへの接続を確立できなかったので、この接続に使われたポートは閉じています
試したこと
ルーターの47, 1723番ポートを開放したあと、以下の手順でPPTPサーバーを作成しました
1, インストール
$sudo apt-get install pptpd
2, /etc/pptpd.conf の書き換え
localip 192.168.100.22 remoteip 192.168.100.30-200
localipはマシンのipと一致しています。
3, /etc/ppp/pptpd-options の書き換え
ms-dns 8.8.8.8 ms-dns 8.8.4.4 mtu 1492
4, /etc/ppp/chap-secrets の書き換え
username pptpd password *
5, /etc/sysctl.conf でIPフォワードを有効にする
net.ipv4.ip_forward=1 を追記 # sysctl -p # net.ipv4.ip_forward = 1
6, iptablesを設定する
# iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -j MASQUERADE
7, pptpdを再起動する
service pptpd restart
疑問点
$ netstat -nl の結果は以下になりました。
tcp 0 0 127.0.1.1:53 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:1723 0.0.0.0:* LISTEN tcp6 0 0 :::22 :::* LISTEN tcp6 0 0 ::1:631 :::* LISTEN udp 0 0 0.0.0.0:53744 0.0.0.0:* udp 0 0 0.0.0.0:631 0.0.0.0:* udp 0 0 0.0.0.0:2941 0.0.0.0:* udp 0 0 0.0.0.0:5353 0.0.0.0:* udp 0 0 127.0.1.1:53 0.0.0.0:* udp 0 0 0.0.0.0:68 0.0.0.0:* udp6 0 0 :::20801 :::* udp6 0 0 :::39956 :::* udp6 0 0 :::5353 :::*
ポート1723番はLISTENになっていますが、47番が見当たりません。
pptpd restart時のsyslogです。
Mar 19 15:31:59 ubuntu pptpd[4198]: MGR: connections limit (100) reached, extra IP addresses ignored Mar 19 15:31:59 ubuntu pptpd[4199]: MGR: Manager process started Mar 19 15:31:59 ubuntu pptpd[4199]: MGR: Maximum of 100 connections available
どなたか解決策を教えていただけないでしょうか。
よろしくお願いいたします。
補足情報(FW/ツールのバージョンなど)
Ubuntu : 14.04.6 LTS
pptpd : v1.3.4
お返事いただきありがとうございます。
VPNサーバはグローバルから参照できます。
47, 1723番のポート開放を行ったのみで、NAPTの設定は行っていません。
wimaxを使っているのですが。NAPTの設定画面がない状況です。
> wimaxを使っているのですが。NAPTの設定画面がない状況です。
上記で、
> VPNサーバはグローバルから参照できます。
というのは本当ですか?
wimaxでグローバルIPオプションを契約しているとかでしょうか?
はい。グローバルIPを契約しています。
承知しました。
PPTPサーバはグローバルIPと192.168.100.0/24の2つのインターフェースを持つサーバとの理解で宜しいでしょうか?
基本的な疎通ができていること前提とし、以下気になった点です。
> ルーターの47, 1723番ポートを開放したあと
> 6, iptablesを設定する
iptablesが有効になっているとの理解です。
natの設定はしているようですが、ポートの開放はしていますでしょうか?
あとselinux無効化でしょうか。
接続時にログを眺めれば原因が見つかるかもです。
あと、お節介かもしれませんが1点だけ。
今時セキュリティの低いPPTPを使用するのは危険と感じます。
お返事いただきありがとうございます。
調べたのですが、47番はポート開放ではなくプロトコル転送をしなければならないようで、
自分のwimaxにはプロトコル転送機能がない状態でして、PPTPサーバを作成するのは不可能なようです。
教えていただいたとおり、セキュリティの面もありますので、PPTPではなくほかの方法も検討してみます。
> 47番はポート開放ではなくプロトコル転送
プロトコル転送って何のことでしょう?NAPTのことですか?パススルー?
先に確認させていただいたとおり、サーバがグローバル側に公開されているのであれば転送する必要はないと思いますけど・・・
https://mizuno.hatenadiary.org/entry/20090927/1254001541
こちらのサイトを参考にしました。
```
プロトコルの 47 番を pptpd サーバに転送してください。TCP の 47 番ポートではなく、47 番のプロトコル(GRE)であることに注意してください。
```
と記載がありました。
申し訳ありませんが、私はネットワークに詳しくなく、NAPTやパススルーが良くわからないので、
転送する必要があるのかないのかわからない状態です・・・
ポインタ頂いたサイトに記載ある以下ですよね?
> ルータの設定にて TCP の 1723 番ポートと、プロトコルの 47 番を pptpd サーバに転送してください。
こちら、通常のサイトであれば、インターネットルータがグローバルIPを持ち、それ以下にあるPCはローカルアドレスを持つ構成となります。
ローカルアドレスはグローバルからアクセスできるものではないので、NAPT(ここまでのやりとりの「プロトコル転送」)をして、グローバルIP+ポート(この質疑では1723と47)にアプローチしてきたパケットをローカルにあるPPTPサーバに転送する必要があるという趣旨が記載されています。
ご質問者様の構成はグローバルIPオプション契約を持ち、サーバがグローバルIPを持つとのことなので、NAPTの必要がなく、サーバに直接パケットが届く環境であると先の質問で確認させて頂いたと認識しています。
もう一度確認いたしますが、VPNサーバはグローバルから参照できる構成ですか?
その場合、どのような確認方法でVPNサーバがグローバル環境であることを確認しましたか?
WiMaxは実績ないので少し調べてみましたが、NAPT対応品のようで、VPNにも対応していそうです。
ただ、WiMax以下のノードがグローバルIPを持つかは不明。
https://www.uqwimax.jp/wimax/plan/option/global_ip/
すいません。グローバルから参照できる構成の意味を取り違えておりました。
wimaxルーターにグローバルIPが割り当てられ、サーバーにはプライベートIPが割り当てられております。
グローバルから参照できることの確認は、1723番のポートに対し、ポート開放チェックのサイトを使い確認しました。
47番ポートはListen状態でないため、ポート開放はしていますが、ポート開放チェックに失敗しました。
うーん。下記でサーバにパケットが届いていることが確認できれば問題ないです。
> グローバルから参照できることの確認は、1723番のポートに対し、ポート開放チェックのサイトを使い確認しました。
tcpdumpとかで確認するしかないですね。
PPTPはあまり実績ないので推測ですが、47ポートはトンネル開通(VPNセッションが確立)しないとListenしないのでは?
で、特殊なポートなので、「ポート開放チェックのサイト」で機能するか不安なところです。
まずは接続試行してみて、サーバのログ見ましょう。サーバのログに何もアプローチがなければVPNサーバに接続していないことがわかります。
ログが記録されるのであれば、そこから原因を確認しましょう。
ありがとうございます。
もうすぐ仕事なのでログを取れるのは明日になりそうですが、ログはsyslogとpptpdのログを取ればよいでしょうか?
他に取るべきログがあれば教えて下さい。
> ログはsyslogとpptpdのログを取ればよいでしょうか?
そこはご自身で調べてください。
私もPPTPはそこまで実績ある方ではないので。
あなたの回答
tips
プレビュー
