ネットワークの専門家として真剣にやったのは15年以上前ですが、以前はNOCで働いていて、Network+も何年も前に修了しています。とにかく、少し忘れてしまいました。
やっとホームラボを設定して知識を復習しようとしています。外出時に使うためのクライアントからLANへのL2TP VPNを設定しています。
ギガビットの光ファイバー接続を持っていて、これをTP-LINK ER605(コントローラーなし)に直接設定しています。
クライアントは正常に接続していると言いますが、接続時にスマホからインターネットへルーティングできません。トンネルは接続済みでアクティブとして表示されています。
問題はVPNのIPプールにあると思います。192.168.10.100-200に設定してあります。LANのIPは192.168.0.0/24で、VPNのIPプールを同じ範囲に設定できないのが分かりません。VPNクライアントに異なるプールを割り当てたいのですが、まずはその差異が原因かどうかを排除したいです。
もう一つの考えはDNSです。Pi-HoleをRaspberry Pi上のDNSシンクホールとして動かしていますが、現在は無効にしています。
編集:解決しました。部分的に。pingは通っていますが、それ以外はダメです。DNSだと気づきました。VPNの設定をユーザー側で8.8.8.8に変更したらすべて正常に動作しました。
それでも、将来的にはVPNクライアントにPi-HoleのローカルDNSを使わせたいです。
この構造を整理して、子供のデバイスやストリーミング用デバイス、IoTと分けたいと思いますが、とりあえず動いています。
助けてくれてありがとうございます!
VPNがクライアントにデフォルトルートを渡していますか?ルータのルート表はどうなっていますか?VPNサブネットのルートはありますか?最初の考えとしては、どこかにルートが欠けている可能性があります。
おそらくルーティングやNATの問題です。インターネットにアクセスしたい場合、VPNを通じてアクセスできるように、VPNインターフェースを指すデフォルトルートが必要です。また、VPNサーバのIPアドレスの静的ルートも必要です。次に、NATです。この場合のルーター(VPNサーバも兼ねています)は、VPN範囲もNATするように設定を行う必要があります。
VPNとLANのサブネットを同じにするのは、L2TPをLANにブリッジしたい場合を除き、あまり良いアイデアではないかもしれません。
ルートは追加されているようです。こちらにコピーします。LANルート(192.168.0.x)と比べると、サブネットマスクが問題だと思います。
| ID |
宛先IP |
サブネットマスク |
次のホップ |
インターフェース |
メトリック |
| 5 |
192.168.10.102 |
255.255.255.255 |
0.0.0.0 |
ppp0 |
0 |
| 6 |
192.168.0.0 |
255.255.255.0 |
0.0.0.0 |
LAN |
0 |
IPは直接設定できず、VPNのIPプールで範囲を設定しています。現在は192.180.1.100-200となっていますが、あまり接続数は想定していないので、100-110に減らそうと思います。
通常、クライアントは接続すると101、102、または103を取得します。複数の同時接続は3つだけですので。
DNSです。でも、もしかしてNATかもしれませんね。
以前はPi-HoleのDNSエントリーを使っていましたが、VPNユーザに対してDNSのIPを8.8.8.8に変更したら動きました。VPNのサブネットがPi-HoleのDNSに到達できないのかもしれません。
そのIPを再確認してください - これはPPPインターフェース上の192.160.10.102で、あなたのWANパブリックIPです。192.168.10.0/24はどこにありますか?
Pingしてみてください。多分、Pi-Holeはローカルクライアントだけにサービスを提供する設定になっていると思います。少なくともデフォルトではそうです。
あなたのVPNトンネルがインターネットにルーティングされているかどうかも確認してください。
あ、はい。単なるタイプミスでした。正しくは168です。
ユーザの設定では、3つの同時接続を許可していますので、通常は192.168.10.101、102、または103で接続します。
はい、pingは通りません。実際、ゲートウェイ(192.168.0.1)以外のローカルネットワークの他のものにはアクセスできません。ルーターのウェブインターフェースには問題なくログインできますし、インターネットのものも問題ありません。
VPNを独自のサブネットに分離していますが、LANとは通信できません。これは将来メンテナンスのためにアクセスしなければならないもののために、後で解決します。
なるほど、その場合は理解できます。L2TPは少し前にやったことがあるだけで、TP-Linkで使ったことはありません。ドキュメントを見るとHow to establish an L2TP Server by Omada Gateway in Standalone mode | TP-Link そして、あなたの設定がほぼ例と同じであるならば、少なくともあなたのローカルネットワーク上のアクセスには動作しているはずです。クライアントは192.168.0.0/24のネットワークの何かに接続できますか?それともローカルネットワークにも到達できませんか?
解決しました、部分的に。pingは通っていますが、それ以外はダメです。DNSだと気づきました。VPNの設定をユーザー側で8.8.8.8に変更したら全て正常に動作しました。
それでも、最終的にVPNクライアントにPi-HoleのローカルDNSシンクを使わせたいです。
この構造をきちんと考えて、子供のデバイスと自分のデバイス、ストリーミングやIoT機器を分離する必要がありますが、とりあえず動作しています。
ご協力ありがとうございました!