https://www.nyanmo.info/tags/client/ Recent content in Client on nyanmo main blog Hugo ja Sun, 10 May 2026 14:44:15 +0900 https://www.nyanmo.info/posts/linux/viakeywordoniproute2asdefaultgateway/ Sun, 10 May 2026 14:44:15 +0900 https://www.nyanmo.info/posts/linux/viakeywordoniproute2asdefaultgateway/ <h2 id="この記事を作った動機">この記事を作った動機</h2> <p>　Linux 環境において、VPN 環境についてトラブルシュートしていたところ、設定ミスが発生した。その原因として、<code>via</code>という単語を正しく解釈できておらず、VPN クライアントの設定ミスでパケットをクライアント内のネットワークでループさせていたということがあった。今回の記事では、そのことについて軽くまとめたい。</p> <h2 id="説明">説明</h2> <h3 id="簡易的な解釈">簡易的な解釈</h3> <p>　iproute2 における <code>via</code> というキーワードは、ゲートウェイ設定(静的ルーティング、Next Hop)を表す。<code>ルーティングされる対象のネットワーク via ゲートウェイ</code> のような書き方になる。ゲートウェイとして、クライアント自身を設定してしまうとローカルでループしてパケットが期待どうりにネットワークに排出されない通信障害になる。</p> <p>　例えば、クライアントが VPN 接続先以外のネットワークから VPN 接続をすることを想定する。VPN クライアントは仮想インターフェース(vpn_vps)に、192.168.30.100/24 を持っていると仮定し、VPN サーバの仮想ハブが 192.168.30.2 をL3仮想スイッチルーティング用に持っている場合を想定する。この場合、192.168.30.0/24 のネットワークを経由して、192.168.0.0/24 にパケットを送りたい場合は、192.168.30.2 をゲートウェイを設定する。192.168.30.100/24 などクライアント自身を指定すると、通信がローカルでループし、VPN クライアントはそもそもパケットを外部のネットワークに排出せず、通信障害になる。</p> <p>　一見すると <code>192.168.0.0/24 via [VPNクライアント自身のIP]</code> とかくと、VPNクライアント自身のIPを経由して外部に 192.168.0.0/24 宛てのパケットをルーティングするという解釈もできそうだが、少なくとも Linux 環境の iproute2 の設定においては、その解釈は間違っていそうである。あくまで <code>via</code> というキーワードが示しているのは、次にパケットをどのコンピュータに送るべきか、外部のルーティングが可能なコンピュータの IP を指定するという意味合いなようである。クライアント自身を設定してしまうと、クライアント自身にルーティングしてしまうようである。</p> <p>　また、Linux 環境の iproute2 における設定では、明確に外部のゲートウェイとなる PC の IP を指定しなくても、パケットを送り出したいインターフェースだけ指定するという、曖昧な設定もできるようである。<code>192.168.0.0/24 dev vpn_vps</code> のようにして、192.168.0.0/24 宛てのパケットを、vpn_vps という NIC からとにかく送り出すという設定はできるようである。</p> <div class="highlight"><pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;"><code class="language-bash" data-lang="bash"><span style="display:flex;"><span><span style="color:#75715e"># いろんな書き方の例 </span> </span></span><span style="display:flex;"><span><span style="color:#75715e"># VPNクライアントとして接続されているルータPCにルーティングする仮想L3スイッチのIPを 192.168.30.2/24 として仮定している</span> </span></span><span style="display:flex;"><span>ip route add 192.168.0.0/24 via 192.168.30.2 dev vpn_vps </span></span><span style="display:flex;"><span>ip route add 192.168.0.0/24 dev vpn_vps </span></span><span style="display:flex;"><span>ip route add defalt via 192.168.30.2 dev vpn_vps </span></span></code></pre></div><h3 id="前提とするネットワーク構成図に関する説明">前提とするネットワーク構成図に関する説明</h3> <h4 id="単語の説明">単語の説明</h4> <ul> <li>Home Network<br> 　自宅のネットワークなど私的に運用される LAN</li> <li>Foreign Network<br> 　大学や仕事場所、コンビニやファミレスなどにある公共の場所にある LAN</li> </ul> <h4 id="各ネットワークに関する説明">各ネットワークに関する説明</h4> <ul> <li>192.168.0.0/24<br> 　家庭用ルータではなく、主に nftables によって転送が管理されていて、カーネルで転送許可をしてある Linux ルータPCで管理されている自宅のネットワーク</li> <li>192.168.30.0/24<br> 　固定 IP を持った VPS 上で動いている SoftEther VPN Server (DHCP サーバが有効) における仮想ハブのネットワーク</li> <li>192.168.x.0/24<br> 　大学や仕事場所、コンビニやファミレスなどにある公共の場所のネットワーク</li> <li>192.168.0.1/24 192.168.30.2/24 192.168.x.1/24<br> 　各ネットワークにおけるデフォルトゲートウェイ や DHCP、場合によっては DNS サーバーなど一通りのルーティングなどのネットワークに必要な機能を備えた装置の IP やルーティングを行う仮想L3スイッチの IP</li> <li>192.168.30.13/24<br> 　SoftEther VPN Server を動かしている VPS がクライアントとして仮想ハブのネットワークに参加しているときの IP</li> <li>192.168.30.100/24<br> 　Foreign Network から VPN 接続して仮想ハブに参加している VPN クライアントの仮想 NIC における IP</li> </ul> <h4 id="nic-名の説明">NIC 名の説明</h4> <ul> <li>vpn_vps<br> 　Foreign Network から VPS 上にある VPN の仮想ハブにアクセスする際に、VPN クライアントが使う仮想インターフェース名</li> </ul> <h4 id="その他説明">その他説明</h4> <ul> <li>ルータPC<br> 　Home Network で使われている、家庭用ルータの代わりに、スイッチとセットで nftables で転送や NAT を構成し、ip-hole や kea で DNS や DHCP サーバとしても機能するようにした Linux PC のこと。VPS 上で動いている VPN サーバのネットワークにもクライアントとして参加し、192.168.30.0/24 と 192.168.0.0/24 の間を転送する。異なるネットワーク間を転送する際、ARPプロキシ(L2ルーティング)は有効にしていない。</li> <li>VPN サーバー<br> 　今回登場する VPN サーバーは直接 Home Network からは動作せず、VPS 上に専用に用意したものである。192.168.30.0/24 のネットワークを接続した VPN クライアントに提供する。仮想 L3 スイッチの設定により、192.168.0.0/24 宛てへのパケットを、192.168.30.0/24 に接続していてネットワークの越境が可能な転送設定をしてある VPN クライアントであるルータPCに仕向けるように設定してある。</li> </ul> <h4 id="説明の図">説明の図</h4> <figure class="align-center "> <img loading="lazy" src="https://www.nyanmo.info/posts/linux/viaKeywordOnIproute2asDefaultGateway/NetworkConfigurationExplain.png#center" alt="ネットワーク構成図の説明"/> </figure> <h3 id="各ルーティング状況に関する説明">各ルーティング状況に関する説明</h3> <h4 id="パケットがクライアント内部でループするイメージ">パケットがクライアント内部でループするイメージ</h4> <p><figure class="align-center "> <img loading="lazy" src="https://www.nyanmo.info/posts/linux/viaKeywordOnIproute2asDefaultGateway/loop.png#center" alt="パケットがループする例"/> </figure> <figure class="align-center "> <img loading="lazy" src="https://www.nyanmo.info/posts/linux/viaKeywordOnIproute2asDefaultGateway/loop1.png#center" alt="パケットがループする例1"/> </figure> 　上記の図のような状況において、トラブルシュートでは以下のような厄介な挙動が見受けられた。</p>