『OpenVPNに接続できない（PCクリーンインストール後）』のクチコミ掲示板

[ブラックバード２]

PCにWindows10をクリーンインストールした後に、OpenVPNに接続できなくなり困っています。別のPCやiPhone/iPadからは問題なくOpenVPNに接続できており、このPC端末の問題であることはわかっています。OSのクリーンインストール後にPC TV PlusというソフトとOpenVPNクライアントをインストールしただけでPCなので、設定はほぼ初期状態です。

別PCで正常に動作している同じ設定ファイルを使っているので、設定ファイルの問題もないはずです。OpenVPNは2.5.8をインストールしています。

ログは以下の通りです。
2022-12-24 09:01:40 WARNING: Compression for receiving enabled. Compression has been used in the past to break encryption. Sent packets are not compressed unless "allow-compression yes" is also set.
2022-12-24 09:01:40 DEPRECATED OPTION: --cipher set to 'AES-256-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore --cipher for cipher negotiations. Add 'AES-256-CBC' to --data-ciphers or change --cipher 'AES-256-CBC' to --data-ciphers-fallback 'AES-256-CBC' to silence this warning.
2022-12-24 09:01:40 OpenVPN 2.5.8 [git:none/0357ceb877687faa] Windows-MSVC [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Dec 2 2022
2022-12-24 09:01:40 Windows version 10.0 (Windows 10 or greater) 64bit
2022-12-24 09:01:40 library versions: OpenSSL 1.1.1s 1 Nov 2022, LZO 2.10
2022-12-24 09:01:42 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
2022-12-24 09:01:42 TCP/UDP: Preserving recently used remote address: [AF_INET6][IPv6アドレス]:1194
2022-12-24 09:01:42 setsockopt(IPV6_V6ONLY=0)
2022-12-24 09:01:42 UDP link local (bound): [AF_INET6][undef]:1194
2022-12-24 09:01:42 UDP link remote: [AF_INET6][IPv6アドレス]:1194
2022-12-24 09:01:42 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
2022-12-24 09:01:42 VERIFY ERROR: depth=2, error=certificate has expired: O=Digital Signature Trust Co., CN=DST Root CA X3, serial=XXXXXXXXXXXXXXXXXXXXXXXXX
2022-12-24 09:01:42 OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
2022-12-24 09:01:42 TLS_ERROR: BIO read tls_read_plaintext error
2022-12-24 09:01:42 TLS Error: TLS object -> incoming plaintext read error
2022-12-24 09:01:42 TLS Error: TLS handshake failed
2022-12-24 09:01:42 SIGUSR1[soft,tls-error] received, process restarting
2022-12-24 09:01:47 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
2022-12-24 09:01:47 TCP/UDP: Preserving recently used remote address: [AF_INET][IPv4アドレス]:1194
2022-12-24 09:01:47 UDP link local (bound): [AF_INET][undef]:1194
2022-12-24 09:01:47 UDP link remote: [AF_INET][IPv4アドレス]:1194
2022-12-24 09:01:52 SIGTERM[hard,] received, process exiting

何か解決のヒントがあれば、教えてください。

書込番号：25066525

[ブラックバード２]

無事、VPN接続でき、自己解決？しました。VPNの設定ファイルがインストール直後はC:\Program Files:\OpenVPNとなっているのですが、これをユーザーフォルダに設定しなおしたところ、無事接続できるようになりました。なぜ、これが原因なのかはわかりませんが…。

書込番号：25066763

[たく0220]

＞ブラックバード２さん

＞2022-12-24 09:01:42 VERIFY ERROR: depth=2, error=certificate has expired: O=Digital Signature Trust Co., CN=DST Root CA X3, serial=XXXXXXXXXXXXXXXXXXXXXXXXX

ルートCA(認証局)"DST Root CA X3"を見に行ってるので、有効期限が切れてるLet's Encrypt証明書が含まれたconfig(*.ovpn)をインポートしてしまったのではないかと思います。
SynologyのDDNSを使っている場合は、今現在は"ISRG Root X1"になるかと思います。

＞VPNの設定ファイルがインストール直後はC:\Program Files:\OpenVPNとなっているのですが、これをユーザーフォルダに設定しなおしたところ、無事接続できるようになりました。

OpenVPN Connect for Windowsの最新はV3になりますが、V2を使われたのだと思います。
V3ではconfig(*.ovpn)はユーザープロファイルのAppData(AppData\Roaming\OpenVPN Connect)にインポートされるように変更されたみたいです。

参考: OpenVPN Client Connect For Windows | OpenVPN
https://openvpn.net/client-connect-vpn-for-windows/

参考までに。

書込番号：25067297

[ブラックバード２]

＞たく0220さん
アドバイスありがとうございます。自己解決したことから確認が遅くなりました。すみません。さらに昨晩回答したつもりですが、返信がなかなか反映されないので、同じような内容と追加での確認結果をお伝えします。

OpenVPNには接続できている状態なので、一応解決はしているのですが、DS220+のIPアドレスを変更して固定すると（別の機器とDS220+のIPアドレス競合が発生し、諸事情で別の機器のIPアドレスを維持したいです）、うまくVPNに接続できません。当方のルーターはNTTのRX-600Miで、ルーターの静的IPマスカレード設定で、変更後の固定IPアドレスに対するポート開放は設定済みです。このほかの対策は特に不要と理解していますが、もしかしたら追加の設定が必要かもしれません。

たく0220さんからアドバイスいただいた、OpenVPNのV3のインストールと証明書の更新は実施済みで、変更前のIPアドレスであればVPN接続可であることは確認済みで、変更後のIPアドレスに対してはVPN接続不可の状況です。

以下のようなエラーメッセージで、変更前のIPアドレス（192.168.1.A）が表示されるので、DS220+のDDNSホスト名と固定IPアドレスが更新されていない状態に見えます。DSM「コントロールパネル」-「ネットワーク」-「ネットワークインターフェイス」で固定IPを変更する以外に何か変更必要なのでしょうか。

⏎[Jan 4, 2023, 16:12:31] Frame=512/2048/512 mssfix-ctrl=1250
⏎[Jan 4, 2023, 16:12:31] UNUSED OPTIONS
1 [tls-client]
4 [pull]
6 [script-security] [2]
⏎[Jan 4, 2023, 16:12:31] EVENT: RESOLVE
⏎[Jan 4, 2023, 16:12:31] Contacting 192.168.1.A:2222 via UDP
⏎[Jan 4, 2023, 16:12:31] EVENT: WAIT
⏎[Jan 4, 2023, 16:12:31] WinCommandAgent: transmitting bypass route to 192.168.1.A
{
"host" : "192.168.1.A",
"ipv6" : false
}

⏎[Jan 4, 2023, 16:12:31] Connecting to [DDNSホスト名]:2222 (192.168.1.A) via UDPv4
⏎[Jan 4, 2023, 16:12:41] Server poll timeout, trying next remote entry...
⏎[Jan 4, 2023, 16:12:41] EVENT: RECONNECTING
⏎[Jan 4, 2023, 16:12:41] Contacting 192.168.1.A:2222 via UDP
⏎[Jan 4, 2023, 16:12:41] EVENT: WAIT
⏎[Jan 4, 2023, 16:12:41] WinCommandAgent: transmitting bypass route to 192.168.1.A
{
"host" : "192.168.1.A",
"ipv6" : false
}

何かお気づきのことがあれば、アドバイスいただけませんでしょうか。

書込番号：25082317

[たく0220]

＞ブラックバード２さん

DS220+のIPアドレスは他の機器を優先したいので別のIPアドレスにする予定という事ですよね？
通常
＞DSM「コントロールパネル」-「ネットワーク」-「ネットワークインターフェイス」で固定IPを変更する
の操作でDS220+側のIPアドレスが変更されてネットワークと関係するプロセスは再起動されます。(WebサーバーとかSMBなど)
それ以上の設定は基本的には無いはずです。変更後にpingなどでの確認はされて問題ない感じでしょうか？

DDNSの状況ですが、DSMから「外部アクセス」->「DDNS」で表示されている「外部アドレス」はルーター側で取得しているグローバルIPアドレスになっていますでしょうか？
DS220+のIPアドレスのみを変更しても、ここは変わる事はないはずです。

クライアント側のOpenVPN設定ファイル(*.ovpn)はDDNSのホスト名で編集されてインポートされたのだと思います。
その場合は
＞⏎[Jan 4, 2023, 16:12:31] Contacting 192.168.1.A:2222 via UDP
この行に表示されるIPはローカルのIPアドレスではなくグローバルIPアドレスになるはずですので、ルーター(RX-600Mi)側の設定状況も確認したいところです。
確認ですが、この時はクライアントの端末は外出先の回線からアクセスしていますか？

RX-600Miは使用してませんので、感になりますが気になる点は
・「静的NAT設定」でOpenVPNに関する設定は無い状態ですか？
・「LAN側静的ルーティング設定」でOpenVPNに関する設定に間違いはありませんか？有効になっていますか？
・「DNS設定」で「ローカルドメイン問い合わせテーブル」にSynologyのDDNSドメインを登録していませんか？
になります。

あと蛇足ですが
NASのVPN Serverパッケージのバージョンが「Version: 1.4.4-2855」以上の場合は
「TLS auth キーを認証」と「サーバー CN を認証」のオプションも有効にされてなかったら、上手く接続出来るようになってから試してみてください。

「サーバー CN を認証」は設定ファイル(*.ovpn)に
verify-x509-name 'DDNSホスト名' name
が追加されますが、エラーになる場合もありますのでその時は「DDNSホスト名」を括っているシングルコーテーション(')を外してみてください。
＞2022-12-24 09:01:42 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
このWARNINGが表示されてて気になる場合は、これで解消されます。

書込番号：25082672

[ブラックバード２]

ルーター設定-静的IPマスカレード

＞たく0220さん
返信ありがとうございます。

＞DS220+のIPアドレスは他の機器を優先したいので別のIPアドレスにする予定という事ですよね？
はい。ただ、現在はOpenVPNが接続できたIPアドレス（192.168.1.A）をDS220+に固定IPアドレスとして割り当てて（ルーターの機能を使って）使用していますが、本当は別のIPアドレス（192.168.1.B）に設定したいです。

＞変更後にpingなどでの確認はされて問題ない感じでしょうか？
これは具体的にはコマンドプロンプトで「ping 192.168.1.AまたはB」で接続確認ということでしょうか？もしそうでしたら両方とも問題なしです。

＞「外部アドレス」はルーター側で取得しているグローバルIPアドレスになっていますでしょうか？
はい。グローバルIPアドレスです。

＞確認ですが、この時はクライアントの端末は外出先の回線からアクセスしていますか？
結果的にVPNにする意味はないですが、同じネットワーク内で接続テストを行っているので、ローカルIPアドレスです。なぜか、携帯のテザリングで、PCからOpenVPNに接続できません（これも解決したい別の問題です）。一方で、同じ設定ファイルを使てって、携帯でテザリングしたiPadや電話回線のiPhoneはVPN接続確立できています。携帯で試すと、DS220+のグローバルIPアドレスに接続しに行っていることが確認できています。

＞・「静的NAT設定」でOpenVPNに関する設定は無い状態ですか？
特にありません。

＞・「LAN側静的ルーティング設定」でOpenVPNに関する設定に間違いはありませんか？有効になっていますか？
接続成功している「192.168.1.A」と同じ設定を「192.168.1.B」に対しても追加し、有効／無効を切り替えてテストしているので、間違いはないと思います。念のため画像も添付します。エントリ1と4がOpenVPN用のポートです。緑と黄色の箱の中は同じものです。

＞・「DNS設定」で「ローカルドメイン問い合わせテーブル」にSynologyのDDNSドメインを登録していませんか？
ここには何も入力がありません。

書込番号：25084486

[たく0220]

＞ブラックバード２さん

情報ありがとうございます、気になった点補足しますと

2023/01/04 16:28(書込番号：25082317)のログは同じネットワーク内との事ですね。

接続先のアドレスをDDNSホスト名で設定している場合は
＞⏎[Jan 4, 2023, 16:12:31] Contacting 192.168.1.A:2222 via UDP
ではグローバルIPになるはずなので、違和感があります。
ちなみに同じネットワーク内でiPadから接続した場合のログはグローバルIPになりますか？

PCの方ですが試しにコマンドプロンプトでpingとnslookupをDDNSホスト名で確認してみてグローバルIPで応答、回答が来るか確認してみてください。
　ping DDNSホスト名
と
　nslookup DDNSホスト名

コマンド例:
ping ***.synology.me
nslookup ***.synology.me

もしローカルIPだった場合は、一度DNSキャッシュをクリアして再確認してみてください。
DNSキャッシュのクリアは、コマンドプロンプトを管理者権限で起動してから
　ipconfig /flushdns

それでも変わらない場合ですが、
・Windowsのhostsファイル(C:\windows\system32\drivers\etc\hosts)の確認
・ルーターの再起動
などの確認になります。


＞念のため画像も添付します。エントリ1と4がOpenVPN用のポートです。緑と黄色の箱の中は同じものです。

エントリ1と4両方とも「有効/無効」のチェックが入っているみたいですが、テスト時は片方無効にされてるという事で大丈夫ですよね？

書込番号：25084560

[ブラックバード２]

＞たく0220さん

いろいろとアドバイスありがとうございます。結論からいうと、「192.168.1.B」でVPN接続確立しました。わかったことはテストしていたPC個体に問題があるようで、iPhoeWiFi・電話回線、iPadのWiFi・テザリングとも無事接続できています。問題のあるPCでずっとテストしていたので（ローカルIPであればこれまでは接続できていたことから、一番使いやすいPCでテストしていました）接続できることに気付かなかっただけだと思います。ただ、このPCは問題が解決したわけではないので、もし何かアドバイスいただけるのであれば引き続きお願いします。

＞ちなみに同じネットワーク内でiPadから接続した場合のログはグローバルIPになりますか？

恐らくここが問題です。接続成功しているデバイスはすべてグローバルIPです。ただ、このPCのみDS220+を「192.168.1.B」に固定しても、過去に接続したことがある「「192.168.1.A」に接続を何度もトライしているようです。ホスト名からIPアドレスへの変換がうまくいっていないように見えます。ローカルIPアドレスも古いもので、さらに外部IPアドレスへの接続でもありません。

nslookupははじめてつかうコマンドなので結果の評価が難しいですが、おそらく、うまくいっているように思います。

・ping ***.synology.me　→　しっかり応答しています。
・nslookup ***.synology.me　→　以下のような応答です。
・ipconfig /flushdns　→　コマンド実行済みです。

>nslookup *****.synology.me
サーバー: ntt.setup
Address: [WAN側IPv6アドレス（PPPoE）]

権限のない回答:
名前: *****.synology.me
Addresses: [DS220+のIPv6外部アドレス]
[DS220+のIPv4外部アドレス]

＞エントリ1と4両方とも「有効/無効」のチェックが入っているみたいですが、テスト時は片方無効にされてるという事で大丈夫ですよね？
はい。片方を無効にしています。

書込番号：25085559

[ブラックバード２]

＞たく0220さん

連投失礼します。アドバイスいただいたhostsファイルを見てみたところ、OpenVPNが接続を試しているローカルIPアドレスが記載されていました（だからと言ってどう解決すればよいのかわかりません）。これをいったんコメント化し接続を試してみましたが、エラーが発生して接続できませんでした。

# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost
192.168.1.B ******.synology.me

書込番号：25085606

[ブラックバード２]

何度もすみません。一部誤記がありました。hostsファイルのローカルIPアドレスは変更前のAのままです。

正
# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost
192.168.1.A ******.synology.me

誤
# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost
192.168.1.B ******.synology.me

書込番号：25085612

[たく0220]

＞ブラックバード２さん

＞これをいったんコメント化し接続を試してみましたが、エラーが発生して接続できませんでした。

犯人はhostsファイルぽいような気はしますが
「#」をつけてコメントアウトしても変わらないですか…
hostsファイルは、その場所での直接編集は管理者権限いるので、一旦他の場所にコピーしてから編集されてますよね？
pingのとき「〜からの応答」と表示された時のIPアドレスは大丈夫だったのですよね…

一応の確認ですが、そのhostsファイルを別の場所にコピーしてバックアップを取ってから
オリジナルのhostsファイルで
＞192.168.1.A ******.synology.me
の行を削除 -> 上書き保存 した後にPCを再起動してみてください。

再起動後に再度確認してみて、その行が復活してるような場合は
何か他のアプリが干渉してるのではないかとも思えます。

書込番号：25085641

[ブラックバード２]

＞たく0220さん

早速のアドバイスありがとうございます。たく0220さんのアドバイスがしっかり理解できていなかったのかもしれません。pingとnslookupのコマンドから正しい反応があったのは、DS220+のローカルIPを192.168.1.Aとした場合で、192.168.1.Bの時ではないかもしれないです。

今、DS220+のローカルIPが192.168.1.Bで、pingを試したところ、反応なしとなりました。末尾をBとした場合、そもそもpingは通っていなかったかもしれません。

＞＞192.168.1.A ******.synology.me
＞の行を削除 -> 上書き保存 した後にPCを再起動してみてください。

これでもだめだったので、hostsファイルの192.168.1.AをBに置き換えたところ、ローカルネットワーク内ではVPN接続できるようになりました。ただ、外部ネットワークからVPN接続を試すと、以下のようなエラーメッセージがでて接続ができません。「ipv6 false」でググると同様な問題を抱えている方の英語での質問がいくつかありますが、これだというような解決方法はなさそうでした。

[Jan 6, 2023, 22:35:51] EVENT: RESOLVE
[Jan 6, 2023, 22:35:51] Contacting 192.168.1.B:1194 via UDP
[Jan 6, 2023, 22:35:51] EVENT: WAIT
[Jan 6, 2023, 22:35:51] WinCommandAgent: transmitting bypass route to 192.168.1.B
{
"host" : "192.168.1.B",
"ipv6" : false
}

[Jan 6, 2023, 22:35:51] Connecting to [DDNSホスト名]:1194 (192.168.1.B) via UDPv4
[Jan 6, 2023, 22:36:01] Server poll timeout, trying next remote entry...
[Jan 6, 2023, 22:36:01] EVENT: RECONNECTING
[Jan 6, 2023, 22:36:01] EVENT: RESOLVE
[Jan 6, 2023, 22:36:01] Contacting 192.168.1.B:1194 via UDP
[Jan 6, 2023, 22:36:01] EVENT: WAIT
[Jan 6, 2023, 22:36:01] WinCommandAgent: transmitting bypass route to 192.168.1.B
{
"host" : "192.168.1.B",
"ipv6" : false
}

[Jan 6, 2023, 22:36:01] Connecting to [DDNSホスト名]:1194 (192.168.1.B) via UDPv4

書込番号：25085810

[たく0220]

＞ブラックバード２さん

＞以下のようなエラーメッセージがでて接続ができません。「ipv6 false」でググると同様な問題を抱えている方の英語での質問がいくつかありますが、これだというような解決方法はなさそうでした。

「ipv6 false」についてはサーバーのipv6アドレスに対してpingなどの疎通が確認できないので「false」になってると思います。
ルーター側でipv6フィルターでポートを開けてない場合はその様になるので、気にされなくても大丈夫かと。

OpenVPN Connectの「ADVANCED SETTINGS」を展開するとIPv6の設定があります。
デフォルトは「NO PREFERENCE」になってますので、サーバーとIPv4とIPv6で疎通がとれた方のどちらかでVPN接続を試行します。
外出先からIPv4のみの接続を受けたい場合は、DDNSの設定でIPv6をなし(無効)にするか、OpenVPN Connectの設定で「IPv4-ONLY TUNNEL」に設定してください。


＞[Jan 6, 2023, 22:35:51] Connecting to [DDNSホスト名]:1194 (192.168.1.B) via UDPv4

本題ですが、
外(インターネット)からの場合は、「192.168.1.B」のようなローカル用のプライベートIPアドレスへは直接通信は出来ませんので
この行で表示されるべきなのは、ルーターのWAN側のIPv4(グローバル)アドレスになります。
hostsファイルに該当ドメインがある場合は、そちらが優先されてしまい外からでは接続出来なくなります。

＞hostsファイルの192.168.1.AをBに置き換えたところ、ローカルネットワーク内ではVPN接続できるようになりました。

との事でしたので、IPアドレス側ではなくドメイン側の「*****.synology.me」を適当なものに変更して試してみてもらえますか？
セキュリティソフトによってはhostsファイルの変更を見張っている事があるみたいですので、元の設定が隔離されて変更が反映されない(されにくい)ようになってたりしないかが気になる所です。

書込番号：25085856

[たく0220]

＞ブラックバード２さん

すみません、勘違いしてしまったみたいですので訂正します。

＞{
＞"host" : "192.168.1.B",
＞"ipv6" : false
＞}
「ipv6 false」については接続先ホスト("host")のIPアドレスがIPv4の場合はfalseになり、IPv6の場合はtrueになります。
IPアドレスがIPv4かIPv6かの判定した結果になるみたいです。

書込番号：25085922

[ブラックバード２]

＞たく0220さん

またまたアドバイスありがとうございます。

＞IPアドレス側ではなくドメイン側の「*****.synology.me」を適当なものに変更して試してみてもらえますか？

hostsファイルで、以下のような変更を加えて、これまでと同様にローカルネットワークで接続を試したところ、グローバルIPアドレスに接続しにいくようになったみたいです。ただ、当然なのかもしれませんが、VPN接続は失敗しています（何を試しているか追いつけていません。すみません）。

#192.168.1.B ******.synology.me →　オリジナルの設定をコメント化
192.168.1.B 5555.synology.me

[Jan 7, 2023, 01:11:39] OpenVPN core 3.git::d3f8b18b win x86_64 64-bit built on Mar 17 2022 11:42:02
[Jan 7, 2023, 01:11:39] Frame=512/2048/512 mssfix-ctrl=1250
[Jan 7, 2023, 01:11:39] UNUSED OPTIONS
1 [tls-client]
4 [pull]
6 [script-security] [2]
[Jan 7, 2023, 01:11:39] EVENT: RESOLVE
[Jan 7, 2023, 01:11:39] Contacting グローバルIPv4:1194 via UDP
[Jan 7, 2023, 01:11:39] EVENT: WAIT
[Jan 7, 2023, 01:11:39] WinCommandAgent: transmitting bypass route to グローバルIPv4
{
"host" : "グローバルIPv4",
"ipv6" : false

}

[Jan 7, 2023, 01:11:39] Connecting to [DDNSホスト名]:1194 (グローバルIPv4) via UDPv4
[Jan 7, 2023, 01:11:49] Server poll timeout, trying next remote entry...
[Jan 7, 2023, 01:11:49] EVENT: RECONNECTING
[Jan 7, 2023, 01:11:49] EVENT: RESOLVE
[Jan 7, 2023, 01:11:49] Contacting [グローバルIPv6]:1194 via UDP
[Jan 7, 2023, 01:11:49] EVENT: WAIT
[Jan 7, 2023, 01:11:49] WinCommandAgent: transmitting bypass route to グローバルIPv6
{
"host" : "グローバルIPv6",
"ipv6" : true
}

[Jan 7, 2023, 01:11:49] Transport Error: socket_protect error (UDP)
[Jan 7, 2023, 01:11:49] Client terminated, restarting in 2000 ms...
[Jan 7, 2023, 01:11:51] EVENT: RECONNECTING
[Jan 7, 2023, 01:11:51] EVENT: RESOLVE
[Jan 7, 2023, 01:11:51] Contacting グローバルIPv4:1194 via UDP
[Jan 7, 2023, 01:11:51] EVENT: WAIT
[Jan 7, 2023, 01:11:51] WinCommandAgent: transmitting bypass route to グローバルIPv4
{
"host" : "グローバルIPv4",
"ipv6" : false
}

書込番号：25085964

[たく0220]

＞ブラックバード２さん

＞hostsファイルで、以下のような変更を加えて、これまでと同様にローカルネットワークで接続を試したところ、グローバルIPアドレスに接続しにいくようになったみたいです。

どうやら犯人はhostsファイルっぽいですね。
他にhostsファイルを使う必要がなければ、一旦ファイル名を「hosts.sam」のように変更して無効化してみるのも良いかもしれません。(sam: sample)

＞ただ、当然なのかもしれませんが、VPN接続は失敗しています

最初の接続でサーバーから応答がないみたいです。NAS側のOpenVPNまでたどり着けてない感じです。
以前の設定ではポート番号が「2222」だったりしましたので、その辺をもう一度確認してみてください。

あと、念の為にもコンパネ -> セキュリティ -> 保護(タブ) で
自動ブロックの「ホワイト/ブラック リスト」を確認して、PCのIPアドレスがブロックされてないかも確認してみてください。

書込番号：25085978

[たく0220]

＞ブラックバード２さん

少し情報が混乱してしまってまして、状況の確認をしたいのですが
そのPC以外でローカルからOpenVPNに接続出来た端末はありますか？

iPhoneやiPadでWi-Fi(ローカルのネットワーク)のみ接続している状況でOpenVPNに接続は出来てましたか？(機内モードON、Wi-FiのみONの状態)

ひょっとするとルーター(RX-600Mi)がヘアピンNAT(NATループバック)に対応してないのかもしれません。
ルーターにヘアピンNATの機能がない場合は、LAN内からDDNSホスト名でのアクセスは無理かもしれません。

参考: ヘアピン NAT 機能
http://www.rtpro.yamaha.co.jp/RT/docs/nat-descriptor/hairpin_nat.html

hostsファイルの設定を無効にして外からであれば、そのPCからアクセスは出来る状態になるかと思いますので
一度確認してみてください。

書込番号：25086392

[ブラックバード２]

＞たく0220さん

アドバイスいただいた手順で、携帯からのテザリングで、PCでVPN接続できました（hostsの設定をコメント化により無効にしてから、外部から接続）！ありがとうございます！！

ちなみにiPhoneやiPadではローカルネットワークからもVPNに接続できているので、iOSは問題を内部的に回避する仕組みが組み込まれているということなんでしょうかね。PCでローカルネットワークから接続する場合は、ヘアピンNAT機能がないとエラーが発生し、これを回避する方法はないということですよね（時間の経過とともに忘れてしまいそうなので念のための確認です）。

＞ひょっとするとルーター(RX-600Mi)がヘアピンNAT(NATループバック)に対応してないのかもしれません。

ルーターRX-600MIはヘアピンNATに対応していません。以前、SynologyのPhoto Stationのリンクを送り写真を共有しようとした際に、外部からは見られて、ローカルネットワークでは見られない問題が発生したので、サポートに問い合わせたとことろ、ヘアピンNAT機能がないと、内部のポート転送がうまく機能せず、エラーが発生するとアドバイスをいただきました。その際にヘアピンNAT機能がないことは把握しています。

ちなみにその際は、リバースプロキシを有効にすることでうまく機能するようになりました。同じようなトラブルがある方がいるかもしれないので、ここで共有します。ここの本来の質問とは趣旨が異なりますが、以下がサポートからの回答です。

ルーターでポート番号の変換が行えない場合は、NASの [リバース プロキシ] 機能を有効にすることでポート番号の変換を行います。[リバース プロキシ] を有効にすると、NASに対する特定のホスト名とポート番号の通信を転送することができます。例として、ソースが「NASに設定したホスト名+ポート番号 8888」の通信を、NAS自身 (localhost) のポート番号 80 に転送するように設定します。
これにより、ルーターによってポート番号の変換が行われない場合でもNASによってポートの変換が行われ、[Photo Station] の共有リンクで接続が行えます。[リバース プロキシ] の設定につきましては、オンラインヘルプの「リバース プロキシ規則のカスタマイズ」を参照ください。

すっきりしました!素人にお付き合いいただきありがとうございます。本当に、大感謝です。

書込番号：25086492

[たく0220]

＞ブラックバード２さん

外からは接続出来たみたいで良かったです。

＞ちなみにiPhoneやiPadではローカルネットワークからもVPNに接続できているので、iOSは問題を内部的に回避する仕組みが組み込まれているということなんでしょうかね。PCでローカルネットワークから接続する場合は、ヘアピンNAT機能がないとエラーが発生し、これを回避する方法はないということですよね（時間の経過とともに忘れてしまいそうなので念のための確認です）。

実際にそのルーター(RX-600Mi)の環境で調査してみないと正確に把握するのが難しいのですが
私も何故なんだろうと疑問に思っています。iPhoneやiPadでも変わらないとは思うのですが…
NAS側でパケットキャプチャーなどで状況確認するのが一番理解しやすいのですが、この辺は難しいので置いておきましょう ^^;

＞サポートに問い合わせたとことろ、ヘアピンNAT機能がないと、内部のポート転送がうまく機能せず、エラーが発生するとアドバイスをいただきました。

見させて頂いたのですが、想像するに
　WAN側ポート: 8888
　LAN側ポート: 80
みたいな条件の場合に
　PC(192.168.1.X) -> ルーター(LAN) -> ルーター(WAN) -> NAS(192.168.1.B)
の経路を辿ると
　ルーター(WAN) -> NAS(192.168.1.B)
の所でポート変換が行われてNAS(192.168.1.B)のポート80番に着信するのを期待するのですが、NAT(NAPT)が機能せず戻って来てしまうのでポート8888番のままNASに着信してしまうって事だと思います。

サポートの条件でアクセス可能だったなら、書込番号：25084486の静的IPマスカレードの画像の緑と黄色のポート番号が同じ場合(両方とも1194など)ではWin PCでも可能ではないかなとも思えます。
OpenVPNサーバー側もポート番号は変更出来るので、全体的に揃えてしまうのも良いかもしれません。(その場合はファイアウォールの設定も確認忘れずに。)

それでは。

書込番号：25086618