• ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • 日経BP
  • PR

  • PR

  • PR

  • PR

  • PR

VPNの素朴な疑問

インターネットVPNで起こしがちな三つのミス

堀内 かほり=日経NETWORK 2017/05/17 日経NETWORK
出典:日経NETWORK 2016年10月号pp.48-49
(記事は執筆時の情報に基づいており、現在では異なる場合があります)
目次一覧

Q. インターネットVPNではpingコマンドが通らない?

A. ファイアウオールやルーターの設定ミスがほとんど

 自前でインターネットVPNを構築すると、必要な設定をしたのに通信できないといったことがある。ヤマハ 音響開発統括部 SN開発部 ネットワーク機器グループ 技師補の中村 豊さんは、「当社のルーター製品の相談窓口には、VPNの接続は確立しているのに、pingコマンドなど実際の通信ができないという相談が多い」と話す。

 そもそもVPN接続自体が失敗する場合、原因のほとんどはVPNルーターの設定ミス。IPsecの認証に使う鍵として同じ値を設定したり、宛先となる対向ルーターのアドレスをそれぞれ指定するなど、設定内容をすり合わせなければ接続できない。

対向ルーターと設定を合わせる
VPNで利用するIPsecの通信に必要な情報を対向ルーターと合わせなければ接続が確立しない。
[画像のクリックで拡大表示]

 ところが、設定情報をタイプミスで間違えていたり、設定ファイルのサンプルを自社のネットワーク情報に合わせて書き換えていなかったりするためにつながらないことが多い。管理者になりたてで、接続先のネットワーク情報を把握していないケースもあるという。

ping失敗時の三つの原因

 VPN接続はできるがpingコマンドが通らないときに考えられる原因はいくつかある。ヤマハによると、原因として多いものは次の三つだ。

pingが通らない三つの原因
pingコマンドが通らない原因の多くはファイアウオールやフィルター、経路設定にある。
[画像のクリックで拡大表示]

 一つめは、pingコマンドを送信するパソコンのファイアウオール(Windows ファイアウォールなど)の設定で、pingコマンドのパケットがブロックされていること。ヤマハ製品の場合、pingコマンドが通らないときの最も多い原因がこれだという。

 pingコマンドは主に機器の接続確認に使うコマンドだが、悪意のある第三者に端末の存在やOSなどの情報を知られたり、攻撃に悪用されたりする可能性がある。このため、ファイアウオールによってはpingコマンドを通さない設定のものがある。原因がファイアウオールかどうかを確認するには、端末のファイアウオールをいったんオフにして接続を確認するとよい。端末のファイアウオールが原因の場合、ファイアウオールをオフにする。

 二つめは、フィルター(パケットフィルタリング)の設定が間違っていること。ルーターの設定では、フィルターに定義した内容に一致するパケットを通過させたり遮断(破棄)したりする。例えば、「WAN側から送られてくる、送信元や宛先にプライベートアドレスを指定した攻撃パケットを遮断する」などだ。ただし、ネットワーク管理で必要となるpingパケットなど、プロトコルとしてICMPを利用するものは通過するように設定する。この設定がフィルターで定義されていないと、pingパケットは通らない。

 三つめは、経路設定が間違っていること。経路設定はルーティングに必要な情報で、宛先のネットワークと出力先のインタフェースを指定する。インターネットVPNでは、宛先ネットワークとして、対向の拠点のネットワークアドレスを設定する必要がある。ところがこの設定自体を入れていなかったり、設定例をそのまま適用して自社環境とは異なるアドレスが設定されていたりすると、パケットが宛先に届かない。

▼ICMP
Internet Control Message Protocolの略。制御メッセージやエラーメッセージを転送するプロトコル。

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る