Q. インターネットVPNではpingコマンドが通らない?

A. ファイアウオールやルーターの設定ミスがほとんど

 自前でインターネットVPNを構築すると、必要な設定をしたのに通信できないといったことがある。ヤマハ 音響開発統括部 SN開発部 ネットワーク機器グループ 技師補の中村 豊さんは、「当社のルーター製品の相談窓口には、VPNの接続は確立しているのに、pingコマンドなど実際の通信ができないという相談が多い」と話す。

 そもそもVPN接続自体が失敗する場合、原因のほとんどはVPNルーターの設定ミス。IPsecの認証に使う鍵として同じ値を設定したり、宛先となる対向ルーターのアドレスをそれぞれ指定するなど、設定内容をすり合わせなければ接続できない。

対向ルーターと設定を合わせる
対向ルーターと設定を合わせる
VPNで利用するIPsecの通信に必要な情報を対向ルーターと合わせなければ接続が確立しない。
[画像のクリックで拡大表示]

 ところが、設定情報をタイプミスで間違えていたり、設定ファイルのサンプルを自社のネットワーク情報に合わせて書き換えていなかったりするためにつながらないことが多い。管理者になりたてで、接続先のネットワーク情報を把握していないケースもあるという。

ping失敗時の三つの原因

 VPN接続はできるがpingコマンドが通らないときに考えられる原因はいくつかある。ヤマハによると、原因として多いものは次の三つだ。

pingが通らない三つの原因
pingが通らない三つの原因
pingコマンドが通らない原因の多くはファイアウオールやフィルター、経路設定にある。
[画像のクリックで拡大表示]

 一つめは、pingコマンドを送信するパソコンのファイアウオール(Windows ファイアウォールなど)の設定で、pingコマンドのパケットがブロックされていること。ヤマハ製品の場合、pingコマンドが通らないときの最も多い原因がこれだという。

 pingコマンドは主に機器の接続確認に使うコマンドだが、悪意のある第三者に端末の存在やOSなどの情報を知られたり、攻撃に悪用されたりする可能性がある。このため、ファイアウオールによってはpingコマンドを通さない設定のものがある。原因がファイアウオールかどうかを確認するには、端末のファイアウオールをいったんオフにして接続を確認するとよい。端末のファイアウオールが原因の場合、ファイアウオールをオフにする。

 二つめは、フィルター(パケットフィルタリング)の設定が間違っていること。ルーターの設定では、フィルターに定義した内容に一致するパケットを通過させたり遮断(破棄)したりする。例えば、「WAN側から送られてくる、送信元や宛先にプライベートアドレスを指定した攻撃パケットを遮断する」などだ。ただし、ネットワーク管理で必要となるpingパケットなど、プロトコルとしてICMPを利用するものは通過するように設定する。この設定がフィルターで定義されていないと、pingパケットは通らない。

 三つめは、経路設定が間違っていること。経路設定はルーティングに必要な情報で、宛先のネットワークと出力先のインタフェースを指定する。インターネットVPNでは、宛先ネットワークとして、対向の拠点のネットワークアドレスを設定する必要がある。ところがこの設定自体を入れていなかったり、設定例をそのまま適用して自社環境とは異なるアドレスが設定されていたりすると、パケットが宛先に届かない。

▼ICMP
Internet Control Message Protocolの略。制御メッセージやエラーメッセージを転送するプロトコル。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。