前回までは、ヤマハルータ「RTX830」を用いて拠点間VPNを構築する方法、リモートアクセスVPNを構築する方法を紹介してきました。設定するポイントさえ押さえれば、VPNの構築はそれほど難しくないと感じていただけたのではないでしょうか。

とはいえ、ネットワーク形態はさまざまです。すでにLANが敷設されている環境にVPNを新たに導入するケースもあれば、ネットワークの構築からすべて新規で始めるケースもあるでしょう。ネットワーク形態が一意でないということは、当然のことながらトラブルも生まれます。

そこで、今回からは、VPN構築をしていく上で遭遇しがちな代表的なトラブルを取り上げて、その解決方法を紹介していきます。

まずは、ルータに基本的な設定をしたもののVPN接続が確立できていない場合のトラブルシューティングを考えます。つまり、以下のように、WebGUIのダッシュボードでは、VPNの接続状態が破線で表示されている状態です。

ネットワークに関するトラブルシューティングにおいては、やみくもに設定を変えるのではなく、どこまで通信できているかを確認しながら、少しずつ問題の切り分けを行っていくことが解決への近道です。

なお、ルータからコマンドを発行して、その応答を見ることで、状況を確認することができます。WebGUIの管理タブから、「保守」-「コマンドの実行」と進んで、コマンドを入力して実行することで、状況を確認できます。

それでは、具体的に状況を確認していきましょう。
○ルータからping.netvolante.jpへのpingの応答を確認

まずは、ルータがインターネットに接続できている、かつ、名前解決に使用するDNSを正常に使えているどうかを確認します。それには、以下のコマンドを入力し、実行しましょう。

ping ping.netvolante.jp

応答がない場合は、名前解決に使用するDNSサーバを設定し直してみてください。もし、プロバイダーから指定されたDNSサーバのIPアドレスがある場合は、それを指定してコマンドを発行します。

dns server [DNSサーバーのIPアドレス]

もし、プロバイダーからDNSサーバの指定がない場合は、以下のコマンドで設定します。

dns server pp 1

○ルータから接続先ルータのネットボランチDNSホスト名へのpingの応答を確認

次に、接続先のルータがネットボランチDNSへ正常に登録できているかどうかを確認してみます。

ping xxx.xxx.netvolante.jp

「xxx.xxx.netvolante.jp」は、接続先ルータのネットボランチDNSの名称です。応答がない場合は、接続先ルータが正常にネットボランチDNSへ登録できているかを確認してください。
○ルータから接続先ルータのLAN1側へのpingの応答を確認

次に、ルータから接続先ルータのLAN1側に通信できているかどうかを確認します。

接続先のLAN側のアドレスは、「経路に関する設定」で入力しました。LAN側のアドレスは、接続する拠点において重複できないので、接続元のアドレスが「192.168.100.0/24」だとしたら、接続先は「192.168.200.0/24」のようになっている必要があります。

ping 192.168.200.1

上記の3種類のpingコマンドで応答があった場合は、ルータは正常に動作しています。それでもVPN接続が確立しない場合は、ルータの状態そのものを確認していく必要があります。
○ルータの状態を確認

ルータの状態を確認するには、以下のように、いくつかのコマンドを発行し、それぞれの応答を確認します。
(1)プロバイダーとの接続状態を確認する

show status pp 1

接続に成功した場合は、「PPPoEセッションは接続されています」と表示されます。
(2)NATディスクリプタの状態を確認する

show nat descriptor address

正常な場合は、「有効なNATディスクリプタテーブルが1個ありました」と表示されます。NATディスクリプタとは、ヤマハルータに搭載されている、NAT機能における一連の変換ポリシーをまとめたものです。
(3)経路情報を確認する

show ip route

正常な場合は、まずdefault経路が表示され、その後、接続先のルータまでの経路情報が表示されます。
(4)デバッグログを確認する

デバッグログを確認するには、あらかじめ、ルータで以下のコマンドを発行しておく必要があります。

syslog debug on

そして、以下のコマンドを発行します。

show log

VPN接続が確立している場合は、「IP Tunnel[1] Up」というログが表示されます。
(5)SA情報を確認する

鍵や鍵の寿命、暗号や認証のアルゴリズムなどを登録した管理情報は、SA(Security Association)で管理されています。SA情報を確認するには、以下の2つのコマンドを発行します。

show ipsec sa
show ipsec sa gateway 1 detail

ただ、ここで出力されるSA情報を読み解くのは少し難しいです。

VPN接続が確立しない場合、多くは、お互いのルータの設定がどこか間違っているか、インターネット接続に失敗しているかに原因があります。その辺りを見直せば、ほぼ接続を確立することができます。それでも接続を確立できない場合は、SA情報から原因を探る必要があります。次回は、「SA情報」について詳しく見ていきます。
(シオラボ)

画像提供:マイナビニュース