前回は、RTX1210にIPSecVPNの設定を行い、事業所間でVPN接続ができているところまでを確認しました。認証アルゴリズムや暗号アルゴリズムなど、やや複雑な用語が出てきましたが、接続するルータ双方の設定を適切に行えば、スムーズにVPN接続を確立させることができることを理解いただけたかと思います。しかし、何らかの原因で接続を確立できないケースもあります。
そこで今回は、VPN接続がうまくできない場合のトラブルシューティングを紹介します。
ルータ「RTX1210」のWebGUIにログインし、かんたん設定でVPN接続の設定をしたものの、以下のように、接続設定の一覧には緑色の矢印が表示されていない場合、VPN接続が確立されていない状態です。
プロバイダーとの接続状態を確認する
接続できないといったネットワーク系のトラブルでは、問題の切り分けを1つずつ行っていくことが重要です。まずは、VPN接続そのものよりも、インターネットに正常に接続できているかを確認するところから始めましょう。
ルータ「RTX1210」のWebGUIにログインし、「コマンドの実行」画面からコマンドを発行し、そのレスポンスを見ることで、問題切り分けの判断材料にします。ここで使用するのは、以下3つのコマンドです。
(1)PPPoEセッションの状態確認
以下のコマンドを実行することで、PPPoEセッションの状態を確認できます。
show status pp 1
プロバイダーとの接続が正常な場合、「PPPoEセッションは接続されています」と表示されます。さらに、「PP IP Address Local: xxx.xxx.xxx.xxx, Remote: xxx.xxx.xxx.xxx」の表示は、プロバイダーからルータに割り当てられたIPアドレス(Local)と、プロバイダ側機器のIPアドレス(Remote)を示しています。
(2)NATディスクリプタの状態確認
次に、以下のコマンドを実行して、NATディスクリプタの状態を確認します。NATディスクリプタとは、ヤマハルーターのNAT機能に関する変換ポリシーをまとめたものです。
show nat descriptor address
NATディスクリプタが正常な場合、「有効なNATディスクリプタテーブルが1個ありました」と表示されます。また、「外側アドレス: ipcp/xxx.xxx.xxx.xxx」の表示は、ルータにプロバイダから割り当てられたIPアドレスで、上記のPPPoEセッションの状態を確認した際に表示される「Local」と一致します。
(3)経路情報の確認
さらに、以下のコマンドを実行することで、経路情報を確認できます。
show ip route
経路情報には、必ず「default」として静的経路が表示されます。また、プロバイダ側機器のIPアドレス(Remote)が表示されます。
コマンドの実行結果から症状を分析
上記のコマンドを実行した結果、画面の例と異なっている場合は、その異なっている情報を基に症状を分析します。正常でない場合の原因は以下の3つのいずれかであることが多いでしょう。
プロバイダーにおける認証失敗
PPPoEセッションの状態確認において、「PPPoEセッションは継っていません」との表示が出ます。また、「切断理由: PPP: 認証失敗」が表示されることからも、認証に失敗していることがわかります。
この場合、「プロバイダ接続」の設定画面で、プロバイダから発行されているユーザーIDとパスワードを設定し直してみましょう。
プロバイダーからのIPアドレス取得の失敗
プロバイダーからのIPアドレス取得を失敗している場合は、以下のエラーを確認できます。
(1)PPPoEセッションの状態確認
「PPPoEセッションは接続されています」が表示されるものの、「PP IP Address Local: Unnumbered」と表示されます。プロバイダからルータにIPアドレスが割り当てられていないことがわかります。
(2)NATディスクリプタの状態確認
「外側アドレス: ipcp」とだけ表示され、IPアドレスが表示されません。これも、ルータにプロバイダからのIPアドレスが割り当てられていない状態であることがわかります。
(3)経路情報の確認
ルータに設定されている静的経路(default)のみが表示され、プロバイダー側の機器のIPアドレス(Remote)が表示されません。
このような症状は、プロバイダー接続時にIPアドレスが取得できていないことが原因ですので、以下のコマンドを使って、ルータのWAN側アドレスを自動取得するように設定します。
pp select 1
ppp ipcp ipaddress on
通信ができない
「PPPoEセッションは接続されています」と正常に表示され、また、ルータにもIPアドレスが割り当てられているにもかかわらず、通信ができていない場合は、pingへの応答を確認してみます。
その際は、以下のように、ヤマハネットボランチDNSサービスが提供している「ping.netvolante.jp」へpingしてみます。
ping ping.netvolante.jp
pingへの応答がない場合は、DNSサーバーの設定が間違っている可能性があります。プロバイダから指定されたDNSサーバのIPアドレスがある場合は、以下のようにDNSサーバの設定をします。
dns server [DNSサーバーのIPアドレス]
プロバイダからDNSサーバが指定されていない場合は、以下のコマンドを実行します。
dns server pp 1
設定変更を行った場合は、再度コマンドを発行して、インターネット接続が正常に行えているかを確認してみましょう。
今回紹介したトラブルシューティングは、インターネット接続に失敗しているケースのものでした。次回は、インターネットには正常に接続できているものの、VPN接続が確立できないケースのトラブルシューティングを紹介します。