号外:VPNができなかった理由

えがおIT研究所

今回はVPN接続でトラブったお話です。
いつもの「がんばりすぎないセキュリティ」と比べますと、はるかにマニアックな内容ですので、ご覧いただく際にはご注意ください。

さて、筆者はお仕事でお客さんの社内環境に接続をさせていただくことがあります。
いわゆるVPN接続というものですね。

筆者の経験では、VPNでの接続はIDとパスワードだけで行うことはあまりありません。
たいがいは、IDとパスワード以外のナニかが必要となっています。
ナニかというのは、ライアント証明書だったり、ワンタイムパスワードだったり、接続元のIPアドレス制限だったりと様々です。

今回のトラブルはIPアドレス制限がある環境へのVPN接続でハマったものです。

トラブル発生

今日、お客さん環境にVPNで接続しようとすると、「あんたはダメよ」と怒られました。
理由がわからず、お客さんのVPNサポート部隊に確認すると、「登録されているIPアドレス以外からアクセスしている可能性が高い」とのこと。

こう言われると、少々後ろめたいところがあるのが、筆者のようなマニアの常。
きっとウチの環境がアカンのだろうな、と思いつつトラブルシューティングに入りました。

筆者の自宅には回線2つ

筆者の場合、自宅には二つの回線を引き込んでいます。
一つはフレッツ光の回線、もう一つは地元のケーブルテレビ局がやってるケーブルネットワークの回線。

余談になりますが、2023年の1月まではフレッツ光とフレッツADSLの二種類の回線を引き込んでいて、満足していたのですが、残念なことにフレッツADSLが2023年1月末でサービス終了になったため、仕方なくケーブルネットワークを導入した経緯があります。

さて、一般的に二つの回線を自宅に引き込んでいる人はごく少数です。
その理由は二つ。
1)二回線を引き込むコストを負担する価値はほとんどない
2)二回線に対応しているルータは業務用でバカ高い

にも拘わらず二回線を引き込んだ理由は「漢のロマン」です。
回線がトラブルなどで切断したとしても、もう一つの回線で継続してネットワークが利用できる、ってなんかカッコよくないですか?(うんうん、という方はきっと私と同類)

次にルータがバカ高いんですな。
一般的な量販店なら、ルータなんて数千円から売ってますが、業務用となると十万以下ではまずありません。

その最大の理由は、家庭用ほどバカスカ売れないからです。

そのくせ、業務用ルータが壊れたら業務ストップです。買う方としては価格以上に丈夫さ(堅牢さ)が求められます。実際、業務用ルータはバグも少なく、メンテナンスも長期間行ってくれている印象です。

もう一つ、大きな違いはバックアップ回線を意識したルータが多い点です。
上述のように、業務用と考えると、回線を2種類用意しておき、万一の場合は予備回線に切り替えて業務を継続する必要がありますから。

というわけで、私はYAMAHA(そう、あの楽器メーカのYAMAHAです)のRTXシリーズというスモールビジネス用ルータを使っていますが、新品は15万円以上します。
もちろん、貧しい筆者はそんな高級品は買えないので、リース落ちの中古です。(それでも6万とかする)

2回線を使っていることが今回のトラブルの原因その1でした。

使っているパソコン(PC)も怪しい

また、使っているPCもかなり怪しい代物です。
最近はそうそうPCを組み替えたりはしないものの、ノートマシンはあまり好きではないので、自宅ではもっぱらデスクトップ機を使っています。

CPUやメモリはごくフツーなのですが、どうやらマザーボード上のネットワーク機能が不良だったらしく、やむをえず拡張スロットを使ってネットワークカードを増設しています。

どうせネットワークカードを買うならと、Intel純正のデュアルポートアダプタというカードを買いました。このカードには有線LANのクチが2つ付いています。
これもまた、まったく必要性はありません。やはり「漢のロマン」です。

で、当然ながらこれがトラブルの原因その2でした。

トラブル対応

さて、上述の通り、筆者の自宅にはネットワークが2回線あります。当然ながら、それぞれにはIPアドレスが割り当てられています。
アクセスしているIPアドレスが違うということは、VPN用に使っているつもりの回線を使わず、もう一つの回線でつなぎに行っていることになります。

このあたりの構成は業務用ルータならではの複雑さになります。
どこのクチからどこに行くときには、どの回線を使って、どの場合は別の回線を使うのか?という定義を行うのですが、これがハンパなマニアである筆者には実に難しい。(インフラ系はそれほど明るくない)

うんうん、うなりながらマニュアルを見ながら、設定変更を繰り返して、ようやく期待したルートで接続ができることが確認できました。

やれやれと思って接続してみると、やっぱり同じエラー。

どうしてなんだーーーー!と思いつつ、自分が悪いのはまず間違いないので、もう一度考えてみます。

ぼーっと考えながら、手元のハブをぼんやり見てると、接続用のPCからのネットワークケーブルが2本来ていることに気づきました。

「あれ、そういやこいつ2本引き込んでたよな」
ってことは、それぞれのクチごとにネットワークアドレスがあるはずだよな、ってことはひょっとして期待してたルート以外でパケット流してたんとちゃうんか!と(ここでようやく)ネットワークカードが特殊なものであることに思いいたったのです。

ここまでくると答えは割と簡単でした。
まず、2本のうち1本を抜き、確実に特定のIPアドレスでPCからルータにたどり着くようにし、それでVPN接続をしてみました。

見事に接続できるようになりました。

結論
お客さんの信頼も失いかねない、漢のロマンはとっても高くつく。

この記事が気に入ったらサポートをしてみませんか?