見出し画像

トラブル事例 VPN経由でWeb参照ができない

VPN経由で、ネット参照ができないというトラブルの事例を紹介したい。
構成イメージは以下のようなる。

左側支社のPC01が、本社側を経由してインターネットへのアクセスができない。正確には、Web参照ができない。という現象が起こった。

そのPC01を、本社側に持っていき、LANに接続すると、Web参照できる。PC01の左側拠点でのネットワーク設定は、
デフォルトゲートウェイは、192.168.20.254 
DNSサーバは、192.168.20.254
としてあった。

左側拠点のVPN用ルータ(NVR500)であるルータBには、DNSサーバのアドレスとして、本社側のインターネット用ルータ(NVR510)のIPアドレスである192.168.10.253が設定されていた。

そのため、PC01がWeb参照をしようとすると、DNSへの問い合わせは、まず、192.168.20.254(ルータB)へいき、そのルータBを経由し192.168.10.253へいく。そこで、問題が生じていた。下図の上部を参照


DNSの問い合わせをうけたRTX830には、
dns host lan1
という設定がされている。

これは、lan1に所属しているアドレスからしかDNSの問い合わせを受け付けないという意味になる。

lan1とは今回の例でいうと、本社側のネットワークである
192.168.10.0/24のネットワークのことである。
拠点側は、192.168.20.0/24のネットワークのため

DNSの問い合わせが拒否され結果、名前解決ができず、
PC01はWeb参照ができなかった。
ということになる。

この dns host lan1は、プロバイダへの接続設定であるPPPoEの
設定を行うと自動的に追加される。

NR510、RTX830やRTX1210など、比較的最近の型番のヤマハルータで設定すると気づかないうちに設定されている。NVR500では、PPPoEの設定をしても、自動的に追加はされない。

今回の現象の対処方法としては、RTX830の
dns host lan1

dns host any
とすれば、拠点側のPC01からWeb参照ができるようになる。

anyの部分をIPアドレスの範囲の指定もできるようなので、
制限をしたい場合は、そのような設定をするのもありだろう。

ひとつ補足しておくと、図で、同じく拠点側にあったPC02がWeb参照できていたのは、PC02に設定されていたDNSサーバのアドレスが192.168.10.100(ルーターA)になっていたためです。上図を参照

ルーターAには、dns host lan1 の設定はなく、ルーターA自体のDNSの設定は、192.168.10.253になっている。

結果、PC02からのDNSの問い合わせは、ルーターAを経由して、インターネットルータに届いていたため、インターネットルータ(RTX830)からみると同じセグメントからの問い合わせと判断していたことになる。

今回の紹介したトラブル事例のように、各装置のそれぞれの設定は、特に間違っているわけではないのだけど、全体としてうまく動作しないということがありうるのだ。

この記事の内容を動画にしたものがコチラ



この記事が気に入ったらサポートをしてみませんか?