treedown’s Report

システム管理者に巻き起こる様々な事象を読者の貴方へ報告するブログです。会社でも家庭でも"システム"に携わるすべての方の共感を目指しています。

※https化しました。その影響でしばらくリンク切れなどがあるかもしれませんが徐々に修正していきます。 リンク切れなどのお気づきの点がございましたらコメントなどでご指摘いただけますと助かります。

VPNでイントラサーバに繋がらないトラブルシューティング方法

VPN経由でイントラネット上のサーバに接続できない、と報告があり対処を実施したためご報告します。
トラブルシューティングの基礎的な内容になります。

VPN環境の概要は以前の図を参考に掲載します。(図は使いまわしです。)

f:id:treedown:20150806115437p:plain

相違点として、以前の図はリモートデスクトップのためにイントラネットに接続していましたが、今回はイントラネット上の共有フォルダ(ファイルサーバ)への接続です。
※図中のメインPC(リモートデスクトップ)の箇所がファイルサーバ(共有フォルダ)となります。
また、モバイルPC側で利用している接続形態はモバイルWiFiではなく、USBモデムによるPPP接続です。(PC上の接続ソフトウェアを起動してPPP認証後接続を確立します。)

トラブルシューティングの基本として以下のステップで解決までに到達します。

  1. 状況確認
  2. 問題点の特定(問題の切り分け)
  3. 考えうる要因の選定
  4. 解決方法、問題解決の試行(トライ&エラー)
  5. 問題解決と解決方法の記録

接続不良の場合にはまず導通確認です。
状況確認からどの点で通信の疎通が途絶えているか、を特定することが重要です。
ここで考えうる要因が何かを選び出します。VPNでいえばネットワークの通信に問題があるのか、それとも通信後のトンネルの疎通に問題があるのか、です。
どこに問題があるか、を特定できたところで、問題の原因になっている要因を取り除くためには何をやればいいのか、という部分を試行し解決へと導きます。
解決後にはその方法を記録することで、同じ事案が発生した時の時間短縮を図ることができます。

今回のVPN接続不良で調査するステップは

  1. インターネット接続が確立しているか
  2. VPN接続が確立しているか

この2点です。
言い換えると

  1. インターネット接続のためのソフトウェアが起動し接続が正常完了しているか
  2. VPNソフトウェアでVPNコンセントレーターとトンネルがはれているか

という点を調査します。

まず確認するのは、インターネット接続です。今回は問題箇所を手前から順番に確認していくようにします。
例えば、サポート要請の電話が掛かってきたと仮定するとPC画面は直接見ることはできないので、ユーザ操作で確認してもらうことになります。
ユーザに実施してもらう状況において一番簡単な確認は、「ブラウザでWebサイト閲覧が可能かどうか」の確認です。
インターネット上のコンテンツが閲覧可能かどうかが一番双方で分かりやすい接続確認です。(エラーも大々的に表示されるため)
ただしブラウザにはキャッシュが表示される可能性もあります。
キャッシュが表示されていない、という確証を得るためにGoogleなどで「検索」を実行してもらいます。検索結果が表示されるようであれば、インターネット接続はOK、と判断してOKです。

インターネット接続が確認できたら次がVPN接続の確認です。
VPNソフトによってさまざまな表現となりますが、「tunnel enabled」とか「状態:接続済み」といった表記になります。
これが「tunnel disabled」や「サーバーへの接続が失敗しました。」といった類のメッセージであれば、通信上問題ないがVPNコンセントレーターへの接続が失敗していることになります。

今回のケースでいえば、初期設定で接続の確立は確認しているので、稼働中に何らかの理由で接続ができなくなった、という状況に陥っていることになります。

今回の初期の依頼内容では以下の2種類でした。

  1. 接続時にソフトウェアを起動するとパスワードを聞かれる。
  2. ネットはできるのにイントラネットの共有フォルダに接続できない。

まず(1)は詳細を聞くと、インターネット上のサイトが参照できない=インターネット接続ができない、という点が明確に伝聞されましたので、原因がモバイルで使用しているモデムのインターネット接続ソフトウェアにあるということが分かりました。
さらに症状として、パスワード入力を促す画面が表示される、という報告があり、このパスワードを入力することで解決へ向かえそうです。
さっそく極力セキュリティに配慮してPPPパスワードを伝達します。
ユーザ側でそのパスワードを入力すると、「無事繋がりました。」の声が電話の向こうから聞こえてきました。
一次解決です。根本的な解決方法はこの現象が再発しないこと、を目指しますので後日利用時に再度パスワードを聞かれる用であれば再度連絡をしてもらうようお願いをし電話を切ります。

次に(2)のケースです。
このケースでは、インターネット接続後にWebサイトの閲覧は問題ないが共有フォルダへのショートカットをダブルクリックすると、接続できない主旨のメッセージが表示される、ということでした。
このためVPN接続(トンネルがはれていない)ことが怪しまれます。
VPNソフトウェアが出力する「tunnel enabled」か「tunnel disabled」メッセージのいずれかが表示されいるか、という部分が知りたかったのですがここは要領を得ないので諦めました。
さて困りました。どうしよう、と思っていたところで、以前に同様の問題を解決した時に自分でメモしていた内容を見つけて読み返しました。
そのメモの概要は「Windows8.1へUpdate後、Windows8.1ではVPNソフトウェアのバージョンアップが必要」という記録でした。(自分で書いておいて忘れていたわけですが。)
今回トラブルが発生しているPCはOSがWindows7という違いはあるのですが、VPN設定は特に触っていないはずなので、自然発生した接続不良という症状の共通点からトラブルシューティングをバージョンアップに絞って調査開始です。
まずはバージョンの確認です。現在のバージョンはVer.2.1.7、Windows8.1対応のためにバージョンアップした時の記録ではバージョンはVer.2.2.2と記載がありました。
となると、Windows UpdateでインストールされたKBのどれかが影響して旧バージョンでは動作しなくなった、という仮説をたてます。
Windows7では(以前は)出ていなかった症状が今回(WIndows8.1と同様に)発症した、という仮説の元、バージョンアップを試みます。
バージョンアップを完了し、接続確認をお願いしました。
(ちなみにバージョンアップ作業まではリモート操作で実行です。)

電話の向こう側にVPN接続をお願いしました。
メッセージを確認してもらうと「いままではさておき「tunnel enabled」になっています。」とのことです。共有フォルダへの接続も確認してもらいましたが特にエラーなく接続できているようです。

今回は、以前にトラブルシューティングしていた時の記録を見つけたので素早くバージョンアップという解決方法に辿りつくことができました。
悪い例では、1年~数年前に解決した同じ問題を"解決したことすら忘れて"しまい、いたずらに時間を浪費してしまったことも何度もあります。このときにいつも思うのは、問題を解決した時にその記録を(粗くてもいいから)取っておけばよかった、と思うのです。
これは自宅のPCでも会社のPCでも等しく同じことで、いま解決したトラブル、トラブルシューティングしたその方法、それは未来にも起こるかもしれない、ということを分かって欲しいです。そして、未来への投資としてどこかに解決したトラブルシューティングのノウハウを記録しておくことをお勧めします。
同じ問題を"解決したことすら忘れて"しまうのは、人間ですから、やむなしです。
忘れていても、自分の記録を検索したらその時の記録が出てくるようになっていたらどうでしょう?そのトラブルシューティングは以前4時間かけていたかもしれませんが、絶対それより短時間で解決させることができるはずです。

ぜひ、トラブルを解決したら、それを記録することをお勧めします。自分の資産として。