VPNのバックアップが切り替わらない

「VPNソリューションパック バックアップオプション」をご利用中のお客様で
バックアップが切り替わらない　というトラブルがありました。


その時の環境としては
A拠点
　は回線を2重化して、バックアップ側の回線はアクトスタンバイ

B拠点
　は回線は1本。回線のバックアップなし。

通常時は
A拠点のメイン回線　と　B拠点の回線　でVPN接続

A拠点メイン回線障害時に
A拠点バックアップ回線　と　B拠点の回線でVPN接続
A拠点のメイン回線が復旧すれば、通常時の状態に自動的に復旧


という環境・VPN構成なのですが
ある日

①A拠点のメイン回線で障害発生（回線故障）
　↓
②A拠点バックアップ回線が接続。
　B拠点は、自動的にA拠点のバックアップ回線とVPN接続開始

とここまでは良かったんですが

　　　　
③A拠点のメイン回線復旧するも、VPN接続できず。

ということが起きてしました、、、、

ログを解析してわかったのは
実は①～③までの間の時間が非常に短かったこと（2分程度で復旧）
そのため、それぞれのルータが以下のような状態になっていたことです。


◆A拠点側のルータとしては

メイン回線切れちゃった。
→仕方ないからメイン回線のVPN接続を切って、バックアップ回線でVPN接続できるように準備しよう！
　→あれ？もうメイン回線復旧しちゃった。じゃあメイン回線でVPN接続できるように準備しよう。
　　→ん？なかなかB拠点側がVPN接続しにこないなぁ。。。。。


となっていて


◆B拠点側のルータとしては

A拠点側でメイン回線の障害を発見！
　→ よし！A拠点のバックアップ回線のほうにVPN接続しよう！
　　→と思ったら、メイン回線問題なさげ？
　　　メイン回線障害じゃなかったぽいんで、今繋がっているままでいいや


ということのようです。

A拠点側は、つなぎ来ることを待っていて、
B拠点側は、接続したままで問題ないと思っている。
状態ですね、、、


そこで今回の対策としては、それぞれルータの「思い違い」がないように
対抗拠点の障害検知のトリガー
VPNの切断、および接続のタイミング
の見直しを行いました。


自社の検証環境で試しましたが、より確実に切り替わることを確認。
実際のお客様の環境でも反映させ、今回の対応としは終了となりました、、、


お客様には大変ご迷惑をおかけしまして申し訳ありませんでした。
サービスリリース前の検証の段階で、いろんな状況を想定して検証をし
問題なく提供できる調整をしていたつもりですが、
もうちょっとメイン回線の障害の時間が長かったり、逆にもうちょっと短ければ
起きなかったはずの、ちょうどピンポイントで嵌ってしまった障害でした。。。。

スマートフォンでVPN接続中にインターネットは端末から直接出したい

「スマートフォンでVPN」　および　「VPNソリューションパック モバイルオプション」
を利用して、VPN接続を行う場合

弊社標準設定の場合、VPN接続中のみ
スマートフォン等端末でのインターネット通信はVPN接続先のVPNアダプタやVPNルータ経由となります。

ただ、VPN接続するスマートフォンやパソコンの設定を変えることで、
VPN接続中であっても、端末から直接インターネット接続は技術的には可能です。
　

その方法は以下の通りですので参考にしてください。

■Android4.*の場合

１）VPNの設定画面を開き、拡張オプションを表示します

２）転送ルートの設定項目に、VPN接続先の「ネットワークアドレス」を入力してください。

■iOSの場合
１）VPN設定内の「すべての信号を送信」をオフにします。

■Windows7の場合　（XPや8でも概ね同じ設定）

１）VPNの設定内の「ネットワーク」のタブを開き、TCP/IPv4 のプロパティを開きます。

２）詳細設定　をクリックします。

３）リモートネットワークでデフォルトゲートウェイを使う　のチェックを外します。

各OSで以上のような設定をしていただければ、VPN接続中でも、端末から直接インターネット接続が可能です。

ちなみに、Android2.0と3.0は、OS上で「転送ルート」の設定ができないので、VPN接続中は必ずVPN経由になります、、、

Windows 標準機能での VPN接続

ちょっと今回は専門的な内容。

　

当社サービス

スマートフォンでVPN（http://www.anw.jp/smartphonevpn.html）、＆　VPNソリューションパック＋モバイルオプション（http://www.anw.jp/vspmobile.html）

はスマートフォンや、Windowsパソコンから外出先や出張先からのVPNルータとのL2TP/IPSec通信を実現VPN接続できるサービス

ですが、

　

　

Windowsパソコンを利用する際、特別なVPN専用のアプリケーションをインストールしなくても利用できる

というのも売りの一つとなっています。

　

専用のアプリケーションが不要なのは、Windows標準の機能を利用するからなのですが

どうやら、その機能OSのバージョンによって若干機能がちがうっぽいです、、、

設定して、実際の利用にはまったく問題ないのですが、

　

　

　

～～こっから若干専門的なお話～～

　

何が違うかというと

Aggressive Mode Phase1でやるとりされるパラメータの

ISAKMP ID

が

XP（SP3）の場合・・・ホスト名（PC名）

Vista～8・・・ローカルのIPアドレス

を自動的に使うっぽい。

　　

そのため、XPの場合、同じホスト名を使ってる端末が複数台VPN接続を行うと

片方のみしか接続できないことになります。

　

この値をレジストリとかで変えられるかは不明、、、

2000やServerOSが何を割り当ててるかは不明ですが

2008ServerもローカルのIPアドレスのようです。

　

ちなみに、AndoridやiOSもIPアドレスを使っているので、特殊なのはXPだけのようです。

この手の内容の文献とかwebの資料とかほとんどないので、あくまで自分が手元にある端末で試した結果ですので、認識が違ったら申し訳ないですが

何かの参考になればと。

「スマV」 /「VSP モバイルオプション」 をWindowsで利用する場合

今回も「スマートフォンでVPN」(以下 スマV) /「VPNソリューションパック モバイルオプション」（以下 VSPモバイルオプション） 利用時にうまくいかない場合の話。

 

「スマV」 /「VSPモバイルオプション」 をWindowsを利用する時に

設定は合っているけど、うまくつながらない！

という時に良くあるのが

 

別のVPN専用のアプリケーションをインストールしている場合です。

ex）センチュリーシステムズ NET-G VPN Client 、ジュニパー　NetScreen-Remote 、ヤマハVPNクライアントソフトウェア　等

 

 

 

「スマV」 /「VSPモバイルオプション」 はWindowsの標準機能を使ってVPN接続をするため、専用ソフトのインストールは不要なのですが、

VPN専用のアプリケーションがインストールされていると

そのWindows標準のVPN機能（IPSECサービス）が停止されてしまいます。

そのため、設定が正しくされていても、VPN接続できないことがあります。

 

対処法として手っ取り早いのは

①VPN専用のアプリケーションのアンインストール

②Windowsのサービスで「ipsec services」（winXP）「ipsec policy agent」（win7）が起動していることを確認

となります。

2013/3/4 追記

Windows7はサービスで

IKE and AuthIP IPsec Keying Modules

も起動していないと駄目でした。

「スマV」 /「VSPモバイルオプション」がルータ経由でVPN接続できない時・・・

久しぶりにサポートのお話です。

弊社サービス「スマートフォンでVPN」（以下 スマV）および「VPNソリューションパック モバイルオプション」（以下VSPモバイルオプション）をご利用のお客様で、最近問い合わせが多いのが

「クライアント端末が（3Gの時はOKだけど）ルータ環境で、VPN接続ができない」

という内容です。

 

このような状況の場合、大抵の場合がクライアント側で利用のルータの設定の問題なのですが、

（もちろんそれ以外も問題の場合もありますが）

確認したほうが良いのが、そのルータの「IPSECパススルー」機能です。

 

最近のブロードバンドルータやWIFIルータ「VPNパススルー」という機能があります。

この機能は文字通り、「LAN側の端末からVPN通信を通す」　という機能なのですが

この機能がちょっとわかりづらい。

 

 

まず、VPNパススルーには

PPTPパススルー

と

IPSECパススルー

2種類あるんですが、

「スマートフォンでVPN」の場合、暗号化に「IPSEC」を利用しているので基本的には「IPSECパススルー」を有効にする必要があります。

（基本的には　と書いた理由は後述）

PPTPスルーを有効にしても意味がないです。

 

ただ、ブロードバンドルータの機種によっては

単に「VPNパススルー」としか記載がなく、どっちの機能のことかぱっと見わからない機種もあります。

この場合マニュアルやメーカwebで確認するしかないです。

で、機種によっては「PPTP」しかスルーできないものもあり、その場合はそのルータを使ってのVPN接続は不可の可能性が高いです。

 

 

また、このIPSECパススルー機能が、ブロードバンドルータのメーカのよっては、動作がまちまちで

例えばバッファローの場合、逆にこの機能を有効にすると逆に、「スマV」「VSPモバイルオプション」でVPN接続できません。

http://buffalo.jp/php/lqa.php?id=BUF1843#8

※「スマV」「VSPモバイルオプション」のIPSEC機能は、IPSec NAT Traversal 機能を使います。

　IPSec NAT Traversal の詳細は割愛

 

 

で、さらに厄介なのが、

ブロードバンドルータに、そもそもこの機能がなくてもVPN接続できる機種もあります。

（IPSECパススルー機能がデフォルトで有効かつ、停止できない）

こういった機種の場合、マニュアルやメーカのwebを見ても、詳細不明の場合も多いため「試してみないとわからない」といのが現状です。。。

 

 

 

ということでいろいろ書きましたが、

ルータ経由だとうまくつながらない場合は

 

ブロードバンドルータの設定で、「IPSECパススルー」機能を　有効/無効　に変えて繋がるか確認する！

 

ということになります。。。

 

 

それじゃ困る！導入前に今の環境でVPN接続できるか確認しておきたい！

 

という方は

事前に接続確認ができるデモ環境を準備しておりますので、以下URLからデモの申込をお願いします。

 

http://www.anw.jp/smavdemo.html