goo blog サービス終了のお知らせ 

ネットワーク・エンジニアのVPNサポート日記

株式会社アーツネットウェーブのサポート担当が「VPNソリューションパック」のサポートの様子を綴って行きます。

VPN バックアップ構成検証(イーサ接続あり)②

2013-11-25 | 社内検証

前回からだいぶ間あいてしまいましたが、前回の検証の結果です。

(検証がうまくいかなかったわけではなく、書くのが遅かっただけです、、、)

結果としては前回の構成としてはOK。問題なく動作します。

検証のポイントとなったのは、
拠点側のバックアップ回線が、イーサ接続のため
ルータ上で回線を「接続」「切断」ができないこと(常につながりっぱなし)がかえって面倒。
※NXRの仕様

VPNのトンネルも、バックアップ回線を使ったトンネルも常に繋がりっぱなしになってしまいます。
(メイン障害時にのみトンネルを接続するトリガーも設定できそうですけど、かなり複雑になる)

※ちなみに現在「VPNソリューションパック 新バックアップ」はバックアップ回線はメイン回線が障害発生したときのみ接続します。

で、トンネルが複数存在すると、どちらを使って通信するかわからなくなり、サポートが困難になるため出来ればやめたい。

ということで、トンネルそれぞれに優先度(destance)を設定して、メイン回線側の優先度を上げ、バックアップ側を下げる
ということで、無事検証完了。

VPNを構成するだけなら、いろいろ方法はあるんでしょうけど、
障害発生時にサポートができなければ意味がないですし
今までの「VPNソリューションパック 新バックアップ」と設計があまり違いすぎても・・・
ということで、これが現在のベストと思える設定かと。

Photo


VPN バックアップ構成検証(イーサ接続あり)

2013-11-14 | 社内検証

久しぶりにVPNの検証をしています。

今回検証しているのは、
当社サービス「VPNソリューションパック回線バックアップ
の新構成になります。

そもそも「VPNソリューションパック回線バックアップ」は、
メイン回線をフレッツ回線、バックアップの回線をフレッツ以外の回線
で構成することにより、アクセス回線の冗長化を行っています。
(フレッツの回線をもう1本バックアップ用で引いても、フレッツ自体が故障したら意味がないので・・・)

ちなみに、現在はバックアップ回線は、主に、CTCのビジネスコミュファやdocomoのXiなどを使って冗長化してます。

で、このバックアップ回線はインターネット回線なら何でも良いというわけでなく
・ルータ(センチュリーシステムズ NXRシリーズ)がそもそもその回線に対応している
・弊社でサポートが可能な回線である
という条件に加え(実はそれ以外もいろいろありますが)

・PPPoE接続か?イーサ接続か?
・またその回線をメイン、バックアップのどちらで使うか?
・WAN側のIPアドレスは固定か、動的か?

で「VPNソリューションパック回線バックアップ」で利用できるかどうかが変わってきます。

そもそもPPPoE接続と、イーサ接続の違いですが、ざっくりいうと
 PPPoE接続=認証ID、パスワード を設定して接続
   ※NTT東西フレッツ、CTCビジネスコミュファ 等
 イーサ接続=IPアドレスを設定(DHCPクライアント含む)して接続
   ※ケーブルテレビ、電力会社系回線 等

という違いです。
この設定の違いが回線のバックアップ&VPNのバックアップが正しく行われるかに影響します。

回線の種類によっては
 バックアップに切り替わるけど、復旧時に切り戻らない
 VPNは問題ないけど、インターネット通信が切替わらない
なんてことが発生します。

実は設定上は
センタ拠点、対抗拠点、それぞれのメイン、バックアップ回線
全てPPPoE接続
というのが、設定上もっともシンプル(個人的に)でき、
現在の「VPNソリューションパック回線バックアップ」は主に回線はPPPoE接続
の回線となっています。

ただ、エリアによってはフレッツ以外のPPPoE回線がひけないなんてこともあり
バックアップ構成にできないじゃん なんてこともあったため
(XiはPPPoE接続ですが、速度的に・・・)

なんとかイーサ接続もOKにしよう! というのが今回の検証の目的です。
(前置きが長くなりましたが)

で、↓が今回の検証の構成。

さてさてうまくいくかしら。
結果はまた次回に。

Photo


スマートフォンでVPN端末検証【iOS7】

2013-10-16 | 社内検証

おそくなりましたが、

当社サービス、スマートフォンでVPN および VPNソリューションパック モバイルオプション

をiPhone,iPadの新OS「iOS7」で利用可能か検証しました。

端末は、iPhone5S、5Cなどの新機種は手元にないため

iPhone4、iPhone5

で試しています。(さすがに、iPhone4にiOS7は重いですが、なんとか動作します)
あと、キャリアもSoftbankなのであしからず。

で、検証結果ですが、

■VPN設定

Img_0850

■リモートデスクトップ

Img_0849

ともに問題なく動作するようです。今回のOSで見た目は変わりましたが

設定できる内容、項目に特に変化がなく、いままでどおり使える

という感じです。(ちょっと拍子抜け・・・)

前回の記事にも書きました、

「Per app VPN」(アプリケーションを起動した時、それが自動的にVPNに接続されるように設定できる機能)

については、iOS単体ではできない?っぽいです。

5Sならできる?AppleのMDMがないと無理なのかな???少なくとも手元にある端末では

「Per app VPN」の項目はありませんでした。面白そうな機能なだけに残念。


WindowsRT検証

2013-05-02 | 社内検証

WindowsRT で自社サービス「スマートフォンでVPN」や「VPNソリューションパック モバイルオプション」

が利用できるか検証をしました。

 

そもそもWindowsRTとは

Windows RT(ウィンドウズ アールティー)はWindows 8ARM版バージョン。タブレットなどタッチスクリーンを搭載した端末用のオペレーティングシステム (OS) である。

 

とのことらしく、ぱっと見は「Windows8」ですが、それとは別ものということらしく

Windows8は検証済みでしたが、ひょっとしたら動作が違うかも?ということで検証しました。

 

 

まず、触ってみた感想としては、おおむねWindows8と変わらないですが

今回検証した機種の問題なのかはわかりませんが、若干「もっさり」とした動作という印象。

基本的には「タイルアプリ」を動作させることを想定していのか、通常のWindowsの操作をさせると動作がもたつく感じです。

WindowsRTは

>標準添付の Windows Defender 以外のアンチウイルスソフトウェアを使用することができない。

ということで、今回検証した端末もアンチウィルスソフトがインストールされていない状態だったんですが、

その状態でも、遅く感じたので・・・・この辺は個人差あるとは思いますが。

Img_3469

 

で、肝心の「スマートフォンでVPN」や「VPNソリューションパック モバイルオプション」

が利用できるかですが、

ひょっとして、RTはVPN機能が削られてるかも・・・とか思ってましたが

んなこともなく、問題なくVPN接続やVPN経由のリモートデスクトップ接続などもOKでした。

Img_3465

 

 

ただ、Windows8同様、

リモートデスクトップ時に、ソフトウェアキーボード(スクリーンキーボード)だとうまく日本語入力できません。

Windows標準?のソフトウェアキーボードには「半角/全角」キーがないので、英⇔日 の切り替えができないんですよね、、

(ソフトキーボードの場合、本来「あ」、「A」のボタン英⇔日で切り替えるんですが、なぜかこれがうまく動作しない、、、、)

 

この件はもうちょっと調査が必要そうです、、、、

Img_3470


AD環境+モバイル環境+VPN接続②

2013-03-29 | 社内検証

前回の続き

VPNソリューションパック モバイルオプション

および

スマートフォンでVPN

を「モバイル利用のWindowsPCで、ActiveDirectory環境(AD環境)でも利用可能か?」

ですが、

「ActiveDirectory 移動プロファイル」

を使っていると、プロファイルの同期がうまく取れないことが発覚。

 

 

現象としては、移動プロファイルを使ってるPCをシャットダウンやログオフする際

プロファイルの同期に失敗する

という状況になってしまいます。。。。

シャットダウン時のWindows側のログやVPNルータ側のログを照らし合わせて確認したところ

おそらく

 ①ユーザがWindowsをシャットダウンする

 ②VPN接続を切断する

 ③プロファイルを同期する

 ④ADからログオフする

とう流れで動作しているっぽい、、、

②で先にVPNを切っちゃうので、同期ができないという感じです。

これはWindowsのログオフ、シャットダウンにおける動作の流れなので

Windowsでなんとかするしかないようですが、色々しらべてみると

レジストリの変更で上記順番を変更できるようです。

■XPの場合

http://support.microsoft.com/kb/q158909

■7の場合

http://support.microsoft.com/kb/q950918

 

このレジストリ変更すると

 ①ユーザがWindowsをシャットダウンする

 ②プロファイルを同期する

 ③ADからログオフする

 ④VPN接続を切断する

に変更されるっぽい。

 

実際びびりながらもレジストリの変更してみると

うまくプロファイルの同期ができたっぽい。

XPも7もうまく同期が取れました。

ただ、WindowsPC側のインターネット回線がモバイル想定(Xi、WIMAX等)なので

同期にめちゃくちゃかかるため、実運用としてOKかどうかは微妙、、、

 

 

また、何故かわかりませんが、同じ設定にしたのに、同期されないPCもありました。

レジストリがうまく適用されていないのか、何なのか原因はつかめませんでしたが

パソコンによってはうまくいかないケースもあるようです、、

(過去にいろいろ設定いじったパソコンだったので、そのせいかもしれませんが、、)

この辺は実際のパソコン、AD環境を使って試した方が間違いないですね、、、、、
 

 

(通常の設定ではなくレジストリをいじって設定する怖いところか??)

移動プロファイルについては、「出来なくもないけど、パソコンやNWの環境にもよる」という微妙な結果に、、、、

 

もっと良い方法があるのかもしれませんが、そのためには私自身がもう少しADのこと勉強しないといけないですね、、、