トラブル事例 VPN経由でWeb参照ができない。

少し前にブログで紹介したトラブル事例と似ているが、

VPN経由で、ネット参照ができないというトラブルの事例を紹介したい。

構成イメージは以下のようなる。

拠点側のPC01が、本社側を経由してインターネットへのアクセス

正確には、Web参照ができない。という現象が起こった。

そのPC01を、本社側に持っていき、LANに接続すると

Web参照できる。

PC01の拠点側でのネットワーク設定は、

デフォルトゲートウェイは、192.168.20.254

DNSサーバは、192.168.20.254 としてあった。

拠点のVPN用ルータ(NVR500)であるルータBには、

DNSサーバのアドレスとして、本社側のインターネット用ルータ(NVR510)

のIPアドレスである192.168.10.253が設定されていた。

そのため、PC01がWeb参照をしようとすると、DNSへの問い合わせは、

まず、192.168.20.254(ルータB)へいき、そのルータBを経由して

192.168.10.253へいく。

そこで、問題が生じていた。DNSの問い合わせをうけたNVR510には、

dns host lan1

という設定がされている。

これは、lan1に所属しているアドレスからしかDNSの問い合わせを

受け付けないという意味になる。

lan1とは今回の例でいうと、本社側のネットワークである

192.168.10.0/24のネットワークのことである。

拠点側は、192.168.20.0/24のネットワークのため

DNSの問い合わせが拒否され結果、名前解決ができず、

PC01はWeb参照ができなかった。ということになる。

この dns host lan1は、プロバイダへの接続設定であるPPPoEの

設定を行うと自動的に追加される。

NR510やRTX1210など、比較的最近の型番のヤマハルータで設定すると

気づかないうちに設定されている。

NVR500では、PPPoEの設定をしても、自動的に追加はされない。

今回の現象の対処方法としては、

dns host lan1を

dns host anyとすれば、拠点側のPC01からWeb参照ができるようになる。

anyの部分をIPアドレスの範囲の指定もできるようなので、

制限をしたい場合は、そのような設定をするのもありだろう。

ひとつ補足しておくと、図で、同じく拠点側にあったPC02が

Web参照できていたのは、PC02に設定されていたDNSサーバの

アドレスが192.168.10.254(ルーターA)になっていたためです。

ルーターAには、dns host lan1 の設定はなく、

ルーターA自体のDNSの設定は、192.168.10.253になっている。

結果、PC02からのDNSの問い合わせは、ルーターAを経由して、

インターネットルータに届いていたため、インターネットルータからみると

同じセグメントからの問い合わせと判断していたことになる。

今回の紹介したトラブル事例のように、各装置のそれぞれの設定は、

特に間違っているわけではないのだけど、全体としてうまく動作しない

ということがありうるのだ。

コメント

タイトルとURLをコピーしました