少し前にブログで紹介したトラブル事例と似ているが、
VPN経由で、ネット参照ができないというトラブルの事例を紹介したい。
構成イメージは以下のようなる。

拠点側のPC01が、本社側を経由してインターネットへのアクセス
正確には、Web参照ができない。という現象が起こった。
そのPC01を、本社側に持っていき、LANに接続すると
Web参照できる。
PC01の拠点側でのネットワーク設定は、
デフォルトゲートウェイは、192.168.20.254
DNSサーバは、192.168.20.254 としてあった。
拠点のVPN用ルータ(NVR500)であるルータBには、
DNSサーバのアドレスとして、本社側のインターネット用ルータ(NVR510)
のIPアドレスである192.168.10.253が設定されていた。
そのため、PC01がWeb参照をしようとすると、DNSへの問い合わせは、
まず、192.168.10.254(ルータB)へいき、そのルータBを経由して
192.168.10.253へいく。
そこで、問題が生じていた。DNSの問い合わせをうけたNVR510には、
dns host lan1
という設定がされている。
これは、lan1に所属しているアドレスからしかDNSの問い合わせを
受け付けないという意味になる。
lan1とは今回の例でいうと、本社側のネットワークである
192.168.10.0/24のネットワークのことである。
拠点側は、192.168.20.0/24のネットワークのため
DNSの問い合わせが拒否され結果、名前解決ができず、
PC01はWeb参照ができなかった。ということになる。
この dns host lan1は、プロバイダへの接続設定であるPPPoEの
設定を行うと自動的に追加される。
NR510やRTX1210など、比較的最近の型番のヤマハルータで設定すると
気づかないうちに設定されている。
NVR500では、PPPoEの設定をしても、自動的に追加はされない。
今回の現象の対処方法としては、
dns host lan1を
dns host anyとすれば、拠点側のPC01からWeb参照ができるようになる。
anyの部分をIPアドレスの範囲の指定もできるようなので、
制限をしたい場合は、そのような設定をするのもありだろう。
今回の紹介したトラブル事例のように、各装置のそれぞれの設定は、
特に間違っているわけではないのだけど、全体としてうまく動作しない
ということがありうるのだ。