前回、VPN接続がうまく確立できていない場合には、まず、インターネットに正常に接続できているか確認するところから始めましょうということを紹介しました。その際に使うコマンドは次の3つでした。

show status pp 1
show nat descriptor address
show ip route

これらのコマンドを発行し、そのレスポンスの内容を見ることによって大体の原因がわかります。インターネットに接続できていない場合、その原因は「プロバイダーにおける認証失敗」「プロバイダーからのIPアドレス取得の失敗」「通信ができていない」のいずれかに大別されますが、ほとんどはルータのプロバイダー設定を見直すことで解消します。

今回は、PPPoE接続でのエラー通知がなくなり、インターネットには接続できているようだが相変わらずVPN接続ができない、そのような場合のトラブルシューティングを紹介しましょう。ポイントは「SA」です。

SA情報を確認する

本連載で構築しているVPN接続は、IPsecを使っているので、IPsecトンネルが確立できているかどうかを確認する必要があります。IPsecトンネルは、SAと呼ばれる論理的なコネクションを確立することで通信を行っています。つまり、SAを確認すれば、IPsecトンネルが確立できているか、その状態を確認できるということです。

SAとは「Security Association」のことで、IPsecで使用する鍵や鍵の寿命、暗号アルゴリズムや認証アルゴリズムなどの情報を管理しているものです。SAには、それぞれにIDが自動的に振られ、SA自身も鍵の寿命に合わせた寿命があります。SAが寿命を持つのは、同じ暗号鍵を使い続けると、暗号鍵が漏洩するリスクが高くなるからです。よって、SAは定期的に更新されます。

まず、コマンドを発行してみて、SA情報はどのようなものか見てみましょう。コマンドの発行は、ルータ「RTX1210」のWebGUIにログインし、「コマンドの実行」画面から行います。

(1)SAの存在を確認するコマンド

SAの存在を確認するのは、次のコマンドです。

show ipsec sa

コマンドを発行すると、以下のレスポンスが得られました。ここでは6つのSAが生成されていることがわかります。

IPsecトンネルは、以下の3つのSAがセットになって構成されます。

  1. 鍵交換用SA(ISAKMP SA)
  2. データ送信SA(IPsec SA send)
  3. データ受信SA(IPsec SA recv)

これら3つのSAを使い、IPsecは以下のように動作します。

  • フェーズ1…ISAKMP SAを確立する
  • フェーズ2…フェーズ1で作ったISAKMP SAを使ってIPsec SAを確立する
  • フェーズ2で作ったIPsec SAを使ってデータをやり取りする(VPN接続)

(2)SAの中身を確認するコマンド

SAの存在を確認できたら、SAの内容を確認してみましょう。IPsecトンネルを確立できている相互のルータは、お互いに同じ値を持つSAが存在します。SAの中身を確認する際は、以下のコマンドを発行します。

show ipsec sa gateway 1 detail

上記のコマンドを発行すると、以下のレスポンスを得ることができました。

各SAはプロトコル、アルゴリズム、SPI、鍵といった情報を保持していることがわかります。相互のルータは、同じ値(SPIと鍵)を持つことで、IPsecトンネルとしてつなぐことができるのです。

SA情報が得られない場合

さて、VPN接続が確立できていない場合は、コマンド「show ipsec sa」を発行しても、そのレスポンスとして、出力を得ることができません。SAが生成できていないからです。このような場合、次の2つの原因が考えられます。

本社側のルータがIPsec接続を試みているが、支社側のルータが反応しない

ルータのIPsecに関する設定のうち、接続先のホスト名、経路に関する設定が間違っているかもしれません。もしくは、そもそも支社側がインターネットに接続できていないかもしれません。確認してみましょう。

本社側のルータはIPsec接続を試み、支社側のルータも反応しているが、応答が期待しているものではない

ルータのIPsecに関する設定のうち、暗号アルゴリズム、認証アルゴリズムの設定を見直してみてください。相互のルータでは、暗号アルゴリズム、認証アルゴリズムを統一する必要があります。

トラブルシューティングを行う際の注意事項

トラブルシューティングを行っていると、どのような設定で、どのような操作を実施した時に、どのような現象が発生したか、といった現象把握が自分の記憶だけになりがちです。

そこで、作業を実施する場合は、以下を心掛けるとよいでしょう。参考にしてみてください。

  • ルータ、PCの時間を標準時に合わせる
  • どのような設定で、どのような操作を実施した時に、どのような現象が発生したか、日時とともにメモに記録する
  • ルータに対して一度に行う設定変更は最小限とし、設定を実施した都度、確認を行う
  • 複数人で作業をする場合は、責任者を決め、責任者の指示で作業を行う

今回は、IPsecトンネルの実体であるSAについて簡単に解説し、VPN接続できない場合のSAの確認方法について紹介しました。次回は、事業所間でVPN接続が確立できると、どのような使い方ができるのか、実例も踏まえて紹介します。