VPN接続できない場合の対処例

外出先から、会社や自宅へVPN接続。というのも、特に珍しいことではなくなって来ました。

正常に接続できれば問題ありませんが。

VPN接続のログイン情報、サーバのIPアドレスやユーザ名、パスワードが正しいのに接続できない場合・・・外出先からVPNサーバまでのネットワークのどこかで、フィルタ(遮断)されている可能性が高いです。

さて。接続できない場合の対処方法は・・・・


VPN接続できない場合の対処例

外出先からVPN接続できないとき。次のような手順で設定等を確認します。

  1. VPN接続のログイン情報が正しいかどうか
    1. VPNのプロトコル(PPTP, IPSec等)
    2. VPNサーバのIPアドレスやホスト名
    3. ユーザID
    4. パスワード
    5. PSK(共有鍵)などの認証情報
    6. データの暗号化設定「暗号化は省略可能」では接続できず、「暗号化が必要」にする必要がある場合も(ヤマハ製ルータ等)
  2. PCの場合、OSやセキュリティソフトでPPTPやIPSecのネットワークフィルタがかかっていないかどうか(Windowsファイアウォール等)
  3. 外出先のIPアドレスと、VPN接続先のIPアドレスが重なっていないかどうか
  4. 外出先のルータが、VPNパススルーに対応していて、オン(パススルー有効)になっているかどうか
  5. モバイル通信の場合、PPTPやIPSecのネットワークフィルタがかかっていないかどうか

IPアドレスが重なるケース

会社や自宅など、VPN接続したいネットワークのIPアドレスと、外出先のIPアドレスが重なっている場合、うまく接続できない場合があるようです(ルータの機種や設定によるようです)。次の具体例は、どちらも「192.168.0.○」を使っている例です。

  • VPNサーバ(会社や自宅など):192.168.0.0/24
  • 外出先:192.168.0.0/24

「192.168.0.○」や「192.168.100.○」はルータのデフォルト(既定)値として使われているようです。VPNサーバと外出先で同じメーカーのルータを使用して、IPアドレスが重なって接続できないケースがあるようです。

この場合、VPNサーバ側のIPアドレスを、たとえば192.168.150.○のような、外出先と重ならなそうなプライベートIPアドレスに変更する必要があります。(3オクテット目を0から150に変更)

172.16.○.○や10.○.○.○等、192.168.○.○以外の他のプライベートIPアドレスに変えてしまったほうが、より重複は防ぎやすいかと思います。

使用可能なIPアドレスの詳細は「プライベートIPアドレス」を検索してみて下さい。


PPTP接続時のネットワークフィルタ

次の2つのパケットが、ネットワークのどこかでフィルタ(遮断)されると、PPTP接続に失敗するようです。

  1. TCPパケットのポート番号 1723。
  2. GREパケット(プロトコル番号 47)。

PCの場合、Windowsファイアウォールやウイルス対策ソフトでフィルタする場合があります。一時的にファイアウォールやウイルス対策ソフトを無効にすることで、フィルタされている/されていないを確認することが出来ます。

外出先のルータのVPNパススルーがオフ(パススルー無効)の場合、ルータでフィルタされます。

また、モバイル通信の場合、携帯キャリアでフィルタする場合もあるようです。(携帯SIMの会社によって、VPNが使えたり、使えなかったり)

※17.10.7 追記
外出先のネットワークが「v6プラスでプロバイダと接続している」場合は、PPTPでVPN接続できないようです。次のようなエラーが表示されます。

今後、v6プラスの普及により、PPTPによるVPN接続が難しくなるかもしれません。その場合、PPTP以外のVPNサーバを導入する必要があるかと思います。


IPSec接続時のネットワークフィルタ

  1. UDPパケットのポート番号 500。
  2. ESPパケット(プロトコル番号 50)。
  3. AHパケット(プロトコル番号 51)。

IPSecについては、上記の3種類のパケットを使用しているものがあるようです。機器の種類や設定によって異なる場合もありますので、詳しくは、お使いになっているVPNサーバ機器のマニュアルを御覧ください。


他のVPNプロトコル

PPTP、IPSec以外のVPNプロトコルにつきましては、こちらの記事を御覧下さい。


外出先のルータの設定変更ができるかどうか

外出先のルータの設定を変更出来る場合(友人宅や職場等)、VPNパススルーを有効にしたり、ネットワークフィルタを解除(遮断→透過に変更)することで、接続できるようになる場合もあります。

v6プラスによるインターネット接続など、ISP(インターネット・サービス・プロバイダ)や携帯キャリア側で、特定のパケットを遮断している場合は、VPNルータのプロトコル(PPTPやIPSec等の接続方式)を変更して対応できる場合もあります。

近年、OpenVPNやSSL VPN等、様々な方式のVPNプロトコルが登場しています。セキュリテイに問題があるプロトコルは淘汰され、新しいプロトコルに対応した機器が登場しています。

VPNルータ機器につきましては、よろしければこちらの記事を御覧ください。

スポンサーリンク

シェアする

  • このエントリーをはてなブックマークに追加

フォローする

スポンサーリンク