外出先から、会社や自宅へVPN接続。というのも、特に珍しいことではなくなって来ました。
正常に接続できれば問題ありませんが。
VPN接続のログイン情報、サーバのIPアドレスやユーザ名、パスワードが正しいのに接続できない場合・・・外出先からVPNサーバまでのネットワークのどこかで、フィルタ(遮断)されている可能性が高いです。
さて。接続できない場合の対処方法は・・・・
目次
VPN接続できない場合の対処例
外出先からVPN接続できないとき。次のような手順で設定等を確認します。
- VPN接続のログイン情報が正しいかどうか
- VPNのプロトコル(PPTP, IPSec等)
- VPNサーバのIPアドレスやホスト名
- ユーザID
- パスワード
- PSK(共有鍵)などの認証情報
- データの暗号化設定「暗号化は省略可能」では接続できず、「暗号化が必要」にする必要がある場合も(ヤマハ製ルータ等)
- PCの場合、OSやセキュリティソフトでPPTPやIPSecのネットワークフィルタがかかっていないかどうか(Windowsファイアウォール等)
- 外出先のIPアドレスと、VPN接続先のIPアドレスが重なっていないかどうか
- 外出先のルータが、VPNパススルーに対応していて、オン(パススルー有効)になっているかどうか
- モバイル通信の場合、PPTPやIPSecのネットワークフィルタがかかっていないかどうか
IPアドレスが重なるケース
会社や自宅など、VPN接続したいネットワークのIPアドレスと、外出先のIPアドレスが重なっている場合、うまく接続できない場合があるようです(VPNサーバ・外出先のルータの機種や設定によるようです)。次の具体例は、どちらも「192.168.0.○」を使っている例です。
- VPNサーバ(会社や自宅など):192.168.0.0/24
- 外出先:192.168.0.0/24
「192.168.0.○」や「192.168.100.○」はルータのデフォルト(既定)値として使われている場合があります。VPNサーバと外出先のルータが同じメーカーで、IPアドレスが重なって接続できないケースがあるようです。
この場合、VPNサーバ側のIPアドレスを、たとえば192.168.150.○のような、外出先と重ならなそうなプライベートIPアドレスに変更する必要があります。(3オクテット目を0から150に変更)
172.16.○.○や10.○.○.○等、192.168.○.○以外の他のプライベートIPアドレスに変えてしまったほうが、より重複は防ぎやすいかと思います。
使用可能なIPアドレスの詳細は「プライベートIPアドレス」を検索してみて下さい。
PPTP接続時のネットワークフィルタ
次の2つのパケットが、ネットワークのどこかでフィルタ(遮断)されると、PPTP接続に失敗するようです。
- TCPパケットのポート番号 1723。
- GREパケット(プロトコル番号 47)。
PCの場合、Windowsファイアウォールやウイルス対策ソフトでフィルタする場合があります。一時的にファイアウォールやウイルス対策ソフトを無効にすることで、フィルタされている/されていないを確認することが出来ます。
外出先のルータのVPNパススルーがオフ(パススルー無効)の場合、ルータでフィルタされます。
また、モバイル通信の場合、携帯キャリアでフィルタする場合もあるようです。(携帯SIMの会社によって、VPNが使えたり、使えなかったり)
※17.10.7 追記
外出先のネットワークが「v6プラスでプロバイダと接続している」場合は、PPTPでVPN接続できないようです。次のようなエラーが表示されます。
今後、v6プラスの普及により、PPTPによるVPN接続が難しくなるかもしれません。その場合、PPTP以外のVPNサーバを導入する必要があるかと思います。
IPSec接続時のネットワークフィルタ
- UDPパケットのポート番号 500。
- ESPパケット(プロトコル番号 50)。
- AHパケット(プロトコル番号 51)。
IPSecについては、上記の3種類のパケットを使用しているものがあるようです。機器の種類や設定によって異なる場合もありますので、詳しくは、お使いになっているVPNサーバ機器のマニュアルを御覧ください。
他のVPNプロトコル
PPTP、IPSec以外のVPNプロトコルにつきましては、こちらの記事を御覧下さい。
外出先のルータの設定変更ができるかどうか
外出先のルータの設定を変更出来る場合(友人宅や職場等)、VPNパススルーを有効にしたり、ネットワークフィルタを解除(遮断→透過に変更)することで、接続できるようになる場合もあります。
v6プラスによるインターネット接続など、ISP(インターネット・サービス・プロバイダ)や携帯キャリア側で、特定のパケットを遮断している場合は、VPNサーバのプロトコル(PPTPやIPSec等の接続方式)を変更して対応できる場合もあります。
近年、OpenVPNやSSL VPN等、様々な方式のVPNプロトコルが登場しています。セキュリテイに問題があるプロトコルは淘汰され、新しいプロトコルに対応した機器が登場しています。
VPNサーバ機器につきましては、よろしければこちらの記事を御覧ください。
外出先の環境に左右されたくない場合、モバイルルータを使用する手もありそうです。