ARROWS F-03GでVPN接続できない

スマートフォンでVPNをご利用中のお客様から

「ARROWS F-03G」を使って、「スマートフォンでVPN」が利用できない

との問い合わせがあったので、対応しました。
(もともとARROWS F-03Gは弊社確認済み端末には入ってない端末で、動作保障外ではあります。)

お客様は同じ端末を数台購入されていたので、全台で試してみたけど、すべて同じ状況のようで

タブレット側の設定を何度も見直したり、タブレットの再起動

あんまり関係ないけど、VPNアダプタ側も再起動

どれをやっても効果なし。

埒があかないので、docomoから端末をお借りして
弊社でテスト。

・・・

やっぱりつながらない。

設定を削除して、再度作り直したり

LTE/3G→WIFIに切り替えたり

通信に影響しそうななアプリが入ってないか確認したり(実際は入ってなかったですが)

独自の通信機能(マルチコネクション、高速ダウンロード機能)を止めてもだめ、、、、

何をやってもつながる気配なし。

ルータのログを見ると
Jun 9 09:54:53 NXR pluto[2319]: “tunnel1″[1088] x.x.x.x:4500 #1216: max number of retransmissions (2) reached STATE_QUICK_R1
という感じでVPNのPhase2あたりで、タブレットが通信を返してこない

とルータ側では認識している様子。。。。

VPNアダプタのファームウェアを最新にしたり

同メーカの上位機種で試してみてもダメ。

奥の手で、他メーカのVPNルータに接続テストしてみたけど、やっぱりダメ、、、

 

どうもこの機種ではVPN接続(L2TP/IPSEC)に不具合があるのか、、、

ググってみたけど、同じようなことが起きている情報は見つけられない、、、、

AndoridOSのVerが4.44だけど、これが問題か???

(Nexsus7とかのVer5.xxはOKなんですけどね、、、)

 

ルータメーカの見解は、「ルータはちゃんと通信しようとしていますが、Andoridが通信を受け取ってくれないようなので・・・」とのことで、まぁおっしゃる通り。

現在、docomo側でも端末の調査をしてもらってますが、どんな結果が来るのやら。。。。

むかーしは、AndoridでもVPNがつながらない端末(というより、そもそもVPNの設定ができない端末)がありましたが

今回のような設定自体はできるけど、繋がらない というのは初めて。

Androidもだいぶ「枯れて」きたな と思ってましたが、、、まだまだのようです。(Android側の問題だったとすれば)

 

IMG_3161

 

※docomoの営業曰く、 GALAXY Tab S 8.4 SC03G もつながらないらしい??こっちも要調査。

 

 

 

フレッツ光ネクスト隼に変更後VPNがつながらない?

VPNソリューションパックをご利用のお客さまで

お客様にて回線を

フレッツ光ネクストファミリー → フレッツ光ネクストファミリー・スーパーハイスピードタイプ隼

に変更したときのサポート対応の話です。
回線変更のとき気を付けないといけないのが

・プロバイダがそのままで使えるか

・ルータの設定変更が発生するか

・配線作業(つなぎ替え等)は可能か。(電話の主装置等を経由していてケーブルが抜けないとかはないか)

等を気を付けないといけませんが、

今回のケースの場合、VPNルータの設定変更、プロバイダの変更

は特に必要がなし。

新ONUと旧ONUは近くに設置されるとのことだったので

 

お客様にて

ONU側でLANケーブルのつなぎ替えだけで済む工程を

考えていました。

(ルータまで距離があるのでLANケーブルは流用)

 

【現状】

旧ONU———-VPNルータ

 

新ONU

 

【お客様作業後】

旧ONU

 

新ONU———–VPNルータ

 

で、実際お客様で作業していただくと、新ONUでVPNがつながらない

(というよりPPPoEセッションがつながらない)

という状態でした。

 

同じプロバイダをそのまま使う時、PPPoEのセッションが残っていて、再接続には5分くらいかかる場合があるので、

最初はその問題かと思いましたが

30分以上待ってもつながらないとのこと・・・・

ちなみに元のONUに戻すとつながるようでした。

 

 

考えられることとしては・・・

 

LANケーブルの差込が甘い? →問題なし

新ONUの故障? →NTTに確認したが正常

ONU、ルータ再起動してみる? →再起動しても変わらず

プロバイダは隼に対応している? →対応しているので問題なし

 

ということであと、考えられるのは流用しているLANケーブルになりますが

これがなんと

通常8芯のケーブルですが、4芯のケーブルでした

(カテゴリー3 or 5? のケーブル)

 

↓実際のケーブルではないですがこんな感じでした。

IMG_3094

 

正直、この業界で仕事をするようになって10数年ですが、今まで実際に遭遇したことがないのでびっくりしましたが・・・

 

新ONUのマニュアルみると

対応しているLANケーブルは 8芯のケーブル が条件のようで

旧ONUは(機種名不明のため詳細不明ですが)、4芯でも対応していたと思われます。

 

ということでLANケーブルをカテゴリー5eのに変更したら無事つながるようになりました。

 

4芯のケーブルを使っているケースはかなり少ないとは思いますが

今後こういった回線変更時は注意が必要ですね、、、

といってもルータからリモートで、芯の数はわからないし、NTTから遠隔でONU見てもらってもわからない

ので、現地で直接確認するしかないですが、、、

 

 

 

 

 

 

 

 

 

Windowsアップデートの影響でフレッツ網輻輳(2015/4/15)

本日、インターネットが遅い!VPNが遅い! という問い合わせが多発してます。

どうやら昨日から配信が始まったWindowsアップデートの影響で

フレッツ網が全国的に込み合っている状況が発生しているのが原因のようです。

 

自分のPCでも見てみましたが182.7M 更新ファイルがあるようです。。

これを一斉にダウンロード始めれば、確かに込み合いますよね、、、

 

winupdate

 
対策としては、、、、残念ながら待つしかないですね。

(プロバイダのPPPoEのセッションを張りなおせば復旧する可能性もありますが、そもそもフレッツが混んでる場合は効果ないです。。。)

 

 

 

スマホやタブレットを社内LANに繋いだときのトラブル

久しぶりにVPNのサポートの話です。
先日「VPNソリューションパック」をご利用のお客様から、

 

PC数台ネットワークに接続できない

PCを再起動しても復旧せず、VPNルータを再起動したら復旧する

といった状況のようで、お客様的にはルータに何か問題がないか?

 

との問い合わせをいただきました。

 

ルータを再起動すると復旧するというのがちょっといやな感じもしましたが

ログ等調査すると

どうやらDHCPのアドレスが不足している様子。

(このお客様はVPNルータをDHCPサーバとして利用)

DHCPのリース範囲、10台をMAXで使いきっていて、おそらくルータを再起動すると

リース情報がリセットされ、つながるようになっていると推測されます。

(その場合、ほかのPCがネットワークにつながってないと思われますが、、)

 

再度お客様にヒアリングしたところ、

PC(IP自動取得)の台数は、6台とのこと。(DHCPリース数より少ない!)

でも

スマホも無線で(アクセスポイントはお客様で準備して)LANに繋いでいる(5,6台)とのこと。
スマートフォンやタブレット端末などのスマートデバイスを、仕事にも使いたい

というニーズが増え、社内LANに無線で接続する というケースが

増えているとは思いますが、その影響で今回のような事象がでたようです。

(当たり前と言えば当たり前ですが、、)

 

今回のケースとしては、PCのIPアドレスを固定にして運用していただくことになりましたが

スマホやタブレットを社内の無線を利用して使うとき、

・何に使う?どんな業務で使う?

・セキュリティはどうする?

という観点だけでなく

・どう管理する?どうやって繋がせる?

ということも改めて大事だなと思わされました。(特に自分は管理云々は苦手なので、、)

 

ということで、さっそく対応後、自社のDHCPの状況見てみると、お客様と同様に

DHCPのリースアドレスが足りてないことが発覚、、、(ギリ1個ですが)

(通りで無線が最近調子悪いなとは思ってましたが、、)

自社のネットワークの管理が一番できていない、まさに医者の不養生。

反省します。。。。

 

 

 

 

 

 

VPNのバックアップが切り替わらない

「VPNソリューションパック バックアップオプション」をご利用中のお客様で
バックアップが切り替わらない というトラブルがありました。

その時の環境としては
A拠点
 は回線を2重化して、バックアップ側の回線はアクトスタンバイ

B拠点
 は回線は1本。回線のバックアップなし。

Photo

通常時は
A拠点のメイン回線 と B拠点の回線 でVPN接続

A拠点メイン回線障害時に
A拠点バックアップ回線 と B拠点の回線でVPN接続
A拠点のメイン回線が復旧すれば、通常時の状態に自動的に復旧

という環境・VPN構成なのですが
ある日

①A拠点のメイン回線で障害発生(回線故障)
 ↓
②A拠点バックアップ回線が接続。
 B拠点は、自動的にA拠点のバックアップ回線とVPN接続開始

とここまでは良かったんですが

    
③A拠点のメイン回線復旧するも、VPN接続できず。

ということが起きてしました、、、、

ログを解析してわかったのは
実は①~③までの間の時間が非常に短かったこと(2分程度で復旧)
そのため、それぞれのルータが以下のような状態になっていたことです。

◆A拠点側のルータとしては

メイン回線切れちゃった。
→仕方ないからメイン回線のVPN接続を切って、バックアップ回線でVPN接続できるように準備しよう!
 →あれ?もうメイン回線復旧しちゃった。じゃあメイン回線でVPN接続できるように準備しよう。
  →ん?なかなかB拠点側がVPN接続しにこないなぁ。。。。。

となっていて

◆B拠点側のルータとしては

A拠点側でメイン回線の障害を発見!
 → よし!A拠点のバックアップ回線のほうにVPN接続しよう!
  →と思ったら、メイン回線問題なさげ?
   メイン回線障害じゃなかったぽいんで、今繋がっているままでいいや

ということのようです。

A拠点側は、つなぎ来ることを待っていて、
B拠点側は、接続したままで問題ないと思っている。
状態ですね、、、

そこで今回の対策としては、それぞれルータの「思い違い」がないように
対抗拠点の障害検知のトリガー
VPNの切断、および接続のタイミング
の見直しを行いました。

自社の検証環境で試しましたが、より確実に切り替わることを確認。
実際のお客様の環境でも反映させ、今回の対応としは終了となりました、、、

お客様には大変ご迷惑をおかけしまして申し訳ありませんでした。
サービスリリース前の検証の段階で、いろんな状況を想定して検証をし
問題なく提供できる調整をしていたつもりですが、
もうちょっとメイン回線の障害の時間が長かったり、逆にもうちょっと短ければ
起きなかったはずの、ちょうどピンポイントで嵌ってしまった障害でした。。。。

スマートフォンでVPN接続中にインターネットは端末から直接出したい

スマートフォンでVPN」 および 「VPNソリューションパック モバイルオプション
を利用して、VPN接続を行う場合

弊社標準設定の場合、VPN接続中のみ
スマートフォン等端末でのインターネット通信はVPN接続先のVPNアダプタやVPNルータ経由となります。

ただ、VPN接続するスマートフォンやパソコンの設定を変えることで、
VPN接続中であっても、端末から直接インターネット接続は技術的には可能です。
 

その方法は以下の通りですので参考にしてください。

■Android4.*の場合

1)VPNの設定画面を開き、拡張オプションを表示します

001

2)転送ルートの設定項目に、VPN接続先の「ネットワークアドレス」を入力してください。

002

■iOSの場合
1)VPN設定内の「すべての信号を送信」をオフにします。

Img_0071

■Windows7の場合 (XPや8でも概ね同じ設定)

1)VPNの設定内の「ネットワーク」のタブを開き、TCP/IPv4 のプロパティを開きます。

004

2)詳細設定 をクリックします。

005

3)リモートネットワークでデフォルトゲートウェイを使う のチェックを外します。

006

各OSで以上のような設定をしていただければ、VPN接続中でも、端末から直接インターネット接続が可能です。

ちなみに、Android2.0と3.0は、OS上で「転送ルート」の設定ができないので、VPN接続中は必ずVPN経由になります、、、

Windows 標準機能での VPN接続

ちょっと今回は専門的な内容。

 

当社サービス

スマートフォンでVPN(http://www.anw.jp/smartphonevpn.html)、& VPNソリューションパック+モバイルオプション(http://www.anw.jp/vspmobile.html

はスマートフォンや、Windowsパソコンから外出先や出張先からのVPNルータとのL2TP/IPSec通信を実現VPN接続できるサービス

ですが、

 

 

Windowsパソコンを利用する際、特別なVPN専用のアプリケーションをインストールしなくても利用できる

というのも売りの一つとなっています。

 

専用のアプリケーションが不要なのは、Windows標準の機能を利用するからなのですが

どうやら、その機能OSのバージョンによって若干機能がちがうっぽいです、、、

設定して、実際の利用にはまったく問題ないのですが、

 

 

 

~~こっから若干専門的なお話~~

 

何が違うかというと

Aggressive Mode Phase1でやるとりされるパラメータの

ISAKMP ID

XP(SP3)の場合・・・ホスト名(PC名)

Vista~8・・・ローカルのIPアドレス

を自動的に使うっぽい。

  

そのため、XPの場合、同じホスト名を使ってる端末が複数台VPN接続を行うと

片方のみしか接続できないことになります。

 

この値をレジストリとかで変えられるかは不明、、、

2000やServerOSが何を割り当ててるかは不明ですが

2008ServerもローカルのIPアドレスのようです。

 

ちなみに、AndoridやiOSもIPアドレスを使っているので、特殊なのはXPだけのようです。

この手の内容の文献とかwebの資料とかほとんどないので、あくまで自分が手元にある端末で試した結果ですので、認識が違ったら申し訳ないですが

何かの参考になればと。

「スマV」 /「VSP モバイルオプション」 をWindowsで利用する場合

今回も「スマートフォンでVPN」(以下 スマV) /「VPNソリューションパック モバイルオプション」(以下 VSPモバイルオプション) 利用時にうまくいかない場合の話。

 

「スマV」 /「VSPモバイルオプション」 をWindowsを利用する時に

設定は合っているけど、うまくつながらない!

という時に良くあるのが

 

別のVPN専用のアプリケーションをインストールしている場合です。

ex)センチュリーシステムズ NET-G VPN Client 、ジュニパー NetScreen-Remote 、ヤマハVPNクライアントソフトウェア 等

 

 

 

「スマV」 /「VSPモバイルオプション」 はWindowsの標準機能を使ってVPN接続をするため、専用ソフトのインストールは不要なのですが、

VPN専用のアプリケーションがインストールされていると

そのWindows標準のVPN機能(IPSECサービス)が停止されてしまいます。

そのため、設定が正しくされていても、VPN接続できないことがあります。

 

対処法として手っ取り早いのは

①VPN専用のアプリケーションのアンインストール

②Windowsのサービスで「ipsec services」(winXP)「ipsec policy agent」(win7)が起動していることを確認

となります。

2013/3/4 追記

Windows7はサービスで

IKE and AuthIP IPsec Keying Modules

も起動していないと駄目でした。

「スマV」 /「VSPモバイルオプション」がルータ経由でVPN接続できない時・・・

久しぶりにサポートのお話です。

弊社サービス「スマートフォンでVPN」(以下 スマV)および「VPNソリューションパック モバイルオプション」(以下VSPモバイルオプション)をご利用のお客様で、最近問い合わせが多いのが

「クライアント端末が(3Gの時はOKだけど)ルータ環境で、VPN接続ができない」

という内容です。

 

このような状況の場合、大抵の場合がクライアント側で利用のルータの設定の問題なのですが、

(もちろんそれ以外も問題の場合もありますが)

確認したほうが良いのが、そのルータの「IPSECパススルー」機能です。

 

最近のブロードバンドルータやWIFIルータ「VPNパススルー」という機能があります。

この機能は文字通り、「LAN側の端末からVPN通信を通す」 という機能なのですが

この機能がちょっとわかりづらい。

 

 

まず、VPNパススルーには

PPTPパススルー

IPSECパススルー

2種類あるんですが、

「スマートフォンでVPN」の場合、暗号化に「IPSEC」を利用しているので基本的には「IPSECパススルー」を有効にする必要があります。

(基本的には と書いた理由は後述)

PPTPスルーを有効にしても意味がないです。

 

ただ、ブロードバンドルータの機種によっては

単に「VPNパススルー」としか記載がなく、どっちの機能のことかぱっと見わからない機種もあります。

この場合マニュアルやメーカwebで確認するしかないです。

で、機種によっては「PPTP」しかスルーできないものもあり、その場合はそのルータを使ってのVPN接続は不可の可能性が高いです。

 

 

また、このIPSECパススルー機能が、ブロードバンドルータのメーカのよっては、動作がまちまちで

例えばバッファローの場合、逆にこの機能を有効にすると逆に、「スマV」「VSPモバイルオプション」でVPN接続できません。

http://buffalo.jp/php/lqa.php?id=BUF1843#8

※「スマV」「VSPモバイルオプション」のIPSEC機能は、IPSec NAT Traversal 機能を使います。

 IPSec NAT Traversal の詳細は割愛

 

 

で、さらに厄介なのが、

ブロードバンドルータに、そもそもこの機能がなくてもVPN接続できる機種もあります。

(IPSECパススルー機能がデフォルトで有効かつ、停止できない)

こういった機種の場合、マニュアルやメーカのwebを見ても、詳細不明の場合も多いため「試してみないとわからない」といのが現状です。。。

 

 

 

ということでいろいろ書きましたが、

ルータ経由だとうまくつながらない場合は

 

ブロードバンドルータの設定で、「IPSECパススルー」機能を 有効/無効 に変えて繋がるか確認する!

 

ということになります。。。

 

 

それじゃ困る!導入前に今の環境でVPN接続できるか確認しておきたい!

 

という方は

事前に接続確認ができるデモ環境を準備しておりますので、以下URLからデモの申込をお願いします。

 

http://www.anw.jp/smavdemo.html

夏ならではの障害

久しぶりにサポートの話です。(サポートブログなんですが^^;、、)

 

先日、VPNソリューションパックをご利用のお客様から、

インターネット、VPN通信ができない

との申告があり、対応しました。

 

 

お客様と確認をしていく中で、お客様の宅内もしくは宅内付近でのフレッツの故障

というところまでは特定できたので、

NTTコールし、現地出動してもらい、対応してもらったのですが

現地対応後、NTT作業員に、障害箇所と原因を聞いてみると

「クマゼミノスデス ね」