WindowsでVPNに接続したとき、デフォルトではVPNの接続先ネットワークがデフォルト・ゲートウェイとなる。だが、これによってWebアクセスやメール・アクセスなどが利用できなくなる場合がある。デフォルト・ゲートウェイを変更したくなければ、VPN接続の設定を一部変更する。
対象OS:Windows 2000 Professional/Windows XP Professional/Windows XP Home Edition/Windows 2000 Server/Windows 2000 Advanced Server
インターネットを介して職場のネットワークなどへ接続する「(インターネット)VPN接続」は、ブロードバンド接続環境の普及などにより、広く実用的に使われるようになってきた。高速なネットワーク接続を利用することにより、職場などでネットワークを使っているのと同様の感覚で、リモートのサーバへ気軽にアクセスできるようになるからだ。
このように非常に便利なVPN接続機能であるが、ネットワーク的に見ると、同時に2つのネットワーク(ローカルの「インターネット接続」とリモートの「VPN接続」の2つ)に接続していることになるので、ルーティングの設定、特にデフォルト・ゲートウェイの設定にはいくらか注意しなければならない。デフォルト・ゲートウェイの設定によっては、すべてのトラフィックがVPNで接続されている先のネットワークへ送られてしまうことになり、インターネットへアクセスしようとしても、VPNの接続先を経由するようになってしまったりする。このようになると、例えばプロバイダの提供しているメール・サーバやProxyサーバへ接続できなくなったり(これらのサーバは、加入しているISPの回線から直接接続しないと利用できなくなっている場合がある)、必ずVPN経由になるのでインターネット・アクセスが遅くなったり、また利用できるDNSサーバの設定の違いなどにより(DNSサーバも、それぞれのISPやネットワーク環境ごとに決まっているものである)、DNS名が解決できなくなったりする。
ここではVPN接続とデフォルト・ネットワークの関係について解説しておこう。
ゲートウェイの設定の前に、Windows 2000/XPにおけるVPN接続の方法について簡単にまとめておこう。
(インターネット)VPNとは、簡単にいうと、インターネット回線上に仮想的な通信路(トンネル)を作成し、目的とするネットワークへ直接接続できるような経路を作成するという技術である。VPNを作成するためには、あらかじめ何らかの方法でインターネットへ接続するためのネットワーク接続を作成しておき、さらにその上でVPN用の通信路を作成する。といってもWindows 2000/XPでVPN回線を作成するための方法は非常に簡単である。ネットワーク接続のウィザードを起動して、「職場のネットワークへ接続する(Windows XPの場合)」もしくは「インターネット経由でプライベート ネットワークに接続する(Windows 2000の場合)」を選択し、接続先のVPNサーバの名前(FQDN名もしくはIPアドレス)などを入力するだけである。通常のインターネット接続を確立したあと、さらにこのVPN接続用のアイコンをクリックし、ユーザー名とパスワードなどを入力すればVPN接続が確立する。
VPN接続時には、このように2つのネットワーク接続アイコンを利用するため、ローカルのマシンには2つのIPアドレスが割り当てられることになる。1つはインターネット接続のためのIPアドレスであり、これはISPから割り当てられたものになる。もう1つはVPN接続先のネットワークと接続するためのIPアドレスである。通常このIPアドレスは、VPNサーバから割り当てられる。
このように、VPN利用時にはローカルのマシンは2つのIPアドレスを持ち、同時に2つのネットワークに属することになる。そのため、デフォルト・ゲートウェイも2つ存在することになる(デフォルト・ゲートウェイについては「TIPS―デフォルト・ゲートウェイは1つのみ有効」を参照)。1つは、もともとのインターネット接続のために、ISPからPPPやDHCPなどで指定されたゲートウェイ・アドレスであり、もう1つはVPNで接続した先のネットワークから指定されたゲートウェイ・アドレスである。いずれのゲートウェイ・アドレスも、それぞれのネットワーク内でだけ有効なアドレスであり、単独で利用している分には何の問題もない。だが、インターネット接続とVPN接続を組み合わせて利用する場合は、どちらのゲートウェイをデフォルトとするべきだろうか(デフォルト・ゲートウェイは、複数指定されていても常に1つしか有効にならない)。
先のウィザードを使って作成した「VPN接続」アイコンでは、デフォルトでは、VPNで接続した先のネットワークがデフォルトとなるように設定される。つまり、VPN接続が確立すると、元のデフォルト・ゲートウェイ情報は上書きされ、(VPN接続によって指定されている)新しいデフォルト・ゲートウェイに変更されるのである。そのため、ローカルのマシンがインターネットへアクセスしようとすると、そのトラフィックはすべてVPNで接続された先のネットワークへ転送されることになる。つまり、ローカルのマシンから直接インターネットへアクセスするのではなく、わざわざVPNで接続した先のネットワークを経由して、そこからインターネットへアクセスすることになる。
以下に、VPN接続の前後におけるルーティング・テーブルの状態を示しておく(コマンド・プロンプト上で「route print」コマンドを実行する)。ここで、「172.16.1.0/255.255.255.0」はローカルのネットワーク・アドレスを表している。プライベートIPアドレスになっているのは、ルータのNAT機能を使ってインターネットへアクセスしているからである。VPNは、このようにNAT機能を併用しても問題なく動作する。そして接続先のVPNサーバは「210.XXX.YYY.ZZZ」、接続先のVPNネットワークは「192.168.0.0/255.255.255.0」である。
■VPN接続の前のルーティング・テーブル(Windows XPの例)
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 172.16.1.1 172.16.1.2 20 ……デフォルト・ゲートウェイ
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
172.16.1.0 255.255.255.0 172.16.1.2 172.16.1.2 20
172.16.1.2 255.255.255.255 127.0.0.1 127.0.0.1 20
172.16.255.255 255.255.255.255 172.16.1.2 172.16.1.2 20
224.0.0.0 240.0.0.0 172.16.1.2 172.16.1.2 20
255.255.255.255 255.255.255.255 172.16.1.2 172.16.1.2 1
Default Gateway: 172.16.1.1 ……VPN接続前のデフォルト・ゲートウェイ
■VPN接続の後のルーティング・テーブル(Windows XPの例)
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 172.16.1.1 172.16.1.2 21 ……元のデフォルト・ゲートウェイ
0.0.0.0 0.0.0.0 192.168.0.202 192.168.0.202 1 ……新規デフォルト・ゲートウェイ
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
172.16.1.0 255.255.255.0 172.16.1.2 172.16.1.2 20
172.16.1.2 255.255.255.255 127.0.0.1 127.0.0.1 20
172.16.255.255 255.255.255.255 172.16.1.2 172.16.1.2 20
192.168.0.202 255.255.255.255 127.0.0.1 127.0.0.1 50 ……VPN接続
192.168.0.255 255.255.255.255 192.168.0.202 192.168.0.202 50 ……VPNの接続先
210.XXX.YYY.ZZZ 255.255.255.255 172.16.1.1 172.16.1.2 20 ……接続先VPNサーバ
224.0.0.0 240.0.0.0 172.16.1.2 172.16.1.2 20
224.0.0.0 240.0.0.0 192.168.0.202 192.168.0.202 1
255.255.255.255 255.255.255.255 172.16.1.2 172.16.1.2 1
Default Gateway: 192.168.0.202 ……VPN接続後の新規デフォルト・ゲートウェイ
デフォルト・ルート(ネットワーク・アドレスが0.0.0.0で、ネットマスクが0.0.0.0のエントリ)が、VPN接続の前後で変更されていることが分かるだろう。同じエントリの場合は、Metric値が小さい方がデフォルト・ルートとなる(この場合は「192.168.0.202」がデフォルト・ルートとなる)。
現実的には、このような方法でも問題なくインターネットへアクセスできるだろうか、場合によっては利用できないサービスもある。例えばISPから提供されているサーバ類(メール・サーバ、Proxyサーバ、DNSサーバなど)は、そのISPに接続している回線からのみ利用可能であり、そのほかのISPの回線(この場合はVPNで接続した先のネットワークにつながっているISP回線)からはアクセスできないことが多い。
この問題を解決するには、VPN接続を確立しても、デフォルト・ゲートウェイが変わらないようにすればよい。つまり最初にISPから割り当てられたデフォルト・ゲートウェイをそのまま有効にして、上の例でいえば「192.168.0.0/255.255.255.0」ネットワークあてのトラフィックだけをVPNサーバへ送信すればよい。このためには、VPN接続アイコンで、一部の設定を変更する。
VPN接続時でも、デフォルト・ゲートウェイを変更させないようにするには、次のようにする。
まずVPN接続のアイコンをダブルクリックし、[プロパティ]ダイアログを表示させる。
次に「TCP/IP」の設定を変更する。
[A]
次にTCP/IP設定の[詳細設定]を選択する。
この画面の[全般]タブに目的にチェック・ボックスがある。ウィザードを使ってVPN接続アイコンを作成すると、デフォルトではこのチェック・ボックスがオンになっている。そのため、すべてのトラフィックはデフォルトではVPNサーバ側へ送られることになる。VPN接続時にもデフォルト・ゲートウェイを変更したくなければ、このチェック・ボックスをオフにする。
[C]
このチェック・ボックスをオフにした状態で、先ほどと同じVPN接続を行ってみたところ、ルーティング・テーブルの内容は次のようになった。デフォルト・ゲートウェイが元のままになっていることが分かるだろう。
■VPN接続の後のルーティング・テーブル(Windows XPの例)
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 172.16.1.1 172.16.1.2 20 ……デフォルト・ゲートウェイ
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
172.16.1.0 255.255.255.0 172.16.1.2 172.16.1.2 20
172.16.1.2 255.255.255.255 127.0.0.1 127.0.0.1 20
172.16.255.255 255.255.255.255 172.16.1.2 172.16.1.2 20
192.168.0.0 255.255.255.0 192.168.0.205 192.168.0.205 1 ……VPNの接続先
192.168.0.205 255.255.255.255 127.0.0.1 127.0.0.1 50 ……VPN接続
192.168.0.255 255.255.255.255 192.168.0.205 192.168.0.205 50 ……VPNの接続先
210.XXX.YYY.ZZZ 255.255.255.255 172.16.1.1 172.16.1.2 20 ……接続先VPNサーバ
224.0.0.0 240.0.0.0 172.16.1.2 172.16.1.2 20
224.0.0.0 240.0.0.0 192.168.0.205 192.168.0.205 50
255.255.255.255 255.255.255.255 172.16.1.2 172.16.1.2 1
Default Gateway: 172.16.1.1 ……VPN接続後のデフォルト・ゲートウェイ。元と同じ
■この記事と関連性の高い別の記事
Copyright© Digital Advantage Corp. All Rights Reserved.