WindowsでVPN接続時にブラウザーやメールアクセスがエラーになるときの対策：Tech TIPS

連載目次

解説

　インターネットを介して職場のネットワークなどへ接続する「（インターネット）VPN接続」は、ブロードバンド接続環境の普及などにより、広く実用的に使われるようになってきた。高速なネットワーク接続を利用することにより、職場などでネットワークを使っているのと同様の感覚で、リモートのサーバへ気軽にアクセスできるようになるからだ。

　このように非常に便利なVPN接続機能であるが、ネットワーク的に見ると、同時に2つのネットワーク（ローカルの「インターネット接続」とリモートの「VPN接続」の2つ）に接続していることになるので、ルーティングの設定、特にデフォルト・ゲートウェイの設定にはいくらか注意しなければならない。デフォルト・ゲートウェイの設定によっては、すべてのトラフィックがVPNで接続されている先のネットワークへ送られてしまうことになり、インターネットへアクセスしようとしても、VPNの接続先を経由するようになってしまったりする。このようになると、例えばプロバイダの提供しているメール・サーバやProxyサーバへ接続できなくなったり（これらのサーバは、加入しているISPの回線から直接接続しないと利用できなくなっている場合がある）、必ずVPN経由になるのでインターネット・アクセスが遅くなったり、また利用できるDNSサーバの設定の違いなどにより（DNSサーバも、それぞれのISPやネットワーク環境ごとに決まっているものである）、DNS名が解決できなくなったりする。

　ここではVPN接続とデフォルト・ネットワークの関係について解説しておこう。

●「VPN接続」の作成について

　ゲートウェイの設定の前に、Windows 2000／XPにおけるVPN接続の方法について簡単にまとめておこう。

　（インターネット）VPNとは、簡単にいうと、インターネット回線上に仮想的な通信路（トンネル）を作成し、目的とするネットワークへ直接接続できるような経路を作成するという技術である。VPNを作成するためには、あらかじめ何らかの方法でインターネットへ接続するためのネットワーク接続を作成しておき、さらにその上でVPN用の通信路を作成する。といってもWindows 2000／XPでVPN回線を作成するための方法は非常に簡単である。ネットワーク接続のウィザードを起動して、「職場のネットワークへ接続する（Windows XPの場合）」もしくは「インターネット経由でプライベート ネットワークに接続する（Windows 2000の場合）」を選択し、接続先のVPNサーバの名前（FQDN名もしくはIPアドレス）などを入力するだけである。通常のインターネット接続を確立したあと、さらにこのVPN接続用のアイコンをクリックし、ユーザー名とパスワードなどを入力すればVPN接続が確立する。

　VPN接続時には、このように2つのネットワーク接続アイコンを利用するため、ローカルのマシンには2つのIPアドレスが割り当てられることになる。1つはインターネット接続のためのIPアドレスであり、これはISPから割り当てられたものになる。もう1つはVPN接続先のネットワークと接続するためのIPアドレスである。通常このIPアドレスは、VPNサーバから割り当てられる。

●2つのデフォルト・ゲートウェイ

　このように、VPN利用時にはローカルのマシンは2つのIPアドレスを持ち、同時に2つのネットワークに属することになる。そのため、デフォルト・ゲートウェイも2つ存在することになる（デフォルト・ゲートウェイについては「TIPS―デフォルト・ゲートウェイは1つのみ有効」を参照）。1つは、もともとのインターネット接続のために、ISPからPPPやDHCPなどで指定されたゲートウェイ・アドレスであり、もう1つはVPNで接続した先のネットワークから指定されたゲートウェイ・アドレスである。いずれのゲートウェイ・アドレスも、それぞれのネットワーク内でだけ有効なアドレスであり、単独で利用している分には何の問題もない。だが、インターネット接続とVPN接続を組み合わせて利用する場合は、どちらのゲートウェイをデフォルトとするべきだろうか（デフォルト・ゲートウェイは、複数指定されていても常に1つしか有効にならない）。

　先のウィザードを使って作成した「VPN接続」アイコンでは、デフォルトでは、VPNで接続した先のネットワークがデフォルトとなるように設定される。つまり、VPN接続が確立すると、元のデフォルト・ゲートウェイ情報は上書きされ、（VPN接続によって指定されている）新しいデフォルト・ゲートウェイに変更されるのである。そのため、ローカルのマシンがインターネットへアクセスしようとすると、そのトラフィックはすべてVPNで接続された先のネットワークへ転送されることになる。つまり、ローカルのマシンから直接インターネットへアクセスするのではなく、わざわざVPNで接続した先のネットワークを経由して、そこからインターネットへアクセスすることになる。

　以下に、VPN接続の前後におけるルーティング・テーブルの状態を示しておく（コマンド・プロンプト上で「route print」コマンドを実行する）。ここで、「172.16.1.0/255.255.255.0」はローカルのネットワーク・アドレスを表している。プライベートIPアドレスになっているのは、ルータのNAT機能を使ってインターネットへアクセスしているからである。VPNは、このようにNAT機能を併用しても問題なく動作する。そして接続先のVPNサーバは「210.XXX.YYY.ZZZ」、接続先のVPNネットワークは「192.168.0.0/255.255.255.0」である。

　デフォルト・ルート（ネットワーク・アドレスが0.0.0.0で、ネットマスクが0.0.0.0のエントリ）が、VPN接続の前後で変更されていることが分かるだろう。同じエントリの場合は、Metric値が小さい方がデフォルト・ルートとなる（この場合は「192.168.0.202」がデフォルト・ルートとなる）。

　現実的には、このような方法でも問題なくインターネットへアクセスできるだろうか、場合によっては利用できないサービスもある。例えばISPから提供されているサーバ類（メール・サーバ、Proxyサーバ、DNSサーバなど）は、そのISPに接続している回線からのみ利用可能であり、そのほかのISPの回線（この場合はVPNで接続した先のネットワークにつながっているISP回線）からはアクセスできないことが多い。

　この問題を解決するには、VPN接続を確立しても、デフォルト・ゲートウェイが変わらないようにすればよい。つまり最初にISPから割り当てられたデフォルト・ゲートウェイをそのまま有効にして、上の例でいえば「192.168.0.0/255.255.255.0」ネットワークあてのトラフィックだけをVPNサーバへ送信すればよい。このためには、VPN接続アイコンで、一部の設定を変更する。

操作方法

　VPN接続時でも、デフォルト・ゲートウェイを変更させないようにするには、次のようにする。

　まずVPN接続のアイコンをダブルクリックし、［プロパティ］ダイアログを表示させる。

VPN接続時のデフォルト・ゲートウェイの設定変更
VPN接続時のデフォルト・ゲートウェイの設定を変更するには、まずVPN接続の［プロパティ］を開く。
　 ［Ａ］デフォルト・ゲートウェイの設定を行うには、接続アイコンをダブルクリックして［プロパティ］を表示させる。→［Ａ］へ

　次に「TCP/IP」の設定を変更する。

［Ａ］

VPN接続の「TCP/IP」設定
デフォルト・ゲートウェイの設定はTCP/IPのプロパティで設定する。
　 （1）［ネットワーク］タブを選択する。
　 （2）［TCP/IP］設定を選択する。
　 ［Ｂ］これをクリックして、［TCP/IPのプロパティ］を表示させる。→［Ｂ］へ

　次にTCP/IP設定の［詳細設定］を選択する。

［Ｂ］

TCP/IPのプロパティ
さらに［詳細設定］をクリックして、デフォルト・ゲートウェイの設定を行う。
　 ［Ｃ］これをクリックする。→［Ｃ］へ

　この画面の［全般］タブに目的にチェック・ボックスがある。ウィザードを使ってVPN接続アイコンを作成すると、デフォルトではこのチェック・ボックスがオンになっている。そのため、すべてのトラフィックはデフォルトではVPNサーバ側へ送られることになる。VPN接続時にもデフォルト・ゲートウェイを変更したくなければ、このチェック・ボックスをオフにする。

［Ｃ］

デフォルト・ゲートウェイの設定
この［全般］タブにある設定を変更する。
　 （1）このチェック・ボックスはデフォルトではオンになっているので、これをオフにする。するとデフォルト・ゲートウェイは変更されなくなる。

　このチェック・ボックスをオフにした状態で、先ほどと同じVPN接続を行ってみたところ、ルーティング・テーブルの内容は次のようになった。デフォルト・ゲートウェイが元のままになっていることが分かるだろう。

「Tech TIPS」