WindowsでVPN接続時にブラウザーやメールアクセスがエラーになるときの対策Tech TIPS

WindowsでVPNに接続したとき、デフォルトではVPNの接続先ネットワークがデフォルト・ゲートウェイとなる。だが、これによってWebアクセスやメール・アクセスなどが利用できなくなる場合がある。デフォルト・ゲートウェイを変更したくなければ、VPN接続の設定を一部変更する。

» 2003年04月26日 05時00分 公開
[打越浩幸デジタルアドバンテージ]
「Tech TIPS」のインデックス

連載目次

対象OS:Windows 2000 Professional/Windows XP Professional/Windows XP Home Edition/Windows 2000 Server/Windows 2000 Advanced Server



解説

 インターネットを介して職場のネットワークなどへ接続する「(インターネット)VPN接続」は、ブロードバンド接続環境の普及などにより、広く実用的に使われるようになってきた。高速なネットワーク接続を利用することにより、職場などでネットワークを使っているのと同様の感覚で、リモートのサーバへ気軽にアクセスできるようになるからだ。

 このように非常に便利なVPN接続機能であるが、ネットワーク的に見ると、同時に2つのネットワーク(ローカルの「インターネット接続」とリモートの「VPN接続」の2つ)に接続していることになるので、ルーティングの設定、特にデフォルト・ゲートウェイの設定にはいくらか注意しなければならない。デフォルト・ゲートウェイの設定によっては、すべてのトラフィックがVPNで接続されている先のネットワークへ送られてしまうことになり、インターネットへアクセスしようとしても、VPNの接続先を経由するようになってしまったりする。このようになると、例えばプロバイダの提供しているメール・サーバやProxyサーバへ接続できなくなったり(これらのサーバは、加入しているISPの回線から直接接続しないと利用できなくなっている場合がある)、必ずVPN経由になるのでインターネット・アクセスが遅くなったり、また利用できるDNSサーバの設定の違いなどにより(DNSサーバも、それぞれのISPやネットワーク環境ごとに決まっているものである)、DNS名が解決できなくなったりする。

 ここではVPN接続とデフォルト・ネットワークの関係について解説しておこう。

●「VPN接続」の作成について

 ゲートウェイの設定の前に、Windows 2000/XPにおけるVPN接続の方法について簡単にまとめておこう。

 (インターネット)VPNとは、簡単にいうと、インターネット回線上に仮想的な通信路(トンネル)を作成し、目的とするネットワークへ直接接続できるような経路を作成するという技術である。VPNを作成するためには、あらかじめ何らかの方法でインターネットへ接続するためのネットワーク接続を作成しておき、さらにその上でVPN用の通信路を作成する。といってもWindows 2000/XPでVPN回線を作成するための方法は非常に簡単である。ネットワーク接続のウィザードを起動して、「職場のネットワークへ接続する(Windows XPの場合)」もしくは「インターネット経由でプライベート ネットワークに接続する(Windows 2000の場合)」を選択し、接続先のVPNサーバの名前(FQDN名もしくはIPアドレス)などを入力するだけである。通常のインターネット接続を確立したあと、さらにこのVPN接続用のアイコンをクリックし、ユーザー名とパスワードなどを入力すればVPN接続が確立する。

 VPN接続時には、このように2つのネットワーク接続アイコンを利用するため、ローカルのマシンには2つのIPアドレスが割り当てられることになる。1つはインターネット接続のためのIPアドレスであり、これはISPから割り当てられたものになる。もう1つはVPN接続先のネットワークと接続するためのIPアドレスである。通常このIPアドレスは、VPNサーバから割り当てられる。

●2つのデフォルト・ゲートウェイ

 このように、VPN利用時にはローカルのマシンは2つのIPアドレスを持ち、同時に2つのネットワークに属することになる。そのため、デフォルト・ゲートウェイも2つ存在することになる(デフォルト・ゲートウェイについては「TIPS―デフォルト・ゲートウェイは1つのみ有効」を参照)。1つは、もともとのインターネット接続のために、ISPからPPPやDHCPなどで指定されたゲートウェイ・アドレスであり、もう1つはVPNで接続した先のネットワークから指定されたゲートウェイ・アドレスである。いずれのゲートウェイ・アドレスも、それぞれのネットワーク内でだけ有効なアドレスであり、単独で利用している分には何の問題もない。だが、インターネット接続とVPN接続を組み合わせて利用する場合は、どちらのゲートウェイをデフォルトとするべきだろうか(デフォルト・ゲートウェイは、複数指定されていても常に1つしか有効にならない)。

 先のウィザードを使って作成した「VPN接続」アイコンでは、デフォルトでは、VPNで接続した先のネットワークがデフォルトとなるように設定される。つまり、VPN接続が確立すると、元のデフォルト・ゲートウェイ情報は上書きされ、(VPN接続によって指定されている)新しいデフォルト・ゲートウェイに変更されるのである。そのため、ローカルのマシンがインターネットへアクセスしようとすると、そのトラフィックはすべてVPNで接続された先のネットワークへ転送されることになる。つまり、ローカルのマシンから直接インターネットへアクセスするのではなく、わざわざVPNで接続した先のネットワークを経由して、そこからインターネットへアクセスすることになる。

 以下に、VPN接続の前後におけるルーティング・テーブルの状態を示しておく(コマンド・プロンプト上で「route print」コマンドを実行する)。ここで、「172.16.1.0/255.255.255.0」はローカルのネットワーク・アドレスを表している。プライベートIPアドレスになっているのは、ルータのNAT機能を使ってインターネットへアクセスしているからである。VPNは、このようにNAT機能を併用しても問題なく動作する。そして接続先のVPNサーバは「210.XXX.YYY.ZZZ」、接続先のVPNネットワークは「192.168.0.0/255.255.255.0」である。

■VPN接続の前のルーティング・テーブル(Windows XPの例)

Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0       172.16.1.1      172.16.1.2       20 ……デフォルト・ゲートウェイ
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
       172.16.1.0    255.255.255.0       172.16.1.2      172.16.1.2       20
       172.16.1.2  255.255.255.255        127.0.0.1       127.0.0.1       20
   172.16.255.255  255.255.255.255       172.16.1.2      172.16.1.2       20
        224.0.0.0        240.0.0.0       172.16.1.2      172.16.1.2       20
  255.255.255.255  255.255.255.255       172.16.1.2      172.16.1.2       1
Default Gateway:        172.16.1.1 ……VPN接続前のデフォルト・ゲートウェイ


■VPN接続の後のルーティング・テーブル(Windows XPの例)

Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0       172.16.1.1      172.16.1.2       21 ……元のデフォルト・ゲートウェイ
          0.0.0.0          0.0.0.0    192.168.0.202   192.168.0.202       1 ……新規デフォルト・ゲートウェイ
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
       172.16.1.0    255.255.255.0       172.16.1.2      172.16.1.2       20
       172.16.1.2  255.255.255.255        127.0.0.1       127.0.0.1       20
   172.16.255.255  255.255.255.255       172.16.1.2      172.16.1.2       20
    192.168.0.202  255.255.255.255        127.0.0.1       127.0.0.1       50 ……VPN接続
    192.168.0.255  255.255.255.255    192.168.0.202   192.168.0.202       50 ……VPNの接続先
  210.XXX.YYY.ZZZ  255.255.255.255       172.16.1.1      172.16.1.2       20 ……接続先VPNサーバ
        224.0.0.0        240.0.0.0       172.16.1.2      172.16.1.2       20
        224.0.0.0        240.0.0.0    192.168.0.202   192.168.0.202       1
  255.255.255.255  255.255.255.255       172.16.1.2      172.16.1.2       1
Default Gateway:     192.168.0.202 ……VPN接続後の新規デフォルト・ゲートウェイ



 デフォルト・ルート(ネットワーク・アドレスが0.0.0.0で、ネットマスクが0.0.0.0のエントリ)が、VPN接続の前後で変更されていることが分かるだろう。同じエントリの場合は、Metric値が小さい方がデフォルト・ルートとなる(この場合は「192.168.0.202」がデフォルト・ルートとなる)。

 現実的には、このような方法でも問題なくインターネットへアクセスできるだろうか、場合によっては利用できないサービスもある。例えばISPから提供されているサーバ類(メール・サーバ、Proxyサーバ、DNSサーバなど)は、そのISPに接続している回線からのみ利用可能であり、そのほかのISPの回線(この場合はVPNで接続した先のネットワークにつながっているISP回線)からはアクセスできないことが多い。

 この問題を解決するには、VPN接続を確立しても、デフォルト・ゲートウェイが変わらないようにすればよい。つまり最初にISPから割り当てられたデフォルト・ゲートウェイをそのまま有効にして、上の例でいえば「192.168.0.0/255.255.255.0」ネットワークあてのトラフィックだけをVPNサーバへ送信すればよい。このためには、VPN接続アイコンで、一部の設定を変更する。

操作方法

 VPN接続時でも、デフォルト・ゲートウェイを変更させないようにするには、次のようにする。

 まずVPN接続のアイコンをダブルクリックし、[プロパティ]ダイアログを表示させる。

VPN接続時のデフォルト・ゲートウェイの設定変更 VPN接続時のデフォルト・ゲートウェイの設定変更
VPN接続時のデフォルト・ゲートウェイの設定を変更するには、まずVPN接続の[プロパティ]を開く。
  [A]デフォルト・ゲートウェイの設定を行うには、接続アイコンをダブルクリックして[プロパティ]を表示させる。→[A]

 次に「TCP/IP」の設定を変更する。

[A]

VPN接続の「TCP/IP」設定 VPN接続の「TCP/IP」設定
デフォルト・ゲートウェイの設定はTCP/IPのプロパティで設定する。
  (1)[ネットワーク]タブを選択する。
  (2)[TCP/IP]設定を選択する。
  [B]これをクリックして、[TCP/IPのプロパティ]を表示させる。→[B]

 次にTCP/IP設定の[詳細設定]を選択する。

[B]

TCP/IPのプロパティ TCP/IPのプロパティ
さらに[詳細設定]をクリックして、デフォルト・ゲートウェイの設定を行う。
  [C]これをクリックする。→[C]

 この画面の[全般]タブに目的にチェック・ボックスがある。ウィザードを使ってVPN接続アイコンを作成すると、デフォルトではこのチェック・ボックスがオンになっている。そのため、すべてのトラフィックはデフォルトではVPNサーバ側へ送られることになる。VPN接続時にもデフォルト・ゲートウェイを変更したくなければ、このチェック・ボックスをオフにする。

[C]

デフォルト・ゲートウェイの設定 デフォルト・ゲートウェイの設定
この[全般]タブにある設定を変更する。
  (1)このチェック・ボックスはデフォルトではオンになっているので、これをオフにする。するとデフォルト・ゲートウェイは変更されなくなる。

 このチェック・ボックスをオフにした状態で、先ほどと同じVPN接続を行ってみたところ、ルーティング・テーブルの内容は次のようになった。デフォルト・ゲートウェイが元のままになっていることが分かるだろう。

■VPN接続の後のルーティング・テーブル(Windows XPの例)

Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0       172.16.1.1      172.16.1.2       20 ……デフォルト・ゲートウェイ
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
       172.16.1.0    255.255.255.0       172.16.1.2      172.16.1.2       20
       172.16.1.2  255.255.255.255        127.0.0.1       127.0.0.1       20
   172.16.255.255  255.255.255.255       172.16.1.2      172.16.1.2       20
      192.168.0.0    255.255.255.0    192.168.0.205   192.168.0.205       1 ……VPNの接続先
    192.168.0.205  255.255.255.255        127.0.0.1       127.0.0.1       50 ……VPN接続
    192.168.0.255  255.255.255.255    192.168.0.205   192.168.0.205       50 ……VPNの接続先
  210.XXX.YYY.ZZZ  255.255.255.255       172.16.1.1      172.16.1.2       20 ……接続先VPNサーバ
        224.0.0.0        240.0.0.0       172.16.1.2      172.16.1.2       20
        224.0.0.0        240.0.0.0    192.168.0.205   192.168.0.205       50
  255.255.255.255  255.255.255.255       172.16.1.2      172.16.1.2       1
Default Gateway:        172.16.1.1 ……VPN接続後のデフォルト・ゲートウェイ。元と同じ



「Tech TIPS」のインデックス

Tech TIPS

Copyright© Digital Advantage Corp. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

AI for エンジニアリング
「サプライチェーン攻撃」対策
1P情シスのための脆弱性管理/対策の現実解
OSSのサプライチェーン管理、取るべきアクションとは
Microsoft & Windows最前線2024
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。