はじめに
本書の目的
本ドキュメントは、SSL VPN接続が失敗したり切断されたりする問題について、原因の見つけ方と実際の対処法をわかりやすくまとめたガイドです。初期確認から詳細な切り分け方法、現場で使えるチェックリストまで掲載しています。具体例を交えて説明しますので、すぐに試せます。
対象読者
ネットワーク管理者やヘルプデスク担当者、社内のIT担当者を主な対象にしています。ネットワークやサーバーの基礎知識があれば理解しやすい内容です。一般ユーザーでも手順に沿って確認できるよう配慮しています。
使い方
まず簡単な確認項目を順に実行してください。解決しない場合は、ログや設定情報を集めて詳細な手順に進みます。各章は原因別に分かれているので、症状に応じて該当章を参照してください。
注意点
設定変更前に現在の設定を必ず保存してください。業務時間外での確認やテストを推奨します。変更記録を残すと再発時に役立ちます。
ネットワーク関連の問題
概要
ネットワークの通信異常やプロトコル・ポート番号の不一致は、SSL VPNがつながらない主な原因です。特にファイアウォール設定やルーティング、インターネット接続状態を優先的に確認します。FortiGateでポートを変更した場合は、FortiClient側も同じ値に設定する必要があります。
よくある原因と具体例
- ポート不一致:サーバーがTCP 10443で待ち受けるのにクライアントが443へ接続する例。
- ファイアウォール遮断:会社のFWや家庭用ルーターで該当ポートが閉じられている。
- ルーティング不備:VPNサーバーへの経路が正しくないためパケットが届かない。
- ISPの制限:一部の回線で特定ポートが塞がれている場合。
確認手順(実例を交えて)
1) 基本接続確認:ブラウザやスマホでインターネットに接続できるか確認します。キャプティブポータルがあるとVPN接続が妨げられます。
2) ポート確認:telnet <サーバー> 10443 や nc コマンドでポートが開いているか試します。
3) ルーティングとDNS:ping や traceroute で経路を確認し、DNS解決が正常か確かめます。
4) ログ確認:FortiGateやFortiClientのログで拒否やタイムアウトの記録を探します。
対処例
- FW設定を開き、VPN用ポートを許可します。家庭用ルーターではポートフォワード設定を行います。
- サーバー・クライアント双方のポート設定を一致させます。
- 一時的にパーソナルファイアウォールを無効化して切り分けます。
- ISPが原因なら別回線や携帯回線で接続を試します。
注意点
設定変更後はサービスを再起動して反映確認します。ログを順に追うと原因が早く特定できます。
証明書関連の問題
概要
SSL VPN接続が一定割合で失敗する場合、証明書の問題が大半を占めます。特に有効期限切れや設定ミス、検証の失敗、暗号化方式の不一致が原因になります。ここでは分かりやすく原因と対処法を説明します。
よくある原因
- 有効期限切れ: サーバー証明書やクライアント証明書が期限切れになると接続を受け付けません。例: 社内CAで発行した証明書の期限を更新し忘れる。
- 証明書チェーンの欠落: 中間証明書がサーバーに正しく配置されていないと検証で弾かれます。
- クライアント証明書の未登録や破損: クライアント側の証明書がインストールされていない、あるいは破損している場合です。
- TLSバージョンや暗号スイートの不一致: サーバーとクライアントで対応する暗号が異なると接続できません。
対処方法(手順)
- 証明書の有効期限を確認します。サーバー側とクライアント側の両方をチェックしてください。期限切れなら新しい証明書を発行して置換します。
- サーバーの証明書チェーンを確認します。中間証明書が抜けていないか、正しい順序で配置されているかを確認します。
- クライアント証明書を更新または再インストールします。端末で一度削除して再インポートすると改善することが多いです。
- TLSバージョンと暗号化方式の整合を取ります。サーバーとクライアントが共通でサポートする設定に合わせてください。一般的にはTLS1.2以上を推奨します。
- 推奨のVPNアプリを利用します。ベンダーが指定するクライアントを使うと証明書検証の差異が少なくなります。
注意点
- 自己署名証明書を使う場合は端末に信頼済みとして登録する必要があります。手順を誤るとセキュリティリスクが高まります。
- 証明書更新後はキャッシュや証明書ストアの反映を待ってから再接続してください。短時間で動作が反映されないことがあります。
具体的なトラブル例と確認ポイント
- ケース: 接続が特定のユーザーだけ失敗する。確認: クライアント証明書の有無と正常性をまず確認します。
- ケース: 接続がランダムに失敗する。確認: 中間証明書の欠落や複数の証明書が混在していないかを確認します。
上記を順に確認することで、40%ほど止まるような症状は多く解消できます。必要ならログの抜粋や証明書ファイルを用意していただければ、より詳しく案内します。
接続数とIPアドレスの制限
概要
VPNゲートウェイの同時接続数上限やクライアント用CIDRブロックのIP不足は、接続失敗の代表的な原因です。上限に達すると新しい接続を受け付けられません。CIDR内のアドレスが足りないと、割り当てられるIPがなくなり接続が切れます。
推奨設定と理由
クライアントCIDRブロックは、想定する最大同時接続数の4倍以上に設定することを推奨します。余裕を持たせることで、IP割当の衝突や短時間の接続増に対応できます。例:最大接続100台ならIPプールは最低400以上。よく使うプレフィックス例は:/24=256、/23=512、/22=1024。
実際の手順(簡潔)
1) 現状確認:ゲートウェイの最大接続数とクライアントCIDRを管理コンソールやCLIで確認します。
2) 必要数計算:想定最大接続×4 を算出し、最小必要アドレス数を決めます。
3) 設定変更:CIDRを広げるか(例:/24→/23)、必要ならゲートウェイの同時接続上限を増やします。クラウドでは設定変更後に再起動や再接続が必要な場合があります。
4) 動作確認と監視:ログや接続数メトリクスで割り当て状況を監視します。
注意点
- 社内ネットワークとアドレスが重複しないよう確認してください。
- 上限増加はライセンスやコストに影響する場合があります。
- 余裕をさらに見込む(目安は20%程度)と運用が安定します。
時間同期とセキュリティ関連の問題
なぜ時間同期が重要か
クライアントとサーバーの時刻がずれると、SSL/TLS証明書の有効期限確認や時刻ベースの認証(TOTP)が正しく動作しません。実際に10分以上の差があると接続が拒否されることがあります。
時間差による具体的な障害例
- ブラウザで「証明書の期限切れ」と表示されて接続できない。例: NET::ERR_CERT_DATE_INVALID
- Google Authenticatorなどのワンタイムパスワードが通らない
- ログに「certificate not yet valid」や「clock skew」などのエラーが残る
対処方法(時刻同期)
- NTPサーバーを使って自動同期を有効にします。Windowsならw32tm、Linuxならchronyやntpdを利用します。
- 同期状態を確認する: Linuxではdate/chronyc tracking、Windowsではw32tm /query /statusを実行します。
- 仮想マシンの場合はハイパーバイザーとゲストの時刻ポリシーを確認してください。
二要素認証と認証情報の問題
- TOTPは端末とサーバーの時刻が一致しないと失敗します。スマホの時刻を自動設定にするだけで直る場合が多いです。
- 二要素認証の初期設定ミス(シークレット未登録、バックアップコード未保存)でログイン不能になることがあります。
- サービスアカウントのパスワード期限やアカウントロック、鍵の失効も接続障害を招きます。
トラブルシューティング手順
- 両端末の時刻を確認し、2分以内に合わせる。2. NTP同期のステータスを確認する。3. 認証ログを確認し、TOTPや証明書関連のエラーを探す。4. 必要ならバックアップ認証手段でログインし、設定を修正する。
注意点
- 手動で時刻を大きく変更するとログやトランザクションに影響します。まずはNTPで安定的に同期することをおすすめします。
バージョン互換性の問題
問題の概要
VPNクライアントとSSLサーバーの間でバージョン差があると、接続が成立しないことがあります。主な原因はプロトコルや暗号化方式の不一致、ハンドシェイクの仕様差です。具体例としてFortiClient 7.2.4に既知の不具合があり、SSL接続が失敗する報告があります。
具体例(FortiClient 7.2.4)
FortiClient 7.2.4を使用すると、一部のSSLサーバーと正常にハンドシェイクできず、切断やタイムアウトが発生します。影響は環境によって異なりますが、同じ設定で別バージョンでは接続できる場合が多いです。
対処方法
- ダウングレード:まず現在の設定と証明書をバックアップします。次に既知の安定版にアンインストール/再インストールします。再設定後に接続テストを行ってください。
- アップデート確認:ベンダーのリリースノートやセキュリティアドバイザリを確認し、修正パッチが出ていれば適用します。
- 設定確認:TLSバージョンや暗号スイートの設定を確認し、サーバー側と合致させます。互換性モードやレガシーオプションがあれば一時的に有効にして試します。
- 検証とログ取得:クライアントとサーバーのログ、パケットキャプチャを取得して原因を特定します。別のクライアントで接続できるか比較検証してください。
注意点
バージョン変更はセキュリティ影響を伴います。必ずバックアップし、変更後に動作確認と影響範囲の確認を行ってください。ベンダー推奨の対処を優先して実施してください。
ソフトウェアとドライバーの問題
問題の概要
TAP仮想イーサネットアダプターが見つからない、またはmacOS上でovpnagentが起動していないとVPN接続が失敗します。多くはクライアント側のドライバーや起動処理に原因があります。
対処手順(Windows)
- デバイス マネージャーと「ネットワーク接続」を確認し、TAPや仮想アダプターがあるか探します。見つからなければVPNクライアントを管理者権限で再インストールします。
- ドライバー署名のエラーやインストール失敗が出る場合は、公式サイトの最新インストーラーを使い、古いドライバーを完全に削除してから再インストールします。
対処手順(macOS)
- アクティビティモニタやコンソールでovpnagentのプロセスやエラーログを確認します。起動していなければアプリの再インストールでサービス起動を試します。
- システム環境設定→セキュリティとプライバシーで「開発元のブロック」を解除する必要がある場合があります。インストール時の許可を求められたら許可してください。
共通の確認点
- 管理者権限で実行しているか確認します。アンチウイルスやファイアウォールがドライバーやエージェントの起動を妨げることがあるため、一時的に無効化して動作確認します。
- ログ(Windowsのイベントビューア、macOSのコンソール、VPNクライアントのログ)で “TAP” や “ovpnagent” のキーワードを探します。
再インストール時の注意
設定を事前にバックアップし、古いバージョンを残さずアンインストールしてから最新を入れてください。問題が続く場合は、実施した手順とログの抜粋をお知らせください。
