みなさん、こんにちは。
埼玉県ふじみ野市のITサポートSORAの関口です。
現代のITシステムでは、様々な機器が各自の仕様で動作しています。
機器の性能と設定、通信やアプリの仕様が一致しているとき、システムは稼働します。
しかし、何らかの要因で1つでも機器や仕様が変わると、他のシステムが利用できなくなることがあります。
先日、埼玉県鶴ヶ島市の企業から「NURO光のルータを新しいモデルに交換後、警備システムで問題が発生したので調査・対応してほしい」とのご相談をいただきました。
調査の結果、NURO光の新ルータでインターネットVPN(IPSec)通信が通せなくなったのが原因でした。今日はそのことについて書きます。
![リモートサポート](https://it-sora.net/wp-content/uploads/2022/01/20220115_remoto_banner.jpg")
NURO光 ルータ交換後、VPNがつながらないトラブルサポート
お客様の事務所では、インターネット回線としてNURO光を使用しており、ルータ(ONU)はZTE F660Aを使用していました。
先日、「新しいルータに交換することでインターネット通信速度が速くなる」という案内がNURO光から届いたので、通信速度の向上を期待して新しいルータZTE F660Pに交換しました。
通信速度が向上し喜んでいたのも束の間、警備会社から事務所内の警備制御システムとインターネット上の警備システム管理サーバー間で通信ができなくなったとの報告があり、「新しいルータでVPNを通す設定をしてください」と依頼がありました。
しかし、お客様は「VPNが何かがわからない」とのことで、当方にご相談いただきました。
問題の状況から、NURO光のZTE F660Pルータに交換したことで、警備システムのインターネットVPN(IPSec)通信ができなくなった。よって、対策として新ルータでIPSecパススルー設定かポートフォワード設定をすれば、警備システムのVPNは通せると私は考えていました。
しかし、事務所に伺いZTE F660Pの設定画面を確認したところ、IPSecパススルーの設定項目はなく、DMZやポートフォワードの設定画面はグレーアウトされており、ルータの設定変更ができない状況でした。
NURO光のサポートに詳細を確認したところ、「ZTE F660Pでは、IPSecパススルー・ポートフォワード設定も非対応の仕様」との返答がありました。
また、「これまで使っていたZTE F660Aでは、ポートフォワード設定でIPSec通信が可能だったのに、なぜZTE F660Pでは設定できないのか?」を確認したところ、「NURO光では順次ZTE F660Pのような仕様になる」との返答でした。
※上記は個人的にNURO光のサポートに確認した情報であり、NURO光の公式情報ではありません。
今回の問題は、次の2点に集約されます。
- 事務所内の警備システムはVPN(IPSec)で管理サーバと通信していた
- NURO光 ZTE F660P 新ルータではVPN(IPSec)に非対応になった
ルータを交換したことにより、IPSecの通信仕様がNUROと警備会社で相反する結果となりました。
この問題を解決するには以下の3つの方法が考えられます。
- NURO光のルータを古い機種に戻す
- インターネット回線をNURO光から変更する
- 警備システム側でIPSecを使わない代替手段を検討する
警備会社にも技術仕様を確認した結果、IPSecを使わないで事務所内の警備制御システムを動作させる方法があったため、今回は3の対策を行うこととなりました。
まとめ
現代のITシステムでは、様々な機器が各自の仕様で動作しています。
機器の性能と設定、通信やアプリの仕様が一致しているとき、システムは稼働します。
しかし、今回の事例のように1つの機器を変えただけで他のシステムが利用できなくなることがあります。
お客様は事務所内の警備システムがIPSecで通信していたこと、新しいルータがIPSec通信に非対応だったことを、今回の問題が発生した後で初めて知りました。
これからも、技術の発達と共に新しい仕様が増えていくと思いますが、これまでの仕様を理解せずに新しいものに変えていくと、多かれ少なかれ今回のような意図しないトラブルが増えてくると考えます。
ここまでお読みいただきありがとうございました。
関連記事
コメント