本日のトラブルはこちらです。
はてな
FortigateでSSL-VPNを設定、接続して遠隔接続していたのですが、インターネット回線を変えてから繋がらなくなりました。
SSL-VPN接続の設定は、FOrtiが提供しているDDNSを設定して接続していました。
このDDNS名をnslookupで確認すると、インターネット回線が変わる前のプロバイダのグローバルIPのままで、新しいインターネット回線のグローバルIPではありませんでした。
どうしたらいいでしょうか。
とのことでした。
FortiのSSL-VPN、便利なんですけどね。
さて、どうしたものでしょうか。
以下に対処法を記載いたします。
FortigateのSSL-VPNが繋がらなくなった。インターネット回線が変わった時の原因と対処法。
エラーメッセージの確認
参考:インフォちゃんぷる
FortiClientでSSL-VPNがつながらないときのエラーメッセージまとめ
今回のエラーメッセージは
「Unable to establish the VPN connection. The VPN server may be unreachable.」
でした。
まあ、DDNS名とグローバルIPの紐づけがうまくいってないんだからそうだろうな。
DDNSを更新できないか
DDNSを更新してやろう
と思ったのですが、そもそも更新するボタンがない。
どうすればいいのか。
DDNSじゃなくてWAN側の固定IPに対してSSL-VPNしてみよう
現地にいって設定を確認しないと
ですが
Fortigateにログインしてインターネット回線を収容しているポートのグローバルIPを調べてみる。
FortiClientで、DDNS名じゃなくて、グローバルIPあてに直接アクセスしてみる。
これでひとまず接続できました。
が、機器を再起動したり、回線工事、建物の停電などが発生すると
グローバルIPアドレスは変わってしまいますので接続できなくなります。
【自己責任でお願いします】FortigateのDDNSを一旦登録削除して再度登録してみる
一旦、DDNSを登録削除してから再度登録してみましょう。
【自己責任でお願いします】CLIから登録削除、再登録してみる
参考:matsublog
FortiGate でダイナミック DNS を設定する方法(v6.2.4)
---------------------------------------------
config system ddns
edit 1
set ddns-server FortiGuardDDNS
set ddns-domain "myfg01a.fortiddns.com"
set use-public-ip disable
set monitor-interface "internal2"
next
end
---------------------------------------------
コンフィグとして上記なので、消す前に値、コマンドを確認して
GUIから登録解除して
CLIでコマンド投入して登録してみる
としてみるといかがでしょうか。
コマンドで新たに投入すると更新、というか新規登録扱いになってDDNSが復活しないかな、と期待しています。【未実施】
端末のセキュリティ確認
windows defenderが知らないうちに有効になっている、とか
セキュリティソフトが更新された、とか
そういうことがあると、通信をブロックする可能性がある、と想定しました。
再起動して更新されるってことはないよね
大事なのを忘れていました。
Fortigateを再起動してみるとどうなるんでしょうね。
これも未実施なのですが、更新される可能性はあると思うな。
もしかして設定が変わってないか?
勘違いはだれにもあります。
そして同じくらいにあるのが
知らないうちに設定変更されている場合
です。
インターネット回線が変わる前、作業直前、ほんとうにSSL-VPNは接続できていましたでしょうか?
回線を入れ替えた後では、いまさらですが、誰かにヒアリングしてみると思わぬ事実が判明するかもしれません。
グローバル固定IPを持っていても接続できない場合は
・Forticlientの設定を確認
⇒特に接続ポートは 4433 とかにしてもなぜか初回1回のみ 443 に設定が戻っている場合があります。
・グローバル固定IPの契約が旧プロバイダに紐づいてないか
⇒そもそもグローバルIPがとれていないかも。違うIPに変わってないですか?
・プロバイダ側の制限
⇒あまり聞かないですが、ケーブルテレビ契約などしてると可能性が高くなります。通信制限している場合。
・上位機種で制限している場合
⇒インターネット回線が変わった、ってことはプロバイダの終端装置かルータで通信を止めてないですか?そもそもルータがあるんだったら多重ルータ構成になっている??
・違うポートに設定してみたらどうか
⇒試しに
FortigateのSSL-VPNが繋がらなくなった。インターネット回線が変わった時の原因と対処法。~まとめ~
FortigateのSSL-VPNが繋がらないということは、リモートで作業ができなくなります。
遠方地だとあれですね。しんどい。
対処法としては
・Fortigate再起動
・DDNS再登録
・Forticlientの確認
・契約の確認
・他のひとにヒアリング(別名 犯人捜し)
でした。
本記事が少しでもご参考になったならばこれほど嬉しいことはありません。
最後まで読んでいただきありがとうございました。