fc2ブログ

(元)社内SEの徒然なる日記

SSL-VPNで接続していたシステムに接続できない!

2014-01-14(Tue)

Categoryシステム開発
■ SSL-VPN

私の勤め先では、お出かけ中にiPadやiPhoneからメールを確認できるように、SSL-VPNを使用して社内のシステムにアクセス出来るようにしています。

ある日、利用者の方からメール(正確にはグループウェア)が見れなくなったと連絡が来ました。最初は使い方が悪いのかと思って問診をしていたのですが、そうこうしている内に、他の人(数名)からも問い合わせが来るようになりました。

これは、システム側の問題のようですね。

■ 切り分け

まず、障害の起点になっているのは何処かを確認しないとダメですね。

このグループウェアですが、社内LANから接続するのもモバイルから接続するのも同じサーバーに接続しに行きます。そこで、社内LANに接続したパソコンからグループウェアに接続してみます。すると特に問題なく使用出来ます。

グループウェア自体は生きているようですね。

次はモバイル側です。まず、インターネットに接続出来るのかを確認(適当なサイトを表示)。次に、VPNのクライアント(Cisco AnyConect)を一度切断して、再接続。ここまでは、問題なく動作しました。
(念のため、証明書の有効期限などの属性も確認しておきました)

次に、グループウェアに接続してみます。グループウェアへの接続は専用のアプリを使って行うのですが、こちらの方は上手くいきません。

モバイルからの接続回線は、LTE or 3Gです。今度はそこを疑って、WiMaxのモバイルルーターを使用して接続してみたのですが、結果は変わりません。

このグループウェアですが、専用アプリを使ってはいますが、実際にはWebシステムなのでSafariからも接続できます。上の手順をSafariから行ってみましたが、結果は変わらずです。

うーむ・・・

今度は、私のパソコンを社内LANから切断、WiMaxでインターネットを使えるようにして、AnyConnetでVPN接続を行い、グループウェアにアクセスしてみると、ここからは接続できました。

どうも、グループウェアや回線の問題っていうよりも、SSL-VPN側に問題があるような気がします。

■ 原因判明

私が上の切り分けを行っている間に、別の人が運用面の情報収集をしていたのですが、それによると、極一部の利用者は問題なくグループウェアを使用出来ているらしいのです。

なーんか嫌な気配がします。

接続出来る端末を確認させてもらうと、グループウェアへの接続がIPアドレスで行うようになっています。念のため、接続出来なかったiPadの接続先をサーバー名からIPアドレスに変更すると、接続出来るようになりました。

・・・あぁ、名前解決が出来ていないのね。

■ 障害の発生原因

実は、この障害が発生した時に、社内の情報系サーバーの移行作業を行っていて、名前解決を行うDNSサーバーが新旧で共存している状態だったのです。

障害発生時点では、SSL-VPNサーバーは、古い方のDNSサーバーを参照していたのですが、ある人がファイアウォール上に残っていた旧DNSサーバーへのルートを塞いでしまったため、名前解決が出来ずに障害が発生してしまったようなのです。

本来の作業手順では、SSL-VPNサーバーが参照しているDNSサーバーを変更したタイミングで、ファイアウォールの設定も変更するのが正しい手順だったのが、色々と手違いがあったようなのです。

■ SSL-VPNの名前解決

SSL-VPNの名前解決ってどこでやっているんだろうと不思議に思っていたのですが、どうやらSSL-VPNのクライアントソフト側で行っているようです。

CiscoのAnyConnectから確認する場合、AnyConnectの「診断」→「システム情報」から、表示された画面のDNSって項目に、使用しているDNSサーバのIPアドレスが表示されるようです。

・・・この確認をした時に気付いたのですが、iPadとiPodで画面の表示がちょっと違いました。iPadの場合、「診断」ってメニューは画面に右上にあるのですが、iPodの場合、画面の下の部分に表示されています。

同じiOS用のアプリの筈ですが、ソフト側で端末に合わせて表示する内容を変更してるんでしょうかね?

■ 愚痴

そもそも、SSL-VPNの関係って別の人が担当(障害発生時は不在)だったので、私の手元にあまり情報が無かったのが苦戦した理由の一つだったりします。

腹立たしい事に、その人って作業をベンダーに丸投げするタイプでして、自社内にまともな資料が残ってないんですよ。完全にベンダーに囲い込まれてる状態ですね。

普段はそれでも良いのですが、今回のように障害が発生した時に困る訳です(まぁ、他にも色々と困るのですが)。

かといって、そういう話をすると嫌な顔して逃げ出すので、もうどうしたものかと。本当は仕事を取り上げてやりたいんですが、私も基幹系の対応で手一杯なので、そこまでの余裕が無いし・・・

なかなか、上手くいかないものです。

投稿記事の一覧:http://harikofu.web.fc2.com/


--- blog end ---



スポンサードリンク

Trackback0
Comment0
PageTop

« 手抜き弁当、ふりかけが便利です | ホーム | ちふれ(CHIFURE)なる化粧品でレーザー脱毛に備えてみた »

コメント
管理者にだけ表示を許可する
 

トラックバック

トラックバック URL
この記事にトラックバックする(FC2ブログユーザー)

| ホーム |