VPN 接続後に社内サーバーへ到達できない場合、ルーティング・DNS・ファイアウォールのどこから確認するか

VPN は接続済みでも利用できない場合があります。アドレス配布、ルート、社内 DNS、アクセス制御、サーバーファイアウォール、NAT、戻り経路の順に確認します。

1. 結論と対象範囲

クライアント／サーバーのバージョン、ドメイン参加状況、DNS とゲートウェイ、ネットワーク場所、完全なエラー文、イベント時刻、直近の変更を準備します。例では予約済みの corp.example を使用し、実在する顧客のドメイン、IP、アカウント、機器番号は掲載していません。

本件は「ネットワーク、VPN、ファイアウォール」に分類されます。ログと設定はリモートで収集できる場合がありますが、権限の一括変更、スイッチ経路、本番切替、復元テストは計画した作業枠で実施します。

2. 主な症状と環境確認

• 口頭説明だけで判断せず、完全なエラー文、イベントログの時刻、失敗した操作を保存します。
• 影響範囲、初回発生時刻、再現性、別セグメントでも同じ結果になるかを記録します。
• ファイアウォール許可後も通信できない場合は、サーバーのデフォルトゲートウェイ、ポリシールート、セッション、NAT、経路対称性を確認します。

3. 推奨する切り分け順序

1. VPN 接続済みはトンネル確立を示すだけです。クライアントルート、社内 DNS、アクセス制御、サーバーファイアウォール、戻り経路も確認します。
2. ファイアウォール許可後も通信できない場合は、サーバーのデフォルトゲートウェイ、ポリシールート、セッション、NAT、経路対称性を確認します。
3. ドメイン参加端末は社内 DNS を使用します。パブリック DNS では AD の検出に必要な SRV レコードを返せません。
4. スプリットトンネルでは、社内宛てルートと必要な内部 DNS 範囲だけを配布し、一般インターネット通信を社内出口へ送らないようにします。
5. 一度に変更する条件は1つにし、変更前に設定をエクスポートするか現状を記録します。
6. 口頭説明だけで判断せず、完全なエラー文、イベントログの時刻、失敗した操作を保存します。

ipconfig /all
route print
nslookup internal-host.corp.example

4. 安全な修復と一括展開

読み取り専用の確認、設定エクスポート、単一システムでの検証を優先します。原因を確認してから対象範囲、作業時間、ロールバック方法を決めます。ポリシー変更はテスト送信元と限定時間帯で検証し、ヒットログとセッション、ロールバック設定を保存して段階的に拡大します。

• スプリットトンネルでは、社内宛てルートと必要な内部 DNS 範囲だけを配布し、一般インターネット通信を社内出口へ送らないようにします。
• 一度に変更する条件は1つにし、変更前に設定をエクスポートするか現状を記録します。
• 口頭説明だけで判断せず、完全なエラー文、イベントログの時刻、失敗した操作を保存します。

5. 確認方法・ロールバック・注意点

一度動作しただけで完了としません。利用者操作、ログ、再起動／再ログイン、必要に応じて別ネットワーク場所、次回のポリシー／バックアップ周期で再確認します。

確認とロールバック

• 一度に変更する条件は1つにし、変更前に設定をエクスポートするか現状を記録します。
• VPN 接続済みはトンネル確立を示すだけです。クライアントルート、社内 DNS、アクセス制御、サーバーファイアウォール、戻り経路も確認します。
• WinHTTP、ユーザープロキシ、PAC、セキュリティ製品の残存設定を確認します。ブラウザーが正常でも Office やシステムサービスが同じ経路を使うとは限りません。

避けるべき一般的な誤り

• VPN の「接続済み」だけでネットワーク正常と判断すること。
• 最小権限ではなく宛先・サービスを Any で許可すること。
• クライアントルートだけを変更し、戻り経路とセッションを確認しないこと。