サイト間VPNのトラブルシューティング

他ネットワーク上のリソースにPingやアクセスができない

自拠点から他ネットワーク上のデバイスへ接続できない場合：

• 両方のデバイスがオンラインで、かつレジストリに接続されていますか？
  • 上記のとおり、両側のダッシュボードネットワークでセキュリティ＆SD-WAN > 監視 > VPNステータスページを必ず確認してください。
• 到達したいサブネットはVPN経由でアドバタイズされていますか？
  • リモート側のダッシュボードネットワークで、セキュリティ＆SD-WAN > 設定 > サイト間VPNに移動します。ローカルネットワークの下で、目的のサブネットのVPNを使用トグルがはいになっていることを確認してください。また、接続元サブネットも同様にローカル側でアドバタイズされていることを確認してください。
  • フルトンネル構成を使用している場合、VPNに含めるプレフィックスを指定すると、そのプレフィックスに含まれる全サブネットがVPNに許可されます。したがって、サブネットが重複すると、より詳細なサブネットがVPNに含まれていなくてもトラフィックがVPN経由になる場合があります。例：10.0.0.0/16がVPNに含まれているが10.0.1.0/24は含まれていない場合、10.0.1.50からのトラフィックもVPN経由になります。
• ネットワーク上のファイアウォールがこのトラフィックをブロックしていませんか？
  • ネットワーク上の非Merakiファイアウォール（アクセス先デバイスで有効なファイアウォールも含む）に加えて、セキュリティ＆SD-WAN > 設定 > サイト間VPN > オーガナイゼーション全体の設定セクションでサイト間アウトバウンドファイアウォールルールがないか確認してください。
• 非VPNピアへの到達に問題はありませんか？
  • パブリックIP（例：8.8.8.8）へのPingやtraceroute、または公開Webサイトへのアクセスを試し、問題がVPNに限定されているか確認します。
  • ローカルネットワークから相手側WANアプライアンスのパブリックIPへPingしてみてください。これが失敗し、インターネット接続自体に問題がなければ、両サイトがインターネットに接続・レジストリに接続されていても、上流ISPのルーティングの問題で直接通信できない可能性があります。
• 両側でリモートサブネットへのルートが設定されていますか？
  • WANアプライアンスがネットワーク唯一のゲートウェイでない場合（例：WANアプライアンスがL3スイッチや独自ネットワークを持つルータに接続されている場合）、WANアプライアンスをゲートウェイとして使っていないデバイスのトラフィックもVPN経由で送信するために、WANアプライアンス宛のルート設定が必要です。他のルーティングデバイスには、WANアプライアンスのローカルIP経由でリモートVPNサブネットにアクセスできるルートが必要です。
  • VPNコンセントレータとしてWANアプライアンスを展開する詳細は、VPNコンセントレータ展開ガイドをご覧ください。
• デバイスは重複していないサブネット上にありますか？
  • 両端のデバイスが相手側と重複するサブネット上にある場合、WANアプライアンスはそのトラフィックがローカルネットワーク宛だと認識し、他側へルーティングできません。VPN接続される各ネットワークでは、重複のない固有サブネットを使用することを推奨します。
  • トンネル両端で同一ネットワークが必要な場合は、VPNサブネット変換の有効化が必要です。ただし、この機能はサブネット間の部分的な重複は許可しておらず、非Meraki VPNピアではサポートされません。

VPNステータスページで「Unfriendly NAT」や「VPN Registry切断」と表示される

対象ネットワークのセキュリティ＆SD-WAN > 監視 > VPNステータスページで「NATタイプ: Unfriendly」や「VPN Registry: Disconnected」と表示される場合、そのサイトのWANアプライアンスの上流デバイスがAutoVPNの正常動作を妨げている可能性があります。

• NATタイプ: Unfriendly は、上流NAT機器がWANアプライアンスのUDPホールパンチによるトンネル確立を許可しないことを示します。この問題を回避するには、NATトラバーサルを手動: ポートフォワーディングに設定することを推奨します。
• VPN Registry: Disconnected は、上流デバイスがWANアプライアンスとVPNレジストリ間の通信を許可していないことを示します。上流ファイアウォールにて、ダッシュボードのヘルプ > ファイアウォール情報に記載されたトラフィックが許可されていることを確認してください。

これら2つのエラーメッセージおよびVPNレジストリのトラブルシューティングの詳細については、Meraki AutoVPNのVPN登録トラブルシューティングに関するドキュメントを参照してください。

Meraki MX/Zシリーズと非Merakiピア間のVPNの問題

非Meraki VPN接続で問題があり、上記のトラブルシューティングで解決しない場合は、非Merakiサイト間VPNピアのトラブルシューティングに関するドキュメントを参照してください。

発信元サイトと宛先サイトの特定

VPN接続のトラブルシューティングを行うには、まず接続に問題がある2つのサイトおよび、VPNが正常に機能していた場合の想定されるトラフィックフローを特定する必要があります。まず、通信に関わる2つのサイトを特定します。

サイトを特定したら、トンネルが正常な場合の期待されるトラフィックフローを明確にします。どこから接続が発生し、どこが宛先かを把握し、それぞれが発信元・宛先サイト（MX）となります。

WAN上のAutoVPNトラフィックの特定

2つのサイト間でやり取りされるWANトラフィックを正確に特定するためには、両MXの現在アクティブな物理WANインターフェースのパブリックIPとポート、および割り当てられたIPとポートを把握する必要があります。

各MXのセキュリティ＆SD-WAN > 監視 > VPNステータスページのNATタイプ欄で、VPN接続に使用されている物理WAN IPとパブリックIPの両方を確認してください。それぞれのIPごとにポートも表示されます。

MXがWANインターフェースで直接ルーティング可能なパブリックアドレスを使用している場合（つまりMX WANがNAT配下でない場合）、パブリックIPと物理WAN IPは同じになります。この場合、VPNステータスページのNATタイプ欄には1つのIPのみが表示されます。MXがNAT配下で物理WAN IPとパブリックIPが異なる場合、パブリックIPと物理WAN IPで使われるUDPポートはNATタイプによっては同じ場合もあります。

LANトラフィックの特定

パケットキャプチャで関連するWANトラフィックの必要情報を収集した後、次に各サイトのLANで観測される関連トラフィックのIPとポート情報も収集します。ここで関連するトラフィックとは、まさに現在トラブルシュートしている接続問題に直接関連するものです。

両側MXのLAN上のホストが使用している送信元IP・ポート、宛先IP・ポートをメモしてください。ソースまたは宛先ポートが特定できない場合でも、両クライアントのLAN IPが分かれば、少なくともレイヤ3通信がVPN越しに意図どおり通っているかどうかの確認ができます。

パケットキャプチャ

発信元サイトと宛先サイト、および期待されるトラフィックフローが特定できたら、実際のトラフィックフローと意図したものを比較するために、ダッシュボードのパケットキャプチャを取得します。リアルタイムの全体像を把握するには、両方のMXのLANインターフェースとインターネットインターフェースから同時にパケットキャプチャを取得するのが理想です。複数インターフェースで同時にパケットキャプチャを取得するには、ネットワーク全体 > パケットキャプチャページを複数タブで開きます。

パケットキャプチャで必要なトラフィックだけを確認するため、特定したIPアドレスやポートでフィルタを適用してください。インターネットキャプチャの場合はWAN IPとポート、LANキャプチャの場合はLAN IPとポートをフィルタに使います。インターフェースを通過するトラフィック量が多い場合は、パケットキャプチャ1回あたり10万パケットに制限があるため、必ずフィルタを使うことが重要です。