11.1 トラブルシューティング - SoftEther VPN プロジェクト

11.1 トラブルシューティング

    目次
    1. 1. 11.1.1 動作中のプログラムが突然強制終了する場合
    2. 2. 11.1.2 ローカルブリッジを使用する際に VPN 内部からローカルブリッジに使用している仮想 LAN カードの IP アドレスと通信できない場合
    3. 3. 11.1.3 [プロトコルエラー] が発生する場合
    4. 4. 11.1.4 [クライアントとサーバーの間の時計がずれています] というエラーメッセージが表示される場合
    5. 5. 11.1.5 VPN 経由で Windows ファイル共有を使用した場合に通信速度が遅くなる場合
    6. 6. 11.1.6 VPN 内で大量のブロードキャストパケットが連続的に流れている場合の確認事項
    7. 7. 11.1.7 SecureNAT の仮想 NAT 機能を有効にするとコンピュータの負荷が高くなる場合
    8. 8. 11.1.8 ブロードキャストパケットを多く使用するプロトコルが正しく動作しない場合
    9. 9. 11.1.9 マルチキャストパケットが消失する場合
    10. 10. 11.1.10 VPN Server をインストールしたにもかかわらず外部からその VPN Server に接続してもローカルネットワークにアクセスできない場合
    11. 11. 11.1.11 VPN Server の管理パスワードを忘れてしまった場合
    12. 12. 11.1.12 Radius 認証が正しく動作しない場合の確認事項
    13. 13. 11.1.13 日本語が正しく表示されない場合
    14. 14. 11.1.14 NT ドメインまたは Active Directory 認証が正しく動作しない場合の確認事項
    15. 15. 11.1.15 リスナーポートの 443 番が常にエラーになる場合
    16. 16. 11.1.16 ローカルブリッジを追加したにもかかわらず常にオフラインまたはエラーになる場合
    17. 17. 11.1.17 無線 LAN カードとのローカルブリッジが正しく動作しない場合
    18. 18. 11.1.18 仮想レイヤ 3 スイッチを作成したにもかかわらず常にオフラインまたはエラーになる場合
    19. 19. 11.1.19 クラスタを構築したにもかかわらずクラスタ内の仮想 HUB 間で通信ができない場合
    20. 20. 11.1.20 VPN 通信をしていないのにインターネットに対して定期的にパケットが送信される場合
    21. 21. 11.1.21 仮想 LAN カード作成後、[ネットワークケーブルが接続されていません] と表示される場合
    22. 22. 11.1.22 VPN Client のパスワードを忘れてしまった場合
    23. 23. 11.1.23 Windows 98 Second Edition または Windows Millennium Edition で仮想 LAN カードを使用するとシステムが不安定になる場合
    24. 24. 11.1.24 VPN Client をアンインストールしたにもかかわらず仮想 LAN カードが残っている場合
    25. 25. 11.1.25 スマートカードを正しく使用できない場合
    26. 26. 11.1.26 Linux 版 VPN Client で仮想 LAN カードの作成に失敗する場合
    27. 27. 11.1.27 Linux 版 VPN Client で仮想 LAN カード側をデフォルトゲートウェイに指定した場合に VPN 通信が切断される場合
    28. 28. 11.1.28 VPN Bridge の管理パスワードを忘れてしまった場合
    29. 29. 11.1.29 拠点間を VPN Server と VPN Bridge でブリッジ接続したにもかかわらず両側のコンピュータ間で通信ができない場合の確認事項
    30. 30. 11.1.30 ローカルブリッジ使用時に FreeBSD などのマシンで "0.0.0.0" からの ARP パケットが届くという警告メッセージが syslog に表示される件について
    31. 31.  

    ここでは、SoftEther VPN に関する、よくあるトラブルとその解決方法について解説します。トラブルが発生した場合にサポートにご連絡をいただく前に、ここに挙げられるた各項目をチェックして 、問題解決を試みてください。

     

    11.1.1 動作中のプログラムが突然強制終了する場合

    動作中の SoftEther VPN のプログラムのプロセスが突然終了する場合があります。そのような場合は、以下の事項を確認してください。
    • プログラムの実行可能ファイル (Windows の場合は EXE ファイル) が破損したり、書き換えられたりしていないかどうかチェックしてください。「vpnserver」「vpnclient」「vpnbridge」などの実行可能ファイルは、自分自身の ファイル内容が変更された場合は正しく動作しない場合があります。プログラムの実行可能ファイルが破損している可能性がある場合は、SoftEther VPN ソフトウェアを再インストールしてください。
    • プログラムを実行するために必要なファイル (hamcore.se2 ファイルなど) が破損していないかどうかチェックしてください。ファイルが破損している可能性がある場合は、SoftEther VPN ソフトウェアを再インストールしてください。
    • コンピュータの物理メモリにエラーがないかどうかチェックしてください。安価なバルク品メモリなどをコンピュータに接続して使用している場合は、そのメモリのエラーによって実行中のプログラムがクラッシュする可能性があります。「memtest86」などの既存の検査ツールを使用して、メモリの不良を検査することをお勧めします。なお、サーバーコンピュータなどの、特に信頼性が求められるコンピュータシステムでは ECC または Registered ECC 付きのメモリの使用を推奨します。
    • コンピュータに、サードパーティ製のパーソナルファイアウォールソフトウェアや、アンチウイルスソフトウェアなどがインストールされており、それらのソフトウェアが常駐して常に動作している場合は、一時的にそれらのソフトウェアを無効にしてみてください。その状態でプログラムがクラッシュするなどの不具合が解決した場合は、それらのサードパーティ製のソフトウェアに原因がある可能性があります。

    11.1.2 ローカルブリッジを使用する際に VPN 内部からローカルブリッジに使用している仮想 LAN カードの IP アドレスと通信できない場合

    VPN Server または VPN Bridge で、仮想 HUB と物理的な LAN カードとの間をローカルブリッジ接続している状態で、仮想 HUB からそのブリッジ先の物理的な LAN カードに、オペレーティングシステムによって割り当てられている IP アドレスに対して通信ができない場合があります。その原因は、下記のとおりです。
    • Windows 2000 以降のオペレーティングシステムで、ハードウェアオフローディング機能が搭載されている LAN カードとローカルブリッジした場合には、ローカルブリッジを定義した直後は上記のような症状が発生する可能性があります。このような場合は、1 度コンピュータを再起動してください。詳しくは 「3.6.10 Windows におけるローカルブリッジの注意事項」 を参照してください。
    • Linux および Solaris オペレーティングシステムでは、仮想 HUB (VPN) の内側からローカルブリッジ先のLANカードから LAN への通信は行うことが出来ますが、ローカルブリッジしている LAN カード自体に対して通信することはできません。これは Linux カーネルの制限事項です。詳しくは 「3.6.11 Linux におけるローカルブリッジの注意事項」 および 「3.6.12 Solaris におけるローカルブリッジの注意事項」 を 参照してください。
    • 3.6.3 ローカルブリッジ用の LAN カードの準備」 で解説されているように、ローカルブリッジ機能を使用して仮想 HUB と物理的な LAN との間をブリッジ接続する場合は、ローカルブリッジ専用に LAN カードを用意することが推奨されています。これにより、最もパフォーマンスの高い状態でローカルブリッジ機能を使用することができるようになります。

    11.1.3 [プロトコルエラー] が発生する場合

    VPN Client やカスケード接続機能などで、VPN Server にインターネット経由で接続する際に「プロトコルエラー」が発生する場合は、以下の項目についてチェックしてください。
    • 接続しようとしている先の VPN Server の、ホスト名または IP アドレスが正しいかどうか、および接続先の TCP/IP ポートが VPN Server のリスナーポートとして開かれており、同一のポートが他のサーバーソフトウェア (たとえば IIS や Apache などの Web サーバーなど) によって占有されていないかどうかを確認してください。詳しくは 「3.3.6 リスナーポート」 をお読みください。
    • 接続元コンピュータが、VPN Server から認識されるグローバル IP アドレスに対して、DNS の逆引きが設定されていない可能性があります。
    • 接続元コンピュータと接続先 VPN Server との間に、プロキシサーバーや透過型ファイアウォールなどの特殊なネットワーク機器が存在する場合は、これらのネットワーク機器によって SoftEther VPN プロトコルが不正に解釈され、書き換えられたりブロックされたりしている可能性があります。途中の経路上にあるネットワーク機器の管理者に確認してください。
    • HTTP プロキシまたは SOCKS プロキシを使用する場合は、それらのプロキシが SoftEther VPN プロトコルの転送に使用することができるかどうかを、プロキシサーバーの管理者にお問い合わせください

    11.1.4 [クライアントとサーバーの間の時計がずれています] というエラーメッセージが表示される場合

    VPN Server と、その VPN Server に接続しようとする接続元の VPN クライアントコンピュータとの間の時計が大幅にずれていると、[クライアントとサーバーの間の時計がずれています] というエラーメッセージが表示される場合があります。このような場合は、両方の時計が正しい時刻を指しているかどうか確認し、時計が不正確な場合は修正してください。

    11.1.5 VPN 経由で Windows ファイル共有を使用した場合に通信速度が遅くなる場合

    SoftEther VPN を使用して VPN を構築し、遠隔地で Windows ファイル共有しているファイルをダウンロードしたり、また逆にアップロードしたりする際に、以下のような条件の場合は、通信速度が遅くなる可能性があります。
    • 両拠点の間の物理的なネットワークに数十ミリ秒以上の遅延がある場合。
      Windows ファイル共有プロトコルは、10 年以上前に開発された LAN Manager で使用されていた NetBIOS プロトコルをベースにしています。Windows ファイル共有は本来、同一のセグメントに接続されているコンピュータ間 (遅延が 10 ミリ秒以下) で通信を行う場合に、高速にファイルを転送することができるプロトコルであり、インターネットなどを経由した遅延が 10 ミリ秒以上発生するようなネットワークで使用した場合は、ファイル転送などを使用する際のスループットが低下する場合があります。この遅延は SoftEther VPN に限定されず、他のいかなる VPN システムを使用したとしても、物理的な回線に遅延が発生している以上はその遅延時間を短くすることはできません。
    • 両拠点の間の物理的なネットワークの遅延速度やスループットが不安定でパケットごとにばらつきが生じる場合。
      両拠点の間の物理的なネットワークの遅延に「ジッタ」(ゆらぎ) が存在するような場合や、スループットが頻繁に変動する場合、Windows ファイル共有プロトコルの転送速度はそれらに大きく影響されます。
    • Windows ドメインコントローラがファイルサーバーを兼ねており、そのファイルサーバーに対するファイルのダウンロードまたはアップロードが遅い場合。
      Windows 2000 Server または Windows Server 2003 がドメインコントローラになっている場合、[コントロールパネル] の [管理ツール] 内にある [ローカルセキュリティポリシー] または [ドメインコントローラセキュリティポリシー]  を開き、[ローカルポリシー] の [セキュリティオプション] 項目内の [Microsoft ネットワークサーバー: 常に通信にデジタル署名を使う] および [Microsoft ネットワークサーバー: クライアントが同意すれば、通信にデジタル署名を行う] 項目が有効になっている場合は、これらを無効にしてファイルサーバーを再起動することにより通信速度が大幅に高速化します。

    上記のような問題のうち大半の原因は、物理的な回線のスループット不足や遅延が大きすぎるなどの要因があります。これらの問題を解決するためには、ネットワーク管理者に連絡する必要がある場合や、回線容量を高速化し遅延を少なくするなどの努力が必要な場合もあります

    なお、Windows ファイル共有プロトコルで、ファイルサーバーとして動作している側のコンピュータのシステムレジストリを下記ように設定して Windows を再起動することにより、遅延が大きい環境でのファイル共有の通信スループットが大幅に向上する場合があります。この設定はレジストリエディタなどで行う必要がありますので、システム管理者およびコンピュータに対して詳しい知識をお持ちの方以外は使用しないでください。またレジストリのバックアップを事前に行ってください。
     
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
    "Size"=dword:00000003
    "SizReqBuf"=dword:0000ffff 
     

    上記の内容をレジストリに設定した後 Windows を再起動すると、Windows ファイル共有サーバーの通信速度が向上する場合があります。なお、上記の内容について理解できない場合は、レジストリエディタを使用して項目を書き換えるなどの作業は行わないでください。

    11.1.6 VPN 内で大量のブロードキャストパケットが連続的に流れている場合の確認事項

    SoftEther VPN を構築した際に、仮想 HUB 内またはその仮想 HUB とローカルブリッジ接続した物理的な LAN 内に、大量のブロードキャスト Ethernet フレームが流れるような状況が発生した場合は、下記の項目を確認してください。
    • 仮想 HUB 同士をカスケード接続している場合は、レイヤ 2 でループが発生していないかどうか確認してください。
    • 物理的な接続方法で、レイヤ 2 ループが発生していないかどうか確認してください。
    • 仮想 HUB と 2 枚以上の物理的な LAN カードをブリッジ接続しており、かつ両方の LAN カードが同一のレイヤ 2 セグメントに接続されているというような状況でないことを確認してください。
    • SoftEther VPN の仮想 HUB とローカルブリッジ機能、SecureNAT 機能を使用している場合は、それらの機能および物理的なネットワークトポロジ全体を確認して、レイヤ 2 でループが発生していないかどうかよく確認してください。

    11.1.7 SecureNAT の仮想 NAT 機能を有効にするとコンピュータの負荷が高くなる場合

    SecureNAT 機能の使用方法を間違えている可能性があります。以下のようなことを行っていないかどうかよく確認してください。また、「3.7.4 仮想 NAT 機能の注意事項」 の事項も確認してください。
    • SecureNAT 機能を有効にしており、さらにそのコンピュータでローカルブリッジを有効にした上で、ローカルブリッジ接続先の物理的な LAN カードが、DHCP サーバーによってアドレスを取得するようになっていないかどうか。
    • SecureNAT 機能を有効にしたコンピュータ自身が、その SecureNAT を経由して通信するような無限ループが発生する可能性がある設定になっていないかどうか (特に、同一のコンピュータに VPN Client をインストールして localhost に対して接続している場合に、このような誤った接続方法がよく発生します)。

    なお、SecureNAT 機能は、特殊な用途において簡易リモートアクセス機能として使用するためのものであり (「10.11 SecureNAT 機能を用いた権限不要のリモートアクセス」 を参照)、企業ネットワークなどで継続的に運用する ことは推奨されません。通常の拠点間接続 VPN やリモートアクセス VPN などを構築する場合は、SecureNAT 機能は不要ですのでご注意ください。

    11.1.8 ブロードキャストパケットを多く使用するプロトコルが正しく動作しない場合

    ブロードキャストパケット (ブロードキャスト Ethernet フレーム) を多く使用するプロトコル (特に家庭用ゲーム機や家庭用デジタル家電に多いようです) が、SoftEther VPN 経由で正しく動作しない場合は、以下の事項を確認してください。
    • 当該 VPN 通信を行うためのカスケード接続、または VPN Client の接続設定などに適用されるセキュリティポリシーの値のうち「ブロードキャスト数を制限しない」ポリシー が有効になっているかどうか確認してください。「ブロードキャスト数を制限しない」ポリシー はデフォルトで無効になっているためご注意ください。詳しくは 「3.5.9 セキュリティポリシー」 をお読みください。
    • ローカルブリッジ接続を使用している場合、ローカルブリッジ先の物理的な LAN カードや、そのセグメントのレイヤ 2 スイッチング HUB などの能力不足によって、大量のブロードキャストフレームを正しく転送することができない場合があります。

    11.1.9 マルチキャストパケットが消失する場合

    マルチキャストパケットを、SoftEther VPN 経由で通信させようとした場合に正しく動作しない場合は、以下の事項を確認してください。
    • マルチキャストパケットは、VPN Server の仮想 HUB ではブロードキャストパケットと同等に扱われます。当該 VPN 通信を行うためのカスケード接続、または VPN Client の接続設定などに適用されるセキュリティポリシーの値のうち、「ブロードキャスト数を制限しない」ポリシー が有効になっているかどうか確認してください。「ブロードキャスト数を制限しない」ポリシー はデフォルトで無効になっているためご注意ください。詳しくは 「3.5.9 セキュリティポリシー」 をお読みください。
    • ローカルブリッジ接続を使用している場合、ローカルブリッジ先の物理的な LAN カードや、そのセグメントのレイヤ 2 スイッチング HUB などの能力不足によって、大量のブロードキャストフレームを正しく転送することができない場合があります。またマルチキャストパケットを認識することができないレイヤ 2 スイッチング HUB やルータ、レイヤ 3 スイッチなどが原因で、マルチキャストパケットがフィルタリングされている可能性もあります。

    なお、レイヤ 2 レベルでは、すべてのマルチキャストパケットは仮想 HUB によってフラッディング (すべての VPN セッションに対してブロードキャスト) されます。リモートアクセス型 VPN を経由して、その VPN Server に接続している VPN クライアントコンピュータに対してマルチキャスト配信しようとした場合でも、仮想 HUB によってそのパケットはセッション毎に個別にカプセル化されますので、全体のトラフィック量をマルチキャスト技術によって削減することは技術的に不可能です。なお仮想 HUB および仮想レイヤ 3 スイッチは IGMP を解釈しませんのでご注意ください。

    11.1.10 VPN Server をインストールしたにもかかわらず外部からその VPN Server に接続してもローカルネットワークにアクセスできない場合

    VPN Server をインストールして仮想 HUB を設定し、遠隔地から VPN Client などでその VPN Server に接続しても、リモートアクセス VPN ができないという場合、大半の場合は仮想 HUB と物理的な LAN カードとの間のローカルブリッジ接続を忘れています。

    11.1.11 VPN Server の管理パスワードを忘れてしまった場合

    VPN Server の管理パスワードを忘れてしまった場合は、「3.3.7 コンフィグレーションファイル」 を参照して VPN Server のコンフィグレーションファイルをテキストエディタで開き、以下のような行を削除してください。

    declare ServerConfiguration
    {
    	uint64 AutoDeleteCheckDiskFreeSpaceMin 104857600
    	uint AutoSaveConfigSpan 30
    	string CipherName RC4-MD5
    	bool DisableDosProction false
    	byte HashedPassword *******(ハッシュされたパスワードデータ)

    上記のように、ServerConfiguration ノード内の HashedPassword 行を削除することにより、VPN Server のパスワードをリセット (空のパスワードへの変更) することができます。

    11.1.12 Radius 認証が正しく動作しない場合の確認事項

    Radius 認証が正しく使用できない場合は、「3.5.3 使用する外部認証サーバーの設定」 を参照しながら、以下の事項を確認してください。
    • 使用する Radius サーバーに、あらかじめ VPN Server の IP アドレス (Radius サーバーから見たときの VPN Server の IP アドレス) が Radius クライアントとして登録されており、共有シークレットが正しく設定されているかどうか。
    • Radius サーバーが、Password Authentication Protocol (PAP) を使用可能であるかどうか。
    • Radius サーバーのログに、"SoftEther VPN Server 3.0" というネットワークデバイスからの認証試行のログが残されているかどうか。このようなログが全く残されていない場合は、Radius サーバーへの接続に失敗している。ログが残されている場合は、そのログの内容に従って問題解決を行う。
    • 他の Radius クライアント機器からその Radius サーバーに対して接続して正しく動作するかどうか確認する。他の Radius クライアント機器でも、その Radius サーバーを使用した認証が行えない場合は、Radius サーバー側の問題である可能性が高い。

    11.1.13 日本語が正しく表示されない場合

    日本語版の SoftEther VPN ソフトウェアの設定画面やエラーメッセージなどで、日本語が正しく表示されない場合は、下記の項目を確認してください。
    • 日本語版以外の Windows 98 / Windows 98 Second Edition / Windows Millennium Edition を使用している場合は、SoftEther VPN ソフトウェアで、正しく日本語を表示または入力することができない場合があります。
    • Windows 2000 / Windows XP / Windows Server 2003 / Windows Vista では、原則として Unicode に対応しているため、オペレーティングシステムの言語がどの言語であっても日本語は表示されます。ただし、日本語のフォントがインストールされていない場合 、日本語は表示されません。日本語の IME がインストールされていない場合は、日本語で文字入力を行うことができません。これらの設定は [コントロールパネル] の [地域と言語のオプション] で設定することができます。なお、これらの項目を確認した後でも、日本語が表示できない場合は、[コントロールパネル] の [地域と言語のオプション] で SoftEther VPN ソフトウェアを使用するユーザー、およびシステム全体のロケールを [日本語] に設定してみてください。
    • Linux などの UNIX 系オペレーティングシステムでは、LANG 環境変数が正しく設定されているかどうか確認してください。詳しくは 「6.2.7 文字コード」 を参照してください。また、LANG 環境変数で使用する文字コードの情報がオペレーティングシステムにインストールされていない場合は、その文字コードの文字は表示されません。

    11.1.14 NT ドメインまたは Active Directory 認証が正しく動作しない場合の確認事項

    NT ドメインまたは Active Directory 認証が正しく動作しない場合は、以下の事項を確認してください。
    • VPN Server を動作させているOSが、Windows NT 4.0 / Windows 2000 / Windows XP / Windows Server 2003 / Windows Vista 以降のいずれかのオペレーティングシステム (Windows XP Home Edition や Windows Vista Home Basic / Home Premium および後継の家庭向けエディションを除く) であり、NT ドメインまたは Active Directory 認証のために使用したい Windows ドメインに所属しているかどうか。
    • VPN Server プロセスが、サービスモードで起動しているかどうか。

    なお、上記の事項を確認してもなお NT ドメインまたは Active Directory 認証が正しく動作しない場合は、VPN Server 用のコンピュータに、オペレーティングシステムをクリーンインストールしてから再度ドメインに参加した状態で同様のエラーが発生するかどうかご確認ください。

    11.1.15 リスナーポートの 443 番が常にエラーになる場合

    VPN Server または VPN Bridge をインストールしサービスを起動した後、VPN サーバー管理マネージャや vpncmd などで確認すると、常にサーバーの 443 番リスナーポートが「エラー発生」状態になる場合は、以下の事項を確認してください。
    • 他の常駐プロセス (たとえば HTTPS 機能を持つ Apache や IIS などの Web サーバー) が起動していないかどうか。別のプロセスが 443 番ポートを奪っている場合は、それらのプログラムの設定を変更してポート番号を変えるか、VPN Server が 443 番ポートを使用しないようにするかのいずれかの設定が必要です。
    • Linux 版などの UNIX 版の VPN Server または VPN Bridge を、一般ユーザー権限で起動していないかどうか。これらのオペレーティングシステムの制限事項として、root 以外の一般ユーザーは 1024 番以下のポート番号が使用できません。

    11.1.16 ローカルブリッジを追加したにもかかわらず常にオフラインまたはエラーになる場合

    ローカルブリッジ接続を定義したにもかかわらず、そのローカルブリッジ接続が常にオフラインまたはエラー状態となって動作しない場合は、「3.6.10 Windows におけるローカルブリッジの注意事項」、「3.6.11 Linux におけるローカルブリッジの注意事項」、および 以下の点を確認してください。
    • ローカルブリッジ接続として定義した仮想 HUB のインスタンスが、VPN Server に存在しているかどうか (存在していない場合は存在状態になるまでオフライン状態になります)。
    • ローカルブリッジ先として指定した物理的な LAN カードのデバイス名が正しいかどうか (存在しない、またはオペレーティングシステムによって無効化されているデバイス名を指定した場合は、そのデバイスが存在状態になるまでエラー状態になります)。特に vpncmd でコマンドラインからローカルブリッジ接続を追加する場合は、タイプミスなどで存在しないデバイス名を指定してしまう可能性がありますのでご注意ください。
    • ローカルブリッジ先として指定した物理的な LAN カードが、オペレーティングシステムによって正しく認識され動作を開始しているかどうか。

    11.1.17 無線 LAN カードとのローカルブリッジが正しく動作しない場合

    仮想 HUB と無線 LAN カードとの間でローカルブリッジ接続を定義したにもかかわらず、ローカルブリッジが正しく動作しない場合は、「3.6.6 プロミスキャスモードに対応していない LAN カードの使用」 を確認してください。

    11.1.18 仮想レイヤ 3 スイッチを作成したにもかかわらず常にオフラインまたはエラーになる場合

    仮想レイヤ 3 スイッチを作成し、仮想 HUB に対する仮想インターフェイスを定義して動作を開始したにもかかわらず、常に「オフライン」または「エラー」状態になる場合は、「3.8.6 仮想レイヤ 3 スイッチの開始と停止」 を確認してください。

    11.1.19 クラスタを構築したにもかかわらずクラスタ内の仮想 HUB 間で通信ができない場合

    クラスタを構築したにもかかわらず、クラスタ内に作成したスタティック仮想 HUB 間で通信ができない場合は、「3.9.7 スタティック仮想 HUB」 を確認してください。また、「10.8 大規模なリモートアクセス VPN サービスの構築」 のような設定・構築を正しく行っているかどうかを確認してください。

    なお、クラスタを構築して各仮想 HUB 内での通信のみを行う場合 (「10.9 大規模な仮想 HUB ホスティングサービスの構築」 で解説しているような仮想 HUB ホスティング用の VPN Server としての利用) は、スタティック仮想 HUB ではなく、ダイナミック仮想 HUB として仮想 HUB を作成していることを確認してください。

    11.1.20 VPN 通信をしていないのにインターネットに対して定期的にパケットが送信される場合

    VPN 接続を確立していないにもかかわらず、VPN Client が物理的なネットワークインターフェイスを経由して何らかの通信を行っている場合は、「4.9.2 インターネット接続の維持機能」 で解説されている種類のパケットであることがあります (設定を変更して、このパケットを送出しないようにすることが可能です)。
    VPN 接続を行い VPN セッションを確立している状態で、特に VPN で通信をしていないのに、物理的なネットワークインターフェイスを経由して VPN Server との間で何らかの通信をしているように見える場合は、以下のようなパケットの可能性があります。
    • 3.4.8 IP アドレス存在確認ポーリングパケット」 で解説されているような仮想 HUB による ARP ポーリングパケットの通信。(設定ファイルの NoArpPolling オプションを true に設定することによって ARP ポーリングを行わないようにすることができます)
    • SoftEther VPN プロトコルが接続している各 TCP/IP コネクションの相手先の存在を確認し、また無通信状態でも TCP/IP コネクションがタイムアウトで切断されてしまうことを防止するための、内部の Keep-Alive パケットによる通信。なお、SoftEther VPN プロトコルが構成する TCP/IP コネクション内で送受信される Keep-Alive パケットの間隔は、その VPN セッションのセキュリティポリシーで定義されているタイムアウト時間の約半分です。

    11.1.21 仮想 LAN カード作成後、[ネットワークケーブルが接続されていません] と表示される場合

    VPN Client で仮想 LAN カードを作成しても、VPN Server に対して接続しなければ [ネットワークケーブルが接続されていません] という 状態になります。これは、物理的な LAN カードにおいてスイッチング HUB との間の LAN ケーブルが接続されていない状態と同等の状態です。詳しくは 「第4章 SoftEther VPN Client 3.0 マニュアル」 を参照してください。

    11.1.22 VPN Client のパスワードを忘れてしまった場合

    VPN Client の管理パスワードを忘れてしまった場合は、VPN Client のコンフィグレーションファイルである vpn_client.config ファイルを、テキストエディタを使って以下の例にある行を削除してください。

    declare root
    {
    	bool DontSavePassword false
    	byte EncryptedPassword ******* (ハッシュされたパスワードデータ)
    	bool PasswordRemoteOnly false
    	uint UseSecureDeviceId 1
     
    上記の EncryptedPassword の行を削除することにより、VPN Client のパスワードをリセット (空のパスワードへの変更) することができます。なお、vpn_client.config ファイルを書き換える前に、事前に VPN Client サービスを停止してください。

    11.1.23 Windows 98 Second Edition または Windows Millennium Edition で仮想 LAN カードを使用するとシステムが不安定になる場合

    レガシオペレーティングシステムである Windows 98 Second Edition および Windows Millennium Edition には多くの問題があります。これらのオペレーティングシステムは Windows NT や 2000 以降の Windows オペレーティングシステムとは異なり、MS-DOS を拡張したシステムであり、内部的に 16bit の処理を行っている部分が多くあります。

    これらのオペレーティングシステムは、カーネルの構造が古くて安定していないため、SoftEther VPN Client をインストールして仮想 LAN カードを作成することは可能ですが、長期間の使用は推奨されません。特に長期間 VPN 接続を行ったままの状態にしておくと、システムが不安定になったり、通信ができなくなったり、ブルースクリーンが表示されたりする可能性がありますのでご注意ください。ソフトイーサ株式会社は、Windows 9x カーネル上での VPN Client の使用をサポートしておりません。

    11.1.24 VPN Client をアンインストールしたにもかかわらず仮想 LAN カードが残っている場合

    VPN Client をインストールした後、ユーザーが設定したファイルや仮想 LAN カード、およびその設定データなどが自動的に削除されないようにするため、VPN Client をアンインストールした後もシステムに残ります。設定ファイル (vpn_client.config) やシステムに登録された仮想 LAN カードは、それらのデータが不要になった際に手動で削除してください。なお、仮想 LAN カードの削除方法については 「8.3.2 仮想 LAN カードについて」 を参照してください。

    11.1.25 スマートカードを正しく使用できない場合

    SoftEther VPN でスマートカードまたはハードウェアセキュリティデバイスを正しく使用することができない場合は、下記の事項を確認してください。
    • スマートカードリーダなどのデバイスのデバイスドライバと、スマートカードにアクセスするための PKCS#11 ドライバがインストールされていることを確認してください。なお、新しいスマートカードドライバをインストールした後、SoftEther VPN ソフトウェアでそのデバイスを使用するためには、コンピュータを再起動する必要がある場合がありますのでご注意ください。
    • スマートカードの種類が正しく選択されていることを確認してください。詳しくは 「4.6 スマートカードの使用と管理」 を参照してください。
    • スマートカードのドライバによっては、システム上に複数のスマートカードリーダが存在する場合は、正しく動作しない場合があります。スマートカードのマニュアルを参照して、これらの制限事項を確認してください。
    • スマートカードのドライバによっては、そのスマートカードを使用する前に別のユーティリティでスマートカードをフォーマットしたり、初期設定を行ったりする必要があります。スマートカードのマニュアルを参照して、これらの設定事項を確認してください。
    • スマートカードの PKCS#11 ドライバの DLL と SoftEther VPN ソフトウェアのアーキテクチャが異なっていると、ドライバを正常に読み込むことができない場合があります。例えば、64-bit 版の SoftEther VPN ソフトウェアを使用している場合で、32-bit 版のスマートカードドライバ DLL を導入していると認識されない場合があります。その場合は、32-bit 版の  SoftEther VPN ソフトウェアを導入するか、64-bit 版の DLL の名称を 32-bit 版のファイル名に変更してみてください。

    11.1.26 Linux 版 VPN Client で仮想 LAN カードの作成に失敗する場合

    Linux 版の VPN Client を使用している場合で、仮想 LAN カードの作成に失敗する場合は、以下の事項を確認してください。
    • Universal TUN/TAP デバイスがカーネルに組み込まれており、/dev/net/tun ファイルとしてアクセスすることが可能であるかどうかを確認してください。
    • vpnclient プロセスを、root 権限で起動していることを確認してください。

    11.1.27 Linux 版 VPN Client で仮想 LAN カード側をデフォルトゲートウェイに指定した場合に VPN 通信が切断される場合

    Linux 版の VPN Client は、ルーティングテーブルの自動書き換え (調整) 機能に対応していません。したがって、Linux 版の VPN Client をリモートコンピュータ上の VPN Server に対して VPN 接続し、仮想 LAN カード (tap デバイス) 側のネットワークの先のルータをデフォルトゲートウェイとして使用した場合は、VPN Server に対する TCP/IP 通信も、そのデフォルトゲートウェイを通過しようとしてしまうため、事前に route コマンドで VPN Server に対するスタティックルートを追加しておく必要があります。これらの TCP/IP やルーティングに関する知識をお持ちの場合のみ、Linux 版 VPN Client を使用してください。

    11.1.28 VPN Bridge の管理パスワードを忘れてしまった場合

    VPN Server の管理パスワードのリセットと同等の方法でリセットすることが可能です。詳細は「11.1.11 VPN Server の管理パスワードを忘れてしまった場合」 を参照し、文中の「vpn_server.config」を 「vpn_bridge.config」に読み替えてください

    11.1.29 拠点間を VPN Server と VPN Bridge でブリッジ接続したにもかかわらず両側のコンピュータ間で通信ができない場合の確認事項

    10.5 拠点間接続 VPN の構築 (ブリッジ接続を使用)」 で解説したような手法を用いて複数の拠点間のセグメント同士を、VPN Server と VPN Bridge を用いてレイヤ 2 で接続した場合で、両側の拠点のコンピュータ同士が、通信することができない場合は、次のような方法で両側のネットワーク同士が正しくレイヤ 2 で接続されているかどうかを確認してください。
    1. 拠点が 2 つある場合は、拠点 A に使用されていない IP アドレス (192.168.222.1 など) のコンピュータを、拠点 B に先ほど拠点 A に設置したテスト用のコンピュータと同一の IP ネットワークに属している使用されていない IP アドレス (192.168.222.2 など) のコンピュータを設置し、両方のコンピュータでお互いに ping コマンドによって通信ができるかどうかを確認してください。これで通信ができている場合は、レイヤ 2 のレベルで両方のネットワークが接続できていることを意味しますので、その後は各コンピュータの設定の問題です。両側の拠点が、論理的には同一の Ethernet セグメントの LAN としてつながっていることに注意して、両側のコンピュータの TCP/IP などの設定をよく確認してください。
    2. 1 の方法で両側のコンピュータ同士の通信テストを行っても、通信ができていない場合は、拠点間接続 VPN を構築する際に何らかの作業を間違ったか、必要な設定を行っていない可能性があります。このような場合は 「10.5 拠点間接続 VPN の構築 (ブリッジ接続を使用)」 や 「第3章 SoftEther VPN Server 3.0 マニュアル」 および 「第5章 SoftEther VPN Bridge 3.0 マニュアル」 などを参照して設定を確認してください。
    3. 拠点間の IP ネットワークが異なる形で、各拠点のコンピュータ同士を通信させる場合の方法については、「10.6 拠点間接続 VPN の構築 (IP ルーティングを使用)」 をお読みください。

    11.1.30 ローカルブリッジ使用時に FreeBSD などのマシンで "0.0.0.0" からの ARP パケットが届くという警告メッセージが syslog に表示される件について

    仮想 HUB が発信する「IP アドレス存在確認ポーリングパケット」によるものです。
    一部のオペレーティングシステム (FreeBSD など) は、送信元が 0.0.0.0 の ARP 要求パケットを受け取ると、それに対して応答せず、そのオペレーティングシステムの syslog などに「送信元が 0.0.0.0 の不正な ARP 要求パケットを受け取った」という警告メッセージを残してしまいます。

    通常は、この警告メッセージは無視しても問題ありませんが、同一セグメント上に多くの FreeBSD マシンが存在して、それらの管理者から苦情が来るような場合は、IP アドレス存在確認ポーリングパケットを停止することが可能です。仮想 HUB で IP アドレス存在確認ポーリングパケットを停止するための方法については、「3.4.8 IP アドレス存在確認ポーリングパケット」 を参照してください。