バッファローの「WSR-5400AX6」が企業VPNに繋がらない リモートワークで使用する場合は要注意!?
先日、なんとなくですが、そろそろWi-Fi6対応のルーターにでも交換しようかな、と思い、自宅のルーターをそれまで使っていた「WSR-1166DHPL」から、同じバッファロー製の新しく購入した「WSR-5400AX6」に切り替えました。
休日に切り替えて、その日はルーターが新しくなって、通信速度も上がって言うことなしでしたが、平日になってリモートワークで自宅から企業のVPNに繋ごうとしたら何度やっても繋がらない、という事象に遭遇しました。
結論から言って、バッファローのサポートに問い合わせた結果、ファームウェアの改善が必要なようで、解決策は今のところないのですが、同じ症状で困っている人がいるかもしれないので、問題のあった環境と事象をメモとして残しておきます。
目次
- 購入したルーター
- 自宅の環境と企業のVPNについて
- バッファローのサポートへ問い合わせ
- 最後に
- 追加調査とその後の対応について [2022年3月5日 追記]
購入したルーター
購入したバッファローのWi-Fi6対応のルーターはこちらです。
デザインはなかなかいいのですが、製品の画像を見た時に気づかなかった点として、これまで使っていたWSR-1166DHPLと比べて、サイズが大きいです。
今までルーターは安いもので十分だと思っていたので、エントリーレベルの製品を買い替えることしかしておらず、なにも考えずに、同じくらいの大きさだと思い込んでいました。
サイズが大きいのは、デザインのせいもあるかもしれません。
Wi-Fi6対応のルーターに買い替えたのはいいものの、対応している端末はまだないので、持っているスマートフォン(Pixel 5a)で確認してみましたが、意外と速度が上がりました。
◆WSR-5400AX6のインターネット速度
◆WSR-1166DHPLのインターネット速度
速度が上がって、良かった良かった...ではなく、今回はWSR-5400AX6だと、企業のVPNに繋がらなかったのが本題です。
自宅の環境と企業のVPNについて
さて、企業のVPNについてですが、企業毎にVPNの接続方法が異なり、繋がらない原因としては、自宅の環境も影響があることが多いようです。
このため、WSR-5400AX6でVPN全般が使えないというわけではないことを事前にお伝えしておきます。
今回、私の方でVPNに繋がらなかった環境は以下の通りとなります。
◆自宅の環境について
- DTI光のIPv6(OCNバーチャルコネクト)
- ルーターは初期設定のまま
- WSR-1166DHPLでは何事もなく企業のVPNに繋がるが、WSR-5400AX6ではなぜか繋がらない
- 楽天のモバイルルーターやMUGEN WI-FiのU2sでは問題なくVPNに繋がる
◆企業のVPNについて
- 企業が独自に作成しているVPNクライアントアプリを使用(ライブラリはDotRasを使用?)
- VPNのプロトコルはL2TP/IPSEC
- WindowsのNATトラバーサルは有効に設定(レジストリの登録)
- たまに繋がらない時があり、その場合はVPNサーバを再起動で対応
L2TP/IPSECを使用する場合、ルーター側のポート開放が必要という記事を見かけ、試したりもしましたが、そもそもWSR-1166DHPLではポート開放の設定をしていなくても繋がっていたので、企業が独自に作成したクライアントアプリを使っているので、Windowsで登録するVPNとは若干、違っているのかもしれません。
VPNや通信について詳しいわけではないので、この辺のことについて、正直なんとも言えないです。
バッファローのサポートへ問い合わせ
色々とルーターの設定を変えてみて試してみましたが、まったく繋がる気配がなく、さすがに旧ルーター(WSR-1166DHPL)で繋がって、新ルーター(WSR-5400AX6)で繋がらないのは、なにかしらルーター側に問題を抱えているのではないか...と思ったので、バッファローのサポートにチャットで問い合わせてみました。
新旧ルーターのステータス画面をキャプチャして送ったり、上記の自宅の環境や企業のVPN接続方法についての情報を送った結果、2週間後に返答があり、今回の場合、どうやらファームウェアの改善が必要なようです。
WSR-5400AX6は発売されてからそこそこ時間が経っているので、正直、企業側のVPNに問題があるか、相性的なものなのかとも思いましたが、原因はどうやらルーターのファームウェアとのことで、ここまで問題が発覚していなかったということは、企業側のVPNの接続方法が一般的ではないような気がします。
最後に
こちらで発生している事象が実際に改善するかどうかはファームウェアの改修後にやってみないと分からないのですが、とりあえず、他のルーターに買い替えることは差し控えて、ファームウェアの更新を待ちたいと思います。
一点、気になることがあるとすれば、ファームウェアの提供時期が『未定』なところ。
こういうのって提供までにどれくらい時間がかかるのでしょうか。
同じエンジニアの観点からすると、他に優先度が高いことがあったり、テストや影響分析に時間がかかりそうで、すぐには無理だと思いますが、できれば早めに対応してほしいですね。
追加調査とその後の対応について [2022年3月5日 追記]
後日、別メーカーのルーターで確認したところ、バッファローのルーター(WSR-5400AX6)と同様にVPN接続できない問題が発生しました。
調査を行いましたところ、そもそもIPv6(V6プラスやOCNバーチャルコネクトなど)の場合、L2TP/IPSec方式のVPNは使用できないようです。
これはL2TP/IpSec方式のVPNが特定のポートを使用しなければならないのに対し、IPv6では使用できるポートに制限があることが原因のようです。
ここで気になるのは、上記の記事内でも述べているように、WSR-1166DHPLではIPv6でも問題なくVPN接続できていたということです。
もしや...と思って、旧ルーター(WSR-1166DHPL)のファームウェアを確認してみたら、こちらが問い合わせた後にUPnPの脆弱性の対応が入っていました。
WSR-1166DHPL ファームウェア (Windows) : ダウンロード | バッファロー
てっきりWSR-5400AX6に問題があるものと思っていて、バッファローのサポートからもそういったニュアンスの回答だったのですが、どうやら問題があったのはWSR-1166DHPLの方だったようです。
つまり、旧ルータ―のファームウェアを最新に更新すると、これまで使えていたVPN接続(L2TP/IPSec)が接続できなくなる...ということですが、これについてはまだ未検証です。脆弱性の対応なので、早めに対応した方がいいのですが、仕事に支障が出るので、これについては環境が整い次第、対応したいと思います。
VPN接続の知識がなくて色々と回り道をしましたが、ようやく原因の切り分けができるようになってきた気がします。最近、光回線業者のサイトでIPv6についての紹介をよく見かけるようになってきていたので、移行するに当たってそこまで問題はないものと思っていましたが、実際に移行してみると、実はそうでもないといったことが分かりました。
とくにリモートワークを考えている人は要注意です。現状、企業のVPN接続はL2TP/IPSecでの方式が一般的なので、IPv6に移行したことで私のようにVPNに接続できない、といった現象に悩まされ、問題の解決に時間を割かれる可能性が高いです。
回避策として、ルーターを2台使用することで、IPv6(IPoE)とIPv4(PPPoE)を併用することもできるようなので、どうしてもIPv6を使用したいといった場合、そちらを試してみるのもいいかと思います。
私の方でも確認したいところでしたが、契約しているDTI光が、IPv6(IPoE)移行後、IPv4(PPPoE)は使えなくなり、後で戻すこともできなかったので、残念ながら試すことすらできない環境でした。
そんなわけで調査はまだまだ継続中ですが、間違った情報をそのままにしておくのも申し訳ないので、これまでの追加調査の内容を追記させて頂きました。
近々、光回線をDTI光から別のところに変える予定なので、移行後、ルーター2台を使用した環境の構築を試してみたいと思っています。