久しぶりに珍しく、家の通信環境のお話。Bフレッツ光ネクスト使って、現在の環境になって久しいのですが…社用のシンクライアントを利用したVPN接続の調子が、イマイチで原因が気になっておりました。
症状としては、自宅と会社の間で、VPN接続を構築しても、比較的すぐにぷちぷち接続が切断され、再度接続しようにも、VPN構築手順をやり直さないと接続できなくなるというもの。例えばメールを書いて、文面を最後に確認して、よし送信、とボタンを押したら反応が無くて、ちょっとして切断が検出されるという感じ…。基本的には、操作しないでしばらく放置していると切れやすいみたいでしたので、無通信状態でタイムアウトしているのかな、とは思うのですが…。
色々と試してみると、emobile(今はY!mobileですが…)を使ったテザリングでは特に問題がないのですよね…。通信速度や応答時間で劣る無線通信で問題なくて、有線で問題が起きるので、回線品質の問題では無さそうと判断。そもそも、同じOCNのプロバイダと、光ネクストではなかったですがBフレッツの回線を使っていた前の住居のときには特に問題は起きていなかったので、貸し出されているルータ、PR-S300SEが怪しいな、とは以前から思っていたのです。で、今までずーっと放置していてなんなのですが、ようやく原因を発見。
今まで、ルータの情報を見る際に、通信ログだとか、障害ログだとかを見て、該当するエラーが発生していない、おかしいな？もっと上位側(交換局とか、プロバイダとか)の問題かな、と思っていたのですが…。実は確認すべきはセキュリティログだったのですよ…。
まあ、そうは言っても、タイムアウトってセキュリティの問題か？と言われると、うーん？という感じなのですけどね…。まあ、それはともかく、切断が起きたタイミングに合うところで、廃棄[NAT]という記録が。同じポート番号でサーバ側から何度か通信が行われて居るのをセキュリティ名目で遮断してしまっているっぽい？
で、詳細設定＞セキュリティ設定の下のSPI設定を見ると、どうも大層なことを書いては居ますが、早い話がNAPT張ったときのポートのタイムアウトがこの時間に依存している模様。で、設定を見ると、TCPタイムアウトが3600秒に対して、UDPタイムアウトが180秒…。UDP流石に短くないか？確かに3分だと、メール文面チェック中に、直接操作がない時間で切れてもおかしくないのですよね…。というわけで、このタイムアウトをとりあえず30分、1800秒まで延長してみたところ…ぷちぷちとした切断が回避されるようになりました。結局、SPIの設定をいじった記憶はないので、PR-S300SEのUDPタイムアウトの初期設定が上記の180秒だったのが原因だった模様。
VPN自体、接続維持のために、無通信時間が一定間隔続くと、裏でパケット送信し合っているはずなのですが、その間隔が3分と同じくらいかそれよりちょっと長いか、だったのだと思います。つーか、流石にタイムアウト3分は微妙に短すぎる気がするのですよ。