中国とのVPN接続での不具合について

日本と中国とで、VPN接続を行っていたが、2014年上旬(4~5月)頃からその通信が正常に出来ない状態を見かけた。
問題が発覚したのは、中国側の従業員から「ファイルサーバへの認証に失敗する」というのが増えたからだ。

日本側にActiveDirectoryサーバを構築しており、中国側にも同様に構築し、情報を同期していたが、ある時期を境にその同期が出来なくなっていた。

調査を行ったときに、非常な不可解な現象を発見。
中国から日本のサーバへのアクセスは正常に行えるのだが、日本から中国にアクセスしようとしても、パケットが戻ってこない。。。
しかもVPNの接続自体は正常に行えている状態なのだが。。。

図にするとこんな感じです。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

日本側のActiveDirectoryを確認すると、確かに中国側のドメインコントローラーが発見出来ず、同期も失敗しているとログが確認できる。
恐らくこの現象が発生しているので、日本側と中国側のActiveDirectoryで管理されているアカウント情報が一致しない状態となってしまったため、中国側から日本側に設置しているファイルサーバへのアクセスを行うと、認証エラーとなるのであろう。
特にアカウントポリシーで90日に一度強制的にパスワード変更を行うグループポリシーを行っていると、パスワードの有効期限切れが発生したときに、中国側ではその連携が取れず資格情報が変わってしまうので日本側のActiveDirectoryで管理されているサーバにはアクセス出来ない。

 

ここでパケットの流れを調査した。
日本と中国との間ではJuniperのSSGを利用してVPNを構築している。
調査前の段階で、双方のSSGの設定を確認したが、VPNはもちろんルーティングやポリシーも問題なく設定されていると認識された。そもそも正常に通信が出来ていた状態から設定変更は行っていない。

1.日本側のドメインコントローラーから中国側のSSGに対してpingを実施。しかし、リクエストタイムアウトが発生。

2.日本側のSSGのポリシーログにはドメインコントローラーから中国側にpingを送ったと表示されるが、パケットが戻ってきてないと出ている。

3.中国側のSSGのポリシーログには、確かに日本側のドメインコントローラーからpingが来ていると表示され、パケットも送り返しているとも表示されている。

Linuxサーバ上からtcpdumpを行ったが、同じくパケットが戻って来ない。

ここで疑問点。パケットはどこで消失したのだろうか?
SSGのログを見る限り、下記の図のように中国側までは到達しているが、日本に戻ってくる際に、パケットが消失してしまったようだ。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

しかも、同じ拠点間でもVPNを利用しない状態であれば、正常にパケットが戻ってくる。
何らかの外的要因が働いて、VPN通信の時のみこの状態が発生するようだ。

中国にはGFW(グレートファイアウォール)という国が管理しているファイアウォールが存在している。
国に出入りを行う通信を規制しているのだが、まさかとは思うがこれが関係しているのであろうか?

 

クララオンラインのテックブログには中国のGFWの規制強化の記事がある。
時期的に見ても近いので、もしかしたら。。。