ネットワーク接続をトラブルシューティングする

ネットワークをテストしてトラブルシューティングを行う場合は、クライアント コンピュータと Firebox で利用可能なツールを使用することができます。Windows クライアント コンピュータから発行されるコマンドを必要とするテストでは、Firebox に接続されている信頼済み、任意、またはカスタム ネットワークのコンピュータを使用します。

ネットワークのトラブルシューティング ツール

以下のツールと方法を使用して、ネットワーク接続とネットワークのホスト名解決をテストします。これらのテスト方法は、後続セクションのトラブルシューティングの手順で参照されています。

  1. Windows のタスクバーまたはスタート メニューの検索テキスト ボックスを探します。
  2. 検索テキスト ボックスに、cmd と入力して、Enter を押します。
    コマンド プロンプト ウィンドウが表示されます。
  3. プロンプトで、ping [destination IP address or host name] と入力して、Enter を押します。

Ping 診断タスクを使用して、Firebox から IP アドレスまたはホスト名に ping パケットを送信することができます。

  1. システム ステータス > 診断 の順に選択します。
    診断 ページが表示され、診断ファイル タブが選択された状態になります。
  2. ネットワーク タブを選択します。
    ネットワーク ページが表示されます。
  3. タスク ドロップダウン リストから、Ping コマンドを選択します。
    アドレス テキスト ボックスが表示されます。
  4. アドレス テキスト ボックスで、IP アドレスまたはホスト名を入力します。
  5. タスクの実行 をクリックします。
    コマンドの出力が結果ペインに表示されます。
  6. Ping コマンドを停止するには、タスクの停止 をクリックします。

Fireware Web UI の診断タスクの詳細については、次を参照してください: Firebox で診断タスクを実行する

  1. ツール > 診断タスク の順に選択します。
    診断タスク ダイアログ ボックスが表示されます。既定で Ping IPv4 タブが選択されています。
  2. アドレス テキスト ボックスに、IP アドレスまたはホスト名を入力します。
  3. タスクの実行 をクリックします。
    コマンドの出力が結果ペインに表示されます。

Firebox System Manager の診断タスクの詳細については、次を参照してください: ログ メッセージに関する詳細を知るために診断タスクを実行する

  1. Windows のタスクバーまたはスタート メニューの検索テキスト ボックスを探します。
  2. 検索テキスト ボックスに、cmd と入力して、Enter を押します。
    コマンド プロンプト ウィンドウが表示されます。
  3. プロンプトで、nslookup [destination host name] [optional; DNS server IP address] と入力して、Enter を押します。

DNS ルックアップ 診断タスクを使用して、Firebox からホストへの DNS 名解決をテストします。

  1. システム ステータス > 診断 の順に選択します。
    診断 ページが表示され、診断ファイル タブが選択された状態になります。
  2. ネットワーク タブを選択します。
    ネットワーク ページが表示されます。
  3. タスク ドロップダウン リストから、DNS ルックアップ を選択します。
    アドレス テキスト ボックスが表示されます。
  4. ホスト名を アドレス テキスト ボックスに入力します。
  5. タスクの実行 をクリックします。
    コマンドの出力が結果ペインに表示されます。
  6. DNS ルックアップ コマンドを停止するには、タスクの停止 をクリックします。
  1. ツール > 診断タスク の順に選択します。
  2. タスク ドロップダウン リストから、DNS ルックアップ を選択します。
  3. ホスト名を アドレス テキスト ボックスに入力します。
  4. タスクの実行 をクリックします。
    コマンドの出力が結果ペインに表示されます。

既定では、Ping ポリシーなどのパケット フィルタ ポリシーで許可される接続のログ メッセージは Firebox では作成されません。ネットワーク接続の問題をトラブルシューティングする際は、ping などのポリシーで許可されるパケットのログ記録を有効化すると便利です。

ポリシーで許可される接続のログ メッセージが Firebox で作成されるように、以下の手順に従って、ポリシーのログ記録を編集してください。

  1. ファイアウォール > ファイアウォール ポリシー の順に選択します。
    ポリシーのページが表示されます。
  2. 編集するポリシー名をクリックします。
    ファイアウォール ポリシー > 編集 ページが表示されます。
  3. ログ記録 セクションで、ログ メッセージを送信する チェックボックスを選択します。
  4. 保存 をクリックし、構成の変更を保存します。
  1. ポリシーを編集するには、ポリシーをダブルクリックします。
    ポリシー プロパティの編集 ダイアログ ボックスが表示されます。
  2. プロパティ タブを選択します。
  3. ログ記録 をクリックします。
  4. ログ メッセージを送信する チェックボックスを選択します。
  5. 構成を Firebox に保存します。

この変更を行うと、ポリシーで許可される接続のログ メッセージが Firebox で作成されるようになります。Traffic Monitor でログ メッセージをフィルタリングすることで、特定のポリシーで許可される接続または特定の IP アドレスからの接続で作成されたログ メッセージを表示することができます。

  1. ダッシュボード > Traffic Monitor の順に選択します。
  2. ページ上部のフィルタ テキスト ボックスに用語を入力して、その用語が含まれるログ メッセージのみを検索します。たとえば、ネットワークのコンピュータの IP アドレス、ユーザー名、またはログ記録を有効化するポリシー名などを入力します。
  3. フィルタを削除するには、フィルタのクリア ボタンのスクリーンショット をクリックします。

Traffic Monitor ダッシュボードの詳細については、次を参照してください: Traffic Monitor

  1. Traffic Monitor タブを選択します。
  2. ページ上部のフィルタ テキスト ボックスに用語を入力して、その用語が含まれるログ メッセージのみを検索します。たとえば、ネットワークのコンピュータの IP アドレス、ユーザー名、またはログ記録を有効化するポリシー名などを入力します。
  3. フィルタを削除するには、FSM 検索/フィルタのクリア ボタン をクリックします。

Firebox System Manager の Traffic Monitor の詳細については、次を参照してください: デバイス ログ メッセージ (Traffic Monitor)

ログ メッセージの読み取り方の詳細については、次を参照してください: ログ メッセージを読み取る

  1. Windows のタスクバーまたはスタート メニューの検索テキスト ボックスを探します。
  2. 検索テキスト ボックスに、cmd と入力して、Enter を押します。
    コマンド プロンプト ウィンドウが表示されます。
  3. 割り当てられた IP アドレス、サブネット マスク、既定のゲートウェイを表示するには、プロンプトで ipconfig と入力して、Enter 押します。
  4. DNS サーバーの IP アドレスなどの詳細情報を表示するには、ipconfig/all と入力して、Enter を押します。

アウトバウンド接続をトラブルシューティングする

ローカル ネットワークのコンピュータからのインターネット接続の問題の原因を特定するには、まずネットワークのローカル コンピュータから Firebox またはネットワークのローカル サーバーへの ping テストを実行します。これが正常に行われたら、次のステップとして、ローカル ネットワーク外のホストへのルーティングおよび DNS 解決をテストします。前のセクションの手順を使用して、これらのテストで使用される診断コマンドを実行して、ログ メッセージを確認してください。

テスト 1 — 内部 IP アドレスに Ping する

ローカル コンピュータから、同じローカル ネットワークにある他の内部 IP アドレスに ping します。たとえば、ローカル ネットワーク サーバーまたは Firebox の内部インターフェイス IP アドレスに ping してみてください。Windows コンピュータから ping を開始するには、前のセクションの手順を使用してください。

Firebox の内部 IP アドレスに ping を実行できない場合は、Firebox の構成、あるいはローカル ネットワークの構成かケーブル接続に問題がある可能性があります。クライアント コンピュータのローカル ネットワーク構成で IP アドレスと既定のゲートウェイを表示するには、Windows コマンド プロンプトで ipconfig コマンドを使用します。

ipconfig コマンドの出力をチェックして、以下のような ping の失敗原因を検討します:

クライアント コンピュータの ipconfig コマンド出力で、ローカル コンピュータに割り当てられている IPv4 アドレスおよび既定のゲートウェイ IP アドレスをチェックします。クライアント コンピュータには IPv4 アドレスが設定されている必要があります。ほとんどの場合、既定のゲートウェイは、ローカルネット ワークが接続する先の内部 Firebox インターフェイスの IP アドレスになっている必要があります。

クライアント コンピュータが DHCP を使用して IP アドレスを取得している場合で、ipconfig 出力で IP アドレスが割り当てられていないと示された場合は、ローカル ネットワークの接続先の Firebox インターフェイス構成をチェックしてください。DHCP サーバーが有効化されていることを確認し、Firebox インターフェイスに構成されている DHCP アドレス プールに、接続するすべてのクライアントにアドレスを割り当てるのに十分な IP アドレスが含まれていることを確認します。

クライアント コンピュータが DHCP を使用して IP アドレスを取得している場合で、クライアントに割り当てられている IP アドレスとゲートウェイが、このネットワークの接続先の Firebox インターフェイスで構成されている DHCP サーバーの設定と一致しない場合は、ネットワークに不正な DHCP サーバーがあり、予想外の IP アドレスが割り当てられている可能性があります。

ローカル ネットワークが接続する先の Firebox インターフェイス構成を確認してください。ネットワークで正しいインターフェイスの IP アドレスとサブネット マスクが設定されていることを確認します。インターフェイスの IP アドレスとサブネット マスクの詳細については、次を参照してください: IP アドレスについて

クライアント コンピュータと Firebox の内部インターフェイスとの間にスイッチまたはルータがある場合は、スイッチかルータの構成に問題がある可能性があります。スイッチまたはルータが問題になっているかどうかをテストするには、クライアント コンピュータを Firebox の内部インターフェイスに直接接続して、再度 Firebox に ping してください。

ネットワーク接続の問題は、ケーブルの損傷や切断、またはコンピュータ、Firebox、接続されているスイッチかルータ上のネットワーク インターフェイスの障害によって引き起こされる場合があります。この種の問題を検出するには、各ケーブルの両端にあるネットワーク インターフェイスのリンクとアクティビティのライトをチェックして、別のネットワーク ケーブルを試してください。または、同じネットワーク セグメント上の別のコンピュータから Firebox への接続をテストしてください。

Firebox インターフェイスのインジケータについては、Firebox モデルの ハードウェア ガイド を参照してください。

問題がネットワーク上のすべてまたは多数のユーザーに影響を与えている場合は、Firebox の内部 IP アドレスとネットワークの他のデバイスとの間で IP アドレスが競合している可能性があります。これをテストするには、Firebox インターフェイスからケーブルを外し、クライアント コンピュータから Firebox の内部インターフェイスに ping します。ネットワークが Firebox インターフェイスに接続されていないときに ping に応答がある場合は、ネットワークの他のホストで、Firebox インターフェイス IP アドレスと競合している IP アドレスが使用されています。

テスト 2 — Firebox の既定のゲートウェイに Ping する

Firebox インターフェイス IP アドレスから正常に ping できる場合は、クライアント コンピュータからのトラフィックを Firebox 外のアドレスにルーティングできるかどうかをテストします。これをテストするには、Windows コンピュータから、Firebox 外部インターフェイスの既定のゲートウェイに ping します。こうすることで、そのコンピュータが Firebox 外のホストにルーティングできること、および Firebox がこれらの PING リクエストを許可するように構成されていることを確認することができます。

WatchGuard System Manager または Fireware Web UI のインターフェイス ダッシュボードで、Firebox の既定の外部ゲートウェイ IP アドレスを確認することができます。

ネットワークに Firebox 以外のインターネット ゲートウェイがある場合は、ネットワークのクライアントからインターネットへ送信するトラフィックが Firebox 経由でルーティングされない可能性があります。インターネットへのアウトバウンド トラフィックが Firebox を通過しているかどうかを確認するには、ping ポリシーで許可されているパケットのログ記録を有効化し、PING リクエストのログ メッセージがネットワークから作成されるかどうかを確認します。この方法の詳細については、前述の ネットワークのトラブルシューティング ツール セクションを参照してください。

Firebox 外部インターフェイスの既定のゲートウェイへの ping が失敗した場合は、以下の原因のいずれかをチェックしてください:

ローカル ネットワークで RFC 1918 プライベート サブネットのいずれかが使用されていない場合は、既定の動的 NAT ルールにより、プライベートネット ワークからインターネットへのトラフィックがマスカレードされません。これが問題になっているかどうかを確認するには、PING リクエストのログ メッセージをチェックしてください。src_ip_nat 属性が表示され、リストされた IP アドレスが Firebox の外部 IP アドレスと一致していることを確認してください。

Firebox がドロップインまたはブリッジ モードで構成されている場合は、src_ip_nat 属性がアウトバウンド トラフィックのログ メッセージに表示されません。

動的 NAT および既定の動的 NAT ルールの詳細については、次を参照してください: 動的 NAT について

これが原因である場合は、拒否された PING リクエストのログ メッセージを探します。ログ メッセージにはどのポリシーでトラフィックが拒否されたかが示されています。既定では、Firebox 構成に送信 ping トラフィックを許可する Ping ポリシーが含まれています。

これが問題となっているかどうかを確認するには、コンピュータを Firebox に直接接続して、内部ネットワークをバイパスします。クライアント コンピュータにおいて Firebox に接続する正しいサブネット上に IP アドレスがあり、既定のゲートウェイがローカル ネットワークの接続先の Firebox インターフェイスの IP アドレスに設定されていることを確認してください。

テスト 3 — DNS 解決をテストする

Firebox の既定のゲートウェイを正常に ping できる場合は、次のステップとして DNS 解決をテストします。DNS 解決をテストするには、www.watchguard.com などのリモート Web ホストに ping を試みます。これが失敗した場合は、ISP の DNSサーバーまたは 8.8.8.8 や 4.2.2.2といったパブリック DNS サーバーなどのリモート IP アドレスに ping を試みます。リモート IP アドレスには正常に ping できるが、ホスト名に ping できない場合は、DNS 解決に問題があります。

DNS 解決に失敗した場合は、以下の原因をチェックします:

クライアント コンピュータの Windows コマンドラインを使用して、DNS 解決をテストします。DNS サーバーの IP アドレスが指定されていない場合は、nslookup コマンドは既定の DNS サーバーを使用します。

まず、既定の DNS サーバーで DNS をテストします:

nslookup www.watchguard.com

次に、IP アドレスをパブリック DNS サーバーに追加します:

nslookup www.watchguard.com 8.8.8.8

既定の DNS サーバーでは DNS 解決が正常に機能しないが、パブリック DNS サーバーで正常に機能する場合は、クライアント コンピュータと Firebox で使用されている DNS サーバーをチェックしてください。

  • クライアント コンピュータ上で使用されている既定の DNS サーバーをチェックするには、Windows コマンドラインで ipconfig/all コマンドを使用します。通常、クライアントの DNS サーバーは、Firebox で使用される DNS サーバーと同じでなければなりません。
  • Fireware Web UI で Firebox の現在の DNS サーバーの IP アドレスをチェックするには、ダッシュボード > インターフェイス > 詳細 の順に選択します。Firebox System Manager で DNS サーバーをチェックするには、フロント パネル タブで、Firebox の インターフェイス ステータスを展開します。

トラフィックが DNS サーバーにルーティングされるかどうか、および DNS サーバーが応答するかどうかを確認するには、クライアント コンピュータから、および Firebox から DNS サーバーの IP アドレスに ping を試みます。

ネットワークのクライアント コンピュータから DNS サーバーに正常に ping できる場合は、Firebox 構成に送信 DNS 要求を許可するポリシーが含まれていないと DNS 解決が失敗します。

これに関してさらなるトラブルシューティングを行うには、上述のように、Firebox から DNS 解決をテストし、Firebox からの DNS 解決が正常に機能するかどうかを確認することができます。Firebox からは DNS 解決が正常に機能するけれども、内部ネットワークのクライアントからは正常に機能しない場合は、送信 DNS 要求を許可するポリシーが Firebox に存在していない可能性があります。これが原因であるかどうかを確認するには、DNS をテストする間、または外部ホスト名の解決を試みる間に、Traffic Monitor でログ メッセージを調べてください。53 の送信先ポートで拒否された接続のログ メッセージを探してください。

既定の 送信 ポリシーを無効化または削除すると、これらの接続を許可する別のポリシーを追加しない限り、Firebox ではアウトバウンド DNS 要求が許可されません。送信ポリシーを削除する場合は、他のポリシーでネットワークのホストが許可されていること、または少なくともキーサーバーで DNS、NTP、および他の必要な機能の送信を接続できることを確認してください。

送信ポリシーの詳細については、次を参照してください: 送信ポリシーについて

関連情報:

ルートとルーティング

複数 WAN について