一口馬主とFXと。

一口馬主とFXと。

IT

WindowsでSSHトンネリング技術を使ってリモート接続が突如としてできなくなった…

クラウドサービスなどのWindowsを利用されている方は、様々なセキュリティ対策を行いながらリモートデスクトップ接続を利用してクラウド上のWindowsに接続し、リモートワークを行ったりしているのではないかと思います。

突如できなくなったトンネリング

私は、LinuxヘビーユーザーということもあってVPN接続よりSSH接続におけるトンネリング接続によって使いたいサービスを使う方が性に合っているという感覚があって、クラウドのWindowsServerにも、SSHサーバーを導入し、SSH接続時にトンネリング接続を行うことでリモートデスクトップ接続が可能なように設定していた。
しかし、2020年3月に入ってから、突如としてSSH接続におけるトンネリング接続でリモートデスクトップ接続ができなくなりました。

SSHのセキュリティレベルでリモートデスクトップが容易に使える便利さ&Androidでも簡単に利用できる便利さ

VPN接続ほどじゃないにしても、リモートデスクトップさえできればOKという環境だったので、SSH鍵認証のみ許可とした堅牢なSSH接続のセキュリティレベルでリモートデスクトップ接続が可能になるこの方法は超愛用していた技術でした。
それが突如としてできなくなりました。

サーバーはさくらインターネットのVPSサービスForWindows

サーバーサービスはさくらインターネットのVPSです。
突然のことなので、サービス側がセキュリティを高めるためにポートフォワーディングを締めたのか、何なのか全くわかりません。

VPSマシンのWindowsUpdateは、半年行わず

実はこの記事を書いている今(2020.03.30)の時点では、Windows10およびServerに、VPN接続周りのバグがあると発表されています。
詳細は発表されていませんが、VPN接続下でいくつかのソフトがうまく起動しないというバグだそうです。
実はこのバグ、いくつか発表されていないものでも問題があり、当方の事業でもいくつか問題が起きています。解決方法はマシンの再起動だそうです。
しかし今回の当方のVPSについては再起動してもトンネリングによるリモート接続はできませんでした。
また、このバグは2月27日のアップデートによって起きたそうで、私は半年間アップデートを行っていなかったため本当に突如として起きた感じです。

Windowsのバグについてはこちら

原因はサーバーにあらず。。。クライアントにありました。

私もサーバー側ばかり意識してクライアントを意識していなかったのもまずかったです。
結局蒸気のバグが原因で接続できいなかったようです。

クライアント側もWindowsであることを忘れていました。。。

今回はVPSサーバー側も、接続するクライアント側もWindowsです。
なぜサーバー側ばかりを疑っていたのか。。。
原因はクライアント側がアップデートがかかっており、それにより、VPN周りのバグが起き、それが要因でポートフォワーディングをかけてもかからないという状態でした。

クライアント側で何が起きていたか

まず、今回のSSH接続からのポートフォワーディングにはVPNは一切関係がありません。
なので、発覚するのに時間がかかったというのもあります。
しかし、厳密には、VPN接続におけるバグが関係していました。

ほかの作業でVPN接続をしていました

そうなんです。当該VPSに接続する際にはVPNは関係が無いのですが、仕事で、別の要件で、VPN接続を頻繁に行っているマシンで接続をしていました。
簡単に言えば、VPN接続を一度した場合、SSH接続からのトンネリングによりポートフォワーディングでマウントしてほしいポートがマウントされず、だから、トンネルも掘ってない状態なので、勿論接続に至らないという現象でした。

なぜわかったのか

まず、Windowsを再起動して即座にトンネルを掘るとうまく掘れて、けっかリモートデスクトップ接続もできました。
その後、VPN接続を行ったうえで即座に切断、そのうえでトンネルを掘ると、マウントすべきポートがマウントされず、結果リモートデスクトップ接続ができませんでした。
これにより、とりあえずVPN接続を一度すると、ネットワーク周りがおかしくなることが確定です。

また、AndroidタブレットでSSHトンネル→リモートデスクトップ接続については何の問題もなく接続できていますので、Windowsクライアントの問題であることが確定しました。

再起動したら難なく直る

当初はサーバー側の問題だと思い、何度も再起動してみましたが、症状は改善されずでした。
クライアント側もWindowsで、しかも、クライアント側は自動アップデートでアップデートされていることを完全に見落としていました。
なので、同様のバグがクライアント側に発生している可能性がかなり高く、であれば、マシンを再起動したら直るのではないかと思い、再起動、接続を行うと難なく接続できました。
これにて、Microsoftからの発表の問題が起きたことが確定しました。

緊急パッチで症状は改善

たまたまこの記事を書いている3/31のタイミングで緊急アップデートがリリース。
ためしに入れてみると、少なくとも私のマシンでは症状が改善されました。
VPN接続からのSSHポートフォワーディングでも、ポートが落ちることなく転送かかっています。
これにて一件落着です。

さくらインターネットへの問い合わせ

最後に、本案件で、最初の段階でもなにもがわからなくて、さくらインターネットさまに問い合わせを行っておりました。
かなり以前であればこの種の案件の場合、【運用上の問題はサポート外だからお答えできない】という、通り一遍の回答のみで、サポートの意味がほぼなかったのが現状でした。
今回も、要件的には運用上の問題なのであまり期待せずに、問い合わせを行いました。
そうしたところ、返答としては

  • さくら側で何か設定をいじったという履歴は一切ない
  • 全体のセキュリティ強化なども当方が指定した期間中には行っていない
  • 私が使うサーバー周りの障害情報を公表しないレベルの小さなものも調べたが指定の期間中には全く何も起きていなかった

という回答をいただけました。
パッと見たとき、特段大したことに見えないかもしれませんが、これだけの回答を明確に返してくれたことで、さくら側の問題ではないことが明確にわかります。
かなり、サポート体制は強化されているなと思いました。

Return Top