VPNが接続できない・切断される時の原因と確認ポイント【初心者〜実務者向け】

VPN（IPsec / SSL-VPN / L2TP / OpenVPN など）が接続できない・すぐ切断される場合、原因は多岐にわたります。
本記事では、現場で最も多い原因 → 確認手順 → コマンド例 → ログの結果例 → 解釈 をセットで解説します。

1. まず「どの段階で失敗しているか」を切り分ける

VPNは大きく以下の5段階で接続します。

1. クライアント → VPN装置に到達できているか（ネットワーク到達性）
2. 認証（ユーザ認証 / 証明書認証）
3. VPNトンネルの確立（IPsecフェーズ1/2、SSLネゴシエーション）
4. ルーティング（VPN内LANの経路が正しいか）
5. 内部LANへのアクセス（FW/ACLでブロックされていないか）

この順で確認すると迷いません。

2. よくある原因一覧（まずはここを疑う）

• 外側の FW / ルータが VPN ポートを遮断
• 認証情報（ID・パスワード・証明書）の不一致
• IPsec フェーズ1/2 の設定不一致（暗号方式/キー等）
• NAT越え（NAT-T）が無効 / UDP500/4500 が通らない
• 同一サブネット（自宅LAN と社内LAN の重複）
• VPN装置の同時接続数上限
• VPN接続後の DNS / ルーティングがおかしい

3. ネットワーク到達性の確認

■ (1) VPNサーバのIPへ ping

ping 203.0.113.10

結果例（正常）

Reply from 203.0.113.10: bytes=32 time=15ms TTL=52

結果例（異常）

Request timed out.

→ 外側FW/ルータが ICMP も通していない可能性。

■ (2) ポートが開いているか確認（VPNごとに異なる）

VPN方式	必要ポート
IPsec	UDP 500 / UDP 4500
L2TP/IPsec	UDP 500 / 4500 / 1701
SSL-VPN	TCP 443
OpenVPN	UDP/TCP 1194

■ Linux / Mac でポートテスト

nc -vz 203.0.113.10 443

成功

Connection to 203.0.113.10 443 port [tcp/https] succeeded!

失敗

Connection timed out

→ FW/ルータのポート制御を疑う。

4. 認証エラーを疑う（ID/パスワード/証明書）

■ Windows (VPNクライアント) イベントログ

Event ID 20227: The user credentials were incorrect.

→ ID/パスワード不一致。

■ 証明書エラー例

Authentication failed: certificate expired

→ 期限切れ / CN 不一致 / クライアント証明書未登録

5. IPsec フェーズ1 が失敗する場合の確認ポイント

IPsec のトラブルで最も多いのは「フェーズ1のパラメータ不一致」。

■ Cisco でデバッグ

debug crypto isakmp
show crypto isakmp sa

正常例

State: QM_IDLE

異常例

NO_PROPOSAL_CHOSEN

→ 暗号設定が一致していない（AES256 / SHA256 / DH グループなど）

■ よくある不一致ポイント

• Encryption：AES128 / AES256 / 3DES
• Hash：SHA1 / SHA256
• DH Group：14 / 19 など
• Lifetime：28800 など

6. IPsec フェーズ2（Quick Mode）が失敗する場合

Cisco の確認

show crypto ipsec sa

異常例

pkts encaps = 0, pkts decaps = 0

→ トラフィックが流れていない / ACL が間違っている

■ VPN ACL の典型ミス

「VPN 内に流すトラフィック」を定義している ACL が誤っている。

access-list VPN-ACL permit ip 192.168.10.0 255.255.255.0 192.168.20.0 255.255.255.0

よくある間違い

• ネットマスク誤り
• 逆方向が抜けている
• 対象サブネットのタイポ

7. NAT が原因で接続できないケース

NAT越え（NAT-T）が無効だと VPN は確立しない。

■ Cisco

crypto isakmp nat-traversal 20

■ NAT が IPsec パケットを壊すケース

Received packet with invalid SPI

→ NAT装置がESPパケットを破壊している。

8. VPN 接続後に通信できない場合（最も多い）

VPNは張れるのに LAN が見えない場合の原因はこれ。

■ (1) Split Tunnel 設定ミス

10.0.0.0/8 のみ VPN 経由にする → 他の通信がローカルへ

→ 手元PCが社内LANにルーティングしていない。

■ (2) DNSが参照できない

VPN接続後に内部サイト名前解決ができない例：

nslookup intranet.local
→ timeout

■ (3) 内部FWでVPNユーザからのアクセスが拒否

VPN装置を通った後、内部FWでブロックされるパターン。

deny ip 192.168.200.0/24 → 192.168.10.0/24

9. 同一サブネット問題（自宅LAN と 会社LAN の重複）

例：自宅LAN が 192.168.1.0/24、社内LAN も 192.168.1.0/24

→ 絶対に通信できない。

■ 解決策

• 自宅LAN 側のサブネット変更（推奨）
• VPN 側で NAT する（暫定）

10. すぐ切断される時の原因

• Keepalive / Dead Peer Detection が失敗
• 経路不安定（パケットロス）
• Wi-Fi / 4G 回線の瞬断
• 社内側の機器再起動・負荷

Cisco ログ例

%CRYPTO-4-IKMP_NO_RESPONSE: IKE message from 203.0.113.10 no response

→ 相手の応答がない（切断）

11. 結論：この順に調べれば VPN 障害は必ず切り分けられる

1. VPN装置に到達できるか（ポート開放）
2. 認証（ID/証明書の一致）
3. IPsec/SSL の暗号設定の一致
4. NAT越え設定（NAT-T）
5. トンネル内ルーティング
6. 内部LANへのアクセス権限（FW）

この流れで確認すれば、ほぼすべての VPN 障害が解決します。