非対称ルーティングがFW通信を壊す理由とは？【通信断・セッション切れの根本原因】

「通信は出ているのに応答が返ってこない」
「FWを経由すると通信が不安定になる」

このようなトラブルの原因として、非常に多いのが非対称ルーティング（Asymmetric Routing）です。

本記事では、非対称ルーティングがなぜFW通信を壊すのかを、 セッション管理・パケットの流れ・実務での対処手順まで含めて解説します。

非対称ルーティングとは何か

非対称ルーティングとは、 通信の往路と復路で通過する経路が異なる状態を指します。

イメージ

• 送信：端末 → FW-A → ルータ → サーバ
• 応答：サーバ → ルータ → FW-B → 端末

ネットワークとしては到達可能でも、 FW視点では「通信の流れが分断」されます。

なぜFWで問題になるのか

多くのファイアウォールはステートフルFWです。

つまり、FWは次のように通信を管理しています。

• 最初のパケットを見てセッションを生成
• 同一経路を通る応答を許可
• セッションに一致しない通信は破棄

非対称ルーティングでは、この前提が崩れます。

FWから見た非対称通信の実態

① 往路パケット

• FW-Aを通過
• セッション作成

② 復路パケット

• 別のFW（FW-B）を通過
• FW-Bにはセッション情報がない
• 結果：破棄される

これが「通信できそうでできない」正体です。

よくある症状

• pingは通るがアプリ通信は失敗
• TCP接続が確立しない
• SYNは出るがACKが返らない
• 通信が片方向のみ成立

特にTCP通信で顕著に現れます。

非対称ルーティングが起きやすい構成

• FW冗長構成（Active/Active）
• 複数WAN回線
• ECMP（等コストマルチパス）
• クラウド＋オンプレ接続

冗長化・負荷分散構成ほど発生しやすい点が特徴です。

確認手順①：経路の可視化

実施コマンド例

traceroute <宛先IP>
tracert <宛先IP>

確認ポイント

• 往路と復路でFWが一致しているか
• 戻り通信が別インターフェースに来ていないか

確認手順②：FWセッションの確認

• セッションが片側にしか存在しない
• 通信開始直後に消える

この場合、非対称ルーティングの可能性が極めて高いです。

典型的な誤解

• FWのルール不足だと思いがち
• アプリの問題だと疑う
• 回線品質を疑う

ルーティング設計が原因であるケースが非常に多いです。

正しい対処方法

① 経路を対称にする（最優先）

• PBR（ポリシールーティング）
• デフォルトGWの統一

② FW冗長構成の見直し

• Active/Standby 構成
• セッション同期の有無確認

③ ECMPの制御

• FW経由トラフィックはECMP除外

どうしても非対称になる場合の対策

• FWの非対称通信許可設定
• ステートレスFW化（限定的）

ただしセキュリティ低下を伴うため、最終手段です。

結果例（改善後）

• TCP接続が安定
• FWログのDROPが消失
• 通信断・再接続が解消

まとめ

• 非対称ルーティングはFW通信の大敵
• ステートフルFWでは特に致命的
• 対策は「FW設定」より「経路設計」

FWトラブルの多くは設定ではなく設計に原因があります。 非対称ルーティングを理解することで、原因特定スピードは一段階上がります。