SORACOM Napter を用いてデバイスへ接続できない際のトラブルシューティングガイドです。
よくある原因と、監査ログ・SORACOM Peek を利用した切り分け方法を紹介します。
よくある原因
まずは以下のよくある原因に当てはまっていないか確認してください。
SORACOM Napter の有効期限が切れている
SORACOM Napter は期限を設定してリモートアクセスを有効にします。デフォルトでは 30 分ですので、有効にしてから長時間が経っていないか確認し、疑わしい場合はもう一度お試しください。また SORACOM API (PortMapping:createPortMapping API) でリモートアクセスを作成している場合 duration パラメーターの単位は秒になりますのでご注意ください。
SORACOM Napter へのアクセスを遮断するネットワークを利用している
企業のネットワークなどから接続する場合、プロキシやファイアウォールなどで制限されていないかネットワーク管理者へ確認してください。
TLS オプションを利用できないプロトコルにもかかわらず有効にしている
SSH や RDP で接続する場合は TLS オプションは無効にします (参考画像 1) 。TLS オプションの利用例や詳細は IoT デバイスに TLS 接続する を参照してください。
SORACOM Napter 作成時に設定したデバイスポート番号が間違っている
デバイスポート番号にはデフォルトで SSH なら 22、HTTP なら 80、RDP なら 3389 といったポート番号を使用します (参考画像 1)。
デバイス側で iptables, Windows Firewall などでブロックしている
特に Wi-Fi や有線 LAN では接続できていた場合、IP アドレスレンジで制限していないかも確認してください。
UDP や ICMP など、TCP 以外のプロトコルでアクセスしようとしている
SORACOM Napter では TCP のみ利用できます。(参考画像 1 : SORACOM Napter 設定画面)
Napter 監査ログを用いた切り分け方法
SORACOM Napter では Napter 監査ログという機能にてアクセスが失敗した際にどこまで到達できていたかを切り分けられます。
当機能を用いた切り分け方法を紹介します。
Napter 監査ログとは
Napter 監査ログは 24 時間まで無料で保管され、366 日間有料で保管するオプションも提供しています。機能詳細は Napter 監査ログを利用する を参照してください。
Napter 監査ログの取得・確認方法
以下の方法で確認できます。
- こちらのページ などよりアクセス元のグローバル IP アドレスを確認し、それを指定して SORACOM Napter を有効にする。払い出されたアクセス先 IP アドレスとポート番号 (123.456.789.12:3456 など) を控えておく
- SORACOM Napter を利用したアクセスを試みる
- ユーザーコンソール 左上の [Menu] より [Napter 監査ログ] を選択する
- CREATED など、記録されているイベントタイプを確認する (参考画像 2)
(参考画像 2 : 監査ログの見え方)
イベントタイプごとの原因と対策
確認できるイベントタイプに応じて、それぞれ原因と対策が考えられます。
CREATED, DELETED, EXPIRED などは記録されているが ACCESS がない
ACCESS は SORACOM Napter まで到達したことを示してます (参考画像 3)。これがない場合はお使いのネットワークから SORACOM Napter へのアクセスが拒否されていることが考えられます。
先ほど控えたアクセス先 IP アドレスとポート番号へのアクセスが許可されているか確認してください。
(参考画像 3 : 監査ログで ACCESS が見られる場合)
DENIED、REFUSED が記録されている
DENIED は SORACOM Napter のアクセス元 IP アドレス制限機能により拒否されたことを示しています。REFUSED は連続して DENIED となり不正なアクセスとみなされアクセス元の IP アドレスがブロックされたことを示しています (参考画像 4)。
よくある原因としては、SORACOM Napter の有効期限が切れていることがあげられます。再度リモートアクセスを有効にして接続できるか確認してください。
それでも接続できない場合、「詳細」の左側に書かれた IP アドレスが先ほど控えたアクセス元 IP アドレスと合致しているかを確認し、合致していない場合はお使いのネットワーク内で利用されるグローバル IP アドレスのレンジを確認してください。
(参考画像 4 : 監査ログで DENIED、REFUSED が見られる場合)
CONNECTED が記録されている
CONNECTED はデバイスまで到達していることを示しています (参考画像 5)。CONNECTED が出力されているにもかかわらずデバイスへアクセスできない場合は以下のような原因が考えられます。
- TLS オプションを利用できないプロトコルにもかかわらず有効にしている
- アクセス先デバイスのポート番号が間違っている
- アクセス先デバイスのルーティングで Wi-Fi や有線 LAN など他のインターフェースの経路が優先されている
- アクセス先デバイスで iptables, Windows Firewall などでブロックしている
- アクセス先デバイスのアプリケーションなどが稼働していない
上記について問題ないようであれば、さらなる調査としてデバイスでのパケット解析などを行います。
(参考画像 5 : 監査ログで CONNECTED が見られる場合)
SORACOM Peek を用いた切り分け方法
SORACOM Peek は、IoT SIM を利用するデバイスの通信時に SORACOM プラットフォームを通過する IP パケットをキャプチャするサービスです。 お客様はパケットキャプチャ用のサーバーを用意することなく、API を用いて簡単、安全にパケットをキャプチャできます。以下の SORACOM Peek のチュートリアルを参照して、SORACOM プラットフォームへパケットが到達しているか、デバイスからの応答があるかを切り分けてください。
------
上記の切り分けを実施しても原因がわからない場合、以下の情報をお書き添えの上サポートチケットにてお問い合わせください。
- SIM の IMSI
- ご利用中のデバイスの詳細(メーカー、型番、製品名)
- トラブルが発生した時刻
- 監査ログの出力 (スクリーンショットなど)
- トラブルの詳細(再現方法、発生条件、利用環境などできるだけ詳しくお知らせください)
- (可能であれば) 事象発生時のパケットキャプチャ