※ 2023 年 3 月 7 日現在の情報をもとに作成しています

1. はじめに

本記事では、Roaming Client と VPN 製品を併用した際の互換性の問題について解説します。

本記事の内容は、以下のサポート記事の情報を抜粋し、まとめたものとなります。製品レベルの詳細な情報や最新情報についてはこちらの記事を直接参照してください。

Umbrella Roaming Client (standalone): Compatibility Guide for Software and VPNs

https://support.umbrella.com/hc/en-us/articles/230561147-Umbrella-Roaming-Client-VPNs-and-VPN-Compatibility

なお、Roaming Client の互換性の問題の多くは、AnyConnect (現 Cisco Secure Client) Umbrella Roaming Security Module に移行することで解消されます。ただし、AnyConnect においても、いくつかの互換性の問題があるため、移行を検討される際は、以下のサポート記事も併せて参照してください。

Software Compatibility - Roaming Security Module (Umbrella module) for AnyConnect or Cisco Secure Client

https://support.umbrella.com/hc/en-us/articles/4403064229140

2. Roaming Client について

Roaming Client は Windows および macOS 用の DNS セキュリティ機能を提供するソフトウェアで、インストーラーは Umbrella Dashboard の導入 > ローミングコンピュータから起動できる「ローミングクライアントのダウンロード」にあります。

では、Windows 版を例に、Roaming Client の具体的な動作について説明します。

Roaming Client が Windows PC にインストールされると、Windows サービスに「Umbrella Roaming Client」サービスが登録され、OS 起動時に自動実行されます。

また、それとは別に、Roaming Client の GUI (名称: Umbrella RC UI) がスタートアップとして登録され、こちらも OS 起動時に自動実行されます。

GUI に関しては、Windows のタスクトレイに青い丸のアイコンが表示され、このアイコンをクリックすることで、Roaming Client の現在のステータスを確認することができます。

Umbrella Roaming Client サービスが起動すると、初期処理として Umbrella クラウドとの通信などが行われた後、PC 上の有効なネットワーク アダプタを調べます。そして、ネットワーク アダプタ内の DNS 設定をすべてリストアップし、ファイルに記録した後、すべての DNS 設定をループバック (127.0.0.1) に変更します。

これにより、PC 上で生成される DNS クエリーは、すべてループバック経由で Roaming Client が受け取れるようになります。

Roaming Client が受け取った DNS クエリーのうち、内部のドメインに関するものは、先ほど作成したファイル内に記載された DNS サーバーに対して送り、それ以外は Umbrella の DNS サーバー (208.67.222.222/208.67.220.220) に送ります。

以上の動作の中で、互換性の観点で問題なるのが、ループバックの設定をすることと、Roaming Client が改めて DNS クエリーの送信を行う点です。

それでは、次項から具体的な互換性の問題について説明します。

3. DNS 変更の競合

一部の VPN 製品には、VPN 接続が行われた後、必要に応じて DNS 設定を変更するものがあります。

Roaming Client も前述の理由で DNS 設定をループバックに変更しますので、場合によっては、お互いが DNS 設定を延々と変更し続ける競合状態に陥ることがあります。

Roaming Client では、こういった競合状態を検知すると、Roaming Client の機能を停止し、VPN 接続が正常に動作することを優先します。

この場合、PC 上で生成される DNS クエリーは Umbrella の DNS サーバーに転送されなくなりますので、Umbrella の DNS セキュリティ機能が使えなくなります。

※ 組織内部の DNS サーバーの DNS 転送先を Umbrella の DNS サーバーに設定し、組織のグローバル IP アドレスをネットワーク アイデンティティとして Umbrella Dashboard に登録しておくことで、DNS セキュリティ機能を有効にする代替策が存在します (アイデンティティの種類は変わります)

また、一部の VPN 製品には、Roaming Client と同様の目的から DNS 設定をループバックに変更するものがあります。

このような機能は一般的に DNS プロキシと呼ばれ、Roaming Client と同様に、DNS クエリーの内容に基づいた DNS サーバーの振り分け (Split DNS) などに使われます。

2 つの製品がループバックの設定を試みることにより、どちらの製品が実際の DNS クエリーを受け取るかが不明となり、結果として Umbrella の DNS セキュリティ機能は期待通りに使えなくなる可能性があります (ステータス上は Protected であっても)。

他には、そもそも DNS 設定がループバックとなっていることが、一部の VPN 製品にとって異常な状態と捉えられることがあり、その場合は VPN 接続に失敗するなどの影響が出る可能性があります。

根本的に Roaming Client はループバック設定に依存した実装となっており、製品設計上、これらの問題を抜本的に回避することはできません。

なお、AnyConnect Umbrella Roaming Security Module の場合、カーネル モードの権限を行使して DNS クエリーを受け取りますので、明示的なループバックの設定は行いません。そのため、基本的にはこれらの問題は発生しないと考えられます。

4. 送信経路の誤選択

前述のとおり、Roaming Client は一度ループバック経由で DNS クエリーを受け取ってから、クエリーの内容に従って DNS サーバーを振り分けます。

もし、一部の VPN 製品を併用している場合、組織内部の DNS サーバー宛ての通信を VPN トンネル経由で送るべきところを、ネットワークアダプタから送ってしまい、内部ドメインの名前解決に失敗することがあります。

特に Windows 10 環境でこういった事例があり、原因としては、VPN 接続を行った後、VPN トンネル側のメトリック値がネットワークアダプタよりも高くなっている (つまり優先されない) ことが挙げられます。

※ ネットワークアダプタのメトリック値は PowerShell の Get-NetIPInterface コマンドレットなどで確認できます

対応策としては、何らかの方法で VPN トンネル側のメトリック値を下げることになりますが、Umbrella Dashboard の導入 > ローミングコンピュータにも、この状況を改善するための以下のオプションが用意されています。

すべての状況において改善できるものではありませんが、Windows 10 で VPN 製品を使用しており、内部ドメインの名前解決に失敗した場合には、効果がある可能性があります。

5. AnyConnect VPN との互換性

Roaming Client と AnyConnect VPN を併用した場合においても、製品設計上の制約から、以下の機能において、追加の設定項目があったり、期待どおりに動作しない場合があります。

• Always on VPN with TND
• Full Tunneling
• Tunnel-all-DNS
• Split-DNS

※ 各機能の詳しい情報は前述の Compatibility Guide にあります

そのため、Umbrella では、AnyConnect VPN を使用する場合は、互換性の問題を最小限にするために、Roaming Client ではなく AnyConnect Umbrella Roaming Security Mode を使用することを推奨しています。