[Windows] AGN filter interface

アプリケーションソフトウェアでネットワークを介した接続ができないというトラブルが発生。

このアプリケーションは他のPCからの通信を受信するため通常ファイアウォールで許可ルールを設定する必要がある。そのため、接続できないというトラブルではたいていの場合、Windowsファイアウォール以外に何らかのソフトウェアがファイアウォールを立てている。ユーザはそのことに気がつかないことが多い。Windowsファイアウォールだけであればアプリケーション起動時に “allow access”するかどうかのダイアログが出るのでここでallowすれば、通常、障害となることはない。

トラブル解析の途中でテスト機とは別の個人のマシンに試しにソフトウェアを入れてみたところ、ファイアウォールで許可しても通信確立がうまくいかないという症状が出た。念のためにpingをそのPCに向けて打ってみるとタイムアウトする。何かがICMPパケットを吸い込んでいる。
そのマシンに特有なものを順番に止めてみたところ、AT&Tが作っているVPNソフトウェアと一緒にインストールされるAGN filter interfaceというソフトウェアインタフェースがオンされている状態ではICMPパケットも通らないことがわかった。

このツールはAT&TのVPNサービスのツールセットでインストールされる。企業ではこのようなソフトウェアを使って社内ネットワークへの接続を社員に許可しているケースがあるだろう。Microsoft answersではこのフィルタをオフするとPINGが復活した、というコメントがあった。同じように悩んでいる人もいるのだ、とちょっと安心(笑)。

How to enable ping response in windows 7?
http://answers.microsoft.com/en-us/windows/forum/windows_7-networking/how-to-enable-ping-response-in-windows-7/5aff5f8d-f138-4c9a-8646-5b3a99f1cae6

公衆回線でVPNを使う接続形態ではICMPすら落とすことで攻撃を避けようというのだろう。このフィルタがオンでも通常の使用では問題はない。そのことから特定の条件のときのみICMPパケットをはじくようになっていると推測。

AT&Tは自社のGlobal Network Clientのサポート用掲示板を持っている。
AGN Filter Interface Interfering with normal operation -GA 7
http://www.attnetclient.com/forum/viewtopic.php?t=263

掲示板では、filterがあると通信パフォーマンスが落ちるというクレームが上がっていた。”filterの動作を止めるとVPNが使えなくなるのでファイアウォール設定ツールでファイアウォールのみを止めるように”,とAT&Tの人が答えている。しかし、実際にやってみたところでは、ファイアウォールを無効にしたときでもローカルエリア接続プロパティでAGN filter interfaceにチェックが入っているとICMPは返ってこなかった。そして、ICMPが落とされることを止める方法はfilterを止めることしかなさそう。

ファイアウォール系のアプリケーションは入っていることをユーザが意識していないことが多い。このAGN filter interfaceの場合にはコントロールパネルのファイアウォール表示にすら表示されない。アプリケーションソフトウェアを作成する側はアプリケーションの動作を阻害するような設定があるかどうかを起動時にチェックし、どの設定を変えないと動かないよ、ということをユーザに知らせる機能が必要なのかも。

広告

コメントを残す

コメントを投稿するには、以下のいずれかでログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中

%d人のブロガーが「いいね」をつけました。