停電後に接続できない

[kabasawa]

お世話になります。

SoftEtherVPNを社内に構築し、社外からアクセスしています。
またSoftEtherVPNのDDNS機能を利用し、クライアントからの宛先はDDNSで設定したドメイン名にしています。
（回線を収容しているルータはグローバルIPが固定でないたため）

過去からなず会社ビルの停電後(※)に数日～数週間にわたって、接続が出来なくなります。
接続できなくなった際は、SoftEtherVPNサーバをインストールしているWindows端末を再起動すると
必ずではないですが、再度接続できるようになります。
※停電ではVPNサーバ、ルータ(社外からの宛先となるグローバルIPを持つ)の電源停止します

接続できない→サーバ再起動→接続できない→サーバ再起動…数週間実施している状況です。

上記で数週間と書きましたが、なぜかしばらくすると安定して接続できるようになり
また停電（半年に1回程度）があると接続できなくるといった状況が、数年続いており
初めはは停電の影響と疑っていなかったのですが、毎回のように接続できなくなるので、
停電の影響が何かしらあると推測しております。

原因、解決策をご教示ください。
必要な切り分け、提供すべき情報あれば指示ください。

※推測ではありますが、停電の影響でルータのグローバルIPが変更になったことが
　影響しているような気もしています。

[cedar]

グローバル IP アドレスの変更が DDNS に反映されていないことが原因であれば、
クライアントのエラーコードは1になるはずですが、正しいでしょうか。
また、クライアント側で「ping DDNSホスト名」のように実行したときに
正しい IP アドレスが表示されるでしょうか。

[kabasawa]

はい、エラーコード1です。
ping DDNS名を実施すると、pingOKとなり、グローバルIPが正しく返ってきます。

原因、対策などご教示ください。

[cedar]

DDNS の名前解決先が新しいグローバル IP アドレスに追従しているようなので、グローバル IP アドレスが変わったことが原因ではなさそうですね。

エラーコード 1 は、指定の接続先のポートに接続できなかったことを意味しています。
ポート開放の設定は行われているでしょうか？

[kabasawa]

ポート開放は出来ているはずです。
いま設定を確認できていないですが、停電前は正常に接続できていたので。
ポート開放出来ていない場合、
過去に接続出来ていなかったと思いまして。

ポート開放していない場合でも、
接続出来る可能性があったりしますでしょうか？

何か切り分け方法、確認すべき内容があれば、
ご指示ください。

[cedar]

ポート開放に失敗していた場合でも、NAT トラバーサル機能によって接続できる場合がありますが、接続が不安定になりやすいです。
セッションの状態表示で「物理通信に使用中のプロトコル」を確認してみて下さい。

[kabasawa]

物理通信に使用中のプロトコル、は
VPN over UDP With NAT-T（IPv4）、でした。
ここから何か判断、切り分けできますでしょうか？
また現状の状態ですが、やはり毎日のように接続不可になり
サーバ再起動するとその直後は接続可になるという状況です。

[cedar]

NAT トラバーサル機能(NAT-T)で接続されている場合、ポート開放がうまく行っていないと思われます。
ポート開放の設定を見直してみて下さい。
ルーターやセキュリティソフトのファイアウオール機能などで通信が遮断されている可能性もあります。

[kabasawa]

経路の許可設定がされていないということですね。
確認いたします。

追加で教えてください。
構成としては以下です。
・クライアント---インターネット---ルータ--softetherVPNサーバ

クライアントから見た宛先はDDNSホスト名となり
そのアドレスはルータのWAN側IP（グローバルIP）となります。
ルータのACLで許可設定する場合、
宛先IPアドレスは何のIPに設定すべきでしょうか？

DDNSでルータのグローバルIPを宛先とした通信が
その先のVPNサーバへ転送される仕組みが理解できておりません。

[cedar]

ルータのファイアウオール機能が、ルーティングのどの段階で作用しているかによるので、ルーターのマニュアルを確認してみて下さい。