pfSenseは高機能なオープンソースファイアウォール/ルーターとして多くのユーザーに愛用されています。しかし導入後、思わぬ速度低下や回線切断に悩まされるケースも少なくありません。本記事では、そんなトラブルの原因究明と対処法を徹底解説します。
pfSense導入後の回線速度低下・切断に関する基礎知識
pfSenseは、ファイアウォールやルーター機能にとどまらず、VPNやトラフィックシェイピング、DHCPサーバーなど、企業規模からホームユースまで幅広く利用できる機能を網羅しています。しかし、その豊富な機能ゆえに初期設定を誤ると、回線速度が大幅に低下したり、回線が切断されやすくなるといった問題が発生することがあります。ここでは、pfSenseの基本的な動作とトラブルが起きやすいポイントを総合的に整理します。
pfSenseの役割とネットワーク構成
pfSenseは、ネットワークにおいてゲートウェイ的な役割を担います。WAN側はISPから提供されるインターネット回線へ接続し、LAN側では社内ネットワークや家庭内ネットワークと通信を行います。通常、以下のような構成をとる場合が多いです。
[ISP] -- (WAN) pfSense (LAN) -- スイッチ -- 各クライアントPC- WANインターフェース: ISPからIPアドレスを自動または静的に割り当てられる部分
- LANインターフェース: DHCPサーバー機能などで社内・家庭内にIPアドレスを振り分ける部分
この基本構成において、誤った設定や競合が生じると、大幅な速度低下や断続的な接続障害が起きやすくなります。
速度低下や切断が起こる主な原因
- トラフィックシェイパー(Traffic Shaping)の誤設定
速度制限をかけるつもりがなくても、Wizardや手動設定で不要なシェイピングルールが有効化されている場合があります。 - DHCP競合
LAN側のpfSense DHCPサーバーと別のルーターが競合している、またはWAN側のDHCPと意図しないコンフリクトが発生しているケース。 - ゲートウェイの自動切り替え(dpingerの動作)
pfSenseがWANを監視して、応答がないと判断した際に別のゲートウェイへ切り替えようとする機能が誤って動作する場合があります。 - MTU不一致
PPPoE環境でMTUを1500に設定している、または光回線終端装置側とpfSense側で異なるMTUが設定されていると、パケットの断片化が多発し、速度が低下します。 - NICのオフロードやドライバ問題
ハードウェアオフロード機能(Checksum Offload、TSO、LROなど)による不具合やNICドライバとの相性が影響する場合があります。 - QoSや帯域管理の誤設定
何らかの理由で、想定以上に厳しい帯域管理がなされてしまい、通信速度が著しく抑えられてしまうことがあります。
問題解決のためのステップバイステップガイド
速度が著しく下がったり、デフォルトゲートウェイが勝手に変わるといった問題を解消するには、以下のステップを順序立てて実施することが重要です。
ステップ1:トラフィックシェイパーとQoS設定の確認
Traffic Shaping設定の無効化
- pfSenseの管理画面にログインし、メニューから「Firewall」→「Traffic Shaper」を開きます。
- もしWizard等で帯域管理を有効にしている場合は、使用目的がなければ「Disable」または「Delete」ルールを選択し、不要なシェイピングがない状態にします。
浮動ルール(Floating Rules)の確認
- pfSenseには「Floating Rules」と呼ばれる仕組みがあり、どのインターフェースにも適用可能なファイアウォールルールが設定できるようになっています。
- もしここに帯域制限やキューに関する設定が含まれている場合、それが原因で通信速度が制限されることがあります。
- 不要なルールがあれば無効化や削除を検討し、必要な場合は帯域幅や優先度が適切に設定されているかを再確認してください。
ステップ2:WAN/LANインターフェースのIPアドレス設定を見直す
デフォルトゲートウェイの設定状況を確認
- 「System」→「Routing」→「Gateways」から、WAN向けのゲートウェイが正しく選択されているか確認します。
- 静的IPを使っている場合は「Gateway」欄がISPから提供された正しいゲートウェイになっているか要チェックです。
複数のゲートウェイが設定されていないか
- 一部の環境では、複数のWANを使って冗長化しているケースがあります。そのような場合、プライマリ回線が不安定と誤判定された際にサブゲートウェイへ切り替わり、IPアドレスやゲートウェイが変わることがあります。
- 不要なゲートウェイがあれば削除する、またはdpingerの監視設定を調整して誤判定を減らすことを検討しましょう。
ステップ3:DHCPの競合を排除する
LAN側DHCPサーバーの設定を確認
- 「Services」→「DHCP Server」から、pfSenseがLAN側でIPアドレスを配布している範囲をチェックします。
- 既存のルーターなどがLANの同一セグメントでDHCPを動作させていると、IPアドレス衝突やゲートウェイが意図せず変わる原因となります。
WAN側DHCPとの競合
- WAN側がDHCP接続になっている場合、ISPから提供されるゲートウェイ情報とローカルで設定している静的ゲートウェイ情報が衝突することがあります。
- 「Interfaces」→「WAN」で「DHCP Client Configuration」をよく確認し、明示的に静的アドレスを使うのであればDHCPクライアントを無効化するなど、設定の一貫性を保つようにしましょう。
ステップ4:MTUおよびMSSの適正値を見直す
MTUチェック方法(例:Windowsでの確認)
Windows端末からpfSenseを経由してインターネットにpingを打ち、適切なパケットサイズを調べることでMTUを推測できます。以下は例です。
ping -f -l 1472 8.8.8.8-fはフラグメントを禁止するオプション-l 1472はICMPエコーリクエストのサイズを指定
もしフラグメントが発生せずに応答が返ってくる最大値が1500 – 28(ICMPヘッダなど)と一致していれば、MTU1500で問題ない可能性が高いです。光回線終端装置やPPPoEでの利用時は1454や1460が最適値になることもあるので、ISPの仕様をチェックしてください。
pfSenseでのMTUとMSS設定
- 「Interfaces」→「[対象インターフェース]」→「Advanced Configuration」からMTUやMSSを設定できます。
- 不具合が疑われる場合は、「MTU」項目を空欄(デフォルト)に戻して再度テストを行うのも有効です。
ステップ5:pfSenseのシステムログ・ファイアウォールログの徹底確認
ログのチェックポイント
- 「Status」→「System Logs」→「System」や「Firewall」を開き、異常や警告を示すメッセージがないか探します。
- 速度低下や切断が起こる時間帯とログのタイムスタンプを照らし合わせ、怪しいログを追跡します。
- 「dpinger」関連のログが頻発していないかを確認します。dpingerがWANを“不達”と判定してゲートウェイを切り替えている場合、誤動作が起きている可能性があります。
dpinger設定の見直し
- 「System」→「Routing」→「Gateways」で各ゲートウェイの「Advanced」設定を開くと、dpingerのタイムアウトや遅延閾値を細かく設定できます。
- WAN回線のレスポンスタイムが少し遅いだけでdpingerが回線ダウンと判定してしまうと、ゲートウェイ切り替えのループが発生してIP情報が変わってしまいます。
- タイムアウトを長めに設定する、モニターIPをISPのDNSなど応答が安定しているものに変更する、といった対策が有効です。
ステップ6:pfSenseのバージョンおよびパッチ更新
バージョン確認とアップデート手順
- 「System」→「Updates」から現在のpfSenseバージョンと最新安定版を確認してください。
- バージョン2.7.x系統を利用している場合でも、マイナーバージョンやパッチで不具合が修正されている可能性があります。
- 新しいリリースではセキュリティや互換性向上のための修正が含まれることが多く、速度低下やゲートウェイ関連のバグが直っているケースもあります。
ステップ7:物理デバイスの再起動・ハードウェアチェック
再起動で解決するケース
- pfSense本体やスイッチ、モデムなど、ネットワーク構成機器をすべて電源OFF→ONで再起動すると、キャッシュやセッションがクリアされ、問題が自然と解消することがあります。
- 特に長期間稼働させ続けている場合は、メモリリークやドライバの不具合が蓄積していることもあるので試してみてください。
ハードウェアオフロード機能の確認
- 「System」→「Advanced」→「Networking」にある「Hardware Checksum Offloading」や「Hardware TCP Segmentation Offloading」、「Hardware Large Receive Offloading」などのオプションを無効にする方法があります。
- オフロード機能が原因で速度が低下することもあるため、怪しい場合は一度無効にして再テストしてみましょう。
ステップ8:公式サポート・コミュニティフォーラムでの情報収集
pfSenseは活発なコミュニティを持っています。公式フォーラム(https://forum.netgate.com/)やRedditのr/pfSenseなどで同様の症状を検索すると、類似事例とその解決策が見つかることがあります。特に、以下のような観点で検索すると効果的です。
- 回線速度が極端に低下する事例
- dpingerやゲートウェイが頻繁に切り替わる事例
- ハードウェアオフロード問題
- 特定のNICドライバに関連する不具合
問題解決が難しい場合は、フォーラムに設定情報(できる範囲でセキュリティ情報を伏せた上で)やログファイルの抜粋を提示すると、有益なアドバイスを得られやすいです。
実践的なトラブルシューティング例
ここでは、実際の操作例やポイントをさらに具体的に示します。表やコマンド例を用いながら、問題発生時に手早く原因を切り分けるフローを紹介します。
1. 回線切断と速度低下を切り分けるフロー
下表のように、手順ごとにチェックポイントを整理するとスムーズに原因を特定できます。
| チェック項目 | 確認方法 | 次のアクション |
|---|---|---|
| WANインターフェースステータス | 「Status」→「Interfaces」でリンクがUPかDOWNかを確認 | DOWNなら物理ケーブルやモデムをチェック |
| dpingerのログ | 「Status」→「System Logs」→「Gateway」で異常ログを探す | 頻繁に応答なしとなっているならゲートウェイ監視を調整 |
| Traffic Shaper有効化状況 | 「Firewall」→「Traffic Shaper」 | 不要ならDisableして速度を再テスト |
| DHCP割り当て状況 | 「Services」→「DHCP Server」→「Leases」でクライアントIP確認 | 重複IPがあれば修正。競合している機器がないかチェック |
| MTUテスト | Windowsからping -f -lコマンドなどでフラグメント確認 | 適正なMTUやMSS値に調整 |
| ハードウェアオフロード | 「System」→「Advanced」→「Networking」 | 全て無効にして速度と安定性を再度評価 |
2. ゲートウェイが勝手に変わる際の対策コマンド例
pfSenseのDiagnostics機能を活用すると、ルーティングテーブルを簡単に確認できます。例えば、Web GUIで「Diagnostics」→「Command Prompt」で以下のコマンドを実行します。
netstat -rnDestinationに対してどのGatewayが設定されているか一覧表示されます。- WAN側とLAN側で想定しないルートが入っていないか、Defaultで複数のルートが混在していないかを確認してください。
もし想定外のゲートウェイが表示されている場合は、「System」→「Routing」→「Gateways」や「Routing Tables」から不要ルートを削除するか、dpinger監視を正しく設定し直しましょう。
快適な速度を維持するための追加のヒント
NICドライバのアップデート
pfSenseはFreeBSDベースで動作しています。サーバー用NICなど一部のドライバはバージョンによって挙動が不安定になる場合があります。そこで、次のような対策を検討すると良いでしょう。
- Intel製NICを使用する場合は、Intel公式のドキュメントやpfSenseフォーラムで互換性情報を収集する。
- 余裕があれば他のNICや別のスロット(PCIe x1→x4など)を試し、安定性や速度が変わるか比較する。
QoSの細分化とメリハリのある帯域管理
全くQoSを使わないのも手ですが、VoIPや特定のアプリケーションのみ優先度を上げる設定など、帯域を上手く割り当てることで「遅いと感じる時間帯」を改善できる場合があります。ただし、大雑把にトラフィックシェイピングを使うと逆効果になることもあるため、慎重に設計してください。
NATリフレクションやDNSリバインド保護などの細かい機能の影響
pfSenseにはNATリフレクションやDNSリバインド攻撃対策など、細やかな機能が存在します。これらが原因で特定のウェブアプリにアクセスしづらくなったり、DNSがうまく引けずに見かけ上速度が落ちるケースもあります。問題が特定のアプリやドメインで起きる場合は、これらの機能を一時的にOFFにして動作を比べてみるのも一案です。
まとめ:pfSenseで安定した高速通信を実現するには
pfSenseを導入している環境で大きな速度低下や回線切断が起こる場合、その原因は多岐にわたります。トラフィックシェイパーやQoSの設定からゲートウェイ監視の誤動作、DHCPの競合やMTUの不一致など、チェックすべき項目を一つひとつ潰していくことが重要です。特にゲートウェイが勝手に切り替わる症状はdpingerの誤判定が多くの事例で報告されているため、ゲートウェイ監視の設定や複数ゲートウェイの使用状況を慎重に確認しましょう。また、ハードウェアオフロード機能やNICドライバの相性は速度や安定性に大きく影響するため、アップデートや無効化のテストを行う価値があります。
最後に、pfSenseはコミュニティのサポートが充実しているため、設定変更で改善しない場合は公式フォーラムやネット上の事例を探すことも有力な手段です。最先端のpfSenseコミュニティは多くのナレッジを蓄積しており、自分と全く同じ症状を抱えたユーザーの成功例・失敗例が見つかる可能性は大いにあります。ぜひ本記事を参考にトラブルシューティングを進め、快適なネットワーク環境を取り戻してください。
コメント