関連トピック
BOVPN トンネルを監視およびトラブルシューティングする
Branch office VPN (BOVPN) VPN トンネルでは、両方の VPN エンドポイントで、信頼性の高い接続と同じ VPN 構成設定が必要です。構成エラーやネットワーク接続の問題は、Branch Office VPN トンネルの不具合の原因となります。
VPN トンネル ステータスを監視する
Fireware Web UI から、Branch Office VPN トンネルの現在のステータスを監視するには、システム ステータス > VPN 統計 の順に選択します。VPN トンネル接続が失敗した場合に、ステータスと VPN 診断メッセージを表示するには、ゲートウェイまたはトンネルをクリックします。このページでは、VPN トンネルのキーの再生成を強制すること、または VPN ゲートウェイの VPN 診断レポートを実行することもできます。
Fireware Web UI から、VPN ステータスを監視する方法の詳細については、次を参照してください:VPN 統計。
Firebox に接続していれば、Firebox System Manager の フロント パネル タブまたは WatchGuard System Manager の デバイス ステータス タブで、Branch Office VPN トンネルの現在のステータスを見ることができます。VPN トンネル接続が失敗した場合に、ゲートウェイとトンネルのステータス、および VPN 診断メッセージを見るには、ゲートウェイを展開します。Firebox System Manager で、ゲートウェイを右クリックすると、VPN 診断レポートを実行すること、または関連するすべてのトンネルのキーの再生成を強制することができます。
Firebox System Manager で、VPN ステータスを監視する方法の詳細については、次を参照してください:VPN トンネルのステータスと登録サービス。
VPN 診断メッセージおよびレポートを使用する
Branch Office VPN トンネルの問題をトラブルシューティングするには、以下の手順を実行します:
Branch Office VPN のエンドポイントが有効化されていること、および VPN 設定が一致していることを確認しても、VPN が正しく動作しない場合は、Branch Office VPN の問題の原因となり得る他の状態、および VPN の可用性を高める対策を検討してください。
詳細については、次を参照してください:Branch Office VPN トンネル可用性の向上。
レスポンダーを監視する
VPN を構成する際、Firebox にトンネル経由でトラフィックをルーティングする必要性が発生するまで、トンネルは確立されません。トンネル経由でトラフィックのルーティングを最初に試みるゲートウェイ エンドポイントが、トンネル ネゴシエーションを開始します。すべての Branch Office VPN ネゴシエーションにおいて、各ゲートウェイ エンドポイントは以下の 2 つの役割うちの 1 つを担当します。
- イニシエータ は、トンネル ネゴシエーションを開始するエンドポイントです。これは、フェーズ 1 とフェーズ 2 のプロポーザルをリモート エンドポイントに送信して、ネゴシエーションを開始します。
- レスポンダー は、VPN フェーズ 1 とフェーズ 2 のプロポーザルを受信し、そのプロポーザルがローカルで構成された設定と一致しているかどうかに基づいて、それを受け入れるか拒否するかを決定します。
Branch Office VPN のトラブルシューティングを行う際は、VPN 診断メッセージを見て、レスポンダーで VPN 診断レポートを実行すると便利です。レスポンダーにはイニシエータから提案された設定とローカルで構成された設定の両方に関する情報が備わっているため、VPN 診断メッセージとレスポンダーの VPN 診断レポートを確認することで、より完全な情報を得ることができます。
BOVPN で IKEv2 が使用されている場合は、レスポンダーからの診断ログ メッセージに、一致しない設定に関するより完全な情報が含まれます。IKEv2 設定の詳細については、次を参照してください:IPSec VPN フェーズ 1 の設定を構成する。
トンネル ネゴシエーションを監視する際に、Firebox をレスポンダーとするには、以下を実行できます:
- リモートネットワークのデバイスがトンネル経由でトラフィックの送信を試みるようにする。
- リモートゲートウェイ エンドポイントの管理者に依頼して、強制的にトンネルのキーを再生成する。
IPSec VPN ネゴシエーションの詳細については、次を参照してください:IPSec VPN ネゴシエーションについて。
トンネル ルートの制限について
Firebox でサポートできるアクティブなトンネル ルート数以上の Branch Office VPN トンネル ルートを構成することができます。Firebox では、機能キーのライセンスで設定されている最大数以上の Branch Office VPN トンネル ルートを確立することはできません。デバイスが制限数を超える数の BOVPN トンネルを確立しようとすると、ログ ファイルに次のメッセージが表示されます:
ライセンス機能 (BOVPN_TUNNEL) の強制:トンネルの最大数に達しました。
フロント パネル タブの Firebox System Manager、および システム ステータス > VPN 統計 ページの Fireware Web UI に警告が表示されます。
トンネル ライセンス数の制限の詳細については、次を参照してください:VPN トンネルの容量およびライセンス。
その他のトラブルシューティング ツール
確立された VPN トンネル経由でネットワーク リソースに接続できない場合は、ネットワーク接続をトラブルシューティングする で、問題を特定して解決するための他の手順を参照してください。