関連トピック
Mobile VPN with IPSec のトラブルシューティング
このトピックでは、Mobile VPN with IPSec に関連して遭遇する可能性がある一般的な問題と、それらの解決に最もよく使用される解決策を説明します。IPSec VPN クライアントが接続を確立した後も、ネットワークまたはポリシーの構成に問題があるために、クライアント トラフィックが一部のネットワーク リソースに到達できないことがあります。
VPN クライアントがネットワーク リソースに IP アドレスを使って接続することはできても、名前では接続できない場合、クライアント デバイス上でネットワークの WINS および DNS 情報が正しく設定されていない可能性があります。Firebox は、Firefox 上でグローバル WINS および DNS 設定に構成されている WINS/DNS の IP アドレスを、クライアント デバイスに自動的に提供します。
WINS および DNS IP アドレスを構成する方法の詳細については、次を参照してください:WINS および DNS サーバーを構成する。
ユーザーが部分指定のホスト名を使用すると内部ネットワーク リソースに接続できず、完全修飾ドメイン名を使用すれば接続できる場合は、クライアント側で DNS サフィックスが定義されていないことを意味します。Shrew Soft クライアント、WatchGuard Mobile VPN with IPSec (NCP) クライアントまたはサポートされているその他のクライアントで Mobile VPN with IPSec を使用するときは、Firebox はその Firebox に構成されている DNS 設定を VPN クライアントに割り当てます。DNS サフィックスは割り当てません。
DNS サフィックスが割り当てられていないクライアントは、DNS 名全体を使ってアドレスを解決する必要があります。たとえば、ターミナルサーバーの DNS 名が RDP.example.net の場合、ユーザーがアドレスに RDP だけ入力しても、ターミナルサーバー クライアントには接続できません。ユーザーは DNS サフィックスの example.net も入力する必要があります。
この問題を解決するために、Mobile VPN クライアントの構成に DNS サフィックスを追加することができます。この手順については、WatchGuard ナレッジベースで以下の記事を参照してください:
WatchGuard IPSec Mobile VPN クライアントで DNS を構成する
Mobile VPN に使用されている認証サーバーを調べて、ユーザーが属するグループ名が Mobile VPN with IPSec グループのプロファイル名と完全に一致することを確認します。たとえば、Mobile VPN with IPSec グループのプロファイル名が ipsec-users で、Active Directory ドメインを使用するように構成されている場合、Active Directory サーバー上で、各 Mobile VPN ユーザーが ipsec-users グループのメンバーであることを確認する必要があります。Active Directory グループの名前と大文字小文字指定が、Mobile VPN with IPSec グループの名前と完全に一致することを確認します。
RADIUS、SecurID および VASCO 認証の場合、認証サーバーはグループ メンバーシップを Filter-ID 属性として返す必要があります。
Mobile VPN with IPSec グループ メンバーシップの詳細については、次を参照してください:外部認証サーバーを構成する。
最初に Mobile VPN with IPSec プロファイルを作成したときに、Mobile VPN 構成の 許可されたリソース セクションで定義されたすべてのネットワークへのトラフィックを、すべてのポートおよびプロトコル上で許可する、というポリシーが自動的に作成されます。後から Mobile VPN with IPSec プロファイルで許可されたリソースを変更した場合は、Mobile VPN with IPSec ポリシーの許可されたリソースも編集し、変更後の Mobile VPN with IPSec プロファイルに指定されているネットワーク アドレスに一致させる必要があります。
ポリシーの編集方法の詳細については、次を参照してください:IPSec Mobile VPN トラフィックをフィルタリングするポリシーを構成する。
VPN クライアントがネットワークの特定の部分に接続できるが、他の部分には接続できない場合、または、ログ メッセージはトラフィックが許可されていることを示しているのに接続に失敗する場合は、ルーティング問題の可能性が考えられます。以下の各項目が当てはまるかどうかを確認してください。
- Mobile VPN with IPSec クライアントの仮想 IP アドレス プールは、内部ネットワーク ユーザーに割り当てられた IP アドレスと重複していない。
- 仮想 IP アドレス プールは、Firebox で構成された他のルーティング ネットワークや VPN ネットワークと重複していない。
- Mobile VPN with IPSec ユーザーがルーティング ネットワークまたは VPN ネットワークにアクセスする必要がある場合、該当するルーティング ネットワークまたは VPN ネットワーク内のホストに仮想 IP アドレス プールへの有効なルートが与えられているか、Firebox がそれらのホストの既定のインターネット ルートである必要があります。
仮想 IP アドレス プールの構成方法の詳細については、次を参照してください:IPSec グループ プロファイルを使用して既存の Mobile VPN を変更する。
確立された VPN トンネル経由でネットワーク リソースに接続できない場合は、ネットワーク接続をトラブルシューティングする で、問題を特定して解決するための他の手順を参照してください。