Contents

関連トピック

Mobile VPN with IPSec のトラブルシューティング

このトピックでは、Mobile VPN with IPSec に関連して遭遇する可能性がある一般的な問題と、それらの解決に最もよく使用される解決策を説明します。IPSec VPN クライアントが接続を確立した後も、ネットワークまたはポリシーの構成に問題があるために、クライアント トラフィックが一部のネットワーク リソースに到達できないことがあります。

VPN クライアントは接続できるが、ユーザーが内部リソースの名前を使用するとそれらに接続できない。Closed

VPN クライアントがネットワーク リソースに IP アドレスを使って接続することはできても、名前では接続できない場合、クライアント デバイス上でネットワークの WINS および DNS 情報が正しく設定されていない可能性があります。Firebox は、Firefox 上でグローバル WINS および DNS 設定に構成されている WINS/DNS の IP アドレスを、クライアント デバイスに自動的に提供します。

WINS および DNS IP アドレスを構成する方法の詳細については、次を参照してください:WINS および DNS サーバーを構成する

VPN クライアントは接続できるが、VPN ユーザーが部分指定のホスト名を使用すると内部リソースに接続できない。Closed

ユーザーが部分指定のホスト名を使用すると内部ネットワーク リソースに接続できず、完全修飾ドメイン名を使用すれば接続できる場合は、クライアント側で DNS サフィックスが定義されていないことを意味します。Shrew Soft クライアント、WatchGuard Mobile VPN with IPSec (NCP) クライアントまたはサポートされているその他のクライアントで Mobile VPN with IPSec を使用するときは、Firebox はその Firebox に構成されている DNS 設定を VPN クライアントに割り当てます。DNS サフィックスは割り当てません。

DNS サフィックスが割り当てられていないクライアントは、DNS 名全体を使ってアドレスを解決する必要があります。たとえば、ターミナルサーバーの DNS 名が RDP.example.net の場合、ユーザーがアドレスに RDP だけ入力しても、ターミナルサーバー クライアントには接続できません。ユーザーは DNS サフィックスの example.net も入力する必要があります。

この問題を解決するために、Mobile VPN クライアントの構成に DNS サフィックスを追加することができます。この手順については、WatchGuard ナレッジベースで以下の記事を参照してください:

WatchGuard IPSec Mobile VPN クライアントで DNS を構成する

Shrew Soft IPSec VPN クライアントで DNS を構成する

Android デバイスから VPN 接続するために DNS 設定を構成する

VPN クライアントは接続できるが、トラフィックをやりとりできない。グループ メンバーシップが原因で、未処理の MUVPN パケット ログ メッセージが生成される。Closed

Mobile VPN に使用されている認証サーバーを調べて、ユーザーが属するグループ名が Mobile VPN with IPSec グループのプロファイル名と完全に一致することを確認します。たとえば、Mobile VPN with IPSec グループのプロファイル名が ipsec-users で、Active Directory ドメインを使用するように構成されている場合、Active Directory サーバー上で、各 Mobile VPN ユーザーが ipsec-users グループのメンバーであることを確認する必要があります。Active Directory グループの名前と大文字小文字指定が、Mobile VPN with IPSec グループの名前と完全に一致することを確認します。

RADIUS、SecurID および VASCO 認証の場合、認証サーバーはグループ メンバーシップを Filter-ID 属性として返す必要があります。

Mobile VPN with IPSec グループ メンバーシップの詳細については、次を参照してください:外部認証サーバーを構成する

VPN クライアントは接続できるが、トラフィックをやりとりできない。ポリシーの構成に間違いがあるために、未処理の MUVPN パケット ログ メッセージが生成される。Closed

最初に Mobile VPN with IPSec プロファイルを作成したときに、Mobile VPN 構成の 許可されたリソース セクションで定義されたすべてのネットワークへのトラフィックを、すべてのポートおよびプロトコル上で許可する、というポリシーが自動的に作成されます。後から Mobile VPN with IPSec プロファイルで許可されたリソースを変更した場合は、Mobile VPN with IPSec ポリシーの許可されたリソースも編集し、変更後の Mobile VPN with IPSec プロファイルに指定されているネットワーク アドレスに一致させる必要があります。

ポリシーの編集方法の詳細については、次を参照してください:IPSec Mobile VPN トラフィックをフィルタリングするポリシーを構成する

VPN クライアントは接続可能で、トラフィックも許可されているように見えるが、クライアントは応答をまったく受信できないか、一部のネットワーク リソースへの接続に失敗する。Closed

VPN クライアントがネットワークの特定の部分に接続できるが、他の部分には接続できない場合、または、ログ メッセージはトラフィックが許可されていることを示しているのに接続に失敗する場合は、ルーティング問題の可能性が考えられます。以下の各項目が当てはまるかどうかを確認してください。

  • Mobile VPN with IPSec クライアントの仮想 IP アドレス プールは、内部ネットワーク ユーザーに割り当てられた IP アドレスと重複していない。
  • 仮想 IP アドレス プールは、Firebox で構成された他のルーティング ネットワークや VPN ネットワークと重複していない。
  • Mobile VPN with IPSec ユーザーがルーティング ネットワークまたは VPN ネットワークにアクセスする必要がある場合、該当するルーティング ネットワークまたは VPN ネットワーク内のホストに仮想 IP アドレス プールへの有効なルートが与えられているか、Firebox がそれらのホストの既定のインターネット ルートである必要があります。

仮想 IP アドレス プールの構成方法の詳細については、次を参照してください:IPSec グループ プロファイルを使用して既存の Mobile VPN を変更する

確立された VPN トンネル経由でネットワーク リソースに接続できない場合は、ネットワーク接続をトラブルシューティングする で、問題を特定して解決するための他の手順を参照してください。

フィードバックの送信     サポートのリクエスト     全製品ドキュメント     技術検索

© 2018 WatchGuard Technologies, Inc. All rights reserved.W WatchGuard、WatchGuard ロゴ、WatchGuard Dimension、Firebox、Core、Fireware および LiveSecurity は、米国および他の国における WatchGuard Technologies の登録商標または商標です.