関連トピック
Mobile VPN with L2TP のトラブルシューティング
このトピックでは、Mobile VPN with L2TP に関連して遭遇する可能性がある一般的な問題と、それらの解決に最もよく使用される解決策を説明します。VPN クライアントが接続を確立した後も、ネットワークまたはポリシーの構成に問題があるために、クライアント トラフィックが一部のネットワーク リソースに到達できないことがあります。
VPN クライアントがネットワーク リソースに IP アドレスを使って接続することはできても、名前では接続できない場合、クライアント デバイス上でネットワークの WINS および DNS 情報が正しく設定されていない可能性があります。Firebox は、グローバル WINS および DNS 設定で構成されている WINS/DNS の IP アドレスを、クライアント デバイスに自動的に提供します。
Fireware Web UI で WINS および DNS の IP アドレスを構成する方法の詳細については、次を参照してください:WINS および DNS サーバーを構成する。
ユーザーが部分指定のホスト名を使用すると内部ネットワーク リソースに接続できず、完全修飾ドメイン名を使用すれば接続できる場合は、クライアント側で DNS サフィックスが定義されていないことを意味します。
DNS サフィックスが割り当てられていないクライアントは、DNS 名全体を使って名前を IP アドレスに解決する必要があります。たとえば、ターミナルサーバーの DNS 名が RDP.example.net の場合、ユーザーがアドレスに RDP だけ入力しても、ターミナル サーバー クライアントには接続できません。ユーザーは DNS サフィックスの example.net も入力する必要があります。
この問題を解決するには、お使いの PC が VPN に接続されているときにホスト名を解決するのに使用する DNS サフィックスを指定する必要があります。詳しくは、WatchGuard ナレッジベースの L2TP VPN クライアントの DNS 設定を構成する を参照してください。
L2TP ルートは、クライアント コンピュータで定義されます。Windows クライアントで リモートネットワークで既定のゲートウェイを使用する チェック ボックスをオンにしない場合、クライアント コンピュータがトラフィックを VPN トンネル経由で送るのは、トラフィックの宛先がクライアント コンピュータに割り当てられた仮想 IP アドレスの /24 サブネットにある場合のみです。たとえば、クライアントに仮想 IP アドレス 10.0.1.225 が割り当てられている場合、10.0.1.0/24 ネットワークを宛先とするトラフィックは、VPN トンネル経由で送られますが、10.0.2.0 宛てのトラフィックはそのようにルーティングされません。
このオプションを構成する方法の詳細については、次を参照してください:Mobile VPN with L2TP トンネル経由のインターネット アクセス オプション。
Mobile VPN with L2TP を有効にすると、Allow-L2TP-Users ポリシーが自動的に作成され、L2TP クライアントから内部または外部ネットワーク リソースへのトラフィックが許可されます。このポリシーを無効にするかまたは削除した場合、クライアントは内部または外部ネットワークにトラフィックを送信できません。
このポリシーの詳細については、次を参照してください:L2TP ポリシーについて。
認証サーバーを確認して、ユーザーが L2TP-Users グループのメンバーであることを確認します。OS のバージョンによっては、L2TP ユーザーが違うグループに属していても、接続できる場合があります。ユーザー認証に RADIUS を使用する場合、RADIUS サーバーはグループのメンバーシップを Filter-ID 属性として返す必要があります。
Mobile VPN with L2TP におけるユーザー認証の詳細については、次を参照してください:L2TP ユーザー認証について。
認証サーバーを確認して、ユーザーが L2TP-Users グループのメンバーであることを確認します。ユーザーが正しいグループに所属していない場合、Windows の接続がエラー コード 691 を返すことがあります。この種類のエラーが発生した場合、Firebox のログ ファイルには次のようなメッセージが含まれます:
2014-08-14 13:01:44 admd 198.51.100.2 からの L2TPVPN ユーザー [johndoe@Firebox-DB] の認証を拒否。ユーザーは正しいグループに所属していない id="1100-0005" イベント
これらのユーザーの認証に RADIUS を使用する場合、RADIUS サーバーはグループのメンバーシップを Filter-ID 属性として返す必要があります。
Mobile VPN with L2TP におけるユーザー認証の詳細については、次を参照してください:L2TP ユーザー認証について。
VPN クライアントがネットワークの特定の部分に接続できても、他の部分に接続できない場合、または、ログ メッセージはトラフィックが許可されていることを示しているのに接続できない場合は、ルーティング問題の可能性が考えられます。以下の各項目が当てはまるかどうかを確認してください。
- Mobile VPN with L2TP クライアントの仮想 IP アドレス プールは、内部ネットワーク ユーザーに割り当てられた IP アドレスと重複していない。
- 仮想 IP アドレス プールは、Firebox で構成された他のルーティング ネットワークや VPN ネットワークと重複していない。
- Mobile VPN with L2TP ユーザーがルーティング ネットワークまたは VPN ネットワークにアクセスする必要がある場合、該当するルーティングまたは VPN ネットワーク内のホストに仮想 IP アドレス プールへの有効なルートが与えられているか、Firebox がそれらのホストの既定のインターネット ルートになる必要があります。
IP アドレス プールの構成方法の詳細については、次を参照してください:Mobile VPN with L2TP 構成を編集する。
確立された VPN トンネル経由でネットワーク リソースに接続できない場合は、ネットワーク接続をトラブルシューティングする で、問題を特定して解決するための他の手順を参照してください。