関連トピック
Mobile VPN with SSL のトラブルシューティング
このトピックでは、Mobile VPN with SSL に関連して遭遇する可能性がある一般的な問題と、それらの解決に最もよく使用される解決策を説明します。VPN クライアントが接続を確立した後も、ネットワークまたはポリシーの構成に問題があるために、クライアント トラフィックが一部のネットワーク リソースに到達できないことがあります。
VPN クライアントがリソースに IP アドレスを使って接続することはできても、名前では接続できない場合、接続先の名前を解決できるように有効な DNS および/または WINS サーバーの IP アドレスをクライアントに提供する必要があります。クライアントが Firebox に接続し、有効な 仮想 IP アドレスを受け取るときに、デバイスのグローバル構成または Mobile VPN with SSL 構成に設定されている DNS および WINS サーバーの IP アドレスも受け取ります。
WINS および DNS IP アドレスを構成する方法の詳細については、次を参照してください:Mobile VPN with SSL の名前解決。
ユーザーが部分指定のホスト名を使用すると内部ネットワーク リソースに接続できず、完全修飾ドメイン名を使用すれば接続できる場合は、クライアント側で DNS サフィックスが定義されていないことを意味します。Mobile VPN with SSL の使用中、Firebox は Firebox の Mobile VPN with SSL 設定に構成されている WINS、DNS、および DNS サフィックスをクライアント デバイスに割り当てます。
DNS サフィックスが割り当てられていないクライアントは、DNS 名全体を使って名前を IP アドレスに解決する必要があります。たとえば、ターミナルサーバーの DNS 名が RDP.example.net の場合、ユーザーがアドレスに RDP だけ入力しても、ターミナルサーバー クライアントには接続できません。ユーザーは DNS サフィックスの example.net も入力する必要があります。
Mobile VPN with SSL の DNS の詳細については、次を参照してください:Mobile VPN with SSL の名前解決。
Mobile VPN with SSL 構成に WINS と DNS の設定を指定しない場合は、SSL VPN クライアントに WINS および DNS サーバーの情報を割り当て、Firebox で DNS サフィックスを構成します。
Firebox の WINS/DNS 設定に DNS サフィックスを指定しても、Mobile VPN with SSL 設定に DNS サフィックスを指定しなければ、VPN クライアントは DNS サフィックスを受け取りません。ただし、Mobile VPN with SSL 構成にある他のいずれの WINS / DNS 設定も構成されていない場合は例外となります。
WINS/ DNS の設定を構成する方法の詳細については、次を参照してください:WINS サーバーおよび DNS サーバーの IP アドレスを追加する。
Mobile VPN with SSL 接続を経由するクライアント トラフィックが未処理パケットとして拒否された場合、その問題はほぼ常にグループ メンバーシップに関係しています。既定では、Mobile VPN with SSL を使用するユーザーは SSLVPN-Users という名前のグループのメンバーでなければなりません。RADIUS、SecurID または VASCO サーバーを使用する場合、サーバーは Filter-ID 属性としてグループ メンバーシップを返す必要があります。
外部認証サーバーを構成する方法の詳細については、次を参照してください:外部認証サーバーを構成する。
Mobile VPN with SSL を有効にすると、Allow-SSL-Users ポリシーが自動的に作成され、クライアントから内部または外部ネットワーク リソースへのトラフィックが許可されます。このポリシーを無効にするかまたは削除した場合、クライアントは内部または外部ネットワークにトラフィックを送信できません。
この問題を解決するには、ポリシーが存在し、ネットワーク リソースへのトラフィックが許可されていることを確認します。
このポリシーの詳細については、次を参照してください:Mobile VPN with SSL 用に Firebox を構成する。
Mobile VPN with SSL のネットワーク設定で VPN トラフィックのルーティング を選択した場合、Firebox は Mobile VPN with SSL クライアントから許可されたネットワークやリソースにトラフィックをルーティングします。
Mobile VPN with SSL クライアント が v11.10 以降であることを確認してください。Mobile VPN with SSL クライアント v11.10 以降は 24 以上のルートをサポートします。古いバージョンの Mobile VPN with SSL クライアントは、最大 24 までルートをサポートします。
v11.9.x 以前の Mobile VPN with SSL クライアントを使用するユーザーの場合は、Mobile VPN with SSL クライアントの構成に含めるリソースへのルート数が 24 未満でなければなりません。ネットワークまたは許可されたリソース数の合計が 24 を超えている場合、VPN クライアントは許可されたリソースの一部にトラフィックをルーティングできなくなります。v11.9.x 以前の Mobile VPN with SSL クライアントを使用するユーザーでは、以下に該当する場合、Mobile VPN with SSL の構成に含まれるルート数が多すぎる可能性があります:
- Mobile VPN with SSL 構成で、信頼済み、任意のネットワークおよび VLAN 経由で接続したネットワークへのアクセスを許可する を選択し、許可されたリソース リストに 24 以上のリソースが含まれている場合。
- Mobile VPN with SSL 構成で、許可されたリソースを指定する を選択し、24 以上のリソースを追加した場合。
2 つの DNS サーバー、2 つの WINS サーバー、およびドメイン サフィックスをすべて構成した場合は、WINS と DNS の設定により最高 5 つのルートが加算されます。その結果、クライアントがルーティングを許可されるリソースの数はさらに少なくなります。
ルート数を減らす方法として、生成されるルート数が少なくなるように許可されたリソースを指定することができます。これには、許可されたリソースを指定する を選択し、次にスーパーネットを使用し、エントリを少なくして許可されたリソースを指定します。たとえば、許可されたリソース リストに 192.168.1.0/24、192.168.25.0/24 および 192.168.26.0/24 のリソースが含まれている場合、192.168.1.0 から 192.168.31.255 までのすべてのアドレスが含まれた 1 つのリソース 192.168.0.0/22 としてこれを表すことができます。
Mobile VPN with SSL のリソースを指定する方法の詳細については、次を参照してください:Mobile VPN with SSL 用に Firebox を構成する。
このログ メッセージは、Mobile VPN with SSL クライアントがその サーバー テキスト ボックスに指定された IP アドレスに HTTPS 接続できないことを意味します。Firebox のポリシー構成で、Any-External から Firebox への接続が許可されていること、および Mobile VPN with SSL の仮想 IP アドレス プールとして構成した IP アドレスからのトラフィックを処理するポリシーが他に存在しないことを確認します。
Mobile VPN with SSL 構成の 構成 チャンネルに 443 以外の TCP ポートが指定されている場合、モバイル ユーザーは Mobile VPN with SSL クライアントの サーバー テキスト ボックスにこのポート番号をアドレスの一部として指定する必要があります。たとえば、構成 チャンネルが TCP 444 の場合、203.0.113.2:444 のように指定します。
コンピュータのオペレーティング システムが TLS 1.1 をサポートしていないか、TLS 1.1 が有効になっていない場合にこのエラー メッセージが表示される可能性があります。Mobile VPN with SSL には TLS 1.1 以降が必要です。Windows XP と Vista、および Mac OS v10.9 以前は TLS 1.1 をサポートしていません。Windows 7 では、以下の手順に従い手動で TLS 1.1 を有効にする必要があります:
- Windows コントロール パネルで インターネット オプション > 詳細 の順に選択します。
- TLS 1.1 を使用する および TLS 1.2 を使用する チェックボックスを選択します。
TLS および Mobile VPN with SSL の詳細については、WatchGuard ナレッジベースの 一部の Windows と Mac OS X バージョンで Mobile VPN with SSL 接続が失敗する を参照してください。
この問題はインバウンド HTTPS トラフィックの静的 NAT アクションによるものか、クライアント認証の問題の可能性があります。
静的 NAT アクションを実行する HTTPS ポリシーが Firebox 構成に含まれている場合、Firebox は HTTPS 要求を受け取るとそれを内部サーバーに転送します。これが Mobile VPN with SSL クライアントからのトラフィックに発生した場合、VPN クライアントは接続に失敗し、ユーザーに認証失敗メッセージを表示します。
(SSLVPN 認証失敗) サーバーから構成をダウンロードできませんでした。最後の構成を使用して接続を試みますか?
構成のポリシーを調べて、Mobile VPN with SSL クライアントが使用するポート上の HTTPS 要求を別のサーバーに転送しないことを確認します。
この認証エラー メッセージが認証問題を意味する場合もあります。
クライアント認証をトラブルシューティングするには、以下の手順を実行します。
- Firebox に接続できない。
- Mobile VPN with SSL 構成 を確認する
- 構成されているプライマリおよびバックアップ IP アドレスを書き留めます。
このアドレスはドメイン名の場合もあります。ドメイン名の場合、解決後の IP アドレスを確認します。 - 構成されている 構成 チャンネルの TCP ポートを書き留めます。
- Web ブラウザで、https://<ip-address> または https://<ip-address>/sslvpn.html と入力します。この <ip-address> は、Mobile VPN with SSL 構成にあるプライマリ IP アドレスです。構成 チャンネルの TCP ポートが 443 でない場合は、アドレスの後ろにコロンで区切ってポート番号を追加します。たとえば、構成チャンネルが TCP ポート 444 である場合は、ブラウザに https://<ip-address>:444 または https://<ip-address>:444/sslvpn.html と入力します。
- Firebox の WatchGuard Authentication Portal ページが表示された場合は、ステップ 6 に進みます。
- WatchGuard Authentication Portal 以外のページが表示された場合は、Firebox の構成を調べて、トラフィックがこの場所に転送された理由を特定します。VPN に構成されている IP アドレスを変更することを検討してください。
- WatchGuard Authentication Portal ページで、クライアントの認証情報を使ってログインします。
複数の種類の認証が構成されている場合、または使用する認証サーバーが既定のオプションではない場合は、ドロップダウン リストから認証サーバーを選択します。- ユーザー認証に成功した場合は、ステップ 7 に進みます。
- ユーザー認証に失敗した場合は、Firebox または外部認証サーバーでユーザーの認証情報を確認します。外部認証サーバーのユーザーについては、そのサーバーを使用する他のユーザーがログインできるかどうかを確認します。認証全般に問題がある可能性があります。
- Web ブラウザで https://<ip-address> または https://<ip-address>/sslvpn.html と入力します。構成 チャンネルの TCP ポートが 443 でない場合は、アドレスの後ろにコロンで区切ってポート番号を追加します。
たとえば、構成 チャンネルが TCP ポート 444 の場合、https://<ip-address>:444 または https://<ip-address>:444/sslvpn.html と入力します。
WatchGuard Authentication Portal が表示されます。 - ステップ 5で使用したクライアントの認証情報を使用してログインします。
Mobile VPN with SSL 専用の認証ページではユーザー認証に失敗しても、WatchGuard Authentication Portal ページでは同じ認証情報で成功するなら、これはほぼ確実にグループ メンバーシップの問題です。ユーザーが Mobile VPN with SSL に構成されたグループのメンバーであることを確認します。既定では、このグループは SSLVPN-Users です。
Fireware v11.12 以降では、SSL VPN 認証ポータルの URL は https://<ip-address>/sslvpn_logon.shtml にリダイレクトされます。
VPN クライアントがネットワークの特定の部分に接続できても、他の部分に接続できない場合、または、ログ メッセージはトラフィックが許可されていることを示しているのに接続できない場合は、ルーティング問題の可能性が考えられます。以下の各項目が当てはまるかどうかを確認してください。
- Mobile VPN with SSL クライアントの仮想 IP アドレス プールは、内部ネットワーク ユーザーに割り当てられた IP アドレスと重複していない。
- 仮想 IP アドレス プールは、Firebox で構成された他のルーティング ネットワークや VPN ネットワークと重複していない。
- Mobile VPN with SSL ユーザーがルーティング ネットワークまたは VPN ネットワークにアクセスする必要がある場合、該当するルーティングまたは VPN ネットワーク内のホストに仮想 IP アドレス プールへの有効なルートが与えられているか、Firebox がそれらのホストの既定のインターネット ルートになる必要があります。
IP アドレス プールの構成方法の詳細については、次を参照してください:Mobile VPN with SSL 用に Firebox を構成する。
確立された VPN トンネル経由でネットワーク リソースに接続できない場合は、ネットワーク接続をトラブルシューティングする で、問題を特定して解決するための他の手順を参照してください。