IPv4 ネットワーク上のすべてのネットワーク リソースに、10.0.2.25 などの IP アドレスがあります。DNS (ドメイン名システム) を使用すると、ユーザーは IP アドレスではなく名前を使用してリソースにアクセスできます。ユーザーが www.example.net などの名前によってデバイスにアクセスしようとすると、クライアント コンピュータは構成された DNS サーバーに要求を送信し、デバイスの名前に関連付けられた IP アドレスを返信します。1 つ以上の IP アドレスにリンクしているデバイス名はホスト名と呼ばれています。
mail.example.net のようにドメインのフルパスを持つホスト名は FQDN (完全修飾ドメイン名) と呼ばれています。mail のようにドメインパスがないホスト名もあります。
VPN 全体の DNS の動作方法
Mobile VPN クライアントが Firebox との VPN トンネルを確立すると、Firebox はクライアントコンピュータに仮想 IP アドレスを割り当てます。DNS サーバーは、指定する Firebox の設定に基づいてクライアントに割り当てられます。
Fireware v12.2.1 以降のすべての Mobile VPN 方法では、Mobile VPN 構成で次のオプションの 1 つを選択できます:
ネットワーク DNS/WINS の設定をモバイル クライアントに割り当てる
このオプションを選択する場合、モバイル クライアントは ネットワーク > インターフェイス > DNS/WINS で指定する DSN および WINS サーバーを受け取ります。たとえば、ネットワーク DNS/WINS の設定で DNS サーバー 10.0.2.53 を指定する阿合、Mobile VPN クライアントは 10.0.2.53 を DNS サーバーとして使用します。ローカル DNS サーバーがある場合、リストのトップに表示されます。これは、ローカル ドメインの解決が Mobile VPN ユーザーに対して機能するために必要です。
ネットワークの設定でドメイン名を指定することもできます。ドメイン名は SSL および IPSec VPN クライアントからのすべての DNS 要求にサフィックスとして追加されます。サフィックスが追加された DNS 要求への応答がない場合、デバイスはサフィックスを付けずに 2 回目の要求を送信します。たとえば、クライアントが hostname の参照を試み、その DNS サフィックスが example.net の場合、デバイスは hostname.example.net の名前解決を試みます。ドメイン名が指定されていない場合、VPN クライアントは FQDN (mail.example.net など)を使用してリソースへのトラフィックを送信する必要があります。
既定では、新しい Mobile VPN の構成に ネットワーク DNS/WINS サーバーの設定をモバイル クライアントに割り当てる の設定が選択されます。
モバイル IKEv2 および L2TP クライアントは、ネットワーク DNS サーバー設定で指定されたドメイン名のサフィックスを継承しません。モバイル IKEv2 および L2TP クライアントでは、ドメイン名のサフィックスを手動で構成する必要があります。詳しくは、WatchGuard ナレッジ ベースの L2TP または IKEv2 VPN クライアントの DNS 設定を構成する を参照してください。
モバイル クライアントに DNS または WINS の設定を割り当てない
このオプションを使用する場合、クライアントは Firebox から DNS または WINS の設定を受け取りません。
これらの設定をモバイル クライアントに割り当てる
このオプションを選択する場合、モバイル クライアントはこのセクションで指定する設定を受け取ります。次のように、Mobile VPN 方法のタイプにより、使用可能な設定は異なります。
- Mobile VPN with IPSec — 2 台までの DNS サーバーおよび 2 台までの WINS サーバーのドメイン サフィックスを指定します。
- Mobile VPN with SSL — 2 台までの DNS サーバーおよび 2 台までの WINS サーバーのドメイン サフィックスを指定します。
- Mobile VPN with IKEv2 — 2 台までの DNS サーバーおよび 2 台までの WINS サーバーを指定します。ドメイン サフィックスは指定できません。
- Mobile VPN with L2TP — 2 台までの DNS サーバーを指定します。WINS サーバーまたはドメイン サフィックスは指定できません。
DNSWatch
DNSWatch が有効で、Mobile VPN の構成で ネットワーク DNS/WINS サーバーの設定をモバイル クライアントに割り当てる の設定を選択する場合:
- ローカル DNS サーバーがある場合、Firebox のネットワーク DNS サーバーのリストのトップに表示されます。
- Firebox はローカル DNS サーバーと 1台の DNSWatch DNS サーバーを Mobile VPN クライアントに割り当てます。
DNSWatch が有効で、Mobile VPN の構成で これらの設定をモバイル クライアントに割り当てる の設定を選択する場合:
- ローカル DNS サーバーがある場合、Mobile VPN の構成でそのサーバーを最初の DNS サーバーとして指定する必要があります。
- また、Mobile VPN の構成で 1 台の DNSWatch DNS サーバーを指定する必要があります。
- DNSWatch IP アドレスが変更される場合、Mobile VPN の設定を新しい IP アドレスで手動で更新する必要があります。地域の DNSWatch の IP アドレスをすべて含む DNSWatch ダッシュボードで、DNSWatch の IP アドレスを取得できます。DNSWatch ダッシュボードの詳細については、DNSWatch ダッシュボード を参照してください。
DNSWatch および Mobile VPN ユーザーのネットワークの構成例については、次を参照してください: Firebox での DNSWatch 構成の例。
Fireware v12.2 以前では、DNS は Mobile VPN 構成に対して異なる動作をします。より詳しい情報は、WatchGuard ナレッジ ベースの Mobile VPN 構成の DNS (Fireware v12.2 以前) を参照してください。
関連情報:
Mobile VPN with IKEv2 用に DNS と WINS サーバーを構成する
Mobile VPN with IPSec 用に DNS と WINS サーバー を構成する