Mobile VPN タイプを選択する

Fireware では、以下 4 種類の Mobile VPN がサポートされています。

  • Mobile VPN with IKEv2
  • Mobile VPN with L2TP
  • Mobile VPN with SSL
  • Mobile VPN with IPSec

Firebox では、4 種類の Mobile VPN を同時にサポートできます。クライアント コンピュータが 1 つまたは複数の種類の Mobile VPN を使用するように構成することができます。

使用する Mobile VPN の種類を決定する前に、現在のインフラストラクチャとネットワーク ポリシーの設定と共に、以下の詳細を考慮してください。

Mobile VPN with PPTP の機能は Fireware v12.0 以降では利用できません。お使いの Firebox の Fireware が v11.12.4 以前である場合は、Fireware v12.0 以降にアップグレードした際に、構成から Mobile VPN with PPTP が自動的に削除されます。アップグレードする前に、異なる Mobile VPN ソリューションに移行することをお勧めします。詳細については、WatchGuard ナレッジ ベースの Fireware v12.0 にアップグレードする前に PPTP から L2TP に移行する方法 を参照して。Mobile VPN with PPTP のドキュメンテーションについては、Fireware ヘルプ v11.12.x を参照してください。

セキュリティ

それぞれの種類の Mobile VPN には異なるセキュリティ上の特色があります。

IKEv2

Mobile VPN with IKEv2 は最高レベルのセキュリティを提供します。Mobile VPN with IKEv2 には多層セキュリティが含まれていますが、ローカル Firebox 認証と RADIUS に制限されています。事前共有キーの代わりに証明書ベースのクライアント認証がサポートされています。Mobile VPN with IKEv2 では、認証に EAP と MS-CHAPv2 が使用されます。

Fireware v12.2 以降では、Firebox では AES-GCM 暗号化がサポートされています。

Fireware v12.5 以降では、Firebox では Mobile VPN with IKEv2 の ECDSA (EC) 証明書がサポートされています。IKEv2 VPN クライアントで EC 証明書がサポートされている必要があります。サポートはオペレーティングシステムによって異なります。詳細については、楕円曲線 DSA (楕円曲線デジタル署名アルゴリズム/ECDSA) 証明書について を参照してください。

Mobile VPN with IKEv2 では、MS-CHAPv2 対応の MFA ソリューションの多要素認証がサポートされています。

AuthPoint は、WatchGuard の MFA ソリューションです。Mobile VPN with IKEv2 で AuthPoint を使用するには、以下を参照してください。

L2TP

Mobile VPN with L2TP により、多層セキュリティを含む高レベルのセキュリティが得られます。しかし、認証サーバーのオプションは、ローカルの Firebox 認証と RADIUS に制限されています。クライアントには事前共有キーを知らせる必要があります。

Mobile VPN with L2TP も、事前共有キーの代わりに証明書ベースのクライアント認証をサポートします。

Mobile VPN with L2TP では、MS-CHAPv2 対応の MFA ソリューションの多要素認証がサポートされています。WatchGuard MFA サービスである AuthPoint では、MS-CHAPv2 RADIUS 認証がサポートされています。

Fireware v12.5.3 以降では、Mobile VPN with L2TP は、NPS 経由の Active Directory への多要素認証を行う AuthPoint に対応しています。AuthPoint は、WatchGuard の MFA サービスです。Mobile VPN with L2TP で AuthPoint を使用するには、以下を参照してください。

SSL

Mobile VPN with SSL はセキュアな Mobile VPN オプションですが、以下の理由により、IPSec ベースの VPN よりは安全性が劣ります。

  • 多層暗号化がサポートされていない。
  • Firebox IP アドレスとクライアント ログイン認証さえ分かれば接続できるため、攻撃することができる。

Fireware v12.2以降 では、Mobile VPN with SSL では AES-GCM がサポートされています。

RADIUS サーバーで多要素認証または 2 要素認証がサポートされる場合、WatchGuard Mobile VPN with SSL で多要素認証または 2 要素認証を使用することができます。

AuthPoint は、WatchGuard の MFA ソリューションです。Mobile VPN with SSL で AuthPoint を使用するには、Firebox Mobile VPN with SSL と AuthPoint の統合 を参照してください。

IPSec

Mobile VPN with IPSec では、最大 256 ビット AES の暗号化レベルと多層暗号化がサポートされています。

Firebox でサポートされている認証方法をすべて使用できます。

ログイン認証情報を入手しても、事前共有キーなどの詳細な設定情報がなければ VPN に接続できないため、攻撃することができません。

Mobile VPN with IPSec はまた、事前共有キーの代わりに証明書ベースのクライアント認証をサポートします。

RADIUS サーバーで多要素認証がサポートされる場合、WatchGuard Mobile VPN with IPSec で多要素認証を使用することができます。

AuthPoint は、WatchGuard の MFA ソリューションです。Mobile VPN with IPSec で AuthPoint を使用するには、Firebox Mobile VPN with IPSec と AuthPoint の統合 を参照してください。

Mobile VPN with IKEv2 の代替として、Mobile VPN with IPSec をお勧めします。CVE-2002-1623 で説明されている IKEv1 アグレッシブ モードの脆弱性が Mobile VPN with IPSec に影響します。この脆弱性は、Mobile VPN with IKEv2 または L2TP には影響しません。Mobile VPN with IPSec を構成する場合は、WSM Management Server があるのであれば、事前共有キーではなく、証明書を構成することをお勧めします。Management Server がない場合は、強力な事前共有キーを指定して、定期的に変更することをお勧めします。また、SHA-256 などの強力なハッシュ アルゴリズムを指定することも勧められます。

使いやすさ

IKEv2

Mobile VPN with IKEv2 は、iOS、macOS、および Windows のモバイル デバイス上のネイティブ IKEv2 VPN クライアントからの接続をサポートします。Android ユーザーはサードパーティの strongSwan アプリを使用して IKEv2 VPN 接続を構成できます。

管理者は、Firebox から .bat 構成スクリプトをダウンロードして、サポートされている Windows オペレーティング システムで IKEv2 VPN プロファイルを自動的に構成することができます。構成スクリプトにより証明書が自動的にインストールされます。サポートされるオペレーティング システムの情報については、Fireware リリース ノート のオペレーティング システム互換性マトリックスを参照してください。

iOS と macOS の場合は、管理者は Firebox から .mobileconfig プロファイルを ダウンロードして、ネイティブ IKEv2 VPN クライアントを自動的に構成することができます。

Android の場合は、Firebox 管理者は Firebox から .sswan ファイルをダウンロードして、strongSwan アプリを自動的に構成することができます。

Mobile VPN with IKEv2 はすべてのトラフィックを VPN トンネル (フルトンネル) 上で送信します。

L2TP

Mobile VPN with L2TP は、ネイティブ VPN クライアントおよび RFC 2661 に準拠するすべての L2TPv2 クライアントと共に使用することができます。接続するには、エンド ユーザーはユーザー名とパスワードを指定する必要があります。一部の VPN クライアントでは、それらの情報を保存することができます。ユーザーは、L2TP クライアントを手動で構成する必要があります。

L2TP 上のクライアント トラフィックの ルーティングは、クライアント構成により制御されます。クライアントでは通常、クライアント トラフィックをすべてトンネル経由でルーティングするか、または仮想 IP アドレスと同じ /24 サブネットだけにトンネル経由でルーティングするかを選択することができます。

SSL

Windows 用 クライアントも macOS 用クライアントも、ユーザーが簡単にダウンロードしてインストールできます。VPN クライアントをダウンロードするには、ユーザーは HTTPS 経由で Firebox に接続してログインします。ユーザーがクライアントをダウンロードしたら、ログイン認証があれば接続することができます。管理者は、VPN クライアントにユーザー名とパスワードを記憶させるかどうかを選択することができます。

他のオペレーティング システムやモバイル デバイスのクライアントは、OpenVPN クライアントを使用して接続できます。OpenVPN クライアントを使用するには、ユーザーは client.ovpn ファイルを入手する必要があります。このファイルは Firebox から簡単にダウンロードできます。

IPSec

Windows ユーザーは、付加的な機能を提供する WatchGuard Mobile VPN クライアントをダウンロードしてインストールできます。30日の試用期間後は有料のライセンスが必要になります。

いずれのクライアントにも、構成ファイルを提供する必要があります。WatchGuard IPSec Mobile VPN クライアントを使用する場合は、事前共有キーの提供も必要とされる可能性があります。暗号化電子メールなどの安全な方法で構成ファイルの配布を行うことをお勧めします。

構成する許可されたリソースに応じて、両方の Windows クライアントのトンネル ルーティングは広範囲に及ぶこともあれば、必要に応じて限定されることもあります。

macOS デバイスの場合、オンデバイス クライアントの既定の設定と一致するように Mobile VPN プロファイルを構成し、クライアントで VPN 接続を構成する必要があります。クライアントはユーザー名とパスフレーズを使用して接続する必要があります。

各モバイル VPN の種類に対してどのオペレーティング システムが互換性があるかについては、Fireware リリース ノート のオペレーティング システム互換性 リストを参照してください。WatchGuard Web サイトの Fireware リリース ノート ページ で お使いの Fireware OS のバージョンの リリース ノート を入手することができます。

ポータビリティ

ポータビリティとは、VPN クライアントが接続できるネットワーク環境のことです。

IKEv2

既定では、IKEv2 は UDP ポート 500 と 4500 を必要とする IPSec、ならびに ESP IP プロトコル 50 を使用します。IPSec を無効にすることはできません。

L2TP

既定では、L2TP は UDP ポート 500 と 4500 を必要とする IPSec、ならびに ESP IP プロトコル 50 を使用します。

IPSec を無効にしてある場合、Mobile VPN with L2TP では UDP ポート 1701 のみが必要です。この種類の L2TP 構成は、非常に制限があるネットワーク構成でない限り、ほとんどの環境で許可されているはずです。しかし、この構成は IPSec のセキュリティを提供しません。

Mobile VPN with L2TP 構成で IPsec を無効にする場合は、クライアント デバイスでも IPSec を無効にする必要があります。一部のデバイスでは、この手順はより困難になる可能性があります。デバイス上での IPSec 設定の詳細については、デバイス メーカーのドキュメンテーションを参照してください。

SSL

Mobile VPN with SSL は、任意の TCP または UDP ポート、または既定の設定である TCP 443 を使用するように構成できます。UDP ポートを使用する場合でも、初回の認証要求には TCP ポートを指定する必要があります。そのため、Mobile VPN with SSL は、送信 HTTPS が許可されており、トラフィックが復号化されないほとんどすべての環境に移植することができます。

通常、Mobile VPN with SSL はほとんどのネットワークで機能しますが、以下ようなファイアウォールの制限が原因で失敗する可能性があります。

  • コンテンツ インスペクション — 悪質なコンテンツを検査するために、ネットワーク デバイスで HTTPS トラフィックを復号化される場合は、Mobile VPN with SSL は失敗します。
  • プロトコルの実施 — Firebox で TLS 準拠のトラフィックのみ許可する オプションが有効化されていると、Mobile VPN with SSL が失敗する可能性があります。
  • アプリケーション制御 — アプリケーション制御サービスによりオープンソースの OpenVPN ソフトウェアがブロックされると、Mobile VPN with SSL が失敗します。

非準拠の HTTPS 要求を許可するように Firebox で HTTPS プロキシを構成することができます。HTTPS プロキシの詳細については、次を参照してください: HTTP プロキシ:全般設定

IPSec

Mobile VPN with IPSec の場合、クライアントは UDP ポート 500 と 4500、および ESP IP プロトコル 50 を使用して Firebox にアクセスする必要があります。これは多くの場合、クライアントのインターネット ゲートウェイで特別な構成が必要になるため、クライアントは、ホットスポットからの接続、またはモバイル インターネット接続機能による接続を確立できない場合があります。

アウトバウンド IPSec 要求を許可するようにFirebox を構成できます。アウトバウンドの IPSec パススルーの詳細については、次を参照してください: グローバル VPN 設定について

パフォーマンス

IKEv2

Mobile VPN with IKEv2 は、Mobile VPN with L2TP と Mobile VPN with SSL よりも高いパフォーマンスを発揮します。

L2TP

Mobile VPN with L2TP は、Mobile VPN with SSL よりも高速ですが、Mobile VPN with IKEv2 よりは低速です。

SSL

Mobile VPN with SSL は、他の Mobile VPN の種類よりも低速です。VoIP や高帯域幅のファイル転送など、遅延の影響を受けやすいトラフィックには最適なオプションではありません。しかし、データチャネルに UDP を選択し、AES-GCM 暗号化を選ぶと、Mobile VPN with SSL のパフォーマンスが改善されます。

VPN トンネルの容量

VPN の種類を選択する際は、デバイスでサポートされるトンネル数を考慮するようにしてください。

IKEv2、L2TP、SSL、および IPSec Mobile VPN トンネルの最大数は、Firebox のモデルによって異なります。

Firebox の機能キーで、Firebox がサポートしている各種類の VPN トンネル最大数を確認することができます。詳細については、VPN トンネルの容量およびライセンス を参照してください。

認証サポート

選択する Mobile VPN ソリューションが、使用する認証サーバーの種類をサポートしていることを確認してください。

Mobile VPN の種類 AuthPoint Active Directory LDAP RADIUS SecurID Firebox (Firebox-DB) ローカル認証
Mobile VPN with IKEv2 はい はい* いいえ はい いいえ はい
Mobile VPN with L2TP はい はい* いいえ はい いいえ はい
Mobile VPN with SSL はい はい はい はい はい はい

iOS、Windows、および macOS 用 Mobile VPN with IPSec
(WatchGuard/NCP 有料のクライアント)

はい はい はい はい

はい

はい

Android 用 Mobile VPN with IPSec (ネイティブ クライアント)

はい はい はい はい いいえ はい

* IKEv2 と L2TP の Active Directory Authentication は、RADIUS サーバー経由のみでサポートされます。

RADIUS サーバーは、 Access-Accept 応答で Filter-Id 属性 (RADIUS 属性 #11)を返す必要があります。Filter-Id 属性の値は、正しいグループ名 (SSLVPN-Users、あるいは Mobile VPN with SSL または Mobile VPN with IPSec の構成に定義されているグループ名) に一致させる必要があります。

その他の考慮すべき点

  • Mobile VPN with IKEv2 により、最高レベルのセキュリティと最高のパフォーマンスが得られ、これは最も簡単な展開することができます。この種類の VPN には、事前共有キーではなく、証明書ベースのクライアント認証が備わっています。
  • Mobile VPN with IKEv2、L2TP、および IPSec は、必要なポートとプロトコルがリモートネットワークで許可されている場合にのみ機能します。つまり、こうした種類の Mobile VPN が機能しないリモートネットワークがあるということです。
  • Mobile VPN with L2TP では、L2TP を使用して IP 以外のプロトコルを転送することができます。
  • 異なるユーザー グループに対して異なる VPN 構成プロファイルを構成できる VPN は、Mobile VPN with IPSec だけです。
  • IKEv2 IPSec トラフィックでリモートネットワークが許可されていない場合、またはスプリット トンネリングが必要な場合は、Mobile VPN with SSL を使用することをお勧めします。

Android 用の WatchGuard Mobile VPN アプリは、Google Play ストアから入手することができなくなりました。iOS 用の WatchGuard Mobile VPN アプリは、Apple App Store から入手することができなくなりました。現在、これらのレガシー アプリはサポートされていません。

プロトコルの詳細

各種類の Mobile VPN では、接続を確立するのに異なるポート、プロトコル、暗号化アルゴリズムが使用されます。Mobile VPN が機能するには、モバイル デバイスと Firebox の間で必要なポートやプロトコルが開かれている必要があります。

関連情報:

Mobile VPN with IKEv2

Mobile VPN with L2TP

Mobile VPN with SSL について

Mobile VPN with IPSec