Mobile VPN with IPSec を Android デバイスで使用する

Android バージョン 4.x 以降を使用するモバイル デバイスには、ネイティブ VPN クライアントが搭載されています。場合によっては、ハードウェア メーカーがネイティブ Android 用 VPN クライアントを変更してオプションを追加したり、デバイスに独自の VPN クライアントを搭載させていることもあります。

Android デバイスから Firebox への IPSec VPN 接続を確立するには、次の手順を実行します:

  • VPN クライアントはアグレッシブ モードで動作している必要があります。
  • Firebox は、Android デバイスによりサポートされているフェーズ 1 および 2 変換を使って構成されている必要があります。

ネイティブ Android VPN クライアントの最近のバージョンでは、Mobile VPN with IPSec との互換性がないメイン モードが使用されています。ネイティブ Android VPN クライアントではモードの設定を確認したり変更することができません。しかし、Android デバイスのハードウェア メーカーがネイティブ VPN クライアントを変更した場合は、この設定の変更が可能な場合があります。

デバイス設定をアグレッシブ モードに変更できない場合は、次のいずれかの接続方法を試行することをお勧めします:

  • ハードウェア メーカーにより Android デバイスに独自の VPN クライアントがインストールされており、それがアグレッシブ モードで動作可能な場合は、そのクライアントを使って接続を試みてください。詳細については、メーカーのマニュアルを参照してください。
  • ネイティブ Android VPN クライアントで、IPsec オプションを使って L2TP を構成します。次に Firebox で L2TP を有効にします。Firebox では L2TP はメイン モードを使用します。L2TP の詳細については、L2TP ユーザー認証について を参照してください。
  • OpenVPN SSL クライアントを Android デバイスにインストールします。SSL クライアントのプロファイルを Firebox の SSL ポータルから手動でダウンロードする必要があります。クライアント プロファイルの詳細については、Mobile VPN with SSL クライアント ソフトウェアと構成ファイルを手動で配布しインストールする を参照してください。

認証と暗号化の設定

Android デバイスには、サポートされている VPN 変換の事前構成されたリストが含まれています。デバイスのハードウェア メーカーによりネイティブ Android VPN クライアントが変更されていない限り、このリストを参照したり、異なる既定の変換を指定することはできません。最近の Android OS バージョンには、次の既定の変換が含まれています:

フェーズ 1 — SHA2(256)–AES(256)–DH2

フェーズ 2 — SHA2(256)–AES(256)

より古いバージョンの Android OS には、次の既定の変換が使用されているものがあります:

フェーズ 1 — SHA-1–AES(256)–DH2

フェーズ 2 — SHA-1–AES(256)

場合によっては、Android デバイスのハードウェア メーカーが、ネイティブ Android VPN クライアントに異なる既定の変換を指定している可能性があります。

Firebox への VPN 接続を開始するため、Android デバイスは、その既定の変換セットを Firebox に送信します。VPN 接続を確立するには、Android によりサポートされている変換を持つ Firebox を構成する必要があります。Firebox の Mobile VPN with IPSec 設定で既定の Android 変換セットを指定することをお勧めします。

既定の Android 変換セットとは異なる Firebox 変換を指定すると、その Android デバイスはリストにある次の変換セットを送信します。このプロセスは、Android デバイスが Firebox の設定に一致する変換セットをリスト上で見つけるまで、または Android デバイスが再試行上限回数に達するか、試行できる変換セットがなくなるまで繰り返されます。

接続の問題のトラブルシューティングを行うには、Mobile VPN with IPSec のトラブルシューティング および Traffic Monitor を参照してください。

Firebox を構成する

ネイティブ Android VPN クライアントで接続できるようにするには、Firebox で Mobile VPN with IPSec 設定を構成する必要があります。

  1. (Fireware v12.3 以降) VPN > Mobile VPN の順に選択します。
  2. IPSec セクションで、構成 を選択します。
    Mobile VPN with IPSec ページが表示されます。
  3. (Fireware v12.2.1 以前) VPN > Mobile VPN with IPSec の順に選択します。
    Mobile VPN with IPSec ページが表示されます。
  4. 追加 をクリックします。
    Mobile VPN with IPSec 設定 ページが表示されます。

Mobile VPN with IPSec 設定ページの全般タブのスクリーンショット

  1. 名前 テキスト ボックスに、Android の VPN ユーザーが属する認証グループの名前を入力します。

既存のグループの名前、または新しい Mobile VPN グループのグループ名を入力できます。この名前は、すべてのインターフェイス名および VPN トンネル名に対してだけでなく、他の VPN グループ名に対しても一意にする必要があります。

  1. 認証サーバー ドロップダウン リストから、認証サーバーを選択します。

この認証方法が有効になっていることを確認してください。

外部の認証サーバーに対して認証する Mobile VPN ユーザー グループを作成する場合、ウィザードで追加した Mobile VPN のウィザードで指定したものと同じ名前を持つグループをサーバー上に作成するようにしてください。認証サーバーとして Active Directory を使用すると、ユーザーが、Mobile VPN with IPSec のために構成するグループ名と同じグループ名を持つ Active Directorysecurity group に属する必要があります。詳細については、外部認証サーバーを構成する を参照してください。

  1. このトンネルに対して使用する パスフレーズ を入力し、確定します。
  2. Firebox IP アドレス セクションに、このグループの Mobile VPN ユーザーが接続できるプライマリ外部 IP アドレスまたはドメイン名を入力します。
  3. IPSec トンネル タブを選択します。
    IPSec トンネルの設定 が表示されます。

Mobile VPN with IPSec 設定の IPSec トンネル タブのスクリーンショット

  1. エンド ユーザー プロファイルのパスフレーズを事前共有キーとして使用する を選択します。
    これが既定の設定です。
  2. 認証 ドロップダウン リストから、SHA-2 を選択します。お使いの Android デバイスが SHA-2 をサポートしていない場合は SHA-1 を選択してください。
  3. 暗号化 ドロップダウン リストから、AES (256 ビット) を選択します。これは Android デバイスの既定の暗号化設定です。
  4. フェーズ 1 の設定 セクションの 詳細 をクリックします。
    フェーズ 1 の詳細設定ダイアログ ボックスが表示されます。
  1. SA の有効期間1 時間 に設定します。

Android の VPN クライアントは、1 時間後にキー更新するよう構成されています。このプロファイルを Android の VPN クライアントの接続にのみ使用する場合は、SA の有効期限 を 1 時間 に設定してクライアントの設定に一致させます。

サポートされているすべての VPN クライアントにこの VPN プロファイルを使用する場合は、SA の有効期限 を 8 時間に設定します。Android VPN クライアントでは引き続き、1 時間という短いキー再生成値が使用されします。

  1. キーグループ ドロップダウン リストから、Diffie-Hellman グループ 2 を選択します。これは Android デバイスの既定のキー グループです。
  2. その他の フェーズ 1 の詳細設定 は変更しないでください。

Mobile VPN with IPSec 設定、詳細タブのスクリーンショット

  1. OK をクリックします。
  2. フェーズ 2 の設定 セクションで、PFS チェックボックスをオフにします。

フェーズ 2 の設定チェックボックスのスクリーンショット

  1. フェーズ 2 の設定 セクションの 詳細 をクリックします。
    フェーズ 2 の詳細設定ダイアログ ボックスが表示されます。

  1. 認証 ドロップダウン リストから、SHA-2 を選択します。お使いの Android デバイスが SHA-2 をサポートしていない場合は SHA-1 を選択してください。
  2. 暗号化 ドロップダウン リストから、Android デバイスの既定の暗号化設定である AES (256 ビット) を選択します。
  3. キーの有効期限を強制的に終了する 設定で、有効 時間1 時間に設定して トラフィック チェックボックスをオフにします。
  4. OK をクリックします。
  5. リソース タブを選択します。
  6. トンネル経由のすべてのトラフィックを許可する チェックボックスを選択します。
    この設定により、トンネルが既定ルート VPN に構成されます。Android の VPN クライアントはスプリット トンネリングをサポートしていません。
  7. 仮想 IP アドレス プール リストに、トンネルを経由する Mobile VPN ユーザーが使用する内部 IP アドレスを追加します。
    仮想 IP アドレス プールに IP アドレスまたは ネットワーク IP アドレスを追加するには、ホスト IP または ネットワーク IP を選択して、アドレスを入力し、追加 をクリックします。

Mobile VPN ユーザーがネットワークに接続する際には、仮想 IP アドレス プールから IP アドレスが 1 つ割り当てられます。仮想 IP アドレス プールの IP アドレス数は、Mobile VPN ユーザーの数と同じにする必要があります。FireCluster が構成されている場合、各 Mobile VPN ユーザーに 2 つの仮想 IP アドレスを追加する必要があります。

仮想 IP アドレスは、ローカル ネットワークとは異なるサブネットになければなりません。この仮想 IP アドレスは、ネットワーク上のその他の目的のためには使用できません。

  1. OK をクリックします。
  2. 詳細 タブをクリックします。

詳細設定のスクリーンショット

  1. DNS 設定を構成するには、次の手順を実行します:

ネットワーク DNS/WINS の設定をモバイル クライアントに割り当てる

このオプションを選択する場合、モバイル クライアントは ネットワーク > インターフェイス > DNS/WINS で指定する DSN および WINS の設定を受け取ります。たとえば、ネットワーク DNS/WINS の設定で DNS サーバー 10.0.2.53 を指定する阿合、Mobile VPN クライアントは 10.0.2.53 を DNS サーバーとして使用します。

既定では、新しい Mobile VPN の構成に ネットワーク DNS/WINS サーバーの設定をモバイル クライアントに割り当てる の設定が選択されます。

モバイル クライアントに DNS または WINS の設定を割り当てない

このオプションを使用する場合、クライアントは Firebox から DNS または WINS の設定を受け取りません。

これらの設定をモバイル クライアントに割り当てる

このオプションを選択する場合、モバイル クライアントはこのセクションで指定するドメイン名、DNS サーバー、WINS サーバーの設定を受け取ります。たとえば、ドメイン名に example.com、DNS サーバーに 10.0.2.53 を指定する場合、モバイル クライアントは非修飾ドメイン名に example.com を使用し、DNS サーバーに 10.0.2.53 を使用します。

1 つのドメイン名、2 つまでの DNS サーバー IP アドレス、2 つまでの WINS サーバー IP アドレスを指定できます。

Mobile VPN with IPSec ユーザーを対象とする DNS および WINS サーバーの設定の詳細については、次を参照してください: Mobile VPN with IPSec 用に DNS と WINS サーバー を構成する

  1. 保存 をクリックします。

最初に、Mobile VPN with IPSec ウィザードを使用して、基本設定を構成します。

  1. VPN > Mobile VPN > IPSec の順に選択します。
    Mobile VPN with IPSec 構成ダイアログ ボックスが表示されます。
  2. 追加 をクリックします。
    Add Mobile VPN with IPSec Wizard が表示されます。
  3. 次へ をクリックします。
    ユーザー認証サーバーの選択 ページが表示されます。

ユーザー認証サーバーを選択する ウィザード ダイアログ ボックスのスクリーンショット

  1. 認証サーバー ドロップダウン リストから、認証サーバーを選択します。

ユーザー認証は、Firebox (Firebox-DB) か、Active Directory または RADIUS サーバーに対して行うことができます。選択された認証方法が有効になっていることを確認してください。

  1. グループ名 テキスト ボックスに、Android ユーザーが属する認証グループの名前を入力します。

作成済みの Mobile VPN グループ名または新しい Mobile VPN グループのグループ名を入力できます。この名前は、すべてのインターフェイス名およびトンネル名に対してだけでなく、他の VPN グループ名に対しても一意にする必要があります。

外部の認証サーバーに対して認証する Mobile VPN ユーザー グループを作成する場合、ウィザードで追加した Mobile VPN のウィザードで指定したものと同じ名前を持つグループをサーバー上に作成するようにしてください。認証サーバーとして Active Directory を使用すると、ユーザーが、Mobile VPN with IPSec のために構成するグループ名と同じグループ名を持つ Active Directorysecurity group に属する必要があります。詳細については、外部認証サーバーを構成する を参照してください。

  1. 次へ をクリックします。
    トンネル認証方法の選択 ページが表示されます。

トンネル認証方法を選択する ウィザード ダイアログ ボックスのスクリーンショット

  1. このパスフレーズを使用する を選択します。パスフレーズを入力し、確定します。
  2. 次へ をクリックします。
    インターネット トラフィックのフローの指定 ページが表示されます。

インターネット トラフィックのフローを指定する ウィザード ダイアログ ボックスのスクリーンショット

  1. はい、すべてのインターネット トラフィックにトンネル経由を強制します を選択します。
    この設定により、トンネルが既定ルート VPN に構成されます。Android の VPN クライアントはスプリット トンネリングをサポートしていません。
  2. 次へ をクリックします。
    仮想 IP アドレス プールの作成 ページが表示されます。

仮想 IP アドレス プールを作成する ウィザード ダイアログ ボックスのスクリーンショット

  1. 次へ に続いて 完了 をクリックします。
  2. 既定ルート VPN 構成の場合、すべてのネットワーク IP アドレスと Any-External エイリアスへのアクセスが自動的に許可されます。

Mobile VPN ユーザーがネットワークに接続する際には、仮想 IP アドレス プールから IP アドレスが 1 つ割り当てられます。仮想 IP アドレス プールの IP アドレス数は、Mobile VPN ユーザーの数と同じにする必要があります。FireCluster が構成されている場合、各 Mobile VPN ユーザーに 2 つの仮想 IP アドレスを追加する必要があります。

仮想 IP アドレスは、ローカル ネットワークとは異なるサブネットになければなりません。この仮想 IP アドレスは、ネットワーク上のその他の目的のためには使用できません。

  1. 次へ をクリックします。
  2. 新しい Mobile VPN with IPSec グループにユーザーを追加するには、ユーザーを追加する チェックボックスを選択します。
  3. 完了 をクリックします。
    作成した Mobile VPN の構成が、Mobile VPN with IPSec の構成 ダイアログ ボックスに表示されます。

Mobile VPN with IPSec 構成のダイアログ ボックスのスクリーンショット

次に、フェーズ 1 および フェーズ 2 の設定を編集して、Android のVPN クライアントの設定に一致させます。

  1. Mobile VPN with IPSec の構成 ダイアログ ボックスで、追加した構成を選択します。
  2. 編集 をクリックします。
    Mobile VPN with IPSec ダイアログ ボックスが表示されます。
  3. IPSec トンネル タブを選択します。

Mobile VPN with IPSec を編集する ダイアログ ボックスの IPsec トンネル タブのスクリーンショット

  1. 認証 ドロップダウン リストから、SHA2-256 を選択します。お使いの Android デバイスが SHA-2 をサポートしていない場合は SHA-1 を選択してください。
  2. 暗号化 ドロップダウン リストから、Android デバイスの既定の暗号化設定である AES (256 ビット) を選択します。
  3. 詳細 をクリックします。
    フェーズ 1 の詳細設定ダイアログ ボックスが表示されます。

フェーズ 1 の詳細設定 ダイアログ ボックスのスクリーンショット

  1. SA の有効期限 を 1 時間に設定します。

Android の VPN クライアントは、1 時間後にキー更新するよう構成されています。このプロファイルを Android の VPN クライアントの接続にのみ使用する場合は、SA の有効期限 を 1 時間 に設定してクライアントの設定に一致させます。

サポートされているすべての VPN クライアントにこの VPN プロファイルを使用する場合は、SA の有効期限 を8 時間に設定します。Android VPN クライアントでは引き続き、1 時間という短いキー再生成値が使用されします。

  1. キーグループ ドロップダウン リストから、Diffie-Hellman グループ 2 を選択します。
  2. その他の フェーズ 1 の詳細設定 は変更しないでください。
  3. OK をクリックします。
  4. Mobile VPN with IPSec の編集 ダイアログ ボックスで、プロポーザル をクリックします。

フェーズ 2 のプロポーザル ダイアログ ボックスのスクリーンショット

  1. 認証 ドロップダウン リストから、SHA2-256 を選択します。お使いの Android デバイスが SHA-2 をサポートしていない場合は SHA-1 を選択してください。
  2. 暗号化 ドロップダウン リストから、Android デバイスの既定の暗号化設定である AES (256 ビット) を選択します。
  3. キーの有効期限の強制の設定 で、有効 時間1 時間 に設定して トラフィック をチェックボックスをオフにします。
  4. OK をクリックします。
  5. Mobile VPN with IPSec の編集 ダイアログ ボックスで、PFS チェックボックスをオフにします。
    Android VPN クライアントは Perfect Forward Secrecy をサポートしていません。

IPSec トンネル タブと PFS チェックボックスがオフになっているスクリーンショット

最後に、DNS 設定を構成します。

  1. 詳細 タブをクリックします。
  2. DNS 設定を構成するには、次の手順を実行します:

ネットワーク DNS/WINS の設定をモバイル クライアントに割り当てる

このオプションを選択する場合、モバイル クライアントは ネットワーク > インターフェイス > DNS/WINS で指定する DSN および WINS の設定を受け取ります。たとえば、ネットワーク DNS/WINS の設定で DNS サーバー 10.0.2.53 を指定する阿合、Mobile VPN クライアントは 10.0.2.53 を DNS サーバーとして使用します。

既定では、新しい Mobile VPN の構成に ネットワーク DNS/WINS サーバーの設定をモバイル クライアントに割り当てる の設定が選択されます。

モバイル クライアントに DNS または WINS の設定を割り当てない

このオプションを使用する場合、クライアントは Firebox から DNS または WINS の設定を受け取りません。

これらの設定をモバイル クライアントに割り当てる

このオプションを選択する場合、モバイル クライアントはこのセクションで指定するドメイン名、DNS サーバー、WINS サーバーの設定を受け取ります。たとえば、ドメイン名に example.com、DNS サーバーに 10.0.2.53 を指定する場合、モバイル クライアントは非修飾ドメイン名に example.com を使用し、DNS サーバーに 10.0.2.53 を使用します。

1 つのドメイン名、2 つまでの DNS サーバー IP アドレス、2 つまでの WINS サーバー IP アドレスを指定できます。

Mobile VPN with IPSec ユーザーを対象とする DNS および WINS サーバーの設定の詳細については、次を参照してください: Mobile VPN with IPSec 用に DNS と WINS サーバー を構成する

  1. OK をクリックします。
  2. 構成ファイルを Firebox に保存します。

Android の VPN クライアントから認証を行うには、Android の VPN ユーザーが、Add Mobile VPN with IPSec wizard で指定した認証グループのメンバーである必要があります。

  • Firebox ユーザー グループにユーザーを追加する方法の詳細については、次を参照してください: Firebox の認証に新規ユーザーを定義する
  • サードパーティの認証サーバーを使用する場合、ベンダーのマニュアルの説明に従ってください。

ネイティブ Android VPN クライアントを構成する

Firebox を構成すると、Firebox の Mobile VPN with IPSec プロファイルに指定されている認証グループのユーザーが、ネイティブの Android VPN クライアントを使用して接続することができるようになります。ネイティブ Android VPN クライアントを使用するには、ユーザーは VPN クライアントの設定を Firebox で構成されている設定と一致させる必要があります。

WatchGuard は、WatchGuard 製品が他の会社で製造された製品で動作できるように構成するために、顧客が役立てることのできる相互運用性に関する指示を提供します。WatchGuard 以外の製品を構成するとき、詳細の情報または技術サポートが必要な場合、この製品のドキュメントおよびサポート リソースを参照してください。

Android デバイスでネイティブ VPN クライアントを手動で構成するには、Android 8.0 (Oreo) で以下の手順を実行します。

  1. 設定 > ネットワーク&インターネット > VPN の順にタップします。
  2. + ボタンをタップします。
    VPN プロファイルを編集する ダイアログ ボックスが表示されます。
  3. 名前 テキスト ボックスに、VPN 接続を説明する名前を入力します。
  4. 種類 ドロップダウン リストから、IPSec Xauth PSK を選択します。
  5. サーバー アドレス テキスト ボックスに、Firebox の外部 IP アドレスを入力します。
  6. IPSec 識別子 テキスト ボックスに、Firebox の Mobile VPN with IPSec で指定されているグループ名を入力します。
  7. スライダを下にドラッグすると、他の設定が表示されます。
  8. IPSec 事前共有キー テキスト ボックスに、Firebox の Mobile VPN with IPSec で指定されているトンネル パスフレーズを入力します。
  9. ユーザー名 テキスト ボックスに、指定された認証グループのユーザーのユーザー名を入力します。
    ユーザー名のみを指定します。ユーザー名の前にドメイン名をつけたり、電子メール アドレスを指定したりしないでください。
  10. パスワード テキスト ボックスに、指定された認証グループのユーザーのパスワードを入力します。

Android の VPN プロファイルを編集する ダイアログ ボックスのスクリーンショット

  1. 保存 をクリックします。
    作成された VPN 接続は、VPN リストに保存されます。

Android の VPN 接続のリストのスクリーンショット

  1. 接続するには、作成された VPN 接続をクリックします。
    接続先ダイアログ ボックスが表示されます。

  1. 接続 をクリックします。

接続が成功して VPN トンネルがアクティブになっていることを確認するには、IP アドレスを表示する Web サイト (www.whatismyip.com など) を参照します。Android デバイスが VPN 経由で接続されている場合、その IP アドレスは Firebox の外部 IP アドレスになります。

お使いのデバイスの Android のバージョンがより新しい場合は、ネイティブ VPN クライアントを構成するための手順が異なる場合があります。お使いの Android バージョンに適用される手順については、デバイス メーカーのドキュメントを参照してください。

関連情報:

Mobile VPN with IPSec

フェーズ 1 の設定の詳細を定義する

フェーズ 2 の設定の詳細を定義する