Mobile VPN with IPSec 用に Firebox を構成する

Fireware v12.2.1 以前では、Mobile VPN with IPSec の構成手順が異なります。Fireware Web UI で、VPN > Mobile VPN with IPSec の順に選択します。

1. VPN > Mobile VPN の順に選択します。
   Mobile VPN 選択ページが表示されます。
2. Mobile VPN with IPSec セクションで、構成 をクリックします。
   Mobile VPN with IPSec リストが表示されます。

3. 追加 をクリックします。
   Mobile User VPN with IPSec 設定のページが表示されます。

4. 名前 テキスト ボックスに、この Mobile VPN グループの名前を入力します。
   既存のグループの名前、または新しい Mobile VPN グループのグループ名を入力できます。この名前は、すべてのインターフェイス名および VPN トンネル名に対してだけでなく、他の VPN グループ名に対しても一意にする必要があります。

外部の認証サーバーに対して認証する Mobile VPN ユーザー グループを作成する場合、ウィザードで追加した Mobile VPN のウィザードで指定したものと同じ名前を持つグループをサーバー上に作成するようにしてください。認証サーバーとして Active Directory を使用すると、ユーザーが、Mobile VPN with IPSec のために構成するグループ名と同じグループ名を持つ Active Directorysecurity group に属する必要があります。詳細については、外部認証サーバーを構成する を参照してください。

5. グループ プロファイルを編集するには、以下の設定を構成します。

認証サーバー

この Mobile VPN グループに使用する認証サーバーを選択します。内部 Firebox データベース (Firebox-DB) を使用するか、または RADIUS、VASCO、SecurID、LDAP、または Active Directory Server を使用してユーザーを認証できます。選択された認証方法が有効になっていることを確認してください。

パスフレーズ

パスフレーズを入力し、このグループ内のユーザーに配布する Mobile VPN プロファイル (.wgx ファイル) を暗号化します。共有キーでは、標準の ASCII 文字を使用する可能性があります。また、証明書を使用して認証を行う場合は、ユーザーに送信するために証明書ファイルをエクスポートした後、このパスフレーズを使用して暗号化します。

確認

パスフレーズを再度入力します。

プライマリ

このグループ内の Mobile VPN ユーザーが接続できるプライマリ外部 IP アドレスを入力します。これは外部 IP アドレス、セカンダリ外部 IP アドレス、または外部 VLAN のいずれかです。ドロップイン モードのデバイスの場合は、すべてのインターフェイスに割り当てられる IP アドレスを使用します。

Firebox に動的 IP アドレスが指定されている場合は、クライアント接続に IP アドレスではなくドメイン名を指定することができます。モバイル VPN に接続するには、モバイル VPN クライアント設定でドメイン名を指定します。Firebox の外部 IP アドレスは、必ず動的 DNS サービス プロバイダで登録してください。必要に応じて、Firebox の動的 DNS を有効にして、Firebox がサポートする動的 DNS サービス プロバイダに IP アドレスの更新を自動的に送信することができます。動的 DNS の詳細については、次を参照してください： 動的 DNS サービスについて。

バックアップ

このグループ内の Mobile VPN ユーザーが接続できるバックアップ外部 IP アドレスを入力します。このバックアップ IP アドレスはオプションです。バックアップ IP アドレスを追加する場合、外部インターフェイスまたは VLAN に割り当てられている IP アドレスを指定してください。

セッション タイムアウト

Mobile VPN セッションがアクティブになることができる最大の時間を分単位で選択します。

アイドル タイムアウト

Firebox がアイドル状態の Mobile VPN セッションを終了するまでの時間 (分単位) を選択します。認証サーバーにタイムアウト値が設定されていない場合、セッションおよびアイドル タイムアウト値は既定のタイムアウト値になります。Firebox を認証サーバーとして使用する場合は、各 Firebox のユーザー アカウントにタイムアウトが設定されるため、Mobile VPN グループのタイムアウトは常に無視されます。

セッションおよびアイドル タイムアウトを、SA の有効期限 フィールドの値より長くすることはできません。
この値を設定するには、Mobile VPN with IPSec 設定 ダイアログ ボックスの IPSec トンネル タブをクリックして、フェーズ 1 の設定 の 詳細 をクリックします。既定値は 8 時間です。

6. IPSec トンネル タブを選択します。
   IPSec トンネル ページが開きます。

7. 以下の設定を構成します。

エンド ユーザー プロファイルのパスフレーズを事前共有キーとして使用する

エンドユーザー プロファイルのパスフレーズをトンネル認証の事前共有キーとして使用するには、このオプションを選択します。リモート デバイスでも同じ共有キーを使用する必要があります。この共有キーでは、標準の ASCII 文字を使用する可能性があります。

証明書を使用

トンネル認証に証明書を使用するには、このオプションを選択します。
Mobile VPN with IPSec 証明書の詳細については、Mobile VPN With IPSec トンネル認証の証明書 (Web UI) を参照してください。

CA IP アドレス

証明書を使用している場合、認証機関として構成されている Management Server の IP アドレスを入力します。

タイムアウト

証明書を使用している場合、Mobile VPN with IPSec クライアントが認証機関から応答がない場合、認証機関に接続しなくなるまでの時間を秒で入力します。この値は、既定のまま維持することをお勧めします。

フェーズ 1 の設定

VPN トンネルの認証および暗号化の方法を選択します。NAT Traversal やキー グループなどの詳細設定を構成するには 詳細設定 をクリックします。詳細については、次を参照してください： フェーズ 1 の設定の詳細を定義する。

暗号化のオプションが、最も簡単で安全性の低いオプションから、最も複雑で安全性の高いオプションの順に表示されています。

• DES
• 3DES
• AES (128 ビット)
• AES (192 ビット)
• AES (256 bit) (既定の設定)

フェーズ 2 の設定

既定では PFS (Perfect Forward Secrecy) が有効になっています。ドロップダウン リストから、Diffie-Hellman グループを選択します。

他のプロポーザル設定を変更するには 詳細設定 をクリックします。詳細については、次を参照してください： フェーズ 2 の設定の詳細を定義する。

8. リソース タブを選択します。
   リソース ページが表示されます。

9. 以下の設定を構成します。

すべてのトラフィックにトンネル経由を許可する

すべての Mobile VPN ユーザーのインターネット トラフィックを VPN トンネル経由で送信するには、このチェックボックスをオンにします。
すべての Mobile VPN ユーザーのインターネット トラフィックを VPN 経由で送信するには、このチェックボックスをオンにします。安全性は向上しますが、ネットワーク パフォーマンスが低減します。
このチェックボックスをオンにしない場合は、Mobile VPN ユーザーのインターネット トラフィックがインターネットへ直接送信されます。安全性は低くなりますが、ユーザーはより迅速にインターネットを閲覧できます。

許可されたリソース

このリストには、Mobile VPN 認証グループのユーザーがネットワーク上でアクセスできるリソースが含まれます。

ネットワーク リソース リストに IP アドレスまたは ネットワーク IP アドレスを追加するには、追加 をクリックします。ホスト IPv4 または ネットワーク IPv4 を選択し、アドレスを入力して OK をクリックします。

選択した IP アドレスまたはネットワーク IP アドレスをリソース リストから削除するには、リソースを選択して、削除 をクリックします。

仮想 IP アドレス プール

このリストには、トンネル上の Mobile VPN ユーザーによって使用される内部 IP アドレスが含まれます。

仮想 IP アドレス プールに IP アドレスまたは ネットワーク IP アドレスを追加するには、追加 をクリックします。ホスト IPv4 または ネットワーク IPv4 を選択し、アドレスを入力して OK をクリックします。

仮想 IP アドレス プールからアドレスを削除するには、ホストまたはネットワーク IPアドレスを選択して削除 をクリックします。

仮想 IP アドレスプールの IP アドレスは、ネットワーク上では他の目的のために使用できません。

仮想 IP アドレスの詳細については、次を参照してください： 仮想 IP アドレスおよび Mobile VPN。

10. 詳細 タブを選択します。
    詳細 ページが表示されます。

11. ライン管理 設定を以下の通り構成します。

接続モード

手動 — このモードでは、VPN トンネルが停止しても、クライアントは VPN トンネルを自動的に再起動しません。これが既定の設定です。

VPN トンネルを再起動するには、Connection Monitor で 接続 ボタンをクリックするか、または Windows デスクトップ ツールバー上にある Mobile VPN アイコンを右クリックし、接続 をクリックする必要があります。

自動 — このモードでは、コンピュータが VPN を経由して到達できる送信先にトラフィックを送信すると、クライアントが接続を開始しようとします。また、VPN トンネルが停止した場合に、クライアントは VPN トンネルを自動的に再起動しようとします。

可変 — このモードでは、切断 をクリックするまで、クライアントは VPN トンネルを自動的に再起動しようとします。切断した後は、接続 をクリックするまでは、クライアントは VPN トンネルを再起動しようとしません。

非アクティブ タイムアウト

接続モード が 自動 または 可変 に設定されている場合、Mobile VPN with IPSec クライアント ソフトウェアは、非アクティブ タイムアウトに入力した時間にわたり、トンネルを通じてネットワーク リソースからのトラフィックがなくなるまで、VPN 接続の再ネゴシエーションを行いません。

既定のライン管理の設定は手動 または 0 秒 です。いずれかの設定を変更すると、クライアント ソフトウェアを構成するために .ini ファイルを使用する必要があります。

12. (Fireware v12.2.1 以降) 最後に、DNS 設定を構成するには、以下の手順を実行します：

ネットワーク DNS/WINS の設定をモバイル クライアントに割り当てる

このオプションを選択する場合、モバイル クライアントは ネットワーク > インターフェイス > DNS/WINS で指定する DSN および WINS の設定を受け取ります。たとえば、ネットワーク DNS/WINS の設定で DNS サーバーに 203.0.113.50 を指定する場合、Mobile VPN クライアントは 203.0.113.50 を DNS サーバーとして使用します。

既定では、新しい Mobile VPN の構成に ネットワーク DNS/WINS サーバーの設定をモバイル クライアントに割り当てる の設定が選択されます。

モバイル クライアントに DNS または WINS の設定を割り当てない

このオプションを使用する場合、クライアントは Firebox から DNS または WINS の設定を受け取りません。

これらの設定をモバイル クライアントに割り当てる

このオプションを選択する場合、モバイル クライアントはこのセクションで指定するドメイン名、DNS サーバー、WINS サーバーの設定を受け取ります。たとえば、ドメイン名に example.com、DNS サーバーに 203.0.113.50 を指定する場合、モバイル クライアントは非修飾ドメイン名に example.com を使用し、DNS サーバーに 203.0.113.50 を使用します。

1 つのドメイン名、2 つまでの DNS サーバー IP アドレス、2 つまでの WINS サーバー IP アドレスを指定できます。

Mobile VPN with IPSec ユーザーを対象とする DNS および WINS サーバーの設定の詳細については、次を参照してください： Mobile VPN with IPSec 用に DNS と WINS サーバー を構成する。

13. 保存 をクリックします。
    Mobile VPN with IPSec ページが開き、グループ リストに新しい IPSec グループが表示されます。
14. 保存 をクリックします。

1. VPN > Mobile VPN > IPSec の順に選択します。
   
   Mobile VPN with IPSec 構成ダイアログ ボックスが表示されます。

2. 追加 をクリックします。
   
   Add Mobile VPN with IPSec Wizard が表示されます。

3. 次へ をクリックします。
   
   ユーザー認証サーバーの選択 画面が表示されます。

4. 認証サーバー ドロップダウン リストから、認証サーバーを選択します。

Firebox (Firebox-DB) に対して、または RADIUS、VASCO、SecurID、LDAP、Active Directory Server に対してユーザー認証を行うことができます。この認証方法が Policy Manager で有効になっていることを確認してください。設定 > 認証 > 認証サーバー の順に選択し、これらの設定を確認します。

5. グループ名 テキスト ボックスで、グループの名前を入力します。

作成済みの Mobile VPN グループ名または新しい Mobile VPN グループのグループ名を入力できます。この名前は、すべてのインターフェイス名およびトンネル名に対してだけでなく、他の VPN グループ名に対しても一意にする必要があります。

VPN のグループ認証の詳細については、次を参照してください： Firebox 認証の種類。

外部の認証サーバーに対して認証する Mobile VPN ユーザー グループを作成する場合、ウィザードで追加した Mobile VPN のウィザードで指定したものと同じ名前を持つグループをサーバー上に作成するようにしてください。認証サーバーとして Active Directory を使用すると、ユーザーが、Mobile VPN with IPSec のために構成するグループ名と同じグループ名を持つ Active Directorysecurity group に属する必要があります。詳細については、外部認証サーバーを構成する を参照してください。

6. 次へ をクリックします。
   
   トンネル認証メソッドの選択 画面が表示されます。

7. トンネル認証のオプションを選択します。

• このパスフレーズを使用します。
  
  パスフレーズを入力して、確認します。
• WatchGuard Management Server によって発行された RSA 証明書を使用する
  Management Server の IP アドレス と 管理パスフレーズ を入力します。

RSA 証明書の使用方法の詳細については、次を参照してください： Mobile VPN With IPSec トンネル認証の証明書 (Web UI)。

8. 次へ をクリックします。
   
   インターネット トラフィックのフローの指定 画面が表示されます。

9. インターネット トラフィックのオプションを選択します。

• いいえ、インターネット トラフィックがモバイル ユーザーの ISP に直接移動することを許可します。
  
  (スプリット トンネリング)
• はい、すべてのインターネット トラフィックがトンネルを経由するようにします。
  
  (既定ルート VPN)

スプリット トンネリングと既定ルート VPN の詳細については、次を参照してください： Mobile VPN with IPSec トンネル経由のインターネット アクセス オプション。

10. 次へ をクリックします。
    
    トンネル経由でアクセスできるリソースの特定 画面が表示されます。

11. 追加 をクリックして、ユーザーが VPN トンネルを経由して接続できるホストまたはネットワーク IP アドレスを指定します。
12. 次へ をクリックします。
    
    仮想 IP アドレス プールの作成 画面が表示されます。

13. 1 つの IP アドレスまたは IP アドレス範囲を追加するには、追加 をクリックします。
    
    仮想 IP アドレスをさらに追加するには、このステップを繰り返します。

Mobile VPN ユーザーがネットワークに接続する際には、仮想 IP アドレス プールから IP アドレスが 1 つ割り当てられます。仮想 IP アドレス プールの IP アドレス数は、Mobile VPN ユーザーの数と同じにする必要があります。FireCluster が構成されている場合、各 Mobile VPN ユーザーに 2 つの仮想 IP アドレスを追加する必要があります。

仮想 IP アドレスは、ローカル ネットワークとは異なるサブネットになければなりません。この仮想 IP アドレスは、ネットワーク上のその他の目的のためには使用できません。

仮想 IP アドレスの詳細については、次を参照してください： 仮想 IP アドレスおよび Mobile VPN。

14. 次へ をクリックします。
    トンネル認証に証明書を使用することにした場合、VPN 構成ファイルの暗号化 画面が表示されます。

15. .wgx 構成ファイルと PKCS#12 証明書の暗号化に使用するパスフレーズを入力して確認します。この証明書は、Policy Manager から VPN 構成ファイルを生成したときに保存されています。

トンネル認証にパスフレーズを使用した場合は、ウィザードはこのステップを省略し、指定したトンネル パスフレーズは VPN 構成ファイルを暗号化するために使用されます。

16. 次へ をクリックします。
    
    Add Mobile VPN with IPSec Wizard が正常に完了しました 画面が表示されます。
    
    

Mobile VPN with IPSec グループ エンド ユーザーの構成ファイルがこのスクリーンに指定したロケーションにあります。

17. 新しい Mobile VPN with IPSec グループにユーザーを追加するには、ユーザーを追加する チェックボックスを選択します。
18. 完了 をクリックします。

ウィザードが完了した後、作成したグループ プロファイルを編集して、以下を行うことができます：

• 共有キーの変更
• 追加ホストまたはネットワークへのアクセスの追加
• 単一の送信先ポート、ソース ポート、またはプロトコルへのアクセスの制限
• フェーズ 1 またはフェーズ 2 の設定の変更
• (Fireware v12.2.1 以降) DNS および WINS サーバーの設定を構成する
  Mobile VPN with IPSec ユーザーを対象とする DNS および WINS サーバーの設定の詳細については、次を参照してください： Mobile VPN with IPSec 用に DNS と WINS サーバー を構成する。
  

プロファイルを編集するには、次を参照してください： 既存の Mobile VPN with IPSec グループ プロファイルを変更する。