Firebox の Mobile VPN with IPSec について

Mobile VPN with IPSec トンネルの endpoint として Firebox を構成することができます。Firebox に Mobile VPN with IPSec を構成する際に、指定する Mobile VPN グループの接続とアクセス設定を定義する Mobile VPN with IPSec プロファイルを作成します。

ユーザー グループの Mobile VPN with IPSec を構成する際、任意 ポリシーが Mobile VPN with IPsec ポリシー リストに自動的に追加され、グループの認証された Mobile VPN ユーザーとプライベート ネットワークの間ですべてのトラフィックの受け渡しが許可されます。Mobile VPN クライアントのアクセスを制限するには、任意 ポリシーを削除し、特定のリソースへのアクセスを許可する Mobile VPN ポリシーを追加します。

Mobile VPN with IPSec 接続を作成するには、モバイル ユーザーが Mobile VPN グループのメンバーになっており、そのグループの Mobile VPN エンドユーザー プロファイルを持っている必要があります。グループの Mobile VPN with IPSec を構成したら、モバイル ユーザーに配布するエンドユーザー プロファイルを生成することができます。

ユーザー グループの Mobile VPN プロファイルを構成する方法については、次を参照してください: Mobile VPN with IPSec 用に Firebox を構成する

Fireware Web UI からエンドユーザー プロファイルを生成する方法の詳細については、次を参照してください: Mobile VPN with IPSec 構成ファイルを生成する

Policy Manager で Mobile VPN with IPSec を構成する場合は、Policy Manager がエンドユーザー プロファイルを自動的に生成し、管理コンピュータに保存します。このエンドユーザー プロファイル ファイルは、ユーザーが Mobile VPN クライアントを構成するのに必要です。証明書を使用して認証を行う場合、.p12 および cacert.pem ファイルが自動的に生成され、エンドユーザー プロファイルと同じ場所に保存されます。

Fireware Web UI で Mobile VPN with IPSec を構成することができますが、認証に証明書を使用する場合は、Policy Manager を使用して .p12 および cacert.pem ファイルを生成する必要があります。これらのファイルは、Policy Manager によって生成されるエンドユーザー プロファイルと同じ場所にあります。

Mobile VPN with IKEv2 の代替として、Mobile VPN with IPSec をお勧めします。CVE-2002-1623 で説明されている IKEv1 アグレッシブ モードの脆弱性が Mobile VPN with IPSec に影響します。この脆弱性は、Mobile VPN with IKEv2 または L2TP には影響しません。Mobile VPN with IPSec を構成する場合は、WSM Management Server があるのであれば、事前共有キーではなく、証明書を構成することをお勧めします。Management Server がない場合は、強力な事前共有キーを指定して、定期的に変更することをお勧めします。また、SHA-256 などの強力なハッシュ アルゴリズムを指定することも勧められます。

Mobile VPN With IPSec クライアント

Firebox の Mobile VPN with IPSec を構成したら、以下を行う必要があります。

  • 各クライアント コンピュータでサポートされている VPN クライアントをインストールする
  • エンドユーザー プロファイルをインポートする

VPN クライアントが正しく構成されたら、ユーザーが Mobile VPN 接続を開始することができます。ユーザーが指定する認証情報が認証サーバー データベースにあり、作成した Mobile VPN グループ にそのユーザーが含まれている場合は、Firebox は Mobile VPN セッションを起動します。

互換性

WatchGuard IPSec クライアントは、サポートされているオペレーティング システムにインストールできます。また、サポートされているオペレーティング システム上でネイティブの IPSec クライアントを構成することもできます。

互換性に関する情報については、Fireware リリース ノート のオペレーティング システム互換性マトリックスを参照してください。

インストールおよび構成

WatchGuard IPSec VPN クライアントをインストールし、エンドユーザー プロファイルをインポートする方法については、次を参照してください:IPSec Mobile VPN クライアント ソフトウェアをインストールする

ネイティブ macOS または iOS IPSec VPN クライアントを構成する方法の詳細については、次を参照してください:macOS または iOS のネイティブ IPSec VPN クライアントを使用する

Android デバイスのネイティブ IPSec VPN クライアントを構成する方法の詳細については、次を参照してください:Mobile VPN with IPSec を Android デバイスで使用する

関連情報:

Mobile VPN タイプを選択する

Mobile VPN で多要素認証 (MFA) を使用する