Mobile VPN with SSL をトラブルシューティングする

このログ メッセージは、Mobile VPN with SSL クライアントの サーバー テキスト ボックスに指定された IP アドレスに、クライアントが HTTPS 接続できないことを示します。Firebox のポリシー構成で、Any-External から Firebox への接続が許可されていること、および Mobile VPN with SSL の仮想 IP アドレス プールとして構成した IP アドレスからのトラフィックを処理するポリシーが他に存在しないことを確認します。

Mobile VPN with SSL 設定の構成チャンネルに 443 以外の TCP ポートが指定されている場合、モバイル ユーザーは Mobile VPN with SSL クライアントの サーバー テキスト ボックスにこのポート番号をアドレスの一部として指定する必要があります。たとえば、ポートが TCP 444 の場合は、クライアントに 203.0.113.2:444 を指定します。

Fireware v12.1.x では、Access Portal と SSL 経由の Mobile VPN の共通の設定が VPN Portal という名前のページに表示されます。Mobile VPN with SSL の構成データ チャンネルが VPN Portal ポート という名前に変更され、VPN Portal 設定に表示されます。Fireware v12.2 では、VPN Portal 設定は Access Portal および Mobile VPN with SSL の構成に移動しました。Fireware v12.1.x に適用される構成の手順については、WatchGuard ナレッジ ベースの Fireware v12.1.x で VPN ポータル設定を構成する を参照してください。

コンピュータのオペレーティング システムで TLS 1.2 がサポートされていない、または TLS 1.2 以降が有効化されていない場合に、このエラー メッセージが表示される可能性があります。Fireware v12.5.4 以降では、Mobile VPN with SSL には TLS 1.2 以降が必要です。TLS 1.1 以前のセキュリティの脆弱性を回避するために、TLS 1.1 以前を無効化して、TLS 1.2 以降のみを有効化することをお勧めします。

一部の旧オペレーティング システムでは、TLS 1.2 以降がサポートされていません。旧オペレーティング システムに関する TLS の詳細については、WatchGuard ナレッジ ベースの 一部の Windows および macOS バージョンで Mobile VPN with SSL 接続が失敗する を参照してください。

これは、受信 HTTPS トラフィックの静的 NAT (SNAT) アクションによる問題、またはクライアント認証の問題である可能性があります。

静的 NAT アクションを実行する HTTPS ポリシーが Firebox 構成に含まれている場合、Firebox は HTTPS 要求を受け取るとそれを内部サーバーに転送します。これが Mobile VPN with SSL クライアントからのトラフィックに発生した場合、VPN クライアントは接続に失敗し、認証失敗メッセージが表示されます：

(SSLVPN 認証失敗) サーバーから構成をダウンロードできませんでした。最後の構成を使用して接続を試みますか?

構成のポリシーを調べて、Mobile VPN with SSL クライアントが使用するポート上の HTTPS 要求を別のサーバーに転送しないことを確認します。

この認証エラー メッセージが認証問題を意味する場合もあります。

クライアント認証をトラブルシューティングするには、以下の手順を実行します。

1. Firebox に接続できない。
2. Mobile VPN with SSL 構成を確認する
3. 構成されているプライマリおよびバックアップ IP アドレスを書き留めます。
   このアドレスはドメイン名の場合もあります。ドメイン名の場合、解決後の IP アドレスを確認します。
4. 構成されている構成チャンネルの TCP ポートを書き留めます。
   Fireware v12.1.x では、認証 > 構成 の順に選択して、構成済み VPN ポータルポートを書き留めます。Fireware v12.1.x では、構成チャンネル設定は VPN ポータル ポートという名前でした。
5. Web ブラウザで、https://<ip-address>/sslvpn.html と入力します。<ip-address> は、Mobile VPN with SSL 構成のプライマリ IP アドレスに当たります。構成チャンネルの TCP ポートが 443 でない場合は、アドレスの後ろにコロンで区切ってポート番号を追加します。たとえば、構成チャンネルが TCP ポート 444 の場合は、ブラウザで、https://<ip-address>:444/sslvpn.html と入力します。
   • Firebox の WatchGuard Authentication Portal ページが表示された場合は、ステップ 6 に進みます。
   • WatchGuard Authentication Portal 以外のページが表示された場合は、Firebox の構成を調べて、トラフィックがこの場所に転送された理由を特定します。VPN に構成されている IP アドレスを変更することを検討してください。
6. WatchGuard Authentication Portal ページで、クライアントの認証情報を使ってログインします。
   複数の種類の認証が構成されている場合、または使用する認証サーバーが既定のオプションではない場合は、ドロップダウン リストから認証サーバーを選択します。
   • ユーザー認証に成功した場合は、ステップ 7 に進みます。
   • ユーザー認証に失敗した場合は、Firebox または外部認証サーバーでユーザーの認証情報を確認します。外部認証サーバー上のユーザーの場合は、そのサーバーを使用する他のユーザーがログインできるかどうかを確認します。一般的に、認証に問題がある可能性があります。
7. Web ブラウザで、https://<ip-address>/sslvpn.html と入力します。構成チャンネルの TCP ポートが 443 でない場合は、アドレスの後ろにコロンで区切ってポート番号を追加します。
   たとえば、構成チャンネルが TCP ポート 444 の場合は、ブラウザで、https://<ip-address>:444/sslvpn.html と入力します。
   WatchGuard Authentication Portal が表示されます。
8. ステップ 5で使用したクライアントの認証情報を使用してログインします。

Mobile VPN with SSL 専用の認証ページではユーザー認証に失敗しても、WatchGuard Authentication Portal ページでは同じ認証情報で成功するなら、これはほぼ確実にグループ メンバーシップの問題です。ユーザーが Mobile VPN with SSL に構成されたグループのメンバーであることを確認します。既定では、このグループは SSLVPN-Users です。

AuthPoint 認証のトラブルシューティングを行うには、Firebox Mobile VPN with SSL と AuthPoint の統合 および AuthPoint をトラブルシューティングする を参照してください。

このメッセージは、クライアント コンピュータに問題があることを示しています。クライアント コンピュータでトラブルシューティングを行うには、以下を確認します。

• SSL VPN サービスが開始されている。
• TAP ドライバが正しくインストールされている。
• コンピュータの別の VPN クライアントに競合を引き起こしたドライバがインストールされていない。
• ウイルス対策ソフトウェアやファイアウォール ソフトウェアなどのセキュリティ ソフトウェアにより、TAP ドライバがブロックされていない。
• Internet Explorer の インターネット オプション > 詳細 設定で、SSL 3.0 が選択されていない。

この問題は、ユーザーのローカル ネットワーク上のルーターまたはモデムが、Firebox から VPN クライアントへの折り返し通信を妨げている場合に発生する可能性があります。

Windows デバイス マネージャーで、仮想アダプタの状態を確認して、ローカル ルーターやモデムが VPN トラフィックを検査、フィルタリング、またはプロキシしていないことを確認します。ローカル ルーターやモデムのセキュリティ設定を調整する必要があるかもしれません。

この問題を解決するには、ネットワーク クライアントから外部 VPN endpoint へのアウトバウンド VPN 接続用に初回実行ポリシーを追加します。たとえば、クラウド管理下の Firebox で、ローカル管理の Firebox 上で SSL VPN 接続用に構成されたパブリック IP アドレスのみを宛先とする TCP 443 トラフィックの初回実行ポリシーを作成します。

WatchGuard Cloud の初回実行ポリシーの詳細については、次を参照してください：ファイアウォール ポリシーの種類。

VPN 接続プロセスの間、Firebox は、ローカル データベースまたは既存の RADIUS サーバー上でユーザーのアイデンティティとグループ メンバーシップを検証します。ユーザーは、以下のメンバーである必要があります。

• Firebox の既定の SSLVPN-Users グループ、または
• Firebox の構成時に明示的に追加されたグループ

この問題のトラブルシューティングを行うには、以下を実行します。

• すべての認証サーバーに SSLVPN-Users グループが存在することを確認します。
• Mobile VPN with SSL 構成に別のグループを追加した場合は、そのグループがすべての認証サーバー上に存在することを確認します。
• ユーザーが認証サーバー上の SSLVPN-Users グループ (または Mobile VPN with SSL 構成に追加した別のグループ) のメンバーであることを確認します。
• これらのユーザーの認証に RADIUS を使用する場合、RADIUS サーバーからグループのメンバーシップが Filter-ID 属性で返されていることを確認します。

外部認証サーバーを構成する方法の詳細については、次を参照してください： 外部認証サーバーを構成する。

VPN クライアントがリソースに IP アドレスを使って接続することはできても、名前では接続できない場合、接続先の名前を解決できるように有効な DNS または WINS サーバーの IP アドレスをクライアントに提供する必要があります。クライアントから Firebox に接続され、仮想 IP アドレスが受信される際、Firebox または Mobile VPN with SSL のグローバル構成に設定されている DNS および WINS サーバーの IP アドレスも受信されます。

Fireware v12.2.1 以降で Mobile VPN with SSL を構成する場合、以下を選択することができます：

• Firebox 上の Mobile VPN with SSL 設定で構成した WINS サーバー、DNS サーバー、および DNS サフィックスをクライアント デバイスに割り当てる
• Firebox 上のネットワーク (グローバル) DNS/WINS 設定で構成した WINS サーバー、DNS サーバー、および DNS サフィックスをクライアント デバイスに割り当てる
• DNS または WINS 設定をクライアント デバイスに割り当てる

WINS および DNS IP アドレスを構成する方法の詳細については、次を参照してください： Mobile VPN with SSL の名前解決。

Firebox のグローバル DNS 設定の詳細については、ネットワーク DNS および WINS サーバーを構成する を参照してください。

ユーザーが部分指定のホスト名を使用すると内部ネットワーク リソースに接続できず、完全修飾ドメイン名 (FQDN) を使用すれば接続できる場合は、クライアント側で DNS サフィックスが定義されていないということです。Fireware v12.2.1 以降で Mobile VPN with SSL を構成する場合、以下を選択することができます：

• Firebox 上の Mobile VPN with SSL 設定で構成した WINS サーバー、DNS サーバー、および DNS サフィックスをクライアント デバイスに割り当てる
• Firebox 上のネットワーク (グローバル) DNS/WINS 設定で構成した WINS サーバー、DNS サーバー、および DNS サフィックスをクライアント デバイスに割り当てる
• DNS または WINS 設定をクライアント デバイスに割り当てる

DNS サフィックスが割り当てられていないクライアントは、DNS 名全体を使って名前を IP アドレスに解決する必要があります。たとえば、ターミナルサーバーの DNS 名が RDP.example.net の場合、ユーザーがアドレスに RDP だけ入力しても、ターミナルサーバー クライアントには接続できません。ユーザーは DNS サフィックスの example.net も入力する必要があります。

Mobile VPN with SSL の DNS の詳細については、次を参照してください： Mobile VPN with SSL の名前解決。

Firebox のグローバル DNS 設定の詳細については、ネットワーク DNS および WINS サーバーを構成する を参照してください。

Fireware v12.2 以前では、Mobile VPN with SSL 構成で WINS および DNS 設定を構成しない場合、SSL VPN クライアントにネットワーク (グローバル) DNS/WINS 設定が割り当てられます。これには、DNS サーバー、WINS サーバー、およびドメイン サフィックスが含まれます。Firebox のネットワーク (グローバル) WINS/DNS 設定に DNS サフィックスを指定しても、Mobile VPN with SSL 設定に DNS サフィックスを指定しなければ、VPN クライアントは DNS サフィックスを受け取りません。ただし、Mobile VPN with SSL 構成にある他のいずれの DNS / WINS 設定も構成されていない場合は例外となります。

Mobile VPN with SSL 接続を経由するクライアント トラフィックが未処理として拒否された場合、その問題はほぼ常にグループ メンバーシップに関係しています。既定では、Mobile VPN with SSL を使用するユーザーは SSLVPN-Users という名前のグループのメンバーでなければなりません。RADIUS、SecurID または VASCO サーバーを使用する場合、サーバーは Filter-ID 属性としてグループ メンバーシップを返す必要があります。

外部認証サーバーを構成する方法の詳細については、次を参照してください： 外部認証サーバーを構成する。

すべてのトラフィックをトンネルを経由して送信するよう Mobile VPN with SSL を設定しているにもかかわらず、Office 365 のトラフィックがトンネルを経由しない場合は、次のようなオプションがあります。

• Fireware CLI で、default-route-client オプションを有効にする (Fireware v12.5.3 以降)
• クライアントで既定のゲートウェイを手動で構成する
• 別の Fireware Mobile VPN 方法を使用する

詳細について、および最初の 2 つの解決策の構成方法については、WatchGuard ナレッジ ベースの Mobile VPN with SSL ユーザーの Windows 365 で問題が生じる を参照してください。

Mobile VPN with SSL のネットワーク設定で VPN トラフィックのルーティング を選択した場合、Firebox は Mobile VPN with SSL クライアントから許可されたネットワークやリソースにトラフィックをルーティングします。

Mobile VPN with SSL クライアント が v11.10 以降であることを確認してください。Mobile VPN with SSL クライアント v11.10 以降は 24 以上のルートをサポートします。古いバージョンの Mobile VPN with SSL クライアントは、最大 24 までルートをサポートします。

v11.9.x 以前の Mobile VPN with SSL クライアントを使用するユーザーの場合は、Mobile VPN with SSL クライアントの構成に含めるリソースへのルート数が 24 未満でなければなりません。ネットワークまたは許可されたリソース数の合計が 24 を超えている場合、VPN クライアントは許可されたリソースの一部にトラフィックをルーティングできなくなります。v11.9.x 以前の Mobile VPN with SSL クライアントを使用するユーザーでは、以下に該当する場合、Mobile VPN with SSL の構成に含まれるルート数が多すぎる可能性があります：

• Mobile VPN with SSL 構成で、信頼済み、任意のネットワークおよび VLAN 経由で接続したネットワークへのアクセスを許可する を選択し、許可されたリソース リストに 24 以上のリソースが含まれている場合。
• Mobile VPN with SSL 構成で、許可されたリソースを指定する を選択し、24 以上のリソースを追加した場合。

2 つの DNS サーバー、2 つの WINS サーバー、およびドメイン サフィックスをすべて構成した場合は、WINS と DNS の設定により最高 5 つのルートが加算されます。その結果、クライアントがルーティングを許可されるリソースの数はさらに少なくなります。

ルート数を減らす方法として、生成されるルート数が少なくなるように許可されたリソースを指定することができます。これには、許可されたリソースを指定する を選択し、次にスーパーネットを使用し、エントリを少なくして許可されたリソースを指定します。たとえば、許可されたリソース リストに 192.168.1.0/24、192.168.25.0/24 および 192.168.26.0/24 のリソースが含まれている場合、192.168.1.0 から 192.168.31.255 までのすべてのアドレスが含まれた 1 つのリソース 192.168.0.0/22 としてこれを表すことができます。

Mobile VPN with SSL のリソースを指定する方法の詳細については、次を参照してください： Firebox で Mobile VPN with SSL を手動で構成する。

Mobile VPN with SSL を有効にすると、Allow SSLVPN-Users ポリシーが自動的に作成され、クライアントから内部または外部ネットワーク リソースへのトラフィックが許可されます。このポリシーを無効にするかまたは削除した場合、クライアントは内部または外部ネットワークにトラフィックを送信できません。

この問題を解決するには、ポリシーが存在し、ネットワーク リソースへのトラフィックが許可されていることを確認します。

このポリシーの詳細については、Firebox で Mobile VPN with SSL を手動で構成する および Mobile VPN with SSL トンネル経由のインターネット アクセスのオプション を参照してください。

VPN クライアントがネットワークのすべてではなく一部にのみ接続できる場合、または、ログ メッセージはトラフィックが許可されていることを示しているのに接続できない場合は、ルーティング問題の可能性が考えられます。以下の各項目が当てはまるかどうかを確認してください。

• Mobile VPN with SSL クライアントの仮想 IP アドレス プールは、内部ネットワーク ユーザーに割り当てられた IP アドレスと重複していない。
• 仮想 IP アドレス プールは、Firebox で構成された他のルーティング ネットワークや VPN ネットワークと重複していない。
• 複数のサイトでモバイル VPN を構成している場合は、各サイトにある仮想 IP アドレス プールが他のサイトのプールと重複していないことを確認してください。
• 仮想 IP アドレス プールは、企業やゲスト ネットワークのプライベート ネットワークの範囲である 192.168.0.0/24 および 192.168.1.0/24 を使用しません。これらの範囲は、一般的にホーム ネットワークで使用されます。Mobile VPN ユーザーに、企業ネットワーク範囲と重複するホーム ネットワーク範囲がある場合、そのユーザーからのトラフィックは VPN トンネルを通過しません。この問題を解決するには、以下を実行することをお勧めします：新しいローカル ネットワーク範囲に移行する。
• Mobile VPN with SSL ユーザーがルーティング ネットワークまたは VPN ネットワークにアクセスする必要がある場合、該当するルーティングまたは VPN ネットワーク内のホストに仮想 IP アドレス プールへの有効なルートが与えられているか、Firebox がそれらのホストの既定のインターネット ルートになる必要があります。

IP アドレス プールの構成方法の詳細については、次を参照してください： Firebox で Mobile VPN with SSL を手動で構成する。

問題の影響を受けたユーザーが、VPN ユーザーの一部または全員かを判断します。問題が VPNユ ザーの一部にしか影響しない場合、または特定の場所のユーザーに影響する場合は、以下を確認します。

• ユーザーの場所にあるファイアウォールが VPN 接続を許可していることを確認してください。
• 影響を受けたユーザーが、Firebox の背後にあるネットワークと重複する一般的でないサブネットを持っているかどうかを確認します。

問題がユーザーの大部分または全員に影響を与えている場合は、Firebox の背後にあるネットワークがホーム ネットワークで一般的に使用されるサブネットを持っているかどうかを確認してください。

企業ネットワークやゲスト ネットワークでは、プライベート ネットワークの範囲に 192.168.0.0/24 または 192.168.1.0/24 を使用しないことをお勧めします。これらの範囲は、一般的にホーム ネットワークで使用されます。Mobile VPN ユーザーに、企業ネットワーク範囲と重複するホーム ネットワーク範囲がある場合、そのユーザーからのトラフィックは VPN トンネルを通過しません。この問題を解決するには、以下を実行することをお勧めします：新しいローカル ネットワーク範囲に移行する。