BOVPN トンネルを監視およびトラブルシューティングする
Branch office VPN (BOVPN) トンネルでは、両方の VPN endpoint で、信頼性の高い接続と同じ VPN 構成設定が必要です。ネットワーク接続の問題や構成エラーが問題を引き起こす可能性があります。
新しい BOVPN トンネルを構成後、それが機能していることを確認します:
- トンネルを通じてトラフィックを送信する
- トンネルの状態を監視する
トンネルを通じてトラフィックを送信する
Firebox は、トラフィックがトンネルを使用する必要がある場合のみに VPN トンネルをネゴシエートします。新しい VPN トンネルをテストするには、リモートネットワーク上の IP アドレスへのデータ送信を試みる必要があります。通常、データ送信を試みるまで VPN トンネルは作成されません。データの送信元と宛先が、その VPN に構成されたトンネル ルートによって許可されている必要があります。
例えば、リモートネットワーク上のデバイスに ping する場合、次の場合に ping が失敗します:
- トンネルがダウンしている。
- 送信元または宛先 IP アドレスが VPN 構成でトンネル ルートによって許可されていない。
- リモート デバイスがオフライン状態か、ping に応答しない。ただし、リモート デバイスがオフライン状態か ping に応答しなくても ping トラフィックによりトンネルは起動されます。
問題のトラブルシューティング
BOVPN のトラブルシューティングを行うには、VPN 設定、メッセージおよびログに注目することをお勧めします。
- VPN 設定が両方のデバイスで同じであることを確認します。
例えば、事前共有キー、フェーズ 1 およびフェーズ 2 設定が両方のデバイスで同じであることを確認します。 - 両方のデバイスのトンネル ルート設定で、IP アドレスとサブネット マスクが正しいことを確認します。
- 手動 BOVPN の場合、ローカル IP アドレスはローカル ホストまたはネットワークの IP アドレスと一致している必要があります。
- リモート IP アドレスは、リモート VPN ゲートウェイ上のホストまたはプライベート ネットワークの IP アドレスと一致している必要があります。
- BOVPN 仮想インターフェイスの場合、リモート サイトに存在しているルートを指定します。リモート サイトに存在しないルートを指定した場合、VPN トンネルが確立されてもトラフィックが期待するように通過しません。
- 2 つのデバイスのトンネル ルートは、並べて表示すると逆に見えるはずです。
- VPN 診断メッセージを使用します。
- VPN 診断レポートを実行します。
- トンネル ネゴシエーション中に各デバイスの IKE ログ メッセージをレビューします。
- 完全にタイムアウトする接続では、リモート デバイスの外部インターフェイスに ping して接続の確認を試みます。
リモート デバイスが ping に応答するようにリモート デバイスが構成されていることを確認してください。外部インターフェイスへの ping に Firebox が応答できるようにするには、ping ポリシーを編集して Any-External エイリアスからの ping を許可する必要があります。 - パケット キャプチャ (.PCAP) ファイルを保存して、BOVPN トラフィックの問題の診断に役立てることができます。
ping や TCP ダンプなど、Fireware で診断タスクを実行する方法の詳細については、以下を参照してください。
- Firebox で診断タスクを実行する (Fireware Web UI)
- ログ メッセージに関する詳細を知るために診断タスクを実行する (WatchGuard System Manager)
VPN トンネル ステータスを監視する
Fireware Web UI から、VPN ステータスを監視する方法の詳細については、次を参照してください:VPN 統計。
Firebox に接続していれば、Firebox System Manager の フロント パネル タブまたは WatchGuard System Manager の デバイス ステータス タブで、Branch Office VPN トンネルの現在のステータスを見ることができます。VPN トンネル接続が失敗した場合に、ゲートウェイとトンネルのステータス、および VPN 診断メッセージを見るには、ゲートウェイを展開します。Firebox System Manager で、ゲートウェイを右クリックすると、VPN 診断レポートを実行すること、または関連するすべてのトンネルのキーの再生成を強制することができます。
Firebox System Manager で、VPN ステータスを監視する方法の詳細については、次を参照してください:VPN トンネルのステータスと登録サービス。
VPN 診断メッセージおよびレポートを使用する
Branch Office VPN トンネルの問題をトラブルシューティングするには、以下の手順を実行します:
Branch Office VPN endpoint が有効化されていること、および VPN 設定が一致していることを確認しても、VPN が正しく動作しない場合は、Branch Office VPN の問題の原因となり得る他の状態、および VPN の可用性を高める対策を検討してください。
詳細については、Branch Office VPN (BOVPN) トンネル可用性を改善する を参照してください。
レスポンダーを監視する
VPN を構成する際、Firebox にトンネル経由でトラフィックをルーティングする必要性が発生するまで、トンネルは確立されません。トンネル経由でトラフィックのルーティングを最初に試みるゲートウェイ endpoint が、トンネル ネゴシエーションを開始します。すべての Branch Office VPN ネゴシエーションにおいて、各ゲートウェイ endpoint は以下の 2 つの役割うちの 1 つを担当します。
- イニシエータ は、トンネル ネゴシエーションを開始する endpoint です。これは、フェーズ 1 とフェーズ 2 のプロポーザルをリモート endpoint に送信して、ネゴシエーションを開始します。
- レスポンダー は、VPN フェーズ 1 とフェーズ 2 のプロポーザルを受信し、そのプロポーザルがローカルで構成された設定と一致しているかどうかに基づいて、それを受け入れるか拒否するかを決定します。
Branch Office VPN のトラブルシューティングを行う際は、VPN 診断メッセージを見て、レスポンダーで VPN 診断レポートを実行すると便利です。レスポンダーにはイニシエータから提案された設定とローカルで構成された設定の両方に関する情報が備わっているため、VPN 診断メッセージとレスポンダーの VPN 診断レポートを確認することで、より完全な情報を得ることができます。
BOVPN で IKEv2 が使用されている場合は、レスポンダーからの診断ログ メッセージに、一致しない設定に関するより完全な情報が含まれます。IKEv2 設定の詳細については、次を参照してください:IPSec VPN フェーズ 1 の設定を構成する。
トンネル ネゴシエーションを監視する際に、Firebox をレスポンダーとするには、以下を実行できます:
- リモートネットワークのデバイスがトンネル経由でトラフィックの送信を試みるようにする。
- リモートゲートウェイ endpoint の管理者に依頼して、強制的にトンネルのキーを再生成する。
IPSec VPN ネゴシエーションの詳細については、次を参照してください:IPSec VPN ネゴシエーションについて。
トンネル ルートの制限について
Firebox でサポートできるアクティブなトンネル ルート数以上の Branch Office VPN トンネル ルートを構成することができます。Firebox では、機能キーのライセンスで設定されている最大数以上の Branch Office VPN トンネル ルートを確立することはできません。デバイスが制限数を超える数の BOVPN トンネルを確立しようとすると、ログ ファイルに次のメッセージが表示されます:
ライセンス機能 (BOVPN_TUNNEL) の強制:トンネルの最大数に達しました。
フロント パネル タブの Firebox System Manager、および システム ステータス > VPN 統計 ページの Fireware Web UI に警告が表示されます。
トンネル ライセンス数の制限の詳細については、次を参照してください:VPN トンネルの容量およびライセンス。
その他のトラブルシューティング ツール
確立された VPN トンネル経由でネットワーク リソースに接続できない場合は、ネットワーク接続をトラブルシューティングする で、問題を特定して解決するための他の手順を参照してください。