エンドユーザー向けの IPSec Mobile VPN クライアントのインストール手順
以下の説明は、WatchGuard IPSec Mobile VPN クライアントのエンドユーザーを対象としています。これらの説明では、デスクトップ ファイアウォールをインストールする方法またはクライアント ソフトウェアの一部であるファイアウォールを構成する方法、またはユーザーが .ini ファイル使用しない場合に 接続動作を制御する設定の方法について、ネットワーク管理者に問い合わせるように示されています。この説明をプリントし、これに基づいてエンド ユーザー向けの説明書を作成できます。
WatchGuard IPSec Mobile VPN クライアントは、標準のインターネット接続を使用し、コンピュータと Firebox デバイスの間に暗号化接続を作成します。IPSec Mobile VPN クライアントにより、インターネット接続が可能な任意のリモート ロケーションから、保護されたネットワーク内のリソースにアクセスすることができます。
WatchGuard IPSec Mobile VPN クライアントをインストールする前に、次の要件および推奨事項を理解してください。
- WatchGuard IPSec Mobile VPN クライアント ソフトウェアは、サポートされている Windows または macOS を実行しているコンピュータにインストールすることができます。どのオペレーティング システムが互換性があるかについては、Fireware リリース ノート の オペレーティング システム互換性 リストを参照してください。Fireware OS のバージョンに関するリリース ノートは、WatchGuard Web サイトの Fireware リリース ノート ページ に掲載されています。
- クライアント ソフトウェアをインストールする前に、その他の IPSec モバイル ユーザーの VPN クライアント ソフトウェアがリモートコンピュータにインストールされていないことを確認してください。また、すべてのデスクトップ ファイアウォール ソフトウェア (Microsoft ファイアウォール ソフトウェア以外の) を、各リモートコンピュータからアンインストールする必要があります。
- Mobile VPN クライアント ソフトウェアをインストールする前に、クライアント オペレーティング システムのすべてのサービス パックをインストールすることをお勧めします。
- Mobile VPN クライアントをセットアップするとき、インポートしたクライアント プロファイルに Mobile VPN クライアントの WINS および DNS 設定が取得されます。
- この文書で設定を変更する指示がない限り、すべての既定の Mobile VPN クライアント設定を保存しておくことをお勧めします。
お使いの Windows OS のシステム タイプ (64ビットまたは 32ビット) に一致するクライアント ソフトウェアのインストール ファイルを使用する必要があります。システム タイプを確認するには、Windows 10 の Cortana 検索ボックスに About と入力し、About Your PC を選択します。他の Windows オペレーティング システムでの手順については、ネットワーク管理者に問い合わせるか、または Microsoft ドキュメントを参照してください。
インストールを開始する前に、次のインストール コンポーネントがあるかどうかを確認してください。
- IPSec Mobile VPN ソフトウェアのインストール ファイル (Windows用 64ビットまたは 32ビット)
- ファイルの拡張子が .wgx または .ini のエンドユーザー プロファイル
- パスフレーズ (エンドユーザー プロファイルが .wgx の場合、または接続が証明書を使用して認証される場合)
- ユーザー名とパスワード
- cacert.pem および .p12 証明書ファイル(接続が証明書を使用して認証される場合)
- WatchGuard IPSec VPN クライアントのライセンス登録に必要なライセンス番号とシリアル番号 (30 日の試用期間以降も機能するために必要となります)
Windows 用のクライアント ソフトウェアをインストールする
Windows コンピュータにクライアントをインストールするには、以下の手順を実行します:
- リモート (クライアントまたはユーザー) コンピュータに Mobile VPN .zip ファイルをコピーし、リモートコンピュータにファイルの中身を抽出します。必ず正しいシステム タイプ (64ビットまたは 32ビット) のインストール ファイルを使用してください。
- クライアントのインストール ソフトウェアと同じ場所にエンドユーザー プロファイル (.wgx ファイルまたは .ini ファイル) をコピーします。
証明書を使用して認証する場合、cacert.pem および .p12 ファイルも同じ場所にコピーします。 - 手順 1 で抽出した .exe ファイルをダブルクリックします。これで、WatchGuard Mobile VPN インストール ウィザードが起動します。
- ウィザードをクリックして進み、すべて既定の設定を承認します。
- Installation Wizard が完了したら、コンピュータを再起動する必要があります。
- コンピュータを再起動すると、WatchGuard Mobile VPN Monitor が表示されます。インストール後初めてソフトウェアを起動する場合、次のメッセージが表示されます。
VPN ダイヤルアップ用プロファイルがありません。
構成ウィザードを使用して、 プロファイルを作成しますか
- いいえ をクリックします。
- 表示 > 自動起動 > 自動起動しない の順に選択し、プログラムが自動的に起動しないようにします。
WatchGuard Mobile VPN クライアントを Windows 10 で起動するには、以下の手順を実行します:
Windows デスクトップから、スタート > WatchGuard Mobile VPN > Mobile VPN Monitor の順に選択します。他の Windows オペレーティング システムでの手順については、ネットワーク管理者にお問い合わせください。
クライアントを構成するには、VPN トンネルの作成に必要な設定を含むエンド ユーザープロファイルをインポートし、IPSec Mobile VPN クライアントを構成します。この手順を実行するには、管理者が設定するプロファイル パスフレーズが必要です。
Mobile VPN の .wgx 構成ファイルをインポートするには、次の操作を行います。
- WatchGuard Mobile VPN クライアントから、構成 > プロファイル の順に選択します。
- 追加/インポート をクリックします。
New Profile Wizard が起動します。 - プロファイルのインポート を選択します。
- 次へ をクリックします。
- .wgx または .ini 構成ファイルの場所を参照します。.ini ファイルを選択するには、Windows ファイル形式のドロップダウン メニューで すべてのファイル を選択する必要があります。
- 次へ をクリックします。
- ユーザー プロファイルの暗号化解除 画面でパスフレーズを入力します。パスフレーズでは大文字と小文字が区別されます。
- 次へ をクリックします。
- プロファイルの上書きまたは追加 画面で、同じ名前のプロファイルを上書きするよう選択できます。この機能は、インポートする新しい .wgx または .ini ファイルがネットワーク管理者から提供された場合に便利です。
- 次へ をクリックします。
- 認証画面で、VPN トンネルの認証に使用するユーザー名およびパスワードを入力できます。
ユーザー名のみを指定します。ユーザー名の前にドメイン名をつけたり、電子メール アドレスを指定したりしないでください。
VPN に接続する度に認証情報を入力するには、ユーザー名 と パスワード のテキスト ボックスを未入力にします。これは、セキュアレベルが一番高い方法です。
保存された認証で VPN に接続するには、ユーザー名とパスワードを入力します。Firebox はこの情報を保存するので、接続する度にユーザー名とパスワードを入力する必要がありません。これは、セキュアレベルが一番低い方法です。ユーザー名を入力し、パスワード テキスト ボックスを未入力のままにしておくこともできます。
クライアント ソフトウェアをインストールした後、元のデスクトップ ファイアウォール ソフトウェアを再インストールし、クライアントのソフトウェアの一部であるファイアウォールを構成します。サードパーティのデスクトップ ファイアウォールを使用している場合、トラフィックが VPN トンネルを確立することができ、またトンネルを経由してトラフィックが送信できるように構成する必要があります。手順については、ネットワーク管理者にお問い合わせください。
macOS 用のクライアント ソフトウェアをインストールする
macOS コンピュータにクライアントをインストールするには、以下の手順を実行します:
- Mobile VPN のディスク イメージ ファイル (.dmg) をリモートコンピュータにコピーします。CD または他の外部ドライブからディスク イメージ ファイルを開かないでください。
- エンド ユーザー プロファイル (.wgx または .ini ファイル) をリモート (クライアントまたはユーザー) コンピュータにコピーします。
認証のために証明書を使用する場合、cacert.pem および .p12 ファイルをルート ディレクトリにコピーします。 - Mobile VPN インストール ファイルをダブルクリックします。
- Watchguard Mobile VPN.pkg アイコンをダブルクリックします
WatchGuard Mobile VPN のインストーラーが起動します。 - ウィザード画面をクリックして進み、既定の設定を受け入れます。
VPN クライアント ソフトウェアはアプリケーション フォルダにインストールされます。
WatchGuard Mobile VPN クライアントを開始するには、以下の手順を実行します:
アプリケーション フォルダで、WatchGuard Mobile VPN クライアント をダブルクリックします。
クライアントを構成するには、VPN トンネルの作成に必要な設定を含むエンド ユーザープロファイルをインポートし、IPSec Mobile VPN クライアントを構成します。このステップを実行するには、管理者が設定するプロファイル パスフレーズが必要です。
エンド ユーザー プロファイルをインポートするには、以下の手順を実行します:
- WatchGuard Mobile VPN クライアントを起動します。
WatchGuard Mobile VPN クライアントの初回起動時には、プロファイル名の入力を求められます。 - キャンセル をクリックします。
- インポート をクリックしてプロファイルをインポートします。
- .wgx または .ini ファイルを保存したフォルダを参照します。
- ファイルを選択し、開く をクリックします。
- 次へ をクリックします。
- .wgx ファイルを使用する場合は、キー テキスト ボックスにこのプロファイルのパスフレーズを入力します。
- 次へ をクリックします。
- 読み込まれたファイルから、インポートするプロファイルを選択します。
- 次へ をクリックします。
- 認証データ ページでは、VPN トンネルの認証に使用するユーザー名とパスワードを入力しておくかどうかを選択できます。
ユーザー名およびパスワードをここに入力すると、Firebox にそれらが保存されるため、接続のたびにこの情報を入力する必要がなくなります。ただし、これはセキュリティ上のリスクを伴います。ユーザー名だけを入力し、パスワード フィールドを未入力のままにしておくこともできます。ユーザー名を入力する場合、ユーザー名の前にドメイン名をつけたり、電子メール アドレスを指定したりしないでください。
- 次へ をクリックします。
- 完了 をクリックします。
- OK をクリックします。
インストールされているプロファイルの確認や、別のプロファイルのインストールを行うには、WatchGuard Mobile VPN クライアントで WatchGuard Mobile VPN > プロファイル の順に選択します。
クライアント ソフトウェアをインストールした後、元のデスクトップ ファイアウォール ソフトウェアを再インストールし、クライアントのソフトウェアの一部であるファイアウォールを構成します。サードパーティのデスクトップ ファイアウォールを使用している場合、トラフィックが VPN トンネルを確立することができ、またトンネルを経由してトラフィックが送信できるように構成する必要があります。手順については、ネットワーク管理者にお問い合わせください。
v12.5 以降では、macOS 用の WatchGuard VPN クライアントで、macOS Mojave 以降で使用できるダークモードがサポートされています。
証明書を選択し PIN を入力する
このステップは、cacert.pem と .p12 ファイルを使用する場合のみ実行してください。
Windows VPN クライアントの証明書を構成するには、以下の手順を実行します:
- WatchGuard Mobile VPN クライアントを起動します。
- 構成 > 証明書 の順に選択します。
- 追加 をクリックします。
- ユーザー証明書 タブで、証明書 ドロップダウン リストから PKS#12 ファイルから を選択します。
- PKS#12 ファイル名 テキスト ボックスの隣にあるボタンをクリックし、.p12 ファイルの場所を参照します。
- OK をクリックします。閉じる をクリックします。
- 構成 > プロファイル の順に選択します。
- プロファイル名を選択します。編集 をクリックします。
- 同一性をクリックします。
- 証明書の設定のドロップダウンボックスから 追加した証明書の設定を選択します。
- 接続 > PIN を入力します の順に選択します。
- パスフレーズを入力して、OK をクリックします。
macOS VPN クライアントの証明書を構成するには、以下の手順を実行します:
- WatchGuard Mobile VPN クライアントを起動します。
- WatchGuard Mobile VPN > 基本設定
の順に選択します。証明書が一覧表示されます。 - "+" をクリックして新しい証明書を追加します。
- 証明書の名前を入力します。
- 証明書 ドロップダウン リストから、PKS#12 ファイルから を選択します。
- PKS#12 ファイル名 テキスト ボックスの隣にあるボタンをクリックし、.p12 ファイルの場所を参照します。
- OK をクリックします。
- 基本設定 ダイアログ ボックスを閉じます。
- WatchGuard Mobile VPN > プロファイル の順に選択します。
- プロファイル名を選択します。編集 をクリックします。
- 同一性をクリックします。
- 証明書の設定のドロップダウンボックスから 追加した証明書の設定を選択します。
- OK をクリックします。
- プロファイル ダイアログ ボックスを閉じます。
- 接続 > PIN を入力します の順に選択します。
- パスフレーズを入力して、OK をクリックします。
v12.5 以降では、macOS 用の WatchGuard VPN クライアントで、証明書ストレージの macOS キーチェーンがサポートされています。最初に証明書を macOS キーチェーンにインポートする必要があります。証明書に含まれるプライベート キーを使用するには、NCP サービス ncprwsmac からディレクトリ /Library/Application Support/NCP/Secure Client/ にアクセスできるようになっていることを確認してください。
VPN クライアントのライセンスを有効にする
IPSec Mobile VPN クライアントには、30 日間の試用ライセンスが含まれています。30 日間が経過した後もクライアントを使用するには、ライセンスを有効にする必要があります。IPSec Mobile VPN クライアントのライセンスを登録するには、以下が必要です:
- Windows 用の WatchGuard Mobile VPN クライアント (v11.3.2 またはそれ以上)
または、macOS 用の WatchGuard Mobile VPN クライアント - 有効なインターネット接続
- ライセンス番号とシリアル番号 (管理者から入手)
または初期化ファイル (管理者から入手)
ライセンス番号とシリアル番号を使用してクライアントのライセンスを有効にするには、以下の手順を実行します:
- WatchGuard Mobile VPN クライアントを起動します。
- ダイアログ ボックスの下にある ライセンス登録 をクリックします。
ライセンス データ ダイアログ ボックスが表示されます。ライセンス登録 ステータスは、クライアントがまだ有効でないことを示しています。 - ライセンス登録 をクリックし、ソフトウェア ライセンス登録ウィザードを開始します。
このボタンは、クライアントのライセンスがまだ有効でない場合のみ使用できます。 - オンライン ライセンス登録 を選択します。
- 次へ をクリックします。
ライセンス データ ステップが表示されます。
- VPN クライアントのライセンス キー と シリアル番号 を入力します。
- 次へ をクリックします。
インターネット接続 ステップが表示されます。 - コンピュータがインターネットに接続できる状態にあることを確認します。
コンピュータがすでにインターネットに接続されている場合、このステップでは何もする必要はありません。
Windows クライアントの場合、ソフトウェア ライセンス登録ウィザードは 2 つのインターネット接続オプションを提供します。
- 既存の VPN クライアント プロファイルを使ってインターネットに接続するには、プロファイル エントリを使用してインターネット接続を確立する チェックボックスをオンにします。プロファイル ドロップダウン リストから、使用するプロファイルを選択します。
- プロキシ サーバー経由でインターネットに接続するには、プロキシ設定 の順にクリックします。プロキシ サーバーの設定を選択します。
- 次へ をクリックします。
ウィザードはオンライン ライセンス登録を処理し、ライセンス登録に成功したかどうかを伝えます。 - 終了 をクリックしてウィザードを終了します。
登録されたシリアル番号は ライセンス データ ダイアログ ボックスに表示され、ライセンス登録 ステータスは OK になります。 - 閉じる をクリックして、ライセンス データ ダイアログ ボックスを閉じます。
初期化ファイルを使用してクライアントのライセンスを有効にするには、以下の手順を実行します:
- WatchGuard Mobile VPN クライアントを起動します。
- ダイアログ ボックスの下にある ライセンス登録 をクリックします。
ライセンス データ ダイアログ ボックスが表示されます。ライセンス登録 ステータスは、クライアントがまだ有効でないことを示しています。 - ライセンス登録 をクリックし、ソフトウェア ライセンス登録ウィザードを開始します。
このボタンは、クライアントのライセンスがまだ有効でない場合のみ使用できます。 - 初期化ファイルを使用してライセンス登録 を選択します。
- 次へ をクリックします。
初期化ファイル ステップが表示されます。 - 初期化ファイルステップの場所に移動します。
- 次へ をクリックします。
初期化ファイルがインポートされ、クライアントのライセンスが有効になります。
Mobile VPN クライアントを接続および切断する
ダイヤルアップ ネットワーク接続または LAN 接続によりインターネットに接続します。次に、以下の説明を使用して、プロファイルを選択したり、接続および切断を行います。
WatchGuard Mobile VPN クライアントのプロファイルを選択するには、以下の手順を実行します:
- WatchGuard Mobile VPN クライアントを起動します。
- プロファイルドロップダウン リストからインポートしたプロファイルの名前を選択します。
- 接続するには、 をクリックします。
Mobile VPN クライアントを切断するには、次の操作を行います。
- Mobile VPN Monitor を復元します。
- 切断するには、 をクリックします。
または、Windows のシステム トレイまたは macOS のメニューバーにある Mobile VPN アイコン メニューから、切断 を選択します。
WatchGuard Mobile VPN クライアント アイコン
WatchGuard Mobile VPN クライアントのアイコンは、システム トレイ (Windows) またはメニューバー (macOS) に表示されます。アイコンの色は、VPN 接続のステータスを示します。
- レッド — VPN に接続していない
- イエロー — VPN クライアントが接続を試みている
- グリーン — VPN への接続が確立した
- イエローとグリーンの点滅 — 物理的に切断された後でも VPN が論理的にアクティブ状態にある
Windows コンピュータでは、システム トレイのアイコンを右クリックして、Mobile VPN の再接続や切断、使用中のプロファイルの確認を行うことができます。
macOS コンピュータでは、VPN クライアントのアイコンはメニューバーに自動的に表示されません。メニューバーにアイコンを表示するには、Mobile VPN クライアントで WatchGuard Mobile VPN > メニューバーに VPN クライアント モニタを表示する の順に選択します。
メニューバーのアイコンをクリックすると VPN 接続のステータスが表示されます。
メニューバーのアイコンから、以下を実行できます。
- VPN への接続または切断を行う
- 使用するプロファイルを選択する
- 接続情報やローカル ログ ファイルを参照する
- VPN クライアント モニタをアプリケーションとして開始する (これを実行すると、メニューバーからアイコンが削除されます)
- WatchGuard Mobile VPN クライアントを終了する
接続動作を制御する
接続動作では、何らかの理由で VPN トンネルが使用できなくなった場合に IPSec Mobile VPN クライアント ソフトウェアが実行するアクションを制御します。既定では、手動で再接続する必要があります。接続動作を変更する必要はありませんが、再接続が自動的または可変的に行われるようにクライアントを構成することができます。推奨する設定については、ネットワーク管理者にお問い合わせください。
.ini ファイルをインポートして VPN クライアントを構成した場合は、ライン管理の設定を変更しないでください。.ini ファイルにより、この設定が構成されます。
- Windows コンピュータで、Windows WatchGuard Mobile VPN クライアントから構成 > プロファイル の順に選択します。または、macOS コンピュータでは、WatchGuard Mobile VPN クライアントから WatchGuard Mobile VPN クライアント > プロファイル の順に選択します。
- プロファイルの名前を選択し、編集 をクリックします。
- 左ウィンドウから、ライン管理 を選択します。
- 接続モード ドロップダウン リストから、このプロファイルの接続モードを選択します。
使用可能な接続モードは以下のとおりです:
手動
手動モード では、VPN トンネルを手動で開始する必要があります。VPN トンネルが切断しても、クライアントは VPN トンネルを自動的に再開しません。VPN トンネルを開始するには、Mobile VPN クライアントの 接続 ボタンをクリックするか、または Windows デスクトップのツールバーにある Mobile VPN アイコンを右クリックし、接続 をクリックします。
自動 (データ転送により接続が開始されます)
自動 モードでは、コンピュータが VPN トンネルを経由してリモート ホストにトラフィックを送信すると、クライアントは自動的に接続を開始しようとします。VPN トンネルが切断した場合、クライアント コンピュータ上のアプリケーションがリモート ホストへのトラフィック送信を実行すると、VPN トンネルを自動的に再開しようとします。
常に
常に モードでは、クライアントを起動すると自動的に VPN 接続を開始します。接続ボタンをクリックしたかどうか、トンネル経由でトラフィックが送信されたかどうか、VPN モニタの表示がどのように設定されているかに関係なく、接続が確立します。
可変 (「接続」は「自動」モードで開始します)
このモードでは、最初に 接続 をクリックして VPN トンネルを手動で開始します。トンネルを開始してから 切断 をクリックするまで、トンネルは 自動 モードで振る舞います。切断 をクリックする前に VPN トンネルが停止した場合、クライアント上のアプリケーションがリモート ホストへのトラフィック送信を開始すると、クライアントは VPN トンネルを自動的に再開しようとします。
可変 (「接続」は「常に」モードで開始します)
このモードでは、最初に 接続 をクリックして VPN トンネルを手動で開始します。トンネルを開始した後は、上の説明のように 常に モードで実行されます。クライアントは、閉じられるまでこのモードの使用を続けます。
- 非アクティブ タイムアウト テキスト ボックスに、トンネル経由で最終データが送信されてから自動的に接続を切断するまで VPN クライアントが待機する時間を秒数で指定します。非アクティブ タイムアウトを 0 に設定すると、アクティブでない状態が経過しても VPN クライアントは確立されているトンネルを自動的に切断しません。
ライン管理のその他の設定の詳細については、WatchGuard Mobile VPN クライアントの ヘルプ をクリックしてください。
その他の構成の設定について
クライアントのその他の設定については、WatchGuard Mobile VPN クライアントの ヘルプ をクリックしてください。