Mobile VPN with IKEv2 構成を編集する

このトピックでは、既存の Mobile VPN with IKEv2 構成を編集する方法について説明します。以下を構成できます。

Mobile VPN with IKEv2 をすでに構成していない場合は、Setup Wizard を使用することをお勧めします。Setup Wizard により、基本的な Mobile VPN with IKEv2 の構成をセットアップすることができます。詳細については、WatchGuard IKEv2 Setup Wizard を使用する を参照してください。

  1. (Fireware v12.3 以降) VPN > Mobile VPN の順に選択します。
  2. IKEv2 セクションで、構成 を選択します。
    Mobile VPN with IKEv2 ページが表示されます。
  3. (Fireware v12.2.1 以前) VPN > Mobile VPN with IKEv2 の順に選択します。
    Mobile VPN with IKEv2 ページが表示されます。
  4. 構成 をクリックします。

Mobile VPN with IKEv2 構成のページのスクリーンショット

  1. Mobile VPN with IKEv2 がまだ有効でない場合は、Mobile VPN with IKEv2 を有効化チェックボックスをオンにします。
  2. 次のセクションの情報を使用し、Mobile VPN with IKEv2 設定を構成します。
  1. (Fireware v12.3 以降) VPN > Mobile VPN > IKEv2 の順に選択します。
    Mobile VPN with IKEv2 構成 ダイアログ ボックスが表示されます。
  2. (Fireware v12.2.1 以前) VPN > Mobile VPN > IKEv2 > 構成 の順に選択します。
    Mobile VPN with IKEv2 構成 ダイアログ ボックスが表示されます。

Mobile VPN with IKEv2 構成のページのスクリーンショット

  1. Mobile VPN with IKEv2 がまだ有効でない場合は、Mobile VPN with IKEv2 を有効化チェックボックスをオンにします。
  2. 次のセクションの情報を使用し、Mobile VPN with IKEv2 設定を構成します。

ネットワーク設定の編集

ネットワーキング タブの Firebox アドレスセクションで、Mobile VPN with IKEv2 ユーザーからの接続に IP アドレスとドメイン名を指定します。Firebox が NAT デバイスの背後にある場合、NAT デバイスのパブリック IP アドレスまたはドメイン名を指定する必要があります。

仮想 IP アドレス プールを編集する

ネットワーキング タブの 仮想 IP アドレス プール に、Mobile VPN with IKEv2 ユーザーがトンネル上で使用する内部 IP アドレスが表示されます。仮想 IP アドレス プールには、少なくとも 2 つの IP アドレスを含める必要があります。既定では、Firebox が 192.168.114.0/24 の範囲のアドレスを Mobile VPN with IKEv2 クライアントに割り当てます。

企業ネットワークやゲスト ネットワークでは、プライベート ネットワークの範囲に 192.168.0.0/24 または 192.168.1.0/24 を使用しないことをお勧めします。これらの範囲は、一般的にホーム ネットワークで使用されます。Mobile VPN ユーザーに、企業ネットワーク範囲と重複するホーム ネットワーク範囲がある場合、そのユーザーからのトラフィックは VPN トンネルを通過しません。この問題を解決するには、以下を実行することをお勧めします:新しいローカル ネットワーク範囲に移行する

仮想 IP アドレスの詳細については、次を参照してください: 仮想 IP アドレスおよび Mobile VPN

仮想 IP アドレス プールに追加するには、以下の手順を実行します。

  1. 追加 をクリックします。
    アドレス プールの追加 ダイアログ ボックスが表示されます。
  2. 種類の選択 ドロップダウン リストから、ネットワーク IPv4 または ホスト IPv4 を選択します。
  3. 隣のテキスト ボックスに、IP アドレスまたはネットワーク IP アドレスを入力します。

認証設定の編集

認証 タブでは、認証サーバー、および認証されたユーザとグループを構成することができます。

ユーザーが Active Directory でネットワーク リソースを認証する場合は、IKEv2 VPN が Active Directory の認証を通過できるよう、RADIUS 認証を構成することをお勧めします。

Fireware v12.7 以降では、IKEv2 VPN ユーザーの認証要求を、WatchGuard が提供するクラウドベースの多要素認証 (MFA) ソリューションである AuthPoint に直接転送するように Firebox を構成することができます。AuthPoint で必要な構成を行うと、Firebox の認証サーバーのリストに AuthPoint が表示されます。Mobile VPN with IKEv2 構成では、AuthPoint を認証サーバーとして選択する必要があります。Mobile VPN with IKEv2 の多要素認証の詳細については、次を参照してください:Mobile VPN with IKEv2 ユーザー認証について

認証サーバーを構成する (Fireware v12.5 以降)

  1. 認証 タブを選択します。
  2. 認証サーバー ドロップダウン リストから、サーバーを選択します。
  3. 追加 をクリックします。
  4. サーバーを追加するには、手順 2 〜 3 を繰り返します。
  5. このサーバーをプライマリ サーバーにするには、それを選択して 上に移動 をクリックし、リストの一番上に移動します。
  1. 認証 タブを選択します。
  2. 認証サーバー リストから、1 つまたは複数のサーバーを選択します。
  3. このサーバーをプライマリ サーバーにするには、それを選択して、既定にする をクリックします。

認証サーバーを構成する (Fireware v12.4.1 以前)

  1. 認証 タブを選択します。
  2. 認証サーバー リストから、1 つまたは複数のサーバーを選択します。
  3. Firebox-DBRADIUS の両方を選択する場合、既定のサーバーに設定する を選択して、RADIUS を既定の認証サーバーに設定します。
  1. 認証 タブを選択します。
  2. 認証サーバー リストから、1 つまたは複数のサーバーを選択します。
  3. Firebox-DBRADIUS の両方を選択する場合、既定のサーバーに設定する を選択して、RADIUS を既定の認証サーバーに設定します。

ユーザーおよびグループを構成する

認証に Firebox-DB を使用する場合は、既定で作成された IKEv2 グループを使用する必要があります。Mobile VPN with IKEv2 を使用する他のグループとユーザーの名前を追加できます。追加する各グループまたはユーザーに対して、グループが存在する認証サーバーを選択するか、またはそのグループが複数の認証サーバーに存在する場合は Any を選択することができます。追加するグループまたはユーザー名は認証サーバーに存在していなければなりません。グループおよびユーザー名は大文字と小文字が区別され、認証サーバー上の名前に完全に一致している必要があります。

ユーザー認証の詳細については、次を参照してください: Mobile VPN with IKEv2 ユーザー認証について

  1. ユーザーとグループ セクションで、Mobile VPN with IKEv2 のユーザーとグループを選択します。
  2. 新しい Firebox-DB ユーザーまたはグループを追加するには、最初のドロップダウン リストから Firebox-DB を選択します。
  3. 新しい RADIUS ユーザーまたはグループを追加するには、最初のドロップダウン リストから 任意 を選択します。
  4. 2 番目のドロップダウン リストから、ユーザー または グループ を選択します。
  5. 追加 をクリックします。
    Firebox ユーザー、Firebox グループ、またはユーザーまたはグループの追加 ダイアログ ボックスが表示されます。
  6. 新しい Firebox-DB ユーザーを追加するには、Firebox の認証に新規ユーザーを定義する トピックの手順 5 〜 14 に従います。
  7. 新しい Firebox-DB グループを追加するには、Firebox の認証に新規グループを定義する トピックの手順 4 〜 9 に従います。
  8. サードパーティ認証の新しいユーザーとグループを追加するには、ユーザーおよびグループをポリシーで使用する トピックの手順 4 〜 11 に従います。
  9. (任意) Fireware v12.5.4 以降の場合に、グループの Host Sensor Enforcement を有効化するには、そのグループのチェックボックスを選択してから、Host Sensor Enforcement チェックボックスを選択します。グループの Host Sensor Enforcement を無効化するには、そのグループのチェックボックスを選択してから、Host Sensor Enforcement チェックボックスの選択を解除します。詳細については、TDR Host Sensor Enforcement について を参照してください。
  1. ユーザーとグループ セクションで、Mobile VPN with IKEv2 のユーザーとグループを選択します。
  2. 新しい Firebox-DB ユーザーを追加するには、以下の手順を実行します。
    1. 新規 をクリックします。
    2. Firebox-DB ユーザー/グループ を選択します。
      認証サーバー ダイアログ ボックスが表示されます。
    3. ユーザーを追加するには、ユーザー セクションで 追加 をクリックします。
      Firebox ユーザーのセットアップ ダイアログ ボックスが表示されます。
    4. ユーザー名、パスワード、およびタイムアウト設定を指定します。
    5. (任意) ユーザーのログイン制限設定を指定します。
  3. 新しい Firebox-DB グループを追加するには、ユーザー グループ セクションで 追加 をクリックします。
    Firebox グループの設定 ダイアログ ボックスが表示されます。
    1. グループの名前とログイン制限設定を指定します。
    2. (任意) Fireware v12.5.4 以降では、グループの Host Sensor 強制を有効化することができます。詳細については、次を参照してください:TDR Host Sensor Enforcement について
  4. 新しい RADIUS ユーザーまたはグループを追加するには、以下の手順を実行します。
    1. 新規 をクリックします。
    2. 外部ユーザー/グループ を選択します。
      ユーザーまたはグループを追加する ダイアログ ボックスが表示されます。
    3. グループ名を指定します。
    4. 種類 セクションで、グループ を選択します。
    5. (任意) グループのログイン制限設定を指定します。
    6. (任意) Fireware v12.5.4 以降では、グループの Host Sensor 強制を有効化することができます。詳細については、次を参照してください:TDR Host Sensor Enforcement について

Firebox-DB ユーザーを追加する方法の詳細については、次を参照してください: Firebox の認証に新規ユーザーを定義する

Firebox-DB グループを追加する方法の詳細については、次を参照してください: Firebox の認証に新規グループを定義する

RADIUS ユーザーおよびグループを追加する方法の詳細については、次を参照してください: ユーザーおよびグループをポリシーで使用する

認証の証明書を構成する

Firebox Certificate または Mobile VPN with IKEv2 認証に対応したサードパーティの証明書を選択できます。Firebox およびサードパーティの証明書には次の要件があります:

  • 拡張キー使用法 (EKU) のフラグ「serverAut」および「IP セキュリティ IKE 中間」(OID 1.3.6.1.5.5.8.2.2)
  • IP アドレスまたは対象者代替名の値としての DNS 名

Fireware v12.5 以降では、Firebox で Mobile VPN with IKEv2 の ECDSA (EC) 証明書がサポートされています。IKEv2 クライアントで EC 証明書がサポートされている必要があります。サポートはオペレーティングシステムによって異なります。詳細については、楕円曲線 DSA (楕円曲線デジタル署名アルゴリズム/ECDSA) 証明書について を参照してください。

認証の証明書を選択するには、次の手順を実行します:

  1. セキュリティ タブをクリックします。
  2. 認証の証明書を指定するには、編集 をクリックします。
    Firebox のアドレスと証明書の設定 ダイアログ ボックスが表示されます。
  3. 種類 ドロップダウン リストで、Firebox で生成される証明書 または サードパーティの証明書 を選択します。

フェーズ 1 およびフェーズ 2 の設定を構成する

フェーズ 1 の設定を構成するには、VPN > IKEv2 共有設定 の順に選択します。IKEv2 共有設定の詳細については、次を参照してください: IKEv2 の共有設定を構成する

Mobile VPN with IKEv2 に使用する IPSec フェーズ 2 プロポーザルは、IPSec Branch Office VPN で構成に使用するものと同じプロポーザルです。Mobile VPN with IKEv2 で使用する新しいフェーズ 2 プロポーザルを構成したい場合は、フェーズ 2 のプロポーザル ページにそれを追加する必要があります。その後、Mobile VPN with IKEv2 の構成に追加します。

  1. (Fireware v12.3 以降) VPN > Mobile VPN > 構成 の順に選択します。
  2. (Fireware v12.2.1 以前) VPN > Mobile VPN with IKEv2 > 構成 の順に選択します。
  3. セキュリティ > フェーズ 2 の順に選択します。
  4. フェーズ 2 の設定 タブをクリックします。
  5. Perfect Forward Secrecy を有効にする を選択して、Perfect Forward Secrecy (PFS) を有効にします。
  6. 隣のドロップダウン リストから、Diffie-Hellman グループ を選択します。
  7. IPSec プロポーザル セクションで、ドロップダウン リストから既存のプロポーザルを選択します。
  8. 追加 をクリックします。
  9. 新しいプロポーザルを追加するには、VPN > フェーズ 2 プロポーザル の順に選択します。フェーズ 2 プロポーザルの詳細については、次を参照してください: フェーズ 2 のプロポーザルを追加する
  10. 保存 をクリックします。
  1. (Fireware v12.3 以降) VPN > Mobile VPN > IKEv2 の順に選択します。
  2. (Fireware v12.2.1 以前) VPN > Mobile VPN > IKEv2 > 構成 の順に選択します。
  3. セキュリティ > フェーズ 2 の順に選択します。
  4. フェーズ 2 の設定 タブをクリックします。
  5. Perfect Forward Secrecy (PFS) を有効にするには、[PFS] チェックボックスをオンにします。
  6. 隣のドロップダウン リストから、Diffie-Hellman グループ を選択します。
  7. IPSec プロポーザル セクションで、ドロップダウン リストから既存のプロポーザルを選択します。
  8. 追加 をクリックします。
  9. 新しいプロポーザルを追加するには、VPN > フェーズ 2 プロポーザル の順に選択します。フェーズ 2 プロポーザルの詳細については、次を参照してください: フェーズ 2 のプロポーザルを追加する
  10. OK をクリックします。

DNS サーバーおよび WINS サーバーの設定を構成する

Fireware v12.2.1 以降では、Mobile VPN with IKEv2 構成で DNS および WINS サーバーを指定できます。

Firebox の Mobile VPN with IKEv2 構成で、ドメイン サフィックスを指定することはできません。モバイル IKEv2 クライアントは、ネットワーク (グローバル) DNS サーバー設定で指定されたドメインのサフィックスを継承しません。Windows IKEv2 VPN クライアント設定でドメイン サフィックスを手動で構成するには、WatchGuard ナレッジ ベースの L2TP または IKEv2 VPN クライアントの DNS 設定を構成する を参照してください。

Mobile VPN with IKEv2 の DNS 設定の詳細については、次を参照してください:Mobile VPN with IKEv2 用に DNS と WINS サーバーを構成する

  1. VPN > Mobile VPN with IKEv2 の順に選択します。

ネットワーキング タブのスクリーンショット

  1. DNS 設定 セクションで、次のオプションの 1 つを選択します。

ネットワーク DNS/WINS の設定をモバイル クライアントに割り当てる

このオプションを選択する場合、モバイル クライアントは ネットワーク > インターフェイス > DNS/WINS で指定する最初の 2 つの DSN サーバーと最初の 2 つの WINS サーバーを受け取ります。たとえば、ネットワーク DNS/WINS の設定で DNS サーバー 10.0.2.53 を指定する阿合、Mobile VPN クライアントは 10.0.2.53 を DNS サーバーとして使用します。ネットワーク DNS サーバーは 3 つまで追加できますが、Mobile VPN クライアントはリストの最初の 2 つしか使用しません。

既定では、新しい Mobile VPN の構成に ネットワーク DNS/WINS サーバーの設定をモバイル クライアントに割り当てる の設定が選択されます。

モバイル IKEv2 クライアントは、ネットワーク DNS サーバー設定で指定されたドメイン名のサフィックスを継承しません。

モバイル クライアントに DNS または WINS の設定を割り当てない

このオプションを使用する場合、クライアントは Firebox から DNS または WINS の設定を受け取りません。

これらの設定をモバイル クライアントに割り当てる

このオプションを選択する場合、モバイル クライアントはこのセクションで指定する DNS サーバーと WINS サーバーを受け取ります。たとえば、DNS サーバーに 10.0.2.53 を指定する場合、モバイル クライアントは DNS サーバーに 10.0.2.53 を使用します。

2 つまでの DNS サーバー IP アドレス、2 つまでの WINS サーバー IP アドレスを指定できます。ドメイン名サフィックスは指定できません。

  1. 保存 をクリックします。
  1. VPN > Mobile VPN > IKEv2 > 構成 の順に選択します。

IKEv2 構成ページのスクリーンショット

  1. DNS 設定 セクションで、次のオプションの 1 つを選択します。

ネットワーク DNS/WINS の設定をモバイル クライアントに割り当てる

このオプションを選択する場合、モバイル クライアントは ネットワーク > インターフェイス > DNS/WINS で指定する最初の 2 つの DSN サーバーと最初の 2 つの WINS サーバーを受け取ります。たとえば、ネットワーク DNS/WINS の設定で DNS サーバー 10.0.2.53 を指定する阿合、Mobile VPN クライアントは 10.0.2.53 を DNS サーバーとして使用します。ネットワーク DNS サーバーは 3 つまで追加できますが、Mobile VPN クライアントはリストの最初の 2 つしか使用しません。

既定では、新しい Mobile VPN の構成に ネットワーク DNS/WINS サーバーの設定をモバイル クライアントに割り当てる の設定が選択されます。

モバイル IKEv2 クライアントは、ネットワーク DNS サーバー設定で指定されたドメイン名のサフィックスを継承しません。

モバイル クライアントに DNS または WINS の設定を割り当てない

このオプションを使用する場合、クライアントは Firebox から DNS または WINS の設定を受け取りません。

これらの設定をモバイル クライアントに割り当てる

このオプションを選択する場合、モバイル クライアントはこのセクションで指定する DNS サーバーと WINS サーバーを受け取ります。たとえば、DNS サーバーに 10.0.2.53 を指定する場合、モバイル クライアントは DNS サーバーに 10.0.2.53 を使用します。

2 つまでの DNS サーバー IP アドレス、2 つまでの WINS サーバー IP アドレスを指定できます。ドメイン名サフィックスは指定できません。

  1. OK をクリックします。

Fireware v12.2 以前では、DNS および WINS 設定を Mobile VPN with IKEv2 構成で設定できません。 =クライアントは Firebox のネットワーク (グローバル) DNS/WINS 設定で指定された DNS および WINS サーバーを自動的に受信します。 =ドメイン名サフィックスは継承されません。ネットワーク DNS サーバーは 3 つまで追加できますが、Mobile VPN クライアントはリストの最初の 2 つしか使用しません。ネットワーク DNS/WINS 設定の詳細については、次を参照してください: ネットワーク DNS および WINS サーバーを構成する

ユーザー認証のタイムアウト設定

Fireware v12.5.4 以降では、Mobile VPN with IKEv2 EAP ユーザー認証にカスタム タイムアウト値を指定できます。カスタム タイムアウト値は、モバイル IKEv2 ユーザが多要素認証 (MFA) で認証を行い、MFA プロンプトに応答するためにより長い時間が必要な場合に指定することができます。既定のタイムアウト値は 20 秒です。

ユーザー認証のタイムアウト設定を変更する前に、Mobile VPN with IKEv2 に影響を与える可能性のある他のタイムアウト設定を検討してください。

  • Firebox RADIUS 設定—既定のタイムアウト設定は 30 秒です (10 秒と 3 回の再試行)。Mobile VPN with IKEv2 ユーザー認証タイムアウトを 30 秒以上に指定し、モバイル IKEv2 ユーザーが RADIUS で認証する場合は、既定の RADIUS タイムアウト設定も 30 秒以上になるように増やす必要があります。
  • AuthPoint—既定のタイムアウト設定は 60 秒で、これを変更することはできません。モバイル IKEv2 ユーザーが AuthPoint を介して認証する場合、Mobile VPN with IKEv2 のユーザー認証タイムアウトは 60 秒を超えてはなりません。
  • Microsoft NPS (RADIUS サーバー)—既定のタイムアウトは 30 秒です。

AuthPoint と RADIUS を通じて認証するモバイル IKEv2 ユーザーのタイムアウト設定の詳細については、Firebox Mobile VPN with IKEv2 と AuthPoint の統合 を参照してください。

タイムアウト設定を構成する

この設定を構成するには、Fireware CLI を使用する必要があります。次のコマンドを使用します:

WG#diagnose vpn "/ike/param/set ikev2_eap_timeout=[xxx] action=now"

たとえば、カスタム タイムアウト値を 40 秒に設定するには、次のように指定します。

WG#diagnose vpn "/ike/param/set ikev2_eap_timeout=40 action=now"

タイムアウト値は、20 秒から 300 秒の間で指定できます。action=now を指定した場合、この設定を有効にするために Firebox を再起動する必要はなく、トンネルはのキーは更新されません。指定した新しいタイムアウト値は、新しい IKEv2 接続に適用されます。

関連情報:

WatchGuard IKEv2 Setup Wizard を使用する

Mobile VPN with IKEv2

Mobile VPN with IKEv2 用に iOS と macOS デバイスを構成する

Mobile VPN with IKEv2 用に Windows デバイスを構成する

Mobile VPN with IKEv2 用に Android デバイスを構成する

Mobile VPN with IKEv2 用にクライアント デバイスを構成する

Mobile VPN with IKEv2 トンネル経由でインターネットにアクセスする

Mobile VPN with IKEv2 トンネル認証用の証明書

Mobile VPN with IKEv2 をトラブルシューティングする