Mobile VPN with IKEv2 トンネル経由でインターネットにアクセスする

モバイル IKEv2 VPN クライアントにより Mobile VPN ユーザーのインターネットにトラフィックをルーティングする方法は 2 つあります。

既定ルート (フル トンネル)

既定ルートはリモートユーザーからのすべてのインターネット トラフィックが VPN トンネル経由で Firebox にルーティングするため、これは最も安全なオプションです。その後、トラフィックは、インターネットに返送されます。この構成により、Firebox ですべてのトラフィックが検査されるため、セキュリティが強化されます。このオプションでは、より高い処理能力と帯域幅が必要となることにご注意ください。

既定ルートは、Firebox のすべての種類の Mobile VPN の既定オプションとなります。

スプリット トンネル

Firebox では、スプリット トンネリング用に構成された Mobile VPN with IKEv2 クライアントからの接続がサポートされています。しかし、スプリット トンネリングの IKEv2 クライアントは手動で構成する必要があります。たとえば、アクセスする必要のある各リモートネットワークのクライアント コンピュータにルートを手動で追加する必要があります。当社は、IKEv2 クライアントのスプリット トンネル構成のカスタマー サポートは提供していません。VPN クライアント ベンダーから提供された文書を参照してください。

スプリット トンネリングが必要な場合は、Mobile VPN with SSL を使用することをお勧めします。Mobile VPN with SSL およびスプリット トンネリングの詳細については、Mobile VPN with SSL トンネル経由のインターネット アクセスのオプション を参照してください。

Firebox 構成

Firebox を動的 NATで構成し、IKEv2 ユーザーからトラフィックを受信する必要があります。Firebox の背後からインターネットへの送信トラフィックを管理するポリシーは、すべて IKEv2 ユーザー トラフィックを許可するように構成する必要があります。

既定ルート VPN を構成する時、以下を確認します。

  • IKEv2 アドレス プールに追加した IP アドレスが、Firebox の動的 NAT 構成に追加されていることを確認してください。これにより、リモートユーザーはトラフィックをすべて Firebox に送信するときにインターネットを参照できます。
    Policy Manager から、ネットワーク > NAT の順に選択します。
  • 外部インターフェイス経由での IKEv2-Users からの接続を許可するには、ポリシー構成を編集します。
    たとえば、WebBlocker を使用して Web アクセスを制御するには、有効な WebBlocker に構成されているプロキシポリシーに IKEv2-Users グループを追加します。

クライアント構成

クライアントを構成する場合は、Firebox から IKEv2 クライアント構成ファイルをダウンロードすることをお勧めします。クライアント構成ファイルの詳細については、Mobile VPN with IKEv2 用にクライアント デバイスを構成する を参照してください。

クライアントが手動で構成されている場合は、既定ルート (フル トンネル) VPN の IKEv2 クライアントを構成することをお勧めします。

  • Windows 10 — IKEv2 VPN 接続の IPv4 アダプタ プロパティで、リモートネットワークで既定のゲートウェイを使用する が選択されていることを確認します。これは、既定ルート (フル トンネル) オプションです。
  • Windows 8.1 — 既定ルートである既定設定のままにします。
  • macOS — 既定ルートである既定設定のままにします。

モバイル オペレーティング システムではこれを構成することはできません。

WatchGuard は、WatchGuard 製品が他の会社で製造された製品で動作できるように構成するために、顧客が役立てることのできる相互運用性に関する指示を提供します。WatchGuard 以外の製品を構成するとき、詳細の情報または技術サポートが必要な場合、この製品のドキュメントおよびサポート リソースを参照してください。

Windows で既定ルート (フル トンネル) を有効化する

  1. Windows 8.1 または Windows 10 で、ネットワークと共有センター を開きます。
  2. アダプタ設定を変更する をクリックします。
  3. VPN 接続名を右クリックします。
  4. プロパティ をクリックします。
    VPN 接続プロパティ ダイアログ ボックスが表示されます。
  5. ネットワーク タブを選択します。
  6. リストで インターネット プロトコル バージョン 4 (TCP/IPv4) を選択して、プロパティ をクリックします。
  7. 全般 タブで、詳細 をクリックします。
    詳細 TCP/IP設定 ダイアログ ボックスが表示されます。
  8. IP 設定 タブで、リモートネットワークで既定のゲートウェイを使用する チェックボックスを選択します。
  1. Windows 検索バーに、powershell と入力します。
  2. 検索結果で、Windows PowerShell を選択します。
    PowerShell コマンド インターフェイス ウィンドウが表示されます。
  3. VPN のリストを表示するには、コマンド:get-vpnconnection を入力します。
    利用可能なすべての Windows VPN の構成が PowerShell ウィンドウに表示されます。
  4. 変更する Mobile VPN 接続の名前を指定します(例:My Mobile VPN)。
  5. この VPN 接続のスプリット トンネリングを無効化し、代わりに既定ルートを使用するには、
    set-vpnconnection -Name "My Mobile VPN" -SplitTunneling $false と入力します。
  6. PowerShell を終了するには、exit と入力します。

関連情報:

ネットワークの動的 NAT ルールを追加する

Mobile VPN with IKEv2

Mobile VPN with IKEv2 構成を編集する

Mobile VPN with IKEv2 をトラブルシューティングする

WatchGuard ナレッジ ベースの Windows 7 で既定ルートを有効化する