Mobile VPN with IKEv2 をトラブルシューティングする

Firebox からダウンロードした自動構成スクリプトを実行できない場合は、以下を確認してください。

• コンピュータの管理者権限があることを確認してください。
• 管理者権限を取得できない場合は、Microsoft Active Directory Group Policy (GPO) を使用して IKEv2 VPN クライアントを配備することができます。
  詳細については、WatchGuard ナレッジ ベースの Windows コンピュータ用のカスタム IKEv2 および L2TP VPN プロファイルを作成して展開するにはどうすればよいですか を参照してください。。

Fireware v12.5.3 以前では、Windows Group Policy Objects によって PowerShell スクリプトのデジタル署名制限が指定されていると、自動構成スクリプトが失敗することがあります。この問題を解決するには、Fireware v12.5.4 以降にアップグレードし、Firebox から更新されたインストール スクリプトをダウンロードします。更新されたスクリプトでは、RemoteSigned ポリシーではなく Bypass 実行ポリシーが使用されます。

または、Fireware v12.5.3 以前では、以下のように実行ポリシーを Bypass に手動で変更します。

1. テキスト エディタで WatchGuard インストール スクリプトを開きます。
2. スクリプトの最後にある -ExecutionPolicy RemoteSigned を -Execution Policy Bypass に変更します。
   これで、スクリプトを実行しても「スクリプトをロードできません」というエラーが表示されなくなります。

ユーザーが Mobile VPN with IKEv2 接続を開始すると、以下が行われます。

• VPN クライアントがポート UDP 500 で接続を開始します。そのポートがクライアント ゲートウェイで開かれていない場合、セッションは進行しません。
• ポート UDP 500 が開いているにもかかわらず NAT が検出された場合、接続はポート UDP 4500 で進行します。クライアント ゲートウェイが UDP 4500 を許可していない場合、IPSec と IKEv2 は続行できません。

クライアント ゲートウェイが UDP ポート 500 または 4500 を許可していない場合、Windows ユーザーには以下のようなメッセージが表示されます。

この問題をトラブルシューティングするには、IPSec トラフィックがクライアント ゲートウェイを通過できることを確認します。

1. クライアント ゲートウェイで、診断またはログ記録コンソールを開きます。
2. ゲートウェイがポート UDP 500 と UDP 4500 のホストからの ESP とアウトバウンド トラフィックを許可していることを確認します。

クライアント ゲートウェイに診断またはログ記録コンソールがない場合は、以下の手順を実行します。

1. Wireshark などのパケット分析をユーザーのコンピュータで実行して、必要なポートからのトラフィックが LAN またはワイヤレス ネットワーク カードから出ているかどうかを判断します。
2. Firebox で、tcpdump ユティリティを実行します。たとえば、次を実行します：
   -i eth0 -c2 –n host 198.51.100.100 and port 4500
   この例では、ファイアウォールの外部インターフェイス (eth0) の ポート 4500 にあるユーザーのパブリック IP アドレス (198.51.100.100) から、名前解決 (-n) なしで 2 つのインバウンド パケット (-c2) を取得するように tcpdump を構成します。
   

このエラーは、ユーザーがローカル マシンの信頼済み CA ストアに認証機関 (CA) 証明書をインストールしていないことを示しています。

証明書ファイルをインポートするには、以下の手順を実行します。

• Mobile VPN with IKEv2 用に Windows デバイスを構成する
• Mobile VPN with IKEv2 用に iOS と macOS デバイスを構成する
• Mobile VPN with IKEv2 用に Android デバイスを構成する

Windows では、Microsoft Management Console (MMC) から証明書をインストールすることもできます。

1. MMC を開きます。
2. ファイル > スナップインの追加と削除 の順に選択します。
3. 使用可能なスナップイン メニューで 証明書 を選択し、追加 を選択します。
   証明書スナップイン ウィザードが表示されます。
4. コンピュータのアカウント を選択して 次へ をクリックします。
5. ローカル コンピュータ を選択して 完了 をクリックします。
6. 証明書の一覧で、信頼されたルート認証機関 を右クリックします。
7. すべてのタスク > インポート の順に選択します。
   証明書インポート ウィザード が表示されます。
8. 参照 をクリックします。
9. Firebox から Mobile VPN with IKEv2 構成ファイルを保存した場所を参照します。
   構成ファイルのダウンロード方法の詳細については、次を参照してください：Mobile VPN with IKEv2 用にクライアント デバイスを構成する。
10. rootca.crt ファイルを選択します。
11. 次へ をクリックします。
12. 既定値である すべての証明書を以下のストアに配置する と 信頼されたルート認証機関 はそのままにしておきます。
13. 完了 をクリックします。

ユーザー アカウントの問題のため VPN 接続を確立できない場合、Firebox の Traffic Monitor に 未処理の外部パケット というログ メッセージが表示されます。このログ メッセージは、ユーザーが Mobile VPN with IKEv2 への接続を許可されているグループに含まれていないことを示しています。

ログ メッセージの例：

2020-06-26 06:22:48 admd Authentication of MUVPN user [John@Firebox-DB] from 203.0.113.209 was accepted msg_id="1100-0004" Event

2020-06-26 06:22:48 sessiond IKEv2 VPN user John@Firebox-DB from 203.0.113.209 logged in assigned virtual IP is 192.168.114.1 msg_id="3E00-0002" Event

2020-06-26 06:22:48 iked (203.0.113.150<->203.0.113.209)'WG IKEv2 MVPN' MUVPN IPSec tunnel is established. local:0 remote:0 in-SA:0x698360e1 out-SA:0xd5d960bc role:responder msg_id="0207-0001" Event

2020-06-26 06:22:49 Deny 192.168.114.1 255.255.255.255 bootps/udp 68 67 0-External Firebox Denied 328 128 (Unhandled External Packet-00)  proc_id="firewall" rc="101" msg_id="3000-0148" src_user="John@Firebox-DB" Traffic

2020-06-26 06:22:49 Deny 192.168.114.1 255.255.255.255 netbios-ns/udp 137 137 0-External Firebox Denied 96 128 (Unhandled External Packet-00)  proc_id="firewall" rc="101" msg_id="3000-0148" src_user="John@Firebox-DB" Traffic

2020-06-26 06:25:42 Deny 10.0.200.2 10.0.150.3 icmp   tunnel.200 1-Trusted Denied 60 126 (Unhandled External Packet-00)  proc_id="firewall" rc="101" msg_id="3000-0148" Traffic

2020-06-26 06:25:47 Deny 10.0.200.2 10.0.150.3 icmp   tunnel.200 1-Trusted Denied 60 126 (Unhandled External Packet-00)  proc_id="firewall" rc="101" msg_id="3000-0148" Traffic

詳細については、Mobile VPN with IKEv2 ユーザー認証について を参照してください。

ユーザーが間違ったパスワードを指定すると、認証が無効です というログ メッセージが Firebox の Traffic Monitor に表示されます。

ログ メッセージの例：

2020-06-26 06:28:42 admd Authentication of MUVPN user [Bob@Firebox-DB] from 203.0.113.209 was rejected, password is incorrect msg_id="1100-0005" Event

ユーザーが認証サーバーに存在しないユーザー名を指定すると、ユーザーが存在しません というログ メッセージが Firebox の Traffic Monitor に表示されます。

ログ メッセージの例：

2020-06-26 06:32:26 admd Authentication of MUVPN user [Mike@Firebox-DB] from 203.0.113.209 was rejected, user doesn't exist msg_id="1100-0005" Event

サーバーが応答していません (この場合、サーバー上のすべてのユーザーの認証で問題が発生する場合があります):。

2020-06-26 14:39:26 admd Authentication server RADIUS(10.0.200.50):1812 is not responding msg_id="1100-0003" Event

2020-06-26 14:39:26 admd Authentication of MUVPN user [Mike@RADIUS] from 203.0.113.209 was rejected, Recv timeout msg_id="1100-0005" Event

ユーザーがドメイン名や IP アドレスでファイル共有、プリンター、またはその他のネットワーク リソースに接続できない場合は、以下を確認します。

• ユーザーが内部ネットワーク リソースまたは Firebox の内部インターフェイスの IP アドレスを ping できるかどうかを判断します。
• 内部リソースへのアクセスを制御する Firebox ポリシーから、そのアクティビティのログ メッセージが送信されていることを確認します。ログ メッセージを表示して、Firebox でトラフィックが認識されていて、その通過が許可されているかどうかを判断することができます。
  ログ記録の詳細については、次を参照してください：ポリシーのログ記録および通知を構成する。

ポリシーでトラフィックが許可されていて、ネットワーク リソースが利用可能であるにもかかわらず、ユーザーがネットワーク リソースからの応答を受信できない場合は、以下を行います。

• tcpdump 診断ツールを使用して、対象のリソースが存在するインターフェイスまたは VLAN からの要求をフィルタリングします。例:
  -i vlan10 -c2 -n host 10.0.10.250 and icmp
• ユーザーのコンピュータで、以下を行います。
  • Wireshark などのパケット分析ツールを使用して、ホストがパケットを受信したかどうかを判断します。
  • Windows ファイアウォールまたはサードパーティのソフトウェアによって、ユーザーのサブネット外のリソースへの接続が防止されているかどうかを確認します。その場合は、例外またはルールを追加してそのようなトラフィックを許可します。
  • Firebox が既定のゲートウェイであること、または Firebox を介して VPN クライアントの仮想 IP ネットワークへのルートを持っていることを確認します。

VPN クライアントの構成に名前解決のための内部 DNS サーバーが含まれていることを確認するには、Firebox で以下の手順を実行します。

1. Mobile VPN with IKEv2 構成の既定の DNS 設定は ネットワーク DNS/WINS の設定をモバイル クライアントに割り当てる です。Firebox がネットワーク DNS サーバーをモバイル IKEv2 クライアントに渡すよう、この設定は既定のままにします。
   
2. ネットワーク > インターフェイス > DNS/WINS のネットワーク DNS サーバー設定で、内部 DNS サーバーがプライマリ サーバーであることを確認します。プライマリ サーバーは、リストの最初に表示されています。
   

ユーザーが部分指定のホスト名を使用すると内部ネットワーク リソースに接続できず、完全修飾ドメイン名 (FQDN) を使用すれば接続できる場合は、クライアント側で DNS サフィックスが定義されていません。通常、マップされたドライブはホスト名を使用し、クライアントはファイル共有の DNS レコードを見つけるために DNS サフィックスを必要とします。

モバイル IKEv2 VPN クライアントは、Firebox のネットワーク DNS サーバー設定で指定されたドメイン名のサフィックスを継承しません。VPN クライアントのドメイン サフィックスを指定するには、3 つのオプションがあります。

• オプション 1 — Active Directory GPO 配備用のカスタム スクリプトを作成する。詳細については、WatchGuard ナレッジ ベースの Windows コンピュータ用のカスタム IKEv2 および L2TP VPN プロファイルを作成して展開するにはどうすればよいですか を参照してください。。
• オプション 2 — VPN クライアント設定でドメイン サフィックスを手動で構成する。詳しくは、WatchGuard ナレッジ ベースの Windows VPN 接続の DNS サーバーとサフィックス設定を手動で構成する を参照してください。

Mobile VPN with IKEv2 構成の DNS 設定の詳細については、次を参照してください：Mobile VPN with IKEv2 用に DNS と WINS サーバーを構成する。

Firebox のグローバル DNS 設定の詳細については、ネットワーク DNS および WINS サーバーを構成する を参照してください。

Firebox 上のモバイル VPN 構成において、ユーザー接続用に指定された IP アドレスが外部 VLAN インターフェイスに対応している場合、VLAN 構成で イントラ VLAN トラフィックにファイアウォール ポリシーを適用する チェックボックスを選択し、Firebox のポリシーと NAT がモバイル VPN のユーザー トラフィックに適用されるようにします。この設定の詳細については、次を参照してください：新しい VLAN を定義する。