Mobile VPN with IKEv2 用に Windows デバイスを構成する

Windows デバイス上でネイティブ IKEv2 VPN クライアントを構成して、Firebox への VPN 接続を確立できます。デバイスに VPN 接続を追加するには、WatchGuard 自動構成スクリプトを使用するか、またはデバイスで手動で設定を構成します。

CA 証明書をインストールするには、Windows デバイスの管理者権限が必要です。WatchGuard の構成スクリプトは管理者権限を自動的に要求して、新しい IKEv2 VPN 接続に必要な CA 証明書をインストールします。

モバイル IKEv2 クライアントは、Firebox からドメイン サフィックスを継承しません。Windows でドメイン サフィックスを手動で構成するには、WatchGuard ナレッジ ベースの IKEv2 および L2TP VPN クライアントで DNS サーバーおよびサフィックスの設定を構成する を参照してください。

Mobile VPN with IKEv2 は、Fireware v12.1 以降を搭載した Firebox でサポートされています。

Windows ユーザー向けにログオン前の VPN 接続を構成するには、Windows コンピュータ用のカスタム IKEv2 および L2TP VPN プロファイルを作成して配備するにはどうすればよいですか を参照してください。

各モバイル VPN の種類に対してどのオペレーティング システムが互換性があるかについては、Fireware リリース ノート のオペレーティング システム互換性 リストを参照してください。WatchGuard Web サイトの Fireware リリース ノート ページ で お使いの Fireware OS のバージョンの リリース ノート を入手することができます。

WatchGuard は、WatchGuard 製品が他の会社で製造された製品で動作できるように構成するために、顧客が役立てることのできる相互運用性に関する指示を提供します。WatchGuard 以外の製品を構成するとき、詳細の情報または技術サポートが必要な場合、この製品のドキュメントおよびサポート リソースを参照してください。

VPN 設定を自動的に構成する

VPN 接続を WatchGuard 自動構成スクリプトで構成するには、Firebox から圧縮 .TGZ ファイルをダウンロードする必要があります。このファイルには様々なオペレーティング システムの手順と構成スクリプトが含まれています。このファイルをダウンロードする方法の詳細については、Mobile VPN with IKEv2 用にクライアント デバイスを構成する を参照してください。

自動構成スクリプトにより、新しい IKEv2 VPN 接続が作成されます。スクリプトにより、接続が既定ルート (フル トンネル) として構成されます。つまり、すべてのトラフィックが VPN 接続経由で送信されるようになるということです。また、構成スクリプトにより、VPN 接続に必要な CA 証明書もインストールされます。既定ルートとスプリット トンネル VPN 接続の詳細については、Mobile VPN with IKEv2 トンネル経由でインターネットにアクセスする を参照してください。

Windows で新しい IKEv2 VPN 接続を自動追加するには、以下の手順を実行します。

  1. Windows_8.1_10 フォルダをデバイスにダウンロードまたはコピーします。このフォルダには自動構成ファイルと必要な CA 証明書が含まれています。
  2. Windows_8.1_10 フォルダの中にある .bat ファイルをダブルクリックします。
  3. ユーザー アカウント コントロール ダイアログ ボックスが開いたら、はい を選択します。
    2 つの PowerShell ウィンドウが開き、その内 1 つは、自動的に閉じます。
  4. アカウントに管理者権限がない場合は、プロンプトが表示されたら管理者の認証情報を指定します。管理者として実行 オプションはサポートされていません。
  5. 開いた PowerShell ウィンドウで、任意のキーを押して続行します。セットアップのプロセスが完了します。
  6. 新しい VPN 接続を探すには、設定 > ネットワークとインターネット > VPN の順に選択します。
  7. VPN に接続するには、追加した VPN 接続をクリックして 接続 を選択します。

Windows 7 を搭載したコンピュータでは、VPN 接続を 手動で構成 する必要があります。自動構成スクリプトはサポートされていません。詳細については、WatchGuard ナレッジ ベースの Mobile VPN with IKEv2 用に Windows 7 を構成する を参照してください。

VPN 設定を手動で構成する

Windows 10 で新しい IKEv2 VPN 接続を手動で追加するには、以下の手順を実行します。

  1. Windows_8.1_10 フォルダの中にある rootca.crt ファイルを右クリックします。
  2. 証明書をインストールする をクリックします。
    証明書インポート ウィザード が表示されます。
  3. ローカル マシン のストアの場所を選択して、次へ をクリックします。
  4. アプリがデバイスに変更を加えることを許可するかどうかを尋ねる ユーザー アカウント コントロール ダイアログ ボックスが開いたら、はい を選択します。
  5. 証明書をすべて次のストアに配置する を選択します。
  6. 参照 をクリックします。
  7. 証明書ストアを選択する リストで、信頼済みルート認証機関 を選択します。
  8. OK > 次へ > 完了 の順にクリックします。
  9. 証明書をインストールするかどうかを尋ねる セキュリティ警告 ダイアログ ボックスが開いたら、はい を選択します。
  10. スタート ボタンをクリックし、設定 > ネットワークとインターネット > VPN の順に選択します。
  11. VPN 接続の追加 をクリックします。
  12. 次の設定を指定します:
  • VPN プロバイダ: Windows (内蔵)
  • 接続名: [MyCompany IKEv2 VPN などのわかりやすい名前]
  • サーバー名またはアドレス: [Firebox のホスト名または IP アドレス]
  • VPN タイプ: IKEv2
  • サインイン情報の種類: ユーザー名とパスワード
  • (任意) 後で使用できるようユーザー名とパスワードを保存するには、それらの認証情報をここで指定します。Firebox の Mobile VPN with IKEv2 構成に複数の認証サーバーが含まれており、既定の認証サーバーではない認証サーバーで認証を行う場合は、ユーザー名の前に認証サーバー名を指定します。たとえば、RADIUS\jsmith のように指定します。ユーザー名の形式の詳細については、ユーザー名の形式 セクションを参照してください。
  1. 保存 をクリックします。

Windows 8.1 で新しい IKEv2 VPN 接続を手動で追加するには、以下の手順を実行します。

  1. Windows_8.1_10 フォルダの中にある rootca.crt ファイルを右クリックします。
  2. 証明書をインストールする をクリックします。
    証明書インポート ウィザード が表示されます。
  3. ローカル マシン のストアの場所を選択して、次へ をクリックします。
  4. アプリがデバイスに変更を加えることを許可するかどうかを尋ねる ユーザー アカウント コントロール ダイアログ ボックスが開いたら、はい を選択します。
  5. 証明書をすべて次のストアに配置する を選択します。
  6. 参照 をクリックします。
  7. 証明書ストアを選択する リストで、信頼済みルート認証機関 を選択します。
  8. OK > 次へ > 完了 の順にクリックします。
  9. 証明書をインストールするかどうかを尋ねる セキュリティ警告 ダイアログ ボックスが開いたら、はい を選択します。
  10. スタート ボタンをクリックし、PC 設定 > ネットワーク > VPN の順に選択します。
  11. VPN 接続の追加 をクリックします。
  12. 次の設定を指定します:
  • VPN プロバイダ: Microsoft
  • 接続名: [MyCompany IKEv2 VPN などのわかりやすい名前]
  • サーバー名またはアドレス: [Firebox のホスト名または IP アドレス]
  • (任意) サインイン情報の種類: ユーザー名とパスワード
  • (任意) 後で使用できるようユーザー名とパスワードを保存するには、それらの認証情報をここで指定します。Firebox の Mobile VPN with IKEv2 構成に複数の認証サーバーが含まれており、既定の認証サーバーではない認証サーバーで認証を行う場合は、ユーザー名の前に認証サーバー名を指定します。たとえば、RADIUS\jsmith のように指定します。ユーザー名の形式の詳細については、ユーザー名の形式 セクションを参照してください。
  1. 保存 をクリックします。
  2. PC 設定 ページを開くには、戻る ボタンを 2 回クリックします。
  3. コントロール パネル > ネットワークとインターネット > ネットワークと共有センター > アダプター設定の変更 の順に選択します。
  4. 追加した VPN アダプターを右クリックして、プロパティ をクリックします。
  5. セキュリティ タブの VPN の種類 リストから IKEv2 を選択して、OK をクリックします。
  6. データ暗号化 ドロップダウン リストから 暗号化が必要 を選択します。
  7. 認証 セクションで、拡張認証プロトコル (EAP) を使用する を選択します。
  8. ドロップダウン リストから、EAP-MSCHAP v2 オプションを選択し、OK をクリックします。
  9. Windows のシステム トレイで、インターネット アクセス アイコンをクリックします。
  10. VPN に接続するには、追加した VPN 接続をクリックして 接続 を選択します。

クライアントが手動で構成されている場合は、既定ルート (フル トンネル) VPN を構成することをお勧めします。Windows 10 では、IKEv2 VPN 接続の IPv4 アダプタ プロパティを変更して、リモートネットワークで既定のゲートウェイを使用する を選択する必要がある場合があります。これは、既定ルート (フル トンネル) オプションです。

ユーザー名の形式

ユーザー名 の形式は、ユーザーが認証される認証サーバーによって異なります。

  • Firebox の構成に複数の認証サーバーが含まれており、既定の認証サーバーではない認証サーバーで認証を受ける場合は、認証サーバーを ユーザー名 テキスト ボックスで指定する必要があります。
  • Firebox の構成に複数の認証サーバーが含まれており、既定の認証サーバーで認証を受ける場合は、認証サーバーを ユーザー名 テキスト ボックスで指定する必要はありません。

たとえば、ユーザー名 は以下のいずれかの形式にする必要があります。

既定の認証サーバーを使用する場合

ユーザー名を入力します例: jsmith

別の認証サーバーを使用する場合

認証サーバー名またはドメイン名を入力してから、バックスラッシュ (\) に続いてユーザー名を入力します。例:

Firebox-DBFirebox-DB\jsmith

AuthPoint (Fireware v12.7 以降) — authpoint\jsmith

RADIUS (Fireware v12.5 以降) — rad1.example.com\jsmith または RADIUS\jsmith。Firebox の RADIUS 設定で指定されているドメイン名を入力する必要があります。

RADIUS (Fireware v12.4.1 以前) — RADIUS\jsmith. 常に RADIUS と入力する必要があります。

Screen shot of the Windows IKEv2 client settings

構成に RADIUS サーバーが含まれている場合で、Fireware v12.4.1 以前から Fireware v12.5 以降にアップグレードする場合は、Firebox ではそのサーバーのドメイン名として RADIUS が自動的に使用されます。そのサーバーを認証するには、ドメイン名として RADIUS を指定する必要があります。

関連情報:

Mobile VPN with IKEv2 について

Mobile VPN with IKEv2 用にクライアント デバイスを構成する

Mobile VPN with IKEv2 用に iOS と macOS デバイスを構成する

Mobile VPN with IKEv2 用に Android デバイスを構成する

Mobile VPN with IKEv2 トンネル経由でインターネットにアクセスする

Mobile VPN with IKEv2 をトラブルシューティングする