フェーズ 1 の設定の詳細を定義する

Mobile VPN ユーザー プロファイルのフェーズ 1 の詳細設定を定義できます。

  1. VPN > Mobile VPN の順に選択します。
  2. IPSec セクションで、構成 をクリックします。
  3. IPSec 構成を選択して 編集 をクリックします。
  4. IPSec トンネル タブを選択します。
  5. フェーズ 1 の設定 セクションの 詳細 をクリックします。
    フェーズ 1 の詳細設定が表示されます。

MVPN with IPSec 設定ページのフェーズ 1 の詳細設定のスクリーンショット

  1. フェーズ 1 のオプション セクションに説明されている手順に従って、グループ設定を構成します。
    デバイスの IPSec VPN クライアントがこれらの設定と互換性がある場合は既定の設定を選択することをお勧めします。iOS、macOS、または Android でネイティブ IPSec VPN クライアントを構成する場合は、macOS または iOS のネイティブ IPSec VPN クライアントを使用するMobile VPN with IPSec を Android デバイスで使用する の推奨設定を参照してください。
  2. OK をクリックします。
  3. 保存 をクリックします。
  1. VPN > Mobile VPN > IPSec の順に選択します。
  2. IPSec 構成を選択して 編集 をクリックします。
  3. IPSec トンネル タブを選択します。
  4. 詳細 をクリックします。
    フェーズ 1 の詳細設定 ダイアログ ボックスが表示されます。

  1. フェーズ 1 のオプション セクションに説明されている手順に従って、グループ設定を構成します。
    デバイスの IPSec VPN クライアントがこれらの設定と互換性がある場合は既定の設定を選択することをお勧めします。iOS、macOS、または Android でネイティブ IPSec VPN クライアントを構成する場合は、macOS または iOS のネイティブ IPSec VPN クライアントを使用するMobile VPN with IPSec を Android デバイスで使用する の推奨設定を参照してください。
  2. OK をクリックします。

フェーズ 1 のオプション

SA の有効期間

SA (セキュリティ アソシエーション) の有効期限を選択し、ドロップダウン リストから 時間 または を選択します。SA が期限切れになった場合、新しいフェーズ 1 のネゴシエーションが開始されます。SA の有効期限が短い場合、セキュリティは強化されますが、SA のネゴシエーションにより既存の接続に失敗する可能性があります。

キー グループ

使用している IPSec VPN クライアントでサポートされている Diffie-Hellman グループを選択します。

  • WatchGuard IPSec Mobile VPN クライアントは、グループ1、2、5、および 14 をサポートしています。
  • macOS および iOS デバイスのネイティブ IPSec VPN クライアントは、Firebox への接続でグループ 2 および 14 サポートしています。
  • ネイティブ Android IPSec VPN クライアントは既定でグループ 2 を使用します。

Diffie-Hellman グループによって、キー交換プロセスで使用されるマスタ キーの強度が決定されます。グループの数字が大きいほどセキュリティが強化されますが、キーの計算にさらに時間がかかります。

NAT Traversal

Firebox と NAT デバイスの配下にある VPN クライアントの間に Mobile VPN トンネルを作成するには、このチェックボックスをオンにします。NAT Traversal または UDP カプセル化により、トラフィックは正しい送信先にルートされるようになります。既定では、NAT Traversal が有効化されています。Firebox と NAT デバイスの配下にある VPN クライアントの間に Mobile VPN トンネルを作成するのであれば、これを無効にしないでください。

IKE キープ アライブ

このチェックボックスは、このグループがデッド ピア ディテクションをサポートしない古い Firebox デバイスに接続するときのみ選択します。Fireware v9.x 以前、Edge v8.x 以前、および WFS の任意のバージョンを実行している Fireboxes では、デッド ピア ディテクションはサポートされていません。これらのデバイスの場合、VPN トンネルをオープンにして Firebox が IKE ピアにメッセージを送信できるようにするには、このチェックボックスをオンにします。IKE キープアライブとデッド ピア ディテクションの両方を選択しないでください。

メッセージ間隔

IKE キープアライブ メッセージ間隔の秒数を選択します。

最大失敗回数

Firebox が VPN 接続を終了して新しいフェーズ 1 ネゴシエーションを開始する前に、Firebox が IKE キープアライブ メッセージへの応答を待つ最大回数を設定します。

デッド ピア ディテクション

デッド ピア ディテクション (DPD) を有効にするには、このチェックボックスをオンにします。両方のエンド ポイントが DPD をサポートする必要があります。Fireware バージョン 10.x 以上および Edge バージョン 10.x 以上のすべての Firebox または XTM デバイスは、DPD をサポートします。IKE キープアライブとデッド ピア ディテクションの両方を選択しないでください。

DPD は RFC 3706 に基づいており、パケットが送信される前に、IPSec トラフィック パターンを使用して接続が有効になっているかどうかを決定します。DPD を選択すると、選択した期間の間にピアからトラフィックを受信しない場合に、ピアにメッセージが送信されます。ピア ディテクションが機能していないと DPD が判断した場合、追加的な接続は行われません。

トラフィックのアイドル タイムアウト

Firebox が、他方のデバイスのアクティブ状態を確認する前に待機する時間を秒単位で設定します。

最大再試行回数

ピアが利用不可能であると判断して VPN 接続を停止し、新しいフェーズ 1 ネゴシエーションを開始する前に、Firebox が接続を試みる最大回数を設定します。

関連情報:

Mobile VPN with IPSec

フェーズ 2 の設定の詳細を定義する

Mobile VPN with IPSec をトラブルシューティングする