Mobile VPN with IPSec をトラブルシューティングする

WatchGuard IPSec Mobile VPN クライアントでオンライン アクティベーションを選択している場合、アクティベーションに失敗し、次のいずれかのエラー メッセージが表示される場合があります：

ソフトウェアのアクティベーション エラー。Error number: 10103-1. ソフトウェアのアクティベート時にエラーが発生しました。アクティベーションの最大数が超過しました。

このエラーはライセンス キーが別のシステムで使用されているときに発生することがあります。その別のシステムからクライアントをアンインストールした場合、WatchGuard カスタマー サポート にご連絡のうえ、以下の情報をお知らせください：

• 確認メールに記載されているシリアル番号とライセンスに関する情報
• シリアル番号とライセンスが入力されているアクティベーション ウィザードのスクリーンショットとエラー メッセージ

無効なライセンス キーまたはシリアル番号

このエラーは次の場合に発生する場合があります：

• WatchGuard Mobile VPN with Ipsec クライアントからではなく、NCP から IPSec クライアントをインストールした。WatchGuard ブランドのクライアントのライセンス キーが NCP からのクライアントのアクティベーションで機能しない。
• Firebox のシリアル番号など、不正なシリアル番号でアクティベーションしようとした。確認メールで受け取った IPSec Mobile VPN クライアントのシリアル番号を必ず使用してください。

VPN 接続中にユーザーのコンピュータがスリープ状態になり、VPN が終了した場合、ユーザーが再接続しようとすると、VPN クライアントにエラー メッセージが表示されることがあります。一定時間が経過すると、再接続が可能になります。

この問題は、Mobile VPN with IPSec の IPSec アドレス プールで利用可能な IP アドレスが一時的に不足することで発生する可能性があります。この問題を回避するには、Mobile VPN with IPSec の IPSec アドレス プールに追加の IP アドレスを追加します。アドレス プールの構成方法の詳細については、次を参照してください：Mobile VPN with IPSec 用に Firebox を構成する。

VPN クライアントがネットワーク リソースに IP アドレスを使って接続することはできても、名前では接続できない場合、クライアント デバイス上でネットワークの DNS および WINS 情報が正しく設定されていない可能性があります。

Fireware v12.2.1 以降では、Mobile VPN with IPSec 構成で次のオプションを選択できます：

• ネットワーク (グローバル) DNS/WINS の設定をモバイル クライアントに割り当てる/割り当てない
• Mobile VPN 構成で指定したドメイン名、DNS サーバー、および WINS サーバーの設定をモバイル クライアントに割り当てる

Fireware v12.2 以前では、デバイスのネットワーク (グローバル) DNS/WINS 設定で構成された WINS および DNS IP アドレスがクライアント デバイスに自動的に提供されます。

DNS および WINS IP アドレスを構成する方法の詳細については、次を参照してください： Mobile VPN with IPSec 用に Firebox を構成する。

ユーザーが部分指定のホスト名を使用すると内部ネットワーク リソースに接続できず、完全修飾ドメイン名を使用すれば接続できる場合は、クライアント側で DNS サフィックスが定義されていないことを意味します。

Fireware v12.2.1 以降では、次の設定を行うことができます：

• ネットワーク (グローバル) DNS/WINS の設定をモバイル クライアントに割り当てる/割り当てない
• Mobile VPN 構成で指定したドメイン名、DNS サーバー、および WINS サーバーの設定をモバイル クライアントに割り当てる

Fireware v12.2 以前では、サポートされているクライアントで Mobile VPN with IPSec を使用するときは、Firebox はその Firebox に構成されている DNS 設定を VPN クライアントに割り当てます。DNS サフィックスは割り当てません。

DNS サフィックスが割り当てられていないクライアントは、DNS 名全体を使ってアドレスを解決する必要があります。たとえば、ターミナルサーバーの DNS 名が RDP.example.net の場合、ユーザーがアドレスに RDP だけ入力しても、ターミナルサーバー クライアントには接続できません。ユーザーは DNS サフィックスの example.net も入力する必要があります。

この問題を解決するために、Mobile VPN クライアントの構成に DNS サフィックスを追加することができます。この手順については、WatchGuard ナレッジ ベースで以下の記事を参照してください：

WatchGuard IPSec Mobile VPN クライアントで DNS を構成する

Android デバイスから VPN 接続するために DNS 設定を構成する

Mobile VPN に使用されている認証サーバーを調べて、ユーザーが属するグループ名が Mobile VPN with IPSec グループのプロファイル名と完全に一致することを確認します。たとえば、Mobile VPN with IPSec グループのプロファイル名が ipsec-users で、Active Directory ドメインを使用するように構成されている場合、Active Directory Server 上で、各 Mobile VPN ユーザーが ipsec-users グループのメンバーであることを確認する必要があります。Active Directory グループの名前と大文字小文字指定が、Mobile VPN with IPSec グループの名前と完全に一致することを確認します。

RADIUS、SecurID および VASCO 認証の場合、認証サーバーはグループ メンバーシップを Filter-ID 属性として返す必要があります。

Mobile VPN with IPSec グループ メンバーシップの詳細については、次を参照してください： 外部認証サーバーを構成する。

最初に Mobile VPN with IPSec プロファイルを作成したときに、Mobile VPN 構成の 許可されたリソース セクションで定義されたすべてのネットワークへのトラフィックを、すべてのポートおよびプロトコル上で許可する、というポリシーが自動的に作成されます。後から Mobile VPN with IPSec プロファイルで許可されたリソースを変更した場合は、Mobile VPN with IPSec ポリシーの許可されたリソースも編集し、変更後の Mobile VPN with IPSec プロファイルに指定されているネットワーク アドレスに一致させる必要があります。

ポリシーの編集方法の詳細については、次を参照してください： IPSec Mobile VPN トラフィックをフィルタリングするポリシーを構成する。

VPN クライアントがネットワークの特定の部分に接続できるが、他の部分には接続できない場合、または、ログ メッセージはトラフィックが許可されていることを示しているのに接続に失敗する場合は、ルーティング問題の可能性が考えられます。以下の各項目が当てはまるかどうかを確認してください。

• Mobile VPN with IPSec クライアントの仮想 IP アドレス プールは、内部ネットワーク ユーザーに割り当てられた IP アドレスと重複していない。
• 仮想 IP アドレス プールは、Firebox で構成された他のルーティング ネットワークや VPN ネットワークと重複していない。
• Mobile VPN with IPSec ユーザーがルーティング ネットワークまたは VPN ネットワークにアクセスする必要がある場合、該当するルーティング ネットワークまたは VPN ネットワーク内のホストに仮想 IP アドレス プールへの有効なルートが与えられているか、Firebox がそれらのホストの既定のインターネット ルートである必要があります。

仮想 IP アドレス プールの構成方法の詳細については、次を参照してください： 既存の Mobile VPN with IPSec グループ プロファイルを変更する。

NCP VPN クライアントでは、タイムアウト値の 70 パーセントが経過すると、トンネルのキーの再生成が強制的に行われます。しかし、Firebox はフェーズ 1 のキーの再生成に対応しておらず、トンネルが切断されてしまいます。VPN クライアントでユーザー認証情報を保存して自動的に再接続するように構成すると、切断後に新しいトンネルが自動的に構築されます。

タイムアウト値を上げるには、Firebox の Mobile VPN with IPSec 構成で以下の手順を実行します。

• 全般 タブで、タイムアウト を上げます。
• IPSec トンネル タブのフェーズ 1 と 2 の 詳細 設定で、タイムアウトとキーの有効期限の値を上げます。