Mobile VPN with L2TP トンネル経由のインターネット アクセス

モバイル L2TP VPN クライアントにより Mobile VPN ユーザーのインターネットにトラフィックをルーティングする方法は 2 つあります。

既定ルート (フル トンネル)

既定ルートはリモートユーザーからのすべてのインターネット トラフィックが VPN トンネル経由で Firebox にルーティングするため、これは最も安全なオプションです。その後、トラフィックは、インターネットに返送されます。この構成により、Firebox ですべてのトラフィックが検査されるため、セキュリティが強化されます。このオプションでは、より高い処理能力と帯域幅が必要となることにご注意ください。

既定ルートは、Firebox のすべての種類の Mobile VPN の既定オプションとなります。

スプリット トンネル

Firebox では、スプリット トンネリング用に構成された Mobile VPN with L2TP クライアントからの接続がサポートされています。しかし、スプリット トンネリングの L2TP クライアントは手動で構成する必要があります。たとえば、アクセスする必要のある各リモートネットワークのクライアント コンピュータにルートを手動で追加する必要があります。

当社は、L2TP クライアントのスプリット トンネル構成のカスタマー サポートは提供していません。VPN クライアント ベンダーから提供された文書を参照してください。

スプリット トンネリングが必要な場合は、Mobile VPN with SSL を使用することをお勧めします。Mobile VPN with SSL およびスプリット トンネリングの詳細については、Mobile VPN with SSL トンネル経由のインターネット アクセスのオプション を参照してください。

Mobile VPN with L2TP の既定ルート VPN 設定

ほとんどのオペレーティング システムの場合、L2TP 接続の既定設定は既定ルート (フル トンネル) です。オペレーティング システムで既定ルート (フル トンネル) が使用されているかどうかを確認するには、オペレーティング システムの設定を確認します。モバイル オペレーティング システムの場合、この設定を無効にすることはできません。

Firebox を動的 NAT で構成し、L2TP ユーザーからトラフィックを受信する必要があります。Firebox の背後からインターネットへの送信トラフィックを管理するポリシーは、すべて L2TP ユーザー トラフィックを許可するように構成する必要があります。

既定ルート VPN を構成する際は、以下を確認します。

• L2TP アドレス プールに追加した IP アドレスは、Firebox の動的 NAT 構成にも追加されていることを確認してください。これにより、リモートユーザーはトラフィックをすべて Firebox に送信するときにインターネットを参照できます。
  Policy Manager から、ネットワーク > NAT の順に選択します。
• 外部インターフェイス経由での L2TP-Users からの接続を許可するには、ポリシー構成を編集します。
  たとえば、WebBlocker を使用して Web アクセスを制御するには、有効な WebBlocker に構成されているプロキシポリシーに L2TP-Users グループを追加します。

Windows で既定ルート (フル トンネル) を有効化する

関連情報：

Mobile VPN with L2TP

ネットワークの動的 NAT ルールを追加する