Mobile VPN with L2TP をトラブルシューティングする

このトピックでは、Mobile VPN with L2TP に関連して遭遇する可能性がある一般的な問題と、それらの解決に最もよく使用される解決策を説明します。VPN クライアントが接続を確立した後も、ネットワークまたはポリシーの構成に問題があるために、クライアント トラフィックが一部のネットワーク リソースに到達できないことがあります。

インストールの問題

各モバイル VPN の種類に対してどのオペレーティング システムが互換性があるかについては、Fireware リリース ノート のオペレーティング システム互換性 リストを参照してください。WatchGuard Web サイトの Fireware リリース ノート ページ で お使いの Fireware OS のバージョンの リリース ノート を入手することができます。

接続の問題

認証サーバーを確認して、ユーザーが L2TP-Users グループのメンバーであることを確認します。OS のバージョンによっては、L2TP ユーザーが違うグループに属していても、接続できる場合があります。ユーザー認証に RADIUS を使用する場合、RADIUS サーバーはグループのメンバーシップを Filter-ID 属性として返す必要があります。

Mobile VPN with L2TP におけるユーザー認証の詳細については、次を参照してください: Mobile VPN with L2TP ユーザー認証について

認証サーバーを確認して、ユーザーが L2TP-Users グループのメンバーであることを確認します。ユーザーが正しいグループに所属していない場合、Windows の接続がエラー コード 691 を返すことがあります。この種類のエラーが発生した場合、Firebox のログ ファイルには次のようなメッセージが含まれます:

2014-08-14 13:01:44 admd 198.51.100.2 からの L2TPVPN ユーザー [johndoe@Firebox-DB] の認証を拒否。ユーザーは正しいグループに所属していない id="1100-0005" イベント

これらのユーザーの認証に RADIUS を使用する場合、RADIUS サーバーはグループのメンバーシップを Filter-ID 属性として返す必要があります。

Mobile VPN with L2TP におけるユーザー認証の詳細については、次を参照してください: Mobile VPN with L2TP ユーザー認証について

接続が確立された後の問題

VPN クライアントがネットワーク リソースに IP アドレスを使って接続することはできても、名前では接続できない場合、クライアント デバイス上でネットワークの WINS および DNS 情報が正しく設定されていない可能性があります。

Fireware v12.2.1 以降では、Mobile VPN with L2TP 構成で次のオプションを選択できます:

  • ネットワーク (グローバル) DNS サーバーをモバイル クライアントに割り当てる/割り当てない
  • Mobile VPN 構成で指定された DNS サーバーをモバイル クライアントに割り当てる

Fireware v12.2 以前では、デバイスのネットワーク (グローバル) DNS/WINS 設定で構成された DNS IP アドレスがクライアント デバイスに自動的に提供されます。

Fireware Web UI で WINS および DNS の IP アドレスを構成する方法の詳細については、次を参照してください: Mobile VPN with L2TP 用に DNS と WINS サーバーを構成する

ユーザーが部分指定のホスト名を使用すると内部ネットワーク リソースに接続できず、完全修飾ドメイン名を使用すれば接続できる場合は、クライアント側で DNS サフィックスが定義されていないことを意味します。

DNS サフィックスが割り当てられていないクライアントは、DNS 名全体を使って名前を IP アドレスに解決する必要があります。たとえば、ターミナルサーバーの DNS 名が RDP.example.net の場合、ユーザーがアドレスに RDP だけ入力しても、ターミナルサーバ クライアントには接続できません。ユーザーは DNS サフィックスの example.net も入力する必要があります。

この問題を解決するには、お使いの PC が VPN に接続されているときにホスト名を解決するのに使用する DNS サフィックスを指定する必要があります。詳しくは、WatchGuard ナレッジ ベースの L2TP VPN クライアントの DNS 設定を構成する を参照してください。

L2TP ルートは、クライアント コンピュータで定義されます。Windows クライアントで リモートネットワークで既定のゲートウェイを使用する チェックボックスをオンにしない場合、クライアント コンピュータがトラフィックを VPN トンネル経由で送るのは、トラフィックの宛先がクライアント コンピュータに割り当てられた仮想 IP アドレスの /24 サブネットにある場合のみです。たとえば、クライアントに仮想 IP アドレス 10.0.1.225 が割り当てられている場合、10.0.1.0/24 ネットワークを宛先とするトラフィックは、VPN トンネル経由で送られますが、10.0.2.0 宛てのトラフィックはそのようにルーティングされません。

このオプションを構成する方法の詳細については、次を参照してください: Mobile VPN with L2TP トンネル経由のインターネット アクセス

Mobile VPN with L2TP を有効にすると、Allow-L2TP-Users ポリシーが自動的に作成され、L2TP クライアントから内部または外部ネットワーク リソースへのトラフィックが許可されます。このポリシーを無効にするかまたは削除した場合、クライアントは内部または外部ネットワークにトラフィックを送信できません。

このポリシーの詳細については、次を参照してください: L2TP ポリシーについて

VPN クライアントがネットワークの特定の部分に接続できても、他の部分に接続できない場合、または、ログ メッセージはトラフィックが許可されていることを示しているのに接続できない場合は、ルーティング問題の可能性が考えられます。以下の各項目が当てはまるかどうかを確認してください。

  • Mobile VPN with L2TP クライアントの仮想 IP アドレス プールは、内部ネットワーク ユーザーに割り当てられた IP アドレスと重複していない。
  • 仮想 IP アドレス プールは、Firebox で構成された他のルーティング ネットワークや VPN ネットワークと重複していない。
  • Mobile VPN with L2TP ユーザーがルーティング ネットワークまたは VPN ネットワークにアクセスする必要がある場合、該当するルーティングまたは VPN ネットワーク内のホストに仮想 IP アドレス プールへの有効なルートが与えられているか、Firebox がそれらのホストの既定のインターネット ルートになる必要があります。

IP アドレス プールの構成方法の詳細については、次を参照してください: Mobile VPN with L2TP 構成を編集する

企業ネットワークやゲスト ネットワークでは、プライベート ネットワークの範囲に 192.168.0.0/24 または 192.168.1.0/24 を使用しないことをお勧めします。これらの範囲は、一般的にホーム ネットワークで使用されます。Mobile VPN ユーザーに、企業ネットワーク範囲と重複するホーム ネットワーク範囲がある場合、そのユーザーからのトラフィックは VPN トンネルを通過しません。この問題を解決するには、以下を実行することをお勧めします:新しいローカル ネットワーク範囲に移行する

確立された VPN トンネル経由でネットワーク リソースに接続できない場合は、ネットワーク接続をトラブルシューティングする で、問題を特定して解決するための他の手順を参照してください。