Mobile VPN with SSL の既定のプロトコルおよびポートは、通常ほとんどのネットワークで開いている TCP ポート 443 です。Firebox の構成中に、既に使用されているポートとプロトコルの使用を試みると、エラー メッセージが表示されます。
TCP 443 が必要な共通ネットワーク構成には下記が含まれます。
- Firebox は HTTPS を使用する Web サーバーを保護します。
- Firebox は、Web 版 Outlook (Microsoft Outlook Web Access) が構成された Microsoft Exchange サーバーを保護します。
受信する TCP ポート 443 を受け入れていない追加の外部 IP アドレスがある場合、これを Mobile VPN with SSL のプライマリ IP アドレスとして構成できます。
別のポートまたはプロトコルを使用しても、Mobile VPN with SSL トラフィックは常に、SSL で暗号化されています。
異なるポートおよびプロトコルを選択する方法
Mobile VPN with SSL の既定ポートまたはプロトコルを変更する必要がある場合、共通ブロックしていないポートおよびプロトコルを選択することをお勧めします。下記は他の考慮事項です。
共通ポートおよびプロトコルを選択します。
Firebox の他の Mobile VPN の種類は、一部のパブリック インターネット接続によりブロックされる特定のポートやプロトコルを使用します。既定では、このブロックを回避するために、Mobile VPN with SSL は暗号化された Web サイト トラフィック (HTTPS) 用のポートおよびプロトコルで動作します。
SSL VPN が他の Mobile VPN の種類より有利なもう 1 つの主な点は、ポートだけでなくプロトコル (UDP または TCP) を変更できることです。ユーザーが TCP 443 で Firebox に接続できない場合、考えられる解決策としては、ポートまたはプロトコルを変更することが挙げられます。たとえば、ポートとプロトコルを UDP 53 または UDP 1194 に変更して、ユーザーが接続できるかどうかを判断します。
アクセス サイトがパケット フィルタを使用している場合、SSL VPN トラフィックは通過するはずです。アクセス サイトがプロキシを使用する場合、標準 HTTP または DNS 通信プロトコルを使用していないため SSL VPN トラフィックが拒否される可能性があります。
UDP 対 TCP
通常は、TCP は UDP と同様に動作します。ただし、接続がすでに低速だったり、または信頼性がない場合、TCP が大幅に低速になります。追加のレイテンシーは、TCP プロトコルの一部であるエラー チェックによって発生します。VPN トンネルを通過するほとんどのトラフィックは TCP を使用するため、VPN 接続への TCP エラー チェックの追加は不必要です。低速かつ信頼性のない接続のため、TCP エラー チェック タイムアウトによって VPN トラフィックがさらに低速で送信されるようになります。これが頻繁に発生すると、ユーザーが接続不良に気付く場合があります。
Mobile VPN with SSL クライアントが生成するトラフィックのほとんどが TCP ベースの場合、UDP が適切な選択肢です。既定では、HTTP、HTTPS、SMTP、POP3 および Microsoft Exchange プロトコルはすべて TCP を使用します。Mobile VPN with SSL クライアントによって発生するほとんどのトラフィックが UDP である場合、Mobile VPN with SSL のプロトコルとして TCP を選択することをお勧めします。
Mobile VPN with SSL は、Management Tunnel over SSL、TLS 経由の BOVPN、および Access Portal と Open VPN サーバーを共有します。Firebox でこれらのいずれかの機能が有効になっている場合、Mobile VPN with SSL ポートの設定に影響します。ポート設定の優先順位の詳細については、Firebox で Mobile VPN with SSL を手動で構成する および SSL/TLS 設定の優先順位と継承 を参照してください。