Mobile VPN with SSL をトラブルシューティングする

このトピックでは、Mobile VPN with SSL の一般的な問題と解決方法についてご説明します:

ログ メッセージ

Mobile VPN with SSL に関するイベントのログ メッセージを表示するには、以下の手順を実行します。

  1. SSL VPN の診断ログ レベルを設定します。
  2. Traffic Monitor を開きます。
  3. 検索アイコン をクリックし、SSL VPN ユーザーが接続する Firebox の IP アドレスを入力します。
  4. 問題のトラブルシューティングが終了したら、診断ログ レベルを以前の設定にリセットしてください。既定の設定は エラー です。

問題のトラブルシューティングのために技術サポート担当者から指示された場合以外は、最も高いログ記録のレベル (デバッグ) を選択することはお勧めしません。最も高い診断ログ レベルを使用すると、ログ ファイルがすぐにいっぱいになり、Firebox のパフォーマンスが低下する原因になります。

Mobile VPN with SSL クライアントのログ メッセージの詳細については、次を参照してください:Mobile VPN with SSL クライアントをダウンロード、インストール、および接続する

ダウンロードの問題

ユーザーが Firebox から Mobile VPN with SSL クライアントをダウンロードできない場合は、以下を確認します。

  • ユーザーが正しい URL とポート番号で Firebox に接続していることを確認します。Mobile VPN with SSL 構成の場合、クライアントのダウンロード用のポート番号は構成チャンネル の設定で指定します。既定のポート番号 (443) のままの場合は、ユーザーが https://[Firebox IP アドレス]/sslvpn.html に接続して Mobile VPN with SSL クライアントをダウンロードするようにしてください。
  • 443 以外の構成チャンネル ポートを指定した場合は、ユーザーが https://[Firebox IP アドレス]:[ポート]/sslvpn.html に接続して Mobile VPN with SSL クライアントをダウンロードするようにしてください。
  • Firebox がホストする Mobile VPN with SSL ソフトウェアのダウンロード ページを無効にしていないことを確認してください。このページを無効にすると、ユーザーは Firebox から Mobile VPN with SSL クライアントをダウンロードできなくなります。ダウンロード ページを無効にする CLI コマンドの詳細については、次を参照してください:Mobile VPN with SSL 構成を計画する

それでもユーザーが Firebox から Mobile VPN with SSL クライアントをダウンロードできない場合は、以下を行います。

ユーザーが Mobile VPN with SSL クライアントをインストールしたにも関わらず、更新された構成をダウンロードできない場合は、以下を確認します。

  • 「サーバーから構成をダウンロードできませんでした。前回の構成を使用して接続を試みますか?」というエラーが表示された場合は、Firebox 構成で Mobile VPN with SSL の設定を変更していない限り、はい をクリックして VPN 接続を行うようにユーザーに伝えます。ユーザーが はい をクリックすると、クライアントに構成変更が自動的に送信されることがなくなります。Firebox の Mobile VPN with SSL 構成を変更している場合、Firebox からダウンロードできないユーザーには手動で更新を配布する必要があります。

v11.x より前の Fireware バージョンでは、認証およびクライアント構成用のポートは 4100 です。

インストールの問題

各モバイル VPN の種類に対してどのオペレーティング システムが互換性があるかについては、Fireware リリース ノート のオペレーティング システム互換性 リストを参照してください。WatchGuard Web サイトの Fireware リリース ノート ページ で お使いの Fireware OS のバージョンの リリース ノート を入手することができます。

Firebox には、TLS 接続のバージョン要件があります。

SSL VPN クライアント接続

Fireware v12.5.4 以降では、Firebox で TLS 1.2 以降をサポートするには SSL VPN クライアントが必要になります。

以前の Fireware v12 リリースでは、Firebox で TLS 1.1 以降をサポートするには SSL VPN クライアントが必要になります。

SSL VPN クライアント ダウンロード ページ

Fireware v12.5.5 以降では、Firebox からクライアントをダウンロードするには、ブラウザが TLS 1.2 以降をサポートしている必要があります。以前の Fireware v12 リリースでは、Firebox からクライアントをダウンロードするには、ブラウザが TLS 1.1 以降をサポートしている必要があります。

macOS に Mobile VPN with SSL クライアントをインストールするには、管理者権限が必要です。

アップグレード

Mobile VPN with SSL Windows クライアントをアップグレードするには、管理者権限が必要です。

  • マイナー バージョンの更新が利用可能にもかかわらず、クライアントのバージョンを更新できない場合も、VPN トンネルには接続することができます。
  • メジャー バージョンの更新が利用可能にもかかわらず、クライアントのバージョンを更新できない場合は、VPN トンネルに接続することはできません。

Fireware v12.5.3 以降では、クライアントがアップグレード可能であることが自動的に検出されたにもかかわらず、管理者権限を持っていない場合、システム管理者に連絡して支援を受けるよう促すメッセージが表示されます。マイナー バージョンの更新が利用可能な場合は、このメッセージを今後は表示しない チェックボックスを選択することができます。このチェックボックスは、メジャー バージョンの更新が利用可能な場合は表示されません。

Fireware v12.5.2 以前では、アップグレード可能であることをクライアントが自動的に検出すると、アップグレードを促すメッセージが表示されます。しかし、管理者権限がない場合は、クライアントのアップグレードはできません。

接続の問題

Fireware v12.5 以降では、RADIUS ドメイン名を構成する必要があります。Firebox 構成に RADIUS サーバーが含まれている場合で、Fireware v12.4.1 以前から Fireware v12.5 以降にアップグレードした場合は、Firebox ではそのサーバーのドメイン名として RADIUS が自動的に使用されます。そのサーバーで認証を受けるには、ユーザーはドメイン名として RADIUS と入力する必要があります。この場合、ユーザーが RADIUS 以外のドメイン名を入力すると、認証は失敗します。詳細については、Mobile VPN with SSL クライアントをダウンロード、インストール、および接続する を参照してください。

TDR に関する接続の問題

TDR Host Sensor Enforcement に関連する Mobile VPN 接続の問題のトラブルシューティングについては、TDR Host Sensor Enforcement をトラブルシューティングする を参照してください。

AuthPoint 多要素認証多要素認証 (MFA) に関する接続の問題

Fireware v12.7 以降では、Mobile VPN with SSL 構成で AuthPoint を認証サーバーとして選択しても、ユーザーが AuthPoint を介して認証できない場合があります。

  • Fireware v12.7 以降の構成の要件について、統合ガイドである Firebox Mobile VPN with SSL と AuthPoint の統合 を参照してください。
  • WatchGuard Mobile VPN with SSL クライアントで接続するユーザーの場合は、クライアントのバージョンが v12.7 以降であることを確認してください。OpenVPN クライアントにはバージョンの要件はありません。

接続が確立された後の問題

確立された VPN トンネル経由でネットワーク リソースに接続できない場合は、ネットワーク接続をトラブルシューティングする で、問題を特定して解決するための他の手順を参照してください。

関連情報:

Mobile VPN with SSL について

Mobile VPN with SSL 構成を計画する

Mobile VPN with SSL クライアントをアンインストールする

Mobile VPN with SSL セキュリティ アラートについて