クラウド管理の Firebox で Mobile VPN with IKEv2 を構成する

適用：クラウド管理の Firebox

このトピックでは、以下を行う方法について説明します。

Mobile VPN with IKEv2 を有効化する
証明書を選択する
ドメイン名または IP アドレスを追加する
認証ドメインを追加する
ユーザーとグループを追加する
仮想 IP アドレスプールを編集する
内部 DNS サーバーを使用する

開始する前に

Mobile VPN with IKEv2 を有効化する前に、必ず認証設定を構成してください。

認証ドメインを WatchGuard Cloud に追加する
グループおよびユーザーを追加する。
認証ドメインを Firebox に追加します。

Mobile VPN with IKEv2 では、ローカルの Firebox 認証データベース (Firebox-DB)、RADIUS、および AuthPoint 経由の認証がサポートされています。

認証設定の構成方法については、Mobile VPN の認証方法を参照してください。

Mobile VPN with IKEv2 を有効化する

Mobile VPN with IKEv2 を有効化するには、WatchGuard Cloud で以下の手順を実行します。

構成 > デバイス の順に選択します。
クラウド管理の Firebox を選択します。
デバイス構成 をクリックします。
VPN セクションで、Mobile VPN タイルをクリックします。
VPN を選択するページが開きます。

Screen shot of the Select VPN page

IKEv2 をクリックします。
Mobile VPN with IKEv2 構成ページが開きます。

Screen shot of the Mobile VPN with IKEv2 page

名前テキストボックスに、VPN の接続名を入力します。
この名前は、クライアントの VPN 接続名として表示されます。

証明書を選択する

Firebox アドレスと証明書 セクションで、証明書を選択します。VPN クライアントでは、証明書を使用して VPN サーバー (Firebox) が認証されます。Firebox によって署名された既定の証明書またはサードパーティの証明書を選択することができます。サードパーティの証明書を使用する場合は、まずその証明書をデバイスまたは WatchGuard アカウントに追加する必要があります。

Mobile VPN 証明書の詳細については、Mobile VPN と証明書および証明書を管理するを参照してください。

証明書を選択するには、WatchGuard Cloud で以下の手順を実行します。

Firebox の Mobile VPN with IKEv2 設定を開きます。
Firebox アドレスと証明書 セクションで、ドロップダウンリストから証明書を選択します。

Screen shot of a third-party certificate

サードパーティ証明書の例

Screen shot of the Certificates setting

既定の Firebox 証明書

サードパーティの証明書を選択した場合は、証明書のドメインと IP アドレスの情報により、クライアントから接続できる名前とアドレスが制御されます。Firebox により署名されている既定の証明書を選択する場合は、IKEv2 VPN クライアントから Firebox への接続に使用される IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力する必要があります。

ドメイン名または IP アドレスを追加する

ドメイン名または IP アドレスを構成するには、WatchGuard Cloud で以下の手順を実行します。

Firebox の Mobile VPN with IKEv2 設定を開きます。

Screen shot of the Mobile VPN with IKEv2 certificate and client connection settings

Firebox により署名された既定の証明書 を選択した場合は、ドメイン名または IP アドレスを追加する をクリックします。
ドメイン名または IP アドレスを追加するダイアログボックスが開きます。

Screen shot of the Add Domain Name or IP Address dialog box

種類ドロップダウンリストから、IP アドレスの種類を選択します。
- ホスト IPv4 — IKEv2 VPN クライアントから Firebox への接続に使用される IP アドレスを指定します。
- FQDN — IKEv2 VPN クライアントから Firebox への接続に使用される完全修飾ドメイン名を指定します。
ホスト IPv4 アドレスまたはドメイン名を入力します。

Firebox が NAT デバイスの背後にある場合、NAT デバイスのパブリック IP アドレスまたはドメイン名を指定します。

追加をクリックします。

Screen shot of the Firebox Address section of the Mobile VPN configuration

許可されるリソースを追加する

既定では、IKEv2 VPN クライアントからインターネットおよびローカルネットワーク宛てのすべてのトラフィックは、VPN トンネルと Firebox ポリシーを経由します。これより、一貫したセキュリティが実現しますが、パフォーマンスが低下します。このオプションは、フルトンネリングまたは既定ルートと呼ばれる接続方式です。これが既定の設定です。

Fireware v12.9 以降を実行している Firebox では、VPN クライアントからのすべてのトラフィックをトンネル経由でインターネットおよびローカルネットワークにルーティングするオプションを選択することができます。このオプションは、スプリットトンネリングと呼ばれる接続方式です。スプリットトンネルにより、Firebox で処理されるトラフィックが少なくなるため、フルトンネルよりも優れたパフォーマンスが実現します。しかし、Firebox では、VPN クライアントからインターネットに送信されるトラフィック、またはリモート VPN クライアントネットワークに送信されるトラフィックが検査されないため、スプリットトンネルを使用することでセキュリティに影響が出る可能性があります。

スプリットトンネリングで許可されるリソースを追加するには、以下の手順を実行します。

ネットワーク セクションで、VPN トラフィックで許可されるリソースを指定する を選択します。
ネットワークを追加する をクリックします。
ネットワークを追加するページが開きます。
Firebox に構成されているネットワークを 1 つまたは複数選択します。
追加をクリックします。
ネットワークがリストに表示されます。

Screen shot of the Networking section with an internal network added

認証ドメインを追加する

Mobile VPN with IKEv2 では、既定でユーザー認証に Firebox データベースが使用されます。また、RADIUS サーバーまたは AuthPoint を使って認証を行うこともできます。

認証ドメインが使用されるように Mobile VPN with IKEv2 を構成するには、WatchGuard Cloud に認証ドメインを追加し、グループとユーザーを追加し、そして Firebox に認証ドメインを追加する必要があります。詳細については、Mobile VPN の認証方法を参照してください。

クラウド管理の Firebox における Mobile VPN ユーザー認証に AuthPoint を使用する場合は、まず AuthPoint リソースとして Firebox を追加する必要があります。これには、Fireware v12.7 以降が必要となります。

認証ドメインを追加するには、以下の手順を実行します。

Firebox の Mobile VPN with IKEv2 設定を開きます。

Screen shot of the Authentication Domains section of the Mobile VPN configuration

認証ドメインを追加する をクリックします。
認証ドメインを追加するページが開きます。

Mobile VPN with IKEv2 ユーザー認証に使用する認証ドメインを選択します。
リスト内の最初のサーバーが既定の認証サーバーです。サーバーの順序を変更するには、認証サーバーの移動ハンドルをクリックして、リスト内で上下にドラッグします。

閉じる をクリックします。

ユーザーとグループを追加する

認証ドメインを指定した後、IKEv2 VPN クライアントを使用して Firebox で保護されているネットワークリソースに接続することができるユーザーとグループを選択します。

ユーザーとグループを追加する際は、前の手順で追加した認証サーバー上のユーザーまたはグループのリストから選択します。選択したユーザーとグループは IKEv2-Users グループに自動的に追加されます。

ユーザーとグループを Mobile VPN with IKEv2 構成に追加するには、以下の手順を実行します。

Firebox の Mobile VPN with IKEv2 設定を開きます。

Mobile VPN with IKEv2 構成にグループを追加するには、
1. グループを追加する をクリックします。
1. 追加する各グループのチェックボックスを選択します。
2. 閉じる をクリックします。
  選択したグループは、グループリストに追加されます。
Mobile VPN with IKEv2 構成にユーザーを追加するには、
1. ユーザーを追加する をクリックします。
1. Mobile VPN with IKEv2 に追加する各ユーザーのチェックボックスを選択します。
2. 閉じる をクリックします。
  選択したユーザーがユーザーリストに追加されます。

Screen shot of the Users and Groups settings with users and groups added

Mobile VPN with IKEv2 構成からユーザーまたはグループを削除するには、削除するユーザーまたはグループの行にあるをクリックします。

仮想 IP アドレスプールを編集する

仮想 IP アドレスプールとは、Firebox において Mobile VPN with IKEv2 ユーザーに割り当てられているプライベート IP アドレスのグループです。既定値は、192.168.114.0/24 です。プールに他のアドレスを追加して、既定のアドレスを削除することができます。

仮想 IP アドレスプールのネットワーク IP アドレスが、Firebox のネットワークに割り当てられている IP アドレスと競合しないようにしてください。

仮想 IP アドレスプールを更新するには、以下の手順を実行します。

Firebox の Mobile VPN with IKEv2 設定を開きます。

プールに IP アドレスを追加するには、以下の手順を実行します。
1. 仮想 IP アドレスプールを追加する をクリックします。
  仮想 IP アドレスプールを追加するダイアログボックスが開きます。
1. IP アドレスとネットマスクを入力します。
2. 追加をクリックします。
プールから IP アドレスを削除するには、をクリックします。

内部 DNS サーバーを使用する

Mobile VPN with IKEv2 クライアントでは、クライアントで指定された DNS サーバーが既定で使用されます。デバイス構成 > DNS > 内部 DNS の順に移動して、Firebox の内部 DNS サーバーを構成した場合は、モバイル VPN の DNS 解決にそのサーバーを使用することができます。

Fireware v12.9.2 以降を実行している Firebox の場合は、WatchGuard Mobile VPN with IKEv2 クライアントプロファイルに、内部 DNS の構成時に入力したドメイン名サフィックスが含まれています。クライアントでこのドメイン名サフィックスが使用され、VPN 経由でネットワークのローカルホスト名が解決されます。

内部 DNS を使用する 設定は、Firebox の構成に内部 DNS サーバーが含まれている場合にのみ表示されます。Firebox の構成に内部 DNS サーバーを追加する方法については、次を参照してください：Firebox DNS 設定を構成する。

内部 DNS サーバーが使用されるようにモバイル VPN 接続を構成するには、以下の手順を実行します。

内部 DNS を使用する チェックボックスを選択します。

Screen shot of the Use Internal DNS setting in the Mobile VPN configuration

内部 DNS サーバー ドロップダウンリストから、内部 DNS サーバーの IP アドレスを選択します。

次のステップ

Mobile VPN with IKEv2 構成が完了したら、ダウンロード タブをクリックして、Mobile VPN with IKEv2 クライアントプロファイルをダウンロードします。これには、IKEv2 VPN クライアントの情報とセットアップファイルが含まれています。詳細については、Mobile VPN with IKEv2 クライアントプロファイルをダウンロードするを参照してください。