Comments
Transcript
SonicWALL グローバル VPN クライアント 4.0.0.843 リリースノート
SonicWALL グローバル VPN クライアント 4.0.0.843 リリースノート GVC 目次 インストールに関する推奨事項 プラットフォームの互換性 新機能 確認されている問題点 修正された問題点 トラブルシュート インストールに関する推奨事項 SonicWALLは、グローバル VPN クライアント (GVC) 4.0.0のインストール前に以下の手順に従うことを推奨します。 • Vistaシステムについては、ネットワーク アダプタのデバイス ドライバを最新版に更新します。 最新版は、NICベン ダーのウェブ サイトで確認してください。 • クライアント ベースのファイアウォールが導入されているシステムについては、ファイアウォール クライアントが Vista 対応であることを確認します。 ファイアウォール ソフトウェアを最新版に更新します。 もしそのファイアウォール クライ アントを使用していない場合は、GVCのインストール前にアンインストールします。 補足 Norton Internet Security は、インストール中に互換性の問題が発生することがあります。 もし現在使用 中でない場合は、GVCのインストール前にNortonをアンインストールすることを推奨します。 • すでにサード パーティ製のIPSec VPN クライアントが入っている場合、GVCはランタイム競合を発生します。 GV Cのインストール前にすべてのIPSec VPNクライアントをアンインストールします。 • GVC 4.0.0 ベータ リリースからのアップグレードではなく、新規インストールを推奨します。 プラットフォームの互換性 SonicWALL グローバル VPN クライアント (GVC) 4.0.0 リリースは下記のプラットフォームをサポートします。 1. NSA/NSA E-Class シリーズ 2. 3. 4. 5. 6. TZ シリーズ PRO シリーズ TELE シリーズ SOHO シリーズ GX シリーズ 本GVC 4.0.0 リリースは、次のファームウェアで利用可能です: 6.4.2.0、6.5.0.4、6.6.0.x、SonicOS 1.0.0. 2、SonicOS Standard 2.0.0.2以降、SonicOS Enhanced 2.0.0.2以降 本GVC 4.0.0 リリースは、次のOS上で利用可能です: ウィンドウズ 2000、ウィンドウズ XP、ウィンドウズ Vista (32ビット 版) 補足 ウィンドウズ Vista (64ビット版)、ウィンドウズ NT 4.0、ウィンドウズ ME、ウィンドウズ 98 はサポートされません。 SonicWALL グローバル VPN クライアント 4.0.0.843 リリースノート P/N: 232-001597-00 Rev.A 1 新機能 GVC 4.0.0では、以下の新機能がサポートされます。 • Vista (32ビット版) - GVC 4.0.0は、Vista (32ビット版)に完全対応しています。 以下の拡張が実装されまし た。 o 仮想アダプタのリンク速度を、コンピュータのネットワーク インターフェース カード (NIC) でサポートされるリンク 速度に自動的に合わせます。 o GVC接続が非アクティブ、またはGVCアプリケーションが動作していないときに、仮想アダプタを手動で無効に できます。 仮想アダプタを無効にするには、表示 > オプション から、未使用時に仮想アダプタを切断する を選 択します。 これは、GVC接続が非アクティブの際に、仮想アダプタがネットワーク問題の原因になっている場合 に有用です。 • 拡張された機能 o 設定ファイルのバックアップ - GVCが暗号化された設定ファイルの複製であるバックアップ設定ファイルを作成 します(*.rcf)。 バックアップ ファイルはユーザ名、パスワード、そしてPSK情報を含まずに基本的な接続情報 のみを含み、平文で保存されます。 バックアップ ファイルは暗号化された設定ファイルと同じディレクトリで保存さ れます。 暗号化された設定ファイルを複合化できない場合に、GVCはバックアップ設定ファイルから接続情報を 復旧します。 PSKはバックアップ ファイルにセーブされないので、既定の配布鍵がファイアウォールで無効の場 合、ユーザーはIKE認証を完了するためにPSKを再入力する必要があります。 また、バックアップ ファイルは組 織内のGVCユーザーに接続情報を配布するために使うこともできます。 この場合、バックアップ設定ファイルを 対象ユーザーのディレクトリにコピーします。 o GVCレポート - GVCレポートが、各ネットワーク アダプタ カードのデバイス ドライバのバージョンを表示します。 o GVCログ - 以下の新しいログ メッセージが追加されました。 “The downloaded policy configuration contains no destination networks” (エラー) ファイアウォールの管理者がユーザーにVPNアクセス ネットワークを割り当てなかった (そして/あるいはユ ーザーがユーザ グループ メンバーシップを通してVPNアクセス ネットワークを継承しなかった) ため、ファイ アウォールからグローバル VPN クライアントにダウンロードされたGroupVPNポリシーが宛先ネットワークを 持っていなかったことを示します。 グローバル VPN クライアントがこのエラーをログした場合、接続状態は無 効に戻ります。 “The ISAKMP float port (4500) is already in use. Port X will be used as the ISAKMP float source port” ネイティブのIPSecクライアント サービスがOS上で動作している、そしてGVCが対岸へのパス内にNAT装 置を発見した場合に必要な、定義されたUDPポートを使えないこと示します。 補足 WinXP/Win2K のシステム上では、GVCは起動時にネイティブのIPSecクライアント サービスを無 効にして、そしてIKEプロトコルのために定義されたUDP送信元ポート要求します。Vistaシステム上では、 GVCは同じ機能を実行するために ”管理者として実行” を選択して開始する必要があります。 “Required IKE ID type not found in certificate” 選択された証明書に予定していたIKE IDが見つからなかったことを示します。 GVCはユーザーに新しい証 明書を選択するように要求します。 o トンネル状況の表示 - VPNトンネルの状況についての追加の情報を提供します。 無効、認証中、準備中、IP アドレス取得中、接続済 が表示されるようになりました。 o トンネル状況のポップアップ - VPNトンネルの接続/切断時に小さなポップアップ ウィンドウで通知するように なりました。 o スマートカードとUSBトークン認証 - スマートカードとUSBトークン上の電子証明書を用いたユーザ認証が可 能になりました。 o NAT-T-IKE-03ドラフト サポート - NAT-T-IKE-03との互換性のために、UDPカプセリングがポー ト500ではなくポート4500を使うようになりました。 o DNSリダイレクト - 仮想アダプタに関連するDNSサフィックスに対するDNS検索が、物理アダプタに送信され なくなりました。 SonicWALL グローバル VPN クライアント 4.0.0.843 リリースノート P/N: 232-001597-00 Rev.A 2 o トンネル オールの拡張 - クリア トラフィックを、ルート オール ポリシー (通常WLANゾーンで使用される) で設 定された直接接続したネットワーク インターフェースにルートする機能を提供します。 確認されている問題点 以下は、GVC 4.0.0 リリースで確認されている問題点です。 • 50330: 概要: GVCをアンインストールしても、GVCコンポーネントが削除されずに残ることがあります。 背景: パワ ー ユーザとしてログインして、管理者権限を用いてアンインストールした場合に発生します。 応急: 管理者としてログ インしてからGVCをアンインストールします。 • 50323: 概要: Vista (32ビット版)で、スタンバイまたは休止状態からシステムが起動した際にGVC接続が無効にな り、エラー メッセージが表示されることがあります。 背景: システムがスタンバイまたは休止状態になった場合に発生 します。 応急: システムをスタンバイまたは休止状態にする前に、VPN接続を無効にします。 または、VPNトンネル の接続時はスタンバイまたは休止状態といった省電源機能を無効にします。 • 49452: 概要: Vista (32ビット版)で、GVCが接続を有効にしてもIKEネゴシエーションを開始しないことがあります。 背景: 仮想アダプタのMACアドレスの上3.5オクテットが、”00-60-73-E” ではない場合に発生します。 応急: もし仮想アダプタのMACアドレスを手動で変更する場合は、”00-60-73-Ex-xx-xx” の形式である必要が あります。 MACアドレスの上3.5オクテットがこれに従う必要があり、変更できる部分は x で示された箇所のみです。 修正された問題点 以下は、GVC 4.0.0 リリースで修正された問題点です。 • 52456: 概要: Vista上で動作している場合、GVCの仮想アダプタがDHCPリースの更新に失敗することがあります。 背景: 仮想アダプタが外部DHCPサーバを使うように設定された装置からDHCPリースの更新を試行した際に発生 します。 • 52455: 概要: DHCPリース取得の多くのステップの実行中に、接続状態が ”接続中” のみを表示します。 プロセス に失敗しても、接続状態は ”接続中” のままになります。 背景: 状態が ”接続中” の間に仮想アダプタがDHCPリー スの取得に失敗した場合に発生します。 接続開始状態と区別するために、新しい状態 ”IPアドレス取得中” が追加 されました。 • 51957: 概要: グローバル VPN クライアントはクライアントの中でフォーマット ストリングの脆弱性を乱用する攻撃に 対する弱点があります。 背景: 攻撃者がユーザーに攻撃者が悪意をもって作成した設定ファイルを読込ませた場合 に発生します。 そのファイルはクライアントの弱点を利用して、クライアント自身で任意のコードを実行します。 • 51807: 概要: GVCのアンインストール後に、仮想アダプタのMACアドレスを保持できません。 背景: アンインストー ルの前に仮想アダプタのMACアドレスが手動で設定されている場合に発生します。 アンインストール時にMACア ドレスを保持するオプションを選択しても、MACアドレスは削除されます。 • 51598: 概要: 自動再接続が無効になっている場合、スタンバイ状態から回復した後にGVCアプリケーションがフリ ーズすることがあります。 背景: アクティブなGVC接続がある状態でコンピュータがスタンバイ状態から回復した場合 に発生します。 • 50972: 概要: “Failed to open IPsec driver”エラー メッセージが表示されます。 背景: Vista上へのGVCインストー ル中にエラーが表示されなかったにも関わらず、IPSecドライバのインストールに失敗した場合に発生します。 • 50845: 概要: 証明書マネージャが、インポートしたユーザ証明書の状態を無効であると不正に表示します。 背景: ユーザ証明書の正当性確認がエラーコードを返すために発生します。 これは、基本的制約が欠けているか不正に セットされている場合に発生します。 SonicWALL グローバル VPN クライアント 4.0.0.843 リリースノート P/N: 232-001597-00 Rev.A 3 • • • • • • • • • • • • • • • 50790: 概要: Vista (32ビット版)で、GVC接続が5分で切断されることがあります。 背景: SonicWALL装置から 開始されるDPD要求を許可するためのNATポートが開いていない場合に発生します。 49664: 概要: 対岸に接続する際に、GVCクライアントが最小目トリックのルートを使用しないことがあります。 背景: 対岸へのルートが異なるメトリックで複数ある場合に発生します。 49317: 概要: GVCクライアントが接続できずに、エラー メッセージ “Failed to convert peer name X to an IP” を表 示することがあります。 背景: 完全修飾ドメイン名 (FQDN)が数字から始まっている場合に発生します。 49248: 概要: 仮想アダプタがDHCPリースの取得に失敗することがあります。 背景: 前回の接続がIKEフェーズ1 エラーのために失敗した後に、DHCPを使う接続を試行した場合に発生します。 48833: 概要: 証明書を用いたIKE認証に失敗することがあります。 背景: 証明書マネージャを使って複数のユーザ 証明書をインポートしてあり、実際のユーザ証明書が最後にインポートしたものでない場合に発生します。 48832: 概要: GVCが認証に証明書を使うように設定されているにも関わらず、ユーザに事前共有鍵の入力を求め ることがあります。 背景: ユーザが証明書ベースの認証でログインを試行した際に発生します。 ユーザが証明書の 選択画面でキャンセルを選択すると、事前共有鍵の入力を求められます。 48612: 概要: GVC 4.xのインストール時に、インストール前にGVC 3.xをアンインストールして再起動するように 要求されることがあります。 背景: Vistaでのみ、GVC 3.xから4.xにアップグレードする際に発生します。 ユーザ はInstallShieldで自動的にアンインストールするか、手動でアンインストールするか選択できます。 48597: 概要: 仮想アダプタがDHCPリースの取得に失敗することがあります。 背景: 接続の失敗後に発生します。 コンピュータがスタンバイ モードに入ることで接続が中断された場合に発生します。 48550: 概要: Vista (32ビット版)で、NAT装置の背後からのIKEネゴシエーションに失敗することがあります。 背 景: GVCがネイティブIPSecクライアントとの競合により、IKEの送信元ポートとして定義されている500番と4500番 の使用に失敗した場合に発生することがあります。 応急: 管理者としてGVCアプリケーションを開始します。 これに よりGVCはVista上のネイティブIKEサービスを無効にして、IKE送信元ポートとして定義されている500番と4500 番を使用できるようにします。 47986: 概要: Vista (32ビット版)で、トンネル オール ポリシーのGVC接続が、トラフィックをインターネットにルート できないことがあります。 背景: VPNトラフィックのデフォルト ルートが、物理ネットワーク カードのデフォルト ルートと 同じメトリックを持つ場合に発生します。 応急: GVC 4.0.0.799以前のベータ バージョンにこの問題が存在しま す。 もしこれに該当するバージョンがインストールされている場合は、アンインストールしてから新しいバージョンをク リーン インストールすることでこの問題は修正されます。 45722: 概要: GVCの接続プロパティを既定の値から手動で変更しても保存されないことがあります。 背景: 接続プ ロパティの設定後に、その子供のダイアログ ボックスをキャンセルすることにより発生し、プロパティは既定にリセットさ れ変更した内容は失われます。 40255: 概要: ユーザへのRSAメッセージが切り詰められることがあります。 背景: 2行より長いRADIUS応答がGV Cにより切り詰められ、最初の2行のみ表示され、残りは表示されません。 40254: 概要: GVCが接続を落とし、"Bad user name or password" エラーを表示します。 背景: パスワードを16 桁に変更/更新しようと試みた場合に発生します。 GVCは4から16文字のパスワードを受け入れますが、正しく受 け入れるのは4から15文字で、16文字のパスワードを受信した場合は接続が切断されます。 しかしながら、パスワー ドは受け入れられて更新されます。 34309: 概要: GVC 3.x が、接続で複数のゲートウェイを設定している場合に対岸のゲートウェイに指定された事 前共有鍵を保存しないことがあります。 ユーザは毎回IKE PSK情報の入力を求められます。 背景: 対岸のゲートウ ェイのFQDNを負荷分散のために複数のAレコード (複数のIPアドレス) に解決するDNSサーバを使用している場 合に発生します。 GVCは対岸のゲートウェイに指定されたIKE PSK情報を保存しません。 33107: 概要: ログオフ スクリプトがトンネルが無効になった後にコマンドの実行を試みる場合に失敗することがありま す。 背景: VPNトンネルが閉じた後にコマンドが実行される場合に発生します。 SonicWALL グローバル VPN クライアント 4.0.0.843 リリースノート P/N: 232-001597-00 Rev.A 4 トラブルシュート 以下はGVC4.0.0リリースに対するトラブルシュートの手順です。 GVCトラブルシュート手順 SonicWALL グローバル VPN クライアント 4.0.0.843 リリースノート P/N: 232-001597-00 Rev.A 5 補足 GVCのインストール成功後に発生した実行時の問題をデバッグする必要がある場合は、エラーの状況を確認するた めにGVCのログを参照してください。 ファイアウォールのログ情報が必要な場合もあります。 テクニカル サポートにGVC実 行時の問題を連絡する際には、解析のためにGVCおよびファイアウォールのログが必要です。 トラブルシュート 下記の問題に対するトラブルシュートの詳細を説明します。 • インストール問題のデバッグ • インストール後のエラー • Vista上のTCPアプリケーションが遅い • 特定の宛先ネットワークへアクセスできない • GVC接続の確立後にインターネットをブラウズできない • 対岸がGVCからのISAKMP要求に応答しない - GVCのログを確認してください • GVC接続を有効にした際に認証状態で停止する • 仮想アダプタがDHCPリースの取得に失敗する • 事前共有鍵 (PSK) の入力画面が表示されない • XAUTH資格情報の入力画面が表示されない 手順1 インストール問題のデバッグ 補足 GVCをアップグレードインストールして、その後GVCをアンインストールした場合は、コンピュータを再起動して再度セ ットアップを実行してください。 もし以下の問題に遭遇した場合はトラブルシュート手順に従ってください。 A) インストール中のブルー スクリーン GVC4.0.0.xからのアップグレード後にブルー スクリーンが発生した場合は、トラブルシュートを実行するため に %SystemRoot%\Minidump.dmp (%SystemRoot% は通常 C:\Windows) ファイルをテックサポートに送付してくださ い。 ブルー スクリーンを再現できる場合は、より多くの情報を含む ”カーネル メモリ ダンプ” がトラブルシュートの助けになります。 詳細なメモリ ダンプを取得するには、以下の手順に従います。 エクスプローラ上で ”マイ コンピュータ” を右クリックして ”プロパティ” を選択します。 ”詳細設定” を選択し、”起動と回復” セク ションの ”設定” を選択します。 ”システム エラー” セクションで、デバッグ情報の取得設定をします。 ダンプ ファイルは既定 で %SystemRoot%\MEMORY.DMP ファイルに書き込まれます。 B) 以下のエラーによるGVCインストール失敗 このエラーは、以下の場合に発生する可能性があります。 a. GVCのアンインストール後に再起動せずにGVCをインストールした b. インストール操作時にハード リセットした c. GVCベータ バージョンからのアップグレード インストールをした SonicWALL グローバル VPN クライアント 4.0.0.843 リリースノート P/N: 232-001597-00 Rev.A 6 コンピュータを再起動して再度セットアップを実行してください。 その後も同じエラーが発生した場合は、以下を実行してくだ さい。 1. コマンド プロンプト アイコンを右クリックして、管理者として実行します。 2. 次のディレクトリに移動します。 %SystemRoot%\system32\drivers (%SystemRoot% は通常 C:\Windows) 3. コマンド ”net stop rcfox” を入力して実行します。 (成功または失敗のメッセージが表示されます。) 4. ”rcfox.sys” ファイルを ”rcfox.sys.bak” ファイルにリネームします。 (rcfox.sys ファイルがこのディレクトリに存在する 場合) GVCのセットアップを実行してインストールします。 C) SonicWALL仮想アダプタのインストール中にGVCのインストールが固まる 仮想アダプタのインストール中にインストールが固まった場合は、ハード リセットを行う必要があります。 再起動後に、GVCを アンインストールしてコンピュータを再起動します。 ここで、SonicWALL仮想アダプタが存在しないことを確認します。 ”コン トロール パネル” から ”ネットワーク接続” を開きます。 もしGVCのアンインストール後に仮想アダプタが存在する場合は、ハ ード リセット中にレジストリが破損してしまった場合があります。 次の手順でSonicWALL仮想アダプタを手動でアンインストールします - ”マイ コンピュータ” を右クリックして ”プロパティ” を 選択し、”ハードウェア” タブに移動します。 ”デバイス マネージャ” を選択して、”ネットワーク アダプタ” を展開し、”SonicWA LL VPN Adapter”を右クリックしてアンインストールします。 このとき、ドライバ ソフトウェアの削除も選択しま す。 %SYSTEMROOT%\System32\Drivers ディレクトリに移動して、RCVPN.SYS ファイルを削除します。 コンピュータを 再起動し、再起動後にGVCをインストールします。 D) 以下のエラーによるGVCインストール失敗 “RampartSVC Module has Stopped Working” このエラーは、SonicWALLサービスのインストールに失敗したことを示します。 再度GVCのインストールを実行します。 手順2 インストール後のエラー インストールの成功後に以下の問題が発生した場合の手順です。 1. 仮想アダプタ (VA) が利用できない 2. ブルー スクリーン 3. SonicWALLサービスの起動失敗 VAが利用できない SonicWALL グローバル VPN クライアント 4.0.0.843 リリースノート P/N: 232-001597-00 Rev.A 7 A. 新しく、未使用時に仮想アダプタを切断するオプションが追加されました。これは、表示 > オプション > 一般タ ブにあります。 もしこのオプションが選択されていたら、非選択して、GVCを再起動してから接続を有効にします。 それでもVAが利用できない場合は、ステップ Bを実行します。 B. Vista上で、コントロールパネルのネットワークとインターネットから、ネットワーク接続の管理を選択します。 SonicWALL Virtual Adapterを右クリックして、プロパティ ページの設定を選択します。 VAが無効になっている場合はこ こで有効にする必要があります。 GVCアプリケーションを起動して再度接続を有効にします。 ブルー スクリーン ネットワーク アダプタ カードのドライバ コンピュータにインストールされている各ネットワーク アダプタの最新のドライバを使 用しているか確認します。 最新でなかった場合は、ドライバを最新版に更新してからGVCを起動します。 トレンドマイクロのファイアウォール このクライアント ベースのファイアウォールがインストールしてある場合は、ベンダのウェ ブ サイトで最新版であることを確認します。 最新版であるにも関わらずブルー スクリーンが発生する場合は、仮想アダプタの プロパティから、トレンドマイクロのファイアウォール ドライバのバインドを無効にします。 Vista上では、コントロールパネルの ネットワークとインターネットから、ネットワーク接続の管理を選択し、SonicWALL Virtual Adapterを右クリックして、プロパ ティ ページでトレンドマイクロのファイアウォール ドライバのバインドを無効にします。 これでもまだブルー スクリーンが発生する場合は、調査するためにテック サポートに以下の情報を送付します。 GVC4.0.0.xからのアップグレード後にブルー スクリーンが発生する場合は、トラブルシュートのため に %SystemRoot%\Minidump (%SystemRoot% は通常 C:\Windows) をテック サポートに送付します。 ブルー スクリーンを再現できる場合は、より多くの情報を含む ”カーネル メモリ ダンプ” がトラブルシュートの助けになります。 詳細なメモリ ダンプを取得するには、以下の手順に従います。 エクスプローラ上で ”マイ コンピュータ” を右クリックして ”プロパティ” を選択します。 ”詳細設定” を選択し、”起動と回復” セク ションの ”設定” を選択します。 ”システム エラー” セクションで、デバッグ情報の取得設定をします。 ダンプ ファイルは既定 で %SystemRoot%\MEMORY.DMP ファイルに書き込まれます。 SonicWALLサービスの起動失敗 コマンド プロンプト アイコンを右クリックして、管理者として実行します。 GVCのインストール ディレクトリに移動し、(通常は \Program Files\SonicWALL\SonicWALL Global VPN Client) 以下のコマンドを実行します。 Net stop Rampartsvc Net start Rampartsvc 手順3 Vista上のTCPアプリケーションが遅い この問題は、ファイアウォール装置を不正に扱っている Windows Scaling により発生します。 手動で Windows Scaling を 無効にするには、コマンド プロンプトから以下のコマンドを実行します。 SonicWALL グローバル VPN クライアント 4.0.0.843 リリースノート P/N: 232-001597-00 Rev.A 8 “netsh interface tcp set global autotuning=disabled” この問題の詳細情報については、以下のURLを参照してください。 http://support.microsoft.com/kb/934430 手順4 特定の宛先ネットワークへアクセスできない A. GVCのメニューから、ファイル > プロパティ > 状態タブ を選択します。 コネクション セクションで、詳細を選択しま す。 対岸のプロキシIDリスト内の接続を試みている対岸ネットワークの存在を確認します。 この情報はユーザ特有 で、ファイアウォール上のグループVPNポリシー内で制御できます。 この確認は、GVCレポートでも実行可能で、以 下の見出しのセクションで参照できます。 i. ii. iii. iv. Destination Networks -------------------192.168.0.0/255.255.255.0/BOOTPS: Phase 2 Complete 192.168.0.0/255.255.255.0/Any: Idle この対岸のプロキシIDリストは、ユーザ毎に生成されるため、対岸のネットワークで必要なユーザ アクセス リストが無いことを 確認できます。 B. ステップA を確認してもなお失敗する場合は、ファイアウォール側で宛先ネットワークへの、また宛先ネットワークから のルートが正しいことを確認します。 これには、SonicWALL装置上または接続先のホスト上のパケット キャプチャ が必要です。 手順5 GVC接続の確立後にインターネットをブラウズできない GVCレポートを作成 (ヘルプ > レポートの作成) して、ポリシーがトンネルオール ポリシーであるかどうか確認します。 デフ ォルト ルートが正しいインターフェースを指していることを確認します。 もしポリシーがトンネル オールだった場合は、Sonic WALL装置上のパケット キャプチャにより、パケットがインターネットへルートされるパケットに対して間違った設定や利用でき ないルールのためにファイアウォールでドロップされているかどうかの情報が確認できます。 これをトレースするために、継続 PingをGVCクライアントから4.2.2.2に対して開始して、ファイアウォール上でパケット キャプチャを使用してパケットの送 信先をトレースします。 手順6 対岸がGVCからのISAKMP要求に応答しない - GVCのログを確認してください A. GVCアプリケーションが動作するホストがインターネットへの接続とブラウズができることを確認します。 もしこれに問 題がある場合は問題を解決してステップBに進みます。 B. 対岸のゲートウェイが動作していて、ゾーンに対するGroupVPNがポリシーが有効であることを確認します。 同じフ ァイアウォールの同じインターフェースに接続する別のGVCクライアントで問題が出ない場合は、ステップCに進みま す。 C. GVCがある特定の場所で動作し、NAT装置の背後の場合にのみこのエラーが発生する場合は、2通りの可能性が あります。 NAT装置がGVC (Vista OS) からのIKE用に定義されたUDP送信元ポート500番を使わないIKEトラフィックを 遮断しています。 この問題は現在Vista上で動作するGVCのみで発生します。 GVCが定義済みのIKE送信元ポ ートを使うようにするためには、GVCアイコンの右クリックから管理者としてGVCを起動します。 これでもGVCが接続 できない場合には、ステップDに進みます。 D. GVCからのIKEパケットを許可するルール (ポリシー) が必要なために、NAT装置がIKEトラフィックを遮断してい る可能性があります。 SonicWALL グローバル VPN クライアント 4.0.0.843 リリースノート P/N: 232-001597-00 Rev.A 9 GVCからのIKEトラフィックが対岸のゲートウェイに到達しているか確認するには、イベント ログ (Networkデバッグ を有効にした) またはSonicWALL装置上のパケット キャプチャを用います。 対岸のゲートウェイがIKEパケットを 受け取っていない場合は、IKEパケットを落としているNAT装置が経路の途中やISPに存在します。 NAT装置の マニュアルを調べるかISPに連絡するかしてこの問題をトラブルシュートします。 手順7 GVC接続を有効にした際に認証状態で停止する 重要 GVCログを参照して接続の進行状態を確認してください。 一般的な原因は以下のとおりです。 A. ファイアウォール上でGroupVPNの設定にエラーがあります。 ユーザにVPNアクセスリストが適用されているか確 認します。 これは、XAUTHの使用、非使用に関わらず必要です。 B. GVCログがフェーズ2エラーを表示します。 これはGVCでは起こりえないはずです。 接続を削除、新規作成して再 度接続を試行します。 ファイアウォールのGroupVPNの設定で ”シンプル クライアント プロビジョニングにデフォル トキーを使用する” が無効の場合、ユーザは事前共有鍵を入力する必要があります。 また、GroupVPNに対するX AUTHが有効の場合は、通常の新規接続と同様にXAUTH資格情報を入力します。 C. ファイアウォールがGVC接続用のライセンスを所有していることを確認します。 所有している場合は、GVC同時接 続数がライセンス数を超過していないか確認します。 手順8 仮想アダプタがDHCPリースの取得に失敗する 補足 最初に再起動を試します。 改善しない場合は以下の手順に従います。 A. サードパーティ製のIPSec VPNクライアントがコンピュータにインストールされていないことを確認します。 既存のIP Sec VPNクライアント (GVC含む) が存在する場合はアンインストールして、再起動後にGVCを再度インストールし ます。 B. Dell Wireless WLAN 4.10+ ワイヤレス ネットワーク ドライバは VLAN Priority Support を含み、SonicWALL仮想 アダプタのDHCPリース取得と競合します。 VLAN Priority Support が有効になっているかを確認して、有効の場 合は以下の手順で無効にします。 1. デスクトップ上の マイ コンピュータ を右クリックして プロパティ を開きます。 補足 デスクトップ上にマイ コンピュータ アイコンが無い場合は、スタート メニューからマイ コンピュータをたどり、 右クリックします。 2. システムのプロパティ ウィンドウ上で、ハードウェア タブを選択し、デバイス マネージャを選択します。 3. デバイス マネージャ ウィンドウ上で、ネットワーク アダプタ を展開して、Dell Wireless WLAN Adapter をダブ ルクリックします。 4. Dell Wireless WLAN Adapter のプロパティ ウィンドウ上で、詳細 タブを選択します。 5. VLAN Priority Support までスクロールし、選択状態にします。 6. Value: フィールドのドロップ ダウン メニューから Disable を選択します。 7. OKを選択して、Dell Wireless WLAN Adapter のプロパティ ウィンドウを閉じます。 8. デバイス マネージャ ウィンドウの右上隅の X ボタンを選択してウィンドウを閉じます。 C. SonicWALL仮想アダプタでDNEバインディングが有効であることを確認します。コントロールパネルのネットワーク とインターネットから、ネットワーク接続の管理を選択します。 SonicWALL Virtual Adapterを右クリックして、プロ パティを選択します。 プロパティ ページ上で Deterministic Network Enhancer のバインドが有効であることを確認 します。 D. 新規セットアップの場合、ファイアウォール上の設定を確認します。 ログでネットワーク デバッグ種別を有効にして、 DHCPの処理メッセージを表示します。 このログをもとにして、クライアントからのDHCP要求を受信しているかどう かと、DHCPサーバがこの要求に応答しているかどうかを確認できます。 既にセットアップが完了し動作していて、 特定のVista上のGVCでのみこの問題が発生している場合は、ステップCに進みます。 SonicWALL グローバル VPN クライアント 4.0.0.843 リリースノート P/N: 232-001597-00 Rev.A 10 E. Vistaマシン上でクライアント ベースのソフトウェア ファイアウォールが動作している場合は、そのバージョンがVista 互換であるかを確認します。 互換でない場合は、最新バージョンにアップグレードします。 アップグレード後も動作 しない場合は、TCP/UDP ポート 67/68を許可するルールを追加します。 これで問題が改善されない場合は、 ステップDに進みます。 (補足 Norton Internet Security Suite に対して多くの問題が報告されています。 もし このソフトウェアがインストールされている場合は、最終的には Norton をアンインストールしてコンピュータを再起動 してから再試行します。) F. ソフトウェア ファイアウォールを完全に無効にして再試行します。 これで改善されない場合はステップEに進みます。 G. 上記ステップで改善されない場合は、以下の応急を実行します。 1. VPNクライアントを起動して接続を有効にすると、IP取得時に固まります。(GVCのバージョンが 4.0.0.830 以前の場合は接続します) 2. VPN接続を無効にします。 3. コントロールパネルのネットワークとインターネットから、ネットワーク接続の管理を選択します。 SonicWALL Vir tual Adapterを無効にします。 4. ここでSonicWALL Virtual Adapterを有効にします。 5. 再度接続を有効にします。 H. この接続のNATトラバーサルの既定の設定を自動から無効にします。 対象の接続を選択して、ファイル > プロパ ティ > 対岸候補タブ > 編集 画面で設定を変更します。 手順9 事前共有鍵 (PSK) の入力画面が表示されない この問題は前述の手順6のエラー状況により発生することがあります。 もしそうでない場合は、ゾーンに対するGroupVPNポ リシー上で ”シンプル クライアント プロビジョニングにデフォルトキーを使用する” が無効な場合にのみPSKの入力が利用可 能です。 初回のPSK入力後に、PSKは暗号化された設定ファイルに保存されます。 GroupVPNポリシーに対するPSKが 変更されない限りは、再度PSKの入力を求められることはありません。 手順10 XAUTH資格情報の入力画面が表示されない この問題は前述の手順6のエラー状況により発生することがあります。 もしそうでない場合は、ゾーンに対するGroupVPNポ リシー上で有効な場合にのみXAUTHの入力が利用可能です。 XAUTH資格情報は、ゾーンに対するGroupVPNポリシ ー上で許可されている場合のみ、暗号化された設定ファイルにキャッシュすることができます。 ______________________ 最終更新日: 2008年9月25日 SonicWALL グローバル VPN クライアント 4.0.0.843 リリースノート P/N: 232-001597-00 Rev.A 11