イベントのトラブルシューティング

接続に関する問題が発生した場合は、「イベント」をクリックし、接続を試みた際のタイムスタンプを確認して該当するエラーを見つけ出します。

このセクションには、エラーメッセージ、エラーの考えられる原因、および対処方法に関する情報が表示されます。以下に記載されていない問題が発生した場合は、一般的なトラブルシューティングを参照してください。

さらにご不明な点は、ソフォス サポートへお問い合わせください。

ネットワーク接続がありません

原因: ネットワークアダプタ (イーサネットまたは Wi-Fi) に IP アドレスがありません。

対策・説明: IP アドレスが有効であることと、ネットワークに正常に接続していることを確認します。

DNS 解決に失敗しました

原因: クライアントがゲートウェイのホスト名を名前解決できません。

対策・説明: DNS サーバーがネットワークインターフェースに割り当てられていることを確認します。パブリックホスト (例: www.sophos.co.jp) に対して、コマンドプロンプト (Windows) またはターミナル (Mac) で nslookup を実行し、IP アドレスが表示されることを確認します。名前解決されない場合は、ご利用の ISP にお問い合わせください。

UDP ポート 500/4500 がブロックされています

原因: ファイアウォールまたはルーターが UDP ポート 500 および 4500 をブロックしています。

対策・説明: ローカルのファイアウォールやルーターの構成を確認し、これらのポートでトラフィックを許可します。たとえば宿泊先などで、ファイアウォールやルーターにアクセスできない場合は、携帯電話のポットスポットを通じて接続し、もう一度接続し直してみてください。

ゲートウェイから応答がありません: <ゲートウェイの FQDN または接続で指定されている IP アドレス>

原因: ゲートウェイが IKE ネゴシエーションのメッセージに応答していません。次の原因が考えられます。
  • リモートゲートウェイ (ファイアウォールまたはルーター) がシャットダウンされた。
  • リモートゲートウェイの WAN の IP アドレスが直接インターネットに接続されていない。

対策・説明: 社内のファイアウォール管理者に問題を報告して対応を依頼してください。

ゲートウェイから通知 NO_PROPOSAL_CHOSEN を受信しました

原因: Sophos Connect からの IKE ネゴシエーションに対して、リモートゲートウェイが上記のエラーで応答した状態です。次の原因が考えられます。
  • ファイアウォールで、Sophos Connect のポリシーが定義されていない、または有効な状態になっていない。
  • ファイアウォール管理者が、ファイアウォールで、Sophos Connect のポリシーで使用される IKE フェーズ 1 のプロポーザルを変更し、変更後の設定内容をエクスポートしてクライアントにアップロードしていない。

対策・説明: 社内のファイアウォール管理者に問題を報告して対応を依頼してください。

サーバーはリモート ID <予期していた ID の値> を予期していたが、<実際の ID の値> を受信した

原因: 当該の接続で使用されている値が、ファイアウォールの Sophos Connect のポリシーで設定されているローカル ID の種類または値と異なります。ファイアウォール管理者が、ファイアウォールでローカル ID を変更し、変更後の設定ファイルを Sophos Connect にインポートしていないことが原因である可能性があります。

対策・説明: 社内のファイアウォール管理者に問題を報告して対応を依頼してください。

事前共有鍵の不一致の可能性がある <接続名>

原因: 当該の接続で使用されている事前共有鍵が、ファイアウォールの事前共有鍵と一致しません。ファイアウォール管理者が、ファイアウォールで事前共有鍵を変更し、変更後の設定ファイルを Sophos Connect にアップロードしていないことが原因である可能性があります。

対策・説明: 社内のファイアウォール管理者に問題を報告して対応を依頼してください。

<入力されたユーザー名> のユーザー認証に失敗した

原因: ユーザー名またはパスワードが一致しませんでした。

対策・説明: もう一度やり直して入力ミスでないかどうかを確認します。何回か試しても同じエラーが表示される場合は、パスワードが変更されているか、ファイアウォールで無効に設定されている可能性があります。その場合は、社内のファイアウォール管理者に問題を報告して対応を依頼してください。

ルート [ネットワーク/サブネットマスク] の追加に失敗したため、フェーズ 2 を完了できませんでした

注: 次のトラブルシューティングの手順は、Windows のみを対象にしています。

原因: フェーズ 2 SA が確立された後、リモートネットワークに対する route add の実行に失敗しました。トンネルがアクティブな状態のときに、strongSwan サービスが異常終了したことが原因である可能性があります。

対策・説明: TAP アダプタを無効にした後、有効にします。管理者権限でコマンドプロンプトを開き、次のコマンドを実行します。

net stop scvpn

net start scvpn

接続データを追加できませんでした。名前が <接続名> の接続は既に存在します

原因: 同じ名前の接続が既にインポートされています。

対策・説明: Sophos Connect から既存の接続を削除します。削除する前に、既存の接続を削除してもよいかを確認してください。それ以外の場合は、社内の管理者に連絡して対応を依頼してください。

サービスを使用できません

注: 次のトラブルシューティングの手順は、Windows のみを対象にしています。

原因: Sophos Connect サービス (scvpn) が実行されていない状態です。

対策・説明: 管理者権限でコマンドプロンプトを開き、次のコマンドを実行します。

net start scvpn

strongSwan への接続情報の読み込みに失敗した

注: 次のトラブルシューティングの手順は、Windows のみを対象にしています。

原因: strongSwan サービスが実行されていない状態です (サービス名: charon-svc.exe)。

対策・説明: 管理者権限でコマンドプロンプトを開き、次のコマンドを実行します。

net start strongswan

ゲートウェイによって SA が無効化または削除された

原因: ゲートウェイが IKE の削除要求を送信後、トンネルが削除されました。次の原因が考えられます。

  • ファイアウォール管理者がファイアウォールでポリシーを変更した。これにより、IKE の削除要求が、ファイアウォール上のすべてのアクティブな SA に送信されます。
  • ファイアウォール管理者が、ファイアウォールで、当該のユーザーに対する、すべての IPsec 接続を手動で削除した。

対策・説明: もう一度接続し直してください。それでも問題が解消しない場合は、社内の管理者に連絡して対応を依頼してください。

ゲートウェイで DNS 解決に失敗しました: <ゲートウェイ名: ポート>

原因: このエラーは、無効なホスト名が原因です。

対策・説明:

  • プロビジョニングファイルを使用して接続を追加した場合は、指定されたホスト名を確認します。
  • ovpn ファイルをインポートして接続を追加した場合は、XG Firewall の SSL VPN 設定を確認します。

サーバー証明書を検証できません: <ゲートウェイ名>。続行しますか?

原因: Sophos Connect クライアントは、プロビジョニングファイル内のプロパティを使用して XG Firewall ユーザーポータルに接続することによって、SSL VPN 設定をインポートします。ユーザーポータルは自己署名証明書を使用しますが、これは Sophos Connect クライアントでは検証できません。

対策・説明: セキュリティ警告を受け入れて接続し、ユーザーポータルから ovpn 設定ファイルをダウンロードします。今後プロンプトが表示されないようにするには、次のいずれかのオプションを使用します。

  • パブリック CA によって署名された XG Firewall の新しい証明書を発行します。XG Firewall で証明書をインポートし、Web 管理コンソールにサインインするために、「管理の設定」で証明書を選択します。
  • デフォルトの CA 証明書を、XG Firewall からリモートコンピュータの信頼できるストアにプッシュします。

信頼できないサーバーに接続できませんでした: <ゲートウェイ>

原因: 証明書の警告プロンプトをキャンセルしたため、接続が終了しました。

対策・説明: セキュリティ警告を受け入れて接続し、XG Firewall から SSL VPN ポリシーをダウンロードします。SSL VPN ポリシーのダウンロード中ににプロンプトが表示されないようにするには、次のいずれかのオプションを使用します。

  • パブリック CA によって署名された XG Firewall の新しい証明書を発行します。XG Firewall で証明書をインポートし、Web 管理コンソールにサインインするために、「管理の設定」で証明書を選択します。
  • デフォルトの CA 証明書を、XG Firewall からリモートコンピュータの信頼できるストアにプッシュします。

インポートファイルに重複した接続が含まれています: <接続名>

原因: プロビジョニングファイルからインポートした接続に、重複した表示名があります。

対策・説明: プロビジョニングファイルの display_name 属性をチェックし、重複する名前を変更します。

ポリシーゲートウェイに接続できません: <ゲートウェイ名>

原因: プロビジョニングファイルが正しく設定されていません。次のような状況が原因になっている可能性があります。

  1. ゲートウェイのホスト名または IP アドレスが無効。
  2. ポートが無効、または送信ポートがブロックされている。
  3. ポリシーゲートウェイがオフになっているため到達不能。

対策・説明:

プロビジョニングファイルで次の事柄を確認します。

  1. gateway 属性に正しい値が割り当てられていることを確認します。
  2. user_portal_port 属性に割り当てられている値が、XG Firewall のユーザーポータル HTTPS ポート設定と一致することを確認します。
  3. プロビジョニングファイルが正しく設定されている場合は、社内の管理者に連絡して対応を依頼してください。

このユーザーに対して SSL VPN ポリシーが定義されていません: <ユーザー名>

原因: XG Firewall の SSL VPN (リモートアクセス) ポリシーに、ポリシーメンバーが含まれていません。

対策・説明: 管理者に問い合わせてください。

圧縮の不一致エラー。接続を再試行します。

原因: SSL VPN ポリシーが XG Firewall からはじめてダウンロードされ、SSL VPN トンネルがそのポリシーとともに確立されます。

対策・説明: このエラーは、接続の設定方法に基づいて次のように解決されます。

  • プロビジョニングファイルの場合: Sophos Connect は自動的に再接続を試みます。
  • ovpn ファイルの場合: 手動で再接続します。

ポリシーの不一致エラー。ポリシーをダウンロードし、接続を再試行します。

原因: Sophos Connect クライアントは、この接続用に保存された既存のポリシーに基づいて、SSL VPN 接続を確立しようとしました。

Sophos Connect によって SSL VPN 接続が確立、保存された後、管理者が XG Firewall の SSL VPN 設定を変更しました。

対策・説明: プロビジョニングファイルを使用して接続が作成されました。Sophos Connect は自動的に新しいポリシーをダウンロードし、SSL VPN トンネルを再確立します。

注: TCP 経由の SSL VPN トンネルが接続している状態で、管理者が XG Firewall の SSL VPN ポリシーを変更すると、Sophos Connect クライアントは新しいポリシーを直ちに検出してダウンロードします。UDP 経由の SSL VPN トンネルの場合は、「操作なしタイマー」がトンネルを削除するまで待機する必要があります。Sophos Connect は、その後、トンネルを再確立するために新しいポリシーをダウンロードします。

ポリシーの不一致エラー。この接続用に新しいポリシーをインポートします。

原因: Sophos Connect クライアントは、この接続用に保存された既存のポリシーに基づいて、SSL VPN 接続を確立しようとしました。

Sophos Connect が SSL VPN 接続を確立して保存した後、管理者が、XG Firewall の SSL VPN 設定を変更しました。

対策・説明: 接続は、ovpn ファイルをインポートして作成されました。ユーザーは、XG Firewall ユーザーポータルから新しい ovpn ファイルをダウンロードしインポートして、SSL VPN トンネルを再確立する必要があります。

注: TCP 経由の SSL VPN トンネルが接続している状態で、管理者が XG Firewall の SSL VPN ポリシーを変更すると、Sophos Connect クライアントはトンネルを検出し、切断して、エラーを表示します。UDP 経由の SSL VPN トンネルの場合は、「操作なしタイマー」がトンネルを削除するまで待機する必要があります。ユーザーは、XG Firewall ユーザーポータルから新しい ovpn ファイルをダウンロードしインポートして、SSL VPN トンネルを再確立する必要があります。

サーバーの応答を待機中、タイムアウトしました。

原因: SSL VPN ポリシーが XG Firewall で正しく設定されていません。障害の原因として、次のような事柄が考えられます。

  1. 上書きホスト名が設定されているが、正しいまたは有効なパブリック IP アドレスに解決されない。
  2. DDNS が設定されているが、正しいまたは有効なパブリック IP アドレスに解決されない。
  3. 上書きホスト名」と DDNS の両方が未設定で、WAN ポートにパブリック IP アドレスが設定されていない。

対策・説明: プロビジョニングファイルを使用して接続をインポートした場合は、(Sophos Connect クライアントで) ポリシー接続設定メニューを更新します。ovpn ファイルを使用して接続を作成した場合は、ユーザーポータルから新しい ovpn ファイルをエクスポートし、Sophos Connect クライアントに再度インポートします。