おはようございます。

a)
次の手順にSSL/TLSを用いたモバイルVPNも適しているかもしれません。

ホームオフィスのユーザーは会社のためにVPNソリューションを必要としています。
次の手順のためにデスクトップアイコンを一つ用意できるでしょうか？（PCのログイン後に）

• Windows 11の埋め込みクライアントを使用したIPSec VPNへの接続
• DNS名経由でオフィスPCにmstsc.exeを起動
• 会社のファイルサーバー共有を自宅のホームオフィスにマッピング
• （例：資格情報が昨日保存されていない場合には、資格情報ログインウィンドウが表示される可能性があります）
• VPN中にインターネットアクセスが必要

b)
最近数年間、出張中のノートパソコンユーザーがホテルWi-Fiで"IKEv2 IPSecトラフィック"をブロックされた経験はありますか？+++++++++

IPSec

IPSecを用いたモバイルVPNは、事前共有キーの代わりに証明書を設定しない限りあまり安全ではありません。ユーザーはNCPによるWatchGuard IPSec VPNクライアントや一部のネイティブVPNクライアントを使用して接続できます。

レガシーのIPSec IKEv1トンネルの場合は、IPSec v2が利用できない時のためにIPSec v2をお勧めします。また、複数のVPNルーティングプロファイルを展開しなければならない経験豊富なFirebox管理者にはこのオプションを推奨します。

+++++++++

SSL

SSL/TLSを用いたモバイルVPNは安全な選択肢ですが、他のモバイルVPNタイプよりも遅いです。WindowsやmacOSのユーザーはFireboxポータルからクライアントをダウンロードします。AndroidやiOSのユーザーはOpenVPNクライアントとともに使用するためにFireboxポータルからプロファイルをダウンロードします。

リモートネットワークでIKEv2 IPSecトラフィックが許可されていない場合や、スプリットトンネリングが必要な場合は、SSLを用いたモバイルVPNを推奨します。

+++++++++

SSL VPNは非常に扱いやすいです。パフォーマンスへの影響はわずかで、RDPには影響しません。ポート443が許可されている場所ならどこでも動作しますが、FirewallがOpenVPNをブロックしていない必要があります。

Windowsはサポートされている暗号化方式で遅れがちなので、SSLクライアントを使う方が良いでしょう。最良のパフォーマンスを得るために、フェーズ1にはAGM 256 DH 21、フェーズ2にはAGM 128 DH 19を使用してください。これがほとんどのファイアウォールで最適です。

IPsec V1はポート50、500、および4500を使用します。IPsec V2はポート50と4500を使用します。ほとんどの環境でIPsec v1を使用できる場合、IPsec v2（ほとんどのファイアウォールのIPsecパススルー警告です）も使用できます。

IPsec v1では証明書またはPSKを使用できます。リモートアクセスでも同様です。

IPsec v2は、フェーズ2での新しいcgm暗号化提案を使用する場合、より安全です。フェーズ1ではPSKまたは証明書を使用し、暗号化はフェーズ2で使用されます。私見ですが、強力なPSKを使えば、証明書と同じくらい安全です。

SSL VPNは全く問題ありません。ただし、何らかの多要素認証（MFA）を設定しておかなければなりません。アクティブトラフィックを見れば、絶えずブルートフォース攻撃が流れ込んでいるのがわかるでしょう。

実は、M290でSSL VPNとIKEv2の間には大きな違いを見つけました。SSL VPNでは最大40Mbps、IKEv2では200Mbpsでした。同じデバイスとインターネット接続で計測。

何の暗号化を使っていますか？新しい楕円曲線暗号は最近のファイアウォールモデルでより高速です。

IKEv2にはAES-GCM256 DH19を使用しています。SSLVPNではAES-GCM256/128やAES256/128を試しましたが、IKEv2には及びませんでした。どの設定が最適か知りたいです。