Client Connector
Zscaler Client ConnectorとVPNクライアントの相互運用性に関するベストプラクティス
ユーザーが企業VPNクライアントと組み合わせてZscaler Client Connectorを実行している場合は、次のベスト プラクティスに従ってください。
- ステップ 1: 転送プロファイルのアクションを選択する
VPNクライアントとZscaler Client Connector間の相互運用性を最大限に高めるには、Zscaler Client Connectorトラフィックをトンネリングするためにネットワーク(IP)層またはアプリケーション層で動作するかどうか(またはZscaler Client Connectorトラフィックをトンネリングするかどうか)を決定する適切な転送プロファイル アクションを選択する必要があります。
転送プロファイルアクション Zscaler Client Connectorトラフィックの仕組み トンネル ドライバー タイプとしてのトンネル(ルートベース) ネットワーク(IP)層でトラフィックをトンネリングし、ユーザーのデバイスにIP経路を設定することでユーザーのトラフィックを捕捉します。 トンネルドライバタイプのトンネル(パケットフィルターベース) Windowsパケット フィルタリングを使用して、トラフィックを直接Zscaler Client Connectorに送信して処理します。 ローカルプロキシを使用したトンネル トラフィックをアプリケーション層にトンネリングし、ユーザーのデバイスにプロキシ設定を適用してトラフィックをキャプチャします。
このオプションは、アプリがユーザーの認証を透過的に処理するため、[プロキシの強制]オプションよりも利点があります。ユーザーは、新しいブラウザーを開いたときにアプリケーションを再認証する必要はなく、ブラウザーベース以外のアプリケーションへのアクセスで問題が発生することはめったにありません。
プロキシを適用する どのトラフィックもトンネリングしません。ユーザーのデバイス上のブラウザーのプロキシ設定のみを設定し、ユーザーがそれらのプロキシ設定を変更することを禁止します。 なし どのトラフィックもトンネリングしません。ユーザーのデバイスではアクションを実行しません。 相互運用性の問題を回避するために、Zscalerでは、さまざまなプラットフォームに対して次の転送プロファイル アクションを推奨しています。
- WindowsおよびmacOS
WindowsとmacOSの場合、Zscalerでは、次の設定を使用することをお勧めします。
- Windows:
- フルトンネルモード:ローカルプロキシを使用したトンネルのみ。
- スプリットトンネルモード:ローカルプロキシ素を持つトンネルまたはトンネル(パケットフィルターベース)。
- macOS:ローカルプロキシを使用したトンネルのみ。
Zscaler Client Connectorは、[ローカル プロキシーを使用したトンネル]と[トンネル] ([パケット フィルター ベース])の場合にアプリケーション層で動作し、IP層でVPNクライアントと競合しないため、ユーザーは相互運用性の問題を経験しません。代わりに、アプリはVPNが必要に応じてトラフィックを受け取ることを許可しますが、プロキシー設定またはパケット フィルターを設定して、すべてのユーザー トラフィックがZscalerによって保護されるようにします。
Zscalerでは、VPNによって信頼されたネットワークの転送プロファイルとして[トンネル(ルートベース)]を選択しないことを強くお勧めします。Zscaler Client Connectorはトンネル モードのVPNクライアントと同じIP層で動作するため、相互運用性の問題が発生する可能性があります。詳細は、以下の「トンネル(ルートベース)転送プロファイル アクションの使用に関する推奨事項」を参照してください。
閉じる - Windows:
- iOS
iOSの場合、Zscalerでは、転送プロファイル アクションに[トンネル]を使用することをお勧めします。iOSプラットフォームでは、各VPNが異なるタイプ(個人用、アプリごと、またはエンタープライズ)である限り、複数のVPNを同時に実行できます。たとえば、Zscaler Client ConnectorはエンタープライズVPNとして実行されます。そのため、別の個人用VPNまたはアプリごとのVPNを同時に実行できますが、エンタープライズVPNは実行できません。
iOS用のZscaler Client Connectorは、[ローカル プロキシーを使用したトンネル]をサポートしていません。
閉じる - Linux
Linuxの場合、VPNがフル トンネル モードで実行されている場合は、Zscalerでは次の設定を使用することをお勧めします。
- ZIAの転送プロファイル アクション
信頼されたネットワークのタイプに基づいて、次のオプションを選択します。
- 信頼されたネットワーク上:[ローカルプロキシによるトンネル]を選択します。
- VPN Trusted Network:[On Trusted Network]と同じものを選択します。
- Off-Trusted Network:[On Trusted Network]と同じものを選択します。
VPNの起動時にZIAで接続が失われた場合、VPNクライアントはZscaler Client Connector管理サイト(SME IPなど)のVPNバイパス ルートのインストールに失敗した可能性があります。このような場合は、Zscaler Client Connector Portalの[アプリ プロファイル]の[VPNゲートウェイ のホスト名またはIPアドレスのバイパス]のフィールドにSME IPを追加します。
閉じる - ZPAの転送プロファイル アクション
信頼されたネットワークのタイプに基づいて、次のオプションを選択します。
- 信頼されたネットワーク上:[トンネル]を選択します。
- VPN信頼できるネットワーク:[なし]を選択します。
- Off-Trusted Network:[On Trusted Network]と同じものを選択します。
VPNクライアントのルートモニタリングオプション(Cisco AnyConnect VPNなど)を無効にします。
閉じる - ZIAの転送プロファイル アクション
Androidの場合、Android OSでは一度に1つのVPNしか許可されないため、Zscaler Client ConnectorとサードパーティーのVPNを同時に実行することはできません。
閉じる - WindowsおよびmacOS
- ステップ2:ユーザーのデバイスのプロキシ設定を設定する
VPNクライアントがユーザーのデバイスのプロキシー設定を変更するように設定されていないことを確認する必要があります([VPNによって信頼されたネットワーク]の転送プロファイル アクションとして[ローカル プロキシーを使用したトンネル]を選択した場合でも)。VPNクライアントがプロキシー設定に干渉した場合、Zscaler Client Connectorはトラフィックを正しく転送しません。
閉じる - ステップ3:さまざまなトンネル モード用にZscaler Client Connectorを設定する
VPNはフルトンネル モードまたはスプリット トンネル モードで実行できますが、各モードには異なるZscaler Client Connector構成が必要です。
- フルトンネルモード
VPNがフルトンネル モードで実行されるとき、ユーザーのすべてのトラフィックがVPNクライアントにルーティングされます。Zscaler Client Connectorはネットワークを[VPN信頼されたネットワーク]として扱い、そのネットワークに対して選択した転送プロファイル アクションを適用します。ただし、この構成には次の重要な注意事項が適用されます。
- Zscalerでは、VPNによって信頼されたネットワークに[トンネル(ルートベース)]転送プロファイルを使用しないことを強く推奨します。トンネル モードのZscaler Client ConnectorはIP層(VPNクライアントと同じ層)で動作するため、相互運用性の問題が発生する可能性があります。Zscalerでは、WindowsとmacOSの場合、このシナリオで[ローカル プロキシーを使用したトンネル]を選択することをお勧めします。
- VPNがデフォルトのルートを設定していない場合は、[ローカル プロキシーを使用したトンネル]を選択します。Zscaler Client Connectorは、ルーティング テーブルでデフォルト ルートを検索して、フル トンネルVPNを検出します。VPNがデフォルトのルートを設定せず、別のメカニズムを使用してすべてのトラフィックをキャプチャーする場合、Zscaler Client ConnectorがVPNをフル トンネルVPNとは見なしません。ユーザーはVPNによって信頼されたネットワークに接続しているものとして扱われません。代わりに、アプリはユーザーを[信頼されたネットワーク外]として扱い、対応する転送プロファイル アクションを適用します。
- Zscaler Client Connectorは、[VPNによって信頼されたネットワーク]を検出するために、デフォルトのインターフェイスの説明でCisco、Juniper、Fortinet、PanGP、Check Point、VPNという単語を検索します。これらの単語がない場合、アプリはユーザーを[信頼されたネットワーク外]として扱います。
- スプリットトンネルモード
VPNがフルトンネル モードで動作する場合、ユーザーのすべてのトラフィックがVPNクライアントにルーティングされます。たとえば、VPNは10/8や192.168/16などの特定のサブネットにのみルートを設定できます。さらに、VPNは、内部ホストのトラフィックをキャプチャーするようにデバイスにDNSを設定できます。Zscaler Client Connectorはデバイスを[信頼されたネットワーク外]として扱い、そのネットワークに対して選択した転送プロファイル アクションを適用します。より単純な構成のために、Zscalerでは、このシナリオで[ローカル プロキシーを使用したトンネル]または[トンネル] ([パケット フィルター ベース])を選択することをお勧めします。
Zscaler Client Connectorをトンネル モードで実行することを選択し、VPNがスプリット トンネル モードを実行している場合は、アプリがVPNクライアントと相互運用できるようにするための手順を実行する必要があります。詳細は、以下の「トンネル(ルートベース)転送プロファイル アクションの使用に関する推奨事項」を参照してください。
閉じる
- フルトンネルモード
トンネル(ルートベース)転送プロファイル アクションの使用に関する推奨事項
組織で転送プロファイル アクションとして[トンネル(ルートベース)]を使用することにした場合は、さまざまな展開モードに関する次の推奨事項に従って、ユーザーに接続の問題が発生しないようにします。
- フルトンネルモード
VPNがフル トンネル モードで実行されている場合、Zscalerでは、転送プロファイル アクションに[トンネル]([ルートベースの])を選択しないことを強く推奨します。
閉じる - スプリットトンネルモード
VPNがスプリットトンネルモードで動作している場合、次のように操作します。
- VPNゲートウェイ宛てのトラフィックがZscaler Client Connectorをバイパスすることを許可します。
[トンネル]([ルートベースの])を選択し、VPNがスプリット トンネル モードを実行する場合、VPNゲートウェイ宛てのトラフィックがZscaler Client Connectorをバイパスすることを許可した場合にのみ、Zscaler Client Connectorはトラフィックを適切に転送できます。
これを構成するには、アプリ プロファイルを構成する際に、[VPNゲートウェイのホスト名またはIPアドレスのバイパス]のフィールドに、すべてのVPNゲートウェイ用のホスト名とIPアドレスを指定する必要があります。Zscaler Client Connectorは、VPNゲートウェイ宛てのすべてのトラフィックを除外するようにルーティング テーブルを設定し、このトラフィックがアプリ トンネルをバイパスしてVPNに適切に移動できるようにします。
接続の問題を確実に回避するには、これらのホスト名を解決できるすべてのVPNホスト名またはすべてのIPアドレスを含めることが極めて重要です。
閉じる - VPNで使用するDNSが、内部と外部の両方のドメインを解決できることを確認します。
Windows デバイスでは、Zscaler Client Connectorが[トンネル]([ルートベースの])モードで実行する際、アプリはインターフェイスのDNSを100.64.0.3、100.64.0.4、および 100.64.0.5を指すように設定します。ユーザーがVPN接続を開始すると、アプリはこのネットワークの変更を検出し、それに応じて応答します。
VPNクライアントがスプリット トンネル モードで実行されている場合、Zscaler Client Connectorは[信頼されていないネットワーク]用に転送プロファイル アクションを適用します。これは想定される動作ですが、内部ドメインのみを解決するようにDNSを構成したときでも、次のシナリオが発生することがあります。起動時に、VPNクライアントはインターフェイスに独自のDNSを設定し、内部ドメインを解決するための優先DNSにします。Zscaler Client Connectorはこの変更を検出して元に戻すため、100.64.0.3(ZscalerのDNS)が再びユーザー デバイス用の優先DNSになります。ただし、アプリは100.64.0.3に送信されるすべてのDNSクエリーを、元の優先順位付けされたDNS(つまり、VPN クライアント DNS)にリダイレクトします。
この時点で、DNSクエリが外部ドメインに対するものであり、元のVPN DNSが内部ドメインのみを解決するように構成されている場合、DNSクエリは、要求された外部ドメインを解決できるサーバが見つかるまで、優先順位リストの次のDNSにリダイレクトされ続けるはずです。
ただし、一部のWindowsプログラムでは、DNSクエリーが優先度リスト内の次のDNSにリダイレクトされません。このシナリオでは、DNSクエリーは要求された外部ドメインを解決するサーバーを見つけることができず、ユーザーは外部ドメインに到達できません。これを防ぐには、すべてのVPNクライアントが内部ドメインと外部ドメインの両方を解決できるようにDNSを設定してください。
サードパーティーVPNがスプリット トンネル モードで動作する場合は、VPN接続プロファイルでDNS検索ドメインを構成する必要があります。そうしなければ、Zscaler Client Connectorは、VPN接続のDNSリクエストをインターセプトしてシステムDNSサーバーに転送するため、VPNドメインを解決できない可能性があります。
閉じる
- VPNゲートウェイ宛てのトラフィックがZscaler Client Connectorをバイパスすることを許可します。
- ファイアウォール機能
VPNにファイアウォール機能がある場合は、それを無効にするか、ファイアウォールでZscaler Client Connectorを許可リストに登録する必要があります。そうしなければ、VPNファイアウォールがアプリ トンネル プロセスに干渉する可能性があります。
閉じる - 信頼されたネットワーク条件
転送プロファイル用の信頼されたネットワーク条件を構成する際、Zscalerでは、[DNSサーバー]と[DNS検索ドメイン]を選択することを推奨します。詳細は、信頼されたネットワーク条件を参照してください。
閉じる - 一時的なネットワークの不安定さを解消するためのトラブルシューティング
Zscaler Client Connectorの実行中にVPNクライアントが最初に起動すると、ユーザーは一時的にネットワークが不安定になる状況に遭遇する可能性があることに注意してください。
Windowsデバイスでは、Zscaler Client Connectorが[トンネル([ルートベースの])で実行されている場合、アプリはインターフェイスのDNSを100.64.0.3、100.64.0.4および100.64.0.5を指すように設定します。ユーザーがVPN接続を開始すると、アプリはこのネットワークの変更を検出し、それに応じて応答します。VPNクライアントがフルトンネル モードで実行されている場合、アプリは独自のDNS設定をすべて削除して、すべてのトラフィックがVPNに正しく送信されるようにします。VPNクライアントがスプリットトンネル モードで実行されている場合、アプリはDNS設定を再構成して、[信頼されていないネットワーク]の転送プロファイル アクションを適切に適用できるようにします。
これは最終的に予想される結果ですが、ユーザーは一時的なネットワークの不安定性を経験する可能性があります。アプリが独自のDNS設定を削除すると、これはVPNクライアントによってネットワークの変更として検出されます。レスポンスとして、VPNクライアントは切断し、接続の再確立を試みることができます。このプロセスが完了し、アプリとVPNクライアントが平衡に達するまで、ユーザーはいくつかの接続の問題を経験する可能性があります。
閉じる