サイト間 IPsec VPN の作成

本社と支社の間に IPsec VPN を作成して導入しましょう。認証には、事前共有鍵を使用します。

目的

このセクションでは、以下について学びます。
  • 本社の IPsec VPN を設定する。これには、LAN の定義、IPsec 接続の追加、ファイアウォールルールの編集、ファイアウォールルールの作成が含まれます。
  • 支社の IPsec VPN を設定する。
  • 接続を確認する。

本社側での LAN の定義

本社ネットワークと支社ネットワーク用のホストを、本社側で作成します。

  1. 「ホストとサービス」 > 「IP ホスト」に移動して、「追加」をクリックします。
  2. 本社の LAN 用のホストを作成します。
  3. 保存」をクリックします。
  4. 追加」をクリックします。
  5. 支社の LAN 用のホストを作成します。
  6. 保存」をクリックします。

本社での IPsec 接続の追加

本社で IPsec 接続を作成して有効化します。接続を作成するには、エンドポイントの詳細、ネットワークの詳細、事前共有鍵を指定します。

  1. 「VPN」 > 「IPsec 接続」に移動して、「追加」をクリックします。
  2. 全般設定を指定します。

    この接続のファイアウォールルールを作成するために、ファイアウォールルールの作成を有効にします。

  3. 暗号化設定を指定します。
    注: 事前共有鍵は後で支社の接続の設定時に必要なので、書き留めておいてください。
  4. ローカルゲートウェイを設定します。
  5. リモートゲートウェイを設定します。
    リモートゲートウェイの任意のインターフェースに接続できるようにするために、ワイルドカード (*) を指定します。
  6. 保存」をクリックします。
    接続が IPsec 接続リストに表示されます。
  7. 状態インジケータ () をクリックして接続を有効にします。

ファイアウォールルールの編集

IPsec 接続の作成時に作成したファイアウォールルールを編集します。このルールは送信 VPN トラフィックに適用されます。

  1. 「ファイアウォール」に移動して、「「IPsec HQ to Branch」」ルールをクリックします。
  2. ルール名を変更し、設定を指定します。
  3. 保存」をクリックします。

ファイアウォールルールの追加

受信 VPN トラフィックのルールを作成します。

  1. 「ファイアウォールルールの追加」 > 「ユーザー/ネットワークのルール」の順にクリックします。
  2. 設定を指定します。
    オプション説明
    ルール名 受信 VPN トラフィック
    送信元ゾーン VPN
    送信元ネットワークとデバイス Branch_LAN
    宛先ゾーン LAN
    宛先ネットワーク HQ_LAN
  3. 保存」をクリックします。

支社側での LAN の定義

支社ネットワークと本社ネットワーク用のホストを、支社側で作成します。

  1. 「ホストとサービス」 > 「IP ホスト」に移動して、「追加」をクリックします。
  2. ローカル LAN を設定します。
    オプション説明
    名前 Branch_LAN
    種類 ネットワーク
    IP アドレス 192.168.3.0
  3. リモート LAN を設定します。
    オプション説明
    名前 HQ_LAN
    種類 ネットワーク
    IP アドレス 192.168.2.0

支社での IPsec 接続の追加

支社で IPsec 接続を作成して有効化します。

  1. 「VPN」 > 「IPsec 接続」に移動して、「追加」をクリックします。
  2. 全般設定を指定します。
    オプション説明
    名前 Branch_to_HQ
    接続の種類 サイト間
    ゲートウェイの種類 開始
    ファイアウォールルールの作成 有効
  3. 暗号化設定を指定します。
    オプション説明
    ポリシー DefaultBranchOffice
    認証タイプ 事前共有鍵
  4. 事前共有鍵を入力して確認します。
    注: 本社側と同じ事前共有鍵を使用してください。
  5. ローカルゲートウェイを設定します。
    オプション説明
    リスニングインターフェース Port1 – 10.118.96.115
    ローカルサブネット Branch_LAN
  6. リモートゲートウェイを設定します。
    オプション説明
    ゲートウェイのアドレス *
    リモート ID IP アドレス – 10.118.96.91
    リモートサブネット HQ_LAN
  7. 保存」をクリックします。
    接続が IPsec 接続リストに表示されます。
  8. 状態インジケータ () をクリックして接続を有効にします。

ファイアウォールルールの編集

IPsec 接続の作成時に作成したファイアウォールルールを編集します。このルールは送信 VPN トラフィックに適用されます。

  1. 「ファイアウォール」に移動して、「「IPsec Branch to HQ」」ルールをクリックします。
  2. 設定を指定します。
    オプション説明
    ルール名 送信 VPN トラフィック
    送信元ゾーン LAN
    送信元ネットワークとデバイス Branch_LAN
    宛先ゾーン VPN
    宛先ネットワーク HQ_LAN
  3. 保存」をクリックします。

ファイアウォールルールの追加

受信 VPN トラフィックのルールを作成します。

  1. 「ファイアウォールルールの追加」 > 「ユーザー/ネットワークのルール」の順にクリックします。
  2. 設定を指定します。
    オプション説明
    ルール名 受信 VPN トラフィック
    送信元ゾーン VPN
    送信元ネットワークとデバイス HQ_LAN
    宛先ゾーン LAN
    宛先ネットワーク Branch_LAN
  3. 保存」をクリックします。

接続の確認

本社と支社間の双方向の接続を確認します。

  • 本社側で、支社に ping できるかどうかを確認します。
    Windows でコマンドプロンプトを起動し、ping 192.168.3.0 と入力します。
  • 支社側で、本社に ping できるかどうかを確認します。
    Windows でコマンドプロンプトを起動し、ping 192.168.2.0 と入力します。
  • 本社側で「ファイアウォール」をクリックし、トラフィックを確認します。
  • 支社側で「ファイアウォール」をクリックし、トラフィックを確認します。

本社・支社の構成

本社・支社の構成では、通常、支社側のファイアウォールがトンネルイニシエーター、本社側のファイアウォールがレスポンダーとして動作します。理由は以下の通りです。
  • 支社のデバイスが動的 IP アドレスで構成されている場合、本社のデバイスから接続を開始することはできません。
  • 支社は複数存在する可能性があるので、本社がすべての支社に対して接続を再試行するよりも、支社が接続を再試行することが推奨されます。