サイト間 SSL VPN の作成

安全なサイト間 VPN トンネルを、SSL 接続を使って確立しましょう。この VPN を通じて、支社が本社に接続できるようにします。支社にいるユーザーは本社 LAN に接続することができます。

目的

このセクションでは、以下について学びます。
  • LAN を定義する。
  • SSL VPN (サイト間) サーバー接続を追加する。
  • クライアント環境設定ファイルをダウンロードする。
  • SSL VPN (サイト間) クライアント接続を追加する。
  • SSL VPN の設定のトラブルシューティングを行う。

前提条件

始める前に、サーバーにするファイアウォールを選択します。モデルが異なる場合は、より強力なほうをサーバーに選択することが推奨されます。また、一方が動的 IP アドレスを、もう一方が静的 IP アドレスを使用している場合は、静的 IP アドレスのほうをサーバーにします。

LAN の定義

本社ネットワークと支社ネットワーク用のホストを作成しましょう。

次の手順は、本社のファイアウォールで実行します。

  1. 「ホストとサービス」 > 「IP ホスト」に移動して、「追加」をクリックします。
  2. 本社の LAN 用のホストを作成します。
  3. 保存」をクリックします。
  4. 追加」をクリックします。
  5. 支社の LAN 用のホストを作成します。
  6. 保存」をクリックします。

SSL VPN サイト間サーバー接続の追加

接続を作成し、クライアントシステムの設定用のファイルをダウンロードします。

次の手順は、本社のファイアウォールで実行します。

  1. 「VPN」 > 「SSL VPN (サイト間)」に進んでください。
  2. 「サーバー」セクションで、「追加」をクリックします。
  3. トンネルの論理名と、トンネル経由でアクセスされるネットワークを指定します。
  4. 保存」をクリックします。
    接続が作成され、サーバーリストに表示されます。
  5. をクリックし、クライアントシステムの設定用のファイルを保存します。
    必要に応じてファイルを暗号化するためのパスワードを入力することができます。ファイル形式は .apc です。

SSL VPN サイト間クライアント接続の追加

サーバーで作成したファイルを使って、クライアント接続を作成して設定します。

次の手順は、クライアントファイアウォール上で実行します。

  1. 「VPN」 > 「SSL VPN (サイト間)」に進んでください。
  2. 「クライアント」セクションで、「追加」をクリックします。
  3. 設定を指定します。
    オプション説明
    接続名 HQ_to_branch_client
  4. 「ファイルの選択」をクリックし、SSL VPN サーバーからダウンロードしたファイルを選択します。
  5. 保存」をクリックします。

新しい接続がクライアントリストに表示されます。緑の状態インジケータは、トンネルが正常に動作していることを示しています。

VPN 設定のトラブルシューティング

SSL VPN の設定は通常はデフォルトのままにします。変更する可能性がある主な点は、以下の通りです。
  • プロトコル: 通常、TCP のままにします。UDP に変更する場合は、両側で UDP を使用するようにしてください。
  • ホスト名の上書き: システムのホスト名をパブリックにルーティングできない場合は、パブリック IP アドレスをここに追加してください。
  • 暗号化の設定: 必要に応じて、暗号化の設定を変更することができます。トンネルの両側の設定が一致している限り、トンネルの動作には影響しません。
  • SSL VPN トラフィックの圧縮: トンネルを通過するパケットを圧縮し、帯域幅を節約するには、このオプションを有効にします。
  • デバッグモードを有効にする: 接続に問題が発生した場合は、デバッグモードを有効にしてログファイルに詳細情報を出力します。