ルートベースの VPN

ルートベースの VPN をポリシーベースの VPN の代わりに使用することができます。ルートベースの VPN では、VPN のエンドポイントとして仮想トンネルインターフェースを使用します。

ポリシーベースの VPN では、ルーティングテーブルは使用せず、ポリシーベースルーティングと同様のポリシーを使用して、IP トラフィックを VPN トンネル経由で送信するかどうかを決定します。ルーティングポリシーは、ルーティングテーブルよりも優先されます。ネットワーク環境が変化する場合、既存のポリシーを常にチェックして、VPN の接続を更新する必要があります。

ルートベースの VPN では、トラフィックを VPN トンネルに送信するかどうかをルーティングテーブルで定義します。ルーティングテーブルを使用するには、各エンドポイントデバイス (この場合は XG Firewall デバイス) に仮想トンネルインターフェース (VTI) を割り当てます。これにより、2つのインターフェイスを接続するのと同じように、トンネルがセットアップされます。トンネルインターフェースは、他の仮想ネットワークインターフェースと同様に使用できます。たとえば、スタティックルートやポリシーベースのルートを設定できます。

それぞれの仮想トンネルインターフェースは、1つのトンネルと、1つの XG Firewall デバイスおよびその暗号化ドメインに関連付けられます。ピアの XG Firewall も、トンネルインターフェースを使用する必要があります。ピアデバイスの暗号化ドメイン宛てのトラフィックはすべて、関連付けられたトンネルインターフェースにルーティングされます。

ルートベースの VPN を設定するには、次の手順を実行します。

  1. XG Firewall に IPsec 接続を追加し、接続の種類を トンネルインターフェース に設定し、WAN インターフェースをリスニングポートとして使用します。
  2. 自動的に作成されたトンネルインターフェース (xfrm) に、IP アドレスを割り当てます。
  3. 必要なファイアウォールルールまたは NAT ルールを追加します。
  4. 仮想トンネルインターフェースを使用して、スタティックルート、ダイナミックルート、または SD-WAN ルートを作成します。
  5. ピア XG Firewall に対して上記の 4つの手順を繰り返します。

通常、ルートベースの VPN トンネルはポリシーベースの VPN トンネルと連係動作しないため、混在させないようにしてください。