サイト間 IPsec VPN 接続の NAT 設定

はじめに

XG Firewall の背後にあるローカルサブネットが重複している場合に、IPsec VPN に NAT を設定して、これらのサブネットを区別する方法を説明します。

以下の内容について説明します。

  • XG Firewall 1 の設定。
  • XG Firewall 2 の設定。
  • IPsec 接続の確立。
  • トラフィックフローの確認。
  • 追加情報。

以下のネットワーク図に示されている情報を前提とします。


サイト間 IPsec NAT のネットワーク図

XG Firewall 1 の設定

サイト間接続トラフィックを NAT 変換するように 1つ目の XG Firewall を設定します。

  1. ホストとサービス > IP ホストにアクセスして追加を選択し、ローカル LAN を作成します。

    ローカル LAN の IP ホストの設定 - XG 1
  2. ホストとサービス > IP ホストにアクセスして追加を選択し、NAT を適用したローカル LAN を作成します。

    NAT を適用したローカル LAN の IP ホストの設定 - XG 1
  3. ホストとサービス > IP ホストにアクセスして追加を選択し、NAT を適用したリモート LAN を作成します。

    NAT を適用したリモート LAN の IP ホストの設定 - XG 1
  4. VPN > IPsec 接続にアクセスして、追加を選択します。
  5. IPsec 接続を以下のように設定します。

    XG 1 の IPsec の設定
  6. 保存をクリックします。
  7. 状態インジケータ (「非アクティブ」インジケーター) をクリックして接続を有効にします。

    XG 1 での IPsec 接続のアクティベート
  8. ルールとポリシー > ファイアウォールルールにアクセスして、ファイアウォールルールの追加をクリックします。
  9. 以下の 2つのルールを作成します。

    受信トラフィックを許可するルール。


    受信用のファイアウォールルール - XG 1

    送信トラフィックを許可するルール。


    送信用のファイアウォールルール - XG 1
    VPN ファイアウォールルールがファイアウォールルールリストの一番上に配置されていることを確認してください。

XG Firewall 2 の設定

サイト間接続トラフィックを NAT 変換するように 2つ目の XG Firewall を設定します。

  1. ホストとサービス > IP ホストにアクセスして追加を選択し、ローカル LAN を作成します。

    ローカル LAN の IP ホストの設定 - XG 2
  2. ホストとサービス > IP ホストにアクセスして追加を選択し、NAT を適用したローカル LAN を作成します。

    NAT を適用したローカル LAN の IP ホストの設定 - XG 2
  3. ホストとサービス > IP ホストにアクセスして追加を選択し、NAT を適用したリモート LAN を作成します。

    NAT を適用したリモート LAN の IP ホストの設定 - XG 2
  4. VPN > IPsec 接続にアクセスして、追加を選択します。
  5. IPsec 接続を以下のように設定します。

    XG 2 の IPsec の設定
  6. 保存をクリックします。
  7. 状態インジケータ (「非アクティブ」インジケーター) をクリックして接続を有効にします。

    XG 2 での IPsec 接続のアクティベート
  8. ルールとポリシー > ファイアウォールルールにアクセスして、ファイアウォールルールの追加をクリックします。
  9. 以下の 2つのルールを作成します。

    受信トラフィックを許可するルール。


    受信用のファイアウォールルール - XG 2

    送信トラフィックを許可するルール。


    送信用のファイアウォールルール - XG 2
    VPN ファイアウォールルールがファイアウォールルールリストの一番上に配置されていることを確認してください。

IPsec 接続の確立

本社と支社の両方の XG Firewall デバイスを設定したら、IPsec 接続を確立します。

  1. VPN > IPsec 接続に進んでください。
  2. 状態インジケータ (「非アクティブ」インジケーター) をクリックして接続を有効にします。

    アクティブな IPsec 接続
    接続が確立すると、インジケータが緑色に変わります。

    IPSec 接続を構築しました

トラフィックフローの確認

  1. VPN 接続を通過するトラフィックを生成します。
  2. ルールとポリシー > ファイアウォールルールに進んでください。
  3. 前の手順で作成したファイアウォールルールによって、両方向のトラフィックフローが許可されていることを確認します。

    ファイアウォールルールがトラフィックを許可していることの確認
  4. レポート > VPNにアクセスし、IPsec の使用状況を確認します。

    IPsec トラフィックのレポート
  5. 接続名をクリックすると詳細が表示されます。

    IPSec 接続の詳細レポート

追加情報

本社・支社の構成では、通常、支社側の XG Firewall がトンネルイニシエーター、本社側の XG Firewall がレスポンダーとして動作します。理由は以下の通りです。

  • 支社のデバイスが動的 IP アドレスで構成されている場合、本社のデバイスから接続を開始することはできません。
  • 支社は複数存在する可能性があるので、本社がすべての支社に対して接続を再試行するよりも、支社が接続を再試行することが推奨されます。

ここでは、1:1 NAT の例を示しています。ネットワークの要件に応じて、1:n NAT (SNAT) またはフル NAT を設定することもできます。