ルートベースの VPN の作成

本社 (HO) と支社 (BO) の間にルートベースの VPN (RBVPN) を作成・導入し、両方向でトラフィックを許可したいと考えています。

はじめに

このシナリオでは、支社が接続を開始します。IPv4 を使用し、IPsec プロファイルは IKEv2、認証には RSA 鍵を使用するものとします。また、スタティックルートを追加します。

ここで使用しているネットワークアドレスは単なる例です。ルートベースの VPN を作成する際は、自社のネットワークアドレスを使用してください。

以下の作業を行います。

  • 本社の RBVPN を設定します。LAN の定義、RBVPN トンネルの作成、xfrm インターフェースの編集、送受信トラフィック用のファイアウォールルールの作成、およびスタティックルートの作成を行う必要があります。
  • 支社の RBVPN を設定します。LAN の定義、RBVPN トンネルの作成、xfrm インターフェースの編集、送受信トラフィック用のファイアウォールルールの作成、およびスタティックルートの作成を行う必要があります。

接続を確認することもできます。

ルートベースの VPN のネットワーク図


ルートベースの VPN のネットワーク図

本社・支社の構成

本社・支社の構成では、通常、支社側のファイアウォールがトンネルイニシエーター、本社側のファイアウォールがレスポンダーとして動作します。理由は以下の通りです。理由は以下のとおりです。
  • 支社は複数存在する可能性があるので、本社がすべての支社に対して接続を再試行するよりも、支社が接続を再試行することが推奨されます。
  • 支社のデバイスが動的 IP アドレスで構成されている場合、本社のデバイスから接続を開始することはできません。

    ただし、本社の XG Firewall でダイナミック DNS (DDNS) を設定した場合は、本社のデバイスが接続を開始できます。詳細は、ダイナミック DNS プロバイダーの追加を参照してください。

本社側での LAN の定義

本社ネットワークと支社ネットワーク用のホストを作成します。

  1. ホストとサービス > IP ホストに移動して、追加をクリックします。
  2. ローカル LAN を設定します。
    オプション説明

    名前

    HO_LAN

    IP バージョン

    IPv4

    種類

    ネットワーク

    IP アドレス

    192.168.1.0

    サブネット

    /24 (255.255.255.0)

    例:

    IP ホストの追加
  3. 保存」をクリックします。
  4. 追加」をクリックします。
  5. リモート LAN を設定します。
    オプション説明

    名前

    BO_LAN

    IP バージョン

    IPv4

    種類

    ネットワーク

    IP アドレス

    192.168.3.0

    サブネット

    /24 (255.255.255.0)

  6. 保存」をクリックします。

ルートベースの VPN トンネルの作成 (HO)

ルートベースの VPN トンネルを作成するには、次の手順を実行します。
  1. VPN > IPsec 接続に移動して、追加をクリックします。
  2. 名前を入力します。
  3. 全般設定を指定します。
    ここでは、ルートベースの VPN のファイアウォールルールは作成できません。
    オプション説明

    IP バージョン

    指定された IP バージョンを使用するデータのみが、トンネルを通過できます。

    IPv4 を選択します。

    接続の種類

    トンネルインターフェースを選択します。これにより、2つのエンドポイント間にトンネルインターフェースが作成されます。インターフェースの名前は、xfrm に番号を付与したものとなります。

    ゲートウェイの種類

    以下の種類を選択します。

    応答のみ: 受信要求にいつでも応答できるように接続の準備をします。

    保存時にアクティベート

    このオプションを選択します。「保存」をクリックしたときに、VPN 接続がアクティベートされます。

  4. 暗号化設定を指定します。
    オプション説明

    ポリシー

    トラフィック用の IPsec プロファイル。

    IKEv2を選択します。

    認証タイプ

    以下の種類を選択します。

    RSA 鍵: RSA 鍵を使用してエンドポイントを認証します。

    ローカルの RSA 鍵は自動的に生成されます。支社の XG Firewall から RSA 鍵をコピーして貼り付ける必要があります。

  5. ローカルゲートウェイを設定します。
    オプション説明

    リスニングインターフェース

    接続リクエストを待機するインターフェース。

    WAN インターフェース (Port2-172.20.120.10) を選択します。

  6. リモートゲートウェイを設定します。
    オプション説明

    ゲートウェイのアドレス

    支社の XG Firewall の WAN IP アドレス (172.20.120.15) を入力します。

    ワイルドカード * はルートベースの VPN ではサポートされていないため、ゲートウェイアドレスを入力する必要があります。この例では、支社の XG Firewall の WAN IP を使用しています。DDNS を設定する場合は、支社の XG Firewall の DNS アドレスを使用できます。

    例:

  7. 保存」をクリックします。

IPsec ポリシーに移動し、デッドピア検知が有効になっていることを確認します。ピア (支社) に到達できない場合は、以下のいずれかのアクションを選択することを推奨します。

  • 保留
  • 切断

xfrm インターフェースの編集 (HO)

xfrm インターフェースは、ルートベースの VPN 接続を設定したときに WAN インターフェースに自動的に作成される仮想トンネルインターフェースです。

  1. ネットワーク > インターフェースに進んでください。
  2. IP アドレスとサブネットを指定します。

    3.3.3.3/24

    例:

  3. 保存」をクリックします。

ファイアウォールルールの追加 (HO)

受信および送信 VPN トラフィックのファイアウォールルールを作成します。

  1. ルールとポリシー > ファイアウォールルールに進んでください。IPv4プロトコルを選択し、ファイアウォールルールの追加を選択します。新しいファイアウォールルールを選択します
  2. 設定を指定します。
    オプション説明
    ルール名 Inbound_Allow
    送信元ゾーン VPN
    送信元ネットワークとデバイス BO_LAN
    宛先ゾーン LAN
    宛先ネットワーク HO_LAN

    例:

  3. ファイアウォールトラフィックのログ」を選択します。
  4. 保存」をクリックします。
  5. IPv4プロトコルを選択し、ファイアウォールルールの追加を選択します。新しいファイアウォールルールを選択します
  6. 設定を指定します。
    オプション説明
    ルール名

    Outbound_Allow

    送信元ゾーン

    LAN

    送信元ネットワークとデバイス

    HO_LAN

    宛先ゾーン

    VPN

    宛先ネットワーク

    BO_LAN

  7. ファイアウォールトラフィックのログ」を選択します。
  8. 保存」をクリックします。

スタティックルートの追加 (HO)

  1. ルーティング > スタティックルーティングにアクセスし、IPv4 ユニキャストルート追加をクリックします。
  2. 以下のルーティングの詳細を入力します。
    オプション説明

    宛先 IP/ネットマスク

    192.168.3.0/24

    インターフェース

    xfrm1-3.3.3.3

    例:

  3. 保存」をクリックします。

支社側での LAN の定義

支社ネットワークと本社ネットワーク用のホストを作成します。

  1. ホストとサービス > IP ホストに移動して、追加をクリックします。
  2. ローカル LAN を設定します。
    オプション説明

    名前

    BO_LAN

    種類

    ネットワーク

    IP アドレス

    192.168.3.0

    サブネット

    /24 (255.255.255.0)

  3. リモート LAN を設定します。
    オプション説明

    名前

    HO_LAN

    種類

    ネットワーク

    IP アドレス

    192.168.1.0

    サブネット

    /24 (255.255.255.0)

ルートベースの VPN トンネルの作成 (BO)

ルートベースの VPN トンネルを作成するには、次の手順に従います。
  1. VPN > IPsec 接続に移動して、追加をクリックします。
  2. 名前を入力します。
  3. 全般設定を指定します。
    オプション説明
    IP バージョン

    指定された IP バージョンを使用するデータのみが、トンネルを通過できます。

    IPv4 を選択します。

    接続の種類

    トンネルインターフェースを選択します。これにより、2つのエンドポイント間にトンネルインターフェースが作成されます。インターフェースの名前は、xfrm に番号を付与したものとなります。

    ゲートウェイの種類

    以下の種類を選択します。

    接続を開始: VPN サービスまたはデバイスを再起動するたびに接続が確立されます。
    保存時にアクティベート このオプションを選択します。「保存」をクリックしたときに、VPN 接続がアクティベートされます。
  4. 暗号化設定を指定します。
    オプション説明
    ポリシー トラフィック用の IPsec プロファイル。

    IKEv2を選択します。

    認証タイプ

    以下の種類を選択します。

    RSA 鍵: RSA 鍵を使用してエンドポイントを認証します。

    ローカルの RSA 鍵は自動的に生成されます。本社の XG Firewall から RSA 鍵をコピーして貼り付ける必要があります。

  5. ローカルゲートウェイを設定します。
    オプション説明
    リスニングインターフェース 接続リクエストを待機するインターフェース。

    WAN インターフェース (Port2-172.20.120.15) を選択します。

  6. リモートゲートウェイを設定します。
    オプション説明
    ゲートウェイのアドレス 本社の XG Firewall の WAN IP アドレス (172.20.120.10) を入力します。
    ワイルドカード * はルートベースの VPN ではサポートされていないため、ゲートウェイアドレスを入力する必要があります。この例では、本社の XG Firewall の WAN IP を使用しています。
  7. 保存」をクリックします。

IPsec ポリシーに移動し、デッドピア検知が有効になっていることを確認します。ピア (本社) に到達できない場合に実行するアクションとして、次のオプションを選択します: 再開

xfrm インターフェースの編集 (BO)

xfrm インターフェースは、ルートベースの VPN 接続を設定したときに WAN インターフェースに自動的に作成される仮想トンネルインターフェースです。

  1. ネットワーク > インターフェースに進んでください。
  2. IP アドレスとサブネットを指定します。

    3.3.3.4/24

  3. 保存」をクリックします。

ファイアウォールルールの追加 (BO)

受信および送信 VPN トラフィックのファイアウォールルールを作成します。

  1. ルールとポリシー > ファイアウォールルールに進んでください。IPv4プロトコルを選択し、ファイアウォールルールの追加を選択します。新しいファイアウォールルールを選択します
  2. 設定を指定します。
    オプション説明

    ルール名

    Inbound_Allow

    送信元ゾーン

    VPN

    送信元ネットワークとデバイス

    HO_LAN

    宛先ゾーン

    LAN

    宛先ネットワーク

    BO_LAN

  3. ファイアウォールトラフィックのログ」を選択します。
  4. 保存」をクリックします。
  5. IPv4プロトコルを選択し、ファイアウォールルールの追加を選択します。新しいファイアウォールルールを選択します
  6. 設定を指定します。
    オプション説明

    ルール名

    Outbound_Allow

    送信元ゾーン

    LAN

    送信元ネットワークとデバイス

    BO_LAN

    宛先ゾーン

    VPN

    宛先ネットワーク

    HO_LAN

  7. 保存」をクリックします。

スタティックルートの追加 (BO)

  1. ルーティング > スタティックルーティングにアクセスし、IPv4 ユニキャストルート追加をクリックします。
  2. 以下のルーティングの詳細を入力します。
    オプション説明

    宛先 IP/ネットマスク

    192.168.1.0/24

    インターフェース

    xfrm1-3.3.3.4

  3. 保存」をクリックします。

接続の確認

  • 管理 > デバイスのアクセスに進んでください。VPN ゾーンの場合は、Ping/Ping6を選択します。
  • ルールとポリシー > ファイアウォールルールに進んでください。作成したファイアウォールルールでファイアウォールトラフィックのログが有効になっていることを確認します。

本社側で、以下の操作を行います。

  1. 支社の LAN 上のデバイスに対して継続的に ping を実行します。
    Windows でコマンドプロンプトを起動し、次のように入力します: ping 192.168.3.10 -t
  2. XG Firewall診断 > パケットキャプチャ > 設定にアクセスします。
    BPF 文字列に次のように入力します: host 192.168.1.10 and proto ICMP
  3. 保存」をクリックします。
  4. パケットキャプチャをオンにします。
    ping が成功すると、xfrm インターフェースから送信される ICMP トラフィックが表示されます。
  5. ログビューアに移動します。
    192.168.1.10 を検索します
    ping が成功すると、xfrm インターフェースから宛先 IP アドレス 192.160.1.10 への ICMP トラフィックが表示されます。

さらに詳しくトラブルシューティングを行うには、ファイアウォールルール ID を選択して、ファイアウォールルールのフィルタリングを選択します。こうすると、Web 管理コンソールでファイアウォールルールが開き、設定を確認できます。