サイト間 IPsec VPN の作成

本社と支社の間に IPsec VPN を作成して導入しましょう。認証には、事前共有鍵を使用します。

目的

このセクションでは、以下について学びます。
  • 本社の IPsec VPN を設定する。これには、LAN の定義、IPsec 接続の追加、ファイアウォールルールの編集、ファイアウォールルールの作成が含まれます。
  • 支社の IPsec VPN を設定する。
  • 接続を確認する。

本社側での LAN の定義

本社ネットワークと支社ネットワーク用のホストを、本社側で作成します。

  1. ホストとサービス > IP ホストに移動して、追加をクリックします。
  2. 本社の LAN 用のホストを作成します。
    本社 LAN
  3. 保存」をクリックします。
  4. 追加」をクリックします。
  5. 支社の LAN 用のホストを作成します。
    支社 LAN
  6. 保存」をクリックします。

本社での IPsec 接続の追加

本社で IPsec 接続を作成して有効化します。接続を作成するには、エンドポイントの詳細、ネットワークの詳細、事前共有鍵を指定します。

  1. VPN > IPsec 接続に移動して、追加をクリックします。
  2. 全般設定を指定します。

    この接続のファイアウォールルールを作成するために、ファイアウォールルールの作成を有効にします。

    IPsec の全般設定
  3. 暗号化設定を指定します。
    事前共有鍵は後で支社の接続の設定時に必要なので、書き留めておいてください。
    IPsec 暗号化
  4. ローカルゲートウェイを設定します。
    IPsec ローカルゲートウェイ
  5. リモートゲートウェイを設定します。
    リモートゲートウェイの任意のインターフェースに接続できるようにするために、ワイルドカード (*) を指定します。
    Ipsec リモートゲートウェイ
  6. 保存」をクリックします。
    接続が IPsec 接続リストに表示されます。
  7. 状態インジケータ (「非アクティブ」インジケーター) をクリックして接続を有効にします。
    IPsec 接続の一覧

ファイアウォールルールの編集

IPsec 接続の作成時に作成したファイアウォールルールを編集します。このルールは送信 VPN トラフィックに適用されます。

  1. ファイアウォールに移動して、「IPsec HQ to Branch」ルールをクリックします。
    IPsec「本社から支社」ルール
  2. ルール名を変更し、設定を指定します。
    送信 VPN ルール
  3. 保存」をクリックします。

ファイアウォールルールの追加

受信 VPN トラフィックのルールを作成します。

  1. ルールとポリシー > ファイアウォールルールに進んでください。IPv4またはIPv6のプロトコルを選択して、ファイアウォールルールの追加を選択します。新しいファイアウォールルールを選択します
  2. 設定を指定します。
    オプション説明
    ルール名 受信 VPN トラフィック
    送信元ゾーン VPN
    送信元ネットワークとデバイス Branch_LAN
    宛先ゾーン LAN
    宛先ネットワーク HQ_LAN
  3. 保存」をクリックします。

支社側での LAN の定義

支社ネットワークと本社ネットワーク用のホストを、支社側で作成します。

  1. ホストとサービス > IP ホストに移動して、追加をクリックします。
  2. ローカル LAN を設定します。
    オプション説明
    名前 Branch_LAN
    種類 ネットワーク
    IP アドレス 192.168.3.0
  3. リモート LAN を設定します。
    オプション説明
    名前 HQ_LAN
    種類 ネットワーク
    IP アドレス 192.168.2.0

支社での IPsec 接続の追加

支社で IPsec 接続を作成して有効化します。

  1. VPN > IPsec 接続に移動して、追加をクリックします。
  2. 全般設定を指定します。
    オプション説明
    名前 Branch_to_HQ
    接続の種類 サイト間
    ゲートウェイの種類 開始
    ファイアウォールルールの作成 有効
  3. 暗号化設定を指定します。
    オプション説明
    ポリシー DefaultBranchOffice
    認証タイプ 事前共有鍵
  4. 事前共有鍵を入力して確認します。
    本社側と同じ事前共有鍵を使用してください。
  5. ローカルゲートウェイを設定します。
    オプション説明
    リスニングインターフェース Port1 – 10.118.96.115
    ローカルサブネット Branch_LAN
  6. リモートゲートウェイを設定します。
    オプション説明
    ゲートウェイのアドレス *
    リモート ID IP アドレス – 10.118.96.91
    リモートサブネット HQ_LAN
  7. 保存」をクリックします。
    接続が IPsec 接続リストに表示されます。
  8. 状態インジケータ (「非アクティブ」インジケーター) をクリックして接続を有効にします。

ファイアウォールルールの編集

IPsec 接続の作成時に作成したファイアウォールルールを編集します。このルールは送信 VPN トラフィックに適用されます。

  1. 「ファイアウォール」に移動して、「IPsec Branch to HQ」ルールをクリックします。
  2. 設定を指定します。
    オプション説明
    ルール名 送信 VPN トラフィック
    送信元ゾーン LAN
    送信元ネットワークとデバイス Branch_LAN
    宛先ゾーン VPN
    宛先ネットワーク HQ_LAN
  3. 保存」をクリックします。

ファイアウォールルールの追加

受信 VPN トラフィックのルールを作成します。

  1. ルールとポリシー > ファイアウォールルールに進んでください。IPv4またはIPv6のプロトコルを選択して、ファイアウォールルールの追加を選択します。新しいファイアウォールルールを選択します
  2. 設定を指定します。
    オプション説明
    ルール名 受信 VPN トラフィック
    送信元ゾーン VPN
    送信元ネットワークとデバイス HQ_LAN
    宛先ゾーン LAN
    宛先ネットワーク Branch_LAN
  3. 保存」をクリックします。

接続の確認

本社と支社間の双方向の接続を確認します。

  • 本社側で、支社に ping できるかどうかを確認します。
    Windows でコマンドプロンプトを起動し、ping 192.168.3.0 と入力します。
  • 支社から、本社との接続の確認ができます。
    Windows でコマンドプロンプトを起動し、ping 192.168.2.0 と入力します。
  • 本社側でファイアウォールをクリックし、トラフィックを確認します。
  • 支社側でファイアウォールをクリックし、トラフィックを確認します。

本社・支社の構成

本社・支社の構成では、通常、支社側のファイアウォールがトンネルイニシエーター、本社側のファイアウォールがレスポンダーとして動作します。理由は以下の通りです。
  • 支社のデバイスが動的 IP アドレスで構成されている場合、本社のデバイスから接続を開始することはできません。
  • 支社は複数存在する可能性があるので、本社がすべての支社に対して接続を再試行するよりも、支社が接続を再試行することが推奨されます。