コンテンツにスキップ

ポリシーベースの IPsec VPN の作成

本社と支社の間に IPsec VPN を作成・設定できます。

はじめに

本社と支社のファイアウォールで、以下の設定を行ってください。

  • 前提条件: ローカルおよびリモートサブネットの IP ホストを設定します。
  • IPsec VPN 接続を設定します。
  • 任意: 自動生成されたファイアウォールルールを編集し、送信トラフィック専用のルールを作成します。
  • 任意: 受信トラフィック専用のファイアウォールルールを、必要に応じて作成します。
  • サービスへのアクセスを許可します。
  • 接続を確認する。

この例では、認証に事前共有鍵を使用します。

本社側での LAN の定義

本社ネットワークと支社ネットワーク用のホストを、本社側で作成します。

  1. ホストとサービス > IP ホスト」に移動し、「追加」をクリックします。
  2. 本社の LAN 用のホストを作成します。

    IP ホストを作成します

  3. 保存」をクリックします。

  4. 追加」をクリックします。
  5. 支社の LAN 用のホストを作成します。

    IP ホストを作成します

  6. 保存」をクリックします。

本社での IPsec 接続の追加

本社で IPsec 接続を作成して有効化します。接続を作成するには、エンドポイントの詳細、ネットワークの詳細、事前共有鍵を指定します。

  1. サイト間 VPN > IPsec」に移動し、「追加」をクリックします。
  2. 全般設定を指定します。この接続用のファイアウォールルールを作成するには、「ファイアウォールルールの作成」を選択します。

    全般設定

  3. 暗号化設定を指定します。

    事前共有鍵をメモしておいてください。後で支社側で接続を設定するときに必要になります。

    暗号化の設定

  4. ローカルゲートウェイを設定します。

    ローカルゲートウェイの設定

  5. リモートゲートウェイを設定します。任意のリモートゲートウェイインターフェースとの接続を確立するには、ワイルドカード (*) を指定します。リモートゲートウェイの設定にワイルドカードを使用した場合は、すべての IPsec 接続に同じ事前共有鍵を使用してください。

    リモートゲートウェイの設定

  6. 保存」をクリックします。
    接続が IPsec 接続リストに表示されます。

  7. 「ステータス」ボタン 接続の有効/無効を切り替えるボタン をクリックして接続を有効にします。

    接続の有効化

ファイアウォールルールの編集

VPN の送信トラフィック用のルールを設定する場合は、IPsec 接続の作成時に作成したファイアウォールルールを編集します。

  1. ルールとポリシー > ファイアウォールルール」に移動し、IPsec HQ to Branch ルールをクリックします。

    ルールを選択します

  2. 必要に応じて、ルール名を変更します。

  3. 設定を指定します。

    名前を変更し、設定を指定します

  4. 保存」をクリックします。

ファイアウォールルールの追加

受信 VPN トラフィックのルールを作成します。

  1. ルールとポリシー > ファイアウォールルール」に移動し、「IPv4」または「IPv6」を選択して、「ファイアウォールルールの追加」をクリックします。「新しいファイアウォールルール」を選択します。
  2. 設定を指定します。

    オプション 設定
    ルール名 Inbound VPN traffic
    送信元ゾーン VPN
    送信元ネットワークとデバイス Branch_LAN
    宛先ゾーン LAN
    宛先ネットワーク HQ_LAN
  3. 保存」をクリックします。

本社のファイアウォールでサービスへのアクセスを許可する

  1. 管理 > デバイスのアクセス」に移動します。
  2. Ping/Ping6」の「VPN」を選択します。
    ユーザーが VPN 経由でファイアウォールの IP アドレスに ping を実行し、接続を確認することができます。
  3. 適用」をクリックします。

支社側での LAN の定義

支社ネットワークと本社ネットワーク用のホストを、支社側で作成します。

  1. ホストとサービス > IP ホスト」に移動し、「追加」をクリックします。
  2. ローカル LAN を設定します。

    オプション 設定
    名前 Branch_LAN
    種類 ネットワーク
    IP アドレス 192.168.3.0
  3. リモート LAN を設定します。

    オプション 設定
    名前 HQ_LAN
    種類 ネットワーク
    IP アドレス 192.168.2.0

支社での IPsec 接続の追加

支社で IPsec 接続を作成して有効化します。

  1. サイト間 VPN > IPsec」に移動し、「追加」をクリックします。
  2. 全般設定を指定します。

    オプション 設定
    名前 Branch_to_HQ
    接続の種類 サイト間
    ゲートウェイの種類 開始
    ファイアウォールルールの作成 有効
  3. 暗号化設定を指定します。

    オプション 設定
    プロファイル DefaultBranchOffice
    認証タイプ 事前共有鍵
  4. 事前共有鍵を入力して確認します。

    本社側と同じ事前共有鍵を使用してください。

  5. ローカルゲートウェイを設定します。

    オプション 設定
    リスニングインターフェース Port1 – 10.118.96.115
    ローカルサブネット Branch_LAN
  6. リモートゲートウェイを設定します。

    オプション 設定
    ゲートウェイのアドレス *
    リモート ID IP アドレス: 10.118.96.91
    リモートサブネット HQ_LAN
  7. 保存」をクリックします。接続が IPsec 接続リストに表示されます。

  8. ステータスボタン 接続の有効/無効を切り替えるボタン をクリックして接続を有効にします。

ファイアウォールルールの編集

VPN の送信トラフィック用のルールを設定する場合は、IPsec 接続の作成時に作成したファイアウォールルールを編集します。

  1. ルールとポリシー > ファイアウォールルール」に移動し、IPsec Branch to HQ ルールをクリックします。
  2. 設定を指定します。

    オプション 設定
    ルール名 Outbound VPN traffic
    送信元ゾーン LAN
    送信元ネットワークとデバイス Branch_LAN
    宛先ゾーン VPN
    宛先ネットワーク HQ_LAN
  3. 保存」をクリックします。

ファイアウォールルールの追加

受信 VPN トラフィックのルールを作成します。

  1. ルールとポリシー > ファイアウォールルール」に移動し、「IPv4」または「IPv6」を選択して、「ファイアウォールルールの追加」をクリックします。「新しいファイアウォールルール」を選択します。
  2. 設定を指定します。

    オプション 設定
    ルール名 受信 VPN トラフィック
    送信元ゾーン VPN
    送信元ネットワークとデバイス HQ_LAN
    宛先ゾーン LAN
    宛先ネットワーク Branch_LAN
  3. 保存」をクリックします。

サービスへのアクセスを許可する

  1. 管理 > デバイスのアクセス」に移動します。
  2. Ping/Ping6」の「VPN」を選択します。
    ユーザーが VPN 経由でファイアウォールの IP アドレスに ping を実行し、接続を確認することができます。
  3. 適用」をクリックします。

接続の確認

本社と支社間の双方向の接続を確認します。

  • 本社側で、支社に ping できるかどうかを確認します。たとえば、Windows でコマンドプロンプトを起動し、以下のコマンドを入力します: ping 192.168.3.0
  • 支社側で、本社に ping できるかどうかを確認します。たとえば、Windows でコマンドプロンプトを起動し、以下のコマンドを入力します: ping 192.168.2.0
  • 本社側で「ファイアウォール」をクリックし、トラフィックを確認します。
  • 支社側で「ファイアウォール」をクリックし、トラフィックを確認します。

本社・支社の構成

本社・支社の構成では、通常、支社側のファイアウォールがトンネルイニシエーター、本社側のファイアウォールがレスポンダーとして動作します。理由は以下の通りです。

  • 支社のファイアウォールに動的 IP アドレスが設定されている場合、本社のデバイスから接続を開始することはできません。
  • 支社は複数存在する可能性があるので、本社がすべての支社に対して接続を再試行するよりも、支社が接続を再試行することが推奨されます。

その他のリソース