コンテンツにスキップ

ルーターの背後にあるファイアウォールとの IPsec VPN

ルーターの背後にあるファイアウォールとの IPsec VPN 接続を設定できます。

ここでは、本社のファイアウォールがルーターの背後にあり、パブリック IP アドレスがない例を取り上げます。この場合、本社および支社で、以下の設定を行う必要があります。

  1. ファイアウォールの前提条件: ローカルおよびリモートサブネットの IP ホストを設定します。
  2. IPsec VPN 接続を設定します。
  3. 任意: 自動生成されたファイアウォールルールを編集し、送信トラフィック専用のルールを作成します。
  4. 任意: 受信トラフィック専用のファイアウォールルールを、必要に応じて作成します。
  5. サービスへのアクセスを許可します。
  6. ルーターを設定します。
  7. 接続を確認する。
  8. ログを確認します。

ネットワーク構成の例を以下に示します。

NAT トラバーサルのネットワーク図。

本社のファイアウォールを設定する

IPsec 接続およびファイアウォールルールを設定します。

IPsec 接続の追加

本社で IPsec 接続を作成して有効化します。

  1. サイト間 VPN > IPsec」に移動し、「追加」をクリックします。
  2. 名前を入力します。
  3. 保存時にアクティベート」を選択します。
  4. ファイアウォールルールの作成」を選択します。
  5. 接続の種類」で「サイト間」を選択します。
  6. ゲートウェイの種類」で「応答のみ」を選択します。

    次に例を示します。

    全般設定。

  7. プロファイル」で「DefaultHeadOffice」を選択します。

  8. 認証の種類」で「事前共有鍵」を選択します。
  9. 鍵を入力して、確認します。

    次に例を示します。

    暗号化の設定。

  10. リスニングインターフェース」で、ローカルファイアウォールの WAN ポートを選択します (例: 10.10.10.2)。

  11. ゲートウェイの設定」で、リモートファイアウォールの WAN ポートを入力します (例: 203.0.113.10)。
  12. ローカルサブネット」で、192.168.2.0 用に作成した IP ホストを選択します。
  13. リモートサブネット」で、192.168.3.0 用に作成した IP ホストを選択します。
  14. 保存」をクリックします。

    次に例を示します。

    ゲートウェイの設定。

ファイアウォールルールの編集

VPN の送信トラフィック専用のファイアウォールルールを設定するには、自動生成されたファイアウォールルールを編集します。または、VPN トラフィック用のファイアウォールルールがすでにある場合は、設定を確認します。

  1. ルールとポリシー > ファイアウォールルール」に移動します。
  2. ルールグループ「Automatic VPN rules」をクリックし、作成済みのルールをクリックします。

    次に例を示します。

    ファイアウォールルールをクリックします。

  3. 次の設定を指定します。

    オプション 設定
    ルール名 Outbound VPN traffic
    送信元ゾーン LAN
    送信元ネットワークとデバイス HQ_LAN
    宛先ゾーン VPN
    宛先ネットワーク Branch_LAN
    サービス 任意
  4. 保存」をクリックします。

    次に例を示します。

    送信方向のファイアウォールルール。

ファイアウォールルールの追加

VPN の受信トラフィック用のファイアウォールルールがない場合は、作成します。

  1. ルールとポリシー > ファイアウォールルール」に移動します。
  2. ファイアウォールルールの追加」をクリックして、「新しいファイアウォールルール」を選択します。
  3. 次の設定を指定します。

    オプション 設定
    ルール名 Inbound VPN traffic
    送信元ゾーン VPN
    送信元ネットワークとデバイス Branch_LAN
    宛先ゾーン LAN
    宛先ネットワーク HQ_LAN
    サービス 任意
  4. 保存」をクリックします。

    次に例を示します。

    受信方向のファイアウォールルール。

本社のファイアウォールでサービスへのアクセスを許可する

  1. 管理 > デバイスのアクセス」に移動します。
  2. Ping/Ping6」の「VPN」を選択します。
    ユーザーが VPN 経由でファイアウォールの IP アドレスに ping を実行し、接続を確認することができます。
  3. 適用」をクリックします。

ルーターを設定する

次の手順を実行します。

  1. ルーターの DNAT ルールを設定し、VPN トラフィックを許可します。
    1. 変換前の宛先を、ルーターの WAN インターフェースに設定します (例: 203.0.113.1)。
    2. 変換後の宛先を、ローカルファイアウォールの WAN インターフェースに設定します (例: 10.10.10.2)。
  2. 以下のサービスを許可します。
    1. UDP ポート 500
    2. UDP ポート 4500
    3. IP プロトコル 50

支社のファイアウォールを設定する

IPsec 接続およびファイアウォールルールを設定します。

IPsec 接続の追加

支社で IPsec 接続を作成して有効化します。

  1. サイト間 VPN > IPsec」に移動し、「追加」をクリックします。
  2. 名前を入力します。
  3. 保存時にアクティベート」を選択します。
  4. ファイアウォールルールの作成」を選択します。
  5. 接続の種類」で「サイト間」を選択します。
  6. ゲートウェイの種類」で「接続を開始」を選択します。

    次に例を示します。

    全般設定。

  7. プロファイル」で「DefaultBranchOffice」を選択します。

  8. 認証の種類」で「事前共有鍵」を選択します。
  9. 鍵を入力して、確認します。

    次に例を示します。

    暗号化の設定。

  10. リスニングインターフェース」で、ローカルファイアウォールの WAN ポート (203.0.113.10) を選択します。

  11. ゲートウェイの設定」で、本社のルーターの WAN ポート (203.0.113.1) を入力します。
  12. ローカルサブネット」で、192.168.2.0 用に作成した IP ホストを選択します。
  13. リモートサブネット」で、192.168.3.0 用に作成した IP ホストを選択します。
  14. 保存」をクリックします。

    ゲートウェイの設定。

ファイアウォールルールの編集

VPN の送信トラフィック専用のファイアウォールルールを設定するには、自動生成されたファイアウォールルールを編集します。 または、VPN トラフィック用のファイアウォールルールがすでにある場合は、設定を確認します。

  1. ルールとポリシー > ファイアウォールルール」に移動します。
  2. ルールグループ「Automatic VPN rules」をクリックし、作成済みのルールをクリックします。

    次に例を示します。

    ファイアウォールルールをクリックします。

  3. 次の設定を指定します。

    オプション 設定
    ルール名 Outbound VPN traffic
    送信元ゾーン LAN
    送信元ネットワークとデバイス Branch_LAN
    宛先ゾーン VPN
    宛先ネットワーク HQ_LAN
    サービス 任意
  4. 保存」をクリックします。

    次に例を示します。

    送信方向のファイアウォールルール。

ファイアウォールルールの追加

VPN の受信トラフィック用のファイアウォールルールがない場合は、作成します。

  1. ルールとポリシー > ファイアウォールルール」に移動します。
  2. ファイアウォールルールの追加」をクリックして、「新しいファイアウォールルール」を選択します。
  3. 次の設定を指定します。

    オプション 設定
    ルール名 Inbound VPN traffic
    送信元ゾーン VPN
    送信元ネットワークとデバイス HQ_LAN
    宛先ゾーン LAN
    宛先ネットワーク Branch_LAN
    サービス 任意
  4. 保存」をクリックします。

    次に例を示します。

    送信方向のファイアウォールルール。

本社のファイアウォールでサービスへのアクセスを許可する

  1. 管理 > デバイスのアクセス」に移動します。
  2. Ping/Ping6」の「VPN」を選択します。
    ユーザーが VPN 経由でファイアウォールの IP アドレスに ping を実行し、接続を確認することができます。
  3. 適用」をクリックします。

接続を確認する

本社と支社の間の VPN 接続を確認します。

  • 本社のファイアウォール: 支社のサブネットに ping を実行します。たとえば、Windows のコマンドプロンプトで以下のコマンドを入力します: ping 192.168.3.0
  • 支社のファイアウォール: 本社のサブネットに ping を実行します。たとえば、Windows のコマンドプロンプトで以下のコマンドを入力します: ping 192.168.2.0

ログを確認する

本社のファイアウォールのログに、ファイアウォールの手前に NAT デバイスがあることが示されています。

支社のファイアウォールのログに、本社のファイアウォールの手前に NATデバイスがあることが示されています。

その他のリソース