コンテンツにスキップ

ルーターの背後にあるファイアウォールとの IPsec VPN

ルーターの背後にあるファイアウォールとの IPsec VPN 接続を設定できます。

ここでは、本社のファイアウォールがルーターの背後にあり、パブリック IP アドレスがない例を取り上げます。この場合、本社および支社で、以下の設定を行う必要があります。

  1. ファイアウォールの前提条件: ローカルおよびリモートサブネットの IP ホストを設定します。
  2. IPsec VPN 接続を設定します。
  3. 任意: 自動生成されたファイアウォールルールを編集し、送信トラフィック専用のルールを作成します。
  4. 任意: 受信トラフィック専用のファイアウォールルールを、必要に応じて作成します。
  5. サービスへのアクセスを許可します。
  6. ルーターを設定します。
  7. 接続を確認する。
  8. ログを確認します。

ネットワーク構成の例を以下に示します。

NAT トラバーサルのネットワーク図

本社のファイアウォールを設定する

IPsec 接続およびファイアウォールルールを設定します。

IPsec 接続の追加

本社で IPsec 接続を作成して有効化します。

  1. サイト間 VPN > IPsec」に移動し、「追加」をクリックします。
  2. 名前を入力します。
  3. 保存時にアクティベート」を選択します。
  4. ファイアウォールルールの作成」を選択します。
  5. 接続の種類」で「サイト間」を選択します。
  6. ゲートウェイの種類」で「応答のみ」を選択します。

    次に例を示します。

    全般設定

  7. プロファイル」で「DefaultHeadOffice」を選択します。

  8. 認証の種類」で「事前共有鍵」を選択します。
  9. 鍵を入力して、確認します。

    次に例を示します。

    暗号化の設定

  10. リスニングインターフェース」で、ローカルファイアウォールの WAN ポートを選択します (例: 10.10.10.2)。

  11. ゲートウェイの設定」で、リモートファイアウォールの WAN ポートを入力します (例: 203.0.113.10)。
  12. ローカルサブネット」で、192.168.2.0 用に作成した IP ホストを選択します。
  13. リモートサブネット」で、192.168.3.0 用に作成した IP ホストを選択します。
  14. 保存」をクリックします。

    次に例を示します。

    ゲートウェイの設定

ファイアウォールルールの編集

VPN の送信トラフィック専用のファイアウォールルールを設定するには、自動生成されたファイアウォールルールを編集します。または、VPN トラフィック用のファイアウォールルールがすでにある場合は、設定を確認します。

  1. ルールとポリシー > ファイアウォールルール」に移動します。
  2. ルールグループ「Automatic VPN rules」をクリックし、作成済みのルールをクリックします。

    次に例を示します。

    ファイアウォールルールをクリックします

  3. 次の設定を指定します。

    オプション 設定
    ルール名 Outbound VPN traffic
    送信元ゾーン LAN
    送信元ネットワークとデバイス HQ_LAN
    宛先ゾーン VPN
    宛先ネットワーク Branch_LAN
    サービス 任意
  4. 保存」をクリックします。

    次に例を示します。

    送信方向のファイアウォールルール

ファイアウォールルールの追加

VPN の受信トラフィック用のファイアウォールルールがない場合は、作成します。

  1. ルールとポリシー > ファイアウォールルール」に移動します。
  2. ファイアウォールルールの追加」をクリックして、「新しいファイアウォールルール」を選択します。
  3. 次の設定を指定します。

    オプション 設定
    ルール名 Inbound VPN traffic
    送信元ゾーン VPN
    送信元ネットワークとデバイス Branch_LAN
    宛先ゾーン LAN
    宛先ネットワーク HQ_LAN
    サービス 任意
  4. 保存」をクリックします。

    次に例を示します。

    受信方向のファイアウォールルール

本社のファイアウォールでサービスへのアクセスを許可する

  1. 管理 > デバイスのアクセス」に移動します。
  2. Ping/Ping6」の「VPN」を選択します。
    ユーザーが VPN 経由でファイアウォールの IP アドレスに ping を実行し、接続を確認することができます。
  3. 適用」をクリックします。

ルーターを設定する

次の手順を実行します。

  1. ルーターの DNAT ルールを設定し、VPN トラフィックを許可します。
    1. 変換前の宛先を、ルーターの WAN インターフェースに設定します (例: 203.0.113.1)。
    2. 変換後の宛先を、ローカルファイアウォールの WAN インターフェースに設定します (例: 10.10.10.2)。
  2. 以下のサービスを許可します。
    1. UDP ポート 500
    2. UDP ポート 4500
    3. IP プロトコル 50

支社のファイアウォールを設定する

IPsec 接続およびファイアウォールルールを設定します。

IPsec 接続の追加

支社で IPsec 接続を作成して有効化します。

  1. サイト間 VPN > IPsec」に移動し、「追加」をクリックします。
  2. 名前を入力します。
  3. 保存時にアクティベート」を選択します。
  4. ファイアウォールルールの作成」を選択します。
  5. 接続の種類」で「サイト間」を選択します。
  6. ゲートウェイの種類」で「接続を開始」を選択します。

    次に例を示します。

    全般設定

  7. プロファイル」で「DefaultBranchOffice」を選択します。

  8. 認証の種類」で「事前共有鍵」を選択します。
  9. 鍵を入力して、確認します。

    次に例を示します。

    暗号化の設定

  10. リスニングインターフェース」で、ローカルファイアウォールの WAN ポート (203.0.113.10) を選択します。

  11. ゲートウェイの設定」で、本社のルーターの WAN ポート (203.0.113.1) を入力します。
  12. ローカルサブネット」で、192.168.2.0 用に作成した IP ホストを選択します。
  13. リモートサブネット」で、192.168.3.0 用に作成した IP ホストを選択します。
  14. 保存」をクリックします。

    ゲートウェイの設定

ファイアウォールルールの編集

VPN の送信トラフィック専用のファイアウォールルールを設定するには、自動生成されたファイアウォールルールを編集します。 または、VPN トラフィック用のファイアウォールルールがすでにある場合は、設定を確認します。

  1. ルールとポリシー > ファイアウォールルール」に移動します。
  2. ルールグループ「Automatic VPN rules」をクリックし、作成済みのルールをクリックします。

    次に例を示します。

    ファイアウォールルールをクリックします

  3. 次の設定を指定します。

    オプション 設定
    ルール名 Outbound VPN traffic
    送信元ゾーン LAN
    送信元ネットワークとデバイス Branch_LAN
    宛先ゾーン VPN
    宛先ネットワーク HQ_LAN
    サービス 任意
  4. 保存」をクリックします。

    次に例を示します。

    送信方向のファイアウォールルール

ファイアウォールルールの追加

VPN の受信トラフィック用のファイアウォールルールがない場合は、作成します。

  1. ルールとポリシー > ファイアウォールルール」に移動します。
  2. ファイアウォールルールの追加」をクリックして、「新しいファイアウォールルール」を選択します。
  3. 次の設定を指定します。

    オプション 設定
    ルール名 Inbound VPN traffic
    送信元ゾーン VPN
    送信元ネットワークとデバイス HQ_LAN
    宛先ゾーン LAN
    宛先ネットワーク Branch_LAN
    サービス 任意
  4. 保存」をクリックします。

    次に例を示します。

    送信方向のファイアウォールルール

本社のファイアウォールでサービスへのアクセスを許可する

  1. 管理 > デバイスのアクセス」に移動します。
  2. Ping/Ping6」の「VPN」を選択します。
    ユーザーが VPN 経由でファイアウォールの IP アドレスに ping を実行し、接続を確認することができます。
  3. 適用」をクリックします。

接続を確認する

本社と支社の間の VPN 接続を確認します。

  • 本社のファイアウォール: 支社のサブネットに ping を実行します。たとえば、Windows のコマンドプロンプトで以下のコマンドを入力します: ping 192.168.3.0
  • 支社のファイアウォール: 本社のサブネットに ping を実行します。たとえば、Windows のコマンドプロンプトで以下のコマンドを入力します: ping 192.168.2.0

ログを確認する

本社のファイアウォールのログに、ファイアウォールの手前に NAT デバイスがあることが示されています。

支社のファイアウォールのログに、本社のファイアウォールの手前に NATデバイスがあることが示されています。

その他のリソース

トップへ