ルーターの背後にあるファイアウォールとの IPsec VPN

ルーターの背後にあるファイアウォールとの IPsec VPN 接続を設定できます。

ここでは、本社のファイアウォールがルーターの背後にあり、パブリック IP アドレスがない例を取り上げます。この場合、本社および支社で、以下の設定を行う必要があります。

1. ファイアウォールの前提条件: ローカルおよびリモートサブネットの IP ホストを設定します。
2. IPsec VPN 接続を設定します。
3. 任意: 自動生成されたファイアウォールルールを編集し、送信トラフィック専用のルールを作成します。
4. 任意: 受信トラフィック専用のファイアウォールルールを、必要に応じて作成します。
5. サービスへのアクセスを許可します。
6. ルーターを設定します。
7. 接続を確認する。
8. ログを確認します。

ネットワーク構成の例を以下に示します。

本社のファイアウォールを設定する

IPsec 接続およびファイアウォールルールを設定します。

IPsec 接続の追加

本社で IPsec 接続を作成して有効化します。

1. 「サイト間 VPN > IPsec」に移動し、「追加」をクリックします。
2. 名前を入力します。
3. 「保存時にアクティベート」を選択します。
4. 「ファイアウォールルールの作成」を選択します。
5. 「接続の種類」で「サイト間」を選択します。

6. 「ゲートウェイの種類」で「応答のみ」を選択します。

   次に例を示します。

   

7. 「プロファイル」で「DefaultHeadOffice」を選択します。

8. 「認証の種類」で「事前共有鍵」を選択します。

9. 鍵を入力して、確認します。

   次に例を示します。

   

10. 「リスニングインターフェース」で、ローカルファイアウォールの WAN ポートを選択します (例: 10.10.10.2)。

11. 「ゲートウェイの設定」で、リモートファイアウォールの WAN ポートを入力します (例: 203.0.113.10)。
12. 「ローカルサブネット」で、192.168.2.0 用に作成した IP ホストを選択します。
13. 「リモートサブネット」で、192.168.3.0 用に作成した IP ホストを選択します。

14. 「保存」をクリックします。

    次に例を示します。

    

ファイアウォールルールの編集

VPN の送信トラフィック専用のファイアウォールルールを設定するには、自動生成されたファイアウォールルールを編集します。または、VPN トラフィック用のファイアウォールルールがすでにある場合は、設定を確認します。

1. 「ルールとポリシー > ファイアウォールルール」に移動します。

2. ルールグループ「Automatic VPN rules」をクリックし、作成済みのルールをクリックします。

   次に例を示します。

   

3. 次の設定を指定します。

   オプション	設定
   ルール名	Outbound VPN traffic
   送信元ゾーン	LAN
   送信元ネットワークとデバイス	HQ_LAN
   宛先ゾーン	VPN
   宛先ネットワーク	Branch_LAN
   サービス	任意

4. 「保存」をクリックします。

   次に例を示します。

   

ファイアウォールルールの追加

VPN の受信トラフィック用のファイアウォールルールがない場合は、作成します。

1. 「ルールとポリシー > ファイアウォールルール」に移動します。
2. 「ファイアウォールルールの追加」をクリックして、「新しいファイアウォールルール」を選択します。

3. 次の設定を指定します。

   オプション	設定
   ルール名	Inbound VPN traffic
   送信元ゾーン	VPN
   送信元ネットワークとデバイス	Branch_LAN
   宛先ゾーン	LAN
   宛先ネットワーク	HQ_LAN
   サービス	任意

4. 「保存」をクリックします。

   次に例を示します。

   

本社のファイアウォールでサービスへのアクセスを許可する

1. 「管理 > デバイスのアクセス」に移動します。
2. 「Ping/Ping6」の「VPN」を選択します。
   ユーザーが VPN 経由でファイアウォールの IP アドレスに ping を実行し、接続を確認することができます。
3. 「適用」をクリックします。

ルーターを設定する

次の手順を実行します。

1. ルーターの DNAT ルールを設定し、VPN トラフィックを許可します。
   1. 変換前の宛先を、ルーターの WAN インターフェースに設定します (例: 203.0.113.1)。
   2. 変換後の宛先を、ローカルファイアウォールの WAN インターフェースに設定します (例: 10.10.10.2)。
2. 以下のサービスを許可します。
   1. UDP ポート 500
   2. UDP ポート 4500
   3. IP プロトコル 50

支社のファイアウォールを設定する

IPsec 接続およびファイアウォールルールを設定します。

IPsec 接続の追加

支社で IPsec 接続を作成して有効化します。

1. 「サイト間 VPN > IPsec」に移動し、「追加」をクリックします。
2. 名前を入力します。
3. 「保存時にアクティベート」を選択します。
4. 「ファイアウォールルールの作成」を選択します。
5. 「接続の種類」で「サイト間」を選択します。

6. 「ゲートウェイの種類」で「接続を開始」を選択します。

   次に例を示します。

   

7. 「プロファイル」で「DefaultBranchOffice」を選択します。

8. 「認証の種類」で「事前共有鍵」を選択します。

9. 鍵を入力して、確認します。

   次に例を示します。

   

10. 「リスニングインターフェース」で、ローカルファイアウォールの WAN ポート (203.0.113.10) を選択します。

11. 「ゲートウェイの設定」で、本社のルーターの WAN ポート (203.0.113.1) を入力します。
12. 「ローカルサブネット」で、192.168.2.0 用に作成した IP ホストを選択します。
13. 「リモートサブネット」で、192.168.3.0 用に作成した IP ホストを選択します。

14. 「保存」をクリックします。

    

ファイアウォールルールの編集

VPN の送信トラフィック専用のファイアウォールルールを設定するには、自動生成されたファイアウォールルールを編集します。 または、VPN トラフィック用のファイアウォールルールがすでにある場合は、設定を確認します。

1. 「ルールとポリシー > ファイアウォールルール」に移動します。

2. ルールグループ「Automatic VPN rules」をクリックし、作成済みのルールをクリックします。

   次に例を示します。

   

3. 次の設定を指定します。

   オプション	設定
   ルール名	Outbound VPN traffic
   送信元ゾーン	LAN
   送信元ネットワークとデバイス	Branch_LAN
   宛先ゾーン	VPN
   宛先ネットワーク	HQ_LAN
   サービス	任意

4. 「保存」をクリックします。

   次に例を示します。

   

ファイアウォールルールの追加

VPN の受信トラフィック用のファイアウォールルールがない場合は、作成します。

1. 「ルールとポリシー > ファイアウォールルール」に移動します。
2. 「ファイアウォールルールの追加」をクリックして、「新しいファイアウォールルール」を選択します。

3. 次の設定を指定します。

   オプション	設定
   ルール名	Inbound VPN traffic
   送信元ゾーン	VPN
   送信元ネットワークとデバイス	HQ_LAN
   宛先ゾーン	LAN
   宛先ネットワーク	Branch_LAN
   サービス	任意

4. 「保存」をクリックします。

   次に例を示します。

   

本社のファイアウォールでサービスへのアクセスを許可する

1. 「管理 > デバイスのアクセス」に移動します。
2. 「Ping/Ping6」の「VPN」を選択します。
   ユーザーが VPN 経由でファイアウォールの IP アドレスに ping を実行し、接続を確認することができます。
3. 「適用」をクリックします。

接続を確認する

本社と支社の間の VPN 接続を確認します。

• 本社のファイアウォール: 支社のサブネットに ping を実行します。たとえば、Windows のコマンドプロンプトで以下のコマンドを入力します: ping 192.168.3.0
• 支社のファイアウォール: 本社のサブネットに ping を実行します。たとえば、Windows のコマンドプロンプトで以下のコマンドを入力します: ping 192.168.2.0

ログを確認する

本社のファイアウォールのログに、ファイアウォールの手前に NAT デバイスがあることが示されています。

支社のファイアウォールのログに、本社のファイアウォールの手前に NATデバイスがあることが示されています。

その他のリソース

• NATトラバーサル (NAT-T)