コンテンツにスキップ

事前共有鍵を使用したポリシーベースの IPsec VPN の作成

本社と支社の間に IPsec VPN を設定します。

この例では、認証に事前共有鍵を使用します。

ネットワーク図

IPsec VPN デジタル証明書のネットワーク図。

本社の設定

LAN の設定

本社ネットワークと支社ネットワーク用のホストを、本社側で作成します。

  1. ホストとサービス > IP ホスト」に移動し、「追加」をクリックします。
  2. 以下のとおり、ローカルサブネットとリモートサブネットの IP ホストを設定します。

    設定 IP ホスト 1 IP ホスト 2
    名前 HQ_LAN Branch_LAN
    IP バージョン IPv4 IPv4
    種類 ネットワーク ネットワーク
    IP アドレス 192.10.10.0 192.20.20.0
  3. 保存」をクリックします。

IPsec 接続の追加

本社で IPsec 接続を作成して有効化します。

  1. サイト間 VPN > IPsec」に移動し、「追加」をクリックします。
  2. 名前を入力します。
  3. IPv4」を選択します。
  4. ファイアウォールルールの作成」を選択します。
  5. 接続の種類」を「サイト間」に設定します。
  6. ゲートウェイの種類」を「応答のみ」に設定します。

    本社のファイアウォールは通常、応答側として機能し、支社のファイアウォールは多数あるため、トンネルイニシエータとして機能します。本社がすべての支社に対して接続を再試行するよりも、それぞれの支社が接続を再試行するやり方が推奨されます。

    全般設定。

  7. プロファイル」を「本社 (IKEv2)」に設定します。

    IKEv2 では、固有のローカルとリモート ID の組み合わせに固有の事前共有キーを使用できます。

  8. 認証の種類」を「事前共有鍵」に設定します。

  9. 事前共有鍵を入力し、確認のために再度入力します。

    事前共有鍵のメモを取ります。支社のファイアウォールの接続に貼り付ける必要があります。

    暗号化の設定。

  10. リスニングインターフェイス」の場合は、ローカルインターフェイス Port1 - 172.10.10.1 を選択します。

  11. ローカル ID の種類」を「IP アドレス」に設定します。

    DNS、IP アドレス、メールが選択できます。値は識別のためのものですので、ネットワーク内で有効な値にする必要はありません。

  12. Local ID」に「1.1.1.1」と入力します。

  13. ローカルサブネット」で、 構成したローカル IP ホストを選択します。

    ローカルゲートウェイの設定。

  14. リモートゲートウェイ」の「ゲートウェイアドレス」に、支社のゲートウェイ (172.20.20.1) を入力します。

  15. リモート ID の種類」を「IP アドレス」に設定します。
  16. リモート ID に、「2.2.2.2」と入力します。
  17. リモートサブネット」に対し、 構成したリモート IP ホストを選択します。

    リモートゲートウェイの設定。

  18. 保存」をクリックします。

    接続が IPsec 接続リストに表示されます。

  19. 「ステータス」ボタン 接続を有効化または無効化します。 をクリックして接続を有効にします。

    接続を有効化します。

ファイアウォールルールを編集してインバウンドルールを作成する

IPsec 接続を保存したとき自動的に作成されたファイアウォールルールを編集します。これは、インバウンド VPN トラフィックを許可するルールとして保存します。IPsec 接続は応答のみに設定されているため、支社からのインバウンドトラフィックを許可するファイアウォールルールが必要です。

  1. ルールとポリシー > ファイアウォールルール」に移動し、IPsec HQ to Branch ルールをクリックします。

    ルールを選択します。

  2. (任意) ルール名を変更します。

  3. 送信元ゾーン」を「VPN」に設定します。
  4. 送信元ネットワークとデバイス」を Branch_LAN に設定します。
  5. 宛先ゾーン」を「LAN」に設定します。
  6. 宛先ネットワーク」を HQ_LAN に設定します。
  7. 保存」をクリックします。

    インバウンドファイアウォールルール。

受信 VPN トラフィックを許可するファイアウォールルールが既にある場合は、リモートサブネットを「送信元ネットワークとデバイス」に、ローカルサブネットを「宛先ネットワーク」に追加できます。IPsec 接続ごとに独立したファイアウォールルールを作成する必要はありません。

VPN 経由で ping を許可する

トンネル接続を確認するには、作成した VPN 接続を介してリモート IP アドレスに ping を実行します。

  1. 管理 > デバイスのアクセス」に移動します。
  2. Ping/Ping6」の「VPN」を選択します。
  3. 適用」をクリックします。

支社の設定

LAN の設定

支社ネットワークと本社ネットワーク用のホストを、支社側で作成します。

  1. ホストとサービス > IP ホスト」に移動し、「追加」をクリックします。
  2. 以下のとおり、ローカルサブネットとリモートサブネットの IP ホストを設定します。

    設定 IP ホスト 1 IP ホスト 2
    名前 Branch_LAN HQ_LAN
    IP バージョン IPv4 IPv4
    種類 ネットワーク ネットワーク
    IP アドレス 192.20.20.0 192.10.10.0
  3. 保存」をクリックします。

IPsec 接続の追加

支社で IPsec 接続を作成して有効化します。

  1. サイト間 VPN > IPsec」に移動し、「追加」をクリックします。
  2. 名前を入力します。
  3. IPv4」を選択します。
  4. ファイアウォールルールの作成」を選択します。
  5. 接続の種類」を「サイト間」に設定します。
  6. ゲートウェイの種類」を「接続を開始」に設定します。

    全般設定。

  7. プロファイル」を「支社 (IKEv2)」に設定します。

  8. 認証の種類」を「事前共有鍵」に設定します。
  9. 本社のファイアウォールで使用した事前共有鍵を貼り付け、設定を繰り返します。

    暗号化の設定。

  10. リスニングインターフェイス」の場合は、ローカルインターフェイス Port1 - 172.20.20.1 を選択します。

  11. ローカル ID の種類」を「IP アドレス」に設定します。

    本社のファイアウォールで選択した ID の種類を選択する必要があります。

  12. Local ID」に「2.2.2.2」と入力します。

  13. ローカルサブネット」で、 構成したローカル IP ホストを選択します。

    ローカルゲートウェイの設定。

  14. リモートゲートウェイ」の「ゲートウェイアドレス」に、本社のゲートウェイ (172.10.10.1) を入力します。

  15. リモート ID の種類」を「IP アドレス」に設定します。
  16. リモート ID に、「1.1.1.1」と入力します。
  17. リモートサブネット」に対し、 構成したリモート IP ホストを選択します。

    リモートゲートウェイの設定。

  18. 保存」をクリックします。

    接続が IPsec 接続リストに表示されます。

  19. ステータスボタン 接続の有効 / 無効を切り替えるボタン。 をクリックして接続を有効にします。

ファイアウォールルールを編集してアウトバウンドルールを作成する

IPsec 接続を保存したとき自動的に作成されたファイアウォールルールを編集します。接続を開始するよう IPsec 接続を設定しましたので、送信 VPN トラフィックを許可するルールとして保存します。

  1. ルールとポリシー > ファイアウォールルール」に移動し、IPsec Branch to HQ ルールをクリックします。
  2. (任意) ルール名を変更します。
  3. 送信元ゾーン」を「LAN」に設定します。
  4. 送信元ネットワークとデバイス」を Branch_LAN に設定します。
  5. 送信先ゾーン」を「VPN」に設定します。
  6. 宛先ネットワーク」を HQ_LAN に設定します。
  7. 保存」をクリックします。

    送信方向のファイアウォールルール。

送信 VPN トラフィックを許可するファイアウォールルールが既にある場合は、ローカルサブネットを「送信元ネットワークとデバイス」に、リモートサブネットを「宛先ネットワーク」に追加できます。

VPN 経由で ping を許可する

  1. 管理 > デバイスのアクセス」に移動します。
  2. Ping/Ping6」の「VPN」を選択します。
  3. 適用」をクリックします。

トンネルの接続を確認する

  • 本社および支社のファイアウォールで、リモートサブネットに ping できることを確認します。

    CLI で、デバイスコンソールに対して「5」と入力し、次に Advanced shell に対してに「3」と入力します。

    本社のファイアウォールで、コマンド (ping 192.20.20.2) を入力します。

    支社のファイアウォールで、コマンド (ping 192.10.10.2) を入力します。

  • ルールとポリシー」をクリックし、作成したファイアウォールルールに移動してトラフィックを確認します。