システムが生成した認証リクエストを IPsec VPN 経由で送信する

ポリシーベースの VPN を使用する場合、支社のファイアウォールで LAN インターフェースのアドレスを宛先の ADサーバーに変換するように設定する必要があります。ファイアウォールはこのトラフィックを IPsec トンネルに送信します。

指定済みのルートの優先順位によって、トラフィックがトンネルに送信されない場合は、IPsec ルートを設定してください。

LAN インターフェースを変換する

CLI を使って、認証リクエストなどのシステム生成トラフィックに対して SNAT (送信元ネットワークのアドレス変換) を設定する必要があります。

LAN インターフェースを本社の AD サーバーのアドレスに変換するには、以下の手順を実行します。

1. CLI にサインインし、4 と入力してデバイスコンソールを選択し、以下のコマンドを実行します。

   set advanced-firewall sys-traffic-nat add destination <宛先の IP またはネットワークアドレス> snatip <変換対象の、送信元 IP アドレス>
   

   例

   set advanced-firewall sys-traffic-nat add destination 10.10.2.15 snatip 10.10.1.1

2. VPN の設定で LAN インターフェースを以下のように選択済みであることを確認してください。

   1. 支社のファイアウォールのローカルサブネット
   2. 本社のファイアウォールのリモートサブネット

支店: IPsec ルーティングを追加する

認証リクエストがトンネル経由で AD サーバーに送信されない場合は、IPsec ルートを設定する必要があります。この手順はオプションであり、ネットワーク構成に依存します。

ルートを追加するには、次のコマンドを実行します。

system ipsec_route add host <宛先 IP アドレス> tunnelname <トンネル名>

ルートベーストンネルを任意のサブネット間で使用できます。

支店: SD-WAN ルートの追加

以下の手順に従って SD-WANルートを設定し、認証クエリを XFRM インターフェースに送信するようにします。

1. 「ルーティング > SD-WAN ルート」に移動し、「追加」をクリックします。
2. 「名前」を入力します。
3. 「送信元ネットワーク」を「すべて」に設定します。

4. 「宛先ネットワーク」を、AD サーバーの IP ホストに設定します。IP ホストを設定するには、次の手順を実行します。

   1. 「新規項目の追加」をクリックして、「すべて」のチェックを外します。
   2. 「追加」をクリックし、「名前」を入力します。
   3. 「IP アドレス」に 10.10.2.15 と入力します。
   4. 「保存」をクリックします。

5. 「サービス」で、TCP ポート 636 (セキュア AD および LDAP 認証のデフォルトポート) のオブジェクトを作成します。

   次の手順を実行します。

   1. 「新規項目の追加」をクリックして、「すべて」のチェックを外します。
   2. 「追加」をクリックし、「サービス」をクリックします。
   3. 「名前」を入力します。
   4. 「宛先ポート」に 636 と入力します。

   5. 「保存」をクリックします。

      

6. 「リンク選択の設定」で、「プライマリゲートウェイとバックアップゲートウェイ」を選択します。

7. 「プライマリゲートウェイ」のドロップダウンリストをクリックし、「追加」をクリックします。

8. 次の手順を実行します。

   1. 名前を入力します。
   2. 「ゲートウェイ IP」に本社の XFRM IP アドレス (3.3.3.3) を入力します。

   3. 「インターフェース」で、このファイアウォールで設定した XFRM インターフェースを選択します (例: xfrm1_3.3.3.4)。

      

   4. 「正常性チェック」をオンにする場合は、「監視条件」に AD サーバーの IP アドレス (10.10.2.15) を入力します。

      

9. 「指定されたゲートウェイのみを経由してルーティングする」を選択します。

   トンネルが使用できない場合、ファイアウォールがトラフィックをドロップするようになります。

10. 「保存」をクリックします。

支店: VPN で Ping をオンにする

1. 「管理 > デバイスのアクセス」に移動します。
2. 「Ping/Ping6」の「VPN」のチェックボックスを選択します。
3. 「適用」をクリックします。

支店: デフォルトで使用されるゲートウェイを変換する

本社の AD サーバーへのシステム生成トラフィックで、支店のファイアウォールのゲートウェイアドレスを XFRM インターフェースアドレスに変換 (送信元 NAT) します。

次のコマンドを入力します。

set advanced-firewall sys-traffic-nat add destination <宛先またはネットワークの IP アドレス> snatip <NAT された IP>

本社: SD-WAN ルートの追加

以下の手順に従って SD-WANルートを設定し、認証クエリを XFRM インターフェースに送信するようにします。

1. 「ルーティング > SD-WAN ルート」に移動し、「追加」をクリックします。
2. 「名前」を入力します。
3. 「送信元ネットワーク」を、AD サーバーの IP ホスト (10.10.2.15) に設定します。
4. 「宛先ネットワーク」を、支店のファイアウォールで変換先として指定した LAN インターフェース (10.10.1.1) に設定します。

5. 「サービス」で、TCP ポート 636 (セキュア AD および LDAP 認証のデフォルトポート) のオブジェクトを作成します。

   次の手順を実行します。

   1. 「新規項目の追加」をクリックして、「すべて」のチェックを外します。
   2. 「追加」をクリックし、「サービス」をクリックします。
   3. 「名前」を入力します。
   4. 「宛先ポート」に 636 と入力します。
   5. 「保存」をクリックします。

   

6. 「リンク選択の設定」で、「プライマリゲートウェイとバックアップゲートウェイ」を選択します。

7. 「プライマリゲートウェイ」のドロップダウンリストをクリックし、「追加」をクリックします。

8. 次の手順を実行します。

   1. 名前を入力します。
   2. 「ゲートウェイ IP」に、支店の XFRM IP アドレス (3.3.3.4) を入力します。

   3. 「インターフェース」で、このファイアウォールで設定した XFRM インターフェースを選択します (例: xfrm1_3.3.3.3)。

      

   4. 「正常性チェック」をオンにする場合は、「監視条件」に 支社の LAN の IP アドレス (10.10.1.10) を入力します。

      

9. 「指定されたゲートウェイのみを経由してルーティングする」を選択します。

   トンネルが使用できない場合、ファイアウォールがトラフィックをドロップするようになります。

10. 「保存」をクリックします。

本社: VPN で Ping をオンにする

1. 「管理 > デバイスのアクセス」に移動します。
2. 「Ping/Ping6」の「VPN」のチェックボックスを選択します。
3. 「適用」をクリックします。

本社: 送信方向のファイアウォールルール

本社のファイアウォールで、送信方向のトラフィックを許可するようにファイアウォールルールを設定します。これにより、AD サーバーはルートベースの VPN トンネルに応答を送信できるようになります。

以下を選択します。

1. 送信元ゾーン: DMZ
2. 送信元ネットワークとデバイス: ADServer
3. 宛先ゾーン: VPN
4. 宛先ネットワーク: BO_LAN
5. サービス: AD_LDAP

6. 「保存」をクリックします。

   次に例を示します。

   

本社: 受信方向のファイアウォールルール

本社のファイアウォールで受信方向のトラフィックを許可するようにファイアウォールルールを設定します。ルートベースの VPN トンネル経由で受信した認証クエリが、AD サーバーに送信されるようになります。

以下を選択します。

1. 送信元ゾーン: VPN
2. 送信元ネットワークとデバイス: BO_LAN
3. 宛先ゾーン: DMZ
4. 宛先ネットワーク: ADServer
5. サービス: AD_LDAP

6. 「保存」をクリックします。

   次に例を示します。