第61章 VPNを越えたDHCPの設定
VPN > VPNを越えたDHCP
「VPN > VPNを越えたDHCP」ページでは、SonicWALLセキュリティ装置を設定して、VPNトンネルの反対側にあるDHCPサーバーからIPアドレス リースを取得できます。ネットワークの配備によっては、1つの論理IPアドレス上にすべてのVPNネットワークを配置し、1つのIPサブネット アドレス スペースに存在するすべてのVPNネットワークの外観を作成するのが望ましい場合があります。これにより、VPNトンネルを使用するネットワークのIPアドレス管理が容易になります。
DHCPリレー モード
リモート サイトおよび中央サイトのSonicWALLセキュリティ装置は、サイト間の最初のDHCPトラフィックおよびそれ以降のIPトラフィックに対して、VPNトンネル用に設定されます。リモート サイトのSonicWALL (リモート ゲートウェイ) は、VPNトンネルを通してDHCPブロードキャスト パケットを渡します。中央サイトのSonicWALLセキュリティ装置 (セントラル ゲートウェイ) は、リモート ネットワーク上のクライアントからのDHCPパケットを、中央サイトのDHCPサーバーにリレーします。
VPNを越えたDHCP用のセントラル ゲートウェイの設定
セントラル ゲートウェイにVPNを越えたDHCPを設定するには、以下の手順を使用します。
1.
VPN > VPNを越えたDHCP
2. 「
DHCPリレー モード」メニューから「セントラル ゲートウェイ」を選択します。
3. 「
設定」を選択します。「VPNを越えたDHCP/リモート ゲートウェイ」ウィンドウが表示されます。
4. SonicWALLグローバルVPNクライアントとリモート ファイアウォールの一方または両方を有効にし、内部DHCPサーバを使用してIPアドレス情報を取得する場合は、「
内部DHCPサーバを使用する」を選択します。グローバルVPNクライアントに対してDHCPを使用する場合は、「グローバルVPNクライアント向け」チェックボックスをオンにします。
5. 特定のサーバにDHCPリクエストを送信する場合は、「
下記にリストされたサーバIPアドレスにDHCPリクエストを送信する」を選択します。
6. 「
追加」を選択します。「DHCPサーバの追加」ウィンドウが表示されます。
7. 「
IPアドレス」フィールドにDHCPサーバのIPアドレスを入力し、「OK」を選択します。指定したサーバにSonicWALLセキュリティ装置がDHCPリクエストを送信するようになります。
8. 「
リレーIPアドレス (オプション)」フィールドに、リレー サーバのIPアドレスを入力します。
「サーバIPアドレス」テーブルのエントリを編集するには、「編集」を選択します。DHCPサーバを削除するには、「サーバIPアドレス」テーブルでエントリを選択し、「削除」を選択します。「すべて削除」を選択すると、すべてのエントリが削除されます。
VPNを越えたDHCPのリモート ゲートウェイの設定
1. 「
DHCPリレー モード」メニューから「リモート ゲートウェイ」を選択します。
2. 「
設定」を選択します。「VPNを越えたDHCP/リモート ゲートウェイ」ウィンドウが表示されます。
3. VPNポリシーで「
ローカル ネットワークは、このVPNトンネルを通じたDHCPを使用してIPアドレスを取得する」設定が有効になっている場合は、「一般」タブの「このVPNトンネルを通じたDHCPリレー」に、VPNポリシー名が自動的に表示されます。
補足 IKEを使用するVPNポリシーのみがDHCPのVPNトンネルとして使用できます。
4. 「DHCPリース先」メニューからDHCPリース先となるインターフェースを選択します。
5. 「リレーIPアドレス」フィールドにIPアドレスを入力すると、このIPアドレスはセントラル ゲートウェイのアドレスの代わりにDHCPリレー エージェント アドレスとして使用されます。また、DHCPサーバ上のDHCPスコープ内で予約されている必要があります。このアドレスは、セントラル ゲートウェイの背後にあるVPNトンネルを通して、このSonicWALLセキュリティ装置をリモートで管理するためにも使用できます。
6. 「リモート管理IPアドレス」フィールドにIPアドレスを入力すると、このIPアドレスは、セントラル ゲートウェイの背後からSonicWALLセキュリティ装置をリモートで管理するためにも使用されます。また、DHCPサーバ上のDHCPスコープ内で予約されている必要があります。
7. 「IP Spoofを検出した場合、トンネル経由のトラフィックを遮断する」を有効にすると、SonicWALLセキュリティ装置は、認証されたユーザのIPアドレスになりすます、VPNトンネル経由のトラフィックを遮断します。ただし、固定の機器がある場合は、機器に対して正しいイーサネット アドレスが入力されていることを確認する必要があります。イーサネット アドレスは識別プロセスの一部として使用され、イーサネット アドレスが正しくないと、SonicWALLセキュリティ装置がIP Spoofとして応答する可能性があります。
8. VPNトンネルが中断された場合は、一時的なDHCPリースをローカルDHCPサーバから取得できます。トンネルが再びアクティブになると、ローカルDHCPサーバはリースの発行を停止します。「トンネルがダウンした場合、IPリースをローカルDHCPサーバから取得する」チェック ボックスをオンにします。このチェック ボックスをオンにすることで、トンネルが機能を停止するときのフェイルオーバー オプションになります。一定の時間だけ一時的なリースを許可する場合は、「代替のためのIPリース期間 (分)」ボックスに一時リースの分数を入力します。既定値は2分です。
デバイス
9. LANの機器を設定するには、「デバイス」タブを選択します。
10.
静的なLAN機器を設定するには、「追加」を選択して「静的なLANデバイスの追加」ウィンドウを表示し、「IPアドレス」フィールドには機器のIPアドレスを入力し、「MACアドレス」フィールドには機器のMACアドレスを入力します。
静的な機器の例としては、IPリースを動的に取得できないプリンタなどがあります。「
IP Spoofを検出した場合、トンネル経由のトラフィックを遮断する」を有効にしてない場合は、機器のイーサネット アドレスを入力する必要はありません。DHCPサーバで利用可能なIPアドレスのプールから静的IPアドレスを除外して、DHCPサーバがこれらのアドレスをDHCPクライアントに割り当てないようにする必要があります。また、リレーIPアドレスとして使用されるIPアドレスも除外する必要があります。リレーIPアドレスとして使用するIPアドレスのブロックを確保しておくことをお勧めします。「OK」を選択します。
11. LAN上の機器を除外するには、「
追加」を選択して「除外するLANデバイスの追加」ウィンドウを表示します。「イーサネット アドレス」フィールドに、機器のMACアドレスを入力します。「OK」を選択します。
12. 「
OK」を選択して、「VPNを越えたDHCP/リモート ゲートウェイ」ウィンドウを閉じます。
補足 コンピュータにIPリースを割り当てるには、リモートSonicWALLセキュリティ装置上にローカルDHCPサーバを設定する必要があります。
補足 リモート サイトでセントラル ゲートウェイへの接続およびリースの取得に関する問題がある場合は、リモート コンピュータでDeterministic Neteork Enhancer (DNE) が有効になっていないことを確認します。
ヒント たとえば2つのLANのように、静的LAN IPアドレスがDHCPスコープの外部にある場合は、このIPへのルーティングが可能です。
現在のVPNを越えたDHCPリース
スクロール ウィンドウに、バインドのIPアドレスとイーサネット アドレスおよびリース時間やトンネル名など、現在のバインドに関する詳細が表示されます。
バインドを削除するには、リストからバインドを選択し、削除アイコン 
を選択します。バインドを削除すると、DHCPサーバでIPアドレスが解放されます。操作が完了するまで数秒かかります。完了すると、ウェブ ブラウザ ウィンドウの一番下に更新を確認するメッセージが表示されます。
「すべて削除」を選択すると、すべてのVPNリースが削除されます。
