ルートベース VPN

ポリシーベースの VPN の場合、VPN ポリシーを設定する際に必ずネットワークのトポロジを設定しなくてはなりません。そのため、トポロジが頻繁に変更されるネットワークでは、VPN ポリシーの設定や保守が難しくなります。

ルートベースの VPN ならば、VPN ポリシーの設定時にネットワークトポロジを設定する必要はありません。VPN ポリシーを設定すると、2 つのエンドポイント間にトンネルインターフェースが作成されます。ルートベース VPN を使用すれば、ネットワークの設定が VPN ポリシーの構成から静的または動的ルートの構成へと移動されます。ルートベース VPN を使用すれば、ネットワークの設定が VPN ポリシーの設定から静的または動的ルートの設定に移されます。

ルートベース VPN の利点は、VPN ポリシーの設定や保守が容易になることだけではありません。ルートベース VPN には、トラフィックを柔軟にルーティングできるという大きな利点があります。この機能を利用すれば、ユーザは、クリアな VPN や冗長 VPN を介した重複するネットワークに対して、複数のパスを定義できるようになります。

トピック:

•

ルートベース VPN の使用

•

異なるネットワークセグメントを使用するルートエントリ

ルートベース VPN の使用

ルートベース VPN は、2 つの手順で設定します。最初にトンネルインターフェースを作成します。トンネルインターフェースには 2 つのエンドポイント間のトラフィックを安全にするために使う、暗号化手順を定義します。2 つ目の手順では、トンネルインターフェースを使用して静的または動的ルートを作成します。

トンネルインターフェースは、"トンネルインターフェース" という種類のポリシーをリモートゲートウェイに追加すると作成されます。トンネルインターフェースは物理インターフェースにバインドされる必要があり、その物理インターフェースの IP アドレスがトンネルを通るパケットの送信元アドレスとして使用されます。

トンネルインターフェースの追加

トンネルインターフェースを追加するには:

「VPN > 設定 > VPN ポリシー」を選択します。

「追加」ボタンを選択します。「VPN ポリシー」ダイアログが表示されます。

「一般」タブで、ポリシー種別として「トンネルインターフェース」を選択します。「ネットワーク」タブは表示されなくなります。

続いて「プロポーザル」タブを選択します。

トンネルのネゴシエーションに必要な「IKE (フェーズ 1) プロポーザル」と「IPSec (フェーズ 2) プロポーザル」のオプションを設定します。

「詳細」タブを選択し、トンネルインターフェースの詳細なプロパティを設定します。既定では「キープアライブを有効にする」が設定されています。これは、リモートゲートウェイで予見的にトンネルを確立するためのものです。

以下の詳細オプションが設定できます。

•

IPsec アンチリプレイを無効にする - アンチリプレイを無効にします。アンチリプレイは、部分的なシーケンス整合性を確保するための機能の 1 つで、(制約されたウィンドウ内の) 重複する IP データグラムの到着を検出します。

•

高度なルーティングを許可する - このトンネルインターフェースを、「ネットワーク > ルーティング」ページの高度なルーティングのテーブル内のインターフェースリストに追加します。

これをオプション設定にすることで、高度なルーティングテーブルにすべてのトンネルインターフェースを追加することを避けて、ルーティング設定の合理化に役立てています。トンネルインターフェースに対して RIP または OSPF の高度なルーティングを設定するための情報については、トンネルインターフェースに対する高度なルーティング設定を参照してください。

•

トランスポートモードを有効にする - IPSec ネゴシエーションがトンネルモードではなく、トランスポートモードを使うことを強制します。これは、Nortel との互換性のために導入されています。ローカルファイアウォール上でこのオプションを有効にする際には、ネゴシエーションが成功するように、リモートファイアウォール上でも同様にこれを有効にする必要があります。

•

Windows ネットワーキング (NetBIOS) ブロードキャストを有効にする - Windows の「ネットワークコンピュータ」を参照してリモートネットワークリソースにアクセスすることを許可します。

•

マルチキャストを有効にする - マルチキャストトラフィックが VPN トンネルを通過することを許可します。

•

高速化を許可する－このポリシーに一致するトラフィックを WAN 高速化 (WXA) 装置にリダイレクトできるようにします。

•

この SA を経由しての管理 - リモートユーザが VPN トンネル経由でこの SonicWALL にログインして管理することを許可します。次の中から 1 つ以上を選択します:HTTPS、SSH、SNMP。

•

この SA を経由してのユーザログイン - ユーザがこの SA を使ってログインすることを許可します。次のいずれか、または両方を選択します:HTTP と HTTPS。


	補足：リモート認証を使用した HTTP ユーザログインは許可されません。

•

VPN ポリシーの適用先 - トンネルインターフェースがバウンドされるインターフェースを設定します。既定では、「インターフェース X1」です。

「プロポーザル」タブで IKEv2 モードを選択した場合は、「IKEv2 設定」を設定します。

•

「IKE SA ネゴシエーション中に、トリガーパケットを送信しない」チェックボックスは既定でオフになっています。ピアがトリガーパケットを処理できない場合の相互運用性のために必要な場合のみ、オンにしてください。

“トリガーパケット" という用語は、SA ネゴシエーションを開始させたパケットからの IP アドレスを含む、最初のトラフィックセレクタペイロードの使用を意味します。セキュリティポリシーデータベースから適切な保護 IP アドレス範囲を選択できるように IKEv2 応答側を支援するためにトリガーパケットを含めることをお勧めします。すべての実装でこの機能がサポートされているわけではないので、一部の IKE ピアでトリガーパケットを含めないようにしたほうがよいかもしれません。

•

IKEv2 VPN ポリシーに対して以下の 2 つのオプションから一つまたは両方を選択します。

•

「ハッシュと URL 証明書種別を受け入れる」– ファイアウォールはピア装置に
HTTP_CERT_LOOKUP_SUPPORTED メッセージを送信します。ピア装置が "Hash and URL of X.509c"証明書で返信すると、ファイアウォールが 2 台の装置間でトンネルの確立または認証が可能になります。

•

「ハッシュと URL 証明書種別を送信する」– ファイアウォールは
HTTP_CERT_LOOKUP_SUPPORTED メッセージを受信すると、要求元に "Hash and URL of X.509c" 証明書を送信します。

証明書自体ではなく、ハッシュと証明書 URL を送信できる場合、これらのオプションを選択ます。これらのオプションを使用することにより、メッセージ交換のサイズを減少することができます。

VPN を使用する場合、2 台のピアファイアウォール(FW1 と FW2)はトンネルをネゴシエートします。FW1 から見ると FM2 はリモートゲートウェイになり、またその逆も同じです。

「OK」を選択します。

トンネルインターフェースへの静的ルートの作成

トンネルインターフェースの追加に成功したら、続いて静的ルートを作成します。

トンネルインターフェースへの静的ルートを作成するには:

「ネットワーク > ルーティング > ルートポリシー」を選択します。

「追加」ボタンを選択します。静的ルートを追加するための「ルートポリシーの追加」ダイアログが表示されます。

「インターフェース」ドロップダウンメニューに表示されている利用可能なすべてのトンネルインターフェースから、トンネルインターフェースを 1 つ選択します。


	補足：「自動追加アクセスルール」オプションが選択されている場合は、ファイアウォールルールが自動的に追加され、トンネルインターフェースを使用して設定されたネットワーク間でトラフィックが許可されます。

必要に応じて残りの項目を設定します。

「OK」を選択します。

異なるネットワークセグメントを使用するルートエントリ

トンネルインターフェースを作成した後、異なるネットワークで同じトンネルインターフェースを使用するための、複数のルートエントリを設定することができます。これにより、トンネルインターフェースを何も変更することなくネットワークトポロジを変更するための仕組みができあがります。