ビデオ:サイト間 VPN の設定例を示す情報ビデオがオンラインで提供されています。例えば、「事前共有鍵を使用してメイン モードのサイト間 VPN を作成する方法」や「事前共有鍵を使用してアグレッシブ モードのサイト間 VPN を作成する方法」を参照してください。
その他のビデオは、以下でご覧いただけます。https://support.software.dell.com/videos-product-select
「VPN ポリシー」ウィンドウを使用して既存の VPN ポリシーを作成するか、変更することができます。「VPN ポリシー」テーブルの下にある「追加」ボタンを選択すると、次の IPSec 鍵モードの VPN ポリシーを設定するための「VPN ポリシー」ウィンドウが表示されます。
このセクションでは、VPN トンネルが停止した場合にフェイルオーバーとして機能するよう静的ルートを設定する方法についても説明します。詳細については、静的ルートへの VPN フェイルオーバーの設定 を参照してください。
|
ビデオ:サイト間 VPN の設定例を示す情報ビデオがオンラインで提供されています。例えば、「事前共有鍵を使用してメイン モードのサイト間 VPN を作成する方法」や「事前共有鍵を使用してアグレッシブ モードのサイト間 VPN を作成する方法」を参照してください。
その他のビデオは、以下でご覧いただけます。https://support.software.dell.com/videos-product-select |
IKE (インターネット鍵交換) を使用して VPN ポリシーを設定するには、次の手順に従います。
|
1
|
|
2
|
|
3
|
|
•
|
|
4
|
|
5
|
ポリシーの名前を「名前」フィールドに入力します。
|
|
6
|
「プライマリ IPSec ゲートウェイ名またはアドレス」フィールドにリモート接続のホスト名または IP アドレスを入力します。
|
|
7
|
リモート VPN 機器が複数のエンドポイントをサポートしている場合は、リモート接続のセカンダリ ホスト名または IP アドレスを「セカンダリ IPSec ゲートウェイ名またはアドレス」フィールドに入力できます。
|
|
8
|
「IKE 認証」セクションで、「事前共有鍵」と「事前共有鍵の確認」フィールドに、セキュリティ アソシエーションの設定に使用する事前共有鍵パスワードを入力します。共有鍵は文字と数字を組み合わせて 4 文字以上にする必要があります。
|
|
10
|
必要に応じて、このポリシーの「ローカル IKE ID」および「ピア IKE ID」を指定します。既定では、「IP アドレス」(ID_IPv4_ADDR) がメイン モード ネゴシエーションに使用され、SonicWALL 識別子 (ID_USER_FQDN) がアグレッシブ モードに使用されます。
|
|
•
|
|
•
|
続いて、アドレス、名前、または ID をドロップダウン メニューの後のフィールドに入力します。
|
11
|
「ネットワーク」タブを選択します。
|
|
12
|
「ローカル ネットワーク」の下で、次のいずれかを選択します。
|
|
•
|
特定のローカル ネットワークが VPN トンネルにアクセス可能である場合は、「ローカル ネットワークをリストより選択」ドロップダウン メニューからローカル ネットワークを選択します。
|
|
•
|
任意のローカル ネットワークからトラフィックを発信できる場合は、「すべてのアドレス」を選択します。このオプションは、ピアで「この VPN トンネルをすべてのインターネット トラフィックのデフォルト ルートとして使用する」が選択されている場合に使用します。保護ゾーンと VPN ゾーンの間に、自動追加のルールが作成されます。
|
|
13
|
「対象先ネットワーク」の下で、次のいずれかを選択します。
|
|
•
|
どのローカル ユーザによるトラフィックも暗号化されていなければファイアウォールから出られないようにするには、「この VPN トンネルをすべてのインターネット トラフィックのデフォルト ルートとして使用する」を選択します。
|
|
•
|
あるいは、「対象先ネットワークをリストより選択」を選択して、アドレス オブジェクトまたはグループを選択します。
|
|
14
|
「プロポーザル」を選択します。
|
|
15
|
|
•
|
メイン モード - IKE フェーズ 1 プロポーザルを IPsec フェーズ 2 プロポーザルとともに使用します。Suite B 暗号化オプションは、IKE フェーズ 1 設定の「DH グループ」と IPsec フェーズ 2 設定の「暗号化」で使用できます。
|
|
•
|
アグレッシブ モード - 通常は WAN アドレッシングが動的に割り当てられる場合に使用されます。IKE フェーズ 1 プロポーザルを IPsec フェーズ 2 プロポーザルとともに使用します。Suite B 暗号化オプションは、IKE フェーズ 1 設定の「DH グループ」と IPsec フェーズ 2 設定の「暗号化」で使用できます。
|
|
•
|
IKEv2 モード - すべてのネゴシエーションが IKE フェーズ 1 と IPsec フェーズ 2 を使用する代わりに IKE v2 プロトコルを介して発生します。
|
|
16
|
|
17
|
メイン モードまたはアグレッシブ モードでは「DH グループ」として、Suite B 暗号化に含まれる以下の 5 つの Diffie Hellman グループが選択できます。
|
「DH グループ」として、「グループ 1」、「グループ 2」、「グループ 5」、または「グループ 14」を選択することもできます。
|
18
|
メイン モードまたはアグレッシブ モードを選択した場合は、「暗号化」ドロップダウン リストから、「3DES」、「DES」、「AES-128」、「AES-192」、または「AES-256」のうちの 1 つを選択します。既定値は「3DES」です。
|
|
19
|
メイン モードまたはアグレッシブ モードを選択した場合は、認証セキュリティを強化するために、「認証」ドロップダウン リストから、「SHA-1」、「MD5」、「SHA256」、「SHA384」、または「SHA512」のうちの 1 つを選択できます。既定値は「SHA1」です。
|
|
20
|
「IPSec (フェーズ 2) プロポーザル」セクションで、「プロトコル」、「暗号化」、「認証」、「Perfect Forward Secrecy を有効にする」、および「存続期間 (秒)」の既定値は、ほとんどの VPN SA 設定に使用できます。
|
|
21
|
「暗号化」として「DES」、「3DES」、「AES-128」、「AES-192」、または「AES-256」を選択することもできます。
|
22
|
|
•
|
メイン モードまたはアグレッシブ モード
|
|
•
|
この VPN トンネルでピア間のハートビート メッセージを使用する場合は、「キープ アライブを有効にする」を選択します。トンネルの一方の側が失敗した場合、キープアライブを使用することにより、両サイドが再び利用可能になったときにトンネルの自動的な再ネゴシエートが可能になります。 提案された存続期間が期限切れになるまで待つ必要はありません。
|
|
•
|
「この VPN ポリシーに対してアクセス ルールを自動生成しない」設定は既定で有効になっていないので、VPN トラフィックは適切なゾーンを通過できます。
|
|
•
|
アンチリプレイを無効にする場合は、「IPsec アンチリプレイを無効にする」を選択します。アンチリプレイは、部分的なシーケンス整合性を確保するための機能の 1 つで、(制約されたウィンドウ内の) 重複する IP データグラムの到着を検出します。
|
|
•
|
このトンネルの通過をトラフィックに許可する前に XAUTH 認証をユーザに要求するには、「XAUTH を利用した VPN クライアントの認証を要求する」を選択し、ユーザ グループを選択して、表示される「XAUTH に利用するユーザ グループ」ドロップダウン メニューから許可するユーザを指定します。
|
|
•
|
「Windows ネットワーキング (NetBIOS) ブロードキャストを有効にする」- Windows の「ネットワーク コンピュータ」を参照してリモート ネットワーク リソースにアクセスできます。
|
|
•
|
「マルチキャストを有効にする」- IP マルチキャスト トラフィック (音声 (VoIP など)/映像アプリケーション) が VPN トンネルを通過できるようにします。
|
|
•
|
このポリシーに一致するトラフィックを WAN 高速化 (WXA) 装置にリダイレクトできるようにするには、「高速化を許可する」を選択します。
|
|
•
|
SonicWALL でローカル、リモート、または両方のネットワーク通信を VPN トンネル経由で変換するには、「NAT ポリシーを適用する」を選択します。2 つのドロップダウン メニューが表示されます。
|
|
•
|
ローカル ネットワークでネットワーク アドレス変換を実行するには、「変換後のローカル ネットワーク」メニューでアドレス オブジェクトを選択または作成します。
|
|
•
|
リモート ネットワークを変換するには、「変換後のリモート ネットワーク」ドロップダウン メニューでアドレス オブジェクトを選択または作成します。
|
|
補足:通常は、トンネルで NAT が必要な場合、ローカルとリモートの両方ではなくいずれかを変換する必要があります。「NAT ポリシーを適用する」は、トンネルの両サイドで同一または重複するサブネットを使用する場合に特に有用です。
|
|
•
|
|
•
|
|
•
|
未知のサブネットに送信されてこのトンネルに入るトラフィックに対して LAN 上のルータを使用する場合、たとえば、トンネルの反対側に「この VPN トンネルをすべてのインターネット トラフィックのデフォルト ルートとして使用する」を設定した場合は、ルータの IP アドレスを「デフォルト LAN ゲートウェイ (オプション)」フィールドに入力する必要があります。
|
|
•
|
「VPN ポリシーの適用先」ドロップダウン メニューからインターフェースまたはゾーンを選択します。WAN の負荷分散を使用していて、VPN でいずれかの WAN インターフェースを使用する場合は、「ゾーン WAN」が推奨される選択です。
|
「プロポーザル」タブで IKE2 モードを選択した場合は、「詳細」タブには次の 2 つのセクションがあります。
|
•
|
「詳細設定」は、以下の点を除いてメイン モードまたはアグレッシブ モードのオプション と同じです。
|
•
|
「キープ アライブを有効にする」オプションはグレー表示されます。
|
|
•
|
「XAUTH を利用した VPN クライアントの認証を要求する」オプションは表示されません。
|
|
•
|
|
•
|
「IKE SA ネゴシエーション中に、トリガー パケットを送信しない」チェックボックスは既定でオフになっています。ピアがトリガー パケットを処理できない場合の相互運用性のために必要な場合のみ、オンにしてください。
|
“トリガー パケット" という用語は、SA ネゴシエーションを開始させたパケットからの IP アドレスを含む、最初のトラフィック セレクタ ペイロードの使用を意味します。セキュリティ ポリシー データベースから適切な保護 IP アドレス範囲を選択できるように IKEv2 応答側を支援するためにトリガー パケットを含めることをお勧めします。すべての実装でこの機能がサポートされているわけではないので、一部の IKE ピアでトリガー パケットを含めないようにしたほうがよいかもしれません。
証明書自体ではなく、ハッシュと証明書 URL を送信できる場合、これらのオプションを選択ます。これらのオプションを使用することにより、メッセージ交換のサイズを減少することができます。
「ハッシュ と URL 証明書種別を受け入れる」が選択された場合、ファイアウォールはピア装置に HTTP_CERT_LOOKUP_SUPPORTED メッセージを送信します。ピア装置が "Hash and URL of X.509c"証明書で返信すると、ファイアウォールが 2 台の装置間でトンネルの確立または認証が可能になります。
「ハッシュ と URL 証明書種別を送信する」が選択された場合、ファイアウォールが HTTP_CERT_LOOKUP_SUPPORTED メッセージを受信中に要求者に "Hash and URL of X.509c" 証明書を返信します。
VPN を使用する場合、2 台のピア ファイアウォール(FW1 と FW2)はトンネルをネゴシエートします。FW1 から見ると FM2 はリモート ゲートウェイになり、またその逆も同じです。
|
23
|
「OK」を選択します。
|
手動鍵を使用して 2 つの SonicWALL 装置間での VPN ポリシーを設定するには、次の手順に従います。
|
1
|
|
2
|
「VPN ポリシー」ウィンドウの「一般」タブで、「認証方式」ドロップダウン メニューから「マニュアル キー」を選択します。「VPN ポリシー」ウィンドウには、マニュアル キーのオプションだけが表示されます。
|
|
3
|
ポリシーの名前を「名前」フィールドに入力します。
|
|
4
|
「IPSec ゲートウェイ名またはアドレス」フィールドにリモート接続のホスト名または IP アドレスを入力します。
|
|
5
|
「ネットワーク」タブを選択します。
|
|
6
|
「ローカル ネットワーク」の下で、次のいずれかを選択します。
|
|
•
|
特定のローカル ネットワークが VPN トンネルにアクセス可能である場合は、「ローカル ネットワークをリストより選択」ドロップダウン メニューからローカル ネットワークを選択します。
|
|
•
|
任意のローカル ネットワークからトラフィックを発信できる場合は、「すべてのアドレス」を選択します。このオプションは、ピアで「この VPN トンネルをすべてのインターネット トラフィックのデフォルト ルートとして使用する」が選択されている場合に使用します。保護ゾーンと VPN ゾーンの間に、自動追加のルールが作成されます。
|
|
7
|
「対象先ネットワーク」の下で、次のいずれかを選択します。
|
|
•
|
どのローカル ユーザによるトラフィックも暗号化されていなければファイアウォールから出られないようにするには、「この VPN トンネルをすべてのインターネット トラフィックのデフォルト ルートとして使用する」を選択します。
|
|
•
|
あるいは、「対象先ネットワークをリストより選択」を選択して、アドレス オブジェクトまたはグループを選択します。
|
|
8
|
「プロポーザル」タブを選択します。
|
|
9
|
「受信 SPI」および「送信 SPI」を定義します。SPI (Security Parameter Index) は 16 進数 (0123456789abcdef) で、長さは 3~8 文字の範囲です。
|
|
10
|
|
11
|
「暗号化鍵」フィールドに 48 文字の 16 進数暗号化鍵を入力するか、既定値を使用します。この暗号キーはリモート SonicWALL 暗号キーの設定に使用されるので、SonicWALL を設定するときに書き留めておいてください。
|
|
12
|
「認証鍵」フィールドに 40 文字の 16 進数認証鍵を入力するか、既定値を使用します。SonicWALL 設定を指定するためにキーを書き留めます。
|
|
13
|
「詳細」タブを選択して、VPN ポリシーに適用する次のオプション設定をすべて選択します。
|
|
•
|
「この VPN ポリシーに対してアクセス ルールを自動生成しない」設定は既定で有効になっていないので、VPN トラフィックは適切なゾーンを通過できます。
|
|
•
|
「Windows ネットワーク (NetBIOS) ブロードキャストを有効にする」- Windows の「ネットワーク コンピュータ」を参照してリモート ネットワーク リソースにアクセスできます。
|
|
•
|
このポリシーに一致するトラフィックを WAN 高速化 (WXA) 装置にリダイレクトできるようにするには、「高速化を許可する」を選択します。
|
|
•
|
SonicWALL でローカル、リモート、または両方のネットワーク通信を VPN トンネル経由で変換するには、「NAT ポリシーを適用する」を選択します。2 つのドロップダウン メニューが表示されます。
|
|
•
|
ローカル ネットワークでネットワーク アドレス変換を実行するには、「変換後のローカル ネットワーク」メニューでアドレス オブジェクトを選択または作成します。
|
|
•
|
リモート ネットワークを変換するには、「変換後のリモート ネットワーク」ドロップダウン メニューでアドレス オブジェクトを選択または作成します。
|
|
補足:通常は、トンネルで NAT が必要な場合、ローカルとリモートの両方ではなくいずれかを変換する必要があります。「NAT ポリシーを適用する」は、トンネルの両サイドで同一または重複するサブネットを使用する場合に特に有用です。
|
|
ヒント:インターフェースの設定例を紹介するビデオ チュートリアルがオンラインで公開されています。例えば、「重複ネットワークが存在するサイト間 VPN における NAT over VPN の設定方法」を参照してください。
その他のビデオは、以下でご覧いただけます。 |
|
•
|
|
•
|
|
•
|
ゲートウェイの IP アドレスがある場合は、「デフォルト LAN ゲートウェイ (オプション)」フィールドに入力します。
|
|
•
|
「VPN ポリシーの適用先」ドロップダウン メニューからインターフェースを選択します。
|
|
14
|
「OK」を選択します。
|
|
15
|
|
1
|
|
2
|
|
3
|
SA の名前を「名前」フィールドに入力します。
|
|
4
|
「IPSec ゲートウェイ名またはアドレス」フィールドにローカル接続のホスト名または IP アドレスを入力します。
|
|
5
|
「ネットワーク」タブを選択します。
|
|
6
|
「ローカル ネットワーク」の下で、次のいずれかを選択します。
|
|
•
|
特定のローカル ネットワークが VPN トンネルにアクセス可能である場合は、「ローカル ネットワークをリストより選択」ドロップダウン メニューからローカル ネットワークを選択します。
|
|
•
|
任意のローカル ネットワークからトラフィックを発信できる場合は、「すべてのアドレス」を選択します。このオプションは、ピアで「この VPN トンネルをすべてのインターネット トラフィックのデフォルト ルートとして使用する」が選択されている場合に使用します。保護ゾーンと VPN ゾーンの間に、自動追加のルールが作成されます。
|
|
7
|
「対象先ネットワーク」の下で、次のいずれかを選択します。
|
|
•
|
どのローカル ユーザによるトラフィックも暗号化されていなければファイアウォールから出られないようにするには、「この VPN トンネルをすべてのインターネット トラフィックのデフォルト ルートとして使用する」を選択します。
|
|
•
|
あるいは、「対象先ネットワークをリストより選択」を選択して、アドレス オブジェクトまたはグループを選択します。
|
|
8
|
「プロポーザル」タブを選択します。
|
|
9
|
|
10
|
|
11
|
「暗号化鍵」フィールドに 48 文字の 16 進数暗号化鍵を入力するか、既定値を使用します。この暗号キーはリモート SonicWALL 暗号キーの設定に使用されるので、SonicWALL を設定するときに書き留めておいてください。
|
|
12
|
「認証鍵」フィールドに 40 文字の 16 進数認証鍵を入力するか、既定値を使用します。SonicWALL 設定を指定するためにキーを書き留めます。
|
|
13
|
「詳細」タブを選択して、VPN ポリシーに適用する次のオプション設定をすべて選択します。
|
|
•
|
「この VPN ポリシーに対してアクセス ルールを自動生成しない」設定は既定で有効になっていないので、VPN トラフィックは適切なゾーンを通過できます。
|
|
•
|
「Windows ネットワーク (NetBIOS) ブロードキャストを有効にする」- Windows の「ネットワーク コンピュータ」を参照してリモート ネットワーク リソースにアクセスできます。
|
|
•
|
このポリシーに一致するトラフィックを WAN 高速化 (WXA) 装置にリダイレクトできるようにするには、「高速化を許可する」を選択します。
|
|
•
|
SonicWALL でローカル、リモート、または両方のネットワーク通信を VPN トンネル経由で変換するには、「NAT ポリシーを適用する」を選択します。2 つのドロップダウン メニューが表示されます。
|
|
•
|
ローカル ネットワークでネットワーク アドレス変換を実行するには、「変換後のローカル ネットワーク」メニューでアドレス オブジェクトを選択または作成します。
|
|
•
|
リモート ネットワークを変換するには、「変換後のリモート ネットワーク」ドロップダウン メニューでアドレス オブジェクトを選択または作成します。
|
|
補足:通常は、トンネルで NAT が必要な場合、ローカルとリモートの両方ではなくいずれかを変換する必要があります。「NAT ポリシーを適用する」は、トンネルの両サイドで同一または重複するサブネットを使用する場合に特に有用です。
|
|
•
|
|
•
|
|
•
|
ゲートウェイの IP アドレスがある場合は、「デフォルト LAN ゲートウェイ (オプション)」フィールドに入力します。
|
|
•
|
「VPN ポリシーの適用先」メニューからインターフェースを選択します。
|
|
14
|
「OK」を選択します。
|
|
15
|
|
1
|
|
2
|
「一般」タブの「認証方式」リストで、「IKE (サードパーティ証明書を使用)」を選択します。「VPN ポリシー」ウィンドウの「IKE 認証」セクションに、サードパーティ証明書オプションが表示されます。
|
|
3
|
「名前」フィールドに SA 名を入力します。
|
|
4
|
「プライマリ IPSec ゲートウェイ名またはアドレス」フィールドにプライマリのリモート SonicWALL の IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力します。
|
|
5
|
セカンダリのリモート SonicWALL がある場合、「IPSec セカンダリ ゲートウェイ名またはアドレス」フィールドにリモート対象先の IP アドレスまたは完全修飾ドメイン名を入力します。
|
|
6
|
|
7
|
「ピア IKE ID 種別」メニューから次の ピア ID タイプのいずれかを選択します。
|
|
•
|
「電子メール (UserFQDN)」と「ドメイン名 (FQDN)」-「電子メール (UserFQDN)」と「ドメイン名 (FQDN)」の種別は、既定ではすべての証明書に含まれていない、証明書の「サブジェクト代替名」フィールドに基づいています。証明書に「サブジェクト代替名」が含まれている場合、その値を使用する必要があります。サイト間 VPN の場合、ワイルド カード文字 (2 文字以上の場合の * や、1 文字の場合の ? など) は使用できません。
|
電子メールまたはドメイン名の完全な値を入力する必要があります。Group VPNは複数のピアに接続することが想定されますが、サイト間 VPN は 1 つのピアに接続すると想定されるためです。
|
•
|
「識別名 (DN)」- 既定ですべての証明書に含まれている、証明書の「サブジェクト識別名」フィールドに基づいています。上述の「電子メール」と「ドメイン名」同様、サイト間 VPN の場合は、完全な識別名を入力する必要があります。ワイルド カード文字はサポートされていません。
|
「サブジェクト識別名」の形式は、発行元の認証局によって決定されます。一般的なフィールドは、国 (C=)、組織 (O=)、組織の単位 (OU=)、一般名 (CN=)、住所 (L=) などですが、発行元の認証局ごとに異なります。実際の X509 証明書の「サブジェクト識別名」フィールドはバイナリ オブジェクトであるため、目的に応じて文字列に変換する必要があります。フィールドは、次の例のようにフォワード スラッシュで区切られます。
/C=US/O=SonicWALL, Inc./OU=TechPubs/CN=Joe Pub
|
•
|
「IP アドレス (IPV4)」- IPv4 IP アドレスに基づきます。
|
|
8
|
「ピア IKE ID」フィールドに ID 文字列を入力します。
|
|
9
|
「ネットワーク」タブを選択します。
|
|
10
|
「ローカル ネットワーク」の下で、次のいずれかを選択します。
|
|
•
|
特定のローカル ネットワークが VPN トンネルにアクセス可能である場合は、「ローカル ネットワークをリストより選択」ドロップダウン メニューからローカル ネットワークを選択します。
|
|
•
|
任意のローカル ネットワークからトラフィックを発信できる場合は、「すべてのアドレス」を選択します。このオプションは、ピアで「この VPN トンネルをすべてのインターネット トラフィックのデフォルト ルートとして使用する」が選択されている場合に使用します。保護ゾーンと VPN ゾーンの間に、自動追加のルールが作成されます。
|
|
11
|
「対象先ネットワーク」の下で、次のいずれかを選択します。
|
|
•
|
どのローカル ユーザによるトラフィックも暗号化されていなければファイアウォールから出られないようにするには、「この VPN トンネルをすべてのインターネット トラフィックのデフォルト ルートとして使用する」を選択します。
|
|
•
|
あるいは、「対象先ネットワークをリストより選択」を選択して、アドレス オブジェクトまたはグループを選択します。
|
|
12
|
「プロポーザル」タブを選択します。
|
|
13
|
「IKE (フェーズ 1) プロポーザル」セクションで、次の設定を選択します。
|
|
•
|
|
•
|
「DH グループ」メニューから、必要な DH グループを選択します。
|
|
•
|
|
•
|
256 ビット ランダム ECP グループ、384 ビット ランダム ECP グループ、521 ビット ランダム ECP グループ、192 ビット ランダム ECP グループ、または 224 ビット ランダム ECP グループ
|
|
•
|
|
•
|
「認証」メニューから使用する認証種別を選択します。
|
|
•
|
|
14
|
「IPSec (フェーズ 2) プロポーザル」セクションで、次の設定を選択します。
|
|
•
|
「プロトコル」メニューから使用するプロトコルを選択します。
|
|
•
|
|
•
|
「認証」メニューから使用する認証種別を選択します。
|
|
•
|
セキュリティをさらに強化するために Diffie-Helman 鍵交換を追加する場合は、「Perfect Forward Secrecy を有効にする」を選択します。「DH グループ」メニューの「グループ 2」を選択します。
|
|
•
|
|
15
|
「詳細」タブを選択します。VPN ポリシーに適用する設定オプションを選択します。
|
|
•
|
この VPN トンネルでピア間のハートビート メッセージを使用する場合は、「キープ アライブを有効にする」を選択します。トンネルの一方の側が失敗した場合、キープアライブを使用することにより、両サイドが再び利用可能になったときにトンネルの自動的な再ネゴシエートが可能になります。 提案された存続期間が期限切れになるまで待つ必要はありません。
|
|
•
|
「この VPN ポリシーに対してアクセス ルールを自動生成しない」設定は既定で有効になっていないので、VPN トラフィックは適切なゾーンを通過できます。
|
|
•
|
アンチリプレイを無効にする場合は、「IPsec アンチリプレイを無効にする」を選択します。アンチリプレイは、部分的なシーケンス整合性を確保するための機能の 1 つで、(制約されたウィンドウ内の) 重複する IP データグラムの到着を検出します。
|
|
•
|
このトンネルの通過をトラフィックに許可する前に XAUTH 認証をユーザに要求するには、「リモート VPN クライアントに XAUTH での認証を要求する」を選択し、ユーザ グループを選択して「XAUTH に利用するユーザ グループ」から許可するユーザを指定します。
|
|
•
|
「Windows ネットワーキング (NetBIOS) ブロードキャストを有効にする」を選択すると、Windows® の「ネットワーク コンピュータ」を参照してリモート ネットワーク リソースにアクセスできます。
|
|
•
|
VPN トンネル経由のマルチキャスト トラフィックを許可するには、「マルチキャストを有効にする」チェックボックスを選択します。
|
|
•
|
このポリシーに一致するトラフィックを WAN 高速化 (WXA) 装置にリダイレクトできるようにするには、「高速化を許可する」を選択します。
|
|
•
|
SonicWALL でローカル、リモート、または両方のネットワーク通信を VPN トンネル経由で変換するには、「NAT ポリシーを適用する」を選択します。2 つのドロップダウン メニューが表示されます。
|
|
•
|
ローカル ネットワークでネットワーク アドレス変換を実行するには、「変換後のローカル ネットワーク」メニューでアドレス オブジェクトを選択または作成します。
|
|
•
|
リモート ネットワークを変換するには、「変換後のリモート ネットワーク」ドロップダウン メニューでアドレス オブジェクトを選択または作成します。
|
|
補足:通常は、トンネルで NAT が必要な場合、ローカルとリモートの両方ではなくいずれかを変換する必要があります。「NAT ポリシーを適用する」は、トンネルの両サイドで同一または重複するサブネットを使用する場合に特に有用です。
|
|
•
|
VPN 証明書状況を確認するために「OCSP 確認を有効にする」を選択して、状況を確認する URL を指定します。OCSP を SonicWALL ネットワーク セキュリティ装置で使用 を参照してください。
|
|
•
|
リモート SonicWALL を VPN トンネル経由で管理するには、「この SA を経由しての管理」から「HTTP」または「HTTPS」、あるいは両方を選択します。「この SA を経由してのユーザ ログイン」で「HTTP」、「SSH」、「HTTPS」、またはこの 3 つを任意の組み合わせで選択すると、ユーザは SA を使用してログインできます。
|
|
•
|
未知のサブネットに送信されてこのトンネルに入るトラフィックに対して LAN 上のルータを使用する場合、たとえば、トンネルの反対側に「この VPN トンネルをすべてのインターネット トラフィックのデフォルト ルートとして使用する」を設定した場合は、ルータの IP アドレスを「デフォルト LAN ゲートウェイ (オプション)」フィールドに入力する必要があります。
|
|
•
|
「VPN ポリシーの適用先」メニューからインターフェースまたはゾーンを選択します。WAN の負荷分散を使用していて、VPN でいずれかの WAN インターフェースを使用する場合は、「ゾーン」が推奨される選択です。
|
|
•
|
「IKEv2 設定」(「プロポーザル」タブの「交換」で「IKEv2」を選択した場合のみ表示される) では、「IKE SA ネゴシエーション中に、トリガー パケットを送信しない」チェックボックスが既定でオフになっています。相互運用性のために必要な場合のみ、これをオンにしてください。
|
“トリガー パケット"という用語は、SA ネゴシエーションを開始させたパケットからの IP アドレスを含む最初のトラフィック セレクタ ペイロードの使用を意味しています。セキュリティ ポリシー データベースから適切な保護 IP アドレス範囲を選択できるように IKEv2 応答側を支援するためにトリガー パケットを含めることをお勧めします。すべての実装でこの機能がサポートされているわけではないので、一部の IKE ピアでトリガー パケットを含めないようにしたほうがよいかもしれません。
証明書自体ではなく、ハッシュと証明書 URL を送信できる場合、これらのオプションを選択ます。これらのオプションを使用することにより、メッセージ交換のサイズを減少することができます。
「ハッシュ と URL 証明書種別を受け入れる」が選択された場合、ファイアウォールはピア装置に HTTP_CERT_LOOKUP_SUPPORTED メッセージを送信します。ピア装置が "Hash and URL of X.509c"証明書で返信すると、ファイアウォールが 2 台の装置間でトンネルの確立または認証が可能になります。
「ハッシュ と URL 証明書種別を送信する」が選択された場合、ファイアウォールが HTTP_CERT_LOOKUP_SUPPORTED メッセージを受信中に要求者に "Hash and URL of X.509c" 証明書を返信します。
VPN を使用する場合、2 台のピア ファイアウォール(FW1 と FW2)はトンネルをネゴシエートします。FW1 から見ると FM2 はリモート ゲートウェイになり、またその逆も同じです。
|
16
|
「OK」を選択します。
|
VPN トンネルが停止した場合に、静的ルートをセカンダリ ルートとして使用できるように設定するためのオプションがあります。「VPN パスを優先させる」オプションを使用すると、VPN トンネルのセカンダリ ルートを作成できます。既定では、静的ルートのメトリックは 1 に設定されており、VPN トラフィックよりも優先されます。「VPN パスを優先させる」オプションは、同じ送信先アドレス オブジェクトへの VPN トラフィックの優先度を、静的ルートよりも高くします。このため、以下のような動作になります。
|
•
|
VPN トンネルがアクティブな場合、「VPN パスを優先させる」オプションが有効であれば、VPN トンネルと送信先アドレス オブジェクトが一致する静的ルートが自動的に無効になります。すべてのトラフィックが VPN トンネルを通って送信先アドレス オブジェクトへ向かいます。
|
|
1
|
「ネットワーク > ルーティング」ページに移動します。
|
|
2
|
|
3
|
|
4
|
|
5
|
「VPN パスの優先を許可する」チェックボックスをオンにします。
|
|
6
|
「OK」を選択します。
|
静的ルートの設定、およびポリシー ベース ルーティングの詳細については、ネットワーク > ルーティング を参照してください。
