手動 IPSec Branch Office VPN について

Virtual Private Network (VPN) によって、異なる場所にあるコンピュータまたはネットワーク間に、セキュリティで保護された接続が確立されます。これらの接続はトンネルと呼ばれます。VPN トンネルが作成されると、2 つのトンネル endpoint がお互いに認証されます。トンネルの中のデータは暗号化されており、トラフィックの送信者と受信者だけが読み取ることができるようになっています。

branch office virtual private network (BOVPN) が、地理的に離れたオフィスの間のセキュリティで保護され暗号化された接続を組織に有効化します。BOVPN トンネルのネットワークおよびホストは、企業の本社、支社、または Microsoft Azure や Amazon AWS、リモートユーザー、テレコミューターなどのクラウドベースの endpoint です。BOVPN 通信では、多くの場合、企業のファイアウォール内で交換されるような重要なデータがやり取りされます。このシナリオでは、BOVPN によってオフィス間で機密性の高い接続が提供されます。これにより、通信が効率化され、専用線のコストが軽減され、各 endpoint でのセキュリティが保持されます。

マニュアル BOVPN トンネル には、追加トンネルのためのオプションが多数あります。もう 1 つの種類のトンネルは、管理対象 BOVPN トンネル で、ドラッグアンドドロップまたはウィザードで、集中管理されたデバイス間に作成することができます。このタイプのトンネルの詳細については、次を参照してください：管理対象 Branch Office VPN トンネル (WSM)。

WatchGuard Branch Office VPN は、IPSec または TLS を使用して BOVPN トンネルをセキュリティ保護します。Branch Office VPN トンネルは、トンネルの両端にあるデバイスの外部インターフェイスに接続する必要があります。

IPSec VPN の動作方法の詳細については、次を参照してください：IPSec VPN の仕組み。。TLS VPNの詳細については、次を参照してください：TLS 経由の Branch Office VPN について。

BOVPN の要件および計画

Firebox と別の IPSec VPN ゲートウェイの間に IPSec Branch Office VPN を作成するには、以下の条件が満たされている必要があります：

2 つの Firebox、または Firebox とサードパーティの IPSec VPN ゲートウェイが存在している必要があります。
2 つのゲートウェイにはそれぞれ、インターネットに接続できるインターフェイスがある必要があります。
他の VPN デバイスに割り当てられている IP アドレスが静的であるか動的であるかを確認する必要があります。他の VPN デバイスに動的 IP アドレスがあり、動的 DNS を使用している場合は、そのデバイスのドメイン名を指定できます。他のデバイスに動的 DNS がない場合、そのデバイスがイニシエータである場合は、解決不可能なドメイン文字列を送信することができます。動的 endpoint の場合は、IKEv1 アグレッシブモードまたは IKEv2 (推奨) のいずれかを使用する必要があります。
各 VPN デバイスの ISP では、IPSec トラフィックがネットワークを通過することを許可していなければなりません。
一部の ISP では、VPN トンネルをサポートするレベルまでインターネットサービスをアップグレードしない限り、ネットワーク上での VPN トンネルの作成が許可されません。VPN が正しく機能するように、これらのポートとプロトコルが許可されていることを確認してください。
- UDP ポート 500 (Internet Key Exchange または IKE)
- UDP ポート 4500 (NAT Traversal)
- IP プロトコル 50 (ESP (カプセル化セキュリティペイロード))

Branch Office VPN を構成する前に、使用する VPN ゲートウェイとトンネルの設定に関して合意し、トンネル経由でトラフィックを送信するプライベートネットワークの IP アドレスを用意しておく必要があります。

認証メソッドとして事前共有キーを使用する場合は、トンネルの共有キー（パスフレーズ）が分かっている必要があります。各デバイスが同じ共有キーを使用する必要があります。共有キーには最長 79 字を使用できます。Fireware v12.5.4 以降では、16 進数の事前共有キーを指定できます。六角ベースのキーについては、次を参照してください：六角ベースの事前共有キー。
認証メソッドとして証明書を使用する場合は、両方の endpoint に同じ証明書がインストールされている必要があります。
(Fireware v12.6.2 以降) リモート endpoint 検証用の CA 証明書を指定する を選択した場合、VPN ピアからの証明書は、指定されたルートまたは中間 CA 証明書を含む証明書チェーンの一部である必要があります。ピア証明書がチェーンの一部ではない場合、Firebox はフェーズ 1 トンネル交渉を拒否します。
トンネルで使用される暗号化方法（3DES、AES-128 ビット、AES-192 ビット、または AES-256 ビット）。Fireware v12.2 以降では、AES-GCM (128-bit)、AES-GCM (192-bit) またはAES-GCM (256-bit) を指定することもできます。2 つの VPN デバイスが同じ暗号化方法を使用する必要があります。最高のパフォーマンスとセキュリティを実現するには、サポートされている Firebox デバイスのすべての Branch Office VPN で、AES かより強力な暗号化を使用することをお勧めします。
トンネルの各端の認証方法を知っている必要があります (MD5、SHA-1、SHA2-256、SHA2-384、SHA2-512)。2 つの VPN デバイスが同じ認証メソッドを使用する必要があります。
Firebox の配下にあるプライベート (信頼済み) ネットワーク、および他の VPN デバイスの配下にあるネットワークのネットワークアドレス、さらにサブネットマスクを確認する必要があります。
Firebox の配下にあるコンピュータのプライベート IP アドレスのいずれかが VPN トンネルの反対側にあるコンピュータの IP アドレスと同じである場合は、競合を避けるために、1-to-1 NAT を使用して IP アドレスをマスカレードすることができます。詳細については、Branch Office VPN トンネル経由で 1-to-1 NAT を構成するを参照してください。

ローカルの Firebox 構成、および接続するリモート VPN ゲートウェイの情報を記録することをお勧めします。収集する情報のリストについては、サンプル VPN 情報表を参照してください。また、BOVPN 構成を印刷または保存して、設定を簡単に比較することができます。詳細については、BOVPN 構成レポートを使用するを参照してください。

BOVPN トンネル構成のオプション

BOVPN トンネルを構成する 2 つの方法があります。選択する方法によって、Firebox でトラフィックがトンネル経由で送信されるかどうかが決定されます。

BOVPN ゲートウェイを設定し、BOVPN トンネルを追加する

BOVPN ゲートウェイを設定し、そのゲートウェイを使用する 1 つまたは複数の BOVPN トンネルを追加することができます。このオプションにより、2 つの Firebox デバイス間、または同じゲートウェイやトンネルの設定を使用する別のデバイスと Firebox との間に、BOVPN トンネルを設定することができます。この構成方法を使用すると、パケットの送信元と送信先が構成されている BOVPN トンネルに一致する場合は、Firebox は常に BOVPN トンネル経由でパケットをルーティングします。

Branch Office VPN ビデオチュートリアル（12分）で、Policy Manager で BOVPN ゲートウェイとトンネルを構成する方法のデモをご覧ください。

ゲートウェイとトンネル設定の構成方法の詳細については、次を参照してください：

手動 BOVPN ゲートウェイを構成する — トンネルのローカルとリモートの両接続ポイントを構成する。
トンネルを定義する — トンネルルートとセキュリティ設定を構成する。

BOVPN 仮想インターフェイスを構成する

また、BOVPN を BOVPN 仮想インターフェイス経由として構成し、その仮想インターフェイス経由のルートを追加することができます。この構成方法を使用すると、Firebox はパケットの送信インターフェイスに基づいて、トンネル経由でパケットをルーティングします。ポリシーを構成する際に、宛先として BOVPN 仮想インターフェイスを選択することができます。Firebox が VPN トンネル経由でトラフィックを送信するかどうかに関する決定には、静的・動的ルートおよびポリシーベースのルーティングが影響します。

詳細については、BOVPN 仮想インターフェイスについてを参照してください。

カスタムトンネルポリシー

BOVPN トンネルを構成する際に、Firebox では新しい VPN トンネルが BOVPN-Allow.in および BOVPN-Allow.out ポリシーに自動的に追加されます。このポリシーにより、すべてのトラフィックがトンネルを使用できるようになります。このポリシーを使用せず、カスタム VPN ポリシーを作成して、指定したトラフィックの種類のみにトンネルの通過を許可することもできます。詳細については、カスタムトンネルポリシーを定義するを参照してください。

単方向トンネル

トラフィックが単方向だけに流れる VPN トンネルを作成する場合は、トンネルが動的 NAT 送信を使用するように構成します。これは、すべての VPN トラフィックが 1 つのパブリック IP アドレスから送信されるリモートサイトへのトンネルを作成する場合に役立ちます。詳細については、Branch Office VPN トンネル経由で発信方向の動的 NAT を構成するを参照してください。

VPN フェールオーバー

VPN トンネルは、WAN フェールオーバー中に、バックアップ WAN インターフェイスに自動的にフェールオーバーします。プライマリ endpoint が使用できなくなったときにバックアップ endpoint にフェールオーバーするよう、BOVPN トンネルを構成できます。フェールオーバー設定を構成するには、次に説明されているように、少なくとも 1 つのバックアップ endpoint を定義する必要があります：VPN フェールオーバーを構成する。

グローバル VPN 設定

Firebox のグローバル VPN 設定は、すべての手動 BOVPN トンネル、BOVPN 仮想インターフェイス、管理対象 BOVPN トンネル、および Mobile VPN トンネルに適用されます。これらの設定を使用して、次のことを実行できます。

IPSec パススルーを有効にする。
サービスの種類 (TOS) ビットの設定を使用して、パケットの設定をクリアまたは維持する。
IPSec を使用するか判断するための既定以外のルートの使用の有効化
組み込み IPSec ポリシーの無効化または有効化
LDAP サーバーを使用して証明書を検証する。
BOVPN トンネルがダウンした際に通知が送信されるように Firebox を構成します (BOVPN トンネルのみ)。

これらの設定を変更するには、Policy Manager から VPN > VPN 設定の順に選択します。これらの設定を変更するには、Fireware Web UI から VPN グローバル設定 の順に選択します。これらの設定の詳細については、次を参照してください：グローバル VPN 設定について。

BOVPN トンネルのステータス

BOVPN トンネルの現在のステータスは、デバイスに接続している状態で、Firebox System Manager の フロントパネル タブまたは WatchGuard System Manager の デバイスステータス タブで見ることができます。詳細については、VPN トンネルのステータスと登録サービスを参照してください。

Fireware Web UI から、BOVPN トンネルの現在のステータスを見るには、システムステータス > VPN 統計 の順に選択します。詳細については、VPN 統計を参照してください。

BOVPN トンネルのキーを再生成する

BOVPN トンネルキーの期限終了まで待たない場合は、Firebox System Manager を使用して、ただちに BOVPN トンネルの新しいキーを生成することもできます。詳細については、Branch Office VPN トンネルキーを強制的に再生成するを参照してください。