VPN フェールオーバーを構成する

Firebox は一度に 1 つのインターフェイスで特定の VPN を終端することができます。デバイスに複数の外部インターフェイスがある場合でそのいずれかが使用できない場合は、Firebox は、異なる外部インターフェイス経由で VPN とのネゴシエーションを試みることができます。また、Fireboxのモデム フェールオーバーが有効化されている場合には、VPN フェールオーバーにモデムを使用することができます。

フェールオーバーは、高可用性を必要とするネットワークにとって重要な機能です。複数 WAN フェールオーバーを構成している場合は、障害が発生すると、VPN トンネルがバックアップ外部インターフェイスに自動的にフェールオーバーされます。VPN トンネルは、プライマリ endpoint が使用できなくなった場合に、バックアップ ピア endpoint にフェールオーバーするように構成することもできます。

このトピックは、Manual VPNトンネルだけに適用されます。複数 WAN 構成で Managed トンネルを作成している場合は、トンネルの両端の外部インターフェイスを含むゲートウェイ ペアが、WSM によって自動的にセットアップされます。その他の構成は不要です。

VPN フェールオーバーは、次の 2 つのイベントのいずれかの場合に発生します。

  • 物理リンクが切断された場合。Firebox では、VPN ゲートウェイおよび複数 WAN リンク監視構成で特定されたデバイスのステータスが監視されます。物理リンクが切断されると、VPN フェールオーバーが行われます。
  • Firebox は VPN ピアがアクティブでないことを検出します。

フェールオーバーが行われると、トンネルが IKE キープ アライブを使用する場合、IKE はピアに対するフェーズ 1 のキープアライブ パケットの送信を続行します。応答を受信すると、IKE はプライマリ VPN ゲートウェイに対してフェールバックをトリガします。トンネルがデッド ピア ディテクションを使用すると、プライマリ VPN ゲートウェイから応答を受信した場合に、フェールバックが発生します。

フェールオーバー イベントが発生すると、ほとんどの新しい接続および既存の接続が自動的にフェールオーバーされます。たとえば、FTP “PUT” コマンドを実行してプライマリ VPN パスが切断されると、既存の FTP 接続はバックアップ VPN パスで続行されます。接続は失われませんが、多少の遅延が発生します。

VPN フェールオーバーの要件:

  • 各トンネルの endpoint にあるデバイスには、Fireware v11.0 以降を実行している Firebox がインストールされている必要があります。
  • 複数 WAN について に説明されているように、複数 WAN フェールオーバーを構成する必要があります。
  • Firebox のインターフェイスが、リモート Firebox のゲートウェイのペアとしてリストされている必要があります。既に複数 WAN フェールオーバーを構成している場合は、VPN トンネルがバックアップ インターフェイスに自動的にフェールオーバーされます。
  • DPD は、トンネルの各端にある Branch Office ゲートウェイに対して、フェーズ 1 の設定で有効化されている必要があります。
  • 各ゲートウェイ アドレスのペアは、両方の Firebox のゲートウェイ Endpoint のリストと同じ順序で一覧されている必要があります。

VPN フェールオーバーは、サードパーティ製デバイスへの VPN 接続ではサポートされていません。

トンネル構成の一部として動的 NAT が有効になっている BOVPN トンネルでは、VPN フェールオーバーは行われません。NAT を使用しない BOVPN トンネルでは VPN フェールオーバーが行われ、BOVPN セッションが続行されます。Mobile VPN トンネルでは、セッションは続行されません。新しい Mobile VPN トンネルを作成するには、Mobile VPN クライアントを再度認証する必要があります。

複数ゲートウェイ ペアを定義する

いずれかの endpoint デバイスに、IKE ネゴシエーションの送受信に使用できる複数の外部インターフェイスがある場合は、Branch Office VPN ゲートウェイ構成で、複数のローカルおよびリモートの endpoint セットを追加することができます (ゲートウェイ endpointのペア)。手動 BOVPN トンネルがバックアップ endpoint にフェールオーバーするように構成するには、トンネルが使用する Branch Office VPN ゲートウェイに、複数のローカルおよびリモートの endpoint セット (ゲートウェイ ペア) を定義する必要があります。

複数 WAN 構成で Managed トンネルを作成している場合は、トンネルの両端の外部インターフェイスを含むゲートウェイ ペアが、WSM によって自動的にセットアップされます。その他の構成は不要です。

VPN 構成で完全なフェールオーバー機能を構成するには、トンネルの両側における外部インターフェイスのそれぞれの組み合わせについて、ゲートウェイ ペアを定義する必要があります。たとえば、それぞれ 2 つの外部インターフェイスを持つ 2 つの Firebox を考えてください。

ローカル Firebox

プライマリ外部インターフェイス の IP アドレス:203.0.113.2

セカンダリ外部インターフェイス の IP アドレス:192.0.2.1

リモート Firebox

プライマリ外部インターフェイス の IP アドレス:198.51.100.2

セカンダリ外部インターフェイス の IP アドレス:192.0.2.2

完全な VPN フェールオーバーを設定するには、ローカル Firebox の Branch Office ゲートウェイに 4 つのゲートウェイ ペアを追加する必要があります。

203.0.113.2 — 198.51.100.2
203.0.113.2 — 192.0.2.2
192.0.2.1 — 198.51.100.2
192.0.2.1 — 192.0.2.2

  1. VPN > Branch Office VPN の順に選択します。
  2. ゲートウェイ リストで 追加 をクリックして、新しいゲートウェイを追加します。手動 BOVPN ゲートウェイを構成する に説明されているように、ゲートウェイに名前を付けて、認証メソッドを定義します。
  3. ゲートウェイ Endpoint セクションで、追加 をクリックします。
    ゲートウェイ Endpoint の設定 ダイアログ ボックスが表示されます。

ゲートウェイ Endpoint の設定、ローカル ゲートウェイ タブのスクリーンショット

  1. ローカル ゲートウェイの場所を指定します。外部インターフェイス ドロップダウン リストから、ローカル ゲートウェイ IP アドレスまたは追加したドメイン名に一致する外部インターフェイスの名前を選択します。
  2. リモートゲートウェイ タブを選択します。

ゲートウェイ Endpoint の設定 ダイアログ ボックス、リモートゲートウェイ タブのスクリーンショット

  1. ローカル ゲートウェイの場所を指定します。リモートゲートウェイには、ゲートウェイ IP アドレスとゲートウェイ ID の両方を追加することができます。通常、ゲートウェイ ID は IP アドレスです。リモートゲートウェイが NAT デバイスの背後にあり、NAT デバイスの背後にあるネットワークに対する認証でさらに情報が必要となる場合、IP アドレス以外をゲートウェイ ID として使用する必要がある場合があります。
  2. OK をクリックして、ゲートウェイ Endpoint の設定 ダイアログ ボックスを閉じます。
    定義したゲートウェイ ペアが、ゲートウェイ endpoint のリストに追加されます。
  3. 前の手順を繰り返して、このゲートウェイ構成にゲートウェイ ペアを追加します。ゲートウェイ に追加できるゲートウェイ ペアは最大 9 つまでです。ペアを選択して、上に移動 または 下に移動 をクリックし、Firebox が接続を試みる順序を変更します。

  1. 保存 をクリックします。
  1. VPN > Branch Office ゲートウェイ の順に選択します。追加 をクリックして、新しいゲートウェイを追加します。手動 BOVPN ゲートウェイを構成する に説明されているように、ゲートウェイに名前を付けて、認証メソッドを定義します。
  2. 新しいゲートウェイ ダイアログ ボックスの ゲートウェイ Endpoint セクションで、追加 をクリックします。
    新しい ゲートウェイ Endpoint の設定 ダイアログ ボックスが表示されます。

複数のゲートウェイ ペアのうち最初のゲートウェイ ペアの 新しいゲートウェイ Endpoint の設定 ダイアログ ボックスのスクリーンショット

  1. ローカル ゲートウェイの場所を指定します。外部インターフェイス ドロップダウン リストから、ローカル ゲートウェイ IP アドレスまたは追加したドメイン名に一致する外部インターフェイスの名前を選択します。
  2. ローカル ゲートウェイの場所を指定します。リモートゲートウェイには、ゲートウェイ IP アドレスとゲートウェイ ID の両方を追加することができます。通常、ゲートウェイ ID は IP アドレスです。リモートゲートウェイが NAT デバイスの背後にあり、NAT デバイスの背後にあるネットワークに対する認証でさらに情報が必要となる場合、IP アドレス以外をゲートウェイ ID として使用する必要がある場合があります。
  3. OK をクリックして、新しいゲートウェイ Endpoint の設定 ダイアログ ボックスを閉じます。
    定義したゲートウェイ ペアが、ゲートウェイ endpoint のリストに追加されます。
  4. 前の手順を繰り返して、このゲートウェイ構成にゲートウェイ ペアを追加します。ゲートウェイ に追加できるゲートウェイ ペアは最大 9 つまでです。ペアを選択して、上に移動 または 下に移動 をクリックし、Firebox が接続を試みる順序を変更します。

  1. OK をクリックします。

リモート Firebox と同じ手順で、対応するローカルとリモートの IP アドレスが指定されている 4 つのゲートウェイのペアを追加します。

リモート Firebox では、ゲートウェイ Endpoint リストのローカルとリモートのゲートウェイは次のようになります。

198.51.100.2 — 203.0.113.2
192.0.2.2 — 203.0.113.2
198.51.100.2 — 192.0.2.1
192.0.2.2 — 192.0.2.1

各ゲートウェイ アドレスのペアは、両方の Firebox のゲートウェイ Endpoint のリストと同じ順序で一覧されている必要があります。

関連情報:

VPN モデム フェールオーバーを構成する

VPN モデム フェールオーバーおよび Multi-WAN