ローカル管理の Firebox またはサードパーティ VPN Endpoint に対して BOVPN を構成する

適用対象: クラウド管理の Firebox

クラウド管理の Firebox から、互換性のある設定でルートベース IKEv2 VPN をサポートする Firebox またはサードパーティ VPN Endpoint への Branch Office VPN (BOVPN) を構成できます。サードパーティ VPN Endpoint またはクラウドベースの Endpoint に BOVPN 仮想インターフェイスを構成することができます。サポートされている Endpoint には、Microsoft Azure や Amazon AWS、Cisco VTI Endpoint などのクラウドベースの仮想ネットワークが含まれます。

同じ WatchGuard Cloud アカウントにある 2 つのクラウド管理の Firebox 間で BOVPN を構成する方法については、次を参照してください:クラウド管理の Firebox 間に BOVPN を構成する

BOVPN を構成すると、WatchGuard Cloud はその構成をクラウド管理の Firebox に配備します。その後、同じ設定を使用してリモート Endpoint を構成する必要があります。

クラウド管理の Firebox に BOVPN を追加するには、以下を構成します。

  • VPN Gateway — 2 つのデバイスにおいて接続に使用される外部ネットワーク。
  • 認証メソッド — 以下の 2 つのオプションのいずれかを選択します。
    • 事前共有キー — トンネル経由で送信されるデータを暗号化および暗号化解除する際に使用される共有シークレット。20 文字以上のキーの長さを使用します。
    • 証明書 — トンネル認証に使用する IPSec Firebox 証明書。詳細については、次を参照してください:Branch Office VPN (BOVPN) トンネル認証の証明書 Fireware ヘルプ で。
  • NAT — (任意) 同じようなプライベート IP アドレス範囲を使用している 2 つのネットワーク間で Branch Office VPN (BOVPN) トンネルを作成すると、IP アドレスの競合が発生します。この競合がないトンネルを作成するには、VPN に NAT を追加できます。NAT では、1 つの範囲における 1 つまたは複数の IP アドレスから同じサイズの別の IP アドレス範囲までのマップが作成されます。最初の範囲にある各 IP アドレスが 2 番目の範囲の IP アドレスに対応します。
  • ネットワーク リソース — トンネル経由でトラフィックを送受信することができるネットワーク。
  • 仮想 IP アドレス — (推奨) 以下の場合は仮想 IP アドレスが必要。
  • BOVPN を SD-WAN アクションに追加する場合。
  • ゼロルート BOVPN を構成する場合。
  • Firebox で生成されたトラフィックへの応答がトンネル経由で送信されるようにする場合。例:DNS と DHCP トラフィック、Dimension、syslog、SNMP、NTP、認証 (Active Directory、LDAP、RADIUS)、およびトンネル経由でリソースに対して Firebox で確立されるその他の接続。
  • Don't Fragment (DF) ビット設定を有効化する — (任意) Firebox がパケットのヘッダーで元の DF ビット設定を使用するかどうかを制御します。
  • トンネル MTU を構成する — (任意) カスタム最大伝送単位 (MTU) を使用します。
  • セキュリティ設定 — VPN ネゴシエーションのための認証と暗号化の設定。

BOVPN とルーティング

BOVPN の構成では、BOVPN トンネル経由でアクセスできるネットワーク リソースを指定します。一方の Endpoint で選択したリソースは、BOVPN をゲートウェイとして、もう一方の Endpoint の静的ルートとなります。各リソースに指定した距離 (メトリック) は、ルーティング テーブルに表示されます。Firebox はルーティング テーブルを使用して、BOVPN トンネル経由でトラフィックを送信するかどうかを決定します。

同じサブネット内の両方の Endpoint にネットワーク リソースを指定する場合は、NAT を使用する必要があります。NAT を使用しない場合は、同じ IP アドレス範囲を使用するプライベート ネットワーク間で、BOVPN トンネル経由でトラフィックをルーティングすることはできません。

Firebox とローカル管理の VPN Endpoint またはサードパーティ VPN Endpoint との間の VPN の場合。

  • リモート Endpoint に指定したネットワーク リソースは、Firebox がトンネル経由でルーティングするトラフィックを指定します。これは、BOVPN をゲートウェイとして、クラウド管理の Firebox の静的ルートとなります。
  • Firebox に指定するネットワーク リソースは、リモート Endpoint によって VPN トンネル経由で Firebox にルーティングさせるリソースです。ここで指定したリソースは、Firebox が VPN トンネルを通じて受け入れるトラフィックを制限するものではありません。Firebox がこれらのリソースへの VPN トラフィックを受信するには、リモート Endpoint がこれらの IP アドレスへのトラフィックをトンネル経由でルーティングするように構成されている必要があります。

仮想 IP アドレス

仮想 IP アドレス は、物理インターフェイスに紐づいていない IP アドレスです。WatchGuard Cloud の BOVPN (BOVPN 仮想インターフェイス) では、仮想 IP アドレスはゲートウェイ (ネクスト ホップ) として機能します。Firebox で生成されるトラフィックと BOVPN 仮想インターフェイスに直接送信される応答トラフィックで、仮想 IP アドレスが使用されます。

仮想 IP アドレスは特定のシナリオでしか必要とされませんが、BOVPN の仮想 IP アドレスは必ず構成することをお勧めします。この構成により、トラフィックが期待通りにトンネルを通過して確実にルーティングされます。

仮想 IP アドレスは、以下の場合に構成する必要があります。

SD-WAN

SD-WAN アクションに BOVPN を追加する前に、両方の Endpoint で、/32 仮想 IP アドレスで BOVPN を構成する必要があります。両方の Endpoint で、仮想 IP アドレスとして /32 ホスト IP アドレスを構成すると、BOVPN リンク監視が暗黙的に有効化されます。リンク監視が有効化されていない BOVPN (両方の Endpoint に有効な /32 仮想 IP アドレスがない) は、SD-WAN アクションに選択することができません。

SD-WAN の詳細については、次を参照してください:SD-WAN を構成する

ゼロ ルーティング

ゼロルートの BOVPN ネットワーク リソース (0.0.0.0/0) を追加すると、すべてのネットワーク トラフィック (WatchGuard Cloud へのトラフィックを含む) を VPN トンネル経由で送信する既定のルートが作成されます。クラウド管理の Firebox の場合は、応答トラフィックで VPN トンネルが使用されるように、BOVPN 構成で仮想 IP アドレスを入力する必要があります。

Caution: ゼロルートの BOVPN ネットワーク リソースを追加しており、リモート VPN Endpoint がクラウド管理の Firebox から WatchGuard Cloud へのトラフィックをルーティングできない場合、Firebox の管理や監視ができなくなります。

Firefox で生成されるトラフィック

Firebox では、トンネル経由でトラフィックが生成されます。Firebox で生成されたトラフィックは、自己生成のトラフィック (self-generated traffic) または自己発生トラフィック (self-originated traffic) とも呼ばれます。

Firebox で生成されたトラフィックへの応答で VPN トンネルが使用されるように、各 Endpoint に /32 仮想 IP アドレスを入力する必要があります。Firebox の他の場所でこの IP アドレスを使用しないでください。トンネル ルート内の IP アドレスを使用する必要はありません。Firebox によって生成されるトラフィックの例には、DNS と DHCP トラフィック、Dimension、syslog、SNMP、NTP、認証 (Active Directory、LDAP、RADIUS)、およびトンネル経由でリソースに対して Firebox で確立されるその他の接続が含まれます。

BOVPN と自動配備

BOVPN を追加、編集、または削除すると、BOVPN の構成が自動的に配備され、クラウド管理の Firebox でダウンロードできるようになります。自動配備に BOVPN 設定の変更のみが含まれるようにするため、Firebox に配備されていない他の構成変更がある場合は、BOVPN の変更を保存することはできません。

BOVPN を追加、編集、または削除する前に、Firebox に配備されていない変更がないことを確認してください。

クラウド管理の Firebox とローカル管理の Firebox またはサードパーティ VPN Endpoint との間に BOVPN を追加する

BOVPN は、特定の Firebox の BOVPN ページから追加することも、共有構成ページである VPN ページから追加することもできます。詳細については、次を参照してください:クラウド管理の Firebox で BOVPN を管理する

BOVPN をクラウド管理の Firebox に追加するには、WatchGuard Cloud から以下の手順を実行します。

  1. 以下の方法のいずれかを使用して、BOVPN ページを開きます。
    • 現在選択しているアカウントのすべての Firebox の BOVPN を管理するには、構成 > VPN の順に選択します。
    • 特定の Firebox の BOVPN を管理するには、デバイス構成ページで Branch Office VPN タイルをクリックします。
  2. いずれかの BOVPN ページで、Branch Office VPN タイルをクリックします。
    BOVPN ページには、現在構成されている BOVPN が表示されます。

Screen shot of the BOVPN page with no BOVPNs added

  1. BOVPN を追加する をクリックします。
    BOVPN を追加する ページが開きます。
  2. 名前 テキスト ボックスに、この BOVPN の名前を入力します。
  3. VPN 接続の種類 ドロップダウン リストから、ルートベース IPSec からローカル管理の Firebox / サードパーティ を選択します。
    Endpoint B セクションの内容が、Firebox の一覧から Endpoint の名前のテキスト ボックスに変わります。

ルートベース IPSec からローカル管理の Firebox / サードパーティ オプションは、以前は ローカル管理の Firebox またはサードパーティ VPN Endpoint と呼ばれていました。

  1. アドレス ファミリ ドロップダウン リストから、IPv4 アドレス または IPv6 アドレス を選択します。
    IPv6 アドレス を選択した場合は、他の BOVPN Endpoint で IPv6 がサポートされるように構成されている必要があります。

また、ルートベース IPSec からローカル管理の Firebox / サードパーティ を選択し、異なる WatchGuard Cloud アカウントの Firebox の間で BOVPN を作成することもできます。

Screen shot of the Add BOVPN page with Locally-Managed Firebox or third-party VPN endpoint selected

  1. Endpoint A セクションで、アカウント内のクラウド管理の Firebox を選択します。
    デバイス構成 ページで BOVPN を追加した場合、Endpoint A リストには 1 つの Firebox のみが表示されます。
  2. Endpoint B セクションの Endpoint 名 テキスト ボックスに、このリモート VPN Endpoint を識別する名前を入力します。
    BOVPN 構成は、この名前を使用して Endpoint B を参照します。

Screenshot of the Define VPN endpoints settings, with a local and remote VPN endpoint specified

  1. 次へ をクリックします。
    VPN Gateway の設定ページが開きます。

Screen shot of the VPN Gateways and Pre-shared key settings

  1. この VPN 接続に IPSec Firebox 証明書を使用する場合は、IPSec Firebox 証明書を使用する を選択します。代わりに事前共有キーを使用する場合は、手順 11 に進みます。
    証明書のリストが表示されます。

Screenshot of the IPSec certificate option in the Add a BOVPN Wizard

    1. 証明書を選択します。
    2. クラウド管理の Firebox の場合は、外部ネットワークを 1 つ選択します。
    3. この外部ネットワークについて、ドロップダウン リストから IP アドレスを指定します。x500 名、ドメイン名、または IP アドレスを選択します。使用可能なオプションは、証明書の構成によって異なります。
      DHCP または PPPoE の IP アドレスが構成されているネットワークの場合は、既定の IP アドレスが Any (動的) となります。
    4. リモート Endpoint の場合は、以下の手順を実行します。
      • IP アドレス ドロップダウン リストから IP アドレスを選択する、または IP アドレスを入力します。
      • Endpoint ID テキスト ボックスに、リモート Endpoint の IP アドレスに解決される x500 名、ドメイン名、または IP アドレスを入力します。
    1. 次へ をクリックします。
  1. この接続に事前共有キーを使用するには、クラウド管理の Firebox の外部ネットワークを 1 つ選択します。
    1. Firebox の外部ネットワーク IP アドレスに解決される IP アドレスまたはドメイン名を指定します。
    2. リモート Endpoint の場合は、IP またはドメイン名 テキスト ボックスに、リモート Endpoint の IP アドレスに解決される IP アドレスまたはドメイン名を入力します。
    3. 事前共有キー テキスト ボックスに、この VPN トンネルをセキュリティで保護するための事前共有キーを入力します。
    4. 次へ をクリックします。

Screen shot of the Traffic settings

  1. VPN トンネル経由でアクセスする Firebox の内部ネットワークとゲスト ネットワークを選択します。
  2. (任意) 両方のネットワークで同じプライベート IP アドレス範囲を使用している場合の競合を避けるには、Endpoint に NAT を追加します。
    1. NAT を追加するクラウド管理対象 Endpoint の横で、NAT を追加 をクリックします。
      NAT を追加する ダイアログ ボックスが開きます。
    2. NAT テキスト ボックスに、NAT の IP アドレスとネットマスクを入力します。

    3. 追加 をクリックします。
      NAT 情報はネットワーク Endpoint エントリの横に表示されます。

    NAT IP アドレスを削除するには、NAT テキスト ボックスを編集して空欄にし、保存 をクリックします。

  3. 内部ネットワークやゲスト ネットワーク以外のネットワーク リソースを追加するには、以下の手順を実行します。
    1. Firebox リソースのセクションで、ネットワーク リソースの追加 をクリックします。
      ネットワーク リソースの追加 ダイアログ ボックスが開きます。
      Screen shot of the Add Network Resource dialog box
    1. ネットワーク リソース テキスト ボックスに、ネットワーク IP アドレスとネットマスクを入力します。ヒント!
    2. 距離 テキスト ボックスに、1 ~ 254 の値を入力します。低いメトリックのルートの優先順位が高くなります。規定値は 1 です。Fireware v12.9 以降では、距離 設定が メトリック 設定に置き換わっています。
    3. (任意) NAT をネットワーク リソースに追加するには、以下の手順を実行します。
      1. NAT を追加する をクリックします。
      2. NAT テキスト ボックスに、NAT の IP アドレスとネットマスクを入力します。
        NAT テキスト ボックスで使用されているネットマスクは、ネットワーク リソースのネットマスクと一致する必要があります。

    4. 追加 をクリックします。
      ネットワーク リソースが Endpoint のトラフィック設定に追加されます。
  4. リモート Endpoint のネットワーク リソースを追加します。
    1. 2 つ目の Endpoint のセクションで ネットワーク リソースの追加 をクリックします。
    1. ネットワーク リソース テキスト ボックスに、ネットワーク IP アドレスとネットマスクを入力します。
    2. 距離 テキスト ボックスに、1 ~ 254 の値を入力します。低いメトリックのルートの優先順位が高くなります。規定値は 1 です。Fireware v12.9 以降では、距離 設定が メトリック 設定に置き換わっています。
    3. 追加 をクリックします。
      ネットワーク リソースが Endpoint のトラフィック設定に追加されます。
  5. 前の手順を繰り返して、他のネットワーク リソースを追加します。
  6. (推奨) 各 Endpoint の 仮想 IP アドレス テキスト ボックスに、IP アドレスを入力します。仮想 IP アドレス は、物理インターフェイスに紐づいていない IP アドレスです。WatchGuard Cloud の BOVPN (BOVPN 仮想インターフェイス) では、仮想 IP アドレスはゲートウェイ (ネクスト ホップ) として機能します。BOVPN 仮想インターフェイスに直接送信される応答トラフィックに、仮想 IP アドレスが使用されます。

場合によっては、仮想 IP アドレスが必要となります。

  • この BOVPN を SD-WAN アクションに追加するには、32 ネットマスクで仮想 IP アドレスを指定する必要があります。
  • ゼロルート BOVPN を構成する場合は、応答トラフィックで VPN トンネルが使用されるように、仮想 IP アドレスを入力する必要があります。ゼロルートの BOVPN ネットワーク リソースを追加しており、リモート VPN Endpoint がクラウド管理の Firebox から WatchGuard Cloud へのトラフィックをルーティングできない場合、Firebox の管理や監視ができなくなります。
  • Firebox で生成されたトラフィックの場合は、仮想 IP アドレスが必要となります。そうすれば、その応答トラフィックで VPN トンネルが使用されます。Firebox によって生成されるトラフィックの例には、DNS と DHCP トラフィック、Dimension、syslog、SNMP、NTP、認証 (Active Directory、LDAP、RADIUS)、およびトンネル経由でリソースに対して Firebox で確立されるその他の接続が含まれます。

Screen shot of the virtual IP address settings

  1. (任意) クラウド管理対象 Endpoint に対し、Don't Fragment (DF) ビット設定を有効化する を選択することができます。DF ビットは、パケットのヘッダー内のフラグです。この設定は、Firebox がパケットのヘッダーで元の DF ビット設定を使用するかどうかを制御します。

Screenshot of the Don't Fragment (DF) Bit Settings UI.

Don't Fragment (DF) ビット設定を有効化する ドロップダウン リストから、以下のオプションのうち 1 つを選択します。

コピー

IPSec パケットの元の DF ビット設定をカプセル化ヘッダーにコピーします。
フレームに DF ビットが設定されていない場合は、Firebox は DF ビットを設定せず、必要に応じてパケットをフラグメントします。フレームがフラグメント化されるように設定していない場合は、Firebox がフレーム全体をカプセル化し、暗号化されたパケットの DF ビットを元のフレームと同じになるように設定します。

設定

元のビット設定に関係なく、Firebox は IPSec パケットをフラグメント化できません。
他の Firebox を経由して Firebox に IPSec 接続する必要があり、IPSec パススルー機能を有効化したい場合はこのオプションを選択しないでください。

クリア

元のビット設定に関係なく、Firebox は IPSec パケットをフラグメント化できます。
このオプションでは、元のビット設定に関係なく、IPSec パケットに収まるようフレームを分割します。

Endpoint の DF ビット設定を指定しないと、Endpoint は外部インターフェイス設定で指定された DF ビット設定を使用します。

  1. (任意) クラウド管理の Firebox にお場合、トンネル MTU を構成 テキスト ボックスにカスタム最大伝送単位 (MTU) を入力します。このオプションの既定の MTU 値は 1400 バイトです。MTU は、ネットワークが伝送できる最大のデータ パケット量をバイト単位で指定します。Endpoint が特定のサイズを超過するパケットをドロップするサードパーティの VPN Endpoint に接続する場合、カスタム MTU 値を指定することが望ましい場合があります。

    2. Screenshot of the Configure Tunnel MTU UI.

  1. 次へ をクリックします。
    セキュリティ設定 ページが開きます。

Screen shot of the default security settings

  1. 既定のセキュリティ設定を使用するか、リモート VPN Endpoint でサポートされる設定に合わせて編集します。詳細については、次を参照してください:BOVPN セキュリティ設定を構成する。BOVPN スループットの詳細については、BOVPN スループットを最適化する を参照してください。
  2. 追加 をクリックします。
    BOVPN 配備が追加され、BOVPN ガイド ページが開きます。

Screen shot of the last page of the Add BOVPN wizard, with the View Guide link

  1. BOVPN ガイドを新しいブラウザ タブで開くには、ガイドを表示する をクリックします。
    BOVPN ガイドが新しいブラウザ タブで開きます。このページは印刷したり、PDF に保存したりすることができます。
  2. BOVPN リストに戻るには、完了 をクリックします。

BOVPN ガイドを表示する

WatchGuard Cloud では、各 BOVPN に対して、リモート VPN Endpoint で必要な VPN 構成設定をまとめた VPN ガイドが生成されます。BOVPN ガイドは、BOVPN の編集 ページから見ることができます。詳細については、次を参照してください:BOVPN ガイドを表示する

リモート VPN Endpoint の構成

リモート VPN Endpoint で、クラウド管理の Firebox の VPN 設定と同じ設定でルートベース IKEv2 VPN を追加します。詳細については、次を参照してください:ローカル管理の Firebox またはサードパーティ VPN Endpoint 設定でリモート VPN Endpoint を構成する

BOVPN の編集または削除

BOVPN は、BOVPN ページから編集または削除することができます。詳細については、次を参照してください:クラウド管理の Firebox で BOVPN を管理する

関連トピック

デバイス構成の配備を管理する

Firebox の内部ネットワークまたはゲスト ネットワークを構成する

証明書を管理する