ローカル管理の Firebox またはサードパーティ VPN endpoint に対して BOVPN を構成する

適用:クラウド管理の Fireboxes

クラウド管理の Firebox から、互換性のある設定で IKEv2 VPN をサポートする Firebox またはサードパーティ VPN endpoint への VPN を構成できます。サードパーティ VPN endpoint またはクラウドベースの endpoint に BOVPN 仮想インターフェイスを構成することができます。サポートされている endpoint には、Microsoft Azure や Amazon AWS、Cisco VTI endpoint などのクラウドベースの仮想ネットワークが含まれます。

同じ WatchGuard Cloud アカウントに含まれている、2 つのクラウド管理の Fireboxes の間に BOVPN を構成する方法については、次を参照してください:クラウド管理の Fireboxes 間に BOVPN を構成する

BOVPN を構成すると、WatchGuard Cloud はその構成をクラウド管理の Firebox に配備します。その後、同じ設定を使用してリモート endpoint を構成する必要があります。

クラウド管理の Firebox に BOVPN を追加するには、以下を構成します。

  • VPN Gateways — 2 つのデバイスが接続に使用する外部ネットワーク。
  • 事前共有キー — トンネル経由で送信されるデータを暗号化および暗号化解除する際に使用される共有シークレット。
  • ネットワーク リソース — トンネル経由でトラフィックを送受信することができるネットワーク。
  • 仮想 IP アドレス — (任意) SD-WAN アクションに BOVPN を追加する場合は必須。
  • セキュリティ設定 — VPN ネゴシエーションのための認証と暗号化の設定。

BOVPN とルーティング

BOVPN の構成では、トンネル経由でアクセスできるネットワーク リソースを指定します。一方の endpoint で選択したリソースは、BOVPN をゲートウェイとして、もう一方の VPN endpoint の静的ルートとなります。各リソースに指定したメトリックは、ルーティング テーブルに表示されます。Firebox はルーティング テーブルを使用して、BOVPN トンネル経由でトラフィックを送信するかどうかを決定します。

同じサブネット内の両方の endpoint にネットワーク リソースを指定することはできません。つまり、同じ IP アドレス範囲を使用するプライベート ネットワーク間で、BOVPN トンネル経由でトラフィックをルーティングすることはできません。

ゼロルートの BOVPN ネットワーク リソース (0.0.0.0/0) を追加すると、すべてのネットワーク トラフィック (WatchGuard Cloud へのトラフィックを含む) を VPN トンネル経由で送信する既定のルートが作成されます。

ゼロルートの BOVPN ネットワーク リソースを追加しており、リモート VPN endpoint がクラウド管理の Firebox から WatchGuard Cloud へのトラフィックをルーティングできない場合、Firebox の管理や監視ができなくなります。

Firebox とローカル管理の VPN endpoint またはサードパーティ VPN endpoint との間の VPN の場合

  • リモート endpoint に指定したネットワーク リソースは、Firebox がトンネル経由でルーティングするトラフィックを指定します。これは、BOVPN をゲートウェイとして、クラウド管理の Firebox の静的ルートとなります。
  • Firebox に指定するネットワーク リソースは、リモート endpoint によって VPN トンネル経由で Firebox にルーティングさせるリソースです。ここで指定したリソースは、Firebox が VPN トンネルを通じて受け入れるトラフィックを制限するものではありません。Firebox がこれらのリソースへの VPN トラフィックを受信するには、リモート endpoint がこれらの IP アドレスへのトラフィックをトンネル経由でルーティングするように構成されている必要があります。

BOVPN と自動配備

BOVPN を追加、編集、または削除すると、BOVPN の構成が自動的に配備され、クラウド管理の Firebox でダウンロードできるようになります。自動配備に BOVPN 設定の変更のみが含まれるようにするため、Firebox に配備されていない他の構成変更がある場合は、BOVPN の変更を保存することはできません。

BOVPN を追加、編集、または削除する前に、Firebox に配備されていない変更がないことを確認してください。

BOVPN を追加する

BOVPN をクラウド管理の Firebox に追加するには、WatchGuard Cloud から以下の手順を実行します。

  1. 以下の方法のいずれかを使用して、BOVPN ページを開きます。
    • 現在選択しているアカウントのすべての Fireboxes の BOVPN を管理するには、構成 > VPN
      • の順に選択します。
    • 特定の Firebox の BOVPN を管理するには、デバイスの構成ページで Branch Office VPN タイルをクリックします。
  2. いずれかの BOVPN ページで、Branch Office VPN タイルをクリックします。
    BOVPN ページには、現在構成されている BOVPN が表示されます。

Screen shot of the BOVPN page with no BOVPNs added

  1. BOVPN の追加 をクリックします。
    BOVPN の追加 ページが開きます。
  2. 名前 テキスト ボックスに、この BOVPN の名前を入力します。
  3. ローカル管理の Firebox またはサードパーティ VPN endpoint を選択します
    Endpoint B セクションの内容が、Fireboxes の一覧から Endpoint の名前のテキスト ボックスに変わります。

Screen shot of the Add BOVPN page with Locally-Managed Firebox or third-party VPN endpoint selected

  1. Endpoint A セクションで、アカウント内のクラウド管理の Firebox を選択します。
    デバイス構成 ページで BOVPN を追加した場合、Endpoint A リストには 1 つの Firebox のみが表示されます。
  2. Endpoint B セクションの Endpoint 名 テキスト ボックスに、このリモート VPN endpoint を識別する名前を入力します。
    BOVPN 構成は、この名前を使用して Endpoint B を参照します。

Screenshot of the Define VPN endpoints settings, with a local and remote VPN endpoint specified

  1. 次へ をクリックします。
    VPN Gateway の設定ページが開きます。

Screen shot of the VPN Gateways and Pre-shared key settings

  1. クラウド管理の Firebox の場合、この VPN 接続に使用する外部ネットワークを 1 つ選択します。
  2. Firebox の外部ネットワーク IP アドレスに解決される IP アドレスまたはドメイン名を指定します。
  3. リモート endpoint の場合は、IP またはドメイン名 テキスト ボックスに、リモート endpoint の IP アドレスに解決される IP アドレスまたはドメイン名を入力します。
  4. 事前共有キー テキスト ボックスに、この VPN トンネルをセキュリティで保護するための事前共有キーを入力します。
  5. 次へ をクリックします。

Screen shot of the Traffic settings

  1. VPN トンネル経由でアクセスする Firebox の内部ネットワークとゲスト ネットワークを選択します。
  2. 内部ネットワークやゲスト ネットワーク以外のネットワーク リソースを追加するには、
    1. Firebox リソースのセクションで ネットワーク リソースの追加 をクリックします。

    Screen shot of the Add Network Resource dialog box

    1. ネットワーク リソース テキスト ボックスに、ネットワーク IP アドレスとネットマスクを入力します。ヒント!
    2. メトリック テキスト ボックスで、メトリックを編集できます。規定値は 1 です。
    3. 追加 をクリックします。
      ネットワーク リソースが endpoint のトラフィック設定に追加されます。
  3. リモート endpoint のネットワーク リソースを追加するには、以下の手順を実行します。
    1. 2 番目の endpoint のセクションで ネットワーク リソースの追加 をクリックします。
    1. ネットワーク リソース テキスト ボックスに、ネットワーク IP アドレスとネットマスクを入力します。
    2. メトリック テキスト ボックスで、メトリックを編集できます。規定値は 1 です。
    3. 追加 をクリックします。
      ネットワーク リソースが endpoint のトラフィック設定に追加されます。
  4. 前の手順を繰り返して、他のネットワーク リソースを追加します。
  5. (任意) 各 endpoint の 仮想 IP アドレス テキスト ボックスに、IP アドレスを入力します。

Screen shot of the virtual IP address settings

どちらの endpoint でもルーティングに使用されていない、プライベート ネットワークの IP アドレス範囲内の IP アドレスを指定することをお勧めします。

この BOVPN を SD-WAN アクションに追加する前に、仮想 IP アドレスを指定する必要があります。SD-WAN アクションで使用するには、/32 ネットマスクのホスト IP アドレスを指定します。

  1. 次へ をクリックします。
    セキュリティ設定 ページが開きます。

Screen shot of the default security settings

  1. 既定のセキュリティ設定を使用するか、リモート VPN endpoint でサポートされる設定に合わせて編集します。詳細については、次を参照してください:BOVPN セキュリティ設定を構成する
  2. 追加 をクリックします。
    BOVPN 配備が追加され、BOVPN ガイド ページが開きます。

Screen shot of the last page of the Add BOVPN wizard, with the View Guide link

  1. BOVPN ガイドを新しいブラウザ タブで開くには、ガイドの表示 をクリックします。
    BOVPN ガイドが新しいブラウザ タブで開きます。このページは印刷したり、PDF に保存したりすることができます。
  2. BOVPN リストに戻るには、完了 をクリックします。

BOVPN ガイドを表示する

WatchGuard Cloud では、各 BOVPN に対して、リモート VPN endpoint で必要な VPN 構成設定をまとめた VPN ガイドが生成されます。BOVPN ガイドは、BOVPN の編集 ページから見ることができます。詳細については、BOVPN ガイドを表示する を参照してください 。

リモート VPN endpoint の構成

リモート VPN endpoint で、クラウド管理の Firebox の VPN 設定と同じ設定で IKEv2 VPN を追加します。詳細については、ローカル管理の Firebox またはサードパーティ VPN endpoint でリモート VPN endpoint を構成する を参照してください 。

BOVPN の編集または削除

BOVPN は、BOVPN ページから編集または削除することができます。詳細については、次を参照してください:クラウド管理の Fireboxes で BOVPN を管理する

関連情報:

Firebox の構成の配備を管理する