ローカル管理の Firebox またはサードパーティ VPN Endpoint に対してポリシーベース BOVPN を構成する

適用対象: クラウド管理の Firebox

クラウド管理の Firebox とローカル管理の Firebox または IKEv2 VPN をサポートするサードパーティ VPN Endpoint との間にポリシーベース Branch Office VPN (BOVPN) を構成することができます。ポリシーベース BOVPN は、トンネルを利用するトラフィックの送信元と宛先を指定するローカルとリモートのペアのセットを定義すると確立されます。各 Endpoint で、トンネル ルートを通じてアクセス可能なネットワーク リソースを定義します。これにより、可能なローカルとリモートのペアのメッシュが作成されます。特定のローカルとリモートのペアを トンネル ルート ページから有効化または無効化することができます。

リモート Endpoint への権限がなく、Endpoint 設定を構成してより一般的なルートベース BOVPN を構成することができない場合は、ポリシーベース BOVPN を使用することができます。リモート Endpoint がルートベース BOVPN をサポートできない場合はポリシーベース BOVPN を使用することをお勧めします。

ポリシーベース BOVPN は IKEv1 VPN Endpoint をサポートしていません。

ポリシーベース BOVPN を構成すると、WatchGuard Cloud はクラウド管理の Firebox とリモート Endpoint の間に IPSec トンネルを作成します。クラウド管理の Firebox と、ルートベース BOVPN では簡単に構成できないリモート Endpoint の間の BOVPN トンネルを WatchGuard Cloud で管理するには、このオプションを選択します。2 つのクラウド管理の Firebox 間にポリシーベース BOVPN を構成することはできません。

Fireware ヘルプ では、ポリシーベース BOVPN は 手動 BOVPN と呼ばれています。

ポリシーベース BOVPN を構成すると、WatchGuard Cloud はその構成をクラウド管理の Firebox に配備します。クラウド管理の Firebox から、以下を構成します:

  • VPN Gateway — 2 つのデバイスにおいて接続に使用される外部ネットワーク。
  • 認証メソッド — 以下の 2 つのオプションのいずれかを選択します。
    • 事前共有キー — トンネル経由で送信されるデータを暗号化および暗号化解除する際に使用される共有シークレット。20 文字以上のキーの長さを使用します。
    • 証明書 — トンネル認証に使用する IPSec Firebox 証明書。詳細については、次を参照してください:Branch Office VPN (BOVPN) トンネル認証の証明書 Fireware ヘルプ で。
  • NAT — (任意) 同じようなプライベート IP アドレス範囲を使用している 2 つのネットワーク間で Branch Office VPN (BOVPN) トンネルを作成すると、IP アドレスの競合が発生します。この競合がないトンネルを作成するには、VPN に NAT を追加できます。
    次の 2 つのオプションのうちいずれか 1 つを選択します。
    • 1-to-1 NAT — では、1 つの範囲における 1 つまたは複数の IP アドレスから同じサイズの別の IP アドレス範囲までのマップが作成されます。最初の範囲にある各 IP アドレスが 2 番目の範囲の IP アドレスに対応します。詳細については、次を参照してください:Branch Office VPN トンネル経由で 1-to-1 NAT を構成する Fireware ヘルプ で。
    • 動的 NAT — NAT の種類の中で最も広く使用されています。動的 NAT は、指定した任意の IP アドレスまたはネットワークへの送信接続の送信元 IP アドレスを変更します。詳細については、次を参照してください:動的 NAT について Fireware ヘルプ で。
  • ネットワーク リソース — トンネル経由でトラフィックを送受信することができるネットワーク。
  • セキュリティ設定 — VPN ネゴシエーションのための認証と暗号化の設定。
    • デッド ピア ディテクション (DPD) — Firebox はトンネルの切断を検出し、自動的に新しいフェーズ 1 ネゴシエーションを開始する。常に有効で、トラフィックベースまたはタイマーベースにすることができます。
      トラフィックベース DPD — 指定された時間だけリモートゲートウェイからのトラフィックが受信されず、パケットがピアに送信されるのを待機している状態である場合のみに、Firebox からリモートゲートウェイに DPD メッセージが送信されます。
      タイマー ベース DPD — リモートゲートウェイから他のトラフィックを受信したか否かに関わらず、指定されたメッセージ間隔で、Firebox でリモートゲートウェイと DPD 交換が開始される。
    • NAT Traversal キープアライブ間隔 — Firebox からトンネル経由でトラフィックが送信される頻度が制御されます。これにより、他のトンネル トラフィックが存在しない場合も、トンネルがアクティブ状態に維持されます。既定値は 20 秒になっています。
    • Don't Fragment (DF) ビット設定を有効化する — (任意) Firebox がパケットのヘッダーで元の DF ビット設定を使用するかどうかを指定します。
    • Firebox の起動時にフェーズ 1 トンネルを開始する — リモート Endpoint がトンネルを開始するかどうかを指定します。

ポリシーベース BOVPN サードパーティ Endpoint の VPN フェールオーバーを構成することはできません。

ポリシーベース BOVPN とルーティング

BOVPN の構成では、BOVPN トンネル経由でアクセスできるネットワーク リソースを指定します。既定では、Firebox はシステム ポリシーを使用してトラフィックがトンネルを使用する方法を指定します。

独自のポリシーを作成すると、BOVPN-Allow-Any-in および BOVPN-Allow-Any-out システム ポリシーが提供するよりもポリシーベース BOVPN トラフィックをより高度にコントロールできます。

同じサブネット内の両方の Endpoint にネットワーク リソースを指定する場合は、NAT を使用する必要があります。NAT を使用しない場合は、同じ IP アドレス範囲を使用するプライベート ネットワーク間で、BOVPN トンネル経由でトラフィックをルーティングすることはできません。

クラウド管理の Firebox とローカル管理の Firebox またはサードパーティ VPN Endpoint との間のポリシーベース BOVPN の場合:

  • リモート Endpoint に指定したネットワーク リソースは、Firebox がトンネル経由でルーティングするトラフィックを指定します。
  • Firebox に指定するネットワーク リソースは、リモート Endpoint によって VPN トンネル経由で Firebox にルーティングさせるリソースです。Firebox がこれらのリソースへの VPN トラフィックを受信するには、リモート Endpoint がこれらの IP アドレスへのトラフィックをトンネル経由でルーティングするように構成されている必要があります。
  • Firebox を離れるネットワーク トラフィックは、Firebox に指定したネットワーク リソースを発信元とし、リモート Endpoint 上のネットワーク リソースを宛先とする必要があります。
  • リモート Endpoint を離れるネットワーク トラフィックは、リモート Endpoint で指定したネットワーク リソースを発信元とし、Firebox 上のネットワーク リソースを宛先とする必要があります。
  • ポリシーベース BOVPN はシステム ルートを作成しません。Firebox は、各 Endpoint で提供するネットワーク リソースに一致するトラフィックの送信元と宛先に基づき、BOVPN トンネルを通過するトラフィックをコントロールします。

BOVPN と自動配備

ポリシーベース BOVPN を追加、編集、または削除すると、BOVPN の構成が自動的に配備され、クラウド管理の Firebox でダウンロードできるようになります。自動配備に BOVPN 設定の変更のみが含まれるようにするため、Firebox に配備されていない他の構成変更がある場合は、BOVPN の変更を保存することはできません。

クラウド管理の Firebox とローカル管理の Firebox またはサードパーティ VPN Endpoint との間に BOVPN を追加する

特定の Firebox の BOVPN ページからポリシーベース BOVPN を追加することも、共有構成ページである WatchGuard Cloud VPN ページから BOVPN を追加することもできます。詳細については、次を参照してください:クラウド管理の Firebox で BOVPN を管理する

ポリシーベース BOVPN をクラウド管理の Firebox に追加するには、WatchGuard Cloud から以下の手順を実行します。

  1. 以下の方法のいずれかを使用して、BOVPN ページを開きます。
    • 現在選択しているアカウントのすべての Firebox の BOVPN を管理するには、構成 > VPN の順に選択します。
      BOVPN ページには、現在構成されている BOVPN が表示されます。
    • 特定の Firebox の BOVPN を管理するには、デバイス構成ページで Branch Office VPN タイルをクリックします。
      BOVPN ページには、現在構成されている BOVPN が表示されます。

Screen shot of the BOVPN page with one BOVPN added

  1. BOVPN を追加する をクリックします。
    BOVPN を追加する ページが開きます。
  2. 名前 テキスト ボックスに、BOVPN の名前を入力します。
  3. VPN 接続の種類 ドロップダウン リストから、ポリシーベース IPSec からローカル管理の Firebox / サードパーティ を選択します。
  4. アドレス ファミリ ドロップダウン リストから、IPv4 アドレス または IPv6 アドレス を選択します。

IPv6 アドレス を選択した場合は、他の BOVPN Endpoint で IPv6 がサポートされるように構成されている必要があります。

Screen shot of the Add BOVPN page with Endpoint A and Endpoint B

  1. Endpoint A セクションで、アカウントからクラウド管理の Firebox を選択します。選択できる Firebox は 1 つだけです。
    デバイス構成 ページで BOVPN を追加する場合、Endpoint A リストには 1 つの Firebox のみが表示されます。
  2. Endpoint B セクションの Endpoint 名 テキスト ボックスに、このリモート VPN Endpoint を識別する名前を入力します。
    BOVPN 構成は、この名前を使用して Endpoint B を参照します。

Screenshot of the Define VPN endpoints settings, with a local and remote VPN endpoint specified

  1. 次へ をクリックします。
    VPN Gateway の設定ページが開きます。

Screen shot of the VPN Gateways and Pre-shared key settings

  1. この VPN 接続に IPSec Firebox 証明書を使用する場合は、IPSec Firebox 証明書を使用する を選択します。代わりに事前共有キーを使用する場合は、手順 10 に進みます。
    証明書リストが開きます。

Screenshot of the IPSec certificate option in the Add BOVPN Wizard

    1. 証明書を選択します。詳細については、次を参照してください:デバイス証明書について
    2. クラウド管理の Firebox の場合は、外部ネットワークを 1 つ選択します。
    3. この外部ネットワークについて、IP アドレス ドロップダウン リストから IP アドレスを指定します。x500 名、ドメイン名、または IP アドレスを選択します。使用可能なオプションは、証明書の構成によって異なります。
      DHCP または PPPoE の IP アドレスが構成されているネットワークの場合は、既定の IP アドレスが Any (動的) となります。
    4. リモート Endpoint の場合は、以下の手順を実行します。
      • IP アドレス ドロップダウン リストから IP アドレスを選択する、または IP アドレスを入力します。
      • Endpoint ID テキスト ボックスに、リモート Endpoint の IP アドレスに解決される x500 名、ドメイン名、または IP アドレスを入力します。
    1. 次へ をクリックします。
      トラフィック ページが開きます。
  1. この VPN 接続に事前共有キーを使用するには、クラウド管理の Firebox の外部ネットワークを選択します。
    1. IP またはドメイン名またはドメイン上のユーザー テキスト ボックスで、Firebox 外部ネットワーク IP アドレスへの解決をする IP アドレス、ドメイン名、またはドメイン上のユーザーを選択します。たとえば、ドメイン上のユーザーが [email protected] であるとします。
    2. リモート Endpoint の場合は、IP またはドメイン名または ドメイン上のユーザー テキスト ボックスに、リモート Endpoint の IP アドレスに解決される IP アドレス、ドメイン名またはドメイン上のユーザーを入力します。たとえば、ドメイン上のユーザーが [email protected] であるとします。
    3. 事前共有キー テキスト ボックスに、VPN トンネルをセキュリティで保護するための事前共有キーを入力します。
    4. 次へ をクリックします。
      トラフィック ページが開きます。

Screen shot of the Add BOVPN and network resources page

  1. VPN トンネル経由でアクセスする Firebox ネットワークを選択します。
  2. (任意) 両方のネットワークで同じプライベート IP アドレス範囲を使用している場合の競合を避けるには、Endpoint に NAT を追加します。

    動的 NAT を有効化する場合は、トンネルを通過するトラフィックの方向を設定することはできません。既定の方向は Outbound です。

    1. NAT を追加するクラウド管理対象 Endpoint の横で、NAT を追加 をクリックします。
      NAT を追加する ダイアログ ボックスが開きます。
    2. 1-to-1 NAT または 動的 NAT を選択します。
    3. NAT アドレス テキスト ボックスに 1-to-1 NAT の IP アドレスとネットマスクを入力するか、送信元 IP アドレス テキスト ボックスに動的 NAT の IP アドレスを入力します。

      Screen shot of the1-to-1 NAT dialog box

      Screen shot of the Dynamic NAT dialog box
    4. 追加 をクリックします。
      NAT 情報はネットワーク Endpoint エントリの横に表示されます。

    NAT IP アドレスを削除するには、NAT テキスト ボックスをクリアし、保存 をクリックします。

  3. 内部ネットワークやゲスト ネットワーク以外のネットワーク リソースを追加するには、以下の手順を実行します。
    1. Firebox リソースのセクションで、ネットワーク リソースの追加 をクリックします。
      ネットワーク リソースの追加 ダイアログ ボックスが開きます。
      Screen shot of the Add Network Resource dialog box
    2. ネットワーク リソース テキスト ボックスに、ネットワーク IP アドレスとネットマスクを入力します。ヒント!
    3. (任意) NAT をネットワーク リソースに追加するには、NAT を追加 をクリックします。
  4. リモート Endpoint のネットワーク リソースを追加します。
    1. 2 つ目の Endpoint のセクションで ネットワーク リソースの追加 をクリックします。
    1. ネットワーク リソース テキスト ボックスに、ネットワーク IP アドレスとネットマスクを入力します。
    2. 追加 をクリックします。
      ネットワーク リソースが Endpoint のトラフィック設定に追加されます。
  5. 前の手順を繰り返して、他のネットワーク リソースを追加します。
  6. 次へ をクリックします。
    トンネル ルート ページが開きます。

Screen shot of the Tunnel Routes list

  1. トラフィックの方向 ドロップダウン リストから、BOVPN ルートのトラフィックの方向を選択します。

既定のトラフィックの方向は双方向です。トラフィックの方向は、Endpoint A から Endpoint B へ、Endpoint B から Endpoint A へ、または Endpoint 間の双方向に設定することができます。

  1. (任意) トグルを使用して、トンネル ルート ページからトンネル ルートを有効化または無効化することができます。トンネル ルートを無効化すると、Firebox は 2 つの Endpoint 間でその特定のトンネル ルートを確立しようとしません。

Screen shot of the Tunnel Routes endpoints

  1. 次へ をクリックします。
    セキュリティ設定 ページが開きます。

Screen shot of the default security settings

  1. 既定のセキュリティ設定を受諾するか、リモート VPN Endpoint によりサポートされている設定と同じになるように編集します。詳細については、次を参照してください:BOVPN セキュリティ設定を構成する。BOVPN スループットの詳細については、BOVPN スループットを最適化する を参照してください。
  2. 追加 をクリックします。
    BOVPN 配備が追加され、BOVPN ガイド ページが開きます。

Screen shot of the final page of the Add BOVPN wizard, with the View Guide link

  1. (任意) BOVPN ガイドを新しいブラウザ タブで開くには、ガイドを表示する をクリックします。
    VPN 構成サマリが新しいブラウザ タブで開きます。

Screen shot of the VPN Configuration Summary

  1. BOVPN リストに戻るには、完了 をクリックします。

BOVPN は、BOVPN ページから編集または削除することができます。詳細については、次を参照してください:クラウド管理の Firebox で BOVPN を管理する

BOVPN ガイドを表示する

WatchGuard Cloud では、各 BOVPN に対して、リモート VPN Endpoint で必要な VPN 構成設定をまとめた VPN ガイドが生成されます。BOVPN ガイドは、BOVPN の編集 ページから見ることができます。詳細については、次を参照してください:BOVPN ガイドを表示する

関連トピック

デバイス構成の配備を管理する

Firebox の内部ネットワークまたはゲスト ネットワークを構成する

証明書を管理する