Branch Office VPN (BOVPN) トンネル可用性を改善する
- 信頼性の低い外部接続 — いずれかまたは両方の BOVPN endpoint に、接続の信頼性を低下させる可能性がある高レイテンシー、高パケット断片化、および高パケット損失の外部接続がある可能性があります。これらの要因は、HTTP と SMTP のような他の共通トラフィックよりも BOVPN トラフィックに大きな影響を与えます。BOVPN トラフィックの場合、暗号化パケットが宛先 endpoint に受信され、暗号解除されている必要があります。それで、暗号解除されているトラフィックを宛先 IP アドレスにルーティングする前に再構築されます。
- 古い WatchGuard endpoint とソフトウェア — 弊社では、使用可能な最新のソフトウェアをより古いデバイスで使用することにより、新しい WatchGuard 製品とより古いデバイスの間での互換性テストを実施しています。より古いソフトウェアには、弊社がより最近のソフトウェア リリースで修正した問題が存在している可能性があります。
- サードパーティ endpoint — Firebox は IPSec 標準に基づいているので、ほとんどのサードパーティ endpoint と互換性があります。しかし、一部のサードパーティの endpoint デバイスはソフトウェアの問題や専用の設定のため、 IPSec 互換性がありません。
- 低トラフィックまたはトラフィックなし — IPSec トンネルを通過するトラフィックの量が少ない場合や、トンネルを通過するトラフィックがない時間が長い場合、Firebox およびほとんどのサードパーティ endpoint は、意図的に VPN 接続を切断します。これは、自動キー更新の間の総当たり攻撃を回避するために行われます。トラフィックが再びトンネルを通過しようとすると、トンネルが再構築され、キーが更新されます。
Fireware OS のアップグレード 後も BOVPN 可用性の問題が持続する場合は、以下のオプションを試してください:
IKEv1 設定では、ほとんどの IPSec デバイスにより使用されている業界標準であるデッド ピア ディテクションを有効にすることができます。両方の endpoint デバイスがサポートしている場合、デッド ピア ディテクションを選択することをお勧めします。
デッド ピア ディテクション (DPD) を有効にすると、Firebox がトンネル トラフィックを監視して、トンネルがアクティブであるかどうかを特定します。トラフィック アイドル タイムアウト 値で指定されている時間以内にリモート ピアからトラフィックが受信されず、ピアに送信されるパケットが待機している場合は、Firebox からクエリが実行されます。最大再試行回数 を過ぎても応答が受信されない場合、Firebox はトンネルを解体し、フェーズ 1 接続のネゴシエーションを再度試みます。デッド ピア ディテクション (DPD) の詳細については、RFC 3706 を参照してください。
より古いテクノロジーで信頼性とスケーラビリティがより低い IKE キープアライブは有効にしないことをお勧めします。
デッド ピア ディテクションを有効化するには、Fireware Web UI から以下の手順を実行します。
- VPN > Branch Office VPN の順に選択します。
- ゲートウェイを選択して、編集 をクリックします。
- フェーズ 1 の設定 タブをクリックします。
- デッド ピア ディテクション (RFC3706) を選択します。
デッド ピア ディテクションを有効にするには、Policy Manager から以下の手順を実行します。
- VPN > Branch Office ゲートウェイ の順に選択します。
- ゲートウェイを選択して、編集 をクリックします。
- フェーズ 1 の設定 タブをクリックします。
- デッド ピア ディテクション (RFC3706) を選択します。
Firebox の既定の BOVPN 設定は、より古い WatchGuard デバイスやサードパーティ 製デバイスとの互換性を確保することを目的としています。ピア endpoint デバイスが IKEv2 およびより強力な暗号化と認証設定をサポートしている場合は、既定の設定をより強力なセキュリティとパフォーマンス用に変更することをお勧めします。
以下の表は、各 BOVPN 設定の既定値と推奨値を示しています。
| BOVPN 設定 | 既定値 (互換性を優先) | 推奨値 (パフォーマンスおよびセキュリティを優先) |
|---|---|---|
| バージョン | IKEv1 | IKEv2 |
| モード | メイン (いずれかのデバイスに動的外部 IP アドレスが指定されている場合は、アグレッシブを選択します。) |
バージョンに IKEv2 を選択した場合は該当しない |
| NAT Traversal | はい | はい |
| NAT Traversal キープアライブ間隔 | 20 秒 | 20 秒 |
| IKE キープ アライブ | 無効 | 無効 |
| IKE キープアライブ メッセージ間隔 | なし | なし |
| IKE キープアライブ最大失敗回数 | なし | なし |
| デッド ピア ディテクション (RFC3706) | 有効 | 有効 |
| デッド ピア ディテクション トラフィック アイドル タイムアウト | 20 秒 | 20 秒 |
| デッド ピア ディテクション最大再試行回数 | 5 | 5 |
| フェーズ 1 の変換設定 | 既定値 (互換性を優先) | 推奨値 (パフォーマンスおよびセキュリティを優先)1 |
|---|---|---|
| 認証アルゴリズム | SHA2-256 | 暗号化アルゴリズムとして AES-GCM を指定した場合は該当しない |
| 暗号化アルゴリズム | AES (256-bit) | AES-GCM (256 -ビット)2 |
| SA の有効期限またはネゴシエーションの有効期限 (時間) | 24 | 24 |
| Diffie-Hellman グループ | 14 | 202 |
1. フェーズ 1 設定で AES-GCM オプションを表示させるには IKEv2 オプションを選択する必要があります。
2. フェーズ 1 設定は概して BOVPN のパフォーマンスに影響しないため、セキュリティを強化するため AES-GCM (256-bit) および Diffie-Hellman グループ 20 をお薦めします。
| フェーズ 2 プロポーザル設定 | 既定値 (互換性を優先) | 推奨値 (パフォーマンスおよびセキュリティを優先) |
|---|---|---|
| 種類 | ESP | ESP |
| 認証アルゴリズム | SHA2-256 | 暗号化アルゴリズムとして AES-GCM を指定した場合は該当しない |
| 暗号化アルゴリズム | AES (256 ビット) | AES-GCM (128-ビット) |
| キーの期限を強制的に終了する | 有効化 | 有効化 |
| フェーズ 2 キーの有効時間 (時間) | 8 | 8 |
| Perfect Forward Secrecy (PFS) | 有効 | 有効 |
| Diffie-Hellman グループ | 14 | 19 |
Fireware v11.9.1 以前における既定の設定であるフェーズ 2 キー有効期限トラフィック (キロバイト) 設定を有効にしないでください。この設定は、VPN を不安定にさせる可能性がある過剰のキーの更新、高 CPU 負荷、およびパケット損失を引き起こす可能性があります。フェーズ 2 キー有効期限トラフィック (キロバイト) 設定は、ほとんどのサードパーティ製デバイスとの互換性がありません。
一定期間 IPSec トンネルを通過するトラフィックがない場合、ゲートウェイ endpoint は、他の endpoint が使用不可能であると判断し、そのトンネルを解体する場合があります。ゲートウェイ endpoint は、トラフィックが再びトンネルを介して送信されるまでは VPN トンネルを再ネゴシエートしません。フェーズ 1 設定では、IKEv2 を設定した場合このプロセスはすぐに発生するため、容易に気づかない場合があります。
パケット損失に気づいた場合は、フェーズ 1 設定で指定されたバージョンを確認してください。IKEv1 が指定してあり、他の既定のフェーズ 1 および 2 の設定、特に Fireware v11.x 以前の既定の設定を使用している場合、キー更新中のパケット損失に気づく場合があります。
IKEv1 とレガシーの既定設定を使用し、キー更新中にパケット損失にに気づいた場合は、トラフィックが常にトンネルを通過するように確認してください。
例えば、次の種類のトラフィックをトンネルを経由して送信することができます:
- 継続的 ping
- ログ メッセージ
- SNMP
- その他の監視ソフトウェア
継続的 ping
簡単な解決策として、トラフィックをトンネル経由でサーバーなどの信頼できるデバイスに送信するよう、継続的 ping を構成することができます。
ログ メッセージ
Firebox がログ メッセージを VPN トンネルを通じて Log Server に送信するよう構成することができます。
Log Server がない場合は、存在しない Log Server にログ メッセージ トラフィックを送信するように Firebox を意図的に構成することができます。これにより、トンネル経由の一貫しているけれども量の少ないトラフィックの送信が作成され、トンネルの再構築とキー更新の数を抑えるのに役立ちます。
Log Server の IP アドレスを指定する際には、Log Server が存在するかどうかに関係なく、次のガイドラインに従ってください:
- 指定する Log Server IP アドレスは、リモート トンネル ルートの設定に含まれている IP アドレスになっている必要があります。
詳細については、次を参照してください:トンネルにルートを追加する。 - Log Server IP アドレスは、実デバイスに割り当てられている IP アドレスであってはなりません。
また、どのタイプのログ記録を使用するかを決める必要があります。ログ記録の種類によって生成されるトラフィック量が異なります:
WatchGuard Dimension
Firebox が Dimension に接続されるまで、ログ データは送信されません。トンネル経由で送信される唯一のトラフィックの種類は、Dimension への接続試行のみです。これは、BOVPN トラフィックに最小の影響を与えてトンネルを安定する十分なトラフィックです。
Syslog
ログ データはすぐに syslog サーバー IP アドレスに送信されます。ログ データの量は、デバイスで処理されるトラフィックによって異なります。Syslog ログ記録では、トンネル経由でパケットが常に送信されるのに充分なトラフィックが生成されます。トラフィック量によって BOVPN トラフィックが通常より遅くなる可能性がありますが、このような状況は頻繁には発生しません。
安定性を改善し、BOVPN トラフィックに対する影響を最小限に抑えるには、最初に Dimension を試します。これで BOVPN トンネルの安定性が改善されない場合は syslog ログ記録を試みます。
ユーザーが構成できるさまざまなオプションは以下のとおりです。
- トンネル経由で Dimension ログ トラフィックを送信するように 1 つの endpoint を構成する。
- トンネル経由で Dimension ログ トラフィックを送信するように他の endpoint を構成する。
- トンネル経由で Dimension ログ トラフィックを送信するように両方の endpoint を構成する。
- トンネル経由で syslog ログ トラフィックを送信するように 1 つの endpoint を構成する。
- トンネル経由で syslog ログ トラフィックを送信するように他の endpoint のみを構成する。
- トンネル経由で syslog ログ トラフィックを送信するように両方の endpoint を構成する。
トンネル経由で WatchGuard Dimension Server にログ データを送信するように Firebox を構成するには、次を参照してください:Dimension または WSM Log Server を追加する。
トンネル経由で syslog データを送信するように Firebox を構成するには、次を参照してください:Syslog サーバーの設定を構成する。
SNMP メッセージ
SNMP サーバーに情報を送信するように Firebox を構成することができます。詳細については、SNMP について を参照してください。