TLS 経由の Branch Office VPN について

Fireware v12.1 以降では、Firebox 間の通信をセキュアにするのに TLS 上に BOVPN トンネルを構成することができます。TLS は SSL プロトコルの後継プロトコルです。TLS 経由の BOVPN の構成がなされた Firebox は、ポート 443 を通じて VPN トンネル トラフィックを送信しますが、これは通常、大多数のネットワークでオープンになっています。

TLS 経由の BOVPN は、通信のクライアント サーバー モデルを使用します。サーバー モードで構成された Firebox では、クライアント モードで構成された 1 台または複数の Firebox にトンネルを構成することができます。クライアント モードで構成された Firebox では、サーバー モードで構成された 1 台または複数の Firebox にトンネルを構成することができます。Firebox をサーバー モードとクライアント モードの両方で構成することはできません。

TLS 経由の BOVPN は、次の条件が満たされている場合のみに使用することをお勧めします。

  • ネットワークが IPSec トラフィックを通すことができない場合。たとえば、一部の ISP は IPSec トラフィックを許可しない場合があり、より古い NAT デバイスは IPSec トラフィックに関連するパケットをドロップする場合もあります。もしくは、事業がネットワークを完全に制御できず、IPSec BOVPN に必要なポートを開けない場所で稼働されている場合。
  • ハブ アンド スポーク VPN 構成がある場合。

IPSec トラフィックを許可するネットワーク上の完全なまたは部分的なメッシュ VPN 構成の場合は、IPSec BOVPN トンネルを構成することをお勧めします。IPSec BOVPN トンネルは、高 VPN パフォーマンスを必要とする環境により適しています。IPSec BOVPN トンネルの詳細については、クイック スタート — 2 つの Firebox 間で VPN を設定する を参照してください。TLS 経由の BOVPN のネットワーク パフォーマンスは Mobile VPN with SSL および SSL を使用した管理トンネルと同様です。

要件

TLS 上に Branch Office VPN を作成するには、以下の手順を実行します:

  • Fireware v12.1 以降を実行している Firebox が 2 つ必要です。サードパーティ VPN endpoint はサポートされていません。
  • 各 VPN デバイスの ISP はポート 443 の TLS トラフィック、ならびにそのネットワーク上の OpenVPN トラフィックを許可しなければなりません。
    トラフィックはポート 443 を通じて送信されますが、トラフィックは HTTPS ではありません。アップストリーム ファイアウォールの一部のコンテンツ インスペクション フィルタは TLS 経由の BOVPN 通信をブロックする場合があります。
  • トンネルの両端にある Firebox は、同一の認証および暗号化方法を用いていなければなりません。
  • 同一の事前共有キーが Firebox endpoint によって使用されていなければなりません。事前共有キーの長さは 8 ~ 23 文字でなければなりません。

次の機能はサポートされていません:

  • ドロップイン モード
  • ブリッジ モード
  • アクティブ/アクティブ FireCluster
  • トンネル ルートの IP 範囲
  • BOVPN NAT
  • 動的ルート
  • SD-WAN ルーティング (Fireware v12.3 以降) またはポリシーベースのルーティング (Fireware v12.2.1 以前)
  • マルチキャスト トラフィック

トンネル構成のオプション

Fireware は TLS 経由の BOVPN に対し 2 つの VPN 構成をサポートします。

オプション 1 — TLS サーバーが複数の TLS クライアントに接続する

この例では、Firebox A を TLS サーバーとして構成し、複数の Firebox (n) を TLS クライアントとして構成します。Firebox A はハブです。Firebox (n) はスポークです。任意で、Mobile VPN with SSL ユーザーからの接続のために Firebox A で Mobile VPN with SSL を構成することができます。この図はその接続形態を示しています。

サポートされている TLS 経由の BOVPN 構成オプション 1 の接続形態図

このオプションを構成すると、次のようになります:

  • Firebox A の背後にあるローカル ネットワーク上のデバイスは、Firebox (n) の背後にあるローカル ネットワークに接続できます。
  • Firebox (n) の背後にあるローカル ネットワーク上のデバイスは、Firebox A の背後にあるローカル ネットワークに接続できます。
  • Firebox A で Mobile VPN with SSL が有効化されている場合、Mobile VPN with SSL ユーザーは Firebox A に接続します。
  • Mobile VPN with SSL ユーザーは Firebox A および (n) の背後にあるローカル ネットワークに接続することができます。

オプション 2 — TLS クライアントが複数の TLS サーバーに接続する

この例では、Firebox A を TLS クライアントとして構成し、複数の Firebox (n) を TLS サーバーとして構成します。Firebox A はスポークです。Firebox (n) はハブです。任意で、Mobile VPN with SSL ユーザーからの接続のために Firebox A で Mobile VPN with SSL を構成することができます。この図はその接続形態を示しています。

このオプションを構成すると、次のようになります:

  • Firebox A は、TLS サーバーとして構成された複数の Firebox (n) を含む TLS VPN トンネルを確立します。
  • Firebox A のそれぞれの TLS VPN トンネルには独自の構成パラメータがあり、他のすべての TLS VPN トンネルとは別に動作します。
  • Firebox A の背後にあるローカル ネットワーク上のデバイスは、Firebox (n) の背後にあるローカル ネットワークに接続できます。
  • Firebox (n) の背後にあるローカル ネットワーク上のデバイスは、Firebox A の背後にあるローカル ネットワークに接続できます。
  • Firebox A で Mobile VPN with SSL が有効化されている場合、Mobile VPN with SSL ユーザーは Firebox A と、Firebox A の背後にあるローカル ネットワークに接続できます。
  • Mobile VPN with SSL および TLS 経由の BOVPN には別々の構成設定があります。たとえば、Mobile VPN with SSL には、TLS 経由の BOVPN とは共有されないアドレス プール、認証プロポーザルおよび暗号化プロポーザルがあります。

Mobile VPN with SSL が TLS 上の BOVPN で有効化されている場合は、TLS サーバー上の BOVPN で クライアントがトンネルを通じてルートするクライアントの送信先アドレスを指定する オプションを選択する必要があります。すべての場所を送信先とするトラフィックは、トンネルを通じて送信されます を選択した場合、モバイル ユーザーは TLS 経由の BOVPN として構成された Firebox への Mobile VPN with SSL 接続を確立することができません。

構成の手順については、次を参照してください:

ポリシー

クライアント モードまたはサーバー モードで TLS 経由の BOVPN を構成すると、次のポリシーが自動的に生成されます:

  • BOVPN-allow.in
  • BOVPN-allow.out
  • WatchGuard SSLVPN

BOVPN-allow.in および BOVPN-allow.out ポリシーは以下により共有されます:

  • TLS 経由の BOVPN
  • IPSec BOVPN
  • BOVPN 仮想インターフェイス

Fireware v12.1 以降では、WatchGuard SSLVPN ポリシーは、既定により Any-External インターフェイスのみを指定します。

WatchGuard SSLVPN ポリシーは SSL 経由の管理トンネル、TLS 経由の BOVPN、Mobile VPN with SSL および Access Portal によって共有されます。このポリシーの詳細については、次を参照してください: SSL/TLS 設定の優先順位と継承

Fireware v12.1.x では、WatchGuard SSLVPN ポリシーに WG-VPN-Portal エイリアスが含まれています。v12.1.x から v12.2 以降にアップグレードすると、WG-VPN-Portal エイリアスが WatchGuard SSLVPN ポリシーから削除されます。WG-VPN-Portal エイリアスに表示されたインターフェイスが WatchGuard SSLVPN ポリシーに表示されます。これは、ポリシーが同じトラフィックに一致することを意味します。詳細については、WatchGuard ナレッジ ベースの WatchGuard SSLVPN ポリシーの変更と Fireware v12.1.x の WG-VPN-Portal エイリアス を参照してください。

VPN フェールオーバー

TLS 経由の BOVPN 構成設定ではバックアップ TLS サーバーを指定することができます。たとえば、Firebox 上でセカンダリ外部インターフェイスの IP アドレスを指定することができます。プライマリ サーバーが使用不可能な場合、TLS クライアントは自動的にバックアップ サーバーへの接続を試みます。

グローバル VPN 設定

VPN グローバル設定は TLS 経由の BOVPN には適用されません。

BOVPN トンネル ステータス

VPN 統計 ページのキー更新トンネル オプションは TLS 経由の BOVPN には適用されません。

ライセンス

TLS 経由の BOVPN は、Mobile VPN with SSL および SSL 付き管理トンネルを 使って SSL VPN ユーザー ライセンスを共有します。

関連情報:

クライアント モードで TLS 経由の BOVPN を構成する

サーバー モードで TLS 経由の BOVPN を構成する