動的ルートの BOVPN 仮想インターフェイス

BOVPN 仮想インターフェイスを使用して、Firebox が動的ルートを使用して、ピアの Firebox のプライベート ネットワークまたはサードパーティ endpoint への VPN トンネル経由のルートを学習するようにすることができます。BOVPN 仮想インターフェイスで動的ルートを使用すると、トンネルの両端にあるデバイスは、他のゲートウェイからアドバタイズされたネットワークへのルートを自動的に学習します。

この例には、サイト A の Firebox とサイト B の Firebox の間の 動的ルートが示されています。これらのサイトでは OSPF を使用して、BOVPN 仮想インターフェイス経由で動的にルートが更新されます。

Firebox とサードパーティのクラウド endpoint 間の BGP 動的ルートを示す例については、次を参照してください:

BGP は、Microsoft Azure および Amazon AWS への BOVPN 仮想インターフェイス接続に対応しています。OSPF はサポートされていません。

サイト A の Firebox

この例では、サイト A の Firebox に 2 つの外部インターフェイス、1 つの信頼済みネットワーク、および 4 つの任意ネットワークがあるとします。

インターフェイス 種類 名前 IP アドレス
0 外部 外部 203.0.113.2/24
1 信頼済み 信頼済み 10.0.1.1/24
2 任意 Optional-1 10.0.2.1/24
3 任意 オプション-2 10.0.3.1/24
4 任意 オプション-3 10.0.4.1/24
5 任意 オプション-4 10.0.5.1/24
6 外部 外部-2 190.0.2.2/24

サイト A の管理者は BOVPN トンネル経由で信頼済み、オプション-1、オプション-2 のネットワークのルートを伝播したいと考えていますが、オプション-3 とオプション-4 のネットワークのルートは伝播したくありません。

サイト B の Firebox

この例では、サイト B の Firebox に 1 つの外部インターフェイス、1 つの信頼済みネットワーク、および 3 つの任意ネットワークがあるとします。

インターフェイス 種類 名前 IP アドレス
0 外部 外部 198.51.100.2/24
1 信頼済み 信頼済み 10.50.1.1/24
2 任意 オプション-1 10.50.2.1/24
3 任意 オプション-2 10.50.3.1/24
4 任意 オプション-3 10.50.4.1/24

サイト B の管理者は BOVPN トンネル経由で信頼済みとオプション-1 のネットワークのルートを伝播したいと考えていますが、オプション-2 とオプション-3 のネットワークのルートは伝播したくありません。

BOVPN 仮想インターフェイス構成レポート

各 Firebox の BOVPN 仮想インターフェイスは、同じ設定を使用するように構成する必要があります。この例では、サイト A とサイト B が、事前共有キーを使用して、BOVPN 仮想インターフェイスにこれらの IP アドレスを使用することに合意していることを前提としています。

  • サイト A の BOVPN 仮想インターフェイスのローカル IP アドレス — 10.1.1.1
  • サイト B の BOVPN 仮想インターフェイスのローカル IP アドレス — 10.2.2.2

他すべての BOVPN 仮想インターフェイスの設定は既定値のままです。

サイト A の BOVPN 仮想インターフェイスの構成

BOVPN 仮想インターフェイス構成の ゲートウェイの設定 タブで、以下の設定を指定します。

  • リモート Endpoint のタイプ ドロップダウン リストから Firebox を選択します。このオプションは GPE プロトコルを使って IPSec トンネルをカプセル化します。
  • 認証メソッド は、2 つのサイトが合意した事前共有キーとなります。
  • ゲートウェイ Endpoint リストには、2 つ (サイト A の各外部インターフェイスに 1 つずつ) のゲートウェイ endpoint のペアが含まれています。
    • 最初のゲートウェイ endpoint のペア:
      ローカル ゲートウェイ — 203.0.113.2(サイト A の Firebox における最初の外部インターフェイスの IP アドレス)
      リモートゲートウェイ — 198.51.100.2 (サイト B の Firebox の外部インターフェイスの IP アドレス)
    • 2 番目のゲートウェイ endpoint のペア:
      ローカル ゲートウェイ — 190.0.2.2 (サイト A の Firebox の 2 番目の外部インターフェイスの IP アドレス)
      リモートゲートウェイ — 198.51.100.2 (サイト B の Firebox の外部インターフェイスの IP アドレス)

Screen shot of the BOVPN Virtual Interfaces page, Gateway Settings tab
Fireware Web UI におけるサイト A のゲートウェイの構成。

Screen shot of the New BOVPN Virtual Interface dialog box, Gateway Settings tab
Policy Manager におけるサイト A のゲートウェイの構成。

BOVPN 仮想インターフェイス構成の VPN ルート タブで、以下の設定を指定します。

  • 割り当てられた仮想 IP アドレス — 有効
  • ローカル IP アドレス — 10.1.1.1
  • ピア IP アドレス — 10.2.2.2

Screen shot of the BOVPN Virtual Interfaces page, VPN Routes tab
Fireware Web UI におけるサイト A の VPN ルート。

Screen shot of the New BOVPN Virtual Interface dialog box, VPN Routes tab
Policy Manager におけるサイト A の VPN ルート。

サイト B の BOVPN 仮想インターフェイスの構成

サイト B の構成はサイト A の構成と同じです。ただし、ローカルとリモートのゲートウェイ IP アドレスが逆になり、ローカルとピアの IP アドレスも逆になります。

BOVPN 仮想インターフェイス構成の ゲートウェイの設定 タブで、以下の設定を指定します。

  • リモート Endpoint のタイプ ドロップダウン リストから Firebox を選択します。このオプションは GPE プロトコルを使って IPSec トンネルをカプセル化します。
  • 認証メソッド では、2 つのサイトが合意した事前共有キーを使用します。
  • ゲートウェイ Endpoint リストには、2 つ (サイト A の各外部インターフェイスに 1 つずつ) のゲートウェイ endpoint のペアが含まれています。
    • 最初のゲートウェイ endpoint のペア:
      ローカル ゲートウェイ — 198.51.100.2 (サイト B の Firebox の外部インターフェイスの IP アドレス)
      リモートゲートウェイ:203.0.113.2(サイト A の Firebox における最初の外部インターフェイスの IP アドレス)
    • 2 番目のゲートウェイ endpoint のペア:
      ローカル ゲートウェイ — 198.51.100.2 (サイト B の Firebox の外部インターフェイスの IP アドレス)
      リモートゲートウェイ — 190.0.2.2 (サイト A の Firebox の 2 番目の外部インターフェイスの IP アドレス)

Screen shot of the BOVPN Virtual Interfaces page, Gateway Settings tab
Fireware Web UI におけるサイト B のゲートウェイの構成。

Screen shot of the New BOVPN Interface dialog box, Gateway Settings tab
Policy Manager におけるサイト B のゲートウェイの構成。

BOVPN 仮想インターフェイス構成の VPN ルート タブで、以下の設定を指定します。

  • 割り当てられた仮想 IP アドレス — 有効
  • ローカル IP アドレス — 10.2.2.2
  • ピア IP アドレス — 10.1.1.1

Screen shot of the BOVPN Virtual Interface page, VPN Routes tab
Fireware Web UI におけるサイト B の VPN ルート。

Screen shot of the New BOVPN Virtual Interface, VPN Routes tab
Policy Manager におけるサイト B の VPN ルート。

動的ルートの構成

仮想インターフェイスの IP アドレスを定義したら、それを動的ルート構成で使用することができます。

OSPF 構成の場合:

  • ピアの IP アドレス を BOVPN 仮想インターフェイス構成で使用して、ピアツーピア ネットワークを指し示します。
  • デバイス名 (bvpn1) を BOVPN インターフェイス構成で使用して、BOVPN 仮想インターフェイスを指し示します。

この構成の例では、サイト A は信頼済み、オプション-1、およびオプション-2 のローカル ネットワークのルートを伝播します。サイト B は信頼済みおよびオプション-1 のローカル ネットワークのルートを伝播します。

この例では、各 Firebox で OSPF を構成する 2 つのオプションが示されています。

構成ファイルがサイト A とサイト B の Firebox に保存されると、BOVPN トンネルがアクティブになり、動的ルートがトンネル経由で伝播されます。

動的ネットワーク ルートを確認する

BOVPN トンネルが確立された後は、各 Firebox は OSPF を使用して、ピア デバイスから伝播される接続ネットワークへのルートを学習します。

各 Firebox の BOVPN 仮想インターフェイスを展開すると、WatchGuard System Manager と Firebox System Manager でこれらのルートを見ることができます。

サイト A の Firebox では、Firebox System Manager により、ルーティング先 セクションに 2 つのエントリが表示されます。これらは、サイト B の OSPF 構成で指定されている 2 つのプライベート ネットワークに対応しています。

10.50.1.0/24 metric 20
10.50.2.0/24 metric 20

Screen shot of Firebox System Manager front panel tab Branch Office VPN tunnels at Site A

サイト B の Firebox では、Firebox System Manager により、ルーティング先 セクションに 3 つのエントリが表示されます。これらは、サイト A の OSPF 構成で指定されている 3 つのプライベート ネットワークに対応しています。

10.0.1.0/24 metric 20
10.0.2.0/24 metric 20
10.0.3.0/24 metric 20

Screen shot of Firebox System Manager front panel tab Branch Office VPN tunnels at Site B

Firebox System Manager の ステータス レポート タブでは、IPv4 ルート セクションに、動的ネットワーク ルートが表示されます。ルート テーブルの詳細については、次を参照してください: Firebox ルート テーブルを読み取る

Fireware Web UI では、学習したネットワーク ルートは、各 Firebox のルート テーブルに表示されます。ルートを表示するには、システム ステータス > ルート の順に選択します。Fireware Web UI のルート テーブルの詳細については、次を参照してください:ルート

BOVPN 仮想インターフェイスを使用するルートのインターフェイス名はデバイス名です。これは、BOVPN 仮想インターフェイスが作成される際に自動的に割り当てられます。最初の BOVPN 仮想インターフェイス名は bvpn1 となります。

この例では、サイト A で bvpn1 インターフェイスを使用するルートは次のようになります。

宛先 インターフェイス ゲートウェイ 説明
10.2.2.2 bvpn1 0.0.0.0 仮想 BOVPN インターフェイスのピア IP アドレス
10.50.1.0 bvpn1 10.2.2.2 サイト B から学習したルート
10.50.2.0 bvpn1 10.2.2.2 サイト B から学習したルート

この例では、サイト B で bvpn1 インターフェイスを使用するルートは次のようになります。

宛先 インターフェイス ゲートウェイ 説明
10.1.1.1 bvpn1 0.0.0.0 仮想 BOVPN インターフェイスのピア IP アドレス
10.0.1.0 bvpn1 10.1.1.1 サイト A から学習したルート
10.0.2.0 bvpn1 10.1.1.1 サイト A から学習したルート
10.0.3.0 bvpn1 10.1.1.1 サイト A から学習したルート

関連情報:

BOVPN 仮想インターフェイスを構成する

OSPF を使用して IPv4 ルーティングを構成する

BOVPN 仮想インターフェイスの例

Microsoft Azure への動的ルートの BOVPN 仮想インターフェイス

Amazon Web Services (AWS) への動的ルートの BOVPN 仮想インターフェイス