クイック スタート — 2 つの Firebox 間で VPN を設定する

Branch office virtual private network (BOVPN) トンネルは、インターネット上でデータを交換するためのネットワークやホストとネットワークのセキュアウェイです。このトピックでは、2 つの Firebox 間で BOVPN トンネルを設定するのに必要な手順の概要を説明します。

このトピックでは、BOVPN ダイアログ ボックスの設定、およびそれがトンネルに与える影響については説明していません。Branch Office VPN 設定の詳細については、次を参照してください:

詳細な構成例については、次を参照してください:手動 BOVPN 構成の例

このトピックでは、静的外部 IP アドレスがある 2 つの Firebox の間で Branch Office VPN を設定する手順について説明します。動的外部 IP アドレスを使用するデバイスに BOVPN ゲートウェイを設定する方法の詳細については、次を参照してください:BOVPN Gateway のゲートウェイ Endpoint を定義する

Fireware Web UI でクイック起動する

両方の Firebox に静的パブリック IP アドレスがある場合は、開始する前に次の情報が必要です:

  • 各 Firebox のパブリック IP アドレス - これは、ピア ゲートウェイが接続する IP アドレスです。
  • 各 Firebox のプライベート IP アドレス - これは、ローカル ネットワークを識別するために使用される IP アドレスです。これは、VPN トンネル経由でのトラフィック送信が許可されている各デバイスのコンピュータの IP アドレスです。
  • 事前共有キー - VPN トンネル経由で送信されるデータを暗号化および暗号化解除する際に使用されるパスフレーズです。

以下は、収集する必要のある情報のチェックリストです。

サイト A のデバイス

サイト A の外部(パブリック)IP アドレス: ______________________________

サイト A のプライベート IP アドレス: ______________________________

サイト B のデバイス

サイト B の外部(パブリック)IP アドレス: ______________________________

サイト B のプライベート IP アドレス: ______________________________

一般的な VPN 設定

事前共有キー: ______________________________

フェーズ 1 およびフェーズ 2 にどの設定を使用するかを決定する必要があります。2 つの Firebox 間の VPN の場合は、両方のデバイスにフェーズ 1 とフェーズ 2 の既定設定を使用することができます。トンネルの信頼性を向上させるためにフェーズ 1 設定で IKEv2 を選択することができます。

設定の全リスト、および 2 つの Firebox 間で BOVPN の設定を構成する方法の詳細な例については、次を参照してください:2 つの Fireware デバイス間で VPN を設定する (Web UI)

  1. VPN > Branch Office VPN の順に選択します。
  2. ゲートウェイ リストの下にある 追加 をクリックします。
  3. ゲートウェイ名 テキスト ボックスに、このゲートウェイを識別する名前を入力します。
  4. (Fireware v12.4 以降) アドレス ファミリー ドロップダウン リストから IPv4 アドレス または IPv6 アドレス を選択します。
  5. 認証メソッド セクションで、事前共有キーの使用 を選択します。
  6. (Fireware v12.5.4 以降) 文字列ベース または 六角ベース を選択します。既定の設定は 文字列ベース です。六角ベースのキーについては、 次を参照してください: 六角ベースの事前共有キー
  7. 共有キー を入力します。
  8. ゲートウェイ Endpoint リストの下にある 追加 をクリックします。
  9. 外部インターフェイス ドロップダウン リストから、外部 IP アドレスが指定されているインターフェイスを選択します。
  10. インターフェイス IP アドレス ドロップダウン リストから プライマリ インターフェイス IPv4 アドレス または プライマリ インターフェイス IPv6 アドレス を選択します。
  11. IP アドレス別 を選択します。
  12. IPアドレス別 テキスト ボックスで、サイト A Firebox の外部 (パブリック) IP アドレスを入力します。
  13. リモートゲートウェイ タブを選択します。
  14. 静的 IP アドレス を選択します。
  15. 静的 IP アドレス テキスト ボックスに、サイト B Firebox の外部 (パブリック) IP アドレスを入力します。
  16. IP アドレス別 を選択します。IP アドレス別 テキスト ボックスで、サイトB Firebox の外部 IP アドレスを入力します。
  17. OK をクリックして、ゲートウェイ Endpoint の設定 ダイアログ ボックスを閉じます。
  18. 保存 をクリックして、ゲートウェイ設定を保存します。
  1. Branch Office VPN ページで、トンネル リストの横にある 追加 をクリックします。
  2. 名前 テキスト ボックスに、トンネルの名前を入力します。
  3. ゲートウェイ ドロップダウン リストから、直前に作成したゲートウェイを選択します。
  4. アドレス リストの下にある 追加 をクリックします。
  5. ローカル IP セクションで、種類の選択 ドロップダウン リストから、ローカル IP の種類を選択します。たとえば、ネットワーク IPv4 を選択して、IPv4 サブネットを追加します。
  6. 横のテキスト ボックスに、サイト A のプライベート ネットワーク アドレスを入力します。
  7. リモート IP セクションの 種類の選択 ドロップダウン リストから、リモート アドレスの種類を選択します。たとえば、ネットワーク IPv4 を選択して、IPv4 サブネットを追加します。
  8. 横のテキスト ボックスに、サイト B のプライベート ネットワーク アドレスを入力します。
  9. 方向 ドロップダウン リストから、トンネルの方向を選択します。トンネルの方向によって、VPN トンネルのどちらの endpoint からトンネルを経由したVPN 接続が開始されるかが決定されます。
  10. OK をクリックします。
  11. 保存 をクリックして、トンネルの設定を保存します。
  1. VPN > Branch Office VPN の順に選択します。
  2. ゲートウェイ リストの下にある 追加 をクリックします。
  3. ゲートウェイ名 テキスト ボックスに、このゲートウェイを識別する名前を入力します。
  4. (Fireware v12.4 以降) アドレス ファミリー ドロップダウン リストから IPv4 アドレス または IPv6 アドレス を選択します。
  5. 認証メソッド セクションで、事前共有キーの使用 を選択します。
  6. (Fireware v12.5.4 以降) 文字列ベース または 六角ベース を選択します。既定の設定は 文字列ベース です。六角ベースのキーについては、 次を参照してください: 六角ベースの事前共有キー
  7. 共有キー を入力します。
  8. ゲートウェイ Endpoint リストの下にある 追加 をクリックします。
  9. 外部インターフェイス ドロップダウン リストから、外部 IP アドレスが指定されているインターフェイスを選択します。
  10. IP アドレス別 を選択します。
  11. IPアドレス別 テキスト ボックスで、サイトB Firebox の外部 (パブリック) IP アドレスを入力します。
  12. リモートゲートウェイ タブを選択します。
  13. 静的 IP アドレス を選択します。
  14. 静的 IP アドレス テキスト ボックスに、サイト A Firebox の外部 (パブリック) IP アドレスを入力します。
  15. IP アドレス別 を選択します。IP アドレスで指定 テキスト ボックスで、サイト A の Firebox の外部 IP アドレスを入力します。
  16. OK をクリックして、ゲートウェイ Endpoint の設定 ダイアログ ボックスを閉じます。
  17. 保存 をクリックして、ゲートウェイ設定を保存します。
  1. Branch Office VPN ページで、トンネル リストの横にある 追加 をクリックします。
  2. 名前 テキスト ボックスに、トンネルの名前を入力します。
  3. ゲートウェイ ドロップダウン リストから、直前に作成したゲートウェイを選択します。
  4. アドレス リストの下にある 追加 をクリックします。
  5. ローカル IP セクションで、種類の選択 ドロップダウン リストから、ローカル IP の種類を選択します。たとえば、ネットワーク IPv4 を選択して、IPv4 サブネットを追加します。
  6. 横のテキスト ボックスに、サイト B のプライベート ネットワーク アドレスを入力します。
  7. リモート IP セクションの 種類の選択 ドロップダウン リストから、リモート アドレスの種類を選択します。たとえば、ネットワーク IPv4 を選択して、IPv4 サブネットを追加します。
  8. 横のテキスト ボックスに、サイト A のプライベート ネットワーク アドレスを入力します。
  9. 方向 ドロップダウン リストから、トンネルの方向を選択します。トンネルの方向によって、VPN トンネルのどちらの endpoint からトンネルを経由したVPN 接続が開始されるかが決定されます。
  10. OK をクリックします。
  11. 保存 をクリックして、トンネルの設定を保存します。

Policy Manager でクイック起動する

両方のデバイスに静的パブリック IP アドレスがある場合は、開始する前に以下の情報をお読みください。

  • 各デバイスのパブリック IP アドレス - これは、ピア ゲートウェイが接続する IP アドレスです。
  • 各デバイスのプライベート IP アドレス - これは、ローカル ネットワークを識別するために使用されるアドレスです。これは、VPN トンネル経由でのトラフィック送信が許可されている各デバイスのコンピュータの IP アドレスです。
  • 事前共有キー - VPN トンネル経由で送信されるデータを暗号化および暗号化解除する際に使用されるパスフレーズです。

以下は、収集する必要のある情報のチェックリストです。

サイト A のデバイス

サイト A の外部(パブリック)IP アドレス: ______________________________

サイト A のプライベート IP アドレス: ______________________________

サイト B のデバイス

サイト B の外部(パブリック)IP アドレス: ______________________________

サイト B のプライベート IP アドレス: ______________________________

一般的な VPN 設定

事前共有キー: ______________________________

フェーズ 1 およびフェーズ 2 にどの設定を使用するかを決定する必要があります。2 つの Firebox 間の VPN の場合は、両方のデバイスにフェーズ 1 とフェーズ 2 の既定設定を使用することができます。

設定の全リスト、および 2 つの Firebox 間で BOVPN の設定を構成する方法の詳細な例については、次を参照してください:2 つの Fireware デバイス間で VPN を設定する (WSM)

  1. Policy Manager で、VPN > Branch Office ゲートウェイ の順に選択します。追加 をクリックします。
  2. ゲートウェイ名 テキスト ボックスに、Policy Manager のこのゲートウェイを識別する名前を入力します。
  3. 認証メソッド セクションで、事前共有キーの使用 を選択します。
  4. (Fireware v12.5.4 以降) 文字列ベース または 六角ベース を選択します。既定の設定は 文字列ベース です。六角ベースのキーについては、 次を参照してください: 六角ベースの事前共有キー
  5. 共有キー を入力します。
  6. ゲートウェイ Endpoint セクションで、追加 をクリックします。
  7. 外部インターフェイス ドロップダウン リストから、外部 IP アドレスが指定されているインターフェイスを選択します。
  8. IP アドレス別 を選択します。
  9. IP アドレス ドロップダウン リストから、サイト A のデバイスの外部 IP アドレスを選択します。
  10. リモートゲートウェイ セクションで、静的 IP アドレス を選択します。
  11. IP アドレス テキスト ボックスに、サイト B のデバイスの外部 (パブリック) IP アドレスを入力します。
  12. トンネル認証用ゲートウェイ ID の設定 セクションで、IP アドレスで指定 を選択します。
  13. IP アドレス テキスト ボックスに、サイト B のデバイスの外部 (パブリック) IP アドレスを入力します。
  14. OK をクリックして、新しいゲートウェイ Endpoint の設定 ダイアログ ボックスを閉じます。
  15. 閉じる をクリックして、ゲートウェイ ダイアログ ボックスを閉じます。
  1. Policy Manager で、VPN > Branch Office トンネル の順に選択します。追加 をクリックします。
  2. トンネル名 テキスト ボックスに、トンネルの名前を入力します。
  3. ゲートウェイ ドロップダウン リストから、直前に作成したゲートウェイを選択します。
  4. アドレス セクションで、追加 をクリックします。
  5. ローカル テキスト ボックスに、サイト A のローカル ネットワークのプライベート ネットワーク アドレスを入力します。ローカル ドロップダウン リストの横にあるボタンをクリックして、ホスト IP アドレス、ネットワーク アドレス、ホスト IP アドレスの範囲、または DNS 名を入力することもできます。
  6. リモート テキスト ボックスに、サイト B のプライベート ネットワーク アドレスを入力します。横のボタンをクリックして、ホスト IP アドレス、ネットワーク アドレス、ホスト IP アドレスの範囲、または DNS 名を入力することもできます。
  7. 方向 ドロップダウン リストから、トンネルの方向を選択します。トンネルの方向によって、VPN トンネルのどちらの endpoint からトンネルを経由したVPN 接続が開始されるかが決定されます。
  8. OK をクリックします。
  9. 閉じる をクリックし、サイト A のデバイスの変更を保存します。
  1. Policy Manager で、VPN > Branch Office ゲートウェイ の順に選択します。追加 をクリックします。
  2. ゲートウェイ名 テキスト ボックスに、Policy Manager のこのゲートウェイを識別する名前を入力します。
  3. 認証メソッド セクションで、事前共有キーの使用 を選択します。
  4. (Fireware v12.5.4 以降) 文字列ベース または 六角ベース を選択します。既定の設定は 文字列ベース です。六角ベースのキーについては、 次を参照してください: 六角ベースの事前共有キー
  5. 共有キー を入力します。
  6. ゲートウェイ Endpoint セクションで、追加 をクリックします。
  7. 外部インターフェイス ドロップダウン リストから、外部 IP アドレスが指定されているインターフェイスを選択します。
  8. IP アドレス別 を選択します。
  9. IP アドレス ドロップダウン リストから、サイト B のデバイスのプライマリ静的外部 IP アドレスを選択します。
  10. リモートゲートウェイ セクションで、静的 IP アドレス を選択します。
  11. IP アドレス テキスト ボックスに、サイト A のデバイスの外部(パブリック)IP を入力します。
  12. トンネル認証用ゲートウェイ ID の設定 セクションで、IP アドレスで指定 を選択します。
  13. IP アドレス テキスト ボックスに、サイト A のデバイスの外部(パブリック)IP を入力します。
  14. OK をクリックして、新しいゲートウェイ Endpoint の設定 ダイアログ ボックスを閉じます。
  1. Policy Manager で、VPN > Branch Office トンネル の順に選択します。追加 をクリックします。
  2. トンネル名 テキスト ボックスに、トンネルの名前を入力します。
  3. ゲートウェイ ドロップダウン リストから、直前に作成したゲートウェイを選択します。
  4. アドレス セクションで、追加 をクリックします。
  5. ローカル テキスト ボックスに、サイト B のローカル ネットワークのローカル(プライベート)ネットワーク アドレスを入力します。ローカル ドロップダウン リストの横にあるボタンをクリックして、ホスト IP アドレス、ネットワーク アドレス、ホスト IP アドレスの範囲、または DNS 名を入力することもできます。
  6. リモート テキスト ボックスに、サイト A のプライベート ネットワーク アドレスを入力します。横のボタンをクリックして、ホスト IP アドレス、ネットワーク アドレス、ホスト IP アドレスの範囲、または DNS 名を入力することもできます。
  7. 方向 ドロップダウン リストから、トンネルの方向を選択します。トンネルの方向によって、VPN トンネルのどちらの endpoint からトンネルを経由したVPN 接続が開始されるかが決定されます。
  8. OK をクリックします。
  9. 閉じる をクリックして、サイト B のデバイスの変更を保存します。

両方のデバイスにおける VPN の設定が完了してそれを保存すると、デバイスが自動的にトンネルとネゴシエートします。

デバイスがトンネルを確立できない場合は、トンネルの起動にかかった時間について、両方の Firebox のログ ファイルを確認します。障害の発生場所および問題のある設定を示すログ メッセージを参照してください。また、Firebox System Manager を使用して、リアルタイムでログ メッセージを確認できます。

関連情報:

BOVPN トンネルを監視およびトラブルシューティングする