管理トンネルを構成する
NAT ゲートウェイ デバイスの配下にあるリモート Firebox の場合は、管理トンネルを構成して、Firebox から WSM Management Server に接続できるようにすることができます。
開始する前に
各セクションの手順に注意深く従い、管理トンネルを正確にセットアップしてください。
リモート デバイスに接続する目的で管理トンネルを使用するには、以下を行う必要があります:
- 管理トンネルをリモート デバイス上で有効化する前に、ゲートウェイ Firebox を管理トンネルのハブ デバイスとして構成します。
- 各リモート デバイスを設定し、管理対象のデバイスとして Management Server に追加します。
- Management Server のプライベート IP アドレスが 配布 IP アドレス リストおよび 管理対象デバイスの設定 ダイアログ ボックスに含まれていることを確認します。これは 管理トンネルについて トピックの SSL リソースを介した管理トンネル セクションに説明されています。
- リモート デバイスを構成して、各リモート(スポーク)デバイスからハブ デバイスへの管理トンネルを有効化します。
管理トンネルの設定手順を開始する前に、次のトピックのすべてをお読みください:管理トンネルについて。
管理トンネル ゲートウェイ Firebox を構成する
管理トンネルのセットアップでは、リモート デバイスの構成の前に、ゲートウェイ Firebox を構成しておく必要があります。ゲートウェイ Firebox の外部 IP アドレスは動的アドレスである必要があります。IPSec、SSL、またはその 2 つの組み合わせを選択して、ゲートウェイ Firebox に対して管理トンネルをセキュリティで保護することができます。構成オプションは各セキュリティ オプションによって異なります。
ゲートウェイ Firebox の管理トンネルの設定を構成する
- WSM で、Management Server に接続します。
- デバイス ツリーを展開して、ゲートウェイ Firebox デバイスを選択します。
デバイス ページが表示されます。 - デバイス情報 セクションで、構成 をクリックします。
接続設定タブが選択された状態でデバイス プロパティ ダイアログ ボックスが表示されます。
- デバイスは動的外部 IP アドレスを有します (DHCP、PPPoE)(D) チェックボックスが選択されていないことを確認します。
- 管理トンネル ドロップダウン リストから、サーバー を選択します。
管理トンネルの設定タブが表示されます。
- デバイスが未来に再起動するように予定するには、再起動を予定する を選択します。
- IPSec のみ
- SSL のみ
- IPSec または SSL
- 選択した トンネルの種類 用に設定を構成します:
- VPN リソース ドロップダウン リストから、Management Server がインストールされている管理ネットワークの VPN リソースを選択します。
たとえば、信頼済みネットワーク を選択します。 - セキュリティ テンプレート ドロップダウン リストから、管理トンネルに使用するセキュリティ テンプレートを選択します。
- VPN リソース ドロップダウン リストから、Management Server がインストールされている管理ネットワークの VPN リソースを選択します。
たとえば、信頼済みネットワーク を選択します。 - 管理 IP アドレス プール テキスト ボックスに、管理トンネルに使用する ネットワーク IP アドレスの種類を入力します。ヒント
Mobile VPN with SSL がゲートウェイ Firebox 構成で有効になっている場合は、Mobile VPN with SSL の仮想 IP アドレス プールの構成で指定されているのと同じ IP アドレスを使用するようにしてください。 - SSL サーバー IP アドレス/名前 セクションで、プライマリ および バックアップ (任意) SSL サーバーの IP アドレスを入力します。
- VPN リソース ドロップダウン リストから、Management Server がインストールされている管理ネットワークの VPN リソースを選択します。
たとえば、信頼済みネットワーク を選択します。ヒント! - セキュリティ テンプレート ドロップダウン リストから、管理トンネルに使用するセキュリティ テンプレートを選択します。
- 管理 IP アドレス プール テキスト ボックスに、管理トンネルに使用する IP アドレスの種類を入力します。
管理ネットワークに選択したサブネットからの IP アドレスを指定するようにしてください。 - SSL サーバー IP アドレス/名前 セクションで、プライマリ および バックアップ (任意) SSL サーバーの IP アドレスを入力します。
- VPN リソース ドロップダウン リストから、Management Server がインストールされている管理ネットワークの VPN リソースを選択します。
- この管理トンネルを介してのログ メッセージのトラフィックへの送信を有効にするには、このトンネルのログ記録を有効にする チェックボックスを選択します。
- 変更内容を保存するには、OK をクリックします。
ゲートウェイ Firebox のリース期限が切れると、Firebox から Management Server に接続され、新しい構成の詳細が取得されます。Firebox が、管理トンネルの管理ネットワーク側の管理トンネル ゲートウェイ (ハブ デバイス) として利用可能になります。IPSec を使用する管理トンネルの場合は、ハブ デバイスの管理トンネルを無効化すると、自動的に Management Server でハブ デバイスの有効期限切れリース タスクが実行されます。
リモート デバイスの配備
リモート Firebox の配備プロセスには次の 2 つのステップが含まれます:
- リモート デバイスの初期セットアップ。
- リモート デバイスを管理に追加する。
ステップ 1 ― リモート デバイスのセットアップ
リモート デバイスをサード パーティ ファイアウォール NAT ゲートウェイの配下に配備する前に、各デバイスを正しく構成する必要があります。
- 出荷時の既定設定のデバイス用に Quick Setup Wizard を起動します。
- Quick Setup Wizard の実行:
- デバイスに割り当てる ファイル名 と パスフレーズ を書き留めます。
- DHCP または PPPoE の外部インターフェイスを設定します。
- Management Server の設定を構成します:
- Management Server 設定の表示に従って Management Server のプライベート IP アドレスを指定します。
Management Server のプライベート IP アドレスが、配布 IP アドレス リストの Management Server 設定に含まれている最初の IP アドレスであることを確認します。
詳細については、Management Server で認証機関を構成する を参照してください。 - 共有シークレットを書き留めておきます
- Management Server 設定の表示に従って Management Server のプライベート IP アドレスを指定します。
既定では、Management Server によりリモート デバイスが更新されると、配布 IP アドレス リストに表示される IP アドレスがデバイス設定に追加されます。Management Server のプライベート IP アドレスがリストに含まれている最初の IP アドレスではない場合、ウィザードで指定する Management Server のプライベート IP アドレスはデバイス設定から削除され、トンネルが構築されるとそのデバイスは Management Server と通信できなくなります。これを回避するには、Management Server のプライベート IP アドレスが 配布 IP アドレス リストに含まれていることを確認してください。詳細については、管理トンネルについて の SSL リソースを介した管理トンネル セクションを参照してください。
Quick Setup Wizard の完了手順の詳細については、次を参照してください:Firebox Setup Wizards の詳細。
ステップ 2 ― リモート デバイスを管理に追加する
リモート デバイスを構成後、Management Server にデバイスを追加すれば、リモート ロケーションにデバイスがインストールされた後も管理できるようになります。
- WSM で、Management Server に接続します。
- デバイス フォルダを右クリックして、デバイスの挿入 を選択します。
Add Device Wizard が表示されます。 - 次へ をクリックしてウィザードを起動します。
デバイスの IP アドレスおよびパスフレーズの入力ページが表示されます。 - デバイスの現在動的に割り当てられている IP アドレスは不明 (DHCP/PPPoE)(D) を選択します。次へ をクリックします。
デバイス名の入力ページが表示されます。 - ステップ 1 でデバイスに指定したデバイス名と共有シークレットを入力します。次へ をクリックします。
デバイスのステータス、および構成パスフレーズを入力するのページが表示されます。 - ステップ 1 で指定したデバイス用のステータスおよび構成パスフレーズを入力します。次へ をクリックします。
トンネル認証方法を選択する ページが表示されます。 - 自動生成の共有キー を選択します。次へ をクリックします。
- ウィザードを完了します。
ウィザードが完了すればデバイスは配備可能です。デバイスを電源とインターネットに接続すると、デバイスは Management Server に接続し、最終デバイス構成ファイルを取得し、保留中の更新がデバイスに適用されます。
デバイスをリモート ロケーションに送る前に、デバイスの管理トンネルのセットアップを完了しておくことを推奨します。管理トンネルが配備前にデバイスで有効化されている場合、すべての管理オプションはデバイスが配備されると同時に使用可能になります。
リモートデバイスで Access Portal 機能も有効化されている場合は、自動生成される WatchGuard SSLVPN ポリシーに、ポリシーの From リストで SSL を介した管理トンネル用に選択した VPN リソースのインターフェイスが含まれているようにしてください (たとえば、Any-External エイリアス)。
リモート ロケーションにインストールする前にデバイスの管理トンネル設定を構成しない場合、管理オプションは制限されます。デバイスへの直接の接続は許可されませんが、次の機能は使用可能です:
- ログ記録およびレポート
- Hearbeat モニタリング
- VPN のドラッグ&ドロップ
- Policy Manager の構成 (完全管理モードのみ)
- デバイス構成テンプレートの更新(完全管理モードのみ)
管理トンネル リモート デバイスの構成
ゲートウェイ Firebox を管理トンネル ゲートウェイ(ハブ)デバイスとして有効化すると、ゲートウェイ Firebox の情報を各リモート Firebox(スポーク デバイス)の構成に利用できるようになります。各リモート デバイスの構成設定は、IPSec を介した管理トンネルと SSL 上の管理トンネルによって異なります。
- 管理 IP アドレス:
- 仮想 IP アドレスでなければなりません
- 同じ Management Server によって管理されている Firebox の間で固有のものでなければなりません
- 管理トンネル ゲートウェイをゲートウェイ Firebox に有効化したときに指定した VPN リソースとは異なるネットワークになければなりません
- 管理トンネルの 1-to-1 NAT IP アドレス(外部 IP アドレス)として使用され、リモート デバイス側のトンネルを作成する際に使用します
- 単一の IP アドレスで、ネットワーク アドレス、サブネット マスクではありません
- 管理ネットワークから管理 IP アドレスへのトラフィックはゲートウェイ Firebox を通じてルートする必要があります
- IPSec を介する管理トンネルでリモート デバイスを使用するには、各リモート デバイスについて 接続設定 を構成し、デバイスに動的外部 IP アドレスあり オプションを選択する必要があります。
- 管理 IP アドレス プールは、管理トンネル ゲートウェイをゲートウェイ Firebox に有効化したときに指定した VPN リソースとは異なるネットワークになければなりません
- 管理ネットワーク管理 IP アドレス プールからのトラフィックは、ゲートウェイ Firebox を通じてルーティングする必要があります。
- リモート デバイスの管理対象デバイス設定では、Management Server IP アドレスに対し、ゲートウェイ Firebox の外部 IP アドレスではなく、Management Server のプライベート(内部)IP アドレスを指定する必要があります。管理対象デバイス設定に複数の Management Server IP アドレスが含まれている場合、そのデバイスはリストの最初の IP アドレスに常に接続を試みます。
詳細については、Firebox を管理対象デバイスとして構成する を参照してください。
SSL 上の管理トンネルの構成設定に含まれているのは、SSL トンネル ID と パスワード です。これらの設定値はリモート デバイスを構成するときに指定します。続いて Management Server は、SSL トンネル ID とパスワードによりゲートウェイ Firebox 構成を更新します。
リモート デバイスの管理トンネルを有効化するには、以下の手順を実行します:
- WSM で、Management Server に接続します。
- デバイス ツリーを展開して、リモート デバイスを 1 つ選択します。
デバイス ページが表示されます。 - デバイス情報 セクションで、構成 をクリックします。
接続設定タブが選択された状態でデバイス プロパティ ダイアログ ボックスが表示されます。 - デバイスに動的外部 IP アドレスあり (DHCP、PPPoE) チェックボックスが選択されていることを確認します。
- 管理トンネル ドロップダウン リストから、クライアント を選択します。
管理トンネルの設定タブが表示されます。
- ハブ デバイス のドロップダウン リストから、前のセクションで管理トンネル ハブ デバイスとして構成したゲートウェイ Firebox の名前を選択します。
- トンネルの種類 のドロップダウン リストから、管理トンネル ハブ デバイスでこの管理トンネル用に指定したものと同じトンネルの種類を選択します:
- IPSec
- SSL
ハブ デバイスで管理トンネルに指定したトンネルの種類のオプションのみがトンネルの種類のリストに表示されます。
- 選択した トンネルの種類 用に設定を構成します:
- SSL トンネル ID テキスト ボックスで、リモート デバイスの デバイス名 または SSL 上の管理トンネルの別の固有の名称を入力します。
- SSL トンネル パスワード テキスト ボックスに、リモート デバイスが SSL 上の管理トンネルで使用する必要があるパスワードを入力します。
また、Management Server は、これらの認証設定によりゲートウェイ Firebox 構成も更新します。
管理 IP アドレス テキスト ボックスに、管理ネットワークの管理 IP アドレスを入力します。
管理 IP アドレスの詳細については、IPSec を通じた管理トンネルの詳細 を参照してください。 - OK をクリックします。
デバイス プロパティが更新されました。
リースの期限の終了
デバイスをリモート ロケーションに配備する前にリモート デバイスの設定を完了すると、デバイスの電源が入り、インターネットに接続されると同時に管理トンネルが作成されます。デバイスが配備されるまでにリモート デバイスの設定を完了していない場合、リース期限が終了し、デバイスが Management Server に更新済み情報を要求する際に、新しい設定がリモート デバイスに適用されます。この完了までにはおよそ 1 時間ほどかかります。最初の構成が完了したら、リモート デバイスが Management Server に構成の更新を要求して接続するたびに、管理トンネル用のリモート デバイスの構成ファイルの追加または詳細の更新が実行されます。
IPSec を通じた管理トンネルのトンネル ルートは、次の IP アドレスを使用するように構成されています:
- ローカル ― 信頼されたインターフェイス IP アドレスから管理 IP アドレスへの 1-to-1 NAT
- リモート — VPN リソースのハブ デバイス
リモート デバイスの信頼済みあるいは任意の IP アドレスに変更を加える場合、またその IP アドレスが IPSec を介した管理トンネルに使用されている場合、管理トンネルはダウンするため、再構築が必要です。デバイスが完全管理モードの場合、デバイス構成は、リモート デバイスが次に Management Server に接続して最も最近の情報を取得する際に、自動的に更新されます。完全管理モードの IPSec 管理トンネルで使用されるリモート デバイスは、すべて構成しておくことを推奨します。
SSL 上の管理トンネルの場合、IP アドレスは IP アドレス プールから選択されるため、トンネルが構築されるたびに変更可能です。
デバイスが基本管理モードの場合、管理トンネルが再構築される前に、リモート デバイスを Management Server に接続して更新することが必要になります。構成の詳細が変更された後、管理トンネルが更新される前は、前のセクションで説明したとおり、デバイスの管理オプションは制限されています。
リモート デバイスを基本管理モードに強制適用し、Management Server に接続するには、以下の手順を実行します:
- WSM のリモート デバイスの デバイス ページで 構成 をクリックします。
デバイス プロパティ ダイアログ ボックスが表示されます。 - 構成の設定は変更しないでください。OK をクリックします。
- リモート デバイスの デバイス ページで、リースの期限を終了する をクリックし、デバイスが Management Server に接続して更新済み情報を取得するようにします。
リモート デバイスが Management Server に接続する場合、管理トンネルの更新済み情報を取得し、管理トンネルが再構築されます。
SSL 上の管理トンネルに配備済みのリモート デバイスを構成するには、以下の手順を実行します:
リモート Firebox がサード パーティーの NAT デバイスの配下にあるリモート ロケーションに既に配備されており、SSL 上の管理トンネルをリモート デバイスに対して有効にしたい場合は、リモート デバイスに直接接続し、リモート デバイスの 管理対象デバイス設定 を手動で構成することができます。このオプションは、接続がサードパーティー NAT デバイスによりブロックされているため、SSL 上の管理トンネルを通じてリモート デバイスが Management Server に接続できない場合に役立ちます。
SSL 上の管理トンネルでリモート デバイスを構成するためにこの手順のステップを完了する前に、ステップ 2 ― リモート デバイスを管理に追加する セクションのステップを完了し、デバイスを Management Server に追加する必要があります。
SSL 上の管理トンネルにリモート Firebox を構成するには、Policy Manager から以下の手順を実行します:
- リモート デバイスの Policy Manager を起動します。
- 設定 > 管理対象デバイスの設定 の順に選択します。
- Centralized Management を有効化する チェックボックスが選択されていることを確認します。
- 管理トンネル タブを選択します。
- リモート管理に SSL トンネルを使用する チェックボックスを選択します。
- SSL サーバー テキスト ボックスに、OpenVPN サーバーの IP アドレスを入力します。
管理トンネル ゲートウェイ Firebox(ハブ デバイス)の IP アドレス。 - SSL トンネル ID テキスト ボックスで、リモート デバイスの デバイス名 または SSL 上の管理トンネルの別の固有の名称を入力します。
- SSL トンネル パスワード テキスト ボックスに、SSL 上の管理トンネルに使用するパスワードを入力します。
- OK をクリックします。
- 構成をリモート デバイスに保存します。
- リモート デバイスの Fireware Web UI に接続します。
- システム > 管理対象デバイス の順に選択します。
- Centralized Management を有効化する チェックボックスが選択されていることを確認します。
- 管理トンネル タブを選択します。
- リモート管理に SSL トンネルを使用する チェックボックスを選択します。
- SSL サーバー テキスト ボックスに、OpenVPN サーバーの IP アドレスを入力します。
管理トンネル ゲートウェイ Firebox(ハブ デバイス)の IP アドレス。 - SSL トンネル ID テキスト ボックスで、リモート デバイスの デバイス名 または SSL 上の管理トンネルの別の固有の名称を入力します。
- SSL トンネル パスワード テキスト ボックスに、SSL 上の管理トンネルに使用するパスワードを入力します。
- 保存 をクリックします。
SSL 上の管理トンネルにリモート デバイスを構成するのに、Fireware Web UI または WatchGuard Command Line Interface を使用することも可能です。詳細については、Fireware Web UI ヘルプ または Command Line Interface リファレンス を参照してください。
管理トンネルのステータスを確認する
管理トンネルが管理トンネル ゲートウェイ(ハブ)Firebox とリモート(スポーク)Firebox の間で構築されると、管理トンネルのステータスをハブまたはスポーク デバイスの Firebox System Manager フロント パネル タブで確認することができます。
フロント パネル タブの使用方法の詳細については、次を参照してください:基本的なデバイスとネットワーク ステータス (フロント パネル)。
WSM で Management Server に接続し、管理トンネルの一方で管理対象デバイスを 1 つ選択すると、管理トンネルの設定に関する次の情報を含む 管理トンネル情報 セクションと共に、デバイス ページが表示されます:
- 種類 — IPSec のみ、SSL のみ、または IPSec または SSL
- ハブ デバイス — ハブ デバイスの名前
- トンネル ID — 管理トンネルの名前
このデバイス ページの詳細については、次を参照してください:デバイス管理ページについて。
クライアント メンバー リストを確認する
ハブ デバイス(ゲートウェイ Firebox)のデバイス プロパティでは、ハブ デバイスの管理トンネルに構成されているすべてのクライアント デバイス(リモート デバイス)のリストを確認することができます。ハブ デバイスの デバイス プロパティ ダイアログ ボックスには、管理トンネルを構築するのに SSL と IPSec の両者を使用するデバイスが含まれます。
ハブ デバイスに対して Mobile VPN with SSL が有効化されており、ハブ デバイスに対して SSL 上の管理トンネルが構成されている場合、SSL 上の管理トンネルを使ってハブ デバイスに接続するクライアント デバイスのリストを確認することもできます。
すべてのクライアント メンバーを参照する
管理トンネルからハブ デバイス(ゲートウェイ Firebox)に接続するクライアント メンバーのリストを確認するには:
- WSM で、ハブ デバイスの デバイス ページで 構成 をクリックします。
デバイス プロパティ ダイアログ ボックスが表示されます。 - 管理トンネルの設定 タブを選択します。
管理トンネルの設定が表示されます。
- クライアント メンバー をクリックします。
クライアント メンバー ダイアログ ボックスが表示されます。
- クライアント デバイスのリストを確認します。
- 閉じる をクリックします。
SSL 上の管理トンネルのクライアント メンバーを確認する
SSL 上の管理トンネルにハブ デバイスが構成されている場合は、Mobile VPN with SSL 構成 ダイアログ ボックスの上部に、クライアント メンバー ボタンと共に、管理トンネル機能が有効化されていることを示すメッセージが表示されます。
ハブ デバイス(ゲートウェイ Firebox)に接続する SSL 上の管理トンネルのクライアント メンバーのリストを確認するには、以下の手順を実行します:
- クライアント メンバー をクリックします。
クライアント メンバー ダイアログ ボックスが表示されます。
- クライアント デバイスのリストを確認します。
- OK をクリックします。
リモート デバイスを管理する
リモート Firebox に管理トンネルを構成した後、管理ネットワーク(Management Server および WSM クライアントがインストールされている場所)の管理コンピュータの WSM を使ってリモート デバイスに接続し、リモート デバイス構成に変更を加えることができます。
管理ネットワーク上の管理コンピュータ以外のコンピュータ(リモート ロケーションや、異なるサブネット上のコンピュータからなど)からリモート デバイスの構成に変更を加えるには、管理コンピュータへの RDP 接続を確立するか、別のリモート アクセス ツール(Terminal Services など)を使って管理コンピュータに接続する必要があります。その後、管理コンピュータの WSM を使用して、リモート デバイスを管理することができます。