Dimension では、Dimension により管理される Firebox 間でハブ アンド スポーク VPN を作成および管理することができます。ハブ アンド スポーク VPN では、1 台の Firebox が BOVPN トンネルのハブまたはセントラル ロケーション、1 台の Firebox が BOVPN トンネルのスポークまたはリモート ロケーションになります。各 VPN に 1 台のハブ デバイスを追加する必要がありますが、同じハブ デバイスを使用する多くのスポーク デバイスを追加することができます。スポーク デバイスは別の BOVPN トンネルのハブ デバイスになることができますが、同じ BOVPN トンネルでハブとスポークになることはできません。
Dimension から BOVPN トンネルを作成する場合、VPN リソースを追加し、使用するセキュリティ テンプレートを指定します。VPN リソース は、BOVPN 経由でトラフィックを送信するために使用可能な IP アドレスのセットです。セキュリティ テンプレート は、BOVPN のゲートウェイとトンネルの構成で選択するパラメータのセットです。Dimension には、最高水準のセキュリティと WatchGuard が推奨する設定を有効にする組み込み セキュリティ テンプレート を搭載しています。カスタム セキュリティ テンプレートを作成することもできます。
Dimension が管理する 2 台の Firebox 間で作成する BOVPN トンネルは、トラフィックがハブ デバイスとスポーク デバイスの間で両方向で通過するように構成する、またはトラフィックが1方向で通過するように構成することができます。トラフィックをハブ デバイスと各スポーク デバイスの間でのみ許可するか (従来のハブ アンド スポーク VPN)、またはスポーク デバイス間で許可することができます (トンネル スイッチングによるハブ アンド スポーク)。VPN フェールオーバーで複数 WAN を使用して、外部インターフェイスを専用として使用したり制限したりすることができます。
Dimension から Managed VPN をセットアップする手順は、次を参照してください: Managed VPN を構成する。
従来のハブ アンド スポーク VPN
従来のハブ アンド スポーク VPN を構成する場合、各 Firebox で、1 つのゲートウェイ endpoint のペアを含む 1 つの BOVPN ゲートウェイを構成します。スポークの endpoint は動的 IP アドレスまたはドメイン名で構成し、ハブの endpoint は静的 IP アドレスで構成します。スポーク デバイスで VPN にゼロルート (0.0.0.0) を指定することもできます。この場合、インターネットへのトラフィックはハブ デバイスを経由します。
たとえば、スポーク デバイスの 192.168.1.0/24 からハブ デバイスの 10.0.1.0/24 までトラフィックをルートする 1 つのトンネルを作成し、両方向のトラフィックを許可する場合、トンネルの構成は次のようになります:
192.168.1.0/24 <-> 10.0.1.0/24
トンネル スイッチングによるハブ アンド スポーク VPN
トンネル スイッチングによるハブ アンド スポーク VPN の場合も、各 Firebox で、1 つのゲートウェイ endpoint のペアを含む 1 つの BOVPN ゲートウェイを構成します。トンネル ルートを指定するときに、各スポーク デバイスの VPN リソースがハブ デバイスとハブ デバイスに接続された他のスポーク デバイスと通信することを許可するように各ルートを構成します。
たとえば、各スポーク デバイスで、ハブ デバイス (10.0.1.0/24) と他のスポーク デバイス (スポーク A:92.168.1.0/24、スポーク B: 192.168.2.0/24) の VPN リソースを含む 1 つのトンネルを作成し、そのトンネルで両方向のトラフィックを許可する場合、トンネル ルートは次のようになります:
トンネル A — スポーク A とハブ デバイスの間のトンネル
192.168.1.0/24 <-> 10.0.1.0/24
192.168.1.0/24 <-> 192.168.2.0/24
トンネル B — スポーク B とハブ デバイスの間のトンネル
192.168.2.0/24 <-> 10.0.1.0/24
192.168.2.0/24 <-> 192.168.1.0/24
この例では、トラフィックはハブ デバイス経由でスポーク A からスポーク B までルートされます。
複数 WAN によるハブ アンド スポーク VPN
VPN フェールオーバーのハブ アンド スポーク VPN の構成で複数 WAN を使用して、外部インターフェイスを専用として使用したり制限したりすることができます。
VPN フェールオーバー
VPN フェールオーバー のハブ アンド スポーク VPN を構成する場合、トンネル内のハブ デバイスとスポーク デバイスの両方に 2 つの外部インターフェイスを構成します。ハブ デバイスとスポーク デバイスの間に 1 つのトンネルのみを追加する必要がありますが、VPN フェールオーバーに外部インターフェイスを構成する必要があります。
各ハブ デバイスとスポーク デバイスで、BOVPN のゲートウェイの構成に 2 つ以上のゲートウェイ endpoint のペアを追加します。次にセキュリティ テンプレートを構成に関連付けます。これには、フェールオーバーのオプションを決定する IKE キープアライブまたは DPD の設定が含まれます。ゲートウェイ endpoint のペアはゲートウェイの構成で指定した順序で生成されます。
たとえば、ハブ デバイスに 3 つの外部インターフェイス (H1、H2、H3) があり、スポーク デバイスに 2 つの外部インターフェイス (S1、S2) がある場合、ゲートウェイ endpoint のペアの順序は次のようになります:
H1–S1、H2–S1、H3–S1、H1–S2、H2–S2、H2–S2
この例では、トンネルに 2 つ以上のゲートウェイ endpointのペアがあり、ハブ デバイスとスポーク デバイス (192.168.1.0/24) の間でトラフィックを許可するように構成されており、両方向のトラフィックが許可されている場合、ゲートウェイ endpointのペアは次のようになります:
ハブ デバイスのゲートウェイ endpoint のペアの順序
ハブ External-1 <-> スポーク External-1
ハブ External-2 <-> スポーク External-1
ハブ External-1 <-> スポーク External-2
ハブ External-2 <-> スポーク External-2
スポーク デバイスのゲートウェイ endpoint のぺの順序
IP アドレスは逆ですが、順序は同じです:
スポーク External-1 <-> ハブ External-1
スポーク External-1 <-> ハブ External-2
スポーク External-2 <-> ハブ External-1
スポーク External-2 <-> ハブ External-2
専用外部インターフェイス
もう一つのオプションは、スポーク デバイスで 2 つ以上の外部インターフェイスを有効にする方法です。これにより、特定の外部インターフェイスを使用して特定の場所にトラフィックを送信することができます。
このタイプのハブ アンド スポーク VPN では、各スポーク デバイスで、VPN に加わっているローカル インターフェイスへの BOVPN ゲートウェイを構成します。次に各ゲートウェイに BOVPN トンネルを構成し、そのゲートウェイに特定の VPN リソースを関連付けます。
たとえば、インターフェイスごとに、スポーク デバイスを 2 つの BOVPN ゲートウェイと 2 つの BOVPN トンネルで構成します。次にハブ デバイスを 2 つ以上の外部インターフェイスで構成し、ハブ デバイスに 2 つの BOVPN ゲートウェイと 2 つの BOVPN トンネルを追加します。ゲートウェイを構成するときに、トラフィックをルートさせるインターフェイスを指定します。これにより、トンネルを通過するトラフィックの宛先をコントロールすることができます。
外部インターフェイスを制限する
Firebox で構成されている外部インターフェイスの数に関係なく、特定のインターフェイスを通過するトラフィックを制限する VPN 設定を使用することができます。ハブ デバイスとスポーク デバイスの設定を構成するときに、トンネル経由でトラフィックを送信するために使用する外部インターフェイスを指定します。
セキュリティ テンプレート
セキュリティ テンプレートは、BOVPN トンネルのフェーズ 1 とフェーズ 2 の設定を定義し、ハブ アンド スポーク VPN に含まれるすべてのFirebox にこれらの設定を構成します:
- NAT Traversal (フェーズ 1)
- IKE キープ アライブ (フェーズ 1)
- DPD (フェーズ 1)
- 変換の設定 (フェーズ 1)
- 認証
- 暗号化
- SA ライフタイム
- キー グループ
- Perfect Forward Secrecy (フェーズ 2)
- IPsec プロポーザル (フェーズ 2)
- 認証
- 暗号化
- キー期限の強制終了とトラフィックの強制
Managed VPN を構成する場合、フェーズ 1 の設定が自動的に構成されます。ハブ デバイスとスポーク デバイスの両方が BOVPN トンネルに静的 IP アドレスを使用している場合、モードを メインからアグレッシブにフェールバック に設定できます。BOVPN トンネルの 2 台以上のデバイスが動的アドレスウィ使用している場合、モードを アグレッシブ に設定する必要があります。次に必ずフェーズ 2 のプロポーザルを ESP (カプセル化セキュリティ ペイロード) に設定します。
VPN リソース
VPN リソース は BOVPN トンネル ルートで使用される IP アドレスを指定します。これらの IP アドレスは BOVPN トンネル上で共有されるリソースです。各 VPN リソースには、トンネルで使用可能なホストおよび/またはネットワークの IP アドレスのリストが含まれています。
従来のハブ アンド スポーク VPN を構成する場合、個々の IP アドレス間のトラフィックの方向を指定することができます。各 IP アドレスに 1-to-1 NAT アドレスを構成することもできます。
VIF BOVPN トンネルを追加する場合、IP アドレスごとに、各 デバイスに関連付けられたルートにメトリックを構成できます。
ゲートウェイ
ハブ デバイス と スポーク デバイス ウィザードを実行して Dimension からの Managed VPN を構成する際、特定のネットワークに接続するのに Firebox のどの外部インターフェイスを使うのかを指定し、ハブアンドスポーク BOVPN トンネルで使用するようにゲートウェイを構成します。また、VPN リソースをトンネルで使用するように構成します。