同じ WatchGuard Cloud アカウントに含まれている、2 つのクラウド管理の Fireboxes の間に BOVPN を構成するには、共有 BOVPN 構成を作成します。2 つのクラウド管理の Fireboxes の間で BOVPN を追加または更新すると、BOVPN 構成設定が自動的に配備され、両方の Fireboxes でダウンロードできるようになります。
異なる WatchGuard Cloud アカウントに含まれているクラウド管理の Fireboxes 間で BOVPN を構成するには、各 Fireboxes に対して個別に BOVPN を構成する必要があります。詳細については、ローカル管理の Firebox またはサードパーティ VPN endpoint に対して BOVPN を構成する を参照してください 。
2 つのクラウド管理の Fireboxes 間に BOVPN を追加するには、以下を構成します。
- VPN Gateway — 2 つのデバイスが接続に使用する外部ネットワーク
- ネットワーク リソース — トンネル経由でトラフィックを送受信することができるネットワーク
- 仮想 IP アドレス — (任意) SD-WAN アクションに BOVPN を追加する場合は必須
すべての VPN セキュリティ設定は、デバイス間で接続を確立できるように、自動的に同じ設定で構成されます。
BOVPN とルーティング
BOVPN の構成では、トンネル経由でアクセスできるネットワーク リソースを指定します。一方の endpoint で選択したリソースは、BOVPN をゲートウェイとして、もう一方の VPN endpoint の静的ルートとなります。各リソースに指定したメトリックは、ルーティング テーブルに表示されます。Firebox はルーティング テーブルを使用して、BOVPN トンネル経由でトラフィックを送信するかどうかを決定します。
同じサブネット内の両方の endpoint にネットワーク リソースを指定することはできません。つまり、同じ IP アドレス範囲を使用するプライベート ネットワーク間で、BOVPN トンネル経由でトラフィックをルーティングすることはできません。
ゼロルートの BOVPN ネットワーク リソース (0.0.0.0/0) を追加すると、すべてのネットワーク トラフィック (WatchGuard Cloud へのトラフィックを含む) を VPN トンネル経由で送信する既定のルートが作成されます。
ゼロルートの BOVPN ネットワーク リソースを追加しており、リモート VPN endpoint がクラウド管理の Firebox から WatchGuard Cloud へのトラフィックをルーティングできない場合、Firebox の管理や監視ができなくなります。
BOVPN と自動配備
BOVPN を追加、編集、または削除すると、WatchGuard Cloud によって自動的に新たな配備を作成され、両方の Fireboxes でダウンロードできるようになります。各 Firebox に対する自動配備には、更新された BOVPN 設定が含まれます。自動配備に BOVPN 設定の変更のみが含まれるようにするため、どちらかのデバイスに配備されていない他の構成変更がある場合は、BOVPN の変更を保存することはできません。
同じアカウントに含まれている 2 つの Fireboxes の BOVPN を追加、編集、または削除する前に、どちらの Firebox にも配備されていない変更がないことを確認してください。
同じアカウントに含まれているクラウド管理の Fireboxes 間に BOVPN を追加する
BOVPN は、特定の Firebox の BOVPN ページから追加することも、共有構成ページである VPN ページから追加することもできます。詳細については、クラウド管理の Fireboxes で BOVPN を管理する を参照してください 。
BOVPN を追加するには、WatchGuard Cloud から以下の手順を実行します。
- 以下の方法のいずれかを使用して、BOVPN ページを開きます。
- 現在選択しているアカウントのすべての Fireboxes の BOVPN を管理するには、構成 > VPN の順に選択します。
- 特定の Firebox の BOVPN を管理するには、デバイスの構成ページで Branch Office VPN タイルをクリックします。
- いずれかの BOVPN ページで、Branch Office VPN タイルをクリックします。
BOVPN ページには、現在構成されている BOVPN が表示されます。
- BOVPN の追加 をクリックします。
BOVPN の追加 ページが開きます。
- 名前 テキスト ボックスに、この BOVPN の名前を入力します。
- WatchGuard のクラウド管理の Firebox に接続するオプションを選択します。
このオプションでは、Endpoint A と Endpoint B の両方のセクションに Fireboxes のリストが含まれています。
- Endpoint A セクションで、アカウント内のクラウド管理の Firebox を選択します。
デバイス構成 ページで BOVPN を追加した場合、Endpoint A リストには 1 つの Firebox のみが表示されます。 - Endpoint B セクションで、このアカウント内にあるもう 1 つのクラウド管理の Firebox を選択します。
Endpoint B リストには、同じアカウントに含まれているクラウド管理の Fireboxes がすべて表示されます。 - 次へ をクリックします。
VPN Gateway ページには、各 Firebox の外部ネットワークのリストが表示されます。
- 各 endpoint について、endpoint が接続に使用する外部ネットワークを少なくとも 1 つ選択します。
- 選択した各ネットワークには、Firebox の外部ネットワーク IP アドレスに解決される IP アドレスまたはドメイン名を指定します。
- endpoint に対して複数のネットワークを選択した場合、順序 によってどのネットワークがプライマリになるかが決定されます。ネットワークの順序を変更するには、ネットワークの移動ハンドルをクリックして、リスト内で上下にドラッグします。
- 次へ をクリックします。
トラフィックの設定ページには、各デバイスで構成されている内部ネットワークとゲスト ネットワークが表示されます。
- endpoint ごとに、このトンネル経由でトラフィックを送受信することができる内部ネットワークまたはゲスト ネットワークを選択します。
- 内部ネットワークやゲスト ネットワーク以外のネットワーク リソースを指定するには、
- ネットワーク リソースの追加 をクリックします。
- ネットワーク リソース テキスト ボックスに、ネットワーク IP アドレスとネットマスクを入力します。ヒント!
- メトリック テキスト ボックスで、メトリックを編集できます。規定値は 1 です。
- 追加 をクリックします。
ネットワーク リソースが endpoint のトラフィック設定に追加されます。
- (任意) 各 endpoint の 仮想 IP アドレス テキスト ボックスに、IP アドレスを入力します。
どちらの endpoint でもルーティングに使用されていない、プライベート ネットワークの IP アドレス範囲内の IP アドレスを指定することをお勧めします。
この BOVPN を SD-WAN アクションに追加する前に、仮想 IP アドレスを指定する必要があります。SD-WAN アクションで使用するには、/32 ネットマスクのホスト IP アドレスを指定します。
- 保存 をクリックします。
BOVPN の変更は自動的に配備され、両方の Fireboxes でダウンロードできるようになります。BOVPN の配備は、両方の Fireboxes の配備履歴に追加されます。
BOVPN の編集または削除
BOVPN は、BOVPN ページから編集または削除することができます。詳細については、次を参照してください:クラウド管理の Fireboxes で BOVPN を管理する。