Managed VPN を構成する

Dimension では、Dimension により管理されるすべての Firebox 間で Managed VPN トンネルを構成することができます。Managed VPN のハブ アンド スポーク デバイスを選択するときに、各 Firebox からのトラフィックの送信に使用する外部インターフェイスを選択します。Managed VPN トラフィックに適用するファイアウォール ポリシーも選択します。

Managed VPN を追加する前に、VPN に使用するすべての外部インターフェイスをハブ アンド スポーク デバイスとして選択する Firebox に追加する必要があります。ハブ デバイス上の外部インターフェイスには静的 IP アドレスがなければなりません。既定の 任意 ポリシー以外のファイアウォール ポリシーを適用するには、スポーク デバイスとして Firebox を追加する前に各スポーク デバイスでポリシーを構成する必要があります。

Dimension に Managed VPN を追加する際、従来の BOVPN と 仮想インターフェイス BOVPN のいずれかを使用するよう選択できます。仮想インターフェイス BOVPN を選択した場合、動的ルートを使用できます。動的ルートを使用する要件には、次のようなものが含まれます:

  • 動的ルートは、仮想インターフェイス BOVPN オプションが選択された場合のみサポートされる
  • ハブ デバイスは静的および動的ルートの両方を使用できる
  • スポーク デバイスで使用できるルーティング オプションは 1 つのみ
  • ハブとスポーク デバイスの両方で混合ルーティング モードを使用する必要がある
  • 動的ルートの IP アドレスは他のいかなる目的にも使用してはならない
  • 動的ルートに指定した IP アドレスは、同じ Dimension のインスタンスによって管理される別の VPN に対して使用されていない固有のアドレスである必要がある
  • 各デバイスの動的ルート構成は、Firebox デバイスの構成ファイルで構成する必要があり、 Dimension は動的ルートの構成を管理しない

Firebox で外部インターフェイスを構成する方法の詳細は、次を参照してください: 外部インターフェイスを構成する

Firebox で動的ルートを構成する方法の詳細については、次を参照してください: 動的ルートについて

Firebox デバイスの構成ファイルにポリシーを追加する方法の詳細は、次を参照してください: 構成にポリシーを追加する

Dimension で作成できる VPN トンネルの種類の詳細は、次を参照してください: 接続された Firebox 間で VPN を管理する

Managed VPN を追加する

Managed VPN を追加するときに、ハブ デバイスの設定を指定し、次に VPN にスポーク デバイスを追加します。ウィザードで指定する VPN 設定がハブとスポーク デバイスに適用されるのは、スポーク デバイス ウィザードを完了してからのみです。

ハブ デバイスを追加する

ハブ デバイスを追加するには、以下の手順を実行します:

  1. ホーム > VPN の順に選択します。
    VPN ページが開きます。
  2. 追加 をクリックします。
    ハブ デバイス ページが選択された状態で Create VPN wizard が表示されます。

Screen shot of the Create VPN wizard, Hub Device page

  1. ハブ デバイス ドロップダウン リストから、VPN のハブ デバイス (VPN の中心部) にする Firebox を選択します。
    Dimension に管理される Firebox のみがリストに表示されます。
  2. BOVPN の種類ドロップダウン リストからオプションを選択します:
    • 従来の BOVPN (推奨)
    • 仮想インターフェイス BOVPN
  3. 次へ をクリックします。
    設定 ページが開きます。
  4. VPN 名 テキスト ボックスに、Managed VPN の名前を入力します。ヒント!
  5. 次へ をクリックします。
    外部インターフェイス ページが開きます。
  6. 外部インターフェイス リストから、BOVPN トンネル経由のトラフィックに使用するハブ デバイスの外部インターフェイスを選択します。選択する外部インターフェイスには静的 IP アドレスがなければなりません。
    既定で、リストには Firebox で構成されているすべての外部インターフェイスが含まれます。リストの外部インターフェイスを追加または削除する、またはリスト中のインターフェイスを並べ替えることができます。
    • リストに外部インターフェイスを追加するには、追加 アイコン をクリックし、追加するインターフェイスを選択します。OK をクリックします。
    • リストから外部インターフェイスを削除するには、削除 アイコン をクリックし、削除するインターフェイスを選択します。
    • リスト中の外部インターフェイスを並べ替えるには、インターフェイスを選択して、上に移動 アイコン または 下に移動 アイコン をクリックします。
      リスト中の最初のインターフェイスがプライマリ外部インターフェイスであることを確認します。
  7. 次へ をクリックします。
    VPN リソース ページが開きます。
  8. 仮想インターフェイス BOVPN を選択し、動的ルートを使用する場合、仮想インターフェイス IP アドレスすべてを指定するには、仮想インターフェイス アドレス テキスト ボックスに、仮想インターフェイスの IPv4 アドレスを入力します。
  9. 動的ルートを使用しない、または動的ルートを使用するけれども 従来の BOVPN を選択した場合、スポーク デバイスが接続できる先のハブ デバイスの IP を使用するには、追加 アイコン をクリックします。
    VPN リソースを追加する ダイアログ ボックスが開きます。
    1. IP アドレス テキスト ボックスに、ハブ デバイスの外部インターフェイスの IP アドレスを入力します。
    2. 方向 ドロップダウン リストから、この IP アドレス上をトラフィックが通過する方向を選択します:
      • ハブ ツー スコープ
      • スコープ ツー ハブ
    3. OK をクリックします。
      VPN リソース リストに IP アドレスが表示されます。
  10. 完了 をクリックします。
    Create VPN wizard が完了し、ハブ アンド スポーク VPN ページに VPN が表示されます。

Screen shot of the Hub and Spoke VPN page, with only a Hub device

次に、1 台または複数のスポーク デバイスを VPN に追加することができます。

スポーク デバイスを追加する

ハブ デバイスの ハブ アンド スポーク VPN ページで、1 台または複数のスポーク デバイスを Managed VPN に追加できます。ハブ アンド スポーク VPN の構成オプションの詳細は、次を参照してください: 接続された Firebox 間で VPN を管理する

スポーク デバイスを Managed VPN に追加するには、次の手順を実行します:

  1. スポーク セクションで、追加 をクリックします。
    スポーク デバイス ページが選択された状態で、Add Spoke Gateway Wizard が開きます。

Screen shot of the Add Spoke Gateway wizard, Spoke Device page

  1. デバイスの選択 ドロップダウン リストから、VPN のこのスポークの管理対象の Firebox を選択します。
    ハブ デバイスに選択した Firebox と同じ Firebox は選択できません。
  2. 次へ をクリックします。
    外部インターフェイス ページが開きます。
  3. 外部インターフェイス リストから、BOVPN トンネル経由のトラフィックに使用するスポーク デバイスの外部インターフェイスを選択します。
    既定で、リストには Firebox で構成されているすべての外部インターフェイスが含まれます。リストの外部インターフェイスを追加または削除する、またはリスト中のインターフェイスを並べ替えることができます。
    • リストに外部インターフェイスを追加するには、追加 アイコン をクリックし、追加するインターフェイスを選択します。OK をクリックします。
    • リストから外部インターフェイスを削除するには、削除 アイコン をクリックし、削除するインターフェイスを選択します。
    • リスト中の外部インターフェイスを並べ替えるには、インターフェイスを選択して、上に移動 アイコン または 下に移動 アイコン をクリックします。
      リスト中の最初のインターフェイスがプライマリ外部インターフェイスであることを確認します。
  4. 次へ をクリックします。
    トンネル ルート ページが開きます。
  5. トンネル モード ドロップダウン リストから、Managed VPN 上でトラフィックを送信する方法を選択します:
    • VPN 経由のトラフィック ルートを指定する (推奨)
    • VPN 経由で全トラフィックを送信する
    • 仮想インターフェイス アドレスを指定する
      (ハブ デバイスが仮想インターフェイス アドレスを使用する場合にのみ使用可能)
  6. 仮想インターフェイス アドレスを指定する を選択した場合、仮想インターフェイス アドレス テキスト ボックスに、仮想インターフェイス IP アドレスを入力します。
  7. VPN 経由のトラフィック ルートを指定する (推奨) または VPN 経由で全トラフィックを送信する を選択する場合、ルート元 リストに 1 つまたは複数の IP アドレスを追加するには、追加 アイコン をクリックします。
    VPN リソースを追加する ダイアログ ボックスが開きます。
    1. IP アドレス テキスト ボックスに、スポーク デバイスの外部インターフェイスの IP アドレスを入力します。
    2. 方向 ドロップダウン リストから、この IP アドレス上をトラフィックが通過する方向を選択します:
      • 双方向 (推奨)
      • ハブ ツー スコープ
      • スコープ ツー ハブ
    3. このリソースで 1-to-1 NAT を有効にするには、1-to-1 NAT を有効にする チェックボックスを選択し、使用するホスト アドレスまたはネットワーク アドレスを入力します。
    4. OK をクリックします。
      ルート元 リストに IP アドレスが表示されます。
  8. (VPN 経由のトラフィック ルートを指定する のみ) ルート先 リストに、ハブ デバイスの VPN リソース IP アドレスが表示されます。ハブ デバイスのどの IP アドレスにスポーク デバイスが接続できるかは変更できます:
    • ルート先 リストから IP アドレスを削除するには、インターフェイスを選択し、削除 アイコン をクリックします。
    • ルート先 リストに IP アドレスを追加するには、追加 アイコン をクリックし、追加するインターフェイスを選択します。OK をクリックします。
  9. 次へ をクリックします。
    VPN オプション ページが開きます。
  10. ファイアウォール ポリシー ドロップダウン リストから、Managed VPN 経由のトラフィックに適用するスポーク デバイスの構成ファイルのポリシーを選択します:既定のオプション:
    • 任意 (推奨) — このオプションでは、デバイスの構成ファイルにある 任意 ポリシーが作成されます
    • なし — Managed VPN 経由のトラフィックに適用されるポリシーはありません
  11. 完了 をクリックします。
    Dimension が 2 台の Firebox 間で Managed VPN トンネルを構築し、スポーク デバイスが スポーク リストと ハブ アンド スポーク VPN マップに表示されます。

Screen shot of the Hub and Spoke VPN map

Managed VPN に別のスポーク デバイスを追加するには、ステップ 1 から 13 を繰り返します。

ハブ デバイスと各スポーク デバイスが VPN マップの ハブ アンド スポーク VPN ページに表示されます。ハブ デバイスは丸アイコン、各スポーク デバイスは正方形アイコンで示されています。各スポーク デバイスは線でハブ デバイスと結ばれています。

ハブ デバイスとスポーク デバイスを結ぶ線は接続ステータスを示しています:

  • 実線 — ハブ デバイスとスポーク デバイスの間の接続がアクティブ
  • 点線 — ハブ デバイスとスポーク デバイスの間の接続が非アクティブ

各アイコンの色はデバイスのステータスを示しています:

  • 緑の枠 — 少なくとも 1 つのトンネルがアクティブ
  • 緑の実線 — すべてのトンネルがアクティブ
  • グレー — VPN の健全性データなし
  • 赤 — アクティブ状態のトンネルなし

Managed VPN を編集する

Managed VPN を作成するためにハブ デバイスを追加した後、Managed VPN を編集して、ハブ デバイスまたはスポーク デバイスの設定を変更したり、別のスポーク デバイスを Managed VPN に追加したりすることができます。

Managed VPN を編集する際に指定する設定がハブとスポーク デバイスに適用されるのは、スポーク デバイス ウィザードを完了してからです。ハブ デバイスの設定のみを編集する場合、構成の変更は スポーク デバイス ウィザードをもう一度時してからのみ ハブとスポーク デバイスに適用されます。

Managed VPN を編集するには、以下の手順を実行します:

  1. ホーム > VPN の順に選択します。

    VPN ページが開きます。

Screen shot of the VPNs page

  1. VPN リストから、編集する Managed VPN を選択します。

    VPN マップとスポーク デバイスのリストが表示された状態で、ハブ アンド スポーク VPN ページが開きます。

Screen shot of the Hub and Spoke VPN page

  1. ハブ デバイスを編集するには、ハブ設定を編集する をクリックし、次のセクションの手順に従います:ハブ デバイスを編集する
  2. スポーク デバイスを編集するには、編集するスポーク デバイスを選択し、次のセクションの手順に従います:スポーク デバイスを編集する
  3. スポーク デバイスを削除するには、削除するスポーク デバイスを選択し、次のセクションの手順に従います:スポーク デバイスを削除する

ハブ デバイスを編集する

Managed VPN にハブ デバイスを追加した後、ハブ デバイスを編集して、ハブ デバイスに指定されたフェーズ 1 の設定、フェーズ 1 の変換、およびフェーズ 2 の設定を変更することができます。ハブ デバイスの名前とBOVPN の種類を除き、Managed VPN を追加するときに指定したすべての設定を変更することもできます。

ハブ デバイスの設定を編集するには、以下の手順を実行します:

  1. ハブ アンド スポーク VPN ページの右上で、ハブ設定を編集する をクリックします。
    ハブ デバイス ページが選択された状態で、Edit VPN Wizard が開きます。
  2. Managed VPN に指定された 設定外部インターフェイス、または VPN リソース を変更するタブを選択します。
  3. VPN のセキュリティ設定を変更するには、設定 タブを選択し、設定の編集 をクリックします。
    セキュリティ設定 ダイアログ ボックスが表示されます。
  4. 次のセクションの説明に従ってセキュリティ設定を変更します。
  5. OK をクリックします。
  6. 完了 をクリックします。
    ハブ デバイスの設定が更新されました。

セキュリティ設定

ハブ デバイスに指定されたフェーズ 1 の設定、フェーズ 1 の変換、およびフェーズ 2 の設定を変更することができます。

フェーズ 1 の設定

フェーズ 1 の構成では、安全な認証済みの通信接続を確立するためにデバイスが使用する設定を指定します。

Screen shot of the Phase 1 Settings

NAT Traversal

トンネル内のデバイス間の接続に 1-to-1 NAT を使用する場合はこのチェックボックスを選択します。NAT Traversal または UDP カプセル化により、トラフィックは正しい送信先にルートされるようになります。

キープアライブ間隔 (秒) テキスト ボックスに、次の NAT キープ アライブ メッセージが送信されるまでの秒数を入力します。

IKE キープ アライブ

Firebox が IKE ピアにメッセージを送信して VPN トンネルをオープン状態にキープする場合はこのチェックボックスをオンにします。

メッセージ間隔 (秒) テキスト ボックスに、次の IKE キープ アライブ メッセージが送信されるまでの秒数を入力します。

最大失敗回数 テキスト ボックスに、Firebox がフェーズ 1 とのネゴシエートを試行するまでに Firebox が IKE キープアライブ メッセージの送信を試みる最大回数を入力します。

デッド ピア ディテクション

トラフィック ベースのデッド ピア ディテクションを有効または無効にするには、このチェックボックスを使用します。デッド ピア ディテクションを有効にした場合、Firebox が指定された時間ピアからトラフィックを受信せず、ピアに送信されるパケットが待機している場合のみ、Firebox はピアに接続します。この方法は、IKE キープアライブ メッセージよりもスケーラブルです。

トラフィック アイドル タイムアウト テキスト ボックスに、Firebox がピアへの接続を試みるまでの経過時間(秒単位)を入力するか選択します。

最大再試行回数 テキスト ボックスに、デッド ピアであると判定する前に Firebox が接続を試みる回数を入力するか選択します。

IKE キープアライブとデッド ピア ディテクションの両方を有効にしないでください。

フェーズ 1 の変換

トンネルのセキュリティ設定で、Firebox が使用する変換セットがトンネルと交渉するよう構成することができます。

Screen shot of the Phase 1 Transform settings

認証

認証方法を選択します。SHA1SHA2-256SHA2-384、または SHA2-512

暗号化

暗号化オプションを選択します。AES (128-bit)、AES (192-bit)AES (256-bit)、または 3DES

SA ライフタイム (時間)

これはセキュリティ アソシエーションの有効期限です。SA ライフタイムの時間数を入力します。これには 596,523 時間未満の数値を指定する必要があります。

キー グループ

Diffie-Hellman グループを選択する。オプションには、グループ 1、2、5、14、15、19、および 20 があります。

Diffie-Hellman グループによって、キー交換プロセスで使用されるマスタ キーの強度が決定されます。グループの数値が大きいほどセキュリティが強化されますが、キーの作成に時間がかかります。

詳細については、Diffie-Hellman グループについて を参照してください。

フェーズ 2 の設定

フェーズ 2 の設定には、セキュリティ アソシエーション (SA) の設定が含まれています。SA は、データ パケットが 2 つの endpoint 間で送信される場合に、どのようにセキュリティが保護されるかを定義するものです。SA には、 endpoint 間のトラフィックの処理方法について Firebox が必要とする、あらゆる情報が含まれています。

Screen shot of the Phase 2 Settings

PFS を有効にする

Perfect Forward Secrecy を有効にする場合にこのチェックボックスを選択します。

Perfect Forward Secrecy により、セッションで作成されたキーのセキュリティ保護が強化されます。PFS で作成されるキーは、以前のキーからは作成されません。セッション後に以前のキーのセキュリティが侵害された場合でも、新しいセッション キーのセキュリティは保護されます。

ドロップダウン リストから、Diffie-Hellman グループを選択します。オプションには、グループ 1、2、5、14、15、19、および 20 があります。

詳細については、Diffie-Hellman グループについて を参照してください。

認証

認証方法を選択します:

  • SHA1
  • SHA2-256
  • SHA2-384
  • SHA2-512

暗号化

暗号方法を選択します:

  • 3DES
  • AES (128-bit)
  • AES (192-bit)
  • AES (256-bit)

安全性の最も低いオプションから最も高いオプションの順にオプションが表示されます。

キー期限の強制終了

一定時間が経過するか、または一定量のトラフィックが通過したときに、ゲートウェイの endpoint で強制的に新しいキーを生成して交換するオプションには、このチェックボックスを選択します。

  • 時間別 — キーの有効期限が切れるまでの時間数を入力します。
  • トラフィック別 — キーの有効期限が切れるまでのトラフィックの量をキロバイトで入力します。

スポーク デバイスを編集する

ハブ アンド スポーク VPN ページから、スポーク デバイスの設定を編集できます。スポーク デバイスは スポーク リストまたは VPN マップから選択できます。

スポーク デバイスとして指定されている Firebox は変更できません。別の Firebox をスポーク デバイスとして使用するには、スポーク デバイスを削除して、正しい Firebox を新しいスポーク デバイスとして追加する必要があります。

スポーク リストから、以下の手順を実行します:

  1. スポーク デバイスを選択して、編集 をクリックします。
    スポーク ゲートウェイの編集 ダイアログ ボックスが表示されます。
  2. 構成の設定を変更するタブを選択します:
    • 外部インターフェイス
    • トンネル ルート
    • VPN オプション
  3. 保存 をクリックします。
    スポーク デバイスの設定が表示されます。

VPN マップから、以下の手順を実行します。

  1. ハブ アンド スポーク VPN マップで、スポーク デバイスをクリックします。
    スポーク デバイス ダイアログ ボックスが開きます。

Screen shot of the spoke device informational dialog box

  1. スポーク デバイスの VPN 設定を変更するには、スポークの設定を編集する をクリックします。
    スポーク ゲートウェイ を編集する ダイアログ ボックスが開きます。
  2. 構成の設定を変更するタブを選択します:
    • 外部インターフェイス
    • トンネル ルート
    • VPN オプション
  3. 保存 をクリックします。
    スポーク デバイスの設定が表示されます。

Fireware Web UI を開いて、スポーク デバイスのデバイス構成ファイルを変更することもできます。

  1. ハブ アンド スポーク VPN マップで、スポーク デバイスをクリックします。
    スポーク デバイス ダイアログ ボックスが開きます。

Screen shot of the spoke device informational dialog box

  1. Fireware Web UI で開く の隣にある VPN 統計 をクリックします。
    システム ステータス > VPN 統計 ページが選択された状態でスポーク デバイスに Fireware Web UI が開きます。
  2. 必要に応じて構成を修正し、変更を保存します。

スポーク デバイスを削除する

スポーク リストからスポーク デバイスを削除できます。Managed VPN を削除する前に、ハブ アンド スポーク VPN ページからすべてのスポーク デバイスを削除する必要があります。

スポーク リストから、以下の手順を実行します:

  1. スポーク デバイスを選択し、削除 をクリックします。
    確認メッセージが表示されます。
  2. OK をクリックします。
    スポーク デバイスが Managed VPN から削除され、Managed VPN に関連するすべての設定がスポーク デバイスから削除されます。

Managed VPN を削除する

Managed VPN を削除する前に、VPN からすべてのスポーク デバイスを削除する必要があります。

Managed VPN を削除するには、以下の手順を実行します:

  1. ホーム > VPN の順に選択します。
    VPN ページが開きます。
  2. VPNs リストで、削除する Managed VPN の行を選択します。
  3. 削除 をクリックします。
    確認メッセージが表示されます。
  4. OK をクリックします。
    Managed VPN が削除され、Managed VPN に関連するすべての設定がハブ デバイスから削除されます。

関連情報:

接続された Firebox 間で VPN を管理する

ホームページについて