クラウド管理の Firebox 間に BOVPN を構成する

適用:クラウド管理の Firebox

同じ WatchGuard Cloud アカウントに含まれている、2 つのクラウド管理の Firebox の間に BOVPN を構成するには、共有 BOVPN 構成を作成します。2 つのクラウド管理の Firebox の間で BOVPN を追加または更新すると、BOVPN 構成設定が自動的に配備され、両方の Firebox でダウンロードできるようになります。

異なる WatchGuard Cloud アカウントに含まれているクラウド管理の Firebox 間で BOVPN を構成するには、各 Firebox に対して個別に BOVPN を構成する必要があります。詳細については、ローカル管理の Firebox またはサードパーティ VPN endpoint に対して BOVPN を構成する を参照してください。

2 つのクラウド管理の Firebox 間に BOVPN を追加するには、以下を構成します。

  • VPN Gateways — 2 つのデバイスにおいて接続に使用される外部ネットワーク。
  • 証明書 — (任意) トンネル認証に使用される IPSec Firebox 証明書。詳細については、Fireware ヘルプBranch Office VPN (BOVPN) トンネル認証の証明書 を参照してください。
  • ネットワーク リソース — トンネル経由でトラフィックを送受信することができるネットワーク。
  • 仮想 IP アドレス — (任意) 以下の場合は仮想 IP アドレスが必要。
  • BOVPN 仮想インターフェイスで動的ルートを使用する場合。
  • BOVPN を SD-WAN アクションに追加する場合。
  • ゼロルート BOVPN を構成する場合。
  • Firebox で生成されたトラフィックへの応答がトンネル経由で送信されるようにする場合。例:DNS と DHCP トラフィック、Dimension、syslog、SNMP、NTP、認証 (Active Directory、LDAP、RADIUS)、およびトンネル経由でリソースに対して Firebox で確立されるその他の接続。

Fireware v12.9 以降では、Firebox IP スプーフィング チェックの仕組みが変更されました。現在は、2 番目の外部インターフェイスから送信されたトラフィックが、Firebox からスプーフィング攻撃としてドロップされるようになっています。スプーフィング チェックは、BOVPN 仮想インターフェイスにも適用されます。BOVPN 仮想インターフェイスの IP アドレスが構成されていない場合は、そのトラフィックはリモート endpoint のパブリック IP から送信されたように見えます。スプーフィング チェックの仕組みの変更に関する詳細については、WatchGuard ナレッジ ベース を参照してください。

すべての VPN セキュリティ設定は、デバイス間で接続を確立できるように、自動的に同じ設定で構成されます。

BOVPN とルーティング

BOVPN の構成では、BOVPN トンネル経由でアクセスできるネットワーク リソースを指定します。一方の endpoint で選択したリソースは、BOVPN をゲートウェイとして、もう一方の endpoint の静的ルートとなります。各リソースに指定した距離 (メトリック) は、ルーティング テーブルに表示されます。Firebox はルーティング テーブルを使用して、BOVPN トンネル経由でトラフィックを送信するかどうかを決定します。

同じサブネット内の両方の endpoint にネットワーク リソースを指定することはできません。つまり、同じ IP アドレス範囲を使用するプライベート ネットワーク間で、BOVPN トンネル経由でトラフィックをルーティングすることはできません。

Firebox とローカル管理の VPN endpoint またはサードパーティ VPN endpoint との間の VPN の場合。

  • リモート endpoint に指定したネットワーク リソースは、Firebox がトンネル経由でルーティングするトラフィックを指定します。これは、BOVPN をゲートウェイとして、クラウド管理の Firebox の静的ルートとなります。
  • Firebox に指定するネットワーク リソースは、リモート endpoint によって VPN トンネル経由で Firebox にルーティングさせるリソースです。ここで指定したリソースは、Firebox が VPN トンネルを通じて受け入れるトラフィックを制限するものではありません。Firebox がこれらのリソースへの VPN トラフィックを受信するには、リモート endpoint がこれらの IP アドレスへのトラフィックをトンネル経由でルーティングするように構成されている必要があります。

仮想 IP アドレス

仮想 IP アドレス は、物理インターフェイスに紐づいていない IP アドレスです。WatchGuard Cloud の BOVPN (BOVPN 仮想インターフェイス) では、仮想 IP アドレスはゲートウェイ (ネクスト ホップ) として機能します。Firebox で生成されるトラフィックと BOVPN 仮想インターフェイスに直接送信される応答トラフィックで、仮想 IP アドレスが使用されます。

仮想 IP アドレスは、以下の場合に構成する必要があります。

動的ルート

BOVPN 仮想インターフェイスを使用することで、Firebox で動的ルートを使用し、ピアの Firebox のプライベート ネットワークまたはサードパーティ endpoint への VPN トンネル経由のルートが検知されるように設定することができます。詳細については、動的ルートの BOVPN 仮想インターフェイス を参照してください。

SD-WAN

SD-WAN アクションに BOVPN を追加する前に、両方の endpoint で、/32 仮想 IP アドレスで BOVPN を構成する必要があります。両方の endpoint で、仮想 IP アドレスとして /32 ホスト IP アドレスを構成すると、BOVPN リンク監視が暗黙的に有効化されます。リンク監視が有効化されていない BOVPN (両方の endpoint に有効な /32 仮想 IP アドレスがない) は、SD-WAN アクションに選択することができません。

SD-WAN の詳細については、SD-WAN を構成する を参照してください。

ゼロ ルーティング

ゼロルートの BOVPN ネットワーク リソース (0.0.0.0/0) を追加すると、すべてのネットワーク トラフィック (WatchGuard Cloud へのトラフィックを含む) を VPN トンネル経由で送信する既定のルートが作成されます。クラウド管理の Firebox の場合は、応答トラフィックで VPN トンネルが使用されるように、BOVPN 構成で仮想 IP アドレスを入力する必要があります。

ゼロルートの BOVPN ネットワーク リソースを追加しており、リモート VPN endpoint がクラウド管理の Firebox から WatchGuard Cloud へのトラフィックをルーティングできない場合、Firebox の管理や監視ができなくなります。

Firefox で生成されるトラフィック

Firebox では、トンネル経由でトラフィックが生成されます。Firebox で生成されたトラフィックは、自己生成のトラフィック (self-generated traffic) または自己発生トラフィック (self-originated traffic) とも呼ばれます。

Firebox で生成されたトラフィックへの応答で VPN トンネルが使用されるように、各 endpoint に /32 仮想 IP アドレスを入力する必要があります。Firebox によって生成されるトラフィックの例には、DNS と DHCP トラフィック、Dimension、syslog、SNMP、NTP、認証 (Active Directory、LDAP、RADIUS)、およびトンネル経由でリソースに対して Firebox で確立されるその他の接続が含まれます。

BOVPN と自動配備

BOVPN を追加、編集、または削除すると、WatchGuard Cloud によって自動的に新たな配備を作成され、両方の Firebox でダウンロードできるようになります。各 Firebox に対する自動配備には、更新された BOVPN 設定が含まれます。自動配備に BOVPN 設定の変更のみが含まれるようにするため、どちらかのデバイスに配備されていない他の構成変更がある場合は、BOVPN の変更を保存することはできません。

同じアカウントに含まれている 2 つの Firebox の BOVPN を追加、編集、または削除する前に、どちらの Firebox にも配備されていない変更がないことを確認してください。

同じアカウントに含まれているクラウド管理の Firebox 間に BOVPN を追加する

BOVPN は、特定の Firebox の BOVPN ページから追加することも、共有構成ページである VPN ページから追加することもできます。詳細については、クラウド管理の Firebox で BOVPN を管理する を参照してください。

BOVPN を追加するには、WatchGuard Cloud から以下の手順を実行します。

  1. 以下の方法のいずれかを使用して、BOVPN ページを開きます。
    • 現在選択しているアカウントのすべての Firebox の BOVPN を管理するには、構成 > VPN の順に選択します。
    • 特定の Firebox の BOVPN を管理するには、デバイス構成ページで Branch Office VPN タイルをクリックします。
  2. いずれかの BOVPN ページで、Branch Office VPN タイルをクリックします。
    BOVPN ページには、現在構成されている BOVPN が表示されます。

Screen shot of the BOVPN page with no BOVPNs added

  1. BOVPN の追加 をクリックします。
    BOVPN の追加 ページが開きます。

Screen shot of the Add BOVPN page, name and type settings

  1. 名前 テキスト ボックスに、この BOVPN の名前を入力します。
  2. アドレス ファミリ ドロップダウン リストから、IPv4 アドレス または IPv6 アドレス を選択します。
    IPv6 アドレス を選択した場合は、他の BOVPN endpoint で IPv6 がサポートされるように構成されている必要があります。
  3. WatchGuard のクラウド管理の Firebox に接続するオプションを選択します
    このオプションでは、Endpoint A と Endpoint B の両方のセクションに Firebox のリストが含まれています。

Screen shot of the Define VPN endpoints settings

  1. Endpoint A セクションで、アカウント内のクラウド管理の Firebox を選択します。
    デバイス構成 ページで BOVPN を追加した場合、Endpoint A リストには 1 つの Firebox のみが表示されます。
  2. Endpoint B セクションで、このアカウント内にあるもう 1 つのクラウド管理の Firebox を選択します。
    Endpoint B リストには、同じアカウントに含まれているクラウド管理の Firebox がすべて表示されます。
  3. 次へ をクリックします。
    VPN Gateway ページには、IPSec Firebox 証明書を使用するオプションおよび各 Firebox の外部ネットワークのリストが表示されます。

Screen shot of the VPN Gateways settings

  1. (任意) この VPN 接続に IPSec Firebox 証明書を使用する場合は、IPSec Firebox 証明書を使用する を選択します。
    証明書のリストが表示されます。
  2. 証明書を選択します。
  3. 各 endpoint について、endpoint が接続に使用する外部ネットワークを少なくとも 1 つ選択します。
  4. 選択した各ネットワークには、Firebox の外部ネットワーク IP アドレスに解決される IP アドレスまたはドメイン名を指定します。
  5. endpoint に対して複数のネットワークを選択した場合、順序 によってどのネットワークがプライマリになるかが決定されます。ネットワークの順序を変更するには、ネットワークの移動ハンドルをクリックして、リスト内で上下にドラッグします。
  6. 次へ をクリックします。
    トラフィックの設定ページには、各デバイスで構成されている内部ネットワークとゲスト ネットワークが表示されます。

Screen shot of the Add BOVPN, Traffic settings

  1. endpoint ごとに、このトンネル経由でトラフィックを送受信することができる内部ネットワークまたはゲスト ネットワークを選択します。
  2. 内部ネットワークやゲスト ネットワーク以外のネットワーク リソースを指定するには、
    1. ネットワーク リソースの追加 をクリックします。

    Screen shot of the Add Network Resource dialog box

    1. ネットワーク リソース テキスト ボックスに、ネットワーク IP アドレスとネットマスクを入力します。ヒント!
    2. 距離 テキスト ボックスに、1 ~ 254 の値を入力します。低いメトリックのルートの優先順位が高くなります。規定値は 1 です。Fireware v12.9 以降では、距離 設定が メトリック 設定に置き換わっています。
    3. 追加 をクリックします。
      ネットワーク リソースが endpoint のトラフィック設定に追加されます。

Screen shot of an added network resource

  1. (任意) 各 endpoint の 仮想 IP アドレス テキスト ボックスに、IP アドレスを入力します。仮想 IP アドレス は、物理インターフェイスに紐づいていない IP アドレスです。WatchGuard Cloud の BOVPN (BOVPN 仮想インターフェイス) では、仮想 IP アドレスはゲートウェイ (ネクスト ホップ) として機能します。BOVPN 仮想インターフェイスに直接送信される応答トラフィックに、仮想 IP アドレスが使用されます。

場合によっては、仮想 IP アドレスが必要となります。

  • 動的ルートを用いる場合は、BOVPN 仮想インターフェイス IP アドレスを使用する必要があります。
  • この BOVPN を SD-WAN アクションに追加するには、32 ネットマスクで仮想 IP アドレスを指定する必要があります。
  • ゼロルート BOVPN を構成する場合は、応答トラフィックで VPN トンネルが使用されるように、仮想 IP アドレスを入力する必要があります。ゼロルートの BOVPN ネットワーク リソースを追加しており、リモート VPN endpoint がクラウド管理の Firebox から WatchGuard Cloud へのトラフィックをルーティングできない場合、Firebox の管理や監視ができなくなります。
  • Firebox で生成されたトラフィックの場合は、仮想 IP アドレスが必要となります。そうすれば、その応答トラフィックで VPN トンネルが使用されます。Firebox によって生成されるトラフィックの例には、DNS と DHCP トラフィック、Dimension、syslog、SNMP、NTP、認証 (Active Directory、LDAP、RADIUS)、およびトンネル経由でリソースに対して Firebox で確立されるその他の接続が含まれます。

Screen shot of the virtual IP address settings

  1. 保存 をクリックします。
    BOVPN の変更は自動的に配備され、両方の Firebox でダウンロードできるようになります。BOVPN の配備は、両方の Firebox の配備履歴に追加されます。

BOVPN の編集または削除

BOVPN は、BOVPN ページから編集または削除することができます。詳細については、クラウド管理の Firebox で BOVPN を管理する を参照してください。

関連トピック

デバイス構成の配備を管理する

ローカル管理の Firebox またはサードパーティ VPN endpoint に対して BOVPN を構成する