VPN モデム フェールオーバーを構成する

Firebox 構成にモデムのインターフェイスが含まれている場合は、いずれの外部インターフェイスも接続できない場合に、モデムのインターフェイスにフェールオーバーするように Branch Office VPN を構成することができます。モデムへの Branch Office VPN のフェールオーバーは、フェールオーバーのためにモデムを使用する一つまたは複数のリモートオフィスからの Branch Office VPN 接続を許可するセンター オフィスがある場合に有用です。

開始する前に

Branch Office VPN のためにモデムのフェールオーバーを構成する前に、モデムのインターフェイスを構成する必要があります。詳細については、モデム インターフェイスを構成する を参照してください。モデムのインターフェイスを構成すると、Branch Office VPN ゲートウェイを追加または編集する際に、モデムをフェールオーバーに使用する チェックボックスを選択できるようになります。

Screen shot of the Gateway Endpoints list, with the Use modem for failover check box circled
モデムをフェールオーバーに使用する チェックボックスは、モデムのインターフェイスを構成してからでないと Policy Manager に表示されません。


モデムのインターフェイスが構成されていないと、Fireware Web UI で、モデムをフェールオーバーに使用する チェックボックスを選択することはできません。

Fireware v12.0.2 以前では、Branch Office VPN のためにモデム フェールオーバーを構成する前に、ネットワーク設定でモデムのフェールオーバーを構成する必要があります。詳細については、WatchGuard ナレッジ ベースの Fireware v12.0.2 以前でモデム フェールオーバーを構成する を参照してください。

Branch Office VPN 構成要件

VPN フェールオーバーのためにモデムを使用するには、Branch Office VPN ゲートウェイの構成が次の要件を満たす必要があります:

  • Fireware v12.4 以降では、VPN ゲートウェイ設定で IPv4 アドレス をアドレス ファミリーとして選択する必要があります。
  • VPN ゲートウェイ構成には、有効化された物理的外部インターフェイスのそれぞれについてのゲートウェイ endpoint ペアを含む必要があります。
  • ローカル ゲートウェイ endpoint の外部インターフェイスをモデムのインターフェイスにすることはできません。
  • それぞれのゲートウェイ endpoint ペアの ローカル ゲートウェイは、トンネル認証のための ID として (IP アドレスではなく) ID を使用する必要があります。
  • デバイスに一つ以上の外部インターフェイスがある場合、それぞれのローカル外部インターフェイスのローカル ゲートウェイはトンネル認証で単一の ID を使用する必要があります。
  • リモートゲートウェイはアクセス可能である必要があります。これらの構成のいずれも、次の要件を満たす必要があります:
  • リモートゲートウェイは、静的 IP アドレスを一つ持っており、リモートゲートウェイ ID が静的 IP アドレスであること。
  • リモートゲートウェイは、動的 IP アドレスを一つ持っており、リモートゲートウェイ ID は動的 IP アドレスを解決するドメイン名です。

モデム フェールオーバーを有効化するデバイスは、トンネル認証に ID を使用するため、デバイスは VPN 接続を開始する必要があります。つまり、同じ Branch Office VPN トンネルのために、ゲートウェイ endpoint として構成された両方のデバイスに対してモデム フェールオーバーを有効化することはできません。

モデム フェールオーバーに Branch Office VPN ゲートウェイを構成する

  1. VPN > Branch Office VPN の順に選択します。
    ゲートウェイを追加するには、ゲートウェイ リストのとなりの 追加 をクリックします。
    ゲートウェイの設定 ページが表示されます。
  2. ゲートウェイ名 テキスト ボックスに、この VPN ゲートウェイの名前を入力します。
  3. (Fireware v12.4 以降) アドレス ファミリー ドロップダウン リストから IPv4 アドレス を選択します。
  4. フェーズ 1 の設定 タブをクリックします。
  5. モード ドロップダウン リストから、アグレッシブ または メインからアグレッシブにフォールバック を選択します。
  6. 全般設定 タブを選択します。
  7. VPN 認証メソッドを構成します。
    詳細については、手動 BOVPN ゲートウェイを構成する を参照してください。
  8. ゲートウェイ Endpoint セクションで、追加 をクリックします。
    ゲートウェイ Endpoint の設定 ダイアログ ボックスが表示されます。

Screen shot of the Gateway Endpoing Settings dialog box, Local Gateway tab

  1. 外部インターフェイス ドロップダウン リストから、このゲートウェイのために使用する外部インターフェイスを選択します。
    モデムではない外部インターフェイスを選択してください。モデムのインターフェイスを選択すると、一般設定 タブで フェールオーバーにモデルを使用する チェックボックスを選択できません。
  2. (Fireware v12.2 以降) インターフェイス IP アドレス ドロップダウン リストで プライマリ インターフェイスの IP アドレス を選択するか、選択した外部インターフェイスで既に構成済みのセカンダリ IP アドレスを選択します。Fireware v12.4 以降では、プライマリ インターフェイス IPv4 アドレス を選択します。ヒント!
  3. ドメイン名別 を選択します。
  4. となりのテキスト ボックスに、トンネル ゲートウェイ認証のインターフェースに使用する ID を入力します。
    この ID は実際のドメイン名とは一致しません。
  5. リモートゲートウェイ タブを選択します。
  6. 静的 IP アドレス を選択します。
  7. となりのテキスト ボックスに、このリモートゲートウェイの IP アドレスを入力します。
  8. IP アドレスで指定 を選択し、トンネル認証に使用する IP アドレスを指定します。
  9. となりのテキスト ボックスに、このリモートゲートウェイの IP アドレスを入力します。

Screen shot of the Gateway Endpoint Settings dialog box, Remote Gatway tab

  1. OK をクリックします。
    定義したゲートウェイ endpoint ペアが、ゲートウェイ Endpoint のリストに表示されます。

  1. デバイスが一つ以上の物理外部インターフェイスを持っている場合、これらのステップの手順を繰り返して、それぞれの外部インターフェイスについてゲートウェイ endpoint ペアを追加していきます。各外部インターフェイスについて、一意のローカル ID を使用するようにしてください。
  2. ゲートウェイ Endpoint リストの下にある、モデムをフェールオーバーに使用する チェックボックスを選択します。
    ゲートウェイのローカル 外部インターフェイスがモデムのインターフェイスである場合は、このチェックボックスを選択できません。
  3. OK をクリックします。

前の手順のステップでは、リモートゲートウェイは静的 IP アドレスを使用していることを想定しています。リモートゲートウェイが動的 IP アドレスを使用する場合、以下のステップを使用して、各ゲートウェイ endpoint ペアのためにリモートゲートウェイ endpoint を構成してください。

  1. リモートゲートウェイ 設定で、動的 IP アドレス を選択します。
  2. ドメイン名別 を選択します。
  3. となりのテキスト ボックスに、名前解決できるドメイン名を入力します。
  4. 名前解決を試みる チェックボックスを選択します。
  1. VPN > Branch Office ゲートウェイ の順に選択します。
  2. ゲートウェイを追加するには、追加 をクリックします
    新しいゲートウェイ ダイアログ ボックスが表示されます。
  3. ゲートウェイ名 テキスト ボックスに、この VPN ゲートウェイの名前を入力します。
  4. (Fireware v12.4 以降) アドレス ファミリー ドロップダウン リストから IPv4 アドレス を選択します。
  5. フェーズ 1 の設定 タブをクリックします。
  6. モード ドロップダウン リストから、アグレッシブ または メインからアグレッシブにフォールバック を選択します。
  7. 全般設定 タブを選択します。
  8. VPN 認証メソッドを構成します。
    詳細については、手動 BOVPN ゲートウェイを構成する を参照してください。
  9. ゲートウェイ Endpoint セクションで、追加 をクリックします。
    ゲートウェイ Endpoint の設定 ダイアログ ボックスが表示されます。
  10. 外部インターフェイス ドロップダウン リストから、このゲートウェイのために使用する外部インターフェイスを選択します。
    モデムではない外部インターフェイスを選択してください。モデムのインターフェイスを選択すると、一般設定 タブで フェールオーバーにモデルを使用する チェックボックスを選択できません。
  11. (Fireware v12.2 以降) インターフェイス IP アドレス ドロップダウン リストで プライマリ インターフェイスの IP アドレス を選択するか、選択した外部インターフェイスで既に構成済みのセカンダリ IP アドレスを選択します。Fireware v12.4 以降では、プライマリ インターフェイス IPv4 アドレス を選択します。ヒント!
  12. ドメイン情報別 を選択します。構成 をクリックします。
    ゲートウェイ ID のドメインの構成ダイアログ ボックスが表示されます。

Screen shot of the Configure Domain for Gateway ID dialog box

  1. ドメイン名 を選択します。
  2. ドメイン名 テキスト ボックスで、トンネル ゲートウェイ認証にこの外部インターフェイスを使用するための ID を入力します。
    この ID は実際のドメイン名とは一致しません。
  3. OK をクリックします。
    ドメイン名情報が設定されました。

Screen shot of the New Gateway Endpoints Settings dialog box with domain information configured

  1. リモートゲートウェイ 設定で、静的 IP アドレス を選択します。
  2. となりのテキスト ボックスに、このリモートゲートウェイの IP アドレスを入力します。
  3. IP アドレスで指定 を選択し、トンネル認証に使用する IP アドレスを指定します。
  4. となりのテキスト ボックスに、このリモートゲートウェイの IP アドレスを入力します。
  5. OK をクリックします。
    定義したゲートウェイ endpoint ペアが、ゲートウェイ Endpoint のリストに表示されます。

Screen shot of the New Gateway dialog box

  1. Firebox に複数の物理外部インターフェイスがある場合、これらの手順を繰り返して、外部インターフェイスごとにゲートウェイ endpoint ペアを追加していきます。各外部インターフェイスについて、一意のローカル ID を使用するようにしてください。
  2. ゲートウェイ Endpoint リストの下にある、モデムをフェールオーバーに使用する チェックボックスを選択します。
    ゲートウェイのローカル 外部インターフェイスがモデムのインターフェイスである場合は、このチェックボックスを選択できません。
  3. OK をクリックします。

前の手順のステップでは、リモートゲートウェイは静的 IP アドレスを使用していることを想定しています。リモートゲートウェイが動的 IP アドレスを使用する場合、以下のステップを使用して、各ゲートウェイ endpoint ペアのためにリモートゲートウェイ endpoint を構成してください。

  1. リモートゲートウェイ 設定で、動的 IP アドレス を選択します。
  2. ドメイン情報別 を選択します。
  3. となりのテキスト ボックスに、名前解決できるドメイン名を入力します。
  4. 名前解決を試みる チェックボックスを選択します。

ゲートウェイ endpoint の設定の詳細については、次を参照してください:BOVPN Gateway のゲートウェイ Endpoint を定義する

フェーズ 1 の設定の詳細については、次を参照してください:IPSec VPN フェーズ 1 の設定を構成する

モデムにフェールオーバーするように BOVPN 仮想インターフェイスを構成する

ローカル ゲートウェイ endpoint で、外部インターフェイスではないインターフェイスが使用されている場合は、BOVPN 仮想インターフェイスからのフェールオーバーにモデムを使用することはできません。

モデムにフェールオーバーするように BOVPN 仮想インターフェイスを構成するには、Fireware Web UI または Policy Manager から、以下の手順を実行します:

  1. VPN > BOVPN 仮想インターフェイス の順に選択します。
  2. 追加 をクリックします。
    BOVPN 仮想インターフェイス ダイアログ ボックスが表示されます。
  3. インターフェイス名 テキスト ボックスに、この BOVPN 仮想インターフェイスの名前を入力します。
  4. (Fireware v12.4 以降) ゲートウェイ アドレス ファミリー ドロップダウン リストから IPv4 アドレス を選択します。
  5. フェーズ 1 の設定 タブをクリックします。
  6. モード ドロップダウン リストから、アグレッシブ または メインからアグレッシブにフォールバック を選択します。
  7. ゲートウェイ設定 タブを選択します。
  8. VPN 認証メソッドを構成します。
    詳細については、BOVPN 仮想インターフェイスを構成する を参照してください。
  9. ゲートウェイ Endpoint セクションで、追加 をクリックします。

    ゲートウェイ Endpoint の設定 ダイアログ ボックスが表示されます。
  10. BOVPN 仮想インターフェイス名と認証メソッドを構成します。

    詳細については、次を参照してください:BOVPN 仮想インターフェイスを構成する
  11. 前のセクションの説明に従って、ゲートウェイ endpoint を構成してください。

リモート デバイス上のゲートウェイを構成する

同じ認証とフェーズ 1 の設定を使用するように、トンネルの他方のデバイスを構成します。最初のデバイスに構成した名前とドメイン名が一致していることを確認します。この ID は名前解決できるドメイン名ではいので、ドメイン名の解決を試みる チェックボックスを選択しないでください。

Screen shot of the Configure Domain for Gateway ID dialog box
Policy Manager でドメイン名を使用するように構成されているリモートゲートウェイ。

Screen shot of the Gateway Endpoint Setting tab, Remote Gateway, with a domain name configured
Fireware Web UI でドメイン名を使用するように構成されているリモートゲートウェイ。

トンネルを構成する

ゲートウェイ を構成した後で、ゲートウェイ endpoint間のトンネルをその他の Branch Office VPN と同じようにに構成します。詳細については、手動 BOVPN トンネルを構成する を参照してください。

モデム フェールオーバーついて

フェールオーバーにモデムを使用する チェックボックスを選択した場合、Firebox は、外部インターフェイス経由でトラフィックを送信できない場合以外は、Branch Office VPN にモデムを使用しません。すべての外部インターフェイスがダウンしている場合は、デバイスは 2 つのサイト間のモデム接続を開始します。次にモデム接続を介して VPN 接続を開始します。デバイスは、外部インターフェイスに構成された最初のローカル ゲートウェイ ID を、モデム接続のローカル ゲートウェイ ID として使用します。モデム経由の Branch Office VPN 接続は、外部インターフェイスからの接続と同じ認証 ID を使用しているため、モデム経由の接続のためにリモートゲートウェイの構成を変更する必要はありません。

関連情報:

VPN フェールオーバーを構成する

VPN モデム フェールオーバーおよび Multi-WAN