fbpx

ルートベースVPNの構成

この記事では、次の間でルートベースVPNを構成する方法について説明します。

  • 2つのCheck Point Embedded NGXゲートウェイ
  • Check Point SmartLSM 拡張機能の有無にかかわらず、Check Point SmartCenter R60 以降を使用している組み込みNGXゲートウェイとCheck Point VPN-1 Pro NGXゲートウェイ

前書き

ルートベースのVPNを構成することにより、大規模ネットワークのネットワークおよびVPN管理の効率を向上させることができます。ルートベースのVPNは、VPNトンネルを介したルーティング接続を可能にするため、リモートVPNサイトは動的または静的ルーティングスキームに参加できます。

静的ルーティングスキームでは、特定のサブネットから送信されたパケット、または特定のサブネットに送信されたパケットの静的ルートを構成する必要があります。このようなスキームでは、ネットワークトポロジが変化するたびに静的ルートを再構成する必要があるため、主に小規模または比較的変化しないネットワークに適しています。

「従来の」VPNを介して静的ルートを持つルートベースVPNを使用する利点は、VPNトンネルが通常のオペレーティングシステム(OS)インターフェイスとして動作することです。これは、インターフェースが上下するときに、VPNトンネルがルーティングの決定で考慮されることを意味します。各ルートに「コスト」を割り当てることにより、ルーティングの決定に影響を与えることができます。組み込みNGXアプライアンスは、常に最低コストのネクストホップを介してパケットをルーティングします。

たとえば、あるインターネット接続(WAN2)で実行されているフレームリレー回線と、別のインターネット接続(WAN)で実行されているルートベースのVPN(VTI1)がある場合、会社は本社(HQ)への2つの静的ルートを構成できます。 ):1つはフレームリレー回線(WAN2)を経由し、もう1つはVPN(VTI1)を経由します。WAN2を経由するルートのコストが10で、VTI1を経由するルートのコストが20の場合、通常、HQへのトラフィックはWAN2を経由します。WAN2に障害が発生すると、トラフィックはVTI1を通過し、WAN2が回復すると、トラフィックは再びWAN2を通過します。

絶えず変化するネットワークでは、OSPF(Open Shortest Path First)動的ルーティングスキームと組み合わせたルートベースのVPNを使用することをお勧めします。OSPFは、単一の自律システム(AS)内のルーター間でルーティング情報を配布します。AS内の各ルーターは、ローカル状態(つまり、ルーターの使用可能なインターフェイスと到達可能なネイバー)をAS内の他のルーターに配布し、他のルーターのリンク状態アドバタイズを使用して、ASトポロジー全体を記述するデータベースを構築および維持します。したがって、内部ネットワークを追加するなどしてネットワークトポロジに変更を加えると、ネットワークトポロジへのすべての変更でルーターが自動的に更新されます。

OSPF動的ルーティングスキームでルートベースVPNを使用すると、静的ルーティングスキームでルートベースVPNと同じ利点があります。ただし、静的ルーティングスキームの障害検出機能はネクストホップゲートウェイの可用性の検出に限定されていますが、これらの機能は動的ルーティングスキームの方が優れています。が迅速に検出され、ルーティングテーブルが更新されて、次善の(最短の)オープンパスが存在する場合、そのパスを経由して障害を迂回します。

OSPFは標準プロトコルなので、動的ルーティングスキームには、組織内のチェックポイントと非チェックポイントの両方のルーターを含めることができます。

尚、このドキュメントにはスタティックルーティングスキームとOSPFダイナミックルーティングスキームの両方のルートベースVPNの構成に関する情報が含まれています。ただしセキュリティの観点から考えるとVPN自体NGです。VPNをゼロトラストへ移行する必要があります。より詳細な内容にご感心あれば、是非他の記事もご覧ください。

組み込みNGXゲートウェイ間のルートベースVPNの構成

概観

ルートベースVPNを構成するには:

  1. 各ゲートウェイで、もう一方のゲートウェイをVPNサイトとして追加します。たとえば、ゲートウェイAで、ゲートウェイBをVPNサイトとして追加します。ゲートウェイBで、ゲートウェイAをVPNサイトとして追加します。後述の「VPNサイトの追加」を参照してください。
  2. 次のいずれかを実行します。
    • 静的ルーティングスキームを使用するには、各ゲートウェイで、他のゲートウェイの背後にあるネットワークへの静的ルートを追加します。後述の「静的ルートの追加」を参照してください。
    • OSPF動的ルーティング方式を使用するには、各ゲートウェイでOSPFを構成します。後述の「ゲートウェイでのOSPFの構成」を参照してください。

VPNサイトの追加

VPNサイトを追加するには:

  1. メインメニューの[VPN]をクリックし、[VPNサイト]タブをクリックします。「VPNサイト」ページに、VPNサイトのリストが表示されます。
  2.  [新しいサイト]をクリックします。VPN-1 Edge VPNサイトウィザードが開き、[VPNサイトウィザードへようこそ]ダイアログボックスが表示されます。
  3.  [サイト間VPN]をクリックします。
  4. 次へをクリックします。[VPNゲートウェイアドレス]ダイアログボックスが表示されます。
  5. 必要に応じてフィールドに入力します。詳細については、ユーザーガイドを参照してください。
  6. 次へをクリックします。[VPNネットワーク構成]ダイアログボックスが表示されます。
  7. Route Based VPNをクリックします。
  8. 次へをクリックします。Route Based VPNダイアログボックスが表示されます。
  9. [トンネルローカルIP]フィールドに、VPNトンネルのこの端のローカルIPアドレスを入力します。これは、VPNサイトごとに一意である必要があります。ゲートウェイAに構成したトンネルローカルIPアドレスは、ゲートウェイBのトンネルリモートIPアドレスになります。たとえば、たとえば、ゲートウェイAのローカルIPアドレスを192.168.10.10, then you must configure the remote IP address on gateway Bとした192.168.10.10として構成するとします。
  10. [トンネルリモートIP]フィールドに、VPNトンネルのリモートエンドのIPアドレスを入力します。これは、VPNサイトのVTI(仮想トンネルインターフェース)です。これは、VPNサイトごとに一意である必要があります。ゲートウェイAで構成するトンネルリモートIPアドレスは、ゲートウェイBでトンネルローカルIPアドレスになります。たとえば、ゲートウェイAのリモートIPアドレスを192.168.10.20として構成する場合、ゲートウェイBのローカルIPアドレスを192.168.10.20として構成する必要があります。
  11. OSPF動的ルーティングを使用するには、[OSPFコスト]フィールドに、動的ルーティングを目的としたこのリンクのコストを入力します。OSPFは常に、コストが最も低いルートを介してトラフィックを送信することを好みます。デフォルト値は10です。
  12. 次へをクリックします。
  13. 必要に応じてウィザードを完了します。詳細については、ユーザーガイドを参照してください。[VPNサイト]ページが再び表示され、新しいサイトが表示されます。

静的ルートの追加

スタティックルーティングスキームを使用する場合は、スタティックルートを作成して、「VPNサイトの追加」で設定したVTIを介して送信するトラフィックを指定する必要があります。

または、後述の「ゲートウェイでのOSPFの構成」の手順を使用してOSPFを構成できます。

静的ルートを追加するには:

  1. メインメニューの[ネットワーク]をクリックし、[ルート]タブをクリックします。[静的ルート]ページが表示され、既存の静的ルートのリストが示されます。
  2. [新しいルート]をクリックします。Static Route Wizardが開き、Step 1:Source and Destinationダイアログボックスが表示されます。
  3. [ソース]ドロップダウンリストで、[ANY]を選択します。
  4. [宛先]ドロップダウンリストで、[指定されたネットワーク]を選択します。新しいフィールドが表示されます。
  5. [ネットワーク]フィールドに、リモートネットワークのIPアドレスを入力します。
  6. [ネットマスク]ドロップダウンリストで、サブネットマスクを選択します。
  7. 次へをクリックします。[ステップ2:次ホップとメトリック]ダイアログボックスが表示されます。
  8. ネクストホップIPフィールドに、リモートネットワーク宛てのパケットをルーティングする先のIPアドレスを入力します。これは、2ページの「VPNサイトの追加」で構成したリモートネットワークのVTI(仮想トンネルインターフェイス)です。
  9. [メトリック]フィールドに、静的ルートのメトリックを入力します。ゲートウェイは、パケットの宛先と一致し、メトリックが最小のルートにパケットを送信します。デフォルト値は10です。
  10. 次へをクリックします。[ルート]ページが再び表示され、新しい静的ルートが表示されます。

ゲートウェイでのOSPFの構成

OSPF動的ルーティング方式を使用する場合は、ゲートウェイでOSPFを構成する必要があります。OSPFの構成は、CLIコマンドを介して行われます。Embedded NGXポータルのコマンドラインインターフェイスを使用するか、SSH(Secure Shell)管理プロトコルを使用して、必要なコマンドを実行できます。詳細については、組み込みNGX CLIリファレンスガイドを参照してください。

または、後述の「静的ルートの追加」の手順を使用して、静的ルーティングスキームを構成できます。

OSPFを構成するには

  1. 次のコマンドを入力して、OSPFを有効にします。
    set ospf mode internal
  2. 次のコマンドを入力して、ローカルネットワークIPアドレス、サブネットマスク、およびOSPFエリアを公開します。
    add ospf network address address mask mask area area
    where:
    address:ローカルネットワークのIPアドレス。
    mask:ローカルネットワークのサブネットマスク。
    area:OSPFエリアのIPアドレス。
    例:add ospf network address 192.168.20.0 mask 255.255.255.0 area 0.0.0.0
  3. 次のコマンドを入力して、ローカルVTIを公開します。
    add ospf network address address mask mask area area
    where:
    address:ローカルVTIのIPアドレス。
    mask:ローカルVTIのサブネットマスク。
    area:OSPFエリアのIPアドレス。
    例:add ospf network address 1.1.1.1 mask 0.0.0.0 area 0.0.0.0
  4. OSPFが正しく構成されていることを確認するには、次のコマンドを入力します。
    • info ospf neighbor
    • info ospf routes
      OSPFネイバーおよびルータに関する情報が表示されます。

注:組み込みNGXゲートウェイは、OSPFを構成するためのいくつかの追加コマンドをサポートしています。詳細については、組み込みNGX CLIリファレンスガイドを参照してください。

組み込みNGX ゲートウェイとVPN-1 Pro NGXゲートウェイ間のルートベースVPNの構成

概観

ルートベースVPNの構成に使用される方法は、組み込みNGX ゲートウェイがSmartCenter によって管理されているか、外部で管理されているかによって異なります。

外部管理ゲートウェイとVPN-1 Pro NGXゲートウェイ間のルートベースVPNの構成

ルートベースVPNを構成するには:

  1. 以下を実行して、ルートベースのVPNのためにSmartCenter を準備します。
    1. Embedded NGXゲートウェイのゲートウェイオブジェクトを作成します。詳細については、SmartCenterのドキュメントを参照してください。
      注:「一般プロパティー」タブで、「外部管理ゲートウェイ」チェック・ボックスを選択する必要があります。
    2. ゲートウェイのVPN設定を構成します。11ページの「組み込みNGXゲートウェイのVPN設定の構成」を参照してください。
    3. メッシュまたはスターコミュニティを作成します。詳細については、SmartCenterのドキュメントを参照してください。
    4. 作成したコミュニティにゲートウェイオブジェクトを追加します。詳細については、SmartCenterのドキュメントを参照してください。
    5. OSPF動的ルーティングスキームを使用するには、VPN-1 Pro NGXゲートウェイでOSPFを構成します。11ページの「VPN-1 Pro NGXゲートウェイでのOSPFの構成」を参照してください。
  2. 次の手順を実行して、ルートベースVPN用の組み込みNGXゲートウェイを準備します。
    1. SmartCenter をVPNサイトとして追加します。前述の「VPNサイトの追加」を参照してください。
    2. 次のいずれかを実行します。
      • 静的ルーティング方式を使用するには、VPN-1 Pro NGXゲートウェイの背後にあるネットワークに静的ルートを追加します。前述の「静的ルートの追加」を参照してください。
      • OSPF動的ルーティングスキームを使用するには、OSPFを設定します。前述の「ゲートウェイでのOSPFの構成」を参照してください。

SmartCenter 管理ゲートウェイとVPN-1 Pro NGXゲートウェイ間のルートベースVPNの構成

注:この手順は、ファームウェアバージョン6.0.53以降の組み込みNGXゲートウェイに関連しています。

ルートベースVPNを構成するには:

  1. 1以下を実行して、ルートベースのVPNのためにSmartCenter を準備します。
    1. Embedded NGXゲートウェイのゲートウェイオブジェクトを作成します。詳細については、SmartCenterのドキュメントを参照してください。
    2. ゲートウェイのVPN設定を構成します。11ページの「組み込みNGXゲートウェイのVPN設定の構成」を参照してください。
    3. メッシュまたはスターコミュニティを作成します。詳細については、SmartCenterのドキュメントを参照してください。
    4. 作成したコミュニティにゲートウェイオブジェクトを追加します。詳細については、SmartCenterのドキュメントを参照してください。
    5. OSPF動的ルーティングスキームを使用するには、VPN-1 Pro NGXゲートウェイでOSPFを構成します。後述の「VPN-1 Pro NGXゲートウェイでのOSPFの構成」を参照してください。
  2. Embedded NGXゲートウェイをSmartCenterに接続します。詳細については、ユーザーガイドの「サービスセンターへの接続」を参照してください。
  3. 次の手順を実行して、SmartCenterの組み込みNGXゲートウェイオブジェクトにルートベースのVPNを構成します。
    1. VPNサイトとしてVPN-1 Pro NGXゲートウェイを追加し、関連するOSPFまたは静的ルート設定を含むCLIスクリプトを作成します。スクリプトには、エンタープライズVPNサイトを無効にする次のコマンドも含める必要があります。
      set vpn enterprise-site disabled true注:このコマンドはEmbedded NGXバージョン6.5から使用できます。バージョン6.0を使用している場合は、Enterprise VPNサイトをローカルで無効にする必要があります。詳細については、ユーザーガイドの「VPNサイトの有効化/無効化」を参照してください。たとえば、次のスクリプトは、OSPF 動的ルーティングスキームを使用してルートベースVPNを構成します。最初のコマンドはSmartCenter をVPNサイトとして追加し、2番目のコマンドはOSPFモードを設定し、3番目のコマンドは組み込みNGXゲートウェイの背後の内部ネットワークを設定し、4番目のコマンドは組み込みNGXローカルVTIを設定し、最後のコマンドはエンタープライズVPN サイトを無効にします。

      set vpn enterprise-site disabled true
      clear vpn sites
      add vpn sites disabled false name OSPF_vpn gateway 212.150.8.72
      gateway2undefined loginmode automatic configmode routebased authmethod
      sharedsecret typesitetosite keepalive disabled bypassnat enabled
      bypassfw enabled user “”password {S}nS43OjEmNyA= topopass “” net1
      undefined netmask1 undefined net2undefined netmask2 undefined net3
      undefined netmask3 undefined usepfs falsephase1ikealgs automatic
      phase1exptime 1440 phase1dhgroup automatic phase2ikealgsautomatic
      phase2exptime 3600 phase2dhgroup automatic dnsname
      212.150.8.72vtilocalip 1.1.1.1 vtiremoteip 2.2.2.2
      set ospf mode internalset ospf router-id 10
      clear ospf network
      add ospf network address 192.168.20.0 mask 255.255.255.0 area 0.0.0.0
      add ospf network address 1.1.1.1 mask 255.255.255.255 area 0.0.0.0

      次のスクリプトは、静的ルーティングスキームを使用してルートベースVPNを構成します。最初のコマンドはSmartCenter をVPNサイトとして追加し、2番目のコマンドは静的ルートをVPN-1 Pro NGXゲートウェイに追加し、最後のコマンドはエンタープライズVPNサイトを無効にします。

      set vpn enterprise-site disabled true
      clear vpn sites
      add vpn sites disabled false name OSPF_vpn gateway 212.150.8.72 gateway2undefined loginmode automatic configmode routebased authmethod sharedsecret typesitetosite keepalive disabled bypassnat enabled bypassfw enabled user “”password {S}nS43OjEmNyA= topopass “” net1 undefined netmask1 undefined net2undefined netmask2 undefined net3 undefined netmask3 undefined usepfs falsephase1ikealgs automatic phase1exptime 1440 phase1dhgroup automatic phase2ikealgsautomatic phase2exptime 3600 phase2dhgroup automatic dnsname 212.150.8.72vtilocalip 1.1.1.1 vtiremoteip 2.2.2.2
      clear routes
      add route network 192.168.10.0 mask 255.255.255.0 gateway 2.2.2.2

      関連するCLIコマンドについては、 『組み込みNGX CLIリファレンスガイド』を参照してください。

    2. スクリプトをゲートウェイオブジェクトに追加します。13ページの「組み込みNGXゲートウェイへのCLIスクリプトの追加」を参照してください。

組み込みNGXゲートウェイのVPN設定の構成

組み込みNGXゲートウェイVPN設定を構成するには:

  1. SmartDashboard で、目的のゲートウェイオブジェクトをダブルクリックします。[VPN-1 Edge / Embedded Gateway]ダイアログボックスが表示され、[General Properties]タブが表示されます。
  2. [VPNを有効にする]チェックボックスをオンにします。
  3. [サイト間ゲートウェイとして接続]をクリックします。
  4. 必要に応じて、残りのフィールドに入力します。詳細については、SmartCenterのドキュメントを参照してください。
  5. OKをクリックします。

VPN-1 Pro NGXゲートウェイでのOSPFの構成

OSPFを構成するには:

  1. VPN-1 Pro NGXゲートウェイで、次のコマンドを入力して、VPN-1 Pro NGXゲートウェイにVTIを作成します。
    vpn shell
    interface
    add
    numbered
    numbered localIP remoteIP peerName
    Where:
    localIP:VPN-1 Pro NGXゲートウェイのIPアドレス。
    remoteIP:ゲートウェイのIPアドレス。
    peerName:ゲートウェイオブジェクトの名前。
    たとえば、最後のコマンドは次のようになります:numbered 2.2.2.2 1.1.1.1 edge_ospf
  2. 次のコマンドを入力して、OSPFを有効にします。
    router
    enable
    configure terminal
    router ospf routerName
    where:
    routerName:OSPFルーターの名前。
    例:router ospf 100
  3. 次のコマンドを入力して、ローカルネットワークIPアドレス、サブネットマスク、およびOSPFエリアを公開します。
    network address mask area
    Where:
    address:ローカルネットワークのIPアドレス。
    mask:ローカルネットワークのサブネットマスク。
    area:OSPFエリアのIPアドレス。
    例:network 192.168.200.0 0.0.0.255 area 0.0.0.0
  4. 次のコマンドを入力して、VTIを公開します。network address mask area
    where:
    address:ピアVTIのIPアドレス
    mask:必ず0.0.0.0に設定します。
    area:OSPFエリアのIPアドレス。
    例:network 1.1.1.1 0.0.0.0 area 0.0.0.0

組み込みNGXゲートウェイへのCLIスクリプトの追加

組み込みNGXゲートウェイにCLIスクリプトを追加するには:

  1. SmartDashboard で、目的のゲートウェイオブジェクトをダブルクリックします。[VPN-1 Edge / Embedded Gateway]ダイアログボックスが表示され、[General Properties]タブが表示されます。
  2. [詳細]タブをクリックします。Advancedタブが表示されます。
  3. 準備したCLIスクリプトをコピーして、[構成スクリプト]テキストボックスに貼り付けます。
  4. OKをクリックします。

SNSでもご購読できます。

コメントを残す

*