リモートアクセスVPNにおける複数のエントリポイント

MEP(Multiple Entry Point)VPNゲートウェイの必要性

VPNゲートウェイは、内部ネットワーク閉じた ファイアウォールによって保護され、認証されたユーザによってアクセスされるコンピュータとリソース。へのシングルポイント・エントリーを提供します。VPNゲートウェイは、内部ネットワークを遠隔地のコンピュータから「利用可能」にするものです。VPN Gatewayに障害が発生した場合、内部ネットワークは利用できなくなります。

この問題を解決するには、同じ内部ネットワークに複数のVPN Gateway(Multiple Entry Point- MEP) を設定します。

チェック・ポイントによるマルチエントリポイントの解決策

MEP環境では、内部ネットワークへのリモートアクセスを提供するために、2台のVPNゲートウェイを設置します。

リモートアクセスクライアントがVPNゲートウェイを選択する方法を設定します。

:MEP VPN ゲートウェイは、同じ地理的なサイトにある必要はありません。

MEPメソッド

リモートアクセスクライアントがMEP VPN Gatewayに接続するには、さまざまな方法があります。

  • First to Respond - リモートアクセスクライアントは、最初に応答があったVPN Gatewayに接続します。

  • Primary/Backup - リモートアクセスクライアントは、プライマリとして設定したVPNゲートウェイに接続します。プライマリVPNゲートウェイが応答しない場合、リモートアクセスクライアントは、バックアップとして設定したVPNゲートウェイに接続します。バックアップVPNゲートウェイが応答しない場合、リモートアクセスクライアントはリモートアクセスVPN閉じた リモートアクセスクライアント(Endpoint Security VPNなど)とSecurity Gatewayの間の暗号化されたトンネル。接続全体を失敗させる。

  • Random Selection - 負荷分散MEP環境では、リモートアクセスクライアントは、設定されたVPNゲートウェイのいずれかをランダムに選択し、そのVPNゲートウェイに優先順位を割り当てます。リモートアクセスクライアントは、以降のすべての接続に選択したVPNゲートウェイを使用します。

ビジターモードとMEP

MEP 環境で使用される VPN ゲートウェイの検出メカニズムは、UDP(チェック・ポイント独自の通信)上で動作します。このため、ビジターモードで動作するリモートアクセスクライアントは、すべてのトラフィックが通常のTCP接続でトンネルされるため、特別な課題が発生します。

MEP環境において。

  • VPN Gatewayの可用性をテストするためのプローブ手法として、特別なVisitor Modeハンドシェイクが使用されます。

  • MEPフェイルオーバーが発生すると、リモートアクセスクライアントは切断され、ユーザは通常の方法でVPNサイトに再接続しなければならない。構成についてはsk115996を参照してください。

  • Primary-Backup の構成では、プライマリ VPN ゲートウェイが利用できない場合にのみ、リモートアクセスクライアントがバックアップ VPN ゲートウェイに再接続されます。プライマリVPNゲートウェイが再び利用可能になると、リモートアクセスクライアントはバックアップVPNゲートウェイへの接続を維持し、プライマリVPNゲートウェイには接続しない。

  • MEP内のすべてのVPN GatewayがVisitor Modeをサポートしている必要があります。

リターンパケットのルーティング

以上が、リターンパケットのルーティングを設定する方法です。

  • オフィスモードネットワークのNATを有効にします。

  • クライアントがオフィスモードを無視するように設定されている場合は、IPプールNATを使用します。

IPプールNAT

IPプールNATは、リモートVPNドメインからの送信元IPアドレスを、登録されたIPアドレスのプールからIPアドレスにマッピングします。MEPセキュリティゲートウェイとの対称セッションを維持するために、MEPセキュリティゲートウェイは、その特定のセキュリティゲートウェイ閉じた Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。専用のIPアドレスの範囲でNATを行い、発信元のセキュリティゲートウェイに内部ネットワーク内でルーティングする必要があります()。帰ってきたパケットがSecurity Gatewayに到達すると、Security Gatewayは元の送信元IPアドレスを復元し、パケットを送信元に転送します。

MEPを設定する

MEPを設定するには、MEPの選択方法を選択します。

  • First to Respond

  • Primary/Backup

  • Load Distribution

MEPメソッドの定義

MEPの設定をこれらのいずれかに定義します。

  • Implicit - MEPの方法とVPN GatewayのIDは、VPN Gatewayのトポロジと設定から取得されます。VPNゲートウェイは、完全に重複する暗号化ドメインにあるか、プライマリバックアップVPNゲートウェイを持っています。

  • Manual - リモートアクセスクライアントのTTMファイル内のMEP VPN Gatewayのリストを編集することができます。

重要- MEPの設定を識別するために、リモートアクセスクライアントで必要な設定ファイルを編集する必要があります。

MEPトポロジーを定義するため。

  1. Security Gateway上で、$FWDIR/conf/trac_client_1.ttm ファイルを編集します。

  2. Findautomatic_mep_topology.

    このパラメータが表示されない場合は、以下のように手動で追加してください。

    :automatic_mep_topology (
        :gateway (
            :map (
                :true (true)
                :false (false)
                :client_decide (client_decide)
            )
            :default (true)
        )
    )

  3. ":default" の値を設定します。

    • true - 暗黙的な設定の場合

    • false - 手動設定の場合

  4. Manual MEP のみ- ":enable_gw_resolving" の値が "(true)" であることを確認してください。

  5. 変更内容をファイルに保存し、エディタを終了します。

  6. SmartConsole閉じた Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。で、VPN Gatewayにポリシーをインストールします。

First-to-Respond

複数のSecurity Gatewayが同じ(重複する)VPNドメインにつながる場合、リモートピアによってそれらはMEPとみなされます。First-to-Respond」構成では、リモート・ピアはプローブ・プロトコルに最初に応答したセキュリティ・ゲートウェイを選択します。First-to-Respondを設定するには、すべてのSecurity Gatewayで共有されるネットワークの一部を1つのグループに定義します。 そして、そのグループをVPNドメインとして割り当てます。

SmartConsoleで暗黙の先取特権を設定するには

  1. 左側のナビゲーションパネルでGateways & Serversします。

  2. Security Gatewayオブジェクトを右クリックします。

  3. ナビゲーションツリーでNetwork Management > VPN Domainをクリックします。

  4. User definedを選択します。

  5. [...] ボタンをクリックし、該当するGroup またはNetwork オブジェクトを選択します。

    New をクリックすると、このメニューから必要なオブジェクトを作成することができます。

  6. OKをクリックします。。

  7. 各Security Gatewayオブジェクトについて、手順2~6を繰り返します。

    - すべての Security Gateway で同じ VPN ドメインを使用していることを確認してください。

Manual First-to-Respond を設定するには

  1. 管理サーバで、$FWDIR/conf/trac_client_1.ttm ファイルを編集します。

  2. これらの変更を行います。

    • ":mep_mode ()" セクションで、以下を変更します。

      ":default (client_decide)"から

      ":default(first_to_respond)"まで

    • ":ips_of_gws_in_mep ()" セクションで、以下を変更します。

      ":default (client_decide)"から

      ":default(<Primary-IP-Address>&#<Secondary-IP-Address>&#<Tertiary-IP-Address>&#)"まで.

      例:

      :default(192.168.20.240&#192.168.20.250&#)

  3. 変更内容をファイルに保存し、エディタを終了します。

  4. SmartConsoleで、VPN Gatewayにポリシーをインストールします。

  5. リモートアクセスクライアントで接続します。

    コンフィギュレーションが適用されます。

プライマリバックアップ

Implicit Primary-Backupを設定するには

  1. SmartConsoleで、Menu > Global properties をクリックします。

  2. 左側のナビゲーションツリーで、VPN > Advancedをクリックします。

  3. Enable Backup Gatewayを選択します。

  4. OKをクリックします。。

  5. SmartConsoleで、VPN Gatewayにポリシーをインストールします。

バックアップセキュリティゲートウェイの設定を行うには、次のようにします。

  1. 左側のナビゲーションパネルでGateways & Serversします。

  2. プライマリセキュリティゲートウェイをダブルクリックします。

  3. 左側のナビゲーションツリーで、IPsec VPNをクリックします。

  4. ページの一番下にある、Use Backup Gateways を選択します。

  5. ドロップダウンメニューから、バックアップのSecurity Gatewayを選択します。

  6. バックアップの Security Gateway が独自の VPN ドメインを使用しているかどうかを判断します。

  7. バックアップセキュリティゲートウェイを独自のVPNドメインなしで設定する場合。

    1. Security Gatewayをダブルクリックし、ナビゲーションツリーからNetwork Management > VPN Domain をクリックします。

    2. Manually definedをクリックします。

    3. フィールドをクリックし、バックアップの Security Gateway のみが含まれるグループまたはネットワークを選択します。

    4. OK をクリックし、変更内容を公開します。

  8. 自前のVPNドメインを持つバックアップ用Security Gatewayを設定する場合。

    1. バックアップセキュリティゲートウェイのIPアドレスが、プライマリセキュリティゲートウェイのVPNドメインに含まれていないことを確認してください。

    2. バックアップセキュリティゲートウェイごとに、他のバックアップセキュリティゲートウェイのVPNドメインと重ならないようにVPNドメインを定義します。

  9. リターンパケットを処理するために、IPプールNATまたはHide NATを設定する(「リターンパケットを設定する」を参照)。

Manual Primary-Backupを設定する場合。

  1. 管理サーバで、$FWDIR/conf/trac_client_1.ttm ファイルを編集します。

  2. これらの変更を行います。

    • ":mep_mode ()" セクションで、以下を変更します。

      ":default (client_decide)"から

      ":default(primary_backup)"まで

    • ":ips_of_gws_in_mep ()" セクションで、以下を変更します。

      ":default (client_decide)"から

      ":default(<Primary-IP-Address>&#<Secondary-IP-Address>&#<Tertiary-IP-Address>&#)"まで.

      例:

      :default(192.168.20.240&#192.168.20.250&#)

  3. 変更内容をファイルに保存し、エディタを終了します。

  4. SmartConsoleで、VPN Gatewayにポリシーをインストールします。

  5. リモートアクセスクライアントで接続します。

    コンフィギュレーションが適用されます。

負荷分散

このオプションを有効にすると、負荷分散が動的に行われ、リモートクライアントがランダムにセキュリティゲートウェイを選択するようになります。

リモートアクセスクライアントの暗黙の負荷分散を設定するには、以下の手順に従います。

  1. Menu > クリックGlobal properties.

  2. 左側のナビゲーションツリーで、Remote Access > VPN Advancedをクリックします。

  3. Load distributionセクションで、Enable load distribution for Multiple Entry Point configurations (Remote Access connections)を選択します。

  4. OKをクリックします。。

  5. すべてのSecurity Gatewayで同じVPNドメインを設定します。

  6. 3. ポリシーを Security Gateway にインストールします。

手動負荷分散を設定するには

  1. Security Gateway上で、$FWDIR/conf/trac_client_1.ttm ファイルを編集します。

  2. これらの変更を行います。

    • ":mep_mode ()" セクションで、以下を変更します。

      ":default (client_decide)"から

      ":default(load_sharing)"まで

    • ":ips_of_gws_in_mep ()" セクションで、以下を変更します。

      ":default (client_decide)"から

      ":default(<Primary-IP-Address>&#<Secondary-IP-Address>&#<Tertiary-IP-Address>&#)"まで.

      例:

      :default(192.168.20.240&#192.168.20.250&#)

  3. 変更内容をファイルに保存し、エディタを終了します。

  4. SmartConsoleで、VPN Gatewayにポリシーをインストールします。

  5. リモートアクセスクライアントで接続します。

    コンフィギュレーションが適用されます。

リターンパケットを設定する

オフィスモードを使用しないクライアントの設定です。

NATの設定

Virtual SystemウィンドウのNAT ページでNATを設定します。このように設定されたHideまたはStatic NATアドレスは、Virtual Systemが接続されているVirtual Routerに自動的にフォワードされます。または、Virtual RouterウィンドウのTopology ページで手動で NAT ルータを追加することもできます。

VSXゲートウェイでバーチャルシステムのNATを設定するには。

ステップ

手順

1

この仮想システムを管理するSecurity Management Server閉じた Check Pointソフトウェアを実行して、単一の管理ドメイン内のCheck Point環境のオブジェクトとポリシーを管理する専用Check Pointサーバ。同義語:単一ドメインセキュリティ管理サーバ。 / Target Domain Management Server閉じた Check Point シングルドメインセキュリティ管理サーバまたはマルチドメインセキュリティ管理サーバ。へSmartConsoleで接続します。

2

左側のナビゲーションパネルでGateways & Serversします。

3

Virtual Systemオブジェクトを開きます。

4

左側のナビゲーションツリーで、NAT > Advancedをクリックします。

Advanced ページが表示されます。

5

Add Automatic Address Translationを選択します。

6

Translation method を選択します。

7

Install on Gateway リストから、VSX閉じた 仮想システム拡張。Check Point Security Gatewayおよびその他のネットワークデバイスの仮想抽象化を備えたコンピュータまたはクラスタでホストされるCheckPoint仮想ネットワークソリューション。これらの仮想デバイスは、物理的な対応デバイスと同じ機能を提供します。 Gateway を選択します。

8

OKをクリックします。。

9

この仮想システムにアクセスコントロールポリシーをインストールします。

VSX クラスタ上の仮想システムに NAT を設定するには、以下の手順に従います。

使用例:VSX クラスタ閉じた 冗長構成で連携する2つ以上のセキュリティゲートウェイ(ハイアベイラビリティまたは負荷分散)をクラスタ化します。において仮想システム自身が生成するトラフィックに Hide NAT を適用し、仮想システムが外部リソースに接続できるようにする(たとえば、チェック・ポイントのクラウドからアンチボット閉じた セキュリティゲートウェイ上のCheck Point Software Bladeは、ボットネットの動作とコマンドアンドコントロール(C&C)センターへの通信をブロックします。頭字語:AB、ABOT。のシグネチャを更新するなど)。

ステップ

手順

1

各VSXクラスタ メンバのコマンドラインに接続します。

2

エキスパートモード閉じた CheckPoint Gaiaオペレーティングシステムで完全なシステムルート権限を付与する完全なコマンドラインシェルの名前。にログインします。

3

該当するバーチャルシステムのコンテキストに切り替えます。

[Expert@HostName:0]# vsenv <VSID>

4

該当するトラフィックの出力先となる仮想システムインターフェー スの Funny IP アドレスを取得します。

- Funny IPアドレスは、クラスタの内部通信ネットワークに属するIPアドレスです(VSXクラスタオブジェクトのプロパティを開き、"Cluster Members "ペインに移動します)。

以下のいずれかのコマンドを実行します。

  • [Expert@HostName:<VSID>]# fw getifs

  • [Expert@HostName:<VSID>]# \ifconfig

Funny IPアドレスを書き込んでください。

5

この仮想システムを管理するSecurity Management Server / Target Domain Management ServerへSmartConsoleで接続します。

6

左側のナビゲーションパネルでGateways & Serversします。

7

新しいNode Host オブジェクトを作成し、ステップ 4 でメモした Funny IP アドレスを割り当てます。

8

新しいNode Host オブジェクトを作成し、それにNATされたIPアドレスを割り当てます。

9

左側のナビゲーションパネルでSecurity Policiesします。

10

Access Control > NAT ポリシーで、該当する NAT ルール閉じた 通信セッションに対して指定されたアクションが実行されるようにする、ルールベース内のトラフィックパラメータおよびその他の条件のセット。を作成して、NAT された IP アドレスの背後にある Virtual System からのトラフィックを非表示にします。

原資料

オリジナル・デスティネーション

オリジナルサービス

翻訳元

翻訳された宛先

翻訳サービス

インストール

コメント

Node Host オブジェクトを、仮想システムの Funny IP アドレスに変換します。

Any

Any

Node Host オブジェクトを、仮想システムのNATされたIPアドレスに変換します。

= Original

= Original

Policy Targets

or

仮想システムオブジェクト

該当するテキスト

例:

Manual NAT rule for VSXcluster3-VS2 Funny IP

11

この仮想システムにアクセスコントロールポリシーをインストールします。

IPプールNATの設定

各Security Gatewayについて、そのSecurity GatewayのIPプールNATアドレスを表すネットワークオブジェクト閉じた コンピュータ、IP アドレス、トラフィックプロトコルなど、企業トポロジのさまざまな部分を表す論理オブジェクト。管理者はセキュリティポリシーでこれらのオブジェクトを使用します。を作成します。

SmartConsoleでリモートアクセスVPN用のIPプールにNATを設定する方法です。

  1. グローバル IP プールの NAT 設定を行います。

    1. Menu > Global propertiesをクリックします。

    2. 左側のナビゲーションツリーで、NAT - Network Address Translationをクリックします。

    3. Enable IP Pool NATを選択します。

    4. 該当するログの設定を行います。

      • Address exhaustion track - は、IPプールが枯渇した場合にログを生成するかどうかを制御します。

      • Address allocation and release track - は、IPプールからのIPアドレスの割り当てと解放のたびにログを生成するかどうかを制御します。

    5. OKをクリックします。。

    6. SmartConsoleセッションを公開する

  2. リモートアクセスVPNに参加する各セキュリティゲートウェイ/クラスタについて、そのセキュリティゲートウェイ/クラスタのNATアドレスのIPプールを表す該当するオブジェクト(ネットワークグループ、またはアドレスレンジ)を作成します。

    1. Objects > Object Explorer (またはCTRL+Eキーを押す)をクリックします。

    2. 新しいオブジェクトを作成します。

    3. IPアドレスを設定します。

    4. OKをクリックします。。

    5. SmartConsoleセッションを公開する

  3. 各SecurityGateway/Clusterオブジェクトで、該当するIP Pool NATの設定を行います。

    1. 左側のナビゲーションパネルでGateways & Serversします。

    2. IPプールのNAT変換を行うSecurity Gateway / Clusterオブジェクトをダブルクリックします。

    3. 左側のナビゲーションツリーで、NAT > IP Pool NATをクリックします。

    4. Allocate IP Addresses from をクリックし、対応するIPプール・オブジェクトを選択します。

    5. Use IP Pool NAT for VPN client connectionsを選択します。

    6. オプション:Use IP Pool NAT for Security Gateway to Security Gateway connectionsを選択します。

    7. OKをクリックします。。

  4. アクセスコントロールポリシーをすべての管理対象セキュリティゲートウェイとクラスタにインストールします。

  5. NATプールから割り当てられたIPアドレスを持つパケットが、適切なSecurity Gatewayにルーティングされるように、各内部ルータのルーティングテーブルを編集します。

MEPの無効化

  1. SmartConsoleで管理サーバに接続します。

  2. Menu > Global propertiesをクリックします。

  3. 左側のナビゲーションツリーで、Advancedをクリックします。

  4. Configure ボタンをクリックします。

  5. 左側のナビゲーションツリーで、SecuRemote/SecureClient > IKE/IPSec Settingsをクリックします。

  6. desktop_disable_mepのオプションを選択します。

  7. OKをクリックします。。

  8. アクセスコントロールポリシーをすべての管理対象セキュリティゲートウェイとクラスタにインストールします。

重要:

  • この変更は、管理されているすべてのSecurity GatewayとClusterに適用されます。

  • MEPを無効にすると、MEPのRDPプロービングとフェイルオーバーは実行されません。その結果、リモートホストはMEPの設定を考慮せずに定義されたSecurity Gatewayに接続します。リモートアクセスクライアントは、RDPの代わりにビジターモードを使用して、ゲートウェイを調査します。