セカンダリーコネクト

セカンダリーコネクト

セカンダリ接続では、エンドユーザは複数のVPNゲートウェイの背後にあるリソースに同時にアクセスすることができます。ユーザは、選択したサイトに一度だけログインし、異なるVPNゲートウェイの背後にあるリソースにアクセスすることができます。VPNゲートウェイは、トラフィックの宛先に応じて、必要に応じて動的にトンネルを作成します。

セカンダリ接続はデフォルトで有効になっています。

トラフィックは、エンドユーザのコンピュータからVPNゲートウェイに直接流れ、サイト間の通信は行われません。エンドユーザのコンピュータとVPNゲートウェイは、ネットワークのトポロジと宛先サーバのIPアドレスからのルーティングパラメータに基づいて、自動的にVPNトンネルを作成します。

エンドユーザは、同じ管理サーバまたはドメイン上のリモートアクセスコミュニティに属するすべてのVPNゲートウェイにアクセスできます。

使用事例:あなたの会社では、ニューヨークと東京にリモートアクセスVPN閉じた リモートアクセスクライアント(Endpoint Security VPNなど)とSecurity Gatewayの間の暗号化されたトンネル。ゲートウェイを設置しています。ニューヨークのゲートウェイに接続するVPNサイトにログインするのです。東京ゲートウェイの背後にあるリソースにアクセスするために、コンピュータと東京ゲートウェイはVPNトンネルを作成します。

セカンダリ接続の環境では、クライアントはまずPrimary Security Gateway に接続し、次にセカンダリ VPN を経由してSecondary Security Gateway に接続します。

セカンダリコネクトは、従来のSecureClientの設定と互換性があります。

セカンダリ接続のためのSecurity Gatewayの要件は、sk65312を参照してください。

セカンダリーコネクトの設定

- セカンダリ接続は、プライマリおよびセカンダリ VPN ゲートウェイごとに個別に設定または無効化する必要があります。

プレキスタ

  • セカンダリコネクトに参加するすべてのVPN Gatewayは、内部認証局によって署名されたサーバ証明書を持つ必要があります。

  • オフィスモードのIPアドレスを使用する場合、プライマリVPNゲートウェイとセカンダリVPNゲートウェイのIPアドレスが競合しないように、異なるIPアドレスを使用するようにしてください。エンドポイントユーザのコンピュータは、1台目のセキュリティーゲートウェイから発行されたオフィスモードIPアドレスを使用して、2台目のセキュリティーゲートウェイにアクセスします。エンドポイントユーザのコンピュータが認証情報をキャッシュしていない場合、エンドポイントユーザは別のSecurity Gateway上のリソースにアクセスするために認証情報を再入力する必要があります。

VSXゲートウェイ閉じた 物理ネットワークデバイスの機能を提供するすべての仮想デバイスを含む、VSX仮想ネットワークをホストする物理サーバ。VS0と呼ばれる少なくとも1つの仮想システムを保持します。では、"trac_client_1.ttm"のパスとなります。

/var/opt/CPsuite-R81.10/fw1/CTX/CTX<VSID>/conf/trac_client_1.ttm

"CTX<VSID>" は仮想システムのコンテキストを表します。"CTX00001" はVS1、"CTX00002" はVS2、...といった具合です。

セカンダリ接続を無効にする場合。

- Security Gatewayが内部認証局によって署名されたサーバ証明書を持っていることを確認してください。

  1. 各Security Gatewayで、"$FWDIR/conf/trac_client_1.ttm" ファイルを編集します。

  2. automatic_mep_topology" の ":default" の値を "true" に設定します。

  3. Findenable_secondary_connect.このパラメータが表示されない場合は、手動で追加してください。

    :enable_secondary_connect (
        :gateway (
            :map (
                :true (true)
                :false (false)
                :client_decide (client_decide)
            )
            :default (true)
        )
    )

  4. enable_secondary_connect" の ":default" の値を "false" に変更します。

  5. ファイルを保存します。

  6. アクセスコントロールポリシーをインストールします。

セカンダリ接続を有効にする場合。

  1. Security Gatewayに内部認証局で署名されたサーバ証明書があることを確認します。

  2. 各Security Gatewayで、"$FWDIR/conf/trac_client_1.ttm" ファイルを編集します。

  3. automatic_mep_topology" の ":default" の値を "true" に設定します。

  4. Find "{enable_secondary_connect".このパラメータが表示されない場合は、手動で追加してください。

    :enable_secondary_connect (
        :gateway (
            :map (
                :true (true)
                :false (false)
                :client_decide (client_decide)
            )
            :default (false)
        )
    )

  5. enable_secondary_connect" の ":default" の値を "true" に変更します。

  6. ファイルを保存します。

  7. アクセスコントロールポリシーをインストールします。