VPNルーティング - リモートアクセス

VPNルーティングの必要性

セキュリティゲートウェイ Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。やリモートアクセスクライアントが、他のセキュリティゲートウェイ（またはクライアント）に直接接続できないシナリオは数多く存在します。セキュリティゲートウェイやクライアントが、要求されるセキュリティレベルを提供できないことがある。例：

ダイナミックにIPアドレスを割り当てるセキュリティゲートウェイ（DAIPセキュリティゲートウェイ）2台。どちらかのSecurity Gatewayの後ろにいるホストは通信する必要があります。しかし、IPアドレスが変化するため、2つのDAIP Security GatewayはVPNトンネルを開くことができないのです。トンネル作成時点では、相手方の正確なIPアドレスは不明です。
リモートアクセスクライアントのユーザは、VoIPソフトウェアやMicrosoft NetMeetingなどのクライアント間通信ソフトウェアを使用して、プライベートな会話をすることを望んでいます。リモートアクセスクライアント同士は直接接続できませんが、設定されたセキュリティゲートウェイとの接続だけは可能です。

いずれの場合も、接続性と安全性を高めるための方法が必要です。

接続性とセキュリティの向上を実現するチェック・ポイント・ソリューション

VPNルーティングは、VPNトラフィックの方向性を制御する方法を提供します。VPNルーティングは、Security Gatewayモジュールとリモートアクセスクライアントで実装することができます。VPNルーティングの設定は、SmartConsole Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。から直接行うか（単純な場合）、セキュリティ・ゲートウェイのVPNルーティング設定ファイルを編集する（より複雑なシナリオの場合）ことで行われます。

項目	説明
1	ホストマシン
2	セキュリティゲートウェイA
3	インターネット
4	セキュリティゲートウェイB
5	ホストマシン
6	Security Management Server Check Pointソフトウェアを実行して、単一の管理ドメイン内のCheck Point環境のオブジェクトとポリシーを管理する専用Check Pointサーバ。同義語:単一ドメインセキュリティ管理サーバ。
7	セキュリティゲートウェイC
8	ホストマシン

しかし、Security Gateway A と B は共に Security Gateway C と VPN トンネル標準プロトコル（L2TPなど）を使用して送受信されるトラフィックを暗号化して復号し、カプセル化されたネットワークを構築し、物理的な専用回線上にあるかのようにデータを安全に共有できる2つのホスト間の暗号化された接続。を開くことができるため、この接続は Security Gateway C を経由して行われます。

VPNルーティングは、接続性とセキュリティの強化だけでなく、セキュリティゲートウェイの複雑なネットワークを単一のハブの背後に隠すことで、ネットワーク管理を容易にすることができます。

ハブモード（リモートクライアント用VPNルーティング）

リモートアクセスクライアントのVPNルーティングは、Hub Modeを経由して有効になります。Hubモードでは、すべてのトラフィックは中央のHubを経由して誘導されます。中央のハブは、リモートクライアントのためのルータのような役割を果たします。リモートアクセスクライアントのトラフィックがHubを経由することで、他のクライアントとの接続が可能になり、その後のトラフィックの内容を検査することもできるようになります。

Hubモードを使用する場合は、Officeモードを有効にしてください。リモートクライアントがISPから提供されたIPアドレスを使用している場合、このアドレスは完全にルーティング可能でない可能性があります。Officeモードを使用する場合、Officeモードの接続に直接関連するルール通信セッションに対して指定されたアクションが実行されるようにする、ルールベース内のトラフィックパラメータおよびその他の条件のセット。を作成することができます。

注 - SecuRemoteでは、Officeモードはサポートされていません。

クライアントがすべてのトラフィックをセキュリティゲートウェイにルーティングできるようにします。

次の図では、リモートクライアントが Security Gateway 2 の背後にあるサーバと接続する必要があります。会社の方針として、このサーバへの接続はすべてコンテンツを検査する必要があります。何らかの理由で Security Gateway 2 は必要なコンテンツ検査を行うことができない。すべてのトラフィックが Security Gateway 1 を経由している場合、リモートクライアントとサーバ間の接続を検査することができます。

項目	説明
1	セキュリティゲートウェイ1
2	インターネット
3	リモートクライアント
4	セキュリティゲートウェイ2
5	サーバ
6	ホスト

同じリモートクライアントがインターネット上のHTTPサーバにアクセスする必要があるとします。セキュリティに関する会社方針はこれまでと同じです。

項目	説明
1	HTTP サーバ
2	インターネット
3	リモートクライアント
4	セキュリティゲートウェイ
5	OSPEC認証UFPサーバ
6	ホスト

リモートクライアントのトラフィックはセキュリティゲートウェイに誘導され、セキュリティゲートウェイはURLチェック機能を持たないため、UFP（URL Filtering Protocol）サーバに誘導されURLやパケットの内容の正当性がチェックされます。そして、そのパケットはインターネット上のHTTPサーバに転送される。

リモートクライアントのアドレスを Security Gateway の背後に NAT することで、インターネット上の HTTP サーバがクライアントに直接応答することを防ぐことができます。リモートクライアントのアドレスがNATされていない場合、リモートクライアントはHTTPサーバからのクリア応答を受け付けない。

リモートクライアント間通信

リモートクライアント間の接続は、2つの方法で実現されます。

すべてのトラフィックをセキュリティゲートウェイにルーティングすることで
Security GatewayのVPNドメインにOffice Modeのアドレス範囲を含むこと

セキュリティゲートウェイを経由した全トラフィックのルーティング

遠隔地にいる2人のユーザがVoIPソフトを使って安全に会話をします。これらの間のトラフィックは、次の図に示すように、中央のHubを経由して指示されます。

項目	説明
1	セキュリティゲートウェイ
2	インターネット
3	リモートクライアントVoIP
4	リモートクライアントVoIP

これを実現するために

Allow VPN clients to route traffic through this Security Gateway は、Security Gatewayで有効にする必要があります。
リモートクライアントは、すべてのトラフィックがセキュリティゲートウェイを経由するようにプロファイルを設定する必要があります。
リモートクライアントは接続モードで動作しています。

2つのリモートクライアントが異なるセキュリティゲートウェイを持つハブモードに設定されている場合、ルーティングは3段階で行われます。各リモートクライアントから指定されたセキュリティゲートウェイへ、そしてセキュリティゲートウェイ間で行われます。

項目	説明
1	リモートクライアント1
2	リモートクライアント2
3	インターネット
4	セキュリティゲートウェイA
5	セキュリティゲートウェイB

上図では、リモートクライアント 1 はセキュリティゲートウェイ B とハブモードで構成され、リモートクライアント 2 はセキュリティゲートウェイ A とハブモードで構成されています。

Officeモードが有効になっている必要があります。
両方のSecurity GatewayのVPN設定ファイルに、もう一方のSecurity Gatewayが使用するOffice Modeのアドレス範囲を含める必要があります。Security Gateway A の VPN 設定ファイルでは、Security Gateway B の Office Mode IP アドレスに向かうトラフィックはすべて Security Gateway B に転送されます。リモートクライアント2からの応答は、同じ経路をたどるが、逆である。
両方の Security Gateway が使用するオフィスモードアドレスは、重複しないようにする必要があります。

リモートアクセスVPNのVPNルーティングを設定する

一般的なVPNルーティングシナリオは、VPNスターコミュニティを通じて設定することができますが、すべてのVPNルーティング設定がSmartConsoleを通じて処理されるわけではありません。セキュリティゲートウェイ間のVPNルーティング（スター型、メッシュ型）は、設定ファイルを編集して設定することも可能です。 $FWDIR/conf/vpn_route.conf

VPN コミュニティに属さない Security Gateway 間では，VPN ルーティングを設定することができません。

リモートアクセスクライアントのハブモード

リモートアクセスクライアントのハブモードを有効にするには

Gateways & ServersをクリックしてSecurity Gatewayをダブルクリックします。

Security Gatewayウィンドウが開き、General Properties ページが表示されます。
ナビゲーションツリーでVPN Clients > Remote Accessをクリックします。
Hub Mode configurationセクションで、Allow VPN clients to route all traffic through this Security Gatewayをクリックします。
OKをクリックします。
オブジェクトバーから、VPN Communities をクリックします。
リモートアクセスコミュニティオブジェクトをダブルクリックします。
Participating Gateways ページから、Hub Security Gateway がウィンドウに表示されていることを確認します。
Participant User Groups ページで、リモートアクセスユーザまたはユーザグループを選択します。
OKをクリックします。
アクセスコントロールポリシーにアクセスコントロールルールを作成します。

VPNルーティングトラフィックは、セキュリティポリシーネットワークトラフィックを制御し、データ保護とパケット検査によるリソースへのアクセスに関する組織のガイドラインを適用するルールのコレクション。ルールベース特定のセキュリティポリシーで構成されているすべてのルール。同義語:ルールベース。では1つの接続として扱われ、1つのルールにのみマッチングされます。
OK をクリックし、変更内容を公開します。
リモートクライアントのプロファイルを設定し、すべての通信が指定されたセキュリティゲートウェイを経由するようにします。

VPNドメインへのOffice Mode Rangeの追加

SmartConsoleには、オフィスモード用IPアドレスのデフォルトオブジェクト、CP_default_Office_Mode_addresses_pool が含まれています。デフォルトのオブジェクトを使用するか、ネットワーク用に新しいオブジェクトを作成することができます。

新しいオフィスモードIPアドレスオブジェクトを作成するには

SmartConsoleで、Objects >Object Explorer (Ctrl+E)をクリックします。
New > Networkをクリックします。
Name,IP address,Net mask を入力してください。
OK をクリックし、変更内容を公開します。

VPNドメインでリモートアクセスクライアントのVPNルーティングを設定するには、次のようにします。

ネットワークグループを作成し、New > Network Group をクリックします。
これらのネットワークグループを追加します。
- VPNドメイン
- オフィスモード
OK をクリックし、変更内容を公開します。
Gateways & ServersをクリックしてSecurity Gatewayをダブルクリックします。

Security Gatewayウィンドウが開き、General Properties ページが表示されます。
ナビゲーションツリーでNetwork Management > VPN Domainをクリックします。
Manually definedをクリックします。
新しいネットワークグループを選択します。
OK をクリックし、変更内容を公開します。

リモートクライアントは、互いに通信する前にサイトに接続し、サイトアップデートを実行する必要があります。

ハブモードによる複数ハブ経由のクライアント間接続

下図は、2つのリモートクライアントがそれぞれ異なるセキュリティゲートウェイとハブモードで動作するよう設定されている様子を示しています。

項目	説明
1	ハブ1
2	インターネット
3	リモートクライアント1
4	リモートクライアント2
5	ハブ2

リモートクライアント1は、ハブ1との間でハブモードで動作します。リモートクライアント2は、ハブ2との間でハブモードで動作します。VPNルーティングが正しく行われるために。

リモートクライアントはOfficeモードで動作している必要があります

各 Security Gateway の Office モードアドレス範囲は、もう一方の Security Gateway にインストールされている vpn_route.conf ファイルに含まれている必要があります。

宛先	ネクストホップ・ルーター・インタフェース	インストール
Hub1_OfficeMode_range	ハブ1	ハブ2
Hub2_OfficeMode_range	ハブ2	ハブ1

リモートクライアント1がリモートクライアント2と通信を行う場合。

リモートクライアント1はハブ1との間でハブモードで動作しているため、トラフィックはまずハブ1に向かいます。
ハブ1はリモートクライアント2のIPアドレスがハブ2のオフィスモード範囲に属していることを識別します。
Hub 1 のvpn_route.conf ファイルは、このトラフィックのネクストホップを Hub 2 として識別しています。
トラフィックはハブ2に到達し、ハブ2はリモートクライアント2へ通信をリダイレクトします。

リモートクライアントのリンク選択

Link Selectionは、VPNトラフィックの送受信に使用するインタフェースと、トラフィックの最適な経路を決定するために使用される方法です。リンクセレクションを使用すると、各セキュリティゲートウェイでVPNトラフィックに使用するIPアドレスを選択することができます。

相手がリモートアクセスクライアントの場合、負荷分散とService Based Link Selectionはサポートされません。Probing Redundancyモードの設定がLoad Sharingで、ピアがリモートアクセスクライアントの場合、クライアントのトンネルに対してハイアベイラビリティが適用されます。

リンクの選択は、各 Security Gateway のSecurity Gateway Properties > IPSec VPN > Link Selection ウィンドウで設定します。設定は両方に適用されます。

セキュリティゲートウェイ間の接続
リモートアクセスクライアントからSecurity Gatewayへの接続

リモートユーザのLink Selectionは別途設定することができます。これらの設定は、Link Selectionページで構成された設定より優先されます。

リモートアクセスのみリンク選択を設定する

リモートアクセスVPNに個別のLink Selectionを設定する場合。

Database Tool (GuiDBEdit Tool) (sk13009参照)でSecurity Management Server Check Point シングルドメインセキュリティ管理サーバまたはマルチドメインセキュリティ管理サーバ。に接続します。
左上のペインで、Network Objects > network_objects 。
右上のペインで、Security Gateway / クラスタ冗長構成で連携する2つ以上のセキュリティゲートウェイ（ハイアベイラビリティまたは負荷分散）をクラスタ化します。オブジェクトを選択します。
下のペインで、apply_resolving_mechanism_to_SR の値をfalse に変更します。
下のペインで、ip_resolution_mechanism 属性を編集し、リモートアクセスクライアントがローカルのセキュリティゲートウェイの IP アドレスを解決する方法を決定します。以下のいずれかを追加します。
- mainIpVpn - Security Gateway のGeneral Properties ページのIP Addressフィールドで指定されたメイン IP アドレスを常に使用します。
- singleIpVpn - で設定したIPアドレスを使って、Security GatewayとVPNトンネルを作成します。 single_VPN_IP_RA
- singleNATIpVPN - で設定したNATされたIPアドレスを使用してVPNトンネルを作成します。 single_VPN_IP_RA
- topologyCalc - リモートピアの位置に基づいて、ネットワークトポロジーによってVPNトンネルに使用されるIPアドレスを計算します。
- oneTimeProb - ワンタイムプロービングを使用して、どのリンクが使用されるかを決定します。
- ongoingProb - どのリンクが使用されるかを決定するために継続的なプロービングを使用します。
下のペインで、継続的または1回限りのプロービングを使用する場合は、これらのパラメータを編集します。
- interface_resolving_ha_primary_if - 1回限り/継続的なプロービングに使用されるプライマリIPアドレスです。
- use_interface_IP - トポロジータブで定義されたすべてのIPアドレスをプローブする場合は、値「true 」を設定します。IPアドレスの手動リストをプローブする場合は、値"false"を設定します。
- available_VPN_IP_list - A プローブするIPアドレスのリスト。(このリストは、use_interface_IP の値がfalse である場合のみ使用されます)。
変更を保存する (File メニュー> Save All).
データベースツール（GuiDBEdit Tool）を閉じます。
SmartConsoleで、Security Gateway / クラスタオブジェクトにAccess Policyをインストールします。

リモートアクセスクライアントで複数の外部リンクを使用する場合。

SmartConsoleを開きます。
Security Gateway / クラスタオブジェクトをダブルクリックします。

Security Gatewayウィンドウが開き、General Properties ページが表示されます。
ナビゲーションツリーでVPN Clients > Office Modeをクリックします。
Multiple Interfaces セクションで、 Support connectivity enhancement for gateways with multiple external interfaces を選択します。
OKをクリックします。
Security Gateway / クラスタオブジェクトにポリシーをインストールします。

リモートアクセスコミュニティにおける指向性VPN

Directional VPN for Remote Access Communitiesでは、指定したネットワークオブジェクトコンピュータ、IP アドレス、トラフィックプロトコルなど、企業トポロジのさまざまな部分を表す論理オブジェクト。管理者はセキュリティポリシーでこれらのオブジェクトを使用します。との接続を拒否することができます。

発信元	宛先	VPN	サービス	アクション
Any	Any	Remote_Access_Community => MyIntranet	Any	堕ちる
Any	Any	Remote_Access_Community => Any Traffic	Any	許可

リモートユーザと "MyIntranet "VPNコミュニティ VPNゲートウェイで保護されたVPNドメインの名前付き集合体。内のホストとの接続は許可されません。それ以外のリモートアクセスコミュニティから始まる接続は、VPNコミュニティの内外を問わず、すべて許可されます。

RAコミュニティにおけるデスティネーションとしてのユーザグループ

ユーザグループは、ルールの宛先カラムに配置することができます。これは作る。

クライアント間の接続設定がより簡単に
リモートクライアントとSecurity Gateway間の「バックコネクション」を設定可能。

発信元	宛先	VPN	サービス	アクション
Any	Remote_Users@Any	Any Traffic => Remote_Access_Community	Any	許可

ルールの宛先カラムにユーザグループを含めるには、次のようにします。

ルールは方向性を持たせること
VPNカラムでは、エンドポイント先としてリモートアクセスコミュニティが設定されている必要があります

リモートアクセスコミュニティを利用した指向性VPNの設定

Directional VPN with Remote Access コミュニティを設定するには、次のようにします。

メニュー］から［Global Properties ］をクリックします。
ナビゲーションツリーでVPN > Advancedをクリックします。
Enable VPN Directional Match in VPN Columnをクリックします。
OK をクリックし、変更内容を公開します。
次のページへ Security Policies > Access Control Policy.
ルールのVPNセルを右クリックし、Directional Match Condition を選択します。

New Directional Match Conditionウィンドウが開きます。
方向性VPNを設定します。
- Traffic reaching from から、接続元を選択します。
- Traffic leaving to から、接続先を選択します。
OKをクリックします。
インストールポリシーです。