VPNサイトの設定

[VPN]>[サイト間VPNサイト]ページでは、リモートVPNサイトを設定できます。サイト間VPNの設定方法の詳細については、[VPN]>[サイト間VPNブレード コントロール]のページを参照してください。

新規VPNサイトを追加する場合、以下のタブを使用して詳細を設定します。

  • [リモート サイト] - 名前、接続タイプ、認証メソッド(事前共有秘密キーまたは証明書)、リモート サイトの暗号化ドメインです。

  • [暗号化] - 暗号化と認証の詳細のデフォルト設定を変更します。

  • [詳細] - 永続的トンネルを有効にする、このサイトのNATを無効にする、暗号化メソッドと追加の証明書マッチングの設定の各設定を行います。

新しいVPNサイトを追加するには

  1. [新規]をクリックします。

    [リモート サイト]タブに[新規VPNサイト]ウィンドウが表示されます。

  2. サイト名を入力します。

    • [ホスト名またはIPアドレス] - IPアドレスまたはホスト名を入力します。IPアドレスを選択し、静的NAT IPアドレスを設定する必要がある場合は、[静的NATで隠す]を選択してIPアドレスを入力します。

      - [静的NATで隠す]はIPv4アドレスのみに適用されます。

    • [ハイ アベイラビリティまたは負荷共有] - フェイル時(ハイ アベイラビリティ)やデータ分散(負荷共有)の場合に、バックアップするIPアドレスのリストを設定します。アプライアンスでは、リモート サイトのIPアドレスをモニタリングするためにプロービングを行います。ハイ アベイラビリティの場合、いずれかのIPアドレスをプライマリIPアドレスとして設定できます。
      このオプションを選択する場合は[詳細]タブでプロービングのメソッドを設定する必要があります。プロービング メソッドにより、VPNに使用されるIPアドレスをモニタリングします(継続して、または一つずつ)。
      [新規]をクリックしてIPアドレスを追加し、プライマリIPアドレスを設定します(ハイ アベイラビリティに必要な場合)。

    • [リモート サイトだけがVPNを開始] - リモート サイトからこのアプライアンスに対してのみ接続を実行できます。たとえば、リモート サイトがNATデバイスで隠されている場合が考えられます。この場合、アプライアンスはトンネル開始のリクエストのみに応答します。これには、リモート サイトの認証および識別の安全なメソッドが必要です。

  4. いずれかの認証メソッドを選択します。このアプライアンスが他のゲートウェイのリモート サイトで設定されているときの認証設定と同じ設定にしてください。

    • [事前共有秘密キー] - このオプションを選択した場合は、リモートのゲートウェイで設定した同じパスワードを入力し、確認します。 - パスワードや共有秘密キーを入力する際は、{ } [ ] ` ~ | ‘ " # + \の文字は使用できません。

    • [証明書] - ゲートウェイ側の証明書を使って認証を行います。詳細については、[VPN]>[内部証明書]を参照してください。

  5. [リモート サイトの暗号化ドメイン]を選択します。トラフィックを暗号化し、このリモート サイトに送信する条件を設定します。

    • [リモート ネットワーク トポロジを手動で定義] - 宛先がネットワーク オブジェクトのリストに含まれている場合は、トラフィックは暗号化されます。[選択]をクリックして、リモート サイトの内部ネットワークとなるネットワークを選択します。[新規]をクリックしてネットワーク オブジェクトを作成します。

    • [すべてのトラフィックをこのサイト経由でルーティング] - すべてのトラフィックは暗号化されてこのリモート サイトに送られます。設定できるリモート サイトは1つだけです。

    • [ルーティング テーブルに従って暗号化] - ダイナミック ルーティングを使用する場合、発信元またはサービスと宛先に基づいてトラフィックが暗号化されます。VTI(バーチャル トンネル インタフェース)を作成して([デバイス]>[ローカル ネットワーク]ページ)、このリモート サイトに関連付ける必要があります。それから、このVTIを使用してルーティング ルールを作成できます。これらのルーティング ルールに一致するトラフィックは暗号化され、リモート サイトにルーティングされます。

    • [リモート ゲートウェイの外部IPで隠す] - リモート サイトがNATで隠れていて、リモート サイト外部からこのゲートウェイへトラフィックが渡される場合は、このオプションを選択します。このオプションを選択する場合、暗号化ドメインを定義する必要はありません。

  6. [ネットワークを除外]-指定された暗号化ドメインからネットワークを除外する場合は、このオプションを選択します。これは、2つのゲートウェイが同じコミュニティ内にあり、ネットワークの同じ部分が保護されている場合に便利です。

  7. 適用をクリックします。

[暗号化]タブでデフォルト設定を変更できます。この設定とリモート サイトで一致するだけで使用できるビルトインの暗号化設定グループがあります。

  • デフォルト(最も互換性あり)

  • VPN A - RFC4308に準ずる。

  • VPN B - RFC4308に準ずる。

  • Suite-B GCM-128/256 - RFC6379に準ずる。

  • カスタム - このオプションを選択して、使用する暗号化メソッドを手動で決定できます(オプション)。

[詳細]タブで以下の設定を行います。

    • リモート サイトがCheck Point Security Gatewayかどうかを設定します。永続的VPNトンネルを有効にするには、チェックボックスをオンにします。

    • このサイトのNATを無効にする場合に選択します。Hide NATが定義されている場合でも、元のIPアドレスが使用されます。

  • 暗号化メソッド

    • IKEv1

    • IKEv2

    • IKEv2推奨、IKEv1サポート

IKEv1を選択する場合:

IKEネゴシエーションにはメイン モードとアグレッシブ モードがあります。IKEネゴシエーションでは、メイン モードの場合は6パケット、アグレッシブ モードでは3パケットを使用します。安全性が高いメイン モードの使用をお勧めします。デフォルトでは、[アグレッシブ モードを有効にする]オフになっていて、メイン モードが使われます。アグレッシブ モードは、VPNトンネルの一方でメイン モードがサポートされていないなど、必要な場合のみに有効にしてください。(サードパーティ製ゲートウェイの多くはメイン モードでは動作しません)。

アグレッシブ モードは、トンネルを作成するために使用します。ゲートウェイの1つはNATで隠れています。この場合、メイン モードの認証に必要なデータは事前共有秘密キーによって提供されません。認証は、証明書とゲートウェイ(ピア)、またはアグレッシブ モードで使用できるセカンダリ識別子のカップルを使用して行う必要があります。セカンダリ識別子メソッドはIKEv2にも使用できます。

[IKEv1のアグレッシブ モードを有効にする]を選択する場合:

  • [Diffie-Hellmanグループ] - IKEフェーズ1でIKEフェーズ2のキーに交換するために使われる共有DHキーの強度を決定します。ビットが大きいグループはより強いキーとなりますが、パフォーマンスは低下します。

  • [このゲートウェイの識別子でVPNトンネルを開始] - このゲートウェイのIPアドレスが動的で、認証メソッドが証明書とピアIDの場合、ゲートウェイIDを入力する必要があります。[タイプ]には、ドメイン名またはユーザ名を選択します。

証明書のインストールに関する情報は、インストール済み証明書の管理を参照してください。

-

  • 開始する側のゲートウェイIDは応答側ゲートウェイのピアIDとして設定している必要があります。

  • ピアIDが動作するには、リモートアクセスブレードが有効になっている必要があります。

  • NATの背後にないゲートウェイで、接続タイプリモート サイトだけがVPNを開始を選択します。

  • リモート サイトを設定する場合は静的NAT背後は選ばないでください。

IKEv2を選択する場合:

トンネルを作成し、ゲートウェイの1つが証明書なし(事前共有秘密キーを使用)でIKEv2プロトコルを持つNATで隠れている場合、セカンダリ識別子のカップルを使用して認証を許可することができます。この場合、事前共有秘密キーでは不十分です。

[IKEv2 VPNトンネルの作成に使う識別子]を選択する場合:

  • [ピアID] - 識別子を入力します。

  • [ゲートウェイID] - [グローバル識別子を使用]または[グローバル識別子をオーバーライド] (新しい識別子を入力)を選択します。

[IKEv2推奨、IKEv1サポート]を選択する場合、最初の2つのオプションで説明したようにフィールドを設定します。

  • 追加の証明書マッチング(事前共有秘密キーを使用時は非適用):

    [リモート サイト]タブで認証に証明書を選んだ場合、まずCAを追加する必要があります。このCAは、[VPN]>[証明書トラストCA]ページで、リモート サイトの証明書を署名している必要があります。[詳細]タブで、[任意の信頼済みCA]または[内部CA]に証明書をマッチングさせるよう、選択できます。また、証明書に関する追加のマッチング基準を設定することもできます。

  • プロービング メソッド

    このセクションは、[リモート サイト]タブの接続タイプにハイ アベイラビリティまたは負荷共有が選択されている場合にのみ表示されます。リモート サイトでVPNトラフィックに対し複数のIPアドレスがある場合、VPNの正しいアドレスは以下のいずれかのプロービング メソッドで決定されます。

    • [継続的なプローブ] - セッションを開始すると、使用可能なすべての送信IPアドレスが継続してRDPパケットを受信し、いずれかが応答するまで続きます。接続は、最初に応答したIP(またはプライマリIPが設定されてハイ アベイラビリティでアクティブになっている場合はプライマリIP)を使用し、応答を停止するまでこのIPを使用し続けます。接続が開かれて、バックグラウンド プロセスとして続行されている間は、RDPプロービングがアクティブになります。

    • [ワンタイム プローブ] - セッションを開始すると、すべての送信先IPアドレスは、ルートをテストするためにRDPセッションを受信します。応答した最初のIPが選択され、VPN設定が変わるまでこれが使用されます。

新規VPNサイト設定を完了して、[適用]をクリックします。

初期のトンネル テストがリモート サイトで開始されます。設定してない場合は、[スキップ]をクリックします。VPNサイトがテーブルに追加されます。

ローカルで管理されたゲートウェイは、次のサイト間コミュニティに追加できます。

  • VPNメッシュ コミュニティ - すべてのゲートウェイが相互に接続され、各ゲートウェイが独自のインターネット トラフィックを処理します。暗号化されたトラフィックは、1つのゲートウェイの暗号化ドメイン内のネットワークから、2番目のゲートウェイの暗号化ドメインのネットワークに渡されます。

  • VPNスター コミュニティ - 1つのゲートウェイが中心となり、すべてのトラフィック (リモート ピアの暗号化トラフィックとインターネット トラフィック) がインターネット経由でリモート ピアへと渡されます。ピア ゲートウェイはサテライトで、すべてのトラフィックをセンター経由でルーティングするように設定されています。

ゲートウェイをセンターに設定するには

  1. リストからVPNサイトを選択します。

  2. [編集]をクリックします。

    [VPNサイトの編集]ウィンドウが開きます。

  3. リモート サイトタブの各フィールドに入力します。

    • 接続タイプに、リモート ピア(サテライト ゲートウェイ)のパブリックIPであるIPアドレスを入力します。

    • 暗号化ドメインで、VPNに参加するサテライト ゲートウェイのネットワークを選択します。

  4. 詳細タブで、このゲートウェイでリモート サイトからインターネットへのトラフィックを許可を選択します。

  5. 適用をクリックします。

    このゲートウェイがセンターに指定されています。Hide NATは、センターゲートウェイで自動的に実行されます。

ゲートウェイをサテライトに設定するには

  1. リストからVPNサイトを選択します。

  2. [編集]をクリックします。

    [VPNサイトの編集]ウィンドウが開きます。

    • 接続タイプに、リモート ピア(センター ゲートウェイ)のパブリックIPであるIPアドレスを入力します。

    • 暗号化ドメインで、すべてのトラフィックをこのサイト経由でルーティングを選択します。

  4. 適用をクリックします。

    このゲートウェイがサテライトに指定されています。

複数のサテライトゲートウェイを構成して、センターゲートウェイを通過するすべてのトラフィックをルーティングすることができます。

2つのゲートウェイをセンターに設定しようとすると、エラー メッセージが表示されます。

ゲートウェイを中心として設定しないとサイトVPNはメッシュ コミュニティのように動作し、各ゲートウェイは独自のトラフィックを処理し続けるようになります。

リモート サイトでトンネル テストを実行するには

Check Pointでは、VPNトンネルがアクティブかどうかをテストする、独自のプロトコルを使用します。このプロトコルは、サイト間VPN設定をサポートしています。トンネル テストを行うためには、2つのSecurity GatewayとUDPポート番号18234が必要です。Check Pointのトンネル テスティング プロトコルでは、サードパーティ製のセキュリティ ゲートウェイはサポートしていません。

  1. リストから既存のサイトを選択します。

  2. テストをクリックします。

VPNサイトを編集するには

  1. リストからVPNサイトを選択します。

  2. [編集]をクリックします。

  3. 必要な変更を行ってから[適用]をクリックします。

VPNサイトを削除するには

  1. リストからVPNサイトを選択します。

  2. [削除]をクリックします。

  3. 確認メッセージでOKをクリックします。

    VPNサイトが削除されます。

VPNサイトを有効または無効にするには

  1. リストからVPNサイトを選択します。

  2. [有効]または[無効]をクリックします。

 

VPNコミュニティの使用例

Q1:システム管理者は6つのゲートウェイを担当し、複数の支店間でネットワーク リソースを共有したいと考えています。望ましいVPNコミュニティ タイプはどれですか?

A1:すべてのゲートウェイで他のすべてのゲートウェイとのVPNトンネルを作成する必要がないため、スターVPNコミュニティが最適です。その代わり、5つのサテライト ピア ゲートウェイは、サイト スターVPNコミュニティにサイト スターVPNコミュニティを1つずつ作成します。スター ゲートウェイ(センター)だけがサイトを作成して、各リモート ピアにサイトを作成する必要があります。

Q2:センター ゲートウェイは、VPNコミュニティ内のすべてのトラフィックを処理します。ゲートウェイを再起動すると、他のゲートウェイのインターネット トラフィックがすべて影響を受け、センター ゲートウェイが起動するまでリモート ピア暗号化ドメインへアクセスできなくなります。管理者がこのダウンタイムを回避することは可能ですか。

A2:この場合、各ゲートウェイが独自のインターネット トラフィックを処理することができ、他のゲートウェイが影響を受けないため、メッシュ コミュニティがより適したものになります。