サイト間の詳細設定

[VPN]>[サイト間VPN詳細設定]ページでは、アプライアンスからリモート サイトに接続する方法を定義するグローバルな詳細オプションを設定できます。

このページでは、たとえば以下のような設定を具体的に指定できます。

  • リモート サイトの接続を実行する - 後述の「ローカル暗号化ドメインの設定」を参照してください。リモート サイトの暗号化ドメインはサイトごとに設定します。[VPN]>[サイト間VPN]のVPNサイト ページを参照してください。

  • アプライアンスからリモート サイトに接続する方法 - 後述の「VPNに使用するアプライアンスの外部へのインタフェースの設定」を参照してください。

ローカル暗号化ドメインの設定

ドメインベースのVPNでは、1つの暗号化ドメインのトラフィックは暗号化され、別のドメインに送信されます。

ローカル暗号化ドメインでは、以下が定義されます。

  • リモート サイトとネットワークからの暗号化トラフィックがアクセスできる内部ネットワーク。

  • 暗号化ドメインからリモート サイトへのトラフィックは暗号化される。

デフォルトでは、ローカル暗号化ドメインはアプライアンスで自動的に決定されます。LANインタフェースの背後のネットワーク、そしてトラスト ワイヤレスのネットワークは、ローカル暗号化ドメインの一部です。オプションで、ローカル暗号化ドメインを手動で作成することができます。

ローカル暗号化ドメインを手動で設定するには

  1. 「トポロジに基づいて自動的に」リンクをクリックします。

  2. [ローカル ネットワーク トポロジを手動で定義]を選択します。

  3. [選択]をクリックして、選択できるネットワークの一覧を表示します。該当するチェックボックスを選択します。

  4. 必要なネットワークが既存のリストにない場合は新規をクリックします。

    新しいオブジェクトの作成方法に関する情報は、[ユーザ&オブジェクト]>[ネットワーク オブジェクト]ページを参照してください。

  5. 適用をクリックします。

    [サイト間のローカル暗号化ドメイン]ウィンドウが開き、選択したサービスが表示されます。

アプライアンスのインタフェースの設定

リンク選択は以下に使用します。

  • 送受信のVPNトラフィックで使用するインタフェースを指定する。

  • トラフィックに最適なパスを決定する。

リンク選択メカニズムを使用すると、管理者は、VPNトラフィックに使用する発信元IPアドレスを選択できます。

デフォルトでは、送信インタフェースと発信元IPアドレスの設定はデバイスで自動的に決定されます。[暗号化]タブでデフォルト設定を変更できます。

  • アプライアンスの送信インタフェース

  • アプライアンスの発信元IPアドレス

アプライアンスのVPNの送信インタフェースと発信元IPアドレスを設定するには

  1. [リンク選択]>[外部へのインタフェース選択]で、外部へのインタフェースの方法を選択します。

    • [ルーティング テーブルに基づく] - OSのルーティング テーブルで、リモート サイトのIPアドレスに基づいてトラフィックが送信される、一番低いメトリック(最優先)のインタフェース リンクを見つけます。

    • [ルート ベースのプローブ] - このメソッドも、ルーティング テーブルを調べて、メトリックが一番低いリンクを判定します。ただし、トラフィックを送信するインタフェース リンクを選択する前に、すべての可能なルーティングが検査されます。これは、リンクがアクティブかどうかを確認するためです。この後、ゲートウェイによって、使用可能なルートの中でメトリックが最も低く(最優先)、最適な(プレフィックスが最も長い)ルートが選択されます。複数の外部インタフェースがある場合に、この方式をお勧めします。

  2. [ソースIPアドレス選択]セクションで以下のいずれかのオプションを選択し、VPNトラフィックを開始またはVPNトラフィックに応答する際Security Gatewayで使用する発信元IPアドレスを設定します。このIPアドレスはリモート サイトからSecurity Gatewayに接続する際に通常使用します。

    • 外部へのインタフェースに従って自動選択

    • 手動で設定 - VPNトンネルの発信元IPアドレスとして常に使われるIPアドレスを入力します。

トンネル ヘルス モニタリング

トンネル テストのほかに、Check Point Security Gatewayでサポートされているデッド ピア検出(DPD)を使ってVPNトンネルがアクティブかどうかを確認する方法もあります。IPsecのトラフィックを使ってピアの利用状況を確認するために必要なメッセージの数を最小限に抑え、IPsecの確立されたトンネルを必要をします。DPDのメカニズムはIKE暗号化キーのみに基づきます。

この機能により、IKEv1とIKEv2の両方で、DPDに基づいて永久的なトンネルを監視することもできます。

アクティブ モードでは、DPDとして設定されているピアは、着信IPSecトラフィックが10秒間ないとDPD Helloリクエストを定期的に受信します。

VPNトンネルがアクティブかテストするには

トンネル ヘルスのモニタリング メソッドを選択します。

  • トンネル テスト (Check Point独自) - Check Pointのゲートウェイ間でのみ利用できます。

  • デッド ピア検出(DPD)

DPDレスポンダ モードでは、Check PointのゲートウェイからIKEv1ベンダーIDを、DPDベンダーIDを受け取るピアに送り、着信DPDパケットに応答します。

DPDレスポンダ モードを有効にするには

チェックボックスをオンにします。