VPNの設定

このセクションでは、これらのVPN設定シナリオの設定方法について説明します。

  • リモート アクセスVPN

  • 事前共有秘密を使用するサイト間VPN

  • 証明書を使用するサイト間VPN

リモート アクセスVPNの設定

はじめに

リモート アクセスには次のオプションを使用します。

  • Check Point VPNクライアント

  • Check Point Mobileクライアント

  • Check Point SSL VPN

  • L2TP VPNクライアント

事前準備

  • [VPN]>[ブレード コントロール]で、以下の設定を確認します。

  • リモート アクセス制御をオンに設定し、[リモート アクセス ユーザからのトラフィックを許可 (デフォルト)]オプションを選択します。

  • 適切な接続方法を選択します。

  • 詳細については、リモート アクセス ブレードの設定を参照してください。

  • ゲートウェイが動的IPアドレスを使用している場合は、DDNS機能の使用をお勧めします。「DDNSおよびアクセス サービスの設定」を参照してください。

  • Check Point VPNクライアントまたはモバイル クライアント メソッドでは、適切なクライアントをホストにインストールする必要があります。詳細については、[接続方法]をクリックしてください。

リモート アクセス設定

リモート アクセス ユーザを設定するには以下の方法があります。

  • ローカル ユーザ

  • RADIUSユーザ

  • ADユーザ

特定のユーザにのみリモート アクセス クライアントへの接続を許可するには、適切なユーザ タイプにグループ権限を設定します。[追加]オプションの横にある矢印を選択して、関連するグループ オプションを選択します。リモート アクセス ユーザの設定を参照してください。

ローカル ユーザを設定するには

新規ユーザの場合

  1. [VPN]>[リモート アクセス ユーザ]に移動します。

  2. [追加]をクリックしてローカル ユーザを追加します。

  3. [リモート アクセス権限]チェックボックスが選択されていることを確認します。

詳細については、リモート アクセス ユーザの設定を参照してください。

既存のユーザの場合

  1. [VPN]>[リモート アクセス ユーザ]に移動します。

  2. [編集]をクリックして[リモート アクセス権限]チェックボックスを選択します。

詳細については、リモート アクセス ユーザの設定を参照してください。RADIUSユーザを設定するには

  1. [VPN]>[認証サーバ]に移動します。

  2. [設定]をクリックしてRADIUSサーバを追加します。リモート アクセス認証サーバの設定を参照してください。

  3. [RADIUSユーザの権限]をクリックしてアクセス権限を設定します。

ADユーザを設定するには

  1. [VPN]>[認証サーバ]に移動して[新規]をクリックしてADドメインを追加します。リモート アクセス認証サーバの設定を参照してください。

  2. [Active Directoryユーザの権限]をクリックしてアクセス権限を設定します。

L2TP VPNクライアント設定

L2TP VPNクライアントを設定するには、[L2TP事前共有キー]をクリックしてL2TP VPNクライアント メソッドを有効にした後、キーを入力します。

詳細オプション

オフィス モード ネットワークなど詳細リモート アクセス オプションの詳細については、詳細リモート アクセス オプションの設定を参照してください。

モニタリング

リモート アクセスを動作させるには

リモート ホストから内部リソースに接続するには、設定済みのクライアントを使用します。

共有秘密を用いるサイト間VPNの設定

はじめに

このサイト間VPN設定メソッドでは、認証に共有秘密を使用します

事前準備

  • サイト間VPNのブレードがオンに設定され[リモート サイトからのトラフィックを許可 (デフォルト)]が選択されていることを確認します。サイト間VPNブレードの設定を参照してください。

  • 接続するピア デバイスは設定済みでネットワークに接続されている必要があります。DAIPゲートウェイの場合は、ホスト名を解決する必要があります。

設定

ホスト名とIPアドレスを入力し、事前共有秘密情報を入力します。詳細については、VPNサイトの設定を参照してください。

モニタリング

VPNを動作させるには

  1. ローカルおよびピア ゲートウェイ間でトラフィックを送信します。

  2. [VPN]>[VPNトンネル]に移動してトンネル ステータスをモニタリングします。VPNトンネルの表示を参照してください。

証明書を用いるサイト間VPNの設定

はじめに

このサイト間VPN設定メソッドでは、認証に証明書を使用します。

事前準備

  • サイト間VPNのブレードがオンに設定され[リモート サイトからのトラフィックを許可 (デフォルト)]が選択されていることを確認します。サイト間VPNブレードの設定を参照してください。

  • 接続するピア デバイスは設定済みでネットワークに接続されている必要があります。DAIPゲートウェイの場合は、ホスト名を解決する必要があります。

  • ご使用のIPアドレスを使って証明書を再初期化するか、またはホスト名を解決します。証明書が双方から信頼されていることを確認します。

  • VPN暗号化設定は双方 (ローカル ゲートウェイとピア ゲートウェイ) で同一である必要があります。これはカスタム暗号化オプションを使用する場合には特に重要となります。

設定

  1. 証明書の再初期化 - 内部証明書の管理で説明されているインストール済み証明書の管理オプションを使用します。これはローカル ゲートウェイとピア ゲートウェイの両方で行う必要があります (両方ともローカルに管理されたCheck Pointアプライアンスを使用する場合)。

  2. ローカル ゲートウェイとピア ゲートウェイの両方でCAを信頼します - 次の手順のいずれかを実行します。

    • ゲートウェイ間でCAを交換する

    • ゲートウェイのCAのひとつを使用してリクエストに署名する

    • サードパーティCAを使用して認証する

    • 既存のサードパーティ証明書を使用して認証する

  3. 証明書認証を使用してVPNサイトを作成します。

    1. VPNサイトの設定の指示に従います。

    2. 指定の証明書を使用するように注意してください。[詳細]>[証明書の照合]にピアゲートウェイの証明書情報を入力します。

信頼手続き

ゲートウェイ間でCAを交換する

[追加]をクリックしてピア ゲートウェイの信頼済みCAを追加します。CAがローカルとピア ゲートウェイの両方にアップロードされます。「信頼済みCAの管理」を参照してください。

ゲートウェイのCAのひとつを使用してリクエストに署名する

ピア ゲートウェイのCAにより署名されたゲートウェイからリクエストを作成します。

  1. インストール済み証明書の管理[新しい署名リクエスト]オプションを使用します。

  2. [エクスポート]オプションを使用してこのリクエストをエクスポートします。

  3. ピア ゲートウェイの内部CAを使ってピア ゲートウェイのリクエストに署名します。
    ピア ゲートウェイがローカルに管理されたCheck Pointゲートウェイである場合は、[VPN]>[信頼済みCA]ページに移動して[リクエストに署名]オプションを使用します。詳細については、信頼済みCAの管理を参照してください。

  4. 署名したリクエストをローカル ゲートウェイにアップロードします。

    1. [VPN]>[インストール済み証明書]ページに移動します。

    2. リモート ピアに署名を要求したインストール済み証明書を選択します。

    3. [署名済み証明書のアップロード]オプションを使用して証明書をアップロードします。インストール済み証明書の管理を参照してください。

  5. CAが両方のゲートウェイにインストールされていることを確認してください。信頼済みCAの管理[追加]オプションを使用します。

サードパーティCAを使用した認証

新しい署名リクエストを作成します。各ピア ゲートウェイから署名リクエストを作成し、上記の「ゲートウェイのCAのひとつを使用してリクエストに署名する」の手順を使用しサードパーティCAを使用して署名します。
サードパーティCAは、*.crt、*.p12、または*.pfx証明書ファイルのいずれかで発行できます。

  1. 適切なアップロード オプションを使用して証明書をアップロードします。

    1. [VPN]>[インストール済み証明書]ページに移動します。

    2. リモート ピアに署名を要求したインストール済み証明書を選択します。

    3. [署名済み証明書のアップロード]または[P12証明書のアップロード]オプションを使って証明書をアップロードします。インストール済み証明書の管理を参照してください。

  2. サードパーティCAが両方のゲートウェイにインストールされていることを確認します。信頼済みCAの管理[追加]オプションを使用します。

既存のサードパーティ証明書を使用して認証する

  1. ローカル ゲートウェイとピア ゲートウェイにP12証明書を作成します。

  2. 各ゲートウェイの[P12証明書のアップロード]を使用してP12証明書をアップロードします。

  3. サードパーティCAが両方のゲートウェイにインストールされていることを確認します。信頼済みCAの管理[追加]オプションを使用します。

モニタリング

VPNを動作させるには

  1. ローカル ゲートウェイとピア ゲートウェイ間にトラフィックを通します。

  2. [VPN]>[VPNトンネル]に移動してトンネル ステータスをモニタリングします。VPNトンネルの表示を参照してください。

 

 
2019年 10月28日
© 2020 Check Point Software Technologies Ltd.

1500アプライアンス シリーズR80.20ローカル管理 管理ガイド