サイト間設定の詳細設定

[VPN]>[サイト間VPN詳細設定]ページでは、アプライアンスからリモート サイトに接続する方法を定義するグローバルな詳細オプションを設定できます。

このページでは、たとえば以下のような設定を具体的に指定できます。

ローカル暗号化ドメインの設定

ドメインベースのVPNでは、1つの暗号化ドメインのトラフィックは暗号化され、別のドメインに送信されます。

ローカル暗号化ドメインでは、以下が定義されます。

  • リモート サイトとネットワークからの暗号化トラフィックがアクセスできる内部ネットワーク。

  • 暗号化ドメインからリモートサイトへのトラフィックは暗号化されます。

デフォルトでは、ローカル暗号化ドメインは自動的にアプライアンスに決定されます。LANインタフェースの背後にあるネットワークと信頼されたワイヤレスネットワークは、ローカル暗号化ドメインの一部です。オプションで、必要であればローカル暗号化ドメインを手動で作成することができます。

ローカル暗号化ドメインを手動で設定するには

  1. 「トポロジに基づいて自動的に定義」リンクをクリックします。

  2. [ローカル ネットワーク トポロジを手動で定義]を選択します。

  3. [選択]をクリックして、選択できるネットワークの一覧を表示します。該当するチェックボックスを選択します。

  4. 必要なネットワークが既存のリストにない場合は新規をクリックします。

    新しいオブジェクトの作成方法に関する情報は、[ユーザ&オブジェクト]>[ネットワーク オブジェクト]ページを参照してください。

  5. [適用]をクリックします。。

[サイト間のローカル暗号化ドメイン]ウィンドウが開き、選択したサービスが表示されます。

アプライアンスのインタフェースの設定

リンク選択は以下に使用します。

  • 送受信のVPNトラフィックで使用するインタフェースを指定する。

  • トラフィックに最適なパスを決定する。

リンク選択メカニズムを使用すると、管理者は、VPNトラフィックに使用する発信元IPアドレスを選択できます。

デフォルトでは、送信インタフェースと発信元IPアドレスの設定はデバイスで自動的に決定されます。[暗号化]タブでデフォルト設定を変更できます。

  • アプライアンスの送信インタフェース

  • アプライアンスの発信元IPアドレス

アプライアンスのVPNの送信インタフェースと発信元IPアドレスを設定するには

  1. [リンク選択]>[外部へのインタフェース選択]で、外部へのインタフェースの方法を選択します。

    • [ルーティング テーブルに基づく] – OSのルーティング テーブルで、リモート サイトのIPアドレスに基づいてトラフィックが送信される、一番低いメトリック(最優先)のインタフェース リンクを見つけます。

    • [ルート ベースのプローブ] - このメソッドも、ルーティング テーブルを調べて、メトリックが一番低いリンクを判定します。ただし、トラフィックを送信するインタフェース リンクを選択する前に、すべての可能なルーティングが検査されます。これは、リンクがアクティブかどうかを確認閉じた トラフィックとファイルをブロックし、UserCheckメッセージを表示するUserCheckルールアクション。ユーザは、活動を許可することに同意することができます。するためです。この後、ゲートウェイによって、使用可能なルートの中でメトリックが最も低く(最優先)、最適な(プレフィックスが最も長い)ルートが選択されます。複数の外部インタフェースがある場合に、この方式をお勧めします。

  2. [ソースIPアドレス選択]セクションで以下のいずれかのオプションを選択し、VPNトラフィックを開始またはVPNトラフィックに応答する際Security Gatewayで使用する発信元IPアドレスを設定します。このIPアドレスはリモート サイトからSecurity Gatewayに接続する際に通常使用します。

    • 外部へのインタフェースに従って自動選択

    • 手動で設定 - VPNトンネルの発信元IPアドレスとして常に使われるIPアドレスを入力します。

サードパーティVPNピアとのIKEv2メインモード(MM)ネゴシエーションのIKE IDタイプの設定

- R81.10.Xリリースでは、この機能はR81.10.10バージョンから利用可能です。

IKEv2メインモード(MM)ネゴシエーション(パケット5とパケット6)で交換されるIKEv2 IDタイプの目的は、リモートピアがデータベースでローカルピアを検索するためのIDを提供することです。

Check Pointセキュリティゲートウェイ間の IKEv2 メインモード(MM)ネゴシエーションでは、IDタイプは必要ありません。ただし、多くのサードパーティ製VPNゲートウェイ閉じた VPNドメインのメンバ間のトラフィックの暗号化と復号化を管理するゲートウェイ。通常、VPNトンネルの片端(リモートアクセスVPN)または両端(サイト間VPN)に配置されます。では必要です。双方が同じIDタイプとID値を使用して認証していることを確認することが重要です。

Quantum Spark Sparkゲートウェイは、IKEv2 IDタイプを次のいずれかに設定できます。

  • FQDN(デフォルト)。

  • IPアドレス(OSのルーティングに基づいて動的に決定) - R81.10.10以降。

現在の設定を確認するには

  1. Quantum Sparkアプライアンスでコマンド ラインにアクセスします。

  2. ログインします。

  3. デフォルトのシェルがGaia Clish閉じた Gaia CLIのデフォルトのシェルの場合、エキスパートモードにします。

    expert

  4. レジストリパラメータの値を調べる:

    ckp_regedit -p SOFTWARE\\CheckPoint\\VPN1 | grep BestRoutingSenderIP

    説明:

    • 値が"False "の場合、Quantum SparkゲートウェイはIKEv2 IDタイプをFQDNに設定します。

    • 値が"True "の場合、Quantum SparkゲートウェイはIKEv2 IDタイプをそのIPアドレスに設定します。

IKEv2 IDタイプをFQDNに設定するには

重要 - メンテナンスウィンドウをスケジュールします。

  1. Quantum Sparkアプライアンスでコマンド ラインにアクセスします。

  2. ログインします。

  3. デフォルトのシェルがGaia Clishの場合、エキスパートモードにします。

    expert

  4. レジストリパラメータに必要な値を設定する:

    ckp_regedit -a SOFTWARE/CheckPoint/VPN1 BestRoutingSenderIP False

  5. レジストリパラメータの値を調べる:

    ckp_regedit -p SOFTWARE\\CheckPoint\\VPN1 | grep BestRoutingSenderIP

  6. すべてのCheck Pointのサービスを再起動する(すべてのトラフィックが中断されます):

    cpstop ; cpstart

OSのルーティングに基づいて、IKEv2 IDタイプをIPアドレスに設定するには

重要 - メンテナンスウィンドウをスケジュールします。

  1. Quantum Sparkアプライアンスでコマンド ラインにアクセスします。

  2. ログインします。

  3. デフォルトのシェルがGaia Clishの場合、エキスパートモードにします。

    expert

  4. レジストリパラメータに必要な値を設定する:

    ckp_regedit -a SOFTWARE/CheckPoint/VPN1 BestRoutingSenderIP True

  5. レジストリパラメータの値を調べる:

    ckp_regedit -p SOFTWARE\\CheckPoint\\VPN1 | grep BestRoutingSenderIP

  6. すべてのCheck Pointのサービスを再起動する(すべてのトラフィックが中断されます):

    cpstop ; cpstart

トンネル ヘルス モニタリング

トンネル テストのほかに、Check Point Security Gatewayでサポートされているデッド ピア検出(DPD)を使ってVPNトンネルがアクティブかどうかを確認する方法もあります。IPsecのトラフィックを使ってピアの利用状況を確認するために必要なメッセージの数を最小限に抑え、IPsecの確立されたトンネルを必要をします。DPDのメカニズムはIKE暗号化キーのみに基づきます。

この機能により、IKEv1とIKEv2の両方で、DPDに基づいて永久的なトンネルを監視することもできます。

アクティブ モードでは、DPDとして設定されているピアは、着信IPSecトラフィックが10秒間ないとDPD Helloリクエストを定期的に受信します。

VPNトンネルがアクティブかテストするには

トンネル ヘルスのモニタリング メソッドを選択します。

  • トンネル テスト (Check Point独自) - Check Pointのゲートウェイ間でのみ利用できます。

  • DPD(デッドピア検出)

DPDレスポンダ モードでは、Check PointのゲートウェイからIKEv1ベンダーIDを、DPDベンダーIDを受け取るピアに送り、着信DPDパケットに応答します。

DPDレスポンダ モードを有効にするには

チェックボックスをオンにします。