VPNサイトの設定

VPN > サイト間VPN > VPNサイトページでは、リモートVPNサイトを設定できます。設定されたすべてのVPNサイトが表に表示されます。

サイト間VPN 2つ以上のセキュリティゲートウェイ間の暗号化されたトンネル。同義語：サイト間VPN略語:S2S VPN、S-to-S VPNの設定方法の詳細については、VPN > サイト間VPN > ブレードコントロールのページを参照してください。

新規VPNサイトを追加する場合、以下のタブを使用して詳細を設定します。

［リモートサイト］ - 名前、接続タイプ、認証メソッド（事前共有秘密キーまたは証明書）、リモートサイトの暗号化ドメインセキュリティゲートウェイが保護し、VPNトラフィックを暗号化および復号するネットワーク。です。
［暗号化］ - 暗号化と認証の詳細のデフォルト設定を変更します。
［詳細］ - 永続的トンネルを有効にする、このサイトのNATを無効にする、暗号化メソッドと追加の証明書マッチングの設定の各設定を行います。

新しいVPNサイトを追加するには

［新規］をクリックします。

［リモートサイト］タブに［新規VPNサイト］ウィンドウが表示されます。
サイト名を入力します。

接続タイプを以下の中から選択します。

［ホスト名またはIPアドレス］ - IPアドレスまたはホスト名を入力します。

IPアドレスを選択し、静的NAT IPアドレスを設定する必要がある場合は、［静的NATで隠す］を選択してIPアドレスを入力します。

注 - ［静的NATで隠す］はIPv4アドレスのみに適用されます。

ハイアベイラビリティまたは負荷分散 - このオプションを選択すると、詳細タブでプロービング方法を設定する必要があります。プロービングメソッドにより、VPNに使用されるIPアドレスをモニタリングします（継続して、または一つずつ）。

負荷分散モード - データを分散するバックアップIPアドレスのリストを設定します。

ハイアベイラビリティモード:
- 障害に備えてバックアップIP アドレスのリストを設定します。
- プライマリIPアドレス - 既存のIPアドレスの1つをプライマリとして設定するか、IPアドレスを追加してプライマリとして設定します。
ホストまたはIPアドレスがハイアベイラビリティまたは負荷分散モードになっているVPNサイトのステータスは、表のResponsivenessカラムに表示されます。例えば、0/2に応答があります。
［リモートサイトだけがVPNを開始］ - リモートサイトからこのアプライアンスに対してのみ接続を実行できます。たとえば、リモートサイトがNATデバイスで隠されている場合が考えられます。この場合、アプライアンスはトンネル開始のリクエストのみに応答します。これには、リモートサイトの認証および識別の安全なメソッドが必要です。

いずれかの認証メソッドを選択します。このアプライアンスが他のゲートウェイのリモートサイトで設定されているときの認証設定と同じ設定にしてください。

［事前共有秘密キー］ - このオプションを選択した場合は、リモートのゲートウェイで設定した同じパスワードを入力し、確認します。

注 - パスワードや共有秘密キーを入力する際は、{ } [ ] ` ~ | ‘ " \の文字は使用できません（最大255文字）。

［証明書］ - ゲートウェイ側の証明書を使って認証を行います。詳細については、［VPN］>［内部証明書］を参照してください。

［リモートサイトの暗号化ドメイン］を選択します。
トラフィックを暗号化し、このリモートサイトに送信する条件を設定します。
- ［リモートネットワークトポロジを手動で定義］ - 宛先がネットワークオブジェクトのリストに含まれている場合は、トラフィックは暗号化されます。［選択］をクリックして、リモートサイトの内部ネットワークとなるネットワークを選択します。［新規］をクリックしてネットワークオブジェクトを作成します。
- ［すべてのトラフィックをこのサイト経由でルーティング］ - すべてのトラフィックは暗号化されてこのリモートサイトに送られます。設定できるリモートサイトは1つだけです。
  
  ［すべてのトラフィックをルーティング］が設定されている場合、VPNトラフィックからネットワークオブジェクトコンピュータ、IPアドレス、トラフィックプロトコルなど、企業トポロジのさまざまな部分を表す論理オブジェクト。管理者は、これらのオブジェクトをセキュリティポリシーで使用します。を除外することができます。
  ネットワークオブジェクトや特定のIPアドレスを除外するには
  
  ［ネットワークを除外］をクリックします。
  
  リモートサイトルートトポロジの除外テーブル:
  
  新しいネットワークオブジェクトとIPアドレスを追加するには、［新規］をクリックします。
  
  除外テーブルからオブジェクトを削除するには、オブジェクト名を選択し、［削除］をクリックします。
  
  適用をクリックします
- ルーティングテーブルに従って暗号化 - ダイナミックルーティングを使用する場合、ソースまたはサービスと宛先に基づいてトラフィックを暗号化します。VTI（バーチャルトンネルインタフェース）を作成して（［デバイス］>［ローカルネットワーク］ページ）、このリモートサイトに関連付ける必要があります。それから、このVTIを使用してルーティングルールルールベースにおいて、通信セッションに対して指定されたアクションを実行するためのトラフィックパラメータやその他の条件セット。を作成できます。これらのルーティングルールに一致するトラフィックは暗号化され、リモートサイトにルーティングされます。
- リモートゲートウェイの外部IPで隠す - リモートサイトはNATで隠れていて、リモートサイト外部からこのゲートウェイへトラフィックが渡されます。このオプションを選択する場合、暗号化ドメインを定義する必要はありません。
[ネットワークを除外]-指定された暗号化ドメインからネットワークを除外する場合は、このオプションを選択します。これは、2つのゲートウェイが同じコミュニティ内にあり、ネットワークの同じ部分が保護されている場合に便利です。
適用をクリックします

暗号化タブでデフォルト設定を変更できます。

この設定とリモートサイトで一致するだけで使用できるビルトインの暗号化設定グループユーザアカウントなど、属性を共有するオブジェクトの集合体。があります。

デフォルト（最も互換性あり）
VPN A - RFC 4308に準ずる。
VPN B - RFC 4308に準ずる。
Suite-B GCM-128/ Suite-B-GCM-256 - RFC 6379に準ずる。
カスタム - このオプションを選択して、使用する暗号化メソッドを手動で決定できます（オプション）。

［詳細］タブで以下の設定を行います。

注 - 新規VPNサイト設定が完了したら、保存をクリックします。

設定
- リモートサイトがCheck Point Security Gatewayかどうかを設定します。永続的VPNトンネルを有効にするには、チェックボックスをオンにします。
- このサイトのNATを無効にする場合に選択します。Hide NATが定義されている場合でも、元のIPアドレスが使用されます。

暗号化メソッド

IKEのバージョンを選択します。

IKEバージョン	注
IKEv1	IKEネゴシエーションにはメインモードとアグレッシブモードがあります。 IKEネゴシエーションでは、メインモードの場合は6パケット、アグレッシブモードでは3パケットを使用します。安全性が高いメインモードの使用をお勧めします。デフォルトでは、［アグレッシブモードを有効にする］はオフになっていて、メインモードが使われます。アグレッシブモードは、VPNトンネルの一方でメインモードがサポートされていないなど、必要な場合のみに有効にしてください。(サードパーティ製ゲートウェイの多くはメインモードでは動作しません。) アグレッシブモードは、トンネルを作成するために使用します。ゲートウェイの1つはNATで隠れています。この場合、メインモードの認証に必要なデータは事前共有秘密キーによって提供されません。認証は、証明書とゲートウェイ（ピア）、またはアグレッシブモードで使用できるセカンダリ識別子のカップルを使用して行う必要があります。セカンダリ識別子メソッドはIKEv2にも使用できます。［IKEv1のアグレッシブモードを有効にする］を選択する場合: ［Diffie-Hellmanグループ］ - IKEフェーズ1でIKEフェーズ2のキーに交換するために使われる共有DHキーの強度を決定します。ビットが大きいグループはより強いキーとなりますが、パフォーマンスは低下します。［このゲートウェイの識別子でVPNトンネルを開始］ - このゲートウェイのIPアドレスが動的で、認証メソッドが証明書とピアIDの場合、ゲートウェイIDを入力する必要があります。［タイプ］には、ドメイン名またはユーザ名を選択します。
IKEv2	トンネルを作成し、ゲートウェイの1つが証明書なし（事前共有秘密キーを使用）でIKEv2プロトコルを持つNATで隠れている場合、セカンダリ識別子のカップルを使用して認証を許可することができます。この場合、事前共有秘密キーでは不十分です。 IKEv2 VPNトンネルの作成に使う識別子を選択した場合、次の設定を行います。［ピアID］ - 識別子を入力します。［ゲートウェイID］ - ［グローバル識別子を使用］または［グローバル識別子をオーバーライド］（新しい識別子を入力）を選択します。
IKEv2推奨、IKEv1サポート	最初の2つのオプションで説明したようにフィールドを設定します。追加の証明書マッチング（事前共有秘密キーを使用時は非適用）: ［リモートサイト］タブで認証に証明書を選んだ場合、まずCAを追加する必要があります。このCAは、［VPN］>［証明書トラストCA］ページで、リモートサイトの証明書を署名している必要があります。［詳細］タブで、［任意の信頼済みCA］または［内部CA］に証明書をマッチングさせるよう、選択できます。また、証明書に関する追加のマッチング基準を設定することもできます。プロービングメソッドこのセクションは、［リモートサイト］タブの接続タイプにハイアベイラビリティまたは負荷共有が選択されている場合にのみ表示されます。リモートサイトでVPNトラフィックに対し複数のIPアドレスがある場合、VPNの正しいアドレスは以下のいずれかのプロービングメソッドで決定されます。［継続的なプローブ］ - セッションを開始すると、使用可能なすべての送信IPアドレスが継続してRDPパケットを受信し、いずれかが応答するまで続きます。接続は、最初に応答したIP（またはプライマリIPが設定されてハイアベイラビリティでアクティブになっている場合はプライマリIP）を使用し、応答を停止するまでこのIPを使用し続けます。接続が開かれて、バックグラウンドプロセスとして続行されている間は、RDPプロービングがアクティブになります。［ワンタイムプローブ］ - セッションを開始すると、すべての送信先IPアドレスは、ルートをテストするためにRDPセッションを受信します。応答した最初のIPが選択され、VPN設定が変わるまでこれが使用されます。

IKEバージョン

注

IKEv1

IKEネゴシエーションにはメインモードとアグレッシブモードがあります。

IKEネゴシエーションでは、メインモードの場合は6パケット、アグレッシブモードでは3パケットを使用します。

安全性が高いメインモードの使用をお勧めします。

デフォルトでは、［アグレッシブモードを有効にする］はオフになっていて、メインモードが使われます。

アグレッシブモードは、VPNトンネルの一方でメインモードがサポートされていないなど、必要な場合のみに有効にしてください。(サードパーティ製ゲートウェイの多くはメインモードでは動作しません。)

アグレッシブモードは、トンネルを作成するために使用します。ゲートウェイの1つはNATで隠れています。この場合、メインモードの認証に必要なデータは事前共有秘密キーによって提供されません。認証は、証明書とゲートウェイ（ピア）、またはアグレッシブモードで使用できるセカンダリ識別子のカップルを使用して行う必要があります。セカンダリ識別子メソッドはIKEv2にも使用できます。
［IKEv1のアグレッシブモードを有効にする］を選択する場合:
- ［Diffie-Hellmanグループ］ - IKEフェーズ1でIKEフェーズ2のキーに交換するために使われる共有DHキーの強度を決定します。ビットが大きいグループはより強いキーとなりますが、パフォーマンスは低下します。
- ［このゲートウェイの識別子でVPNトンネルを開始］ - このゲートウェイのIPアドレスが動的で、認証メソッドが証明書とピアIDの場合、ゲートウェイIDを入力する必要があります。［タイプ］には、ドメイン名またはユーザ名を選択します。

IKEv2

トンネルを作成し、ゲートウェイの1つが証明書なし（事前共有秘密キーを使用）でIKEv2プロトコルを持つNATで隠れている場合、セカンダリ識別子のカップルを使用して認証を許可することができます。

この場合、事前共有秘密キーでは不十分です。

IKEv2 VPNトンネルの作成に使う識別子を選択した場合、次の設定を行います。

［ピアID］ - 識別子を入力します。
［ゲートウェイID］ - ［グローバル識別子を使用］または［グローバル識別子をオーバーライド］（新しい識別子を入力）を選択します。

IKEv2推奨、IKEv1サポート

最初の2つのオプションで説明したようにフィールドを設定します。

追加の証明書マッチング（事前共有秘密キーを使用時は非適用）:

［リモートサイト］タブで認証に証明書を選んだ場合、まずCAを追加する必要があります。このCAは、［VPN］>［証明書トラストCA］ページで、リモートサイトの証明書を署名している必要があります。

［詳細］タブで、［任意の信頼済みCA］または［内部CA］に証明書をマッチングさせるよう、選択できます。

また、証明書に関する追加のマッチング基準を設定することもできます。
プロービングメソッド

このセクションは、［リモートサイト］タブの接続タイプにハイアベイラビリティまたは負荷共有が選択されている場合にのみ表示されます。

リモートサイトでVPNトラフィックに対し複数のIPアドレスがある場合、VPNの正しいアドレスは以下のいずれかのプロービングメソッドで決定されます。
- ［継続的なプローブ］ - セッションを開始すると、使用可能なすべての送信IPアドレスが継続してRDPパケットを受信し、いずれかが応答するまで続きます。接続は、最初に応答したIP（またはプライマリIPが設定されてハイアベイラビリティでアクティブになっている場合はプライマリIP）を使用し、応答を停止するまでこのIPを使用し続けます。接続が開かれて、バックグラウンドプロセスとして続行されている間は、RDPプロービングがアクティブになります。
- ［ワンタイムプローブ］ - セッションを開始すると、すべての送信先IPアドレスは、ルートをテストするためにRDPセッションを受信します。応答した最初のIPが選択され、VPN設定が変わるまでこれが使用されます。

注 -

証明書のインストールに関する情報は、インストール済み証明書の管理を参照してください。
開始する側のゲートウェイIDは応答側ゲートウェイのピアIDとして設定している必要があります。
ピアIDが動作するには、リモートアクセスブレードが有効になっている必要があります。
NATの背後にないゲートウェイで、接続タイプでリモートサイトだけがVPNを開始を選択します。
リモートサイトを設定する場合は静的NAT背後は選ばないでください。

初期のトンネルテストがリモートサイトで開始されます。設定してない場合は、［スキップ］をクリックします。VPNサイトがテーブルに追加されます。

ローカルで管理されたゲートウェイは、次のサイト間コミュニティに追加できます。

VPNメッシュコミュニティ - すべてのゲートウェイが相互に接続され、各ゲートウェイが独自のインターネットトラフィックを処理します。暗号化されたトラフィックは、1つのゲートウェイの暗号化ドメイン内のネットワークから、2番目のゲートウェイの暗号化ドメインのネットワークに渡されます。
VPNスターコミュニティ - 1つのゲートウェイが中心となり、すべてのトラフィック (リモートピアの暗号化トラフィックとインターネットトラフィック) がインターネット経由でリモートピアへと渡されます。ピアゲートウェイはサテライトで、すべてのトラフィックをセンター経由でルーティングするように設定されています。

ゲートウェイをセンターに設定するには

リストからVPNサイトを選択します。
［編集］をクリックします。

［VPNサイトの編集］ウィンドウが開きます。
リモートサイトタブの各フィールドに入力します。
- 接続タイプに、リモートピア(サテライトゲートウェイ)のパブリックIPであるIPアドレスを入力します。
- 暗号化ドメインで、VPNに参加するサテライトゲートウェイのネットワークを選択します。
詳細タブで、このゲートウェイでリモートサイトからインターネットへのトラフィックを許可を選択します。
適用をクリックします

このゲートウェイがセンターに指定されています。Hide NATは、センターゲートウェイで自動的に実行されます。

複数のサテライトゲートウェイを構成して、センターゲートウェイを通過するすべてのトラフィックをルーティングすることができます。

2つのゲートウェイをセンターに設定しようとすると、エラーメッセージが表示されます。

ゲートウェイを中心として設定しないとサイトVPNはメッシュコミュニティのように動作し、各ゲートウェイは独自のトラフィックを処理し続けるようになります。