VPNサイトの設定

VPN > サイト間VPN > VPNサイトページでは、リモートVPNサイトを設定できます。設定されたすべてのVPNサイトが表に表示されます。

サイト間VPNの設定方法の詳細については、VPN > サイト間VPN > ブレード コントロールのページを参照してください。

新規VPNサイトを追加する場合、以下のタブを使用して詳細を設定します。

  • [リモート サイト] - 名前、接続タイプ、認証メソッド(事前共有秘密キーまたは証明書)、リモート サイトの暗号化ドメインです。

  • [暗号化] - 暗号化と認証の詳細のデフォルト設定を変更します。

  • [詳細] - 永続的トンネルを有効にする、このサイトのNATを無効にする、暗号化メソッドと追加の証明書マッチングの設定の各設定を行います。

新しいVPNサイトを追加するには

  1. [新規]をクリック。

    [リモート サイト]タブに[新規VPNサイト]ウィンドウが表示されます。

  2. サイト名を入力します。

  3. 接続タイプを以下の中から選択します。

    • [ホスト名またはIPアドレス] - IPアドレスまたはホスト名を入力します。

      IPアドレスを選択し、静的NAT IPアドレスを設定する必要がある場合は、[静的NATで隠す]を選択してIPアドレスを入力します。

      - [静的NATで隠す]はIPv4アドレスのみに適用されます。

    • ハイアベイラビリティまたは負荷分散 - このオプションを選択すると、詳細タブでプロービング方法を設定する必要があります。プロービング・メソッドにより、VPNに使用されるIPアドレスをモニタリングします(継続して、または一つずつ)。

      負荷分散モード - データを分散するバックアップIPアドレスのリストを設定します。

      ハイアベイラビリティモード:

      • 障害に備えてバックアップIPアドレスのリストを設定します。

      • プライマリIPアドレス - 既存のIPアドレスの1つをプライマリとして設定するか、IPアドレスを追加してプライマリとして設定します。

      ホストまたはIPアドレスがハイアベイラビリティまたは負荷分散モードになっているVPNサイトのステータスは、表のResponsivenessカラムに表示されます。例えば、0/2に応答があります。

    • [リモート サイトだけがVPNを開始] - リモート サイトからこのアプライアンスに対してのみ接続を実行できます。たとえば、リモート・サイトがNATデバイスで隠されている場合が考えられます。この場合、アプライアンスはトンネル開始のリクエストのみに応答します。これには、リモート・サイトの認証および識別の安全なメソッドが必要です。

  4. いずれかの認証メソッドを選択します。このアプライアンスが他のゲートウェイのリモート・サイトで設定されているときの認証設定と同じ設定にしてください。

    • [事前共有秘密キー] - このオプションを選択した場合は、リモートのゲートウェイで設定した同じパスワードを入力し、確認します。

      -パスワードや共有秘密には、これらの文字は使用できません: { } [ ] ` ~ | ‘ " \ (最大文字数:255文字)

    • [証明書] - ゲートウェイ側の証明書を使って認証を行います。詳細については、[VPN]>[内部証明書]を参照してください。

  5. トラフィックを暗号化し、このリモート・サイトに送信する条件を設定します。

    • [リモート ネットワーク トポロジを手動で定義] - 宛先がネットワーク オブジェクトのリストに含まれている場合は、トラフィックは暗号化されます。[選択]をクリックして、リモート サイトの内部ネットワークとなるネットワークを選択します。[新規]をクリックしてネットワーク オブジェクトを作成します。

    • [すべてのトラフィックをこのサイト経由でルーティング] - すべてのトラフィックは暗号化されてこのリモート サイトに送られます。設定できるリモート・サイトは1つだけです。

      [すべてのトラフィックをルーティング]が設定されている場合、VPNトラフィックからネットワークオブジェクトを除外することができます。

      1. [ネットワークを除外]をクリックします。

      2. リモートサイトルートトポロジの除外テーブル:

        • 新しいネットワークオブジェクトとIPアドレスを追加するには、[新規]をクリックします。

        • 除外テーブルからオブジェクトを削除するには、オブジェクト名を選択し、[削除]をクリックします。

      3. [適用]をクリックします。

    • ルーティングテーブルに従って暗号化 - ダイナミックルーティングを使用する場合、ソースまたはサービスと宛先に基づいてトラフィックを暗号化します。VTI(バーチャル トンネル インタフェース)を作成して([デバイス]>[ローカル ネットワーク]ページ)、このリモート サイトに関連付ける必要があります。それから、このVTIを使用してルーティング・ルールを作成できます。これらのルーティング・ルールに一致するトラフィックは暗号化され、リモート・サイトにルーティングされます。

    • リモートゲートウェイの外部IPで隠す - リモートサイトはNATで隠れていて、リモート サイト外部からこのゲートウェイへトラフィックが渡されます。このオプションを選択する場合、暗号化ドメインを定義する必要はありません。

  6. [ネットワークを除外]-指定された暗号化ドメインからネットワークを除外する場合は、このオプションを選択します。これは、2つのゲートウェイが同じコミュニティ内にあり、ネットワークの同じ部分が保護されている場合に便利です。

  7. [適用]をクリックします。

暗号化タブでデフォルト設定を変更できます。

この設定とリモート・サイトで一致するだけで使用できるビルトインの暗号化設定グループがあります。

  • デフォルト(最も互換性がある)

  • VPN A-RFC 4308 による。

  • VPN B-RFC 4308 による。

  • Suite-B GCM-128またはSuite-B-GCM-256-RFC 6379 による。

  • カスタム - このオプションを選択して、使用する暗号化メソッドを手動で決定できます(オプション)。

[詳細]タブで以下の設定を行います。

- 新規VPNサイト設定が完了したら、保存をクリックします。

  • 設定

    • リモート サイトがCheck Point Security Gatewayかどうかを設定します。永続的VPNトンネルを有効にするには、チェックボックスをオンにします。

    • このサイトのNATを無効にする場合に選択します。Hide NATが定義されている場合でも、元のIPアドレスが使用されます。

  • IKEのバージョンを選択します。

    IKEバージョン

    IKEv1

    • IKEネゴシエーションにはメイン モードとアグレッシブ モードがあります。

      IKEネゴシエーションでは、メイン モードの場合は6パケット、アグレッシブ モードでは3パケットを使用します。

      安全性が高いメイン モードの使用をお勧めします。

      デフォルトでは、[アグレッシブ モードを有効にする]オフになっていて、メイン モードが使われます。

      アグレッシブモードは、VPNトンネルの相手側がメインモードをサポートしておらず、必要な場合のみ有効にしてください。(サードパーティのゲートウェイは、主にメインモードでは動作しません)。

      アグレッシブ モードは、トンネルを作成するために使用します。ゲートウェイの1つはNATで隠れています。この場合、メイン モードの認証に必要なデータは事前共有秘密キーによって提供されません。認証は、証明書とゲートウェイ(ピア)、またはアグレッシブ モードで使用できるセカンダリ識別子のカップルを使用して行う必要があります。セカンダリ識別子メソッドはIKEv2にも使用できます。

    • [IKEv1のアグレッシブ モードを有効にする]を選択する場合:

      • [Diffie-Hellmanグループ] - IKEフェーズ1でIKEフェーズ2のキーに交換するために使われる共有DHキーの強度を決定します。ビットが大きいグループはより強いキーとなりますが、パフォーマンスは低下します。

      • [このゲートウェイの識別子でVPNトンネルを開始] - このゲートウェイのIPアドレスが動的で、認証メソッドが証明書とピアIDの場合、ゲートウェイIDを入力する必要があります。[タイプ]には、ドメイン名またはユーザ名を選択します。

    IKEv2

    トンネルを作成し、ゲートウェイの一つが証明書なし(事前共有秘密キーを使用)でIKEv2プロトコルを持つNATで隠れている場合、セカンダリ識別子のカップルを使用して認証を許可することができます。

    この場合、事前共有秘密キーでは不十分です。

    これらの識別子を使用してIKEv2 VPNトンネルを作成するを選択した場合は、これらの設定を構成します:

    • [ピアID] - 識別子を入力します。

    • [ゲートウェイID] - [グローバル識別子を使用]または[グローバル識別子をオーバーライド] (新しい識別子を入力)を選択します。

    IKEv2を優先、IKEv1をサポート

    最初の2つのオプションで説明したようにフィールドを設定します。

    • 追加の証明書マッチング(事前共有秘密キーを使用時は非適用):

      [リモート サイト]タブで認証に証明書を選んだ場合、まずCAを追加する必要があります。このCAは、[VPN]>[証明書トラストCA]ページで、リモート サイトの証明書を署名している必要があります。

      [詳細]タブで、[任意の信頼済みCA]または[内部CA]に証明書をマッチングさせるよう、選択できます。

      また、証明書に関する追加のマッチング基準を設定することもできます。

    • プロービング法

      このセクションは、[リモート サイト]タブの接続タイプにハイ アベイラビリティまたは負荷共有が選択されている場合にのみ表示されます。

      リモート・サイトでVPNトラフィックに対し複数のIPアドレスがある場合、VPNの正しいアドレスは以下のいずれかのプロービング・メソッドで決定されます。

      • [継続的なプローブ] - セッションを開始すると、使用可能なすべての送信IPアドレスが継続してRDPパケットを受信し、いずれかが応答するまで続きます。接続は、最初に応答したIP(またはプライマリIPが設定されてハイ・アベイラビリティでアクティブになっている場合はプライマリIP)を使用し、応答を停止するまでこのIPを使用し続けます。接続が開かれて、バックグラウンド・プロセスとして続行されている間は、RDPプロービングがアクティブになります。

      • [ワンタイム プローブ] - セッションを開始すると、すべての送信先IPアドレスは、ルートをテストするためにRDPセッションを受信します。応答した最初のIPが選択され、VPN設定が変わるまでこれが使用されます。

注:

  • 証明書のインストールに関する詳細は、こちらを参照してください。管理已安装的证书

  • 開始する側のゲートウェイIDは応答側ゲートウェイのピアIDとして設定している必要があります。

  • ピアIDが動作するには、リモートアクセスブレードが有効になっている必要があります。

  • NATの背後にないゲートウェイで、接続タイプリモート サイトだけがVPNを開始を選択します。

  • リモート サイトを設定する場合は静的NAT背後は選ばないでください。

初期のトンネル・テストがリモート・サイトで開始されます。設定してない場合は、[スキップ]をクリックします。VPNサイトがテーブルに追加されます。

ローカルで管理されたゲートウェイは、次のサイト間コミュニティに追加できます。

  • VPNメッシュ コミュニティ - すべてのゲートウェイが相互に接続され、各ゲートウェイが独自のインターネット トラフィックを処理します。暗号化されたトラフィックは、1つのゲートウェイの暗号化ドメイン内のネットワークから、2番目のゲートウェイの暗号化ドメインのネットワークに渡されます。

  • VPNスター コミュニティ - 1つのゲートウェイが中心となり、すべてのトラフィック (リモート ピアの暗号化トラフィックとインターネット トラフィック) がインターネット経由でリモート ピアへと渡されます。ピア ゲートウェイはサテライトで、すべてのトラフィックをセンター経由でルーティングするように設定されています。

  1. リストからVPNサイトを選択します。

  2. [編集]をクリックします。。

    [VPNサイトの編集]ウィンドウが開きます。

  3. リモート サイトタブの各フィールドに入力します。

    • 接続タイプに、リモート ピア(サテライト ゲートウェイ)のパブリックIPであるIPアドレスを入力します。

    • 暗号化ドメインで、VPNに参加するサテライト ゲートウェイのネットワークを選択します。

  4. 詳細タブで、このゲートウェイでリモート サイトからインターネットへのトラフィックを許可を選択します。

  5. [適用]をクリックします。

    このゲートウェイがセンターに指定されています。Hide NATは、センターゲートウェイで自動的に実行されます。

  1. リストからVPNサイトを選択します。

  2. [編集]をクリックします。。

    [VPNサイトの編集]ウィンドウが開きます。

  3. リモート サイトタブの各フィールドに入力します。

    • 接続タイプに、リモート ピア(センター ゲートウェイ)のパブリックIPであるIPアドレスを入力します。

    • 暗号化ドメインで、すべてのトラフィックをこのサイト経由でルーティングを選択します。

  4. [適用]をクリックします。

    このゲートウェイがサテライトに指定されています。

複数のサテライトゲートウェイを構成して、センターゲートウェイを通過するすべてのトラフィックをルーティングすることができます。

2つのゲートウェイをセンターに設定しようとすると、エラー メッセージが表示されます。

ゲートウェイを中心として設定しないとサイトVPNはメッシュ コミュニティのように動作し、各ゲートウェイは独自のトラフィックを処理し続けるようになります。

Check Pointでは、VPNトンネルがアクティブかどうかをテストする、独自のプロトコルを使用します。このプロトコルは、サイト間VPN設定をサポートしています。

トンネル テストを行うためには、2つのSecurity GatewayとUDPポート番号18234が必要です。Check Pointのトンネル テスティング プロトコルでは、サードパーティ製のセキュリティ ゲートウェイはサポートしていません。

  1. リストから既存のサイトを選択します。

  2. テストをクリックします。

  1. リストからVPNサイトを選択します。

  2. [編集]をクリックします。。

  3. 必要な変更を行ってから[適用]をクリックします。

  1. リストからVPNサイトを選択します。

  2. [削除]をクリックします。。

  3. 確認メッセージでOKをクリックします。

  1. リストからVPNサイトを選択します。

  2. [有効]または[無効]をクリックします。

Q1:システム管理者は6台のゲートウェイを担当しており、サテライト支店間でネットワークリソースを共有したいと考えています。望ましいVPNコミュニティ タイプはどれですか?

A1:すべてのゲートウェイが他のすべてのゲートウェイとVPNトンネルを作成する必要がないため、スター型VPNコミュニティが望ましい。その代わり、5つのサテライト ピア ゲートウェイは、サイト スターVPNコミュニティにサイト スターVPNコミュニティを1つずつ作成します。スター ゲートウェイ(センター)だけがサイトを作成して、各リモート ピアにサイトを作成する必要があります。

Q2:センターゲートウェイは、VPNコミュニティ内のすべてのトラフィックを処理します。ゲートウェイを再起動すると、他のゲートウェイのインターネット トラフィックがすべて影響を受け、センター ゲートウェイが起動するまでリモート ピア暗号化ドメインへアクセスできなくなります。管理者がこのダウンタイムを回避することは可能ですか。

A2:この場合、各ゲートウェイが独自のインターネットトラフィックを処理でき、他のゲートウェイの影響を受けないメッシュコミュニティが適しています。