片側が動的IPの場合のIKEv2モードサイト間VPN (Site-to-Site VPN) 設定方法
07/24/2024 6 People found this article helpful 403,158 Views
Description
片側が動的IPの場合のIKEv2サイト間VPN (Site-to-Site VPN) 設定方法
Resolution
タイトル
片側が動的IPの場合のIKEv2モードサイト間VPN (Site-to-Site VPN) 設定方法
Video KB はこちらを参照してください。
概要:
2拠点間でVPN接続を行う場合、両拠点のWANインターフェースは静的アドレスを設定するのが基本です。
片側が動的IPアドレスの場合のアグレッシブモードを使用します。
しかしながらIKEのアグレッシブモードの堅牢性は十分ではありません。
ここでは、IKEv2でアグレッシブモードに代わるサイト間VPNの設定方法を説明します。
拠点Aのサイト間VPN設定
LANサブネット: 192.168.168.0
サブネットマスク: 255.255.255.0
WAN IP:66.249.72.115
ローカルIKE ID - ファイアウォール識別子: Tokyo(任意の文字列で拠点BのローカルIKE IDと異なる文字列を指定します。)
STEP1: 拠点Bのローカルネットワークを指定するアドレスオブジェクトを作成します。
- 拠点Aの管理GUIにログインします。
- ネットワーク > アドレスオブジェクト ページを表示します。
- ページの一番下にある 追加 をクリックします。
- アドレスオブジェクトの追加 画面で以下の通り入力し、追加をクリックします。
名前: Osaka LAN (任意の名前を入力します。)
ゾーンの割り当て: VPN (拠点Aから見てこのネットワークはVPNの向こう側に存在しますので必ずVPNゾーンを指定します。)
種別: ネットワーク
ネットワーク: 10.10.10.0(拠点BのLAN ネットワークを指定します。)
ネットマスク: 255.255.255.0
STEP2: VPNポリシーの設定
- 拠点Aの管理GUIで VPN > 設定 ページに移動します。
- VPN グローバル設定 の下の VPN を有効にする をチェックします。
- VPN ポリシー セクション の 追加 をクリックします。
- VPNポリシー 画面の 一般 タブで、以下のとおり設定します。
ポリシー種別: サイト間
認証方式: IKE (事前共有鍵を使用)
名前: Osaka Agressive Mode VPN
プライマリ IPSec ゲートウェイ名またはアドレス: 0.0.0.0
セカンダリ IPSec ゲートウェイ名またはアドレス: 0.0.0.0
事前共有鍵: SonicWall
事前共有鍵の確認: SonicWall
ローカル IKE ID:ファイアウォール識別子 - Tokyo (任意の文字列で、この装置のIKE IDとなります。拠点B のピア IKE ID となります。)
ピア IKE ID:ファイアウォール識別子 - Osaka (任意の文字列ですが、拠点BのローカルIKE IDと同じでなければなりません)
5. VPNポリシー 画面の ネットワーク タブで、以下のとおり設定します。
ローカル ネットワーク > ローカル ネットワークをリストより選択: X0 サブネット
リモート ネットワーク > 対象先ネットワークをリストより選択: Osaka LAN (STEP1で作成したアドレスオブジェクトを指定します。)
VPNポリシー 画面の プロポーザル タブで、以下のとおり設定します。
IKE (フェーズ 1) プロポーザル
鍵交換モード: IKEv2 モード
DH グループ:グループ 2 (初期値)
暗号化:3DES (初期値。この設定を変更する場合拠点Bでも必ず同じ設定を使用してください。)
認証:SHA1 (初期値。この設定を変更する場合拠点Bでも必ず同じ設定を使用してください。)
存続期間 (秒):28800 (初期値。この設定を変更する場合拠点Bでも必ず同じ設定を使用してください。)
IPsec (フェーズ 2) プロポーザル
プロトコル:ESP (初期値。この設定を変更する場合拠点Bでも必ず同じ設定を使用してください。)
暗号化:3DES (初期値。この設定を変更する場合拠点Bでも必ず同じ設定を使用してください。)
認証:SHA1 (初期値。この設定を変更する場合拠点Bでも必ず同じ設定を使用してください。)
Perfect Forward Secrecy を有効にする: チェックをしない
存続期間 (秒): 28800 (初期値。この設定を変更する場合拠点Bでも必ず同じ設定を使用してください。)
6. VPNポリシー 画面の 詳細 タブで、以下のとおり設定します。
VPN ポリシーの適用先: ゾーンWAN になっていることを確認します。
その他の設定は変更しません。
*拠点BよりこのVPNを介してこのファイアウォールの管理を行う場合は、この SA を経由しての管理 のHTTPS をチェックします。
7. 最後に OK をクリックして設定を完了します。
拠点Bのサイト間VPN設定
LANサブネット: 10.10.10.0
サブネットマスク: 255.255.255.0
WAN IP:DHCP/PPPoE 等の動的にIPアドレスが変わる設定
ローカルIKE ID - ファイアウォール識別子: Osaka(任意の文字列で拠点AのローカルIKE IDと異なる文字列を指定します。)
STEP1: 拠点Aのローカルネットワークを指定するアドレスオブジェクトを作成します。
- 拠点Bの管理GUIにログインします。
- ネットワーク > アドレスオブジェクト ページを表示します。
- ページの一番下にある 追加 をクリックします。
- アドレスオブジェクトの追加 画面で以下の通り入力し、追加をクリックします。
名前: Tokyo LAN (任意の名前を入力します。)
ゾーンの割り当て: VPN (拠点Bから見てこのネットワークはVPNの向こう側に存在しますので必ずVPNゾーンを指定します。)
種別: ネットワーク
ネットワーク: 192.168.168.0(拠点AのLAN ネットワークを指定します。)
ネットマスク: 255.255.255.0
STEP2: VPNポリシーの設定
- 拠点Aの管理GUIで VPN > 設定 ページに移動します。
- VPN グローバル設定 の下の VPN を有効にする をチェックします。
- VPN ポリシー セクション の 追加 をクリックします。
- VPNポリシー 画面の 一般 タブで、以下のとおり設定します。
ポリシー種別: サイト間
認証方式: IKE (事前共有鍵を使用)
名前: Tokyo Agressive Mode VPN
プライマリ IPSec ゲートウェイ名またはアドレス: 66.249.72.115 (拠点AのWAN IP (固定) を指定します。)
セカンダリ IPSec ゲートウェイ名またはアドレス: 0.0.0.0
事前共有鍵: SonicWall
事前共有鍵の確認: SonicWall
ローカル IKE ID:ファイアウォール識別子 - Osaka(任意の文字列で、この装置のIKE IDとなります。拠点A のピア IKE ID となります。)
ピア IKE ID:ファイアウォール識別子 - Tokyo (任意の文字列ですが、拠点AのローカルIKE IDと同じでなければなりません)
5. VPNポリシー 画面の ネットワーク タブで、以下のとおり設定します。
ローカル ネットワーク > ローカル ネットワークをリストより選択: LAN プライマリ サブネット
リモート ネットワーク > 対象先ネットワークをリストより選択: Osaka LAN (STEP1で作成したアドレスオブジェクトを指定します。)
6. VPNポリシー 画面の プロポーザル タブで、以下のとおり設定します。
IKE (フェーズ 1) プロポーザル
鍵交換モード: IKEv2 モード
DH グループ:グループ 2 (初期値)
暗号化:3DES (初期値。この設定を変更する場合拠点Aでも必ず同じ設定を使用してください。)
認証:SHA1 (初期値。この設定を変更する場合拠点Aでも必ず同じ設定を使用してください。)
存続期間 (秒):28800 (初期値。この設定を変更する場合拠点Aでも必ず同じ設定を使用してください。)
IPsec (フェーズ 2) プロポーザル
プロトコル:ESP (初期値。この設定を変更する場合拠点Aでも必ず同じ設定を使用してください。)
暗号化:3DES (初期値。この設定を変更する場合拠点Aでも必ず同じ設定を使用してください。)
認証:SHA1 (初期値。この設定を変更する場合拠点Aでも必ず同じ設定を使用してください。)
Perfect Forward Secrecy を有効にする: チェックをしない
存続期間 (秒): 28800 (初期値。この設定を変更する場合拠点Aでも必ず同じ設定を使用してください。)
7. VPNポリシー 画面の 詳細 タブで、以下のとおり設定します。
キープアライブを有効にする を必ずチェックしてください。このファイアウォールのWAN IPは動的設定なので、このファイアウォールからVPNを開始するために、必ずこのチェックを入れます。
VPN ポリシーの適用先: ゾーンWAN になっていることを確認します。
その他の設定は変更しません。
*拠点AよりこのVPNを介してこのファイアウォールの管理を行う場合は、この SA を経由しての管理 のHTTPS をチェックします。
8. 最後に OK をクリックして設定を完了します。
設定後の確認
リモートサイト(拠点B)から拠点AへPingを実施します。
注意)Pingの成功の応答リプライを受け取る前に、"Request Timed Out"がみられる際はVPNトンネルがまだ接続途中の可能性があります。
Related Articles
Categories