SonicOS/X 7 IPSec VPN

Technical Documentation>  VPN を越えた DHCP>  VPN を越えた DHCP のリモート ゲートウェイの設定
Table of Contents

VPN を越えた DHCP のリモート ゲートウェイの設定

VPN を越えた DHCP のリモート ゲートウェイを設定するには、以下の手順に従います。

  1. ゲートウェイ」ドロップダウン メニューから、「リモート」を選択します。

  2. 構成」をクリックします。

  3. VPN ポリシーで「ローカル ネットワークは、この VPN トンネルを通じた DHCP を使用して IP アドレスを取得する」設定が有効になっている場合は、「一般」画面の「DHCP リレーのための VPN トンネル」フィールドに、VPN ポリシー名が自動的に表示されます。

    IKE を使用する VPN ポリシーのみが DHCP の VPN トンネルとして使用できます。VPN トンネルは IKE を使用する必要があり、ローカル ネットワークは適切に設定されている必要があります。ローカル ネットワークは、この VPN トンネルを通じた DHCP を使用して IP アドレスを取得します。

  4. 「DHCP リース先」メニューから DHCP リース先となるインターフェースを選択します。

  5. 「リレー IP アドレス」フィールドに IP アドレスを入力すると、この IP アドレスはセントラル ゲートウェイのアドレスの代わりに DHCP リレー エージェント アドレス (giaddr) として使用されます。また、DHCP サーバ上の DHCP スコープ内で予約されている必要があります。このアドレスは、セントラル ゲートウェイの背後にある VPN トンネルを通して、このファイアウォールをリモートで管理するためにも使用できます。

    トンネルを通した管理が必要な場合は、「リレー IP アドレス」と「リモート管理 IP アドレス」のフィールドをゼロにすることはできません。

  6. リモート管理 IP アドレス」フィールドに IP アドレスを入力すると、この IP アドレスは、セントラル ゲートウェイの背後から をリモートで管理するためにも使用されます。また、DHCP サーバ上の DHCP スコープ内で予約されている必要があります。
  7. IP Spoof を検出した場合、トンネル経由のトラフィックを遮断する」を有効にすると、ファイアウォールは、認証されたユーザの IP アドレスになりすます、VPN トンネル経由のトラフィックを遮断します。ただし、固定の機器がある場合は、機器に対して正しいイーサネット アドレスが入力されていることを確認する必要があります。イーサネット アドレスは識別プロセスの一部として使用され、イーサネット アドレスが正しくないと、ファイアウォールが IP Spoof として応答する可能性があります。
  8. VPN トンネルが中断された場合は、一時的な DHCP リースをローカル DHCP サーバから取得できます。トンネルが再びアクティブになった後で、ローカル DHCP サーバはリースの発行を停止します。「トンネルがダウンした場合、IP リースをローカル DHCP サーバから取得する」を有効にします。このチェックボックスをオンにすることで、トンネルが機能を停止するときのフェイルオーバー オプションになります。
  9. 一定の時間だけ一時的なリースを許可する場合は、「代替のための IP リース期間 (分)」ボックスに一時リースの分数を入力します。既定値は 2 分です。

  10. LAN の機器を設定するには、「デバイス」を選択します。

  11. 静的な LAN デバイス」を設定するには、「+ 追加」を選択して「静的な LAN デバイスの追加」ダイアログを表示します。

  12. IP アドレス」フィールドに機器の IP アドレスを入力し、「MAC アドレス」フィールドにイーサネット アドレスを入力します。

    静的な機器の例としては、IP リースを動的に取得できないプリンタなどがあります。「IP スプーフを検出した場合、トンネル経由のトラフィックを遮断する」を有効にしてない場合は、機器のイーサネット アドレスを入力する必要はありません。DHCP サーバで利用可能な IP アドレスのプールから静的 IP アドレスを除外して、DHCP サーバがこれらのアドレスを DHCP クライアントに割り当てないようにする必要があります。また、リレー IP アドレスとして使用される IP アドレスも除外する必要があります。リレー IP アドレスとして使用する IP アドレスのブロックを確保しておくことをお勧めします。

  13. OK」をクリックします。
  14. LAN 上の機器を除外するには、「+ 追加」を選択して「除外する LAN デバイスの追加」ダイアログを表示します。
  15. MAC アドレス」フィールドに、機器の MAC アドレスを入力します。
  16. OK」をクリックします。

  17. OK」を選択して、「VPN を越えた DHCP/リモート ゲートウェイ」ダイアログを閉じます。

コンピュータに IP リースを割り当てるには、リモート ファイアウォール上にローカル DHCP サーバを設定する必要があります。

リモート サイトでセントラル ゲートウェイへの接続およびリースの取得に関する問題がある場合は、リモート コンピュータで Deterministic Neteork Enhancer (DNE) が有効になっていないことを確認します。

例えば 2 つの LAN のように、静的 LAN IP アドレスが DHCP スコープの外部にある場合は、この IP へのルーティングが可能です。

無線クライアントには、このサブネット内の IP アドレスが割り当てられます。IP アドレスと DHCP サーバが自動的に作成され、DHCP アドレスが割り当てられます。