SonicOS/X 7 IPSec VPN
VPN を越えた DHCP のリモート ゲートウェイの設定
VPN を越えた DHCP のリモート ゲートウェイを設定するには、以下の手順に従います。
- 「ゲートウェイ」ドロップダウン メニューから、「リモート」を選択します。
-
「構成」をクリックします。
-
VPN ポリシーで「ローカル ネットワークは、この VPN トンネルを通じた DHCP を使用して IP アドレスを取得する」設定が有効になっている場合は、「一般」画面の「DHCP リレーのための VPN トンネル」フィールドに、VPN ポリシー名が自動的に表示されます。
IKE を使用する VPN ポリシーのみが DHCP の VPN トンネルとして使用できます。VPN トンネルは IKE を使用する必要があり、ローカル ネットワークは適切に設定されている必要があります。ローカル ネットワークは、この VPN トンネルを通じた DHCP を使用して IP アドレスを取得します。
- 「DHCP リース先」メニューから DHCP リース先となるインターフェースを選択します。
-
「リレー IP アドレス」フィールドに IP アドレスを入力すると、この IP アドレスはセントラル ゲートウェイのアドレスの代わりに DHCP リレー エージェント アドレス (giaddr) として使用されます。また、DHCP サーバ上の DHCP スコープ内で予約されている必要があります。このアドレスは、セントラル ゲートウェイの背後にある VPN トンネルを通して、このファイアウォールをリモートで管理するためにも使用できます。
トンネルを通した管理が必要な場合は、「リレー IP アドレス」と「リモート管理 IP アドレス」のフィールドをゼロにすることはできません。
- 「リモート管理 IP アドレス」フィールドに IP アドレスを入力すると、この IP アドレスは、セントラル ゲートウェイの背後から をリモートで管理するためにも使用されます。また、DHCP サーバ上の DHCP スコープ内で予約されている必要があります。
- 「IP Spoof を検出した場合、トンネル経由のトラフィックを遮断する」を有効にすると、ファイアウォールは、認証されたユーザの IP アドレスになりすます、VPN トンネル経由のトラフィックを遮断します。ただし、固定の機器がある場合は、機器に対して正しいイーサネット アドレスが入力されていることを確認する必要があります。イーサネット アドレスは識別プロセスの一部として使用され、イーサネット アドレスが正しくないと、ファイアウォールが IP Spoof として応答する可能性があります。
- VPN トンネルが中断された場合は、一時的な DHCP リースをローカル DHCP サーバから取得できます。トンネルが再びアクティブになった後で、ローカル DHCP サーバはリースの発行を停止します。「トンネルがダウンした場合、IP リースをローカル DHCP サーバから取得する」を有効にします。このチェックボックスをオンにすることで、トンネルが機能を停止するときのフェイルオーバー オプションになります。
- 一定の時間だけ一時的なリースを許可する場合は、「代替のための IP リース期間 (分)」ボックスに一時リースの分数を入力します。既定値は 2 分です。
-
LAN の機器を設定するには、「デバイス」を選択します。
-
「静的な LAN デバイス」を設定するには、「+ 追加」を選択して「静的な LAN デバイスの追加」ダイアログを表示します。
-
「IP アドレス」フィールドに機器の IP アドレスを入力し、「MAC アドレス」フィールドにイーサネット アドレスを入力します。
静的な機器の例としては、IP リースを動的に取得できないプリンタなどがあります。「IP スプーフを検出した場合、トンネル経由のトラフィックを遮断する」を有効にしてない場合は、機器のイーサネット アドレスを入力する必要はありません。DHCP サーバで利用可能な IP アドレスのプールから静的 IP アドレスを除外して、DHCP サーバがこれらのアドレスを DHCP クライアントに割り当てないようにする必要があります。また、リレー IP アドレスとして使用される IP アドレスも除外する必要があります。リレー IP アドレスとして使用する IP アドレスのブロックを確保しておくことをお勧めします。
- 「OK」をクリックします。
- LAN 上の機器を除外するには、「+ 追加」を選択して「除外する LAN デバイスの追加」ダイアログを表示します。
- 「MAC アドレス」フィールドに、機器の MAC アドレスを入力します。
- 「OK」をクリックします。
-
「OK」を選択して、「VPN を越えた DHCP/リモート ゲートウェイ」ダイアログを閉じます。
コンピュータに IP リースを割り当てるには、リモート ファイアウォール上にローカル DHCP サーバを設定する必要があります。
リモート サイトでセントラル ゲートウェイへの接続およびリースの取得に関する問題がある場合は、リモート コンピュータで Deterministic Neteork Enhancer (DNE) が有効になっていないことを確認します。
例えば 2 つの LAN のように、静的 LAN IP アドレスが DHCP スコープの外部にある場合は、この IP へのルーティングが可能です。
無線クライアントには、このサブネット内の IP アドレスが割り当てられます。IP アドレスと DHCP サーバが自動的に作成され、DHCP アドレスが割り当てられます。
Was This Article Helpful?
Help us to improve our support portal