• SonicOS および SonicOSX 7 IPSec VPN
• IPSec VPN の概要
  • 仮想プライベート ネットワークについて
  • VPN の種類
    • IPsec VPN
    • VPN を越えた DHCP
    • IPsec を利用した L2TP
    • SSL VPN
  • VPN のセキュリティ
    • IKEv1 について
    • IKEv2 について
    • IKEv2 のモビリティおよびマルチホーム プロトコル (MOBIKE)
    • IPsec (フェーズ 2) プロポーザルについて
    • Suite B 暗号化について
  • VPN ベース の設定と表示
    • ポリシー
    • アクティブ トンネル
    • 設定
  • IPv6 VPN の設定
  • VPN が自動的に追加するルール コントロール
• サイト間 VPN
  • サイト間設定の計画
  • 一般的な VPN 構成
    • 「一般」タブでの設定
    • 「ネットワーク」タブでの設定
    • 「プロポーザル」タブでの設定
    • 「詳細」タブでの設定
  • GroupVPN ポリシーの管理
    • 事前共有鍵を使用する IKE の設定
    • サード パーティ証明書を使用する IKE の設定
    • GroupVPN クライアント ポリシーのダウンロード
  • サイト間 VPN ポリシーの作成
    • 事前共有鍵を使用する設定
    • マニュアル キーを使用する設定
    • サードパーティ証明書を使った設定
    • リモート SonicWall ネットワーク セキュリティ装置の設定
    • 静的ルートへの VPN フェイルオーバーの設定
• VPN 自動プロビジョニング
  • VPN 自動プロビジョニングについて
    • VPN 自動プロビジョニングの定義
    • VPN 自動プロビジョニングの利点
    • VPN 自動プロビジョニングの仕組み
      • IKE フェーズ 1 セキュリティ関連付けの確立について
      • プロビジョニングされたポリシーを使用した IKE フェーズ 2 の確立について
  • VPN AP サーバの設定
    • VPN AP サーバ設定の開始
    • 「一般」画面でのVPN AP サーバの設定
    • 「ネットワーク」画面でのVPN AP サーバの設定
    • 「プロポーザル」画面での詳細設定
    • 「詳細」画面での詳細設定
  • VPN AP クライアントの設定
• ルールと設定
  • トンネル インターフェースの追加
    • トンネル インターフェースに対して静的ルートを作成
  • 異なるネットワーク セグメントを使用するルート エントリ
  • ネットワークへの静的ルートの冗長化
• 詳細
  • VPN の詳細設定
  • IKEv2 の設定
  • OCSP を SonicWall ネットワーク セキュリティ装置で使用
    • OpenCA OCSP Responder
    • OCSP で使用する証明書のロード
    • VPN ポリシーでOCSPを使用
• VPN を越えた DHCP
  • DHCP リレー モード
  • VPN を越えた DHCP 用のセントラル ゲートウェイの設定
  • VPN を越えた DHCP のリモート ゲートウェイの設定
  • VPN を越えた現在の DHCP リース
• L2TP サーバと VPN クライアント アクセス
  • L2TP サーバの設定
  • 現在動作中の L2TP セッションの表示
  • Microsoft Windows L2TP VPN クライアント アクセスの設定
  • Google Android L2TP VPN クライアント アクセスの設定
• AWS VPN
  • 概要
  • 新しい VPN 接続の作成
  • VPN 接続の確認
    • ファイアウォールでの設定
    • アマゾン ウェブ サービスでの設定
  • 経路伝搬
  • AWS リージョン
  • VPN 接続の削除
• SonicWall サポート
  • このドキュメントについて

VPN が自動的に追加するルール コントロール

VPN ポリシーを追加すると、SonicOS は編集不可のアクセス ルールを自動作成し、トラフィックが適切なゾーンを通過することを許可します。「ローカル ネットワーク」に「Firewalled Subnets」が設定 (このケースでは LAN および DMS で構成) されて、ネットワークにサブネット 192.168.169.0 が設定されるという状況で、以下の VPN ポリシーについて検討してみましょう。

アクセス ルールの自動作成は一般的には非常に便利ですが、場合によっては VPN ポリシーをサポートするうえで自動作成の抑止が必要になります。例えば、大規模なハブアンドスポーク型 VPN (スポーク サイト全体が、簡単にスーパーネット化できるアドレス空間を使用したアドレスである) などです。ここで、2,000 のリモート サイトそれぞれにおけるハブ サイトでの LAN および DMZ アクセスを1 つのサブネットで提供する場合、アドレスは以下のようになります。

• remoteSubnet0=Network 10.0.0.0/24 (mask 255.255.255.0, range 10.0.0.0－10.0.0.255)
• remoteSubnet1=Network 10.0.1.0/24 (mask 255.255.255.0, range 10.0.0.0－10.0.1.255)
• remoteSubnet2=Network 10.0.2.0/24 (mask 255.255.255.0, range 10.0.2.0－10.0.2.255)
• remoteSubnet2000=10.7.207.0/24 (mask 255.255.255.0, range 10.7.207.0－10.7.207.255)

これらの各リモートサイト用に VPN ポリシーを作成した場合は 2,000 の VPN ポリシーが必要となり、8,000 のアクセス ルールも作成されます (各サイトに対して > VPN、DMZ -> VPN、VPN -> LAN、および VPN -> DMZ)。ただし、これらのアクセス ルールは、リモート サイトのスーパーネット化つまりアドレス範囲表現に対する 4 つのアクセス ルールですべて簡単に処理することができます (さらに具体的な許可または拒否のアクセス ルールを必要に応じて追加できます)。

remoteSubnetAll=Network 10.0.0.0/13 (mask 255.248.0.0, range 10.0.0.0－10.7.255.255) または

remoteRange=Range 10.0.0.0-10.7.207.255

このレベルの集約を有効にするため、「VPN ポリシー」ダイアログの「詳細」タブに、サイト間 VPN ポリシーに関して「この VPN ポリシーに対してアクセス ルールを自動生成しない」オプションが用意されています。既定では、このチェックボックスがオフになっており、付随するアクセス ルールが自動的に作成されます。VPN ポリシーの作成時にこのチェックボックスをオンにすることにより、VPN トラフィックの個別アクセス ルールを作成できます。