2.2.32. IPsecVPN構成例

Managed Firewall/UTMのIPsecVPNでの構成例をご説明します。

2.2.32.1. ユースケース(インターネット経由でのIPsecVPN)

以下ユースケースについてご説明いたします。

＜例＞インターネット経由でIPsecVPN接続し、Tenant間の通信を可能とする構成となります。

2.2.32.2. 前提

Managed FW/UTMがインターネット経由でIPsecVPN通信をする場合にはInternet Gatewayを利用する必要があります。

またManaged FW/UTMは自身に設定されたインターフェースのIPアドレスを使用し対向機器とネゴシエーションする為、グローバルIPアドレスをインタフェースにアサインする必要があります。

その他ユースケースに応じた以下の作業が、完了していることを前提とします。

Managed Firewall/UTMの作成

Managed Firewall/UTMのインターフェース設定/ロジカルネットワークへの接続

Managed Firewall/UTMのルーティング設定（デフォルトゲートウェイの設定）

• Destination IP ：0.0.0.0

• Subnet Mask ：0.0.0.0

• Gatewayアドレス：Internet-GWのゲートウェイIPv4アドレス（例：1.1.1.1）

• Interface：デフォルトゲートウェイを設定するポート（例：Port 4）

注釈

• Managed Firewall/UTMはグローバルIPアドレスが1つ必要となります。

  Internet GatewayはVRRPで冗長化されており、グローバルIPアドレスは３つ必要となる為、計4つのグローバルIPアドレスを確保する必要があります。

  その為、ロジカルネットワークを作成する場合、4つのホストアドレスを確保できる/29以上で作成する必要があります。

• IPsec VPNはManaged Firewall/UTMの仕様上シングル構成でのみ利用頂けます。HA構成では利用不可となります。

以下にTenant_A側のManaged FW/UTMの設定例をご説明します。

2.2.32.3. 設定手順①-1 IPsecセッティング

IPsecセッティングの詳細は IPsec セッティング をご覧ください。

IPsec SettingからTunnelインターフェースを作成します。

設定値を投入後、[保存]ボタンをクリックしてください。

項目	設定値
Interface	port4
Proposal (Phase1)	任意(最大9まで選択可能)
DH Group (Phase1)	任意(最大3まで選択可能)
Remote Gateway	2.2.2.4
Pre-Shared Key	Test@1234(例)
Proposal (Phase2)	任意(最大9まで選択可能)
DH Group (Phase2)	任意(最大3まで選択可能)

注釈

• Pre-shared Keyに入力した文字列は対向機器と一致する必要があります。

• Proposal/DH Groupの値については少なくとも一つ以上対向機器と一致する設定が必要となります。

デバイス管理画面の[変更を保存]をして、IPsec設定を反映して下さい。

2.2.32.4. 設定手順②-1 IPsecルーティング

IPsecルーティングの詳細は IPsec ルーティング設定 をご覧ください。

IPsec RoutingでTunnelインターフェース宛のスタティックルートを作成します。

設定値を投入後、[保存]ボタンをクリックしてください。

項目	設定値
Destination IP	192.168.2.0
Subnet Mask	255.255.255.0
Blackhole Routing	Disable
Interface	Tunnel1

またTunnelインターフェースがダウンした場合にはTunnel宛のルート情報が消える為、デフォルトルート宛にパケットが転送されます。

Blackhole RoutingをEnableにしたルーティングを設定することでTunnelダウン時の予期せぬパケット転送を防ぐことが可能です。

設定値を投入後、[保存]ボタンをクリックしてください。

項目	設定値
Destination IP	192.168.2.0
Subnet Mask	255.255.255.0
Blackhole Routing	Enable

注釈

• Blackhole Routingを設定する場合、入力するDestination IP/Subnet Maskの値をTunnel Interface宛のルーティング設定と一致させて下さい。

デバイス管理画面の[変更を保存]をして、ルーティング設定を反映して下さい。

2.2.32.5. 設定手順③-1 IPsecポリシー

IPsecポリシーの詳細は IPsec ポリシー 設定 をご覧ください。

IPsec PolicyでTunnelインターフェース宛のポリシーを作成します。

以下の例では内部からTunnel宛へHTTPの許可ポリシーを作成しています。

設定値を投入後、[保存]ボタンをクリックしてください。

項目	設定値
Enable	チェック有
Incoming Interface	port5
Source Address	all
Outgoing Interface	Tunnel1
Destination Address Type	Address Object
Destination Address	all
Service	HTTP
Action	Accept
NAT	チェック無
Log	任意

デバイス管理の[変更を保存]をして、ファイアウォールポリシーを反映して下さい。

以上でTenant_A側のManaged FW/UTMの設定は完了となります。

同様にTenant_B側のManaged FW/UTMの設定を実施して下さい。

注釈

• Tunnel経由での通信を許可する為には、対向(Tenant_B)のManaged Firewall/UTMでも同様にIPsec Policyを設定する必要があります。

  【Tenant_AからTenant_Bへの通信を許可する場合】

  Tenant_A FW/UTM / Incoming Interface：port5、Outgoing Interface：Tunnel1、Action：Accept の通信許可Policyを作成

  Tenant_B FW/UTM / Incoming Interface：Tunnel1、Outgoing Interface：port5、Action：Accept の通信許可Policyを作成

  【Tenant_BからTenant_Aへの通信を許可する場合】

  Tenant_B FW/UTM / Incoming Interface：port5、Outgoing Interface：Tunnel1、Action：Accept の通信許可Policyを作成

  Tenant_A FW/UTM / Incoming Interface：Tunnel1、Outgoing Interface：port5、Action：Accept の通信許可Policyを作成

2.2.32.6. 設定完了後のTunnelアップ確認

設定完了後のTunnelのステータスについてはIPsec Status Viewより確認が可能です。

IPsec Status Viewの詳細は IPsec Status View をご覧ください。

目次

• 1. オーダー/Order
  • 1.1. Managed Firewall / Managed UTM Version2
  • 1.2. Managed Firewall / Managed UTM Version3
  • 1.3. Managed WAF Version2
  • 1.4. Managed WAF Version3
• 2. オペレーション/Operation
  • 2.1. Managed Firewall / Managed UTM Version2
  • 2.2. Managed Firewall / Managed UTM Version3
  • 2.3. Managed WAF Version2
  • 2.4. Managed WAF Version3

---

2.2.31.11. 共通機能をManaged FW経由で利用する際のNAT構成例

2.2.33. エクスポートファイルの見方