仮想プライベートネットワーク(VPN)を使用すれば、インターネットのような安全ではないネットワークを経由して各ネットワークを直接接続することができます。VPN接続上のすべてのネットワークトラフィックは暗号化トンネル内を転送されるため、盗聴の恐れがなく、安全です。このような構成は「ゲートウェイ間VPN」と呼ばれます。同様に、インターネット上にある1台のコンピュータから信頼されたLANにVPNトンネル経由で接続することもできます。このようなリモートコンピュータは「モバイル接続(Road Warrior)」と呼ばれ、VPN接続している間、あたかも信頼されたLAN内に直接接続されているかのように見えます。
しかし、実際にIPSecをセットアップする場合、必要なツールはシステムごとにさまざまであり、導入が複雑になったり、相互接続で問題が発生したりすることがあります。そのため、既存のIPSecインフラストラクチャのサポートが必要な場合でない限り、 Endian としてはOpenVPNを使用されることをお勧めします。 Endian Firewall には使いやすい OpenVPN クライアントソフトウェア(Microsoft Windows用、Linux用、MacOS X用)が含まれています。
OpenVPNサーバー
画面上部のメニューバーで[VPN]を選択し、画面左のサブメニューから[OpenVPNサーバー]を選択します。
サーバーの設定
このパネルでは、OpenVPNサーバーの有効化と、どのゾーンで実行させるかを設定します。
- OpenVPNサーバーを有効にする
- OpenVPNサーバーを開始するにはこのスイッチをクリックします。
- ブリッジ
- OpenVPNサーバーを既存のゾーンの1つで動作させる場合にはこのチェックボックスをチェックします。
Note
OpenVPNサーバーがブリッジされていない場合は、クライアントが任意のゾーンにアクセスできるようにするためにVPNファイアウォールのファイアウォールルールを設定する必要があります(あえてアクセスさせたくない場合を除き)。
- VPNサブネット
- このオプションは、ブリッジモードが無効化されている場合にのみ利用できます。OpenVPNサーバー自体が動作するサブネットを指定します。
- ブリッジ先
- ブリッジモードが有効になっている場合に、OpenVPNサーバーがブリッジされるゾーンを指定します。
- ダイナミックIPプール開始アドレス
- OpenVPNクライアントによって使用できるIPアドレスの最初のアドレスで、このアドレスは選択されたゾーン内である必要があります。
- ダイナミックIPプール終了アドレス
- OpenVPNクライアントによって使用できるIPアドレスの最後のアドレスで、このアドレスは選択されたゾーン内である必要があります。
Note
このIPアドレス範囲への通信はVPNファイアウォールによってフィルタリングされます。
[保存してリスタート]をクリックすると設定が保存され、OpenVPNサービスが起動します。サービスの初回の起動時には、OpenVPNサーバー用の新しい証明書(自己署名)が生成されます。証明書をダウンロードするには、[CA証明書のダウンロード]リンクをクリックします。この証明書はクライアントのセットアップ時に必要になります。
下のパネルには、OpenVPNが動作している場合に現在接続しているクライアントが表示されます。このパネルで接続を切断したり、拒否したりすることができます。単なる「切断」とは異なり、「拒否」されたユーザーは切断の後、再接続できません。
アカウント
このパネルにはOpenVPNアカウントがリストされています。
アカウントを追加するには、[アカウントの追加]をクリックします。アカウントごとに以下のパラメータを設定します。
アカウント情報
- ユーザー名
- ユーザーのログイン名です。
- パスワード / 確認用パスワード
- パスワード(2回入力します)です。
クライアントルーティング
- すべてのトラフィックをVPNサーバー経由にする
- ここをチェックすると、このクライアントからのすべてのトラフィックは宛先に関わらず Endian Firewall のアップリンクを経由するようルーティングされます。
デフォルトでは、内部 Endian ゾーン以外の宛先(インターネット上のホストなど)はクライアントのアップリンクを使って直接通信が行われます。
- クライアントにルートをプッシュしない
- (上級ユーザーのみ)通常、クライアントが接続してきたときには、VPN経由でネットワークにアクセスできるようにするためのトンネリングルートがクライアントのルーティングテーブルに追加されます。このチェックボックスをチェックすると、この動作が行われず、クライアントのルーティングテーブルを手動で設定することができます。
- クライアント背後のネットワーク
- この設定は、このアカウントをゲートウェイ間接続用クライアントとしてセットアップする場合にのみ使用します。このクライアントの背後にあるネットワークを入力します。
- これらのネットワークのみをプッシュ
- クライアントにプッシュしたいネットワークルートを追加します(ここで指定したネットワークルートは、自動的にプッシュされるすべてのルートに優先されます)。
カスタムプッシュ設定
- 固定IPアドレス
- 通常はクライアントには動的IPアドレスが割り当てられますが、ここで固定アドレスを設定するとこのアドレスが割り当てられます。
- ネームサーバーの設定
- クライアントごとのDNSサーバーを設定します。
- ドメインの設定
- クライアントごとの検索ドメインを設定します。
Note
上記のすべてのフィールドに設定するアドレスやネットワークはCIDR表記にする必要があります(例:192.168.0.0/24)。
[保存]ボタンをクリックしてアカウント設定を保存します。一覧内の右側にあるアイコンをクリックすることで、いつでもアカウントの有効化/無効化、編集、削除が行えます(各アイコンの説明は一覧の下部を参照してください)。
2ヶ所以上の拠点をゲートウェイ間接続VPNで接続することを検討している場合は、それぞれの拠点内のLANのサブネットを異なるサブネットにすることをお勧めします。たとえば、ある拠点のGREENゾーンで 192.168.1.0/24 サブネットを使用する場合は、他の拠点では 192.168.2.0/24 のサブネットを使用するようにします。これにより、正しいルーティング情報が自動的にプッシュされるようになり、個別のカスタムルーティング設定を扱う必要はなくなります。
詳細設定
このパネルを使用してOpenVPNの詳細設定を行います。特に、このセクションでは(パスワードベースの認証に対して)証明書ベースの認証をセットアップします。
最初のセクションには、サーバーに関連した基本的な設定が含まれます。
- ポート / プロトコル
- ポート 1194 / プロトコル UDPがOpenVPNのデフォルト設定です。 特に必要がなければ、このままの値を使用することをお勧めします。他のポート(複数の場合も)を使ってOpenVPNにアクセスできるようにする場合は、ポート転送を使用できます(詳細についてはファイアウォール、ポート転送を参照してください)。 プロトコルとしてTCPを使用するケースとしては、OpenVPNサーバーにサードパーティのHTTPプロキシ経由で接続させたい場合です。
- トンネル経由でのDHCP通信をブロック
- DHCPレスポンスがVPNトンネルの相手先LANから届き、ローカルのDHCPサーバーと競合してしまう場合にチェックします。
- クライアント間の通信をブロックしない
- デフォルトではVPNクライアント間は分離されています。ここにチェックすると、VPNクライアント間での通信が可能になります。
2番目のセクションでは全般的なプッシュオプションの設定を変更します。
- これらのネットワークをプッシュする
- 有効にすると、接続してきたクライアントに指定されたネットワークへのルート情報をプッシュします。
- ネームサーバーの設定
- 有効にすると、接続してきたクライアントに指定されたDNSサーバー情報がプッシュされます。
- ドメインの設定
- 有効にすると、接続してきたクライアントに指定された検索ドメイン情報がプッシュされます。
Note
ここで設定するすべてのアドレスやネットワークはCIDR表記にする必要があります(例:192.168.0.0/24)。
3番目のセクションでは認証方法を設定します。
Endian Firewall のデフォルトの認証方法は PSK(ユーザー名/パスワード) です。この認証方法のままで良い場合には、ここで設定を変更する必要はありません。
[CA証明書のダウンロード]リンクからはクライアントの設定で必要なOpenVPNサーバーの証明書をダウンロードできます(この証明書は公開証明書で、サーバーの正当性を検証するために使用されます)。さらに、[PKCS#12ファイルとしてCAをエクスポートする]リンクからは証明書をPKCS#12フォーマットでダウンロードできます(紛失、流出しないように注意してください!)。このファイルを他のOpenVPNサーバー(フォールバック用)にインポートすることができます。
最後に、このシステムをフォールバック用システムにする場合には、メインサーバーからエクスポートされたPKCS#12ファイルをアップロードします( Endian Firewall からエクスポートされたファイルをアップロードする場合には[チャレンジパスワード]を空のままにしてください)。
ここで X.509証明書ベース の認証を利用したい場合(証明書のみ、または証明書とパスワード)には、少々複雑になります。この場合、独立した証明機関(CA)を使用します。Endian Firewall ではこのような証明機関をホストすることはできません。
この証明機関を使用して、サーバーと各クライアントの証明書の作成と署名を行う必要があります。証明書種別(”netscape certificate type”フィールドに設定します)には、それぞれ「server」と「client」を設定してください。
PKCS#12フォーマットのサーバー証明書をここでアップロードする必要があります(証明書の作成時にパスワードを設定した場合は、[チャレンジパスワード]を指定してください)。
クライアント証明書の共通名フィールドにはOpenVPNユーザー名を指定してください。
Warning
証明書のみでクライアントを認証する場合、そのクライアントが適切な証明を持っていれば、対応するOpenVPNユーザーアカウントの有無に関わらず接続できることに注意してください。
クライアント証明書を紛失、流出したような場合は、CA上で証明書を失効させる必要があります。そのための失効リストをアップロードできます。
VPNクライアントダウンロード
リンクをクリックすると、 Endian VPNクライアント(Microsoft Windows用、MacOS X用、Linux用)を Endian Network からダウンロードします。
OpenVPNクライアント (Gw2Gw)
画面上部のメニュー バーで[VPN]を選択し、画面左のサブ メニューから[OpenVPNクライアント (Gw2Gw)]を選択します。
このセクションでは、ゲートウェイ間VPN接続のクライアントとしてセットアップします。OpenVPNクライアント接続を作成する2つの方法があります。[トンネル設定の追加]をクリックし、接続したいOpenVPNサーバーに関する情報を入力する(接続先は複数設定できます)こともできますし、OpenVPN Access Serverを利用している場合は、[OpenVPN Access Serverからプロファイルをインポート]をクリックしてクライアント設定をインポートすることもできます。
トンネル設定の追加
- 接続名
- この接続のラベルです。
- 接続先
- 接続先OpenVPNサーバーの完全修飾ドメイン名(FQDN)とポートを指定します( efw.example.com:port )。ポート番号はオプションで、デフォルトは1194です。
- 証明書のアップロード
- サーバーがPSK認証(ユーザー名/パスワード)を使用するよう設定されている場合、接続先のサーバー証明書をアップロードする必要があります(この証明書ファイルは、OpenVPNサーバーの[CA証明書のダウンロード]リンクからダウンロードできます。証明書ベースの認証を使用している場合は、PKCS#12ファイルをアップロードする必要があります(この証明書ファイルは、OpenVPNサーバーの[PKCS#12ファイルとしてCAをエクスポートする]リンク(OpenVPNサブメニューの拡張設定セクションにあります)からダウンロードできます)。
- PKCS#12チャレンジパスワード
- 証明書の作成時に証明機関にパスワードを提供している場合は、ここでチャレンジパスワードを指定します。
- ユーザー名 / パスワード
- サーバーがPSK認証(ユーザー名/パスワード)を使用するよう設定されている場合、または証明書とパスワードを組み合わせた認証を使用するよう設定されている場合に、OpenVPNサーバーアカウントのユーザー名とパスワードを指定します。
- コメント
- 備考欄です。
[詳細なトンネル設定]をクリックすると、さらに設定項目が表示されます。
- フォールバックVPNサーバー
- フォールバック用OpenVPNサーバーを指定します(複数指定も可能で、1行ごとに記述します)。 efw.example.com:port のフォーマットで記述します(ポート番号とプロトコルはオプションで、デフォルトはUDPの1194です)。 メイン サーバーへの接続に失敗した場合、フォールバック サーバーへの接続を試行します。
- デバイス種別
- TAPかTUNのどちらを使用したいかを選択します。この設定は、接続したいOpenVPNサーバーの設定と同じになっている必要があります。
- 接続タイプ
- 上の[デバイス種別]で「TUN」を選択した場合は接続タイプは常に「ルーティング」になり、選択できません。「ルーティング」(クライアントファイアウォールはリモートLANへのゲートウェイとして動作します)か、 「ブリッジ」(クライアントファイアウォールはリモートLANの一部として動作します)を選択します。 デフォルトは「ルーティング」です。
- ブリッジ先
- [デバイス種別]が「TUN」の場合にはこのフィールドは使用できません。クライアント接続がブリッジされる先のゾーンを選択します。
- トンネル経由でのDHCP通信をブロック
- DHCPレスポンスがVPNトンネルの相手先LANから届き、ローカルのDHCPサーバーと競合してしまう場合にチェックします。
- NAT
- この Endian Firewall 経由で接続してきたクライアントのVPN IPアドレスを隠したい場合にチェックします。これにより、クライアントに対する接続要求を回避できます。
- プロトコル
- UDP(デフォルト)かTCPを指定します。HTTPプロキシを使用したい場合はTCPに設定してください(次のオプションを使用します)。
- HTTPプロキシ
- Endian Firewall がHTTPプロキシ経由でのみインターネットに接続できる場合でも、OpenVPNのゲートウェイ間接続のクライアントとして使用できます。 しかし、その場合はOpenVPNの両端でTCPプロトコルを使用する必要があります。 各テキストフィールドにHTTPプロキシのアカウント情報を入力してください。プロキシホスト( proxy.example.com:port )、ユーザー名、パスワードです。 Endian Firewall を通常のWebブラウザとして見せる必要があれば、ユーザーエージェントを強制的に指定できます。
[保存]ボタンをクリックしてトンネル設定を保存します。一覧内の右側にあるアイコンをクリックすることで、いつでもトンネルの有効化/無効化、編集、削除が行えます(各アイコンの説明は一覧の下部を参照してください)。
一度設定した接続を編集すると、ページ下部に新しいセクションが表示されます。このセクションは[TLS 認証]セクションで、この接続で使用するTLS鍵を追加できます。
- TLS鍵ファイル
- 鍵ファイルをアップロードできます。
- MD5
- TLS鍵ファイルをアップロードすると、そのファイルのMD5チェックサムが表示されます。
- 方向
- このフィールドは通常、サーバーの場合に0を、クライアントの場合に1を指定します。この設定の意味が理解できている場合を除いて、1を指定してください。
OpenVPN Access Serverからのプロファイルのインポート
OpenVPN Access Serverからクライアント設定をインポートする場合は、以下の情報を指定する必要があります。
- 接続名
- クライアント接続の名前を指定します。
- Access Server URL
- OpenVPN Access ServerのURLを指定します。
Note
Endian Firewall はOpenVPN Access ServerのXML-RPC設定のみをサポートしていることに注意してください。URLは https://<SERVERNAME>/RPC2 のようになります。
- ユーザー名
- Access Serverに接続するために使用されるユーザー名です。
- パスワード
- Access Serverに接続するために使用されるパスワードです。
- SSL証明書を検証する
- このチェックボックスをチェックすると、SSL暗号化接続が行われる際にSSL証明書の検証が行われます。証明書に問題がある場合は、接続がすぐに閉じられます。自己署名の証明書を使用している場合はこの機能をオフにしてください。
- コメント
- この接続に関するメモです。
[プロファイルのインポート]ボタンをクリックすると、手動で作成した場合と同様、新しいクライアント設定が保存されます。
IPsec
画面上部のメニューバーで[VPN]を選択し、画面左のサブメニューから[IPsec]を選択します。
IPsec(IP Security)は広く標準として使用されているVPNソリューションです。OpenVPNとは対照的に、暗号化と認証はIPプロトコルの拡張としてOSIレイヤー 3で行われます。したがって、IPsecはカーネルの一部であるIPスタック内で実装されている必要があります。IPsecは標準化されたプロトコルであるため、多くのベンダーがIPsecを実装し、相互互換性があります。OpenVPNに比べるとIPsecは複雑で、設定や管理の難易度は高くなっています。その設計上、OpenVPNでは利用可能ないくつかの状況においてIPsecが利用できない場合があります。特にNATを使用しているような場合です。しかし、 Endian Firewall では使いやすい管理インターフェイスを備えており、異なる認証方法もサポートします。IPsecは既存環境との互換性のために必要な場合にのみ使用されることを強くお勧めします。OpenVPN はさまざまな環境で使用でき、NATを使用しなければならないケースでも問題なく動作します。
[グローバル設定]セクションでは、IPsecの基本的な設定が行えます。設定できる項目は以下の通りです。
- ローカルVPNホスト名/IP
- IPsecホストの外部IP(またはFQDN)を設定します。
- 利用可能
- チェックするとIPsecが有効になります。
- ORANGEでのVPN
- ユーザーがORANGEゾーンからVPNに接続できるようにしたい場合にチェックします。
- BLUEでのVPN
- ユーザーがBLUEゾーンからVPNに接続できるようにしたい場合にチェックします。
- デフォルトMTUを上書き
- デフォルトのMTUをオーバーライドしたい場合に、設定したいMTUの値を指定します。通常は使用する必要はありません。
- デバッグオプション
- チェックすると、 /var/log/messages に大量のログデータが記録されます。
[接続状況とコントロール]セクションでは、各アカウントと接続状況の一覧が表示されます。各接続ごとの名前、種別、共通名(Common name)、備考、ステータスが表示されます。[操作]列にあるアイコンをクリックすると、画面下に表示されているようなさまざまな操作を行うことができます。接続を追加するには[追加]ボタンをクリックします。最初のページが表示され、ホスト-ネットワーク間のVPN(Host-to-Net VPN)か、ネットワーク間のVPN(Net-to-Net)かを選択できます。[追加]ボタンをクリックして送信します。次のページでは、この接続に関する詳細を設定します(既存の接続を編集する場合にもこのページが表示されます)。このページの最初のセクションでは、ネットワークに関連したパラメータを設定します。
- 名前
- 接続の名前です。
- 利用可能
- 接続を使用可能にするにはチェックします。
- インターフェイス
- ホスト-ネットワーク間接続でのみ使用可能なパラメータで、どのインターフェイスにホストが接続しているかを指定します。
- ローカル側サブネット
- ローカルのサブネットをCIDRフォーマットで指定します(例:192.168.15.0/24)。
- ローカルID
- この接続のローカルホストのIDです。
- リモートホスト/IP
- リモートホストのIPアドレスかFQDNです。
- リモート側サブネット
- ネットワーク間接続でのみ使用可能なパラメータで、リモートサブネットをCIDRフォーマットで指定します(例:192.168.16.0/24)。
- リモートID
- この接続のリモートホストのIDです。
- Dead Peer Detection 検出時のアクション
- 相手先が切断した場合に実行するアクションを指定します。
- コメント
- 接続に関する情報を残しておくための備考欄です。
- 拡張設定の編集
- 詳細設定を行いたい場合にチェックします。
[認証]セクションでは、どのように認証を行うかを設定します。
- 事前共有鍵を使用
- トンネルの相手先での認証に使用されるパスフレーズを入力します。シンプルなネットワーク間VPNの場合に選択します。 また、VPNのセットアップの検証中にPSKを使用することもできます。 ホスト-ネットワーク間接続にはPSKを使用しないでください。
- 証明書要求のアップロード
- 一部のRoadwarrior向けIPsec実装では、独自証明機関の機能が含まれていません。 IPsecのビルトイン認証機関を使用したい場合は、証明書要求を作成します。 これはX.509証明書の一部であり、CA(証明機関)によって署名されている必要があります。 証明書要求をアップロードすると、その要求が署名され、新しい証明書がVPNメインページから取得できるようになります。
- 証明書のアップロード
- 相手先IPsecに利用可能なCAがある場合に利用します。 相手先CAの証明書と、ホストの証明書の両方にこのアップロードされたファイルが含まれている必要があります。
- PKCS12ファイルのアップロード - PKCS12ファイルのパスワード
- PKCS12ファイルをアップロードします。 ファイルがパスワードによって保護されている場合は、テキストフィールドにパスワードを入力します。
- 証明書の生成
- 新しいX.509証明書を作成します。 新しく証明書を作成する場合には、その下にある各フィールドに記入する必要があります。 オプションのフィールドには赤いドットが表示されています。 この証明書がネットワーク間接続用の証明書である場合は、[ユーザのフルネームかシステムのホスト名]の欄に相手先の完全修飾ドメイン名(FQDN)を記入する必要があります。 [PKCS12ファイルのパスワード]で指定するパスワードは、生成されたホスト証明書がIPsecのピア間での転送時に傍受されたり、漏洩したりされないためのものです。
[拡張設定の編集]をチェックした場合は、[保存]ボタンをクリックした後に次のページが表示されます。このページでは、接続に関する拡張設定を行います。
Warning
IPsecに関する詳しい知識がない場合は、設定を変更しないでください。
- IKE encryption
- IKE(Internet Key Exchange)でどの暗号化方式をサポートするかを選択します。
- IKE integrity
- パケットの完全性をチェックするためにどのアルゴリズムをサポートするかを選択します。
- IKE group type
- IKEグループ種別を選択します。
- IKE lifetime
- IKEパケットの有効期間を指定します。
- ESP encryption
- ESP(Encapsulating Security Payload)でどの暗号化方式をサポートするかを選択します。
- ESP integrity
- パケットの完全性をチェックするためにどのアルゴリズムをサポートするかを選択します。
- ESP group type
- ESPグループ種別を選択します。
- ESP key lifetime
- ESP鍵の有効期間を指定します。
- IKE aggressive mode allowed
- IKEアグレッシブ モードを有効にしたい場合にクリックします。 このオプションは 使用しない ことをお勧めします。
- Perfect Forward Secrecy
- Perfect Forward Secrecyを有効にしたい場合にクリックします。
- Negotiate payload compression
- ペイロード圧縮を使用したい場合にクリックします。
最後に[保存]ボタンをクリックして設定を保存します。
IPsecのメインページに戻ると、[認証局]セクション内に新しい証明書の作成と、既存のCA証明書をアップロードすることができます。新しい証明書をアップロードするには、[CA名]フィールドに入力する必要があります。証明書ファイルを選択してから、[CA証明書のアップロード]ボタンをクリックします。新しいルート証明書とホスト証明書を作成するには、[ルート/ホスト証明書の作成]ボタンをクリックします。必要な情報を入力するためのページが表示されます。既に証明書を作成済みで、新しい証明書を作成し直したい場合は[リセット]ボタンをクリックします。この操作は、その証明書だけでなく、その証明書に関連した接続も消去されます。
新しいルート証明書とホスト証明書を作成するにはいくつかの情報を入力する必要があります。以下の項目があります。
- 組織名
- 証明書で使用したい組織名を入力します。たとえば、VPNを特定の地域内にある学校間で利用するような場合であれば、その地域名を指定することができます。
- Endian Firewall ホスト名
- 証明書を識別するために使用されます。 ホスト名の完全修飾ドメイン名(FQDN)か、REDインターフェイスのIPアドレスを指定します。
- あなたのメールアドレス
- メールアドレスを入力します。
- 部署名
- 部署名を入力します。
- 市区町村
- 市町村名を入力します。
- 都道府県
- 都道府県名を入力します。
- 国
- 国名を入力します。
- Subject alt name
- 識別するためのホスト名の別名を入力します。
[ルート/ホスト証明書の作成]ボタンをクリックすると、証明書が作成されます。
既に別の場所で証明書を作成済みの場合は、新しい証明書を作成する代わりに、ページ下部にあるセクションでPKCS12ファイルをアップロードすることもできます。
- PKCS12ファイルのアップロード
- ファイル選択ダイアログでPKCS12ファイルを選択します。
- PKCS12ファイルのパスワード
- ファイルがパスワードで保護されている場合には、パスワードを入力します。
[PKCS12ファイルのアップロード]ボタンをクリックしてファイルをアップロードします。
CAを使用したIPsecによるネットワーク間VPN
ファイアウォールAとBの2つのファイアウォールがあり、ファイアウォールAがCAだと仮定します。ファイアウォール A(RED IP: 123.123.123.123, GREEN IP: 192.168.15.1/24)、ファイアウォール B(RED IP: 124.124.124.124, GREEN IP: 192.168.16.1/24)を組み合わせる場合です。
ファイアウォールAで以下の手順で設置します。
- [VPN]画面でIPsecを有効化し、[ローカルVPNホスト名/IP]に 123.123.123.123 を指定します
。
- (まだ証明書が作成されていない場合は)[ルート/ホスト証明書の作成]ボタンを
クリックし、
フォームに入力します。
- ホスト証明書をダウンロードし、fw_a_cert.pemとして保存します。
- [接続状況とコントロール]セクションの[追加]ボタンを
クリックします。
- 「ネット間VPN」を選択します。
- [リモートホスト/IP]に 124.124.124.124 と入力し、
[ローカル側サブネット]に 192.168.15.0/24 を、[リモート側サブネット]に 192.168.16.0/24 を
入力します。
- [認証]セクションで[証明書の生成]を選択してフォームに入力します。
パスワードを忘れずに入力してください。
- 保存したら、PKCS12ファイルをダウンロードして fw_a.p12 として保存します
。
ファイアウォールBでは以下の手順で設定します。
- [VPN]画面でIPsecを有効化し、[ローカルVPNホスト名/IP]に 124.124.124.124 を指定します
。
- (まだ証明書が作成されていない場合は)[ルート/ホスト証明書の作成]ボタンを
クリックし、フォームに入力します
(既に作成されている場合は以前の証明書をリセットする必要があります)。
- 最初のセクションでは何も入力しません。代わりに、ファイアウォールAで設定したパスワードを入力して
fw_a.p12 ファイルをアップロードします。[接続状況とコントロール]セクションの[追加]ボタンをクリックします。
- 「ネット間VPN」を選択します。
- [リモートホスト/IP]に 123.123.123.123 と入力し、
[ローカル側サブネット]に 192.168.16.0/24 を、[リモート側サブネット]に 192.168.15.0/24 を
入力します。
- [証明書のアップロード]を選択し、ファイアウォールAで作成した fw_a_cert.pem をアップロードします
。