サイト間VPNの設定
概要
ここでは、UniFi Security GatewayモデルおよびUniFi Dream Machineモデルでサイト間VPNを構成する方法について解説します。
サイト間VPNは、2つのファイアウォール間に安全な接続を確立し、その背後にある内部ネットワークを相互に接続します。
自動IPsec VTI
同じUniFi Network Controller内の別々のサイトで管理されるUSGを使用して、サイト間VPNを作成します。
UniFi Network Controllerの[設定] > [ネットワーク] > [新しいネットワークを作成]し、[目的]を[サイト間VPN]、[VPNタイプ]を[自動IPsec VTI]、[リモートサイト]で対向するサイト名を選択し[保存]します。
この際、以下の設定が自動で構成され、USGにプロビジョニングされます。
- VPNトンネルの両側でピアIPを設定し、WAN側のIPアドレスと一致させます。
- 各サイトのリモートネットワークを追加します。
-
VPNに使用する各USGのVTI (Virtual Tunnnel Interface) インターフェイスをプロビジョニングします。
なお、自動VPN VTIインターフェイスはvti0で始まり、vti1, vti2...のように連番されます。
自動VPNが追加されると、WAN側のIPアドレスの変更を動的に追跡します。 - 2つのUSG間に、ランダムに生成された強力な事前共有鍵をプロビジョニングします。
注意:このVPNタイプは、一方または両方のUSGがNATルーターの背後にある場合は機能しません。
つまり、両方のUSGにはインターネットルーティングアドレス (RFC1918以外のグローバルIPアドレス) が必要です。
注意:UniFi Network Controllerのver5.8では、ハブアンドスポークトポロジーのみがサポートされています。
メッシュトポロジーは設定できません。
手動IPsec
VPN接続する各USGまたはUDMにおいて、UniFi Network Controllerの[設定] > [ネットワーク] > [新しいネットワークを作成]し、[目的]を[サイト間VPN]、[VPNタイプ]を[手動IPsec]、[このサイト間VPNを有効化]します。
次に、下記のパラメタを設定し[保存]します。
- [リモートサブネット]:設定中のサイトから見てリモート側のローカルネットワークサブネットを入力します。
- [ルート距離]:デフォルトの"30"のままとします。
- [ピアIP]:リモート側ゲートウェイのパブリックIPアドレスを入力します。
-
[ローカルWAN IP]:設定中のサイト側のUSG/UDMのパブリックIPアドレスを入力します。
USG/UDMがNATの背後にある場合は、WANインターフェイスにあるアドレスを入力します。 -
[事前共有キー]:各VPNエンドポイントにおける事前共有鍵の文字列を入力します。
対向するUSG/UDMで同じ文字列を設定してください。 -
[IPsecプロファイル]
- [カスタマイズ済み]:上記で設定したパラメタを使用します。
- [Azureダイナミックルーティング]:VTIを使用してMicrosoft Azureインスタンスに接続するためのパラメータを使用します。
- [Azureスタティックルーティング]:VTIのないポリシーベースのIPsecを使用してMicrosoft Azureインスタンスに接続するためのパラメータを使用します。
-
[高度なオプション]
- [キー交換バージョン]:"IKEv1"または"IKEv2"を選択します。
-
[暗号化]:"AES-128", "AES-256", または"3DES"を選択します。
注意:より複雑なアルゴリズムを使用する方が安全ですが、CPUオーバーヘッドの増加というコストが伴います。
たとえば、AES-256はAES-128よりも多くのCPUリソースを使用します。
AES-128は、ほとんどのユースケースで推奨される暗号化方式です。 - [ハッシュ]:"SHA1"または"MD5"を選択します。
- [DH (Diffie-Hellman) グループ]:"2", "5", "14", "15", "16", "19", "20", "21", "25", "26"を選択します。
- [PFS (Perfect Forward Secrecy)]:有効化した場合、フェーズ2のDHグループはDHグループで選択されているのと同じグループにハードコードされます。
-
[ダイナミックルーティング]:VTIの使用を有効または無効にします。
これは、VPN構成がポリシーベース (オフ) またはルートベース (オン) のいずれかであることを指定します。
注意:手動VPN VTIインターフェイスはvti64で始まり、手動VPNが追加されるとvti65, vti66...のように連番で増えていきます。
VPN利用時のFWルール
自動および動的ルーティングが有効なIPsec-VPNを通過するトラフィックをブロックするファイアウォールのルールは、[設定] > [ルーティングとファイアウォール] > [ファイアウォール]> [LAN_IN]で作成する必要があります。
送信元フィールドには、構成しているUSGからのリモートネットワークサブネットまたはIPアドレスを指定し、宛先フィールドには、トラフィックをブロックするローカルネットワークサブネットまたはIPアドレスを指定する必要があります。