サイト間VPNは、主に遠隔地にある多数の拠点間を接続する必要のある企業で使用されます。ホームユーザーである場合、高速で安全、かつ設定不要のワンクリックリモートアクセスソリューションとなる「Teleport VPN」を強く推奨します。
Teleportやその他のVPNオプションの詳細については、UniFi VPNの概要をご覧ください。
セットアップ
UniFi Gatewayは、2つのサイト間VPNプロトコルをサポートしています。IPsec と OpenVPN です。選択したプロトコルによって、サイト間接続に使用するすべてのゲートウェイで、以下の設定が同じであることを確認する必要があります。
接続の互換性とパフォーマンスを最大化するために、すべての拠点でUniFi Gatewayを使用することをお勧めします。さらに、他社製ゲートウェイの中には、UniFi Networkアプリケーションでは利用できないように設定できるものもあります。このようなタイプ設定に対するトラブルシューティングは、Ubiquitiサポートの対象外となりますが、詳細については他社製装置に関する考慮事項:サイト間VPNをご参考ください。
IPsec
- 事前共有キー:VPN接続の認証に使用されます。
- UniFi Gateway IP:UniFi GatewayのパブリックIPアドレスです。
- 共有リモートサブネット:リモートゲートウェイが共有するネットワークの一覧です。UniFi Gatewayは、すべてのローカルネットワークを共有します。サイトのローカルサブネット内で重複がないことを確認する必要があります。
- リモートIP:リモートゲートウェイのWAN IPアドレスです。
追加備考:
- また、すべてのゲートウェイで一致させるべき 詳細(Advanced) 設定もあります。VPNセキュリティに精通していない限り、デフォルトの設定を使用することをお勧めします。
- UniFi Gatewayは、VPNを介してトラフィックを誘導するために必要な静的ルートを自動的に作成します。この目的のために新たに作成しないでください。
OpenVPN
OpenVPNサイト間VPNでは、認証に512文字の 事前共有キ ーを使用します。キーは両方のゲートウェイで同じものにして、改行は含めないでください。 このキーは自分で作成するか、UniFi Gatewayで生成することができます。作成方法:
- SSHでUniFi Gatewayに入ります。
- 次のコマンドでキーを生成します:openvpn –genkey secret /tmp/ovpn
- これで、次のコマンドを実行して、キーを表示/コピーできるようになります:cat /tmp/ovpn
- 注記:キーをコピーする際には、必ず改行を削除してください。
注記:USGでは generate vpn openvpn-key /tmp/ovpn を使用してキーを生成し、cat /tmp/ovpn でキーを表示/コピーします。
また、以下の情報が必要になります:
- ローカルトンネルのIPアドレス:ローカル「トンネル」で使用するIPです。リモートゲートウェイに送信されるトラフィックは、このIPアドレスを介してルーティングされます。このアドレスは、ローカルサイトとリモートサイトで利用可能である必要があります。 両方のゲートウェイで未使用のサブネットからプライベートIPを選択することを推奨します。
- ローカルポート:デフォルトでは、UDPポート1194がOvenVPNに使用されます。 このポートは、他のサービスや他のOpenVPN接続で使用しないでください。複数のOpenVPNトンネルを使用する場合は、各トンネルにポートを割り当てる必要があります。ローカルポートとリモートポートが同じである必要はありません。
- 共有リモートサブネット:リモートゲートウェイが共有するネットワークの一覧です。UniFi Gatewayは、すべてのローカルネットワークを共有します。サイトのローカルサブネット内で重複がないことを確認する必要があります。
- リモートIPアドレス:リモートゲートウェイのWAN IPアドレスです。
- リモートローカルトンネルのIPアドレス:リモートゲートウェイのトンネルのIPアドレスです。ゲートウェイのWAN IPは入力しないでください。
- リモートポート:リモートゲートウェイのOpenVPNポートです。ローカルポートとリモートポートが同じである必要はありません。
注記:UniFi Gatewayは、VPNを介してトラフィックを誘導するために必要な静的ルートを自動的に作成します。この目的のために新たに作成しないでください。
トラブルシューティング
サイト間でVPNトンネルを確立できない場合や、接続が定期的に切断される場合は、少なくとも1つのサイトのVPNまたはネットワーク構成に誤りがある可能性があります。以下のよくある間違いを参考にしてください。
UniFi GatewayにパブリックIPアドレスがない(Double NAT)
これは通常、UniFi Gatewayがネットワークアドレス変換(NAT:Network Address Translation)を使用する他のルーター/モデムの背後に配置されている場合に発生します。使用しているUniFi GatewayのWAN IPアドレスが以下のレンジ内にある場合、影響を受ける可能性があります。
- 10.0.0.0/8 (10.0.0.0 - 10.255.255.255)
- 172.16.0.0/12 (172.16.0.0 - 172.31.255.255)
- 192.168.0.0/16 (192.168.0.0 - 192.168.255.255)
- 100.64.0.0/10 (100.64.0.0 - 100.127.255.255)
この問題を解決するには、アップストリームのルーターをブリッジ(Bridge)モードに設定します。設定できない場合は、アップストリームルーター/モデムからの必要なポートをUniFi Gatewayに転送してみてください。IPsecがUDPポート500および4500を使用している。 デフォルトでは、OpenVPNはUDPポート1194 を使用しますが、この設定は変更できます。この方法は、アップストリームルーターにパブリックIPアドレスがない場合は動作しないので注意が必要です。
動作しない場合は、ISPに問い合わせることをお勧めします。100.64.0.0/10サブネット範囲内にあるIPアドレスは、VPN接続を確立するにあたり常にISPのサポートが必要になります。
必要なポートがアップストリームデバイスによってブロックされているか、UniFi Gatewayがローカルネットワーク上の別のデバイスに転送している
他社製ルーター、ファイアウォール、ISPモデムが、サイト間VPNをサポートするゲートウェイに必要なポートをブロックしていないか確認してください。IPsecがUDPポート500および4500を使用している。 デフォルトでは、OpenVPNはUDPポート1194を使用しますが、この設定は変更できます。1つのゲートウェイのポートを再構成した場合、他のすべてのサイト間VPNゲートウェイでも同じポートを再構成する必要があります。
トラフィックがブロックされていないことが確認できたら、UniFi Gatewayがこれらのポートをローカルネットワーク上の別のデバイスに転送していないことを確認してください。UniFi Networkアプリケーションの ファイアウォール&セキュリティ(Firewall & Security) セクションから、既存のポート転送ルールを削除することができます。
ゲートウェイ設定の不一致による認証の失敗
サイト間VPNをサポートするすべてのゲートウェイで、同じ設定を維持する必要があり、これには 詳細(Advanced) 設定も含まれます。同じ設定にしなかった場合、VPN接続を確立したり、長時間接続を維持することができなくなります。
接続の互換性とパフォーマンスを最大化するために、すべての拠点でUniFi Gatewayを使用することをお勧めします。これは、他社製ゲートウェイの中には、UniFi Networkアプリケーションでは利用できず、バックグラウンドで自動的に設定される設定を行うことができるものがあるからです。これらの設定に不一致があっても、接続が失敗することがあります。このようなタイプ設定に対するトラブルシューティングは、Ubiquitiサポートの対象外となりますが、詳細については「他社製装置に関する考慮事項:サイト間VPN」 をご参考ください。
また、UniFi Gatewayは、すべてのローカルネットワークを共有するように設定されています。これらのゲートウェイが、ペアとなるゲートウェイの 共有リモートサブネット(Shared Remote Subnets) リスト内で設定されていることを確認してください。
クライアントがVPN経由でルーティングしているが、トラフィックが禁止されている
この場合、クライアントはVPNに接続できますが、ローカルネットワーク上の他のデバイスと通信できていません。
この問題を解決するには、VPNクライアントがローカルネットワークと通信することを妨げるトラフィックあるいはファイアウォールのルールがないか確認してください。他にも、ローカルネットワーク上の個々のクライアントが、ローカルファイアウォールで着信トラフィックをドロップしている可能性もあります。例えばWindowsファイアウォールは、デフォルトですべてのICMPv4(ping)トラフィックをドロップします。
Pingを使用してテストする場合は、このトラフィックがWindowsファイアウォールを通過できるようにする必要があります。詳細についてはMicrosoftのサポートページを参照してください。
サイトのIP範囲が重複している
IPが重複していると、VPNが確立できなくなることがあります。VPNトンネルが確立されても、VPNを介した適切な通信ができない場合があります。これは、クライアントが常に、VPNの反対側のIPアドレスではなく、ローカルネットワーク接続のIPアドレスを優先させるためです。重複を防ぐには、各ゲートウェイのローカルネットワークを確認し、必要であればIPアドレスの範囲を調整する必要があります。例えば、あるゲートウェイのローカルネットワークが192.168.0.0/24に設定されている場合、そのIPアドレスは192.168.0.1~192.168.0.255の範囲となります。リモートゲートウェイでは、この範囲内になるアドレスを使用するべきではありません。
IPの範囲が重複すると、VPNを介した適切な通信ができなくなったり、接続が完全に確立されなくなったりすることがあります。VPNが確立されたと仮定して、
クライアントにスプリットトンネリングがある
これにより、ネットワーク自体に接続されているにもかかわらず、クライアントが一部VPN接続されたデバイスと通信できなくなります。この問題を解決するには、VPNを介してすべてのトラフィックをルーティングすることを推奨します。
- Windowsクライアントの場合は、TCP/IPの詳細設定でリモートネットワークでデフォルトゲートウェイを使用する を有効にします。
- Macクライアントの場合は、VPNネットワーク設定で VPN接続を介してすべてのトラフィックを送信する を有効にします。
それぞれのOSに特化したガイダンスについては、デバイスの製造元にお問い合わせください。