最高の状態で利用できるように、すべてのサイトでUniFi Gatewayを使用することを推奨します。UniFiのサイト間VPNは、互いと最適な互換性を持つように設計されています。他社製ゲートウェイの中には、UniFi Networkアプリケーションでは自動的に設定されるため、利用できなくなっている設定を構成できるものもあります。機能するためには、これらの設定がサイト間VPNと一致する必要があります。

本記事では、他社製ゲートウェイで相互運用する際の考慮事項について説明します。デバイスに特有のサポートが必要な場合は、他社製造元にお問い合わせください。

ルートベースのVPNとポリシーベースのVPNの比較

ルートベースのVPNは、各ゲートウェイの 仮想トンネルインターフェイス（VTI） 間に単一のVPNトンネルを作成します。ポリシーベースのVPNは、ネットワークの組み合わせごとにトンネルを作成します。

例として、2つのゲートウェイについて見てみましょう。ゲートウェイAには、共有している3つのローカルネットワークがあります。ゲートウェイB には、共有している2つのローカルネットワークがあります。ルートベースVPNは、すべてのネットワークトラフィックをルーティングする単一のトンネルを備えています。ポリシーベースVPNは、共有される個々のネットワーク間に1つずつ、合計6つのトンネルを作成します。

他社製のゲートウェイでこの2つの中から選択できない場合は、ポリシーベースのVPNにしか対応していない可能性があります。

フェーズ1とフェーズ2の暗号設定の比較

暗号化およびハッシュ化の設定は、フェーズ1とフェーズ2で同じです。他社製ゲートウェイの場合、両フェーズで一致する値を設定する必要があります。

IPsec VPNの寿命

フェーズ1の寿命は28,800秒、フェーズ2の寿命は3,600秒です。 他社製ゲートウェイの場合、両方の期間を一致させる必要があります。

IKEv2互換性

UniFi Gatewayは、一部の他社製ゲートウェイでサポートされていないIKEv2プロトコルによる最適化を実装しています。VPNを確立できない場合、またはIKEv2を使用すると切断される場合は、両方のゲートウェイをIKEv1に変更することを推奨します。

完全前方秘匿（PFS）

UniFi Gatewayでは、PFS DHグループをカスタマイズできます。これは、一部の他社製ゲートウェイではサポートされていません。VPN接続が頻繁に切断される場合、両方のゲートウェイでPFSを無効にしてみてください。

NATの背後にあるサイト間VPN

サポートするゲートウェイがNATの背後にある場合、サイト間VPNを確立することはできません。

すべてのローカルネットワークの自動共有

UniFi Gatewayは、サイト間VPN内のすべてのローカルネットワークを自動的に共有します。 各ゲートウェイが、遠隔地にある相手のすべてのローカルネットワークを含むように設定されているか確認してください。

メインモードとアグレッシブモードの比較

UniFi Gatewayはメインモード（Main Mode）のみをサポートします。 他社製ゲートウェイがアグレッシブモード（Aggressive Mode）に設定されている場合、サイト間VPNを確立することはできません。

Dead Peer Detection（DPD）

DPDをすべてのゲートウェイで一致させる必要はありませんが、セットアップや接続で問題が発生する場合は、他社製ゲートウェイでは無効にすることを推奨します。

静的ルート

UniFi Gatewayは、VPN経由でトラフィックを送信するために必要な静的ルートを自動的に追加します。静的ルートを追加しないでください。 通信に障害が発生する可能性があります。

DHグループ番号

DHグループ番号はメーカーにより異なる場合があります。以下のリストを参考にしてください。