W0 を X0(LAN)とのL2ブリッジで構成したときにサイト間VPNのリモートネットワークと通信できません。
Description
W0 を X0(LAN)とのL2ブリッジで構成したときにサイト間VPNのリモートネットワークと通信できません。
Resolution
対象製品およびファームウェア
製品: TZ100W, TZ105W, TZ205W, TZ215W
ファームウェア: 全バージョン
サービス: VPN、無線LAN
タイトル:
W0 を X0(LAN)とのL2ブリッジで構成したときにサイト間VPNのリモートネットワークと通信できません。
概要:
W0(無線LAN)インターフェースをX0とのブリッジで構成した場合、W0 IPサブネットはX0のIPサブネットと同じサブネットで構成されます。
一方サイト間VPNの設定を行う場合、VPN プロファイルに、ローカルネットワークとリモートネットワークを指定します。この場合ローカルネットワークとしてX0のIPサブネット(もしくは LAN Subnets、あるいは Firewalled Subnets) を指定したとします。X0のIPサブネットとW0のIPサブネットは同じになりますので、W0に接続した無線LANクライアントもVPNのリモートネットワークと通信できるように思われますが、実際には通信が行えません。
理由は、一番目にX0がLANゾーンであるのに対して、W0はWLANゾーンであること、2番目にVPN プロファイルを作成する場合、VPN<->LANのアクセスルールを自動追加しますが、VPN<>WLANのアクセスルールは自動的に作成されないためです。
問題の詳細および対策:
W0をX0へのブリッジとして構成し、ローカルネットワーク:LAN Subnets、リモートネットワーク: 10.10.10.0 のVPNプロファイルを作成した場合、LAN > VPNのアクセスルールは以下の通りです。
LAN > VPNのアクセスルール: #1のルールがVPNプロファイル作成時自動的に作成されます。
とのL2ブリッジで構成したときにサイト間VPNのリモートネットワークと通信できません。-kA1VN0000000CR40AM-0EMVN00000EnjD0.png)
また、VPN > LANのアクセスルールは以下の通りです。
VPN > LANのアクセスルール:#3のルールがVPNプロファイル作成時自動的に作成されます。
とのL2ブリッジで構成したときにサイト間VPNのリモートネットワークと通信できません。-kA1VN0000000CR40AM-0EMVN00000EnjCa.png)
しかし、WLAN>VPNのアクセスルールは以下の通りです。
WLAN>VPN のアクセスルール: W0 サブネット(LAN Subnets)からリモートネットワーク(10.10.10.0)への許可ルールがありません。
とのL2ブリッジで構成したときにサイト間VPNのリモートネットワークと通信できません。-kA1VN0000000CR40AM-0EMVN00000EnjCb.png)
従って手動でこのルールを作成します。
送信元ゾーン:WLAN
送信先ゾーン: VPN
サービス:すべて
送信元: W0サブネット
送信先: VPNプロファイルのリモートネットワークで指定したアドレスオブジェクトを指定します。
その他はデフォルトにしてください。
送信元ゾーン:WLAN
送信先ゾーン: VPN
サービス:すべて
送信元: W0サブネット
送信先: VPNプロファイルのリモートネットワークで指定したアドレスオブジェクトを指定します。
その他はデフォルトにしてください。
とのL2ブリッジで構成したときにサイト間VPNのリモートネットワークと通信できません。-kA1VN0000000CR40AM-0EMVN00000EnjD4.png)
WLAN>VPN のアクセスルール: W0 サブネット(LAN Subnets)からリモートネットワーク(10.10.10.0)への許可ルールを追加しました。
とのL2ブリッジで構成したときにサイト間VPNのリモートネットワークと通信できません。-kA1VN0000000CR40AM-0EMVN00000EnjDB.png)
さらに、VPN>WLANのアクセスルールは以下の通りです。
VPN>WLANのアクセスルール: リモートネットワーク(10.10.10.0)からW0 サブネット(LAN Subnetsと同じネットワーク)への許可ルールがありません。
とのL2ブリッジで構成したときにサイト間VPNのリモートネットワークと通信できません。-kA1VN0000000CR40AM-0EMVN00000EnjCj.png)
手動でこのルールを作成します。
送信元ゾーン:VPN
送信先ゾーン: WLAN
サービス:すべて
送信元: VPNプロファイルのリモートネットワークで指定したアドレスオブジェクトを指定します。
送信先: W0サブネット
その他はデフォルトにしてください。
送信元ゾーン:VPN
送信先ゾーン: WLAN
サービス:すべて
送信元: VPNプロファイルのリモートネットワークで指定したアドレスオブジェクトを指定します。
送信先: W0サブネット
その他はデフォルトにしてください。
とのL2ブリッジで構成したときにサイト間VPNのリモートネットワークと通信できません。-kA1VN0000000CR40AM-0EMVN00000EnjD6.png)
VPN >WLANのアクセスルール: リモートネットワーク(10.10.10.0)からW0 サブネット(LAN Subnets)への許可ルールを追加しました。
とのL2ブリッジで構成したときにサイト間VPNのリモートネットワークと通信できません。-kA1VN0000000CR40AM-0EMVN00000EnjD2.png)
Related Articles
not finding your answers?
