LinuxディストリビューションにおけるVPNCクライアントのスプリット トンネリング

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

Split Tunneling for VPNC Client on Linux Distributions

https://live.paloaltonetworks.com/t5/Configuration-Articles/Split-Tunneling-for-VPNC-Client-on-Linux...

 

 

概要

VPNCはオープンソースのサードパーティ IPsec VPNクライアントで拡張認証 (X-Auth) をサポートしており、組織内部ののネットワークへのアクセス用としてGlobalProtectゲートウェイへのVPNトンネルを確立します。PAN-OS 5.0.xから、以下のVPNクライアントがGlobalProtectのVPNアクセスのサポート対象となっています(訳注)。

  • Ubuntu Linux 10.04 LTS VPNC
  • CentOS 6 VPNC

この文書は、VPNCクライアントがGlobalProtectゲートウェイに接続される際、どのようにスプリット トンネリングが動作するのかを説明します。

 

詳細

  • VPNCクライアントから接続することができるネットワークを定義するために、あるいはVPN接続上で送られるトラフィックのため、(スプリット トンネリングとしても知られている) アクセス ルートを、GlobalProtectゲートウェイのクライアントの設定(訳注1:PAN-OS 7.1以降では[エージェント] > [クライアントの設定])に追加する必要があります。参照: GlobalProtect Configuration Tech Note
  • アクセス ルートがGlobalProtectゲートウェイに設定されている時、すべてのアクセス ルートの内の1つの集約ルートが、VPNCクライアントに送られます。DNSサーバーのアドレスが含まれている場合、ルートを集約する際にはそれも考慮に入れなければなりません。

 

例:

アクセス ルートが 10.66.22.0/23 と 192.168.87.0/24 のネットワークを含む場合、サードパーティのVPNCクライアントに送られる集約ルートは、デフォルト ルート 0.0.0.0/0 で、以下のように表示されます。

> show global-protect-gateway gateway name test_vpnc

 

GlobalProtect Gateway: test_vpnc (0 users)

Tunnel Type          : remote user tunnel

Tunnel Name          : test_vpnc-N

        Tunnel ID                 : 7

        Tunnel Interface          : tunnel.1

        Encap Interface           : ethernet1/3

        Inheritance From          :

        Local Address             : 10.66.24.87

        SSL Server Port           : 443

        IPSec Encap               : yes

        Tunnel Negotiation        : ssl,ike

        HTTP Redirect             : no

        UDP Port                  : 4501

        Max Users                 : 0

        IP Pool Ranges            : 172.16.7.1 - 172.16.7.7;

        IP Pool index             : 0

        Next IP                   : 0.0.0.0

        DNS Servers               : 4.2.2.2

                                  : 0.0.0.0

        WINS Servers              : 0.0.0.0

                                  : 0.0.0.0

        Access Routes             : 10.66.22.0/23; 192.168.87.0/24;

        Access Route For Third Party Client: 0.0.0.0/0

        VSYS                      : vsys1 (id 1)

        SSL Server Cert           : SERVER_CERT

        Auth Profile              : vpnc_auth

        Client Cert Profile       :

        Lifetime                  : 2592000 seconds

        Idle Timeout              : 10800 seconds

 

アクセス ルートが 10.66.22.0/23 と 10.66.12.0/23 のネットワークを含む場合、サードパーティのVPNCクライアントに送られる集約ルートは 10.66.0.0/19 で、以下のように表示されます。

> show global-protect-gateway gateway name test_vpnc

 

GlobalProtect Gateway: test_vpnc (0 users)

Tunnel Type          : remote user tunnel

Tunnel Name          : test_vpnc-N

        Tunnel ID                 : 7

        Tunnel Interface          : tunnel.1

        Encap Interface           : ethernet1/3

        Inheritance From          :

        Local Address             : 10.66.24.87

        SSL Server Port           : 443

        IPSec Encap               : yes

        Tunnel Negotiation        : ssl,ike

        HTTP Redirect             : no

        UDP Port                  : 4501

        Max Users                 : 0

        IP Pool Ranges            : 172.16.7.1 - 172.16.7.7;

        IP Pool index             : 0

        Next IP                   : 0.0.0.0

        DNS Servers               : 10.66.22.77

                                  : 0.0.0.0

        WINS Servers              : 0.0.0.0

                                  : 0.0.0.0

        Access Routes             : 10.66.22.0/23; 10.66.12.0/23;

        Access Route For Third Party Client: 10.66.0.0/19

        VSYS                      : vsys1 (id 1)

        SSL Server Cert           : SERVER_CERT

        Auth Profile              : vpnc_auth

        Client Cert Profile       :

        Lifetime                  : 2592000 seconds

        Idle Timeout              : 10800 seconds

 

注:VPNCクライアントに送られる集約ルートが、デフォルト ルート (0.0.0.0/0) である場合、VPNCクライアントは以下に表示されているように、スプリット トンネリングの設定をする必要があります。

 

VPNCクライアントを開き、[ IPv4設定] > [ ルート ] ボタンをクリックします。

IPv4_1.png

 

必要なアクセス ルートを追加し、「そのネットワーク上のリソースのためにのみこの接続を使用」のチェックボックスにチェックが入っていることを確認します。

IPv4.png

GlobalProtectによって送られた集約ルートは 0.0.0.0/0 ですが、接続は以下に表示されているように、10.66.22.0/23 ネットワークに対してのみ許可されます。

Linux ホストのターミナルからの出力結果:

tun0   Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00

       inet addr:172.16.7.1 P-t-P:172.16.7.1 ask:255.255.255.255

       UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1412 Metric:1

       RX packets:0 errors:0 dropped:0 overruns:0 frame:0

       TX packets:0 errors:0 dropped:0 overruns:0 carrier:0

       collisions:0 txqueue1en:500

       RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

VPNCクライアントに送られた集約ルートは 0.0.0.0/0 でしたが、192.168.87.0/24 のためのアクセス ルートは追加されませんでした。

tobby@VirtualBox:~$ ping 192.168.87.1

PING 192.168.87.1 (192.168.87.1) 56(84) bytes of data.

 

--- 192.168.87.1 ping statistics ---

3 packets transmitted, 0 received, 100% packet loss, time 2014ms

 

VPNCクライアントで、10.66.22.0/23 のために追加されたアクセス ルート

tobby@VirtualBox:~$ ping 10.66.22.87

PING 16.66.22.87 (16.66.22.87) 56(84) bytes of data.

64 bytes from 10.66.22.87: icmp_req=1 ttl=61 time=6.87 ms

64 bytes from 10.66.22.87: icmp_req=2 ttl=61 time=2.02 ms

 

--- 16.66.22.87 ping statistics ---

2 packets transmitted, 2 received, 0% packet loss, time 1001ms

rtt min/avg/max/mdev = 2.021/4.450/6.879/2.429 ms

 

訳注:原文執筆時点の情報です。最新版の GlobalProtect(TM) Administrator's Guideご参照の上、都度現在のサポートバージョンをご確認ください。

 

著者:gchandrasekaran