LinuxディストリビューションにおけるVPNCクライアントのスプリット トンネリング

告知

Changes to the LIVEcommunity experience are coming soon... Here's what you need to know.

Printer Friendly Page
この記事は役に立ちましたか? はい いいえ
評価なし

※この記事は以下の記事の日本語訳です。

Split Tunneling for VPNC Client on Linux Distributions

https://live.paloaltonetworks.com/t5/Configuration-Articles/Split-Tunneling-for-VPNC-Client-on-Linux...

 

 

概要

VPNCはオープンソースのサードパーティ IPsec VPNクライアントで拡張認証 (X-Auth) をサポートしており、組織内部ののネットワークへのアクセス用としてGlobalProtectゲートウェイへのVPNトンネルを確立します。PAN-OS 5.0.xから、以下のVPNクライアントがGlobalProtectのVPNアクセスのサポート対象となっています(訳注)。

  • Ubuntu Linux 10.04 LTS VPNC
  • CentOS 6 VPNC

この文書は、VPNCクライアントがGlobalProtectゲートウェイに接続される際、どのようにスプリット トンネリングが動作するのかを説明します。

 

詳細

  • VPNCクライアントから接続することができるネットワークを定義するために、あるいはVPN接続上で送られるトラフィックのため、(スプリット トンネリングとしても知られている) アクセス ルートを、GlobalProtectゲートウェイのクライアントの設定(訳注1:PAN-OS 7.1以降では[エージェント] > [クライアントの設定])に追加する必要があります。参照: GlobalProtect Configuration Tech Note
  • アクセス ルートがGlobalProtectゲートウェイに設定されている時、すべてのアクセス ルートの内の1つの集約ルートが、VPNCクライアントに送られます。DNSサーバーのアドレスが含まれている場合、ルートを集約する際にはそれも考慮に入れなければなりません。

 

例:

アクセス ルートが 10.66.22.0/23 と 192.168.87.0/24 のネットワークを含む場合、サードパーティのVPNCクライアントに送られる集約ルートは、デフォルト ルート 0.0.0.0/0 で、以下のように表示されます。

> show global-protect-gateway gateway name test_vpnc

 

GlobalProtect Gateway: test_vpnc (0 users)

Tunnel Type          : remote user tunnel

Tunnel Name          : test_vpnc-N

        Tunnel ID                 : 7

        Tunnel Interface          : tunnel.1

        Encap Interface           : ethernet1/3

        Inheritance From          :

        Local Address             : 10.66.24.87

        SSL Server Port           : 443

        IPSec Encap               : yes

        Tunnel Negotiation        : ssl,ike

        HTTP Redirect             : no

        UDP Port                  : 4501

        Max Users                 : 0

        IP Pool Ranges            : 172.16.7.1 - 172.16.7.7;

        IP Pool index             : 0

        Next IP                   : 0.0.0.0

        DNS Servers               : 4.2.2.2

                                  : 0.0.0.0

        WINS Servers              : 0.0.0.0

                                  : 0.0.0.0

        Access Routes             : 10.66.22.0/23; 192.168.87.0/24;

        Access Route For Third Party Client: 0.0.0.0/0

        VSYS                      : vsys1 (id 1)

        SSL Server Cert           : SERVER_CERT

        Auth Profile              : vpnc_auth

        Client Cert Profile       :

        Lifetime                  : 2592000 seconds

        Idle Timeout              : 10800 seconds

 

アクセス ルートが 10.66.22.0/23 と 10.66.12.0/23 のネットワークを含む場合、サードパーティのVPNCクライアントに送られる集約ルートは 10.66.0.0/19 で、以下のように表示されます。

> show global-protect-gateway gateway name test_vpnc

 

GlobalProtect Gateway: test_vpnc (0 users)

Tunnel Type          : remote user tunnel

Tunnel Name          : test_vpnc-N

        Tunnel ID                 : 7

        Tunnel Interface          : tunnel.1

        Encap Interface           : ethernet1/3

        Inheritance From          :

        Local Address             : 10.66.24.87

        SSL Server Port           : 443

        IPSec Encap               : yes

        Tunnel Negotiation        : ssl,ike

        HTTP Redirect             : no

        UDP Port                  : 4501

        Max Users                 : 0

        IP Pool Ranges            : 172.16.7.1 - 172.16.7.7;

        IP Pool index             : 0

        Next IP                   : 0.0.0.0

        DNS Servers               : 10.66.22.77

                                  : 0.0.0.0

        WINS Servers              : 0.0.0.0

                                  : 0.0.0.0

        Access Routes             : 10.66.22.0/23; 10.66.12.0/23;

        Access Route For Third Party Client: 10.66.0.0/19

        VSYS                      : vsys1 (id 1)

        SSL Server Cert           : SERVER_CERT

        Auth Profile              : vpnc_auth

        Client Cert Profile       :

        Lifetime                  : 2592000 seconds

        Idle Timeout              : 10800 seconds

 

注:VPNCクライアントに送られる集約ルートが、デフォルト ルート (0.0.0.0/0) である場合、VPNCクライアントは以下に表示されているように、スプリット トンネリングの設定をする必要があります。

 

VPNCクライアントを開き、[ IPv4設定] > [ ルート ] ボタンをクリックします。

IPv4_1.png

 

必要なアクセス ルートを追加し、「そのネットワーク上のリソースのためにのみこの接続を使用」のチェックボックスにチェックが入っていることを確認します。

IPv4.png

GlobalProtectによって送られた集約ルートは 0.0.0.0/0 ですが、接続は以下に表示されているように、10.66.22.0/23 ネットワークに対してのみ許可されます。

Linux ホストのターミナルからの出力結果:

tun0   Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00

       inet addr:172.16.7.1 P-t-P:172.16.7.1 ask:255.255.255.255

       UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1412 Metric:1

       RX packets:0 errors:0 dropped:0 overruns:0 frame:0

       TX packets:0 errors:0 dropped:0 overruns:0 carrier:0

       collisions:0 txqueue1en:500

       RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

VPNCクライアントに送られた集約ルートは 0.0.0.0/0 でしたが、192.168.87.0/24 のためのアクセス ルートは追加されませんでした。

tobby@VirtualBox:~$ ping 192.168.87.1

PING 192.168.87.1 (192.168.87.1) 56(84) bytes of data.

 

--- 192.168.87.1 ping statistics ---

3 packets transmitted, 0 received, 100% packet loss, time 2014ms

 

VPNCクライアントで、10.66.22.0/23 のために追加されたアクセス ルート

tobby@VirtualBox:~$ ping 10.66.22.87

PING 16.66.22.87 (16.66.22.87) 56(84) bytes of data.

64 bytes from 10.66.22.87: icmp_req=1 ttl=61 time=6.87 ms

64 bytes from 10.66.22.87: icmp_req=2 ttl=61 time=2.02 ms

 

--- 16.66.22.87 ping statistics ---

2 packets transmitted, 2 received, 0% packet loss, time 1001ms

rtt min/avg/max/mdev = 2.021/4.450/6.879/2.429 ms

 

訳注:原文執筆時点の情報です。最新版の GlobalProtect(TM) Administrator's Guideご参照の上、都度現在のサポートバージョンをご確認ください。

 

著者:gchandrasekaran

Register or Sign-in
バージョン履歴
最終更新:
‎04-27-2020 07:13 PM
更新者: