QuWAN と Cisco® Meraki® デバイスの間でサイトツーサイト VPN を設定するには?
最終更新日:
2025-02-18
該当製品
- QuWAN Orchestrator
- QuRouter 2.4.0 以降のバージョン
- Cisco® Meraki® デバイス
詳細
本ガイドでは、 QuWAN デバイスと Meraki® MX64 セキュリティアプライアンスの間で、サイトツーサイト VPN 接続を確立させる手順をご説明します。Cisco® のエコシステムにおいては、 サイトツーサイト VPN 機能をもつデバイスが数多く提供されていますが、本チュートリアルでは、Meraki® MX64 を例にとってご説明します。
重要
- QuWAN サイトツーサイト VPN は、IKEv2 のみをサポートします。
- 正しく機能させるためには、いずれのデバイス (QuWAN および Cisco® デバイス) も、同じ VPN 設定を用いる必要があります。
- お使いの QNAP デバイスは、サイトツーサイト VPN の設定を行う前に QuWAN Orchestrator に追加しておく必要があります。デバイスの追加については、QuWAN および QuWAN Orchestrator のヘルプをご参照ください。設定 | QuWAN および QuWAN Orchestrator のヘルプ (qnap.com)
警告
サイトツーサイト VPN の導入は、お客様のネットワークをより複雑にすることになります。これを有効にする前に、セキュリティへの影響についての理解を深めてください。
手順
Cisco® Meraki® デバイスでのサイトツーサイト VPN の設定
- Meraki® MX64 の設定インターフェイスにサインインします。
- [セキュリティ & SD-WAN] > [設定] > [サイトツーサイト VPN] ページに進みます。
- [Meraki 以外の VPN ピア]の下で、[ピアを追加]をクリックし、次の情報を入力します。
- わかりやすい名前を入力します (QuWAN Site-to-Site VPN など)
- IKE バージョンは、IKEv2 を選択します。
- [IPsec ポリシー]の下で[デフォルト]をクリックし、以下を設定します。
設定 ユーザー操作 値の例 フェーズ 1 暗号化 暗号化方式を選択します。 AES-128 認証 ハッシュ機能を選択します。 SHA-256 Pseudo-random Function (PRF) ハッシュ PRF を選択します。 SHA-256 Diffie-Hellman グループ DH グループを指定します。 14 有効期間 接続有効期間を指定します (秒)。 28800 フェーズ 2 暗号化 暗号化方式を選択します。 AES-128 認証 ハッシュ機能を選択します。 SHA-256 PFS グループ PFS グループを指定します。 14 有効期間 (秒) データ転送有効期間を指定します (秒)。 3600 
- リモートゲートウェイに対し、以下の情報を入力します。
- リモート QuWAN デバイスのパブリック IP アドレスまたはホスト名。
- リモートサイトの内部サブネットを指定します。
- 高強度の事前共有キーを入力し、リモートゲートウェイにも同じキーを設定します。
- [保存]をクリックします。
MX64 が設定を適用します。
QuWAN Orchestrator でのサイトツーサイト VPN 設定
- ご自身の QNAP ID 資格情報で QuWAN Orchestrator にログインします。
- 組織を選択します。
- [QuWAN トポロジー] > [ルートベース VPN]に進みます。
- [新規接続の作成]をクリックします。
新規接続の作成ウィンドウが表示されます。 - ルートベース VPN の接続設定を行います。
設定 説明 接続名 わかりやすい名前を割り当てます (Meraki Site-to-Site VPN など)。 IPSec モード [トンネルモード]を選択します。 ハブ この接続用の適切なハブを指定します。 WAN インターフェイス 希望する WAN インターフェイスを入力します。 リモート IP またはホスト名 リモートゲートウェイデバイスのパブリック IP アドレスまたはホスト名を指定します。 テスト接続 (オプション) ボタンをクリックして IP/ホスト名に ping することで接続を確認します。 事前共有キー 高強度の事前共有キーを設定し、リモートゲートウェイでも同一の設定にします。 - アドバンス ルートベース VPN の接続設定を行います。
設定 ユーザー操作 値の例 インターネット鍵交換 (IKE) バージョン [IKEv2]を選択します。 - 認証アルゴリズム 堅牢な認証アルゴリズムを選択します。 AES-128 暗号化 強固な暗号化方式を選択します。 AES-128 DH グループ セキュアな DH グループを選択します。 14 セキュリティアソシエーション (SA) の有効期間 キー暴露による暗号化リスクを低減するために、IKE Security Association (SA) 期間を規定します。 480 ローカル ID (オプション) ルートベース VPN 接続用に動的 DNS (DDNS) サービスが採用される場合には、ローカル ID を設定する必要があります。 - カプセル化セキュリティーペイロード (ESP) 認証アルゴリズム 認証アルゴリズムを選択します。 SHA-256 暗号化 暗号化方式を選択します。 AES-128 完全前方秘匿性 (PFS) を有効にする ボックスにチェックを入れて、新しい DH キーを生成します。 - DH グループ セキュアな DH グループを指定します。 14 セキュリティアソシエーション (SA) の有効期間 SA 有効期間を規定します。 60分 デッドピア検出 (DPD) を有効にする ピアデバイス アウテージを識別し、応答するために、ボックスにチェックを入れます。 - DPD タイムアウト DPD タイムアウト値を指定します。 10 秒 - NAT デバイスがネットワークに存在する場合にも VPN 接続が正しく機能するよう、[NAT モードを有効にする]の横のチェックボックスを選択します。
- NAT トラバーサルを有効活用するために、ローカルトンネル IP アドレスを指定します。
- [サイトサブネット]の下で、[サブネットの追加]をクリックし、アクセスしようとするリモートネットワークの内部サブネットを規定します。
- [保存]をクリックします。
ルートベース VPN 接続が成功すると、[状態]フィールドに[接続済み]状態が表示されます。
