VPNCLinux ディストリビューション上のクライアントのアクセス ルート ベースのスプリット トンネリング

概要

VPNC は、拡張認証 (Auth) をサポートするオープンソースのサードパーティ IPSec VPN クライアント X- であり、 VPN GlobalProtect 内部企業ネットワークにアクセスするためのゲートウェイへのトンネルを確立します。

サポートされている Auth IPSec クライアントの一覧については、次のリンクを参照 X- してください。

X-サポートされている認証 IPSec クライアント

このドキュメントでは、クライアントがゲートウェイに接続されている場合のスプリット トンネリングのしくみについて説明 VPNC GlobalProtect します。

 

詳細

• VPNC接続を介して送信されるトラフィックのクライアント (または) からアクセス可能なネットワークを定義するには VPN 、アクセス ルート (スプリット トンネリングとも呼ばれます) を GlobalProtect ゲートウェイのクライアント設定に追加する必要があります。 GlobalProtect設定のテクニカル ノートを参照する
• ゲートウェイでアクセス ルートが設定されると GlobalProtect 、すべてのアクセス ルートの集約ルートがクライアントに送信されます VPNC 。 DNSサーバー アドレスが含まれている場合は、ルートを集約する際にもサーバー アドレスが考慮されます。

 

たとえば、次のようになります。

アクセス ルートにネットワーク 10.66.22.0/23 および 192.168.87.0/24 が含まれている場合、サードパーティ クライアントに送信される集約 VPNC ルートは、次に示すようにデフォルト ルート 0.0.0.0/0 になります。

> グローバル保護ゲートウェイゲートウェイ名の表示 test_vpnc

 

GlobalProtect ゲートウェイ: test_vpnc (0 ユーザー)

トンネルの種類: リモート ユーザー トンネル

トンネル名 : test_vpnc-N

トンネル ID : 7

トンネルインターフェイス: トンネル.1

エンキャップインターフェイス : ethernet1/3

継承からの継承 :

ローカルアドレス: 10.66.24.87

        SSL サーバーポート: 443

IPSec エンキャップ : はい

トンネルネゴシエーション : ssl,ike

        HTTP リダイレクト : いいえ

        UDP ポート: 4501

最大ユーザー数 : 0

        IP プール範囲 : 172.16.7.1 - 172.16.7.7;

        IP プール インデックス: 0

次 IP へ : 0.0.0.0

        DNS サーバー : 4.2.2.2

: 0.0.0.0

        WINS サーバー : 0.0.0.0

: 0.0.0.0

        アクセスルート: 10.66.22.0/23;192.168.87.0/24;

        サードパーティ クライアントのアクセス ルート: 0.0.0.0/0

        VSYSvsys1 (id 1)

        SSL サーバー証明書 : SERVER_CERT

認証プロファイル : vpnc_auth

クライアント証明書プロファイル :

寿命: 2592000 秒

アイドルタイムアウト: 10800 秒

 

アクセス ルートにネットワーク 10.66.22.0/23 および 10.66.12.0/23 が含まれている場合、次に示すように、サードパーティ クライアントに送信される集約ルート VPNC は 10.66.0.0/19 です。

> グローバル保護ゲートウェイゲートウェイ名の表示 test_vpnc

 

GlobalProtect ゲートウェイ: test_vpnc (0 ユーザー)

トンネルの種類: リモート ユーザー トンネル

トンネル名 : test_vpnc-N

トンネル ID : 7

トンネルインターフェイス: トンネル.1

エンキャップインターフェイス : ethernet1/3

継承からの継承 :

ローカルアドレス: 10.66.24.87

        SSL サーバーポート: 443

IPSec エンキャップ : はい

トンネルネゴシエーション : ssl,ike

        HTTP リダイレクト : いいえ

        UDP ポート: 4501

最大ユーザー数 : 0

        IP プール範囲 : 172.16.7.1 - 172.16.7.7;

        IP プール インデックス: 0

次 IP へ : 0.0.0.0

        DNS サーバー : 10.66.22.77

: 0.0.0.0

        WINS サーバー : 0.0.0.0

: 0.0.0.0

        アクセスルート: 10.66.22.0/23;10.66.12.0/23;

サードパーティ クライアントのアクセス ルート: 10.66.0.0/19

        VSYSvsys1 (id 1)

        SSL サーバー証明書 : SERVER_CERT

認証プロファイル : vpnc_auth

クライアント証明書プロファイル :

寿命: 2592000 秒

アイドルタイムアウト: 10800 秒

 

注: クライアントに送信される集約ルート VPNC がデフォルト ルート(0.0.0.0/0)の場合、 VPNC 次に示すように、クライアントをスプリット トンネリング用に設定する必要があります。

 

クライアントに移動 VPNC し、[IPv4 設定] >ルートに移動します。

 

必要なアクセスルートを追加し、[ネットワーク上のリソースにのみこの接続を使用する] オプションがオンになっていることを確認します。

送信される集約ルートは GlobalProtect 0.0.0.0/0 ですが、次に示すようにネットワーク 10.66.22.0/23 へのアクセスのみが許可されます。

Linux ホストの端末出力:

tun0 リンクエンキャップ: UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00

       inet addr:172.16.7.1 P-t- P :172.16.7.1 質問:255.255.255.255

       UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1412 メトリック:1

       RX パケット:0エラー:0ドロップ:0オーバーラン:0フレーム:0

       TX パケット:0エラー:0ドロップ:0オーバーラン:0キャリア:0

衝突:0txqueue1en:500

       RXバイト:0(0.0) B TX バイト:0(0.0) B

 

クライアントに送信された集約ルートは VPNC 0.0.0.0/0 であったが、アクセス ルートは 192.168.87.0/24 に追加されなかった

トビー @ VirtualBox の: 〜 $ ping を192.168.87.1

PING 192.168.87.1 (192.168.87.1) 56 (84) バイトのデータ。

 

---192.168.87.1 ping の統計情報---

送信された 3 つのパケット、0 受信 、100% パケット損失、時間 2014ms

 

クライアントで 10.66.22.0/23 に追加されたアクセス ルート VPNC

トビー @ VirtualBox の: 〜 $ ping を10.66.22.87

PING 16.66.22.87 (16.66.22.87) 56 (84) バイトのデータ。

10.66.22.87 から64バイト: icmp_req = 1 ttl = 61 時間 = 6.87 ミリ秒

10.66.22.87 から64バイト: icmp_req = 2 ttl = 61 時間 = 2.02 ミリ秒

 

---16.66.22.87 ping の統計情報---

2 パケットが送信され、2 受信 、0% パケット損失、時間 1001 ミリ秒

rtt ミン/avg/max/mdev = 2.021/4.450/6.879/2.429 ms