オンプレミスから CloudSimple VPN ゲートウェイへの高可用性接続を構成する

ネットワーク管理者は、オンプレミス環境から CloudSimple VPN ゲートウェイへの高可用性 IPsec サイト間 VPN 接続を構成できます。

このガイドでは、IPsec サイト間 VPN 高可用性接続用にオンプレミスファイアウォールを構成する手順について説明します。 詳細な手順は、オンプレミスのファイアウォールの種類に固有です。 例として、このガイドでは、Cisco ASA と Palo Alto Networks の 2 種類のファイアウォールの手順について説明します。

開始する前に

オンプレミスのファイアウォールを構成する前に、次のタスクを完了します。

  1. 組織が必要なノードを プロビジョニング し、少なくとも 1 つの CloudSimple プライベート クラウドを作成したことを確認します。
  2. オンプレミス ネットワークと CloudSimple プライベート クラウドの間にサイト間 VPN ゲートウェイを構成します。

サポートされているフェーズ 1 とフェーズ 2 の提案については、 VPN ゲートウェイの概要 を参照してください。

オンプレミスの Cisco ASA ファイアウォールを構成する

このセクションの手順は、Cisco ASA バージョン 8.4 以降に適用されます。 設定例では、Cisco 適応型セキュリティ アプライアンス ソフトウェア バージョン 9.10 は IKEv1 モードで展開および設定されています。

サイト間 VPN を機能させるには、オンプレミスの Cisco ASA VPN ゲートウェイの外部インターフェイスで、CloudSimple プライマリおよびセカンダリパブリック IP (ピア IP) から UDP 500/4500 および ESP (IP プロトコル 50) を許可する必要があります。

1. フェーズ 1 (IKEv1) を構成する

外部インターフェイスでフェーズ 1 (IKEv1) を有効にするには、Cisco ASA ファイアウォールで次の CLI コマンドを入力します。

crypto ikev1 enable outside

2. IKEv1 ポリシーを作成する

ハッシュ、認証、Diffie-Hellman グループ、有効期間、および暗号化に使用するアルゴリズムと方法を定義する IKEv1 ポリシーを作成します。

crypto ikev1 policy 1
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 28800

3. トンネル グループを作成する

IPsec 属性の下にトンネル グループを作成します。 ピア IP アドレスとトンネル事前共有キーを構成します。 これは、サイト間 VPN ゲートウェイを構成するときに設定します。

tunnel-group <primary peer ip> type ipsec-l2l
tunnel-group <primary peer ip> ipsec-attributes
ikev1 pre-shared-key *****

tunnel-group <secondary peer ip> type ipsec-l2l
tunnel-group <secondary peer ip> ipsec-attributes
ikev1 pre-shared-key *****

4. フェーズ 2 (IPsec) を構成する

フェーズ 2 (IPsec) を構成するには、暗号化およびトンネリングするトラフィックを定義するアクセス制御リスト (ACL) を作成します。 次の例では、対象となるトラフィックは、オンプレミスのローカル サブネット (10.16.1.0/24) からプライベート クラウド リモート サブネット (192.168.0.0/24) に送信されるトンネルから送信されます。 サイト間に複数のサブネットがある場合、ACL には複数のエントリを含めることができます。

Cisco ASA バージョン 8.4 以降では、ネットワーク、サブネット、ホスト IP アドレス、または複数のオブジェクトのコンテナーとして機能するオブジェクトまたはオブジェクト グループを作成できます。 ローカル用のオブジェクトとリモート サブネット用のオブジェクトを作成し、暗号化 ACL と NAT ステートメントに使用します。

オブジェクトとしてオンプレミスのローカル サブネットを定義する

object network AZ_inside
subnet 10.16.1.0 255.255.255.0

CloudSimple リモート サブネットをオブジェクトとして定義する

object network CS_inside
subnet 192.168.0.0 255.255.255.0

目的のトラフィックのアクセス リストを構成する

access-list ipsec-acl extended permit ip object AZ_inside object CS_inside

5. 変換セットを構成する

変換セット (TS) を構成します。これにはキーワード ikev1が含まれている必要があります。 TS で指定された暗号化属性とハッシュ属性は、 CloudSimple VPN ゲートウェイの既定の構成に記載されているパラメーターと一致する必要があります。

crypto ipsec ikev1 transform-set devtest39 esp-aes-256 esp-sha-hmac

6. 暗号化マップを構成する

次のコンポーネントを含む暗号化マップを構成します。

  • ピアのIPアドレス
  • 目的のトラフィックを含む定義済みACL
  • 変換セット
crypto map mymap 1 set peer <primary peer ip> <secondary peer ip>
crypto map mymap 1 match address ipsec-acl
crypto map mymap 1 set ikev1 transform-set devtest39

7. 暗号化マップを適用する

外部インターフェイスに暗号化マップを適用します。

crypto map mymap interface outside

8. 該当する NAT 規則を確認する

使用される NAT 規則を次に示します。 VPN トラフィックに他の NAT 規則が適用されていないことを確認します。

nat (inside,outside) source static AZ_inside AZ_inside destination static CS_inside CS_inside

Cisco ASA からの IPsec サイト間 VPN 確立出力のサンプル

フェーズ 1 の出力:

Cisco ASA ファイアウォールのフェーズ 1 出力

フェーズ 2 の出力:

Cisco ASA ファイアウォールのフェーズ 2 出力

オンプレミスの Palo Alto Networks ファイアウォールを構成する

このセクションの手順は、Palo Alto Networks バージョン 7.1 以降に適用されます。 この構成例では、Palo Alto Networks VM-Series Software Version 8.1.0 が IKEv1 モードで展開および構成されています。

サイト間 VPN を機能させるには、オンプレミスの Palo Alto Networks ゲートウェイの外部インターフェイスで、CloudSimple プライマリおよびセカンダリパブリック IP (ピア IP) から UDP 500/4500 および ESP (IP プロトコル 50) を許可する必要があります。

1.プライマリおよびセカンダリ トンネル インターフェイスを作成する

Palo Alto ファイアウォールにサインインし、 Network>Interfaces>Tunnel>Add を選択し、次のフィールドを構成して 、[OK] をクリックします。

  • インターフェイス名。 最初のフィールドにはキーワード 'tunnel' が自動的に入力されます。 隣接するフィールドに、1 から 9999 までの任意の数値を入力します。 このインターフェイスは、オンプレミスのデータセンターとプライベート クラウドの間でサイト間トラフィックを伝送するためのプライマリ トンネル インターフェイスとして使用されます。
  • コメント。 トンネルの目的を簡単に識別するためのコメントを入力する
  • Netflow プロファイル。 既定値のままにします。
  • 構成。インターフェイスの割り当て: 仮想ルーター: 既定値を選択 します。 セキュリティ ゾーン: 信頼できる LAN トラフィックのゾーンを選択します。 この例では、LAN トラフィックのゾーンの名前は "信頼" です。
  • IPv4。 [ 追加] をクリックし、重複していない未使用の /32 IP アドレスを環境内に追加します。この IP アドレスはプライマリ トンネル インターフェイスに割り当てられ、トンネルの監視に使用されます (後で説明します)。

この構成は高可用性 VPN 用であるため、プライマリとセカンダリの 2 つのトンネル インターフェイスが必要です。 前の手順を繰り返して、セカンダリ トンネル インターフェイスを作成します。 別のトンネル ID と別の未使用の /32 IP アドレスを選択します。

2.サイト間 VPN 経由で到達するプライベート クラウド サブネットの静的ルートを設定する

オンプレミスのサブネットが CloudSimple プライベート クラウド サブネットに到達するには、ルートが必要です。

ネットワーク>仮想ルーター>既定>静的ルート>追加を選択し、次のフィールドを構成して、[OK] をクリックします。

  • 名前。 ルートの目的を簡単に識別するには、任意の名前を入力します。
  • 行き先。 オンプレミスから S2S トンネル インターフェイス経由で到達する CloudSimple プライベート クラウド サブネットを指定する
  • インターフェイス。 手順 1(セクション 2) で作成したプライマリ トンネル インターフェイスをドロップダウンから選択します。 この例では、tunnel.20 です。
  • [Next Hop]\(次ホップ\)。 [なし] を選択します。
  • 管理者の距離。 既定値のままにします。
  • メトリック 1 ~ 65535 の任意の値を入力します。 重要なのは、プライマリ トンネル インターフェイスに対応するルートのメトリックを、前のルートを優先するルートに対応するセカンダリ トンネル インターフェイスと比較して低いメトリックを入力することです。 tunnel.20 のメトリック値が20で、tunnel.30 のメトリック値30よりも低い場合、tunnel.20 が優先されます。
  • ルート テーブル。 既定値のままにします。
  • BFD プロファイル。 既定値のままにします。
  • パスの監視。 オフのままにします。

前の手順を繰り返して、セカンダリ トンネル インターフェイス経由でセカンダリ/バックアップ ルートとして使用するプライベート クラウド サブネット用の別のルートを作成します。 今回は、プライマリ ルートとは異なるトンネル ID と高いメトリックを選択します。

3. 暗号化プロファイルを定義する

IKEv1 フェーズ 1 で VPN トンネルを設定するために使用する識別、認証、および暗号化のプロトコルとアルゴリズムを指定する暗号化プロファイルを定義します。

[ ネットワーク>ネットワークプロファイルを展開>IKE Crypto>追加 を選択し、次のフィールドを構成して、[ OK をクリックします。

  • 名前。 IKE 暗号化プロファイルの任意の名前を入力します。
  • DH グループ。 [ 追加] をクリックし、適切な DH グループを選択します。
  • 暗号化。 [ 追加] をクリックし、適切な暗号化方法を選択します。
  • 認証。 [ 追加] をクリックし、適切な認証方法を選択します。
  • キーの有効期間。 既定値のままにします。
  • IKEv2 認証方法の複数。 既定値のままにします。

4. IKE ゲートウェイを定義する

IKE ゲートウェイを定義して、VPN トンネルの両端でピア間の通信を確立します。

[ ネットワーク>ネットワーク プロファイル>IKE ゲートウェイ>追加を選択し、次のフィールドを構成して、[ OK] をクリックします。

全般タブ:

  • 名前。 プライマリ CloudSimple VPN ピアとピアリングする IKE ゲートウェイの名前を入力します。
  • バージョン。 IKEv1 のみのモードを選択します
  • アドレスの種類。 [IPv4] を選択します。
  • インターフェイス。 一般向けインターフェイスまたは外部インターフェイスを選択します。
  • ローカル IP アドレス。 既定値のままにします。
  • ピア IP アドレスの種類。 [IP] を選択します。
  • ピア アドレス。 プライマリ CloudSimple VPN ピアの IP アドレスを入力します。
  • 認証。 [事前共有キー] を選択します
  • 事前共有キー/事前共有キーを確認します。 CloudSimple VPN ゲートウェイ キーと一致する事前共有キーを入力します。
  • ローカル ID。 オンプレミスの Palo Alto ファイアウォールのパブリック IP アドレスを入力します。
  • ピア ID。 プライマリ CloudSimple VPN ピアの IP アドレスを入力します。

[詳細オプション] タブ:

  • パッシブ モードを有効にします。 オフのままにします。
  • NAT トラバーサルを有効にします。 オンプレミスの Palo Alto ファイアウォールが NAT デバイスの背後にない場合は、オフのままにします。 それ以外の場合は、チェックボックスをオンにします。

IKEv1:

  • Exchange モード。 [main](メイン) を選択します。
  • IKE 暗号化プロファイル。 前に作成した IKE Crypto プロファイルを選択します。 [断片化を有効にする] ボックスはオフのままにします。
  • 無効ピア検出 チェックボックスをオフのままにします。

前の手順を繰り返して、セカンダリ IKE ゲートウェイを作成します。

5. IPSEC 暗号化プロファイルを定義する

[ ネットワーク>ネットワーク プロファイル>IPSEC Crypto>追加を選択し、次のフィールドを構成して、[ OK] をクリックします。

  • 名前。 IPsec 暗号化プロファイルの名前を入力します。
  • IPsec プロトコル。 ESP を選択 します
  • 暗号化。 [ 追加] をクリックし、適切な暗号化方法を選択します。
  • 認証。 [ 追加] をクリックし、適切な認証方法を選択します。
  • DH グループ。 no-pfs を選択します
  • 一生。 30 分として設定します。
  • 有効にする。 チェックボックスをオフのままにします。

前の手順を繰り返して、セカンダリ CloudSimple VPN ピアとして使用される別の IPsec 暗号化プロファイルを作成します。 プライマリ IPsec トンネルとセカンダリ IPsec トンネルの両方に同じ IPSEC 暗号化プロファイルを使用することもできます (次の手順を参照)。

6. トンネル監視用のモニター プロファイルを定義する

[ Network>Expand Network Profiles>Monitor>Add を選択し、次のフィールドを構成して、[ OK] をクリックします。

  • 名前。 障害に対するプロアクティブな対応のためにトンネル監視に使用するモニター プロファイルの任意の名前を入力します。
  • アクション。 [ フェールオーバー] を選択します
  • インターバル 値 3 を入力します。
  • しきい値。 値 7 を入力 します

7.プライマリ IPsec トンネルとセカンダリ IPsec トンネルを設定します。

[ ネットワーク>IPsec トンネル>追加を選択し、次のフィールドを構成して、[ OK] をクリックします。

[全般] タブ:

  • 名前。 プライマリ CloudSimple VPN ピアとピアリングするプライマリ IPSEC トンネルの任意の名前を入力します。
  • トンネル インターフェイス。 プライマリ トンネル インターフェイスを選択します。
  • 種類。 既定値のままにします。
  • アドレスの種類。 [IPv4] を選択します。
  • IKE ゲートウェイ。 プライマリ IKE ゲートウェイを選択します。
  • IPsec 暗号化プロファイル。 プライマリ IPsec プロファイルを選択します。 [ 詳細オプションの表示] を選択します
  • 再生保護を有効にします。 既定値のままにします。
  • TOS ヘッダーをコピーします。 チェックボックスをオフのままにします。
  • トンネル監視装置 チェックボックスをオンにします。
  • 宛先 IP。 サイト間接続で許可されている CloudSimple プライベート クラウド サブネットに属する IP アドレスを入力します。 Palo Alto のトンネル インターフェイス (tunnel.20 - 10.64.5.2/32 や tunnel.30 - 10.64.6.2/32 など) が、サイト間 VPN 経由で CloudSimple プライベート クラウド IP アドレスに到達できることを確認します。 プロキシ ID については、次の構成を参照してください。
  • プロフィール。 モニター プロファイルを選択します。

[プロキシ ID] タブ: [ IPv4>追加 ] をクリックし、次を構成します。

  • プロキシ ID。 関心のあるトラフィックの任意の名前を入力します。 1 つの IPsec トンネル内に複数のプロキシ ID が伝送される可能性があります。
  • ローカル。 サイト間 VPN 経由でプライベート クラウド サブネットとの通信を許可されるオンプレミスのローカル サブネットを指定します。
  • [Remote]\(リモート\)。 ローカル サブネットとの通信を許可するプライベート クラウド のリモート サブネットを指定します。
  • 議定書。 いずれかを選択 します

前の手順を繰り返して、セカンダリ CloudSimple VPN ピアに使用する別の IPsec トンネルを作成します。

参考資料

Cisco ASA での NAT の設定:

Cisco ASA 5500 シリーズコンフィギュレーション ガイド

Cisco ASA でサポートされている IKEv1 属性と IKEv2 属性:

Cisco ASA シリーズ CLI コンフィギュレーション ガイド

バージョン 8.4 以降を使用した Cisco ASA での IPsec サイト間 VPN の設定:

ASA の ASDM または CLI を使用して IKEv1 IPsec サイト間トンネルを設定する

Azure での Cisco 適応型セキュリティ アプライアンス仮想 (ASAv) の設定:

Cisco Adaptive Security Virtual Appliance (ASAv) クイック スタート ガイド

Palo Alto でのプロキシ ID を使用したサイト間 VPN の構成:

サイト間 VPN を設定する

トンネル モニターの設定:

トンネル監視の設定

IKE ゲートウェイまたは IPsec トンネル操作:

IKE ゲートウェイまたは IPsec トンネルの有効化/無効化、更新、または再起動

  • Last updated on