2.1.31. IPsecVPN構成例¶
Managed Firewall/UTMのIPsecVPNでの構成例をご説明します。
2.1.31.1. ユースケース(インターネット経由でのIPsecVPN)¶
以下ユースケースについてご説明いたします。
<例>インターネット経由でIPsecVPN接続し、Tenant間の通信を可能とする構成となります。
2.1.31.2. 前提¶
Managed FW/UTMがインターネット経由でIPsecVPN通信をする場合にはInternet Gatewayを利用する必要があります。
またManaged FW/UTMは自身に設定されたインターフェースのIPアドレスを使用し対向機器とネゴシエーションする為、グローバルIPアドレスをインタフェースにアサインする必要があります。
その他ユースケースに応じた以下の作業が、完了していることを前提とします。
Managed Firewall/UTMの作成
Managed Firewall/UTMのインターフェース設定/ロジカルネットワークへの接続
Managed Firewall/UTMのルーティング設定(デフォルトゲートウェイの設定)
• Destination IP :0.0.0.0
• Subnet Mask :0.0.0.0
• Gatewayアドレス:Internet-GWのゲートウェイIPv4アドレス(例:1.1.1.1)
• Interface:デフォルトゲートウェイを設定するポート(例:Port 4)
注釈
- Managed Firewall/UTMはグローバルIPアドレスが1つ必要となります。
- Internet GatewayはVRRPで冗長化されており、グローバルIPアドレスは3つ必要となる為、計4つのグローバルIPアドレスを確保する必要があります。その為、ロジカルネットワークを作成する場合、4つのホストアドレスを確保できる/29以上で作成する必要があります。
IPsec VPNはManaged Firewall/UTMの仕様上シングル構成でのみ利用頂けます。HA構成では利用不可となります。
以下にTenant_A側のManaged FW/UTMの設定例をご説明します。
2.1.31.3. 設定手順①-1 IPsecセッティング¶
IPsecセッティングの詳細は IPsec セッティング をご覧ください。
IPsec SettingからTunnelインターフェースを作成します。
設定値を投入後、[保存]ボタンをクリックしてください。
項目 | 設定値 |
---|---|
Interface | port4 |
Proposal (Phase1) | 任意(最大9まで選択可能) |
DH Group (Phase1) | 任意(最大3まで選択可能) |
Remote Gateway | 2.2.2.4 |
Pre-Shared Key | Test@1234(例) |
Proposal (Phase2) | 任意(最大9まで選択可能) |
DH Group (Phase2) | 任意(最大3まで選択可能) |
注釈
- Pre-shared Keyに入力した文字列は対向機器と一致する必要があります。
- Proposal/DH Groupの値については少なくとも一つ以上対向機器と一致する設定が必要となります。
デバイス管理画面の[変更の保存]をして、IPsec設定を反映して下さい。
2.1.31.4. 設定手順②-1 IPsecルーティング¶
IPsecルーティングの詳細は IPsec ルーティング設定 をご覧ください。
IPsec RoutingでTunnelインターフェース宛のスタティックルートを作成します。
設定値を投入後、[保存]ボタンをクリックしてください。
項目 | 設定値 |
---|---|
Destination IP | 192.168.2.0 |
Subnet Mask | 255.255.255.0 |
Blackhole Routing | Disable |
Interface | Tunnel1 |
またTunnelインターフェースがダウンした場合にはTunnel宛のルート情報が消える為、デフォルトルート宛にパケットが転送されます。
Blackhole RoutingをEnableにしたルーティングを設定することでTunnelダウン時の予期せぬパケット転送を防ぐことが可能です。
設定値を投入後、[保存]ボタンをクリックしてください。
項目 | 設定値 |
---|---|
Destination IP | 192.168.2.0 |
Subnet Mask | 255.255.255.0 |
Blackhole Routing | Enable |
注釈
- Blackhole Routingを設定する場合、入力するDestination IP/Subnet Maskの値をTunnel Interface宛のルーティング設定と一致させて下さい。
デバイス管理画面の[変更の保存]をして、ルーティング設定を反映して下さい。
2.1.31.5. 設定手順③-1 IPsecポリシー¶
IPsecポリシーの詳細は IPsec ポリシー 設定 をご覧ください。
IPsec PolicyでTunnelインターフェース宛のポリシーを作成します。
以下の例では内部からTunnel宛へHTTPの許可ポリシーを作成しています。
設定値を投入後、[保存]ボタンをクリックしてください。
項目 | 設定値 |
---|---|
Enable | チェック有 |
Incoming Interface | port5 |
Source Address | all |
Outgoing Interface | Tunnel1 |
Destination Address Type | Address Object |
Destination Address | all |
Service | HTTP |
Action | Accept |
NAT | チェック無 |
Log | 任意 |
デバイス管理の[変更の保存]をして、ファイアウォールポリシーを反映して下さい。
以上でTenant_A側のManaged FW/UTMの設定は完了となります。
同様にTenant_B側のManaged FW/UTMの設定を実施して下さい。
注釈
- Tunnel経由での通信を許可する為には、対向(Tenant_B)のManaged Firewall/UTMでも同様にIPsec Policyを設定する必要があります。
- 【Tenant_AからTenant_Bへの通信を許可する場合】Tenant_A FW/UTM / Incoming Interface:port5、Outgoing Interface:Tunnel1、Action:Accept の通信許可Policyを作成Tenant_B FW/UTM / Incoming Interface:Tunnel1、Outgoing Interface:port5、Action:Accept の通信許可Policyを作成【Tenant_BからTenant_Aへの通信を許可する場合】Tenant_B FW/UTM / Incoming Interface:port5、Outgoing Interface:Tunnel1、Action:Accept の通信許可Policyを作成Tenant_A FW/UTM / Incoming Interface:Tunnel1、Outgoing Interface:port5、Action:Accept の通信許可Policyを作成
2.1.31.6. 設定完了後のTunnelアップ確認¶
設定完了後のTunnelのステータスについてはIPsec Status Viewより確認が可能です。
IPsec Status Viewの詳細は IPsec Status View をご覧ください。