2.1.31. IPsecVPN構成例

Managed Firewall/UTMのIPsecVPNでの構成例をご説明します。

2.1.31.1. ユースケース(インターネット経由でのIPsecVPN)

以下ユースケースについてご説明いたします。
<例>インターネット経由でIPsecVPN接続し、Tenant間の通信を可能とする構成となります。

configuration example


2.1.31.2. 前提

Managed FW/UTMがインターネット経由でIPsecVPN通信をする場合にはInternet Gatewayを利用する必要があります。
またManaged FW/UTMは自身に設定されたインターフェースのIPアドレスを使用し対向機器とネゴシエーションする為、グローバルIPアドレスをインタフェースにアサインする必要があります。

その他ユースケースに応じた以下の作業が、完了していることを前提とします。
Managed Firewall/UTMの作成
Managed Firewall/UTMのインターフェース設定/ロジカルネットワークへの接続
Managed Firewall/UTMのルーティング設定(デフォルトゲートウェイの設定)
• Destination IP :0.0.0.0
• Subnet Mask :0.0.0.0
• Gatewayアドレス:Internet-GWのゲートウェイIPv4アドレス(例:1.1.1.1)
• Interface:デフォルトゲートウェイを設定するポート(例:Port 4)

注釈

  • Managed Firewall/UTMはグローバルIPアドレスが1つ必要となります。
    Internet GatewayはVRRPで冗長化されており、グローバルIPアドレスは3つ必要となる為、計4つのグローバルIPアドレスを確保する必要があります。
    その為、ロジカルネットワークを作成する場合、4つのホストアドレスを確保できる/29以上で作成する必要があります。
  • IPsec VPNはManaged Firewall/UTMの仕様上シングル構成でのみ利用頂けます。HA構成では利用不可となります。


以下にTenant_A側のManaged FW/UTMの設定例をご説明します。


2.1.31.3. 設定手順①-1 IPsecセッティング

IPsecセッティングの詳細は IPsec セッティング をご覧ください。
IPsec SettingからTunnelインターフェースを作成します。
設定値を投入後、[保存]ボタンをクリックしてください。
IPsec Setting 01

項目 設定値
Interface port4
Proposal (Phase1) 任意(最大9まで選択可能)
DH Group (Phase1) 任意(最大3まで選択可能)
Remote Gateway 2.2.2.4
Pre-Shared Key Test@1234(例)
Proposal (Phase2) 任意(最大9まで選択可能)
DH Group (Phase2) 任意(最大3まで選択可能)

注釈

  • Pre-shared Keyに入力した文字列は対向機器と一致する必要があります。
  • Proposal/DH Groupの値については少なくとも一つ以上対向機器と一致する設定が必要となります。

デバイス管理画面の[変更の保存]をして、IPsec設定を反映して下さい。
変更の保存


2.1.31.4. 設定手順②-1 IPsecルーティング

IPsecルーティングの詳細は IPsec ルーティング設定 をご覧ください。
IPsec RoutingでTunnelインターフェース宛のスタティックルートを作成します。
設定値を投入後、[保存]ボタンをクリックしてください。
IPsec Routing 01

項目 設定値
Destination IP 192.168.2.0
Subnet Mask 255.255.255.0
Blackhole Routing Disable
Interface Tunnel1

またTunnelインターフェースがダウンした場合にはTunnel宛のルート情報が消える為、デフォルトルート宛にパケットが転送されます。
Blackhole RoutingをEnableにしたルーティングを設定することでTunnelダウン時の予期せぬパケット転送を防ぐことが可能です。
設定値を投入後、[保存]ボタンをクリックしてください。
IPsec Routing 02

項目 設定値
Destination IP 192.168.2.0
Subnet Mask 255.255.255.0
Blackhole Routing Enable

注釈

  • Blackhole Routingを設定する場合、入力するDestination IP/Subnet Maskの値をTunnel Interface宛のルーティング設定と一致させて下さい。
デバイス管理画面の[変更の保存]をして、ルーティング設定を反映して下さい。
変更の保存


2.1.31.5. 設定手順③-1 IPsecポリシー

IPsecポリシーの詳細は IPsec ポリシー 設定 をご覧ください。
IPsec PolicyでTunnelインターフェース宛のポリシーを作成します。
以下の例では内部からTunnel宛へHTTPの許可ポリシーを作成しています。
設定値を投入後、[保存]ボタンをクリックしてください。
IPsec Policy 01

項目 設定値
Enable チェック有
Incoming Interface port5
Source Address all
Outgoing Interface Tunnel1
Destination Address Type Address Object
Destination Address all
Service HTTP
Action Accept
NAT チェック無
Log 任意
デバイス管理の[変更の保存]をして、ファイアウォールポリシーを反映して下さい。
変更の保存
以上でTenant_A側のManaged FW/UTMの設定は完了となります。
同様にTenant_B側のManaged FW/UTMの設定を実施して下さい。

注釈

  • Tunnel経由での通信を許可する為には、対向(Tenant_B)のManaged Firewall/UTMでも同様にIPsec Policyを設定する必要があります。
    【Tenant_AからTenant_Bへの通信を許可する場合】
    Tenant_A FW/UTM / Incoming Interface:port5、Outgoing Interface:Tunnel1、Action:Accept の通信許可Policyを作成
    Tenant_B FW/UTM / Incoming Interface:Tunnel1、Outgoing Interface:port5、Action:Accept の通信許可Policyを作成
    【Tenant_BからTenant_Aへの通信を許可する場合】
    Tenant_B FW/UTM / Incoming Interface:port5、Outgoing Interface:Tunnel1、Action:Accept の通信許可Policyを作成
    Tenant_A FW/UTM / Incoming Interface:Tunnel1、Outgoing Interface:port5、Action:Accept の通信許可Policyを作成


2.1.31.6. 設定完了後のTunnelアップ確認

設定完了後のTunnelのステータスについてはIPsec Status Viewより確認が可能です。
IPsec Status 01
IPsec Status Viewの詳細は IPsec Status View をご覧ください。