Paloalto
- 印刷する
- PDF
Paloalto
- 印刷する
- PDF
Article Summary
Share feedback
Thanks for sharing your feedback!
Classic環境で利用できます。
IPsec VPN Tunnel作成のために顧客 VPNゲートウェイでリソースを構成する方法について説明します。VPNゲートウェイデバイスが Paloalto社の製品である場合は、次の内容をご参照ください。
参考
ここでは、ローカルネットワークが顧客ネットワーク、リモートネットワークが NAVERクラウドプラットフォームの Private Subnetになります。Peer IPまたは NAVERクラウドプラットフォームの VPNゲートウェイのグローバル IPアドレスになります。
インターフェイス IPの設定
インターフェイス IPを設定する方法は以下のとおりです。
IPインターフェイス設定
set network interface ethernet 1/1 layer3 ip <グローバル IPアドレス> set network interface ethernet 1/2 layer3 ip <内部プライベート IPアドレス>IPインターフェイス割り当て
- trust zone
set zone trust network layer3 ethernet1/2 - untrust zone
set zone untrust network layer3 ethernet1/1
- trust zone
トンネルインターフェイス設定
set network interface tunnel units tunnel.1ゾーン作成
set zone <ゾーンの名前> network layer3 tunnel.1ゾーンのポリシー設定
set rulebase security rules <ポリシーの名前> from <ゾーンの名前> set rulebase security rules <ポリシーの名前> to trust set rulebase security rules <ポリシーの名前> source any set rulebase security rules <ポリシーの名前> destination any set rulebase security rules <ポリシーの名前> service any set rulebase security rules <ポリシーの名前> application any set rulebase security rules <ポリシーの名前> action allow set rulebase security rules <ポリシーの名前> log-end yes
参考
ポリシー修正時、 move rulebase security rules\<ポリシーの名前>top コマンドを入力します。
ルーティング設定
外部ルーティング、内部ルーティング、Peerトンネルのプライベートルーティングをそれぞれ設定します。
ルーティング用インターフェイス宣言
set network virtual-router default interface [ ethernet1/1 ethernet1/2 tunnel.1 ]外部ルーティング設定
set network virtual-router default routing-table ip static-route default nexthop ip-address <VPNゲートウェイのグローバル IPアドレス> set network virtual-router default routing-table ip static-route default interface ethernet 1/1 set network virtual-router default routing-table ip static-route default metric 10 set network virtual-router default routing-table ip static-route default destination 0.0.0.0/0 set network virtual-router default routing-table ip static-route default route-table unicast内部ルーティング設定
set network virtual-router default routing-table ip static-route <ローカルプライベート IPアドレスの名前> metric 10 set network virtual-router default routing-table ip static-route <ローカルプライベート IPアドレスの名前> destination <ローカルネットワークのプライベート IPアドレスの目的地> set network virtual-router default routing-table ip static-route <ローカルプライベート IPアドレスの名前> nexthop ip-address <リモートネットワークのプライベート IPアドレス> set network virtual-router default routing-table ip static-route <ローカルプライベート IPアドレスの名前> route-table unicastPeerトンネルのプライベート ルーティング(proxy-ID)設定
set network virtual-router default routing-table ip static-route <IPsecの名前> interface tunnel.1 set network virtual-router default routing-table ip static-route <IPsecの名前> metric 10 set network virtual-router default routing-table ip static-route <IPsecの名前> destination <Peer内部帯域> set network virtual-router default routing-table ip static-route <IPsecの名前> route-table unicast
IKE設定
IKEを設定するには、IKEv1と IKEv2を構成する必要があります。
参考
パスワードおよび認証アルゴリズムの設定値が NAVERクラウドプラットフォームコンソールで作成した IPsec VPN Gatewayの設定値と同じである必要があります。
IKEv1構成
IKEv1を構成する方法は以下のとおりです。
set network ike crypto-profiles ike-crypto-profiles <IKEv1の名前> hash sha1
set network ike crypto-profiles ike-crypto-profiles <IKEv1の名前> dh-group group2
set network ike crypto-profiles ike-crypto-profiles <IKEv1の名前> encryption aes-128-cbc
set network ike crypto-profiles ike-crypto-profiles <IKEv1の名前> lifetime seconds 28800
set network ike gateway <VPNゲートウェイの名前> authentication pre-shared-key key 1234567890
set network ike gateway <VPNゲートウェイの名前> protocol ikev1 dpd enable yes
set network ike gateway <VPNゲートウェイの名前> protocol ikev1 ike-crypto-profile <IKEv1の名前>
set network ike gateway <VPNゲートウェイの名前> protocol ikev2 dpd enable yes
set network ike gateway <VPNゲートウェイの名前> protocol version ikev1
set network ike gateway <VPNゲートウェイの名前> local-address ip <ローカルグローバル IPアドレス>
set network ike gateway <VPNゲートウェイの名前> local-address interface ethernet1/1
set network ike gateway <VPNゲートウェイの名前> protocol-common nat-traversal enable no
set network ike gateway <VPNゲートウェイの名前> protocol-common fragmentation enable no
set network ike gateway <VPNゲートウェイの名前> peer-address ip <Peer IP>
- D-Hグループ: 2
- 暗号化アルゴリズム: aes-128
- ハッシュアルゴリズム: sha1
- lifetime: 28800
IKEv2構成
IKEv2を構成する方法は以下のとおりです。
set network ike crypto-profiles ipsec-crypto-profiles <IKEv2の名前> esp authentication sha1
set network ike crypto-profiles ipsec-crypto-profiles <IKEv2の名前> esp encryption aes-128-cbc
set network ike crypto-profiles ipsec-crypto-profiles <IKEv2の名前> lifetime seconds 3600
set network ike crypto-profiles ipsec-crypto-profiles <IKEv2の名前> dh-group no-pfs
set network tunnel ipsec <VPNトンネルの名前> auto-key ike-gateway <VPNゲートウェイの名前>
set network tunnel ipsec <VPNトンネルの名前> auto-key proxy-id <proxy-ID> protocol any
set network tunnel ipsec <VPNトンネルの名前> auto-key proxy-id <proxy-ID> local <ローカル内部帯域>
set network tunnel ipsec <VPNトンネルの名前> auto-key proxy-id <proxy-ID> remote <Peer内部帯域>
set network tunnel ipsec <VPNトンネルの名前> auto-key ipsec-crypto-profile <IKEv2の名前>
set network tunnel ipsec <VPNトンネルの名前> tunnel-monitor enable no
set network tunnel ipsec <VPNトンネルの名前> tunnel-interface tunnel.1
- プロトコル: esp
- 暗号化アルゴリズム: aes-128
- ハッシュアルゴリズム: sha-1
- lifetime: 3600
トンネルの作成
トンネルを作成する方法は以下のとおりです。
- トンネル作成(phase-1)
test vpn ike-sa gateway <VPNゲートウェイの名前> - トンネル作成(phase-2)
test vpn ipsec-sa tunnel <VPNトンネルの名前>:<proxy-ID>
IKEトンネルの確認
すべてのプロセスを終えると、IKEトンネル状態を確認できます。確認する方法は、以下のとおりです。
show vpn flow name <IPsecの名前>:<proxy-ID>
設定の変更
コンフィグモードに入って設定を変更する方法は次の通りです。
コンフィグモードに入る
hostname> configure Entering configuration mode [edit]設定完了
hostname# commit
この記事は役に立ちましたか?