Paloalto

Prev Next

Classic環境で利用できます。

IPsec VPN Tunnel作成のために顧客 VPNゲートウェイでリソースを構成する方法について説明します。VPNゲートウェイデバイスが Paloalto社の製品である場合は、次の内容をご参照ください。

参考

ここでは、ローカルネットワークが顧客ネットワーク、リモートネットワークが NAVERクラウドプラットフォームの Private Subnetになります。Peer IPまたは NAVERクラウドプラットフォームの VPNゲートウェイのグローバル IPアドレスになります。

インターフェイス IPの設定

インターフェイス IPを設定する方法は以下のとおりです。

  • IPインターフェイス設定

    set network interface ethernet 1/1 layer3 ip <グローバル IPアドレス>
set network interface ethernet 1/2 layer3 ip <内部プライベート IPアドレス>

  • IPインターフェイス割り当て

    • trust zone
      set zone trust network layer3 ethernet1/2
    • untrust zone
      set zone untrust network layer3 ethernet1/1

  • トンネルインターフェイス設定

    set network interface tunnel units tunnel.1

  • ゾーン作成

    set zone <ゾーンの名前> network layer3 tunnel.1

  • ゾーンのポリシー設定

    set rulebase security rules <ポリシーの名前> from <ゾーンの名前>
set rulebase security rules <ポリシーの名前> to trust
set rulebase security rules <ポリシーの名前> source any
set rulebase security rules <ポリシーの名前> destination any
set rulebase security rules <ポリシーの名前> service any
set rulebase security rules <ポリシーの名前> application any
set rulebase security rules <ポリシーの名前> action allow
set rulebase security rules <ポリシーの名前> log-end yes
参考

ポリシー修正時、 move rulebase security rules\<ポリシーの名前>top コマンドを入力します。

ルーティング設定

外部ルーティング、内部ルーティング、Peerトンネルのプライベートルーティングをそれぞれ設定します。

  • ルーティング用インターフェイス宣言

    set network virtual-router default interface [ ethernet1/1 ethernet1/2 tunnel.1 ]

  • 外部ルーティング設定

    set network virtual-router default routing-table ip static-route default nexthop ip-address <VPNゲートウェイのグローバル IPアドレス>
set network virtual-router default routing-table ip static-route default interface ethernet 1/1
set network virtual-router default routing-table ip static-route default metric 10
set network virtual-router default routing-table ip static-route default destination 0.0.0.0/0
set network virtual-router default routing-table ip static-route default route-table unicast

  • 内部ルーティング設定

    set network virtual-router default routing-table ip static-route <ローカルプライベート IPアドレスの名前> metric 10
set network virtual-router default routing-table ip static-route <ローカルプライベート IPアドレスの名前> destination <ローカルネットワークのプライベート IPアドレスの目的地>
set network virtual-router default routing-table ip static-route <ローカルプライベート IPアドレスの名前> nexthop ip-address <リモートネットワークのプライベート IPアドレス>
set network virtual-router default routing-table ip static-route <ローカルプライベート IPアドレスの名前> route-table unicast

  • Peerトンネルのプライベート ルーティング(proxy-ID)設定

    set network virtual-router default routing-table ip static-route <IPsecの名前> interface tunnel.1
set network virtual-router default routing-table ip static-route <IPsecの名前> metric 10
set network virtual-router default routing-table ip static-route <IPsecの名前> destination <Peer内部帯域>
set network virtual-router default routing-table ip static-route <IPsecの名前> route-table unicast

IKE設定

IKEを設定するには、IKEv1と IKEv2を構成する必要があります。

参考

パスワードおよび認証アルゴリズムの設定値が NAVERクラウドプラットフォームコンソールで作成した IPsec VPN Gatewayの設定値と同じである必要があります。

IKEv1構成

IKEv1を構成する方法は以下のとおりです。

set network ike crypto-profiles ike-crypto-profiles <IKEv1の名前> hash sha1
set network ike crypto-profiles ike-crypto-profiles <IKEv1の名前> dh-group group2
set network ike crypto-profiles ike-crypto-profiles <IKEv1の名前> encryption aes-128-cbc
set network ike crypto-profiles ike-crypto-profiles <IKEv1の名前> lifetime seconds 28800

set network ike gateway <VPNゲートウェイの名前> authentication pre-shared-key key 1234567890
set network ike gateway <VPNゲートウェイの名前> protocol ikev1 dpd enable yes
set network ike gateway <VPNゲートウェイの名前> protocol ikev1 ike-crypto-profile <IKEv1の名前>
set network ike gateway <VPNゲートウェイの名前> protocol ikev2 dpd enable yes
set network ike gateway <VPNゲートウェイの名前> protocol version ikev1
set network ike gateway <VPNゲートウェイの名前> local-address ip <ローカルグローバル IPアドレス>
set network ike gateway <VPNゲートウェイの名前> local-address interface ethernet1/1
set network ike gateway <VPNゲートウェイの名前> protocol-common nat-traversal enable no
set network ike gateway <VPNゲートウェイの名前> protocol-common fragmentation enable no
set network ike gateway <VPNゲートウェイの名前> peer-address ip <Peer IP>
  • D-Hグループ: 2
  • 暗号化アルゴリズム: aes-128
  • ハッシュアルゴリズム: sha1
  • lifetime: 28800

IKEv2構成

IKEv2を構成する方法は以下のとおりです。

set network ike crypto-profiles ipsec-crypto-profiles <IKEv2の名前> esp authentication sha1
set network ike crypto-profiles ipsec-crypto-profiles <IKEv2の名前> esp encryption aes-128-cbc
set network ike crypto-profiles ipsec-crypto-profiles <IKEv2の名前> lifetime seconds 3600
set network ike crypto-profiles ipsec-crypto-profiles <IKEv2の名前> dh-group no-pfs

set network tunnel ipsec <VPNトンネルの名前> auto-key ike-gateway <VPNゲートウェイの名前>
set network tunnel ipsec <VPNトンネルの名前> auto-key proxy-id <proxy-ID> protocol any
set network tunnel ipsec <VPNトンネルの名前> auto-key proxy-id <proxy-ID> local <ローカル内部帯域>
set network tunnel ipsec <VPNトンネルの名前> auto-key proxy-id <proxy-ID> remote <Peer内部帯域>
set network tunnel ipsec <VPNトンネルの名前> auto-key ipsec-crypto-profile <IKEv2の名前>
set network tunnel ipsec <VPNトンネルの名前> tunnel-monitor enable no
set network tunnel ipsec <VPNトンネルの名前> tunnel-interface tunnel.1
  • プロトコル: esp
  • 暗号化アルゴリズム: aes-128
  • ハッシュアルゴリズム: sha-1
  • lifetime: 3600

トンネルの作成

トンネルを作成する方法は以下のとおりです。

  • トンネル作成(phase-1)
    test vpn ike-sa gateway <VPNゲートウェイの名前>
  • トンネル作成(phase-2)
    test vpn ipsec-sa tunnel <VPNトンネルの名前>:<proxy-ID>

IKEトンネルの確認

すべてのプロセスを終えると、IKEトンネル状態を確認できます。確認する方法は、以下のとおりです。

show vpn flow name <IPsecの名前>:<proxy-ID>

設定の変更

コンフィグモードに入って設定を変更する方法は次の通りです。

  • コンフィグモードに入る

    hostname> configure
Entering configuration mode
[edit] 

  • 設定完了

    hostname# commit