- 印刷する
- PDF
Paloalto
- 印刷する
- PDF
Classic環境で利用できます。
IPsec VPN Tunnel作成のために顧客 VPNゲートウェイでリソースを構成する方法について説明します。VPNゲートウェイデバイスが Paloalto社の製品である場合は、次の内容をご参照ください。
ここでは、ローカルネットワークが顧客ネットワーク、リモートネットワークが NAVERクラウドプラットフォームの Private Subnetになります。Peer IPまたは NAVERクラウドプラットフォームの VPNゲートウェイのグローバル IPアドレスになります。
インターフェイス IPの設定
インターフェイス IPを設定する方法は以下のとおりです。
IPインターフェイス設定
set network interface ethernet 1/1 layer3 ip <グローバル IPアドレス> set network interface ethernet 1/2 layer3 ip <内部プライベート IPアドレス>
IPインターフェイス割り当て
- trust zone
set zone trust network layer3 ethernet1/2
- untrust zone
set zone untrust network layer3 ethernet1/1
- trust zone
トンネルインターフェイス設定
set network interface tunnel units tunnel.1
ゾーン作成
set zone <ゾーンの名前> network layer3 tunnel.1
ゾーンのポリシー設定
set rulebase security rules <ポリシーの名前> from <ゾーンの名前> set rulebase security rules <ポリシーの名前> to trust set rulebase security rules <ポリシーの名前> source any set rulebase security rules <ポリシーの名前> destination any set rulebase security rules <ポリシーの名前> service any set rulebase security rules <ポリシーの名前> application any set rulebase security rules <ポリシーの名前> action allow set rulebase security rules <ポリシーの名前> log-end yes
ポリシー修正時、 move rulebase security rules\<ポリシーの名前>top
コマンドを入力します。
ルーティング設定
外部ルーティング、内部ルーティング、Peerトンネルのプライベートルーティングをそれぞれ設定します。
ルーティング用インターフェイス宣言
set network virtual-router default interface [ ethernet1/1 ethernet1/2 tunnel.1 ]
外部ルーティング設定
set network virtual-router default routing-table ip static-route default nexthop ip-address <VPNゲートウェイのグローバル IPアドレス> set network virtual-router default routing-table ip static-route default interface ethernet 1/1 set network virtual-router default routing-table ip static-route default metric 10 set network virtual-router default routing-table ip static-route default destination 0.0.0.0/0 set network virtual-router default routing-table ip static-route default route-table unicast
内部ルーティング設定
set network virtual-router default routing-table ip static-route <ローカルプライベート IPアドレスの名前> metric 10 set network virtual-router default routing-table ip static-route <ローカルプライベート IPアドレスの名前> destination <ローカルネットワークのプライベート IPアドレスの目的地> set network virtual-router default routing-table ip static-route <ローカルプライベート IPアドレスの名前> nexthop ip-address <リモートネットワークのプライベート IPアドレス> set network virtual-router default routing-table ip static-route <ローカルプライベート IPアドレスの名前> route-table unicast
Peerトンネルのプライベート ルーティング(proxy-ID)設定
set network virtual-router default routing-table ip static-route <IPsecの名前> interface tunnel.1 set network virtual-router default routing-table ip static-route <IPsecの名前> metric 10 set network virtual-router default routing-table ip static-route <IPsecの名前> destination <Peer内部帯域> set network virtual-router default routing-table ip static-route <IPsecの名前> route-table unicast
IKE設定
IKEを設定するには、IKEv1と IKEv2を構成する必要があります。
パスワードおよび認証アルゴリズムの設定値が NAVERクラウドプラットフォームコンソールで作成した IPsec VPN Gatewayの設定値と同じである必要があります。
IKEv1構成
IKEv1を構成する方法は以下のとおりです。
set network ike crypto-profiles ike-crypto-profiles <IKEv1の名前> hash sha1
set network ike crypto-profiles ike-crypto-profiles <IKEv1の名前> dh-group group2
set network ike crypto-profiles ike-crypto-profiles <IKEv1の名前> encryption aes-128-cbc
set network ike crypto-profiles ike-crypto-profiles <IKEv1の名前> lifetime seconds 28800
set network ike gateway <VPNゲートウェイの名前> authentication pre-shared-key key 1234567890
set network ike gateway <VPNゲートウェイの名前> protocol ikev1 dpd enable yes
set network ike gateway <VPNゲートウェイの名前> protocol ikev1 ike-crypto-profile <IKEv1の名前>
set network ike gateway <VPNゲートウェイの名前> protocol ikev2 dpd enable yes
set network ike gateway <VPNゲートウェイの名前> protocol version ikev1
set network ike gateway <VPNゲートウェイの名前> local-address ip <ローカルグローバル IPアドレス>
set network ike gateway <VPNゲートウェイの名前> local-address interface ethernet1/1
set network ike gateway <VPNゲートウェイの名前> protocol-common nat-traversal enable no
set network ike gateway <VPNゲートウェイの名前> protocol-common fragmentation enable no
set network ike gateway <VPNゲートウェイの名前> peer-address ip <Peer IP>
- D-Hグループ: 2
- 暗号化アルゴリズム: aes-128
- ハッシュアルゴリズム: sha1
- lifetime: 28800
IKEv2構成
IKEv2を構成する方法は以下のとおりです。
set network ike crypto-profiles ipsec-crypto-profiles <IKEv2の名前> esp authentication sha1
set network ike crypto-profiles ipsec-crypto-profiles <IKEv2の名前> esp encryption aes-128-cbc
set network ike crypto-profiles ipsec-crypto-profiles <IKEv2の名前> lifetime seconds 3600
set network ike crypto-profiles ipsec-crypto-profiles <IKEv2の名前> dh-group no-pfs
set network tunnel ipsec <VPNトンネルの名前> auto-key ike-gateway <VPNゲートウェイの名前>
set network tunnel ipsec <VPNトンネルの名前> auto-key proxy-id <proxy-ID> protocol any
set network tunnel ipsec <VPNトンネルの名前> auto-key proxy-id <proxy-ID> local <ローカル内部帯域>
set network tunnel ipsec <VPNトンネルの名前> auto-key proxy-id <proxy-ID> remote <Peer内部帯域>
set network tunnel ipsec <VPNトンネルの名前> auto-key ipsec-crypto-profile <IKEv2の名前>
set network tunnel ipsec <VPNトンネルの名前> tunnel-monitor enable no
set network tunnel ipsec <VPNトンネルの名前> tunnel-interface tunnel.1
- プロトコル: esp
- 暗号化アルゴリズム: aes-128
- ハッシュアルゴリズム: sha-1
- lifetime: 3600
トンネルの作成
トンネルを作成する方法は以下のとおりです。
- トンネル作成(phase-1)
test vpn ike-sa gateway <VPNゲートウェイの名前>
- トンネル作成(phase-2)
test vpn ipsec-sa tunnel <VPNトンネルの名前>:<proxy-ID>
IKEトンネルの確認
すべてのプロセスを終えると、IKEトンネル状態を確認できます。確認する方法は、以下のとおりです。
show vpn flow name <IPsecの名前>:<proxy-ID>
設定の変更
コンフィグモードに入って設定を変更する方法は次の通りです。
コンフィグモードに入る
hostname> configure Entering configuration mode [edit]
設定完了
hostname# commit