動的IPアドレスを持つピアとのIPSec VPNトンネル

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
IPSec VPN Tunnel with Peer Having Dynamic IP Address
https://live.paloaltonetworks.com/t5/Configuration-Articles/IPSec-VPN-Tunnel-with-Peer-Having-Dynami...

 

トポロジー

 

PA-ファイアウォールA (10.129.70.38)  -----  ルーター (DHCP サーバー) -------  (DHCP IP) PA-ファイアウォールB

 

 

PA-ファイアウォールBの設定

 

ファイアウォールBのインターフェースは、DHCPサーバー(ルーターのインターフェースがDHCPサーバーとして設定されている)から動的にIPアドレスを取得します。

 

Inter-Dyn.png

 

IKE ゲートウェイ

 

 

IKE-Dyn-1.png

 

注: この例では、ローカルIDはFQDN(メールアドレス)として記述しています。しかし、ピア側でも同じであることを確認できれば、どんな修飾子でも利用できます。対向側で同じであれば、何でも利用できます。これは動的なゲートウェイを識別するただ一つの方法であるため、非常に重要な設定です。

 

 

IKE-Dyn-2.png

 

注: ファイアウォールBは動的なIPアドレスを持っているため、その都度VPNトンネルのイニシエーターである必要があります。従って、「Enable Passive Mode(パッシブ モードを有効にする)」は選択しないでください。

 

 

IPSec の設定

 

IPSEC-Dyn-1.png

IPSEC_Dyn-2.png

 

 

PA-ファイアウォールAの設定

 

IKE ゲートウェイ

 

Ike-Static-1.png

 

注: 静的ピアのピアIDは、動的ピアのローカルIDと同じである必要があります。また、対向側のIPアドレスは不明であるため、ここではピアIPタイプをダイナミックとします。

 

 

IKE-static-2.png

 

注: こちら側は静的ピアであり、対向の動的ピアのIPアドレスがわからないため、VPNを開始することができません。従って、「Enable Passive Mode(パッシブ モードを有効にする)」を選択します。

 

 

IPSec の設定

 

IPSEC-static-1.png

IPSEC_static-2.png

 

最初にトンネルがダウンしている時、IPアドレスは不明であるためipsec-espセッションの宛先は0.0.0.0であることが確認できます。

 

admin@PA-Firewall-A> show session all
--------------------------------------------------------------------------------
ID Application State Type Flag Src[Sport]/Zone/Proto (translated IP[Port])
Vsys Dst[Dport]/Zone (translated IP[Port])
--------------------------------------------------------------------------------
1 ipsec-esp ACTIVE TUNN 10.129.72.38[0]/L3-Trust/50 (10.129.72.38[0])
vsys1 0.0.0.0[0]/L3-Untrust (0.0.0.0[0])

 

 

: L3-Trust はトンネルインターフェースのゾーン、L3-Untrust は外部インターフェースのゾーンです。

 

トンネルがアップするとすぐに、実際の動的ピアのIPアドレスに置き換わります。

 

admin@PA-Firewall-A> show session all
--------------------------------------------------------------------------------
ID Application State Type Flag Src[Sport]/Zone/Proto (translated IP[Port])
Vsys Dst[Dport]/Zone (translated IP[Port])
--------------------------------------------------------------------------------
11 ipsec-esp ACTIVE TUNN 10.129.72.38[53613]/L3-Trust/50 (10.129.72.38[61655])
vsys1 1.1.1.5[12024]/L3-Untrust (1.1.1.5[43745])