DotW: 重複するIPを持つIPSec プロキシ IDに関するヘルプ

Printer Friendly Page

※この記事は以下の DotW (Discussion of the Week) の日本語訳です。
DotW: Help with IPSec Proxy IDs with overlapping IPs
https://live.paloaltonetworks.com/t5/Featured-Articles/DotW-Help-with-IPSec-Proxy-IDs-with-overlappi...

 

プロキシ IDについてのヘルプが必要ですか?それはLive Communityでも人気のトピックのようです。いくつかの異なるシナリオをもとに、私たちのコミュニティでどのようなノウハウがトピックに取り入れられ、どのような解決策が推奨されるかを見てみましょう。

 

今週のDiscussion of the Week(DotW)のもととなったプロキシ IDについてのディスカッションは以下を参照してください:
https://live.paloaltonetworks.com/t5/General-Topics/Proxy-IDs-help/m-p/3579

dotw-12-7-15-pic1.png

 

コミュニティ メンバーのNeo.The.OneはIPSec VPNのプロキシ IDに関するトピックを投稿しました。彼は対向機器としてCheck Point ファイアウォールを利用するVPNを設定しており、VPN トンネルを正しく稼働させるためにどのようなプロキシ IDの設定が必要になるか求めていました。

Neo.The.Oneは2つのシナリオを持っています:


Case 1

VPN用のインターナル ネットワーク (Palo Alto Networks ファイアウォール): 173.16.10.0/24, 10.31.0.0/16, 10.40.40.0/24
対向機器の先にあるネットワーク (Check Point ファイアウォール): 不明

 

Case 2

VPN用のインターナル ネットワーク (Palo Alto Networks ファイアウォール): 173.16.10.0/24, 10.31.0.0/16, 10.40.40.0/24
対向機器の先にあるネットワーク (Check Point ファイアウォール): インターナルと全く同じ、172.16.10.0/24 , 10.31.0.0/16, 10.40.40.0/24

 

ライブコミュニティのメンバーであるHULKとSatishは、Neo.The.Oneを助ける素晴らしい答えを提供しました。

 

HulkはIPSec VPNのSPI キーを定義するためにプロキシ IDが必要であると説明しました。SPIはキーペアであり、ESP パケットのカプセル化/解除に使用されます。


プロキシ IDの設定はWebUIで確認することができます。Hulkはプロキシ ID設定についての素晴らしいスクリーン ショットを提供しました。

 

Network > IPSec トンネル (IPSec Tunnels) > 既存のトンネル名 > プロキシ ID (Proxy IDs) タブ
dotw-12-7-15-pic2.jpg

 

サブネットの重複問題に対処することで、Case 2を解決できます。
重複したサブネットとIPSec VPN トンネルを示す次の図を参照してください:
dotw-12-7-15-pic2-1.jpg.png

トンネルの両側に同じネットワークが存在するため、トラフィックをVPN トンネル経由でルーティングする方法はありません。

 

この問題を解決する唯一の方法は、内部ネットワーク サブネットを新しいユニークなネットワーク サブネットに変換するためのNAT(ネットワーク アドレス変換)を両側の隣接ゲートウェイで作成するか、もしくは片方のサブネット IPを変更することです。以下の図を参照してください:
dotw-12-7-15-pic3-1.png

この場合、いずれかの側の全てのトラフィックは、他の(同じ)ネットワークの代わりに新しいNAT アドレス宛てになります。

この解決方法では、正しい動作をさせるために両方のゲートウェイでNATを実施する必要があります。しかしこの方法を用いると、どちらの側にどのネットワークがあるのか混乱することはありません。

 

Neo.The.OneはSatishの提案に対し、2つの追加質問をしました:

質問: 私は0.0.0.0/0を入力するか空欄のままにする必要がありますか?
回答: アドレスは必須です。

 

質問: 私はPalo Alto Networks ファイアウォールと隣接ファイアウォールの外部インターフェイスのIP アドレスをプロキシ IDの一覧に追加する必要がありますか?

回答: はい、正しく動作させるには、外部インターフェイスのIP アドレスかNAT アドレスをプロキシ IDの一覧に追加する必要があります。

 

Satishは、VPN 設定の一助となるリンクとして How to Configure IPSec VPN を提供しました。

 

この文書がプロキシ IDとVPN トンネルの両側でサブネットが重複している場合の対処方法を理解するために役立つことを願っています。

 

元となったディスカッションを見るには次のリンクを使用してください:
https://live.paloaltonetworks.com/t5/General-Topics/Proxy-IDs-help/m-p/3579

 

著者: Joe Delio