IPSec VPNの設定方法

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

How to Configure IPSec VPN

https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-IPSec-VPN/ta-p/56535

 

 

概要

本ドキュメントは、IPSec VPNの設定方法について記載しています。Palo Alto Networksファイアウォールにおいて、少なくとも二つのレイヤ3インターフェイスが設定されている事を想定しています。

 

手順

  1. "Network" > "トンネル" > "トンネル インターフェイス" へ移動し、新規にトンネル インターフェイスを作成し、以下のパラメータを設定します。
    インターフェイス名:tunnel.1
    仮想ルーター:(既存の仮想ルーターを選択)
    ゾーン:(トラヒックの開始元となるレイヤー3の内部ゾーンを選択)

    注:もしトンネル インターフェイスがトラヒックが入ってくる、もしくはトラヒックが出て行くゾーンと異なるゾーンにある場合、送信元ゾーンからトンネル インターフェイスを含むゾーンへのトラヒックを許可するポリシーを作成する必要があります。


  2. "Network" > "ネットワーク プロファイル" > "IKE 暗号" > "IKE 暗号プロファイル" へ移動し、IKE 暗号 (IKEv1 フェーズ1) パラメータを定義します。
    IKEフェーズ1ネゴシエーションが成功するために、これらのパラメータは対向側のファイアウォールの設定と一致している必要があります。


  3. "Network" > "ネットワーク プロファイル" > "IKE ゲートウェイ" に移動し、IKE フェーズ1ゲートウェイを設定します。
    注:上記で設定したトンネルはトンネルを通過するトラヒックをTrustゾーンで終端します。もしより細かい制御がそのトンネルのポリシー設定で必要な場合は、VPNを使用するか別のゾーンを使ってください。また、以下のゲートウェイの設定はUntrustインターフェイス用の設定であり、Trustインターフェイスで終端するトンネルとは異なることに注意してください。
    6791-pic3.PNG

  4. "Network" > "ネットワーク プロファイル" > "IPSec 暗号" へ移動し、"IPSec 暗号プロファイル" を定義します。 "IPSec 暗号プロファイル" 内でプロトコル、認証方法等、IPSec SAネゴシエーション(IKEv1 フェーズ2)をベースにしたVPNトンネルで使用する暗号化方式などを設定します。IKEフェーズ2ネゴシエーションが成功するために、これらのパラメータは対向側のファイアウォールの設定と一致している必要があります。


  5. "Network" > "IPSec トンネル" > "全般" へ移動し、ファイアウォール間でIPSec VPNトンネルを確立するためのパラメータを設定します。

    注: もし対向側のトンネルがポリシー ベースVPNとして設定されているサードパーティ製のVPNデバイスの場合、ローカルproxy IDとリモートproxy IDを対向側と一致するように設定します。

    NATされているトラヒックのローカルとリモートのIPネットワークを特定するためにIPSecトンネルProxy-IDを設定する際、そのIPSecトンネルのためのProxy-IDはNATされた後のIPネットワーク情報を元に設定されなければなりません。なぜならばProxy-ID情報は両端のIPSec設定おいて、トンネル経由で許可されるネットワークを定義するからです。 


  6. "Network" > "仮想ルーター" > "スタティック ルート" へ移動し、対向のVPNエンドポイントの後ろにあるネットワーク用に新しいルートを追加します。
  7. 設定をコミットします。

 

注:Palo Alto NetworksではIPSec VPNのトンネルモードのみをサポートします。IPSec VPNのトランスポート モードはサポートしません。

 

See Also

VPNに関するより複雑な設定については、以下のドキュメントを参照してください。

How to Configure a Palo Alto Networks Firewall with Dual ISPs and Automatic VPN Failover

Selecting an IP Address to use for PBF or Tunnel Monitoring

Dead Peer Detection and Tunnel Monitoring