Palo Alto Networks ファイアウォールと Azure のサイト間 VPN トンネルの設定方法

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
How to Configure VPN Tunnel Between a Palo Alto Networks Firewall and Azure
https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-VPN-Tunnel-Between-a-Pa...

 

概要

このドキュメントでは、Palo Alto Networks ファイアウォールと Azure のサイト間の VPN トンネルの設定方法について説明します。現時点では、Palo Alto Networks は IKE バージョン 1 のみをサポートしています。静的 IP アドレスを使用するとAzure は IKE バージョン 1 のみをサポートします。またAzure トンネルが動的 IP アドレスで設定されている場合、Azure は IKE バージョン 2 のみをサポートします。

このためAzure トンネルは静的 IP アドレスで設定しなければなりません。

 

 

手順

  1. Azure 側の設定情報に関しては、Azure のドキュメントを参照してください。下記例は Azure のアドレス空間の設定を示しています。
    PAN-AZU-Config.PNG
    Palo Alto Networks ファイアウォール VPN エンドポイント のローカル ネットワークとそのゲートウェイ アドレスを定義する設定例:
    PAN-AZU-Config2.PNG
  2. 次に、トンネル インターフェイスを設定します。
    1. Azure ゲートウェイ サブネットと同じサブネット上の IP を割り当てます。
    2. 仮想ルータと適切なセキュリティ ゾーンを選択します。既存のゾーン (他のサーバーを含む) を選択すると、新規ポリシーを作成する必要がなくなると考えられます。PAN-AZU-Tunnel.5.PNG
  3. デフォルトの IKE 暗号化プロファイルの設定は、Azure の IKE 暗号化プロファイルの設定と同じである必要があります。
    PAN-AZU-IKE-Crypto.PNG
  4. 新規に Azure 用の IPSec 暗号化プロファイルを、ライフタイム値が同じになるように作成します。例えば、Azure のライフタイムが 3600 秒で、その値がネットワークの他のトンネルとは異なる場合、Azure 用に新規の作成が必要となります。Perfect Forward Secrecy (PFS) 無しの場合、DH グループには "no-pfs" を選択するのが正しいです。
    注: ライフタイムのサイズは 98 GB になります。

    トンネルがこれ 1 つのみの場合、または、他のトンネルが同一の設定を使用する場合は、デフォルトの設定を修正することができます。PAN-AZU-IPSecCrypto.PNG
  5. IKE ゲートウェイの作成で、Palo Alto Networks ファイアウォールの外部インターフェイスを選択し、「Local IP Address」にそのインターフェイスの IP を選択します。この IP アドレスは、トンネル接続する Azure の「ローカル アドレス」にて設定された「VPN ゲートウェイ アドレス」と一致します。「Peer IP Address」は、同一の Azure 仮想ネットワークの Azure 仮想ネットワーク ダッシュボードから取得できます。「Local Identification」の IP アドレスは、同じ画面上の「Local IP Address」と一致している必要があります。「Pre-shared Key」は Azure 仮想ネットワークの Azure 仮想ネットワーク ダッシュボード上の「キーの管理」をクリックすることで取得できます。あとはコピー & ペーストするだけです。
    PAN-AZU-IKE-Gateway.PNG
  6. 次に、先ほど作成したトンネル インターフェイス、IKE ゲートウェイ、IPSec 暗号化プロファイルで、新規に IPSec トンネルを設定します。PAN-AZU-IPSecTunnel.PNG
  7. 「Proxy IDs」タブに移動し、適切なローカル サブネットおよびリモート サブネットで最低 1 つの ID を作成します。「Local」は、Palo Alto Networks ファイアウォール IPSec トンネル エンドポイントの適切なゲートウェイ アドレスが設定された Azure の「ローカル ネットワーク」の定義に一致している必要があります。「Remote」は Azure のアドレス空間の設定に一致している必要があります。PAN-AZU-ProxyIDs.PNG
  8. 最後に、トンネル インターフェイスを経由して Azure 仮想ネットワークへトラフィックを転送するためのルートを作成します。PAN-AZU-route.PNG

この時点で Azure 仮想ネットワークに ping するとトンネルがアップするはずですが、もしアップしない場合は System ログを確認しトラブルシューティングを行います (例えば、ping 応答は無いが、他の通信はできている、など)。

PAN-AZU-UP-UP.PNG

 

注: このドキュメントは次のディスカッションから作成されました: How to configure PAN to Azure VPN tunnel

著者:panagent