Palo Alto Networks ファイアーウォールでのデュアルISP接続時の自動でのVPNフェイルオーバー設定方法

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

How to Configure a Palo Alto Networks Firewall with Dual ISPs and Automatic VPN Failover

https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-a-Palo-Alto-Networks-Fi...

 

 

概要

本文書はVPNトンネルを用いて2つのISP接続をPalo Alto Networks ファイアーウォールに設定する際の、設定手順を解説します。

 

設定目標:

  • 1つのデバイスが2つのインターネット接続を持つ(高可用性)
  • 静的なサイト間VPN
  • インターネット接続とVPNの自動フェイルオーバー

 

構成

この構成は本社、支社間の接続方法として一般的なものです。ISP1はEthernet1/3でプライマリとして、ISP2はバックアップとしてEthernet1/4に接続します。

 

設定

2つのファイアウォールの設定は同一のため、ここでは1台についてのみ説明します。この例では2つのヴァーチャルルーター(VR)を設定します。

Dual Diagram.png

インターフェイス設定

2つのインターフェイスを設定:

  • Eth 1/3: 10.185.140.138/24 (ISP1に接続) をuntrust zoneに配置
  • Eth 1/4: 10.80.40.38/24 (ISP2に接続)をthe untrust zoneに配置

 

ヴァーチャルルーター

2つのヴァーチャルルーターを設定:

  • VR1: プライマリ (ISP1) (Ethernet1/3)
  • VR2: セカンダリ (ISP2) (Ethernet1/4)

 

各VRに1つのISP向けインターフェイスを追加しますが、他のすべてのインターフェイス(将来の追加分も含め)はセカンダリのVRに追加します。これはメインのISP障害時に、すべてのインターフェイスの存在をコネクティッドルートとVR上のルートによって、ルーティングを用いて明示するためです。

  • プライマリのVRにはEthernet1/3を追加

Primary Router GEn.PNG

  • プライマリVRのルートはデフォルトルートと、すべてのプライベートアドレスの戻りルートとなり、これらはインターフェイスのConnectedルートがあるセカンダリVRに向かいます。トラフィックがPBFによってインターフェイスから出力される場合、それらのトラフィックはセカンダリVRの生存しているインターフェイスによって戻りのルートを知ることになります。

Primary Routes.PNG

  • セカンダリVRには 下記の通りEthernet1/4 と他のすべてのインターフェイスを追加。

Secondary Router GEN.PNG

  • セカンダリVRに接続したインターフェイスのルートは、ルーティング上にコネクティッドルートとしてルーティングテーブルに現れます。そして、トンネル向けのルートはポリシーベースフォワーディング(PBF)にて扱われます。
  • プライマリISP向けインターフェイスからトラフィックを出力するために、PBFの送信元ルーティングにてTrustedゾーンを追加します。

PBF Source.PNG

  • ファイアウォールはPBFにてプライベートネットワーク向けにトラフィックを転送しません。これはプライベートアドレスはインターネット上ではルーティングされないためです。プライベートアドレスの転送が必要となるため、Negateをチェックします。

PBF Negate DEST.PNG

  • 下記の例の通り、プライマリインターフェイスから出力するように設定し、またモニター機能にてルールを無効化を設定します。すべてのコネクティッドルートを持つセカンダリVRのルーティングテーブルを使って切り替えを行います。

Forward Tab complete.PNG

  • 送信元NATポリシーを両方のISP用に設定します。両方のNATルールにて"元のパケット"タブにある宛先インターフェイスを確実に設定してください。

Screen Shot 2015-02-05 at 4.52.14 PM.png

複数のVRを設定するのは、両方のトンネルが同時にアップとなり稼働するためです。もしISP1へのVPNの接続性の問題が発生すれば、すみやかにISP2にフェイルオーバーします。もしISP2へのバックアップVPNがネゴシエーション済みであれば、フェイルオーバーの高速化につながります。

 

フェーズ1設定

Gateways.PNG

それぞれのVPNトンネルのためIKEゲートウェイを設定します。

 

フェーズ2設定

Tunnels.PNG

それぞれのVPNトンネルにIPSecトンネルを設定します。トンネルが別の Palo Alto Networks ファイアウォールに接続する場合、IPSecトンネルにてトンネルモニターによるフェイルオーバーを設定します。そうでない場合はPBFでモニターを有効化し、セカンダリのトンネルにルートする設定を行います。

 

トンネルモニタリング(Palo Alto Networks ファイアウォール同士の接続)

  • トンネルモニター有りのプライマリトンネル。

Primary Tunnel Monitor .PNG

  • トンネルモニター有りのセカンダリトンネル。

Secondary Tunnel Monitor.PNG

  • モニターのプロファイルにて、アクションでフェイルオーバーを選択。

Tunnel Monitor.PNG

  • この設定方法ではトンネルモニターに2つのルートがルーティングテーブルにあることを利用します。1つ目のルートはメトリック10のプライマリVPNトラフィック向け、2つ目はメトリック20のセカンダリVPN向けです。トンネルはセカンダリVRで終端されるので、これらのルートはセカンダリのVRに置かれます。

Routes for VPNs.PNG

 

ポリシーベースフォワーディング (Palo Alto Networks ファイアウォールと他ベンダーのファイアウォールとの接続)

  • この設定方法は2つのファイアウォール感での接続に使用されます。
  • 送信元ゾーンを設定します。

NONPA PBF.PNG

  • 対抗のネットワーク向けの宛先トラフィックを指定します。(この例では192.168.10.0/24)。

Destination PBF.PNG

  • トラフィックをトンネルに転送します。

Forward PBF.PNG

  • PBFが無効になると宛先は到達不能となるので、もう一つのVPNはルーティングテーブルを使用し始めます。そのルーティングテーブルには、同じ宛先ですが、別に設定したトンネルがエントリとして存在しています。

 

注: 上記の例では接続性を確認するため192.168.10.2にプローブをします。プローブは送信元IPアドレスがなければならず、出力インターフェイス、つまりトンネルインターフェイスのIPアドレスを使用します。もしIP アドレスがトンネルインターフェイスに設定されていないと、PBFルールは有効になりません。この設定例では、例えば172.16.0.1/30といった任意のIPが設定されている必要があります。192.168.10.2宛のスタティックルートはトンネルインターフェイスを選択の上、ネクストホップを指定しなければなりません。さもないとファイアウォールから開始されるトラフィックがPBF対象とならずに、PBFは常に失敗します。対抗のデバイスが復路のパケットを適切に送信できることを確認する必要があります。Cisco ASAを使用している場合、172.16.0.1/30宛の復路のトラフィックを適切に処理できることを確認しておいてください。さらに、Palo Alto NetworksファイアウォールでのIPSecトンネルのプロキシIDを設定しておく必要があります。

 

 

著者: rvanderveken