IPSec VPNの設定方法

告知
Printer Friendly Page
この記事は役に立ちましたか? はい いいえ
評価なし

※この記事は以下の記事の日本語訳です。

How to Configure IPSec VPN

https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-IPSec-VPN/ta-p/56535

 

 

概要

本ドキュメントは、IPSec VPNの設定方法について記載しています。Palo Alto Networksファイアウォールにおいて、少なくとも二つのレイヤ3インターフェイスが設定されている事を想定しています。

 

手順

  1. "Network" > "トンネル" > "トンネル インターフェイス" へ移動し、新規にトンネル インターフェイスを作成し、以下のパラメータを設定します。
    インターフェイス名:tunnel.1
    仮想ルーター:(既存の仮想ルーターを選択)
    ゾーン:(トラヒックの開始元となるレイヤー3の内部ゾーンを選択)

    注:もしトンネル インターフェイスがトラヒックが入ってくる、もしくはトラヒックが出て行くゾーンと異なるゾーンにある場合、送信元ゾーンからトンネル インターフェイスを含むゾーンへのトラヒックを許可するポリシーを作成する必要があります。


  2. "Network" > "ネットワーク プロファイル" > "IKE 暗号" > "IKE 暗号プロファイル" へ移動し、IKE 暗号 (IKEv1 フェーズ1) パラメータを定義します。
    IKEフェーズ1ネゴシエーションが成功するために、これらのパラメータは対向側のファイアウォールの設定と一致している必要があります。


  3. "Network" > "ネットワーク プロファイル" > "IKE ゲートウェイ" に移動し、IKE フェーズ1ゲートウェイを設定します。
    注:上記で設定したトンネルはトンネルを通過するトラヒックをTrustゾーンで終端します。もしより細かい制御がそのトンネルのポリシー設定で必要な場合は、VPNを使用するか別のゾーンを使ってください。また、以下のゲートウェイの設定はUntrustインターフェイス用の設定であり、Trustインターフェイスで終端するトンネルとは異なることに注意してください。
    6791-pic3.PNG

  4. "Network" > "ネットワーク プロファイル" > "IPSec 暗号" へ移動し、"IPSec 暗号プロファイル" を定義します。 "IPSec 暗号プロファイル" 内でプロトコル、認証方法等、IPSec SAネゴシエーション(IKEv1 フェーズ2)をベースにしたVPNトンネルで使用する暗号化方式などを設定します。IKEフェーズ2ネゴシエーションが成功するために、これらのパラメータは対向側のファイアウォールの設定と一致している必要があります。


  5. "Network" > "IPSec トンネル" > "全般" へ移動し、ファイアウォール間でIPSec VPNトンネルを確立するためのパラメータを設定します。

    注: もし対向側のトンネルがポリシー ベースVPNとして設定されているサードパーティ製のVPNデバイスの場合、ローカルproxy IDとリモートproxy IDを対向側と一致するように設定します。

    NATされているトラヒックのローカルとリモートのIPネットワークを特定するためにIPSecトンネルProxy-IDを設定する際、そのIPSecトンネルのためのProxy-IDはNATされた後のIPネットワーク情報を元に設定されなければなりません。なぜならばProxy-ID情報は両端のIPSec設定おいて、トンネル経由で許可されるネットワークを定義するからです。 


  6. "Network" > "仮想ルーター" > "スタティック ルート" へ移動し、対向のVPNエンドポイントの後ろにあるネットワーク用に新しいルートを追加します。
  7. 設定をコミットします。

 

注:Palo Alto NetworksではIPSec VPNのトンネルモードのみをサポートします。IPSec VPNのトランスポート モードはサポートしません。

 

See Also

VPNに関するより複雑な設定については、以下のドキュメントを参照してください。

How to Configure a Palo Alto Networks Firewall with Dual ISPs and Automatic VPN Failover

Selecting an IP Address to use for PBF or Tunnel Monitoring

Dead Peer Detection and Tunnel Monitoring

 

Register or Sign-in
バージョン履歴
最終更新:
‎04-27-2020 07:17 PM
更新者: