Microsoft Azure環境でのIKEv2 VPN設定

※この記事は以下の記事の日本語訳です。
Configuring IKEv2 for Microsoft Azure Environment
https://live.paloaltonetworks.com/t5/Integration-Articles/Configuring-IKEv2-for-Microsoft-Azure-Envi...

Microsoft Azure環境でのIKEv2 VPN設定

Microsoft AzureはIKEv2を使用する場合、ダイナミック・ルーティング、ルートベースVPN設定が必要になります。
IKEv1はスタティック・ルーティングに限定されています。Microsoft AzureのVPN設定の要求事項とIKEv1とIKEv2でサポートされる暗号パラメータにつきましては以下のサイトをご参照ください。

https://azure.microsoft.com/en-us/documentation/articles/vpn-gateway-about-vpn-devices/

Microsoftのダイナミック・ルーティングでは、Azureに接続している各ローカルサイトのIPアドレスレンジのみに設定します。ルートベースVPNコネクションで、使用するIPアドレスは両ゲートウェイで定義され、IKEv2がサポートされたルーティングプレフィックスを自動的にネゴシエーションします。IKEv2 RFCで“traffic selector negotiation”として定義されており、PAN-OSはProxy IDを使って、IPアドレスレンジを設定します。

マルチサイトのトポロジー作成例については、以下を参照ください。

https://azure.microsoft.com/en-us/documentation/articles/vpn-gateway-topology/

IKEv2と、Microsoft Azureの動的なVPNアーキテクチャにフルサポートするための、ルートベースVPNと暗号プロファイルはPAN-OS 7.0.0以降のVersionでサポートされています。この文章では、Palo Alto Networks ファイアウォールでの基本設定について述べます。Microsoft Azureの設定方法については記載していませんので、Microsoftが提供するAzure環境でのVPNゲートウェイ設定方法の文章をご参照ください。

Palo Alto Networks ファイアウォールの設定

Palo Alto Networks ファイアウォールの設定について順々に説明いたします。
この例では、PA-200（PAN-OS 7.1.0）とMicrosoft Azure VPNゲートウェイを接続する次のような構成です。

PAN-OSのIKEv2暗号プロファイルでは、Microsoft Azureがサポートする暗号パラメータ（上記の最初のリンクに記述されている、Microsoft IPSecパラメータです）の構成を選択する必要があります。サンプル設定例では、以下のIKE、IPSec、そして暗号プロファイルパラメータが使われています。  注意: パブリックIPアドレスは、このサンプルの目的の為、変更されています。

トンネル インターフェイス

1. WebUI上で、Network > インターフェイス > トンネルを選択し、新規のトンネル・インターフェイスを追加します。割当てる仮想ルーターとセキュリティ ゾーンを選んでください。
2. オプション : IPv4タブで、ダイナミック・ルーティングとトンネルモニタリングの為に、Azure ゲートウェイと同じIPサブネットのアドレスを設定します。 

Tunnel Interface window

IKEゲートウェイ

1. IKEゲートウェイを追加します （Network >IKE ゲートウェイ）。以下の設定値を使用します。
   
   1. バージョン：‘IKEv2 Only mode’もしくは‘IKEv2 preferred mode’
   2. インターフェイス: 公共（インターネット）に面していて、Azureに接続されるファイアウォールインターフェイスを選択します
   3. ローカル IP アドレス： ファイアウォール外部インターフェイスのIPアドレスです。もしNAT装置がない場合、Azureで設定されたVPNゲートウェイのIPアドレスになります。
   4. ピア IP アドレス： Azure VPNゲートウェイのIPアドレスです。この情報はAzureバーチャルネットワークダッシュボードで確認できます。
   5. 事前共有鍵： 事前共有秘密鍵は、Palo Alto Networks ファイアウォールとAzure VPN設定と同じものを使用します。これらはAzureバーチャルネットワークダッシュボード上で、“Manage Key” をクリックして、コピーアンドペースします。
   6.  NAT装置がある場合、詳細オプション タブで[NATトラバーサルを有効にする]をチェックします。
   7. 注意 : ピアIPとして設定するために、必ずAzure上でNATされたIPをご使用ください。
   8. IKE暗号プロファイルはdefaultを設定します。Azure VPNのIKE暗号設定と合わせて新しい暗号プロファイルを定義することもできます。

IKE Gateway window

IKE Gateway window - advanced options

IPSecトンネル

1. 新規IPSecトンネルを追加します (Network->IPSec トンネル)。以下の設定値を使用します。
   
   1. トンネル インターフェイス： ステップ１で設定したTunnelインターフェイスを選択します。
   2. IKE ゲートウェイ： ステップ2で設定したIKEゲートウェイを選択します。
   3. IPSec 暗号プロファイル: IPSec暗号 プロファイルを選択します。これはAzure設定と合っている場合はdelaultを選択できます。もしくは新しく設定したプロファイルを選択します。
   4. オプション : [詳細オプションの表示]にてトンネル モニター設定を必要であれば行います。

IPSec Tunnel window

IPSec Crypto Profile window

Network接続性

ルートベースVPNでは、いかなるVPNネットワークに対しても、機器のルーティングエンジンを使って接続できるかが決定されます。

1. 仮想ルーター 設定 (Network -> 仮想ルーター -> <該当する仮想ルーターの名前> )で、ステップ１にて設定されたトンネル インターフェイスを使って、リモートネットワークのスタティックルートを追加します。これはAzureのローカルネットワーク設定と同じであるべきです。

Virtual Router window - Static Route - IPv4

IPSecトンネル設定

オプションでトンネルモニターで Microsoft Azure川に対するpingの実行が設定できます。Proxy IDタブでローカルとリモートネットワーク用のProxy ID(IPアドレス レンジ)を設定する必要があります。これが、Microsoft Azure環境で、ダイナミック・ルーティング用にルートベースVPN設定する手順となります。

接続性の確認

PAN-OSファイアウォールのIPSecトンネルのUIで、作成したトンネルがアップして動作中であることを確認してください。該当するIKEゲートウェイの[状態]欄で、IKEv2のネゴシエーションが正しく、IPSecフェーズ2トンネルが上がっていれば、トンネル インターフェイスはグリーンになっているはずです。

また、システムログで、 “vpn”タイプをフィルターで選び、IKEネゴシエーションメッセージを確認してください。Microsoft Azure側のVPN接続ステータスについては、上記に示したMicrosoftリファレンスをご参照ください。