※この記事は以下の記事の日本語訳です。
Configuring IKEv2 for Microsoft Azure Environment
https://live.paloaltonetworks.com/t5/Integration-Articles/Configuring-IKEv2-for-Microsoft-Azure-Envi...
Microsoft Azure環境でのIKEv2 VPN設定
Microsoft AzureはIKEv2を使用する場合、ダイナミック・ルーティング、ルートベースVPN設定が必要になります。
IKEv1はスタティック・ルーティングに限定されています。Microsoft AzureのVPN設定の要求事項とIKEv1とIKEv2でサポートされる暗号パラメータにつきましては以下のサイトをご参照ください。
https://azure.microsoft.com/en-us/documentation/articles/vpn-gateway-about-vpn-devices/
Microsoftのダイナミック・ルーティングでは、Azureに接続している各ローカルサイトのIPアドレスレンジのみに設定します。ルートベースVPNコネクションで、使用するIPアドレスは両ゲートウェイで定義され、IKEv2がサポートされたルーティングプレフィックスを自動的にネゴシエーションします。IKEv2 RFCで“traffic selector negotiation”として定義されており、PAN-OSはProxy IDを使って、IPアドレスレンジを設定します。
マルチサイトのトポロジー作成例については、以下を参照ください。
https://azure.microsoft.com/en-us/documentation/articles/vpn-gateway-topology/
IKEv2と、Microsoft Azureの動的なVPNアーキテクチャにフルサポートするための、ルートベースVPNと暗号プロファイルはPAN-OS 7.0.0以降のVersionでサポートされています。この文章では、Palo Alto Networks ファイアウォールでの基本設定について述べます。Microsoft Azureの設定方法については記載していませんので、Microsoftが提供するAzure環境でのVPNゲートウェイ設定方法の文章をご参照ください。
Palo Alto Networks ファイアウォールの設定について順々に説明いたします。
この例では、PA-200(PAN-OS 7.1.0)とMicrosoft Azure VPNゲートウェイを接続する次のような構成です。
PAN-OSのIKEv2暗号プロファイルでは、Microsoft Azureがサポートする暗号パラメータ(上記の最初のリンクに記述されている、Microsoft IPSecパラメータです)の構成を選択する必要があります。サンプル設定例では、以下のIKE、IPSec、そして暗号プロファイルパラメータが使われています。 注意: パブリックIPアドレスは、このサンプルの目的の為、変更されています。
Tunnel Interface window
IKE Gateway window
IKE Gateway window - advanced options
IPSec Tunnel window
IPSec Crypto Profile window
ルートベースVPNでは、いかなるVPNネットワークに対しても、機器のルーティングエンジンを使って接続できるかが決定されます。
Virtual Router window - Static Route - IPv4
オプションでトンネルモニターで Microsoft Azure川に対するpingの実行が設定できます。Proxy IDタブでローカルとリモートネットワーク用のProxy ID(IPアドレス レンジ)を設定する必要があります。これが、Microsoft Azure環境で、ダイナミック・ルーティング用にルートベースVPN設定する手順となります。
PAN-OSファイアウォールのIPSecトンネルのUIで、作成したトンネルがアップして動作中であることを確認してください。該当するIKEゲートウェイの[状態]欄で、IKEv2のネゴシエーションが正しく、IPSecフェーズ2トンネルが上がっていれば、トンネル インターフェイスはグリーンになっているはずです。
また、システムログで、 “vpn”タイプをフィルターで選び、IKEネゴシエーションメッセージを確認してください。Microsoft Azure側のVPN接続ステータスについては、上記に示したMicrosoftリファレンスをご参照ください。