※この記事は以下の記事の日本語訳です。
How to Configure a Palo Alto Networks Firewall with Dual ISPs and Automatic VPN Failover
概要
本文書はVPNトンネルを用いて2つのISP接続をPalo Alto Networks ファイアーウォールに設定する際の、設定手順を解説します。
設定目標:
- 1つのデバイスが2つのインターネット接続を持つ(高可用性)
- 静的なサイト間VPN
- インターネット接続とVPNの自動フェイルオーバー
構成
この構成は本社、支社間の接続方法として一般的なものです。ISP1はEthernet1/3でプライマリとして、ISP2はバックアップとしてEthernet1/4に接続します。
設定
2つのファイアウォールの設定は同一のため、ここでは1台についてのみ説明します。この例では2つのヴァーチャルルーター(VR)を設定します。
インターフェイス設定
2つのインターフェイスを設定:
- Eth 1/3: 10.185.140.138/24 (ISP1に接続) をuntrust zoneに配置
- Eth 1/4: 10.80.40.38/24 (ISP2に接続)をthe untrust zoneに配置
ヴァーチャルルーター
2つのヴァーチャルルーターを設定:
- VR1: プライマリ (ISP1) (Ethernet1/3)
- VR2: セカンダリ (ISP2) (Ethernet1/4)
各VRに1つのISP向けインターフェイスを追加しますが、他のすべてのインターフェイス(将来の追加分も含め)はセカンダリのVRに追加します。これはメインのISP障害時に、すべてのインターフェイスの存在をコネクティッドルートとVR上のルートによって、ルーティングを用いて明示するためです。
- プライマリのVRにはEthernet1/3を追加
- プライマリVRのルートはデフォルトルートと、すべてのプライベートアドレスの戻りルートとなり、これらはインターフェイスのConnectedルートがあるセカンダリVRに向かいます。トラフィックがPBFによってインターフェイスから出力される場合、それらのトラフィックはセカンダリVRの生存しているインターフェイスによって戻りのルートを知ることになります。
- セカンダリVRには 下記の通りEthernet1/4 と他のすべてのインターフェイスを追加。
- セカンダリVRに接続したインターフェイスのルートは、ルーティング上にコネクティッドルートとしてルーティングテーブルに現れます。そして、トンネル向けのルートはポリシーベースフォワーディング(PBF)にて扱われます。
- プライマリISP向けインターフェイスからトラフィックを出力するために、PBFの送信元ルーティングにてTrustedゾーンを追加します。
- ファイアウォールはPBFにてプライベートネットワーク向けにトラフィックを転送しません。これはプライベートアドレスはインターネット上ではルーティングされないためです。プライベートアドレスの転送が必要となるため、Negateをチェックします。
- 下記の例の通り、プライマリインターフェイスから出力するように設定し、またモニター機能にてルールを無効化を設定します。すべてのコネクティッドルートを持つセカンダリVRのルーティングテーブルを使って切り替えを行います。
- 送信元NATポリシーを両方のISP用に設定します。両方のNATルールにて"元のパケット"タブにある宛先インターフェイスを確実に設定してください。
複数のVRを設定するのは、両方のトンネルが同時にアップとなり稼働するためです。もしISP1へのVPNの接続性の問題が発生すれば、すみやかにISP2にフェイルオーバーします。もしISP2へのバックアップVPNがネゴシエーション済みであれば、フェイルオーバーの高速化につながります。
フェーズ1設定
それぞれのVPNトンネルのためIKEゲートウェイを設定します。
フェーズ2設定
それぞれのVPNトンネルにIPSecトンネルを設定します。トンネルが別の Palo Alto Networks ファイアウォールに接続する場合、IPSecトンネルにてトンネルモニターによるフェイルオーバーを設定します。そうでない場合はPBFでモニターを有効化し、セカンダリのトンネルにルートする設定を行います。
トンネルモニタリング(Palo Alto Networks ファイアウォール同士の接続)
- トンネルモニター有りのプライマリトンネル。
- トンネルモニター有りのセカンダリトンネル。
- モニターのプロファイルにて、アクションでフェイルオーバーを選択。
- この設定方法ではトンネルモニターに2つのルートがルーティングテーブルにあることを利用します。1つ目のルートはメトリック10のプライマリVPNトラフィック向け、2つ目はメトリック20のセカンダリVPN向けです。トンネルはセカンダリVRで終端されるので、これらのルートはセカンダリのVRに置かれます。
ポリシーベースフォワーディング (Palo Alto Networks ファイアウォールと他ベンダーのファイアウォールとの接続)
- この設定方法は2つのファイアウォール感での接続に使用されます。
- 送信元ゾーンを設定します。
- 対抗のネットワーク向けの宛先トラフィックを指定します。(この例では192.168.10.0/24)。
- トラフィックをトンネルに転送します。
- PBFが無効になると宛先は到達不能となるので、もう一つのVPNはルーティングテーブルを使用し始めます。そのルーティングテーブルには、同じ宛先ですが、別に設定したトンネルがエントリとして存在しています。
注: 上記の例では接続性を確認するため192.168.10.2にプローブをします。プローブは送信元IPアドレスがなければならず、出力インターフェイス、つまりトンネルインターフェイスのIPアドレスを使用します。もしIP アドレスがトンネルインターフェイスに設定されていないと、PBFルールは有効になりません。この設定例では、例えば172.16.0.1/30といった任意のIPが設定されている必要があります。192.168.10.2宛のスタティックルートはトンネルインターフェイスを選択の上、ネクストホップを指定しなければなりません。さもないとファイアウォールから開始されるトラフィックがPBF対象とならずに、PBFは常に失敗します。対抗のデバイスが復路のパケットを適切に送信できることを確認する必要があります。Cisco ASAを使用している場合、172.16.0.1/30宛の復路のトラフィックを適切に処理できることを確認しておいてください。さらに、Palo Alto NetworksファイアウォールでのIPSecトンネルのプロキシIDを設定しておく必要があります。
著者: rvanderveken
