AWS と Palo-Alto ファイアウォールの間に動的な AWS Virtual Private Network (AWS VPN) を構築したいと考えています。
解決方法
前提条件
オンプレミスネットワークと重複しない IP-CIDR を備えた仮想プライベートクラウド (VPC) が必要です。この VPC は、仮想プライベートゲートウェイ (VGW) に関連付けられているか、トランジットゲートウェイ (TGW) に接続されている必要があります。
AWS の設定
1. カスタマーゲートウェイ (CGW) を作成します。CGW を作成する際は、自律システム番号 (AS 番号) を指定するか、デフォルトのオプションを選択できます。デフォルトを選択すると、AWS により CGW 用の AS 番号が指定されます。
2. Site-to-Site VPN を作成します。[ゲートウェイ] で [VGW] または [TGW] を選択し、[ルーティングオプション] で [動的] を選択します。
3. AWS マネジメントコンソールから設定ファイルをダウンロードします。
設定ファイルには次の内容が含まれます。
- AWS のパブリック IP および事前共有キー
- Palo-Alto トンネルインターフェイスの IP アドレスおよび MTU 設定
- Palo-Alto ファイアウォールで設定するボーダーゲートウェイプロトコル (BGP) 設定および BGP IP
Palo-Alto の設定
Palo-Altoでは、デフォルトでルートベースの VPN をサポートする次世代ファイアウォールが提供されています。そのため、Palo-Alto と AWS の間に VPN を作成する際、プロキシ ID は必要ありません。
注記: 次の暗号化、DH グループ、および認証の設定は、IKE 暗号化および IPsec 暗号化の両方で同じままです。フェーズ 1 とフェーズ 2 の設定の有効期間は、デフォルトで 8 時間と 1 時間です。
- 暗号化: AES-256-GCM
- DH グループ: 20
- 認証: SHA-384
1. 上記のアルゴリズムを使用して、IKE 暗号化プロファイルを作成します。
2. 上記のアルゴリズムを使用して、IPSec 暗号化プロファイルを作成します。
3. インターフェイスを構築します。IPv4 の場合は、トンネルインターフェイス IP を指定します。これは、AWS マネジメントコンソールからダウンロードした設定ファイルのセクション 3 にあります。[詳細設定] で、[MTU を 1427 に設定します。
4. 次の設定を使用して、IKE ゲートウェイを作成します。
- [バージョン] で [IKEv2 のみ] を選択し、[認証] で [事前共有キー] を選択します。
- [詳細設定] セクションで、[NAT トラバーサル] が有効になっていることを確認します。
- ステップ 1 で作成した IKE 暗号化プロファイルを選択します。
- [ライブネスチェック] を 5 秒間隔で有効にします。
5. [ネットワーク] タブから [IPsec トンネル] を選択し、IPsec トンネルを作成します。前の手順で作成したトンネルインターフェイスと IKE ゲートウェイを選択します。
6. 変更をコミットします。これが完了したら、ファイアウォールに SSH でアクセスし、次のコマンドを実行して VPN ネゴシエーションを開始します。
test vpn ike-sa gateway <IKE-Gateway-Name>
test vpn ipsec-sa tunnel <IPsec-Tunnel-Name>
その後、GUI インターフェイスの [IPsec トンネル] で、ステータスが緑色になります。
BGP ルーティングを Palo-Alto に設定する
注記: AWS VPN では、グレースフルリスタートと双方向フォワーディング検出 (BFD) はサポートされていません。
まず、再配布プロファイルを作成します。その後、次の設定を使用して BGP を設定します。
1. [一般] タブで、BGP を有効にするチェックボックスをオンにします。
2. ルーター ID を追加し、Palo-Alto の AS 番号を入力します。
3. [ピアグループ] タブで、[新しいピアグループを作成] を選択します。
4. [[ピア AS] に、AWS の AS 番号を入力します。[ピアアドレス] に、AWS の BGP IP を入力します。これらの番号は、AWS マネジメントコンソールから前もってダウンロードした設定ファイルのセクション 4 にあります。
4. [接続オプション] の [キープアライブ間隔] で、[10 秒] を選択します。[保留時間] では [30 秒] を選択します。
5. [R****edist ルール] タブを選択し、Redist のルールを作成します。[名前] で、前もって作成した再配布プロファイルを選択します。次に、[変更のコミット] をクリックします。
その後、BGP が確立されていることを確認します。
1. [ネットワーク] タブを選択し、[仮想ルーター] を選択します。
2. [その他のランタイム統計情報] を選択し、[BGP] を選択します。[ピア] で、ステータスが確立されていることを確認します。
関連情報
AWS Site-to-Site VPN のサンプル設定ファイルをダウンロードするにはどうすればよいですか?