Palo-Alto ファイアウォールと AWS VPN を使用して動的なルーティングベースの VPN を構築する方法を教えてください。

所要時間2分
0

AWS と Palo-Alto ファイアウォールの間に動的な AWS Virtual Private Network (AWS VPN) を構築したいと考えています。

解決方法

前提条件

オンプレミスネットワークと重複しない IP-CIDR を備えた仮想プライベートクラウド (VPC) が必要です。この VPC は、仮想プライベートゲートウェイ (VGW) に関連付けられているか、トランジットゲートウェイ (TGW) に接続されている必要があります。

AWS の設定

1.    カスタマーゲートウェイ (CGW) を作成します。CGW を作成する際は、自律システム番号 (AS 番号) を指定するか、デフォルトのオプションを選択できます。デフォルトを選択すると、AWS により CGW 用の AS 番号が指定されます。

2.    Site-to-Site VPN を作成します。[ゲートウェイ] で [VGW] または [TGW] を選択し、[ルーティングオプション] で [動的] を選択します。

3.    AWS マネジメントコンソールから設定ファイルをダウンロードします

設定ファイルには次の内容が含まれます。

  • AWS のパブリック IP および事前共有キー
  • Palo-Alto トンネルインターフェイスの IP アドレスおよび MTU 設定
  • Palo-Alto ファイアウォールで設定するボーダーゲートウェイプロトコル (BGP) 設定および BGP IP

Palo-Alto の設定

Palo-Altoでは、デフォルトでルートベースの VPN をサポートする次世代ファイアウォールが提供されています。そのため、Palo-Alto と AWS の間に VPN を作成する際、プロキシ ID は必要ありません。

注記: 次の暗号化、DH グループ、および認証の設定は、IKE 暗号化および IPsec 暗号化の両方で同じままです。フェーズ 1 とフェーズ 2 の設定の有効期間は、デフォルトで 8 時間と 1 時間です。

  • 暗号化: AES-256-GCM
  • DH グループ: 20
  • 認証: SHA-384

1.    上記のアルゴリズムを使用して、IKE 暗号化プロファイルを作成します

2.    上記のアルゴリズムを使用して、IPSec 暗号化プロファイルを作成します

3.    インターフェイスを構築しますIPv4 の場合は、トンネルインターフェイス IP を指定します。これは、AWS マネジメントコンソールからダウンロードした設定ファイルのセクション 3 にあります。[詳細設定] で、[MTU1427 に設定します。

4.    次の設定を使用して、IKE ゲートウェイを作成します

  • [バージョン] で [IKEv2 のみ] を選択し、[認証] で [事前共有キー] を選択します。
  • [詳細設定] セクションで、[NAT トラバーサル] が有効になっていることを確認します。
  • ステップ 1 で作成した IKE 暗号化プロファイルを選択します。
  • [ライブネスチェック] を 5 秒間隔で有効にします。

5.    [ネットワーク] タブから [IPsec トンネル] を選択し、IPsec トンネルを作成します。前の手順で作成したトンネルインターフェイスと IKE ゲートウェイを選択します。

6.    変更をコミットします。これが完了したら、ファイアウォールに SSH でアクセスし、次のコマンドを実行して VPN ネゴシエーションを開始します。

test vpn ike-sa gateway <IKE-Gateway-Name>

test vpn ipsec-sa tunnel <IPsec-Tunnel-Name>

その後、GUI インターフェイスの [IPsec トンネル] で、ステータスが緑色になります。

BGP ルーティングを Palo-Alto に設定する

注記: AWS VPN では、グレースフルリスタートと双方向フォワーディング検出 (BFD) はサポートされていません。

まず、再配布プロファイルを作成します。その後、次の設定を使用して BGP を設定します

1.    [一般] タブで、BGP を有効にするチェックボックスをオンにします。

2.    ルーター ID を追加し、Palo-Alto の AS 番号を入力します。

3.    [ピアグループ] タブで、[新しいピアグループを作成] を選択します。

4.    [[ピア AS] に、AWS の AS 番号を入力します。[ピアアドレス] に、AWS の BGP IP を入力します。これらの番号は、AWS マネジメントコンソールから前もってダウンロードした設定ファイルのセクション 4 にあります。

4.    [接続オプション] の [キープアライブ間隔] で、[10 秒] を選択します。[保留時間] では [30 秒] を選択します。

5.    [R****edist ルール] タブを選択し、Redist のルールを作成します。[名前] で、前もって作成した再配布プロファイルを選択します。次に、[変更のコミット] をクリックします。

その後、BGP が確立されていることを確認します。

1.    [ネットワーク] タブを選択し、[仮想ルーター] を選択します。

2.    [その他のランタイム統計情報] を選択し、[BGP] を選択します。[ピア] で、ステータスが確立されていることを確認します。

関連情報

AWS Site-to-Site VPN のサンプル設定ファイルをダウンロードするにはどうすればよいですか?

AWS公式
AWS公式更新しました 10ヶ月前
コメントはありません

関連するコンテンツ