パロアルトネットワーク機器での IPSec サイト間 VPN のセットアップ

この記事は続きです 前の資料機器のセットアップの詳細に特化 パロアルトネットワークス 。 ここでセットアップについて話したいと思います IPSec サイト間 VPN 設備について パロアルトネットワークス いくつかのインターネットプロバイダーに接続するための可能な構成オプションについても説明します。

実証では、本社と支店を接続するための標準的なスキームが使用されます。 フォールト トレラントなインターネット接続を提供するために、本社では 1 つのプロバイダー (ISP-2 と ISP-3) の同時接続を使用しています。 このブランチは、ISP-1 という 2 つのプロバイダーのみに接続しています。 ファイアウォール PA-XNUMX と PA-XNUMX の間に XNUMX つのトンネルが構築されます。 トンネルは次のモードで動作します。 アクティブスタンバイ、トンネル 1 がアクティブであり、トンネル 2 が失敗するとトンネル 1 がトラフィックの送信を開始します。 トンネル 1 は ISP-1 への接続を使用し、トンネル 2 は ISP-2 への接続を使用します。 すべての IP アドレスはデモンストレーション目的でランダムに生成されており、現実とは何の関係もありません。

Site-to-Site VPN を構築するには、使用されます IPSecの — IP 経由で送信されるデータを確実に保護するための一連のプロトコル。 IPSecの セキュリティプロトコルを使用して動作します ESP (セキュリティ ペイロードのカプセル化)、送信データの暗号化が保証されます。

В IPSecの 入る IKE (Internet Key Exchange) は、送信データを保護するために使用されるセキュリティ パラメーターである SA (セキュリティ アソシエーション) のネゴシエーションを担当するプロトコルです。 PAN ファイアウォールのサポート IKEv1 и IKEv2.

В IKEv1 VPN 接続は XNUMX つの段階で構築されます。 IKEv1 フェーズ 1 (IKE トンネル) および IKEv1 フェーズ 2 (IPSec トンネル) したがって、XNUMX つのトンネルが作成され、そのうちの XNUMX つはファイアウォール間のサービス情報の交換に使用され、XNUMX つ目はトラフィックの送信に使用されます。 で IKEv1 フェーズ 1 メイン モードとアグレッシブ モードの XNUMX つの動作モードがあります。 アグレッシブ モードは使用するメッセージが少なく高速ですが、ピア ID 保護はサポートされません。

IKEv2 代わりに来た IKEv1と比較すると、 IKEv1 その主な利点は、帯域幅要件が低くなり、SA ネゴシエーションが高速になることです。 で IKEv2 使用されるサービス メッセージが少なくなり (合計 4 つ)、EAP および MOBIKE プロトコルがサポートされ、トンネルの作成に使用されたピアの可用性を確認するメカニズムが追加されました。 生存チェック、IKEv1 のデッドピア検出を置き換えます。 チェックが失敗した場合は、 IKEv2 トンネルをリセットし、最初の機会に自動的に復元できます。 違いについて詳しく知ることができます ここを読んでください.

異なるメーカーのファイアウォール間にトンネルが構築されている場合、実装にバグが存在する可能性があります。 IKEv2、そのような機器との互換性のために、使用することができます IKEv1。 他の場合には使用する方がよいでしょう IKEv2.

セットアップ手順:

• ActiveStandby モードでの XNUMX つのインターネットプロバイダーの構成

この関数を実装するにはいくつかの方法があります。 そのうちの XNUMX つは、メカニズムを使用することです。 パス監視のバージョンから利用可能になりました パン OS 8.0.0。 この例ではバージョン 8.0.16 を使用します。 この機能は、Cisco ルータの IP SLA に似ています。 静的デフォルト ルート パラメーターは、特定の送信元アドレスから特定の IP アドレスに ping パケットを送信するように設定します。 この場合、ethernet1/1 インターフェイスはデフォルト ゲートウェイに XNUMX 秒に XNUMX 回 ping を送信します。 XNUMX 回連続して ping に応答がない場合、ルートは壊れているとみなされ、ルーティング テーブルから削除されます。 同じルートが XNUMX 番目のインターネット プロバイダーに向けて設定されていますが、より高いメトリック (バックアップ プロバイダー) が設定されています。 最初のルートがテーブルから削除されると、ファイアウォールは XNUMX 番目のルートを介してトラフィックの送信を開始します- フェイルオーバー。 最初のプロバイダーが ping に応答し始めると、そのルートはテーブルに戻り、メトリックが優れているため XNUMX 番目のプロバイダーと置き換えられます。 フェイルバック。 プロセス フェイルオーバー 設定された間隔に応じて数秒かかりますが、いずれの場合もプロセスは即時ではなく、この間トラフィックが失われます。 フェイルバック トラフィックを失うことなく通過します。 する機会があります フェイルオーバー より速く、 BFD、インターネットプロバイダーがそのような機会を提供する場合。 BFD モデルからサポートされる PA-3000シリーズ и VM-100。 ping アドレスとしてプロバイダーのゲートウェイではなく、常にアクセス可能なパブリックのインターネット アドレスを指定することをお勧めします。

• トンネルインターフェースの作成

トンネル内のトラフィックは、特別な仮想インターフェイスを介して送信されます。 それぞれのネットワークには、中継ネットワークからの IP アドレスを設定する必要があります。 この例では、サブステーション 1/172.16.1.0 がトンネル 30 に使用され、サブステーション 2/172.16.2.0 がトンネル 30 に使用されます。
トンネルインターフェイスはセクションで作成されます ネットワーク -> インターフェース -> トンネル。 仮想ルーターとセキュリティ ゾーン、および対応するトランスポート ネットワークからの IP アドレスを指定する必要があります。 インターフェイス番号は任意の番号にすることができます。

セクション内の 高機能 指定できる 経営陣のプロフィールこれにより、指定されたインターフェイスでの ping が可能になります。これはテストに役立つ可能性があります。

• IKE プロファイルのセットアップ

IKE プロフィール VPN 接続作成の最初の段階を担当します。トンネル パラメータはここで指定されます IKE フェーズ 1。 プロファイルはセクションで作成されます ネットワーク -> ネットワーク プロファイル -> IKE 暗号化。 暗号化アルゴリズム、ハッシュ アルゴリズム、Diffie-Hellman グループ、キーの有効期間を指定する必要があります。 一般に、アルゴリズムが複雑になるほどパフォーマンスは低下するため、特定のセキュリティ要件に基づいてアルゴリズムを選択する必要があります。 ただし、機密情報を保護するために 14 歳未満の Diffie-Hellman グループを使用することは厳密には推奨されません。 これは、プロトコルの脆弱性によるもので、2048 ビット以上のモジュール サイズ、またはグループ 19、20、21、24 で使用される楕円暗号化アルゴリズムを使用することによってのみ軽減できます。これらのアルゴリズムは、従来の暗号化。 もっとここで読みます。 と ここで.

• IPSec プロファイルのセットアップ

VPN 接続作成の第 XNUMX 段階は、IPSec トンネルです。 そのための SA パラメータは次のように設定されます。 ネットワーク -> ネットワーク プロファイル -> IPSec 暗号化プロファイル。 ここでは、IPSec プロトコルを指定する必要があります - AH または ESP、パラメータと同様に SA — ハッシュ アルゴリズム、暗号化、Diffie-Hellman グループ、キーの有効期間。 IKE 暗号化プロファイルと IPSec 暗号化プロファイルの SA パラメータは同じではない可能性があります。

• IKE ゲートウェイの構成

IKEゲートウェイ - VPN トンネルを構築するルーターまたはファイアウォールを指定するオブジェクトです。 トンネルごとに独自のトンネルを作成する必要があります IKEゲートウェイ。 この場合、各インターネット プロバイダーを介して XNUMX つのトンネルが作成されます。 対応する送信インターフェイスとその IP アドレス、ピア IP アドレス、および共有キーが示されます。 証明書は共有キーの代わりに使用できます。

以前に作成したものはここに示されています IKE 暗号プロファイル。 XNUMX 番目のオブジェクトのパラメータ IKEゲートウェイ IP アドレスを除いて同様です。 Palo Alto Networks ファイアウォールが NAT ルーターの背後にある場合は、このメカニズムを有効にする必要があります。 NATトラバーサル.

• IPSec トンネルのセットアップ

IPSec トンネル 名前が示すように、IPSec トンネル パラメータを指定するオブジェクトです。 ここでは、トンネルインターフェイスと以前に作成したオブジェクトを指定する必要があります IKEゲートウェイ, IPSec 暗号化プロファイル。 バックアップ トンネルへのルーティングの自動切り替えを確実にするには、以下を有効にする必要があります。 トンネルモニター。 ICMPトラフィックを利用してピアの生存を確認する仕組みです。 宛先アドレスとして、トンネルを構築するピアのトンネルインターフェースのIPアドレスを指定する必要があります。 プロファイルでは、タイマーと、接続が失われた場合の対処方法を指定します。 回復を待つ – 接続が復元されるまで待ちます。 フェイルオーバー — 可能な場合は、別のルートに沿ってトラフィックを送信します。 XNUMX 番目のトンネルの設定もまったく同様で、XNUMX 番目のトンネル インターフェイスと IKE ゲートウェイが指定されます。

• ルーティングの設定

この例では静的ルーティングを使用します。 PA-1 ファイアウォールでは、10.10.10.0 つのデフォルト ルートに加えて、ブランチ内の 24/1 サブネットへの 2 つのルートを指定する必要があります。 1 つのルートはトンネル XNUMX を使用し、もう XNUMX つのルートはトンネル XNUMX を使用します。 トンネル XNUMX を経由するルートは、メトリックが低いため、メインのルートです。 機構 パス監視 これらのルートでは使用されません。 スイッチングを担当 トンネルモニター.

サブネット 192.168.30.0/24 の同じルートを PA-2 で設定する必要があります。

• ネットワークルールの設定

トンネルが機能するには、次の XNUMX つのルールが必要です。

1. 作業するには パスモニター 外部インターフェイスで ICMP を許可します。
2. のために IPSecの アプリを許可する IKE и ipsec 外部インターフェイス上で。
3. 内部サブネットとトンネル インターフェイス間のトラフィックを許可します。

まとめ

この記事では、フォールト トレラントなインターネット接続をセットアップするオプションについて説明します。 サイト間VPN。 この情報が役に立ち、読者がそこで使用されているテクノロジーについて理解していただければ幸いです。 パロアルトネットワークス。 設定に関するご質問や今後の記事のトピックに関するご提案がございましたら、コメント欄に書いていただければ喜んでお答えいたします。

出所： habr.com