はじめに: VPN
Resolution
私のファイアウォールは何ができますか?仮想プライベートネットワーク!
我々は、最初の素晴らしいファイアウォールを解凍以来、長い道のりを来ている。これで、仮想プライベートネットワーク (vpn) をセットアップする準備が整いました。どこから始める?トムはセットアップのためのステップバイステップの手順だけでなく、あなたの準備作業のためのチェックリストも用意しました。のは、仮想プライベートネットワークを詳しく見てみましょうとどのようにあなたのパロアルトネットワークファイアウォール上でそれらを構成する。ルートベースまたはポリシーベースの VPN ピアを使用して暗号化されたトンネルをセットアップし、迅速に作業を行うためのトラブルシューティングのコツを示すいくつかの相違点を取り上げます。
VPN は、2つのホスト間のすべての通信を暗号化することにより、従来のネットワーク経由でセキュリティで保護されたネットワーク接続を作成するテクノロジです。ここでは、強力な IPSec 暗号化を使用するサイト間トンネルを設定する方法について説明します。
サイト間の VPN 構成を準備する場合、何度もリモート管理者との会話を行う必要があり、これは同僚または完全な見知らぬ人である可能性があります。まず、どのプロトコルを使用する、あなたのトンネルを設定をする、などなどをネゴシエートする必要があります。このプロセスを容易にするために、少しのチェックリストを準備することをお勧めします。
- リモートピアには、静的 IP アドレスまたは動的なものがありますか。
- リモートサブネットとは何ですか?
- IKEv1 か IKEv2 か?
- 事前共有キーまたは証明書の認証
- nat トラバーサルは必要ですか (nat を実行する別のゲートウェイの背後にあるピアの1つです)。
- リモートピアはルートベースまたはポリシーベースですか。
次の属性の2セット、IKE 構成と IPSec 用の1つ。
- どの認証アルゴリズムが使用されるか (sha1、sha256、...)?
- どのカプセル化アルゴリズムが使用されるか (3des、aes、... )?
- 鍵交換の鍵はいかに強固であるか (Diffie-ヘルマングループ 1, 20,.. )?
- キーの寿命は何であるか。
詳細を知ることで、構成がはるかに簡単になります。以下の構成例では、これらのいくつかの意味を強調します。
あなたがあなたの相手と交渉した後に行うことができます最初のものの一つ、または両方のポイントを管理することができる場合、自分で決定した、暗号化プロファイルを準備することです。
[ネットワーク] タブに移動し、IPSec 暗号化および IKE 暗号化プロファイルの両方に新しいプロファイルを追加します。
次に、リモートゲートウェイを表すピアオブジェクトと、このゲートウェイと共有されている IKE プロパティを作成し、IPSec をネゴシエートできるようにする必要があります。[ネットワーク] タブの [ike ゲートウェイプロファイル] に移動し、新しい ike ゲートウェイオブジェクトを作成します。
[全般] タブで、選択する IKE のバージョンを選択できます。リモート・ピアがどのバージョンを使用するか不明な場合は、IKEv2 を優先として設定することで、リモート・ピアが IKEv2 をサポートしていない場合にフォールバックを IKEv1 ことができます。
選択する重要なオプションは、ピア ip タイプです: 静的ピアは静的 ip アドレスを持ち、最も簡単な構成を可能にします。動的ピアは、例えば、ピアは、ip アドレスを設定するオプションを持っていない、DHCP ip を持っています。動的ピアは、ゲートウェイが正しいホストとネゴシエートしていることを確認するために、他の形式の識別を必要とします。
この場合は、ドロップダウンからオプションのいずれかを選択し、その横にあるフィールドに値を設定することによって、どの代替ピア識別方法を使用するかを選択します。リモートピアが追加のピア識別を必要とする場合、またはホストに動的 IP アドレスがある場合は、ここでもローカルピア ID を設定できます。
認証方法は、ネゴシエーションを開始するために両方のピアで使用される事前共有キーに設定することも、ハンドシェイクを認証するために証明書をインポートすることもできます。
IKE ゲートウェイの [詳細オプション] では、特定の状況に合わせていくつかのオプションを設定できます。
- パッシブモードでは、このゲートウェイは送信ネゴシエーションを行わず、交渉要求のみに応答します。
- nat トラバーサルは、少なくとも1つのゲートウェイが nat ゲートウェイの背後にある場合に、IKE プロトコルで UDP カプセル化を有効にします。
- Exchange モードは既定では auto になっていますが、どちらのピアも動的 ip アドレスにある場合、両方のピアが静的 ip アドレスまたは積極的にある場合は、Main に設定できます。
- IKE 暗号化プロファイルは、先ほど作成したプロファイルに設定する必要があります。
- デッドピア検出は、リソースの復元を支援するために使用できない VPN ピアを識別するハートビートです。
- IKEv2 活性チェックは DPD と同様に動作しますが、各パケットはアクティビティ中にカウントされ、構成された時間だけピアがアイドル状態になった後に、空のパケットが送信されて活性を確かめることができます。
注意: Ike ゲートウェイインタフェースは、(物理インタフェースではなく) ループバックインタフェースに設定することもできます。このループバックインターフェイスは、外部インターフェイスと同じゾーンに配置することをお勧めします。
次に、トンネルインターフェイスを作成する必要があります: インターフェイスに移動し、[トンネル] タブを開きます。仮想プライベートネットワークへの仮想インターフェイスとして機能する新しいインターフェイスを作成します。セキュリティポリシーを使用して vpn トンネルとローカルゾーン間のアクセスを制御できるように、トンネルインターフェイスを独自のゾーンに配置することをお勧めします。
インターフェイスが構成されたら、VPN トンネルのフェーズ2の作成に進むことができます。[ipsec トンネル] メニューに移動し、新しい ipsec トンネルを作成します。
IPSec トンネルオブジェクトの [全般] タブで、このプロファイルを、作成したトンネルインターフェイス、IKE ゲートウェイ、および暗号化プロファイルに割り当てる必要があります。リモートピアがそれをサポートしている場合は、トンネルがダウンしてバックアップが利用可能な場合に備えて、トンネルモニターを有効にして代替ルートへのフェールオーバーを許可することもできます。
[プロキシ id] タブで、トンネルを通過するために許可されているすべてのローカルおよびリモートのサブネットペアのプロキシ id を追加する必要がある場合があります。これは通常、リモートピアがポリシーベースの VPN を使用する場合にのみ必要です。
要は:
- ポリシーベースの vpn ピアは、ポリシーに基づいて vpn トンネルをネゴシエートし、通常は小規模なサブネットで、ポリシーアクションの結果としてトンネルへのトラフィックを指示します。
- ルートベースの VPN ピアは、パロアルトネットワークファイアウォールのように、通常はスーパーネット (0.0.0.0/0) を negiotiates し、ルーティングの責任をルーティングエンジンと一緒にすることができます。仮想ルーターは、セキュリティポリシーがアクセスを管理する間、トンネルへのトラフィックの指示を行います。
プロキシ id が使用されていない場合は 、ローカルおよびリモートネットワーク間でトラフィックを転送できるように、ルートを仮想ルーターに追加する必要があります。
両方のサイト間のトラフィックを許可するには、ローカルセキュリティゾーンと VPN トンネルセキュリティゾーンの間にセキュリティポリシーを作成する必要があります。
上記のプロセスが完了したら、この変更をコミットして、IP 情報をリモート側で逆にして、同じ構成を実装してください。
両端を構成すると、VPN トンネルが確立され、IPSEc トンネル内のステータスアイコンが緑色に変わり、接続が示されます。ステータスリンクをクリックして、追加情報を取得します。
システムログには、VPN 接続に関する重要な情報を含めることもできます。
トラブルシューティングの観点から見ると、ローカルデバイスがイニシエータである場合、これにより、送信されるメッセージの表示や、リモートピアから受信した潜在的なエラーメッセージが、間違いがあるかどうかを判断するのに役立ちます。ネゴシエーションを開始する簡単な方法は、CLI の test コマンドを使用することです。
Phase1 IKE の場合
> 指定された ike ゲートウェイの vpn ike-sa
+ ゲートウェイテストをテストする
|コマンド終了入力のパイプ処理
<Enter>
> vpn ike sa のテストを
開始します: 合計1つのゲートウェイが見つかりました。</Enter> 1 ike sa が見つかりました。
および Phase2 IPSec
> vpn の ipsec をテスト
する-sa + トンネルテストを与えられた vpn トンネルのための
|コマンド
<Enter>終了入力 > テスト vpn ipsec sa を介してパイプを
1 ipsec sa を開始します。</Enter>
これは、事前共有シークレットの不一致のような一般的な間違いを解決するのに役立ちます。
または暗号化プロファイルの不一致
私はじめのこの版が好きです。コメントを残すか、またははじめにシリーズで前のエピソードを点検すること自由に感じなさい。
トム