Microsoft Azure 環境用の IKEv2 IPsec VPN を構成する

Microsoft Azure 環境用の IKEv2 IPsec VPN を構成する

458152
Created On 09/27/18 06:05 AM - Last Modified 06/01/23 07:51 AM


Resolution


Microsoft Azure では、ルートベースの VPN とも呼ばれる動的ルーティングの IKEv2 が必要です。IKEv1 は静的ルーティングのみに制限されています。  IKEv1 と IKEv2 の両方の Microsoft Azure VPN の要件とサポートされている暗号化パラメーターの詳細については、リファレンス:

https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-about-vpn-devices

 

Microsoft の動的ルーティングでは、Azure に接続するローカルネットワークサイトごとに IP アドレスの範囲を指定する必要があります。  これは、ルートベースの VPN 接続で、ゲートウェイと IKEv2 の両方で定義された IP アドレス範囲を使用して、サポートされているルーティングプレフィックスを自動的にネゴシエートします。  これは、IKEv2 RFC の下の "トラフィックセレクタネゴシエーション" と呼ばれ、汎 OS はプロキシ id を使用して IP アドレスの範囲を構成します。

 

マルチサイトトポロジを作成する方法の例については、次のリファレンスを参照してください。

https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-about-vpngateways

 

ユーザーが追加した画像ユーザーが追加した画像

 

IKEv2 は、PAN-OS 7.1.4 およびそれ以降のバージョンでサポートされており、MS Azure の動的 vpn アーキテクチャに接続するために必要なルートベースの vpn および暗号化プロファイルを完全にサポートしています。このドキュメントは、同じのためのパロアルトネットワークファイアウォール上の基本的な構成について説明します。このドキュメントでは、microsoft azure 環境の構成については説明していませんが、azure 環境で VPN ゲートウェイをセットアップするには、microsoft のドキュメントを参照する必要があります。

注:パロアルトネットワークは、続行する前に7.1.4 または上記の最初の上にパン OS をアップグレードすることをお勧めします。

 

Microsoft Azure ポータルの構成

azure ポータルを使用して azure VPN を構成する手順については、マイクロソフトのサイトを参照してください。

Azure ポータルを使用してサイト間接続で VNet を作成する

 

PowerShell を使用した手順が必要な場合は、こちらをご覧ください。

PowerShell を使用してサイト間 VPN 接続を持つ VNet を作成する

 

クラシックポータルを使用した手順が必要な場合は、こちらをご覧ください。

クラシックポータルを使用してサイト間接続を持つ VNet を作成する

 

パロ・アルト・ネットワーク・ファイアウォールの設定

ここでは、パロアルトのネットワークファイアウォールの VPN を設定する方法についてのステップガイドでは、ステップです。

この例では、次のトポロジを使用して、PA-200 実行中の PAN-OS 7.1.4 を MS Azure VPN ゲートウェイに接続しました。

 

PAN-OS IKEv2 の暗号化プロファイルでは、microsoft の IPSec パラメータに記載されているように、microsoft Azure サポートの暗号化パラメータの組み合わせを選択する必要があります (上記の「最初の参照リンク」を参照)。  この例では、次の IKE、IPSec、および暗号プロファイルパラメータを使用しました。  注:パブリック IP アドレスは、この例の目的で変更されました。

 

トンネルインタ フェース

  1. [ネットワーク] > [インターフェイス] > [トンネル] の WebGUI 内で、新しいトンネルインターフェイスを追加します。 仮想ルーターと適切なセキュリティゾーンを選択します。
  2. オプション: [IPv4] タブ内の動的ルーティングまたはトンネル監視のために、Azure ゲートウェイと同じサブネット上の IP を割り当てます。
    ユーザーが追加した画像トンネルインタフェースウィンドウ

 

IKE ゲートウェイ

  1. ike ゲートウェイ ([ネットワーク] > [ネットワークプロファイル] > [ike ゲートウェイ]) を追加します。次の値を構成します。
    1. バージョン: 「IKEv2 のみモード」または「IKEv2 優先モード」の
      ユーザーが追加した画像IKE ゲートウェイウィンドウ に設定します。
    2. インターフェイス: Azure への接続に使用されるファイアウォールのパブリック (インターネット) に面したインターフェイスに設定します。
    3. ローカル ip アドレス: ファイアウォールの外部インターフェイスの ip アドレス。NAT デバイスの背後にない場合、これは Azure で構成されている VPN ゲートウェイアドレスになります。
    4. ピア ip アドレス: Azure VPN ゲートウェイの ip アドレス。これは、Azure 仮想ネットワークダッシュボードから取得できます。 : ピア ip を定義するには、Azure で NAT ed ip を使用していることを確認してください。
    5. 事前共有キー: Azure は認証のために事前共有キー (PSK または事前共有シークレット) を使用します。このキーは、Azure VPN 設定とパロアルトネットワークのファイアウォールで同じ値として構成する必要があります。
      (注: Azure の構成情報については、上記のリンクを参照してください)
    6. [詳細オプション] タブで、[パッシブモードを有効にする(レスポンダーとして設定)] チェックボックスをオフのままにし、IKEv2 セクションで活性チェックを有効のままにします。注意: ファイアウォールが nat デバイスの背後にある場合は、nat トラバーサルを有効にします。
      ユーザーが追加した画像IKE ゲートウェイウィンドウ-詳細オプション
       
    7. 'IKE 暗号プロファイル' はデフォルトに設定されています。新しい暗号化プロファイルは、Azure VPN の IKE 暗号化設定に一致するように定義できます。
      DH グループ: group2

      暗号化: aes-256-cbc、3des

      認証: sha1、sha256

      注:再キーイング中に azure がキーを更新するように、azure の設定よりも長い寿命を設定します。フェーズ1の有効期間を28800秒に設定します。
      ユーザーが追加した画像パン OS IKEv2 暗号化プロファイルウィンドウ。

 

IPSec トンネル

新しい ipsec トンネル (ネットワーク-> ipsec トンネル) を追加します。次の値を構成します。
  1. トンネルインタフェース: 手順1で構成されたトンネルインタフェースを選択します。上記します。
    (オプション: [詳細オプションの表示] を使用して、必要に応じてトンネル監視を構成します)。
    ユーザーが追加した画像[IPSec トンネル ] ウィンドウ
  2. ike ゲートウェイ: 手順2で構成した ike ゲートウェイを選択します。上記します。
  3. ipsec 暗号化プロファイル:(ネットワーク>ネットワークプロファイル> ipsec 暗号化) [ipsec 暗号化プロファイル] を選択します。これは、Azure の設定と一致する場合は既定であり、それ以外の場合は [ IPSec 暗号化] ウィンドウの下部に Addを使用して新しいものを作成します。

    暗号化: aes256-cbc の

    認証: sha1

    DH グループ: いいえ pfs

    : 再キーイング中に azure がキーを更新するように、azure の設定よりも長い寿命を設定します。ipsec (フェーズ 2) の有効期間を8400秒に設定する
    ユーザーが追加した画像ipsec 暗号化プロファイルウィンドウ

  

ネットワークの到達可能性

' ルートベースの vpn ' では、デバイスのルーティングエンジンは、任意の VPN ネットワークでも到達可能性を決定するために使用されます。

  1. [仮想ルーター] の設定 ([ネットワーク]-> [仮想ルーター]->) を使用して、リモートネットワークの静的ルートを、手順1で構成されたトンネルインターフェイスに設定されたインターフェイスとして追加します。</VR> これは、Azure のローカルネットワーク設定と一致する必要があります。
    ユーザーが追加した画像仮想ルーターウィンドウ-静的ルート-IPv4

 

IPSec トンネルの構成

必要に応じて、Microsoft Azure 側の IP アドレスに対して ping を行うように "トンネルモニター" を構成できます。  また、[プロキシ id] タブを使用して、ローカルおよびリモートのネットワークに必要なプロキシ id (IP アドレスの範囲) を構成する必要があります。  これは、ルートベースの vpn が Microsoft Azure 環境で "動的ルーティング" 用に構成されている方法です。

ユーザーが追加した画像

 

接続の確認

[IPSec トンネル] メニューオプションの [PAN-OS ファイアウォール] で、作成したトンネルが稼働していることを確認するために、UI を確認します。IKEv2 が正しくネゴシエートされ、IPSec フェーズ2トンネルが持ち出された場合は、IKE ゲートウェイとトンネルインターフェイスの状態列は緑にする必要があります。

 

また、"vpn" タイプのシステムログでフィルタを適用して、IKE ネゴシエーションメッセージを表示することもできます。  マイクロソフト Azure の VPN 接続の状態については、上記のマイクロソフトの参照を参照してください。

 

一般的なチェックを使用することができます:

> vpn トンネルの表示

TnID 名 (ゲートウェイ) ローカルプロキシ ip Ptl: ポートリモートプロキシ ip Ptl: ポート提案
---- ------------- -------------- -------- ------------ --- -------- ---------

 

VPN 接続のトラブルシューティングに役立つコマンドについては、以下を参照してください。

接続問題を IPSec VPN のトラブルシューティングする方法

 

 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm6WCAS&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language