AWS Virtual Private Network カスタマーゲートウェイデバイスの動的ルーティングを設定する - AWS Site-to-Site VPN

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Virtual Private Network カスタマーゲートウェイデバイスの動的ルーティングを設定する

以下は、ユーザーインターフェイス (使用可能な場合) を使用してカスタマーゲートウェイデバイスを設定する手順の例です。

Check Point

以下は、Gaia ウェブポータルと Check Point SmartDashboard を使用して、R77.10 以降を実行する Check Point Security Gateway デバイスを設定するステップです。また、Check Point Support Center の Amazon Web Services (AWS) VPN BGP の記事も参照してください。

トンネルインターフェイスを設定するには

最初のステップは、VPN トンネルを作成し、各トンネル用のカスタマーゲートウェイと仮想プライベートゲートウェイのプライベート (内部) IP アドレスを提供することです。最初のトンネルを作成するには、設定ファイルの IPSec Tunnel #1 セクションで提供される情報を使用します。2 番目のトンネルを作成するには、設定ファイルの IPSec Tunnel #2 セクションで提供される値を使用します。

  1. SSH でセキュリティゲートウェイに接続します。デフォルト以外のシェルを使用している場合は、次のコマンドを実行して、clish に変更します。clish

  2. 次のコマンドを実行して、カスタマーゲートウェイ ASN (カスタマーゲートウェイの作成時に提供された ASN AWS) を設定します。

    set as 65000

  3. 設定ファイルの IPSec Tunnel #1 セクションで提供されている情報を使用して、最初のトンネル用のトンネルインターフェイスを作成します。AWS_VPC_Tunnel_1 など、トンネルに一意の名前をつけます。

    add vpn tunnel 1 type numbered local 169.254.44.234 remote 169.254.44.233 peer AWS_VPC_Tunnel_1 
set interface vpnt1 state on 
set interface vpnt1 mtu 1436

  4. 2 番目のトンネルを作成するには、設定ファイルの IPSec Tunnel #2 セクションで提供されている情報を使用して、コマンドを繰り返します。AWS_VPC_Tunnel_2 など、トンネルに一意の名前をつけます。

    add vpn tunnel 1 type numbered local 169.254.44.38 remote 169.254.44.37 peer AWS_VPC_Tunnel_2 
set interface vpnt2 state on 
set interface vpnt2 mtu 1436

  5. 仮想プライベートゲートウェイ ASN を設定します。

    set bgp external remote-as 7224 on

  6. 最初のトンネルの BGP を、設定ファイルの IPSec Tunnel #1 セクションで提供される情報を使用して設定します。

    set bgp external remote-as 7224 peer 169.254.44.233 on 
set bgp external remote-as 7224 peer 169.254.44.233 holdtime 30
set bgp external remote-as 7224 peer 169.254.44.233 keepalive 10

  7. 2 番目のトンネルの BGP を、設定ファイルの IPSec Tunnel #2 セクションで提供される情報を使用して設定します。

    set bgp external remote-as 7224 peer 169.254.44.37 on 
set bgp external remote-as 7224 peer 169.254.44.37 holdtime 30
set bgp external remote-as 7224 peer 169.254.44.37 keepalive 10

  8. 設定を保存します。

    save config
BGP ポリシーを作成するには

次に、 AWSによってアドバタイズされたルートのインポートを許可する BGP ポリシーを作成します。次に、ローカルルートを AWSにアドバタイズするようにカスタマーゲートウェイを設定します。

  1. Gaia WebUI で、[Advanced Routing]、[Inbound Route Filters] を選択します。[Add] を選択し、[Add BGP Policy (Based on AS)] を選択します。

  2. [Add BGP Policy (BGP ポリシーの追加)] の最初のフィールドで 512 から 1024 までの範囲の値を選択し、2 番目のフィールドに仮想プライベートゲートウェイ ASN (例: 7224) を入力します。

  3. [保存] を選択します。

ローカルルートをアドバタイズするには

次のステップは、ローカルインターフェイスルートを分散するためのものです。また、静的ルーティングや、動的ルーティングプロトコルによって得られたルーティングなど、さまざまなソースからのルートを再分散できます。詳細については、「Gaia Advanced Routing R77 Versions Administration Guide」を参照してください。

  1. Gaia WebUI で、[Advanced Routing]、[Routing Redistribution] の順に選択します。[Add Redistribution From]、[Interface (インターフェイス)] の順に選択します。

  2. [To Protocol] で、仮想プライベートゲートウェイ ASN; (例: 7224) を選択します。

  3. [Interface] では内部インターフェイスを選択します。[保存] を選択します。

新しいネットワークオブジェクトを定義するには

次に、仮想プライベートゲートウェイのパブリック (外部) IP アドレスを指定して、各 VPN トンネル用のネットワークオブジェクトを作成します。後で、VPN コミュニティのサテライトゲートウェイとしてこれらのオブジェクトを追加します。また、VPN ドメインのプレースホルダーとして機能する空グループを作成する必要があります。

  1. Check Point SmartDashboard を開きます。

  2. [Groups] では、コンテキストメニューを開き、[Groups]、[Simple Group] の順に選択します。各ネットワークオブジェクトに対して同じグループを使用できます。

  3. [Network Objects] では、コンテキストメニュー (右クリック) を開き、[New]、[Interoperable Device] の順に選択します。

  4. [Name (名前)] には、ステップ 1 でトンネル用に指定した名前 (例: AWS_VPC_Tunnel_1 または AWS_VPC_Tunnel_2) を入力します。

  5. [IPv4 Address] には、設定ファイルで提供される仮想プライベートゲートウェイの外部 IP アドレス (例: 54.84.169.196) を入力します。設定を保存して、このダイアログボックスを閉じます。

    Check Point の [Interoperable Device] ダイアログボックス

  6. 左のカテゴリーペインで、[Topology] を選択します。

  7. [VPN Domain (VPN ドメイン)] セクションで、[Manually defined (手動で定義)] を選択し、ステップ 2 で作成した空のシンプルなグループを参照して選択します。[OK] を選択してください。

  8. 2 番目のネットワークオブジェクトを作成するには、設定ファイルの IPSec Tunnel #2 セクション内の情報を使用して、ステップを繰り返します。

  9. ゲートウェイネットワークオブジェクトに移動してゲートウェイまたはクラスターオブジェクトを開き、[Topology] を選択します。

  10. [VPN Domain (VPN ドメイン)] セクションで、[Manually defined (手動で定義)] を選択し、ステップ 2 で作成した空のシンプルなグループを参照して選択します。[OK] を選択してください。

    注記

    設定済みの既存の VPN ドメインは保持できます。ただし、特に VPN ドメインが自動的に取得されている場合は、新しい VPN 接続で使用または提供されるドメインとホストがその VPN ドメインで宣言されていないことを確認してください。

注記

クラスターを使用している場合は、トポロジーを編集してインターフェイスをクラスターインターフェイスとして定義します。設定ファイルで指定された IP アドレスを使用します。

VPN コミュニティ、IKE、および IPsec 設定の作成と設定

次に、Check Point ゲートウェイに VPN コミュニティを作成し、そこに各トンネルのネットワークオブジェクト (相互運用デバイス) を追加します。また、Internet Key Exchange (IKE) および IPsec を設定します。

  1. ゲートウェイのプロパティから、カテゴリーペインの [IPSec VPN] を選択します。

  2. [Communities]、[New]、[Star Community] の順に選択します。

  3. コミュニティの名前 (例: AWS_VPN_Star) を指定し、カテゴリーペインの [Center Gateways] を選択します。

  4. [Add] を選択して、ゲートウェイまたはクラスターを参加ゲートウェイのリストに追加します。

  5. カテゴリーペインで、[Satellite Gateways]、[Add (追加)] の順に選択し、先に作成した相互運用デバイス (AWS_VPC_Tunnel_1 および AWS_VPC_Tunnel_2) を参加ゲートウェイのリストに追加します。

  6. カテゴリーペインで、[Encryption] を選択します。[Encryption Method] セクションで、[IKEv1 for IPv4 and IKEv2 for IPv6] を選択します。[Encryption Suite] セクションで、[Custom]、[Custom Encryption] の順に選択します。

    注記

    IKEv1 機能の [IKEv1 for IPv4 and IKEv2 for IPv6] オプションを選択します。

  7. ダイアログボックスで次のように暗号化プロパティを設定し、完了したら [OK] を選択します。

    • IKE Security Association (フェーズ 1) のプロパティ

      • Perform key exchange encryption with: AES-128

      • Perform data integrity with: SHA-1

    • IPsec Security Association (フェーズ 2) のプロパティ

      • Perform IPsec data encryption with: AES-128

      • Perform data integrity with: SHA-1

  8. カテゴリーペインで [Tunnel Management] を選択します。[Set Permanent Tunnels]、[On all tunnels in the community] の順に選択します。[VPN Tunnel Sharing] セクションで、[One VPN tunnel per Gateway pair] を選択します。

  9. カテゴリーペインで [Advanced Settings] を展開し、[Shared Secret] を選択します。

  10. 最初のトンネルのピア名を選択し、[Edit (編集)] を選択して、設定ファイルの IPSec Tunnel #1 セクションで指定されている事前共有キーを入力します。

  11. 2 番目のトンネルのピア名を選択し、[Edit (編集)] を選択して、設定ファイルの IPSec Tunnel #2 セクションで指定されている事前共有キーを入力します。

    Check Point の [Interoperable Shared Secret] ダイアログボックス

  12. さらに [Advanced Settings (詳細設定)] カテゴリで [Advanced VPN Properties (詳細な VPN プロパティ)] を選択し、プロパティを次のように設定して、完了したら [OK] を選択します。

    • IKE (フェーズ 1):

      • Use Diffie-Hellman group: Group 2 (1024 bit)

      • Renegotiate IKE security associations every 480 minutes

    • IPsec (フェーズ 2):

      • [Use Perfect Forward Secrecy] を選択します。

      • Use Diffie-Hellman group: Group 2 (1024 bit)

      • Renegotiate IPsec security associations every 3600 seconds

ファイアウォールルールを作成するには

次に、ファイアウォールルールとディレクショナルマッチルールを使用し、VPC とローカルネットワーク間での通信を許可するポリシーを設定します。その後、ゲートウェイにポリシーをインストールします。

  1. SmartDashboard で、ゲートウェイの [Global Properties] を選択します。カテゴリーペインで [VPN] を展開し、[Advanced] を選択します。

  2. [Enable VPN Directional Match in VPN Column] を選択し、[OK] を選択します。

  3. SmartDashboard で [Firewall] を選択し、次のルールでポリシーを作成します。

    • VPC サブネットに対して必須プロトコル経由でのローカルネットワークとの通信を許可する。

    • ローカルネットワークに対して必須プロトコル経由での VPC サブネットとの通信を許可する。

  4. VPN 列のセルのコンテキストメニューを開いて、[Edit Cell] を選択します。

  5. [VPN Match Conditions] ダイアログボックスで、[Match traffic in this direction only] を選択します。それぞれで [Add (追加)] を選択して以下のディレクショナルマッチルールを作成し、完了したら [OK] を選択します。

    • internal_clear > VPN コミュニティ (先に作成した VPN スターコミュニティ。例: AWS_VPN_Star)

    • VPN コミュニティ > VPN コミュニティ

    • VPN コミュニティ > internal_clear

  6. SmartDashboard で、[Policy]、[Install] の順に選択します。

  7. ダイアログボックスでゲートウェイを選択し、[OK] を選択してポリシーをインストールします。

tunnel_keepalive_method プロパティを変更するには

Check Point ゲートウェイでは、IKE の関連付けが停止したときに Dead Peer Detection (DPD) を使用して識別できます。永続トンネルの DPD を設定するには、永続トンネルを AWS VPN コミュニティで設定する必要があります。

デフォルトでは、VPN ゲートウェイの tunnel_keepalive_method プロパティは tunnel_test に設定されます。この値を dpd に変更する必要があります。DPD モニタリングが必要な VPN コミュニティ内の各 VPN ゲートウェイは、サードパーティー製 VPN ゲートウェイを含め、tunnel_keepalive_method プロパティで設定する必要があります。同じゲートウェイに対して異なるモニタリングメカニズムを設定することはできません。

GuiDBedit ツールを使用して tunnel_keepalive_method プロパティを更新できます。

  1. Check Point SmartDashboard を開き、[Security Management Server]、[Domain Management Server] の順に選択します。

  2. [File]、[Database Revision Control...] の順に選択し、リビジョンのスナップショットを作成します。

  3. SmartDashboard、SmartView Tracker、SmartView Monitor など、すべての SmartConsole ウィンドウを閉じます。

  4. GuiBDedit ツールを起動します。詳細については、Check Point サポートセンターの「Check Point Database Tool」という記事を参照してください。

  5. [Security Management Server]、[Domain Management Server] の順に選択します。

  6. 左上のペインで、[Table]、[Network Objects]、[network_objects] の順に選択します。

  7. 右上のペインで、関連する [Security Gateway]、[Cluster] オブジェクトを選択します。

  8. Ctrl+F キーを押すか、[Search] メニューを使用して以下を検索します。tunnel_keepalive_method

  9. 下のペインで、[tunnel_keepalive_method] のコンテキストメニューを開き、[Edit...] を選択します。[dpd]、[OK] の順に選択します。

  10. AWS VPN コミュニティの一部である各ゲートウェイに対して、ステップ 7~9 を繰り返します。

  11. [File]、[Save All] の順に選択します。

  12. GuiDBedit ツールを閉じます。

  13. Check Point SmartDashboard を開き、[Security Management Server]、[Domain Management Server] の順に選択します。

  14. 関連する [Security Gateway]、[Cluster] オブジェクトにポリシーをインストールします。

詳細については、Check Point Support Center の「New VPN features in R77.10」という記事を参照してください。

TCP MSS クランプを有効にするには

TCP MSS クランプは TCP パケットの最大セグメントサイズを小さくしてパケット断片化を防ぎます。

  1. 次のディレクトリに移動します。C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\

  2. GuiDBEdit.exe ファイルを実行して Check Point Database Tool を開きます。

  3. [Table]、[Global Properties]、[properties] の順に選択します。

  4. fw_clamp_tcp_mss で、[Edit] を選択します。値を true に変更し、[OK] を選択します。

トンネルのステータスを確認するには

エキスパートモードのコマンドラインツールから次のコマンドを実行して、トンネルの状態を確認できます。

vpn tunnelutil

表示されたオプションで、IKE 関連付けを検証するには [1] を、IPsec 関連付けを検証するには [2] を選択します。

また、Check Point Smart Tracker Log を使用して、接続内のパケットが暗号化されていることを検証できます。たとえば次のログは、VPC へのパケットがトンネル 1 経由で送信され、暗号化されていることを示します。

Check Point ログファイル
SonicWALL

SonicOS 管理インターフェイスを使用して SonicWALL デバイスを設定できます。トンネルの設定方法の詳細については、「AWS Site-to-Site VPN カスタマーゲートウェイデバイスの静的ルーティングを設定する」を参照してください。

このSonicOS 管理インターフェイスを使用して、デバイスの BGP を設定することはできません。代わりに、設定ファイル例の [BGP] というセクションの下にあるコマンドライン手順を使用します。