動的ルーティング (BGP) のカスタマーゲートウェイデバイス設定の例 - AWS Site-to-Site VPN

動的ルーティング (BGP) のカスタマーゲートウェイデバイス設定の例

設定ファイルの例

dynamic-routing-examples.zip をダウンロードして、次のカスタマーゲートウェイデバイスの設定ファイルの例を表示できます。

  • Barracuda NextGen Firewall F シリーズ 6.2 以降を実行

  • Cisco ASA (Cisco ASA 9.7.1 以降を実行)

  • Cisco IOS (Cisco IOS 12.4 以降を実行)

  • F5 Networks BIG-IP (v12.0.0 以降を実行)

  • Fortinet FortiGate 40 以降

  • 動的ルーティングの一般的な設定

  • H3C MSR800 (バージョン 5.20 を実行)

  • IIJ SEIL/B1 (SEIL/B1 3.70 以降を実行)

  • Juniper J-Series (JunOS 9.5 以降を実行)

  • Juniper SRX (JunOS 11.0以降を実行)

  • Juniper SSG または Netscreen series (Juniper ScreenOS 6.1 以降を実行)

  • Mikrotik RouterOS (6.36 を実行)

  • Palo Alto Networks (PANOS 4.1.2 以降を実行)

  • SonicWALL (SonicOS 5.9 または 6.2 を実行)

  • Sophos ASG (V8.300 以降を実行)

  • Vyatta (Network OS 6.5 以降を実行)

  • WatchGuard XTM、Firebox (Fireware OS 11.12.2 以降を実行)

  • Yamaha RT107e、RTX1200、RTX1210、RTX1500、RTX3000、または SRT100

  • Zyxel ZyWALL (ZLD 4.3 以降を実行)

これらのファイルは、一部のコンポーネントにプレースホルダー値を使用します。たとえば、以下を使用します。

  • VPN 接続 ID と仮想プライベートゲートウェイ ID の値の例

  • リモート (外部) IP アドレス AWS エンドポイント (AWS_ENDPOINT_1 および AWS_ENDPOINT_2) のプレースホルダー

  • カスタマーゲートウェイデバイスのインターネットルーティング可能な外部インターフェイスの IP アドレスのプレースホルダー (your-cgw-ip-address) および BGP ASN。

  • トンネルの内部 IP アドレスの値の例。

このファイルは、プレースホルダー値の提供に加えて、ほとんどの AWS リージョンにおける IKE バージョン 1、AES128、SHA1、および DH グループ 2 の最小要件を指定します。また、認証用の事前共有キーも指定します。IKE バージョン 2、AES256、SHA256、2、14-18、22、23、24 などの他の DH グループ、およびプライベート証明書を利用するには、サンプル設定ファイルを変更する必要があります。

次の図は、カスタマーゲートウェイデバイスに設定されているさまざまなコンポーネントの概要を示しています。これには、トンネルインターフェイスの IP アドレスの値の例が含まれます。


                動的ルーティングを使用するカスタマーゲートウェイデバイス

VPN 接続設定に固有の値を含む設定ファイルをダウンロードするには、Amazon VPC コンソールを使用する必要があります。詳細については、「設定ファイルをダウンロードする」を参照してください。

動的ルーティングのユーザーインターフェイス手順

以下は、ユーザーインターフェイス (使用可能な場合) を使用してカスタマーゲートウェイデバイスを設定する手順の例です。

Check Point

以下は、Gaia ウェブポータルと Check Point SmartDashboard を使用して、R77.10 以降を実行する Check Point Security Gateway デバイスを設定するステップです。また、Check Point Support Center の Amazon Web Services (AWS) VPN BGP の記事も参照してください。

トンネルインターフェイスを設定するには

最初のステップは、VPN トンネルを作成し、各トンネル用のカスタマーゲートウェイと仮想プライベートゲートウェイのプライベート (内部) IP アドレスを提供することです。最初のトンネルを作成するには、設定ファイルの IPSec Tunnel #1 セクションで提供される情報を使用します。2 番目のトンネルを作成するには、設定ファイルの IPSec Tunnel #2 セクションで提供される値を使用します。

  1. SSH でセキュリティゲートウェイに接続します。デフォルト以外のシェルを使用している場合は、次のコマンドを実行して、clish に変更します。clish

  2. 次のコマンドを使用して、カスタマーゲートウェイ ASN (AWS にカスタマーゲートウェイが作成されたときに提供された ASN) を設定します。

    set as 65000
  3. 設定ファイルの IPSec Tunnel #1 セクションで提供されている情報を使用して、最初のトンネル用のトンネルインターフェイスを作成します。AWS_VPC_Tunnel_1 など、トンネルに一意の名前をつけます。

    add vpn tunnel 1 type numbered local 169.254.44.234 remote 169.254.44.233 peer AWS_VPC_Tunnel_1 set interface vpnt1 state on set interface vpnt1 mtu 1436
  4. 2 番目のトンネルを作成するには、設定ファイルの IPSec Tunnel #2 セクションで提供されている情報を使用して、コマンドを繰り返します。AWS_VPC_Tunnel_2 など、トンネルに一意の名前をつけます。

    add vpn tunnel 1 type numbered local 169.254.44.38 remote 169.254.44.37 peer AWS_VPC_Tunnel_2 set interface vpnt2 state on set interface vpnt2 mtu 1436
  5. 仮想プライベートゲートウェイ ASN を設定します。

    set bgp external remote-as 7224 on
  6. 最初のトンネルの BGP を、設定ファイルの IPSec Tunnel #1 セクションで提供される情報を使用して設定します。

    set bgp external remote-as 7224 peer 169.254.44.233 on set bgp external remote-as 7224 peer 169.254.44.233 holdtime 30 set bgp external remote-as 7224 peer 169.254.44.233 keepalive 10
  7. 2 番目のトンネルの BGP を、設定ファイルの IPSec Tunnel #2 セクションで提供される情報を使用して設定します。

    set bgp external remote-as 7224 peer 169.254.44.37 on set bgp external remote-as 7224 peer 169.254.44.37 holdtime 30 set bgp external remote-as 7224 peer 169.254.44.37 keepalive 10
  8. 設定を保存します。

    save config

BGP ポリシーを作成するには

次に、AWS によってアドバタイズされたルートのインポートを許可する BGP ポリシーを作成します。次に、ローカルルートを AWS にアドバタイズするようにカスタマーゲートウェイを設定します。

  1. Gaia WebUI で、[Advanced Routing]、[Inbound Route Filters] を選択します。[Add] を選択し、[Add BGP Policy (Based on AS)] を選択します。

  2. [Add BGP Policy (BGP ポリシーの追加)] の最初のフィールドで 512 から 1024 までの範囲の値を選択し、2 番目のフィールドに仮想プライベートゲートウェイ ASN (例: 7224) を入力します。

  3. [Save] を選択します。

ローカルルートをアドバタイズするには

次のステップは、ローカルインターフェイスルートを分散するためのものです。また、静的ルーティングや、動的ルーティングプロトコルによって得られたルーティングなど、さまざまなソースからのルートを再分散できます。詳細については、「Gaia Advanced Routing R77 Versions Administration Guide」を参照してください。

  1. Gaia WebUI で、[Advanced Routing]、[Routing Redistribution] の順に選択します。[Add Redistribution From]、[Interface (インターフェイス)] の順に選択します。

  2. [To Protocol] で、仮想プライベートゲートウェイ ASN; (例: 7224) を選択します。

  3. [Interface] では内部インターフェイスを選択します。[Save] を選択します。

新しいネットワークオブジェクトを定義するには

次に、仮想プライベートゲートウェイのパブリック (外部) IP アドレスを指定して、各 VPN トンネル用のネットワークオブジェクトを作成します。後で、VPN コミュニティのサテライトゲートウェイとしてこれらのオブジェクトを追加します。また、VPN ドメインのプレースホルダーとして機能する空グループを作成する必要があります。

  1. Check Point SmartDashboard を開きます。

  2. [Groups] では、コンテキストメニューを開き、[Groups]、[Simple Group] の順に選択します。各ネットワークオブジェクトに対して同じグループを使用できます。

  3. [Network Objects] では、コンテキストメニュー (右クリック) を開き、[New]、[Interoperable Device] の順に選択します。

  4. [Name (名前)] には、ステップ 1 でトンネル用に指定した名前 (例: AWS_VPC_Tunnel_1 または AWS_VPC_Tunnel_2) を入力します。

  5. [IPv4 Address] には、設定ファイルで提供される仮想プライベートゲートウェイの外部 IP アドレス (例: 54.84.169.196) を入力します。設定を保存して、このダイアログボックスを閉じます。

    
                                    Check Point の [Interoperable Device] ダイアログボックス
  6. 左のカテゴリーペインで、[Topology] を選択します。

  7. [VPN Domain (VPN ドメイン)] セクションで、[Manually defined (手動で定義)] を選択し、ステップ 2 で作成した空のシンプルなグループを参照して選択します。[OK] を選択します。

  8. 2 番目のネットワークオブジェクトを作成するには、設定ファイルの IPSec Tunnel #2 セクション内の情報を使用して、ステップを繰り返します。

  9. ゲートウェイネットワークオブジェクトに移動してゲートウェイまたはクラスターオブジェクトを開き、[Topology] を選択します。

  10. [VPN Domain (VPN ドメイン)] セクションで、[Manually defined (手動で定義)] を選択し、ステップ 2 で作成した空のシンプルなグループを参照して選択します。[OK] を選択します。

    注記

    設定済みの既存の VPN ドメインは保持できます。ただし、特に VPN ドメインが自動的に取得されている場合は、新しい VPN 接続で使用または提供されるドメインとホストがその VPN ドメインで宣言されていないことを確認してください。

注記

クラスターを使用している場合は、トポロジーを編集してインターフェイスをクラスターインターフェイスとして定義します。設定ファイルで指定された IP アドレスを使用します。

VPN コミュニティ、IKE、および IPsec 設定の作成と設定

次に、Check Point ゲートウェイに VPN コミュニティを作成し、そこに各トンネルのネットワークオブジェクト (相互運用デバイス) を追加します。また、Internet Key Exchange (IKE) および IPsec を設定します。

  1. ゲートウェイのプロパティから、カテゴリーペインの [IPSec VPN] を選択します。

  2. [Communities]、[New]、[Star Community] の順に選択します。

  3. コミュニティの名前 (例: AWS_VPN_Star) を指定し、カテゴリーペインの [Center Gateways] を選択します。

  4. [Add] を選択して、ゲートウェイまたはクラスターを参加ゲートウェイのリストに追加します。

  5. カテゴリーペインで、[Satellite Gateways]、[Add (追加)] の順に選択し、先に作成した相互運用デバイス (AWS_VPC_Tunnel_1 および AWS_VPC_Tunnel_2) を参加ゲートウェイのリストに追加します。

  6. カテゴリーペインで、[Encryption] を選択します。[Encryption Method] セクションで、[IKEv1 for IPv4 and IKEv2 for IPv6] を選択します。[Encryption Suite] セクションで、[Custom]、[Custom Encryption] の順に選択します。

    注記

    IKEv1 機能の [IKEv1 for IPv4 and IKEv2 for IPv6] オプションを選択します。

  7. ダイアログボックスで次のように暗号化プロパティを設定し、完了したら [OK] を選択します。

    • IKE Security Association (フェーズ 1) のプロパティ

      • Perform key exchange encryption with: AES-128

      • Perform data integrity with: SHA-1

    • IPsec Security Association (フェーズ 2) のプロパティ

      • Perform IPsec data encryption with: AES-128

      • Perform data integrity with: SHA-1

  8. カテゴリーペインで [Tunnel Management] を選択します。[Set Permanent Tunnels]、[On all tunnels in the community] の順に選択します。[VPN Tunnel Sharing] セクションで、[One VPN tunnel per Gateway pair] を選択します。

  9. カテゴリーペインで [Advanced Settings] を展開し、[Shared Secret] を選択します。

  10. 最初のトンネルのピア名を選択し、[Edit (編集)] を選択して、設定ファイルの IPSec Tunnel #1 セクションで指定されている事前共有キーを入力します。

  11. 2 番目のトンネルのピア名を選択し、[Edit (編集)] を選択して、設定ファイルの IPSec Tunnel #2 セクションで指定されている事前共有キーを入力します。

    
                                    Check Point の [Interoperable Shared Secret] ダイアログボックス
  12. さらに [Advanced Settings (詳細設定)] カテゴリで [Advanced VPN Properties (詳細な VPN プロパティ)] を選択し、プロパティを次のように設定して、完了したら [OK] を選択します。

    • IKE (フェーズ 1):

      • [Use Diffie-Hellman group]: Group 2 (1024 bit)

      • Renegotiate IKE security associations every 480 minutes

    • IPsec (フェーズ 2):

      • [Use Perfect Forward Secrecy] を選択します。

      • [Use Diffie-Hellman group]: Group 2 (1024 bit)

      • Renegotiate IPsec security associations every 3600 seconds

ファイアウォールルールを作成するには

次に、ファイアウォールルールとディレクショナルマッチルールを使用し、VPC とローカルネットワーク間での通信を許可するポリシーを設定します。その後、ゲートウェイにポリシーをインストールします。

  1. SmartDashboard で、ゲートウェイの [Global Properties] を選択します。カテゴリーペインで [VPN] を展開し、[Advanced] を選択します。

  2. [Enable VPN Directional Match in VPN Column] を選択し、[OK] を選択します。

  3. SmartDashboard で [Firewall] を選択し、次のルールでポリシーを作成します。

    • VPC サブネットに対して必須プロトコル経由でのローカルネットワークとの通信を許可する。

    • ローカルネットワークに対して必須プロトコル経由での VPC サブネットとの通信を許可する。

  4. VPN 列のセルのコンテキストメニューを開いて、[Edit Cell] を選択します。

  5. [VPN Match Conditions] ダイアログボックスで、[Match traffic in this direction only] を選択します。それぞれで [Add (追加)] を選択して以下のディレクショナルマッチルールを作成し、完了したら [OK] を選択します。

    • internal_clear > VPN コミュニティ (先に作成した VPN スターコミュニティ。例: AWS_VPN_Star)

    • VPN コミュニティ > VPN コミュニティ

    • VPN コミュニティ > internal_clear

  6. SmartDashboard で、[Policy]、[Install] の順に選択します。

  7. ダイアログボックスでゲートウェイを選択し、[OK] を選択してポリシーをインストールします。

tunnel_keepalive_method プロパティを変更するには

Check Point ゲートウェイでは、IKE の関連付けが停止したときに Dead Peer Detection (DPD) を使用して識別できます。永続トンネルに対して DPD を設定するには、永続トンネルが AWS VPN コミュニティで設定されている必要があります。

デフォルトでは、VPN ゲートウェイの tunnel_keepalive_method プロパティは tunnel_test に設定されます。この値を dpd に変更する必要があります。DPD モニタリングが必要な VPN コミュニティ内の各 VPN ゲートウェイは、サードパーティー製 VPN ゲートウェイを含め、tunnel_keepalive_method プロパティで設定する必要があります。同じゲートウェイに対して異なるモニタリングメカニズムを設定することはできません。

GuiDBedit ツールを使用して tunnel_keepalive_method プロパティを更新できます。

  1. Check Point SmartDashboard を開き、[Security Management Server]、[Domain Management Server] の順に選択します。

  2. [File]、[Database Revision Control...] の順に選択し、リビジョンのスナップショットを作成します。

  3. SmartDashboard、SmartView Tracker、SmartView Monitor など、すべての SmartConsole ウィンドウを閉じます。

  4. GuiBDedit ツールを起動します。詳細については、Check Point サポートセンターの「Check Point Database Tool」という記事を参照してください。

  5. [Security Management Server]、[Domain Management Server] の順に選択します。

  6. 左上のペインで、[Table]、[Network Objects]、[network_objects] の順に選択します。

  7. 右上のペインで、関連する [Security Gateway]、[Cluster] オブジェクトを選択します。

  8. Ctrl+F キーを押すか、[Search] メニューを使用して以下を検索します。tunnel_keepalive_method

  9. 下のペインで、[tunnel_keepalive_method] のコンテキストメニューを開き、[Edit...] を選択します。[dpd]、[OK] の順に選択します。

  10. AWS VPN コミュニティの一部である各ゲートウェイに対して、ステップ 7~9 を繰り返します。

  11. [File]、[Save All] の順に選択します。

  12. GuiDBedit ツールを閉じます。

  13. Check Point SmartDashboard を開き、[Security Management Server]、[Domain Management Server] の順に選択します。

  14. 関連する [Security Gateway]、[Cluster] オブジェクトにポリシーをインストールします。

詳細については、Check Point Support Center の「New VPN features in R77.10」という記事を参照してください。

TCP MSS クランプを有効にするには

TCP MSS クランプは TCP パケットの最大セグメントサイズを小さくしてパケット断片化を防ぎます。

  1. 次のディレクトリに移動します。C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\

  2. GuiDBEdit.exe ファイルを実行して Check Point Database Tool を開きます。

  3. [Table]、[Global Properties]、[properties] の順に選択します。

  4. fw_clamp_tcp_mss で、[Edit] を選択します。値を true に変更し、[OK] を選択します。

トンネルのステータスを確認するには

エキスパートモードのコマンドラインツールから次のコマンドを実行して、トンネルの状態を確認できます。

vpn tunnelutil

表示されたオプションで、IKE 関連付けを検証するには [1] を、IPsec 関連付けを検証するには [2] を選択します。

また、Check Point Smart Tracker Log を使用して、接続内のパケットが暗号化されていることを検証できます。たとえば次のログは、VPC へのパケットがトンネル 1 経由で送信され、暗号化されていることを示します。


                            Check Point ログファイル
SonicWALL

SonicOS 管理インターフェイスを使用して SonicWALL デバイスを設定できます。トンネルの設定方法の詳細については、「静的ルーティングのユーザーインターフェイス手順」を参照してください。

このSonicOS 管理インターフェイスを使用して、デバイスの BGP を設定することはできません。代わりに、設定ファイル例の [BGP] というセクションの下にあるコマンドライン手順を使用します。

Cisco デバイスの追加情報

一部の Cisco ASA ではアクティブ/スタンバイモードのみがサポートされています。これらの Cisco ASA を使用する場合は、アクティブなトンネルを一度に 1 個のみ保持できます。最初のトンネルが利用不可になった場合は、他方のスタンバイトンネルがアクティブになります。この冗長化では、常にいずれかのトンネルを経由して VPC への接続を保持する必要があります。

バージョン 9.7.1 以降の Cisco ASA は、アクティブ/アクティブモードをサポートします。これらの Cisco ASA を使用する場合は、両方のトンネルを同時にアクティブにすることができます。この冗長化では、常にいずれかのトンネルを経由して VPC への接続を保持する必要があります。

Cisco デバイスの場合は、次の作業を行う必要があります。

  • 外部インターフェイスを設定します。

  • Crypto ISAKMP Policy Sequence の数値が一意であることを確認します。

  • Crypto List Policy Sequence の数値が一意であることを確認します。

  • Crypto IPsec Transform Set および Crypto ISAKMP Policy Sequence と、デバイスに設定された他のすべての IPsec トンネルの整合性が確保されていることを確認します。

  • SLA モニタリング番号が一意であることを確認します。

  • カスタマーゲートウェイデバイスとローカルネットワークとの間でトラフィックを移動させるすべての内部ルーティングを設定します。

Juniper デバイスの追加情報

次の情報は、Juniper J シリーズおよび SRX カスタマーゲートウェイデバイスの設定ファイルの例に適用されます。

  • 外部インターフェイスは ge-0/0/0.0 と呼ばれます。

  • トンネルインターフェイス ID は st0.1 および st0.2 と呼ばれます。

  • アップリンクインターフェイスのセキュリティゾーンを確実に特定します (設定情報ではデフォルトゾーンの 'untrust' を使用します)。

  • 内部インターフェイスのセキュリティゾーンを確実に特定します (設定情報ではデフォルトゾーンの 'trust' を使用します)。

テスト

Site-to-Site VPN 接続のテストの詳細については、「Site-to-Site VPN 接続のテスト」を参照してください。