静的ルーティングのカスタマーゲートウェイデバイス設定の例 - AWS Site-to-Site VPN

静的ルーティングのカスタマーゲートウェイデバイス設定の例

設定ファイルの例

static-routing-examples.zip をダウンロードして、次のカスタマーゲートウェイデバイスの設定ファイルの例を表示できます。

  • Cisco ASA (Cisco ASA 8.2 以降を実行)

  • Cisco ASA (Cisco ASA 9.7.1 以降を実行)

  • Cisco IOS (Cisco IOS を実行)

  • Cisco Meraki MX シリーズ (9.0 以降を実行)

  • Citrix Netscaler CloudBridge (NS 11 以降を実行)

  • Cyberoam CR15iNG (V 10.6.5 MR-1 を実行)

  • F5 Networks BIG-IP (v12.0.0 以降を実行)

  • Fortinet Fortigate 40+ シリーズ (FortiOS 4.0 以降を実行)

  • 静的ルーティングの一般的な設定

  • H3C MSR800 (バージョン 5.20 を実行)

  • IIJ SEIL/B1 (SEIL/B1 3.70 以降を実行)

  • Mikrotik RouterOS (6.36 を実行)

  • Openswan (2.6.38 以降を実行)

  • pfSense (OS 2.2.5 以降を実行)

  • SonicWALLrunning SonicOS 5.9 または 6.2

  • Strongswan Ubuntu 16.04 (Strongswan 5.5.1 以降を実行)

  • WatchGuard XTM、Firebox (Fireware OS 11.11.4 を実行)

  • Zyxel Zywall (Zywall 4.20 以降を実行)

これらのファイルは、一部のコンポーネントにプレースホルダー値を使用します。たとえば、以下を使用します。

  • VPN 接続 ID と仮想プライベートゲートウェイ ID の値の例

  • リモート (外部) IP アドレス AWS エンドポイント (AWS_ENDPOINT_1 および AWS_ENDPOINT_2) のプレースホルダー

  • カスタマーゲートウェイデバイスのインターネットルーティング可能な外部インターフェイスの IP アドレスのプレースホルダー (your-cgw-ip-address)

  • トンネルの内部 IP アドレスの値の例。

このファイルは、プレースホルダー値の提供に加えて、ほとんどの AWS リージョンにおける IKE バージョン 1、AES128、SHA1、および DH グループ 2 の最小要件を指定します。また、認証用の事前共有キーも指定します。IKE バージョン 2、AES256、SHA256、2、14-18、22、23、24 などの他の DH グループ、およびプライベート証明書を利用するには、サンプル設定ファイルを変更する必要があります。

次の図は、カスタマーゲートウェイデバイスに設定されているさまざまなコンポーネントの概要を示しています。これには、トンネルインターフェイスの IP アドレスの値の例が含まれます。


                静的ルーティングを使用するカスタマーゲートウェイデバイス

VPN 接続設定に固有の値を含む設定ファイルをダウンロードするには、Amazon VPC コンソールを使用します。詳細については、「設定ファイルをダウンロードする」を参照してください。

静的ルーティングのユーザーインターフェイス手順

以下は、ユーザーインターフェイス (使用可能な場合) を使用してカスタマーゲートウェイデバイスを設定する手順の例です。

Check Point

以下は、デバイスが R77.10 以降を実行する Check Point Security Gateway デバイスで、デバイスが Gaia オペレーティングシステムと Check Point SmartDashboard を使用している場合に、カスタマーゲートウェイデバイスを設定するステップです。Check Point Support Center の Check Point Security Gateway IPsec VPN to Amazon Web Services VPC の記事も参照できます。

トンネルインターフェイスを設定するには

最初のステップは、VPN トンネルを作成し、各トンネル用のカスタマーゲートウェイと仮想プライベートゲートウェイのプライベート (内部) IP アドレスを提供することです。最初のトンネルを作成するには、設定ファイルの IPSec Tunnel #1 セクションで提供される情報を使用します。2 番目のトンネルを作成するには、設定ファイルの IPSec Tunnel #2 セクションで提供される値を使用します。

  1. Check Point Security Gateway デバイスの Gaia ポータルを開きます。

  2. [Network Interfaces]、[Add]、[VPN tunnel] の順に選択します。

  3. ダイアログボックスで次のように設定し、完了したら [OK] を選択します。

    • [VPN Tunnel ID] には、1 など一意の値を入力します。

    • [Peer] には、AWS_VPC_Tunnel_1 または AWS_VPC_Tunnel_2 など、トンネル用の一意の名前を入力します。

    • [Numbered] が選択されていることを確認して、[Local Address (ローカルアドレス)] に設定ファイルの CGW Tunnel IP で指定されている IP アドレス (例: 169.254.44.234) を入力します。

    • [Remote Address] には、設定ファイルの VGW Tunnel IP に指定された IP アドレス (例: 169.254.44.233) を入力します。

    
                                    Check Point の [Add VPN Tunnel] ダイアログボックス
  4. SSH でセキュリティゲートウェイに接続します。デフォルト以外のシェルを使用している場合は、次のコマンドを実行して、clish に変更します。clish

  5. トンネル 1 の場合は、次のコマンドを実行します。

    set interface vpnt1 mtu 1436

    トンネル 2 の場合は、次のコマンドを実行します。

    set interface vpnt2 mtu 1436
  6. 2 番目のトンネルを作成するには、設定ファイルの IPSec Tunnel #2 セクション内の情報を使用して、ステップを繰り返します。

静的ルートを設定するには

このステップでは、各トンネルで VPC のサブネットへの静的ルートを指定し、トラフィックをトンネルインターフェイス経由で送信できるようにします。2 番目のトンネルにより、最初のトンネルに問題がある場合のフェイルオーバーが可能になります。問題が検出されると、ポリシーベースの静的ルートがルーティングテーブルから削除され、2 番目のルートが有効化されます。また、トンネルのもう一方の端に ping を打ち、トンネルが稼働しているかどうかを確認するために、Check Point ゲートウェイを有効にする必要があります。

  1. Gaia ポータルで、[IPv4 Static Routes]、[Add] の順に選択します。

  2. サブネットの CIDR (例: 10.28.13.0/24) を指定します。

  3. [Add Gateway]、[IP Address] の順に選択します。

  4. 設定ファイルの VGW Tunnel IP に指定された IP アドレス (例: 169.254.44.233) を入力し、優先順位を 1 にします。

  5. [Ping] を選択します。

  6. 2 つめのトンネルに対して、設定ファイルの VGW Tunnel IP セクションにある IPSec Tunnel #2 の値を使用してステップ 3 および 4 を繰り返します。優先順位を 2 にします。

    
                                    Check Point の [Edit Destination Route] ダイアログボックス
  7. [Save] を選択します。

クラスターを使用している場合は、クラスターの他のメンバーで上記のステップを繰り返します。

新しいネットワークオブジェクトを定義するには

このステップでは、仮想プライベートゲートウェイのパブリック (外部) IP アドレスを指定することで各 VPN トンネル用のネットワークオブジェクトを作成します。後で、VPN コミュニティのサテライトゲートウェイとしてこれらのオブジェクトを追加します。また、VPN ドメインのプレースホルダーとして機能する空グループを作成する必要があります。

  1. Check Point SmartDashboard を開きます。

  2. [Groups] では、コンテキストメニューを開き、[Groups]、[Simple Group] の順に選択します。各ネットワークオブジェクトに対して同じグループを使用できます。

  3. [Network Objects] では、コンテキストメニュー (右クリック) を開き、[New]、[Interoperable Device] の順に選択します。

  4. [Name (名前)] には、トンネル用に指定した名前 (例: AWS_VPC_Tunnel_1 または AWS_VPC_Tunnel_2) を入力します。

  5. [IPv4 Address] には、設定ファイルで提供される仮想プライベートゲートウェイの外部 IP アドレス (例: 54.84.169.196) を入力します。設定を保存して、このダイアログボックスを閉じます。

    
                                    Check Point の [Interoperable Device] ダイアログボックス
  6. SmartDashboard でゲートウェイのプロパティを開き、カテゴリーペインで [Topology] を選択します。

  7. インターフェイス設定を取得するには、[Get Topology] を選択します。

  8. [VPN Domain (VPN ドメイン)] セクションで、[Manually defined (手動で定義)] を選択し、ステップ 2 で作成した空のシンプルなグループを参照して選択します。[OK] を選択します。

    注記

    設定済みの既存の VPN ドメインは保持できます。ただし、特に VPN ドメインが自動的に取得されている場合は、新しい VPN 接続で使用または提供されるドメインとホストがその VPN ドメインで宣言されていないことを確認してください。

  9. 2 番目のネットワークオブジェクトを作成するには、設定ファイルの IPSec Tunnel #2 セクション内の情報を使用して、ステップを繰り返します。

注記

クラスターを使用している場合は、トポロジーを編集してインターフェイスをクラスターインターフェイスとして定義します。設定ファイルで指定された IP アドレスを使用します。

VPN コミュニティ、IKE、および IPsec 設定の作成と設定

このステップでは、Check Point ゲートウェイに VPN コミュニティを作成し、そこに各トンネルのネットワークオブジェクト (相互運用デバイス) を追加します。また、Internet Key Exchange (IKE) および IPsec を設定します。

  1. ゲートウェイのプロパティから、カテゴリーペインの [IPSec VPN] を選択します。

  2. [Communities]、[New]、[Star Community] の順に選択します。

  3. コミュニティの名前 (例: AWS_VPN_Star) を指定し、カテゴリーペインの [Center Gateways] を選択します。

  4. [Add] を選択して、ゲートウェイまたはクラスターを参加ゲートウェイのリストに追加します。

  5. カテゴリーペインで、[Satellite Gateways]、[Add (追加)] の順に選択し、先に作成した相互運用デバイス (AWS_VPC_Tunnel_1 および AWS_VPC_Tunnel_2) を参加ゲートウェイのリストに追加します。

  6. カテゴリーペインで、[Encryption] を選択します。[Encryption Method] セクションで、[IKEv1 only] を選択します。[Encryption Suite] セクションで、[Custom]、[Custom Encryption] の順に選択します。

  7. ダイアログボックスで次のように暗号化プロパティを設定し、完了したら [OK] を選択します。

    • IKE Security Association (フェーズ 1) のプロパティ

      • Perform key exchange encryption with: AES-128

      • Perform data integrity with: SHA-1

    • IPsec Security Association (フェーズ 2) のプロパティ

      • Perform IPsec data encryption with: AES-128

      • Perform data integrity with: SHA-1

  8. カテゴリーペインで [Tunnel Management] を選択します。[Set Permanent Tunnels]、[On all tunnels in the community] の順に選択します。[VPN Tunnel Sharing] セクションで、[One VPN tunnel per Gateway pair] を選択します。

  9. カテゴリーペインで [Advanced Settings] を展開し、[Shared Secret] を選択します。

  10. 最初のトンネルのピア名を選択し、[Edit (編集)] を選択して、設定ファイルの IPSec Tunnel #1 セクションで指定されている事前共有キーを入力します。

  11. 2 番目のトンネルのピア名を選択し、[Edit (編集)] を選択して、設定ファイルの IPSec Tunnel #2 セクションで指定されている事前共有キーを入力します。

    
                                    Check Point の [Interoperable Shared Secret] ダイアログボックス
  12. さらに [Advanced Settings (詳細設定)] カテゴリで [Advanced VPN Properties (詳細な VPN プロパティ)] を選択し、プロパティを次のように設定して、完了したら [OK] を選択します。

    • IKE (フェーズ 1):

      • Use Diffie-Hellman group: Group 2

      • Renegotiate IKE security associations every 480 minutes

    • IPsec (フェーズ 2):

      • [Use Perfect Forward Secrecy] を選択します。

      • Use Diffie-Hellman group: Group 2

      • Renegotiate IPsec security associations every 3600 seconds

ファイアウォールルールを作成するには

このステップでは、ファイアウォールルールとディレクショナルマッチルールを使用し、VPC とローカルネットワーク間での通信を許可するポリシーを設定します。その後、ゲートウェイにポリシーをインストールします。

  1. SmartDashboard で、ゲートウェイの [Global Properties] を選択します。カテゴリーペインで [VPN] を展開し、[Advanced] を選択します。

  2. [Enable VPN Directional Match in VPN Column] を選択し、変更を保存します。

  3. SmartDashboard で [Firewall] を選択し、次のルールでポリシーを作成します。

    • VPC サブネットに対して必須プロトコル経由でのローカルネットワークとの通信を許可する。

    • ローカルネットワークに対して必須プロトコル経由での VPC サブネットとの通信を許可する。

  4. VPN 列のセルのコンテキストメニューを開いて、[Edit Cell] を選択します。

  5. [VPN Match Conditions] ダイアログボックスで、[Match traffic in this direction only] を選択します。それぞれで [Add] を選択してディレクショナルマッチルールを作成し、完了したら [OK] を選択します。

    • internal_clear > VPN コミュニティ (先に作成した VPN スターコミュニティ。例: AWS_VPN_Star)

    • VPN コミュニティ > VPN コミュニティ

    • VPN コミュニティ > internal_clear

  6. SmartDashboard で、[Policy]、[Install] の順に選択します。

  7. ダイアログボックスでゲートウェイを選択し、[OK] を選択してポリシーをインストールします。

tunnel_keepalive_method プロパティを変更するには

Check Point ゲートウェイでは、IKE の関連付けが停止したときに Dead Peer Detection (DPD) を使用して識別できます。永続トンネルに対して DPD を設定するには、永続トンネルが AWS VPN コミュニティで設定されている必要があります (ステップ 8 を参照)。

デフォルトでは、VPN ゲートウェイの tunnel_keepalive_method プロパティは tunnel_test に設定されます。この値を dpd に変更する必要があります。DPD モニタリングが必要な VPN コミュニティ内の各 VPN ゲートウェイは、サードパーティー製 VPN ゲートウェイを含め、tunnel_keepalive_method プロパティで設定する必要があります。同じゲートウェイに対して異なるモニタリングメカニズムを設定することはできません。

GuiDBedit ツールを使用して tunnel_keepalive_method プロパティを更新できます。

  1. Check Point SmartDashboard を開き、[Security Management Server]、[Domain Management Server] の順に選択します。

  2. [File]、[Database Revision Control...] の順に選択し、リビジョンのスナップショットを作成します。

  3. SmartDashboard、SmartView Tracker、SmartView Monitor など、すべての SmartConsole ウィンドウを閉じます。

  4. GuiBDedit ツールを起動します。詳細については、Check Point サポートセンターの「Check Point Database Tool」という記事を参照してください。

  5. [Security Management Server]、[Domain Management Server] の順に選択します。

  6. 左上のペインで、[Table]、[Network Objects]、[network_objects] の順に選択します。

  7. 右上のペインで、関連する [Security Gateway]、[Cluster] オブジェクトを選択します。

  8. Ctrl+F キーを押すか、[Search] メニューを使用して以下を検索します。tunnel_keepalive_method

  9. 下のペインで、[tunnel_keepalive_method] のコンテキストメニューを開き、[Edit... (編集...)] を選択します。[dpd] を選択し、[OK] を選択します。

  10. AWS VPN コミュニティの一部である各ゲートウェイに対して、ステップ 7~9 を繰り返します。

  11. [File]、[Save All] の順に選択します。

  12. GuiDBedit ツールを閉じます。

  13. Check Point SmartDashboard を開き、[Security Management Server]、[Domain Management Server] の順に選択します。

  14. 関連する [Security Gateway]、[Cluster] オブジェクトにポリシーをインストールします。

詳細については、Check Point Support Center の「New VPN features in R77.10」という記事を参照してください。

TCP MSS クランプを有効にするには

TCP MSS クランプは TCP パケットの最大セグメントサイズを小さくしてパケット断片化を防ぎます。

  1. 次のディレクトリに移動します。C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\

  2. GuiDBEdit.exe ファイルを実行して Check Point Database Tool を開きます。

  3. [Table]、[Global Properties]、[properties] の順に選択します。

  4. fw_clamp_tcp_mss で、[Edit] を選択します。値を true に変更し、[OK] を選択します。

トンネルのステータスを確認するには

エキスパートモードのコマンドラインツールから次のコマンドを実行して、トンネルの状態を確認できます。

vpn tunnelutil

表示されたオプションで、IKE 関連付けを検証するには [1] を、IPsec 関連付けを検証するには [2] を選択します。

また、Check Point Smart Tracker Log を使用して、接続内のパケットが暗号化されていることを検証できます。たとえば次のログは、VPC へのパケットがトンネル 1 経由で送信され、暗号化されていることを示します。


                            Check Point ログファイル
SonicWALL

次の手順では、SonicOS 管理インターフェイスを使用して SonicWALL デバイスに VPN トンネルを設定する方法を説明します。

トンネルを設定するには

  1. SonicWALL SonicOS 管理インターフェイスを開きます。

  2. 左側のペインで、[VPN]、[Settings] の順に選択します。[VPN Policies] の下で、[Add...] を選択します。

  3. [General] タブの VPN ポリシーウィンドウで、次の情報を入力します。

    • [Policy Type: [Tunnel Interface] を選択します。

    • [Authentication Method]: [IKE using Preshared Secret] を選択します。

    • [Name]: VPN ポリシーの名前を入力します。設定ファイルに記載されている通り、VPN ID 名を使用することをお勧めします。

    • IPsec Primary Gateway Name or Address: 設定ファイルに記載されている通り、仮想プライベートゲートウェイの IP アドレス (例: 72.21.209.193) を入力します。

    • IPsec Secondary Gateway Name or Address: デフォルト値のままにします。

    • Shared Secret: 設定ファイルに記載されている通りに事前共有キーを入力後、[Confirm Shared Secret] で再入力します。

    • Local IKE ID: カスタマーゲートウェイ (SonicWALL デバイス) の IPv4 アドレスを入力します。

    • Peer IKE ID: 仮想プライベートゲートウェイの IPv4 アドレスを入力します。

  4. [Network] タブで、次の情報を入力します。

    • [Local Networks] で、[Any address] を選択します。このオプションを使用して、ローカルネットワーク接続の問題を防ぐことをお勧めします。

    • [Remote Networks] で、[Choose a destination network from list] を選択します。AWS 内に VPC の CIDR を持つアドレスオブジェクトを作成します。

  5. [Proposals (提案)] タブで、次の情報を入力します。

    • [IKE (Phase 1) Proposal] で、以下の作業を行います。

      • Exchange: [Main Mode] を選択します。

      • DH Group: Diffie-Hellman Group の値 (例: 2) を入力します。

      • Encryption: [AES-128] または [AES-256] を選択します。

      • Authentication: [SHA1] または [SHA256] を選択します。

      • Life Time: 28800 と入力します。

    • [IKE (Phase 2) Proposal] で、以下の作業を行います。

      • Protocol: [ESP] を選択します。

      • Encryption: [AES-128] または [AES-256] を選択します。

      • Authentication: [SHA1] または [SHA256] を選択します。

      • [Enable Perfect Forward Secrecy] チェックボックスをオンにし、Diffie-Hellman group を選択します。

      • Life Time: 3600 と入力します。

    重要

    仮想プライベートゲートウェイを作成したのが 2015 年 10 月より前の場合は、両方のフェーズで Diffie-Hellman group 2、AES-128、SHA1 を指定する必要があります。

  6. [Advanced] タブで、次の情報を入力します。

    • [Enable Keep Alive] を選択します。

    • [Enable Phase2 Dead Peer Detection] を選択し、次のように入力します。

      • [Dead Peer Detection Interval] に、60 (SonicWALL デバイスで入力可能な最小値) と入力します。

      • [Failure Trigger Level] で、3 と入力します。

    • [VPN Policy bound to] で、[Interface X1] を選択します。パブリック IP アドレスで一般的に指定されたインターフェイスです。

  7. [OK] を選択します。[Settings] ページで、トンネルの [Enable] チェックボックスをデフォルトでオンにします。緑の点は、トンネルが稼働していることを表します。

Cisco デバイスの追加情報

一部の Cisco ASA ではアクティブ/スタンバイモードのみがサポートされています。これらの Cisco ASA を使用する場合は、アクティブなトンネルを一度に 1 個のみ保持できます。最初のトンネルが利用不可になった場合は、他方のスタンバイトンネルがアクティブになります。この冗長化では、常にいずれかのトンネルを経由して VPC への接続を保持する必要があります。

バージョン 9.7.1 以降の Cisco ASA は、アクティブ/アクティブモードをサポートします。これらの Cisco ASA を使用する場合は、両方のトンネルを同時にアクティブにすることができます。この冗長化では、常にいずれかのトンネルを経由して VPC への接続を保持する必要があります。

Cisco デバイスの場合は、次の作業を行う必要があります。

  • 外部インターフェイスを設定します。

  • Crypto ISAKMP Policy Sequence の数値が一意であることを確認します。

  • Crypto List Policy Sequence の数値が一意であることを確認します。

  • Crypto IPsec Transform Set および Crypto ISAKMP Policy Sequence と、デバイスに設定された他のすべての IPsec トンネルの整合性が確保されていることを確認します。

  • SLA モニタリング番号が一意であることを確認します。

  • カスタマーゲートウェイデバイスとローカルネットワークとの間でトラフィックを動かす内部ルーティングをすべて設定します。

テスト

Site-to-Site VPN 接続のテストの詳細については、「Site-to-Site VPN 接続のテスト」を参照してください。