MENU
ネットワーク設計構築をする人に役立つサイト
  1. ホーム
  2. PaloAlto
  3. Palo Alto IPsec VPN の設定例(対向: Cisco ルータ)

Palo Alto IPsec VPN の設定例(対向: Cisco ルータ)

PaloAlto
目次

動作確認環境

  • PA-200
    • Version 8.1.19

IPsec VPN 検証構成

以下の構成で Palo Alto と Cisco ルータの間で IPsec VPN を構築します。

なお、今回はルートベースの VPN を設定します。

Palo Alto: IPsec VPN 設定手順

Palo Alto ファイアウォール でIPsec VPN を設定するためには以下の手順で設定します。

  1. LAN/WAN 物理インターフェースの設定
  2. Tunnel インターフェースの設定
  3. IKE 暗号の設定
  4. IKE ゲートウェイの設定
  5. IPsec 暗号の設定
  6. IPsec トンネルの設定
  7. スタティックルートの設定
  8. セキュリティポリシーの設定

①LAN/WAN 物理インターフェースの設定

物理インターフェースの設定では普通にレイヤ3インターフェースの設定を行います。

検証環境では以下内容で設定しました。

  • ethernet1/1 (WAN 側)
    • タイプ: レイヤー3
    • 仮想ルータ: default
    • ゾーン: Untrust
    • IP アドレス: 10.1.1.1/24
  • ethernet1/2 (LAN 側)
    • タイプ: レイヤー3
    • 仮想ルータ: default
    • ゾーン: Trust
    • IP アドレス: 10.1.2.1/24

②Tunnel インターフェースの設定

Tunnel インターフェースの設定は [Network → インターフェイス] 画面の [トンネル] タブから行います。画面下部の [追加] をクリックします。

トンネルインターフェース設定画面が表示されるため設定していきます。

まず画面右上の欄でトンネルインターフェース ID を設定します。検証環境では 1 にしています。また画面下部で仮想ルータとゾーンを設定します。ゾーンはレイヤー3ゾーンから選択します。

次に IPv4 タブで IP アドレスを設定します。

必要に応じてインターフェース管理プロファイルを設定します。

以上でトンネルインターフェースの設定は完了です。

③IKE 暗号の設定

IKE 暗号を設定するためには [Network → IKE 暗号] 画面の下側の [追加] をクリックします。

以下の IKE 暗号プロファイルの設定画面が表示されるため、各項目を設定します。

検証環境では以下の通り設定しました。

  • 名前: ike-crypto
  • DH グループ: group14
  • 認証アルゴリズム: sha256
  • 暗号化アルゴリズム: aes-128-cbc
  • タイマー: デフォルト

以上で IKE 暗号の設定は完了です。

④IKE ゲートウェイの設定

IKE ゲートウェイを設定するためには [Network → IKE ゲートウェイ] 画面の下側の [追加] をクリックします。

IKE ゲートウェイ設定画面が表示されるため、各項目を設定していきます。

検証環境では以下の設定をしました。

  • 名前: ike-gateway
  • バージョン: IKEv1 only mode
  • アドレスタイプ: IPv4
  • インターフェイス: ethernet1/1 (WAN 側の物理インターフェース)
  • ローカル IP アドレス: 10.1.1.1/24 (上で指定したインターフェースの IP アドレス)
  • ピアIPアドレスタイプ: IP
  • ピアアドレス: 10.1.1.254 (ピア VPN 装置の WAN 側の物理インターフェースの IP アドレス)
  • 認証: Pre-Shared Key (事前共有鍵方式)
  • 事前共有鍵: password
  • ローカルID/ピア ID: None

続いて詳細オプションタブも設定していきます。

  • パッシブモードを有効にする: OFF (デフォルト)
  • NAT トラバーサルを有効にする: OFF (デフォルト)
  • 交換モード: main (main/aggressive/auto から選択)
  • IKE 暗号プロファイル: ike-crypto (事前に作成したもの)
  • フラグメンテーションを有効にする: 無効 (デフォルト)
  • デッドピア検出: 有効 (デフォルト)
    • 間隔: 5 (デフォルト)
    • 再試行: 5 (デフォルト)

以上で IKE ゲートウェイの設定は完了です。

⑤IPsec 暗号の設定

IPsec 暗号を設定するためには [Network → IPsec 暗号] 画面の下側の [追加] をクリックします。

以下の IPsec 暗号プロファイル設定画面が表示されるため、各項目を設定していきます。

検証環境では以下の設定をしました。

  • 名前: ipsec-crypto
  • IPsec プロトコル: ESP
  • 暗号化アルゴリズム: aes-128-cbc
  • 認証アルゴリズム: sha256
  • DH グループ: no-pfs (DH グループを使用しない)
  • ライフタイム: 1時間 (デフォルト)
  • 有効化: OFF (デフォルト)

以上で iPsec 暗号プロファイルの設定は完了です。

⑥IPsec トンネルの設定

IPsec トンネルを設定するためには [Network → IPsec トンネル] 画面の下側の [追加] をクリックします。

以下の IPsec トンネル設定画面が表示されるため設定していきます。

  • 名前: ipsec-tunnle
  • トンネルインターフェイス: tunnel.1 (最初に作成しておいたトンネルインターフェース)
  • タイプ: 自動キー (デフォルト)
  • アドレスタイプ: IPv4
  • IKE ゲートウェイ: ike-gateway (作成しておいた IKE ゲートウェイ)
  • IPsec 暗号プロファイル: ipsec-crypto (作成しておいた IPsec 暗号)
  • リプレイプロテクションを有効にする: 有効 (デフォルト)
  • TOS ヘッダーのコピー: 無効 (デフォルト)
  • トンネルモニター: 無効 (デフォルト)

プロキシ ID タブでは、ポリシーベース VPN を設定する場合のみ、暗号化対象通信を設定します。

今回の検証環境ではルートベースの VPN とするためプロキシ ID は設定しません。

以上で IPsec トンネルの設定は完了です。

また IPsec 関係の設定は以上です。

⑦スタティックルートの設定

今回の検証構成では、10.1.3.0/24 セグメント宛のスタティックルートが Palo Alto で必要になります。そのため、10.1.3.0/24 宛の場合、IPsec トンネルを通るようスタティックルートを設定します。

検証構成

以下のように、宛先が 10.1.3.0/24 の場合はネクストホップをトンネルのピアアドレスである 10.10.1.254 と設定します。

⑧セキュリティポリシーの設定

LAN 側から IPsec 側への通信と、IPsec 側から LAN 側への通信を許可するセキュリティポリシーを設定します。

ゾーン設定は以下のようになっています。

  • Trust ゾーン: LAN 側のゾーンです
  • IPsecVPN ゾーン: トンネルインターフェース側のゾーンです

IPsec VPN の状態確認

GUI では [Network → IPsec トンネル] 画面のトンネルリストのマークから状態を確認できます。

左側の状態欄は IKE フェーズ 2 の状態、右側の状態欄は IKE フェーズ 1 の状態に対応します。

それぞれ緑色のマークになっていれば正常に確立できています。

CLI では以下のコマンドで状態確認できます。

  • show vpn ike-sa
    • IKE SA の情報を表示
admin@PA-200> show vpn ike-sa

IKEv1 phase-1 SAs
GwID/client IP  Peer-Address           Gateway Name           Role Mode Algorithm             Established     Expiration      V  ST Xt Phase2
--------------  ------------           ------------           ---- ---- ---------             -----------     ----------      -  -- -- ------
1               10.1.1.254             ike-gateway            Resp Main PSK/DH14/A128/SHA256  Feb.25 19:00:51 Feb.26 03:00:51 v1 13 1  1

Show IKEv1 IKE SA: Total 1 gateways found. 1 ike sa found.


IKEv1 phase-2 SAs
Gateway Name           TnID     Tunnel                 GwID/IP          Role Algorithm          SPI(in)  SPI(out) MsgID    ST Xt
------------           ----     ------                 -------          ---- ---------          -------  -------- -----    -- --
ike-gateway            1        ipsec-tunnel           1                Resp ESP/    /tunl/SHA2 EB9EF845 8D6A9793 3599CB37 9  1

Show IKEv1 phase2 SA: Total 1 gateways found. 1 ike sa found.


There is no IKEv2 SA found.
  • show vpn ike-sa detail gateway ike-gateway
    • IKE SA の詳細な情報を表示
admin@PA-200> show vpn ike-sa detail gateway ike-gateway

IKE Gateway ike-gateway, ID 1 10.1.1.1               => 10.1.1.254
  Current time: Feb.25 19:38:11

IKE Phase1 SA:
  Cookie:  564AEF437783064E:B597E208086C467E  Resp
        State:      Dying
        Mode:       Main
        Authentication:  PSK
        Proposal:   AES128-CBC/SHA256/DH14
        NAT:        Not detected
        Message ID: 0, phase 2: 0
        Phase 2 SA created : 1
        Created:    Feb.25 19:00:51, 37 minutes 21 seconds ago
        Expires:    Feb.26 03:00:51
  • show vpn ipsec-sa
    • IPsec SA の情報を表示
admin@PA-200> show vpn ipsec-sa

GwID/client IP  TnID   Peer-Address           Tunnel(Gateway)                                Algorithm          SPI(in)  SPI(out) life(Sec/KB)
--------------  ----   ------------           ---------------                                ---------          -------  -------- ------------
1               1      10.1.1.254             ipsec-tunnel(ike-gateway)                      ESP/A128/SHA256    EB9EF845 8D6A9793 1241/4608000

Show IPSec SA: Total 1 tunnels found. 1 ipsec sa found.
  • show log system subtype equal vpn
    • VPN に関するシステムログの表示
admin@PA-200> show log system subtype equal vpn direction equal forward start-time equal 2023/02/25@00:00:00
Time                Severity Subtype Object EventID ID Description
===============================================================================
2023/02/25 19:00:51 info     vpn     ike-ga ike-neg 0  IKE phase-1 negotiation is started as responder, main mode. Initiated SA: 10.1.1.1[500]-10.1.1.254[500] cookie:564aef437783064e:b597e208086c467e.
2023/02/25 19:00:51 info     vpn     ike-ga ike-neg 0  IKE phase-1 negotiation is succeeded as responder, main mode. Established SA: 10.1.1.1[500]-10.1.1.254[500] cookie:564aef437783064e:b597e208086c467e lifetime 28800 Sec.
2023/02/25 19:00:51 info     vpn     10.1.1 ike-neg 0  IKE phase-2 negotiation is started as responder, quick mode. Initiated SA: 10.1.1.1[500]-10.1.1.254[500] message id:0x3599CB37.
2023/02/25 19:00:51 info     vpn     ipsec- ike-neg 0  IKE phase-2 negotiation is succeeded as responder, quick mode. Established SA: 10.1.1.1[500]-10.1.1.254[500] message id:0x3599CB37, SPI:0xEB9EF845/0x8D6A9793.
2023/02/25 19:00:51 info     vpn     ipsec- ipsec-k 0  IPSec key installed. Installed SA: 10.1.1.1[500]-10.1.1.254[500] SPI:0xEB9EF845/0x8D6A9793 lifetime 3600 Sec lifesize 4608000 KB.
2023/02/25 19:01:51 info     vpn     ike-ga ike-rec 0  IKE protocol IPSec SA delete message received from peer. SPI:0x5FF90241.

参考: CLI での IPsec 設定コマンド

◆IKE 暗号

set network ike crypto-profiles ike-crypto-profiles ike-crypto hash sha256
set network ike crypto-profiles ike-crypto-profiles ike-crypto dh-group group14
set network ike crypto-profiles ike-crypto-profiles ike-crypto encryption aes-128-cbc
set network ike crypto-profiles ike-crypto-profiles ike-crypto lifetime hours 8

◆IKE ゲートウェイ

set network ike gateway ike-gateway authentication pre-shared-key key password
set network ike gateway ike-gateway protocol ikev1 dpd enable yes
set network ike gateway ike-gateway protocol ikev1 ike-crypto-profile ike-crypto
set network ike gateway ike-gateway protocol ikev1 exchange-mode main
set network ike gateway ike-gateway protocol ikev2 dpd enable yes
set network ike gateway ike-gateway local-address ip 10.1.1.1/24
set network ike gateway ike-gateway local-address interface ethernet1/1
set network ike gateway ike-gateway protocol-common nat-traversal enable no
set network ike gateway ike-gateway protocol-common fragmentation enable no
set network ike gateway ike-gateway peer-address ip 10.1.1.254

◆IPsec 暗号

set network ike crypto-profiles ipsec-crypto-profiles ipsec-crypto esp authentication sha256
set network ike crypto-profiles ipsec-crypto-profiles ipsec-crypto esp encryption aes-128-cbc
set network ike crypto-profiles ipsec-crypto-profiles ipsec-crypto lifetime hours 1
set network ike crypto-profiles ipsec-crypto-profiles ipsec-crypto dh-group no-pfs

◆IPsec トンネル

set network tunnel ipsec ipsec-tunnel auto-key ike-gateway ike-gateway
set network tunnel ipsec ipsec-tunnel auto-key ipsec-crypto-profile ipsec-crypto
set network tunnel ipsec ipsec-tunnel tunnel-monitor enable no
set network tunnel ipsec ipsec-tunnel tunnel-interface tunnel.1

参考資料

Palo Alto 関連記事一覧

Amazon で買えるおすすめアイテム

以下は Amazon アフィリエイトリンクです。ネットワーク作業向けにそこそこおすすめなアイテムです。

ブログ始めるなら 【アフィリエイトリンク】

PaloAlto
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

コメント

コメントする

目次