• 検索結果がありません。

Amazon Virtual Private Cloud - ネットワーク管理者ガイド

N/A
N/A
Protected

Academic year: 2021

シェア "Amazon Virtual Private Cloud - ネットワーク管理者ガイド"

Copied!
235
0
0

読み込み中.... (全文を見る)

全文

(1)

Amazon Virtual Private Cloud

ネットワーク管理者ガイド

(2)

Amazon Virtual Private Cloud: ネットワーク管理者ガイド

Copyright © 2018 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's, in any manner that is likely to cause confusion among customers, or in any manner that disparages or discredits Amazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may not be affiliated with, connected to, or sponsored by Amazon.

(3)

Table of Contents

ようこそ ... 1 カスタマーゲートウェイ ... 2 カスタマーゲートウェイの概要 ... 2 担当 ... 3 VPN 接続の設定の概要 ... 4 ネットワーク情報 ... 4 AWS VPN CloudHub と冗長なカスタマーゲートウェイ ... 5 VPC への複数の VPN 接続の設定 ... 6 Amazon でテスト済みのカスタマーゲートウェイデバイス ... 7 カスタマーゲートウェイの要件 ... 8 インターネットとカスタマーゲートウェイ間のファイアウォールの設定 ... 11 例: BGP を使用した Check Point デバイス ... 13 カスタマーゲートウェイの概要 ... 13 設定ファイル ... 14 Check Point デバイスの設定 ... 14 ステップ 1: トンネルインターフェイスを設定する ... 15 ステップ 2: BGP を設定する ... 16 ステップ 3: ネットワークオブジェクトを作成する ... 16 ステップ 4: VPN コミュニティを作成し IKE と IPsec を設定する ... 17 ステップ 5: ファイアウォールを設定する ... 19

ステップ 6: Dead Peer Detection および TCP MSS クランプを有効にする ... 20

カスタマーゲートウェイ設定をテストする方法 ... 21 例: Check Point デバイス (BGP なし) ... 24 カスタマーゲートウェイの概要 ... 24 設定ファイル ... 25 Check Point デバイスの設定 ... 25 ステップ 1: トンネルインターフェイスを設定する ... 26 ステップ 2: 静的ルートを設定する ... 27 ステップ 3: ネットワークオブジェクトを作成する ... 29 ステップ 4: VPN コミュニティを作成し IKE と IPsec を設定する ... 30 ステップ 5: ファイアウォールを設定する ... 31

ステップ 6: Dead Peer Detection および TCP MSS クランプを有効にする ... 32

カスタマーゲートウェイ設定をテストする方法 ... 33

例: Cisco ASA デバイス ... 36

カスタマーゲートウェイの概要 ... 36

設定例 ... 37

カスタマーゲートウェイ設定をテストする方法 ... 41

例: Cisco ASA デバイスと VTI および BGP ... 43

カスタマーゲートウェイの概要 ... 43

設定例 ... 44

カスタマーゲートウェイ設定をテストする方法 ... 49

例: Cisco ASA デバイスと VTI (BGP なし) ... 52

カスタマーゲートウェイの概要 ... 52 設定例 ... 53 カスタマーゲートウェイ設定をテストする方法 ... 58 例: Cisco IOS デバイス ... 60 カスタマーゲートウェイの概要 ... 61 カスタマーゲートウェイの詳細と設定例 ... 62 カスタマーゲートウェイ設定をテストする方法 ... 68 例: Cisco IOS デバイス (BGP なし) ... 71 カスタマーゲートウェイの概要 ... 71 カスタマーゲートウェイの詳細と設定例 ... 72 カスタマーゲートウェイ設定をテストする方法 ... 77 例: Dell SonicWALL デバイス ... 80

(4)

カスタマーゲートウェイの概要 ... 80 構成ファイルの例 ... 81 管理インターフェイスを使用して SonicWALL デバイスを設定する ... 84 カスタマーゲートウェイ設定をテストする方法 ... 85 例: Dell SonicWALL デバイス (BGP なし) ... 87 カスタマーゲートウェイの概要 ... 87 構成ファイルの例 ... 88 管理インターフェイスを使用して SonicWALL デバイスを設定する ... 91 カスタマーゲートウェイ設定をテストする方法 ... 93 例: Fortinet Fortigate デバイス ... 95 カスタマーゲートウェイの概要 ... 96 カスタマーゲートウェイの詳細と設定例 ... 96 カスタマーゲートウェイ設定をテストする方法 ... 104

例: Juniper J-Series JunOS デバイス ... 106

カスタマーゲートウェイの概要 ... 107 カスタマーゲートウェイの詳細と設定例 ... 108 カスタマーゲートウェイ設定をテストする方法 ... 114 例: Juniper SRX JunOS デバイス ... 116 カスタマーゲートウェイの概要 ... 117 カスタマーゲートウェイの詳細と設定例 ... 118 カスタマーゲートウェイ設定をテストする方法 ... 124 例: Juniper ScreenOS デバイス ... 126 カスタマーゲートウェイの概要 ... 127 カスタマーゲートウェイの詳細と設定例 ... 128 カスタマーゲートウェイ設定をテストする方法 ... 133 例: Netgate PfSense デバイス (BGP なし) ... 135 カスタマーゲートウェイの概要 ... 135 設定例 ... 136 カスタマーゲートウェイ設定をテストする方法 ... 139 例: パロアルトネットワークスのデバイス ... 141 カスタマーゲートウェイの概要 ... 142 カスタマーゲートウェイの詳細と設定例 ... 142 カスタマーゲートウェイ設定をテストする方法 ... 149 例: Yamaha 製デバイス ... 151 カスタマーゲートウェイの概要 ... 152 カスタマーゲートウェイの詳細と設定例 ... 152 カスタマーゲートウェイ設定をテストする方法 ... 158 例: BGP を使用した一般的なカスタマーゲートウェイ ... 160 カスタマーゲートウェイの概要 ... 161 カスタマーゲートウェイの詳細と設定例 ... 161 カスタマーゲートウェイ設定をテストする方法 ... 166 例: 一般的なカスタマーゲートウェイ (BGP なし) ... 168 カスタマーゲートウェイの概要 ... 169 カスタマーゲートウェイの詳細と設定例 ... 169 カスタマーゲートウェイ設定をテストする方法 ... 174 トラブルシューティング ... 176 Cisco ASA カスタマーゲートウェイの接続 ... 176 IKE ... 176 IPsec ... 177 ルーティング ... 178 Cisco IOS カスタマーゲートウェイの接続 ... 179 IKE ... 179 IPsec ... 180 トンネル ... 182 BGP ... 183 仮想プライベートゲートウェイのアタッチ ... 183 Cisco IOS カスタマーゲートウェイの接続 (BGP なし) ... 184

(5)

IKE ... 184 IPsec ... 184 トンネル ... 186 仮想プライベートゲートウェイのアタッチ ... 188 Juniper JunOS カスタマーゲートウェイの接続 ... 188 IKE ... 188 IPsec ... 189 トンネル ... 189 BGP ... 190 仮想プライベートゲートウェイのアタッチ ... 191 Juniper ScreenOS カスタマーゲートウェイの接続 ... 191 IKE と IPsec ... 191 トンネル ... 192 BGP ... 193 仮想プライベートゲートウェイのアタッチ ... 194 Yamaha 製カスタマーゲートウェイの接続 ... 194 IKE ... 194 IPsec ... 195 トンネル ... 196 BGP ... 196 仮想プライベートゲートウェイのアタッチ ... 197 一般的なデバイスのカスタマーゲートウェイの接続 ... 197 一般的なデバイスのカスタマーゲートウェイ接続 (BGP なし) ... 200 Windows Server 2008 R2 のカスタマーゲートウェイとしての設定 ... 203 Windows Server の設定 ... 203 ステップ 1: VPN 接続を作成し、VPC を設定する ... 204 ステップ 2: VPN 接続の設定ファイルをダウンロードする ... 205 ステップ 3: Windows Server を設定する ... 206 ステップ 4: VPN トンネルを設定する ... 209 オプション 1: netsh スクリプトを実行する ... 209 オプション 2: Windows Server ユーザーインターフェイスを使用する ... 209 ステップ 5: 停止しているゲートウェイを検出する ... 215 ステップ 6: VPN 接続をテストする ... 215 Windows Server 2012 R2 のカスタマーゲートウェイとしての設定 ... 217 Windows Server の設定 ... 217 ステップ 1: VPN 接続を作成し、VPC を設定する ... 218 ステップ 2: VPN 接続の設定ファイルをダウンロードする ... 219 ステップ 3: Windows Server を設定する ... 220 ステップ 4: VPN トンネルを設定する ... 221 オプション 1: netsh スクリプトを実行する ... 222 オプション 2: Windows Server ユーザーインターフェイスを使用する ... 222 2.4: Windows ファイアウォールを設定する ... 226 ステップ 5: 停止しているゲートウェイを検出する ... 227 ステップ 6: VPN 接続をテストする ... 228 ドキュメント履歴 ... 230

(6)

ようこそ

Amazon VPC ネットワーク管理者ガイドへようこそ。このガイドは、Virtual Private Cloud (VPC) で AWS マネージド IPsec VPN 接続を使用する予定のお客様向けに作成されています。このガイドのトピック は、VPN 接続のユーザー側のデバイスであるカスタマーゲートウェイを設定する場合に役立ちます。 VPN 接続を使用すると、VPC と IT インフラストラクチャをつなぐことができ、VPC の EC2 インスタン スに対して (インフラストラクチャ内で動作しているインスタンスと同じように) 既存のセキュリティおよ び管理ポリシーを拡張することができます。 詳細については、次のトピックを参照してください。 • カスタマーゲートウェイ (p. 2) • 例: ボーダーゲートウェイプロトコルを使用した Check Point デバイス (p. 13) • 例: ボーダーゲートウェイプロトコルを使用しない Check Point デバイス (p. 24) • 例: Cisco ASA デバイス (p. 36) • 例: Cisco IOS デバイス (p. 60) • 例: ボーダーゲートウェイプロトコルを使用しない Cisco IOS デバイス (p. 71) • 例: Cisco ASA デバイスと仮想トンネルインターフェイス、およびボーダーゲートウェイプロトコ ル (p. 43) • 例: Cisco ASA デバイスと仮想トンネルインターフェイス (ボーダーゲートウェイプロトコルな し) (p. 52)

• 例: ボーダーゲートウェイプロトコルを使用しない Dell SonicWALL SonicOS デバイス (p. 87) • 例: Dell SonicWALL デバイス (p. 80)

• 例: Juniper J-Series JunOS デバイス (p. 106) • 例: Juniper SRX JunOS デバイス (p. 116) • 例: Juniper ScreenOS デバイス (p. 126) • 例: ボーダーゲートウェイプロトコルを使用しない Netgate PfSense デバイス (p. 135) • 例: パロアルトネットワークスのデバイス (p. 141) • 例: Yamaha 製デバイス (p. 151) • 例: ボーダーゲートウェイプロトコルを使用した一般的なカスタマーゲートウェイ (p. 160) • 例: ボーダーゲートウェイプロトコルを使用しない一般的なカスタマーゲートウェイ (p. 168) • Windows Server 2008 R2 のカスタマーゲートウェイとしての設定 (p. 203) • Windows Server 2012 R2 のカスタマーゲートウェイとしての設定 (p. 217)

(7)

カスタマーゲートウェイの概要

カスタマーゲートウェイ

トピック • カスタマーゲートウェイの概要 (p. 2) • VPN 接続の設定の概要 (p. 4) • AWS VPN CloudHub と冗長なカスタマーゲートウェイ (p. 5) • VPC への複数の VPN 接続の設定 (p. 6) • Amazon でテスト済みのカスタマーゲートウェイデバイス (p. 7) • カスタマーゲートウェイの要件 (p. 8) • インターネットとカスタマーゲートウェイ間のファイアウォールの設定 (p. 11)

カスタマーゲートウェイの概要

Amazon VPC VPN 接続では、データセンター (またはネットワーク) を Amazon VPC 仮想プライベートク ラウド (VPC) にリンクします。カスタマーゲートウェイは、その接続の作業者側のアンカーです。物理的 アプライアンスにすることも、ソフトウェア的アプライアンスにすることもできます。VPN 接続の AWS 側のアンカーは、仮想プライベートゲートウェイと呼ばれます。 次の図は、ネットワーク、カスタマーゲートウェイ、仮想プライベートゲートウェイへの VPN 接続、およ び VPC を示しています。カスタマーゲートウェイと仮想プライベートゲートウェイ間には 2 つの線があ ります。これは、VPN 接続が Amazon VPC サービスの可用性を高めるために、2 つのトンネルで構成さ れるためです。AWS でデバイス障害が発生した場合、VPN 接続は自動的に 2 番目のトンネルにフェール オーバーして、アクセスが中断されないようにします。ときどき、AWS は、仮想プライベートゲートウェ イで定期メンテナンスを実行します。これにより、VPN 接続の 2 つのトンネルの 1 つが短時間無効になる 場合があります。このメンテナンスの実行中、VPN 接続は自動的に 2 番目のトンネルにフェイルオーバー します。したがって、カスタマーゲートウェイを設定するときは、両方のトンネルを設定することが重要 です。

(8)

担当 同じカスタマーゲートウェイデバイスを使用して、他の VPC に追加の VPN 接続を作成できます。それら の VPN 接続ごとに同じカスタマーゲートウェイ IP アドレスを再利用できます。 VPN 接続を作成すると、VPN 接続のユーザー側からトラフィックが生成されると VPN トンネルが開始さ れます。仮想プライベートゲートウェイはイニシエータではないため、カスタマーゲートウェイがトンネ ルを開始する必要があります。 VPN 接続のコンポーネントに関する詳細については、Amazon VPC ユーザーガイドの「VPN 接続」を参 照してください。 カスタマーゲートウェイが使用できなくなった場合に接続が失われるのを防ぐために、2 つ目の VPN 接続 をセットアップできます。詳細については、「フェイルオーバーを提供するための冗長な VPN 接続の使 用」を参照してください。

担当

このガイドでは、会社の "統合チーム" について言及しています。これは、社内でインフラストラクチャを Amazon VPC と統合するための作業を行う人 (人たち) のことです。このチーム (お客様が含まれる場合と

(9)

VPN 接続の設定の概要 そうでない場合があります) は、AWS マネジメントコンソールを使用して VPN 接続を作成し、お客様が カスタマーゲートウェイを設定するために必要な情報を取得します。会社が各タスクのために個別のチー ムを持っている場合があるかもしれません (AWS マネジメントコンソールを使用する統合チームと、ネッ トワークデバイスにアクセスでき、カスタマーゲートウェイを設定する、別のネットワークエンジニアリ ンググループ)。このガイドでは、読者がネットワークエンジニアリンググループの一員であり、会社の統 合チームから情報を受け取って、カスタマーゲートウェイデバイスを設定できる人物であると想定してい ます。

VPN 接続の設定の概要

AWS で VPN 接続をセットアップするプロセスについては、「Amazon VPC ユーザーガイド」で説明され ています。全体のプロセスのタスクの 1 つに、カスタマーゲートウェイの設定があります。VPN 接続を作 成するため、AWS ではカスタマーゲートウェイに関する情報が必要であり、お客様はカスタマーゲート ウェイデバイス自体を設定する必要があります。 VPN 接続を設定するには、以下の一般的な手順に従います。 1. カスタマーゲートウェイとして動作するアプライアンスを指定します。詳細については、「Amazon でテスト済みのカスタマーゲートウェイデバイス (p. 7)」および「カスタマーゲートウェイの要 件 (p. 8)」を参照してください。 2. 必要な ネットワーク情報 (p. 4) を取得し、AWS で VPN 接続を作成するチームに、この情報を提供 します。 3. AWS で VPN 接続を作成し、カスタマーゲートウェイの設定ファイルを取得します。詳細について は、Amazon VPC ユーザーガイド の「AWS VPN 接続のセットアップ」を参照してください。 4. 設定ファイルの情報を使用して、カスタマーゲートウェイを設定します。このガイドに例を用意してい ます。 5. VPN 接続のユーザー側からトラフィックを生成し、VPN トンネルを起動します。

ネットワーク情報

AWS で VPN 接続を作成するには、次の情報が必要です。 項目 コメント カスタマーゲートウェイベンダー (たとえば Cisco)、プラットフォーム (たとえば ISR シリーズ ルーター)、およびソフトウェアバージョン (たと えば IOS 12.4) この情報はカスタマーゲートウェイの設定ファイ ルを生成するのに使用されます。 カスタマーゲートウェイデバイスの外部インター フェイスのインターネットルーティングが可能な IP アドレス。 値は静的である必要があります。カスタマーゲー トウェイは、ネットワークアドレス変換 (NAT) を 実行するデバイスの背後に存在する可能性があり ます。

Note

NAT 構成の場合、VPN トンネルを経由 して送信されるトラフィックは、カスタ マーゲートウェイ IP アドレスに変換して はなりません。 (オプション) カスタマーゲートウェイのボーダー ゲートウェイプロトコル (BGP) 自律システム番号 (ASN)。 ネットワークに割り当てられている既存の ASN を 使用できます。既存の ASN がない場合は、プライ ベート ASN (64512 から 65534 までの範囲) を使

(10)

AWS VPN CloudHub と冗長なカスタマーゲートウェイ 項目 コメント 用できます。それ以外の場合は、カスタマーゲー トウェイの BGP ASN が 65000 であることが前提 となります。 (オプション) Amazon 側の BGP セッションのため のカスタムプライベート ASN。 仮想プライベートゲートウェイを作成するときに指定します。値を指定していない場合、デフォル トの ASN が適用されます。詳細については、「仮 想プライベートゲートウェイ」を参照してくださ い。 (オプション) 各 VPN トンネルのトンネル情報 以下の VPN 接続のトンネル情報を指定できます。 • トンネル内部の CIDR • 仮想プライベートゲートウェイとカスタ マーゲートウェイ間に最初の IKE Security Association を確立するための事前共有キー。 詳細については、「VPN 接続用に VPN トンネル を設定する」を参照してください。 カスタマーゲートウェイの設定ファイルには、上記の項目に指定する値が含まれます。また、仮想プライ ベートゲートウェイの外部 IP アドレスを含む、VPN トンネルを設定するために必要な追加の値が含まれ ます。この値は AWS の VPN 接続を作り直さない限り固定です。

AWS VPN CloudHub と冗長なカスタマーゲート

ウェイ

複数のカスタマーゲートウェイから単一の仮想プライベートゲートウェイに対して複数の VPN 接続を確 立できます。この設定は、さまざまな方法で使用できます。データセンターと VPC 間に冗長なカスタマー ゲートウェイを設置したり、AWS VPN CloudHub に接続される複数の場所を持ったりすることができま す。 冗長なカスタマーゲートウェイがある場合、各カスタマーゲートウェイは仮想プライベートゲートウェ イに同じプレフィックス (たとえば、0.0.0.0/0) をアドバタイズします。当社は BGP ルーティングを使用 してトラフィックのパスを特定しています。1 つのカスタマーゲートウェイが失敗した場合、仮想プライ ベートゲートウェイがすべてのトラフィックを動作中のカスタマーゲートウェイに送信します。 AWS VPN CloudHub 設定を使用する場合、複数のサイトは VPC にアクセスするか、シンプルなハブアン ドスポークモデルを使用して互いに安全にアクセスします。仮想プライベートゲートウェイにサイト固有 のプレフィックス (10.0.0.0/24、10.0.1.0/24 など) をアドバタイズするように、各カスタマーゲートウェイ を設定します。仮想プライベートゲートウェイは適切なサイトにトラフィックをルーティングし、1 つの サイトから他のすべてのサイトへの接続性をアドバタイズします。

AWS VPN CloudHub を設定するには、Amazon VPC コンソールを使用して、複数のカスタマーゲート ウェイを作成します。このそれぞれに、ゲートウェイのパブリック IP アドレスがあります。それぞれに一 意のボーダーゲートウェイプロトコル (BGP) 自律システム番号 (ASN) を使用する必要があります。次に、 各カスタマーゲートウェイから一般的な仮想プライベートゲートウェイへの VPN 接続を作成します。以下 の手順に従って、仮想プライベートゲートウェイに接続するように各カスタマーゲートウェイを設定しま す。 VPC のインスタンスが仮想プライベートゲートウェイ (次いで、カスタマーゲートウェイ) に接続できる ようにするには、VPC ルーティングテーブルでルートを設定する必要があります。詳細な手順について

(11)

VPC への複数の VPN 接続の設定

は、Amazon VPC ユーザーガイドの「VPN 接続」を参照してください。AWS VPN CloudHub では、VPC ルーティングテーブルで集約ルート (たとえば、10.0.0.0/16) を設定したり、カスタマーゲートウェイと仮 想プライベートゲートウェイ間でより具体的なプレフィックスを使用したりすることができます。

VPC への複数の VPN 接続の設定

VPC 用に最大で 10 個の VPN 接続を作成できます。複数のリモートオフィスを同じ VPC にリンクするた めに、複数の VPN 接続を使用できます。例えば、ロサンゼルス、シカゴ、ニューヨーク、およびマイアミ にオフィスがある場合は、それぞれのオフィスを VPC に接続することができます。また、1 つの場所から の冗長なカスタマーゲートウェイを確立するためにも、複数の VPN 接続を使用できます。

Note

10 個を超える VPN 接続が必要な場合は、Amazon VPC 制限の引き上げをリクエストするフォー ムに入力して、制限の引き上げをリクエストします。 複数の VPN 接続を作成すると、仮想プライベートゲートウェイは静的に割り当てられたルートを使用する か、BGP ルートアドバタイズメントを使用して、適切な VPN 接続にネットワークトラフィックを送信し ます。どちらを使用するかは、VPN 接続がどのように設定されているかによって決まります。仮想プライ ベートゲートウェイに同一のルートが存在している場合は、BGP でアドバタイズされるルートよりも、静 的に割り当てられたルートの方が適しています。 複数の地理的ロケーションにカスタマーゲートウェイがある場合、各カスタマーゲートウェイは、ロケー ションに固有の一意な IP 範囲のセットをアドバタイズする必要があります。1 つの場所に冗長なカスタ マーゲートウェイを確立した場合は、両方のゲートウェイが同じ IP 範囲をアドバタイズする必要がありま す。 仮想プライベートゲートウェイは、すべてのカスタマーゲートウェイからルーティング情報を受け取 り、BGP の最良パス選択アルゴリズムを使用して望ましいパスのセットを計算します。このアルゴリズム のルールは、VPC に適用される場合、次のようになります。 1. 最も具体的な IP プレフィックスが優先されます (たとえば、10.0.0.0/24 は 10.0.0.0/16 よりも優先され ます)。詳細については、Amazon VPC ユーザーガイド の「ルーティングの優先度」を参照してくださ い。 2. プレフィックスが同じである場合は、静的に設定された VPN 接続があれば、それが優先されます。 各 VPN 接続が BGP を使用しているプレフィックスのマッチングでは、AS PATH が比較され、最 短の AS PATH を持っているプレフィックスが優先されます。また、パスの優先度が低くなるよう に、AS_PATH を前に追加できます。 3. AS PATH の長さが同じ場合は、パスのオリジンが比較されます。不明なオリジンのプレフィックス よりも Exterior Gateway Protocol (EGP) オリジンのプレフィックスが優先され、それよりも Interior Gateway Protocol (IGP) オリジンのプレフィックスが優先されます。

(12)

Amazon でテスト済みのカスタマーゲートウェイデバイス

Amazon でテスト済みのカスタマーゲートウェイデ

バイス

カスタマーゲートウェイは、物理アプライアンスにすることも、ソフトウェアアプライアンスにすること もできます。 当社でテスト済みのルーターの詳細については、「Amazon VPC で機能することが知られているカスタ マーゲートウェイデバイスにはどのようなものがありますか?」(Amazon VPC のよくある質問の「接続」 セクション) を参照してください。 このガイドでは、以下のデバイスの設定方法に関する情報を提供します。 • Check Point Security Gateway (R77.10 以降のソフトウェアを実行) • Cisco ASA (Cisco ASA 8.2 以降のソフトウェアを実行)

• Cisco IOS (Cisco IOS 12.4 以降のソフトウェアを実行)

• Dell SonicWALL (SonicOS 5.9 (またはそれ以降) のソフトウェアを搭載) • Fortinet Fortigate 40+ シリーズ (FortiOS 4.0 以降のソフトウェアを実行) • Juniper J-Series (JunOS 9.5 以降のソフトウェアを実行)

• Juniper SRX (JunOS 11.0 (またはそれ以降) のソフトウェアを搭載) • ScreenOS 6.1 もしくは 6.2 (またはそれ以降) を実行する Juniper SSG • ScreenOS 6.1 もしくは 6.2 (またはそれ以降) を実行する Juniper ISG • OS 2.2.5 (またはそれ以降) のソフトウェアを実行する Netgate pfSense。

(13)

カスタマーゲートウェイの要件 • Palo Alto Networks PANOS 4.1.2 (またはそれ以降) ソフトウェア

• Yamaha RT107e、RTX1200、RTX1210、RTX1500、RTX3000、および SRT100 ルーター • Microsoft Windows Server 2008 R2 以降のソフトウェア

• Microsoft Windows Server 2012 R2 以降のソフトウェア

• 静的にルーティングされる VPN 接続用の Zyxel Zywall シリーズ 4.20 (またはそれ以降) ソフトウェア、 または動的にルーティングされる VPN 接続用の 4.30 (またはそれ以降) ソフトウェア これらのデバイスのいずれかを持っているものの、このガイドで示されているのとは異なる方法で IPsec 用に設定されている場合は、自分の特定のニーズに合わせて推奨設定を自由に変更してかまいません。

カスタマーゲートウェイの要件

カスタマーゲートウェイの設定には、4 つの主要部分があります。このガイドでは、必要な操作がわかり やすくなるように、各部分に対して記号を使用します。次の表は、4 つの部分と、対応する記号を示して います。

IKE Security Association (IPsec Security Association を確立するために使用されるキーの 交換に必要です)

IPsec Security Association (トンネルの暗号化、認証などを処理します)

トンネルインターフェイス (トンネルを行き来するトラフィックを受け取ります) オプション BGP を使用するデバイスの BGP ピア (カスタマーゲートウェイと仮想プライベートゲー トウェイ間でルートを交換します) 上記のテスト済みデバイスの一覧にないデバイスを持っている場合のために、このセクションで は、Amazon VPC とともに使用するためのデバイスの要件について説明します。次の表は、カスタマー ゲートウェイが準拠する必要がある要件、関連する RFC (参照用)、および要件に関するコメントの一覧で す。デバイスがテスト済みの Cisco または Juniper デバイスのいずれかでない場合の設定情報の例につい ては、「例: ボーダーゲートウェイプロトコルを使用した一般的なカスタマーゲートウェイ (p. 160)」を 参照してください。

各 VPN 接続は 2 つの個別のトンネルで構成されます。各トンネルには、IKE Security Association、IPsec Security Association、および BGP ピアが含まれています。トンネルごとに 1 つの一意の Security Association (SA) ペア (受信用に 1 つと送信用に 1 つ) に制限されるため、2 つのトンネルで合計 2 つの一 意の SA ペア (4 つの SA) になります。一部のデバイスは、ポリシーベースの VPN を使用して、ACL エ ントリと同数の SA を作成します。そのため、ルールを統合し、不要なトラフィックを許可しないように フィルタリングする必要があります。 VPN トンネルは、VPN 接続のユーザー側からトラフィックが生成されると開始されます。AWS エンドポ イントはイニシエータではありません。カスタマーゲートウェイがトンネルを開始する必要があります。

(14)

カスタマーゲートウェイの要件 要件 RFC コメント 事前共有キーを使用し て、IKE セキュリティ接続 を確立する RFC 2409 最初に、事前共有キーを認証コードとして使用して、仮想 プライベートゲートウェイとカスタマーゲートウェイ間に IKE Security Association が確立されます。確立後、今後 の IKE メッセージを保護するために一時キーのネゴシエー ションを行います。IKE Security Association を適切に確立 するには、暗号化や認証のパラメータなどのパラメータ間 で、完全な一致が必要です。 AWS で VPN 接続を作成するとき、各トンネルのための独 自の事前共有キーを指定する、または、AWS で新しい事 前共有キーを生成できます。詳細については、「VPN 接 続用に VPN トンネルを設定する」を参照してください。 トンネルモードで、IPsec セキュリティ接続を確立す る

RFC 4301 IKE の一時キーを使用すると、IPsec Security Association (SA) を形成するために、仮想プライベートゲートウェイ とカスタマーゲートウェイ間でキーが確立されます。こ の SA を使用して、ゲートウェイ間のトラフィックの暗 号化および暗号化の解除を行います。IPsec SA 内のトラ フィックの暗号化に使用される一時キーは、通信の機密性 を確保するために、定期的なローテーションで IKE によっ て自動的に変更されます。 AES 128 ビット暗号化また は AES 256 ビットの暗号化 機能を使用する RFC 3602 この暗号化関数は、IKE と IPsec の両方の SA でプライバ シーを確保するために使用されます。 SHA-1 または SHA-256 の ハッシュ機能を使用する RFC 2404 このハッシュ関数は、IKE と IPsec の両方の SA を認証するために使用されます。 Diffie-Hellman Perfect Forward Secrecy を使用し ます。以下のグループがサ ポートされます。 • フェーズ 1 グループ: 2、14~18、22、23、24 • フェーズ 2 グルー プ: 2、5、14~ 18、22、23、24 RFC 2409 IKE は、カスタマーゲートウェイと仮想プライベート ゲートウェイ間のすべての通信を保護するために、Diffie-Hellman を使用して一時キーを確立します。

IPsec Dead Peer Detection

の利用 RFC 3706 Dead Peer Detection を使用すると、VPN デバイスは、インターネットを通じたパケットの配信がネットワーク状態 によって妨げられている場合をすばやく特定できます。 このような状況になったとき、ゲートウェイは Security Associations を削除し、新しい関連付けを作成しようとし ます。このプロセス中、可能であれば、代わりの IPsec ト ンネルが利用されます。 トンネルを論理インター フェイスに結合する (経路 ベースのVPN) なし ゲートウェイは、論理インターフェイスに IPsec トンネ ルを結合する能力をサポートする必要があります。論理イ ンターフェイスには、仮想プライベートゲートウェイへの BGP ピアを確立するために使用される IP アドレスが含ま れています。この論理インターフェイスは、追加のカプセ ル化 (たとえば、GRE、IP in IP) を行ってはいけません。

(15)

カスタマーゲートウェイの要件 要件 RFC コメント インターフェイスは、1399 バイトの最大送信単位 (MTU) に設定する必要があります。 暗号化前に IP パケットをフ ラグメント化する RFC 4459 パケットが送信するには大きすぎる場合は、フラグメント化する必要があります。フラグメント化されて暗号化 されたパケットは、再アセンブルされません。したがっ て、VPN デバイスは、VPN ヘッダーでカプセル化する前 にパケットをフラグメント化する必要があります。フラグ メントはリモートホストに個別に送信され、そこで再アセ ンブルされます。フラグメント化の詳細については、IP フ ラグメント化についての Wikipedia の記事を参照してくだ さい。 (オプション) BGP ピアを確 立する RFC 4271 BGP は、BGP を使用するデバイスのカスタマーゲートウェイと仮想プライベートゲートウェイ間でルートを交 換するために使用されます。すべての BGP トラフィック は、IPsec Security Association を通じて暗号化され、送信 されます。BGP は、両方のゲートウェイで、IPsec SA を 通じてアクセス可能な IP プレフィックスを交換するため に必要です。 IPsec トンネルを介して送信できるデータ量に関連する問題を最小限にするために、次の表で挙げられて いる手法を使用することをお勧めします。接続はパケットを追加のネットワークヘッダー (IPsec を含む) でカプセル化するため、1 つのパケットで送信できるデータの量は減少します。 手法 RFC コメント VPN トンネルに入る TCP パケットの最大セグメント サイズを調整する RFC 4459 多くの場合、TCP パケットは IPsec トンネルを通過する 最も一般的なパケットの種類です。一部のゲートウェイで は、TCP Maximum Segment Size パラメータを変更でき ます。これにより、TCP エンドポイント (クライアント、 サーバー) は、各パケットで送信されるデータの量を減ら します。VPN デバイスに届くパケットが小さくなってカ プセル化および送信が可能になるため、これは最適な方法 です。 パケットの "フラグメント化 しない" フラグをリセットす る RFC 791 一部のパケットには、フラグメント化しない (DF) と呼ば れるフラグがあり、パケットがフラグメント化されないよ うに指示することができます。パケットにフラグが設定さ れていれば、ゲートウェイは ICMP Path MTU Exceeded メッセージを生成します。場合によっては、これらの ICMP メッセージを処理したり、各パケットで送信される データの量を減らしたりするための適切なしくみがアプリ ケーションに備わっていません。一部の VPN デバイスで は、必要に応じて DF フラグをオーバーライドし、無条件 でパケットをフラグメント化できます。カスタマーゲート ウェイにこの機能がある場合は、必要に応じてこの機能を 使用することをお勧めします。 カスタマーゲートウェイとインターネットの間にファイアウォールがある場合は、「インターネットとカ スタマーゲートウェイ間のファイアウォールの設定 (p. 11)」を参照してください。

(16)

インターネットとカスタマーゲート ウェイ間のファイアウォールの設定

インターネットとカスタマーゲートウェイ間のファ

イアウォールの設定

このサービスを使用するには、カスタマーゲートウェイを仮想プライベートゲートウェイに接続する IPsec トンネルのエンドポイントとして使用するための、インターネットでルーティングが可能な IP アド レスが必要です。ファイアウォールがインターネットとゲートウェイの間にある場合、IPsec トンネルを 確立するには、次の表のルールに従う必要があります。仮想プライベートゲートウェイアドレスは、統合 チームから受け取る設定情報の中にあります。

インバウンド (インターネットから)

入力ルール I1 送信元 IP 仮想プライベートゲートウェイ 1 送信先 IP カスタマーゲートウェイ プロトコル UDP ソースポート 500 送信先 500 入力ルール I2 送信元 IP 仮想プライベートゲートウェイ 2 送信先 IP カスタマーゲートウェイ プロトコル UDP ソースポート 500 発信先 ポート 500 入力ルール I3 送信元 IP 仮想プライベートゲートウェイ 1 送信先 IP カスタマーゲートウェイ プロトコル IP 50 (ESP) 入力ルール I4 送信元 IP 仮想プライベートゲートウェイ 2 送信先 IP カスタマーゲートウェイ プロトコル IP 50 (ESP)

アウトバウンド (インターネットへ)

出力ルール O1 送信元 IP カスタマーゲートウェイ 送信先 IP 仮想プライベートゲートウェイ 1

(17)

インターネットとカスタマーゲート ウェイ間のファイアウォールの設定 プロトコル UDP ソースポート 500 発信先 ポート 500 出力ルール O2 送信元 IP カスタマーゲートウェイ 送信先 IP 仮想プライベートゲートウェイ 2 プロトコル UDP ソースポート 500 発信先 ポート 500 出力ルール O3 送信元 IP カスタマーゲートウェイ 送信先 IP 仮想プライベートゲートウェイ 1 プロトコル IP 50 (ESP) 出力ルール O4 送信元 IP カスタマーゲートウェイ 送信先 IP 仮想プライベートゲートウェイ 2 プロトコル IP 50 (ESP)

ルール I1、I2、O1、および O2 は、IKE パケットの送信を有効にします。ルール I3、I4、O3、および O4 は、暗号化されたネットワークトラフィックを含む IPsec パケットの送信を有効にします。

デバイスで NAT トラバーサル (NAT-T) を使用している場合、ポート 4500 経由で UDP アクセスを許可す るルールを含める必要があります。デバイスが NAT-T をアドバタイズしているかどうかを確認します。

(18)

カスタマーゲートウェイの概要

例: ボーダーゲートウェイプロトコル

を使用した Check Point デバイス

このセクションには、カスタマーゲートウェイが R77.10 以上を実行し Gaia オペレーティングシステムを 使用する Check Point Security Gateway デバイスである場合に、統合チームから提供される設定情報例が 掲載されています。 トピック • カスタマーゲートウェイの概要 (p. 13) • 設定ファイル (p. 14) • Check Point デバイスの設定 (p. 14) • カスタマーゲートウェイ設定をテストする方法 (p. 21)

カスタマーゲートウェイの概要

次の図は、カスタマーゲートウェイの全般的な説明を示しています。VPN 接続が 2 つの個別のトンネルで 構成されている点に注意してください。冗長なトンネルを使用することで、デバイス障害の発生時にも可 用性を継続的に維持できます。

(19)

設定ファイル

設定ファイル

VPN デバイスの各トンネル、および IKE と IPsec の設定に必要な値を含む設定ファイルが統合チームか ら提供されます。設定ファイルには、デバイスを設定するための Gaia ウェブポータルおよび Check Point SmartDashboard の使用方法が含まれています。次のセクションで同じステップを説明します。

設定ファイルから抽出した例を次に示します。ファイルには 2 つのセクションがあります。IPSec Tunnel #1 と IPSec Tunnel #2 です。各トンネルを設定するには、各セクションで提供される値を使 用する必要があります。

! Amazon Web Services ! Virtual Private Cloud

! AWS uses unique identifiers to manipulate the configuration of

! a VPN connection. Each VPN connection is assigned an identifier and is ! associated with two other identifiers, namely the

! customer gateway identifier and virtual private gateway identifier. !

! Your VPN connection ID : vpn-12345678

! Your virtual private gateway ID : vgw-12345678

! Your customer gateway ID : cgw-12345678

! !

! This configuration consists of two tunnels. Both tunnels must be ! configured on your customer gateway.

!

! ---! IPSec Tunnel #1

! ---! #1: Tunnel Interface Configuration

...

! ! ---! IPSec Tunnel #2

! ---! #1: Tunnel Interface Configuration

...

Check Point デバイスの設定

次の手順で、VPN 接続の VPN トンネル、ネットワークオブジェクト、およびセキュリティを設定する方 法を示します。手順内の例の値は設定ファイルで提供される値に置き換えてください。

Note

詳細については、Check Point Support Center の Amazon Web Services (AWS) VPN BGP の記事 を参照してください。 トピック • ステップ 1: トンネルインターフェイスを設定する (p. 15) • ステップ 2: BGP を設定する (p. 16) • ステップ 3: ネットワークオブジェクトを作成する (p. 16) • ステップ 4: VPN コミュニティを作成し IKE と IPsec を設定する (p. 17)

(20)

ステップ 1: トンネルインターフェイスを設定する • ステップ 5: ファイアウォールを設定する (p. 19)

• ステップ 6: Dead Peer Detection および TCP MSS クランプを有効にする (p. 20)

ステップ 1: トンネルインターフェイスを設定する

最初のステップは、VPN トンネルを作成し、各トンネル用のカスタマーゲートウェイと仮想プライベート ゲートウェイのプライベート (内部) IP アドレスを提供することです。最初のトンネルには、設定ファイル の IPSec Tunnel #1 セクションで提供される情報を使用します。2 番目のトンネルには、設定ファイル の IPSec Tunnel #2 セクションで提供される値を使用します。

トンネルインターフェイスを設定するには

1. SSH でセキュリティゲートウェイに接続します。デフォルト以外のシェルを使用している場合は、次 のコマンドを実行して、clish に変更します。clish 2. 次のコマンドを使用して、カスタマーゲートウェイ ASN (AWS にカスタマーゲートウェイが作成され たときに提供された ASN) を設定します。 set as 65000 3. 設定ファイルの IPSec Tunnel #1 セクションで提供されている情報を使用して、最初のトンネル用 のトンネルインターフェイスを作成します。AWS_VPC_Tunnel_1 など、トンネルに一意の名前をつ けます。

add vpn tunnel 1 type numbered local 169.254.44.234 remote 169.254.44.233

peer AWS_VPC_Tunnel_1

set interface vpnt1 state on set interface vpnt1 mtu 1436

4. 2 番目のトンネルを作成するには、設定ファイルの IPSec Tunnel #2 セクションで提供されている 情報を使用して、コマンドを繰り返します。AWS_VPC_Tunnel_2 など、トンネルに一意の名前をつ けます。

add vpn tunnel 1 type numbered local 169.254.44.38 remote 169.254.44.37

peer AWS_VPC_Tunnel_2

set interface vpnt2 state on set interface vpnt2 mtu 1436

5. 仮想プライベートゲートウェイ ASN を設定します。

set bgp external remote-as 7224 on

6. 最初のトンネルの BGP を、設定ファイルの IPSec Tunnel #1 セクションで提供される情報を使用 して設定します。

set bgp external remote-as 7224 peer 169.254.44.233 on

set bgp external remote-as 7224 peer 169.254.44.233 holdtime 30 set bgp external remote-as 7224 peer 169.254.44.233 keepalive 10

7. 2 番目のトンネルの BGP を、設定ファイルの IPSec Tunnel #2 セクションで提供される情報を使 用して設定します。

set bgp external remote-as 7224 peer 169.254.44.37 on

set bgp external remote-as 7224 peer 169.254.44.37 holdtime 30 set bgp external remote-as 7224 peer 169.254.44.37 keepalive 10

(21)

ステップ 2: BGP を設定する save config

ステップ 2: BGP を設定する

このステップでは、AWS によってアドバタイズされているルートのインポートを許可する BGP ポリシー を作成し、その後カスタマーゲートウェイを設定してローカルルートを AWS にアドバタイズします。

BGP ポリシーを作成するには

1. Gaia WebUI で、[Advanced Routing]、[Inbound Route Filters] を選択します。[Add] を選択し、[Add BGP Policy (Based on AS)] を選択します。

2. [Add BGP Policy] の最初のフィールドで 512 から 1024 までの範囲の値を選択し、2 番目のフィール ドに仮想プライベートゲートウェイ ASN (例: 7224) を入力します。

3. [Save] を選択します。

次のステップは、ローカルインターフェイスルートを分散するためのものです。また、静的ルーティング や、動的ルーティングプロトコルによって得られたルーティングなど、さまざまなソースからのルートを 再分散できます。詳細については、「Gaia Advanced Routing R77 Versions Administration Guide」を参照 してください。

ローカルルートをアドバタイズするには

1. Gaia WebUI で、[Advanced Routing]、[Routing Redistribution] の順に選択します。[Add Redistribution From]、[Interface] の順に選択します。

2. [To Protocol] で、仮想プライベートゲートウェイ ASN; (例: 7224) を選択します。 3. [Interface] では内部インターフェイスを選択します。[Save] を選択します。

ステップ 3: ネットワークオブジェクトを作成する

このステップでは、仮想プライベートゲートウェイのパブリック (外部) IP アドレスを指定することで各 VPN トンネル用のネットワークオブジェクトを作成します。後で、VPN コミュニティのサテライトゲー トウェイとしてこれらのオブジェクトを追加します。また、VPN ドメインのプレースホルダーとして機能 する空グループを作成する必要があります。

新しいネットワークオブジェクトを定義するには

1. Check Point SmartDashboard を開きます。

2. [Groups] では、コンテキストメニューを開き、[Groups]、[Simple Group] の順に選択します。各ネッ トワークオブジェクトに対して同じグループを使用できます。

3. [Network Objects] では、コンテキストメニュー (右クリック) を開き、[New]、[Interoperable Device] の順に選択します。

4. [Name] には、ステップ 1 でトンネル用に指定した名前 (例: AWS_VPC_Tunnel_1 または AWS_VPC_Tunnel_2) を入力します。

5. [IPv4 Address] には、設定ファイルで提供される仮想プライベートゲートウェイの外部 IP アドレス (例: 54.84.169.196) を入力します。設定を保存して、このダイアログボックスを閉じます。

(22)

ステップ 4: VPN コミュニティを 作成し IKE と IPsec を設定する

6. 左のカテゴリーペインで、[Topology] を選択します。

7. [VPN Domain] セクションで、[Manually defined] を選択し、ステップ 2 で作成した空のシンプルなグ ループを参照して選択します。[OK] を選択します。

8. 2 番目のネットワークオブジェクトを作成するには、設定ファイルの IPSec Tunnel #2 セクション 内の情報を使用して、ステップを繰り返します。

9. ゲートウェイネットワークオブジェクトに移動してゲートウェイまたはクラスターオブジェクトを開 き、[Topology] を選択します。

10. [VPN Domain] セクションで、[Manually defined] を選択し、ステップ 2 で作成した空のシンプルなグ ループを参照して選択します。[OK] を選択します。

Note

設定ずみの既存の VPN ドメインは保持できますが、特に VPN ドメインが自動的に取得され ている場合は、新しい VPN 接続で使用または供給されているドメインとホストがその VPN ドメインで宣言されていないことを確認してください。

Note

クラスターを使用している場合は、トポロジーを編集してインターフェイスをクラスターイン ターフェイスとして定義します。設定ファイルに指定された IP アドレスを使用します。

ステップ 4: VPN コミュニティを作成し IKE と IPsec

を設定する

このステップでは、Check Point ゲートウェイに VPN コミュニティを作成し、そこに各トンネルのネット ワークオブジェクト (相互運用デバイス) を追加します。また、Internet Key Exchange (IKE) および IPsec を設定します。

VPN コミュニティ、IKE、および IPsec 設定の作成と設定

1. ゲートウェイのプロパティから、カテゴリーペインの [IPSec VPN] を選択します。 2. [Communities]、[New]、[Star Community] の順に選択します。

3. コミュニティの名前 (例: AWS_VPN_Star) を指定し、カテゴリーペインの [Center Gateways] を選択 します。

(23)

ステップ 4: VPN コミュニティを 作成し IKE と IPsec を設定する

4. [Add] を選択して、ゲートウェイまたはクラスターを参加ゲートウェイのリストに追加します。 5. カテゴリーペインで、[Satellite Gateways]、[Add] の順に選択し、先に作成した相互運用デバイス

(AWS_VPC_Tunnel_1 および AWS_VPC_Tunnel_2) を参加ゲートウェイのリストに追加します。 6. カテゴリーペインで、[Encryption] を選択します。[Encryption Method] セクションで、[IKEv1 for IPv4

and IKEv2 for IPv6] を選択します。[Encryption Suite] セクションで、[Custom]、[Custom Encryption] の順に選択します。

Note

IKEv1 機能の [IKEv1 for IPv4 and IKEv2 for IPv6] オプションを選択します。ただし、IKEv2 と IPv6 は現在サポートされていません。

7. ダイアログボックスで次のように暗号化プロパティを設定し、完了したら [OK] を選択します。 • IKE Security Association (フェーズ 1) のプロパティ

• Perform key exchange encryption with: AES-128 • Perform data integrity with: SHA1

• IPsec Security Association (フェーズ 2) のプロパティ • Perform IPsec data encryption with: AES-128 • Perform data integrity with: SHA-1

8. カテゴリーペインで [Tunnel Management] を選択します。[Set Permanent Tunnels]、[On all tunnels in the community] の順に選択します。[VPN Tunnel Sharing] セクションで、[One VPN tunnel per Gateway pair] を選択します。

9. カテゴリーペインで [Advanced Settings] を展開し、[Shared Secret] を選択します。

10. 最初のトンネルのピア名を選択し、[Edit] を選択して、設定ファイルの IPSec Tunnel #1 セクショ ンで指定されている事前共有キーを入力します。

11. 2 番目のトンネルのピア名を選択し、[Edit] を選択して、設定ファイルの IPSec Tunnel #2 セク ションで指定されている事前共有キーを入力します。

(24)

ステップ 5: ファイアウォールを設定する

12. さらに [Advanced Settings] カテゴリーで [Advanced VPN Properties] を選択し、プロパティを次のよ うに設定して、完了したら [OK] を選択します。

• IKE (フェーズ 1):

• Use Diffie-Hellman group: Group 2 (1024 bit) • Renegotiate IKE security associations every 480 minutes • IPsec (フェーズ 2):

• [Use Perfect Forward Secrecy] を選択します。 • Use Diffie-Hellman group: Group 2 (1024 bit)

• Renegotiate IPsec security associations every 3600 seconds

ステップ 5: ファイアウォールを設定する

このステップでは、ファイアウォールルールとディレクショナルマッチルールを使用し、VPC とローカ ルネットワーク間での通信を許可するポリシーを設定します。その後、ゲートウェイにポリシーをインス トールします。

ファイアウォールルールを作成するには

1. SmartDashboard で、ゲートウェイの [Global Properties] を選択します。カテゴリーペインで [VPN] を展開し、[Advanced] を選択します。

(25)

ステップ 6: Dead Peer Detection お よび TCP MSS クランプを有効にする 3. SmartDashboard で [Firewall] を選択し、次のルールでポリシーを作成します。 • VPC サブネットに対して必須プロトコル経由でのローカルネットワークとの通信を許可する。 • ローカルネットワークに対して必須プロトコル経由での VPC サブネットとの通信を許可する。 4. VPN 列のセルのコンテキストメニューを開いて、[Edit Cell] を選択します。

5. [VPN Match Conditions] ダイアログボックスで、[Match traffic in this direction only] を選択します。そ れぞれで [Add] を選択してディレクショナルマッチルールを作成し、完了したら [OK] を選択します。 • internal_clear > VPN コミュニティ (先に作成した VPN スターコミュニティ。例: AWS_VPN_Star) • VPN コミュニティ > VPN コミュニティ • VPN コミュニティ > internal_clear 6. SmartDashboard で、[Policy]、[Install] の順に選択します。 7. ダイアログボックスでゲートウェイを選択し、[OK] を選択してポリシーをインストールします。

ステップ 6: Dead Peer Detection および TCP MSS ク

ランプを有効にする

Check Point ゲートウェイでは、IKE の関連付けが停止したときに Dead Peer Detection (DPD) を使用して 識別できます。 永続トンネルに対して DPD を設定するには、永続トンネルが AWS VPN コミュニティで設定されている 必要があります (「ステップ 4: VPN コミュニティを作成し IKE と IPsec を設定する (p. 17)」のステッ プ 8 を参照)。 デフォルトでは、VPN ゲートウェイの tunnel_keepalive_method プロパティは tunnel_test に設定されます。この値を dpd に変更する必要があります。DPD のモニタリングを必要とす る VPN コミュニティの各 VPN ゲートウェイは、サードパーティの VPN ゲートウェイを含め て、tunnel_keepalive_method プロパティで設定する必要があります (同じゲートウェイに対して異 なるモニタリングメカニズムを設定することはできません)。 GuiDBedit ツールを使用して tunnel_keepalive_method プロパティを更新できます。

tunnel_keepalive_method プロパティを変更するには

1. Check Point SmartDashboard を開き、[Security Management Server]、[Domain Management Server] の順に選択します。

2. [File]、[Database Revision Control...] の順に選択し、リビジョンのスナップショットを作成します。 3. SmartDashboard、SmartView Tracker、SmartView Monitor など、すべての SmartConsole ウィンド

ウを閉じます。

4. GuiBDedit ツールを起動します。詳細については、Check Point サポートセンターの「Check Point Database Tool」という記事を参照してください。

5. [Security Management Server]、[Domain Management Server] の順に選択します。 6. 左上のペインで、[Table]、[Network Objects]、[network_objects] の順に選択します。 7. 右上のペインで、関連する [Security Gateway]、[Cluster] オブジェクトを選択します。 8. Ctrl+F キーを押すか、[Search] メニューを使用して以下を検索しま す。tunnel_keepalive_method 9. 下のペインで、[tunnel_keepalive_method] のコンテキストメニューを開き、[Edit...] を選択しま す。[dpd] を選択し、[OK] を選択します。 10. AWS VPN コミュニティの一部である各ゲートウェイに対して、ステップ 7~9 を繰り返します。 11. [File]、[Save All] の順に選択します。

(26)

カスタマーゲートウェイ設定をテストする方法 12. GuiDBedit ツールを閉じます。

13. Check Point SmartDashboard を開き、[Security Management Server]、[Domain Management Server] の順に選択します。

14. 関連する [Security Gateway]、[Cluster] オブジェクトにポリシーをインストールします。

詳細については、Check Point Support Center の「New VPN features in R77.10」という記事を参照してく ださい。

TCP MSS クランプは TCP パケットの最大セグメントサイズを小さくしてパケット断片化を防ぎます。

TCP MSS クランプを有効にするには

1. 次のディレクトリに移動します。C:\Program Files (x86)\CheckPoint\SmartConsole \R77.10\PROGRAM\

2. GuiDBEdit.exe ファイルを実行して Check Point Database Tool を開きます。 3. [Table]、[Global Properties]、[properties] の順に選択します。

4. fw_clamp_tcp_mss で、[Edit] を選択します。値を true に変更し、[OK] を選択します。

カスタマーゲートウェイ設定をテストする方法

各トンネルに対して、ゲートウェイ設定をテストすることができます。

各トンネルのカスタマーゲートウェイ設定をテストするには

1. カスタマーゲートウェイで、BGP ステータスが Active であるかどうかを確認します。 BGP ピアがアクティブになるまでに約 30 秒かかります。 2. カスタマーゲートウェイが仮想プライベートゲートウェイへのルートをアドバタイズしていることを 確認します。このルートは、デフォルトルート (0.0.0.0/0) の場合と、任意で特定したルートの場 合があります。 正しく設定されている場合、BGP ピアは、VPC 統合チームが VPC 用に指定したプレフィックス (たとえ ば、10.0.0.0/24) に対応する仮想プライベートゲートウェイから 1 つのルートを受け取ります。BGP ピアが確立された場合は、プレフィックスを受け取り、プレフィックスをアドバタイズして、トンネルが 正しく設定されます。両方のトンネルがこの状態であることを確認します。 次に、VPC でインスタンスを起動し、ホームネットワークからインスタンスへの ping を実行して、各ト ンネルの接続をテストする必要があります。開始する前に、以下を確認してください。

• ping リクエストに応答する AMI を使用します。Amazon Linux AMI のいずれかを使用することをお勧め します。 • インスタンスのセキュリティグループとネットワーク ACL を設定し、インバウンド ICMP トラフィック を有効にします。 • VPN 接続用のルーティングを設定していることを確認します。サブネットのルートテーブルに仮想プラ イベートゲートウェイへのルートが含まれている必要があります。詳細については、Amazon VPC ユー ザーガイド の「ルートテーブルでルート伝達を有効にする」を参照してください。

各トンネルのエンドツーエンド接続をテストするには

1. VPC で Amazon Linux AMI の 1 つのインスタンスを起動します。Amazon EC2 コンソールからインス タンスを起動すると、起動ウィザードのリストに Amazon Linux AMI が表示されます。詳細について は、「Amazon VPC 入門ガイド」を参照してください。

(27)

カスタマーゲートウェイ設定をテストする方法 2. インスタンスが実行中になった後、そのプライベート IP アドレス (例えば 10.0.0.4) を取得しま す。 コンソールにインスタンスの詳細の一部としてアドレスが表示されます。 3. ホームネットワークのシステムで、インスタンスの IP アドレスに対して ping コマンドを実行しま す。ping を実行するコンピューターがカスタマーゲートウェイの背後にないことを確認します。正常 なレスポンスは次のようになります。 ping 10.0.0.4

Pinging 10.0.0.4 with 32 bytes of data:

Reply from 10.0.0.4: bytes=32 time<1ms TTL=128 Reply from 10.0.0.4: bytes=32 time<1ms TTL=128 Reply from 10.0.0.4: bytes=32 time<1ms TTL=128 Ping statistics for 10.0.0.4:

Packets: Sent = 3, Received = 3, Lost = 0 (0% loss), Approximate round trip times in milliseconds:

Minimum = 0ms, Maximum = 0ms, Average = 0ms

Note

カスタマーゲートウェイルーターからインスタンスへの ping を実行する場合は、ping メッ セージの送信元がトンネル IP アドレスではなく内部 IP アドレスになるようにしてくださ い。一部の AMI は、トンネル IP アドレスからの ping メッセージに応答しません。 4. (オプション) トンネル フェイルオーバーをテストするため、カスタマーゲートウェイのトンネルの 1 つを一時的に無効化し、上記の手順を繰り返すことができます。VPN 接続の AWS 側のトンネルを無 効化することはできません。 Check Point のゲートウェイ側でエキスパートモードのコマンドラインツールから次のコマンドを実行し て、トンネルの状態を確認できます。 vpn tunnelutil 表示されたオプションで、IKE 関連付けを検証するには 1 を、IPsec 関連付けを検証するには 2 を選択し ます。

また、Check Point Smart Tracker Log を使用して、接続内のパケットが暗号化されていることを検証でき ます。たとえば次のログは、VPC へのパケットがトンネル 1 経由で送信され、暗号化されていることを示 します。

(28)
(29)

カスタマーゲートウェイの概要

例: ボーダーゲートウェイプロトコル

を使用しない Check Point デバイス

このセクションには、カスタマーゲートウェイが R77.10 以上を実行し Gaia オペレーティングシステムを 使用する Check Point Security Gateway デバイスである場合に、統合チームから提供される設定情報例が 掲載されています。 トピック • カスタマーゲートウェイの概要 (p. 24) • 設定ファイル (p. 25) • Check Point デバイスの設定 (p. 25) • カスタマーゲートウェイ設定をテストする方法 (p. 33)

カスタマーゲートウェイの概要

次の図は、カスタマーゲートウェイの全般的な説明を示しています。VPN 接続が 2 つの個別のトンネルで 構成されている点に注意してください。冗長なトンネルを使用することで、デバイス障害の発生時にも可 用性を継続的に維持できます。

(30)

設定ファイル

設定ファイル

VPN デバイスの各トンネル、および IKE と IPsec の設定に必要な値を含む設定ファイルが統合チームか ら提供されます。設定ファイルには、デバイスを設定するための Gaia ウェブポータルおよび Check Point SmartDashboard の使用方法が含まれています。次のセクションで同じステップを説明します。

設定ファイルから抽出した例を次に示します。ファイルには 2 つのセクションがあります。IPSec Tunnel #1 と IPSec Tunnel #2 です。各トンネルを設定するには、各セクションで提供される値を使 用する必要があります。

! Amazon Web Services ! Virtual Private Cloud

! AWS uses unique identifiers to manipulate the configuration of

! a VPN connection. Each VPN connection is assigned an identifier and is ! associated with two other identifiers, namely the

! customer gateway identifier and virtual private gateway identifier. !

! Your VPN connection ID : vpn-12345678

! Your virtual private gateway ID : vgw-12345678

! Your customer gateway ID : cgw-12345678

! !

! This configuration consists of two tunnels. Both tunnels must be ! configured on your customer gateway.

!

! ---! IPSec Tunnel #1

! ---! #1: Tunnel Interface Configuration

...

! ! ---! IPSec Tunnel #2

! ---! #1: Tunnel Interface Configuration

...

Check Point デバイスの設定

次の手順で、VPN 接続の VPN トンネル、ネットワークオブジェクト、およびセキュリティを設定する方 法を示します。手順内の例の値は設定ファイルで提供される値に置き換えてください。

Note

詳細については、Check Point Support Center の Check Point Security Gateway IPsec VPN to Amazon Web Services VPC の記事を参照してください。

トピック

• ステップ 1: トンネルインターフェイスを設定する (p. 26) • ステップ 2: 静的ルートを設定する (p. 27)

(31)

ステップ 1: トンネルインターフェイスを設定する • ステップ 4: VPN コミュニティを作成し IKE と IPsec を設定する (p. 30) • ステップ 5: ファイアウォールを設定する (p. 31)

• ステップ 6: Dead Peer Detection および TCP MSS クランプを有効にする (p. 32)

ステップ 1: トンネルインターフェイスを設定する

最初のステップは、VPN トンネルを作成し、各トンネル用のカスタマーゲートウェイと仮想プライベート ゲートウェイのプライベート (内部) IP アドレスを提供することです。最初のトンネルを作成するには、設 定ファイルの IPSec Tunnel #1 セクションで提供される情報を使用します。2 番目のトンネルを作成す るには、設定ファイルの IPSec Tunnel #2 セクションで提供される値を使用します。

トンネルインターフェイスを設定するには

1. Check Point Security Gateway デバイスの Gaia ポータルを開きます。 2. [Network Interfaces]、[Add]、[VPN tunnel] の順に選択します。

3. ダイアログボックスで次のように設定し、完了したら [OK] を選択します。 • [VPN Tunnel ID] には、1 など一意の値を入力します。

• [Peer] には、AWS_VPC_Tunnel_1 または AWS_VPC_Tunnel_2 など、トンネル用の一意の名前を 入力します。

• [Numbered] が選択されていることを確認して、[Local Address] に設定ファイルの CGW Tunnel IP で指定されている IP アドレス (例: 169.254.44.234) を入力します。

• [Remote Address] には、設定ファイルの VGW Tunnel IP に指定された IP アドレス (例: 169.254.44.233) を入力します。

(32)

ステップ 2: 静的ルートを設定する

4. SSH でセキュリティゲートウェイに接続します。デフォルト以外のシェルを使用している場合は、次 のコマンドを実行して、clish に変更します。clish

5. トンネル 1 の場合は、次のコマンドを実行します。

set interface vpnt1 mtu 1436

トンネル 2 の場合は、次のコマンドを実行します。

set interface vpnt2 mtu 1436

6. 2 番目のトンネルを作成するには、設定ファイルの IPSec Tunnel #2 セクション内の情報を使用し て、ステップを繰り返します。

ステップ 2: 静的ルートを設定する

このステップでは、各トンネルで VPC のサブネットへの静的ルートを指定し、トラフィックをトンネルイ ンターフェイス経由で送信できるようにします。2 番目のトンネルがあると、最初のトンネルに問題が発 生した場合のフェイルオーバーが可能になります。問題が検出された場合、ポリシーベースの静的ルート がルーティングテーブルから削除され、2 番目のルートがアクティブ化されます。また、トンネルのもう

(33)

ステップ 2: 静的ルートを設定する

一方の端に ping を打ち、トンネルが稼働しているかどうかを確認するために、Check Point ゲートウェイ を有効にする必要があります。

静的ルートを設定するには

1. Gaia ポータルで、[IPv4 Static Routes]、[Add] の順に選択します。 2. サブネットの CIDR (例: 10.28.13.0/24) を指定します。 3. [Add Gateway]、[IP Address] の順に選択します。

4. 設定ファイルの VGW Tunnel IP に指定された IP アドレス (例: 169.254.44.233) を入力し、優先 順位を 1 にします。

5. [Ping] を選択します。

6. 2 つめのトンネルに対して、設定ファイルの IPSec Tunnel #2 セクションにある VGW Tunnel IP の値を使用してステップ 3 および 4 を繰り返します。優先順位を 2 にします。

7. [Save] を選択します。

Table          Tot Paths  Act Paths Suppressed    History Damp State    Pending inet.0                 2          1          0          0          0          0 Peer                     AS      InPkt     OutPkt    OutQ   Flaps Last Up/Dwn State|

参照

関連したドキュメント

サーバー費用は、Amazon Web Services, Inc.が提供しているAmazon Web Servicesのサーバー利用料とな

ライセンス管理画面とは、ご契約いただいている内容の確認や変更などの手続きがオンラインでできるシステムです。利用者の

当社グループにおきましては、コロナ禍において取り組んでまいりましたコスト削減を継続するとともに、収益

Nintendo Switchでは引き続きハードウェア・ソフトウェアの魅力をお伝えし、これまでの販売の勢いを高い水準

えて リア 会を設 したのです そして、 リア で 会を開 して、そこに 者を 込 ような仕 けをしました そして 会を必 開 して、オブザーバーにも必 の けをし ます

Q-Flash Plus では、システムの電源が切れているとき(S5シャットダウン状態)に BIOS を更新する ことができます。最新の BIOS を USB

手動のレバーを押して津波がどのようにして起きるかを観察 することができます。シミュレーターの前には、 「地図で見る日本

海外市場におきましては、米国では金型業界、セラミックス業界向けの需要が引き続き増加しております。受注は好