この記事では、FortiGateデバイスを使用した高可用性( HA )構成のIPsecサイトをCato Cloudに接続する方法について説明します。
この記事では、インターネットに接続された2つのWANリンクを備えたFortiGateを使用する環境で作業していることを前提としています。2つのCato PoPへのIPsec接続を構築します。
Cato PoP IPは、ネットワーク > IPの割り当てで、新しいIPアドレスを割り当てるか(または既存のものを使用)することで、Cato管理アプリケーションから取得できます。 サイトに最も近いPoPロケーションのプライマリIPと、異なるPoPロケーションのセカンダリIPを選択することをお勧めします。
注意: この記事でのこの構成は、ファームウェアバージョン7.0.8でテストされました。
このセクションでは、Cato開始ルーティングを備えたCato IPsec IKEv2サイトのためにFortiGateアプライアンスを設定する方法を説明します。
管理者アカウントでSSHを使ってFortiGateアプライアンスに接続してください。
Cato開始サイトへの接続用FortiGateアプライアンスを設定するには:
-
IPsecフェーズ1を定義するために設定を入力します:
config vpn ipsec phase1-interface edit “CATO_IPSECV2-1” #[プライマリVPN名] set interface "wan1" #[ローカルFGTサイトネットワークWANインターフェース] set ike-version 2 set keylife 19800 set peertype any set net-device disable set proposal aes256gcm-prfsha512 set comments “プライマリVPNへのCATOクラウドXCATD01” set dhgrp 16 set remote-gw #[Cato PoP 1 IP] set psksecret #[プライマリCato設定済みPSK] next end config vpn ipsec phase1-interface edit “CATO_IPSECV2-2” #[セカンダリVPN名] set interface "wan2" #[セカンダリFGTサイトネットワークWANインターフェース - 利用不可の場合は同じWANインターフェースを使用] set ike-version 2 set keylife 19800 set peertype any set net-device disable set proposal aes256gcm-prfsha512 set comments “セカンダリVPNへのCATOクラウドXCATD01” set dhgrp 16 set remote-gw #[Cato PoP 2 IP] set psksecret #[プライマリCato設定済みPSK] next end -
IPsecフェーズ2を定義するために設定を入力します:
config vpn ipsec phase2-interface edit "CATO_IPSECV2-1" #[VPNフェーズ2名] set phase1name "CATO_IPSECV2-1" #[VPNフェーズ1名] set proposal aes256gcm set dhgrp 16 set keylifeseconds 3600 next edit "CATO_IPSECV2-2” #[VPNフェーズ2名] set phase1name "CATO_IPSECV2-2” #[VPNフェーズ1名] set proposal aes256gcm set dhgrp 16 set keylifeseconds 3600 next end -
トラフィックをVPNトンネルを通じてCato Cloudにルーティングします。
これを行うには、静的ルーティングを使用するか、BGPを使って動的に行うことができます。 この例では、静的ルーティングを使用しています。
config router static edit #[ローカルFGTユニークルートID] set dst 172.101.0.0 255.255.255.0 #[リモートCato Networksサブネット] set distance 1 set device "CATO_IPSECV2-1" next edit #[ローカルFGTユニークルートID] set dst 172.101.0.0 255.255.255.0 #[リモートCato Networksサブネット] set priority 10 set distance 1 set device "CATO_IPSECV2-2” next edit #[ローカルFGTユニークルートID] set dst 172.101.0.0 255.255.255.0 #[リモートCato Networksサブネットに送信する場合はブラックホール] set blackhole enable set distance 254 next end -
(オプション) 新しいルールを作成する際やVPNの名前を変更する必要がある場合に、容易になるようゾーンを作成します。
config system zone edit "Cato-Cloud-S2S" #[ゾーン名] set intrazone allow set interface "CATO_IPSECV2-1" "CATO_IPSECV2-2" #[2つのIPSEC VPN] next警告! このゾーン設定は、FortiOSオペレーティングシステムの一部のバージョンで問題を引き起こす可能性があります。
-
ファイアウォールポリシーを、トンネル内のトラフィックを許可するルールで設定します。
config firewall policy edit #[ローカルFGTルールID] set name “CATO Firewall” set srcintf "Virtual Lan" #[ローカルFGTサイトネットワークインターフェース] set dstintf "Cato-Cloud-S2S"#[リモートCATO Networks VPNゾーンまたはVPNインターフェース] set action accept set srcaddr "all" #[ベストプラクティス – ローカルアドレス/グループでフィルタ] set dstaddr "all" #[ベストプラクティス – CATOアドレス/グループでフィルタ] set schedule "always" set service "ALL" next end
このセクションでは、FortiGate アプライアンスを Cato IPsec IKEv1 サイト用に構成する方法を説明します。ここでは、FortiGate アプライアンスによって開始されるルーティングが、WAN トラフィックの動的な公開 IP アドレスをサポートします。
注意: この記事のこの構成は、ファームウェアバージョン 7.0.8 でテストされました。
IKEv1ファイアウォール開始サイトへ接続するFortiGateアプライアンスを設定するには:
-
IPsecフェーズ1を定義するための設定を入力します:
config vpn ipsec phase1-interface edit "CATO_Cloud_M1" #[プライマリVPN名] set interface "wan1" #[ローカルFGTサイトネットワークWANインターフェース] set keylife 19800 set mode aggressive set peertype any set net-device disable set proposal aes256-sha512 set localid ". " #[ローカルIDを設定 - サイト設定 -> IPsecメニューから取得可能] set dhgrp 16 set remote-gw #[CatoポッププライマリIP] set psksecret #[プライマリCato設定済みPSK] next edit "CATO_Cloud_M2" #[セカンダリVPN名] set interface "wan2" #[セカンダリFGTサイトネットワークWANインターフェース(利用不可の場合は同じWANインターフェースを使用)] set keylife 19800 set mode aggressive set peertype any set net-device disable set proposal aes256-sha512 set localid " . " #[ローカルIDを設定 - サイト設定 -> IPsecメニューから取得可能] set dhgrp 16 set remote-gw #[CatoポップセカンダリIP] set psksecret #[セカンダリCato設定済みPSK] next -
IPsecフェーズ2を定義するための設定を入力します:
config vpn ipsec phase2-interface edit "CATO_Cloud_M1" #[VPNフェーズ2名] set phase1name "CATO_Cloud_M1" #[VPNフェーズ1名] set proposal aes256-sha256 set dhgrp 16 set auto-negotiate enable set comments "フェーズ2" set keylifeseconds 3600 next edit "CATO_Cloud_M2" #[VPNフェーズ2名] set phase1name "CATO_Cloud_M2" #[VPNフェーズ1名] set proposal aes256-sha256 set dhgrp 16 set auto-negotiate enable set comments "フェーズ2" set keylifeseconds 3600 next -
VPN トンネルを通じて Cato Cloud までトラフィックをルーティングします。
これを行うには、静的ルーティングを使用するか、BGP を使用して動的にルーティングすることが可能です。 この例では、静的ルーティングを使用しています。
edit #[ローカルFGTユニークルートID] set dst 10.254.254.0 255.255.255.0 #[リモートCATO Networksサブネット] set distance 1 set device "CATO_Cloud_M1" next edit #[ローカルFGTユニークルートID] set dst 10.254.254.0 255.255.255.0 #[リモートCATO Networksサブネット] set distance 1 set priority 20 #[これがバックアップ接続であるため、優先度を高く設定する必要があります] set device "CATO_Cloud_M2" next edit #[ローカルFGTユニークルートID] set dst 10.254.254.0 255.255.255.0 #[リモートCATO Networksに送信する場合はブラックホール] set blackhole enable set distance 254 next -
(オプション) ゾーンを作成してください。新しいルールを作成する際やVPN名を変更する際に簡単になります。
config system zone edit "Cato-Cloud-Dial-up" #[ゾーン名] set intrazone allow set interface " CATO_Cloud_M1" " CATO_Cloud_M2" #[2つのIPSEC VPN] next警告! このゾーンの構成は一部のFortiOSオペレーティングシステムのバージョンで問題を引き起こす可能性があります。
-
ポリシーをファイアウォールルールで設定し、トンネル内のトラフィックを許可します。
config firewall policy edit #[ローカルFGTルールID] set name “CATO Firewall” set srcintf "Virtual Lan" #[ローカルFGTサイトネットワークインターフェース] set dstintf "Cato-Cloud-Dial-up"#[リモートCATO Networks VPNゾーンまたはVPNインターフェース] set action accept set srcaddr "all" #[ベストプラクティス – ローカルアドレス/グループでフィルタ] set dstaddr "all" #[ベストプラクティス – CATOアドレス/グループでフィルタ] set schedule "always" set service "ALL" next end
このセクションでは、WANトラフィックのための動的公開IPアドレスをサポートするために、Cato IPsec IKEv1 サイトのためのFortiOS VS3を設定する方法を説明します。
FortiOS VS 3をIPsec IKEv1サイトに接続するには:
-
IPsec フェーズ1を定義する設定を入力します:
config vpn ipsec phase1 edit "Cato" set interface "wan1" set localid ". " #[ローカルIDを設定 - サイト設定 -> IPsecメニューから取得可能] set nattraversal enable set proposal aes256-sha1 set keylife 86400 set mode aggressive set add-gw-route enable set remote-gw #[Cato PoPセカンダリIP] set psksecret #[プライマリCato設定済みPSK] next end -
設定を入力してIPsecフェーズ2を定義します:
config vpn ipsec phase2 edit "Cato" set keepalive enable set pfs enable set phase1name "Cato" set proposal aes256-sha1 set replay enable set keylifeseconds 3600 set src-subnet 10.230.230.0 255.255.255.0 next -
ファイアウォールルールを設定します:
edit#[ファイアウォールルール名] set srcintf "internal" set dstintf "wan1" set srcaddr "all" set dstaddr "all" set action ipsec set schedule "always" set service "ANY" set logtraffic enable set inbound enable set outbound enable set vpntunnel "Cato" next -
サイト用のルーティングを構成します:
config router static edit X set device "Cato” #[IPsec名] set dst 10.230.230.0 255.255.255.0 #[リモートCATO Networksサブネット] next end config router static edit Y set blackhole enable set dst 10.230.230.0 255.255.255.0 #[リモートCATO Networksサブネット] set distance 254 next end
このセクションでは、WANトラフィックのダイナミックパブリックIPアドレスをサポートするために、Cato IPsec IKEv2応答者のみのサイト用にFortiOSを構成する方法について説明します。 この記事のこの部分では、ルートベースのVPN構成について説明します。
この構成はFortiOS 6.0.XおよびFortiOS 7.0.Xでテストされました。
最初にCMAでIKEv2サイトを作成し、IPsec設定で接続モードを応答者のみとして選択します。 この方法では、Catoは接続を開始しません。
認証識別子を選択するオプションがある新しいサブメニューが表示されます。 ここでKEY_IDオプションを選択します。 システムは進行し、この形式でローカルIDを生成します: [XXXXXXXX].[SiteID]。 事前共有キーとDHグループを16に設定します。
FortiOSのIPsec設定を行うには:
-
設定を入力してIPsecフェーズ1を定義します:
config vpn ipsec phase1-interface 編集 "CATO_Cloud_MK21" #[プライマリ VPN 名前] 設定 インタフェース "WAN1" #[ローカル FGT サイト ネットワーク WAN インタフェース] 設定 ike-version 2 設定 keylife 19800 設定 peertype すべて 設定 モード-設定無効 設定 提案 aes256gcm-prfsha512 設定 ローカルID "[XXXXXXXX].[サイトID]" #[ローカルIDの設定 - サイト設定 -> IPsecメニューから取得可能] 設定 コメント "プライマリ IPSEC 2 Cato ファイアウォール イニシエート" 設定 dhgrp 16 設定 nattraversal 強制 設定 リモート-gw #[Cato PoP プライマリ IP] 設定 psksecret #[プライマリ Cato 設定済み PSK] 次 編集 "CATO_Cloud_MK22" #[セカンダリ VPN 名前] 設定 インタフェース "WAN2" #[セカンダリ FGT サイト ネットワーク WAN インタフェース – 利用不可の場合は、同じ WAN インタフェース使用] 設定 ike-version 2 設定 keylife 19800 設定 peertype すべて 設定 モード-設定無効 設定 提案 aes256gcm-prfsha512 設定 ローカルID "[XXXXXXXX].[サイトID]" #[ローカルIDの設定 - サイト設定 -> IPsecメニューから取得可能] 設定 コメント "セカンダリ IPSEC 2 Cato ファイアウォール イニシエート バックアップ" 設定 dhgrp 16 設定 リモート-gw #[Cato PoP セカンダリ IP] 設定 psksecret #[セカンダリ Cato 設定済み PSK] 次 -
IPsec フェーズ2を定義するために設定を入力してください:
config vpn ipsec phase2-interface edit "CATO_Cloud_MK22" #[VPNフェーズ2名] set phase1name "CATO_Cloud_MK22" #[VPNフェーズ1名] set proposal aes256-sha512 set dhgrp 16 set auto-negotiate enable set keylifeseconds 3600 next edit "CATO_Cloud_MK21" #[VPNフェーズ2名] set phase1name "CATO_Cloud_MK21" #[VPNフェーズ1名] set proposal aes256-sha512 set dhgrp 16 set auto-negotiate enable set keylifeseconds 3600 next -
トラフィックをVPNトンネルを通じてCato Cloudへルーティングする:
config router static edit X #[ローカルFGTユニークルートID] set dst 10.254.254.0 255.255.255.0 #[リモートCato Networksサブネット - 適宜置き換え] set device "CATO_Cloud_MK21" next edit Y #[ローカルFGTユニークルートID] set dst 10.254.254.0 255.255.255.0 #[リモートCato Networksサブネット - 適宜置き換え] set priority 10 #[これがバックアップ接続であるため、優先度を高く設定する必要があります] set device "CATO_Cloud_MK22" next edit Z #[ローカルFGTユニークルートID] set dst 10.254.254.0 255.255.255.0 #[リモートCato Networksに送信する場合はブラックホール] set distance 254 set blackhole enable next -
トンネル内のトラフィックを許可するルールでファイアウォールポリシーを設定します。
config firewall policy edit #[ローカルFGTルールID] set name "From_Cato_Primary_IPsec" set srcintf "CATO_Cloud_MK21" #[リモートCato Networks VPNゾーンまたはVPNインターフェース] set dstintf "internal_LAN" #[ローカルFGTサイトネットワークインターフェース] set srcaddr "all" #[ベストプラクティス – Catoアドレス/グループでフィルタ] set dstaddr "all" #[ベストプラクティス – ローカルアドレス/グループでフィルタ] set action accept set schedule "always" set service "ALL" set logtraffic all set fsso disable #[新しいFortiOSバージョンでは不要] set comments "CatoプライマリIPSecからのトラフィック" next edit #[ローカルFGTルールID] set name "To_Cato_Primary_IPsec" set srcintf "internal_LAN" #[ローカルFGTサイトネットワークインターフェース] set dstintf "CATO_Cloud_MK21" #[リモートCato Networks VPNゾーンまたはVPNインターフェース] set srcaddr "all" #[ベストプラクティス – ローカルアドレス/グループでフィルタ] set dstaddr "all" #[ベストプラクティス – Catoアドレス/グループでフィルタ] set action accept set schedule "always" set service "ALL" set logtraffic all set fsso disable #[新しいFortiOSバージョンでは不要] set comments "ローカルネットワークからCatoプライマリIPSecへのトラフィック" next edit #[ローカルFGTルールID] set name "From_Cato_Secondary_IPsec" set srcintf "CATO_Cloud_MK22" #[リモートCato Networks VPNゾーンまたはVPNインターフェース] set dstintf "internal_LAN" #[ローカルFGTサイトネットワークインターフェース] set srcaddr "all" #[ベストプラクティス – Catoアドレス/グループでフィルタ] set dstaddr "all" #[ベストプラクティス – ローカルアドレス/グループでフィルタ] set action accept set schedule "always" set service "ALL" set logtraffic all set fsso disable #[新しいFortiOSバージョンでは不要] set comments "CatoセカンダリIPSecからのトラフィック" next edit #[ローカルFGTルールID] set name "To_Cato_Secondary_IPsec" set srcintf "internal_LAN" #[ローカルFGTサイトネットワークインターフェース] set dstintf "CATO_Cloud_MK22" #[リモートCato Networks VPNゾーンまたはVPNインターフェース] set srcaddr "all" #[ベストプラクティス – ローカルアドレス/グループでフィルタ] set dstaddr "all" #[ベストプラクティス – Catoアドレス/グループでフィルタ] set action accept set schedule "always" set service "ALL" set logtraffic all set fsso disable #[新しいFortiOSバージョンでは不要] set comments "ローカルネットワークからCatoセカンダリIPSecへのトラフィック" next end
GUIを通じて、IPsec IKEv2ファイアウォール開始サイトにFortiOSを接続するには:
- FortiOS IPsec設定:
-
VPN > IPsec Wizardに移動し、VPNの名称を入力してテンプレート名を選択 – カスタム。 次へをクリック。
-
次の画面で以下のように構成します:
-
-
ファイアウォールポリシー設定を構成:
Cato IPsecサイトへのトラフィックを許可するファイアウォールポリシーを作成。 ポリシー > オブジェクト > ファイアウォールポリシーに移動し、新規作成をクリック。 すべてのFWネットワークからのすべてのトラフィックを許可することをお勧めします。ただし、送信元/宛先/サービスはご自由に選択できます。
注意: 通常、トラフィックにNATする必要はありません。
-
スタティックルートを設定:
最後に、ネットワーク > スタティックルート > 新規作成からルートを追加。 IPsec接続を通じてアクセスしたいCato IP範囲でコンパイル。
- バックアップトンネルを作成するためには、プロセスを繰り返します(1. 異なるCato PoP IPとのIPsec接続作成 / 2. 新しいIPsecのためのFWポリシーの作成) ルーティングフェーズに移行する際に優先度/管理距離を高めに設定します。
-
Cato管理アプリケーションでサイトの動的ルーティング設定を構成。 サイトのプライマリおよびセカンダリトンネルのプライベートIPを定義。
If you want to have a dynamic routing configured on your environment, you will have to skip step 4.
-
サイトのプライマリおよびセカンダリBGP設定を構成。
- FortiGate GUIで動的ルーティング設定を構成します。
-
CatoおよびFortiGateのプライベートIPで各インタフェースを設定し、Ping管理アクセスを有効にします:
-
ネットワーク > BGPに移動し、Cato構成をミラーリングする2つの新しいネイバーを作成:
-
Cato管理アプリケーションと同じ設定でローカルASを構成:
-
保存をクリックしてください。
両方のトンネルがアップしているのが見えるでしょう。そして、Cato管理アプリケーションのサイト設定 > BGPにおいて、両方のIPsec接続で受信接続を通じて確立と表示されます:
-
0件のコメント
サインインしてコメントを残してください。