例:Microsoft AzureのvSRX仮想ファイアウォールと仮想ネットワークゲートウェイ間のIPsec VPNを設定する
この例では、Microsoft Azure で vSRX 仮想ファイアウォール インスタンスと仮想ネットワーク ゲートウェイ間の IPsec VPN を構成する方法を示します。
始める前に
Microsoft Azure仮想ネットワークにvSRX仮想ファイアウォールインスタンスをインストールして起動していることを確認します。
詳細については、 SRX サイトツーサイト VPN 構成ジェネレータ と 、ダウンしているかアクティブではない VPN トンネルをトラブルシューティングする方法 を参照してください。
概要
IPsec VPN を使用して Microsoft Azure 内の 2 つの VT 間のトラフィックを保護し、1 つの vSRX 仮想ファイアウォールで 1 つの VNet を保護し、もう一方の VNet を保護する Azure 仮想ネットワーク ゲートウェイを使用できます。
vSRX 仮想ファイアウォール IPsec VPN の構成
手順
手順
vSRX仮想ファイアウォールでIPsec VPNを設定するには::
設定編集モードでvSRX仮想ファイアウォールにログインします( 「 CLIを使用してvSRXを設定する」を参照してください)。
vSRX 仮想ファイアウォール インターフェイスの IP アドレスを設定します。
set interfaces ge-0/0/0 unit 0 family inet address 10.0.0.10/24 set interfaces ge-0/0/1 unit 0 family inet address 10.10.10.10/24 set interfaces st0 unit 1 family inet address 10.0.250.10/24
untrust セキュリティ ゾーンを設定します。
set security zones security-zone untrust screen untrust-screen set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust interfaces ge-0/0/0.0 set security zones security-zone untrust interfaces st0.1
trust セキュリティ ゾーンを設定します。
set security zone trust host-inbound-traffic system-services https set security zone trust host-inbound-traffic system-services ssh set security zone trust host-inbound-traffic system-services ping set security security-zone trust interfaces ge-0/0/1.0
IKEを設定します。
set security ike proposal ike-phase1-proposalA authentication-method pre-shared-keys set security ike proposal ike-phase1-proposalA dh-group group2 set security ike proposal ike-phase1-proposalA authentication-algorithm sha-256 set security ike proposal ike-phase1-proposalA encryption-algorithm aes-256-cbc set security ike policy ike-phase1-policyA mode main set security ike policy ike-phase1-policyA proposals ike-phase1-proposalA set security ike policy ike-phase1-policyA pre-shared-key ascii-text <preshared-key> set security ike gateway gw-siteB ike-policy ike-phase1-policyA set security ike gateway gw-siteB address 52.175.210.65 set security ike gateway gw-siteB version v2-only set security ike gateway gw-siteB external-interface ge-0/0/0.0
メモ:この例では、必ず正しいパブリックIPアドレスに置き換えてください
52.175.210.65
。IPsecを設定します。
次の例は、CBC 暗号化アルゴリズムを使用した vSRX 仮想ファイアウォール IPsec 構成を示しています。
set security ipsec proposal ipsec-proposalA protocol esp set security ipsec proposal ipsec-proposalA authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec-proposalA encryption-algorithm aes-256-cbc set security ipsec proposal ipsec-proposalA lifetime-seconds 7200 set security ipsec proposal ipsec-proposalA lifetime-kilobytes 102400000 set security ipsec policy ike-phase1-policyA proposals ipsec-proposalA set security ipsec vpn ike-vpn-siteB bind-interface st0.1 set security ipsec vpn ike-vpn-siteB ike gateway gw-siteB set security ipsec vpn ike-vpn-siteB ike ipsec-policy ike-phase1-policyA set security ipsec vpn ike-vpn-siteB establish-tunnels immediately
必要に応じて、CBC の代わりに vSRX 仮想ファイアウォール IPsec 構成で AES-GCM を暗号化アルゴリズムとして使用できます。
set security ipsec proposal ipsec-proposalA protocol esp set security ipsec proposal ipsec-proposalA encryption-algorithm aes-256-gcm set security ipsec proposal ipsec-proposalA lifetime-seconds 7200 set security ipsec proposal ipsec-proposalA lifetime-kilobytes 102400000 set security ipsec policy ike-phase1-policyA proposals ipsec-proposalA set security ipsec vpn ike-vpn-siteB bind-interface st0.1 set security ipsec vpn ike-vpn-siteB ike gateway gw-siteB set security ipsec vpn ike-vpn-siteB ike ipsec-policy ike-phase1-policyA set security ipsec vpn ike-vpn-siteB establish-tunnels immediately
ルーティングを設定します。
set routing-instances siteA-vr1 instance-type virtual-router set routing-instances siteA-vr1 interface ge-0/0/0.0 set routing-instances siteA-vr1 interface ge-0/0/1.0 set routing-instances siteA-vr1 interface st0.1 set routing-instances siteA-vr1 routing-options static route 0.0.0.0/0 next-hop 10.0.0.1 set routing-instances siteA-vr1 routing-options static route 10.20.20.0/24 next-hop st0.1 commit
Microsoft Azure仮想ネットワークゲートウェイの構成
手順
手順
Microsoft Azure 仮想ネットワーク ゲートウェイを構成するには、次の Microsoft Azure の手順を参照してください。
S2S VPN または VNet と VNet の接続に対する IPsec/IKE ポリシーの設定
サイト間VPN接続が形成された場合、Microsoft Azure仮想ネットワークゲートウェイのIPSec IKEパラメーターがvSRX仮想ファイアウォールIPSec IKEパラメーターと一致していることを確認します。
アクティブVPNトンネルを検証します。
vSRX 仮想ファイアウォール インスタンスと Azure 仮想ネットワーク ゲートウェイの間にトンネルが立ち上がっていることを確認します。
root@> show security ike security-associations
Index State Initiator cookie Responder cookie Mode Remote Address 8290401 UP b1adf15fc3dfe0b0 89cc2a12cb7e3cd7 IKEv2 52.175.210.65
root@> show security ipsec security-associations
Total active tunnels: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <131073 ESP:aes-gcm-256/None c0e154e2 5567/ 102399997 - root 4500 52.175.210.65 >131073 ESP:aes-gcm-256/None 383bd606 5567/ 102399997 - root 4500 52.175.210.65