IBM Cloud Docs
ゾーン・ファイアウォールで機能する IPsec トンネルのセットアップ

ゾーン・ファイアウォールで機能する IPsec トンネルのセットアップ

IBM Cloud® Virtual Router Appliance の以前のバージョンでは、ポリシー・ベースのルーティングを使用する IPsec トンネルは、ゾーン・ファイアウォールでうまく機能しなかった。 バージョン 18.01 では、「仮想フィーチャー・ポイント」を使って指定されたトンネルのトラフィックを有効にすることで、新しいコマンド群がこの問題に対処している。 フィーチャー・ポイントは、ゾーン・ポリシー構成に含めるエンドポイントを提供するインターフェースとして機能します。

次の例は、2つのシステム間でIPsecを使用する場合の設定である:

システムA

vyatta@acs-jmat-migsim01:~$ show configuration commands | grep ipsec
set security vpn ipsec esp-group ESP01 pfs 'enable'
set security vpn ipsec esp-group ESP01 proposal 1 encryption 'aes256'
set security vpn ipsec esp-group ESP01 proposal 1 hash 'sha2_512'
set security vpn ipsec ike-group IKE01 proposal 1 dh-group '2'
set security vpn ipsec ike-group IKE01 proposal 1 encryption 'aes256'
set security vpn ipsec ike-group IKE01 proposal 1 hash 'sha2_512'
set security vpn ipsec site-to-site peer 50.23.177.59 authentication pre-shared-secret '********'
set security vpn ipsec site-to-site peer 50.23.177.59 default-esp-group 'ESP01'
set security vpn ipsec site-to-site peer 50.23.177.59 ike-group 'IKE01'
set security vpn ipsec site-to-site peer 50.23.177.59 local-address '169.47.243.43'
set security vpn ipsec site-to-site peer 50.23.177.59 tunnel 1 local prefix '172.16.200.1/30'
set security vpn ipsec site-to-site peer 50.23.177.59 tunnel 1 remote prefix '172.16.100.1/30'

システムB

vyatta@acs-jmat-1801-1a:~$ show configuration commands | grep ipsec
set security vpn ipsec esp-group ESP01 pfs 'enable'
set security vpn ipsec esp-group ESP01 proposal 1 encryption 'aes256'
set security vpn ipsec esp-group ESP01 proposal 1 hash 'sha2_512'
set security vpn ipsec ike-group IKE01 proposal 1 dh-group '2'
set security vpn ipsec ike-group IKE01 proposal 1 encryption 'aes256'
set security vpn ipsec ike-group IKE01 proposal 1 hash 'sha2_512'
set security vpn ipsec site-to-site peer 169.47.243.43 authentication pre-shared-secret 'iamsecret'
set security vpn ipsec site-to-site peer 169.47.243.43 default-esp-group 'ESP01'
set security vpn ipsec site-to-site peer 169.47.243.43 ike-group 'IKE01'
set security vpn ipsec site-to-site peer 169.47.243.43 local-address '50.23.177.59'
set security vpn ipsec site-to-site peer 169.47.243.43 tunnel 1 local prefix '172.16.100.1/30'
set security vpn ipsec site-to-site peer 169.47.243.43 tunnel 1 remote prefix '172.16.200.1/30'

このコンフィギュレーションは、2つのシステム間で 172.16.x.x トラフィックをルーティングする汎用トンネルを設定する。 システムBはループバックアドレスとして 172.16.100.1 、テスト用のエンドポイントを提供し、システムAはルーティングされたVLAN上に仮想マシンを置き、トンネルを横切るソーストラフィックを提供する。

結果は次のようになります。

[root@acs-jmat-migserver ~]# ping -c 5 172.16.100.1
PING 172.16.100.1 (172.16.100.1) 56(84) bytes of data.
64 bytes from 172.16.100.1: icmp_seq=1 ttl=63 time=44.5 ms
64 bytes from 172.16.100.1: icmp_seq=2 ttl=63 time=44.6 ms
64 bytes from 172.16.100.1: icmp_seq=3 ttl=63 time=44.8 ms
64 bytes from 172.16.100.1: icmp_seq=4 ttl=63 time=44.9 ms
64 bytes from 172.16.100.1: icmp_seq=5 ttl=63 time=44.6 ms
--- 172.16.100.1 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4006ms
rtt min/avg/max/mdev = 44.578/44.750/44.993/0.244 ms

この例は、このIPsecトンネルを横切る双方向トラフィックを示している。 次に、シンプルな "allow all "ゾーンポリシーをシステムAの全インターフェースに 適用する:

set security firewall name ALLOWALL default-action 'drop'
set security firewall name ALLOWALL rule 10 action 'accept'
set security firewall name ALLOWALL rule 10 protocol 'tcp'
set security firewall name ALLOWALL rule 10 state 'enable'
set security firewall name ALLOWALL rule 20 action 'accept'
set security firewall name ALLOWALL rule 20 protocol 'icmp'
set security firewall name ALLOWALL rule 20 state 'enable'
set security firewall name ALLOWALL rule 30 action 'accept'
set security firewall name ALLOWALL rule 30 protocol 'udp'
set security firewall name ALLOWALL rule 30 state 'enable'

その後、3 つすべてのインターフェース間でポリシーを追加します。

set security zone-policy zone INTERNET interface 'dp0bond1'
set security zone-policy zone INTERNET to PRIVATE firewall 'ALLOWALL'
set security zone-policy zone INTERNET to SERVERS firewall 'ALLOWALL'
set security zone-policy zone PRIVATE interface 'dp0bond0'
set security zone-policy zone PRIVATE to INTERNET firewall 'ALLOWALL'
set security zone-policy zone PRIVATE to SERVERS firewall 'ALLOWALL'
set security zone-policy zone SERVERS interface 'dp0bond0.1341'
set security zone-policy zone SERVERS to INTERNET firewall 'ALLOWALL'
set security zone-policy zone SERVERS to PRIVATE firewall 'ALLOWALL'

ポリシーが適用されると、allow allに設定されていても、トラフィックが流れなくなります。

異なるピアによるポリシーベースの構成

このセクションでは、複数のリモートピアを含むポリシーベースのセットアップにおける IPsec VPN トンネルのコンフィギュレーションについて概説する。

ピア1のIPアドレスは 10.10.10.1

set security vpn ipsec site-to-site peer 10.10.10.1 authentication pre-shared-secret '********'
set security vpn ipsec site-to-site peer 10.10.10.1 default-esp-group ESP01
set security vpn ipsec site-to-site peer 10.10.10.1 ike-group IKE01
set security vpn ipsec site-to-site peer 10.10.10.1 local-address 10.10.9.1

このコンフィギュレーションでは、Tunnel 2を以下のPeer 1に設定する。 10.10.10.1

set security vpn ipsec site-to-site peer 10.10.10.1 tunnel 2 local prefix 192.168.3.1/32
set security vpn ipsec site-to-site peer 10.10.10.1 tunnel 2 remote prefix 192.168.4.1/32
set security vpn ipsec site-to-site peer 10.10.10.1 tunnel 2 uses vfp2

ピア2のIPアドレスは 192.168.1.1

set security vpn ipsec site-to-site peer 192.168.1.1 authentication pre-shared-secret '********'
set security vpn ipsec site-to-site peer 192.168.1.1 default-esp-group ESP01
set security vpn ipsec site-to-site peer 192.168.1.1 ike-group IKE01
set security vpn ipsec site-to-site peer 192.168.1.1 local-address 10.10.9.1

このコンフィギュレーションでは、Tunnel 1を以下のPeer 2に設定する。 192.168.1.1

set security vpn ipsec site-to-site peer 192.168.1.1 tunnel 1 local prefix 192.168.3.1/32
set security vpn ipsec site-to-site peer 192.168.1.1 tunnel 1 remote prefix 192.168.4.1/32
set security vpn ipsec site-to-site peer 192.168.1.1 tunnel 1 uses vfp1

Vyatta でポリシーベースの IPsec VPN トンネルを、共通のローカルおよびリモートプレフィックスを共有する複数のピア (例えば、プライマリとセカンダリ) で設定する場合、一度にアクティブになるのは 1 つのトンネルだけです。 Vyatta はポリシーベースのセットアップにおいて、同一のプレフィックスペアを使用する複数のトンネルのトラフィックフローを区別することができないため、この動作は予想されます。 プライマリとセカンダリのフェイルオーバーパスなど、同じプレフィックス構成で複数のトンネルを有効にするには、ルートベースVPNを使用します。 ルートベースVPNは柔軟性が高く、ローカルとリモートのプレフィックスが同じであっても、複数のトンネルの同時運用が可能である。