IBM Cloud Docs
仮想データ・センター・エッジ・ゲートウェイとオンプレミス VPN ゲートウェイの間の VPN の作成

仮想データ・センター・エッジ・ゲートウェイとオンプレミス VPN ゲートウェイの間の VPN の作成

このチュートリアルでは、費用が発生する場合があります。 コスト見積もりツールを使用して、予測使用量に基づいてコスト見積もりを生成します。

目標

このチュートリアルの目的は、 IBM Cloud® for VMware Cloud Foundation as a Service シングル・テナント・インスタンスまたはマルチテナント・インスタンスを Juniper ® vSRXに接続するための基本的な手順を示すことです。 接続は、仮想プライベート・ネットワーク (VPN) を介して行われます。 vSRX は、 IBM Cloud クラシック・インフラストラクチャーまたはクライアント・データ・センターにデプロイできます。 以下のステップでは、基本的な作業環境を作成し、VPN、基本的なファイアウォール実装、およびエンドツーエンドのネットワーク接続を提供します。

このチュートリアルでは、次のことを学びます:

  • 仮想データ・センター (VDC) エッジ・ゲートウェイと vSRXの間に VPN を作成する方法。
  • 一致する IKE および IPsec トンネルの提案およびプロファイルを作成および構成する方法。
  • VDC エッジ・ゲートウェイおよび vSRX で VPN トラフィックを許可するようにファイアウォール・ルールを構成する方法。

以下の図は、デプロイするソリューションの概要を示しています。

アーキテクチャ図*チュートリアル" caption-side="bottom"}の{: caption="図

開始前に

このチュートリアルでは、以下が必要です。

情報および要件の収集

ポリシー・ベースのトンネルを確立するには、ゲートウェイ・エンドポイントやローカルおよびリモート・ネットワークなど、デプロイメントおよび設計からさまざまな情報を収集する必要があります。 さらに、IKE および IPsec のトンネル・セキュリティー・ポリシーを定義する必要があります。

ここにリストされ、言及されている情報を慎重に収集し、文書化してください。 この値は、双方のトンネル・コンフィギュレーションで正確に一致していなければならない。

IBM Cloud ポータルおよび vSRX ファイアウォール構成を使用して以下の情報を収集し、セキュリティー要件に基づいてトンネルの IPsec および IKE ポリシー・パラメーターを定義します。

  1. ポリシー・ベース・トンネルのローカルおよびリモート・ネットワーク情報を収集します。

    vSRX のプライベート・インターフェースは、通常、以下のように構成されます。

    set interfaces reth2 unit <vlan-id> description "Your private network routed through Gateway Appliance"
    set interfaces reth2 unit <vlan-id> vlan-id <vlan-id>
    set interfaces reth2 unit <vlan-id> family inet address <private-IP address-of-the-vsrx>/26
    

    vSRX インターフェースには複数の 2 次 IP アドレスがある可能性があるため、トンネルに必要なすべてのネットワーク情報を収集してください。

    トンネルに必要なすべての VDC ネットワーク情報を収集します。 VMware Cloud Director™コンソールを使用するか、ネットワーク設計の文書から情報を収集します(どのネットワークがVDCにデプロイされているか)。

    値の例を以下に示します。

    VPNを設定する前に確認するサイトプレフィックスまたはサブネットのリスト。
    接頭部
    vSRX の背後にあるサブネット 10.95.1.0/26
    VDC 上のサブネット 192.168.100.0/24

    ソリューションが異なる可能性があるため、ネットワーク設計およびデプロイメントのサブネットを使用してください。

  2. IPsec トンネルのローカルおよびリモートのゲートウェイ IP アドレス情報を収集します。

    vSRX のパブリック・インターフェース IP アドレスは、通常、 IBM Cloudで以下のように構成されます。

    set interfaces reth1 unit 0 description "SL PUBLIC VLAN INTERFACE"
    set interfaces reth1 unit 0 family inet address <public-IP address-of-the-vsrx>/29
    

    VDC から VDC エッジ・ゲートウェイのパブリック IP アドレスを収集します。 パブリック IP アドレスは、VDC インスタンスの下の IBM Cloud ポータルで使用可能です。

    次の表は、この例で使用される値を示しています。

    VPNを設定する前に確認するゲートウェイIPアドレスのリスト。
    ゲートウェイ IP アドレス
    エッジ・ゲートウェイのパブリック IP アドレス <public-IP address-of-the-vdc-edge-gateway>
    vSRX のパブリック IP アドレス <public-IP address-of-the-vsrx>

    ソリューションが異なる可能性があるため、デプロイメントに一致するエンドポイント IP アドレスを使用してください。

  3. 事前共有鍵を作成します。 IPsec トンネル用の事前共有鍵 your-psk を生成します。 この鍵は、ファイアウォールおよび VDC IPsec 構成で使用されます。

  4. トンネルの IKE ポリシーを定義します。 次の表は、この例で使用される値を示しています。

    VPNを設定する前に確認するIKEポリシーパラメータのリスト。
    IKE ポリシー
    バージョン アイケイイー v2
    暗号化 AES 256
    ダイジェスト SHA 2 から 256
    Diffie-Hellman グループ グループ 14
    関連付けの存続時間 (秒) 28800

    要件が異なる可能性があるため、デプロイメントの値を使用してください。

  5. トンネルの IPsec (またはトンネル) ポリシーを定義します。 次の表は、この例で使用される値を示しています。

    VPN を設定する前に確認すべき IPsec (またはトンネル) ポリシーパラメータのリスト。
    IPsec (またはトンネル) ポリシー
    Perfect Forward Secrecy 有効
    デフラグ・ポリシー コピー
    暗号化 AES 256
    ダイジェスト SHA 2 から 256
    Diffie-Hellman グループ グループ 14
    関連付けの存続時間 (秒) 3600

    要件が異なる可能性があるため、デプロイメントの値を使用してください。

  6. トンネルの非活動ピア検出 (DPD) ポリシーを定義します。 次の表は、この例で使用される値を示しています。

    VPNを設定する前に確認すべきデッドピア検出(DPD)ポリシーパラメータのリスト。
    DPD
    プローブ間隔 (秒) 60

    要件が異なる可能性があるため、デプロイメントの値を使用してください。

vSRX の構成

以下の構成では、前述のポリシー値の例を使用しています。 ご使用の環境とポリシーが異なる可能性があるため、構成コマンドを調整してください。

  1. IKE プロポーザル、IKE ポリシー、および事前共有鍵を構成します。

    set security ike proposal ike-phase1-vmwaas authentication-method pre-shared-keys
    set security ike proposal ike-phase1-vmwaas dh-group group14
    set security ike proposal ike-phase1-vmwaas authentication-algorithm sha-256
    set security ike proposal ike-phase1-vmwaas encryption-algorithm aes-256-cbc
    set security ike proposal ike-phase1-vmwaas lifetime-seconds 28800
    
    set security ike policy ike-phase1-policy mode main
    set security ike policy ike-phase1-policy proposals ike-phase1-vmwaas
    set security ike policy ike-phase1-policy pre-shared-key ascii-text <your-psk>
    
  2. IKE ゲートウェイを構成します。

    set security ike gateway vmwaas ike-policy ike-phase1-policy
    set security ike gateway vmwaas address <public-IP address-of-the-vdc-edge-gateway>
    
    set security ike gateway vmwaas external-interface reth1.0
    set security ike gateway vmwaas version v2-only
    
  3. IPsec ポリシーおよびプロポーザルを構成します。

    set security ipsec proposal ipsec-phase2-vmwaas protocol esp
    set security ipsec proposal ipsec-phase2-vmwaas authentication-algorithm hmac-sha-256-128
    set security ipsec proposal ipsec-phase2-vmwaas encryption-algorithm aes-256-cbc
    set security ipsec proposal ipsec-phase2-vmwaas lifetime-seconds 3600
    
    set security ipsec policy ipsec-phase2-policy perfect-forward-secrecy keys group14
    set security ipsec policy ipsec-phase2-policy proposals ipsec-phase2-vmwaas
    
  4. IPsec VPN を構成します。

    set interfaces st0 unit 0 family inet
    set security ipsec vpn vmwaas-vpn-1 bind-interface st0.0
    set security ipsec vpn vmwaas-vpn-1 ike gateway vmwaas
    set security ipsec vpn vmwaas-vpn-1 ike ipsec-policy ipsec-phase2-policy
    set security ipsec vpn vmwaas-vpn-1 traffic-selector pair1 local-ip 10.95.1.0/26
    set security ipsec vpn vmwaas-vpn-1 traffic-selector pair1 remote-ip 192.168.100.0/24
    set security ipsec vpn vmwaas-vpn-1 establish-tunnels immediately
    set security ipsec vpn vmwaas-vpn-1 df-bit copy
    
  5. コントロールプレーン・ファイアウォールを設定する:

    set firewall filter PROTECT-IN term PING from destination-address 10.95.1.1/32
    set firewall filter PROTECT-IN term PING from protocol icmp
    
    set firewall filter PROTECT-IN term IPSec-IKE from destination-address `<public-IP address-of-the-vsrx>/32`
    # Alternative way to use source-address
    # set firewall filter PROTECT-IN term IPSec-IKE from source-address `<public-IP address-of-the-vdc-edge-gateway>/32`
    set firewall filter PROTECT-IN term IPSec-IKE from protocol udp
    set firewall filter PROTECT-IN term IPSec-IKE from port 500
    set firewall filter PROTECT-IN term IPSec-IKE then accept
    
    set firewall filter PROTECT-IN term IPSec-ESP from destination-address `<public-IP address-of-the-vsrx>/32`
    # Alternative way to use source-address
    # set firewall filter PROTECT-IN term IPSec-ESP from source-address `<public-IP address-of-the-vdc-edge-gateway>/32`
    set firewall filter PROTECT-IN term IPSec-ESP from protocol esp
    set firewall filter PROTECT-IN term IPSec-ESP then accept
    
    set firewall filter PROTECT-IN term IPSec-4500 from destination-address `<public-IP address-of-the-vsrx>/32`
    # Alternative way to use source-address
    # set firewall filter PROTECT-IN term IPSec-4500 from source-address `<public-IP address-of-the-vdc-edge-gateway>/32`
    set firewall filter PROTECT-IN term IPSec-4500 from protocol udp
    set firewall filter PROTECT-IN term IPSec-4500 from port 4500
    set firewall filter PROTECT-IN term IPSec-4500 then accept
    
  6. セキュリティー・ゾーンおよびゾーン・ポリシーを構成します。

    set security zones security-zone vpn-vmwaas-tunnel interfaces st0.0
    set security zones security-zone vsrx-vlan interfaces reth2.2498
    
    set security policies from-zone vsrx-vlan to-zone vpn-vmwaas-tunnel policy vlan_to_vmwaas match source-address any
    set security policies from-zone vsrx-vlan to-zone vpn-vmwaas-tunnel policy vlan_to_vmwaas match destination-address any
    set security policies from-zone vsrx-vlan to-zone vpn-vmwaas-tunnel policy vlan_to_vmwaas match application any
    set security policies from-zone vsrx-vlan to-zone vpn-vmwaas-tunnel policy vlan_to_vmwaas then permit
    
    set security policies from-zone vpn-vmwaas-tunnel to-zone vsrx-vlan policy vmwaas_to_vlan match source-address any
    set security policies from-zone vpn-vmwaas-tunnel to-zone vsrx-vlan policy vmwaas_to_vlan match destination-address any
    set security policies from-zone vpn-vmwaas-tunnel to-zone vsrx-vlan policy vmwaas_to_vlan match application any
    set security policies from-zone vpn-vmwaas-tunnel to-zone vsrx-vlan policy vmwaas_to_vlan then permit
    
  7. TCP 最大セグメント・サイズ (MSS) を構成します。

    set security flow tcp-mss ipsec-vpn mss 1360
    

インスタンス・エッジ・ゲートウェイサービスとしての VCFの設定

サービスとしての VCF インスタンスにログインし、ネットワーキング・サブネット、ファイアウォール・ルール、および IPsec トンネルを構成します。

サービスとしての VCF コンソールにログイン

  1. Organization Administrator ロールを持つユーザで サービスとしての VCF インスタンスにログインします。

  2. 左のナビゲーションパネルから 「ネットワーク 」をクリックします。

  3. 「エッジ・ゲートウェイ (Edge Gateways)」 で、エッジ・ゲートウェイの name を選択します。

    ログイン
    サービスとしての VCF VDC エッジゲートウェイの選択

  4. サイドメニューで[ IPセット]をクリックし、[ 新規 ]をクリックして新しいIPセットを作成します。

  5. 2 つの IP セットを作成します。

    IPセットの詳細
    IP セット 名前 IP アドレス
    IP セット 1 ファイアウォール-ネットワーク 10.95.1.0/26
    IP セット 2 VMWaaS-VDC-Network 192.168.100.0/24

    VDC IPsec ルール
    サービスとしての VCF VDC IP セット

  6. 保存 をクリックします。

VDCゲートウェイのファイアウォールルールを作成する

サービスとしての VCF テナント・インスタンスは、セキュリティーを確保するためにすべてのトラフィックをドロップするデフォルトのファイアウォール・ルールを使用してプロビジョンされます。

VPN 接続との間のトラフィックを許可するには、さらに 2 つのルールを追加する必要があります。

  1. エッジゲートウェイを選択した状態で、左のナビゲーションパネルからファイアウォールをクリックします。

  2. 「ルールの編集」 をクリックし、 「上で新規作成」 をクリックします。

  3. ルールごとに繰り返し、 「保存」 をクリックします。

    サービスとしての VCFVDCファイアウォールルール
    ファイアウォールのルール 名前 ソース・アドレス 宛先アドレス
    ファイアウォール・ルール 1 VMWaaS-to-FW VMWaaS-VDC-Network Firewall-Network
    ファイアウォール・ルール 2 FW-to-VMWaaS Firewall-Network VMWaaS-VDC-Network

    VDC ファイアウォールルール
    サービスとしての VCF VDC ファイアウォールルール

VDCIPSec VPNトンネルの作成

次のステップでは、ローカル・エンドポイントとリモート・エンドポイントの間に IPSec VPN トンネルを作成します。

  1. エッジ・ゲートウェイを選択した状態で、左側のナビゲーション・パネルから IPSec VPN をクリックします。

  2. Newをクリックしてウィザードを開始する。

  3. 「一般設定」 の下で、 「名前」 フィールドにデータを設定し (例えば、 VMWaaS-to-FW-VPN )、 「次へ」 をクリックします。

  4. 「ピア認証モード」 で、事前共有鍵を設定します。 この鍵はファイアウォールと一致する必要があります。 **「次へ」**をクリックします。

  5. 「エンドポイント構成」 で、以下の値を設定します。

    サービスとしての VCFVDCファイアウォールルール
    エンドポイント構成 IP アドレス ネットワーク リモート ID
    ローカル・エンドポイント <public-IP address-of-the-vdc-edge-gateway> 192.168.100.0/24 n/a
    リモート・エンドポイント <public-IP address-of-the-vsrx> 10.95.1.1/26 <public-IP address-of-the-vsrx>
  6. 完了をクリックして完了する。

    VDC IPsec VPN
    サービスとしての VCF VDC IPSEC VPN の設定

IPsec トンネルおよび接続の検証

すべてのステップが正常に完了すると、VPN トンネルが確立され、2 つのネットワーク間でトラフィックが流れます。

CLI で ping を使用して、ユーザー・インターフェース (UI) または従来の方法で接続をテストできます。

UI での IPsec トンネルと接続の検証

  1. エッジ・ゲートウェイを選択した状態で、左側のナビゲーション・パネルから IPSec VPN をクリックします。

  2. リストで、「VPN 構成 (VPN Configured)」を選択します。

  3. 列の 「状態」 で、トンネルの状態を確認します。

  4. 「統計の表示」 をクリックして、詳細を確認します。

  5. 状況が緑でない場合は、トンネルに問題がある可能性があります。

    VDC IPsec 検証
    サービスとしての VCF VDC IPSEC VPN 最初の検証

トンネルが機能していない場合は、以下の方法で確認できます。

  1. エッジ・ゲートウェイを選択した状態で、左側のナビゲーション・パネルから IPSec VPN をクリックします。

  2. リストで、「VPN 構成 (VPN Configured)」を選択します。

  3. 「セキュリティー・プロファイルのカスタマイズ」 をクリックして、詳細を確認します。

  4. IKE プロファイルの詳細トンネル構成、または DPD 構成に関する具体的な詳細を変更します。

    VDC IPsec検証
    サービスとしての VCF VDC IPSEC VPNセカンド検証

設定が正しい場合に 「保存」 をクリックすると、トンネルが機能し、 「状況」 列が緑色でなければならず、 「統計の表示」 も緑色でなければならないという変更だけで、前と同じ手順でトンネルを確認できます。

  1. エッジ・ゲートウェイを選択した状態で、左側のナビゲーション・パネルから IPSec VPN をクリックします。

  2. リストで、「VPN 構成 (VPN Configured)」を選択します。

  3. 「列」 「状態」 で、 「有効」 と表示され、緑色の場合は、機能しています。

  4. 「統計の表示」 をクリックして、詳細を確認します。

    VDC IPsec 検証
    サービスとしての VCF VDC IPSEC VPN 第三の検証

CLI での IPsec トンネルおよび接続の検証

VMware 仮想マシン・コンソールを使用して、VDC 上で稼動しているいずれかの VM にログインし、オンプレミス・ネットワークの仮想マシンへの接続性をテストすることで、接続をテストできます。

例えば、vSRX,がICMPを許可している場合、vSRXのIPアドレスにpingを打つことができます。

ping 10.95.1.1

あるいは、TCP ポート 443 をリモート IP アドレス 10.95.1.10 (サーバーが TCP ポート 443 で Web サーバーをホストしていると想定) に netcat で試行します。

nc -vz 10.95.1.10 443
Connection to 10.95.1.10 port 443 [tcp/https] succeeded!