仮想データ・センター・エッジ・ゲートウェイとオンプレミス VPN ゲートウェイの間の VPN の作成
このチュートリアルでは、費用が発生する場合があります。 コスト見積もりツールを使用して、予測使用量に基づいてコスト見積もりを生成します。
目標
このチュートリアルの目的は、 IBM Cloud® for VMware Cloud Foundation as a Service シングル・テナント・インスタンスまたはマルチテナント・インスタンスを Juniper ® vSRXに接続するための基本的な手順を示すことです。 接続は、仮想プライベート・ネットワーク (VPN) を介して行われます。 vSRX は、 IBM Cloud クラシック・インフラストラクチャーまたはクライアント・データ・センターにデプロイできます。 以下のステップでは、基本的な作業環境を作成し、VPN、基本的なファイアウォール実装、およびエンドツーエンドのネットワーク接続を提供します。
このチュートリアルでは、次のことを学びます:
- 仮想データ・センター (VDC) エッジ・ゲートウェイと vSRXの間に VPN を作成する方法。
- 一致する IKE および IPsec トンネルの提案およびプロファイルを作成および構成する方法。
- VDC エッジ・ゲートウェイおよび vSRX で VPN トラフィックを許可するようにファイアウォール・ルールを構成する方法。
以下の図は、デプロイするソリューションの概要を示しています。
{: caption="図
開始前に
このチュートリアルでは、以下が必要です。
- IBM Cloud の有料のアカウント。
- 必要なユーザー権限。 VMware Cloud Foundation (VCF) as a Service リソースを作成および管理するための 十分な権限がユーザー・アカウントにあることを確認してください。
- 事前プロビジョンされた サービスとしての VCF インスタンス。
- サービスとしての VCF上の事前プロビジョンされた VDC。
- IBM CloudCLI
- IBM Cloud API キー。
情報および要件の収集
ポリシー・ベースのトンネルを確立するには、ゲートウェイ・エンドポイントやローカルおよびリモート・ネットワークなど、デプロイメントおよび設計からさまざまな情報を収集する必要があります。 さらに、IKE および IPsec のトンネル・セキュリティー・ポリシーを定義する必要があります。
ここにリストされ、言及されている情報を慎重に収集し、文書化してください。 この値は、双方のトンネル・コンフィギュレーションで正確に一致していなければならない。
IBM Cloud ポータルおよび vSRX ファイアウォール構成を使用して以下の情報を収集し、セキュリティー要件に基づいてトンネルの IPsec および IKE ポリシー・パラメーターを定義します。
-
ポリシー・ベース・トンネルのローカルおよびリモート・ネットワーク情報を収集します。
vSRX のプライベート・インターフェースは、通常、以下のように構成されます。
set interfaces reth2 unit <vlan-id> description "Your private network routed through Gateway Appliance" set interfaces reth2 unit <vlan-id> vlan-id <vlan-id> set interfaces reth2 unit <vlan-id> family inet address <private-IP address-of-the-vsrx>/26
vSRX インターフェースには複数の 2 次 IP アドレスがある可能性があるため、トンネルに必要なすべてのネットワーク情報を収集してください。
トンネルに必要なすべての VDC ネットワーク情報を収集します。 VMware Cloud Director™コンソールを使用するか、ネットワーク設計の文書から情報を収集します(どのネットワークがVDCにデプロイされているか)。
値の例を以下に示します。
VPNを設定する前に確認するサイトプレフィックスまたはサブネットのリスト。 接頭部 値 vSRX の背後にあるサブネット 10.95.1.0/26
VDC 上のサブネット 192.168.100.0/24
ソリューションが異なる可能性があるため、ネットワーク設計およびデプロイメントのサブネットを使用してください。
-
IPsec トンネルのローカルおよびリモートのゲートウェイ IP アドレス情報を収集します。
vSRX のパブリック・インターフェース IP アドレスは、通常、 IBM Cloudで以下のように構成されます。
set interfaces reth1 unit 0 description "SL PUBLIC VLAN INTERFACE" set interfaces reth1 unit 0 family inet address <public-IP address-of-the-vsrx>/29
VDC から VDC エッジ・ゲートウェイのパブリック IP アドレスを収集します。 パブリック IP アドレスは、VDC インスタンスの下の IBM Cloud ポータルで使用可能です。
次の表は、この例で使用される値を示しています。
VPNを設定する前に確認するゲートウェイIPアドレスのリスト。 ゲートウェイ IP アドレス 値 エッジ・ゲートウェイのパブリック IP アドレス <public-IP address-of-the-vdc-edge-gateway>
vSRX のパブリック IP アドレス <public-IP address-of-the-vsrx>
ソリューションが異なる可能性があるため、デプロイメントに一致するエンドポイント IP アドレスを使用してください。
-
事前共有鍵を作成します。 IPsec トンネル用の事前共有鍵
your-psk
を生成します。 この鍵は、ファイアウォールおよび VDC IPsec 構成で使用されます。 -
トンネルの IKE ポリシーを定義します。 次の表は、この例で使用される値を示しています。
VPNを設定する前に確認するIKEポリシーパラメータのリスト。 IKE ポリシー 値 バージョン アイケイイー v2 暗号化 AES 256 ダイジェスト SHA 2 から 256 Diffie-Hellman グループ グループ 14 関連付けの存続時間 (秒) 28800 要件が異なる可能性があるため、デプロイメントの値を使用してください。
-
トンネルの IPsec (またはトンネル) ポリシーを定義します。 次の表は、この例で使用される値を示しています。
VPN を設定する前に確認すべき IPsec (またはトンネル) ポリシーパラメータのリスト。 IPsec (またはトンネル) ポリシー 値 Perfect Forward Secrecy 有効 デフラグ・ポリシー コピー 暗号化 AES 256 ダイジェスト SHA 2 から 256 Diffie-Hellman グループ グループ 14 関連付けの存続時間 (秒) 3600 要件が異なる可能性があるため、デプロイメントの値を使用してください。
-
トンネルの非活動ピア検出 (DPD) ポリシーを定義します。 次の表は、この例で使用される値を示しています。
VPNを設定する前に確認すべきデッドピア検出(DPD)ポリシーパラメータのリスト。 DPD 値 プローブ間隔 (秒) 60 要件が異なる可能性があるため、デプロイメントの値を使用してください。
vSRX の構成
以下の構成では、前述のポリシー値の例を使用しています。 ご使用の環境とポリシーが異なる可能性があるため、構成コマンドを調整してください。
-
IKE プロポーザル、IKE ポリシー、および事前共有鍵を構成します。
set security ike proposal ike-phase1-vmwaas authentication-method pre-shared-keys set security ike proposal ike-phase1-vmwaas dh-group group14 set security ike proposal ike-phase1-vmwaas authentication-algorithm sha-256 set security ike proposal ike-phase1-vmwaas encryption-algorithm aes-256-cbc set security ike proposal ike-phase1-vmwaas lifetime-seconds 28800 set security ike policy ike-phase1-policy mode main set security ike policy ike-phase1-policy proposals ike-phase1-vmwaas set security ike policy ike-phase1-policy pre-shared-key ascii-text <your-psk>
-
IKE ゲートウェイを構成します。
set security ike gateway vmwaas ike-policy ike-phase1-policy set security ike gateway vmwaas address <public-IP address-of-the-vdc-edge-gateway> set security ike gateway vmwaas external-interface reth1.0 set security ike gateway vmwaas version v2-only
-
IPsec ポリシーおよびプロポーザルを構成します。
set security ipsec proposal ipsec-phase2-vmwaas protocol esp set security ipsec proposal ipsec-phase2-vmwaas authentication-algorithm hmac-sha-256-128 set security ipsec proposal ipsec-phase2-vmwaas encryption-algorithm aes-256-cbc set security ipsec proposal ipsec-phase2-vmwaas lifetime-seconds 3600 set security ipsec policy ipsec-phase2-policy perfect-forward-secrecy keys group14 set security ipsec policy ipsec-phase2-policy proposals ipsec-phase2-vmwaas
-
IPsec VPN を構成します。
set interfaces st0 unit 0 family inet set security ipsec vpn vmwaas-vpn-1 bind-interface st0.0 set security ipsec vpn vmwaas-vpn-1 ike gateway vmwaas set security ipsec vpn vmwaas-vpn-1 ike ipsec-policy ipsec-phase2-policy set security ipsec vpn vmwaas-vpn-1 traffic-selector pair1 local-ip 10.95.1.0/26 set security ipsec vpn vmwaas-vpn-1 traffic-selector pair1 remote-ip 192.168.100.0/24 set security ipsec vpn vmwaas-vpn-1 establish-tunnels immediately set security ipsec vpn vmwaas-vpn-1 df-bit copy
-
コントロールプレーン・ファイアウォールを設定する:
set firewall filter PROTECT-IN term PING from destination-address 10.95.1.1/32 set firewall filter PROTECT-IN term PING from protocol icmp set firewall filter PROTECT-IN term IPSec-IKE from destination-address `<public-IP address-of-the-vsrx>/32` # Alternative way to use source-address # set firewall filter PROTECT-IN term IPSec-IKE from source-address `<public-IP address-of-the-vdc-edge-gateway>/32` set firewall filter PROTECT-IN term IPSec-IKE from protocol udp set firewall filter PROTECT-IN term IPSec-IKE from port 500 set firewall filter PROTECT-IN term IPSec-IKE then accept set firewall filter PROTECT-IN term IPSec-ESP from destination-address `<public-IP address-of-the-vsrx>/32` # Alternative way to use source-address # set firewall filter PROTECT-IN term IPSec-ESP from source-address `<public-IP address-of-the-vdc-edge-gateway>/32` set firewall filter PROTECT-IN term IPSec-ESP from protocol esp set firewall filter PROTECT-IN term IPSec-ESP then accept set firewall filter PROTECT-IN term IPSec-4500 from destination-address `<public-IP address-of-the-vsrx>/32` # Alternative way to use source-address # set firewall filter PROTECT-IN term IPSec-4500 from source-address `<public-IP address-of-the-vdc-edge-gateway>/32` set firewall filter PROTECT-IN term IPSec-4500 from protocol udp set firewall filter PROTECT-IN term IPSec-4500 from port 4500 set firewall filter PROTECT-IN term IPSec-4500 then accept
-
セキュリティー・ゾーンおよびゾーン・ポリシーを構成します。
set security zones security-zone vpn-vmwaas-tunnel interfaces st0.0 set security zones security-zone vsrx-vlan interfaces reth2.2498 set security policies from-zone vsrx-vlan to-zone vpn-vmwaas-tunnel policy vlan_to_vmwaas match source-address any set security policies from-zone vsrx-vlan to-zone vpn-vmwaas-tunnel policy vlan_to_vmwaas match destination-address any set security policies from-zone vsrx-vlan to-zone vpn-vmwaas-tunnel policy vlan_to_vmwaas match application any set security policies from-zone vsrx-vlan to-zone vpn-vmwaas-tunnel policy vlan_to_vmwaas then permit set security policies from-zone vpn-vmwaas-tunnel to-zone vsrx-vlan policy vmwaas_to_vlan match source-address any set security policies from-zone vpn-vmwaas-tunnel to-zone vsrx-vlan policy vmwaas_to_vlan match destination-address any set security policies from-zone vpn-vmwaas-tunnel to-zone vsrx-vlan policy vmwaas_to_vlan match application any set security policies from-zone vpn-vmwaas-tunnel to-zone vsrx-vlan policy vmwaas_to_vlan then permit
-
TCP 最大セグメント・サイズ (MSS) を構成します。
set security flow tcp-mss ipsec-vpn mss 1360
インスタンス・エッジ・ゲートウェイサービスとしての VCFの設定
サービスとしての VCF インスタンスにログインし、ネットワーキング・サブネット、ファイアウォール・ルール、および IPsec トンネルを構成します。
サービスとしての VCF コンソールにログイン
-
Organization Administrator
ロールを持つユーザで サービスとしての VCF インスタンスにログインします。 -
左のナビゲーションパネルから 「ネットワーク 」をクリックします。
-
「エッジ・ゲートウェイ (Edge Gateways)」 で、エッジ・ゲートウェイの
name
を選択します。サービスとしての VCF VDC エッジゲートウェイの選択 -
サイドメニューで[ IPセット]をクリックし、[ 新規 ]をクリックして新しいIPセットを作成します。
-
2 つの IP セットを作成します。
IPセットの詳細 IP セット 名前 IP アドレス IP セット 1 ファイアウォール-ネットワーク 10.95.1.0/26
IP セット 2 VMWaaS-VDC-Network 192.168.100.0/24
サービスとしての VCF VDC IP セット -
保存 をクリックします。
VDCゲートウェイのファイアウォールルールを作成する
サービスとしての VCF テナント・インスタンスは、セキュリティーを確保するためにすべてのトラフィックをドロップするデフォルトのファイアウォール・ルールを使用してプロビジョンされます。
VPN 接続との間のトラフィックを許可するには、さらに 2 つのルールを追加する必要があります。
-
エッジゲートウェイを選択した状態で、左のナビゲーションパネルからファイアウォールをクリックします。
-
「ルールの編集」 をクリックし、 「上で新規作成」 をクリックします。
-
ルールごとに繰り返し、 「保存」 をクリックします。
サービスとしての VCFVDCファイアウォールルール ファイアウォールのルール 名前 ソース・アドレス 宛先アドレス ファイアウォール・ルール 1 VMWaaS-to-FW
VMWaaS-VDC-Network
Firewall-Network
ファイアウォール・ルール 2 FW-to-VMWaaS
Firewall-Network
VMWaaS-VDC-Network
サービスとしての VCF VDC ファイアウォールルール
VDCIPSec VPNトンネルの作成
次のステップでは、ローカル・エンドポイントとリモート・エンドポイントの間に IPSec VPN トンネルを作成します。
-
エッジ・ゲートウェイを選択した状態で、左側のナビゲーション・パネルから IPSec VPN をクリックします。
-
Newをクリックしてウィザードを開始する。
-
「一般設定」 の下で、 「名前」 フィールドにデータを設定し (例えば、
VMWaaS-to-FW-VPN
)、 「次へ」 をクリックします。 -
「ピア認証モード」 で、事前共有鍵を設定します。 この鍵はファイアウォールと一致する必要があります。 **「次へ」**をクリックします。
-
「エンドポイント構成」 で、以下の値を設定します。
サービスとしての VCFVDCファイアウォールルール エンドポイント構成 IP アドレス ネットワーク リモート ID ローカル・エンドポイント <public-IP address-of-the-vdc-edge-gateway>
192.168.100.0/24
n/a
リモート・エンドポイント <public-IP address-of-the-vsrx>
10.95.1.1/26
<public-IP address-of-the-vsrx>
-
完了をクリックして完了する。
サービスとしての VCF VDC IPSEC VPN の設定
IPsec トンネルおよび接続の検証
すべてのステップが正常に完了すると、VPN トンネルが確立され、2 つのネットワーク間でトラフィックが流れます。
CLI で ping を使用して、ユーザー・インターフェース (UI) または従来の方法で接続をテストできます。
UI での IPsec トンネルと接続の検証
-
エッジ・ゲートウェイを選択した状態で、左側のナビゲーション・パネルから IPSec VPN をクリックします。
-
リストで、「VPN 構成 (VPN Configured)」を選択します。
-
列の 「状態」 で、トンネルの状態を確認します。
-
「統計の表示」 をクリックして、詳細を確認します。
-
状況が緑でない場合は、トンネルに問題がある可能性があります。
サービスとしての VCF VDC IPSEC VPN 最初の検証
トンネルが機能していない場合は、以下の方法で確認できます。
-
エッジ・ゲートウェイを選択した状態で、左側のナビゲーション・パネルから IPSec VPN をクリックします。
-
リストで、「VPN 構成 (VPN Configured)」を選択します。
-
「セキュリティー・プロファイルのカスタマイズ」 をクリックして、詳細を確認します。
-
IKE プロファイルの詳細、 トンネル構成、または DPD 構成に関する具体的な詳細を変更します。
サービスとしての VCF VDC IPSEC VPNセカンド検証
設定が正しい場合に 「保存」 をクリックすると、トンネルが機能し、 「状況」 列が緑色でなければならず、 「統計の表示」 も緑色でなければならないという変更だけで、前と同じ手順でトンネルを確認できます。
-
エッジ・ゲートウェイを選択した状態で、左側のナビゲーション・パネルから IPSec VPN をクリックします。
-
リストで、「VPN 構成 (VPN Configured)」を選択します。
-
「列」 「状態」 で、 「有効」 と表示され、緑色の場合は、機能しています。
-
「統計の表示」 をクリックして、詳細を確認します。
サービスとしての VCF VDC IPSEC VPN 第三の検証
CLI での IPsec トンネルおよび接続の検証
VMware 仮想マシン・コンソールを使用して、VDC 上で稼動しているいずれかの VM にログインし、オンプレミス・ネットワークの仮想マシンへの接続性をテストすることで、接続をテストできます。
例えば、vSRX,がICMPを許可している場合、vSRXのIPアドレスにpingを打つことができます。
ping 10.95.1.1
あるいは、TCP ポート 443 をリモート IP アドレス 10.95.1.10
(サーバーが TCP ポート 443 で Web サーバーをホストしていると想定) に netcat
で試行します。
nc -vz 10.95.1.10 443
Connection to 10.95.1.10 port 443 [tcp/https] succeeded!