2015年12月22日

[さくらのクラウド]VPCルータとFortigateによるサイト間VPN

この記事はさくらインターネット Advent Calendar 2015 - Qiitaの22日目の記事です。

さくらのクラウドのVPCルータを使ってサイト間VPNを張ってみました。
サイト間VPNの設定についてはこちらに書いてありますが
このページの「動作確認済みアプライアンス」に含まれていない
Fortigateとサイト間VPNをしてみたいと思います。

ネットワーク構成の概略図です。
20151217.png


■VPCルータ側の設定

設定するVPCルータを選択します。
WS000002.JPG

[サイト間VPN]をクリックします。
WS000003.JPG

[追加]をクリックします。
WS000004.JPG

[対向IPアドレス]:FortigateのグローバルIPを入力
[対向ID]:FortigateのグローバルIPを入力
[Pre Shared Key]:任意の文字列を入力(Fortigate側にも同じ文字列を設定すること)
[対向Prefix]:FortigateのLAN側IPセグメントを入力(ここでは192.168.0.0/24)
[ローカルPrefix]:VPCルータ配下のIPセグメントを入力(ここでは10.0.0.0/24)
処理済〜WS000005.jpg

ちなみにPrefixはIPレンジを入力したあとEnterを押すと
IPレンジがポップアップで出てくるのでこれをクリックします。
クリックしないと値として登録されません。
ただのテキストボックスじゃないので要注意。。

設定できたら[反映]をクリックします。
処理済〜WS000006.jpg

■Fortigate側の設定
Web-UIにログインし、VPN→IPsec→自動鍵(IKE)を選択。
[フェイズ1を作成]をクリックします。
WS000009.JPG

[名前]:任意の文字列を入力
[リモートゲートウェイ]:今回は固定IPなので「スタティックIPアドレス」を選択
[IPアドレス]:VPCルータのグローバルIPアドレスを入力
[ローカルインタフェース]:FortigateのWAN側インタフェースを指定。今回はWAN1を選択。
[モード]:両方とも固定IPなのでメインを選択
[認証方法]:「事前共有鍵」を選択。英語で言うと「Pre Shared Key」。
[事前共有鍵]:VPCルータ設定のときに入力した「Pre Shared Key」と同じ文字列を入力
処理済〜WS000012.jpg

ここまでできたら[OK]をクリックします。

フェイズ1ができたので次はフェイズ2を作成します。
[フェイズ2を作成]をクリックします。
WS000013.JPG

[暗号化][認証]:3DESを削除してAES128・SHA1のみにします。
[DHグループ]:2か5のどちらかとされていますが5にします。
[送信元アドレス]:FortigateのLAN側IPセグメントを指定(ここでは192.168.0.0/24)
[宛先アドレス]:VPCルータ配下のIPセグメントを指定(ここでは10.0.0.0/24)
WS001405.JPG

ここまでできたら[OK]をクリックします。

以上でサイト間VPNの設定は完了です。

また、VPCルータでは先日「クローズド接続」ができるようになりましたので
その解説をしておきます。

今までは、サイト間のLANアドレス同士の通信はVPNトンネルを通り
さくらのクラウドからインターネットへの通信は
VPCルータでIPマスカレードされて出て行くという感じでした。
20151217-2.png

クローズド接続対応によって、下記のように
さくらのクラウドからインターネットへの通信も
VPNトンネルを通って、リモートサイトのネットワーク機器で
IPマスカレードされて出て行くということができるようになりました。
20151217-3.PNG

VPCルータにもファイアウォール機能がついていますが
詳細なログをとりたいとか、UTM的な機能を使いたいとか
いうときに有効な機能です。

設定はVPCルータのサイト間VPNで[対向Prefix]を0.0.0.0/0にします。
こうすると全ての通信がVPNトンネルを経由するようになります。
処理済〜WS000007.jpg
posted by maroon at 22:15| Comment(0) | IT_設定関連メモ | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント: