この記事は
さくらインターネット Advent Calendar 2015 - Qiitaの22日目の記事です。
さくらのクラウドのVPCルータを使ってサイト間VPNを張ってみました。
サイト間VPNの設定については
こちらに書いてありますが
このページの「動作確認済みアプライアンス」に含まれていない
Fortigateとサイト間VPNをしてみたいと思います。
ネットワーク構成の概略図です。
■VPCルータ側の設定
設定するVPCルータを選択します。
[サイト間VPN]をクリックします。
[追加]をクリックします。
[対向IPアドレス]:FortigateのグローバルIPを入力
[対向ID]:FortigateのグローバルIPを入力
[Pre Shared Key]:任意の文字列を入力(Fortigate側にも同じ文字列を設定すること)
[対向Prefix]:FortigateのLAN側IPセグメントを入力(ここでは192.168.0.0/24)
[ローカルPrefix]:VPCルータ配下のIPセグメントを入力(ここでは10.0.0.0/24)
ちなみにPrefixはIPレンジを入力したあとEnterを押すと
IPレンジがポップアップで出てくるのでこれをクリックします。
クリックしないと値として登録されません。
ただのテキストボックスじゃないので要注意。。
設定できたら[反映]をクリックします。
■Fortigate側の設定
Web-UIにログインし、VPN→IPsec→自動鍵(IKE)を選択。
[フェイズ1を作成]をクリックします。
[名前]:任意の文字列を入力
[リモートゲートウェイ]:今回は固定IPなので「スタティックIPアドレス」を選択
[IPアドレス]:VPCルータのグローバルIPアドレスを入力
[ローカルインタフェース]:FortigateのWAN側インタフェースを指定。今回はWAN1を選択。
[モード]:両方とも固定IPなのでメインを選択
[認証方法]:「事前共有鍵」を選択。英語で言うと「Pre Shared Key」。
[事前共有鍵]:VPCルータ設定のときに入力した「Pre Shared Key」と同じ文字列を入力
ここまでできたら[OK]をクリックします。
フェイズ1ができたので次はフェイズ2を作成します。
[フェイズ2を作成]をクリックします。
[暗号化][認証]:3DESを削除してAES128・SHA1のみにします。
[DHグループ]:2か5のどちらかとされていますが5にします。
[送信元アドレス]:FortigateのLAN側IPセグメントを指定(ここでは192.168.0.0/24)
[宛先アドレス]:VPCルータ配下のIPセグメントを指定(ここでは10.0.0.0/24)
ここまでできたら[OK]をクリックします。
以上でサイト間VPNの設定は完了です。
また、VPCルータでは先日
「クローズド接続」ができるようになりましたので
その解説をしておきます。
今までは、サイト間のLANアドレス同士の通信はVPNトンネルを通り
さくらのクラウドからインターネットへの通信は
VPCルータでIPマスカレードされて出て行くという感じでした。
クローズド接続対応によって、下記のように
さくらのクラウドからインターネットへの通信も
VPNトンネルを通って、リモートサイトのネットワーク機器で
IPマスカレードされて出て行くということができるようになりました。
VPCルータにもファイアウォール機能がついていますが
詳細なログをとりたいとか、UTM的な機能を使いたいとか
いうときに有効な機能です。
設定はVPCルータのサイト間VPNで[対向Prefix]を0.0.0.0/0にします。
こうすると全ての通信がVPNトンネルを経由するようになります。
posted by maroon at 22:15|
Comment(0)
|
IT_設定関連メモ
|
|
