Amazon Web Services (AWS) への動的ルートの BOVPN 仮想インターフェイス

Firebox と Amazon Web Services (AWS) の間の VPN 接続を構成することができます。例えば、ローカル ネットワークのホストが Amazon 仮想プライベート クラウド (VPC) のリソースにセキュアに接続できるように VPN を構成することができます。

AWS への VPN 接続の場合、BOVPN の代わりに Firebox で BOVPN 仮想インターフェイスを構成することをお勧めします。静的または動的ルートを使用できます。

この例では、以下の VPN 構成内容を示しています:

  • 動的 BGP ルーティング
  • 1 つの Firebox 外部物理インターフェイス
  • 2 つの Firebox BOVPN 仮想インターフェイス
  • フェールオーバー用の 2 つの IP アドレスがある 1 つの AWS ゲートウェイ

AWS では OSPF はサポートされていません。

AWS の構成

AWS VPN 構成には、リダンダンシーのための 2 つの外部 IP アドレスを持つ 1 つの仮想プライベート ゲートウェイが含まれています。AWS では、どのIP アドレスがプライマリ IP アドレスであるかが自動的に判断されます。

外部 IP アドレス間のフェールオーバーが既定で有効化されています。プライマリ AWS 外部 IP アドレスが利用できない場合は、VPN トラフィックが自動的に他の AWS 外部 IP アドレスにフェールオーバーされます。

AWS VPN 設定の詳細な構成方法については、Amazon 仮想プライベート クラウド ユーザー ガイド を参照してください。

AWS 構成ファイルのダウンロード

Firebox を構成する前に、AWS アカウントから構成ファイルをダウンロードします:

  1. https://aws.amazon.com/console で AWS マネジメント コンソールにログインします。
  2. すべてのサービス をクリックして拡張します。
  3. ネットワーキングとコンテンツ配信 セクションで VPC を選択します。
  4. ナビゲーション メニューの 仮想プライベート ネットワーク セクションで、サイト間 VPN 接続 をクリックします。
  5. 接続のボックスを選択します。
  6. 構成のダウンロード をクリックします。
  7. ベンダー ドロップダウン リストから WatchGuard, Inc. を選択します。
  8. ソフトウェア ドロップダウン リストから Fireware OS 11.12.2 + を選択します。
  9. ダウンロード をクリックします。
    .txt ファイルがデスクトップにダウンロードされます。
  10. テキスト エディタで .txt ファイルを開きます。

AWS 事前共有キーと IP アドレスを見つける

.txt 構成ファイルには、事前共有キー、AWS トンネル 1 およびトンネル 2 用ゲートウェイ IP アドレス、および AWS VPC の信頼済み (プライベート) ネットワークへのルートが含まれています。

また、AWS 構成では IP アドレスを検索することもできます:

  • ゲートウェイ IP アドレスの場合は、仮想プライベート ネットワーク > サイト間 VPN 接続 > 名前 の順に選択します。
  • ルートの場合は、仮想プライベート クラウド > サブネット または 仮想プライベート クラウド > ルート テーブル の順に選択します。

この例では、AWS 構成は以下の IP アドレスを使用しています:

  • カスタマー ゲートウェイ アドレス203.0.113.2 (Firebox の外部インターフェイス)
  • VPN 接続
    • トンネル 1198.51.100.2 (AWS 仮想プライベート ゲートウェイの最初の IP アドレス)
    • トンネル 2192.0.2.2 (AWS 仮想プライベート ゲートウェイの 2 番目の IP アドレス)
  • 静的ルート10.0.1.0/24 (Firebox の信頼済みネットワーク)

ゲートウェイ ID203.0.113.2 (Firebox の外部インターフェイス)

仮想ゲートウェイ IP アドレス198.51.100.2 (AWS 仮想プライベートゲートウェイの最初の IP アドレス)

リモートゲートウェイ ID198.51.100.2 (AWS 仮想プライベート Gateway の最初の IP アドレス)

VPC の VPN ルート

  • 外部 IP アドレス:
    • カスタマー ゲートウェイ203.0.113.2 (Firebox の外部インターフェイス)
    • 仮想プライベート ゲートウェイ198.51.100.2 (AWS 仮想プライベート ゲートウェイの最初の IP アドレス)
  • 内部 IP アドレス:
  • BGP:
    • ネイバー IP アドレス169.254.11.254
    • カスタマー ゲートウェイ ASN10001 (Firebox の BGP ASN)
  • 外部 IP アドレス:
    • カスタマー ゲートウェイ203.0.113.2 (Firebox の外部インターフェイス)
    • 仮想プライベート ゲートウェイ192.0.2.2 (AWS 仮想プライベート ゲートウェイの 2 番目の IP アドレス)
  • 内部 IP アドレス:
  • BGP:
    • ネイバー IP アドレス169.254.9.162
    • カスタマー ゲートウェイ ASN10001 (Firebox の BGP ASN)

Firebox を構成する

この例では、Firebox に 1 つの外部インターフェイスおよび 1 つの信頼済みネットワークがあるとします。

インターフェイス 種類 名前 IP アドレス
0 外部 外部 203.0.113.2/24
1 信頼済み 信頼済み 10.0.1.1/24

BOVPN 仮想インターフェイスを追加する

両方の AWS 外部 IP アドレスを使用するように冗長ゲートウェイを構成するには、2 つの BOVPN 仮想インターフェイスを構成する必要があります。

  1. VPN > BOVPN 仮想インターフェイス の順に選択します。
  2. 追加 をクリックします。
  3. インターフェイス名 テキスト ボックスに、その仮想インターフェイスを表す名前を入力します。この例では toAWS-1 を使用します。
  4. リモート Endpoint タイプ ドロップダウン リストから クラウド VPN またはサードパーティ ゲートウェイ を選択します。
  5. ゲートウェイ アドレス ファミリー ドロップダウン リストから IPv4 アドレス を選択します。AWS は VPN トンネルの IPv6 をサポートしていません。
  6. 認証メソッドとして 事前共有キーの使用 を選択します。
  7. IPSec トンネル#1 の AWS VPN 構成ファイルに含まれている事前共有キーを指定します。AWS は、サイト間 VPN に対しては事前共有キー認証方法しかサポートしていません。
  8. ゲートウェイ Endpoint セクションで、追加 をクリックします。
    ゲートウェイ Endpoint の設定 ダイアログ ボックスが表示されます。
  9. 物理 ドロップダウン リストから 外部 を選択します。
  10. インターフェイス IP アドレス ドロップダウン リストから プライマリ IPv4 インターフェイス アドレス を選択します。
  11. IP アドレス別 を選択します。
  12. 隣りのテキスト ボックスに、Firebox の外部インターフェイスの IP アドレスを入力します。この例では 203.0.113.2 を使用します。
  13. リモートゲートウェイ タブを選択します。
  14. 静的 IP アドレス を選択します。
  15. 隣のテキスト ボックスに、AWS 仮想プライベート ゲートウェイの最初の IP アドレスを入力します。この例では 198.51.100.2 を使用します。

BOVPN 仮想インターフェイス設定のスクリーンショット

  1. VPN > BOVPN 仮想インターフェイス の順に選択します。
  2. 追加 をクリックします。
  3. インターフェイス名 テキスト ボックスに、その仮想インターフェイスを表す名前を入力します。この例では toAWS-2 を使用します。
  4. リモート Endpoint タイプ ドロップダウン リストから クラウド VPN またはサードパーティ ゲートウェイ を選択します。
  5. ゲートウェイ アドレス ファミリー ドロップダウン リストから IPv4 アドレス を選択します。AWS は VPN トンネルの IPv6 をサポートしていません。
  6. 認証メソッドとして 事前共有キーの使用 を選択します。
  7. IPSec トンネル#2 の AWS VPN 構成ファイルに含まれている事前共有キーを指定します。AWS は、サイト間 VPN に対しては事前共有キー認証方法しかサポートしていません。
  1. ゲートウェイ Endpoint セクションで、追加 をクリックします。
    ゲートウェイ Endpoint の設定 ダイアログ ボックスが表示されます。
  2. 物理 ドロップダウン リストから 外部 を選択します。
  3. インターフェイス IP アドレス ドロップダウン リストから プライマリ IPv4 インターフェイス アドレス を選択します。
  4. IP アドレス別 を選択します。
  5. 隣りのテキスト ボックスに、Firebox の外部インターフェイスの IP アドレスを入力します。この例では 203.0.113.2 を使用します。
  6. リモートゲートウェイ タブを選択します。
  7. 静的 IP アドレス を選択します。
  8. 隣のテキスト ボックスに、AWS 仮想プライベート ゲートウェイの最初の IP アドレスを入力します。この例では 192.0.2.2 を使用します。
  9. OK をクリックします。

BOVPN 仮想インターフェイス設定のスクリーンショット

仮想インターフェイスの IP アドレスおよびネットマスクを構成する

  1. VPN ルート タブを選択します。
  2. 仮想インターフェイスの IP アドレスを割り当てる を選択します。
  3. ローカル IP アドレス テキスト ボックスに IP アドレスを入力します。この例では 169.254.11.254 を使用します。
    AWS VPN 構成ファイルの IPSec トンネル#1 セクションでは、これはインサイド カスタマー ゲートウェイ IP アドレスとなります。
  4. ピア IP アドレスまたはネットマスク テキスト ボックスに、ネットマスクを入力します。AWS により割り当てられるネットマスクは常に /30 (255.255.255.252) です。
    AWS VPN 構成ファイルの IPSec トンネル#1 セクションでは、これはインサイド カスタマー ゲートウェイのネットマスクとなります。

仮想 IP アドレスのスクリーンショット

  1. VPN ルート タブを選択します。
  2. 仮想インターフェイスの IP アドレスを割り当てる を選択します。
  3. ローカル IP アドレス テキスト ボックスに IP アドレスを入力します。この例では 169.254.9.162 を使用します。
    AWS VPN 構成ファイルの IPSec トンネル#2 セクションでは、これはインサイド カスタマー ゲートウェイ IP アドレスとなります。
  4. ピア IP アドレスまたはネットマスク テキスト ボックスに、ネットマスクを入力します。AWS により割り当てられるネットマスクは常に /30 (255.255.255.252) です。
    AWS VPN 構成ファイルの IPSec トンネル#2 セクションでは、これはインサイド カスタマー ゲートウェイのネットマスクとなります。

仮想 IP アドレスのスクリーンショット

フェーズ 1 およびフェーズ 2 の設定の構成

VPN ネゴシエーション中に、AWS は Firebox から認証および暗号化アルゴリズム設定を特定します。AWS がその設定をサポートしている場合は、AWS は自動的に同じ設定を使用します。AWS では特定のプロポーザルがサポートされています。AWS 構成を編集して異なるプロポーザルを指定することはできません。

  1. フェーズ 1 の設定 タブをクリックします。
  2. バージョン ドロップダウン リストから、IKEv2 を選択します。AWS は IKEv1 もサポートしています。
  3. 変換の設定 セクションで、追加をクリックします。
    設定の変換 ダイアログ ボックスが表示されます。
  4. 認証 ドロップダウン リストから、SHA2-256 を選択します。AWS は SHA-1 もサポートしています。
  5. 暗号化 ドロップダウン リストから、AES (256 ビット)を選択します。AWS は AES (128-bit) もサポートしています。
  6. Diffie-Hellman グループ ドロップダウン リストから 14 を選択します。AWS はグループ 2、15、19 および 20 もサポートしています。
  7. OK をクリックし、他のすべてのフェーズ 1 設定を既定値のままにします。

BOVPN 仮想インターフェイスのフェーズ 1 設定のスクリーンショット

  1. Perfect Forward Secrecy を有効にする を選択します。
  2. ドロップダウン リストから、Diffie-Hellman グループ 14 を選択します。
    グループ 1、2、5、15、19 および 20 もサポートされています。
  3. IPSec プロポーザル ドロップダウン リストから、ESP-AES256-SHA256 を選択します。
    SHA1 および AES128 もサポートされています。
  4. これらの手順を繰り返してフェーズ 2 の設定を 2 つ目の BOVPN 仮想インターフェイス用に構成します。

フェーズ 2 の設定のスクリーンショット

BGP コマンドを指定する

AWS BGP ASN および 仮想 IP アドレス (BGP ピア アドレス) は AWS により定義され、これを変更することはできません。

  1. ネットワーク > 動的ルート の順に選択します。
  2. 動的ルートの有効化 を選択します。
  3. BGP タブを選択します。
  4. BGP コマンドを指定します。この例では以下のコマンドを指定します。
router bgp 10001
!
! to AWS VPC 1st ext-if
!
neighbor 169.254.11.253 remote-as 7224
neighbor 169.254.11.253 activate
neighbor 169.254.11.253 timers 10 30
!
! to AWS VPC 2nd ext-if
!
neighbor 169.254.9.161 remote-as 7224
neighbor 169.254.9.161 activate
neighbor 169.254.9.161 timers 10 30
!
! To advertise additional prefixes to Amazon VPC, copy the 'network' statement
! and identify the prefix you wish to advertise. プレフィックスが存在することを確認してください
! in the routing table of the device with a valid next-hop. 
!
network 10.0.1.0/24

BGP 設定のスクリーンショット

Firebox に複数の信頼済みネットワークを構成し、追加の信頼済みネットワークへのルートが AWS で学習されるようにする場合は、追加の ネットワーク コマンドを使用してください。例:

network 10.0.1.0/24

network 10.0.2.0/24

関連情報:

Amazon Web Services (AWS) への静的ルーティングの BOVPN 仮想インターフェイス