Amazon Web Services (AWS) への静的ルーティングの BOVPN 仮想インターフェイス

Firebox と Amazon Web Services (AWS) の間の VPN 接続を構成することができます。例えば、ローカル ネットワークのホストが Amazon 仮想プライベート クラウド (VPC) のリソースにセキュアに接続できるように VPN を構成することができます。

AWS への VPN 接続の場合、BOVPN の代わりに Firebox で BOVPN 仮想インターフェイスを構成することをお勧めします。静的または動的ルートを使用できます。

この例では、以下の VPN 構成内容を示しています:

  • 静的ルーティング
  • 1 つの Firebox 外部物理インターフェイス
  • 2 つのゲートウェイ endpoint がある 1 つの Firebox BOVPN 仮想インターフェイス
  • フェールオーバー用の 2 つの IP アドレスがある 1 つの AWS ゲートウェイ

AWS 構成

AWS VPN 構成には、リダンダンシーのための 2 つの外部 IP アドレスを持つ 1 つの仮想プライベート ゲートウェイが含まれています。AWS では、どのIP アドレスがプライマリ IP アドレスであるかが自動的に判断されます。

外部 IP アドレス間のフェールオーバーが既定で有効化されています。プライマリ AWS 外部 IP アドレスが利用できない場合は、VPN トラフィックが自動的に他の AWS 外部 IP アドレスにフェールオーバーされます。

AWS VPN 設定の詳細な構成方法については、Amazon 仮想プライベート クラウド ユーザー ガイド を参照してください。

Firebox を構成する前に

Firebox を構成する前に、AWS アカウントから構成ファイルをダウンロードします:

  1. https://aws.amazon.com/console で AWS マネジメント コンソールにログインします。
  2. すべてのサービス をクリックして拡張します。
  3. ネットワーキングとコンテンツ配信 セクションで VPC を選択します。
  4. ナビゲーション メニューの 仮想プライベート ネットワーク セクションで、サイト間 VPN 接続 をクリックします。
  5. 接続名をクリックします。
  6. 構成のダウンロード をクリックします。
  7. ベンダー ドロップダウン リストから WatchGuard, Inc. を選択します。
  8. ソフトウェア ドロップダウン リストから Fireware OS 11.12.2 + を選択します。
  9. ダウンロード をクリックします。
    .txt ファイルがデスクトップにダウンロードされます。
  10. テキスト エディタで .txt ファイルを開きます。

.txt 構成ファイルには、事前共有キー、AWS トンネル 1 およびトンネル 2 用ゲートウェイ IP アドレス、および AWS VPC の信頼済み (プライベート) ネットワークへのルートが含まれています。

また、AWS 構成では IP アドレスを検索することもできます:

  • ゲートウェイ IP アドレスの場合は、仮想プライベート ネットワーク > サイト間 VPN 接続 > 名前 の順に選択します。
  • ルートの場合は、仮想プライベート クラウド > サブネット または 仮想プライベート クラウド > ルート テーブル の順に選択します。

この例では、AWS 構成は以下の IP アドレスを使用しています:

  • カスタマー ゲートウェイ アドレス203.0.113.2 (Firebox の外部インターフェイス)
  • VPN 接続
    • トンネル 1198.51.100.2 (AWS 仮想プライベート ゲートウェイの最初の IP アドレス)
    • トンネル 2192.0.2.2 (AWS 仮想プライベート ゲートウェイの 2 番目の IP アドレス)
  • 静的ルート10.0.1.0/24 (Firebox の信頼済みネットワーク)

Firebox を構成する

この例では、Firebox に 1 つの外部インターフェイスおよび 1 つの信頼済みネットワークがあるとします。

インターフェイス 種類 名前 IP アドレス
0 外部 外部 203.0.113.2/24
1 信頼済み 信頼済み 10.0.1.1/24

BOVPN 仮想インターフェイスを追加する

両方の AWS 外部 IP アドレスを使用する冗長ゲートウェイを構成するには、2 つのゲートウェイ endpoint が含まれている 1 つの BOVPN 仮想インターフェイスを構成する必要があります。Firebox 上の各ゲートウェイ endpoint に対して異なる事前共有済みキーを指定するようにしてください。

  1. VPN > BOVPN 仮想インターフェイス の順に選択します。
  2. 追加 をクリックします。
  3. インターフェイス名 テキスト ボックスに、その仮想インターフェイスを表す名前を入力します。この例では toAWS を使用します。
  4. リモート Endpoint タイプ ドロップダウン リストから クラウド VPN またはサードパーティ ゲートウェイ を選択します。
  5. ゲートウェイ アドレス ファミリー ドロップダウン リストから IPv4 アドレス を選択します。AWS は VPN トンネルの IPv6 をサポートしていません。
  6. 認証メソッドとして 事前共有キーの使用 を選択します。この時点では事前共有キー テキスト ボックスを空欄のままにしておきます。構成の後の時点で、各ゲートウェイに異なる事前共有キーを指定します。

Screen shot of the Gateway Settings

ゲートウェイ Endpoint を追加する

最初のゲートウェイ endpoint を追加するには、以下の手順を実行します。

  1. ゲートウェイ Endpoint セクションで、追加 をクリックします。
    ゲートウェイ Endpoint の設定 ダイアログ ボックスが表示されます。
  2. 物理 ドロップダウン リストから 外部 を選択します。
  3. インターフェイス IP アドレス ドロップダウン リストから プライマリ IPv4 インターフェイス アドレス を選択します。
  4. IP アドレス別 を選択します。
  5. 隣りのテキスト ボックスに、Firebox の外部インターフェイスの IP アドレスを入力します。この例では 203.0.113.2 を使用します。

Screen shot of the Local Gateway settings

  1. リモートゲートウェイ タブを選択します。
  2. 静的 IP アドレス を選択します。
  3. 隣のテキスト ボックスに、AWS 仮想プライベート ゲートウェイの最初の IP アドレスを入力します。この例では 198.51.100.2 を使用します。
  4. IP アドレス別 を選択します。
  5. 隣のテキスト ボックスに、AWS 仮想プライベート ゲートウェイの最初の IP アドレスを入力します。この例では 198.51.100.2 を使用します。

Screen shot of the Remote Gateway settings

  1. 詳細 タブで 各ゲートウェイ endpoint に対して異なる事前共有済みキーを指定する を選択します。
  2. AWS .txt 構成ファイルからキーを貼り付けます。このファイルには 2 つの事前共有キー (各ゲートウェイ endpoint ごとに 1 つずつ) が含まれています。

Screen shot of the Advanced tab

  1. OK をクリックします。
  1. ゲートウェイ Endpoint セクションで、追加 をクリックします。
    ゲートウェイ Endpoint の設定 ダイアログ ボックスが表示されます。
  2. 物理 ドロップダウン リストから 外部 を選択します。
  3. インターフェイス IP アドレス ドロップダウン リストから プライマリ IPv4 インターフェイス アドレス を選択します。
  4. IP アドレス別 を選択します。
  5. 隣りのテキスト ボックスに、Firebox の外部インターフェイスの IP アドレスを入力します。この例では 203.0.113.2 を使用します。
  6. リモートゲートウェイ タブを選択します。
  7. 静的 IP アドレス を選択します。
  8. 隣のテキスト ボックスに、AWS 仮想プライベート ゲートウェイの最初の IP アドレスを入力します。この例では 192.0.2.2 を使用します。
  9. IP アドレス別 を選択します。
  10. 隣のテキスト ボックスに、AWS 仮想プライベート ゲートウェイの最初の IP アドレスを入力します。この例では 192.0.2.2 を使用します。
  11. 詳細 タブで 各ゲートウェイ endpoint に対して異なる事前共有済みキーを指定する を選択します。
  12. AWS .txt 構成ファイルから他のキーを貼り付けます。
  13. OK をクリックします。

BOVPN 仮想インターフェイス設定タブのスクリーンショット

VPN ルートを構成する

次に、AWS VPC の信頼済み (プライベート) ネットワークへのルートを追加します。

  1. VPN ルート タブで 追加 をクリックします。
    VPN ルートの設定 ダイアログ ボックスが表示されます。
  2. 種類の選択 ドロップダウン リストから、ネットワーク IPv4 を選択します。
  3. ルートの宛先 フィールドに 10.0.100.0/24 と入力します。ヒント!
  4. OK をクリックします。

BOVPN VIF ルートのスクリーンショット

フェーズ 1 およびフェーズ 2 の設定の構成

最後にフェーズ 1 とフェーズ 2 の設定を構成する必要があります。

VPN ネゴシエーション中に、AWS は Firebox から認証および暗号化アルゴリズム設定を特定します。AWS がその設定をサポートしている場合は、AWS は自動的に同じ設定を使用します。AWS では特定のプロポーザルがサポートされています。AWS 構成を編集して異なるプロポーザルを指定することはできません。

BOVPN 仮想インターフェイスのフェーズ 1 設定のスクリーンショット

  1. Perfect Forward Secrecy を有効にする を選択します。
  2. ドロップダウン リストから、Diffie-Hellman グループ 14 を選択します。
    グループ 1、2、5、15、19 および 20 もサポートされています。
  3. IPSec プロポーザル ドロップダウン リストから、ESP-AES256-SHA256 を選択します。
    SHA1 および AES128 もサポートされています。

フェーズ 2 の設定のスクリーンショット

関連情報:

Amazon Web Services (AWS) への動的ルートの BOVPN 仮想インターフェイス