Palo Alto ⇔ SRX間のIPsec-VPN接続
Palo Altoと他メーカー機器とのVPN接続でトラブル人が多いようですので、今回はPalo AltoとSRX間でIPsec-VPN接続する際に役立つ「Configuration Articles」を紹介します。
最新バージョンでどうなのか分かりませんが、Palo AltoとSRXとでIPsecVPN接続する際にはSRX側のVPN設定は「Policy-Based VPN」ではなく「Route-Based VPN」で設定する必要があるようです。以下は「Configuration Articles」の抜粋の一部です。
Both PanOS and Junos support creating route based VPN with tunnel interfaces for creating neighbor relationships.
Palo Alo社で公開している「Configuration Articles」を以下に抜粋します。VPN接続後にOSPFを動作させる前提の記事なので「 Enable OSPF Settings 」と記載されています。
Using IPSEC VPN is the work horse for enterprise site connections allowing simple internet connections to provide secure private transport. Both PanOS and Junos support creating route based VPN with tunnel interfaces for creating neighbor relationships. This allows a smooth integration of existing PanOS VPN infrastructure to Juniper SRX partners.
The configuration’s basic steps are:
Configure the SRX for needed services
- Configure tunnel interface
- Configure LAN interface
- Enable OSPF settings
- Configure VPN parameters
- Configure security policies
Configure the PA for needed services
- Configure Security Zones
- Configure WAN interface
- Configure LAN interface
- Configure tunnel interface
- Enable OSPF settings
- Configure VPN parameters
- Configure security policies
Palo Alto ⇔ Cisco製品とのVPN接続はしっかり事前検証を!
Palo AltoとCisco ASAとをIPsec-VPN接続する際にも上手くいかない人が多いようですので、このような作業がある場合は現地作業前に事前検証を実施しておくことを強くお勧めします。
また、Palo AltoとCiscoルータとをIPsec-VPN接続する際に、DPD(Dead Peer Detection)ミスマッチがあり不安定な状態を引き起こすこともあるので、DPDを設定している場合には、以下の設定例のようにパラメータ値にミスマッチが発生しないように注意しましょう。
例えば、Intervalを「10秒」Retryを「5」とするDPDの設定は以下の通りです。
◆ Palo Alto:DPDの設定
Network > Network Profiles > IKE Gateways
⇒ 「Dead Peer Detection」にチェック
⇒ 「Interval」に “10” を入力、「Retry」に “5” を入力
◆ Ciscoルータ:DPDの設定
(config)# crypto isakmp keepalive 10 5
その他のパラメータもデフォルト値を調べておき、ミスマッチだけは気をつけましょう!