翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # AWS Site-to-Site VPN カスタマーゲートウェイデバイスの静的ルーティングを設定する 以下は、ユーザーインターフェイス (使用可能な場合) を使用してカスタマーゲートウェイデバイスを設定する手順の例です。 ------ #### [ Check Point ] 以下は、デバイスが R77.10 以降を実行する Check Point Security Gateway デバイスで、デバイスが Gaia オペレーティングシステムと Check Point SmartDashboard を使用している場合に、カスタマーゲートウェイデバイスを設定するステップです。Check Point Support Center の [Check Point Security Gateway IPsec VPN to Amazon Web Services VPC](https://support.checkpoint.com/results/sk/sk100726) の記事も参照できます。 **トンネルインターフェイスを設定するには** 最初のステップは、VPN トンネルを作成し、各トンネル用のカスタマーゲートウェイと仮想プライベートゲートウェイのプライベート (内部) IP アドレスを提供することです。最初のトンネルを作成するには、設定ファイルの `IPSec Tunnel #1` セクションで提供される情報を使用します。2 番目のトンネルを作成するには、設定ファイルの `IPSec Tunnel #2` セクションで提供される値を使用します。 1. Check Point Security Gateway デバイスの Gaia ポータルを開きます。 1. [**Network Interfaces**]、[**Add**]、[**VPN tunnel**] の順に選択します。 1. ダイアログボックスで次のように設定し、完了したら [**OK**] を選択します。 + [**VPN Tunnel ID**] には、1 など一意の値を入力します。 + [**Peer**] には、`AWS_VPC_Tunnel_1` または `AWS_VPC_Tunnel_2` など、トンネル用の一意の名前を入力します。 + [**Numbered**] が選択されていることを確認して、[**Local Address (ローカルアドレス)**] に設定ファイルの `CGW Tunnel IP` で指定されている IP アドレス (例: `169.254.44.234`) を入力します。 + [**Remote Address**] には、設定ファイルの `VGW Tunnel IP` に指定された IP アドレス (例: `169.254.44.233`) を入力します。 ![Check Point の [Add VPN Tunnel] ダイアログボックス](http://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/images/check-point-create-tunnel.png) 1. SSH でセキュリティゲートウェイに接続します。デフォルト以外のシェルを使用している場合は、次のコマンドを実行して、clish に変更します。`clish` 1. トンネル 1 の場合は、次のコマンドを実行します。 ``` set interface vpnt1 mtu 1436 ``` トンネル 2 の場合は、次のコマンドを実行します。 ``` set interface vpnt2 mtu 1436 ``` 1. 2 番目のトンネルを作成するには、設定ファイルの `IPSec Tunnel #2` セクション内の情報を使用して、ステップを繰り返します。 **静的ルートを設定するには** このステップでは、各トンネルで VPC のサブネットへの静的ルートを指定し、トラフィックをトンネルインターフェイス経由で送信できるようにします。2 番目のトンネルにより、最初のトンネルに問題がある場合のフェイルオーバーが可能になります。問題が検出されると、ポリシーベースの静的ルートがルーティングテーブルから削除され、2 番目のルートが有効化されます。また、トンネルのもう一方の端に ping を打ち、トンネルが稼働しているかどうかを確認するために、Check Point ゲートウェイを有効にする必要があります。 1. Gaia ポータルで、[**IPv4 Static Routes**]、[**Add**] の順に選択します。 1. サブネットの CIDR (例: `10.28.13.0/24`) を指定します。 1. [**Add Gateway**]、[**IP Address**] の順に選択します。 1. 設定ファイルの `VGW Tunnel IP` に指定された IP アドレス (例: `169.254.44.233`) を入力し、優先順位を 1 にします。 1. [**Ping**] を選択します。 1. 2 つめのトンネルに対して、設定ファイルの `VGW Tunnel IP` セクションにある `IPSec Tunnel #2` の値を使用してステップ 3 および 4 を繰り返します。優先順位を 2 にします。 ![Check Point の [Edit Destination Route] ダイアログボックス](http://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/images/check-point-static-routes.png) 1. **[保存]** を選択します。 クラスターを使用している場合は、クラスターの他のメンバーで上記のステップを繰り返します。 **新しいネットワークオブジェクトを定義するには** このステップでは、仮想プライベートゲートウェイのパブリック (外部) IP アドレスを指定することで各 VPN トンネル用のネットワークオブジェクトを作成します。後で、VPN コミュニティのサテライトゲートウェイとしてこれらのオブジェクトを追加します。また、VPN ドメインのプレースホルダーとして機能する空グループを作成する必要があります。 1. Check Point SmartDashboard を開きます。 1. [**Groups**] では、コンテキストメニューを開き、[**Groups**]、[**Simple Group**] の順に選択します。各ネットワークオブジェクトに対して同じグループを使用できます。 1. [**Network Objects**] では、コンテキストメニュー (右クリック) を開き、[**New**]、[**Interoperable Device**] の順に選択します。 1. [**Name (名前)**] には、トンネル用に指定した名前 (例: `AWS_VPC_Tunnel_1` または `AWS_VPC_Tunnel_2`) を入力します。 1. [**IPv4 Address**] には、設定ファイルで提供される仮想プライベートゲートウェイの外部 IP アドレス (例: `54.84.169.196`) を入力します。設定を保存して、このダイアログボックスを閉じます。 ![Check Point の [Interoperable Device] ダイアログボックス](http://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/images/check-point-network-device.png) 1. SmartDashboard でゲートウェイのプロパティを開き、カテゴリーペインで [**Topology**] を選択します。 1. インターフェイス設定を取得するには、[**Get Topology**] を選択します。 1. [**VPN Domain (VPN ドメイン)**] セクションで、[**Manually defined (手動で定義)**] を選択し、ステップ 2 で作成した空のシンプルなグループを参照して選択します。[**OK**] を選択してください。 **注記** 設定済みの既存の VPN ドメインは保持できます。ただし、特に VPN ドメインが自動的に取得されている場合は、新しい VPN 接続で使用または提供されるドメインとホストがその VPN ドメインで宣言されていないことを確認してください。 1. 2 番目のネットワークオブジェクトを作成するには、設定ファイルの `IPSec Tunnel #2` セクション内の情報を使用して、ステップを繰り返します。 **注記** クラスターを使用している場合は、トポロジーを編集してインターフェイスをクラスターインターフェイスとして定義します。設定ファイルで指定された IP アドレスを使用します。 **VPN コミュニティ、IKE、および IPsec 設定の作成と設定** このステップでは、Check Point ゲートウェイに VPN コミュニティを作成し、そこに各トンネルのネットワークオブジェクト (相互運用デバイス) を追加します。また、Internet Key Exchange (IKE) および IPsec を設定します。 1. ゲートウェイのプロパティから、カテゴリーペインの [**IPSec VPN**] を選択します。 1. [**Communities**]、[**New**]、[**Star Community**] の順に選択します。 1. コミュニティの名前 (例: `AWS_VPN_Star`) を指定し、カテゴリーペインの [**Center Gateways**] を選択します。 1. [**Add**] を選択して、ゲートウェイまたはクラスターを参加ゲートウェイのリストに追加します。 1. カテゴリーペインで、[**Satellite Gateways**]、[**Add (追加)**] の順に選択し、先に作成した相互運用デバイス (`AWS_VPC_Tunnel_1` および `AWS_VPC_Tunnel_2`) を参加ゲートウェイのリストに追加します。 1. カテゴリーペインで、[**Encryption**] を選択します。[**Encryption Method**] セクションで、[**IKEv1 only**] を選択します。[**Encryption Suite**] セクションで、[**Custom**]、[**Custom Encryption**] の順に選択します。 1. ダイアログボックスで次のように暗号化プロパティを設定し、完了したら [**OK**] を選択します。 + IKE Security Association (フェーズ 1) のプロパティ + **Perform key exchange encryption with**: AES-128 + **Perform data integrity with**: SHA-1 + IPsec Security Association (フェーズ 2) のプロパティ + **Perform IPsec data encryption with**: AES-128 + **Perform data integrity with**: SHA-1 1. カテゴリーペインで [**Tunnel Management**] を選択します。[**Set Permanent Tunnels**]、[**On all tunnels in the community**] の順に選択します。[**VPN Tunnel Sharing**] セクションで、[**One VPN tunnel per Gateway pair**] を選択します。 1. カテゴリーペインで [**Advanced Settings**] を展開し、[**Shared Secret**] を選択します。 1. 最初のトンネルのピア名を選択し、[**Edit (編集)**] を選択して、設定ファイルの `IPSec Tunnel #1` セクションで指定されている事前共有キーを入力します。 1. 2 番目のトンネルのピア名を選択し、[**Edit (編集)**] を選択して、設定ファイルの `IPSec Tunnel #2` セクションで指定されている事前共有キーを入力します。 ![Check Point の [Interoperable Shared Secret] ダイアログボックス](http://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/images/check-point-shared-secret.png) 1. さらに [**Advanced Settings (詳細設定)**] カテゴリで [**Advanced VPN Properties (詳細な VPN プロパティ)**] を選択し、プロパティを次のように設定して、完了したら [**OK**] を選択します。 + IKE (フェーズ 1): + **Use Diffie-Hellman group**: `Group 2` + **Renegotiate IKE security associations every** `480` **minutes** + IPsec (フェーズ 2): + [**Use Perfect Forward Secrecy**] を選択します。 + **Use Diffie-Hellman group**: `Group 2` + **Renegotiate IPsec security associations every** `3600` **seconds** **ファイアウォールルールを作成するには** このステップでは、ファイアウォールルールとディレクショナルマッチルールを使用し、VPC とローカルネットワーク間での通信を許可するポリシーを設定します。その後、ゲートウェイにポリシーをインストールします。 1. SmartDashboard で、ゲートウェイの [**Global Properties**] を選択します。カテゴリーペインで [**VPN**] を展開し、[**Advanced**] を選択します。 1. [**Enable VPN Directional Match in VPN Column**] を選択し、変更を保存します。 1. SmartDashboard で [**Firewall**] を選択し、次のルールでポリシーを作成します。 + VPC サブネットに対して必須プロトコル経由でのローカルネットワークとの通信を許可する。 + ローカルネットワークに対して必須プロトコル経由での VPC サブネットとの通信を許可する。 1. VPN 列のセルのコンテキストメニューを開いて、[**Edit Cell**] を選択します。 1. [**VPN Match Conditions**] ダイアログボックスで、[**Match traffic in this direction only**] を選択します。それぞれで [**Add**] を選択してディレクショナルマッチルールを作成し、完了したら [**OK**] を選択します。 + `internal_clear` > VPN コミュニティ (先に作成した VPN スターコミュニティ。例: `AWS_VPN_Star`) + VPN コミュニティ > VPN コミュニティ + VPN コミュニティ > `internal_clear` 1. SmartDashboard で、[**Policy**]、[**Install**] の順に選択します。 1. ダイアログボックスでゲートウェイを選択し、[**OK**] を選択してポリシーをインストールします。 **tunnel\_keepalive\_method プロパティを変更するには** Check Point ゲートウェイでは、IKE の関連付けが停止したときに Dead Peer Detection (DPD) を使用して識別できます。永続トンネルの DPD を設定するには、永続トンネルを AWS VPN コミュニティで設定する必要があります (ステップ 8 を参照)。 デフォルトでは、VPN ゲートウェイの `tunnel_keepalive_method` プロパティは `tunnel_test` に設定されます。この値を `dpd` に変更する必要があります。DPD モニタリングが必要な VPN コミュニティ内の各 VPN ゲートウェイは、サードパーティー製 VPN ゲートウェイを含め、`tunnel_keepalive_method` プロパティで設定する必要があります。同じゲートウェイに対して異なるモニタリングメカニズムを設定することはできません。 GuiDBedit ツールを使用して `tunnel_keepalive_method` プロパティを更新できます。 1. Check Point SmartDashboard を開き、[**Security Management Server**]、[**Domain Management Server**] の順に選択します。 1. [**File**]、[**Database Revision Control...**] の順に選択し、リビジョンのスナップショットを作成します。 1. SmartDashboard、SmartView Tracker、SmartView Monitor など、すべての SmartConsole ウィンドウを閉じます。 1. GuiBDedit ツールを起動します。詳細については、Check Point サポートセンターの「[Check Point Database Tool](https://support.checkpoint.com/results/sk/sk13009)」という記事を参照してください。 1. [**Security Management Server**]、[**Domain Management Server**] の順に選択します。 1. 左上のペインで、[**Table**]、[**Network Objects**]、[**network\_objects**] の順に選択します。 1. 右上のペインで、関連する [**Security Gateway**]、[**Cluster**] オブジェクトを選択します。 1. Ctrl\+F キーを押すか、[**Search**] メニューを使用して以下を検索します。`tunnel_keepalive_method` 1. 下のペインで、[`tunnel_keepalive_method`] のコンテキストメニューを開き、[**Edit... (編集...)**] を選択します。[**dpd**] を選択し、[**OK**] を選択します。 1. AWS VPN コミュニティの一部である各ゲートウェイに対して、ステップ 7~9 を繰り返します。 1. [**File**]、[**Save All**] の順に選択します。 1. GuiDBedit ツールを閉じます。 1. Check Point SmartDashboard を開き、[**Security Management Server**]、[**Domain Management Server**] の順に選択します。 1. 関連する [**Security Gateway**]、[**Cluster**] オブジェクトにポリシーをインストールします。 詳細については、Check Point Support Center の「[New VPN features in R77.10](https://support.checkpoint.com/results/sk/sk97746)」という記事を参照してください。 **TCP MSS クランプを有効にするには** TCP MSS クランプは TCP パケットの最大セグメントサイズを小さくしてパケット断片化を防ぎます。 1. 次のディレクトリに移動します。`C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\` 1. `GuiDBEdit.exe` ファイルを実行して Check Point Database Tool を開きます。 1. [**Table**]、[**Global Properties**]、[**properties**] の順に選択します。 1. `fw_clamp_tcp_mss` で、[**Edit**] を選択します。値を `true` に変更し、[**OK**] を選択します。 **トンネルのステータスを確認するには** エキスパートモードのコマンドラインツールから次のコマンドを実行して、トンネルの状態を確認できます。 ``` vpn tunnelutil ``` 表示されたオプションで、IKE 関連付けを検証するには [**1**] を、IPsec 関連付けを検証するには [**2**] を選択します。 また、Check Point Smart Tracker Log を使用して、接続内のパケットが暗号化されていることを検証できます。たとえば次のログは、VPC へのパケットがトンネル 1 経由で送信され、暗号化されていることを示します。 ![Check Point ログファイル](http://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/images/check-point-log.png) ------ #### [ SonicWALL ] 次の手順では、SonicOS 管理インターフェイスを使用して SonicWALL デバイスに VPN トンネルを設定する方法を説明します。 **トンネルを設定するには** 1. SonicWALL SonicOS 管理インターフェイスを開きます。 1. 左側のペインで、[**VPN**]、[**Settings**] の順に選択します。[**VPN Policies**] の下で、[**Add...**] を選択します。 1. [**General**] タブの VPN ポリシーウィンドウで、次の情報を入力します。 + [**Policy Type**: [**Tunnel Interface**] を選択します。 + [**Authentication Method**]: [**IKE using Preshared Secret**] を選択します。 + [**Name**]: VPN ポリシーの名前を入力します。設定ファイルに記載されている通り、VPN ID 名を使用することをお勧めします。 + **IPsec Primary Gateway Name or Address**: 設定ファイルに記載されている通り、仮想プライベートゲートウェイの IP アドレス (例: `72.21.209.193`) を入力します。 + **IPsec Secondary Gateway Name or Address**: デフォルト値のままにします。 + **Shared Secret**: 設定ファイルに記載されている通りに事前共有キーを入力後、[**Confirm Shared Secret**] で再入力します。 + **Local IKE ID**: カスタマーゲートウェイ (SonicWALL デバイス) の IPv4 アドレスを入力します。 + **Peer IKE ID**: 仮想プライベートゲートウェイの IPv4 アドレスを入力します。 1. [**Network**] タブで、次の情報を入力します。 + [**Local Networks**] で、[**Any address**] を選択します。このオプションを使用して、ローカルネットワーク接続の問題を防ぐことをお勧めします。 + [**Remote Networks**] で、[**Choose a destination network from list**] を選択します。 AWS内に VPC の CIDR を持つアドレスオブジェクトを作成します。 1. [**Proposals (提案)**] タブで、次の情報を入力します。 + [**IKE (Phase 1) Proposal**] で、以下の作業を行います。 + **Exchange**: [**Main Mode**] を選択します。 + **DH Group**: Diffie-Hellman Group の値 (例: `2`) を入力します。 + **Encryption**: [**AES-128**] または [**AES-256**] を選択します。 + **Authentication**: [**SHA1**] または [**SHA256**] を選択します。 + **Life Time**: `28800` と入力します。 + [**IKE (Phase 2) Proposal**] で、以下の作業を行います。 + **Protocol**: [**ESP**] を選択します。 + **Encryption**: [**AES-128**] または [**AES-256**] を選択します。 + **Authentication**: [**SHA1**] または [**SHA256**] を選択します。 + [**Enable Perfect Forward Secrecy**] チェックボックスをオンにし、Diffie-Hellman group を選択します。 + **Life Time**: `3600` と入力します。 **重要** 仮想プライベートゲートウェイを作成したのが 2015 年 10 月より前の場合は、両方のフェーズで Diffie-Hellman group 2、AES-128、SHA1 を指定する必要があります。 1. [**Advanced**] タブで、次の情報を入力します。 + [**Enable Keep Alive**] を選択します。 + [**Enable Phase2 Dead Peer Detection**] を選択し、次のように入力します。 + [**Dead Peer Detection Interval**] に、`60` (SonicWALL デバイスで入力可能な最小値) と入力します。 + [**Failure Trigger Level**] で、`3` と入力します。 + [**VPN Policy bound to**] で、[**Interface X1**] を選択します。パブリック IP アドレスで一般的に指定されたインターフェイスです。 1. [**OK**] を選択してください。[**Settings**] ページで、トンネルの [**Enable**] チェックボックスをデフォルトでオンにします。緑の点は、トンネルが稼働していることを表します。 ------