Oracle Cloud Infrastructureドキュメント

FortiGate

この構成は、FortiGate-VMがv5.4.1、build1064 (GA)を実行していることを検証しました。

重要

Oracleは、IPSec VPN接続を構成する複数のトンネル間で非対称ルーティングを使用します。
1つのトンネルをプライマリ、別のトンネルをバックアップとして構成しても、VCNからオンプレミス・ネットワークへのトラフィックは、デバイス上にあるすべてのトンネルを使用できます。 それに応じてファイアウォールを構成します。 そうしないと、接続を介したpingテストやアプリケーション・トラフィックが確実に機能しなくなります。

APIまたはコンソールからのパラメータ

Oracle Cloud InfrastructureコンソールまたはAPIから次のパラメータを取得します。

${ipAddress#}

  • Oracle VPNのヘッド・エンドIPSecトンネル・エンドポイント。 各トンネルには1つの値があります。
  • 値の例: 129.146.12.52

${sharedSecret#}

  • IPSec IKE事前共有キー。 各トンネルには1つの値があります。
  • 値の例: EXAMPLEDPfAMkD7nTH3SWr6OFabdT6exXn6enSlsKbE

${cpePublicIpAddress}

  • CPEのパブリックIPアドレス(以前はコンソール経由でOracleに提供されていました)。

${VcnCidrBlock}

  • VCNを作成する際、このCIDRを選択して、すべてのVCNホストのIP集約ネットワークを表します。
  • 値の例: 10.0.0.0/20

現在のCPEの構成と状態に基づくパラメータ

次のパラメータは、CPEの現在の構成を調べ、現在のCPE構成と重複しない有効なパラメータ値を見つけることで検出する必要があります。

${cpePublicInterface}

  • CPE IPアドレスが構成されているFortiGateインタフェースの名前。
  • 値の例: ge-0/0/1.0

${policyId#}

  • インデックス整数は、ルールごとに一意でなければなりません。
  • IPSecConnectionトンネルごとに2つ必要です。
  • 2つのトンネルの例では、4つの一意のpolicyId番号が必要です。
  • 値の例: 101

追加の構成パラメータ

Fortinetの構成には、次の追加変数が必要です:

${vcnID}

  • アクセス・リストとオブジェクト・グループを一意に指定するために使用されるUUID文字列(既存のオブジェクト・グループまたはアクセス・リストと競合する名前を作成しない他の文字列も使用できます)。
  • 例: oracle-vcn-1

${VcnCidrNetwork}${VcnCidrNetmask}

構成テンプレートのパラメータの概要

各リージョンには複数のOracle IPSecヘッド・エンドがあります。 以下のテンプレートでは、CPEに複数のトンネルを設定し、それぞれ対応するヘッド・エンドに設定できます。 下の表のユーザーはあなた/会社です。

パラメータ ソース 値の例
${ipAddress1} Console/API 129.146.12.52
${sharedSecret1} Console/API (長い文字列)
${ipAddress2} Console/API 129.146.13.52
${sharedSecret2} Console/API (長い文字列)
${cpePublicInterface} ユーザーCPE port1
${policyId1} ユーザーCPE 101
${policyId2} ユーザーCPE 102
${policyId3} ユーザーCPE 103
${policyId4} ユーザーCPE 104
${VcnId} User/Console myVCN1
${VcnCidrNetwork} ユーザー 10.0.0.0
${VcnCidrNetmask} ユーザー 255.255.0.0

ISAKMPポリシー・オプション

IPSecポリシー・オプション

セキュリティ・パラメータ・インデックス

セキュリティ・パラメータ・インデックス(SPI)の値は、CPEがルーティング・ベースのトンネルをサポートするか、ポリシーベースのトンネルをサポートするかによって決まります。 使用する正しいSPI値の詳細は、「ルート・ベース対ポリシー・ベースIPSec」を参照してください。

CPE構成

ファイアウォール構成

以下の構成例では、VCNからネットワーク上のすべてのホストへのすべてのトラフィックを許可します。

config firewall address
    edit any_ipv4
    next
    edit OracleVcn-${VcnId}_remote_subnet
        set subnet ${VcnCidrNetwork} ${VcnCidrNetmask}
    next
end

config firewall addrgrp
    edit OracleVcn-${VcnId}_local
        set member any_ipv4
    next
    edit OracleVcn-${VcnId}_remote
        set member OracleVcn-${VcnId}_remote_subnet
    next
end
config firewall policy
    edit ${policyId1}
        set name vpn_${ipAddress1}_local
        set srcintf ${cpePublicInterface}
        set dstintf ${ipAddress1}
        set srcaddr OracleVcn-${VcnId}_local
        set dstaddr OracleVcn-${VcnId}_remote
        set action accept
        set schedule always
        set service ALL
        set comments "VPN: Oracle ${ipAddress1}"
    next
    edit ${policyId2}
        set name vpn_${ipAddress1}_remote
        set srcintf {ipAddress1}
        set dstintf ${cpePublicInterface}
        set srcaddr OracleVcn-${VcnId}_remote
        set dstaddr OracleVcn-${VcnId}_local
        set action accept
        set schedule always
        set service ALL
        set comments "VPN: Oracle ${ipAddress1}"
    next
    edit ${policyId3}
        set name vpn_${ipAddress2}_local
        set srcintf ${cpePublicInterface}
        set dstintf ${ipAddress2}
        set srcaddr OracleVcn-${VcnId}_local
        set dstaddr OracleVcn-${VcnId}_remote
        set action accept
        set schedule always
        set service ALL
        set comments "VPN: Oracle ${ipAddress2}"
    next
    edit ${policyId4}
        set name vpn_${ipAddress2}_remote
        set srcintf ${ipAddress2}
        set dstintf ${cpePublicInterface}
        set srcaddr OracleVcn-${VcnId}_remote
        set dstaddr OracleVcn-${VcnId}_local
        set action accept
        set schedule always
        set service ALL
        set comments "VPN: Oracle ${ipAddress2}"
    next
end

ISAKMPフェーズ1を構成

config vpn ipsec phase1-interface
    edit ${ipAddress1}
        set interface ${cpePublicInterface}
        set keylife 28800
        set proposal aes256-sha384 aes256-sha256
        set comments "VPN: Oracle ${ipAddress1}"
        set dhgrp 5
        set remote-gw ${ipAddress1}
        set psksecret ${sharedSecret1}
    next
    edit ${ipAddress2}
        set interface ${cpePublicInterface}
        set keylife 28800
        set proposal aes256-sha384 aes256-sha256
        set comments "VPN: Oracle ${ipAddress2}"
        set dhgrp 5
        set remote-gw ${ipAddress2}
        set psksecret ${sharedSecret2}
    next
end

IPSecの構成 - ISAKMPフェーズ2

config vpn ipsec phase2-interface
    edit ${ipAddress1}
        set phase1name ${ipAddress1}
        set proposal aes256-sha1
        set dhgrp 5
        set replay disable
        set auto-negotiate enable
        set comments "VPN: Oracle ${ipAddress1}"
        set keylifeseconds 3600
    next
    edit ${ipAddress2}
        set phase1name ${ipAddress2}
        set proposal aes256-sha1
        set dhgrp 5
        set replay disable
        set auto-negotiate enable
        set comments "VPN: Oracle ${ipAddress2}"
        set keylifeseconds 3600
    next
end

VCNに静的ルートを構成

config router static
    edit 1
        set dst ${VcnCidrNetwork} ${VcnCidrNetmask}
        set device ${ipAddress1}
        set comment "Oracle VPN-${ipAddress1}"
    next
    edit 2
        set dst ${VcnCidrNetwork} ${VcnCidrNetmask}
        set device ${ipAddress2}
        set comment "Oracle VPN-${ipAddress2}"
    next
end