Oracle Cloud Infrastructureドキュメント

ヤマハ RTXシリーズ

この構成は、ファームウェアRev.14.01.28およびファームウェアRev.15.02.03を実行しているRTX830を実行しているRTX1210を使用して検証されました。

重要

Oracleは、IPSec VPN接続を構成する複数のトンネル間で非対称ルーティングを使用します。
1つのトンネルをプライマリ、別のトンネルをバックアップとして構成しても、VCNからオンプレミス・ネットワークへのトラフィックは、デバイス上にあるすべてのトンネルを使用できます。 それに応じてファイアウォールを構成します。 そうしないと、接続を介したpingテストやアプリケーション・トラフィックが確実に機能しなくなります。

始める前に

CPEを構成する前に、次のことを確認してください:

  • インターネット・プロバイダの設定を構成
  • UDPポート500、UDPポート4500、およびESPを開くようにファイアウォール・ルールを構成します。

APIまたはコンソールからのパラメータ

Oracle Cloud InfrastructureコンソールまたはAPIから次のパラメータを取得します。

${ipAddress#}

  • Oracle VPNのヘッド・エンドIPSecトンネル・エンドポイント。 各トンネルには1つの値があります。
  • 値の例: 129.146.12.52

${sharedSecret#}

  • IPSec IKE事前共有キー。 各トンネルには1つの値があります。
  • 値の例: EXAMPLEDPfAMkD7nTH3SWr6OFabdT6exXn6enSlsKbE

${cpePublicIpAddress}

  • CPEのパブリックIPアドレス(以前はコンソール経由でOracleに提供されていました)。

${VcnCidrBlock}

  • VCNを作成する際、このCIDRを選択して、すべてのVCNホストのIP集約ネットワークを表します。
  • 値の例: 10.0.0.0/20

現在のCPEの構成と状態に基づくパラメータ

次のパラメータは、現在のCPE構成に基づいています。

${tunnelInterface#}

  • 特定のトンネルを識別するインタフェース番号。
  • 値の例: 1

${ipsecPolicy#}

  • 選択されたインライン・インタフェースに使用されるSAポリシー。
  • 値の例: 1

${localAddress}

  • CPEのパブリックIPアドレス。
  • 値の例: 146.56.2.52

構成テンプレートのパラメータの概要

各リージョンには複数のOracle IPSecヘッド・エンドがあります。 以下のテンプレートでは、CPEに複数のトンネルを設定し、それぞれ対応するヘッド・エンドに設定できます。 下の表のユーザーはあなた/会社です。

パラメータ ソース 値の例
${ipAddress1} Console/API 129.146.12.52
${sharedSecret1} Console/API (長い文字列)
${ipAddress2} Console/API 129.146.13.52
${sharedSecret2} Console/API (長い文字列)

${cpePublicIpAddress}

ユーザー 1.2.3.4
${VcnCidrBlock} ユーザー 10.0.0.0/20

ISAKMPポリシー・オプション

IPSecポリシー・オプション

セキュリティ・パラメータ・インデックス

セキュリティ・パラメータ・インデックス(SPI)の値は、CPEがルーティング・ベースのトンネルをサポートするか、ポリシーベースのトンネルをサポートするかによって決まります。 使用する正しいSPI値の詳細は、「ルート・ベース対ポリシー・ベースIPSec」を参照してください。

CPE構成

ISAKMPとIPSecの構成

tunnel select 1
description tunnel OCI-VPN1 
ipsec tunnel 1
  ipsec sa policy 1 1 esp aes256-cbc sha-hmac
  ipsec ike duration ipsec-sa 1 3600
  ipsec ike duration isakmp-sa 1 28800
  ipsec ike encryption 1 aes256-cbc
  ipsec ike group 1 modp1536
  ipsec ike hash 1 sha256
  ipsec ike keepalive log 1 off
  ipsec ike keepalive use 1 on dpd 5 4
  ipsec ike local address 1 ${cpePublicIpAddress}
  ipsec ike local id 1 0.0.0.0/0
  ipsec ike nat-traversal 1 on
  ipsec ike pfs 1 on
  ipsec ike pre-shared-key 1 text ${sharedSecret1}
  ipsec ike remote address 1 ${ipAddress1}
  ipsec ike remote id 1 0.0.0.0/0
ip tunnel tcp mss limit auto
tunnel enable 1

tunnel select 2
description tunnel OCI-VPN2
ipsec tunnel 2
  ipsec sa policy 2 2 esp aes256-cbc sha-hmac
  ipsec ike duration ipsec-sa 2 3600
  ipsec ike duration isakmp-sa 2 28800
  ipsec ike encryption 2 aes256-cbc
  ipsec ike group 2 modp1536
  ipsec ike hash 2 sha256
  ipsec ike keepalive log 2 off
  ipsec ike keepalive use 2 on dpd 5 4
  ipsec ike local address 2 ${cpePublicIpAddress}
  ipsec ike local id 2 0.0.0.0/0
  ipsec ike nat-traversal 2 on
  ipsec ike pfs 2 on
  ipsec ike pre-shared-key 2 text ${sharedSecret2}
  ipsec ike remote address 2 ${ipAddress2}
  ipsec ike remote id 2 0.0.0.0/0
ip tunnel tcp mss limit auto
tunnel enable 2

ipsec auto refresh on

スタティック・ルートの構成

ip route ${VcnCidrBlock} gateway tunnel 1 hide gateway tunnel 2 hide