FortiGate

このトピックでは、ソフトウェア・バージョン6.0.4を実行しているFortiGateの構成について説明します。

FortiGateの経験が推奨されます。FortiGate製品の使用方法の詳細は、公式サイトを参照してください。高可用性(HA)または手動デプロイメントに関するFortiGateのドキュメントは、Fortinetドキュメント・ライブラリを参照してください。

重要

Oracleには、一連のベンダーおよびデバイスの構成手順が用意されています。構成は適切なベンダーに対して使用してください。

構成の検証にOracleで使用されたデバイスまたはソフトウェアのバージョンが、使用しているデバイスまたはソフトウェアと完全に一致しない場合でも、構成は動作する可能性があります。ベンダーのドキュメントを参照し、必要な調整を行ってください。

デバイスが、検証済のベンダーおよびデバイスのリストに含まれないベンダーのものである場合、またはIPSecのデバイスの構成をよく理解している場合は、サポートされているIPSecパラメータのリストを確認し、ベンダーのドキュメントを参照してください。

Oracle Cloud Infrastructureは、オンプレミス・ネットワークと仮想クラウド・ネットワーク(VCN)間のセキュアなIPSec接続であるサイト間VPNを提供します。

次の図は、冗長トンネルを使用した、Oracle Cloud Infrastructureへの基本的なIPSec接続を示しています。この図で使用されているIPアドレスは、単なる例です。

この図は、オンプレミス・ネットワーク、サイト間VPN IPSecトンネルおよびVCNの一般的なレイアウトを示しています。

ベスト・プラクティス

この項では、サイト間VPNの使用に関する一般的なベスト・プラクティスと考慮事項について説明します。

すべてのIPSec接続に対してすべてのトンネルを構成します

Oracleは、接続ごとに2つのIPSecヘッドエンドをデプロイし、ミッションクリティカルなワークロードに高可用性を提供します。Oracle側では、これらの2つのヘッドエンドが別々のルーターに配置されて冗長性が確保されます。最大の冗長性のために使用可能なすべてのトンネルを構成することをお薦めします。これは「障害を前提とした設計」原理の重要な要素です。

オンプレミス・ネットワークの場所に冗長CPEを配置します

IPSecでOracle Cloud Infrastructureに接続する各サイトでは、冗長エッジ・デバイス(顧客構内機器(CPE)とも呼ばれる)を使用する必要があります。Oracle Consoleに各CPEを追加し、動的ルーティング・ゲートウェイ(DRG)と各CPE間に個別のIPSec接続を作成します。各IPSec接続に対して、Oracleは、地理的に冗長なIPSecヘッドエンド上に2つのトンネルをプロビジョニングします。詳細は、接続性冗長性ガイド(PDF)を参照してください。

ルーティング・プロトコルの考慮事項

サイト間VPN IPSec接続を作成する場合、2つの冗長IPSecトンネルがあります。両方のトンネルを使用するようにCPEを構成することをお薦めします(CPEでサポートされている場合)。以前は、Oracleによって、最大4つのIPSecトンネルを持つIPSec接続が作成されていました。

次の2つのルーティング・タイプを使用でき、サイト間VPNの各トンネルに対して別個にルーティング・タイプを選択します:

  • BGP動的ルーティング: 使用可能なルートは、BGPによって動的に学習されます。DRGは、オンプレミス・ネットワークからルートを動的に学習します。Oracle側では、DRGはVCNのサブネットを通知します。
  • 静的ルーティング: DRGへのIPSec接続を設定する場合は、VCNに通知する必要のあるオンプレミス・ネットワークへの特定のルートを指定します。VCNのサブネットへの静的ルートを使用して、CPEデバイスを構成する必要もあります。これらのルートは、動的には学習されません。
  • ポリシー・ベースのルーティング: DRGへのIPSec接続を設定する場合は、VCNに通知する必要のあるオンプレミス・ネットワークへの特定のルートを指定します。VCNのサブネットへの静的ルートを使用して、CPEデバイスを構成する必要もあります。これらのルートは、動的には学習されません。

BGP最適パス選択アルゴリズムの操作方法に関するOracleの推奨事項など、サイト間VPNを使用したルーティングの詳細は、「サイト間VPNのルーティング」を参照してください。

その他の重要なCPE構成

CPEのアクセス・リストが、Oracle Cloud Infrastructureとの間で必要なトラフィックをブロックしないように正しく構成されていることを確認します。

複数のトンネルが同時にアップしている場合は、非対称ルーティングが発生する可能性があります。非対称ルーティングを可能にするには、CPEが任意のトンネルでVCNからのトラフィックを処理するように構成されていることを確認します。たとえば、ICMP検査を無効にしたり、TCP状態バイパスを構成したりする必要があります。適切な構成の詳細は、CPEベンダーのサポートに問い合せてください。対称になるようにルーティングを設定するには、「サイト間VPNのルーティング」を参照してください。

注意事項および制限事項

この項では、注意する必要のあるサイト間VPNの重要な一般的特性と制限について説明します。

非対称ルーティング

Oracleでは、IPSec接続を構成する複数のトンネル間で非対称ルーティングが使用されます。適切にファイアウォールを構成してください。そうしないと、接続間でのpingテストまたはアプリケーション・トラフィックが確実に動作しません。

複数のトンネルをOracle Cloud Infrastructureに使用する場合は、優先トンネルを通じてトラフィックを決定論的にルーティングするようにルーティングを構成することをお薦めします。1つのIPSecトンネルをプライマリとして使用し、別のトンネルをバックアップとして使用する場合は、プライマリ・トンネル(BGP)用として特定性の高いルートを構成し、バックアップ・トンネル(BGP/静的)用として特定性の低いルート(サマリーまたはデフォルト・ルート)を構成します。それ以外の場合、すべてのトンネルを通じて同じルート(デフォルト・ルートなど)を通知すると、Oracleが非対称ルーティングを使用するため、VCNからオンプレミス・ネットワークへの返却トラフィックは、使用可能なトンネルのいずれかにルーティングされます。

対称ルーティングの強制方法に関する特定のOracleルーティング推奨は、サイト間VPNのルーティングを参照してください。

ルートベースまたはポリシーベースのサイト間VPN

IPSecプロトコルは、セキュリティ・アソシエーション(SA)を使用してパケットの暗号化方法を判断します。各SA内で、パケットのソースIPアドレスと宛先IPアドレスおよびプロトコル・タイプをSAデータベースのエントリにマップする暗号化ドメインを定義して、パケットを暗号化または復号化する方法を定義します。

ノート

他のベンダーまたは業界のドキュメントでは、SAまたは暗号化ドメインを参照するときに、プロキシID、セキュリティ・パラメータ・インデックス(SPI)またはトラフィック・セレクタという用語が使用される場合があります。

IPSecトンネルを実装するには、一般的に2つの方法があります:

  • ルートベース・トンネル: ネクスト・ホップベース・トンネルとも呼ばれます。ルート表検索は、パケットの宛先IPアドレス上で実行されます。そのルートのエグレス・インタフェースがIPSecトンネルである場合、パケットは暗号化され、トンネルの他方の側に送信されます。
  • ポリシーベース・トンネル: パケットのソースと宛先のIPアドレスおよびプロトコルがポリシー・ステートメントのリストと照合されます。一致が検出されると、そのポリシー・ステートメント内のルールに基づいてパケットが暗号化されます。

Oracle Site - to - Site VPNヘッドエンドではルートベース・トンネルが使用されますが、次の各項に示す注意事項を考慮しながら、ポリシーベース・トンネルとともに使用できます。

ルートベース・トンネル用の暗号化ドメイン

CPEでルートベース・トンネルがサポートされている場合は、この方法を使用してトンネルを構成します。これは最も単純な構成で、Oracle VPNヘッドエンドとの相互運用性が最も高くなっています。

ルートベースのIPSecでは、次の値を持つ暗号化ドメインが使用されます:

  • ソースIPアドレス: 任意(0.0.0.0/0)
  • 宛先IPアドレス: 任意(0.0.0.0/0)
  • プロトコル: IPv4

より特定的にする必要がある場合は、デフォルト・ルートではなく、暗号化ドメイン値に単一のサマリー・ルートを使用できます。

ポリシーベース・トンネル用の暗号化ドメイン

ポリシーベースのトンネルを使用する場合、定義するすべてのポリシー・エントリ(IPSec接続の一方の側のCIDRブロック)によって、トンネルの他方の端の適格なすべてのエントリとのIPSecセキュリティ・アソシエーション(SA)が生成されます。このペアは暗号化ドメインと呼ばれます。

この図では、IPSecトンネルのOracle DRG終端に、3つのIPv4 CIDRブロックと1つのIPv6 CIDRブロックのポリシー・エントリがあります。トンネルのオンプレミスCPE終端には、ポリシー・エントリ2つのIPv4 CIDRブロックと2つのIPv6 CIDRブロックがあります。各エントリは、トンネルの反対側にある可能性のあるすべてのエントリを含む暗号化ドメインを生成します。SAペアの両側で同じバージョンのIPを使用する必要があります。その結果、合計8つの暗号化ドメインが作成されます。

複数の暗号化ドメインとその数を決定する方法を示す図。
重要

CPEでポリシーベース・トンネルのみがサポートされている場合、次の制限に注意してください。

  • Site - to - Site VPNは複数の暗号化ドメインをサポートしていますが、暗号化ドメインの上限は50です。
  • 前述の例のような状況で、CPE側で6つの可能なIPv4暗号化ドメインのうち3つのみを構成した場合、すべての可能な暗号化ドメインが常にDRG側で作成されるため、リンクは「Partial UP」状態でリストされます。
  • ポリシーベースのルーティングは、すべてのリージョンで使用できるわけではなく、VPN接続v2接続に依存します。サポートされているリージョンのリストは、サイト間VPN v2の可用性を参照してください。
  • トンネルが作成された時期によっては、ポリシーベースのルーティングを使用するように既存のトンネルを編集できず、トンネルを新しいIPSecトンネルに置き換える必要がある場合があります。
  • トンネルのOracle DRG終端で使用されるCIDRブロックは、トンネルのオンプレミスCPE終端で使用されるCIDRブロックと重複できません。
  • 暗号化ドメインは、常に同じIPバージョンの2つのCIDRブロック間にある必要があります。

CPEがNATデバイスの背後にある場合

一般的に、接続の終端で構成されたCPE IKE識別子は、Oracleが使用しているCPE IKE識別子と一致する必要があります。デフォルトでは、OracleではCPEのパブリックIPアドレスが使用されます。これは、Oracle ConsoleでCPEオブジェクトを作成したときに指定したものです。ただし、CPEがNATデバイスの背後にある場合、次の図に示すように、終端で構成されたCPE IKE識別子がCPEのプライベートIPアドレスになる可能性があります。

この図は、NATデバイスの背後にあるCPE、パブリックIPアドレスとプライベートIPアドレス、およびCPE IKE識別子を示しています。
ノート

一部のCPEプラットフォームでは、ローカルIKE識別子を変更できません。実行できない場合は、Oracle ConsoleでリモートIKE IDを変更し、CPEのローカルIKE IDと一致させる必要があります。IPSec接続を設定するときに、または設定後に、IPSec接続を編集して値を指定できます。Oracleでは、値がIPアドレスまたはcpe.example.comなどの完全修飾ドメイン名(FQDN)であることが必要です。手順については、Oracleで使用されるCPE IKE識別子の変更を参照してください。

サポートされているIPSecパラメータ

すべてのリージョンでサポートされているIPSecパラメータのベンダー非依存のリストについては、サポートされているIPSecパラメータを参照してください。

商用クラウドのOracle BGP ASNは、31898です。US Government Cloudにサイト間VPNを構成する場合は、Government CloudおよびOracleのBGP ASNに必要なサイト間VPNパラメータを参照してください。United Kingdom Government Cloudについては、OracleのBGP ASNを参照してください。

CPE構成

重要

この項の構成手順は、使用しているCPE用のOracle Cloud Infrastructureで提供されています。サポートが必要な場合は、CPEベンダーのサポートに直接問い合せてください。

次の図は、IPSec接続の基本的なレイアウトを示しています。

この図は、IPSec接続とトンネルの一般的なレイアウトを示しています。

デフォルトでは、FortiGateはIPSecトンネルをルートベース・モードでプロビジョニングします。このトピックでは、ルートベースのVPN構成を使用したFortiGateについて説明します。

必要に応じて、FortiGateでポリシーベース・モードでIPSecトンネルをプロビジョニングできます。この機能を有効にするには、「システム」に移動して、「機能の可視性」に移動します。「追加機能」で、「ポリシーベースのIPsec VPN」機能を有効にします。

この図は、ポリシーベースのVPNを選択する場所を示しています。

IKEv2の使用について

Oracleは、Internet Key Exchangeバージョン1 (IKEv1)およびバージョン2 (IKEv2)をサポートしています。コンソールでIKEv2を使用するようにIPSec接続を構成する場合、CPEでサポートされているIKEv2および関連するIKEv2暗号化パラメータのみを使用するようにCPEを構成する必要があります。OracleでIKEv1またはIKEv2用にサポートされているパラメータのリストについては、サポートされているIPSecパラメータを参照してください。

IKEv2を使用する場合、次の項に示すタスクの1つにバリエーションがあります。具体的には、タスク2で、認証の構成時にIKEバージョン2を選択します。

構成プロセス

重要

開始する前に、FortiGateを構成するための有効なライセンスまたはトライアル・ライセンスを持っていることを確認してください。
タスク1: ウィザードを使用したVPNの作成
  1. 「VPN」に移動してから、「IPsecウィザード」に移動して新しいVPNトンネルを作成します。
  2. 「VPN作成ウィザード」ページで、次の項目を指定します:
    • 名前: IPSecトンネルを識別するために使用する説明。機密情報の入力は避けてください。
    • テンプレート・タイプ: サイト間
    • リモート・デバイス・タイプ: Cisco
    • NAT構成: サイト間にNATはありません

    この図は、VPN作成ウィザードの開始を示しています。

  3. 「次」をクリックします。
  4. 「認証」ページで、次の項目を指定します:
    • リモート・デバイス: IPアドレス
    • IPアドレス: Oracle VPNヘッドエンドのIPアドレス。この値は、IPSecトンネルの作成時にOracleによって生成されます。
    • 送信インタフェース: 外部トラフィック用に構成されたWANインタフェース。
    • 認証方法: 事前共有キー。Oracleは共有秘密キーのみをサポートしています。
    • 共有前キー: 共有シークレット。この値は、IPSecトンネルの作成時にOracleによって生成されます。

    この図は、ウィザードの「認証」ページを示しています。

  5. 「次」をクリックします。
  6. 「ポリシーとルーティング」ページで、次の項目を指定します:
    • ローカル・インタフェース: 内部トラフィック用に構成されたLANインタフェース。
    • ローカル・サブネット: 内部トラフィックに使用されるサブネット。
    • リモート・サブネット: IPSecトンネルに使用されるOracle VCNサブネット。
    • インターネット・アクセス: なし

    この図は、ウィザードの「ポリシーとルーティング」ページを示しています。

  7. 「作成」をクリックします。

    構成の詳細とともにサマリー・メッセージが表示されます。ウィザードによって、指定したサブネットを使用してセキュリティ・ポリシーが自動的に作成され、必要な静的ルートが追加されます。

    この図は、ウィザードの最後のサマリー・ページを示しています。

タスク2: 各IPSecトンネルへのフェーズ1およびフェーズ2パラメータの追加

フェーズ1とフェーズ2の推奨パラメータを追加するには、新しく作成した各IPSecトンネルをカスタム・トンネルに変換する必要があります。

各トンネルに対して次のステップを実行します。

  1. 「VPN」に移動して、「IPsecトンネリング」をクリックします。
  2. トンネルを選択し、「編集」をクリックして「VPNトンネルの編集」ページを表示します。
  3. 「カスタム・トンネルに変換」をクリックします。

    この図は、VPNトンネルを編集するためのページを示しています。

  4. 関連するセクションを編集して、次のスクリーンショットに示す必要な設定に一致させます。変更を行った後は、各セクションの右上隅にあるチェック・マーク・アイコンを必ずクリックしてください。

    最初のスクリーンショットに示されているIPアドレスはサンプル・アドレスです。

    IKEv2を使用する場合、「認証」画面で、かわりに「IKEバージョン2」を選択します。

    この図は、トンネル編集時の「ネットワーク」セクションを示しています。

    この図は、トンネル編集時の「認証」セクションを示しています。

    この図は、トンネル編集時の「フェーズ1提案」セクションを示しています。

    この図は、トンネル編集時の「フェーズ2セレクタ」セクションを示しています。

  5. すべてのセクションを構成したら、「OK」をクリックして保存し、ダイアログを閉じます。
タスク3: IPSec接続の確認

この時点では、FortiGateはWANインタフェースで割り当てられたIPアドレスを使用するため、IPSecトンネルはデフォルトで確立されません。この場合、Oracleが1:1 NATを実行するため、このIPアドレスはプライベートIPアドレスになります。このプライベートIPアドレスはローカルIKE IDとして使用され、Oracle DRGで予期されているものとは一致しません。これを解決するには、CPEのCLIを使用してFortiGate上のローカルIKE IDを手動で変更するか、Oracle ConsoleでOracleが使用する値を変更します(次の手順を参照)。どちらの場合でも、これにより不一致が修正され、IPSecトンネルが起動されます。

Oracleが使用するCPE IKE識別子を変更するには(Oracle Console)
  1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「Customer Connectivity」で、「Site - to - Site VPN (IPSec)」をクリックします。

    表示しているコンパートメント内のIPSec接続のリストが表示されます。探しているものが表示されない場合は、正しいコンパートメントを表示していることを確認します(ページの左側のリストから選択します)。

  2. 目的のIPSec接続について、「アクション」メニューをクリックし、「編集」をクリックします。

    Oracleが使用している現在のCPE IKE識別子が、ダイアログの下部に表示されます。

  3. 「CPE IKE識別子タイプ」「CPE IKE識別子」の新しい値を入力し、「変更の保存」をクリックします。

BGP over IPSecによる冗長性

冗長性のために、BGP over IPSecを使用することをお薦めします。デフォルトで、同じタイプの2つの接続(両方ともBGPを使用する2つのIPSec VPNなど)があり、両方の接続で同じルートを通知する場合、Oracleでは、リクエストへの応答時または接続の開始時に最も古い確立されたルートが優先されます。ルーティングで対称性を強制的に使用する場合は、応答および接続の開始時にOracleが使用するパスに影響を与えるため、ルートにBGPおよびASパス・プリペンドを使用することをお薦めします。詳細は、オンプレミス・ネットワークへの接続のルーティング詳細を参照してください。

Oracle DRGでは、インタフェース・トンネル上でIPアドレスを構成するためのサブネットとして、/30または/31を使用します。IPアドレスは、サイト間VPNの暗号化ドメインの一部である必要があり、インタフェース・トンネルからピアVPNに到達できるようにファイアウォール・ポリシーで許可されている必要があります。場合によっては、ピアIPアドレスのトンネル・インタフェースを介した静的ルートを実装する必要があります。

商用リージョンにおけるOracleのBGP ASNは31898です。Government Cloudにサイト間VPNを構成する場合は、Government CloudおよびOracleのBGP ASNに必要なサイト間VPNパラメータを参照してください。

ユーザー側では、プライベートASNを使用できます。プライベートASNは、64512–65534の範囲です。

タスク1: トンネル・インタフェースの編集

最初のタスクでは、新しく作成したFortiGateトンネル・インタフェースにBGP IPアドレスを追加します。

各トンネルに対して次のステップを実行します。

  1. 「ネットワーク」「インタフェース」の順に移動します。
  2. 目的のインタフェースを選択し、「編集」をクリックします。

    この図は、編集するトンネル・インタフェースを示しています。

  3. 次の項目を構成します:
    • IP: トンネル・インタフェースのFortiGate終端に割り当てたBGP IPアドレスを入力します。次のスクリーンショットは、サンプル値の192.168.66.2を示しています。
    • リモートIP/ネットワーク・マスク: トンネル・インタフェースのOracle終端に割り当てたBGP IPアドレスを追加します。Oracle Consoleでのアドレスの指定方法に応じて、/30または/31のいずれかのマスクを含めます。次のスクリーンショットでは、192.168.66.0/30が使用され、192.168.66.2がFortiGate終端に割り当てられ、192.168.66.1がOracle終端に割り当てられます。
    • Pingアクセス(推奨): 「管理アクセス」セクションで、pingアクセスを有効にします。

      この図は、BGPアドレスとICMPアクセスの構成を示しています。

  4. 「OK」をクリックします。
タスク2: Oracle IPアドレスの静的ルートの追加

各トンネルについて、次のスクリーンショットに示すように、トンネルを通じてOracle IPアドレスに向かう/32静的ルートを追加します。

この図は、トンネルを通じてOracle BGP IPアドレスに向かう静的ルートを示しています。

タスク3: BGPの構成

各トンネルに対して次のステップを実行します。

  1. 「ネットワーク」「BGP」の順に移動します。
  2. 次の項目を入力します:
    • ローカルAS: BGP ASN。プライベートASNを使用できます。プライベートASNは、64512–65534の範囲です。
    • ルーターID: ピア間でこのBGPルーターを一意に識別するための値。
    • 近隣: 「新規作成」をクリックして、トンネルのOracle終端のBGP IPアドレスと、Oracle BGP ASN (商用リージョンの場合は31898)を入力します。Government Cloudに接続するためにサイト間VPNを構成する場合は、OracleのBGP ASNを参照してください。
    • Networks: オプションで、このフィールドを使用して、BGP経由で特定のサブネットを通知します。「拡張オプション」セクションで、「再分散」セクションを使用してサブネットを通知することもできます。

      この図は、構成するローカルBGPオプションを示しています。

  3. 「OK」をクリックします。

検証

次のCLIコマンドは、暗号化されたパケット数と復号化されたパケット数、送受信されたバイト数、暗号化ドメイン(SPI)識別子などの統計データを収集する際に役立ちます。この種の情報は、VPNに関する問題を特定するのに不可欠です。

diagnose vpn tunnel list

次のコマンドは、ファイアウォール・ポリシーの欠落、転送ルートの不足、およびポリシー順序付けの問題を示します。通信の問題がない場合、このコマンドは空白の出力を返します。

diagnose debug flow

次のコマンドは、BGP近隣ステータス情報を検証します。「アクティブ」状態は、BGPセッションが起動しているという意味ではないことに注意してください。「アクティブ」はBGP状態メッセージを示します。詳細は、FortiGateドキュメントのBGPの背景と概念を参照してください。

get router info bgp summary

次のコマンドは、BGPの近隣に関する詳細情報を提供します。

get router info bgp neighbors

モニタリング・サービスは、クラウド・リソースをアクティブおよびパッシブにモニターするためにOracle Cloud Infrastructureから使用できます。サイト間VPNのモニタリングの詳細は、「サイト間VPNメトリック」を参照してください。

問題がある場合は、「サイト間VPNのトラブルシューティング」を参照してください。