Palo Alto Networks Prisma Access 設定例

1. 概要

ヤマハルーターでクラウド型ファイアウォールサービスの「Palo Alto Networks Prisma Access(以下、Prisma Access)」を利用する際の設定例です。

検証の環境は次の通りです。

※本ページに記載する内容はSCSK社での接続検証結果であり、Prisma Accessとの接続を保証するものではありません。
※Palo Alto Networks Prisma Accessのライセンス購入、利用登録や設定方法等については、「SCSK株式会社 Palo Alto Networks社製品担当 (paloalto-info@ml.scsk.jp)」にお問い合わせください。

2. 想定環境

NVR700WとPrisma Accessの間でIKEv1を使用したIPsec VPNを構築し、NVR700W側のローカルネットワークからPrisma Accessのセキュリティサービスを利用することを想定した設定です。

3. IPsec VPNのパラメーター

IPsec VPNでは、下記パラメーターを使用します。

【IKEフェーズ1 (ISAKMP SAのネゴシエーション)】

認証方式 事前共有鍵(pre-shared-key)
事前共有鍵(pre-shared-key) (Prisma Accessに設定した共有キー)
DHグループ 1024-bit MODP Group
暗号化アルゴリズム AES256-CBC
認証アルゴリズム SHA256-HMAC
ISAKMP SAの有効期限 28800秒 (8時間)
NATトラバーサル 有効(Type 2)
IKEキープアライブ DPD(RFC3706)

【IKEフェーズ2 (IPsec SAのネゴシエーション)】

SAモード トンネルモード
セキュリティプロトコル ESP (暗号化+認証)
PFS 有効
暗号化アルゴリズム AES256-CBC
認証アルゴリズム SHA256-HMAC
IPsec SAの有効期限 3600秒 (1時間)

4. ヤマハルーターの設定例

Prisma Accessでは全てのプロトコルに対する保護を行うため、デフォルト経路をVPNトンネルに向けています。

【経路設定】
ip route default gateway tunnel 1
ip route (Prisma AccessプライマリーPOPのIPアドレス) gateway pdp wan1

【LAN設定】
ip lan1 address 192.168.100.254/24

【無線WAN設定】
ip wan1 address pdp
ip wan1 nat descriptor 1
wan1 bind wwan 1
 wwan select 1
 wwan always-on on
 wwan auth accept chap
 wwan auth myname (ユーザー名) (パスワード)
 wwan auto connect on
 wwan disconnect time off
 wwan disconnect input time off
 wwan disconnect output time off
 wwan access-point name (アクセスポイントの情報)
 wwan access limit length off
 wwan access limit time off
 wwan enable 1
wwan-module use on

【IPsec VPN メイン側設定】
tunnel select 1
 ipsec tunnel 101
  ipsec sa policy 101 1 esp aes256-cbc sha256-hmac
  ipsec ike duration ipsec-sa 1 3600
  ipsec ike duration isakmp-sa 1 28800
  ipsec ike encryption 1 aes256-cbc
  ipsec ike group 1 modp1024
  ipsec ike hash 1 sha256
  ipsec ike keepalive use 1 on dpd 5 5
  ipsec ike local address 1 192.168.100.254
  ipsec ike local name 1 (Prisma Accessに設定したユーザーFQDN名) user-fqdn
  ipsec ike local id 1 192.168.100.0/24
  ipsec ike nat-traversal 1 on type=2
  ipsec ike pfs 1 on
  ipsec ike pre-shared-key 1 text (Prisma Accessに設定した共有キー)
  ipsec ike remote address 1 (Prisma AccessのグローバルIPアドレス)
  ipsec ike remote id 1 0.0.0.0/0
  ip tunnel tcp mss limit auto
 tunnel enable 1
 ipsec auto refresh on

【NAT設定】
nat descriptor type 1 masquerade
nat descriptor address outer 1 primary
nat descriptor masquerade static 1 1 192.168.100.254 esp
nat descriptor masquerade static 1 2 192.168.100.254 udp 500
nat descriptor masquerade static 1 3 192.168.100.254 udp 4500

【DHCP設定】
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.191/24

【DNS設定】
dns server (プロバイダー側から指定されたDNSサーバーのIPアドレス)

5. IPsec VPNの確立確認

IPsec VPNが確立しているかどうかを確認します。
"show ipsec sa "、"show status tunnel" コマンドの出力が以下のようであれば、Prisma AccessとのIPsec VPNは確立しています。

【show ipsec saコマンドの実行例】

# show ipsec sa
Total: isakmp:1 send:1 recv:1
 
sa   sgw isakmp connection   dir  life[s] remote-id
-----------------------------------------------------------------------------
1     1    -    isakmp       -    28790   (Prisma AccessのグローバルIPアドレス)
2     1    1    tun[001]esp  send 3592    (Prisma AccessのグローバルIPアドレス)
3     1    1    tun[001]esp  recv 3592    (Prisma AccessのグローバルIPアドレス)

【show status tunnelコマンドの実行例】

# show status tunnel 1
TUNNEL[1]:
説明:
  インタフェースの種類: IPsec
  トンネルインタフェースは接続されています
  開始: 2020/05/22 04:28:09
  通信時間: 1秒
  受信: (IPv4) 891174 パケット [81988664 オクテット]
        (IPv6) 0 パケット [0 オクテット]
  送信: (IPv4) 892898 パケット [82145685 オクテット]
        (IPv6) 0 パケット [0 オクテット] 


Copyright (C) 2020, Yamaha Corporation.