Citrix ADCアプライアンスとフォーティネットフォーティゲートアプライアンス間のCloudBridge Connectorトンネルの構成
Citrix ADCアプライアンスとFortinet FortiGateアプライアンスの間にCloudBridge Connectorトンネルを構成して、2つのデータセンターを接続したり、ネットワークをクラウドプロバイダーに拡張したりできます。Citrix ADCアプライアンスとFortiGateアプライアンスは、CloudBridge Connectorトンネルのエンドポイントを形成し、ピアと呼ばれます。
CloudBridge Connectorトンネル設定の例
CloudBridge Connectorトンネルのトラフィックフローの図のように、CloudBridge Connectorトンネルが次のデバイス間でセットアップされる例について考えてみます。
- データセンター1として指定されたデータセンター内のCitrix ADCアプライアンスNS_アプライアンス-1
- データセンター-2 として指定されたデータセンター内の FortiGate アプライアンス-1
NS_Appliance-1 および FortiGate-Appliance-1 は、データセンター 1 とデータセンター-2 のプライベートネットワーク間で CloudBridge Connectorトンネルを介して通信できるようにします。この例では、NS_アプライアンス 1 と FortiGate-アプライアンス 1 は、データセンター-1 のクライアント CL1 と、データセンター-2 のサーバー S1 との間の通信を CloudBridge Connectorトンネルを介して有効にします。クライアント CL1 とサーバー S1 は、異なるプライベートネットワーク上にあります。
NS_Appliance-1 では、CloudBridge Connectorのトンネル設定には、IPSec プロファイルエンティティ NS_Fortinet_IPSec_Profile、CloudBridge Connectorトンネルエンティティ NS_Fortinet_Tunnel、およびポリシーベースルーティング (PBR) エンティティ NS_Fortinet_Pbr が含まれます。
詳細については、CloudBridge Connector トンネル設定表pdf を参照してください。
データセンター 2 の Fortinet FortiGate-Appliance-1 の設定については、表を参照してください。
CloudBridge Connectorのトンネル設定について考慮すべきポイント
Citrix ADCアプライアンスとFortiGateアプライアンスの間にCloudBridge Connectorトンネルを構成する前に、次の点を考慮してください。
以下のIPSec設定は、Citrix ADCアプライアンスとFortiGateアプライアンス間のCloudBridge Connectorトンネルでサポートされています。
IPSec のプロパティ 設定 IPSec モード トンネルモード IKE のバージョン バージョン1 IKE DHグループ DH グループ 2 (1024 ビット MODPアルゴリズム) IKE 認証方式 事前共有キー IKE 暗号化アルゴリズム AES IKE ハッシュアルゴリズム HMAC SHA1 ESP 暗号化アルゴリズム AES ESP ハッシュアルゴリズム HMAC SHA1 - CloudBridge Connectorの両端のCitrix ADCアプライアンスとFortiGateアプライアンスで同じIPSec設定を指定する必要があります。
- Citrix ADCは、IKEハッシュアルゴリズムとESPハッシュアルゴリズムを指定するための共通パラメータ(IPSecプロファイル内)を提供します。また、IKE 暗号化アルゴリズムと ESP 暗号化アルゴリズムを指定するためのもう 1 つの共通パラメータも用意されています。 したがって、FortiGate アプライアンスでは、IKE(フェーズ 1 設定)および ESP(フェーズ 2 設定)で同じハッシュアルゴリズムと暗号化アルゴリズムを指定する必要があります。
- Citrix ADC端とFortiGate端でファイアウォールを構成して、次のことを許可する必要があります。
- ポート 500 の任意の UDP パケット
- ポート 4500 に対する任意の UDP パケット
- 任意の ESP(IP プロトコル番号 50)パケット
- FortiGate アプライアンスは、ポリシーベースとルートベースの 2 種類の VPN トンネルをサポートしています。FortiGate アプライアンスとCitrix ADC アプライアンスの間では、ポリシーベースの VPN トンネルのみがサポートされます。
CloudBridge Connectorトンネル用の FortiGate アプライアンスの設定
FortiGate アプライアンスで CloudBridge Connectorトンネルを設定するには、FortiGate アプライアンスを設定、監視、および保守するための主要なユーザーインターフェイスである Fortinet ウェブベースのマネージャーを使用します。
FortiGate アプライアンスで CloudBridge Connectorのトンネル設定を開始する前に、次の点を確認してください。
- FortiGate アプライアンスで管理者資格情報を持つユーザーアカウントがあること。
- あなたはFortinetのWebベースのマネージャーに精通しています。
- FortiGate アプライアンスは稼働しており、インターネットに接続されており、トラフィックが CloudBridge Connector トンネルを介して保護されるプライベートサブネットにも接続されています。
注
FortiGate アプライアンスで CloudBridge Connectorトンネルを設定する手順は、Fortinet のリリースサイクルによって時間が経つにつれ、変更されることがあります。IPsec VPNトンネルの構成に関する公式のFortinet製品マニュアルに従うことをお勧めします。
Citrix ADCアプライアンスとFortiGateアプライアンス間のCloudBridge Connectorトンネルを構成するには、Fortinetウェブベースのマネージャーを使用して、FortiGateアプライアンスで以下のタスクを実行します。
- ポリシーベースの IPSec VPN 機能を有効にします。FortiGate アプライアンスでポリシーベースの VPN トンネルを作成するには、この機能を有効にします。FortiGateアプライアンスとCitrix ADCアプライアンスの間では、ポリシーベースのVPNトンネルのみがサポートされています。FortiGate アプライアンスのポリシーベースの VPN トンネル設定には、フェーズ 1 の設定、フェーズ 2 の設定、および IPSec セキュリティポリシーが含まれます。
- フェーズ 1 のパラメータを定義します。フェーズ 1 パラメータは、Citrix ADC アプライアンスへの安全なトンネルを形成する前に、FortiGate アプライアンスによって IKE 認証に使用されます。
- フェーズ 2 のパラメータを定義します。フェーズ 2 パラメーターは、IKE セキュリティアソシエーション (SA) を確立することにより、Citrix ADC アプライアンスへの安全なトンネルを形成するために FortiGate アプライアンスによって使用されます。
- プライベートサブネットを指定します。FortiGate側とCitrix ADC側のプライベートサブネットを定義します。このサブネットはトンネルを介して転送されます。
- トンネルの IPSec セキュリティポリシーを定義します。セキュリティポリシーでは、FortiGate アプライアンス上のインターフェイス間で IP トラフィックが通過することを許可します。IPSecセキュリティポリシーでは、プライベートサブネットへのインターフェイスと、トンネルを介してCitrix ADCアプライアンスを接続するインターフェイスを指定します。
Fortinet Web ベースマネージャを使用してポリシーベースの IPSec VPN 機能を有効にするには
- [システム] > [設定] > [機能] に移動します。
- [機能設定]ページで、[詳細を表示] を選択し、[ポリシーベースの IPSec VPN] をオンにします。
Fortinet Web ベースのマネージャーを使用してフェーズ 1 のパラメーターを定義するには
- [VPN] > [IPsec] > [自動キー (IKE)] に移動し、[フェーズ 1 の作成] をクリックします。
- [新しいフェーズ 1] ページで、次のパラメータを設定します。
- [名前]: このフェーズ 1 構成の名前を入力します。
- リモートゲートウェイ:[静的 IP アドレス] を選択します。
- モード:メイン(ID保護)を選択します。
- 認証方法:[事前共有キー] を選択します。
- 事前共有キー:事前共有キーを入力します。Citrix ADCアプライアンスでは、同じ事前共有キーを構成する必要があります。
- ピアオプション:Citrix ADCアプライアンスを認証するための次のIKEパラメータを設定します。
- IKE バージョン:1を選択します。
- モード設定:このオプションが選択されている場合は、このオプションを選択解除します。
- [ローカルゲートウェイ IP]: [メインインターフェイス IP] を選択します。
- P1提案:Citrix ADCアプライアンスへの安全なトンネルを形成する前に、IKE認証の暗号化アルゴリズムと認証アルゴリズムを選択します。
- 1-暗号化:AES128を選択します。
- 認証:SHA1を選択します。
- [キーライフ]: フェーズ 1 のキー寿命の時間 (秒単位) を入力します。
- DHグループ: 2を選択します。
- X-Auth: [無効にする] を選択します。
- ディードピアの検出:このオプションを選択します。
- [OK]をクリックします。
Fortinet Web ベースのマネージャーを使用してプライベートサブネットを指定するには
- [ファイアウォールオブジェクト]> [アドレス] > [アドレス] に移動し、[新規作成] を選択します。
- [新しいアドレス] ページで、次のパラメータを設定します。
- 名前:FortiGate側サブネットの名前を入力します。
- タイプ:[サブネット] を選択します。
- サブネット/ IP範囲:FortiGate側サブネットのアドレスを入力します。
- [Interface]:このサブネットへのローカルインターフェイスを選択します。
- [OK]をクリックします。
- 手順1~3を繰り返して、Citrix ADC側のサブネットを指定します。
Fortinet Web ベースのマネージャーを使用してフェーズ 2 のパラメーターを定義するには
- [VPN] > [IPsec] > [自動キー (IKE)] に移動し、[フェーズ 2 の作成] をクリックします。
- [新しいフェーズ 2] ページで、次のパラメータを設定します。
- [名前]: このフェーズ 2 構成の名前を入力します。
- フェーズ 1: ドロップダウンリストからフェーズ 1 構成を選択します。
- 「詳細」をクリックし、次のパラメータを設定します。
- P2提案:Citrix ADCアプライアンスへの安全なトンネルを形成するための暗号化アルゴリズムと認証アルゴリズムを選択します。
- 1-暗号化:AES128を選択します。
- 認証:SHA1を選択します。
- [リプレイ検出を有効にする]: このオプションを選択します。
- Perfect Forward Secrecy (PFS) を有効にする:このオプションを選択します。
- DHグループ:2を選択します。
- [キーライフ]: フェーズ 2 のキー寿命の時間 (秒単位) を入力します。
- 自動キーKeep-Alive:このオプションを選択します。
- 自動ネゴシエート:このオプションを選択します。
- クイックモードセレクター:トラフィックがトンネルを通過するFortiGate側とCitrix ADC側のプライベートサブネットを指定します。
- 送信元アドレス:ドロップダウンリストから FortiGate-側のサブネットを選択します。
- 送信元ポート:0を入力します。
- 宛先アドレス:ドロップダウンリストからCitrix ADC側のサブネットを選択します。
- 宛先ポート:0を入力します。
- プロトコル:0を入力します。
- P2提案:Citrix ADCアプライアンスへの安全なトンネルを形成するための暗号化アルゴリズムと認証アルゴリズムを選択します。
- [OK]をクリックします。
Fortinet Web ベースのマネージャーを使用して IPSec セキュリティポリシーを定義するには
- [ポリシー] > [ポリシー**] > [ポリシー] に移動し、[新規作成**] をクリックします。
- [ポリシーの編集]ページで、次のパラメータを設定します。
- ポリシータイプ:[VPN] を選択します。
- [ポリシーサブタイプ]: [IPSec] を選択します。
- [ローカルインターフェイス]: 内部 (プライベート) ネットワークへのローカルインターフェイスを選択します。
- Local Protected Subnet:トラフィックがトンネルを通過するドロップダウンリストから FortiGate-側のサブネットを選択します。
- 発信 VPN インターフェイス:外部 (パブリック) ネットワークへのローカルインターフェイスを選択します。
- リモート保護サブネット:トンネルを通過するトラフィックのCitrix ADC側のサブネットをドロップダウンリストから選択します。
- スケジュール:特定の要件を満たすために変更が必要でない限り、デフォルト設定 (常に) を維持します。
- サービス:特定の要件を満たすために変更が必要でない限り、デフォルト設定 (ANY) を維持します。
- [VPN トンネル]: [既存の使用] を選択し、ドロップダウンリストからトンネルを選択します。
- [リモートサイトからのトラフィックの開始を許可する]: リモートネットワークからのトラフィックがトンネルの開始を許可するかどうかを選択します。
- [OK]をクリックします。
CloudBridge Connectorトンネル用のCitrix ADCアプライアンスの構成
Citrix ADCアプライアンスとFortiGateアプライアンスの間にCloudBridge Connectorトンネルを設定するには、Citrix ADCアプライアンスで以下のタスクを実行します。Citrix ADCコマンドラインまたはCitrix ADCグラフィカルユーザーインターフェイス(GUI)のいずれかを使用できます。
- IPSecプロファイルを作成します。IPSec プロファイルエンティティは、IKE バージョン、暗号化アルゴリズム、ハッシュアルゴリズム、認証方法などの IPSec プロトコルパラメータを指定します。このパラメータは、CloudBridge Connector トンネル内の IPSec プロトコルで使用されます。
- IPSec プロトコルを使用する IP トンネルを作成し、IPSec プロファイルを関連付けます。IPトンネルは、ローカルIPアドレス(Citrix ADCアプライアンス上で構成されたCloudBridge ConnectorトンネルエンドポイントIPアドレス(SNIPタイプ))、リモートIPアドレス(FortiGateアプライアンス上で構成されたCloudBridge ConnectorトンネルエンドポイントIPアドレス)、CloudBridgeのセットアップに使用するプロトコル(IPSec)を指定します。コネクタトンネル、および IPSec プロファイルエンティティ。作成された IP トンネルエンティティは、CloudBridge Connectorトンネルエンティティとも呼ばれます。
- PBR ルールを作成し、IP トンネルに関連付けます。PBRエンティティは,一連のルールとIPトンネル(CloudBridge连接器トンネル) エンティティを指定します。送信元 IP アドレスの範囲と宛先 IP アドレスの範囲は、PBR エンティティの条件です。送信元 IP アドレスの範囲を設定して、トンネル経由でトラフィックを保護する Citrix ADC 側のサブネットを指定します。宛先の IP アドレス範囲を設定して、トンネル経由でトラフィックを保護する FortiGate アプライアンス側のサブネットを指定します。
Citrix ADC コマンドラインを使用して IPSEC プロファイルを作成するには
コマンドプロンプトで入力します。
add ipsec profile
--psk -ikeVersion v1 encAlgo AES -hashAlgo HMAC_SHA1 -perfectForwardSecrecy ENABLE
show ipsec profile
Citrix ADC コマンドラインを使用して IPSEC トンネルを作成し、そのトンネルに IPSEC プロファイルをバインドするには
コマンドプロンプトで入力します。
add ipTunnel
-protocol IPSEC –ipsecProfileName** show ipTunnel
Citrix ADC コマンドラインを使用して PBR ルールを作成し、IPSEC トンネルをバインドするには
コマンドプロンプトで入力します。
add pbr
ALLOW –srcIP -destIP -ipTunnel apply pbrs
show pbr
GUI を使用して IPSEC プロファイルを作成するには
- [システム] > [CloudBridge Connector] > [IPsecプロファイル]に移動します。
- 詳細ペインで、[Add]をクリックします。
- [IPSec プロファイルの追加]ページで、次のパラメータを設定します。
- Name
- 暗号化アルゴリズム
- ハッシュアルゴリズム
- IKE プロトコルバージョン
- Perfect Forward Secrecy(このパラメータを有効にする)
- 2 つの CloudBridge Connector トンネルピアが相互認証に使用する IPSec 認証方法を設定します。 事前共有キー認証方法 を選択し、事前共有キーが存在 パラメータを設定します。
- [Create]をクリックしてから、[Close]をクリックします。
GUI を使用して IP トンネルを作成し、IPSEC プロファイルをそのトンネルにバインドするには
- [システム] > [CloudBridge Connector] > [IP トンネル] に移動します。
- [IPv4 トンネル] タブで、[追加] をクリックします。
- [IP トンネルの追加]ページで、次のパラメータを設定します。
- Name
- リモート IP
- リモートマスク
- [ローカル IP タイプ] ([ローカル IP タイプ] ドロップダウンリストで、[サブネット IP] を選択します)。
- ローカル IP(選択した IP タイプの構成済みの IP アドレスはすべて、[ローカル IP] ドロップダウンリストに表示されます。リストから目的の IP を選択します)。
- プロトコル
- IPSec プロファイル
- [Create]をクリックしてから、[Close]をクリックします。
GUI を使用して PBR ルールを作成し、IPSEC トンネルをバインドするには
- [システム] > [ネットワーク] > [PBR] に移動します。
- [PBR] タブで、[追加] をクリックします。
- [PBRの作成(Create PBR)] ページで、次のパラメータを設定します。
- Name
- 操作(アクション)
- ネクストホップタイプ(IP トンネルの選択)
- IP トンネル名
- 送信元 IP の低
- 送信元 IP 高
- 宛先 IP の低
- 宛先 IP 高
- [Create]をクリックしてから、[Close]をクリックします。
Citrix ADCアプライアンスの対応する新しいCloudBridge Connectorトンネル構成がGUIに表示されます。
CloudBridge Connectorトンネルの現在のステータスは、[設定済み CloudBridge Connector] ペインに表示されます。緑色のドットは、トンネルがアップしていることを示します。赤い点は、トンネルがダウンしていることを示します。
次のコマンドは、「CloudBridge Connector構成の例」で、Citrix ADCアプライアンスのNS_Appliance-1の設定を作成します。
> add ipsec profile NS_Fortinet_IPSec_Profile -psk examplepresharedkey -ikeVersion v1 –encAlgo AES –hashalgo HMAC_SHA1 –lifetime 315360 -perfectForwardSecrecy ENABLE Done > add iptunnel NS_Fortinet_Tunnel 203.0.113.200 255.255.255.255 198.51.100.100 –protocol IPSEC –ipsecProfileName NS_Fortinet_IPSec_Profile Done > add pbr NS_Fortinet_Pbr -srcIP 10.102.147.0-10.102.147.255 –destIP 10.20.0.0-10.20.255.255 –ipTunnel NS_Fortinet_Tunnel Done > apply pbrs Done
CloudBridge Connectorトンネルの監視
CloudBridge Connectorのトンネル統計カウンタを使用して、Citrix ADCアプライアンス上のCloudBridge Connectorトンネルのパフォーマンスを監視できます。Citrix ADCアプライアンスでのCloudBridge Connector トンネル統計の表示の詳細については、「CloudBridge Connector トンネルの監視」を参照してください。