Palo AltoとのVPN Site-to-Site設定

前提条件

開始前に以下の条件が満たされていることを確認してください。

• FPT Cloud PortalでVPN Site-to-Siteサービスが設定済みであること。
• お客様側にPalo Altoファイアウォールがインストールされ、有効化されていること。
• Palo Altoファイアウォールに3つのIPアドレスが設定されていること: Management（パブリックIP）、WAN（パブリックIP）、LAN。

ステップ1: FPT Cloud PortalでVPN Site-to-Siteを設定する

https://console.fptcloud.com/ にアクセスしてVPN Site-to-Siteを作成します。

Customer Gatewayを作成する:

• Remote private network: Palo AltoとピアリングするLANサブネット範囲
• Remote IP public: Palo AltoファイアウォールのパブリックIPアドレス

VPN Connectionを作成する:

VPN connectionには3つの主要セクションがあります。

• General Information — 基本的な接続情報
• Remote VPN Information — 暗号化設定およびお客様側設定
• Dead Peer Detection — 自動リトライ設定

セクション1: General Information

注記

Pre-shared key の値を保存しておいてください — Palo Altoを設定する際に必要になります。

セクション2: Remote VPN Information

プロバイダーとして Palo Alto を選択すると、IKEおよびIPsec設定が自動入力されます。

IKE:

パラメーター	値
Encryption algorithm	aes-256
Authorization algorithm	sha256
IKE version	ikev2
Lifetime units	seconds
Lifetime value	28800
DH Group	GROUP_14
Phase 1 negotiation mode	main

IPsec:

パラメーター	値
Encapsulation mode	tunnel
Encryption algorithm	aes-256
Authorization algorithm	sha256
Lifetime units	seconds
Lifetime value	3600
Perfect Forward Secrecy (PFS)	GROUP_14
Transform protocol	esp

セクション3: Dead Peer Detection

Delay と Max failure の値を入力し、Create VPN Connection をクリックします。

ステップ2: Palo AltoでIPsecを設定する

1. Management IPからPalo Altoにログインします。

2. Add をクリックしてPalo Alto Zoneを有効化します。

3. Virtual Routerを作成して OK をクリックします。

4. WANおよびLANインターフェースを作成します（例: ethernet1/1とethernet1/2）。

5. IKE Cryptoプロファイルを作成します。

6. IPSec Cryptoプロファイルを作成します。

7. IPsec Tunnels に移動します。

   • General タブで、ステップ1のFPT Cloud IP（例: 103.176.147.48）をPeer Addressとして入力します。

• Advanced Options タブで必要な情報を入力します。

• GlobalProtect IPSecエントリを作成します。

8. IPSec Tunnelsを作成します。

ステップ3: Palo Altoのファイアウォールとルーティングを設定する

1. ファイアウォールポリシーを開きます。

ご利用環境のルールに従ってソースと宛先を設定してください。

2. 2つのサブネット間のルーティングを設定します（例: 30.30.30.0/24 と 80.80.80.0/24）。実際のソースおよび宛先ネットワークに合わせて調整してください。

ターミナルを開いて ping を使用してネットワーク接続をテストできます。