CheckPoint R8120の接続
このガイドでは、FPT Smart CloudのVPN Site-to-SiteサービスにVPN S2S接続するルーターデバイスの構築方法を説明します。
- ステップ1: クラウド向けCheckPointの構築
- ステップ2: VPN Site-to-Siteの設定
- ステップ3: CheckPointの設定
- ステップ4: デバッグ — Tracert
事前に以下の条件を満たしていることを確認してください。
- ポータル上でVPN Site-to-Siteが設定済みであること
- Check_Point_R82.10_T462_Gaia という名前のイメージからダウンロードおよびブートされたCheckPoint R81.20
- CheckPoint R81.20と統合されたSmartConsole バージョンR81.20
- パブリックIP(簡略化のためFloating IPを使用せず、VMに直接割り当て)
- デバッグ用のPfSense VM(任意)
ステップ1: クラウド向けCheckPointの構築
- Horizonで2C4G構成、パブリックIP直結1つ、VPN用ローカルネットワークIP1つでイメージからVMを構築します。
以下のコマンドを実行してイメージからVMをブートします。
Openstackコマンド
Copyopenstack volume create --type Premium-SSD --image Check_Point_R82.10_T462_Gaia --size 20 --bootable DISK-CD -- Output ID {`DISK-CD`}
Openstackコマンド
Copyopenstack volume create --type Premium-SSD --size 100 --bootable DISK-OS-- Output ID {`DISK-OS`}
Openstackコマンド
Copyopenstack network list
--output ID {'IP PUBLIC'}
Openstackコマンド
Copynova boot --availability-zone nova --flavor 2C4G --nic net-id={`IP PUBLIC`} --block-device id=`DISK-OS`},source=volume,dest=volume,bus=virtio,device=/dev/vda,shutdown=preserve,bootindex=0 --block-device id= {`DISK-CD`},source=volume,dest=volume,bus=ide,device=/dev/hda,type=cdrom,bootindex=1 CheckpointServer
- NoVNCでVMをブートするには、以下の手順に従ってください。
- Install Gaia on this system を選択します。
- OK を選択します。
— Keyboard Selectionで US → OK を選択します。
— OK を選択します。 (カスタム設定を入力するか、デフォルト値を使用できます。)
— VMコンソールのログインパスワードを入力します。
- SmartConsoleのパスワードを入力します。
— このセクションの冒頭で直接割り当てたパブリックIPとNetmask「255.255.255.255」を入力し、OK を選択します。
— インストールが完了します。
ステップ2: VPN Site-to-Siteの設定
https://console.fptcloud.com/ にアクセスしてVPN Site-to-Site接続を作成します。
- Customer Gatewayを作成します。 - Remote private network: CheckPointのLANサブネットの範囲 - Remote IP public: CheckPointのパブリックIP
- VPN Connectionを作成します。
VPN Connectionのパラメーターは3つの主要セクションで構成されます。
- General information(接続の基本情報)
- Remote VPN Information(暗号化設定およびお客様側情報)
- Dead Peer Detection(接続問題発生時の自動リトライ回数)
セクション1: General information
Pre-shared key の値を記録しておいてください — CheckPointの設定時に必要です。
セクション2: Remote VPN information
Providers = "others" を選択し、以下の手順に従ってください。
- ステップ1: providers name = "checkpoint" を入力します。
- ステップ2: IKEおよびIPSecの設定を以下のとおり入力します。
IKEの設定:
- Authorization algorithm: sha256
- Encryption algorithm: aes 256
- IKE version: ikev2
- DH group: group14
- Lifetime: 3600 seconds
- Phase 1 negotiation mode: main
IPSecの設定:
- Authorization algorithm: sha256
- Encryption algorithm: aes 256
- Encapsulation mode: tunnel
- Transform protocol: esp
- Perfect Forward Secrecy (PFS): group14
- Lifetime: 3600 seconds
セクション3: Dead Peer Detection
DelayとMax failureの値を入力し、Create VPN Connection を選択します。
ステップ3: CheckPointの設定
- 上記で作成したアカウントを使用してCheckPoint VMのVNCコンソールにサインインし、「Cpstart」コマンドを実行します。
- https://{
IP} のWebインターフェースにアクセスし、ページが推奨するリンクとバージョンでSmartConsoleをダウンロードします。 - 提供された認証情報でSmartConsoleアプリをインストールしてサインインします。 注意: SmartConsoleにアクセスするには有効なライセンスが必要です。 ログイン成功後の画面:
— LANネットワークを作成します。
— VPN Site-to-SiteのパブリックIPでInteroperable Deviceを作成するには: New → More → Network Object → More → Interoperable Device を選択します。
Name、IPv4 Addressを入力し、OK を選択します。
— VPN Star Communityを作成するには:
New → More → VPN Community → Star Community を選択します。
— 以下の設定で構成します。
- Center Gateway に上記で作成したCheckPointを選択します。
- Satellite Gateway にInteroperable Deviceを選択します。
- VPN Domain に対応するLAN/ローカルおよびRemote/ピアのネットワーク範囲を選択します。
- FPT Smart Cloudポータルで選択した設定に合わせてEncryptionを設定します。例:
— VPN Communityの作成後、Interoperable Devicesに戻って更新します。
— VPN Communication Meshedに戻り、VPN Site-to-Siteポータルで作成した Pre-Shared Key を使用します。
- 「Publish」 を選択してCheckPointにVPN Communityを作成します。
— 2つのサブネット間および2つのゲートウェイIP間の双方向通信を許可するファイアウォールを設定し、「Publish」 を選択します。
- 最後に、CheckPoint内部ネットワークのルートを設定します(VPN Site-to-Side側はすでに設定済みです)。
CheckPoint Gaia OSでは、set static-route コマンドを使用してルートを追加できます。構文と例:
Openstackコマンド
Copyset static-route <destination-network> nexthop gateway address <gateway-ip> on
例: ネットワーク 192.168.1.0/24 へのトラフィックをゲートウェイ 10.0.0.1 経由でルーティングする場合:
Openstackコマンド
Copyset static-route 192.168.1.0/24 nexthop gateway address 10.0.0.1 on
ルートを追加したら、以下のコマンドを実行して設定を保存します。
Openstackコマンド
Copysave config
ステップ4: デバッグ — Tracert
- ネットワーク内のマシンから両側にpingを実行します。疎通が確認できれば設定は完了です。