WatchGuard

Google CloudのCloudVPN(HA)構成で接続してみる

midnight480
以前検証した GCPとWatchGuard製FireBoxのVPN接続 の続編記録です。 背景 前回の記事にも掲載しましたが、Google CloudからVPNについて案内が来ています。 件名:[ご対応のお願い] 2021 年 10 月までに Classic VPN から高可用性 VPN に移行してください 本文: (一部抜粋) サポートを終了する次の Classic VPN 構成を使用した新しいトンネルは 2021 年 10 月以降は作成できなくなります。 また、これらの構成を使用している既存のトンネルはサポート対象外となります。 すでにインストールして使用しているトンネルは、引き続き正常に動作します。 ・ トンネルの接続先のゲートウェイに関係なく、動的ルーティング(Cloud Router)を使用するすべての Classic VPN トンネル。 ・ 使用するルーティング方法に関係なく、2 つの GCP Classic VPN ゲートウェイを相互接続する Classic VPN トンネル。 ・ 静的ルーティングを使用して GCP Classic VPN ゲートウェイを他のクラウド プロバイダのネットワークに接続する Classic VPN トンネル。 この変更に向けた準備をお手伝いできるよう、このメールをネットワーク エンジニアやサイト信頼性エンジニア(SRE)にご転送ください。 https://cloud.google.com/network-connectivity/docs/vpn/how-to/moving-to-ha-vpn CloudVPNとは?など疑問がある方は、次のブログを拝見するとよいです。 GCP の細かすぎて伝わらないハイブリッドネットワーキング CloudVPN(HA)については、公式ドキュメントでトポロジーについて次の通りに記載されています。 1 台の HA VPN ゲートウェイと 2 台の別々のピア VPN デバイスを接続し、各ピアデバイスが個別の外部 IP アドレスを持つ。 1 台の HA VPN ゲートウェイと 1 台のピア VPN デバイスを接続し、ピアデバイスが 2 つの外部 IP アドレスを持つ。 1 台の HA VPN ゲートウェイと 1 台のピア VPN デバイスを接続し、ピアデバイスが 1 つの外部 IP アドレスを持つ。 https://cloud.

GCPとWatchGuard製FireBoxのVPN接続

midnight480
背景 以前、 AWSとWatchGuard製FireBoxのVPN接続 という形で記事を記載しましたが、 今回は別記事のため、切り出して記事を作成します。 前回は、静的ルーティングでしたが、今回は動的ルーティングのBGPで設定しています。 クラウドとの接続は一般的にBGPで設定するケースが多いと思います。 WatchGuard社から公式にAWSとの接続例は日本語化されたドキュメントがありますが、 Google Cloudはまだローカライズされたドキュメントはないようです。 というところで、日本語でGoogle Cloudとの接続を行いました。 参考: Google Cloud BOVPN Integration Guide Google Cloud BOVPN Virtual Interface Integration Guide 設定 VPC ネットワーク MTUもデフォルトで1460に設定されています。 CloudVPN VPN作成 注意事項 10月15日(木) にGoogleから2021年10月以降のVPNについて通知が来ました。 件名:[ご対応のお願い] 2021 年 10 月までに Classic VPN から高可用性 VPN に移行してください 本文: (一部抜粋) サポートを終了する次の Classic VPN 構成を使用した新しいトンネルは 2021 年 10 月以降は作成できなくなります。 また、これらの構成を使用している既存のトンネルはサポート対象外となります。 すでにインストールして使用しているトンネルは、引き続き正常に動作します。 ・ トンネルの接続先のゲートウェイに関係なく、動的ルーティング(Cloud Router)を使用するすべての Classic VPN トンネル。 ・ 使用するルーティング方法に関係なく、2 つの GCP Classic VPN ゲートウェイを相互接続する Classic VPN トンネル。 ・ 静的ルーティングを使用して GCP Classic VPN ゲートウェイを他のクラウド プロバイダのネットワークに接続する Classic VPN トンネル。 この変更に向けた準備をお手伝いできるよう、このメールをネットワーク エンジニアやサイト信頼性エンジニア(SRE)にご転送ください。 WatchGuard BO仮想インターフェース設定 注意事項 WatchGuardは標準では、VPNの設定がセッションベースとなっていて、

AWSとWatchGuard製FireBoxのVPN接続

midnight480
実験してみたので、まとめてみる。 ただUTM装置が障害のAWSとの接続の単一障害点となることを懸念する場合は、 CiscoやYAMAHAといったRouter製品で行うのがベスト。 また、WatchGuardから提供される無償の可視化ツール Dimention は別途まとめる。 概要 AWSについては、既に色々な方が触れているので説明は省略。 WatchGuardのFireBoxを初めて見る方に向けた説明を前半に、 実際にAWSとVPN接続を行う部分は後半に記載。 WatchGuardとは Fortinet社やPalo Alto社と同様にネットワークセキュリティ装置のベンダー。 また、最近ではエンドポイントセキュリティから、他要素認証まで幅広くサービスを提供。 製品のFireBoxという名前は「Firewall in Box」から。 ■日本法人の公式サイト https://www.watchguard.co.jp/ UTMとは 統合脅威管理(Unified Threat Management)の略称。 一般的に下記の機能を搭載。 ファイアウォール(Fire Wall) IDS(Intrusion Detection System):不正侵入検知 IPS(Intrusion Prevention System):不正侵入防止 アンチウィルス アンチスパム Webフィルタリング その他、各ベンダー(とのライセンス契約)によって、提供されるサービスが異なる。 WatchGuardの場合、通常トータルセキュリティを1年、あるいは3年という契約期間を提供。 検証に利用したFireBoxは下記の利用状況。 利用するソフトウェア Fireware OS v12.4.B589964 WatchGuard System Manager release 12.4.0(B591532) WSMは、Windowsのみなので、macOS対応版も欲しいところ… 必要な場合は下記から無償・登録不要でダウンロード可能。 Software for Firebox T15 VPN接続実験環境 利用製品 FireBoxシリーズの中で最小モデル、無線LAN機能がある FireBox T-15-Wを利用。 全体構成 とりあえず作ったVPCにFireBoxからAWSにVPN接続。 AWS側準備 VPC作成 とりあえず、10.200.0.0/16と適当なCIDRで作成。 Customer Gateway作成 自身のグローバルIP(=FireBoxのExternalに付与しているIP)を入力。 Private Gateway作成 BGPなどで経路情報を識別するためのASN(Autonomous System Number)も設定上不要なため、適当。