×

警告メッセージ

  • Cisco Support Forums is in Read Only mode while the site is being migrated.
  • Cisco Support Forums is in Read Only mode while the site is being migrated.

FTD 6.2 - 拠点間 VPNの設定例とトラブルシューティング方法(IKEv1/Pre-shared key)

ドキュメント

2017/04/11 - 00:17
3月 27th, 2017
User Badges:
  • Cisco Employee,



1. はじめに

Firepower Threat Defense (FTD)  の拠点間 VPN の設定例およびトラブルシューティング方法を紹介します。本資料の作成で使用した検証環境では、リモートピアに IOS ルータを利用しています。FTDv、FMCv、Cisco IOS のバージョンの組み合わせは以下となります。

Cisco IOS 15.4(3)M7
FTD Cisco Firepower Threat Defense for VMWare 6.2.0 
FMC Cisco Firepower Management Center for VMWare 6.2.0


2. Site-to-site VPN の動作条件

    Table 4 New Features for Version 6.2.0: Firepower Threat Defense and Threat
     6.2 からピア認証に証明書がサポートされています。

  • Smart License (Strong Crypto) が有効になるまで、FMC から DES 以上のアルゴリズムを設定することが出来ません。事前に Smart License を有効化してください。

Evaluation ライセンスのまま設定を開始するとエラーになります。


3. 構成図と IKE /IPsec関連パラメータ

3.1. 構成図

以下のように簡略化した 2 拠点間の VPN を想定します。


3.2. IKE/IPsec のパラメータ

次のパラメータを選定しています。

IKEv1 IPsec
Encryption Algorithm aes256 Security Protocol ESP
Hash sha Encryption Algorithm aes
Authentication  pre-shared key Authentication Algorithm hmac-sha
Diffie-Hellman (DH) group 5 Diffie-Hellman (DH) Group (PFS) 5
IKE SA lifetime 86400 Mode Tunnel Mode
Keepalive (DPD) Enable IPsec SA lifetime 3600


3.2. Cisco IOS の設定

Cisco IOS の設定から関連設定を抽出した出力になります。

crypto keyring FTD
pre-shared-key address 198.51.100.10 key xxxxxxxx
!--- Pre-shared key を FTD という keyring (Repository) で定義。

crypto isakmp policy 1
encr aes 256
authentication pre-share
group 5

!--- IKEv1(Isakmp) ポリシー。
!--- IOS では Hash SHA と IKE SA lifetime 86400 はデフォルト値となり表示されない。

crypto isakmp keepalive 10 periodic
!--- 比較のため Keepalive の設定を FTD と一致させている(retry 2 はデフォルトのため表示されない)。
!--- 必ず
一致させる必要はない。

crypto isakmp profile IKE

keyring FTD
match identity address 198.51.100.10 255.255.255.255
local-address 203.0.113.10
!--- IKE という IKEv1 (ISAKMP) Profile を作成。
!--- Keyring や対象拠点を定義。

crypto ipsec transform-set TS esp-aes esp-sha-hmac
mode tunnel
!--- IPsec パラメータを定義。

crypto map ToFTD 1 ipsec-isakmp
set peer 198.51.100.10
set transform-set TS
set pfs group5
set isakmp-profile IKE
match address 100
!--- Crypto map を定義。

interface GigabitEthernet0/1
ip address 203.0.113.10 255.255.255.0
duplex auto
speed auto
crypto map ToFTD
!--- Crypto map を VPN 終端インターフェースに適用。

access-list 100 permit ip 192.168.100.0 0.0.0.255 172.16.100.0 0.0.0.255
!--- Traffic selector (crypto acl) を定義。

 

3.3. FTD の設定

設定完了後の FTD から関連パラメータを抜粋したものです。FMC からの設定方法は後述します。

interface GigabitEthernet0/0
description outside interface
nameif outside
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
security-level 0
ip address 198.51.100.10 255.255.255.0
!--- VPN 終端インターフェース。

object network Remote-LAN
subnet 192.168.100.0 255.255.255.0
object network FTD-LAN
subnet 172.16.100.0 255.255.255.0
!--- Traffic selector や ACP 設定用に Object network で Protected Network を定義。

access-list CSM_FW_ACL_ remark rule-id 268434434: ACCESS POLICY: test policy - Mandatory/1

access-list CSM_FW_ACL_ remark rule-id 268434434: L7 RULE: PermitVPN-In
access-list CSM_FW_ACL_ advanced permit ip ifc outside object Remote-LAN ifc inside object FTD-LAN rule-id 268434434
access-list CSM_FW_ACL_ remark rule-id 268434435: ACCESS POLICY: test policy - Mandatory/2

access-list CSM_FW_ACL_ remark rule-id 268434435: L7 RULE: PermitVPN-Out
access-list CSM_FW_ACL_ advanced permit ip ifc inside object FTD-LAN ifc outside object Remote-LAN rule-id 268434435
!--- VPN対象通信を明示的に許可(当該 APC の Default Rule は deny ip any any)。

access-list CSM_IPSEC_ACL_1 extended permit ip 172.16.100.0 255.255.255.0 192.168.100.0 255.255.255.0
!--- Traffic selector を定義。
!--- FMC GUI では Object Network 名で選択。

nat (inside,outside) source static FTD-LAN FTD-LAN destination static Remote-LAN Remote-LAN route-lookup
nat (inside,outside) source dynamic FTD-LAN interface
!--- 4.7 の NAT Exemption 設定時のみ。

crypto ipsec ikev1 transform-set CSM_TS_1 esp-aes esp-sha-hmac

!--- IPsec の transform-set を定義。

crypto ipsec security-association pmtu-aging infinite
!--- Tunnel MTU のエージング時間(default はリセット無し) 。

crypto map CSM_outside_map 1 match address CSM_IPSEC_ACL_1
crypto map CSM_outside_map 1 set pfs group5
crypto map CSM_outside_map 1 set peer 203.0.113.10
crypto map CSM_outside_map 1 set ikev1 transform-set CSM_TS_1
crypto map CSM_outside_map 1 set security-association lifetime seconds 3600

crypto map CSM_outside_map interface outside
!--- Crypto map を定義して outside インターフェースに適用。

crypto isakmp identity address
crypto ikev1 enable outside
!--- IKEv1 を outisde インターフェースに適用

crypto ikev1 policy 5
authentication pre-share
encryption aes-256
hash sha
group 5
lifetime 86400
!--- IKEv1(Isakmp) ポリシーを定義。

tunnel-group 203.0.113.10 type ipsec-l2l
tunnel-group 203.0.113.10 ipsec-attributes
ikev1 pre-shared-key *****
!--- Tunnel Group から認証(Pre-shared-key)の定義。

!--- Keepalive も Tunnel Group で設定するが今回はデフォルト値を使用のため表示されていない。


4. FMC からの設定

FMC を使用した設定手順を紹介します。

4.1. Traffic Selector の定義

FMC の Objects > Object Management から、VPN対象通信となる FTD のローカルセグメントと、リモートピア(IOS) のローカルセグメントを指定した Network Object を作成します。


4.2. Endpoints の追加

Devices > VPN  から + Add VPN を選択して Firepower Threat Defense Device をクリックします。

Create New VPN Topology から、Point to Point を選択して、IKEv1 にチェックを入れます。次に Node A の右側の + ボタンをクリックします。

Node A の Device から FMC に登録された FTD を選択します。Connection Type は FTD が IKE のイニシエータ、レスポンダの両方になり得るかぎり必ず Bidirectional を指定します。また Protected Networks の + ボタンから 4.1 で作成した Network Object (FTD 側) を選択します。

Node B にリモートピアの情報を入力します。Device から Extranet を選択して、任意の Device Name を入力します。IP Address にはリモートピアのアドレスを入力します。また Protected Networks の + ボタンをクリックして 4.1 で作成した Network Object (IOS 側) を選択します。

4.3. IKE ポリシーの追加

IKE タブから、IKEv1 ポリシーを設定します。既存のポリシーの組み合わせはプルダウンから選択可能です。必要なポリシーの組み合わせがないときには、Policy 右の + をクリックするか、Objects > Object Management > VPN > IKEv1 Policy から新規の IKEv1 Policy を定義します。今回は 3.2 のパラメータに沿って、preshared_sha_aes256_dh5_5 を選択しています。

 

4.4. IPsec ポリシーの追加

IPsec タブから、IPsec ポリシー(transform-set) を定義します。今回使用するパラメータはデフォルトで存在しないので、新規で aes(= aes128)、Sha の組み合わせを作成します。


作成した ポリシー を IPsec タブの Transform Sets から選択します。3.1 のパラメータに沿って Enable Perfect Forward Secrecy (PFS) は Modulus Group (DH) 5、IPsec SA の Lifetime は 3600 を指定します。

Lifetime Size の 4608000 は IOS ルータのデフォルト値と同じです。特に理由がなければ FTD と IOS で設定は合わせるようにします(通常、ネゴシエーションを通じて小さいほうが使用されます)。また Lifetime Size を空欄にすると Unlimited になり、無効化することも出来ます。


4.5. Advanced 設定

Advanced > IKE メニューで、IKE Keepalive はデフォルトで有効になっているので、今回はそのままの設定を使用します。両方のピア同士で設定を一致させるかどうかは要件に応じて検討します。Keepalive が有効であることは IKE で DPD Vendor ID を通じてピアに通知しますが、それぞれの送出タイミング、間隔、再送の設定は、デバイス毎に設定値に沿って動作させることができます。

Identity Sent to Peers では、FTD がリモートピアに送信する  IKE の ID Payload を指定します。Pre-shared key 認証では "autoOrDN" であれば IP アドレスが ID として使用されるので、そのまま autoOrDN を使用します。

Peer Identity Validation は Pre-shared key 認証では使用しないので変更不要です。


4.6. VPN 通信の明示的な許可

ASA ではデフォルトで VPN 対象通信が ACL からバイパスされていましたが(sysopt connection permit-vpn)、FTD では明示的な許可設定が必要になります。Access Control Policy を編集して ACL を作成します。基本的に Traffic selector の定義で使用した Network Objects の組み合わせと同じエントリを双方向でそれぞれ作成します。

Inbound


Outbound