昨日ようやく年末からの悩みの仮想環境とストレージの悩みが1つ解決しました。ようやく次に進める・・・。
さて、前回はCato NetworksでSASEしてやるよ・・・の軽い触れ込みをしましたが、とりま1つづつ料理していきましょう。
まずは、推奨は特にしないけどこんな事も出来るということで、Catoから用意されているエッジルーターのX1500やX1700を使って・・・ではなく、汎用的にIPSecにも対応しているということで、こちらは直ぐに試せるので試してみました。
(Azureでも既につないだんだけど、維持の関係で今は眠ってもらっています)
Ubiquiti EdgeRouterXではIPSec IKEv1,IKEv2どちらも行けますが、他で使った設定の残骸があったので(Azureに使っていた)、それをそのまま流用しました。なのでAzureへのIPSecVPNと同じように出来る感じです。IPSecをコマンドでやっていた方なら何も悩まず繋がります。Re-keyも問題なさげです。
その後、じゃぁCatoの網内へのルーティングをどうしようかなと。クラスA,B,Cだけならルーティングは簡単なんです。でも、今回はVPNを抜けてCatoの網に入ってからインターネットに抜けたいのです。
EdgeRouterXだと、おそらくポリシーベースルーティングをやらんとなのかな?と思ったんですが、ちょっと面倒だったので、直にMS系のグローバルIPの範囲をごそっと書いて手抜きしました。あ、SASE的には全部一回網に通信飛ばしてくださいね。以下は検証ですから、実際は悪い例です(笑)
いあ、単に0.0.0.0/0をvti1に振る(通信をVPNに全部流す)という方法が直ぐにわからなかっただけなんですけど。。。(^^;今はそこじゃないので後で調べておきます。
自宅は「au光」なんで、ISPはau oneと出ましたね。契約しているのはau直じゃないけど。。。
で、上記の通りルート情報をぶっこんで、試したところ・・・
判定不可になりましたが、IPを調べたらCato Networksと調べることが出来ました。
まだ、網内のルーティングがどうのとか弄っていないのですが、まぁさほど何もしなくてもここまで出来ちゃうんですね。
コンフィグ設定は、上記の様に、IPアロケーションという部分で、接続したいポイント(PoP)を選ぶとグローバルIPが自動採番されます。
帯域は検証なので適当にと思ったのですが、どのみち我が家の回線は40M程度しか出ないのでその付近にしました。今後、この設定帯域を絞ってみてどうなるか見てみようと思います。
SHA1使っているの?というツッコミは置いといて、入れるパラメータはこんなもんです。コマンド叩くより楽ですね。
IPSecってネゴシエーションで上手くいかないと、色々なログみてチェックするのですが、CatoのGUI上からコネクションステータスの確認が出来ます。これは親切ですね。
今回、BGP使っていませんが、BGPも書けるっぽいです。
という所で、VPN張れちゃったし通信出来ちゃったので終わりっす。。。。
じゃ、ツマラナイので、CatoのGUIにある「Analytics」を少しご紹介。
先ほどは設定時に帯域を決めましたが、それ以外にスループットの表示をしてくれます。どれだけ忙しいか分かりやすいかもですね。ただ、IPSecVPN接続時は、パケットロスとかの値は表示されないみたいです。
これはドメイン単位で何にどれだけトランスファーしたかが見られます。まさかの検証中に家族がNetflixを見ているという…。MS系のGIPを適当に/8で区切ったらNetflixが巻き込まれたようだ。
あとは、カテゴリー別にみられたり・・・
つうかNetflix帯域使いすぎちゃう?!(^^;Youtubeで対抗してみようと思ったんだけど、全然勝てなかった(笑)
とまぁ、こんな感じで、ドメイン・アプリケーション・カテゴリで見方を変えられる感じですね。後々の制御でも活躍してもらいましょう。
確か、QoSはIPSecでは出来ないと思ったので、どーしようかなぁ。
この製品はSASEなヤツということで、ぶっちゃけIPSecVPN張るのはオマケみたいなものです。なので、X1500とかはもっと接続が簡単らしいです・・・よ。
ちゃんとやるべき所は、ネットワークルールだったり、アクセスポリシーだったり、セキュリティをどのようにコントロールするかという所で集約メリットを出している部分がSASEなので、早い所、網接続のパートは終えて次行きたいですね。
という所で週末は庭仕事しながらコツコツ進めまする。
やりたい事多いけど眠い・・・。
