sidetech

インフラエンジニアの寄り道メモ。

Ubiquiti EdgeRouterXのIPSecVPNでCatoネットワークに繋ぐ!

昨日ようやく年末からの悩みの仮想環境とストレージの悩みが1つ解決しました。ようやく次に進める・・・。

さて、前回はCato NetworksでSASEしてやるよ・・・の軽い触れ込みをしましたが、とりま1つづつ料理していきましょう。

まずは、推奨は特にしないけどこんな事も出来るということで、Catoから用意されているエッジルーターのX1500やX1700を使って・・・ではなく、汎用的にIPSecにも対応しているということで、こちらは直ぐに試せるので試してみました。

f:id:hunter1014:20210205001028p:plain

(Azureでも既につないだんだけど、維持の関係で今は眠ってもらっています)

Ubiquiti EdgeRouterXではIPSec IKEv1,IKEv2どちらも行けますが、他で使った設定の残骸があったので(Azureに使っていた)、それをそのまま流用しました。なのでAzureへのIPSecVPNと同じように出来る感じです。IPSecをコマンドでやっていた方なら何も悩まず繋がります。Re-keyも問題なさげです。

その後、じゃぁCatoの網内へのルーティングをどうしようかなと。クラスA,B,Cだけならルーティングは簡単なんです。でも、今回はVPNを抜けてCatoの網に入ってからインターネットに抜けたいのです。
EdgeRouterXだと、おそらくポリシーベースルーティングをやらんとなのかな?と思ったんですが、ちょっと面倒だったので、直にMS系のグローバルIPの範囲をごそっと書いて手抜きしました。あ、SASE的には全部一回網に通信飛ばしてくださいね。以下は検証ですから、実際は悪い例です(笑)

f:id:hunter1014:20210205001657p:plain

いあ、単に0.0.0.0/0をvti1に振る(通信をVPNに全部流す)という方法が直ぐにわからなかっただけなんですけど。。。(^^;今はそこじゃないので後で調べておきます。

f:id:hunter1014:20210205001813p:plain

自宅は「au光」なんで、ISPau oneと出ましたね。契約しているのはau直じゃないけど。。。
で、上記の通りルート情報をぶっこんで、試したところ・・・

f:id:hunter1014:20210205001920p:plain

判定不可になりましたが、IPを調べたらCato Networksと調べることが出来ました。
まだ、網内のルーティングがどうのとか弄っていないのですが、まぁさほど何もしなくてもここまで出来ちゃうんですね。

f:id:hunter1014:20210205002125p:plain

コンフィグ設定は、上記の様に、IPアロケーションという部分で、接続したいポイント(PoP)を選ぶとグローバルIPが自動採番されます。
帯域は検証なので適当にと思ったのですが、どのみち我が家の回線は40M程度しか出ないのでその付近にしました。今後、この設定帯域を絞ってみてどうなるか見てみようと思います。

f:id:hunter1014:20210205002347p:plain

SHA1使っているの?というツッコミは置いといて、入れるパラメータはこんなもんです。コマンド叩くより楽ですね。

f:id:hunter1014:20210205002445p:plain

IPSecってネゴシエーションで上手くいかないと、色々なログみてチェックするのですが、CatoのGUI上からコネクションステータスの確認が出来ます。これは親切ですね。
今回、BGP使っていませんが、BGPも書けるっぽいです。

という所で、VPN張れちゃったし通信出来ちゃったので終わりっす。。。。

じゃ、ツマラナイので、CatoのGUIにある「Analytics」を少しご紹介。

f:id:hunter1014:20210205002758p:plain

先ほどは設定時に帯域を決めましたが、それ以外にスループットの表示をしてくれます。どれだけ忙しいか分かりやすいかもですね。ただ、IPSecVPN接続時は、パケットロスとかの値は表示されないみたいです。

f:id:hunter1014:20210205003037p:plain

これはドメイン単位で何にどれだけトランスファーしたかが見られます。まさかの検証中に家族がNetflixを見ているという…。MS系のGIPを適当に/8で区切ったらNetflixが巻き込まれたようだ。

f:id:hunter1014:20210205003312p:plain

あとは、カテゴリー別にみられたり・・・

f:id:hunter1014:20210205003354p:plain

つうかNetflix帯域使いすぎちゃう?!(^^;Youtubeで対抗してみようと思ったんだけど、全然勝てなかった(笑)

とまぁ、こんな感じで、ドメイン・アプリケーション・カテゴリで見方を変えられる感じですね。後々の制御でも活躍してもらいましょう。
確か、QoSIPSecでは出来ないと思ったので、どーしようかなぁ。

この製品はSASEなヤツということで、ぶっちゃけIPSecVPN張るのはオマケみたいなものです。なので、X1500とかはもっと接続が簡単らしいです・・・よ。
ちゃんとやるべき所は、ネットワークルールだったり、アクセスポリシーだったり、セキュリティをどのようにコントロールするかという所で集約メリットを出している部分がSASEなので、早い所、網接続のパートは終えて次行きたいですね。

という所で週末は庭仕事しながらコツコツ進めまする。
やりたい事多いけど眠い・・・。