Fortigate

FortigateでIPSec VPNの設定

更新日:

IPsec用のアドレス追加

では、実際にFortigateを使って社員が自宅など外部のPCからVPNで、会社のサーバにアクセスできるように設定をします。

まず、会社のIPSec-VPN用のアドレスを作成します。

① 「ファイアウォール」→「アドレス」→「アドレス」を選択します。

② 「Create New」ボタンをクリックします。

③ 任意のアドレス名を入力します。ここでは、「IPSec-VPN」としておきます。

④ タイプは「サブネット/IP範囲指定」を選択します。

⑤ 「サブネット/IP指定」にVPNで使用するFortigateのアドレス範囲を指定します。ここでは、「192.168.1.0/24」を指定します。

⑥ インタフェースは「Any」を選択します。

⑦ 「OK」ボタンを押せば、会社のIPSec-VPN用アドレスが作成されます。

Fortigate側のIPSec VPNトンネルの設定

AutoIKEを使って、社員PCと会社のサーバのIPSec-VPNを確立します。

① 「VPN」→「IPSec」→「自動鍵(IKE)」を選択します。

② 「フェイズ1を作成」ボタンをクリックします。

③ 名前を決めます(任意)。ここでは、「IPSec_Phase1」としておきます。

④  リモートゲートウェイは、「ダイアルアップユーザ」を選択します。

⑤ IPアドレスは、グローバル固定IPアドレスを利用する場合は、グローバル固定IPを(例:210.147.147.55)、ダイナミックDNSを利用する場合は、ダイナミックDNS名(例:winroad.ddo.jp)を入力します。

⑥ ローカルインタフェースは「Wan1」を選択します。

⑦ モードは「アグレッシブ」を選択します。

⑧ 認証方法は「事前共有鍵」を選択しします。

⑨ 6文字以上の文字列を入力します。

この文字列は、クライアント側の設定をするときに必要ですので、忘れずにメモっておいて下さい。尚、第三者には絶対に見られないようにして下さい。

⑩ あらゆるピアIDを受け入れるにチェックを入れます。

⑪ 「特別オプション」をクリックします。

⑫ 「XAUTH」の「クライアントを有効にする」にチェックを入れます。

⑬ 「ユーザー名」と「パスワード」を入力します。

⑭ 「OK」ボタンをクリックすれば、Phase1が作成されます。

次にIPSec Phase 2を作成します。

① 「VPN」→「IPSec」→「自動鍵(IKE)」を選択します。

② 「フェイズ2を作成」ボタンをクリックします。

③ 名前は任意で指定してします。ここでは、「IPSec_phase2」としておきます。

④ フェイズ1には先ほど作成した名前を指定します。ここでは、「IPSec_Phase1」を選択します。

⑤ 「特別オプション」をクリックします。

⑥ 「リプレイ検知を有効にする」にチェックを入れます。

⑦ 「PFSを有効にする」にチェックを入れます。

⑧ 「DHグループ」は5を選択します。

⑨ 「鍵の有効時間」を決めます。

⑩ 「自動キーアライブ」の有効にチェックを入れます。

⑪ 「DHCP-IPSec」の有効にチェックを入れます。

⑫ 「OK」をクリックします。

VPNトンネルのためのファイアウォールポリシーの設定

VPNトンネルのための専用のファイアウォールポリシーを設定します。

① 「ファイアウォール」→「ポリシー」→「ポリシー」を選択します。

② 「Create New」ボタンをクリックします。

③ 送信元インタフェースは「internal」を選択します。

④ 送信元アドレスは先「all」を選択します。

⑤ 宛先インタフェースは「Wan1」を選択します。

⑥ 宛先アドレスは、先ほど作成したアドレス(ここでは、IPSec_VPN)を選択します。

⑦ スケジュールは「always」、サービスは、「ANY」、アクションは「IPSEC」を選択します。

⑧ VPNトンネルは、作成した「IPSec_phase1」を選択します。

⑨ 「OK」ボタンをクリックします。

これで会社側の設定は終了です。次にクライアント(社員)側のPCにFortiClientをインストールして、設定をすれば、FortigateでIPSecVPNを使った通信が構築できます。

-Fortigate
-

Copyright© WinRoad徒然草 , 2018 All Rights Reserved Powered by AFFINGER5.