close

Enter

Log in using OpenID

OS5.0 ルーティングベース IPSec-VPN 手順書 Ver. 1.3 - TEC

embedDownload
OS5.0 ルーティングベース IPSec-VPN 手順書
Ver. 1.3
承認
確認
担当
2 0 1 3
年
0 9
月
1 3
日
株 式 会 社 ネ ッ ト ワ ー ル ド
S
I
技
術
本
部
イ ン フ ラ ソ リ ュ ー シ ョ ン 技 術 部
OS5.0 ルーティングベース IPsec-VPN 手順書
目次
1
2
3
改訂履歴 ...........................................................................................................................3
はじめに ............................................................................................................................4
FortiGate IPsec-VPN 設定 .............................................................................................6
3.1
IPsec-VPN フェイズの作成 ........................................................................................6
3.1.1
フェイズ 1 の作成 ................................................................................................6
3.1.2
フェイズ 2 の作成 ................................................................................................7
3.2
ファイアウォールポリシーの作成 .................................................................................8
3.2.1
通信許可ポリシー『送信元ポート→Phase1』の作成 ............................................8
3.2.2
通信許可ポリシー『送信元ポート→Phase1』の作成 ............................................9
3.3
IPsec-VPN 用インターフェースの設定 ...... エラー! ブックマークが定義されていません。
3.4
スタティックルートの作成.......................................................................................... 10
4 VPN 接続、接続確認 ...................................................................................................... 11
Copyrightⓒ2015 Networld Corporation. All rights
¥ reserved.
2
OS5.0 ルーティングベース IPsec-VPN 手順書
1
改訂履歴
変更履歴
番号
変更年月日
1
2013/09/13
2
2013/11/12
3
2014/03/07
4
2015/01/23
5
Version
1.0
1.1
1.2
1.3
Page
p4-p9
p6 p7
status
o
ad
r
r
変更内容
新規作成
構成、フォーマット修正
キャプチャ画面差し替え
OS バージョン変更/キャプチャ差し替え
作成
NWL
NWL
NWL
NWL
承認
NWL
NWL
NWL
NWL
status: a(dd), d(elete), r(eplace), o(ther)
■マニュアルの取り扱いについて
・ 本書の記載内容の一部または全部を無断で転載することを禁じます。
・ 本書の記載内容は将来予告無く変更されることがあります。
・ 本書を使用した結果発生した情報の消失等の損失については、責任を負いかねます。
・ 本書の設定内容についてのお問い合わせは、受け付けておりませんのでご了承ください。
・ 本書の記載内容は、動作を保証するものではございません。従いましてお客様への導入時には、
必ず事前に検証を実施してください。
■Networldテクニカルサポート
・Tech-World
Fortinet製品に関するソフトウェアサポート窓口
https://hds.networld.co.jp/helpdesk/support/login.jsp
・Fortinet FAQ
Fortinet製品に関するよくある問い合わせ
https://hds.networld.co.jp/helpdesk/support/faq_info.jsp?link_id=tec
■メーカサイト
・Fortinet テクニカルドキュメント
http://docs.fortinet.com/fgt.html
・Fortinet Knowledge Base
http://kb.fortinet.com/kb/microsites/microsite.do
Copyrightⓒ2015 Networld Corporation. All rights
¥ reserved.
3
OS5.0 ルーティングベース IPsec-VPN 手順書
2
はじめに
本手順書はルーティングベース IPsec-VPN を用いて、2 台の FortiGate を VPN で接続するため設定手順を
説明した資料になります。設定手順はステップバイステップで、FortiGateを初期化した状態からVPNの接続が完
了するまでとなっております。
インターフェースなどの初期設定につきましては、別紙 FAQ の『基本設定について』をご確認下さい。
URL: https://hds.networld.co.jp/faq/fortinet/00002526-1.pdf
【構成図】
【機器情報・ファームウェア】
FGT_A:FortiGate-VM
FortiOS 5.0.10
FGT_B:FortiGate-VM
FortiOS 5.0.10
PC_A:Windows 7 Professional
PC_B:Windows 7 Professional
Copyrightⓒ2015 Networld Corporation. All rights
¥ reserved.
4
OS5.0 ルーティングベース IPsec-VPN 手順書
【設定値一覧】
FGT_A
①インターフェース情報1
項番 インタフェース名
IPアドレス
サブネットマスク
アクセス
1 port2
192.168.1.254
255.255.255.0
ping,https,ssh
2 port1
10.0.0.254
255.255.255.0
②IPsec-VPN (Phase1)
項番 名前
1 phase1-A
リモートIPアドレス ローカルインターフェース 事前共有鍵
10.0.0.253
port1
fortigate
③IPsec-VPN (Phase2)
項番 名前
1 phase2-A
フェイズ1
キープアライブ オートネゴシエート
phase1-A
有効
有効
ソースアドレス
all
デストI/F名
port1
デストアドレス
all
スケジュール サービス
always
ALL
アクション
ACCEPT
all
phase1-A
all
always
ALL
ACCEPT
有効
無効
all
port2
all
always
ALL
ACCEPT
無効
④Firewallポリシー
項番 ソースI/F名
1 port2
2 port2
3 phase1-A
NAT
⑤ルーティング情報
項番 宛先IP/マスク
デバイス
1 192.168.2.0/24
phase1-A
FGT_B
①インターフェース情報1
項番 インタフェース名
IPアドレス
サブネットマスク
アクセス
1 port2
192.168.2.254
255.255.255.0
ping,https,ssh
2 port1
10.0.0.253
255.255.255.0
②IPsec-VPN (Phase1)
項番 名前
1 phase1-B
リモートIPアドレス ローカルインターフェース 事前共有鍵
10.0.0.254
port1
fortigate
③IPsec-VPN (Phase2)
項番 名前
1 phase2-B
フェイズ1
キープアライブ オートネゴシエート
phase1-B
有効
有効
ソースアドレス
all
デストI/F名
port1
デストアドレス
all
スケジュール サービス
always
ALL
アクション
ACCEPT
all
phase1-B
all
always
ALL
ACCEPT
有効
無効
all
port2
all
always
ALL
ACCEPT
無効
④Firewallポリシー
項番 ソースI/F名
1 port2
2 port2
3 phase1-B
NAT
⑤ルーティング情報
項番 宛先IP/マスク
1 192.168.1.0/24
デバイス
phase1-B
Copyrightⓒ2015 Networld Corporation. All rights
¥ reserved.
5
OS5.0 ルーティングベース IPsec-VPN 手順書
3
FortiGate IPsec-VPN 設定
本項目では IPsec-VPN の設定を行います。設定は FGT_A を例に記載しております。FGT_B は設定値一覧
をもとに設定して下さい。
3.1
IPsec-VPN フェイズの作成
VPN 用のフェイズを作成します。
3.1.1
フェイズ 1 の作成
VPN > IPsec > 自動鍵(IKE) より、フェイズ1を作成します。
①
②
③
④
⑤
⑥
[フェイズ 1 を作成]をクリック。
[名前]:phase1-A
[IP アドレス]:10.0.0.253
※対向の IP アドレスを入力します。
[ローカルインターフェース]:port1
[事前共有鍵]:fortigate
[OK]をクリック。
①
②
③
④
⑤
⑥
Copyrightⓒ2015 Networld Corporation. All rights
¥ reserved.
6
OS5.0 ルーティングベース IPsec-VPN 手順書
3.1.2
フェイズ 2 の作成
VPN > IPsec > 自動鍵(IKE) より、フェイズ 2 を作成します。
①
②
③
④
⑤
⑥
[フェイズ 2 を作成]をクリック。
[名前]:phase2-A
[フェイズ 1]:phase1-A
[自動鍵キープアライブ]:有効
[オートネゴシエート]:有効
[OK]をクリック。
①
②
③
④
⑤
⑥
Copyrightⓒ2015 Networld Corporation. All rights
¥ reserved.
7
OS5.0 ルーティングベース IPsec-VPN 手順書
3.2
ファイアウォールポリシーの作成
ポリシー > ポリシー > ポリシー にて、通信許可ポリシー『送信元ポート→Phase1』と 戻りの通信
許可ポリシー『Phase1→送信元ポート』を作成します。
3.2.1
①
②
③
④
⑤
⑥
⑦
通信許可ポリシー『送信元ポート→Phase1』の作成
[Create New]をクリック。
[Incoming インターフェース]:port2
[送信元アドレス]:all
[Outgoing インターフェース]:phase1-A
[宛先アドレス]:all
[スケジュール]:always
[サービス]:ALL
[アクション]:ACCEPT
[OK]をクリック。
①
②
c
③
④
⑤
⑥
v
同様に『Phase1→送信元ポート』のポリシーも作成します。
⑦
Copyrightⓒ2015 Networld Corporation. All rights
¥ reserved.
8
OS5.0 ルーティングベース IPsec-VPN 手順書
3.2.2
①
②
③
④
⑤
⑥
⑦
通信許可ポリシー『送信元ポート→Phase1』の作成
[Create New]をクリック。
[Incoming インターフェース]:phase1-A
[送信元アドレス]:all
[Outgoing インターフェース]:port2
[宛先アドレス]:all
[スケジュール]:always
[サービス]:ALL
[アクション]:ACCEPT
[OK]をクリック。
①
②
③
④
⑤
⑥
⑦
Copyrightⓒ2015 Networld Corporation. All rights
¥ reserved.
9
OS5.0 ルーティングベース IPsec-VPN 手順書
3.3
スタティックルートの作成
ルータ > スタティック > スタティックルート にて、ルーティングを設定します。
①
②
③
④
[新規作成]をクリック。
[宛先 IP /マスク]:192.168.2.0/24
[デバイス]:phase1-A
[OK]をクリック。
①
②
s
③
あ
あ
④
」
以上で、FGT_A 側の設定は終了となります。
設定値一覧をもとに同様の設定を FGT_B にも行います。
Copyrightⓒ2015 Networld Corporation. All rights
¥ reserved.
10
OS5.0 ルーティングベース IPsec-VPN 手順書
4
VPN 接続、接続確認
本項目では、FortiGate 間での VPN 接続を行います。
VPN > モニタ > IPsec モニタ 上にて、3.1 にて作成したフェイズのステータス項目の『アップ』をクリック
します。もしくは、ポリシーにマッチするパケットを流します。
問題なく VPN 接続が開始しますと、『↓アップ』であったステータスが下記の通り『↑ダウン』となり、モニ
タ上のタイムアウト値やアップタイム値が変更されます。
上記の接続が確認された後は、PC_A、PC_B 間での疎通確認を実施します。
Copyrightⓒ2015 Networld Corporation. All rights
¥ reserved.
11
Author
Document
Category
Uncategorized
Views
87
File Size
554 KB
Tags
1/--pages
Report inappropriate content