OS5.0 ルーティングベース IPSec-VPN 手順書 Ver. 1.3 承認 確認 担当 2 0 1 3 年 0 9 月 1 3 日 株 式 会 社 ネ ッ ト ワ ー ル ド S I 技 術 本 部 イ ン フ ラ ソ リ ュ ー シ ョ ン 技 術 部 OS5.0 ルーティングベース IPsec-VPN 手順書 目次 1 2 3 改訂履歴 ...........................................................................................................................3 はじめに ............................................................................................................................4 FortiGate IPsec-VPN 設定 .............................................................................................6 3.1 IPsec-VPN フェイズの作成 ........................................................................................6 3.1.1 フェイズ 1 の作成 ................................................................................................6 3.1.2 フェイズ 2 の作成 ................................................................................................7 3.2 ファイアウォールポリシーの作成 .................................................................................8 3.2.1 通信許可ポリシー『送信元ポート→Phase1』の作成 ............................................8 3.2.2 通信許可ポリシー『送信元ポート→Phase1』の作成 ............................................9 3.3 IPsec-VPN 用インターフェースの設定 ...... エラー! ブックマークが定義されていません。 3.4 スタティックルートの作成.......................................................................................... 10 4 VPN 接続、接続確認 ...................................................................................................... 11 Copyrightⓒ2015 Networld Corporation. All rights ¥ reserved. 2 OS5.0 ルーティングベース IPsec-VPN 手順書 1 改訂履歴 変更履歴 番号 変更年月日 1 2013/09/13 2 2013/11/12 3 2014/03/07 4 2015/01/23 5 Version 1.0 1.1 1.2 1.3 Page p4-p9 p6 p7 status o ad r r 変更内容 新規作成 構成、フォーマット修正 キャプチャ画面差し替え OS バージョン変更/キャプチャ差し替え 作成 NWL NWL NWL NWL 承認 NWL NWL NWL NWL status: a(dd), d(elete), r(eplace), o(ther) ■マニュアルの取り扱いについて ・ 本書の記載内容の一部または全部を無断で転載することを禁じます。 ・ 本書の記載内容は将来予告無く変更されることがあります。 ・ 本書を使用した結果発生した情報の消失等の損失については、責任を負いかねます。 ・ 本書の設定内容についてのお問い合わせは、受け付けておりませんのでご了承ください。 ・ 本書の記載内容は、動作を保証するものではございません。従いましてお客様への導入時には、 必ず事前に検証を実施してください。 ■Networldテクニカルサポート ・Tech-World Fortinet製品に関するソフトウェアサポート窓口 https://hds.networld.co.jp/helpdesk/support/login.jsp ・Fortinet FAQ Fortinet製品に関するよくある問い合わせ https://hds.networld.co.jp/helpdesk/support/faq_info.jsp?link_id=tec ■メーカサイト ・Fortinet テクニカルドキュメント http://docs.fortinet.com/fgt.html ・Fortinet Knowledge Base http://kb.fortinet.com/kb/microsites/microsite.do Copyrightⓒ2015 Networld Corporation. All rights ¥ reserved. 3 OS5.0 ルーティングベース IPsec-VPN 手順書 2 はじめに 本手順書はルーティングベース IPsec-VPN を用いて、2 台の FortiGate を VPN で接続するため設定手順を 説明した資料になります。設定手順はステップバイステップで、FortiGateを初期化した状態からVPNの接続が完 了するまでとなっております。 インターフェースなどの初期設定につきましては、別紙 FAQ の『基本設定について』をご確認下さい。 URL: https://hds.networld.co.jp/faq/fortinet/00002526-1.pdf 【構成図】 【機器情報・ファームウェア】 FGT_A:FortiGate-VM FortiOS 5.0.10 FGT_B:FortiGate-VM FortiOS 5.0.10 PC_A:Windows 7 Professional PC_B:Windows 7 Professional Copyrightⓒ2015 Networld Corporation. All rights ¥ reserved. 4 OS5.0 ルーティングベース IPsec-VPN 手順書 【設定値一覧】 FGT_A ①インターフェース情報1 項番 インタフェース名 IPアドレス サブネットマスク アクセス 1 port2 192.168.1.254 255.255.255.0 ping,https,ssh 2 port1 10.0.0.254 255.255.255.0 ②IPsec-VPN (Phase1) 項番 名前 1 phase1-A リモートIPアドレス ローカルインターフェース 事前共有鍵 10.0.0.253 port1 fortigate ③IPsec-VPN (Phase2) 項番 名前 1 phase2-A フェイズ1 キープアライブ オートネゴシエート phase1-A 有効 有効 ソースアドレス all デストI/F名 port1 デストアドレス all スケジュール サービス always ALL アクション ACCEPT all phase1-A all always ALL ACCEPT 有効 無効 all port2 all always ALL ACCEPT 無効 ④Firewallポリシー 項番 ソースI/F名 1 port2 2 port2 3 phase1-A NAT ⑤ルーティング情報 項番 宛先IP/マスク デバイス 1 192.168.2.0/24 phase1-A FGT_B ①インターフェース情報1 項番 インタフェース名 IPアドレス サブネットマスク アクセス 1 port2 192.168.2.254 255.255.255.0 ping,https,ssh 2 port1 10.0.0.253 255.255.255.0 ②IPsec-VPN (Phase1) 項番 名前 1 phase1-B リモートIPアドレス ローカルインターフェース 事前共有鍵 10.0.0.254 port1 fortigate ③IPsec-VPN (Phase2) 項番 名前 1 phase2-B フェイズ1 キープアライブ オートネゴシエート phase1-B 有効 有効 ソースアドレス all デストI/F名 port1 デストアドレス all スケジュール サービス always ALL アクション ACCEPT all phase1-B all always ALL ACCEPT 有効 無効 all port2 all always ALL ACCEPT 無効 ④Firewallポリシー 項番 ソースI/F名 1 port2 2 port2 3 phase1-B NAT ⑤ルーティング情報 項番 宛先IP/マスク 1 192.168.1.0/24 デバイス phase1-B Copyrightⓒ2015 Networld Corporation. All rights ¥ reserved. 5 OS5.0 ルーティングベース IPsec-VPN 手順書 3 FortiGate IPsec-VPN 設定 本項目では IPsec-VPN の設定を行います。設定は FGT_A を例に記載しております。FGT_B は設定値一覧 をもとに設定して下さい。 3.1 IPsec-VPN フェイズの作成 VPN 用のフェイズを作成します。 3.1.1 フェイズ 1 の作成 VPN > IPsec > 自動鍵(IKE) より、フェイズ1を作成します。 ① ② ③ ④ ⑤ ⑥ [フェイズ 1 を作成]をクリック。 [名前]:phase1-A [IP アドレス]:10.0.0.253 ※対向の IP アドレスを入力します。 [ローカルインターフェース]:port1 [事前共有鍵]:fortigate [OK]をクリック。 ① ② ③ ④ ⑤ ⑥ Copyrightⓒ2015 Networld Corporation. All rights ¥ reserved. 6 OS5.0 ルーティングベース IPsec-VPN 手順書 3.1.2 フェイズ 2 の作成 VPN > IPsec > 自動鍵(IKE) より、フェイズ 2 を作成します。 ① ② ③ ④ ⑤ ⑥ [フェイズ 2 を作成]をクリック。 [名前]:phase2-A [フェイズ 1]:phase1-A [自動鍵キープアライブ]:有効 [オートネゴシエート]:有効 [OK]をクリック。 ① ② ③ ④ ⑤ ⑥ Copyrightⓒ2015 Networld Corporation. All rights ¥ reserved. 7 OS5.0 ルーティングベース IPsec-VPN 手順書 3.2 ファイアウォールポリシーの作成 ポリシー > ポリシー > ポリシー にて、通信許可ポリシー『送信元ポート→Phase1』と 戻りの通信 許可ポリシー『Phase1→送信元ポート』を作成します。 3.2.1 ① ② ③ ④ ⑤ ⑥ ⑦ 通信許可ポリシー『送信元ポート→Phase1』の作成 [Create New]をクリック。 [Incoming インターフェース]:port2 [送信元アドレス]:all [Outgoing インターフェース]:phase1-A [宛先アドレス]:all [スケジュール]:always [サービス]:ALL [アクション]:ACCEPT [OK]をクリック。 ① ② c ③ ④ ⑤ ⑥ v 同様に『Phase1→送信元ポート』のポリシーも作成します。 ⑦ Copyrightⓒ2015 Networld Corporation. All rights ¥ reserved. 8 OS5.0 ルーティングベース IPsec-VPN 手順書 3.2.2 ① ② ③ ④ ⑤ ⑥ ⑦ 通信許可ポリシー『送信元ポート→Phase1』の作成 [Create New]をクリック。 [Incoming インターフェース]:phase1-A [送信元アドレス]:all [Outgoing インターフェース]:port2 [宛先アドレス]:all [スケジュール]:always [サービス]:ALL [アクション]:ACCEPT [OK]をクリック。 ① ② ③ ④ ⑤ ⑥ ⑦ Copyrightⓒ2015 Networld Corporation. All rights ¥ reserved. 9 OS5.0 ルーティングベース IPsec-VPN 手順書 3.3 スタティックルートの作成 ルータ > スタティック > スタティックルート にて、ルーティングを設定します。 ① ② ③ ④ [新規作成]をクリック。 [宛先 IP /マスク]:192.168.2.0/24 [デバイス]:phase1-A [OK]をクリック。 ① ② s ③ あ あ ④ 」 以上で、FGT_A 側の設定は終了となります。 設定値一覧をもとに同様の設定を FGT_B にも行います。 Copyrightⓒ2015 Networld Corporation. All rights ¥ reserved. 10 OS5.0 ルーティングベース IPsec-VPN 手順書 4 VPN 接続、接続確認 本項目では、FortiGate 間での VPN 接続を行います。 VPN > モニタ > IPsec モニタ 上にて、3.1 にて作成したフェイズのステータス項目の『アップ』をクリック します。もしくは、ポリシーにマッチするパケットを流します。 問題なく VPN 接続が開始しますと、『↓アップ』であったステータスが下記の通り『↑ダウン』となり、モニ タ上のタイムアウト値やアップタイム値が変更されます。 上記の接続が確認された後は、PC_A、PC_B 間での疎通確認を実施します。 Copyrightⓒ2015 Networld Corporation. All rights ¥ reserved. 11
© Copyright 2024 Paperzz
