リモートアクセス IPsec-VPN 手順書 - TEC

リモートアクセス IPsec-VPN 手順書
Ver. 1.1
承認
確認
担当
2 0 1 3
年
0 9
月
0 5
日
株 式 会 社 ネ ッ ト ワ ー ル ド
S
I
技
術
本
部
イ ン フ ラ ソ リ ュ ー シ ョ ン 技 術 部
リモートアクセス IPsec-VPN 手順書
目次
1
2
3
改訂履歴 ...........................................................................................................................3
はじめに ............................................................................................................................4
IPsec-VPN 設定 ................................................................................................................5
3.1
ユーザ・ユーザグループの作成...................................................................................5
3.1.1
ユーザの作成......................................................................................................5
3.1.2
ユーザグループの作成 ........................................................................................6
3.2
ファイアウォールアドレスの作成 ..................................................................................7
3.3
VPN ウィザードの作成 ................................................................................................8
3.4
ファイアウォールポリシーの作成 .............................................................................. 10
4 FortiClient 設定 ............................................................................................................. 11
4.1
FortiClient インストール ........................................................................................... 11
4.2
FortiClient 設定 ....................................................................................................... 11
5 VPN 接続、接続確認 ...................................................................................................... 12
5.1
VPN 接続 ................................................................................................................ 12
5.2
VPN 接続確認 ......................................................................................................... 13
5.2.1
VPN 接続前の設定状況................................................................................... 13
5.2.2
VPN 接続後の設定状況................................................................................... 14
Copyrightⓒ2013 Networld Corporation. All rights
¥ reserved.
2
リモートアクセス IPsec-VPN 手順書
1
改訂履歴
変更履歴
番号
変更年月日
1
2013/09/05
2
2013/11/06
3
4
5
Version
1.0
1.1
Page
status
o
ad
変更内容
新規作成
手順書内容訂正
作成
NWL
NWL
承認
NWL
NWL
status: a(dd), d(elete), r(eplace), o(ther)
■マニュアルの取り扱いについて
・ 本書の記載内容の一部または全部を無断で転載することを禁じます。
・ 本書の記載内容は将来予告無く変更されることがあります。
・ 本書を使用した結果発生した情報の消失等の損失については、責任を負いかねます。
・ 本書の設定内容についてのお問い合わせは、受け付けておりませんのでご了承ください。
・ 本書の記載内容は、動作を保証するものではございません。従いましてお客様への導入時には、
必ず事前に検証を実施してください。
■Networldテクニカルサポート
・Tech-World
Fortinet製品に関するソフトウェアサポート窓口
https://hds.networld.co.jp/helpdesk/support/login.jsp
・Fortinet FAQ
Fortinet製品に関するよくある問い合わせ
https://hds.networld.co.jp/helpdesk/support/faq_info.jsp?link_id=tec
■メーカサイト
・Fortinet テクニカルドキュメント
http://docs.fortinet.com/fgt.html
・Fortinet Knowledge Base
http://kb.fortinet.com/kb/microsites/microsite.do
Copyrightⓒ2013 Networld Corporation. All rights
¥ reserved.
3
リモートアクセス IPsec-VPN 手順書
2
はじめに
本手順書はルーティングベース IPsec-VPN を利用した、リモートクライアントによる VPN 接続手順を説明して
おります。設定手順はステップバイステップで、FortiGateを初期化した状態からVPNの接続が完了するまで、Fo
rtiClientの設定を含めて説明しております。
インターフェースなどの初期設定につきましては、別紙 FAQ の『基本設定について』をご確認下さい。
URL: https://hds.networld.co.jp/faq/fortinet/00002526-1.pdf
【構成図】
【機器情報・ファームウェア】
FGT_A:FortiGate-VM00
FortiOS 5.0.4
PC_A:Windows XP Professional
FortiClient: 5.0.5
PC_B:Windows 7 Professional
【FortiGate 設定値一覧】
①インターフェース情報
項番 インタフェース名
IPアドレス
サブネットマスク
アクセス
1 port2
192.168.1.254
255.255.255.0
ping,https,ssh
2 port1
10.0.0.254
255.255.255.0
②Firewallポリシー
項番 ソースインターフェース名 ソースアドレス デストインターフェース名
all
port1
2 port2
3 phase1
all
port2
デストアドレス
all
スケジュール
always
サービス
ALL
アクション
ACCEPT
NAT
有効
all
always
ALL
ACCEPT
無効
③ユーザ情報
項番 ユーザ名
1 test-user
パスワード
ユーザグループ名
password
test-group
④ファイアウォールアドレス
項番 名前
サブネット/IP範囲
1 192.168.1.0/24
192.168.1.0/24
⑤IPsec-VPN
項番 名前
VPNタイプ
1 phase1 ダイアルアップ - FortiClient Windows
事前共有鍵 ユーザグループ ローカル出力I/F アドレス範囲
fortigate
Copyrightⓒ2013 Networld Corporation. All rights
¥ reserved.
test-group
port1
サブネットマスク IPv4スプリットトンネル キープアライブ
192.168.2.101-150 255.255.255.0
192.168.1.0/24
有効
4
リモートアクセス IPsec-VPN 手順書
3
IPsec-VPN 設定
FortiGate に IPsec-VPN 接続のための設定を行います。
3.1
ユーザ・ユーザグループの作成
ユーザとユーザグループを作成します。
3.1.1
ユーザの作成
ユーザ&デバイス > ユーザ > ユーザ定義 にて、ユーザを作成します。
①
②
③
④
⑤
[新規作成]をクリック。
[Next]をクリック。
[ユーザ名]:test-user
[パスワード]:password
[Next]をクリック。
[Next]をクリック。
[有効]にチェックが入っていることを確認。
[Done]をクリック。
①
②
③
Copyrightⓒ2013 Networld Corporation. All rights
¥ reserved.
5
リモートアクセス IPsec-VPN 手順書
④
a
⑤
3.1.2
ユーザグループの作成
ユーザ&デバイス > ユーザ > ユーザグループ にて、ユーザグループを作成します。
①
②
③
④
[新規作成]をクリック。
[名前]:test-group
[メンバー]:test-user
[OK]をクリック。
①
②
③
④
Copyrightⓒ2013 Networld Corporation. All rights
¥ reserved.
6
リモートアクセス IPsec-VPN 手順書
3.2
ファイアウォールアドレスの作成
ファイアウォールオブジェクト > アドレス > アドレス にて、ファイアウォールアドレスを作成します。
①
②
③
④
[新規作成]をクリック。
[名前]:192.168.1.0/24
[サブネット/IP 範囲]:192.168.1.0/24
[OK]をクリック。
①
②
③
④
Copyrightⓒ2013 Networld Corporation. All rights
¥ reserved.
7
リモートアクセス IPsec-VPN 手順書
3.3
VPN ウィザードの作成
VPN > IPsec > 自動鍵(IKE) にて、VPN プロファイルを作成します。
①
②
③
④
⑤
⑥
⑦
⑧
⑨
⑩
[VPN ウィザードの作成]をクリック。
[名前]:phase1
[Next]をクリック。
[VPN タイプ]:ダイアルアップ - FortiClient Windows, Mac, Android
[事前共有鍵]:fortigate
[ユーザグループ]:test-group
[Next]をクリック。
[ローカル出力インターフェース]:port1
※IPsec-VPN 接続側(本手順書ではインターネット側)のインターフェースを指定します。
[アドレス範囲]:192.168.2.101-192.168.2.150
[サブネットマスク]:255.255.255.0
※IPsec-VPN 接続時にクライアントに払い出す IP アドレスを指定します。
[アクセス先ネットワーク]:192.168.1.0/24
[Next]をクリック。
[常にアップ(Keep Alive)]:有効
[Done]をクリック。
①
②
③
Copyrightⓒ2013 Networld Corporation. All rights
¥ reserved.
8
リモートアクセス IPsec-VPN 手順書
④
⑤
⑥
⑦
⑧
⑨
⑩
※VPN ウィザードによる設定は FortiClient 4.0 MR3 より対応しております。
FortiClient 4.0 MR2 もしくはそれ以前のバージョンをお使いの方は、『フェイズ 1 の作成』、『フェイズ 2 の作成』
を設定しての VPN フェイズの作成となります。
Copyrightⓒ2013 Networld Corporation. All rights
¥ reserved.
9
リモートアクセス IPsec-VPN 手順書
ファイアウォールポリシーの作成
3.4
PC_A から VPN トンネルを通じて社内へアクセスできるよう、通信許可ポリシーを作成します。
Policy > Policy > Policy にて [新規作成]をクリックします。
①
②
③
④
⑤
⑥
⑦
[Incoming インターフェース]:phase1
[送信元アドレス]:all
[Outgoing インターフェース]:port2
[宛先アドレス]:all
[スケジュール]:always
[サービス]:ALL
[アクション]:ACCEPT
ページ下の[OK]をクリック。
①
②
③
④
⑤
以上で、FortiGate の設定は終了となります。
Copyrightⓒ2013 Networld Corporation. All rights
¥ reserved.
10
リモートアクセス IPsec-VPN 手順書
4
FortiClient 設定
FortiGate に行った設定をもとに、FortiClient の設定を行います。
4.1
FortiClient インストール
FortiClient のインストール方法につきましては別紙、FAQ にございます『FortiClient のインストール方
法について』をご確認下さい。
『FortiClient のインストール方法について』:https://hds.networld.co.jp/faq/fortinet/00002494-1.pdf
4.2
FortiClient 設定
FortiClient に IPsec-VPN 用のプロファイルを作成します。設定値は下記表をご確認下さい。
①FortiClient設定情報
項番 名前
1 vpn-client
①
②
③
④
⑤
⑥
⑦
VPNタイプ
リモートGW
認証方法
事前共有鍵
IPsec VPN
10.0.0.254
事前共有鍵
fortigate
リモートアクセスにて、[VPN 設定]をクリック。
[接続名]:vpn-client
[タイプ]:IPsec-VPN
[リモート GW]:10.0.0.254
[認証方法]:事前共有鍵
[事前共有鍵]:fortigate
[OK]をクリック。
①
②
③
④
⑤
⑥
⑦
Copyrightⓒ2013 Networld Corporation. All rights
¥ reserved.
11
リモートアクセス IPsec-VPN 手順書
5
VPN 接続、接続確認
FortiClient から FortiGate へ VPN 接続を行います。
5.1
VPN 接続
6.2 で作成したプロファイルを使用して、Fortigate へ VPN 接続します。
①
②
③
④
[vpn-client]を選択。
『test-user』を入力。
『password』を入力。
[接続]をクリック。
①
②
③
a
④
接続が開始するとクライアント画面が下記のように変わります。
VPN 接続を終了する際は、クライアント画面下部の[切断]をクリックして下さい。
Copyrightⓒ2013 Networld Corporation. All rights
¥ reserved.
12
リモートアクセス IPsec-VPN 手順書
5.2
VPN 接続確認
正しく VPN 接続できているか、コマンドプロンプトを使用して確認します。
5.2.1
VPN 接続前の設定状況
VPN 接続前の各コマンドの値は下記の通りとなります。
■ipconfig
インターフェースには物理インターフェースに割り当てられている IP アドレスが表示されています。
■route print
Copyrightⓒ2013 Networld Corporation. All rights
¥ reserved.
13
リモートアクセス IPsec-VPN 手順書
5.2.2
VPN 接続後の設定状況
VPN 接続前の各コマンドの値は下記の通りとなります。
■ipconfig
VPN 接続用に IP アドレスが割り当てられています。
■routeprint
ルート情報に新たに 192.168.2.101 を起点としたルートが追加されています。
■tracert
Copyrightⓒ2013 Networld Corporation. All rights
¥ reserved.
14