Fortinet

Classic環境で利用できます。

IPsec VPN Tunnel作成のために顧客 VPNゲートウェイでリソースを構成する方法について説明します。VPNゲートウェイデバイスが Fortinet社の FGシリーズ製品である場合は、次の内容をご参照ください。

インターフェイス IPの設定

インターフェイス IPを設定する方法は以下のとおりです。

config system interface
    edit "<外部インターフェイスの名前の定義>"
        set ip <グローバル IPアドレス> <サブネットマスク>
        set allowaccess ping https ssh http
    next

    edit "<外部インターフェイスの名前の定義>"
        set ip <内部プライベート IPアドレス> <サブネットマスク>
        set allowaccess ping https ssh http
    next
end

IKE設定

IKEを設定するには、IKEv1と IKEv2を構成する必要があります。

IKEv1構成

IKEv1を構成する方法は以下のとおりです。

config vpn ipsec phase1-interface
    edit "<VPNトンネルの名前の定義>"
        set interface "<外部インターフェイスの名前>"
        set keylife 28800
        set peertype any
        set proposal aes128-sha1
        set dhgrp 2
        set remote-gw <Peer IP>
        set psksecret <Pre-sharedキー値 >
    next
end

• D-Hグループ: 2
• 暗号化アルゴリズム: aes-128
• ハッシュアルゴリズム: sha-1
• lifetime: 28800

IKEv2構成

IKEv2を構成する方法は以下のとおりです。

config vpn ipsec phase2-interface
    edit "<VPNトンネルの名前の定義>"
        set phase1name "<IKEv1を構成する際に入力する VPNトンネルの名前>"
        set proposal aes128-sha1
        set pfs disable
        set replay disable
        set keylifeseconds 28800
        set src-subnet <内部プライベート IPアドレス>
        set dst-subnet <リモートネットワークのプライベート IPアドレス>
    next
end

• プロトコル: esp
• 暗号化アルゴリズム: aes-128
• ハッシュアルゴリズム: sha-1
• lifetime: 28800

ルーティング設定

外部ルーティングをそれぞれ設定し、ファイアウォールポリシーを設定します。設定する方法は以下のとおりです。

• 外部ルーティング設定

  config router static
      edit 0
          set gateway <VPNゲートウェイグローバル IPアドレス>
          set device "<外部インターフェイスの名前>"
      next
  end
  

• 内部ルーティング設定(VPNトンネル作成後)

  config router static
      edit 0
          set dst <リモートネットワークのプライベート IPアドレス> <サブネットマスク>
          set device "<VPNトンネルの名前>"
      next
  end
  

• ファイアウォールポリシーの設定

  config firewall address
      edit "<リモートネットワークのプライベート IPアドレスの名前>"
          set subnet 192.168.100.0 255.255.255.0
      next
      edit "<内部プライベート IPアドレスの名前>"
          set subnet 10.20.0.0 255.255.255.0
      next
  end
  
  config firewall policy
      edit 0
          set srcintf "<VPNトンネルの名前>"
          set dstintf "<内部インターフェイスの名前>"
          set srcaddr "192.168.100.0/24"
          set dstaddr "10.20.0.0/24"
          set action accept
          set schedule "always"
          set service "ALL"
      next
      edit 0
          set srcintf "<内部インターフェイスの名前>"
          set dstintf "<VPNトンネルの名前>"
          set srcaddr "10.20.0.0/24"
          set dstaddr "192.168.100.0/24"
          set action accept
          set schedule "always"
          set service "ALL"
      next
  end
  

  • リモートネットワークのプライベート IPアドレス: 192.168.100.0/24
  • 内部プライベート IPアドレス: 10.20.0.0/24
  • サブネットマスク: 255.255.255.0

IKEトンネルの確認

すべてのプロセスを終えると、IKEトンネル状態を確認できます。確認の例は以下のとおりです。

• IKEv1

  hostname# get vpn ike gateway
  
  vd: root/0
  name: <VPNトンネルの名前>
  version: 1
  interface: wan1 5
  addr: <ローカルネットワークのグローバル IPアドレス>: 500 -> <リモートネットワークのグローバル IPアドレス>: 500
  created: 82s ago
  IKE SA  created: 1/1  established: 1/1  time: 0/0/0 ms
  IPsec SA  created: 1/1  established: 1/1  time: 0/0/0 ms
  
    id/spi: 74 96afabb40e5f226b/5bdcb3e03a940caf
    direction: initiator
    status: established 82-82s ago = 0ms
    proposal: aes-128-sha1
    key: 86c774a5b2e6deb9-a54dbbccef6c8c54
    lifetime/rekey: 28800/28417
    DPD sent/recv: 00000000/00000000
  

• IKEv2

  hostname# get vpn ipsec tunnel details
  
  gateway
    name: <VPNトンネルの名前>
    type: route-based
    local-gateway: <ローカルネットワークのグローバル IPアドレス>: : 0 (static)
    remote-gateway: <リモートネットワークのグローバル IPアドレス>: : 0 (static)
    mode: ike-v1
    interface: 'wan1' (5)
    rx  packets: 252  bytes: 30240  errors: 0
    tx  packets: 252  bytes: 15120  errors: 0
    dpd: on-demand/negotiated  idle: 20000ms  retry: 3  count: 0
    selectors
      name: <VPNトンネルの名前>
      auto-negotiate: disable
      mode: tunnel
      src: 0:10.20.0.0/255.255.255.0:0
      dst: 0:192.168.100.0/255.255.255.0:0
      SA
        lifetime/rekey: 28800/28402
        mtu: 1438
        tx-esp-seq: fd
        replay: disabled
        inbound
          spi: c14a02a6
          enc:  aes-cb  d196d60e927236afd6a54bdabf9de0c9
          auth:   sha1  315284852a4b4a331a3b7d2c6baa8f8cc9b91442
        outbound
          spi: 31e9297d
          enc:  aes-cb  72b17243e79a44583319efb28e3936f9
          auth:   sha1  4c4c858a74f2d16c2d7d77a4bf70e6f0b237bfd1