Fortinet

Prev Next

Classic環境で利用できます。

IPsec VPN Tunnel作成のために顧客 VPNゲートウェイでリソースを構成する方法について説明します。VPNゲートウェイデバイスが Fortinet社の FGシリーズ製品である場合は、次の内容をご参照ください。

参考

ここでは、ローカルネットワークが顧客ネットワーク、リモートネットワークが NAVERクラウドプラットフォームの Private Subnetになります。Peer IPまたは NAVERクラウドプラットフォームの VPNゲートウェイのグローバル IPアドレスになります。

インターフェイス IPの設定

インターフェイス IPを設定する方法は以下のとおりです。

config system interface
    edit "<外部インターフェイスの名前の定義>"
        set ip <グローバル IPアドレス> <サブネットマスク>
        set allowaccess ping https ssh http
    next

    edit "<外部インターフェイスの名前の定義>"
        set ip <内部プライベート IPアドレス> <サブネットマスク>
        set allowaccess ping https ssh http
    next
end

IKE設定

IKEを設定するには、IKEv1と IKEv2を構成する必要があります。

参考

パスワードおよび認証アルゴリズムの設定値が NAVERクラウドプラットフォームコンソールで作成した IPsec VPN Gatewayの設定値と同じである必要があります。

IKEv1構成

IKEv1を構成する方法は以下のとおりです。

config vpn ipsec phase1-interface
    edit "<VPNトンネルの名前の定義>"
        set interface "<外部インターフェイスの名前>"
        set keylife 28800
        set peertype any
        set proposal aes128-sha1
        set dhgrp 2
        set remote-gw <Peer IP>
        set psksecret <Pre-sharedキー値 >
    next
end
  • D-Hグループ: 2
  • 暗号化アルゴリズム: aes-128
  • ハッシュアルゴリズム: sha-1
  • lifetime: 28800

IKEv2構成

IKEv2を構成する方法は以下のとおりです。

config vpn ipsec phase2-interface
    edit "<VPNトンネルの名前の定義>"
        set phase1name "<IKEv1を構成する際に入力する VPNトンネルの名前>"
        set proposal aes128-sha1
        set pfs disable
        set replay disable
        set keylifeseconds 28800
        set src-subnet <内部プライベート IPアドレス>
        set dst-subnet <リモートネットワークのプライベート IPアドレス>
    next
end
  • プロトコル: esp
  • 暗号化アルゴリズム: aes-128
  • ハッシュアルゴリズム: sha-1
  • lifetime: 28800

ルーティング設定

外部ルーティングをそれぞれ設定し、ファイアウォールポリシーを設定します。設定する方法は以下のとおりです。

  • 外部ルーティング設定

    config router static
    edit 0
        set gateway <VPNゲートウェイグローバル IPアドレス>
        set device "<外部インターフェイスの名前>"
    next
end

  • 内部ルーティング設定(VPNトンネル作成後)

    config router static
    edit 0
        set dst <リモートネットワークのプライベート IPアドレス> <サブネットマスク>
        set device "<VPNトンネルの名前>"
    next
end

  • ファイアウォールポリシーの設定

    config firewall address
    edit "<リモートネットワークのプライベート IPアドレスの名前>"
        set subnet 192.168.100.0 255.255.255.0
    next
    edit "<内部プライベート IPアドレスの名前>"
        set subnet 10.20.0.0 255.255.255.0
    next
end

config firewall policy
    edit 0
        set srcintf "<VPNトンネルの名前>"
        set dstintf "<内部インターフェイスの名前>"
        set srcaddr "192.168.100.0/24"
        set dstaddr "10.20.0.0/24"
        set action accept
        set schedule "always"
        set service "ALL"
    next
    edit 0
        set srcintf "<内部インターフェイスの名前>"
        set dstintf "<VPNトンネルの名前>"
        set srcaddr "10.20.0.0/24"
        set dstaddr "192.168.100.0/24"
        set action accept
        set schedule "always"
        set service "ALL"
    next
end
    • リモートネットワークのプライベート IPアドレス: 192.168.100.0/24
    • 内部プライベート IPアドレス: 10.20.0.0/24
    • サブネットマスク: 255.255.255.0

IKEトンネルの確認

すべてのプロセスを終えると、IKEトンネル状態を確認できます。確認の例は以下のとおりです。

  • IKEv1
    hostname# get vpn ike gateway

vd: root/0
name: <VPNトンネルの名前>
version: 1
interface: wan1 5
addr: <ローカルネットワークのグローバル IPアドレス>: 500 -> <リモートネットワークのグローバル IPアドレス>: 500
created: 82s ago
IKE SA  created: 1/1  established: 1/1  time: 0/0/0 ms
IPsec SA  created: 1/1  established: 1/1  time: 0/0/0 ms

  id/spi: 74 96afabb40e5f226b/5bdcb3e03a940caf
  direction: initiator
  status: established 82-82s ago = 0ms
  proposal: aes-128-sha1
  key: 86c774a5b2e6deb9-a54dbbccef6c8c54
  lifetime/rekey: 28800/28417
  DPD sent/recv: 00000000/00000000
  • IKEv2
    hostname# get vpn ipsec tunnel details

gateway
  name: <VPNトンネルの名前>
  type: route-based
  local-gateway: <ローカルネットワークのグローバル IPアドレス>: : 0 (static)
  remote-gateway: <リモートネットワークのグローバル IPアドレス>: : 0 (static)
  mode: ike-v1
  interface: 'wan1' (5)
  rx  packets: 252  bytes: 30240  errors: 0
  tx  packets: 252  bytes: 15120  errors: 0
  dpd: on-demand/negotiated  idle: 20000ms  retry: 3  count: 0
  selectors
    name: <VPNトンネルの名前>
    auto-negotiate: disable
    mode: tunnel
    src: 0:10.20.0.0/255.255.255.0:0
    dst: 0:192.168.100.0/255.255.255.0:0
    SA
      lifetime/rekey: 28800/28402
      mtu: 1438
      tx-esp-seq: fd
      replay: disabled
      inbound
        spi: c14a02a6
        enc:  aes-cb  d196d60e927236afd6a54bdabf9de0c9
        auth:   sha1  315284852a4b4a331a3b7d2c6baa8f8cc9b91442
      outbound
        spi: 31e9297d
        enc:  aes-cb  72b17243e79a44583319efb28e3936f9
        auth:   sha1  4c4c858a74f2d16c2d7d77a4bf70e6f0b237bfd1