Fortinet
- 印刷する
- PDF
Fortinet
- 印刷する
- PDF
Article Summary
Share feedback
Thanks for sharing your feedback!
Classic環境で利用できます。
IPsec VPN Tunnel作成のために顧客 VPNゲートウェイでリソースを構成する方法について説明します。VPNゲートウェイデバイスが Fortinet社の FGシリーズ製品である場合は、次の内容をご参照ください。
参考
ここでは、ローカルネットワークが顧客ネットワーク、リモートネットワークが NAVERクラウドプラットフォームの Private Subnetになります。Peer IPまたは NAVERクラウドプラットフォームの VPNゲートウェイのグローバル IPアドレスになります。
インターフェイス IPの設定
インターフェイス IPを設定する方法は以下のとおりです。
config system interface
edit "<外部インターフェイスの名前の定義>"
set ip <グローバル IPアドレス> <サブネットマスク>
set allowaccess ping https ssh http
next
edit "<外部インターフェイスの名前の定義>"
set ip <内部プライベート IPアドレス> <サブネットマスク>
set allowaccess ping https ssh http
next
end
IKE設定
IKEを設定するには、IKEv1と IKEv2を構成する必要があります。
参考
パスワードおよび認証アルゴリズムの設定値が NAVERクラウドプラットフォームコンソールで作成した IPsec VPN Gatewayの設定値と同じである必要があります。
IKEv1構成
IKEv1を構成する方法は以下のとおりです。
config vpn ipsec phase1-interface
edit "<VPNトンネルの名前の定義>"
set interface "<外部インターフェイスの名前>"
set keylife 28800
set peertype any
set proposal aes128-sha1
set dhgrp 2
set remote-gw <Peer IP>
set psksecret <Pre-sharedキー値 >
next
end
- D-Hグループ: 2
- 暗号化アルゴリズム: aes-128
- ハッシュアルゴリズム: sha-1
- lifetime: 28800
IKEv2構成
IKEv2を構成する方法は以下のとおりです。
config vpn ipsec phase2-interface
edit "<VPNトンネルの名前の定義>"
set phase1name "<IKEv1を構成する際に入力する VPNトンネルの名前>"
set proposal aes128-sha1
set pfs disable
set replay disable
set keylifeseconds 28800
set src-subnet <内部プライベート IPアドレス>
set dst-subnet <リモートネットワークのプライベート IPアドレス>
next
end
- プロトコル: esp
- 暗号化アルゴリズム: aes-128
- ハッシュアルゴリズム: sha-1
- lifetime: 28800
ルーティング設定
外部ルーティングをそれぞれ設定し、ファイアウォールポリシーを設定します。設定する方法は以下のとおりです。
外部ルーティング設定
config router static edit 0 set gateway <VPNゲートウェイグローバル IPアドレス> set device "<外部インターフェイスの名前>" next end
内部ルーティング設定(VPNトンネル作成後)
config router static edit 0 set dst <リモートネットワークのプライベート IPアドレス> <サブネットマスク> set device "<VPNトンネルの名前>" next end
ファイアウォールポリシーの設定
config firewall address edit "<リモートネットワークのプライベート IPアドレスの名前>" set subnet 192.168.100.0 255.255.255.0 next edit "<内部プライベート IPアドレスの名前>" set subnet 10.20.0.0 255.255.255.0 next end config firewall policy edit 0 set srcintf "<VPNトンネルの名前>" set dstintf "<内部インターフェイスの名前>" set srcaddr "192.168.100.0/24" set dstaddr "10.20.0.0/24" set action accept set schedule "always" set service "ALL" next edit 0 set srcintf "<内部インターフェイスの名前>" set dstintf "<VPNトンネルの名前>" set srcaddr "10.20.0.0/24" set dstaddr "192.168.100.0/24" set action accept set schedule "always" set service "ALL" next end
- リモートネットワークのプライベート IPアドレス: 192.168.100.0/24
- 内部プライベート IPアドレス: 10.20.0.0/24
- サブネットマスク: 255.255.255.0
IKEトンネルの確認
すべてのプロセスを終えると、IKEトンネル状態を確認できます。確認の例は以下のとおりです。
- IKEv1
hostname# get vpn ike gateway vd: root/0 name: <VPNトンネルの名前> version: 1 interface: wan1 5 addr: <ローカルネットワークのグローバル IPアドレス>: 500 -> <リモートネットワークのグローバル IPアドレス>: 500 created: 82s ago IKE SA created: 1/1 established: 1/1 time: 0/0/0 ms IPsec SA created: 1/1 established: 1/1 time: 0/0/0 ms id/spi: 74 96afabb40e5f226b/5bdcb3e03a940caf direction: initiator status: established 82-82s ago = 0ms proposal: aes-128-sha1 key: 86c774a5b2e6deb9-a54dbbccef6c8c54 lifetime/rekey: 28800/28417 DPD sent/recv: 00000000/00000000
- IKEv2
hostname# get vpn ipsec tunnel details gateway name: <VPNトンネルの名前> type: route-based local-gateway: <ローカルネットワークのグローバル IPアドレス>: : 0 (static) remote-gateway: <リモートネットワークのグローバル IPアドレス>: : 0 (static) mode: ike-v1 interface: 'wan1' (5) rx packets: 252 bytes: 30240 errors: 0 tx packets: 252 bytes: 15120 errors: 0 dpd: on-demand/negotiated idle: 20000ms retry: 3 count: 0 selectors name: <VPNトンネルの名前> auto-negotiate: disable mode: tunnel src: 0:10.20.0.0/255.255.255.0:0 dst: 0:192.168.100.0/255.255.255.0:0 SA lifetime/rekey: 28800/28402 mtu: 1438 tx-esp-seq: fd replay: disabled inbound spi: c14a02a6 enc: aes-cb d196d60e927236afd6a54bdabf9de0c9 auth: sha1 315284852a4b4a331a3b7d2c6baa8f8cc9b91442 outbound spi: 31e9297d enc: aes-cb 72b17243e79a44583319efb28e3936f9 auth: sha1 4c4c858a74f2d16c2d7d77a4bf70e6f0b237bfd1
この記事は役に立ちましたか?