Ver. 1.0
承認 確認 担当
2 0 1 8 年 0 6 月 1 1 日
株 式 会 社 ネ ッ ト ワ ー ル ド
S I 技 術 本 部
目次
1 改訂履歴 ...3
2 はじめに ...4
3 FGT_A IPsec-VPN 設定 ...6
4 FGT_B IPsec-VPN 設定...8
5 VPN 接続、接続確認 ... 10
1 改訂履歴
変更履歴
番号 変更年月日 Version Page status 変更内容 作成 承認
1 2018/06/11 1.0 o 新規作成 NWL NWL
2 3 4 5
status: a(dd), d(elete), r(eplace), o(ther)
■マニュアルの取り扱いについて
・ 本書の記載内容の一部または全部を無断で転載することを禁じます。
・ 本書の記載内容は将来予告無く変更されることがあります。
・ 本書を使用した結果発生した情報の消失等の損失については、責任を負いかねます。
・ 本書の設定内容についてのお問い合わせは、受け付けておりませんのでご了承ください。
・ 本書の記載内容は、動作を保証するものではございません。従いましてお客様への導入時には、
必ず事前に検証を実施してください。
■Networldテクニカルサポート
・Tech-World
Fortinet製品に関するソフトウェアサポート窓口
https://tec-world.networld.co.jp/login
・Fortinet FAQ
Fortinet製品に関するよくある問い合わせ
https://tec-world.networld.co.jp/
■メーカサイト
・Fortinet テクニカルドキュメント
http://docs.fortinet.com/fgt.html
・Fortinet Knowledge Base
http://kb.fortinet.com/kb/microsites/microsite.do
2 はじめに
本手順書は複数拠点をアグレッシブモードの IPsec-VPN を用いて FortiGate を VPN で接続するため設定手 順を説明した資料になります。設定手順はステップバイステップで、FortiGateを初期化した状態から VPN の接続 が完了するまでとなっております。
インターフェースなどの初期設定につきましては、別紙 FAQ の『基本設定について』をご確認下さい。
URL:
https://tec-world.networld.co.jp/faq/show/2526
【構成図】
【機器情報・ファームウェア】
FGT_A:FortiGate-VM00 FortiOS 5.6.3 FGT_B:FortiGate-VM00
FortiOS 5.6.3
FGT_C:FortiGate-VM00
【設定値一覧】
FG T _A
①インターフェース
項番 インターフェース名 IP アドレス サブネットマスク アクセス 1 port2 172.16.0.200 255.255.255.0
2 port4 172.16.1.200 255.255.255.0
3 port3 192.168.1.200 255.255.255.0 ping,https,ssh
②IP sec-V P N
項番 名前 リモートゲートウェイ インターフェース 事前共有鍵 モード 受け入れるタイプ ピアID ローカルアドレス リモートアドレス 1 S iteA -P h1 ダイヤルアップユーザ port2 fortigate アグレッシブ 特定のピアID sitea 192.168.1.0/255.255.255.0 192.168.0.0/255.255.255.0 2 S iteB -P h1 ダイヤルアップユーザ port4 fortigate アグレッシブ 特定のピアID siteb 192.168.1.0/255.255.255.0 192.168.2.0/255.255.255.0
③アドレスオブジェクト 項番 名前 サブネット/IP 範囲
1 F G T _A 192.168.1.0/255.255.255.0 2 F G T _B 192.168.0.0/255.255.255.0 3 F G T _C 192.168.2.0/255.255.255.0
④Firew allポリシー
項番 入力インターフェース 出力インターフェース 送信元 宛先 スケジュール サービス アクション N A T 1 port3 S iteA -P h1 FG T _A FG T _B alw ays A LL A C C E P T 無効 2 S iteA -P h1 port3 FG T _B FG T _A alw ays A LL A C C E P T 無効 3 port3 S iteB -P h1 FG T _A FG T _C alw ays A LL A C C E P T 無効 4 S iteB -P h1 port3 FG T _C FG T _A alw ays A LL A C C E P T 無効
F G T _B
①インターフェース
項番 インターフェース名 アドレッシングモード IP アドレス サブネットマスク アクセス
1 port2 D H C P 172.16.0.210(自動取得) 255.255.255.0(自動取得)
2 port3 マニュアル 192.168.0.210 255.255.255.0 ping,h ttp s,ssh
③アドレスオブジェクト 項番 名前 サブネット/IP 範囲
1 FG T _B 192.168.0.0/255.255.255.0 2 FG T _A 192.168.1.0/255.255.255.0
④F irew allポリシー
項番 入力インターフェース 出力インターフェース 送信元 宛先 スケジュール サービス アクション N A T 1 port3 H u b-P h1 F G T _B F G T _A alw ays A L L A C C E P T 無効 2 H u b -P h1 port3 F G T _A F G T _B alw ays A L L A C C E P T 無効
⑤ルーティング
項番 宛先 インターフェース
1 192.168.1.0/255.255.255.0 H u b-P h1
②IP sec-V P N
項番 名前 リモートゲートウェイ IP アドレス インターフェース 事前共有鍵 モード ローカルID ローカルアドレス リモートアドレス 1 H ub -P h1 固定IP アドレス 172.16.0.200 p ort2 fortigate アグレッシブ sitea 192.168.0.0/255.255.255.0 192.168.1.0/255.255.255.0
3 FGT_A IPsec-VPN 設定
本項目では FGT_A に IPsec-VPN の設定を行います。
GUI より、VPN > IPsec ウィザード から ウィザードに沿って、IPsec-VPN を設定します。
① [名前]: SiteA-Ph1
② [テンプレートタイプ]: カスタム
③ [次へ>]をクリック。
④ [リモートゲートウェイ]: ダイヤルアップユーザ
⑤ [インターフェース]: port2
⑥ [事前共有鍵]:fortigate
⑦ [モード]:アクレッシブ
⑧ [受け入れるタイプ]:特定のピア ID
⑨ [ピア ID]:sitea
※拠点単位で一意の値を設定します。
① ②
③
⑥
⑦
④
⑤
⑩ [ローカルアドレス]:192.168.1.0/24
⑪ [リモートアドレス]:192.168.0.0/24
⑫ [OK]をクリック。
FGT_C 側拠点の設定についても同様に作成します。
以上で FGT_A の設定は終了です。
⑩ ⑪
⑫
4 FGT_B IPsec-VPN 設定
本項目では FGT_B IPsec-VPN の設定を行います。
FGT_A と同様にウィザードに沿って、IPsec-VPN を設定します。
① [名前]: Hub-Ph1
② [テンプレートタイプ]: カスタム
③ [次へ>]をクリック
④ [リモートゲートウェイ]: 固定 IP アドレス
⑤ [IP アドレス]:172.16.0.200
⑥ [インターフェース]: port2
⑦ [事前共有鍵]:fortigate
⑧ [モード]:アクレッシブ
① ②
③
④ ⑤
⑥
⑦
⑨ [ローカル ID]:sitea
⑩ [ローカルアドレス]:192.168.0.0/24
⑪ [リモートアドレス]:192.168.1.0/24
⑫ [OK]をクリック。
以上で FGT_B の設定は終了です。
FGT_C も同様に設定します。
⑨
⑩
⑪
⑫
5 VPN 接続、接続確認
本項目では、FortiGate 間での VPN 接続を行います。
FGT_B にてモニタ > IPsec モニタ 上にて、作成したフェーズをクリックし、
『アップ』をクリックします。もしくは、ポリシーにマッチするパケットを流します。
問題なく VPN 接続が開始しますと、『↓ダウン』であったステータスが、下記の通り『↑アップ』となり、
モニタ上のタイムアウト値やアップタイム値が変更されます。
上記の接続が確認された後は、PC_A、PC_B 間での疎通確認を実施します。
FGT_C 側も同様の手順となります。