L2TP over IPsec VPN 設定手順書
Ver. 1.0
承認 確認 担当2 0 1 4
年
0 3
月
3 1
日
株 式 会 社 ネ ッ ト ワ ー ル ド
S
I
技
術
本
部
イ ン フ ラ ソ リ ュ ー シ ョ ン 技 術 部
L2TP over IPsec VPN 設定手順書
目次
1
改訂履歴 ... 3
2
はじめに ... 4
3
L2TP over IPsec VPN 設定 ... 6
3.1
ユーザ・ユーザグループの作成 ... 6
3.1.1
ユーザの作成 ... 6
3.1.2
ユーザグループの作成 ... 7
3.2
ファイアウォールアドレスの作成 ... 8
3.3
L2TP クライアント用アドレス ... 8
3.4
ポリシーベース IPsec VPN を有効化 ... 8
3.5
IPsec-VPN フェイズの作成 ... 9
3.5.1
フェイズ 1 の作成 ... 9
3.5.2
フェイズ 2 の作成 ... 10
3.5.3
フェイズ 2 の設定 ... 11
3.6
ファイアウォールポリシーの作成 ... 11
3.6.1
L2TP over IPsec VPN 用ポリシーの作成 ... 11
3.6.2
L2TP Client から内部宛通信の許可ポリシーの作成 ... 12
4
クライアント端末設定 ... 13
4.1
VPN 接続用プロファイルの作成 ... 13
4.2
VPN 接続用プロファイル設定 ... 15
5
VPN 接続、接続確認 ... 16
5.1
VPN 接続 ... 16
5.2
VPN 接続確認 ... 17
L2TP over IPsec VPN 設定手順書
1 改訂履歴
変更履歴
番号 変更年月日 Version Page status 変更内容 作成 承認
1 2014/03/31 1.0 o 新規作成 NWL NWL
2 3 4 5
status: a(dd), d(elete), r(eplace), o(ther)
■マニュアルの取り扱いについて
・ 本書の記載内容の一部または全部を無断で転載することを禁じます。 ・ 本書の記載内容は将来予告無く変更されることがあります。 ・ 本書を使用した結果発生した情報の消失等の損失については、責任を負いかねます。 ・ 本書の設定内容についてのお問い合わせは、受け付けておりませんのでご了承ください。 ・ 本書の記載内容は、動作を保証するものではございません。従いましてお客様への導入時には、 必ず事前に検証を実施してください。■Networldテクニカルサポート
・Tech-World Fortinet製品に関するソフトウェアサポート窓口 https://hds.networld.co.jp/helpdesk/support/login.jsp ・Fortinet FAQ Fortinet製品に関するよくある問い合わせ https://hds.networld.co.jp/helpdesk/support/faq_info.jsp?link_id=tec
■メーカサイト
・Fortinet テクニカルドキュメント http://docs.fortinet.com/fgt.html・Fortinet Knowledge Base
L2TP over IPsec VPN 設定手順書
2 はじめに
■はじめに
本手順書は L2TP over IPsec VPN を利用したリモートクライアントによる VPN 接続手順を説明しております。 インターフェースなどの初期設定につきましては、別紙 FAQ の『基本設定について』をご確認下さい。 URL: https://hds.networld.co.jp/faq/fortinet/00002526-1.pdf■構成図
■機器情報・ファームウェア
FGT_A:FortiGate-VM FortiOS 5.0.6 PC_A:Windows 7 Professional PC_B:Windows 7 Professional■設定内容説明
本手順書は、インターネット上にある PC_A から L2TP over IPsec VPN トンネルを通じて、社内 LAN に設置し ている PC_B へアクセスを目的としております。
設定内容は、FortiGate への VPN の設定と、Wondows7/Windows8/Windows8.1 を対象としたクライアント端末 の設定手順について記載しております。
L2TP over IPsec VPN 設定手順書
■設定値一覧
①インターフェース情報 項番 インタフェース名 IPアドレス サブネットマスク アクセス 1 port2 192.168.1.254 255.255.255.0 ping,https,ssh 2 port1 10.0.0.254 255.255.255.0 ②ユーザ情報 項番 ユーザ名 パスワード ユーザグループ名1 test-user password test-group
③ファイアウォールアドレス
項番 名前 タイプ サブネット/IP範囲
1 L2TPClients_Address IP範囲 192.168.254.101-150
④IPsec-VPN (Phase1)
項番 名前 リモートゲートウェイ ローカルインターフェース 事前共有鍵 IPsecインターフェースモード 暗号化1 DHグループ
1 L2TP_phase1 ダイヤルアップユーザ port1 password 無効 3DES - SHA1
⑤IPsec-VPN (Phase2)
項番 名前 フェイズ1 暗号化1 暗号化2 暗号化3 PFS 鍵の有効時間
1 L2TP_phase2 L2TP_phase1 DES - SHA1 AES128 - SHA1 DES - MD5 無効 両方/3600(秒)/250000(キロバイト)
⑥Firewallポリシー
項番 ソースI/F名 ソースアドレス デストI/F名 デストアドレス スケジュール サービス アクション NAT VPNトンネル リモートからイニシエートされたトラフィック
1 port2 all port1 all ACCEPT 有効
2 port2 all port1 all IPsec 有効 許可
3 port1 L2TPVlient_Address port2 all ACCEPT 無効
⑦ルーティング情報 項番 宛先IP/マスク デバイス 1 10.0.0.254 port1 always ALL -always ALL always ALL -2 -
-L2TP over IPsec VPN 設定手順書
3 L2TP over IPsec VPN 設定
FortiGate に L2TP over IPsec VPN 接続のための設定を行います。
3.1
ユーザ・ユーザグループの作成
ユーザとユーザグループを作成します。 3.1.1 ユーザの作成 ユーザ&デバイス > ユーザ > ユーザ定義 にて、ユーザを作成します。 ① [新規作成]をクリック。 ② [Next]をクリック。 ③ [ユーザ名]:test-user [パスワード]:password [Next]をクリック。 ④ [Next]をクリック。 ⑤ [有効]にチェックが入っていることを確認。 [Done]をクリック。①
②
③
L2TP over IPsec VPN 設定手順書 3.1.2 ユーザグループの作成 ユーザ&デバイス > ユーザ > ユーザグループ にて、ユーザグループを作成します。 ① [新規作成]をクリック。 ② [名前]:test-group ③ [メンバー]:test-user ④ [OK]をクリック。
③
④
a
⑤
①
②
④
L2TP over IPsec VPN 設定手順書
3.2
ファイアウォールアドレスの作成
ファイアウォールオブジェクト > アドレス > アドレス にて、ファイアウォールアドレスを作成します。 ① [新規作成]をクリック。 ② [名前]:L2TPClients_Address ③ [タイプ]:IP 範囲 ④ [サブネット/IP 範囲]:192.168.254.101-192.168.254.150 ⑤ [OK]をクリック。3.3
L2TP クライアント用アドレス
L2TP クライアントへ払い出すアドレスを指定します。 config vpn l2tp set eip 192.168.254.150 set sip 192.168.254.101 set status enable set usrgrp " test-group" end3.4
ポリシーベース IPsec VPN を有効化
システム > 設定 > フューチャー よりポリシーベース IPsec VPN を有効化します。 ① [Policy-based IPsec VPN]:on
② [適用]をクリック。
①
②
③
④
⑤
L2TP over IPsec VPN 設定手順書
3.5
IPsec-VPN フェイズの作成
L2TP over IPsec VPN 用のフェイズを作成します。 3.5.1 フェイズ 1 の作成 VPN > IPsec > 自動鍵(IKE) より、フェイズ1を作成します。 ① [フェイズ 1 を作成]をクリック。 ② [名前]:L2TP_phase1 ③ [リモートゲートウェイ]:ダイヤルアップユーザ ④ [ローカルインターフェース]:port1 ⑤ [事前共有鍵]:password ⑥ [IPsec インターフェースモードを有効にする]:無効 ⑦ [暗号化&認証]: 1. 3DS - SHA1 ⑧ [DH グループ]:2 ⑨ [OK]をクリック。①
②
③
④
⑤
⑥
⑦
⑧
⑨
L2TP over IPsec VPN 設定手順書 3.5.2 フェイズ 2 の作成 VPN > IPsec > 自動鍵(IKE) より、フェイズ 2 を作成します。 ① [フェイズ 2 を作成]をクリック。 ② [名前]:L2TP_phase2 ③ [フェイズ 1]:L2TP_phase1 ④ [暗号化&認証]: 1. DES - SHA1 2. AES128 – SHA1 3. DES – MD5
⑤ [perfect forward secrecy(PFS)を有効にする]:無効 ⑥ [鍵の有効時間]:両方/3600(秒)/250000(キロバイト) ⑦ [OK]をクリック。
②
①
③
④
⑤
⑥
L2TP over IPsec VPN 設定手順書
3.5.3 フェイズ 2 の設定
作成した L2TP over IPsec VPN フェーズ 2 に CLI から L2TP の設定を追加します。 config vpn ipsec phase2
edit "L2TP_phase2"
set encapsulation transport-mode set l2tp enable next end
3.6
ファイアウォールポリシーの作成
ポリシーを作成します。 3.6.1 L2TP over IPsec VPN 用ポリシーの作成Policy > Policy > Policy にて L2TP over IPsec VPN 接続用のポリシーを作成します。 ① [新規作成]をクリック。 ② [ポリシータイプ]:VPN ③ [ポリシーサブタイプ]:IPsec ④ [ローカルインターフェース]:port2 [送信元アドレス]:all ⑤ [Outgoing VPN インターフェース]:port1 [リモートの保護サブネット]:all ⑥ [スケジュール]:always ⑦ [サービス]:ALL ⑧ [VPN トンネル]:既存のものを使う ⑨ [VPN トンネル]:L2TP_phase1 ⑩ [リモートサイトからイニシエートされたトラフィックを許可する]:有効 ⑪ ページ下の[OK]をクリック。 c
①
②
③
④
⑤
⑥
⑦
⑧
⑨
⑩
L2TP over IPsec VPN 設定手順書
3.6.2 L2TP Client から内部宛通信の許可ポリシーの作成
Policy > Policy > Policy にて L2TP クライアントから内部宛の通信を許可するポリシーを作成します。 ① [新規作成]をクリック。 ② [incoming インターフェース]:port1 [送信元アドレス]:L2TPClients_Address ③ [Outgoing インターフェース]:port2 [宛先アドレス]:all ④ [スケジュール]:always ⑤ [サービス]:ALL ⑥ [アクション]:ACCEPT ⑦ [OK]をクリック。 以上で、FortiGate の設定は終了となります。
①
②
③
④
⑤
⑥
⑦
L2TP over IPsec VPN 設定手順書
4 クライアント端末設定
FortiGate に行った設定をもとに、クライアント端末へ L2TP over IPsec VPN 接続のための設定を行います。
4.1
VPN 接続用プロファイルの作成
L2TP over IPsec VPN 接続用のプロファイルを作成します。
①クライアント端末設定情報
項番 インターネットアドレス 接続先の名前 ユーザ名 パスワード
1 10.0.0.254 L2TP over IPsec VPN接続用 test-user password ① [ネットワークと共有センター]を開く。 ② [新しい接続またはネットワークのセットアップ]をクリック。 ③ [職場に接続します]を選択。 ④ [次へ]をクリック。 [] ⑤ [いいえ、新しい接続を作成します]を選択。 ⑥ [次へ]をクリック。 ⑦ [インターネット接続(VPN)を使用します]をクリック。
②
③
④
⑤
⑥
⑦
L2TP over IPsec VPN 設定手順書 ⑧ [インターネットアドレス]:10.0.0.254 ⑨ [接続先の名前]:L2TP over IPsec VPN 接続用 ⑩ [次へ]をクリック。 ⑪ [ユーザ名]:test-user ⑫ [パスワード]:password ⑬ [接続]をクリック。 c ⑭ [スキップ]をクリックし、一度接続をキャンセルします。
⑧
⑨
⑩
⑪
⑫
⑬
⑭
L2TP over IPsec VPN 設定手順書
4.2
VPN 接続用プロファイル設定
作成したプロファイルの設定変更を行います。
②プロファイル設定情報
項番 VPNの種類 キー PAP CHAP MS-CHAP v2
1 L2TP/IPsec password 有効 無効 無効 ① [ネットワークと共有センター]より[アダプターの設定変更]を開く。 ② 作成したプロファイル[L2TP over IPsec VPN 接続用]を右クリック。 ③ [プロパティ]をクリック。 ④ [セキュリティ]タブをクリック。 ⑤ [VPN の種類]:IPsec を利用したレイヤー2 トンネリングプロトコル(IPsec/L2TP) ⑥ [詳細設定]をクリック。 ⑦ [認証に事前共有キーを使う]を選択。 ⑧ [キー]:password ⑨ [OK]をクリック。 ⑩ [暗号化されていないパスワード(PAP)]:有効 ⑪ [チャレンジハンドシェイク承認プロトコル(CHAP)]:無効 ⑫ [Microsoft CHAP Version 2(MS-CHAP v2)]:無効 ⑬ [OK]をクリック。
①
③
②
④
⑤
⑥
⑦
⑧
⑨
⑩
⑪
⑫
⑬
L2TP over IPsec VPN 設定手順書
5 VPN 接続、接続確認
クライアント端末から FortiGate へ VPN 接続を行います。5.1
VPN 接続
4. で作成したプロファイルを使用して、Fortigate へ VPN 接続します。 ① [ネットワーク接続]を開く。 ② [L2TP over IPsec VPN 接続用]をダブルクリック。 ③ [ユーザー名]:test-user ④ [パスワード]:password ⑤ [接続]をクリック。 c」 c 接続後は下記のように表示が変わります。②
③
④
⑤
L2TP over IPsec VPN 設定手順書