L2TP_IPSec-VPN設定手順書_

(1)

(2)

2

￥ reserved.

1 改訂履歴

...3

2 はじめに

...4

3 L2TP over IPsec VPN 設定...6

3.1 ユーザ・ユーザグループの作成...6

3.1.1 ユーザの作成...6

3.1.2 ユーザグループの作成...8

3.2 ファイアウォールアドレスの作成...9

3.3 L2TP クライアント用アドレス... 10

3.4 ポリシーベース IPsec VPN を有効化

... 10

3.5 ＩＰｓｅｃ-VPN フェーズの作成

... 11

3.5.1 フェーズ

1 の作成... 11

3.5.2 フェーズ

2 の設定... 14

3.6 ファイアウォールポリシーの作成

... 14

3.6.1 L2TP over IPsec VPN 用ポリシーの作成... 14

3.6.2 L2TP Client から内部宛通信の許可ポリシーの作成... 16

4 クライアント端末設定

... 17

4.1 VPN 接続用プロファイルの作成... 17

4.2 VPN 接続用プロファイル設定... 19

5 VPN 接続、接続確認 ... 20

5.1 VPN 接続

... 20

5.2 VPN 接続確認

... 21

(3)

1 改訂履歴

変更履歴

番号変更年月日 Version Page status 変更内容作成承認

1 2018/10/12 1.0 o 新規作成 NWL NWL

2 3 4 5

status: a(dd), d(elete), r(eplace), o(ther)

■マニュアルの取り扱いについて

・本書の記載内容の一部または全部を無断で転載することを禁じます。・本書の記載内容は将来予告無く変更されることがあります。・本書を使用した結果発生した情報の消失等の損失については、責任を負いかねます。・本書の設定内容についてのお問い合わせは、受け付けておりませんのでご了承ください。・本書の記載内容は、動作を保証するものではございません。従いましてお客様への導入時には、必ず事前に検証を実施してください。

■Networldテクニカルサポート

・Tech-World Fortinet製品に関するソフトウェアサポート窓口 https://tec-world.networld.co.jp/login ・Fortinet FAQ Fortinet製品に関するよくある問い合わせ https://tec-world.networld.co.jp/

(4)

4

￥ reserved.

2 はじめに

■はじめに

本手順書は L2TP over IPsec VPN を利用したリモートクライアントによる VPN 接続手順を説明しております。インターフェースなどの初期設定につきましては、別紙 FAQ の『基本設定について』をご確認下さい。 URL： https://tec-world.networld.co.jp/faq/show/2526

■構成図

■機器情報・ファームウェア

FGT_A：FortiGate-VM FortiOS 6.0.3 PC_A：Windows 10 Professional PC_B：Windows 10 Professional

■設定内容説明

本手順書は、インターネット上にある PC_A から L2TP over IPsec VPN トンネルを通じて、社内 LAN に設置している PC_B へアクセスを目的としております。

設定内容は、FortiGate への VPN の設定と、Wondows7/Windows8/Windows8.1/Windows10 を対象としたクライアント端末の設定手順について記載しております。

(5)

■設定値一覧

①インターフェース情報項番インタフェース名 IPアドレスサブネットマスクアクセス 1 port2 192.168.1.254 255.255.255.0 ping,https,ssh 2 port1 10.0.0.254 255.255.255.0 ②ユーザ情報項番ユーザ名パスワードユーザグループ名

1 test-user password test-group ③ファイアウォールアドレス

項番名前タイプサブネット/IP範囲

1 L2TPClients_Address IP範囲 192.168.254.101-150 ④IPsec - VPN ( Ph ase 1 )

項番名前リモートゲートウェイローカルインターフェース事前共有鍵 IPsecインターフェースモード暗号化1 DHグループ

1 L2TP_phase1 ダイヤルアップユーザ port1 password 無効 3DES - SHA1

⑤IPsec - VPN ( Ph ase 2 )

項番名前フェイズ１暗号化1 暗号化2 暗号化3 PFS 鍵の有効時間

1 L2TP_phase2 L2TP_phase1 DES - SHA1 AES128 - SHA1 DES - MD5 無効両方/3600(秒)/250000(キロバイト) ⑥Fire wallポリシー

項番ソースI/F名ソースアドレスデストI/F名デストアドレススケジュールサービスアクション NAT VPNトンネルリモートからイニシエートされたトラフィック

1 port2 all port1 all ACCEPT 有効

2 port2 all port1 all IPsec 有効許可

3 port1 L2TPVlient_Address port2 all ACCEPT 無効

⑦ルーティング情報項番宛先IP/マスクデバイス 1 10.0.0.254 port1 always ALL -always ALL always ALL -2 -

(6)

-6

￥ reserved.

3 L2TP over IPsec VPN 設定

FortiGate に L2TP over IPsec VPN 接続のための設定を行います。

3.1 ユーザ・ユーザグループの作成

ユーザとユーザグループを作成します。 3.1.1 ユーザの作成ユーザ&デバイス > ユーザ定義にて、ユーザを作成します。 ① [ 新規作成 ]をクリック。 ② [ 次へ ]をクリック。 ③ [ ユーザ名 ]：test-user [ パスワード ]：password [ 次へ ]をクリック。 ④ [ 次へ ]をクリック。 ⑤ ［有効化済み］にチェックが入っていることを確認。 [ サブミット ]をクリック。

①

②

(7)

③

④

(8)

8

￥ reserved. 3.1.2 ユーザグループの作成ユーザ&デバイス > ユーザグループにて、ユーザグループを作成します。 ① [ 新規作成 ]をクリック。 ② [ 名前 ]：test-group ③ [ メンバー ]：test-user ④ ［ OK ］をクリック。

③

①

②

④

(9)

3.2 ファイアウォールアドレスの作成

ポリシー&オブジェクト > アドレスにて、ファイアウォールアドレスを作成します。 ① [ 新規作成 ]をクリック。 ② [ 名前 ]：L2TPClients_Address ③ [ タイプ ]：IP 範囲 ④ [ サブネット/IP 範囲 ]：192.168.254.101-192.168.254.150 ⑤ [ OK ]をクリック。

①

②

③

④

⑤

(10)

10

￥ reserved.

3.3 L2TP クライアント用アドレス

L2TP クライアントへ払い出すアドレスを指定します。 config vpn l2tp set eip 192.168.254.150 set sip 192.168.254.101 set status enable set usrgrp " test-group" end

3.4 ポリシーベース IPsec VPN を有効化

システム > 表示機能設定 >よりポリシーベース IPsec VPN を有効化します。 ① [ ポリシーベース IPsec VPN ]：on ② [ 適用 ]をクリック。

②

①

(11)

3.5 ＩＰｓｅｃ-VPN フェーズの作成

L2TP over IPsec VPN 用のフェーズを作成します。 3.5.1 フェーズ 1 の作成 VPN > IPsec ヴィザードより、フェーズ１を作成します。 ① [ IPsec ヴィザード ]をクリック ② [ カスタム ]をクリック ③ [ 名前 ]：L2TP_phase1 ④ [ 次へ ]をクリック

①

②

③

④

(12)

12

￥ reserved. ① [ IPsec インターフェースモードを有効化 ]：無効 ② [ リモートゲートウェイ ]：ダイヤルアップユーザ ③ [ インターフェース ]：Port1 ④ [ 事前共有鍵 ]：password ⑤ [ 受け入れるタイプ ]：任意のピア ID

①

②

③

④

⑤

(13)

⑥ [ フェーズ 1 プロポーザル ]：暗号化：AES256 認証：MD5 暗号化：3DES 認証：SHA1 暗号化：AES192 認証 SHA1 ⑦ [ Diffie Hellman グループ ]：2 ⑧ [ フェーズ 2 プロポーザル ]：暗号化：AES256 認証：MD5 暗号化：3DES 認証：SHA1 暗号化：AES192 認証 SHA1

⑨ [ perfect forward secrecy(PFS)を有効にする ]：無効 ⑩ [ 秒 ]：3600

⑪ ［ OK ］をクリック

⑥

⑦

(14)

14

￥ reserved.

3.5.2 フェーズ 2 の設定

作成した L2TP over IPsec VPN フェーズ 2 に CLI から L2TP の設定を追加します。 config vpn ipsec phase2

edit "L2TP_phase2"

setencapsulation transport-mode

setl2tp enable next end

3.6 ファイアウォールポリシーの作成

ポリシーを作成します。 3.6.1 L2TP over IPsec VPN 用ポリシーの作成

ポリシー&オブジェクト > IPv4 ポリシーにて L2TP over IPsec VPN 接続用のポリシーを作成します。 ① [ 新規作成 ]をクリック。 ② [ 入力インタフェース ]：Port2 ③ [ 出力インタフェース ]：Port1 ④ [ 送信元 ]：all ⑤ [ 宛先 ]：all ⑥ [ スケジュール ]：always ⑦ [ サービス ]：ALL ⑧ [ アクション ]：IPsec ⑨ [ VPN トンネル ]：L2TP_phase1 ⑩ ページ下の[ OK ]をクリック。

①

(15)

②

③

④

⑤

⑥

⑦

⑧

⑨

⑩

(16)

16

￥ reserved. 3.6.2 L2TP Client から内部宛通信の許可ポリシーの作成ポリシー&オブジェクト > IPv4 ポリシーにて L2TP クライアントから内部宛の通信を許可するポリシーを作成します。 ① [ 新規作成 ]をクリック。 ② [ 入力インターフェース ]：port1 ③ [ 出力インターフェース ]：port2 ④ [ 送信元アドレス ]：L2TPClients_Address ⑤ [ 宛先アドレス ]：all ⑥ [ スケジュール ]：always ⑦ [ サービス ]：ALL ⑧ [ アクション ]：ACCEPT ⑨ [ OK ]をクリック。以上で、FortiGate の設定は終了となります。

①

②

③

④

⑤

⑥

⑦

⑧

⑨

(17)

4 クライアント端末設定

FortiGate に行った設定をもとに、クライアント端末へ L2TP over IPsec VPN 接続のための設定を行います。

4.1 VPN 接続用プロファイルの作成

L2TP over IPsec VPN 接続用のプロファイルを作成します。

①クライアント端末設定情報

項番インターネットアドレス接続先の名前ユーザ名パスワード

1 10.0.0.254 L2TP over IPsec VPN接続用 test-user password

① [ ネットワークと共有センター ]を開く。 ② [ 新しい接続またはネットワークのセットアップ ]をクリック。 ③ [ 職場に接続します ]を選択。 ④ [ 次へ ]をクリック。 [] ⑤ [ いいえ、新しい接続を作成します ]を選択。 ⑥ [ 次へ ]をクリック。 ⑦ [ インターネット接続(VPN)を使用します ]をクリック。

②

③

④

⑤

⑦

(18)

18

￥ reserved. ⑧ [ インターネットアドレス ]：10.0.0.254 ⑨ [ 接続先の名前 ]：L2TP over IPsec VPN 接続用 ⑩ [ 次へ ]をクリック。 ⑪ [ ユーザ名 ]：test-user ⑫ [ パスワード ]：password ⑬ [ 接続 ]をクリック。ｃ ⑭ [ スキップ ]をクリックし、一度接続をキャンセルします。

⑧

⑨

⑩

⑪

⑫

⑬

⑭

(19)

4.2 VPN 接続用プロファイル設定

作成したプロファイルの設定変更を行います。

②プロファイル設定情報

項番 VPNの種類キー PAP CHAP MS-CHAP v2

1 L2TP/IPsec password 有効無効無効 ① [ ネットワークと共有センター ]より[ アダプターの設定変更 ]を開く。 ② 作成したプロファイル[ L2TP over IPsec VPN 接続用 ]を右クリック。 ③ [ プロパティ ]をクリック。 ④ [ セキュリティ ]タブをクリック。 ⑤ [ VPN の種類 ]：IPsec を利用したレイヤー2 トンネリングプロトコル(IPsec/L2TP) ⑥ [ 詳細設定 ]をクリック。 ⑦ [ 認証に事前共有キーを使う ]を選択。 ⑧ [ キー ]：password ⑨ [ OK ]をクリック。 ⑩ [ 暗号化されていないパスワード(PAP) ]：有効 ⑪ [ チャレンジハンドシェイク承認プロトコル(CHAP) ]：無効 ⑫ [ Microsoft CHAP Version 2(MS-CHAP v2) ]：無効 ⑬ [ OK ]をクリック。

①

③

②

④

⑤

⑥

⑦

⑧

(20)

20

￥ reserved.

5 VPN 接続、接続確認

クライアント端末から FortiGate へ VPN 接続を行います。

5.1 VPN 接続

4. で作成したプロファイルを使用して、Fortigate へ VPN 接続します。 ① [ ネットワーク接続 ]を開く。 ② [ L2TP over IPsec VPN 接続用 ]をダブルクリック。 ③ [ ユーザー名 ]：test-user ④ [ パスワード ]：password ⑤ [ 接続 ]をクリック。ｃ」ｃ接続後は下記のように表示が変わります。

②

③

④

⑤

(21)

5.2 VPN 接続確認

正しく VPN 接続できているか、コマンドプロンプトを使用して確認します。 ■ipconfig VPN 接続用に IP アドレスが割り当てられています。 ■routeprint ルート情報に新たに 192.168.254.2 を起点としたルートが追加されています。

L2TP_IPSec-VPN設定手順書_

2

目次

1

改訂履歴

...3

2

はじめに

...4

3

L2TP over IPsec VPN 設定...6

3.1

ユーザ・ユーザグループの作成...6

3.1.1

ユーザの作成...6

3.1.2

ユーザグループの作成...8

3.2

ファイアウォールアドレスの作成...9

3.3

L2TP クライアント用アドレス... 10

3.4

ポリシーベース IPsec VPN を有効化

... 10

3.5

ＩＰｓｅｃ-VPN フェーズの作成

... 11

3.5.1

フェーズ

1 の作成... 11

3.5.2

フェーズ

2 の設定... 14

3.6

ファイアウォールポリシーの作成

... 14

3.6.1

L2TP over IPsec VPN 用ポリシーの作成... 14

3.6.2

L2TP Client から内部宛通信の許可ポリシーの作成... 16

4

クライアント端末設定

... 17

4.1

VPN 接続用プロファイルの作成... 17

4.2

VPN 接続用プロファイル設定... 19

5

VPN 接続、接続確認 ... 20

5.1

VPN 接続

... 20

5.2

VPN 接続確認

... 21

1

改訂履歴

■マニュアルの取り扱いについて

■Networldテクニカルサポート

4

2

はじめに

■はじめに

■構成図

■機器情報・ファームウェア

■設定内容説明

■設定値一覧

-6

3

L2TP over IPsec VPN 設定

3.1

ユーザ・ユーザグループの作成

①

②

③

④

8

③

①

②