2
Copyrightⓒ2018 Networld Corporation. All rights¥ reserved.
目次
1
改訂履歴
...3
2
はじめに
...4
3
L2TP over IPsec VPN 設定...6
3.1
ユーザ・ユーザグループの作成...6
3.1.1
ユーザの作成...6
3.1.2
ユーザグループの作成...8
3.2
ファイアウォールアドレスの作成...9
3.3
L2TP クライアント用アドレス... 10
3.4
ポリシーベース IPsec VPN を有効化
... 10
3.5
IPsec-VPN フェーズの作成
... 11
3.5.1
フェーズ
1 の作成... 11
3.5.2
フェーズ
2 の設定... 14
3.6
ファイアウォールポリシーの作成
... 14
3.6.1
L2TP over IPsec VPN 用ポリシーの作成... 14
3.6.2
L2TP Client から内部宛通信の許可ポリシーの作成... 16
4
クライアント端末設定
... 17
4.1
VPN 接続用プロファイルの作成... 17
4.2
VPN 接続用プロファイル設定... 19
5
VPN 接続、接続確認 ... 20
5.1
VPN 接続
... 20
5.2
VPN 接続確認
... 21
1
改訂履歴
変更履歴
番号 変更年月日 Version Page status 変更内容 作成 承認
1 2018/10/12 1.0 o 新規作成 NWL NWL
2 3 4 5
status: a(dd), d(elete), r(eplace), o(ther)
■マニュアルの取り扱いについて
・ 本書の記載内容の一部または全部を無断で転載することを禁じます。 ・ 本書の記載内容は将来予告無く変更されることがあります。 ・ 本書を使用した結果発生した情報の消失等の損失については、責任を負いかねます。 ・ 本書の設定内容についてのお問い合わせは、受け付けておりませんのでご了承ください。 ・ 本書の記載内容は、動作を保証するものではございません。従いましてお客様への導入時には、 必ず事前に検証を実施してください。■Networldテクニカルサポート
・Tech-World Fortinet製品に関するソフトウェアサポート窓口 https://tec-world.networld.co.jp/login ・Fortinet FAQ Fortinet製品に関するよくある問い合わせ https://tec-world.networld.co.jp/4
Copyrightⓒ2018 Networld Corporation. All rights¥ reserved.
2
はじめに
■はじめに
本手順書は L2TP over IPsec VPN を利用したリモートクライアントによる VPN 接続手順を説明しております。 インターフェースなどの初期設定につきましては、別紙 FAQ の『基本設定について』をご確認下さい。 URL: https://tec-world.networld.co.jp/faq/show/2526■構成図
■機器情報・ファームウェア
FGT_A:FortiGate-VM FortiOS 6.0.3 PC_A:Windows 10 Professional PC_B:Windows 10 Professional■設定内容説明
本手順書は、インターネット上にある PC_A から L2TP over IPsec VPN トンネルを通じて、社内 LAN に設置して いる PC_B へアクセスを目的としております。
設定内容は、FortiGate への VPN の設定と、Wondows7/Windows8/Windows8.1/Windows10 を対象とした クライアント端末の設定手順について記載しております。
■設定値一覧
①インターフェース 情報 項番 インタフェース名 IPアドレス サブネットマスク アクセス 1 port2 192.168.1.254 255.255.255.0 ping,https,ssh 2 port1 10.0.0.254 255.255.255.0 ②ユーザ情報 項番 ユーザ名 パスワード ユーザグループ名1 test-user password test-group ③ファイアウォールアドレス
項番 名前 タイプ サブネット/IP範囲
1 L2TPClients_Address IP範囲 192.168.254.101-150 ④IPsec - VPN ( Ph ase 1 )
項番 名前 リモートゲートウェイ ローカルインターフェース 事前共有鍵 IPsecインターフェースモード 暗号化1 DHグループ
1 L2TP_phase1 ダイヤルアップユーザ port1 password 無効 3DES - SHA1
⑤IPsec - VPN ( Ph ase 2 )
項番 名前 フェイズ1 暗号化1 暗号化2 暗号化3 PFS 鍵の有効時間
1 L2TP_phase2 L2TP_phase1 DES - SHA1 AES128 - SHA1 DES - MD5 無効 両方/3600(秒)/250000(キロバイト) ⑥Fire wallポリシー
項番 ソースI/F名 ソースアドレス デストI/F名 デストアドレス スケジュール サービス アクション NAT VPNトンネル リモートからイニシエートされたトラフィック
1 port2 all port1 all ACCEPT 有効
2 port2 all port1 all IPsec 有効 許可
3 port1 L2TPVlient_Address port2 all ACCEPT 無効
⑦ルーティング情報 項番 宛先IP/マスク デバイス 1 10.0.0.254 port1 always ALL -always ALL always ALL -2 -
-6
Copyrightⓒ2018 Networld Corporation. All rights¥ reserved.
3
L2TP over IPsec VPN 設定
FortiGate に L2TP over IPsec VPN 接続のための設定を行います。
3.1
ユーザ・ユーザグループの作成
ユーザとユーザグループを作成します。 3.1.1 ユーザの作成 ユーザ&デバイス > ユーザ定義 にて、ユーザを作成します。 ① [ 新規作成 ]をクリック。 ② [ 次へ ]をクリック。 ③ [ ユーザ名 ]:test-user [ パスワード ]:password [ 次へ ]をクリック。 ④ [ 次へ ]をクリック。 ⑤ [ 有効化済み ]にチェックが入っていることを確認。 [ サブミット ]をクリック。①
②
③
④
8
Copyrightⓒ2018 Networld Corporation. All rights¥ reserved. 3.1.2 ユーザグループの作成 ユーザ&デバイス > ユーザグループ にて、ユーザグループを作成します。 ① [ 新規作成 ]をクリック。 ② [ 名前 ]:test-group ③ [ メンバー ]:test-user ④ [ OK ]をクリック。
③
①
②
④
3.2
ファイアウォールアドレスの作成
ポリシー&オブジェクト > アドレスにて、ファイアウォールアドレスを作成します。 ① [ 新規作成 ]をクリック。 ② [ 名前 ]:L2TPClients_Address ③ [ タイプ ]:IP 範囲 ④ [ サブネット/IP 範囲 ]:192.168.254.101-192.168.254.150 ⑤ [ OK ]をクリック。①
②
③
④
⑤
10
Copyrightⓒ2018 Networld Corporation. All rights¥ reserved.
3.3
L2TP クライアント用アドレス
L2TP クライアントへ払い出すアドレスを指定します。 config vpn l2tp set eip 192.168.254.150 set sip 192.168.254.101 set status enable set usrgrp " test-group" end3.4
ポリシーベース IPsec VPN を有効化
システム > 表示機能設定 >よりポリシーベース IPsec VPN を有効化します。 ① [ ポリシーベース IPsec VPN ]:on ② [ 適用 ]をクリック。②
①
3.5
IPsec-VPN フェーズの作成
L2TP over IPsec VPN 用のフェーズを作成します。 3.5.1 フェーズ 1 の作成 VPN > IPsec ヴィザードより、フェーズ1を作成します。 ① [ IPsec ヴィザード ]をクリック ② [ カスタム ]をクリック ③ [ 名前 ]:L2TP_phase1 ④ [ 次へ ]をクリック①
②
③
④
12
Copyrightⓒ2018 Networld Corporation. All rights¥ reserved. ① [ IPsec インターフェースモードを有効化 ]:無効 ② [ リモートゲートウェイ ]:ダイヤルアップユーザ ③ [ インターフェース ]:Port1 ④ [ 事前共有鍵 ]:password ⑤ [ 受け入れるタイプ ]:任意のピア ID
①
②
③
④
⑤
⑥ [ フェーズ 1 プロポーザル ]: 暗号化:AES256 認証:MD5 暗号化:3DES 認証:SHA1 暗号化:AES192 認証 SHA1 ⑦ [ Diffie Hellman グループ ]:2 ⑧ [ フェーズ 2 プロポーザル ]: 暗号化:AES256 認証:MD5 暗号化:3DES 認証:SHA1 暗号化:AES192 認証 SHA1
⑨ [ perfect forward secrecy(PFS)を有効にする ]:無効 ⑩ [ 秒 ]:3600
⑪ [ OK ]をクリック
⑥
⑦
14
Copyrightⓒ2018 Networld Corporation. All rights¥ reserved.
3.5.2 フェーズ 2 の設定
作成した L2TP over IPsec VPN フェーズ 2 に CLI から L2TP の設定を追加します。 config vpn ipsec phase2
edit "L2TP_phase2"
setencapsulation transport-mode
setl2tp enable next end
3.6
ファイアウォールポリシーの作成
ポリシーを作成します。 3.6.1 L2TP over IPsec VPN 用ポリシーの作成ポリシー&オブジェクト > IPv4 ポリシーにて L2TP over IPsec VPN 接続用のポリシーを作成します。 ① [ 新規作成 ]をクリック。 ② [ 入力インタフェース ]:Port2 ③ [ 出力インタフェース ]:Port1 ④ [ 送信元 ]:all ⑤ [ 宛先 ]:all ⑥ [ スケジュール ]:always ⑦ [ サービス ]:ALL ⑧ [ アクション ]:IPsec ⑨ [ VPN トンネル ]:L2TP_phase1 ⑩ ページ下の[ OK ]をクリック。
①
②
③
④
⑤
⑥
⑦
⑧
⑨
⑩
16
Copyrightⓒ2018 Networld Corporation. All rights¥ reserved. 3.6.2 L2TP Client から内部宛通信の許可ポリシーの作成 ポリシー&オブジェクト > IPv4 ポリシーにて L2TP クライアントから内部宛の通信を許可するポリシーを 作成します。 ① [ 新規作成 ]をクリック。 ② [ 入力インターフェース ]:port1 ③ [ 出力インターフェース ]:port2 ④ [ 送信元アドレス ]:L2TPClients_Address ⑤ [ 宛先アドレス ]:all ⑥ [ スケジュール ]:always ⑦ [ サービス ]:ALL ⑧ [ アクション ]:ACCEPT ⑨ [ OK ]をクリック。 以上で、FortiGate の設定は終了となります。
①
②
③
④
⑤
⑥
⑦
⑧
⑨
4
クライアント端末設定
FortiGate に行った設定をもとに、クライアント端末へ L2TP over IPsec VPN 接続のための設定を行います。
4.1
VPN 接続用プロファイルの作成
L2TP over IPsec VPN 接続用のプロファイルを作成します。
①クライアント端末設定情報
項番 インターネットアドレス 接続先の名前 ユーザ名 パスワード
1 10.0.0.254 L2TP over IPsec VPN接続用 test-user password
① [ ネットワークと共有センター ]を開く。 ② [ 新しい接続またはネットワークのセットアップ ]をクリック。 ③ [ 職場に接続します ]を選択。 ④ [ 次へ ]をクリック。 [] ⑤ [ いいえ、新しい接続を作成します ]を選択。 ⑥ [ 次へ ]をクリック。 ⑦ [ インターネット接続(VPN)を使用します ]をクリック。
②
③
④
⑤
⑦
18
Copyrightⓒ2018 Networld Corporation. All rights¥ reserved. ⑧ [ インターネットアドレス ]:10.0.0.254 ⑨ [ 接続先の名前 ]:L2TP over IPsec VPN 接続用 ⑩ [ 次へ ]をクリック。 ⑪ [ ユーザ名 ]:test-user ⑫ [ パスワード ]:password ⑬ [ 接続 ]をクリック。 c ⑭ [ スキップ ]をクリックし、一度接続をキャンセルします。
⑧
⑨
⑩
⑪
⑫
⑬
⑭
4.2
VPN 接続用プロファイル設定
作成したプロファイルの設定変更を行います。
②プロファイル設定情報
項番 VPNの種類 キー PAP CHAP MS-CHAP v2
1 L2TP/IPsec password 有効 無効 無効 ① [ ネットワークと共有センター ]より[ アダプターの設定変更 ]を開く。 ② 作成したプロファイル[ L2TP over IPsec VPN 接続用 ]を右クリック。 ③ [ プロパティ ]をクリック。 ④ [ セキュリティ ]タブをクリック。 ⑤ [ VPN の種類 ]:IPsec を利用したレイヤー2 トンネリングプロトコル(IPsec/L2TP) ⑥ [ 詳細設定 ]をクリック。 ⑦ [ 認証に事前共有キーを使う ]を選択。 ⑧ [ キー ]:password ⑨ [ OK ]をクリック。 ⑩ [ 暗号化されていないパスワード(PAP) ]:有効 ⑪ [ チャレンジハンドシェイク承認プロトコル(CHAP) ]:無効 ⑫ [ Microsoft CHAP Version 2(MS-CHAP v2) ]:無効 ⑬ [ OK ]をクリック。
①
③
②
④
⑤
⑥
⑦
⑧
20
Copyrightⓒ2018 Networld Corporation. All rights¥ reserved.