FortiGate

FortiGateのIPsec-VPN設定方法

本記事では、IPsec-VPNの概要や、FortiGateの設定方法について記載いたします。

若手エンジニア志望者を募集!支度金あり

VPNについて

VPNとは暗号化と認証を行い、第三者からデータを見られないようにする機能です。
主に拠点間を結ぶときや、社外から社内にリモートでアクセスする際に使用します。
VPNには大きく分けると二種類あり、IP-VPNとインターネットVPNがあります。
インターネットVPNで主に用いられるものとしてIPsec-VPNとSSL-VPNの二種類があり、
今回はそのうちのIPsec-VPNについて記載していきます。

IPsec-VPNについて

主に拠点間をつなぐ目的で使用され、ネットワーク層で動作しています。
IPsec-VPNには2つのモードがあり、それぞれの違いは以下の通りです。

トランスポートモード トンネルモード
VPN接続区間 ホスト間 ルータ間
IPヘッダの暗号化 されない される
レイヤー3以下の暗号化 されない される
パケットの転送先 元のIPヘッダに基づく 新たに付与された
IPヘッダ
に基づく

今回は、デフォルト設定のトンネルモードを使用します。

想定環境

・使用するFortiGate
FortiGate-200E v7.2.4 build1396

FortiGateの設定

ここからは、実際のFortiGateでのIPsec-VPNの設定方法や設定項目の内容について記載していきます。

VPNの設定

左のメニューから「VPN」>IPsecウィザードを選択。

  • 名前
    任意の文字列を入力してください。
  • テンプレートタイプ
    カスタムを選択。

「次へ」をクリック

  • IPアドレス
    VPN接続を行う対向機器側のインターフェースのIPアドレスを入力。
  • インターフェース
    VPN接続を行うインターフェースを選択。
  • NATトラバーサル
    NAT/NAPTデバイスを経由した通常のIPsec通信において発生する問題を
    回避する機能です。
    今回は「無効」に設定します。
  • デットビア検知
    パケットを定期的に送信して、通信先で予期せぬ通信断が起きた際に
    検出できるようにする機能です。
    今回は「アイドル時」に設定します

NATトラバーサルとデットビア検知は必要に応じて設定してください。

  • 方式
    認証方式を「事前共有鍵」、「シグネチャ」の2つから選択します。
    今回は「事前共有鍵」を選択します。

    • 事前共有鍵
      簡単に説明するとパスワードのことで、
      対向機器側で設定した事前共有鍵を入力してください。
    • シグネチャ
      シグネチャの場合はサーバ証明書を選択します。
  • IKEバージョン
    1または2を選択してください。
  • モード
    IKEバージョンで1を選択していると表示されます。

    • アグレッシブ
      接続する相手の特定をIPアドレスには依存せず、自身及び相手のIDにて行います。
    • メイン
      認証を行う際、相手の特定をIPアドレスにて行います。

今回は「メイン」を選択します。

フェーズ1プロポーサルの値は対向機器の設定と合わせる必要があります。

  • 暗号化、復号
    使用するアルゴリズムを選択します。
  • Diffie-Hellmanグループ
    鍵交換を行う暗号演算方式のことで、
    対向機器側と合わせる必要があります。
  • 鍵の有効時間
    120から172800の間で設定することができます。
    有効時間が切れた場合はサービスを中断することなく、新しい鍵が生成されます。

  • ローカルアドレス
    IPsec処理を行う通信の送信元IPアドレスまたは、サブネットを設定します。
  • リモートアドレス
    IPsec処理を行う通信の宛先IPアドレスまたは、サブネットを設定します。
    ローカルアドレス、リモートアドレスともに、0.0.0.0/0で全てのIPアドレスが設定されます。「高度な設定」をクリック

フェーズ2プロポーサルはフェーズ1と同じく対向機器側と合わせるため、
フェーズ1と同じ設定項目の説明は省略します。

  • Replay Detectionを有効化
    リプレイ攻撃を検知する機能です。
  • Perfect Forward Secrecy(PFS)を有効化
    鍵の有効期限が切れるたびに、新しいDiffie-Hellman 交換を強制的に実行し、
    そのたびに新しい鍵を生成することで、もし鍵が漏れてしまっても
    その通信以外の通信の内容までは解読されないようにする機能です。
  • 自動鍵キープアライブ
    データが処理されていない場合でもアクティブのままにする機能です。

「OK」選択し、設定内容を保存します。

ファイアウォールポリシーの設定

次に、ファイアウォールポリシーの設定を行っていきます。
左のメニューから「ポリシー&オブジェクト」>ファイアウォールポリシー>新規作成を選択。

  • 名前
    任意の文字列を入力。
  • 着信インターフェース
    VPNへの通信を受け付けるインターフェースを設定します。
  • 発信インターフェース
    作成したVPNインターフェースを設定します。
  • サービス
    通信を許可するサービスを設定します。

「OK」選択し、設定内容を保存します。
対向機器側からの通信も許可したい場合は、同様のポリシーを作成し、
着信インターフェースと発信インターフェースを入れ替えれば可能です。


VPNとは関係ないですが、許可トラフィックログを「すべてのセッション」にすると
そのポリシーに当てはまった通信をすべてログとして出力されるので推奨します。

ルーティングの設定

最後にスタティックルートの設定を行います。
左のメニューから「ネットワーク」>スタティックルート>新規作成を選択。

  • 宛先
    「サブネット」を選択し、対向機器側のネットワークアドレスを設定します。
  • インターフェース
    作成したVPNインターフェースを設定します。

「OK」選択し、設定内容を保存します。

接続確認

VPNの設定はこれで完了です。
VPN接続ができているか確認していきます。

VPNセッションの確立

左のメニューから「VPN」>IPsecトンネルを選択

FG IPsec-VPN セッション確立1

作成したトンネルの非アクティブをクリックし、IPsecウインドウを表示。

トンネルを選択し、「アップ」>フェーズ2セレクタ:トンネル名を選択

フェーズ1とフェーズ2の両方が緑色になっていることを確認してください。

疎通確認

次は、pingコマンドで疎通確認を行ってみます。
Tera Termで送信元のサーバにSSHで接続し、VPN接続先にあるサーバにpingを実行します。

pingが通っていることが確認できます、FortiGateでもログを見てみましょう。
左のメニューから「ログ&レポート」>転送トラフィックログを選択

こちらのログでもVPN経由で通信ができていることを確認できました。

まとめ

今回IPsec-VPNの設定を行ってみた所感ですが、
NW構成図やルーティングが理解できていれば、初心者でもそこまで
難しくないのではないかと感じました。

以上、最後まで読んでいただきありがとうございました。

参考サイト
Fortinet Document Library IPsec VPNs
FortiGate FortiOS7.2IPSEC設定ガイド ニフクラ編

 

若手エンジニア志望者を募集!支度金あり

LogStare Collector 無償版

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

HTTPでアクセスしたサイトからのファイルのダウンロードが警告になる前のページ

Cisco IOS CLI コマンドモードについて次のページ

ピックアップ記事

  1. 自社製品をAMIにしてAWSマーケットプレイスへ出品
  2. Zabbixヒストリデータのレポート生成について
  3. IoT機器「Raspberry pi」とLogStare Collectorで温…
  4. ログフォワーダー「okurun.jar」について

関連記事

  1. FortiGate

    【FortiGate】SNAT時に変換される送信元IPアドレスの選定フロー

    FortiGateのNATを利用する場合に、送信元IPアドレス変換(S…

  2. FortiGate

    【2023年版】FortiGateのSSL-VPN設定方法

    こんにちは、takiです。今回は執筆時点(2023/02)での最新…

  3. FortiGate

    【FortiGate】SSL deep-inspectionを使ってみた

    インターネット上の通信の多くがSSL/TLSで暗号化される中、従来のセ…

  4. NW機器

    FortiGateにてGUIにトラフィックログを表示するための設定方法

    FortiGateではトラフィックログを収集できますが、FortiGa…

  5. NW機器

    AWS Transit Gateway で集約したトラフィックをFortiGate で精査する

    当記事では、AWS Transit Gateway を用いて通信を集約…

若手エンジニア志望者を募集!
LogStare Collector 無償版
クラウド活用の「困った」「焦った」事例
月額200円でM356の監査ログの運用レベルUP LogStare M365
AWSのログ分析・モニタリングに 次世代のマネージド・セキュリティ・プラットフォーム LogStare

  1. SNMPを触ってみた

    ログ分析・監視テクニック

    SNMPとは?新入社員が生まれてはじめて触ってみた!
  2. AWS/Azure

    AWSマーケットプレイス上から無償版のLogStare Collectorを試す…
  3. ログ分析・監視テクニック

    nProbeであらゆる通信をログに記録し可視化する
  4. NW機器

    PaloAltoのIPsec IKEv1 Phase1におけるトラブルシューティ…
  5. NW機器

    SonicWall UTMにSyslog送信設定を追加する方法について
PAGE TOP