Ver..0 承認確認担当 0 8 年 0 月 日株式会社ネットワールド S I 技術本部インフラソリューション技術部
目次 改訂履歴... はじめに... LTP over IPsec VPN 設定...6. ユーザ ユーザグループの作成...6.. ユーザの作成...6.. ユーザグループの作成...8. ファイアウォールアドレスの作成...9. LTP クライアント用アドレス... 0. ポリシーベース IPsec VPN を有効化... 0. IPsec-VPN フェーズの作成..... フェーズ の作成..... フェーズ の設定....6 ファイアウォールポリシーの作成....6. LTP over IPsec VPN 用ポリシーの作成....6. LTP Client から内部宛通信の許可ポリシーの作成... 6 クライアント端末設定... 7. VPN 接続用プロファイルの作成... 7. VPN 接続用プロファイル設定... 9 VPN 接続 接続確認... 0. VPN 接続... 0. VPN 接続確認...
改訂履歴変更履歴番号変更年月日 Version Page status 変更内容作成承認 08/0/.0 o 新規作成 NWL NWL status: a(dd), d(elete), r(eplace), o(ther) マニュアルの取り扱いについて 本書の記載内容の一部または全部を無断で転載することを禁じます 本書の記載内容は将来予告無く変更されることがあります 本書を使用した結果発生した情報の消失等の損失については 責任を負いかねます 本書の設定内容についてのお問い合わせは 受け付けておりませんのでご了承ください 本書の記載内容は 動作を保証するものではございません 従いましてお客様への導入時には 必ず事前に検証を実施してください Networld テクニカルサポート Tech-World Fortinet 製品に関するソフトウェアサポート窓口 https://tec-world.networld.co.jp/login Fortinet FAQ Fortinet 製品に関するよくある問い合わせ https://tec-world.networld.co.jp/ メーカサイト Fortinet テクニカルドキュメント http://docs.fortinet.com/fgt.html Fortinet Knowledge Base http://kb.fortinet.com/kb/microsites/microsite.do
はじめに はじめに本手順書は LTP over IPsec VPN を利用したリモートクライアントによる VPN 接続手順を説明しております インターフェースなどの初期設定につきましては 別紙 FAQ の 基本設定について をご確認下さい URL: https://tec-world.networld.co.jp/faq/show/6 構成図 機器情報 ファームウェア FGT_A:FortiGate-VM FortiOS 6.0. PC_A:Windows 0 Professional PC_B:Windows 0 Professional 設定内容説明本手順書は インターネット上にある PC_A から LTP over IPsec VPN トンネルを通じて 社内 LAN に設置している PC_B へアクセスを目的としております 設定内容は FortiGate への VPN の設定と Wondows7/Windows8/Windows8./Windows0 を対象としたクライアント端末の設定手順について記載しております
設定値一覧 インターフェース情報 項番インタフェース名 IP アドレスサブネットマスクアクセス port 9.68.....0 ping,https,ssh port 0.0.0....0 ユーザ情報 項番ユーザ名 パスワード ユーザグループ名 test-user password test-group ファイアウォールアドレス項番名前タイプサブネット /IP 範囲 LTPClients_Address IP 範囲 9.68..0-0 IPsec-VPN (Phase) 項番名前リモートゲートウェイローカルインターフェース事前共有鍵 IPsec インターフェースモード暗号化 DH グループ LTP_phase ダイヤルアップユーザ port password 無効 DES - SHA IPsec-VPN (Phase) 項番名前フェイズ 暗号化 暗号化 暗号化 PFS 鍵の有効時間 LTP_phase LTP_phase DES - SHA AES8 - SHA DES - MD 無効両方 /600( 秒 )/0000( キロバイト ) 6Fire wall ポリシー 項番ソースI/F 名ソースアドレスデストI/F 名デストアドレススケジュールサービスアクション NAT VPNトンネルリモートからイニシエートされたトラフィック port all port all always ALL ACCEPT 有効 - - port all port all always ALL IPsec - 有効許可 port LTPVlient_Address port all always ALL ACCEPT 無効 - - 7ルーティング情報項番宛先 IP/ マスクデバイス 0.0.0. port
LTP over IPsec VPN 設定 FortiGate に LTP over IPsec VPN 接続のための設定を行います. ユーザ ユーザグループの作成ユーザとユーザグループを作成します.. ユーザの作成ユーザ & デバイス > ユーザ定義にて ユーザを作成します [ 新規作成 ] をクリック [ 次へ ] をクリック [ ユーザ名 ]:test-user [ パスワード ]:password [ 次へ ] をクリック [ 次へ ] をクリック [ 有効化済み ] にチェックが入っていることを確認 [ サブミット ] をクリック 6
7
.. ユーザグループの作成ユーザ & デバイス > ユーザグループにて ユーザグループを作成します [ 新規作成 ] をクリック [ 名前 ]:test-group [ メンバー ]:test-user [ OK ] をクリック 8
. ファイアウォールアドレスの作成ポリシー & オブジェクト > アドレスにて ファイアウォールアドレスを作成します [ 新規作成 ] をクリック [ 名前 ]:LTPClients_Address [ タイプ ]:IP 範囲 [ サブネット /IP 範囲 ]:9.68..0-9.68..0 [ OK ] をクリック 9
. LTP クライアント用アドレス LTP クライアントへ払い出すアドレスを指定します config vpn ltp set eip 9.68..0 set sip 9.68..0 set status enable set usrgrp " test-group" end. ポリシーベース IPsec VPN を有効化システム > 表示機能設定 > よりポリシーベース IPsec VPN を有効化します [ ポリシーベース IPsec VPN ]:on [ 適用 ] をクリック 0
. IPsec-VPN フェーズの作成 LTP over IPsec VPN 用のフェーズを作成します.. フェーズ の作成 VPN > IPsec ヴィザードより フェーズ を作成します [ IPsec ヴィザード ] をクリック [ カスタム ] をクリック [ 名前 ]:LTP_phase [ 次へ ] をクリック
[ IPsec インターフェースモードを有効化 ]: 無効 [ リモートゲートウェイ ]: ダイヤルアップユーザ [ インターフェース ]:Port [ 事前共有鍵 ]:password [ 受け入れるタイプ ]: 任意のピア ID
6 [ フェーズ プロポーザル ]: 暗号化 :AES6 認証 :MD 暗号化 :DES 認証 :SHA 暗号化 :AES9 認証 SHA 7 [ Diffie Hellman グループ ]: 8 [ フェーズ プロポーザル ]: 暗号化 :AES6 認証 :MD 暗号化 :DES 認証 :SHA 暗号化 :AES9 認証 SHA 9 [ perfect forward secrecy(pfs) を有効にする ]: 無効 0 [ 秒 ]:600 [ OK ] をクリック 6 7 8 9 0
.. フェーズ の設定作成した LTP over IPsec VPN フェーズ に CLI から LTP の設定を追加します config vpn ipsec phase edit "LTP_phase" set encapsulation transport-mode set ltp enable next end.6 ファイアウォールポリシーの作成ポリシーを作成します.6. LTP over IPsec VPN 用ポリシーの作成ポリシー & オブジェクト > IPv ポリシーにて LTP over IPsec VPN 接続用のポリシーを作成します 6 7 8 9 0 [ 新規作成 ] をクリック [ 入力インタフェース ]:Port [ 出力インタフェース ]:Port [ 送信元 ]:all [ 宛先 ]:all [ スケジュール ]:always [ サービス ]:ALL [ アクション ]:IPsec [ VPN トンネル ]:LTP_phase ページ下の [ OK ] をクリック
6 7 8 9 0
.6. LTP Client から内部宛通信の許可ポリシーの作成ポリシー & オブジェクト > IPv ポリシーにて LTP クライアントから内部宛の通信を許可するポリシーを作成します 6 7 8 9 [ 新規作成 ] をクリック [ 入力インターフェース ]:port [ 出力インターフェース ]:port [ 送信元アドレス ]:LTPClients_Address [ 宛先アドレス ]:all [ スケジュール ]:always [ サービス ]:ALL [ アクション ]:ACCEPT [ OK ] をクリック 8 6 7 9 以上で FortiGate の設定は終了となります 6
クライアント端末設定 FortiGate に行った設定をもとに クライアント端末へ LTP over IPsec VPN 接続のための設定を行います. VPN 接続用プロファイルの作成 LTP over IPsec VPN 接続用のプロファイルを作成します クライアント端末設定情報 項番インターネットアドレス接続先の名前 ユーザ名 パスワード 0.0.0. LTP over IPsec VPN 接続用 test-user password [ ネットワークと共有センター ] を開く [ 新しい接続またはネットワークのセットアップ ] をクリック [ 職場に接続します ] を選択 [ 次へ ] をクリック [] 6 7 [ いいえ 新しい接続を作成します ] を選択 [ 次へ ] をクリック [ インターネット接続 (VPN) を使用します ] をクリック 7 6 7
8 [ インターネットアドレス ]:0.0.0. 9 [ 接続先の名前 ]:LTP over IPsec VPN 接続用 0 [ 次へ ] をクリック [ ユーザ名 ]:test-user [ パスワード ]:password [ 接続 ] をクリック c 8 9 0 [ スキップ ] をクリックし 一度接続をキャンセルします 8
. VPN 接続用プロファイル設定作成したプロファイルの設定変更を行います プロファイル設定情報項番 VPN の種類キー PAP CHAP MS-CHAP v LTP/IPsec password 有効無効無効 [ ネットワークと共有センター ] より [ アダプターの設定変更 ] を開く 作成したプロファイル [ LTP over IPsec VPN 接続用 ] を右クリック [ プロパティ ] をクリック 6 7 8 9 0 [ セキュリティ ] タブをクリック [ VPN の種類 ]:IPsec を利用したレイヤー トンネリングプロトコル (IPsec/LTP) [ 詳細設定 ] をクリック [ 認証に事前共有キーを使う ] を選択 [ キー ]:password [ OK ] をクリック [ 暗号化されていないパスワード (PAP) ]: 有効 [ チャレンジハンドシェイク承認プロトコル (CHAP) ]: 無効 [ Microsoft CHAP Version (MS-CHAP v) ]: 無効 [ OK ] をクリック 6 7 8 0 9 9
VPN 接続 接続確認クライアント端末から FortiGate へ VPN 接続を行います. VPN 接続. で作成したプロファイルを使用して Fortigate へ VPN 接続します [ ネットワーク接続 ] を開く [ LTP over IPsec VPN 接続用 ] をダブルクリック [ ユーザー名 ]:test-user [ パスワード ]:password [ 接続 ] をクリック c c 接続後は下記のように表示が変わります 0
. VPN 接続確認正しく VPN 接続できているか コマンドプロンプトを使用して確認します ipconfig VPN 接続用に IP アドレスが割り当てられています routeprint ルート情報に新たに 9.68.. を起点としたルートが追加されています tracert 社内 PC_B 宛のルートが確認できます