ルーティングベースIPsecVPN設定手順書

OS.0 ルーティングベース IPSec-VPN 手 順 書 Ver.. 承 認 確 認 担 当 0 年 0 9 月 日 株 式 会 社 ネ ッ ト ワ ー ル ド S I 技 術 本 部 イ ン フ ラ ソ リ ュ ー シ ョ ン 技 術 部

目 次 改 訂 履 歴... はじめに... FortiGate IPsec-VPN 設 定.... IPsec-VPN フェイズの 作 成..... フェイズ の 作 成..... フェイズ の 作 成...7. ファイアウォールポリシーの 作 成...8.. 通 信 許 可 ポリシー 送 信 元 ポート Phase の 作 成...8.. 通 信 許 可 ポリシー 送 信 元 ポート Phase の 作 成...9. IPsec-VPN 用 インターフェースの 設 定... エラー! ブックマークが 定 義 されていません. スタティックルートの 作 成... 0 VPN 接 続 接 続 確 認... Copyrightc0 Networld Corporation. All rights

改 訂 履 歴 変 更 履 歴 番 号 変 更 年 月 日 Version Page status 変 更 内 容 作 成 承 認 0/09/.0 o 新 規 作 成 NWL NWL 0//. p-p9 a d 構 成 フォーマット 修 正 NWL NWL 0/0/07. p p7 r キャプチャ 画 面 差 し 替 え NWL NWL 0/0/. r OS バージョン 変 更 /キャプチャ 差 し 替 え NWL NWL status: a(dd), d(elete), r(eplace), o(ther) マニュアルの 取 り 扱 いについて 本 書 の 記 載 内 容 の 一 部 または 全 部 を 無 断 で 転 載 することを 禁 じます 本 書 の 記 載 内 容 は 将 来 予 告 無 く 変 更 されることがあります 本 書 を 使 用 した 結 果 発 生 した 情 報 の 消 失 等 の 損 失 については 責 任 を 負 いかねます 本 書 の 設 定 内 容 についてのお 問 い 合 わせは 受 け 付 けておりませんのでご 了 承 ください 本 書 の 記 載 内 容 は 動 作 を 保 証 するものではございません 従 いましてお 客 様 への 導 入 時 には 必 ず 事 前 に 検 証 を 実 施 してください Networldテクニカルサポート Tech-World Fortinet 製 品 に 関 するソフトウェアサポート 窓 口 https://hds.networld.co.jp/helpdesk/support/login.jsp Fortinet FAQ Fortinet 製 品 に 関 するよくある 問 い 合 わせ https://hds.networld.co.jp/helpdesk/support/faq_info.jsp?link_id=tec メーカサイト Fortinet テクニカルドキュメント http://docs.fortinet.com/fgt.html Fortinet Knowledge Base http://kb.fortinet.com/kb/microsites/microsite.do Copyrightc0 Networld Corporation. All rights

はじめに 本 手 順 書 はルーティングベース IPsec-VPN を 用 いて 台 の FortiGate を VPN で 接 続 するため 設 定 手 順 を 説 明 した 資 料 になります 設 定 手 順 はステップバイステップで FortiGateを 初 期 化 した 状 態 からVPNの 接 続 が 完 了 するまでとなっております インターフェースなどの 初 期 設 定 につきましては 別 紙 FAQ の 基 本 設 定 について をご 確 認 下 さい URL: https://hds.networld.co.jp/faq/fortinet/0000-.pdf 構 成 図 機 器 情 報 ファームウェア FGT_A:FortiGate-VM FortiOS.0.0 FGT_B:FortiGate-VM FortiOS.0.0 PC_A:Windows 7 Professional PC_B:Windows 7 Professional Copyrightc0 Networld Corporation. All rights

設 定 値 一 覧 FGT_A インターフェース 情 報 項 番 インタフェース 名 IPアドレス サブネットマスク アクセス port 9.8.....0 ping,https,ssh port 0.0.0....0 IPsec-VPN (Phase) 項 番 名 前 リモートIPアドレス ローカルインターフェース 事 前 共 有 鍵 phase-a 0.0.0. port fortigate IPsec-VPN (Phase) 項 番 名 前 フェイズ キープアライブ オートネゴシエート phase-a phase-a 有 効 有 効 Firewallポリシー 項 番 ソースI/F 名 ソースアドレス デストI/F 名 デストアドレス スケジュール サービス アクション NAT port all port all always ALL ACCEPT 有 効 port all phase-a all always ALL ACCEPT 無 効 phase-a all port all always ALL ACCEPT 無 効 ルーティング 情 報 項 番 宛 先 IP/マスク デバイス 9.8..0/ phase-a FGT_B インターフェース 情 報 項 番 インタフェース 名 IPアドレス サブネットマスク アクセス port 9.8.....0 ping,https,ssh port 0.0.0....0 IPsec-VPN (Phase) 項 番 名 前 リモートIPアドレス ローカルインターフェース 事 前 共 有 鍵 phase-b 0.0.0. port fortigate IPsec-VPN (Phase) 項 番 名 前 フェイズ キープアライブ オートネゴシエート phase-b phase-b 有 効 有 効 Firewallポリシー 項 番 ソースI/F 名 ソースアドレス デストI/F 名 デストアドレス スケジュール サービス アクション NAT port all port all always ALL ACCEPT 有 効 port all phase-b all always ALL ACCEPT 無 効 phase-b all port all always ALL ACCEPT 無 効 ルーティング 情 報 項 番 宛 先 IP/マスク デバイス 9.8..0/ phase-b Copyrightc0 Networld Corporation. All rights

FortiGate IPsec-VPN 設 定 本 項 目 では IPsec-VPN の 設 定 を 行 います 設 定 は FGT_A を 例 に 記 載 しております FGT_B は 設 定 値 一 覧 をもとに 設 定 して 下 さい. IPsec-VPN フェイズの 作 成 VPN 用 のフェイズを 作 成 します.. フェイズ の 作 成 VPN > IPsec > 自 動 鍵 (IKE) より フェイズを 作 成 します [フェイズ を 作 成 ]をクリック [ 名 前 ]:phase-a [IP アドレス]:0.0.0. 対 向 の IP アドレスを 入 力 します [ローカルインターフェース]:port [ 事 前 共 有 鍵 ]:fortigate [OK]をクリック Copyrightc0 Networld Corporation. All rights

.. フェイズ の 作 成 VPN > IPsec > 自 動 鍵 (IKE) より フェイズ を 作 成 します [フェイズ を 作 成 ]をクリック [ 名 前 ]:phase-a [フェイズ ]:phase-a [ 自 動 鍵 キープアライブ]: 有 効 [オートネゴシエート]: 有 効 [OK]をクリック Copyrightc0 Networld Corporation. All rights 7

. ファイアウォールポリシーの 作 成 ポリシー > ポリシー > ポリシー にて 通 信 許 可 ポリシー 送 信 元 ポート Phase と 戻 りの 通 信 許 可 ポリシー Phase 送 信 元 ポート を 作 成 します.. 通 信 許 可 ポリシー 送 信 元 ポート Phase の 作 成 7 [Create New]をクリック [Incoming インターフェース]:port [ 送 信 元 アドレス]:all [Outgoing インターフェース]:phase-A [ 宛 先 アドレス]:all [スケジュール]:always [サービス]:ALL [アクション]:ACCEPT [OK]をクリック c v 同 様 に Phase 送 信 元 ポート のポリシーも 作 成 します 7 Copyrightc0 Networld Corporation. All rights 8

.. 通 信 許 可 ポリシー 送 信 元 ポート Phase の 作 成 7 [Create New]をクリック [Incoming インターフェース]:phase-A [ 送 信 元 アドレス]:all [Outgoing インターフェース]:port [ 宛 先 アドレス]:all [スケジュール]:always [サービス]:ALL [アクション]:ACCEPT [OK]をクリック 7 Copyrightc0 Networld Corporation. All rights 9

. スタティックルートの 作 成 ルータ > スタティック > スタティックルート にて ルーティングを 設 定 します [ 新 規 作 成 ]をクリック [ 宛 先 IP /マスク]:9.8..0/ [デバイス]:phase-A [OK]をクリック s あ 以 上 で FGT_A 側 の 設 定 は 終 了 となります 設 定 値 一 覧 をもとに 同 様 の 設 定 を FGT_B にも 行 います Copyrightc0 Networld Corporation. All rights 0

VPN 接 続 接 続 確 認 本 項 目 では FortiGate 間 での VPN 接 続 を 行 います VPN > モニタ > IPsec モニタ 上 にて. にて 作 成 したフェイズのステータス 項 目 の アップ をクリック します もしくは ポリシーにマッチするパケットを 流 します 問 題 なく VPN 接 続 が 開 始 しますと アップ であったステータスが 下 記 の 通 り ダウン となり モニ タ 上 のタイムアウト 値 やアップタイム 値 が 変 更 されます 上 記 の 接 続 が 確 認 された 後 は PC_A PC_B 間 での 疎 通 確 認 を 実 施 します Copyrightc0 Networld Corporation. All rights