Ver..0 承 認 確 認 担 当 0 年 0 月 日 株 式 会 社 ネ ッ ト ワ ー ル ド S I 技 術 本 部 イ ン フ ラ ソ リ ュ ー シ ョ ン 技 術 部
目 次 改 訂 履 歴... はじめに... LTP over IPsec VPN 設 定.... ユーザ ユーザグループの 作 成..... ユーザの 作 成..... ユーザグループの 作 成.... ファイアウォールアドレスの 作 成... 8. LTP クライアント 用 アドレス... 8. ポリシーベース IPsec VPN を 有 効 化... 8. IPsec-VPN フェイズの 作 成... 9.. フェイズ の 作 成... 9.. フェイズ の 作 成... 0.. フェイズ の 設 定.... ファイアウォールポリシーの 作 成..... LTP over IPsec VPN 用 ポリシーの 作 成..... LTP Client から 内 部 宛 通 信 の 許 可 ポリシーの 作 成... クライアント 端 末 設 定.... VPN 接 続 用 プロファイルの 作 成.... VPN 接 続 用 プロファイル 設 定... VPN 接 続 接 続 確 認.... VPN 接 続.... VPN 接 続 確 認... Copyrightc0 Networld Corporation. All rights
改 訂 履 歴 変 更 履 歴 番 号 変 更 年 月 日 Version Page status 変 更 内 容 作 成 承 認 0/0/.0 o 新 規 作 成 NWL NWL status: a(dd), d(elete), r(eplace), o(ther) マニュアルの 取 り 扱 いについて 本 書 の 記 載 内 容 の 一 部 または 全 部 を 無 断 で 転 載 することを 禁 じます 本 書 の 記 載 内 容 は 将 来 予 告 無 く 変 更 されることがあります 本 書 を 使 用 した 結 果 発 生 した 情 報 の 消 失 等 の 損 失 については 責 任 を 負 いかねます 本 書 の 設 定 内 容 についてのお 問 い 合 わせは 受 け 付 けておりませんのでご 了 承 ください 本 書 の 記 載 内 容 は 動 作 を 保 証 するものではございません 従 いましてお 客 様 への 導 入 時 には 必 ず 事 前 に 検 証 を 実 施 してください Networldテクニカルサポート Tech-World Fortinet 製 品 に 関 するソフトウェアサポート 窓 口 https://hds.networld.co.jp/helpdesk/support/login.jsp Fortinet FAQ Fortinet 製 品 に 関 するよくある 問 い 合 わせ https://hds.networld.co.jp/helpdesk/support/faq_info.jsp?link_id=tec メーカサイト Fortinet テクニカルドキュメント http://docs.fortinet.com/fgt.html Fortinet Knowledge Base http://kb.fortinet.com/kb/microsites/microsite.do Copyrightc0 Networld Corporation. All rights
はじめに はじめに 本 手 順 書 は LTP over IPsec VPN を 利 用 したリモートクライアントによる VPN 接 続 手 順 を 説 明 しております インターフェースなどの 初 期 設 定 につきましては 別 紙 FAQ の 基 本 設 定 について をご 確 認 下 さい URL: https://hds.networld.co.jp/faq/fortinet/0000-.pdf 構 成 図 機 器 情 報 ファームウェア FGT_A:FortiGate-VM FortiOS.0. PC_A:Windows Professional PC_B:Windows Professional 設 定 内 容 説 明 本 手 順 書 は インターネット 上 にある PC_A から LTP over IPsec VPN トンネルを 通 じて 社 内 LAN に 設 置 し ている PC_B へアクセスを 目 的 としております 設 定 内 容 は FortiGate への VPN の 設 定 と Wondows/Windows8/Windows8. を 対 象 としたクライアント 端 末 の 設 定 手 順 について 記 載 しております Copyrightc0 Networld Corporation. All rights
設 定 値 一 覧 インターフェース 情 報 項 番 インタフェース 名 IPアドレス サブネットマスク アクセス port 9.8.....0 ping,https,ssh port 0.0.0....0 ユーザ 情 報 項 番 ユーザ 名 パスワード ユーザグループ 名 test-user password test-group ファイアウォールアドレス 項 番 名 前 タイプ サブネット/IP 範 囲 LTPClients_Address IP 範 囲 9.8..0-0 IPsec- VPN ( Phase) 項 番 名 前 リモートゲートウェイ ローカルインターフェース 事 前 共 有 鍵 IPsecインターフェースモード 暗 号 化 DHグループ LTP_phase ダイヤルアップユーザ port password 無 効 DES - SHA IPsec- VPN ( Phase) 項 番 名 前 フェイズ 暗 号 化 暗 号 化 暗 号 化 PFS 鍵 の 有 効 時 間 LTP_phase LTP_phase DES - SHA AES8 - SHA DES - MD 無 効 両 方 /00( 秒 )/0000(キロバイト) Firewallポリシー 項 番 ソースI/F 名 ソースアドレス デストI/F 名 デストアドレス スケジュール サービス アクション NAT VPNトンネル リモートからイニシエートされたトラフィック port all port all always ALL ACCEPT 有 効 - - port all port all always ALL IPsec - 有 効 許 可 port LTPVlient_Address port all always ALL ACCEPT 無 効 - - ルーティング 情 報 項 番 宛 先 IP/マスク デバイス 0.0.0. port Copyrightc0 Networld Corporation. All rights
LTP over IPsec VPN 設 定 FortiGate に LTP over IPsec VPN 接 続 のための 設 定 を 行 います. ユーザ ユーザグループの 作 成 ユーザとユーザグループを 作 成 します.. ユーザの 作 成 ユーザ&デバイス > ユーザ > ユーザ 定 義 にて ユーザを 作 成 します [ 新 規 作 成 ]をクリック [Next]をクリック [ユーザ 名 ]:test-user [パスワード]:password [Next]をクリック [Next]をクリック [ 有 効 ]にチェックが 入 っていることを 確 認 [Done]をクリック Copyrightc0 Networld Corporation. All rights
a.. ユーザグループの 作 成 ユーザ&デバイス > ユーザ > ユーザグループ にて ユーザグループを 作 成 します [ 新 規 作 成 ]をクリック [ 名 前 ]:test-group [メンバー]:test-user [OK]をクリック Copyrightc0 Networld Corporation. All rights
. ファイアウォールアドレスの 作 成 ファイアウォールオブジェクト > アドレス > アドレス にて ファイアウォールアドレスを 作 成 します [ 新 規 作 成 ]をクリック [ 名 前 ]:LTPClients_Address [タイプ]:IP 範 囲 [サブネット/IP 範 囲 ]:9.8..0-9.8..0 [OK]をクリック. LTP クライアント 用 アドレス LTP クライアントへ 払 い 出 すアドレスを 指 定 します config vpn ltp set eip 9.8..0 set sip 9.8..0 set status enable set usrgrp " test-group" end. ポリシーベース IPsec VPN を 有 効 化 システム > 設 定 > フューチャー よりポリシーベース IPsec VPN を 有 効 化 します [Policy-based IPsec VPN]:on [ 適 用 ]をクリック Copyrightc0 Networld Corporation. All rights 8
. IPsec-VPN フェイズの 作 成 LTP over IPsec VPN 用 のフェイズを 作 成 します.. フェイズ の 作 成 VPN > IPsec > 自 動 鍵 (IKE) より フェイズを 作 成 します [フェイズ を 作 成 ]をクリック [ 名 前 ]:LTP_phase [リモートゲートウェイ]:ダイヤルアップユーザ [ローカルインターフェース]:port [ 事 前 共 有 鍵 ]:password [IPsec インターフェースモードを 有 効 にする]: 無 効 [ 暗 号 化 & 認 証 ]:. DS - SHA 8 [DH グループ]: 9 [OK]をクリック 8 9 Copyrightc0 Networld Corporation. All rights 9
.. フェイズ の 作 成 VPN > IPsec > 自 動 鍵 (IKE) より フェイズ を 作 成 します [フェイズ を 作 成 ]をクリック [ 名 前 ]:LTP_phase [フェイズ ]:LTP_phase [ 暗 号 化 & 認 証 ]:. DES - SHA. AES8 SHA. DES MD [perfect forward secrecy(pfs)を 有 効 にする]: 無 効 [ 鍵 の 有 効 時 間 ]: 両 方 /00( 秒 )/0000(キロバイト) [OK]をクリック Copyrightc0 Networld Corporation. All rights 0
.. フェイズ の 設 定 作 成 した LTP over IPsec VPN フェーズ に CLI から LTP の 設 定 を 追 加 します config vpn ipsec phase edit "LTP_phase" set encapsulation transport-mode set ltp enable next end. ファイアウォールポリシーの 作 成 ポリシーを 作 成 します.. LTP over IPsec VPN 用 ポリシーの 作 成 Policy > Policy > Policy にて LTP over IPsec VPN 接 続 用 のポリシーを 作 成 します 8 9 0 [ 新 規 作 成 ]をクリック [ポリシータイプ]:VPN [ポリシーサブタイプ]:IPsec [ローカルインターフェース]:port [ 送 信 元 アドレス]:all [Outgoing VPN インターフェース]:port [リモートの 保 護 サブネット]:all [スケジュール]:always [サービス]:ALL [VPN トンネル]: 既 存 のものを 使 う [VPN トンネル]:LTP_phase [リモートサイトからイニシエートされたトラフィックを 許 可 する]: 有 効 ページ 下 の[OK]をクリック c 8 0 9 Copyrightc0 Networld Corporation. All rights
.. LTP Client から 内 部 宛 通 信 の 許 可 ポリシーの 作 成 Policy > Policy > Policy にて LTP クライアントから 内 部 宛 の 通 信 を 許 可 するポリシーを 作 成 します [ 新 規 作 成 ]をクリック [incoming インターフェース]:port [ 送 信 元 アドレス]:LTPClients_Address [Outgoing インターフェース]:port [ 宛 先 アドレス]:all [スケジュール]:always [サービス]:ALL [アクション]:ACCEPT [OK]をクリック 以 上 で FortiGate の 設 定 は 終 了 となります 以 上 で FortiGate の 設 定 は 終 了 です Copyrightc0 Networld Corporation. All rights
クライアント 端 末 設 定 FortiGate に 行 った 設 定 をもとに クライアント 端 末 へ LTP over IPsec VPN 接 続 のための 設 定 を 行 います. VPN 接 続 用 プロファイルの 作 成 LTP over IPsec VPN 接 続 用 のプロファイルを 作 成 します クライアント 端 末 設 定 情 報 項 番 インターネットアドレス 接 続 先 の 名 前 ユーザ 名 パスワード 0.0.0. LTP over IPsec VPN 接 続 用 test-user password [ネットワークと 共 有 センター]を 開 く [ 新 しい 接 続 またはネットワークのセットアップ]をクリック [ 職 場 に 接 続 します]を 選 択 [ 次 へ]をクリック [] [いいえ 新 しい 接 続 を 作 成 します]を 選 択 [ 次 へ]をクリック [インターネット 接 続 (VPN)を 使 用 します]をクリック Copyrightc0 Networld Corporation. All rights
8 9 0 [インターネットアドレス]:0.0.0. [ 接 続 先 の 名 前 ]:LTP over IPsec VPN 接 続 用 [ 次 へ]をクリック [ユーザ 名 ]:test-user [パスワード]:password [ 接 続 ]をクリック c 8 9 0 [スキップ]をクリックし 一 度 接 続 をキャンセルします Copyrightc0 Networld Corporation. All rights
. VPN 接 続 用 プロファイル 設 定 作 成 したプロファイルの 設 定 変 更 を 行 います プロファイル 設 定 情 報 項 番 VPNの 種 類 キー PAP CHAP MS-CHAP v LTP/IPsec password 有 効 無 効 無 効 [ネットワークと 共 有 センター]より[アダプターの 設 定 変 更 ]を 開 く 作 成 したプロファイル[LTP over IPsec VPN 接 続 用 ]を 右 クリック [プロパティ]をクリック [セキュリティ]タブをクリック [VPN の 種 類 ]:IPsec を 利 用 したレイヤー トンネリングプロトコル(IPsec/LTP) [ 詳 細 設 定 ]をクリック [ 認 証 に 事 前 共 有 キーを 使 う]を 選 択 8 [キー]:password 9 [OK]をクリック 0 [ 暗 号 化 されていないパスワード(PAP)]: 有 効 [チャレンジハンドシェイク 承 認 プロトコル(CHAP)]: 無 効 [Microsoft CHAP Version (MS-CHAP v)]: 無 効 [OK]をクリック 8 0 9 Copyrightc0 Networld Corporation. All rights
VPN 接 続 接 続 確 認 クライアント 端 末 から FortiGate へ VPN 接 続 を 行 います. VPN 接 続. で 作 成 したプロファイルを 使 用 して Fortigate へ VPN 接 続 します [ネットワーク 接 続 ]を 開 く [LTP over IPsec VPN 接 続 用 ]をダブルクリック [ユーザー 名 ]:test-user [パスワード]:password [ 接 続 ]をクリック c c 接 続 後 は 下 記 のように 表 示 が 変 わります Copyrightc0 Networld Corporation. All rights
. VPN 接 続 確 認 正 しく VPN 接 続 できているか コマンドプロンプトを 使 用 して 確 認 します ipconfig VPN 接 続 用 に IP アドレスが 割 り 当 てられています routeprint ルート 情 報 に 新 たに 9.8.. を 起 点 としたルートが 追 加 されています tracert 社 内 PC_B 宛 のルートが 確 認 できます Copyrightc0 Networld Corporation. All rights