久しぶりに他機種間のVPN接続について書きます。
今回はFortigate60DとIX2215でIPsec-VPNを構築してみたいと思います。
もし、FortigateとYAMAHAのRTXのVPNが見たい方はこちらをご覧ください。
Fortigateを使ってIPSec-VPNを構築してみる(Fortigate60D-RTX1100編)
以下サイトを参考にしながら構築してみました。
サイトではMainモードで構築していますが、今回はAggressiveモードで構築しています。
https://kb.fortinet.com/kb/documentLink.do?externalID=13885
●構成
以下のような構成で構築しました。
Foritigateに必要な設定は以下になります
・VPN
・ポリシー
・ルーティング
それでは設定していきます。
●手順_Fortigate
まずは、VPNの設定からやっていきましょう
●VPNの設定
「VPN」>「IPsecトンネル」>「新規作成」
以下のように設定します。
名前:ToIX2215
テンプレートタイプ:カスタム
ネットワーク
IPバージョン:IPv4
リモートゲートウェイ:固定IPアドレス
IPアドレス:192.168.101.254
インターフェース:wan1
モード設定:無し
NATトラバーサル:有効
Dead Peer Detection:オンデマンド
認証方式:事前共有鍵
事前共有鍵:testvpn
IKE
バージョン:1
モード:アグレッシブ
ピアオプション
受け入れるタイプ:任意のピアID
Phase1プロポーザル
暗号化:AES256 認証:SHA256
Diffie-Hellman Group:2
鍵の有効時間(秒):86400
ローカルID:無し
XAUTH
タイプ:無効
Phase2の作成
名前:To-IX2215
ローカルアドレス:192.168.41.0/24
リモートアドレス:192.168.1.0/24
Phase2プロポーザル
暗号化:AES256 認証:SHA256
ReplayDetectionを有効:有効
Perfect Forward Secrecy(PFS)を有効:有効
Diffie-Hellman Group:2
ローカルポート:チェック
リモートポート:チェック
プロトコル:チェック
自動鍵キープアライブ:なし
鍵の有効時間:秒
秒:43200
●ポリシーの設定
ポリシーについては設定値のみ記載します。
詳細な設定方法については以下のページを参照ください。
・ポリシーの値
入力インターフェース:internal
出力インターフェース:To-TX2215
送信元;all
宛先:all
サービス:ALL
NAT:無効
以上で、ポリシーの設定は終わりです。
●ルーティングの設定
ルーティングも設定値のみ記載します。
「ネットワーク」>「ルーティング」>「新規作成」>以下設定を入力し、OK
宛先:192.168.1.0/24
デバイス:To-IX2215
以上で、Forigate側の設定は以上となります。
前回使った、Foritgate-YAMAHA間の動画ですが、設定は同じなので載せておきます。
続いて、IX2215側の設定に移ります。
手順_IX2215
コンソールやリモートでIX2215へ接続し、以下コマンドを実行。
VPNのパラメータはFortigate側と合わせています。
IX2215コマンド
ip route 192.168.41.0/24 Tunnel1.0
ip access-list sec-list permit ip src any dest any
ike proposal ikeforti encryption aes-256 hash sha2-256 group 1024-bit lifetime 86400
ike policy ike-policy-forti peer any key ix-forti mode aggressive ikeforti
ipsec autokey-proposal secforti esp-aes-256 esp-sha2-256 lifetime time 43200
ipsec dynamic-map ipsec-policy-forti sec-list secforti ike ike-policy-forti
ipsec local-id ipsec-policy-forti 192.168.1.0/24
ipsec remote-id ipsec-policy-forti 192.168.41.0/24
interface GigaEthernet2.0
ip address 192.168.1.254/24
no shutdown
interface GigaEthernet0.1
encapsulation pppoe
auto-connect
ppp binding ppp_profile
ip address 192.168.101.254/24
ip tcp adjust-mss auto
ip napt enable
ip napt static GigaEthernet0.1 udp 500
no shutdown
interface Tunnel1.0
tunnel mode ipsec
ip unnumbered GigaEthernet2.0
ip tcp adjust-mss auto
ipsec policy tunnel ipsec-policy-forti out
no shutdown
以上で、RTX側の設定も以上です。
続いてVPNが正常にUPしているか確認します。
FortigateVPN確認手順
「モニタ」>「IPSecモニタ」画面で、以下ステータスを確認
ステータス:アップ
IX2215VPN確認手順
以下コマンドを実行
show ipsec sa
# show ipsec sa
Router1(config)# sh ipsec sa
IPsec SA – 1 configured, 1 created
Interface is Tunnel1.0
Key policy map name is ipsec-policy-forti
Tunnel mode, 4-over-4, dynamic-map
Local address is 192.168.101.254
Remote address is 192.168.102.254
Outgoing interface is GigaEthernet0.1
Interface MTU is 1390, path MTU is 1454
Inbound:
ESP, SPI is 0xe632bbed(3862084589)
Transform is ESP-AES-256-HMAC-SHA2-256-128
Remaining lifetime is 42675 seconds
Replay detection support is on
Outbound:
ESP, SPI is 0x790e6752(2030987090)
Transform is ESP-AES-256-HMAC-SHA2-256-128
Remaining lifetime is 42675 seconds
Replay detection support is on
Perfect forward secrecy is 1024-bit
上記のように「IPsec SA – 1 configured, 1 created」のcreatedと表示されればUPしています。
疎通確認
ちゃんとVPN接続されているか確認してみます。
Fortigate配下のPCからIX2215のLAN側のIPアドレスに対してping、traceを実行してみます。
今回はVPN接続のみを目的としていますので、ACLの設定は入っていません。
以上です。ありがとうございました。
以下はFortigateの参考書ですが、今回のような他機種間のVPN接続の方法については記載がありませんのでご注意ください。
