Fortigateを使ってIPSec-VPNを構築してみる(Fortigate60D-IX2215編)

Pocket

久しぶりに他機種間のVPN接続について書きます。

今回はFortigate60DとIX2215でIPsec-VPNを構築してみたいと思います。

もし、FortigateとYAMAHAのRTXのVPNが見たい方はこちらをご覧ください。

Fortigateを使ってIPSec-VPNを構築してみる(Fortigate60D-RTX1100編)

以下サイトを参考にしながら構築してみました。
サイトではMainモードで構築していますが、今回はAggressiveモードで構築しています。

https://kb.fortinet.com/kb/documentLink.do?externalID=13885

●構成

以下のような構成で構築しました。

Foritigateに必要な設定は以下になります

・VPN
・ポリシー
・ルーティング

それでは設定していきます。

●手順_Fortigate

まずは、VPNの設定からやっていきましょう

●VPNの設定

「VPN」>「IPsecトンネル」>「新規作成」

以下のように設定します。

名前:ToIX2215
テンプレートタイプ:カスタム

ネットワーク
IPバージョン:IPv4
リモートゲートウェイ:固定IPアドレス
IPアドレス:192.168.101.254
インターフェース:wan1
モード設定:無し
NATトラバーサル:有効
Dead Peer Detection:オンデマンド
認証方式:事前共有鍵
事前共有鍵:testvpn

IKE
バージョン:1
モード:アグレッシブ

 

ピアオプション
受け入れるタイプ:任意のピアID

Phase1プロポーザル
暗号化:AES256 認証:SHA256
Diffie-Hellman Group:2
鍵の有効時間(秒):86400
ローカルID:無し

XAUTH
タイプ:無効

Phase2の作成
名前:To-IX2215
ローカルアドレス:192.168.41.0/24
リモートアドレス:192.168.1.0/24

Phase2プロポーザル
暗号化:AES256 認証:SHA256
ReplayDetectionを有効:有効
Perfect Forward Secrecy(PFS)を有効:有効
Diffie-Hellman Group:2
ローカルポート:チェック
リモートポート:チェック
プロトコル:チェック
自動鍵キープアライブ:なし
鍵の有効時間:秒
秒:43200

●ポリシーの設定

ポリシーについては設定値のみ記載します。
詳細な設定方法については以下のページを参照ください。

ポリシーの設定

・ポリシーの値

入力インターフェース:internal
出力インターフェース:To-TX2215
送信元;all
宛先:all
サービス:ALL
NAT:無効

以上で、ポリシーの設定は終わりです。

●ルーティングの設定

ルーティングも設定値のみ記載します。

「ネットワーク」>「ルーティング」>「新規作成」>以下設定を入力し、OK

宛先:192.168.1.0/24
デバイス:To-IX2215

以上で、Forigate側の設定は以上となります。

前回使った、Foritgate-YAMAHA間の動画ですが、設定は同じなので載せておきます。

続いて、IX2215側の設定に移ります。

手順_IX2215

コンソールやリモートでIX2215へ接続し、以下コマンドを実行。
VPNのパラメータはFortigate側と合わせています。

IX2215コマンド

ip route 192.168.41.0/24 Tunnel1.0

ip access-list sec-list permit ip src any dest any

ike proposal ikeforti encryption aes-256 hash sha2-256 group 1024-bit lifetime 86400
ike policy ike-policy-forti peer any key ix-forti mode aggressive ikeforti

ipsec autokey-proposal secforti esp-aes-256 esp-sha2-256 lifetime time 43200
ipsec dynamic-map ipsec-policy-forti sec-list secforti ike ike-policy-forti
ipsec local-id ipsec-policy-forti 192.168.1.0/24
ipsec remote-id ipsec-policy-forti 192.168.41.0/24

interface GigaEthernet2.0
ip address 192.168.1.254/24
no shutdown

interface GigaEthernet0.1
encapsulation pppoe
auto-connect
ppp binding ppp_profile
ip address 192.168.101.254/24
ip tcp adjust-mss auto
ip napt enable
ip napt static GigaEthernet0.1 udp 500
no shutdown

interface Tunnel1.0
tunnel mode ipsec
ip unnumbered GigaEthernet2.0
ip tcp adjust-mss auto
ipsec policy tunnel ipsec-policy-forti out
no shutdown

以上で、RTX側の設定も以上です。
続いてVPNが正常にUPしているか確認します。

FortigateVPN確認手順

「モニタ」>「IPSecモニタ」画面で、以下ステータスを確認
ステータス:アップ

IX2215VPN確認手順

以下コマンドを実行

show ipsec sa

# show ipsec sa
Router1(config)# sh ipsec sa
IPsec SA – 1 configured, 1 created
Interface is Tunnel1.0
Key policy map name is ipsec-policy-forti
Tunnel mode, 4-over-4, dynamic-map
Local address is 192.168.101.254
Remote address is 192.168.102.254
Outgoing interface is GigaEthernet0.1
Interface MTU is 1390, path MTU is 1454
Inbound:
ESP, SPI is 0xe632bbed(3862084589)
Transform is ESP-AES-256-HMAC-SHA2-256-128
Remaining lifetime is 42675 seconds
Replay detection support is on
Outbound:
ESP, SPI is 0x790e6752(2030987090)
Transform is ESP-AES-256-HMAC-SHA2-256-128
Remaining lifetime is 42675 seconds
Replay detection support is on
Perfect forward secrecy is 1024-bit

上記のように「IPsec SA – 1 configured, 1 created」のcreatedと表示されればUPしています。

疎通確認

ちゃんとVPN接続されているか確認してみます。

Fortigate配下のPCからIX2215のLAN側のIPアドレスに対してping、traceを実行してみます。

今回はVPN接続のみを目的としていますので、ACLの設定は入っていません。

以上です。ありがとうございました。

以下はFortigateの参考書ですが、今回のような他機種間のVPN接続の方法については記載がありませんのでご注意ください。

FortiGateで始める 企業ネットワークセキュリティ

Pocket

Fortigateでsyslogを取ってみた

Pocket

こんにちは。30代未経験ネットワークエンジニアのshin@セキュリティ勉強中です。

今回は、FortigateでSyslogの取得をしてみたいと思います。

Syslogを取得すると何が嬉しいかというと、何かセキュリティインシデントが発生した場合に、時系列でどういった通信をしてどんな情報がどこに対して行われたかを可視化するために、Syslogがないと何もできません。そのため、Syslogを取得することはとても必要となります。

設定は簡単です。

それではやっていきましょう。

【手順】

1.「ログ&レポート」>「ログ設定」

2.「リモートロギングとアーカイブ」>「ログをSyslogへ送る」

チェック:ON
IPアドレス/FQDN:Syslogサーバのアドレスを入力

3.「適用」を選択

以上で設定は終わりです。

続いてちゃんとログが取得できているかを確認する必要がありますので、ログを確認していきましょう。

まずはパケットを見てみましょう。

ちゃんと取れてますね。

ファシリティが「local7」なのは、Fortigateのデフォルトのようです。

CLIから設定を見ると確かに「local7」になってます。

 

●確認コマンド

get log syslogd setting

 

もし変えたい場合は、CLIで変更できるようです。

config log syslogd setting
set facility “ファシリティ“
end

実際に「local1」に変更してみました。

パケットもちゃんと「local1」になってました。

 

続いてちゃんとSyslogサーバにもログが転送されているか確認してみます。

こちらも問題なく転送されてきているようです。

今回のsyslog設定は以上です。

ログはセキュリティインシデントの調査に必ず必要になりますので、是非設定してみてください。

どうもありがとうございました。

 

p.s.

最近パソコンのセキュリティ対策支援というものを始めてみましたので、何かパソコンのセキュリティについて聞いてみたいことがありましたらコメントか、以下メールにご連絡ください。

shin.secsup@gmail.com

Pocket

Fortigateのミラーポート機能を使ってみた

Pocket

こんにちは。30代未経験ネットワークエンジニアのshin@セキュリティ勉強中です。

今回はForigateのミラーポート機能を使って家のパケットをキャプチャしてみました。

ミラーポートとは

設定したポート上の流れるパケットを別のポートにコピー(ミラー)する機能です。

どういったときに使うかというと、「ネットワークで障害が発生しているが何が起こっているかがわからない」といったときなどに、ミラーポートを作成してコピーされたポートにPCを接続し、パケットをキャプチャするときに使います。

今回は、internal1のパケットをinternal7へミラーする設定をしていきます。

それではさっそくやってみます。

設定

「ネットワーク」>「インターフェース」>「internal」をダブルクリック

SPANの設定を以下の設定にして「OK」を選択する

SPAN:有効

送信元ポート:internal1

宛先ポート:internal7

報告:両方

以上で設定は終わりです。

動画も取得しましたのでよかったら是非見てください。

 

次に実際にinternal7にPCを接続してパケットを取得してみます。

ちゃんとパケットが取得されていますね。

あまり使う機会はないかもしれませんが、こういう機能があるんだなということを覚えておいて、もし何かあったときに使ってみてください。

以上です。ありがとうございました。

Pocket