Fortigateを使ってIPSec-VPNを構築してみる(Fortigate60D-RTX1100編)

VPN

こんにちは。30代未経験ネットワークエンジニアのshin@7月からセキュリティエンジニアになることが出来ましたです。

今回はFortigate60DとRTX1100でIPsec-VPNを構築してみたいと思います。

以下サイトを参考にしながら構築してみました。
サイトではMainモードで構築していますが、今回はAggressiveモードで構築しています。

https://kb.fortinet.com/kb/documentLink.do?externalID=13885

目次

構成

以下のような構成で構築しました。

Foritigateに必要な設定は以下になります

・VPN
・ポリシー

それでは設定していきます。

手順_Fortigate

まずは、VPNの設定からやっていきましょう

VPNの設定

「VPN」>「IPsecトンネル」>「新規作成」

以下のように設定します。

名前:ToRTX1100
テンプレートタイプ:カスタム

ネットワーク
IPバージョン:IPv4
リモートゲートウェイ:ダイアルアップユーザ
インターフェース:wan1
モード設定:無し
NATトラバーサル:有効
Dead Peer Detection:オンデマンド

認証
方式:事前共有鍵
事前共有鍵:testvpn

IKE
バージョン:1
モード:アグレッシブ

ピアオプション
受け入れるタイプ:任意のピアID

Phase1プロポーザル
暗号化:AES128 認証:SHA1
Diffie-Hellman Group:2
鍵の有効時間(秒):28800
ローカルID:無し

XAUTH
タイプ:無効

Phase2の作成
名前:ToRTX1100
ローカルアドレス:192.168.41.0/24
リモートアドレス:192.168.1.0/24

Phase2プロポーザル
暗号化:AES128 認証:SHA1
ReplayDetectionを有効:有効
Perfect Forward Secrecy(PFS)を有効:有効
Diffie-Hellman Group:2
ローカルポート:チェック
リモートポート:チェック
プロトコル:チェック
自動鍵キープアライブ:なし
鍵の有効時間:秒
秒:28800

●ポリシーの設定

ポリシーについては設定値のみ記載します。
詳細な設定方法については以下のページを参照ください。

ポリシーの設定

・ポリシーの値

入力インターフェース:internal
出力インターフェース:ToRX1100
送信元;all
宛先:all
サービス:ALL
NAT:無効

以上で、Forigate側の設定は以上となります。

動画も取りましたのでよかったら是非見て言ってください。

続いて、RTX1100側の設定に移ります。

手順_RTX1100

コンソールやリモートでRTXへ接続し、以下コマンドを実行。
VPNのパラメータはFortigate側と合わせています。

ip route 192.168.41.0/24 gateway tunnel 1
tunnel select 1
tunnel name To_FG60D
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac
ipsec ike always-on 1 on
ipsec ike encryption 1 aes-cbc
ipsec ike esp-encapsulation 1 on
ipsec ike group 1 modp1024
ipsec ike hash 1 sha
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.1.1
ipsec ike local id 1 192.168.1.0/24
ipsec ike local name 1 rtx1100 key-id
ipsec ike pfs 1 on
ipsec ike pre-shared-key 1 text testvpn
ipsec ike remote address 1 192.168.102.254
ipsec ike remote id 1 192.168.41.0/24
ipsec auto refresh 1 on
ip tunnel tcp mss limit auto
tunnel enable 1
nat descriptor type 1000 masquerade
nat descriptor masquerade static 1000 1 192.168.1.1 udp 500
nat descriptor masquerade static 1000 2 192.168.1.1 esp
nat descriptor masquerade static 1000 3 192.168.1.1 udp 4500
ipsec auto refresh on
ipsec ike retry 10 5

以上で、RTX側の設定も以上です。
続いてVPNが正常にUPしているか確認します。

●FortigateVPN確認手順

「モニタ」>「IPSecモニタ」画面で、以下ステータスを確認
ステータス:アップ

RTXVPN確認手順

以下コマンドを実行

show status tunnel 1

# show status tunnel 1
TUNNEL[1]:
説明:
インタフェースの種類: IPsec
トンネルインタフェースは接続されています
開始: 1980/01/06 09:43:49
通信時間: 32分41秒
受信: (IPv4) 2 パケット [120 オクテット]
(IPv6) 0 パケット [0 オクテット]
送信: (IPv4) 2 パケット [120 オクテット]
(IPv6) 0 パケット [0 オクテット]

上記のように「トンネルインタフェースは接続されています」と表示されればUPしています。

確認

ちゃんとVPN接続されているか確認してみます。

Fortigate配下のPCからRTX1100のLAN側のIPアドレスに対してping、traceを実行してみます。

・VPNがUP時

・VPNがDown時

今回はRTXが1100と古い機種だったので、選べる暗号化が脆弱となっていますので、もしRTX1200シリーズで構築される方は、暗号化強度を上げて設定してみてください。

もし、IPsec-VPNを使って拠点間を構築したいよという方がおりましたら依頼お待ちしております。

以上です。ありがとうございました。

以下は参考書になります。(2020/4/23追加)
あくまでも各機器に対しての参考書ですので、ForigateとRTXのVPNの設定はありませんので、お気を付けください。

ネットワークエンジニアのための ヤマハルーター実践ガイド

FortiGateで始める 企業ネットワークセキュリティ

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

30歳未経験からネットワークエンジニアに転職し、運用→構築→設計の仕事をやってます。色んな機器(Cisco、YAMAHA、Fortigate、PaloAlto)を触らせてもらいとても楽しい仕事です!

現在は派遣にて主にCiscoを中心としたネットワーク設計~構築をしております。

また、2023年より副業で個人事業主や小規模企業からのパソコン設定~ネットワーク作業の仕事を請け負っておりますので、もしお困りの方がいましたらお気軽にお問い合わせください。

●今までの作業履歴
- パソコンの新旧入れ替え
- 拠点間のインターネットVPN接続(YAMAHA-Fortigate)

コメント

コメントする

目次