...

こちらの資料 - TEC

by user

on
Category: Documents
31

views

Report

Comments

Transcript

こちらの資料 - TEC
IPsec-VPN (FortiGate-RTX1100)手順書
Ver. 1.0
承認
確認
担当
2 0 1 4
年
0 9
月
2 9
日
株 式 会 社 ネ ッ ト ワ ー ル ド
S
I
技
術
本
部
イ ン フ ラ ソ リ ュ ー シ ョ ン 技 術 部
IPsec-VPN(FortiGate-RTX1100)手順書
目次
1
2
3
改訂履歴 ...........................................................................................................................3
はじめに ............................................................................................................................4
FGT_A IPsec-VPN 設定 ....................................................................................................6
3.1
IPsec-VPN フェイズの作成 ........................................................................................6
3.1.1
フェイズ 1 の作成 ................................................................................................6
3.1.2
フェイズ 2 の作成 ................................................................................................7
3.2
ファイアウォールポリシーの作成 .................................................................................8
3.2.1
通信許可ポリシー『送信元ポート→Phase1』の作成 ............................................8
3.2.2
通信許可ポリシー『Phase1→送信元ポート』の作成 ............................................9
3.3
スタティックルートの作成.......................................................................................... 10
4 RTX1100 IPsec-VPN 設定.............................................................................................. 11
4.1
IPsec-VPN フェイズの作成 ..................................................................................... 11
4.2
DPD の設定............................................................................................................. 13
5 VPN 接続、接続確認 ...................................................................................................... 14
Copyrightⓒ2014 Networld Corporation. All rights
¥ reserved.
2
IPsec-VPN(FortiGate-RTX1100)手順書
1
改訂履歴
変更履歴
番号
変更年月日
1
2014/09/29
2
3
4
5
Version
1.0
Page
status
o
変更内容
新規作成
作成
NWL
承認
NWL
status: a(dd), d(elete), r(eplace), o(ther)
■マニュアルの取り扱いについて
・ 本書の記載内容の一部または全部を無断で転載することを禁じます。
・ 本書の記載内容は将来予告無く変更されることがあります。
・ 本書を使用した結果発生した情報の消失等の損失については、責任を負いかねます。
・ 本書の設定内容についてのお問い合わせは、受け付けておりませんのでご了承ください。
・ 本書の記載内容は、動作を保証するものではございません。従いましてお客様への導入時には、
必ず事前に検証を実施してください。
・本書はFortiGateとYAMAHA RTX1100をIPsecVPNで接続するための参考資料です。
FortiGate - 他ベンダー間での VPN 接続の場合、サポートは FortiGate に限ります。
■Networldテクニカルサポート
・Tech-World
Fortinet製品に関するソフトウェアサポート窓口
https://hds.networld.co.jp/helpdesk/support/login.jsp
・Fortinet FAQ
Fortinet製品に関するよくある問い合わせ
https://hds.networld.co.jp/helpdesk/support/faq_info.jsp?link_id=tec
■メーカサイト
・Fortinet テクニカルドキュメント
http://docs.fortinet.com/fgt.html
・Fortinet Knowledge Base
http://kb.fortinet.com/kb/microsites/microsite.do
Copyrightⓒ2014 Networld Corporation. All rights
¥ reserved.
3
IPsec-VPN(FortiGate-RTX1100)手順書
2
はじめに
本手順書はルーティングベース IPsec-VPN を用いて FortiGate-YAMAHA RTX1100 を接続するための設定
手順を説明した資料になります。
FortiGate の初期設定につきましては、別紙 FAQ の『基本設定について』をご確認下さい。
URL: https://hds.networld.co.jp/faq/fortinet/00002526-1.pdf
YAHAMA RTX1100 の初期設定は、本手順書の設定範囲外です。別途、メーカ資料等をご確認下さい。
【構成図】
【機器情報・ファームウェア】
FGT_A:
FortiGate-VM
FortiOS 5.0.9
RTX1100:RTX1100
Rev.8.03.94
PC_A:Windows 7 Professional
PC_B:Windows 7
Professional
Copyrightⓒ2014 Networld Corporation. All rights
¥ reserved.
4
IPsec-VPN(FortiGate-RTX1100)手順書
【設定値一覧】
FGT_A
①インターフェース情報1
項番 インタフェース名
IPアドレス
サブネットマスク
アクセス
1 port2
192.168.1.254
255.255.255.0
ping,https,ssh
2 port1
10.0.0.254
255.255.255.0
②IPsec-VPN (Phase1)
項番 名前
1 phase1-A
リモートゲートウェイ
IPアドレス
ローカルインターフェース
事前共有鍵 DHグループ
スタティックIPアドレス
10.0.0.253
port1
fortigate
2
③IPsec-VPN (Phase2)
項番 名前
1 phase2-A
フェイズ1
DHグループ 自動鍵キープアライブ
クイックモードセレクタ 送信元
クイックモードセレクタ 宛先
phase1-A
2
192.168.1.0/24
192.168.2.0/24
有効
④Firewallポリシー
項番 ソースI/F名
1 port2
2 port2
3 phase1-A
ソースアドレス
all
デストI/F名
port1
デストアドレス
all
スケジュール
always
サービス
ALL
アクション
ACCEPT
NAT
all
phase1-A
all
always
ALL
ACCEPT
有効
無効
all
port2
all
always
ALL
ACCEPT
無効
⑤ルーティング情報
項番 宛先IP/マスク
デバイス
1 192.168.2.0/24
phase1-A
RTX1100
①インターフェース情報1
項番 インタフェース名
IPアドレス
サブネットマスク
1 LAN1
192.168.2.254
255.255.255.0
2 LAN2
10.0.0.253
255.255.255.0
②IPsec-VPN
基本設定
項番 トンネル名
認証鍵
相手先の識別方法
自分のIPアドレス
PFSの利用
1 FGT_A
fortigate
10.0.0.254
10.0.0.253
用いる
フェーズ1
認証アルゴリズム
暗号アルゴリズム IKEが用いるグループ
SHA-1
3DES-CBC
mopd1024
フェーズ2
認証アルゴリズム
暗号アルゴリズム 鍵の寿命
自分側のID
HMAC-SHA
3DES-CBC
192.168.2.0/24 192.168.1.0/24 mopd1024
1800
相手側のID
IKEが用いるグループ
その他
静的経路の追加
DPD
有効 / 192.168.1.0/24
Interval:5秒 Cout:3
※DPDはCLIから設定します。
Copyrightⓒ2014 Networld Corporation. All rights
¥ reserved.
5
IPsec-VPN(FortiGate-RTX1100)手順書
3
FGT_A IPsec-VPN 設定
本項目では FGT_A へ IPsec-VPN の設定を行います。
3.1
IPsec-VPN フェイズの作成
VPN 用のフェイズを作成します。
3.1.1
フェイズ 1 の作成
VPN > IPsec > 自動鍵(IKE) より、フェイズ1を作成します。
①
②
③
④
⑤
⑥
⑦
⑧
[フェイズ 1 を作成]をクリック。
[名前]:phase1-A
[リモートゲートウェイ]:スタティック IP アドレス
[IP アドレス]:10.0.0.253
[ローカルインターフェース]:port1
[事前共有鍵]:fortigate
[DH グループ]:2
[OK]をクリック。
①
②
③
④
⑤
⑥
⑦
⑧
Copyrightⓒ2014 Networld Corporation. All rights
¥ reserved.
6
IPsec-VPN(FortiGate-RTX1100)手順書
3.1.2
フェイズ 2 の作成
VPN > IPsec > 自動鍵(IKE) より、フェイズ 2 を作成します。
①
②
③
④
⑤
⑥
⑦
⑧
⑨
[フェイズ 2 を作成]をクリック。
[名前]:phase2-A
[フェイズ 1]:phase1-A
[リプレイ検知を有効にする]:無効
[DH グループ]:2
[自動鍵キープアライブ]:有効
[クイックモードセレクタ 送信元アドレス]:192.168.1.0/24
[クイックモードセレクタ 宛先アドレス]:192.168.2.0/24
[OK]をクリック。
①
②
③
④
⑤
⑥
⑦
⑧
⑨
Copyrightⓒ2014 Networld Corporation. All rights
¥ reserved.
7
IPsec-VPN(FortiGate-RTX1100)手順書
3.2
ファイアウォールポリシーの作成
ポリシー > ポリシー > ポリシー にて、通信許可ポリシー『送信元ポート→Phase1』と 戻りの通信
許可ポリシー『Phase1→送信元ポート』を作成します。
3.2.1
①
②
③
④
⑤
⑥
⑦
通信許可ポリシー『送信元ポート→Phase1』の作成
[Create New]をクリック。
[Incoming インターフェース]:port2
[送信元アドレス]:all
[Outgoing インターフェース]:phase1-A
[宛先アドレス]:all
[スケジュール]:always
[サービス]:ALL
[アクション]:ACCEPT
[OK]をクリック。
①
②
c
③
④
⑤
⑥
v
同様に『Phase1→送信元ポート』のポリシーも作成します。
⑦
Copyrightⓒ2014 Networld Corporation. All rights
¥ reserved.
8
IPsec-VPN(FortiGate-RTX1100)手順書
3.2.2
①
②
③
④
⑤
⑥
⑦
通信許可ポリシー『Phase1→送信元ポート』の作成
[Create New]をクリック。
[Incoming インターフェース]:phase1-A
[送信元アドレス]:all
[Outgoing インターフェース]:port2
[宛先アドレス]:all
[スケジュール]:always
[サービス]:ALL
[アクション]:ACCEPT
[OK]をクリック。
①
②
③
④
⑤
⑥
⑦
Copyrightⓒ2014 Networld Corporation. All rights
¥ reserved.
9
IPsec-VPN(FortiGate-RTX1100)手順書
3.3
スタティックルートの作成
ルータ > スタティック > スタティックルート にて、ルーティングを設定します。
①
②
③
④
[新規作成]をクリック。
[宛先 IP /マスク]:192.168.2.0/24
[デバイス]:phase1-A
[OK]をクリック。
①
②
s
③
あ
あ
④
」
以上で、FGT_A 側の設定は終了となります。
Copyrightⓒ2014 Networld Corporation. All rights
¥ reserved.
10
IPsec-VPN(FortiGate-RTX1100)手順書
4
RTX1100 IPsec-VPN 設定
本項目では RTX1100 へ IPsec-VPN の設定を行います。
4.1
IPsec-VPN フェイズの作成
ブラウザから RTX1100 へアクセスし、 管理者向けトップページへ > 管理支援 > IPsec より、
VPN の接続先を登録します。
①
②
③
④
⑤
⑥
⑦
[新規登録]をクリック。
※新しくブラウザが立ち上がります。
[詳細設定へ]をクリック。
[トンネル名]:FGT_A
[認証鍵]:fortigate
[相手先の識別方法]:相手先のアドレス / 10.0.0.254
[自分の IP アドレス]:10.0.0.253
[PFS の利用]:用いる
①
②
③
④
⑤
⑥
⑦
Copyrightⓒ2014 Networld Corporation. All rights
¥ reserved.
11
IPsec-VPN(FortiGate-RTX1100)手順書
【フェーズ1】
⑧ [認証アルゴリズムの選択]:SHA-1
⑨ [暗号アルゴリズムの選択]:3DES-CBC
⑩ [IKE が用いるグループ]:modp1024
⑧
⑨
⑩
【フェーズ2】
⑪ [認証アルゴリズムの選択]:HMAC-SHA
⑫ [暗号アルゴリズムの選択]:3DES-CBC
⑬ [鍵の寿命]:1800
⑭ [自分側の ID]:192.168.2.0/24
⑮ [相手側の ID]:192.168.1.0/24
⑯ [IKE が用いるグループ]:modp1024
⑪
⑫
⑬
⑭
1
⑰
⑱
⑮
⑯
[静的経路の追加]:192.168.1.0/24
[確認]をクリック。
⑰
⑱
Copyrightⓒ2014 Networld Corporation. All rights
¥ reserved.
12
IPsec-VPN(FortiGate-RTX1100)手順書
⑲
[登録]をクリック。
⑲
4.2
DPD の設定
CLI からの設定を追加します。
追加コンフィグ:
ipsec ike keepalive use1 on dpd 5 3
以上で、RTX1100 側の設定は終了となります。
Copyrightⓒ2014 Networld Corporation. All rights
¥ reserved.
13
IPsec-VPN(FortiGate-RTX1100)手順書
5
VPN 接続、接続確認
本項目では、VPN 接続を行います。
FGT_A より、VPN > モニタ > IPsec モニタ 上にて、3.1 にて作成したフェイズのステータス項目の
『アップ』をクリックします。
問題なく VPN 接続が開始しますと、『↓アップ』であったステータスが下記の通り『↑ダウン』となり、モニ
タ上のタイムアウト値やアップタイム値が変更されます。
RTX1100 より、VPN が接続されているか確認します。
接続中の接続先情報は青色で表示されます。
上記の接続確認後、PC_A、PC_B 間で疎通確認を実施します。
以上。
Copyrightⓒ2014 Networld Corporation. All rights
¥ reserved.
14
Fly UP