Comments
Description
Transcript
こちらの資料 - TEC
IPsec-VPN (FortiGate-RTX1100)手順書 Ver. 1.0 承認 確認 担当 2 0 1 4 年 0 9 月 2 9 日 株 式 会 社 ネ ッ ト ワ ー ル ド S I 技 術 本 部 イ ン フ ラ ソ リ ュ ー シ ョ ン 技 術 部 IPsec-VPN(FortiGate-RTX1100)手順書 目次 1 2 3 改訂履歴 ...........................................................................................................................3 はじめに ............................................................................................................................4 FGT_A IPsec-VPN 設定 ....................................................................................................6 3.1 IPsec-VPN フェイズの作成 ........................................................................................6 3.1.1 フェイズ 1 の作成 ................................................................................................6 3.1.2 フェイズ 2 の作成 ................................................................................................7 3.2 ファイアウォールポリシーの作成 .................................................................................8 3.2.1 通信許可ポリシー『送信元ポート→Phase1』の作成 ............................................8 3.2.2 通信許可ポリシー『Phase1→送信元ポート』の作成 ............................................9 3.3 スタティックルートの作成.......................................................................................... 10 4 RTX1100 IPsec-VPN 設定.............................................................................................. 11 4.1 IPsec-VPN フェイズの作成 ..................................................................................... 11 4.2 DPD の設定............................................................................................................. 13 5 VPN 接続、接続確認 ...................................................................................................... 14 Copyrightⓒ2014 Networld Corporation. All rights ¥ reserved. 2 IPsec-VPN(FortiGate-RTX1100)手順書 1 改訂履歴 変更履歴 番号 変更年月日 1 2014/09/29 2 3 4 5 Version 1.0 Page status o 変更内容 新規作成 作成 NWL 承認 NWL status: a(dd), d(elete), r(eplace), o(ther) ■マニュアルの取り扱いについて ・ 本書の記載内容の一部または全部を無断で転載することを禁じます。 ・ 本書の記載内容は将来予告無く変更されることがあります。 ・ 本書を使用した結果発生した情報の消失等の損失については、責任を負いかねます。 ・ 本書の設定内容についてのお問い合わせは、受け付けておりませんのでご了承ください。 ・ 本書の記載内容は、動作を保証するものではございません。従いましてお客様への導入時には、 必ず事前に検証を実施してください。 ・本書はFortiGateとYAMAHA RTX1100をIPsecVPNで接続するための参考資料です。 FortiGate - 他ベンダー間での VPN 接続の場合、サポートは FortiGate に限ります。 ■Networldテクニカルサポート ・Tech-World Fortinet製品に関するソフトウェアサポート窓口 https://hds.networld.co.jp/helpdesk/support/login.jsp ・Fortinet FAQ Fortinet製品に関するよくある問い合わせ https://hds.networld.co.jp/helpdesk/support/faq_info.jsp?link_id=tec ■メーカサイト ・Fortinet テクニカルドキュメント http://docs.fortinet.com/fgt.html ・Fortinet Knowledge Base http://kb.fortinet.com/kb/microsites/microsite.do Copyrightⓒ2014 Networld Corporation. All rights ¥ reserved. 3 IPsec-VPN(FortiGate-RTX1100)手順書 2 はじめに 本手順書はルーティングベース IPsec-VPN を用いて FortiGate-YAMAHA RTX1100 を接続するための設定 手順を説明した資料になります。 FortiGate の初期設定につきましては、別紙 FAQ の『基本設定について』をご確認下さい。 URL: https://hds.networld.co.jp/faq/fortinet/00002526-1.pdf YAHAMA RTX1100 の初期設定は、本手順書の設定範囲外です。別途、メーカ資料等をご確認下さい。 【構成図】 【機器情報・ファームウェア】 FGT_A: FortiGate-VM FortiOS 5.0.9 RTX1100:RTX1100 Rev.8.03.94 PC_A:Windows 7 Professional PC_B:Windows 7 Professional Copyrightⓒ2014 Networld Corporation. All rights ¥ reserved. 4 IPsec-VPN(FortiGate-RTX1100)手順書 【設定値一覧】 FGT_A ①インターフェース情報1 項番 インタフェース名 IPアドレス サブネットマスク アクセス 1 port2 192.168.1.254 255.255.255.0 ping,https,ssh 2 port1 10.0.0.254 255.255.255.0 ②IPsec-VPN (Phase1) 項番 名前 1 phase1-A リモートゲートウェイ IPアドレス ローカルインターフェース 事前共有鍵 DHグループ スタティックIPアドレス 10.0.0.253 port1 fortigate 2 ③IPsec-VPN (Phase2) 項番 名前 1 phase2-A フェイズ1 DHグループ 自動鍵キープアライブ クイックモードセレクタ 送信元 クイックモードセレクタ 宛先 phase1-A 2 192.168.1.0/24 192.168.2.0/24 有効 ④Firewallポリシー 項番 ソースI/F名 1 port2 2 port2 3 phase1-A ソースアドレス all デストI/F名 port1 デストアドレス all スケジュール always サービス ALL アクション ACCEPT NAT all phase1-A all always ALL ACCEPT 有効 無効 all port2 all always ALL ACCEPT 無効 ⑤ルーティング情報 項番 宛先IP/マスク デバイス 1 192.168.2.0/24 phase1-A RTX1100 ①インターフェース情報1 項番 インタフェース名 IPアドレス サブネットマスク 1 LAN1 192.168.2.254 255.255.255.0 2 LAN2 10.0.0.253 255.255.255.0 ②IPsec-VPN 基本設定 項番 トンネル名 認証鍵 相手先の識別方法 自分のIPアドレス PFSの利用 1 FGT_A fortigate 10.0.0.254 10.0.0.253 用いる フェーズ1 認証アルゴリズム 暗号アルゴリズム IKEが用いるグループ SHA-1 3DES-CBC mopd1024 フェーズ2 認証アルゴリズム 暗号アルゴリズム 鍵の寿命 自分側のID HMAC-SHA 3DES-CBC 192.168.2.0/24 192.168.1.0/24 mopd1024 1800 相手側のID IKEが用いるグループ その他 静的経路の追加 DPD 有効 / 192.168.1.0/24 Interval:5秒 Cout:3 ※DPDはCLIから設定します。 Copyrightⓒ2014 Networld Corporation. All rights ¥ reserved. 5 IPsec-VPN(FortiGate-RTX1100)手順書 3 FGT_A IPsec-VPN 設定 本項目では FGT_A へ IPsec-VPN の設定を行います。 3.1 IPsec-VPN フェイズの作成 VPN 用のフェイズを作成します。 3.1.1 フェイズ 1 の作成 VPN > IPsec > 自動鍵(IKE) より、フェイズ1を作成します。 ① ② ③ ④ ⑤ ⑥ ⑦ ⑧ [フェイズ 1 を作成]をクリック。 [名前]:phase1-A [リモートゲートウェイ]:スタティック IP アドレス [IP アドレス]:10.0.0.253 [ローカルインターフェース]:port1 [事前共有鍵]:fortigate [DH グループ]:2 [OK]をクリック。 ① ② ③ ④ ⑤ ⑥ ⑦ ⑧ Copyrightⓒ2014 Networld Corporation. All rights ¥ reserved. 6 IPsec-VPN(FortiGate-RTX1100)手順書 3.1.2 フェイズ 2 の作成 VPN > IPsec > 自動鍵(IKE) より、フェイズ 2 を作成します。 ① ② ③ ④ ⑤ ⑥ ⑦ ⑧ ⑨ [フェイズ 2 を作成]をクリック。 [名前]:phase2-A [フェイズ 1]:phase1-A [リプレイ検知を有効にする]:無効 [DH グループ]:2 [自動鍵キープアライブ]:有効 [クイックモードセレクタ 送信元アドレス]:192.168.1.0/24 [クイックモードセレクタ 宛先アドレス]:192.168.2.0/24 [OK]をクリック。 ① ② ③ ④ ⑤ ⑥ ⑦ ⑧ ⑨ Copyrightⓒ2014 Networld Corporation. All rights ¥ reserved. 7 IPsec-VPN(FortiGate-RTX1100)手順書 3.2 ファイアウォールポリシーの作成 ポリシー > ポリシー > ポリシー にて、通信許可ポリシー『送信元ポート→Phase1』と 戻りの通信 許可ポリシー『Phase1→送信元ポート』を作成します。 3.2.1 ① ② ③ ④ ⑤ ⑥ ⑦ 通信許可ポリシー『送信元ポート→Phase1』の作成 [Create New]をクリック。 [Incoming インターフェース]:port2 [送信元アドレス]:all [Outgoing インターフェース]:phase1-A [宛先アドレス]:all [スケジュール]:always [サービス]:ALL [アクション]:ACCEPT [OK]をクリック。 ① ② c ③ ④ ⑤ ⑥ v 同様に『Phase1→送信元ポート』のポリシーも作成します。 ⑦ Copyrightⓒ2014 Networld Corporation. All rights ¥ reserved. 8 IPsec-VPN(FortiGate-RTX1100)手順書 3.2.2 ① ② ③ ④ ⑤ ⑥ ⑦ 通信許可ポリシー『Phase1→送信元ポート』の作成 [Create New]をクリック。 [Incoming インターフェース]:phase1-A [送信元アドレス]:all [Outgoing インターフェース]:port2 [宛先アドレス]:all [スケジュール]:always [サービス]:ALL [アクション]:ACCEPT [OK]をクリック。 ① ② ③ ④ ⑤ ⑥ ⑦ Copyrightⓒ2014 Networld Corporation. All rights ¥ reserved. 9 IPsec-VPN(FortiGate-RTX1100)手順書 3.3 スタティックルートの作成 ルータ > スタティック > スタティックルート にて、ルーティングを設定します。 ① ② ③ ④ [新規作成]をクリック。 [宛先 IP /マスク]:192.168.2.0/24 [デバイス]:phase1-A [OK]をクリック。 ① ② s ③ あ あ ④ 」 以上で、FGT_A 側の設定は終了となります。 Copyrightⓒ2014 Networld Corporation. All rights ¥ reserved. 10 IPsec-VPN(FortiGate-RTX1100)手順書 4 RTX1100 IPsec-VPN 設定 本項目では RTX1100 へ IPsec-VPN の設定を行います。 4.1 IPsec-VPN フェイズの作成 ブラウザから RTX1100 へアクセスし、 管理者向けトップページへ > 管理支援 > IPsec より、 VPN の接続先を登録します。 ① ② ③ ④ ⑤ ⑥ ⑦ [新規登録]をクリック。 ※新しくブラウザが立ち上がります。 [詳細設定へ]をクリック。 [トンネル名]:FGT_A [認証鍵]:fortigate [相手先の識別方法]:相手先のアドレス / 10.0.0.254 [自分の IP アドレス]:10.0.0.253 [PFS の利用]:用いる ① ② ③ ④ ⑤ ⑥ ⑦ Copyrightⓒ2014 Networld Corporation. All rights ¥ reserved. 11 IPsec-VPN(FortiGate-RTX1100)手順書 【フェーズ1】 ⑧ [認証アルゴリズムの選択]:SHA-1 ⑨ [暗号アルゴリズムの選択]:3DES-CBC ⑩ [IKE が用いるグループ]:modp1024 ⑧ ⑨ ⑩ 【フェーズ2】 ⑪ [認証アルゴリズムの選択]:HMAC-SHA ⑫ [暗号アルゴリズムの選択]:3DES-CBC ⑬ [鍵の寿命]:1800 ⑭ [自分側の ID]:192.168.2.0/24 ⑮ [相手側の ID]:192.168.1.0/24 ⑯ [IKE が用いるグループ]:modp1024 ⑪ ⑫ ⑬ ⑭ 1 ⑰ ⑱ ⑮ ⑯ [静的経路の追加]:192.168.1.0/24 [確認]をクリック。 ⑰ ⑱ Copyrightⓒ2014 Networld Corporation. All rights ¥ reserved. 12 IPsec-VPN(FortiGate-RTX1100)手順書 ⑲ [登録]をクリック。 ⑲ 4.2 DPD の設定 CLI からの設定を追加します。 追加コンフィグ: ipsec ike keepalive use1 on dpd 5 3 以上で、RTX1100 側の設定は終了となります。 Copyrightⓒ2014 Networld Corporation. All rights ¥ reserved. 13 IPsec-VPN(FortiGate-RTX1100)手順書 5 VPN 接続、接続確認 本項目では、VPN 接続を行います。 FGT_A より、VPN > モニタ > IPsec モニタ 上にて、3.1 にて作成したフェイズのステータス項目の 『アップ』をクリックします。 問題なく VPN 接続が開始しますと、『↓アップ』であったステータスが下記の通り『↑ダウン』となり、モニ タ上のタイムアウト値やアップタイム値が変更されます。 RTX1100 より、VPN が接続されているか確認します。 接続中の接続先情報は青色で表示されます。 上記の接続確認後、PC_A、PC_B 間で疎通確認を実施します。 以上。 Copyrightⓒ2014 Networld Corporation. All rights ¥ reserved. 14