Comments
Description
Transcript
リモートアクセス IPsec-VPN 手順書 - TEC
リモートアクセス IPsec-VPN 手順書 Ver. 1.1 承認 確認 担当 2 0 1 3 年 0 9 月 0 5 日 株 式 会 社 ネ ッ ト ワ ー ル ド S I 技 術 本 部 イ ン フ ラ ソ リ ュ ー シ ョ ン 技 術 部 リモートアクセス IPsec-VPN 手順書 目次 1 2 3 改訂履歴 ...........................................................................................................................3 はじめに ............................................................................................................................4 IPsec-VPN 設定 ................................................................................................................5 3.1 ユーザ・ユーザグループの作成...................................................................................5 3.1.1 ユーザの作成......................................................................................................5 3.1.2 ユーザグループの作成 ........................................................................................6 3.2 ファイアウォールアドレスの作成 ..................................................................................7 3.3 VPN ウィザードの作成 ................................................................................................8 3.4 ファイアウォールポリシーの作成 .............................................................................. 10 4 FortiClient 設定 ............................................................................................................. 11 4.1 FortiClient インストール ........................................................................................... 11 4.2 FortiClient 設定 ....................................................................................................... 11 5 VPN 接続、接続確認 ...................................................................................................... 12 5.1 VPN 接続 ................................................................................................................ 12 5.2 VPN 接続確認 ......................................................................................................... 13 5.2.1 VPN 接続前の設定状況................................................................................... 13 5.2.2 VPN 接続後の設定状況................................................................................... 14 Copyrightⓒ2013 Networld Corporation. All rights ¥ reserved. 2 リモートアクセス IPsec-VPN 手順書 1 改訂履歴 変更履歴 番号 変更年月日 1 2013/09/05 2 2013/11/06 3 4 5 Version 1.0 1.1 Page status o ad 変更内容 新規作成 手順書内容訂正 作成 NWL NWL 承認 NWL NWL status: a(dd), d(elete), r(eplace), o(ther) ■マニュアルの取り扱いについて ・ 本書の記載内容の一部または全部を無断で転載することを禁じます。 ・ 本書の記載内容は将来予告無く変更されることがあります。 ・ 本書を使用した結果発生した情報の消失等の損失については、責任を負いかねます。 ・ 本書の設定内容についてのお問い合わせは、受け付けておりませんのでご了承ください。 ・ 本書の記載内容は、動作を保証するものではございません。従いましてお客様への導入時には、 必ず事前に検証を実施してください。 ■Networldテクニカルサポート ・Tech-World Fortinet製品に関するソフトウェアサポート窓口 https://hds.networld.co.jp/helpdesk/support/login.jsp ・Fortinet FAQ Fortinet製品に関するよくある問い合わせ https://hds.networld.co.jp/helpdesk/support/faq_info.jsp?link_id=tec ■メーカサイト ・Fortinet テクニカルドキュメント http://docs.fortinet.com/fgt.html ・Fortinet Knowledge Base http://kb.fortinet.com/kb/microsites/microsite.do Copyrightⓒ2013 Networld Corporation. All rights ¥ reserved. 3 リモートアクセス IPsec-VPN 手順書 2 はじめに 本手順書はルーティングベース IPsec-VPN を利用した、リモートクライアントによる VPN 接続手順を説明して おります。設定手順はステップバイステップで、FortiGateを初期化した状態からVPNの接続が完了するまで、Fo rtiClientの設定を含めて説明しております。 インターフェースなどの初期設定につきましては、別紙 FAQ の『基本設定について』をご確認下さい。 URL: https://hds.networld.co.jp/faq/fortinet/00002526-1.pdf 【構成図】 【機器情報・ファームウェア】 FGT_A:FortiGate-VM00 FortiOS 5.0.4 PC_A:Windows XP Professional FortiClient: 5.0.5 PC_B:Windows 7 Professional 【FortiGate 設定値一覧】 ①インターフェース情報 項番 インタフェース名 IPアドレス サブネットマスク アクセス 1 port2 192.168.1.254 255.255.255.0 ping,https,ssh 2 port1 10.0.0.254 255.255.255.0 ②Firewallポリシー 項番 ソースインターフェース名 ソースアドレス デストインターフェース名 all port1 2 port2 3 phase1 all port2 デストアドレス all スケジュール always サービス ALL アクション ACCEPT NAT 有効 all always ALL ACCEPT 無効 ③ユーザ情報 項番 ユーザ名 1 test-user パスワード ユーザグループ名 password test-group ④ファイアウォールアドレス 項番 名前 サブネット/IP範囲 1 192.168.1.0/24 192.168.1.0/24 ⑤IPsec-VPN 項番 名前 VPNタイプ 1 phase1 ダイアルアップ - FortiClient Windows 事前共有鍵 ユーザグループ ローカル出力I/F アドレス範囲 fortigate Copyrightⓒ2013 Networld Corporation. All rights ¥ reserved. test-group port1 サブネットマスク IPv4スプリットトンネル キープアライブ 192.168.2.101-150 255.255.255.0 192.168.1.0/24 有効 4 リモートアクセス IPsec-VPN 手順書 3 IPsec-VPN 設定 FortiGate に IPsec-VPN 接続のための設定を行います。 3.1 ユーザ・ユーザグループの作成 ユーザとユーザグループを作成します。 3.1.1 ユーザの作成 ユーザ&デバイス > ユーザ > ユーザ定義 にて、ユーザを作成します。 ① ② ③ ④ ⑤ [新規作成]をクリック。 [Next]をクリック。 [ユーザ名]:test-user [パスワード]:password [Next]をクリック。 [Next]をクリック。 [有効]にチェックが入っていることを確認。 [Done]をクリック。 ① ② ③ Copyrightⓒ2013 Networld Corporation. All rights ¥ reserved. 5 リモートアクセス IPsec-VPN 手順書 ④ a ⑤ 3.1.2 ユーザグループの作成 ユーザ&デバイス > ユーザ > ユーザグループ にて、ユーザグループを作成します。 ① ② ③ ④ [新規作成]をクリック。 [名前]:test-group [メンバー]:test-user [OK]をクリック。 ① ② ③ ④ Copyrightⓒ2013 Networld Corporation. All rights ¥ reserved. 6 リモートアクセス IPsec-VPN 手順書 3.2 ファイアウォールアドレスの作成 ファイアウォールオブジェクト > アドレス > アドレス にて、ファイアウォールアドレスを作成します。 ① ② ③ ④ [新規作成]をクリック。 [名前]:192.168.1.0/24 [サブネット/IP 範囲]:192.168.1.0/24 [OK]をクリック。 ① ② ③ ④ Copyrightⓒ2013 Networld Corporation. All rights ¥ reserved. 7 リモートアクセス IPsec-VPN 手順書 3.3 VPN ウィザードの作成 VPN > IPsec > 自動鍵(IKE) にて、VPN プロファイルを作成します。 ① ② ③ ④ ⑤ ⑥ ⑦ ⑧ ⑨ ⑩ [VPN ウィザードの作成]をクリック。 [名前]:phase1 [Next]をクリック。 [VPN タイプ]:ダイアルアップ - FortiClient Windows, Mac, Android [事前共有鍵]:fortigate [ユーザグループ]:test-group [Next]をクリック。 [ローカル出力インターフェース]:port1 ※IPsec-VPN 接続側(本手順書ではインターネット側)のインターフェースを指定します。 [アドレス範囲]:192.168.2.101-192.168.2.150 [サブネットマスク]:255.255.255.0 ※IPsec-VPN 接続時にクライアントに払い出す IP アドレスを指定します。 [アクセス先ネットワーク]:192.168.1.0/24 [Next]をクリック。 [常にアップ(Keep Alive)]:有効 [Done]をクリック。 ① ② ③ Copyrightⓒ2013 Networld Corporation. All rights ¥ reserved. 8 リモートアクセス IPsec-VPN 手順書 ④ ⑤ ⑥ ⑦ ⑧ ⑨ ⑩ ※VPN ウィザードによる設定は FortiClient 4.0 MR3 より対応しております。 FortiClient 4.0 MR2 もしくはそれ以前のバージョンをお使いの方は、『フェイズ 1 の作成』、『フェイズ 2 の作成』 を設定しての VPN フェイズの作成となります。 Copyrightⓒ2013 Networld Corporation. All rights ¥ reserved. 9 リモートアクセス IPsec-VPN 手順書 ファイアウォールポリシーの作成 3.4 PC_A から VPN トンネルを通じて社内へアクセスできるよう、通信許可ポリシーを作成します。 Policy > Policy > Policy にて [新規作成]をクリックします。 ① ② ③ ④ ⑤ ⑥ ⑦ [Incoming インターフェース]:phase1 [送信元アドレス]:all [Outgoing インターフェース]:port2 [宛先アドレス]:all [スケジュール]:always [サービス]:ALL [アクション]:ACCEPT ページ下の[OK]をクリック。 ① ② ③ ④ ⑤ 以上で、FortiGate の設定は終了となります。 Copyrightⓒ2013 Networld Corporation. All rights ¥ reserved. 10 リモートアクセス IPsec-VPN 手順書 4 FortiClient 設定 FortiGate に行った設定をもとに、FortiClient の設定を行います。 4.1 FortiClient インストール FortiClient のインストール方法につきましては別紙、FAQ にございます『FortiClient のインストール方 法について』をご確認下さい。 『FortiClient のインストール方法について』:https://hds.networld.co.jp/faq/fortinet/00002494-1.pdf 4.2 FortiClient 設定 FortiClient に IPsec-VPN 用のプロファイルを作成します。設定値は下記表をご確認下さい。 ①FortiClient設定情報 項番 名前 1 vpn-client ① ② ③ ④ ⑤ ⑥ ⑦ VPNタイプ リモートGW 認証方法 事前共有鍵 IPsec VPN 10.0.0.254 事前共有鍵 fortigate リモートアクセスにて、[VPN 設定]をクリック。 [接続名]:vpn-client [タイプ]:IPsec-VPN [リモート GW]:10.0.0.254 [認証方法]:事前共有鍵 [事前共有鍵]:fortigate [OK]をクリック。 ① ② ③ ④ ⑤ ⑥ ⑦ Copyrightⓒ2013 Networld Corporation. All rights ¥ reserved. 11 リモートアクセス IPsec-VPN 手順書 5 VPN 接続、接続確認 FortiClient から FortiGate へ VPN 接続を行います。 5.1 VPN 接続 6.2 で作成したプロファイルを使用して、Fortigate へ VPN 接続します。 ① ② ③ ④ [vpn-client]を選択。 『test-user』を入力。 『password』を入力。 [接続]をクリック。 ① ② ③ a ④ 接続が開始するとクライアント画面が下記のように変わります。 VPN 接続を終了する際は、クライアント画面下部の[切断]をクリックして下さい。 Copyrightⓒ2013 Networld Corporation. All rights ¥ reserved. 12 リモートアクセス IPsec-VPN 手順書 5.2 VPN 接続確認 正しく VPN 接続できているか、コマンドプロンプトを使用して確認します。 5.2.1 VPN 接続前の設定状況 VPN 接続前の各コマンドの値は下記の通りとなります。 ■ipconfig インターフェースには物理インターフェースに割り当てられている IP アドレスが表示されています。 ■route print Copyrightⓒ2013 Networld Corporation. All rights ¥ reserved. 13 リモートアクセス IPsec-VPN 手順書 5.2.2 VPN 接続後の設定状況 VPN 接続前の各コマンドの値は下記の通りとなります。 ■ipconfig VPN 接続用に IP アドレスが割り当てられています。 ■routeprint ルート情報に新たに 192.168.2.101 を起点としたルートが追加されています。 ■tracert Copyrightⓒ2013 Networld Corporation. All rights ¥ reserved. 14