FortiGate IPsec VPN 設定例

はじめに

FortiGate の IPsec VPN 設定例を紹介します。
IPsec の概要については、以下の記事をご参照ください。
関連記事

IPsec の特徴 IPsec は IP パケット(ネットワーク層)に対して暗号化を行うためのセキュリティ・プロトコルです。IPsec には次のような特徴があります。 アドレス、ヘッダ、データの改竄防止、暗号化 暗号化の枠組みと[…]

想定環境

FortiGate IPsec VPN 設定例

Fortigate で VDOM を有効化し、VDOM 上で IPsec を設定する場合の例を紹介します。Hub-and-Spoke ネットワークトポロジーで、Hub 側(FG01)が「固定IP」、Spoke 側(FG02)が「不定IP」を想定した IPsec-VPN の設定例になります。

IKE フェーズ 1 の設定

config vdom
edit VDOM-A
config vpn ipsec phase1-interface
edit VDOM-A-IPsec
set interface wan-lag-v10
set mode aggressive
set type dynamic
set psksecret ****
end
config vdom
edit VDOM-A
config vpn ipsec phase1-interface
edit VDOM-A-IPsec
set interface "wan1"
set mode aggressive
set remote-gw 10.1.1.1
set psksecret ****
end

IKE フェーズ 2 の設定

config vpn ipsec phase2-interface
edit VDOM-A-IPsec
set phase1name VDOM-A-IPsec
set src-subnet 192.168.100.0 255.255.255.0
set dst-subnet 192.168.200.0 255.255.255.0
end
config vpn ipsec phase2-interface
edit "VDOM-A-IPsec"
set phase1name "VDOM-A-IPsec"
set src-subnet 192.168.200.0 255.255.255.0
set dst-subnet 192.168.100.0 255.255.255.0
end

HUB 側ポリシー設定

config vdom
edit VDOM-A
config firewall policy
edit 1
set srcintf "VDOM-A-IPsec"
set dstintf "any"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
next
edit 2
set srcintf "any"
set dstintf "VDOM-A-IPsec"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
next
edit 3
set srcintf "lan-lag-v100"
set dstintf "wan-lag-v10"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
set nat enable
next
end

Spoke 側ルート設定

config router static
edit 1
set dst 192.168.100.0 255.255.255.0
set device "VDOM-A-IPsec"
end

確認コマンド

IKE フェーズの確認

established がカウントされていれば OK です。

diagnose vpn ike status summary

以上

関連記事

VDOM とは Virtual Domain の略で、1 台の FortiGate 内に独立した仮想ファイアウォールを構築できる機能です。標準で 10 台の仮想ファイアウォールをサポートし、VDOM 毎にモード設定、VPN 設定、ファ[…]

参考書籍

created by Rinker
¥3,080 (2024/11/21 17:39:12時点 楽天市場調べ-詳細)