1. Fortinet FG IPsec トンネル

1.1 インターフェースIP設定

IP インターフェース

 config system interface
    edit "<外部インターフェース name>" ex> "wan1"
        set ip <公認IP> <subnet mask> ex> 1.1.1.1 255.255.255.0
        set allowaccess ping https ssh http
    next

 edit "<内部インターフェース name>" ex> "lan1"
        set ip <プライベートIP> <subnet mask> ex> 192.168.1.1 255.255.255.0
        set allowaccess ping https ssh http
    next
end

1.2 IKEv1/2 設定

IKEv1

  • グループ: 2
  • 認証方式: sha-1
  • 暗号化方式: aes-128
  • lifetime: 28800
config vpn ipsec phase1-interface
    edit "<VPN トンネル name>" ex> "vpn-external1"
        set interface "<外部インターフェース name>" ex> "wan1"
        set keylife 28800
        set peertype any
        set proposal aes128-sha1
        set dhgrp 2
        set remote-gw <peer 公認 IP>
        set psksecret <key 値>
    next
end

IKEv2

  • プロトコル: esp
  • 認証方式: sha-1
  • 暗号化方式: aes-128
  • lifetime: 28800
config vpn ipsec phase2-interface
    edit "<VPN トンネル name>" ex> "vpn-external1"
        set phase1name "<VPN トンネル name>" ex> "vpn-external1"
        set proposal aes128-sha1
        set pfs disable
        set replay disable
        set keylifeseconds 28800
        set src-subnet <内部プライベートIP>
        set dst-subnet <相手プライベートIP>
    next
end

1.3 ルーティング設定

外部ルーティング

 config router static
    edit 0
        set gateway <公認 gateway>
        set device "wan1"
    next
end

内部ルーティング(トンネル作成後)

 config router static
    edit 0
        set dst 192.168.100.0 255.255.255.0
        set device "<VPN トンネル name>" ex> "vpn-external1"
    next
end

ポリシー設定(ex> 192.168.100.0/24 < > 10.20.0.0/24, any < > any )

config firewall address
    edit "<相手プライベートIP name>" ex>"192.168.100.0/24"
        set subnet 192.168.100.0 255.255.255.0
    next
    edit "内部プライベートIP name" ex>"10.20.0.0/24"
        set subnet 10.20.0.0 255.255.255.0
    next
end

config firewall policy
    edit 0
        set srcintf "<VPN トンネル name>" ex> "vpn-external1"
        set dstintf "<内部インターフェース name>" ex> "lan1"
        set srcaddr "<相手プライベートIP帯域>" ex> "192.168.100.0/24"
        set dstaddr "<内部プライベートIP帯域>" ex>"10.20.0.0/24"
        set action accept
        set schedule "always"
        set service "ALL"
    next
    edit 0

        set srcintf "<内部インターフェース name>" ex> "lan1"
        set dstintf "<VPN トンネル name>" ex> "vpn-external1"
        set srcaddr "<内部プライベートIP帯域>" ex>"10.20.0.0/24"
        set dstaddr "<相手プライベートIP帯域>" ex> "192.168.100.0/24"
        set action accept
        set schedule "always"
        set service "ALL"
    next
end

1.4 IKEv1/2 トンネル確認

IKEv1

Fortinet_vpn # get vpn ike gateway

vd: root/0
name: vpn-external1
version: 1
interface: wan1 5
addr: <ローカル公認IP>:500 -> <相手の公認IP>:500
created: 82s ago
IKE SA  created: 1/1  established: 1/1  time: 0/0/0 ms
IPsec SA  created: 1/1  established: 1/1  time: 0/0/0 ms

  id/spi: 74 96afabb40e5f226b/5bdcb3e03a940caf
  direction: initiator
  status: established 82-82s ago = 0ms
  proposal: aes-128-sha1
  key: 86c774a5b2e6deb9-a54dbbccef6c8c54
  lifetime/rekey: 28800/28417
  DPD sent/recv: 00000000/00000000

IKEv2

Fortinet_vpn # get vpn ipsec tunnel details

gateway
  name: 'vpn-external1'
  type: route-based
  local-gateway: <ローカル公認IP>: :0 (static)
  remote-gateway: <相手の公認IP>: :0 (static)
  mode: ike-v1
  interface: 'wan1' (5)
  rx  packets: 252  bytes: 30240  errors: 0
  tx  packets: 252  bytes: 15120  errors: 0
  dpd: on-demand/negotiated  idle: 20000ms  retry: 3  count: 0
  selectors
    name: 'vpn-external1'
    auto-negotiate: disable
    mode: tunnel
    src: 0:10.20.0.0/255.255.255.0:0
    dst: 0:192.168.100.0/255.255.255.0:0
    SA
      lifetime/rekey: 28800/28402
      mtu: 1438
      tx-esp-seq: fd
      replay: disabled
      inbound
        spi: c14a02a6
        enc:  aes-cb  d196d60e927236afd6a54bdabf9de0c9
        auth:   sha1  315284852a4b4a331a3b7d2c6baa8f8cc9b91442
      outbound
        spi: 31e9297d
        enc:  aes-cb  72b17243e79a44583319efb28e3936f9
        auth:   sha1  4c4c858a74f2d16c2d7d77a4bf70e6f0b237bfd1

に対する検索結果は~件です。 ""

    に対する検索結果がありません。 ""

    処理中...