1. Fortinet FG IPsec トンネル
1.1 インターフェースIP設定
IP インターフェース
config system interface
edit "<外部インターフェース name>" ex> "wan1"
set ip <公認IP> <subnet mask> ex> 1.1.1.1 255.255.255.0
set allowaccess ping https ssh http
next
edit "<内部インターフェース name>" ex> "lan1"
set ip <プライベートIP> <subnet mask> ex> 192.168.1.1 255.255.255.0
set allowaccess ping https ssh http
next
end
1.2 IKEv1/2 設定
IKEv1
- グループ: 2
- 認証方式: sha-1
- 暗号化方式: aes-128
- lifetime: 28800
config vpn ipsec phase1-interface
edit "<VPN トンネル name>" ex> "vpn-external1"
set interface "<外部インターフェース name>" ex> "wan1"
set keylife 28800
set peertype any
set proposal aes128-sha1
set dhgrp 2
set remote-gw <peer 公認 IP>
set psksecret <key 値>
next
end
IKEv2
- プロトコル: esp
- 認証方式: sha-1
- 暗号化方式: aes-128
- lifetime: 28800
config vpn ipsec phase2-interface
edit "<VPN トンネル name>" ex> "vpn-external1"
set phase1name "<VPN トンネル name>" ex> "vpn-external1"
set proposal aes128-sha1
set pfs disable
set replay disable
set keylifeseconds 28800
set src-subnet <内部プライベートIP>
set dst-subnet <相手プライベートIP>
next
end
1.3 ルーティング設定
外部ルーティング
config router static
edit 0
set gateway <公認 gateway>
set device "wan1"
next
end
内部ルーティング(トンネル作成後)
config router static
edit 0
set dst 192.168.100.0 255.255.255.0
set device "<VPN トンネル name>" ex> "vpn-external1"
next
end
ポリシー設定(ex> 192.168.100.0/24 < > 10.20.0.0/24, any < > any )
config firewall address
edit "<相手プライベートIP name>" ex>"192.168.100.0/24"
set subnet 192.168.100.0 255.255.255.0
next
edit "内部プライベートIP name" ex>"10.20.0.0/24"
set subnet 10.20.0.0 255.255.255.0
next
end
config firewall policy
edit 0
set srcintf "<VPN トンネル name>" ex> "vpn-external1"
set dstintf "<内部インターフェース name>" ex> "lan1"
set srcaddr "<相手プライベートIP帯域>" ex> "192.168.100.0/24"
set dstaddr "<内部プライベートIP帯域>" ex>"10.20.0.0/24"
set action accept
set schedule "always"
set service "ALL"
next
edit 0
set srcintf "<内部インターフェース name>" ex> "lan1"
set dstintf "<VPN トンネル name>" ex> "vpn-external1"
set srcaddr "<内部プライベートIP帯域>" ex>"10.20.0.0/24"
set dstaddr "<相手プライベートIP帯域>" ex> "192.168.100.0/24"
set action accept
set schedule "always"
set service "ALL"
next
end
1.4 IKEv1/2 トンネル確認
IKEv1
Fortinet_vpn # get vpn ike gateway
vd: root/0
name: vpn-external1
version: 1
interface: wan1 5
addr: <ローカル公認IP>:500 -> <相手の公認IP>:500
created: 82s ago
IKE SA created: 1/1 established: 1/1 time: 0/0/0 ms
IPsec SA created: 1/1 established: 1/1 time: 0/0/0 ms
id/spi: 74 96afabb40e5f226b/5bdcb3e03a940caf
direction: initiator
status: established 82-82s ago = 0ms
proposal: aes-128-sha1
key: 86c774a5b2e6deb9-a54dbbccef6c8c54
lifetime/rekey: 28800/28417
DPD sent/recv: 00000000/00000000
IKEv2
Fortinet_vpn # get vpn ipsec tunnel details
gateway
name: 'vpn-external1'
type: route-based
local-gateway: <ローカル公認IP>: :0 (static)
remote-gateway: <相手の公認IP>: :0 (static)
mode: ike-v1
interface: 'wan1' (5)
rx packets: 252 bytes: 30240 errors: 0
tx packets: 252 bytes: 15120 errors: 0
dpd: on-demand/negotiated idle: 20000ms retry: 3 count: 0
selectors
name: 'vpn-external1'
auto-negotiate: disable
mode: tunnel
src: 0:10.20.0.0/255.255.255.0:0
dst: 0:192.168.100.0/255.255.255.0:0
SA
lifetime/rekey: 28800/28402
mtu: 1438
tx-esp-seq: fd
replay: disabled
inbound
spi: c14a02a6
enc: aes-cb d196d60e927236afd6a54bdabf9de0c9
auth: sha1 315284852a4b4a331a3b7d2c6baa8f8cc9b91442
outbound
spi: 31e9297d
enc: aes-cb 72b17243e79a44583319efb28e3936f9
auth: sha1 4c4c858a74f2d16c2d7d77a4bf70e6f0b237bfd1
