お客さまサポート

仮想UTMマニュアル ~IPsec

Avatar
コンタクトセンター
  • 更新
フォローする
本ページでは、SuitePRO V4のオプションサービス「UTM」「仮想UTM」にて提供するFortiGateの基本的な操作手順について案内しています。他の操作手順や目次についてはこちらをご確認ください。

IPsec(FortiClient リモート接続)

FortiClient をインストールしたパソコンから、FortiGate へ IPsec 接続することができます。

ユーザの作成

  1. ユーザグループを作成します。
    「ユーザ&認証」>「ユーザグループ」をクリックします。「新規作成」をクリックし、「ユーザグループ」を作成します。
    IPsec1.png
  2. ユーザグループ名を入力します。(例:IPsec_group)
    タイプは「ファイアウォール」を選択し、「OK」をクリックします。
    IPsec2.png
  3. 次にユーザ定義を作成します。「ユーザ&デバイス」>「ユーザ定義」を選択し、「新規作成」をクリックします。
    IPsec3.png
  4. ユーザタイプで「ローカルユーザ」を選択し、「次へ」をクリックします。
    IPsec4.png
  5. ログイン クレデンシャルの設定: 認証用のユーザ名(例:ipsec_user)、パスワードを入力して「次へ」をクリックします。
    IPsec5.png
  6. コンタクト情報の設定:必要に応じて二要素認証を有効にし、「次へ」をクリックします。
    IPsec6.png
  7. エキストラ情報:「ユーザグループ」 を ON に設定し、ユーザグループに先ほど作成したグループを指定して「作成」をクリックします。
    IPsec7.png

IPsecの設定

「IPsec」の設定をします。

  1. VPN セットアップの設定
    「VPN」>「IPsec ウィザード」をクリックします。任意の「名前」を入力、「リモートアクセス」を選択し、「次へ」をクリックします。
    IPsec8.png

  2. 認証 設定
    下記のように設定します。本手順では【事前共通鍵】を選択します。

    着信インターフェース 「Internet(port2)」を指定
    認証方式 選択します。例では事前共通鍵と指定)
    事前共通鍵 (任意の文字列)※FortiClient 設定時に私用します
    ユーザグループ IPsec の接続を許可するユーザーグループを指定します。
    ※ここでは手順「ユーザの作成」で作成した「IPsec_group」を指定

    IPsec9.png

  3. ポリシー&ルーティング
    「VPN」>「SSL-VPN 設定」をクリックします。ポリシーの作成画面に移り、設定します。

    ローカルインターフェース 「SuitePRO_NW(port1)」を指定
    ローカルアドレス IPsec 接続を許可する接続先を選択。(例では「SuitePRO_NW」と指定)
    クライアントアドレス範囲 クライアントに割り当てるアドレス帯を指定します。
    (例は「192.168.100.10-192.168.100.20」 と指定)
    サブネットマスク クライアントに割り当てるサブネットマスクを指定します
    (例は「255.255.255.255」と指定)

    ※DNS サーバー :システム DNS を使うを選択すると Fortinet の DNS が設定されます。
    指定の DNS がある場合は「指定」を選択してアドレスを入力してください。
    ※IPv4 スプリットトンネル:
    ・ON にした場合「ローカルアドレス」で指定した宛先の通信のみが IPsecVPN 経由になります。
    ・OFF にした場合、接続元クライアントの通信はすべて IPsecVPN 経由となります。接続元のネットワーク環境が大きく変わりますのでご注意ください。 
    IPsec10.png

  4. クライアントオプション
    設定を選択し、「次へ」をクリックします。
    IPsec11.png
  5. 設定の確認
    設定の一覧が表示されますので確認します。
    IPsec12.png
  6. 結果確認
    結果が示されます。
    IPsec13.png

ファイアウォールポリシーの設定

IPsec 用のポリシーが新たに作成されていますので内容を確認します
「ポリシー&オブジェクト」>「ファイアウォールポリシー」を選択します。対象の IPsec トンネル名のポリシーを選択します。
IPsec14.png

NAT 設定は最初「ON」になっております。ON になっていると、IPsec を経由するすべての接続元のアドレスが FortiGate のインスタフェースになります。接続元アドレスをクライアントアドレスにする場合は「NAT」の設定を「OFF」にしてください。
IPsec15.png

クライアント設定

クライアント端末に FortiClient のインストールを行います。

  1. ダウンロード
    https://www.fortinet.com/jp/support/product-downloads にアクセスします。
    FortiClient VPN」をダウンロードし、クライアント端末にインストールします。
  2. FortiClient の設定
    インストールした FortiClient を起動し、リモートアクセス > IPsec VPN を選択します。
    IPsec16.png

  3. FortiClient の設定
    インストールした FortiClient を起動し、リモートアクセス > IPsec VPN を選択します。
    以下の情報を入力し「適用」をクリックします。

    接続先 任意の名前を入力(例では「ipsec vpn」と指定 )
    リモートGW FG 管理サイトのホスト名(例では「fvd0000.fg.arena.ne.jp」と指定)
    ※お客さまにて、FG管理サイト用のドメインを別途取得している場合はそちらを指定する
    認証方法 指定した認証方法を設定します。(例 事前共通鍵の場合:事前共通鍵を
    指定し、「IPsecの設定>2.認証 設定」で設定したパスワードを入力します)

    IPsec17.png

  4. 接続
    ユーザ名、パスワードを入力し「接続」をクリックし、接続します。
    ※14-1 ログイン (4)クレデンシャルの設定で作成したユーザ
    IPsec18.png

  5. 接続状態確認
    VPN 接続済みになったことが確認できます。
    IPsec19.png

    代表的なエラー

    エラー表示 対処
    不正なグレデンシャル ユーザ ID とパスワードを再度確認します。
    VPN connection failed. Please check your
    configuration and network connection, then try your connection. If the problem persists, contact your network administrator for help    		 FortiClient のポリシーGW に指定したホストと通信ができません。もしくは事前共通鍵などに誤りがあります。
    FortiClient の設定を確認してください。
    トンネルゲートウエイ/ポリシーサーバーと疎通できません。 FortiClient のポリシーGW に指定したホストと通信ができません。FortiClient の設定を確認してください。

     

IPsec(サイト間接続)

FortiGate や Cisco などの機器から IPsec トンネルを使用した VPN 接続をすることができます。
ここでは、例として FortiGate を使用したリモート拠点との接続について説明します。
また、拠点側 FortGgate に固定の WAN 側 IP アドレスが設定されている場合について解説します。

IPsecトンネルの作成

  1. IPsec トンネルの作成
    [VPN] > [IPsec ウィザード]をクリックします。
    IPsec20.png

  2. 「①VPNセットアップ」では以下のように設定し、[次へ]を押下します。

    名前 任意の名前を設定します(例では「IPsec_Tunnel」と指定)
    テンプレートタイプ サイト間
    NAT設定 サイト間にNATなし
    リモートデバイス FortiGate

    IPsec21.png

  3. 「②認証」では、以下のように設定し、[次へ]を押下します。
     

    リモートデバイス IPアドレス
    IPアドレス リモート拠点 FortiGate の wan 側 IP アドレスを指定
    します。(例では「198.51.100.5」と指定)
    発信インターフェース Internet(port2) 自動的に選択されます
    認証方式 例では「事前共通鍵」を選択します
    事前共通鍵 任意の文字列を入力します
    後程リモート拠点側の IPsec設定でも使用しますので必ず控えておいてください。

    IPsec22.png

  4. 「③ポリシー&ルーティング」では、次のように設定します。

    ローカルインターフェース SuitePRO_NW(port1)』を選択します。
    ローカルサブネット お客様の環境に応じて自動的に入力が行われます
    リモートサブネット リモート拠点側の LAN 側セグメントを[xxx.xxx.xxx.xxx/xx]の形式で入力してください。

    IPsec23.png

  5. 「④設定の確認」で、[作成]を押下します。
    IPsec24.png
  6. IPsecトンネルが作成されました。
    IPsec25.png

作成されたIPsecトンネルの確認

  1. 自動追加されたリソースの確認
    正常に作成されると、以下の項目が自動で追加、設定されます。
    [ネットワーク] > [インターフェース]に IPsec トンネルが追加されます。
    IPsec26.png
  2. [ネットワーク] > [スタティックルート]にルールが 2 つ追加されます。
    IPsec27.png
  3. [ポリシー&オブジェクト] > [IPv4 ポリシー]に以下のポリシーが追加されます。
    デフォルトでは拠点間の通信は全て許可となりますので、必要に応じてお客さまにてポリシーの設定をお願いします。
    IPsec28.png
  4. [ポリシー&オブジェクト]>[アドレス]に以下のアドレスが追加されます。
    IPsec29.png

リモート拠点側の設定(参考)

  1. IPsec トンネルの作成
    [VPN] > [IPsec ウィザード]をクリックします。
    IPsec30.png

  2. 「①VPNセットアップ」では、次のように設定し、[次へ]を押下します。

    名前 任意の名前を設定します(ここで指定する名前は [IPSec トンネルの作成]で入力したものと同一でなくて構いません)。
    例) Site1
    テンプレートタイプ サイト間
    NAT設定 サイト間にNATなし
    リモートデバイス FortiGate

    IPsec31.png

  3. 「②認証」では、以下のように設定し、[次へ]を押下します。

    リモートデバイス IPアドレス
    IPアドレス 対象 UTM の wan側 IP アドレスを入力します。
    発信インターフェース リモート側のインターネット側インターフェースを指定します。
    認証方式 『事前共有鍵』とし、[事前共有鍵]欄に「IPsec トンネルの作成」で UTM側作業時に設定したものと同一の事前共有鍵を入力します。

    IPsec32.png

  4. 「③ポリシー&ルーティング」では、以下のように設定し、[作成]を押下します。

    ローカルインターフェース IPsec 接続をするお客様環境の LAN側インターフェースを選択します。
    ローカルサブネット IPsec 接続をするお客様環境の LAN 側セグメントになっていることを確認
    リモートサブネット サーバー側セグメント(SuitePRO_NW(port1)のセグメント)
    を[xxx.xxx.xxx.xxx/xx]の形式で入力してください。

    IPsec33.png

  5. IPsecトンネルが作成されました。作成後は、[作成されたIPsecトンネルの確認]を参考に適宜設定内容の確認を行ってください。
    IPsec34.png
この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています
ページの先頭へ戻る

お問い合わせ

お問い合わせの前にご利用サービスの状況をご確認ください

お知らせ 工事・故障情報

お問い合わせ
ピックアップコンテンツ
サービスラインアップ
お客さまサポート
コーポレートサイト