(ネットワーク > スタティックルートから以下を設定 (トンネル内のルーティング)), IPv4ポリシー作成(ポリシー & オブジェクト > IPv4ポリシーから以下を設定), you can read useful information later efficiently. IPsec Phase1/Phase2、L2TPクライアント向け配布IPアドレスの作成; 3.4. パラメータは以下公式サイトからご確認いただけます。, サイト間 VPN ゲートウェイ接続用の VPN デバイスと IPsec/IKE パラメーターについて, メモしていたAzure側の仮想ネットワークゲートウェイのパブリックIP、事前共有鍵などを入力してください。 Copyright © 2020 インフラエンジニアのラボ Blog All Rights Reserved. やりたいことFortiGate 60E (FortiOS v6.2.2) を使ってセキュアな IPsec-VPN を構築し、インターネット経由でクライアントからリモートアクセスさせたい。パフォーマンスを出しつつ、セキュリティを … Why not register and get more from Qiita? 事前共有キーは後ほどFortigateへも入力します。, IPsec/IKEのパラメータはAzure側で自動指定されます。 はじめに; 2. IKEバージョンは2を指定します。, 続いてPhase1のトンネル設定はAzureの指定地を入力します。 LAN向け通信用のAddress Objectの作成; 3.3. Fortigateの設定. メニューから接続の追加を選択し、以下画像を参考に設定してください。 作業環境型番:FortiGate 60Eバージョン:v6.0.9IKE フェーズ1 についてフェーズ1 のコンフィグフェーズ1 の設定に対応するコンフィグは config vpn ipsec phase1-interface です。conf If your VPN tunnel goes down often, check the Phase 2 settings and either increase the Keylife value or enable Autokey Keep Alive. 2020年11月8日VPN IPsec, ネットワークFortigate, L2TP/IPsec, VPN, Windowsで標準実装されているL2TP/IPsecを使ったVPN接続をします。iPhoneやMacもL2TPを標準実装してますので利用可能です。, 以前、iPhone・MacからFortigateへIPsec VPNでLAN環境に接続する記事を書きました。こちらは後述のスプリットトンネルにも対応した内容です。, 以前の記事:iPhone(iOS)・Mac <-> Fortigate間VPNでLAN環境にリモート接続する, ※補足:L2TP使用時のスプリットトンネルについて条件に合致したパケットのみ(例えば宛先IPアドレスがLAN内のIPアドレスだった場合)VPNトンネルを通す技術をスプリットトンネルと言います。スプリットトンネルを使うことで例えばインターネット向け通信はVPNトンネルではなく直接インターネットへ送出させVPNゲートウェイ装置の負荷や無駄なトラフィックフローを発生させなくすることができます。スプリットトンネルの設定は下記の『set mode-cfg enable』でIPsecのモードConfigという拡張機能をONにし、その下のスプリット対象ネットワークを指定することで実装します。以前のIPsecVPNでは動作しましたがL2TPのWindows10環境では本設定をするとL2TP/IPsec接続ができませんでした。FortigateのデバッグログでもピアがConfigを読み込めませんというメッセージが流れてました。そのため、スプリトトンネルは諦めてインターネット通信も一度Fortigateを経由させる方式としました。, Fortigateの設定について説明します。(なお、インタフェースやルーティング等の基本的な設定は割愛します), L2TP認証時のユーザを作成します。今回はkantaroのuserアカウントのみ作成しますが、もし複数人で利用する場合は「config user local」で人数分のアカウントを作成し、『config user group』でグルーピングします。, 後に作成するLAN向け通信用のFirewallポリシーで使用するAddress Objectです。, L2TP/IPsecの設定です。『config vpn l2tp』では「set sip」「set eip」で設定したIPアドレスからクライアントのIPアドレスが割り当てられます。, edit 23はL2TPの接続とインターネットへ抜ける為のポリシーです。edit24はLAN側通信向けのポリシーです。serviceなどが全許可になっていますが限られた通信のみ許可したい場合はアドレスやサービス等の設定を細かく設定する必要があります。, なお、edit23とedit24をマージした書き方も可能ですが、当方はインターネット向け通信は送信元NATを使い、LAN向け通信は非NATで通信させたいので分けました。, 次にL2TP/IPsec接続をしている状態でFortigateのステータスを確認します。, まずはルーティングテーブルから確認します。6行目と7行目にL2TP/IPsecクライアントのIPアドレス宛てのルーティングがインストールされました。これは自動でインストールされます。, 「diagnose vpn ike gateway list」でIPsecの状態を確認します。接続できていると『id/spi~DPD』の行までが表示されます。, 「diagnose vpn tunnel list」でIPsecの状態を確認します。接続できていると『src~npu』の行までが表示されます。, 動作確認します。Windows10からLANとインターネットのWeb通信を行います。どちらもFortigateでパケットキャプチャを仕掛けた状態で実施します。, まずはFortigateでパケットキャプチャをします。 パケットキャプチャの詳細を知りたい人は→※Fortigateによるパケットキャプチャ方法, 次にクライアントから内部のサーバに接続し表示されることを確認します。(http://192.168.0.15はQNAPのWeb管理画面ページ。), 下記のパケットキャプチャでもL2TP/IPsecクライアントと通信されていることがわかります。(L2TP/IPsecクライアントのIPアドレスが「172.16.30.2」), 次にインターネット(Facebookのログイン画面)へ直接抜ける通信確認をします。まずはパケットキャプチャを仕掛けます。, なお、下記の31.13.82.1はFacebookログインページ(https://ja-jp.facebook.com)のIPアドレスです。, 下記のパケットキャプチャでもL2TP/IPsecクライアントで通信が行われていることがわかります。(L2TP/IPsecクライアントのIPアドレスが「172.16.30.2」), ちなみに、tracerouteを実施し、1stホップでFortigateのL2TPトンネルのIPアドレスになっていることも確認できます。, VPN IPsec, ネットワークFortigate, L2TP/IPsec, VPN.