~FortiGate 技術ブログ~
IPSec-VPN設定方法【SAML編】3 / 4

3. IPSec-VPNの設定

3-1.【FortiGate】IPSec-VPN接続時のSAML用ポート設定

2-1.の手順で指定した、IPSec-VPN接続時のSAML認証用ポートの設定をCLIから行います。(SSL-VPNで設定した「リッスンするポート」とは異なるので注意してください。)

# config system global
# set auth-ike-saml-port "SAML認証用ポート"
# end
IPSec-VPNの設定_3-1

3-2.【FortiGate】IPSec-VPNを新規ウィザードから作成

「VPN」→「IPSecウィザード」より、下記設定を行います。

IPSec-VPNの設定_3-2

3-3.【FortiGate】IPSec-VPNを新規ウィザードから作成(続き)

項目を入力して「次へ」をクリックします。

IPSec-VPNの設定_3-3

3-4.【FortiGate】IPSec-VPNを新規ウィザードから作成(続き)

項目を入力して「次へ」、「作成」をクリックします。

IPSec-VPNの設定_3-4

3-5.【FortiGate】IPSec-VPNを新規ウィザードから作成(続き)

トンネルリストをクリック後、作成したトンネルを選択し、ダブルクリックします。

IPSec-VPNの設定_3-5

3-6.【FortiGate】IPSec-VPNトンネルの編集

「カスタムトンネルへコンバート」をクリックして、IKEバージョンとDHグループを変更します。

IPSec-VPNの設定_3-6

DHグループのデフォルト値は、FortiClient v7.4.3以降、「20」に変更されます。そのため、FortiGate側も必ず「20」に合わせてください。一致させないと、VPN接続エラーになります。

3-7.【FortiGate】IPSec-VPNのEAP設定

IKEバージョン2では、ユーザ認証にEAPを使用します。EAPによるユーザ認証を有効にするため、CLIから設定を行います。

# config vpn ipsec phase1-interface
# edit "IPSec-VPNトンネル名"
# set eap enable
# set eap-identity send-request
# end
IPSec-VPNの設定_3-7

3-8.【FortiGate】ファイアウォールポリシーの編集

IPSec-VPNウィザードで、自動生成されたファイアウォールポリシーの編集を行います。下記の通り、送信元のユーザを追加してください。

IPSec-VPNの設定_3-6

著者

著者イメージ
S.Y
FortiGateの構築や導入経験を活かして、皆さんに役立つ情報を紹介していきます。

お問い合わせ

Fortinet製品に関する
問い合わせはこちらから

お役立ち資料

各種お役立ち資料も
取り揃えております

関連ブログ