~FortiGate 技術ブログ~
IPSec-VPN設定方法 【基本編】1 / 5

SSL-VPNトンネルモード(クライアントVPN)機能の廃止に伴い、フォーティネット社からIPSec-VPNへの移行が推奨されています。廃止に関する案内については「はじめに」をご覧ください。
このブログでは、最もシンプルな構成によるIPSec-VPN接続の設定方法を紹介します。

IPSec-VPNの構成例

次のような構成で、IPSec-VPN接続を行ってみましょう。

2025年8月時点でのSCSKの推奨バージョンFortiOS v7.4系を前提としています。

  • 社内に設置したFortiGateにトンネルを構築します。
  • 社外にあるPCが、あたかも社内にあるかのように、内部のPCと通信できます。
  • トンネル内の通信は暗号化され、安全な通信を行えます。
  • PC側にVPNクライアントソフトが必要です。
  • Fortinet社から、フリーソフト「FortiClient VPN」が提供されています。
IPSec-VPNの構成例

スプリットトンネルについて

設定を行う前に、全ての通信をVPNトンネル経由にするのか、一部の通信のみVPNトンネルを経由して、その他の通信を直接インターネット接続にするのかを決める必要があります。これを設定する機能が「スプリットトンネル」です。
スプリットトンネルは、その名の通りトンネルを分割させる方式で、デフォルトで有効になっています。スプリットトンネルを有効にすると、VPN通信と通常のインターネット通信の経路が分かれます。スプリットトンネルを無効にすると、全ての通信がVPNトンネルを通ります。

スプリットトンネルはPCのルーティングテーブルを書き換える機能です。FortiClientがエージェントとなってFortiGateの命令に従い、通信を制御します。

有効の場合(デフォルト) 無効の場合
有効の場合 無効の場合
  • 社内向けの通信のみトンネルを通ります。
  • その他の通信は直接インターネット接続されます。
  • すべての通信がトンネルを通ります。
  • インターネット接続する場合は、別途ポリシーの追加設定が必要です。

VPNユーザーとグループを追加する

1. VPNの設定を行う前に、VPNでログインするユーザーの追加を行います

[ユーザ&認証] > [ユーザ定義] > [新規作成]

ユーザ定義

2. ローカルユーザを選択して[次へ]

ローカルユーザを選択

3. ユーザ名とパスワードを入力して[次へ]

パスワード入力

4. 何も変更せず[次へ]

コンタクト情報

5. 何も変更せず[サブミット]

エキストラ情報

6. 新しいユーザーが追加されていることを確認してください

ユーザー追加

7. 次に、VPNでログインするユーザーのグループを追加します

[ユーザ&認証] > [ユーザグループ] > [新規作成]

ユーザーグループ追加

8. グループ名を入力し、「ファイアウォール」を選択

→ 作成したユーザーをメンバーに追加して[OK]

ファイアウォール選択

9. 新しいユーザーが追加されていることを確認してください

新しいグループ追加

アドレスオブジェクトを追加する

1. VPN設定で指定する社内側(FortiGateのLAN側)のIPアドレスの追加を行います

[ポリシー&オブジェクト] > [アドレス] > [Address] > [新規作成]

IPアドレスとの追加

2. 社内側のIPアドレス範囲(ここでは、192.168.1.0/24)を入力して[OK]

IPアドレス範囲入力

3. 新しいアドレスが追加されていることを確認してください

アドレス追加確認

著者

著者イメージ
浦 弘平
ネットワークセキュリティ事業本部 カスタマーサポート部
誰もが知っているようで意外と知らない。今さら人に聞けない。
そんなかゆいところに手が届く情報や現場で役立つ豆知識を紹介していきます。

お問い合わせ

Fortinet製品に関する
問い合わせはこちらから

お役立ち資料

各種お役立ち資料も
取り揃えております

関連ブログ