~FortiGate 技術ブログ~
IPSec-VPN設定方法 【基本編】2 / 5

IPSec-VPNを設定する(FortiGate側)

FortiGateには、IPSec-VPNを設定する上で便利なウィザードが用意されています。これにより、ユーザーがIPSec-VPNの複雑な設定方法を知らなくても、ウィザードが設定を補助してくれます。

1. [VPN] > [IPsecウィザード]を使用して設定を行います

下記の設定を行い、[次へ]進んでください。

IPSec-VPN設定
項目 解説
名前 IPSec-VPNトンネルに付ける名前を入力します。
テンプレートタイプ IPSecVPNの構成タイプを選択します。
サイト間 FortiGate同士で拠点間を接続します。
ハブアンドスポーク FortiGate同士でハブアンドスポーク型の接続を行います。
リモートアクセス PCとFortiGateで接続する設定です。
カスタム 手動によるカスタム設定で接続します。
リモートデバイスタイプ リモートアクセス選択時に表示される、FortiGateの対向デバイスです。それぞれに最適化された設定を行います。
クライアントベース 対向がFortiClient/Cisco IPSecの場合に選択します。
ネイティブ 対向がiOS/Android/Windows(L2TP)の場合に選択します。

2. 下記の設定を行い、[次へ]

IPSec-VPN設定_2
項目 解説
着信インターフェース FortiGateのWAN側ポートを選択します。
認証方式 VPN接続時の認証方式を選択します。
事前共有鍵 FortiGateとクライアントの間で予め共有された任意のキーワードで認証する方式です。両者で同じキーワードを入力してください。
シグネチャ クライアント証明書を使った認証方式です。
ユーザグループ VPN接続するユーザーが所属するグループです。作成したグループを追加してください。

3. 下記の設定を行い、[次へ]

デフォルトではスプリットトンネルが有効になっています。

IPSec-VPN設定_3
項目 解説
ローカル インターフェース FortiGateのLAN側ポートです。
ローカルアドレス FortiGateのLAN側IPアドレスです。
クライアント アドレス範囲 ログインするクライアントへ接続時に払い出される内部IPアドレスの範囲です。この範囲によって接続ユーザー数が決まります。想定される規模に合わせて範囲を指定してください。「10.250.134.200 ? 210」の場合、11台まで接続できます。
DNSサーバ クライアントがVPN接続後に利用するDNSサーバーです。
システムDNSを使う FortiGate自身が参照しているDNSサーバーが利用されます。
指定 任意のDNSサーバーを指定する場合は、こちらを選択してIPアドレスを入力します。
IPv4スプリットトンネリングを有効化 有効にすると、スプリットトンネル構成になります。
エンドポイント登録を許可 無効にしてください。この機能は現在、廃止されており、設定してもVPNに影響を与えません。

4. 下記の設定を行い、[次へ]

この設定がFortiClient側に反映されるのは、初回接続が確立して切断した後になります。

IPSec-VPN設定_4
項目 解説
パスワード保存 有効にすると、入力したパスワードがFortiClientに記憶されます。この機能は無償版FortiClientでも利用できます。
オートコネクト 有有効にすると、FortiClientが起動した時、自動的にVPN接続を行います。この機能は有償版FortiClientのみ利用可能です。
常にアップ(Keep Alive) 有効にすると、FortiClientはVPN接続に失敗しても自動的に再接続します。この機能は有償版FortiClientのみ利用可能です。

5. 設定を確認し、問題無ければ[作成]を選択してください

IPSec-VPN設定_5

6. 「トンネルリストを表示」を選択して、追加されたトンネルを確認してください

IPSec-VPN設定_6

新しいIPSec-VPNトンネルが追加されました。
環境に合わせたカスタム設定を行うために、VPNトンネルを編集します。
[VPN] >[IPsecトンネル] → トンネルを選択して[編集]。

IPSec-VPN設定_6-2

7. [カスタムトンネルへコンバート]を選択します

IPSec-VPN設定_7

8. IPSec-VPNの設定は「フェーズ1」と「フェーズ2」に分かれています

VPN接続はフェーズ1から始まり、フェーズ1が成功しなければ、フェーズ2を実行できません。

VPN接続時に、どのフェーズまで処理が進んだのかをログから判断できます。フェーズ1の時点でエラーが出ていたら、最初の設定段階で失敗しています。フェーズ2でエラーが出ていたら、フェーズ1までは成功していることが分かります。

「フェーズ1」のアルゴリズムとDHグループは、FortiGateとFortiClientの両者で一致するものが選択されていないと接続できませんので、注意してください。

FortiClient v7.4.3以降、Diffie-Hellman(DH)グループの数値が「5→20」に引き上げられました。DHグループは鍵交換において鍵の暗号強度を決めるもので、数値が高いほどセキュリティが強化されます。

ウィザードでVPNトンネルを作成した場合、DHグループのデフォルトは「5」と「14」です。FortiClient v7.4.3以降のバージョンと接続するには、現行のFortiGateの数値を「20」に変更してください。またはFortiClient側の数値を「5」や「14」に設定する方法でも構いません。

IPSec-VPN設定_8

9. 「フェーズ2」のアルゴリズムとDHグループも同様にFortiGateとFortiClientの両者で一致するものが選択されていないと接続できません

[高度な設定]を開き、下記の設定を行ってください。ウィザードでVPNトンネルを作成した場合、DHグループのデフォルトは「5」と「14」です。FortiClient v7.4.3以降のバージョンと接続するには、現行のFortiGateの数値を「20」に変更してください。またはFortiClient側の数値を「5」や「14」に設定する方法でも構いません。設定が完了したら[OK]してください。

IPSec-VPN設定_9

ウィザードで設定を行うと、必要なポリシーやオブジェクトが自動的に作成されます。
[ポリシー&オブジェクト] >[ファイアウォールポリシー]

IPSec-VPN設定_9-2

[ポリシー&オブジェクト] > [アドレス] > [Address]

IPSec-VPN設定_9-3

アドレスグループはスプリットトンネルを有効にすることで生成されます。
[ポリシー&オブジェクト] > [アドレス] > [Address Group]

IPSec-VPN設定_9-4

著者

著者イメージ
浦 弘平
ネットワークセキュリティ事業本部 カスタマーサポート部
誰もが知っているようで意外と知らない。今さら人に聞けない。
そんなかゆいところに手が届く情報や現場で役立つ豆知識を紹介していきます。

お問い合わせ

Fortinet製品に関する
問い合わせはこちらから

お役立ち資料

各種お役立ち資料も
取り揃えております

関連ブログ