~FortiGate 技術ブログ~
IPSec-VPN設定方法 【基本編】5 / 5
ルーターの「NAT越え」を行う場合
FortiGate(VPN装置)の前段にルーター(NAT装置)が存在する場合、FortiGateは「NATトラバーサル」という機能を用いてFortiClientとの接続を行います。NATトラバーサルはデフォルトで有効になっており、PC側とFortiGate側の両方を有効にすることで、いわゆる「NAT越え」を実現します。
PC側またはFortiGate側のどちらか一方のNATトラバーサルが無効の場合、FortiGateへのVPN接続は成功しても、その先の内部ネットワークに到達できません。

また、通常のIPSec-VPN接続ではIKEの「UDP/500」ポートが使われますが、NATトラバーサルでは「UDP/500」と「UDP/4500」の2つのポートが使われます。このため、予め前段のルーター側で2つのポートを開けておく必要があります。
NATトラバーサルの設定箇所は下記の通りです。
【FortiGateの設定箇所】
[VPN] > [IPsecトンネル]を選択 → トンネルを選択して[編集] → 「ネットワーク」内にあります。NATトラバーサルは、デフォルトで有効になっています。

【FortiClientの設定箇所】
IPSec-VPNの設定を[編集] → [詳細設定] → [フェーズ1]内にあります。NATトラバーサルは、デフォルトで有効になっています。

ポート番号をTCP/443に変更する方法
IPSec-VPNを設定する以前にSSL-VPNを使っていた場合、FortiGateの前段のルーターで「TCP/443」ポートを開けていたため、同じTCP/443を使い続けたいと考えるユーザーも多いことでしょう。企業によっては、社内の規定でポートを簡単に変更できないケースも考えられます。このような場合は、「IPSec over TCP」を使用することで、ポート番号をTCP/443に変更できます。これにより、以前と同じポート番号を引き続き利用できます。
SSL-VPN運用中は異なるポート番号をお使いください。同じポート番号によるSSL-VPNとIPSec-VPNの同時利用はお奨めしません。
FortiGateの前段にルーターが存在する場合はポート番号が変わっても、PC側とFortiGate側の両方でNATトラバーサルの設定が必須です。
1. WebGUIのポートにはデフォルトでTCP/443が使われています
IPSec-VPNと被ってしまうと動作に支障が出ることがあるため、適当な番号に変更してください。ここでは例として「10443」に変更します。
[システム] > [設定]を選択し、HTTPSポートを変更してください。

WebGUIのポート番号を変更すると、従来のIPアドレスだけではWebGUIに接続できなくなります。この例の場合、次回からブラウザの接続先を「https://[FortiGateのIP]:10443」に変更してください。
2. IKEのバージョンをv1→v2へ変更します
[VPN] > [IPsecトンネル]を選択し、「認証」内のIKEバージョンを「2」に変更して[OK]してください。

3. CLIコマンドでIPSec-VPNトンネルの設定を変更します
(phase1-interface) # edit IPSecT
(IPSecT) # set eap enable << EAP認証を有効化
(IPSecT) # set eap-identity send-request << ピアIDの解決にEAP IDリクエストを使用
(IPSecT) # set authusrgrp ipsecvpn_group << 認証ユーザーグループ
(IPSecT) # set transport tcp <<IKEトランスポートプロトコルにTCPを使用
(IPSecT) # end
4. CLIコマンドでIKE/IPSecで使用するTCPのポート番号を変更します
(settings) # set ike-tcp-port 443 << IKE/IPsecのTCPポート番号
(settings) # end
5. FortiClientを開き、IPSec-VPNの設定を[編集] → [詳細設定]を開き、下記の設定を行って[保存]してください

クライアントオプションを有効にした場合
ウィザードでクライアントオプションを有効にすると、FortiClientのリモートアクセス画面にチェック項目が表示されます。
【FortiClient VPNの接続画面】

無償版のFortiClient VPNの場合、「オートコネクト」と「常にアップ」は使用不可です。有効化しようとすると、警告が表示されます。

誤って「オートコネクト」と「常にアップ」を有効にしてしまった場合は、FortiGateのコンソールから下記コマンドを実行して無効にできます。
(phase1-interface) # edit IPSecT
(IPSecT) # set save-password enable << 「パスワードを保存」を無効
(IPSecT) # set client-auto-negotiate disable << 「オートコネクト」を無効
(IPSecT) # set client-keep-alive disable << 「常にアップ」を無効
(IPSecT) # end
著者
関連製品
-
FortiGate/FortiGateCloud強固なセキュリティ機能を一台で提供する統合脅威管理(UTM)アプライアンスです。
- Cloud / SaaS
- Network Security
- OT Security