~FortiGate 技術ブログ~
IPSec-VPN設定方法 【基本編】5 / 5

ルーターの「NAT越え」を行う場合

FortiGate(VPN装置)の前段にルーター(NAT装置)が存在する場合、FortiGateは「NATトラバーサル」という機能を用いてFortiClientとの接続を行います。NATトラバーサルはデフォルトで有効になっており、PC側とFortiGate側の両方を有効にすることで、いわゆる「NAT越え」を実現します。

PC側またはFortiGate側のどちらか一方のNATトラバーサルが無効の場合、FortiGateへのVPN接続は成功しても、その先の内部ネットワークに到達できません。

ルーターの「NAT越え」

また、通常のIPSec-VPN接続ではIKEの「UDP/500」ポートが使われますが、NATトラバーサルでは「UDP/500」と「UDP/4500」の2つのポートが使われます。このため、予め前段のルーター側で2つのポートを開けておく必要があります。
NATトラバーサルの設定箇所は下記の通りです。

【FortiGateの設定箇所】

[VPN] > [IPsecトンネル]を選択 → トンネルを選択して[編集] → 「ネットワーク」内にあります。NATトラバーサルは、デフォルトで有効になっています。

FortiGateの設定箇所

【FortiClientの設定箇所】

IPSec-VPNの設定を[編集] → [詳細設定] → [フェーズ1]内にあります。NATトラバーサルは、デフォルトで有効になっています。

FortiClientの設定箇所

ポート番号をTCP/443に変更する方法

IPSec-VPNを設定する以前にSSL-VPNを使っていた場合、FortiGateの前段のルーターで「TCP/443」ポートを開けていたため、同じTCP/443を使い続けたいと考えるユーザーも多いことでしょう。企業によっては、社内の規定でポートを簡単に変更できないケースも考えられます。このような場合は、「IPSec over TCP」を使用することで、ポート番号をTCP/443に変更できます。これにより、以前と同じポート番号を引き続き利用できます。

SSL-VPN運用中は異なるポート番号をお使いください。同じポート番号によるSSL-VPNとIPSec-VPNの同時利用はお奨めしません。

FortiGateの前段にルーターが存在する場合はポート番号が変わっても、PC側とFortiGate側の両方でNATトラバーサルの設定が必須です。

1. WebGUIのポートにはデフォルトでTCP/443が使われています

IPSec-VPNと被ってしまうと動作に支障が出ることがあるため、適当な番号に変更してください。ここでは例として「10443」に変更します。
[システム] > [設定]を選択し、HTTPSポートを変更してください。

TCP/443に変更_1

WebGUIのポート番号を変更すると、従来のIPアドレスだけではWebGUIに接続できなくなります。この例の場合、次回からブラウザの接続先を「https://[FortiGateのIP]:10443」に変更してください。

2. IKEのバージョンをv1→v2へ変更します

[VPN] > [IPsecトンネル]を選択し、「認証」内のIKEバージョンを「2」に変更して[OK]してください。

TCP/443に変更_2

3. CLIコマンドでIPSec-VPNトンネルの設定を変更します

# config vpn ipsec phase1-interface
(phase1-interface) # edit IPSecT
(IPSecT) # set eap enable<< EAP認証を有効化
(IPSecT) # set eap-identity send-request<< ピアIDの解決にEAP IDリクエストを使用
(IPSecT) # set authusrgrp ipsecvpn_group<< 認証ユーザーグループ
(IPSecT) # set transport tcp<<IKEトランスポートプロトコルにTCPを使用
(IPSecT) # end

4. CLIコマンドでIKE/IPSecで使用するTCPのポート番号を変更します

# config system settings
(settings) # set ike-tcp-port 443<< IKE/IPsecのTCPポート番号
(settings) # end

5. FortiClientを開き、IPSec-VPNの設定を[編集] → [詳細設定]を開き、下記の設定を行って[保存]してください

TCP/443に変更_5

クライアントオプションを有効にした場合

ウィザードでクライアントオプションを有効にすると、FortiClientのリモートアクセス画面にチェック項目が表示されます。

【FortiClient VPNの接続画面】

FortiClient VPNの接続画面

無償版のFortiClient VPNの場合、「オートコネクト」と「常にアップ」は使用不可です。有効化しようとすると、警告が表示されます。

警告イメージ

誤って「オートコネクト」と「常にアップ」を有効にしてしまった場合は、FortiGateのコンソールから下記コマンドを実行して無効にできます。

# config vpn ipsec phase1-interface
(phase1-interface) # edit IPSecT
(IPSecT) # set save-password enable<< 「パスワードを保存」を無効
(IPSecT) # set client-auto-negotiate disable<< 「オートコネクト」を無効
(IPSecT) # set client-keep-alive disable<< 「常にアップ」を無効
(IPSecT) # end

著者

著者イメージ
浦 弘平
ネットワークセキュリティ事業本部 カスタマーサポート部
誰もが知っているようで意外と知らない。今さら人に聞けない。
そんなかゆいところに手が届く情報や現場で役立つ豆知識を紹介していきます。

お問い合わせ

Fortinet製品に関する
問い合わせはこちらから

お役立ち資料

各種お役立ち資料も
取り揃えております

関連ブログ