IPSEC-VPN Fortigate 拠点間VPN

拠点間VPNテスト

シナリオ

想定:インターネットVPNを使用した拠点間VPN(10.0.0.0/24をインターネットと想定)

機器:Fortigate40C(ver 4.0 MR3 patch18) x2個でIPSEC-VPN

目標1:172.16.1.0/24ネットワークから192.168.2.0/24ネットワークへ共有ファイルにアクセス

目標2:172.16.1.0/24ネットワークから192.168.2.0/24ネットワークへリモートデスクトップでアクセス

簡易ネットワーク図

※ピンクの太線がIPSEC-VPN

fg40c_%e6%8b%a0%e7%82%b9%e9%96%93vpn-5-2

VPN設定(FG40C_1)

VPN -> IPSec -> 自動鍵(IKE) -> フェーズ1を作成

名前:40C1_to_40C2_p1
リモートゲートウェイ:スタティックIP
IPアドレス:10.0.0.2
ローカルインターフェース:wan2
モード:メイン
認証方法:事前共有鍵
事前共有鍵:XXXXXXXXXXX
ピアオプション:あらゆるピアIDを受け入れる
特別オプション
IPSECインターフェースモードを有効にする:オン

VPN -> IPSec -> 自動鍵(IKE) -> フェーズ2を作成

名前:40C1_to_40C2_p2
フェイズ1:40C1_to_40C2_p1

VPN設定(FG40C_2)

VPN -> IPSec -> 自動鍵(IKE) -> フェーズ1を作成

名前:40C2_to_40C1_p1
リモートゲートウェイ:スタティックIP
IPアドレス:10.0.0.1
ローカルインターフェース:wan2
モード:メイン
認証方法:事前共有鍵
事前共有鍵:XXXXXXXXXXX
ピアオプション:あらゆるピアIDを受け入れる
特別オプション
IPSECインターフェースモードを有効にする:オン

VPN -> IPSec -> 自動鍵(IKE) -> フェーズ2を作成

名前:40C2_to_40C1_p2
フェイズ1:40C2_to_40C1_p1

ポリシー設定(FG40C_1)

ポリシー -> ポリシー -> 新規作成

送信元インタフェース/ゾーン:internal
送信元アドレス:all
宛先インタフェース/ゾーン:wan2
宛先アドレス:all
スケジュール:always
サービス:ANY
アクション:ACCEPT
 NAT:有効(宛先インタフェースアドレスを使う)
送信元インタフェース/ゾーン:40C1_to_40C2_p1
送信元アドレス:all
宛先インタフェース/ゾーン:internal
宛先アドレス:all
スケジュール:always
サービス:ANY
アクション:ACCEPT
送信元インタフェース/ゾーン:internal
送信元アドレス:all
宛先インタフェース/ゾーン:40C1_to_40C2_p1
宛先アドレス:all
スケジュール:always
サービス:ANY
アクション:ACCEPT

ポリシー設定(FG40C_2)

ポリシー -> ポリシー -> 新規作成

送信元インタフェース/ゾーン:internal
送信元アドレス:all
宛先インタフェース/ゾーン:wan2
宛先アドレス:all
スケジュール:always
サービス:ANY
アクション:ACCEPT
NAT:有効(宛先インタフェースアドレスを使う)
送信元インタフェース/ゾーン:40C2_to_40C1_p1
送信元アドレス:all
宛先インタフェース/ゾーン:internal
宛先アドレス:all
スケジュール:always
サービス:ANY
アクション:ACCEPT
送信元インタフェース/ゾーン:internal
送信元アドレス:all
宛先インタフェース/ゾーン:40C2_to_40C1_p1
宛先アドレス:all
スケジュール:always
サービス:ANY
アクション:ACCEPT

ルーティング(FG40C_1)

ネットワーク -> Routing -> 新規作成

宛先IP/ネットマスク:172.16.1.0/255.255.255.0
デバイス:40C1_to_40C2_p1  
宛先IP/ネットマスク:192.168.2.0/255.255.255.0
デバイス:internal
ゲートウェイ:192.168.1.1
宛先IP/ネットマスク:0.0.0.0/0.0.0.0
デバイス:wan2

ルーティング(FG40C_2)

ネットワーク -> Routing -> 新規作成

宛先IP/ネットマスク:192.168.1.0/255.255.255.0
デバイス:40C2_to_40C1_p1  
宛先IP/ネットマスク:192.168.2.0/255.255.255.0
デバイス:40C2_to_40C1_p1 
宛先IP/ネットマスク:0.0.0.0/0.0.0.0
デバイス:wan2

ルーティング(IX2025)

宛先IP/ネットマスク:0.0.0.0/0.0.0.0
デバイス:Fa0/0.0
ゲートウェイ:192.168.1.254

共有ファイルアクセス

・サーバ
共有サーバ:smb://192.168.2.3
ユーザー:userX
パスワード:password123456
共有領域:/Users/userX/share
OS:Mac OSX el capitan

・クライアント
クライアント:172.16.1.2
ユーザー:userX
パスワード:password123456
OS:windows 7 64bit

・結果
クライアントからサーバに¥¥192.168.2.3へアクセス成功 

リモートデスクトップアクセス

・アクセス元
IP:172.16.1.2
ユーザー:userX
パスワード:password123456
OS:Mac OSX el capitan
アプリ:Microsoft Remote Desktop

・アクセス先
IP:192.168.2.2
ユーザー:userX
パスワード:password123456
OS:windows 7 64bit

・結果
MACからWindowsのリモートデスクトップサービスにuserXアカウントでアクセス成功 

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です