IPSEC-VPN Fortigate-IX2025 拠点間VPN

拠点間VPNテスト

シナリオ

想定1:インターネットVPNを使用した拠点間VPN(10.0.0.0/24をインターネットと想定)
想定2:Fortigate40Cは固定IPを使用し、IX2025は動的IPでIX2025からアクセスする

機器:Fortigate40C(ver 4.0 MR3 patch18) とIX2025(8.11.11)でIPSEC-VPN

目標:192.168.2.0/24ネットワークから192.168.2.0/24ネットワークの共有ファイルにアクセス

簡易ネットワーク図

※ピンクの太線がIPSEC-VPN

fg40c_to_ix2025-ipsecvpn

VPN設定(FG40C)

VPN -> IPSec -> 自動鍵(IKE) -> フェーズ1を作成

名前:To_IX2025_p1
リモートゲートウェイ:ダイアルアップユーザ
ローカルインターフェース:wan1
モード:アグレッシブモード
認証方法:事前共有鍵
事前共有鍵:XXXXXXXXXXX
ピアオプション:あらゆるピアIDを受け入れる
特別オプション
 IPSECインターフェースモードを有効にする:オン
 フェーズ1
  1.暗号化:AES128 認証:SHA1
  DHグループ:2

VPN -> IPSec -> 自動鍵(IKE) -> フェーズ2を作成

名前:To_IX2025_p2
フェイズ1:To_IX2025_p1
特別オプション
 フェーズ2
  1.暗号化:AES128 認証:SHA1
  リプレイ検知を有効にする:無効
  PFSを有効にする:有効
   DHグループ:2
 鍵の有効時間:28800秒
 クイックモードセレクタ
  送信元アドレス:192.168.1.0/24
  宛先アドレス:192.168.2.0/24 

ポリシー設定(FG40C)

ポリシー -> ポリシー -> 新規作成

送信元インタフェース/ゾーン:To_IX2025_p1
送信元アドレス:all
宛先インタフェース/ゾーン:internal
宛先アドレス:all
スケジュール:always
サービス:ANY
アクション:ACCEPT
送信元インタフェース/ゾーン:internal
送信元アドレス:all
宛先インタフェース/ゾーン:To_IX2025_p1
宛先アドレス:all
スケジュール:always
サービス:ANY
アクション:ACCEPT

 ルーティング(FG40C)

ネットワーク -> Routing -> 新規作成

宛先IP/ネットマスク:192.168.2.0/255.255.255.0
デバイス:To_IX2025_p1  

VPN設定(IX2025)

hostname IX2025

ip ufs-cache enable
ip route default FastEthernet0/0.0
ip route 192.168.1.0/24 Tunnel0.0
ip access-list flt-list1 permit udp src 10.0.0.1/32 sport eq 500 dest any dport eq 500
ip access-list flt-list1 permit 50 src 10.0.0.1/32 dest any
ip access-list flt-list2 permit ip src 192.168.1.0/24 dest 192.168.2.0/24
ip access-list sec-list permit ip src any dest any
!
ike proposal ike-prop encryption aes hash sha group 1024-bit
!
ike suppress-dangling
!
ike policy ike-policy peer 10.0.0.1 key XXXXXXXX mode aggressive ike-prop
ike keepalive ike-policy 30 6
ike local-id ike-policy keyid ix2025
!
ipsec autokey-proposal ipsec-prop esp-aes esp-sha lifetime time 288000
!
ipsec autokey-map ipsec-policy sec-list peer 10.0.0.1 ipsec-prop pfs 1024-bit
ipsec local-id ipsec-policy 192.168.2.0/24
ipsec remote-id ipsec-policy 192.168.1.0/24
!
interface FastEthernet0/0.0
 ip address 10.0.0.2/24
 ip napt enable
 ip napt static FastEthernet0/0.1 udp 500
 ip napt static FastEthernet0/0.1 50
 ip filter flt-list1 1 in
 no shutdown
!
interface FastEthernet0/1.0
 ip address 192.168.2.254/24
 no shutdown
!
interface Tunnel0.0
 tunnel mode ipsec
 ip unnumbered FastEthernet0/1.0
 ip filter flt-list2 1 in
 ipsec policy tunnel ipsec-policy out
 no shutdown

共有ファイルアクセス

・サーバ
共有サーバ:smb://192.168.1.11
ユーザー:userX
パスワード:password123456
OS:windows 7

・クライアント
クライアント:192.168.2.2
ユーザー:userX
パスワード:password123456
OS:Mac

・結果
MacのFinderの「サーバに接続」からsmb://192.168.1.11を入力してアクセス成功  

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です