L2TP/IPSEC-VPN Fortigate リモートアクセス

リモートアクセスVPNテスト

シナリオ

想定:インターネットVPNを使用したリモートアクセスVPN

機器:Fortigate40C(ver 4.0 MR3 patch18) とiphone SE

目標1:LTE通信のiphone SEからFortigate40CまでをVPNでつなぎ、internal内のPCにリモートデスクトップで接続する

簡易ネットワーク

fg40c_l2tp-ipsec-vpn

 

Fortigate L2TP/IPSEC-VPN設定

ファイアウォールオブジェクト -> アドレス -> アドレス -> 新規作成

アドレス名:L2TP-Clients
タイプ:サブネット/IP範囲指定
サブネット/IP範囲指定:192.168.11.[2-9]
インタフェース:すべて

VPN -> IPSec -> 自動鍵(IKE) -> フェイズ1を作成

名前:L2TP_IPSEC_
リモートゲートウェイ:ダイアルアップユーザ
ローカルインターフェース:wan1
モード:アグレッシブ
認証方法:事前共有鍵
事前共有鍵:XXXXXXXXXXXXX
ピアオプション:このピアIDを受け入れる[ ipsecvpn ]
特別オプション(変更箇所のみ)
 PSecインターフェースモードを有効にする:オン
 DNSサーバ:指定 192.168.1.254
 フェーズ1
  DHグループ:2
 XAUTH:サーバを有効にする
  サーバタイプ:AUTO
  ユーザグループ:IPSEC-VPN  //グループを作成して指定
  NATトラバーサル:有効

VPN -> IPSec -> 自動鍵(IKE) -> フェイズ2を作成

名前:L2TP_IPSEC_p2
フェイズ1:L2TP_IPSEC_p1
特別オプション(特別オプション)
 リプレイ検知を有効にする:有効
 PFSを有効にする:無効
自動鍵キープアライブ:有効

Fortigate L2TP/IPSEC-VPNユーザー設定

ユーザー -> ローカル ->  新規作成

ユーザー名:userX
パスワード:XXXXXX

ユーザー -> ユーザーグループ -> ユーザーグループ -> 新規作成

名前:IPSEC-VPN
タイプ:ファイアウォール
SSL-VPNアクセスを許可:無効
利用できるユーザー:userX

Fortigate 静的ルーティング

システム -> ネットワーク -> Routing -> 新規作成

宛先IP/ネットマスク:192.168.11.0/255.255.255.0
デバイス:L2TP_IPSEC_p1
ゲートウェイ:0.0.0.0
コメント:なし

Forigate ポリシー

ポリシー -> ポリシー -> 新規作成

送信元インタフェース/ゾーン:L2TP_IPSEC_p1
送信元アドレス:all
宛先インタフェース/ゾーン:internal
宛先アドレス:all
スケジュール:always
サービス:ANY
アクション:ACCEPT
送信元インタフェース/ゾーン:internal
送信元アドレス:all
宛先インタフェース/ゾーン:L2TP_IPSEC_p1
宛先アドレス:all
スケジュール:always
サービス:ANY
アクション:ACCEPT
※インターネットにもアクセスする場合
送信元インタフェース/ゾーン:L2TP_IPSEC_p1
送信元アドレス:all
宛先インタフェース/ゾーン:wan1
宛先アドレス:all
スケジュール:always
サービス:ANY
アクション:ACCEPT
NAT有効:有効
 宛先インターフェースアドレスを使う

iphone L2TP/IPSEC-VPN設定準備

iphone -> 設定 -> VPN -> VPN構成を追加

タイプ:IPSEC
説明:FG40C
サーバ:XXX.XXX.XXX.XXX (wan1の固定IPアドレス)
アカウント:userX
パスワード:XXXXXXXXXX
証明書を使用:無効
グループ名:ipsecvpn //ピアIPを指定
シークレット:XXXXXX //事前共有鍵を指定

iphone PCへリモートデスクトップ

app storeからmicrosoft RD Clientをインストール

RD Clientの設定して接続

PC名:192.168.1.XXX (PCのIPアドレス)
ユーザーアカウント:<PCのユーザー名>
パスワード:<PCのパスワード>

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です