2016/09/27

IPSEC-VPN Fortigate 拠点間VPN

拠点間VPNテスト

シナリオ

想定:インターネットVPNを使用した拠点間VPN(10.0.0.0/24をインターネットと想定)
機器:Fortigate40C(ver 4.0 MR3 patch18) x2個でIPSEC-VPN
目標1:172.16.1.0/24ネットワークから192.168.2.0/24ネットワークへ共有ファイルにアクセス
目標2:172.16.1.0/24ネットワークから192.168.2.0/24ネットワークへリモートデスクトップでアクセス

簡易ネットワーク図

※ピンクの太線がIPSEC-VPN

VPN設定(FG40C_1)

VPN -> IPSec -> 自動鍵(IKE) -> フェーズ1を作成
名前:40C1_to_40C2_p1
リモートゲートウェイ:スタティックIP
IPアドレス:10.0.0.2
ローカルインターフェース:wan2
モード:メイン
認証方法:事前共有鍵
事前共有鍵:XXXXXXXXXXX
ピアオプション:あらゆるピアIDを受け入れる
特別オプション
IPSECインターフェースモードを有効にする:オン
VPN -> IPSec -> 自動鍵(IKE) -> フェーズ2を作成
名前:40C1_to_40C2_p2
フェイズ1:40C1_to_40C2_p1

VPN設定(FG40C_2)

VPN -> IPSec -> 自動鍵(IKE) -> フェーズ1を作成
名前:40C2_to_40C1_p1
リモートゲートウェイ:スタティックIP
IPアドレス:10.0.0.1
ローカルインターフェース:wan2
モード:メイン
認証方法:事前共有鍵
事前共有鍵:XXXXXXXXXXX
ピアオプション:あらゆるピアIDを受け入れる
特別オプション
IPSECインターフェースモードを有効にする:オン
VPN -> IPSec -> 自動鍵(IKE) -> フェーズ2を作成
名前:40C2_to_40C1_p2
フェイズ1:40C2_to_40C1_p1

ポリシー設定(FG40C_1)

ポリシー -> ポリシー -> 新規作成
送信元インタフェース/ゾーン:internal
送信元アドレス:all
宛先インタフェース/ゾーン:wan2
宛先アドレス:all
スケジュール:always
サービス:ANY
アクション:ACCEPT
 NAT:有効(宛先インタフェースアドレスを使う)
送信元インタフェース/ゾーン:40C1_to_40C2_p1
送信元アドレス:all
宛先インタフェース/ゾーン:internal
宛先アドレス:all
スケジュール:always
サービス:ANY
アクション:ACCEPT
送信元インタフェース/ゾーン:internal
送信元アドレス:all
宛先インタフェース/ゾーン:40C1_to_40C2_p1
宛先アドレス:all
スケジュール:always
サービス:ANY
アクション:ACCEPT

ポリシー設定(FG40C_2)

ポリシー -> ポリシー -> 新規作成
送信元インタフェース/ゾーン:internal
送信元アドレス:all
宛先インタフェース/ゾーン:wan2
宛先アドレス:all
スケジュール:always
サービス:ANY
アクション:ACCEPT
NAT:有効(宛先インタフェースアドレスを使う)
送信元インタフェース/ゾーン:40C2_to_40C1_p1
送信元アドレス:all
宛先インタフェース/ゾーン:internal
宛先アドレス:all
スケジュール:always
サービス:ANY
アクション:ACCEPT
送信元インタフェース/ゾーン:internal
送信元アドレス:all
宛先インタフェース/ゾーン:40C2_to_40C1_p1
宛先アドレス:all
スケジュール:always
サービス:ANY
アクション:ACCEPT

ルーティング(FG40C_1)

ネットワーク -> Routing -> 新規作成
宛先IP/ネットマスク:172.16.1.0/255.255.255.0
バイス:40C1_to_40C2_p1  
宛先IP/ネットマスク:192.168.2.0/255.255.255.0
バイス:internal
ゲートウェイ:192.168.1.1
宛先IP/ネットマスク:0.0.0.0/0.0.0.0
バイス:wan2

ルーティング(FG40C_2)

ネットワーク -> Routing -> 新規作成
宛先IP/ネットマスク:192.168.1.0/255.255.255.0
バイス:40C2_to_40C1_p1  
宛先IP/ネットマスク:192.168.2.0/255.255.255.0
バイス:40C2_to_40C1_p1 
宛先IP/ネットマスク:0.0.0.0/0.0.0.0
バイス:wan2

ルーティング(IX2025)

宛先IP/ネットマスク:0.0.0.0/0.0.0.0
バイス:Fa0/0.0
ゲートウェイ:192.168.1.254

共有ファイルアクセス

・サーバ
共有サーバ:smb://192.168.2.3
ユーザー:userX
パスワード:password123456
共有領域:/Users/userX/share
OS:Mac OSX el capitan
・クライアント
クライアント:172.16.1.2
ユーザー:userX
パスワード:password123456
OS:windows 7 64bit
・結果
クライアントからサーバに¥¥192.168.2.3へアクセス成功 

リモートデスクトップアクセス

・アクセス元
IP:172.16.1.2
ユーザー:userX
パスワード:password123456
OS:Mac OSX el capitan
アプリ:Microsoft Remote Desktop
・アクセス先
IP:192.168.2.2
ユーザー:userX
パスワード:password123456
OS:windows 7 64bit
・結果
MACからWindowsリモートデスクトップサービスにuserXアカウントでアクセス成功 

時刻: 0 件のコメント:
ラベル:
登録: 投稿 (Atom)

L2TP/IPSEC-VPN IX2025 リモートアクセス.

リモートアクセス VPN テスト シナリオ 想定1:インターネット VPN を使用したリモートアクセス VPN 想定2: VPN 構築後に iphone からインターネットに接続する 機器: NEC  IX2025(8.11.11) と iphone 目標1: LTE 通信の i...

  • IPSEC-VPN Fortigate-IX2025 拠点間VPN
    拠点間 VPN テスト シナリオ 想定1:インターネット VPN を使用した拠点間 VPN (10.0.0.0/24をインターネットと想定) 想定2:Fortigate40Cは固定IPを使用し、IX2025は動的IPでIX2025からアクセスする 機器:Fortigate40C(...
  • L2TP/IPSEC-VPN IX2025 リモートアクセス.
    リモートアクセス VPN テスト シナリオ 想定1:インターネット VPN を使用したリモートアクセス VPN 想定2: VPN 構築後に iphone からインターネットに接続する 機器: NEC  IX2025(8.11.11) と iphone 目標1: LTE 通信の i...
  • SSL-VPN Fortigate リモートアクセス
    リモートアクセス VPN テスト シナリオ 想定:インターネット VPN を使用したリモートアクセス VPN 機器:Fortigate40C(ver 4.0 MR3 patch18) と iphone SE 目標1: LTE 通信の iphone SE からFortigate40...