L2TP/IPSEC-VPN IX2025 リモートアクセス.

リモートアクセスVPNテスト

シナリオ

想定1：インターネットVPNを使用したリモートアクセスVPN
想定2：VPN構築後にiphoneからインターネットに接続する

機器：NEC IX2025(8.11.11) とiphone

目標1：LTE通信のiphoneからIX2025までをVPNでつなぎ、internal内のPCにリモートデスクトップで接続する
目標2：iphoneからインターネットに接続する

簡易ネットワーク

IX2025 L2TP/IPSEC-VPN設定

config

hostname ix2025
!
ip ufs-cache enable
ip route default FastEthernet0/0.1
ip access-list all-block deny ip src any dest any
ip access-list all-pass permit ip src any dest any
ip access-list sec-list permit ip src any dest any
ip access-list vpn permit udp src any sport any dest any dport eq 500
ip access-list vpn permit udp src any sport any dest any dport eq 4500
ip access-list dynamic dyn-access access all-pass
!
ike nat-traversal
ike proposal ike1 encryption aes-256 hash sha group 1024-bit
ike proposal ike2 encryption aes hash sha group 1024-bit
ike proposal ike3 encryption 3des hash sha group 1024-bit
ike policy ike-policy peer any key XXXXXXX ike1,ike2,ike3
!
ipsec autokey-proposal sec1 esp-aes-256 esp-sha
ipsec autokey-proposal sec2 esp-aes esp-sha
ipsec autokey-proposal sec3 esp-3des esp-sha
ipsec dynamic-map ipsec-map sec-list sec1,sec2,sec3
!
proxy-dns ip enable
!
ppp profile プロバイダー
 authentication myname XXXXX@XXXXXX
 authentication password XXXXX@XXXXX パスワード
!
ppp profile L2TP-IPSEC-VPN
 authentication request chap
 authentication password ユーザー名 パスワード
 lcp pfc
 lcp acfc
 ipcp ip-compression
 ipcp provide-remote-dns 192.168.1.254
 ipcp provide-ip-address range 192.168.1.101 192.168.1.102
!
interface FastEthernet1/0.0
 ip address 192.168.1.254/24
 ip proxy-arp 
 ip dhcp binding 192.168.1.0/24
 no shutdown
!
interface FastEthernet0/0.1
 encapsulation pppoe
 auto-connect
 ppp binding プロバイダー
 ip address ipcp
 ip mtu 1454
 ip tcp adjust-mss auto
 ip napt enable
 ip napt static FastEthernet0/0.1 udp 500
 ip napt static FastEthernet0/0.1 udp 4500
 ip napt static FastEthernet0/0.1 50
 ip filter vpn 100 in
 ip filter all-block 65535 in
 ip filter dyn-access 100 out
 ip filter all-block 65535 out
 no shutdown
!
interface Tunnel0.0
 ppp binding L2TP-IPSEC-VPN
 tunnel mode l2tp ipsec
 ip unnumbered FastEthernet1/0.0
 ip tcp adjust-mss auto
 ipsec policy transport ipsec-map
 no shutdown

iphone L2TP/IPSEC-VPN設定準備

iphone -> 設定 -> VPN -> VPN構成を追加

タイプ：L2TP
説明：IX2025
サーバ：XXX.XXX.XXX.XXX　(固定IPアドレス)
アカウント：userX
RSA SecureID：無効
パスワード：XXXXXXXXXX
シークレット：XXXXXX　//事前共有鍵を指定
すべての信号を送信：有効

iphone PCへリモートデスクトップ

app storeからmicrosoft RD Clientをインストール

RD Clientの設定して接続

PC名：192.168.1.XXX (PCのIPアドレス)
ユーザーアカウント：
パスワード：

IPSEC-VPN Fortigate-IX2025 拠点間VPN

拠点間VPNテスト

シナリオ

想定1：インターネットVPNを使用した拠点間VPN(10.0.0.0/24をインターネットと想定)
想定2：Fortigate40Cは固定IPを使用し、IX2025は動的IPでIX2025からアクセスする

機器：Fortigate40C(ver 4.0 MR3 patch18) とIX2025(8.11.11)でIPSEC-VPN

目標：192.168.2.0/24ネットワークから192.168.2.0/24ネットワークの共有ファイルにアクセス

簡易ネットワーク図

※ピンクの太線がIPSEC-VPN

VPN設定(FG40C)

VPN -> IPSec -> 自動鍵(IKE) -> フェーズ1を作成

名前：To_IX2025_p1
リモートゲートウェイ：ダイアルアップユーザ
ローカルインターフェース：wan1
モード：アグレッシブモード
認証方法：事前共有鍵
事前共有鍵：XXXXXXXXXXX
ピアオプション：あらゆるピアIDを受け入れる
特別オプション
　IPSECインターフェースモードを有効にする：オン
　フェーズ1
　　1.暗号化：AES128　認証：SHA1
　　DHグループ：2

VPN -> IPSec -> 自動鍵(IKE) -> フェーズ2を作成

名前：To_IX2025_p2
フェイズ1：To_IX2025_p1
特別オプション
　フェーズ2
　　1.暗号化：AES128　認証：SHA1
　　リプレイ検知を有効にする：無効
　　PFSを有効にする：有効
　　　DHグループ：２
　鍵の有効時間：28800秒
　クイックモードセレクタ
　　送信元アドレス：192.168.1.0/24
　　宛先アドレス：192.168.2.0/24　

ポリシー設定(FG40C)

ポリシー -> ポリシー -> 新規作成

送信元インタフェース/ゾーン：To_IX2025_p1
送信元アドレス：all
宛先インタフェース/ゾーン：internal
宛先アドレス：all
スケジュール：always
サービス：ANY
アクション：ACCEPT

送信元インタフェース/ゾーン：internal
送信元アドレス：all
宛先インタフェース/ゾーン：To_IX2025_p1
宛先アドレス：all
スケジュール：always
サービス：ANY
アクション：ACCEPT

 ルーティング(FG40C)

ネットワーク -> Routing -> 新規作成

宛先IP/ネットマスク：192.168.2.0/255.255.255.0
デバイス：To_IX2025_p1  

VPN設定(IX2025)

hostname IX2025

ip ufs-cache enable
ip route default FastEthernet0/0.0
ip route 192.168.1.0/24 Tunnel0.0
ip access-list flt-list1 permit udp src 10.0.0.1/32 sport eq 500 dest any dport eq 500
ip access-list flt-list1 permit 50 src 10.0.0.1/32 dest any
ip access-list flt-list2 permit ip src 192.168.1.0/24 dest 192.168.2.0/24
ip access-list sec-list permit ip src any dest any
!
ike proposal ike-prop encryption aes hash sha group 1024-bit
!
ike suppress-dangling
!
ike policy ike-policy peer 10.0.0.1 key XXXXXXXX mode aggressive ike-prop
ike keepalive ike-policy 30 6
ike local-id ike-policy keyid ix2025
!
ipsec autokey-proposal ipsec-prop esp-aes esp-sha lifetime time 288000
!
ipsec autokey-map ipsec-policy sec-list peer 10.0.0.1 ipsec-prop pfs 1024-bit
ipsec local-id ipsec-policy 192.168.2.0/24
ipsec remote-id ipsec-policy 192.168.1.0/24
!
interface FastEthernet0/0.0
 ip address 10.0.0.2/24
 ip napt enable
 ip napt static FastEthernet0/0.1 udp 500
 ip napt static FastEthernet0/0.1 50
 ip filter flt-list1 1 in
 no shutdown
!
interface FastEthernet0/1.0
 ip address 192.168.2.254/24
 no shutdown
!
interface Tunnel0.0
 tunnel mode ipsec
 ip unnumbered FastEthernet0/1.0
 ip filter flt-list2 1 in
 ipsec policy tunnel ipsec-policy out
 no shutdown

共有ファイルアクセス

・サーバ
共有サーバ：smb://192.168.1.11
ユーザー：userX
パスワード：password123456
OS：windows 7

・クライアント
クライアント：192.168.2.2
ユーザー：userX
パスワード：password123456
OS：Mac

・結果
MacのFinderの「サーバに接続」からsmb://192.168.1.11を入力してアクセス成功  

L2TP/IPSEC-VPN Fortigate リモートアクセス

リモートアクセスVPNテスト

シナリオ

想定：インターネットVPNを使用したリモートアクセスVPN

機器：Fortigate40C(ver 4.0 MR3 patch18) とiphone SE

目標1：LTE通信のiphone SEからFortigate40CまでをVPNでつなぎ、internal内のPCにリモートデスクトップで接続する

簡易ネットワーク

Fortigate L2TP/IPSEC-VPN設定

ファイアウォールオブジェクト -> アドレス -> アドレス -> 新規作成

アドレス名：L2TP-Clients
タイプ：サブネット/IP範囲指定
サブネット/IP範囲指定：192.168.11.[2-9]
インタフェース：すべて

VPN -> IPSec -> 自動鍵(IKE) -> フェイズ1を作成

名前：L2TP_IPSEC_
リモートゲートウェイ：ダイアルアップユーザ
ローカルインターフェース：wan1
モード：アグレッシブ
認証方法：事前共有鍵
事前共有鍵：XXXXXXXXXXXXX
ピアオプション：このピアIDを受け入れる[ ipsecvpn ]
特別オプション(変更箇所のみ)
　PSecインターフェースモードを有効にする：オン
　DNSサーバ：指定 192.168.1.254
　フェーズ1
　　DHグループ：2
　XAUTH：サーバを有効にする
　　サーバタイプ：AUTO
　　ユーザグループ：IPSEC-VPN　　//グループを作成して指定
　　NATトラバーサル：有効

VPN -> IPSec -> 自動鍵(IKE) -> フェイズ2を作成

名前：L2TP_IPSEC_p2
フェイズ1：L2TP_IPSEC_p1
特別オプション(特別オプション)
　リプレイ検知を有効にする：有効
　PFSを有効にする：無効
自動鍵キープアライブ：有効

Fortigate L2TP/IPSEC-VPNユーザー設定

ユーザー -> ローカル ->  新規作成

ユーザー名：userX
パスワード：XXXXXX

ユーザー -> ユーザーグループ -> ユーザーグループ -> 新規作成

名前：IPSEC-VPN
タイプ：ファイアウォール
SSL-VPNアクセスを許可：無効
利用できるユーザー：userX

Fortigate 静的ルーティング

システム -> ネットワーク -> Routing -> 新規作成

宛先IP/ネットマスク：192.168.11.0/255.255.255.0
デバイス：L2TP_IPSEC_p1
ゲートウェイ：0.0.0.0
コメント：なし

Forigate ポリシー

ポリシー -> ポリシー -> 新規作成

送信元インタフェース/ゾーン：L2TP_IPSEC_p1
送信元アドレス：all
宛先インタフェース/ゾーン：internal
宛先アドレス：all
スケジュール：always
サービス：ANY
アクション：ACCEPT

送信元インタフェース/ゾーン：internal
送信元アドレス：all
宛先インタフェース/ゾーン：L2TP_IPSEC_p1
宛先アドレス：all
スケジュール：always
サービス：ANY
アクション：ACCEPT

※インターネットにもアクセスする場合
送信元インタフェース/ゾーン：L2TP_IPSEC_p1
送信元アドレス：all
宛先インタフェース/ゾーン：wan1
宛先アドレス：all
スケジュール：always
サービス：ANY
アクション：ACCEPT
NAT有効：有効
　宛先インターフェースアドレスを使う

iphone L2TP/IPSEC-VPN設定準備

iphone -> 設定 -> VPN -> VPN構成を追加

タイプ：IPSEC
説明：FG40C
サーバ：XXX.XXX.XXX.XXX　(wan1の固定IPアドレス)
アカウント：userX
パスワード：XXXXXXXXXX
証明書を使用：無効
グループ名：ipsecvpn　//ピアIPを指定
シークレット：XXXXXX　//事前共有鍵を指定

iphone PCへリモートデスクトップ

app storeからmicrosoft RD Clientをインストール

RD Clientの設定して接続

PC名：192.168.1.XXX (PCのIPアドレス)
ユーザーアカウント：
パスワード：

SSL-VPN Fortigate リモートアクセス

リモートアクセスVPNテスト

シナリオ

想定：インターネットVPNを使用したリモートアクセスVPN

機器：Fortigate40C(ver 4.0 MR3 patch18) とiphone SE

目標1：LTE通信のiphone SEからFortigate40CまでをVPNでつなぎ、internal内のPCにリモートデスクトップで接続する

簡易ネットワーク

Fortigate SSL-VPN設定

ファイアウォールオブジェクト -> アドレス -> アドレス -> 新規作成

アドレス名：SSLVPN-Clients
タイプ：サブネット/IP範囲指定
サブネット/IP範囲指定：192.168.12.[2-9]
インタフェース：すべて

VPN -> SSL -> 設定

IPプール：SSLVPN-Clients
サーバ証明書：自己署名
クライアント証明書：なし
暗号鍵アルゴリズム：デフォルト
アイドルタイム：300秒
ログインポート：10443

VPN -> SSL -> ポータル -> 新規作成

名前：tunnel-access
ウィジェット：トンネルモード、Seesion Information
setting：デフォルトのまま

Fortigate SSL-VPNユーザー設定

ユーザー -> ローカル ->  新規作成

ユーザー名：userX
パスワード：XXXXXX

ユーザー -> ユーザーグループ -> ユーザーグループ -> 新規作成

名前：SSL-VPN
タイプ：ファイアウォール
SSL-VPNアクセスを許可：tunnel-access //tunnel-accessはポータル名
利用できるユーザー：userX

Fortigate 静的ルーティング

システム -> ネットワーク -> Routing -> 新規作成

宛先IP/ネットマスク：192.168.12.0/255.255.255.0
デバイス：ssl.root
ゲートウェイ：0.0.0.0
コメント：なし

Forigate ポリシー

ポリシー -> ポリシー -> 新規作成

送信元インタフェース/ゾーン：sslvpn トンネルインターフェース
送信元アドレス：SSLVPN-Clients
宛先インタフェース/ゾーン：internal
宛先アドレス：all
スケジュール：always
サービス：ANY
アクション：ACCEPT
NAT：有効(宛先インタフェースアドレスを使う)

送信元インタフェース/ゾーン：wan1
送信元アドレス：all
宛先インタフェース/ゾーン：internal
宛先アドレス：all
アクション：SSL-VPN
SSL-VPNユーザを設定
　ルールID:1
　ユーザグループ：SSL−VPN
　サービス：any
　スケジュール：always

iphone SSL-VPN設定準備

app storeからFortiClientをインストール

FortiClientの設定

Name：fortigate-ssl-vpn
Host：XXX.XXX.XXX.XXX　(wan1の固定IPアドレス)
Port：10443
User：userX
Password：XXXXXXXXXX

iphone PCへリモートデスクトップ

app storeからmicrosoft RD Clientをインストール

RD Clientの設定して接続

PC名：192.168.1.XXX (PCのIPアドレス)
ユーザーアカウント：<ユーザー名>
パスワード：<パスワード>