L2TP/IPSEC-VPN Fortigate リモートアクセス

リモートアクセスVPNテスト

シナリオ

想定：インターネットVPNを使用したリモートアクセスVPN

機器：Fortigate40C(ver 4.0 MR3 patch18) とiphone SE

目標1：LTE通信のiphone SEからFortigate40CまでをVPNでつなぎ、internal内のPCにリモートデスクトップで接続する

簡易ネットワーク

Fortigate L2TP/IPSEC-VPN設定

ファイアウォールオブジェクト -> アドレス -> アドレス -> 新規作成

アドレス名：L2TP-Clients
タイプ：サブネット/IP範囲指定
サブネット/IP範囲指定：192.168.11.[2-9]
インタフェース：すべて

VPN -> IPSec -> 自動鍵(IKE) -> フェイズ1を作成

名前：L2TP_IPSEC_
リモートゲートウェイ：ダイアルアップユーザ
ローカルインターフェース：wan1
モード：アグレッシブ
認証方法：事前共有鍵
事前共有鍵：XXXXXXXXXXXXX
ピアオプション：このピアIDを受け入れる[ ipsecvpn ]
特別オプション(変更箇所のみ)
　PSecインターフェースモードを有効にする：オン
　DNSサーバ：指定 192.168.1.254
　フェーズ1
　　DHグループ：2
　XAUTH：サーバを有効にする
　　サーバタイプ：AUTO
　　ユーザグループ：IPSEC-VPN　　//グループを作成して指定
　　NATトラバーサル：有効

VPN -> IPSec -> 自動鍵(IKE) -> フェイズ2を作成

名前：L2TP_IPSEC_p2
フェイズ1：L2TP_IPSEC_p1
特別オプション(特別オプション)
　リプレイ検知を有効にする：有効
　PFSを有効にする：無効
自動鍵キープアライブ：有効

Fortigate L2TP/IPSEC-VPNユーザー設定

ユーザー -> ローカル ->  新規作成

ユーザー名：userX
パスワード：XXXXXX

ユーザー -> ユーザーグループ -> ユーザーグループ -> 新規作成

名前：IPSEC-VPN
タイプ：ファイアウォール
SSL-VPNアクセスを許可：無効
利用できるユーザー：userX

Fortigate 静的ルーティング

システム -> ネットワーク -> Routing -> 新規作成

宛先IP/ネットマスク：192.168.11.0/255.255.255.0
デバイス：L2TP_IPSEC_p1
ゲートウェイ：0.0.0.0
コメント：なし

Forigate ポリシー

ポリシー -> ポリシー -> 新規作成

送信元インタフェース/ゾーン：L2TP_IPSEC_p1
送信元アドレス：all
宛先インタフェース/ゾーン：internal
宛先アドレス：all
スケジュール：always
サービス：ANY
アクション：ACCEPT

送信元インタフェース/ゾーン：internal
送信元アドレス：all
宛先インタフェース/ゾーン：L2TP_IPSEC_p1
宛先アドレス：all
スケジュール：always
サービス：ANY
アクション：ACCEPT

※インターネットにもアクセスする場合
送信元インタフェース/ゾーン：L2TP_IPSEC_p1
送信元アドレス：all
宛先インタフェース/ゾーン：wan1
宛先アドレス：all
スケジュール：always
サービス：ANY
アクション：ACCEPT
NAT有効：有効
　宛先インターフェースアドレスを使う

iphone L2TP/IPSEC-VPN設定準備

iphone -> 設定 -> VPN -> VPN構成を追加

タイプ：IPSEC
説明：FG40C
サーバ：XXX.XXX.XXX.XXX　(wan1の固定IPアドレス)
アカウント：userX
パスワード：XXXXXXXXXX
証明書を使用：無効
グループ名：ipsecvpn　//ピアIPを指定
シークレット：XXXXXX　//事前共有鍵を指定

iphone PCへリモートデスクトップ

app storeからmicrosoft RD Clientをインストール

RD Clientの設定して接続

PC名：192.168.1.XXX (PCのIPアドレス)
ユーザーアカウント：
パスワード：