作業環境
- 型番:FortiGate 60E
- バージョン:v6.0.9
IKE フェーズ1 について
フェーズ1 のコンフィグ
フェーズ1 の設定に対応するコンフィグは config vpn ipsec phase1-interface です。
config vpn ipsec phase1-interface
edit "トンネル名"
set ...
next
end
フェーズ1 の主な設定項目
項目 | コンフィグ項目 | 設定値例 | 備考 |
インターフェース | interface | wan1 | 送出インターフェース |
暗号化アルゴリズム | proposal | 3des-sha1 | ハッシュアルゴリズムとセット |
ハッシュアルゴリズム | proposal | 3des-sha1 | 暗号化アルゴリズムとセット |
認証方式アルゴリズム | authmethod | ・psk ・signature | psk、signature から指定 |
Pre-shared Key | psksecret | authmethod が psk の場合に指定 コンフィグ上では暗号化して表示される | |
DH グループ | dhgrp | 1 | |
ISAKMP SA ライフタイム | keylife | 86400 | 120-172800秒から指定 |
IKE キープアライブ(DPD) | dpd | ・disable ・on-idle ・on-demand | |
IKE モード | mode | ・aggressive ・main | |
ISAKMP のピアアドレス | remote-gw | 200.1.1.2 | |
ピアタイプ | peertype | any | オブジェクト(edit ●●)作成時に 自動で設定が入る |
NATトラバーサル | nattraversal | ・enable ・disable ・forced | |
キープアライブ間隔 | keepalive | 10 | NATトラバーサル使用時のみ指定 10-900秒から指定 |
XAUTH タイプ | xauthtype | ・disable ・client | |
XAUTH ユーザ名 | authusr | xauthtype が client の場合に指定 | |
XAUTH パスワード | authpasswd | xauthtype が client の場合に指定 |
GUI とコンフィグの対応
■ 上の画像の通り設定した場合のコンフィグ
FGT # show vpn ipsec phase1-interface
config vpn ipsec phase1-interface
edit "hogeVPN"
set interface "wan2"
set peertype any
set proposal 3des-sha1
set comments "hogeVPN"
set dhgrp 1
set nattraversal disable
set remote-gw 200.1.1.2
set psksecret ENC UKR3oTAW4OAtNy+fPfdVxu8hkKcL0vRN7ewCs6QZSP0B/C5S4LjWL/XE/B25i3VYxAVMfY0QlmkzMJbzkdGcNuQHcassSbEFRMBCFL0O9bZ/ewfJvv3CivpHyltKEqEpaFMVi+J8FoXJ4tZkmnKBrxzDmk8qc2m/eQQyvuUB5zwBGZAq1yyvIZiSbon8qCnne88QQQ==
next
end
FGT # show full-configuration vpn ipsec phase1-interface
config vpn ipsec phase1-interface
edit "hogeVPN"
set type static
set interface "wan2"
set ip-version 4
set ike-version 1
set local-gw 0.0.0.0
set keylife 86400
set authmethod psk
set mode main
set peertype any
set passive-mode disable
set exchange-interface-ip disable
set mode-cfg disable
set proposal 3des-sha1
set localid ''
set localid-type auto
set auto-negotiate enable
set negotiate-timeout 30
set fragmentation enable
set dpd on-demand
set forticlient-enforcement disable
set comments "hogeVPN"
set npu-offload enable
set dhgrp 1
set suite-b disable
set wizard-type custom
set xauthtype disable
set mesh-selector-type disable
set idle-timeout disable
set ha-sync-esp-seqno enable
set auto-discovery-sender disable
set auto-discovery-receiver disable
set auto-discovery-forwarder disable
set encapsulation none
set nattraversal disable
set rekey enable
set remote-gw 200.1.1.2
set monitor ''
set add-gw-route disable
set psksecret ENC x/LMGq/VP4NOW4VlmNW8JD4m4rNfqhNyOOrGQRsWLv0ALzgBAL3LyzXc5XthaUKnVEfCrjzRT2aNxO5vPak1juNrEwatvEFYY0eCd3T/602BNAfSPTUCS+mn/OMifO8pWuDhWzJmBKgxZjmekMUVThxZvsXwWmOcfd4LKrg8kkBnUiEdWY/PhwxnnOLRynU1CEilEw==
set dpd-retrycount 3
set dpd-retryinterval 20
next
end
IKE フェーズ2 について
フェーズ2 のコンフィグ
フェーズ2 の設定に対応するコンフィグは config vpn ipsec phase2-interface です。
config vpn ipsec phase2-interface
edit "トンネル名"
set ...
next
end
フェーズ2 の主な設定項目
項目 | コンフィグ項目 | 設定値例 | 備考 |
フェーズ1オブジェクト | phase1name | 対応付けるフェーズ1オブジェクトの名前 | |
暗号化アルゴリズム | proposal | 3des-sha1 | 認証アルゴリズムとセット |
認証アルゴリズム | proposal | 3des-sha1 | 暗号化アルゴリズムとセット |
PFS 有効化 | pfs | ・enable ・disable | |
DH グループ | dhgrp | 1 | pfs が enable の場合に指定 |
IPsec SA ライフタイム | keylifeseconds | 3600秒 | 120-172800秒から指定 |
IPsec 通信モード | encapsulation | ・tunnel-mode ・transport-mode | |
IPsec の対象トラフィック | src-subnet | 10.10.1.0 255.255.255.0 | 送信元ネットワーク |
– | dst-subnet | 10.10.3.0 255.255.255.0 | 送信先ネットワーク |
GUI とコンフィグの対応
■ 上の画像の通り設定した場合のコンフィグ
FGT # show vpn ipsec phase2-interface
config vpn ipsec phase2-interface
edit "hogeVPN"
set phase1name "hogeVPN"
set proposal 3des-sha1
set pfs disable
set keylifeseconds 3600
set src-subnet 10.10.1.0 255.255.255.0
set dst-subnet 10.10.3.0 255.255.255.0
next
end
FGT # show full-configuration vpn ipsec phase2-interface
config vpn ipsec phase2-interface
edit "hogeVPN"
set phase1name "hogeVPN"
set proposal 3des-sha1
set pfs disable
set replay enable
set keepalive disable
set auto-negotiate disable
set auto-discovery-sender phase1
set auto-discovery-forwarder phase1
set keylife-type seconds
set encapsulation tunnel-mode
set comments ''
set protocol 0
set src-addr-type subnet
set src-port 0
set dst-addr-type subnet
set dst-port 0
set keylifeseconds 3600
set src-subnet 10.10.1.0 255.255.255.0
set dst-subnet 10.10.3.0 255.255.255.0
next
end
―――――――――――――