FortiGate の IPsec VPN のコンフィグ項目詳細について

ファイアウォール(UTM)

2020.06.182020.06.04

作業環境
IKE フェーズ1 について
IKE フェーズ2 について

作業環境

型番：FortiGate 60E
バージョン：v6.0.9

IKE フェーズ1 について

フェーズ1 のコンフィグ

フェーズ1 の設定に対応するコンフィグは config vpn ipsec phase1-interface です。

config vpn ipsec phase1-interface
    edit "トンネル名"
        set ...
    next
end

フェーズ1 の主な設定項目

項目	コンフィグ項目	設定値例	備考
インターフェース	interface	wan1	送出インターフェース
暗号化アルゴリズム	proposal	3des-sha1	ハッシュアルゴリズムとセット
ハッシュアルゴリズム	proposal	3des-sha1	暗号化アルゴリズムとセット
認証方式アルゴリズム	authmethod	・psk ・signature	psk、signature から指定
Pre-shared Key	psksecret		authmethod が psk の場合に指定コンフィグ上では暗号化して表示される
DH グループ	dhgrp	1
ISAKMP SA ライフタイム	keylife	86400	120-172800秒から指定
IKE キープアライブ（DPD）	dpd	・disable ・on-idle ・on-demand
IKE モード	mode	・aggressive ・main
ISAKMP のピアアドレス	remote-gw	200.1.1.2
ピアタイプ	peertype	any	オブジェクト(edit ●●)作成時に自動で設定が入る
NATトラバーサル	nattraversal	・enable ・disable ・forced
キープアライブ間隔	keepalive	10	NATトラバーサル使用時のみ指定 10-900秒から指定
XAUTH タイプ	xauthtype	・disable ・client
XAUTH ユーザ名	authusr		xauthtype が client の場合に指定
XAUTH パスワード	authpasswd		xauthtype が client の場合に指定

GUI とコンフィグの対応

■ 上の画像の通り設定した場合のコンフィグ

FGT # show vpn ipsec phase1-interface
config vpn ipsec phase1-interface
    edit "hogeVPN"
        set interface "wan2"
        set peertype any
        set proposal 3des-sha1
        set comments "hogeVPN"
        set dhgrp 1
        set nattraversal disable
        set remote-gw 200.1.1.2
        set psksecret ENC UKR3oTAW4OAtNy+fPfdVxu8hkKcL0vRN7ewCs6QZSP0B/C5S4LjWL/XE/B25i3VYxAVMfY0QlmkzMJbzkdGcNuQHcassSbEFRMBCFL0O9bZ/ewfJvv3CivpHyltKEqEpaFMVi+J8FoXJ4tZkmnKBrxzDmk8qc2m/eQQyvuUB5zwBGZAq1yyvIZiSbon8qCnne88QQQ==
    next
end

FGT # show full-configuration  vpn ipsec phase1-interface
config vpn ipsec phase1-interface
    edit "hogeVPN"
        set type static
        set interface "wan2"
        set ip-version 4
        set ike-version 1
        set local-gw 0.0.0.0
        set keylife 86400
        set authmethod psk
        set mode main
        set peertype any
        set passive-mode disable
        set exchange-interface-ip disable
        set mode-cfg disable
        set proposal 3des-sha1
        set localid ''
        set localid-type auto
        set auto-negotiate enable
        set negotiate-timeout 30
        set fragmentation enable
        set dpd on-demand
        set forticlient-enforcement disable
        set comments "hogeVPN"
        set npu-offload enable
        set dhgrp 1
        set suite-b disable
        set wizard-type custom
        set xauthtype disable
        set mesh-selector-type disable
        set idle-timeout disable
        set ha-sync-esp-seqno enable
        set auto-discovery-sender disable
        set auto-discovery-receiver disable
        set auto-discovery-forwarder disable
        set encapsulation none
        set nattraversal disable
        set rekey enable
        set remote-gw 200.1.1.2
        set monitor ''
        set add-gw-route disable
        set psksecret ENC x/LMGq/VP4NOW4VlmNW8JD4m4rNfqhNyOOrGQRsWLv0ALzgBAL3LyzXc5XthaUKnVEfCrjzRT2aNxO5vPak1juNrEwatvEFYY0eCd3T/602BNAfSPTUCS+mn/OMifO8pWuDhWzJmBKgxZjmekMUVThxZvsXwWmOcfd4LKrg8kkBnUiEdWY/PhwxnnOLRynU1CEilEw==
        set dpd-retrycount 3
        set dpd-retryinterval 20
    next
end

IKE フェーズ2 について

フェーズ2 のコンフィグ

フェーズ2 の設定に対応するコンフィグは config vpn ipsec phase2-interface です。

config vpn ipsec phase2-interface
    edit "トンネル名"
        set ...
    next
end

フェーズ2 の主な設定項目

項目	コンフィグ項目	設定値例	備考
フェーズ1オブジェクト	phase1name		対応付けるフェーズ1オブジェクトの名前
暗号化アルゴリズム	proposal	3des-sha1	認証アルゴリズムとセット
認証アルゴリズム	proposal	3des-sha1	暗号化アルゴリズムとセット
PFS 有効化	pfs	・enable ・disable
DH グループ	dhgrp	1	pfs が enable の場合に指定
IPsec SA ライフタイム	keylifeseconds	3600秒	120-172800秒から指定
IPsec 通信モード	encapsulation	・tunnel-mode ・transport-mode
IPsec の対象トラフィック	src-subnet	10.10.1.0 255.255.255.0	送信元ネットワーク
–	dst-subnet	10.10.3.0 255.255.255.0	送信先ネットワーク

GUI とコンフィグの対応

■ 上の画像の通り設定した場合のコンフィグ

FGT # show vpn ipsec phase2-interface
config vpn ipsec phase2-interface
    edit "hogeVPN"
        set phase1name "hogeVPN"
        set proposal 3des-sha1
        set pfs disable
        set keylifeseconds 3600
        set src-subnet 10.10.1.0 255.255.255.0
        set dst-subnet 10.10.3.0 255.255.255.0
    next
end

FGT # show full-configuration  vpn ipsec phase2-interface
config vpn ipsec phase2-interface
    edit "hogeVPN"
        set phase1name "hogeVPN"
        set proposal 3des-sha1
        set pfs disable
        set replay enable
        set keepalive disable
        set auto-negotiate disable
        set auto-discovery-sender phase1
        set auto-discovery-forwarder phase1
        set keylife-type seconds
        set encapsulation tunnel-mode
        set comments ''
        set protocol 0
        set src-addr-type subnet
        set src-port 0
        set dst-addr-type subnet
        set dst-port 0
        set keylifeseconds 3600
        set src-subnet 10.10.1.0 255.255.255.0
        set dst-subnet 10.10.3.0 255.255.255.0
    next
end

―――――――――――――