FortiGate の IPsec VPN のコンフィグ項目詳細について

ファイアウォール(UTM)

作業環境

  • 型番:FortiGate 60E
  • バージョン:v6.0.9

IKE フェーズ1 について

フェーズ1 のコンフィグ

フェーズ1 の設定に対応するコンフィグは config vpn ipsec phase1-interface です。

config vpn ipsec phase1-interface
    edit "トンネル名"
        set ...
    next
end

フェーズ1 の主な設定項目

項目コンフィグ項目設定値例備考
インターフェースinterfacewan1送出インターフェース
暗号化アルゴリズムproposal3des-sha1ハッシュアルゴリズムとセット
ハッシュアルゴリズムproposal3des-sha1暗号化アルゴリズムとセット
認証方式アルゴリズムauthmethod・psk
・signature
psk、signature から指定
Pre-shared Keypsksecretauthmethod が psk の場合に指定
コンフィグ上では暗号化して表示される
DH グループdhgrp1
ISAKMP  SA ライフタイムkeylife86400120-172800秒から指定
IKE キープアライブ(DPD)dpd・disable
・on-idle
・on-demand
IKE モードmode・aggressive
・main
ISAKMP のピアアドレスremote-gw200.1.1.2
ピアタイプpeertypeanyオブジェクト(edit ●●)作成時に
自動で設定が入る
NATトラバーサルnattraversal・enable
・disable
・forced
キープアライブ間隔keepalive10NATトラバーサル使用時のみ指定
10-900秒から指定
XAUTH タイプxauthtype・disable
・client
XAUTH ユーザ名authusrxauthtype が client の場合に指定
XAUTH パスワードauthpasswdxauthtype が client の場合に指定

GUI とコンフィグの対応

■ 上の画像の通り設定した場合のコンフィグ

FGT # show vpn ipsec phase1-interface
config vpn ipsec phase1-interface
    edit "hogeVPN"
        set interface "wan2"
        set peertype any
        set proposal 3des-sha1
        set comments "hogeVPN"
        set dhgrp 1
        set nattraversal disable
        set remote-gw 200.1.1.2
        set psksecret ENC UKR3oTAW4OAtNy+fPfdVxu8hkKcL0vRN7ewCs6QZSP0B/C5S4LjWL/XE/B25i3VYxAVMfY0QlmkzMJbzkdGcNuQHcassSbEFRMBCFL0O9bZ/ewfJvv3CivpHyltKEqEpaFMVi+J8FoXJ4tZkmnKBrxzDmk8qc2m/eQQyvuUB5zwBGZAq1yyvIZiSbon8qCnne88QQQ==
    next
end

FGT # show full-configuration  vpn ipsec phase1-interface
config vpn ipsec phase1-interface
    edit "hogeVPN"
        set type static
        set interface "wan2"
        set ip-version 4
        set ike-version 1
        set local-gw 0.0.0.0
        set keylife 86400
        set authmethod psk
        set mode main
        set peertype any
        set passive-mode disable
        set exchange-interface-ip disable
        set mode-cfg disable
        set proposal 3des-sha1
        set localid ''
        set localid-type auto
        set auto-negotiate enable
        set negotiate-timeout 30
        set fragmentation enable
        set dpd on-demand
        set forticlient-enforcement disable
        set comments "hogeVPN"
        set npu-offload enable
        set dhgrp 1
        set suite-b disable
        set wizard-type custom
        set xauthtype disable
        set mesh-selector-type disable
        set idle-timeout disable
        set ha-sync-esp-seqno enable
        set auto-discovery-sender disable
        set auto-discovery-receiver disable
        set auto-discovery-forwarder disable
        set encapsulation none
        set nattraversal disable
        set rekey enable
        set remote-gw 200.1.1.2
        set monitor ''
        set add-gw-route disable
        set psksecret ENC x/LMGq/VP4NOW4VlmNW8JD4m4rNfqhNyOOrGQRsWLv0ALzgBAL3LyzXc5XthaUKnVEfCrjzRT2aNxO5vPak1juNrEwatvEFYY0eCd3T/602BNAfSPTUCS+mn/OMifO8pWuDhWzJmBKgxZjmekMUVThxZvsXwWmOcfd4LKrg8kkBnUiEdWY/PhwxnnOLRynU1CEilEw==
        set dpd-retrycount 3
        set dpd-retryinterval 20
    next
end

IKE フェーズ2 について

フェーズ2 のコンフィグ

フェーズ2 の設定に対応するコンフィグは config vpn ipsec phase2-interface です。

config vpn ipsec phase2-interface
    edit "トンネル名"
        set ...
    next
end

フェーズ2 の主な設定項目

項目コンフィグ項目設定値例備考
フェーズ1オブジェクトphase1name対応付けるフェーズ1オブジェクトの名前
暗号化アルゴリズムproposal3des-sha1認証アルゴリズムとセット
認証アルゴリズムproposal3des-sha1暗号化アルゴリズムとセット
PFS 有効化pfs・enable
・disable
DH グループdhgrp1pfs が enable の場合に指定
IPsec  SA ライフタイムkeylifeseconds3600秒120-172800秒から指定
IPsec 通信モードencapsulation・tunnel-mode
・transport-mode
IPsec の対象トラフィックsrc-subnet10.10.1.0 255.255.255.0送信元ネットワーク
dst-subnet10.10.3.0 255.255.255.0送信先ネットワーク

GUI とコンフィグの対応

■ 上の画像の通り設定した場合のコンフィグ

FGT # show vpn ipsec phase2-interface
config vpn ipsec phase2-interface
    edit "hogeVPN"
        set phase1name "hogeVPN"
        set proposal 3des-sha1
        set pfs disable
        set keylifeseconds 3600
        set src-subnet 10.10.1.0 255.255.255.0
        set dst-subnet 10.10.3.0 255.255.255.0
    next
end

FGT # show full-configuration  vpn ipsec phase2-interface
config vpn ipsec phase2-interface
    edit "hogeVPN"
        set phase1name "hogeVPN"
        set proposal 3des-sha1
        set pfs disable
        set replay enable
        set keepalive disable
        set auto-negotiate disable
        set auto-discovery-sender phase1
        set auto-discovery-forwarder phase1
        set keylife-type seconds
        set encapsulation tunnel-mode
        set comments ''
        set protocol 0
        set src-addr-type subnet
        set src-port 0
        set dst-addr-type subnet
        set dst-port 0
        set keylifeseconds 3600
        set src-subnet 10.10.1.0 255.255.255.0
        set dst-subnet 10.10.3.0 255.255.255.0
    next
end

―――――――――――――

タイトルとURLをコピーしました