SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

SB C&S

【3分で分かるFortinet】【第11回】FortiGateとSophos XG FirewallでIPSecVPN

Fortinet
2020.03.05

皆さんこんにちは!SB C&Sで Fortinet 製品のプリセールスを担当している長谷川です。

IPSecVPNという技術は、拠点間で通信を行う際に、ほぼ必須の機能となっていますが、トラブル回避のために、ベンダー(製品)を統一して導入する機会が多いです。

そのため、IPSecVPNに関しては、他社製品との連携情報は、あまり出回っていません。

今回は、FortiGateと、Sophos社の XG Firewall を使用して、IPSecVPN接続を行うまでの設定方法を紹介いたします。

必要な環境

FortiGate側での用意

  • FortiOS v6.0.x もしくは、FortiOS v6.2.x が搭載したFortiGate

XG Firewall側での用意

  • SFOS 17.5.x もしくは、SFOS 18.0.x が搭載した XG Firewall

※今回は、どちらも執筆時点での最新ファームウェアバージョン(FortiOS v6.2.3 と、SFOS 18.0.0)で画面を取得していますが、上記のOSの組み合わせで接続ができることを確認しています。

環境構成図

XG Firewall側の注意点として、IPSecVPNを行うインタフェースは、WANゾーンに適用する必要があります。

今回は、固定IP同士での接続を想定し、IPSecVPN環境を構築します。

また、お互いのネットワークから、相互で通信ができるように通信ルールを設定します。

FortiGate側のローカルセグメントは、192.168.1.0/24 とし、接続しているインタフェースは、internal です。

インターネット側のインタフェースは、wan1 が接続され、192.168.11.99/24 という固定IPが設定されています。

XG Firewall 側には、por1がDMZゾーンに所属し、172.16.16.0/24 に接続しています。

インターネット側のインタフェースは、port2が接続され、WANゾーンに所属しています。

また、192.168.11.102/24 という固定IPが設定されています。

Hasegawa-IPSecVPN (0).png

FortiGateの設定

FortiGateの管理画面より、VPN >> IPsecトンネル から、新規作成を行います。

Hasegawa-IPSecVPN (1).png

名前を適宜入力し、カスタムを選択します。

Hasegawa-IPSecVPN (2).png

リモートゲートウェイに、スタティックIPアドレスを指定し、IPアドレスには、XG FirewallのWAN側IPを指定します。

インタフェースには、WAN側(wan1)を指定します。

Hasegawa-IPSecVPN (3).png

認証方式に、事前共有鍵を選択し、事前共有鍵を入力します。

ここで入力したパラメータは、XG Firewall側でも利用します。

IKEのバージョンは、v2 を指定します。

Hasegawa-IPSecVPN (4).png

ローカルアドレスに、FortiGate側のセグメントを、リモートアドレスに XG Firewall 側のDMZセグメントを入力します。

Hasegawa-IPSecVPN (5).png

IPSecVPN用のトンネルオブジェクトが作成できました。

Hasegawa-IPSecVPN (6).png

ネットワーク >> インタフェース より、wan1 配下に、IPSecVPNトンネルインタフェースが自動的に作成されます。

Hasegawa-IPSecVPN (7).png

続いて、スタティックルーティングを作成します。

ネットワーク >> スタティックルート >> 新規作成 から進みます。

Hasegawa-IPSecVPN (8).png

宛先に、XG Firewall 側のセグメントを指定します。

インタフェースには、自動的に作成されている、IPSecVPN用のトンネルインタフェースを指定します。

Hasegawa-IPSecVPN (9).png

スタティックルートが作成されたことを確認します。

Hasegawa-IPSecVPN (10).png

最後に、相互で通信を行うために、それぞれの通信方向に対して、ファイアウォールポリシを作成します。

ポリシ&オブジェクト >> アドレス から、事前に相互のネットワーク用のアドレスオブジェクトを作成します。

※本ブログの場合、192.168.1.0/24 セグメントと、172.16.16.0/24 セグメント

アドレスオブジェクトの作成ができたら、

ポリシ&オブジェクト >> IPv4ポリシ >> 新規作成 からファイアウォールポリシの作成に進みます。

Hasegawa-IPSecVPN (11).png

送信元を、internal にし、宛先をトンネルインタフェースに指定し、それぞれのセグメントを適用します。

NATの設定は必ず外します。

Hasegawa-IPSecVPN (12).png

続いて、逆方向用のファイアウォールポリシを作成します。

ここでも、NATの設定は外します。

Hasegawa-IPSecVPN (13).png

2つのファイアウォールポリシが作成できたことを確認します。

Hasegawa-IPSecVPN (14).png

XG Firewallの設定

XG Firewall側の設定も、FortiGateと同様の流れで作成しますが、FortiGateと違い、カスタム設定がないため、スタティックルーティングや、ファイアウォールポリシは自動的に作成されます。

設定 >> VPN >> IPsec 接続 >> 追加 より進みます。

Hasegawa-IPSecVPN (15).png

全般設定の接続の種類を、サイト間とし、ゲートウェイの種類を、接続を開始 にします。

Hasegawa-IPSecVPN (16).png

暗号化では、ポリシを IKE2 にし、認証タイプを事前共有鍵にします。

事前共有鍵は、FortiGate でも設定した内容を入力します。

Hasegawa-IPSecVPN (17).png

ゲートウェイの設定のローカルゲートウェイでは、リスニングインタフェースに、Port2を選択し、ローカルサブネットは、XG Firewall側のセグメントを指定します。
※ここで目的のインタフェースが表示されない場合は、WANゾーンに所属していない可能性があります。

リモートゲートウェイには、ゲートウェイのアドレスに、FortiGate の wan1 のIPを指定します。

リモートサブネットには、FortiGate 側のinternal側のセグメントを入力します。

Hasegawa-IPSecVPN (18).png

IPSecVPN用のオブジェクトが作成できました。
※この時点では、IPSecVPN接続は行いません。

Hasegawa-IPSecVPN (19).png

保護 >> ルールとポリシ より、ファイアウォールルールが自動的に作成されていることを確認します。

Hasegawa-IPSecVPN (20).png

設定 >> VPN >> IPsec 接続 より、赤丸を押下し、IPSecVPNの接続をアクティブにします。

Hasegawa-IPSecVPN (21).png

接続が成功すると、IPSec 接続が正常に有効化されました と表示され、相互での通信が可能になります。

Hasegawa-IPSecVPN (22).png

FortiGate側のトンネルも、アップになります。

Hasegawa-IPSecVPN (23).png

PINGでの疎通確認も問題ありません。

Hasegawa-IPSecVPN (24).png

以上、ご覧いただきありがとうございました。

著者紹介

SB C&S株式会社
技術統括部 第2技術部 1課
長谷川 聡