microsoft office 365 用 fortigate sd-wan...
TRANSCRIPT
![Page 1: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分](https://reader034.vdocuments.pub/reader034/viewer/2022051903/5ff3928597a48221fb7b6a4d/html5/thumbnails/1.jpg)
1 –FortiGate SD-WAN Configuration – Ver1.00
Presented by Fortinet SE Team
Microsoft Office 365用
FortiGate SD-WAN設定ガイド
Version 1.00
フォーティネットジャパン株式会社
2018年 5月
![Page 2: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分](https://reader034.vdocuments.pub/reader034/viewer/2022051903/5ff3928597a48221fb7b6a4d/html5/thumbnails/2.jpg)
2 –FortiGate SD-WAN Configuration – Ver1.00
Presented by Fortinet SE Team
免責事項
本ドキュメントに関する著作権は、フォーティネットジャパン株式会社へ帰属します。
フォーティネットジャパン株式会社が事前に承諾している場合を除き、形態及び手段を
問わず本ドキュメントまたはその一部を複製する事は禁じられています。
また本内容は参考例となります。個別のセキュリティ対策に関する要件を満たすには、
ご利用者様ごとにプランニングおよび設定の調整が必要となりますので、予めご了承
下さい。尚、本ドキュメントの作成にあたっては最新の注意を払っておりますが、その
記述内容は予告なしに変更される事があります。
![Page 3: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分](https://reader034.vdocuments.pub/reader034/viewer/2022051903/5ff3928597a48221fb7b6a4d/html5/thumbnails/3.jpg)
3 –FortiGate SD-WAN Configuration – Ver1.00
Presented by Fortinet SE Team
目次:
第1章: はじめに P4
第2章: SD-WANインターネットブレークアウト P5
2-1.想定トポロジー P5
2-2.前提条件 P5
2-3.参考資料 P6
2-4.リモート拠点側の SD-WANインターネット
ブレークアウトの設定例 P6
2-5.確認方法、確認コマンド P9
第3章: SD-WANハイブリッドWAN P11
3-1.想定トポロジー P11
3-2.前提条件 P11
3-3.参考資料 P12
3-4.リモート拠点側の SD-WANハイブリッドWAN設定例 P12
A)SD-WANリンクロードバランス
B)SD-WAN トラフィックシェーピング
3-5.確認方法、確認コマンド P18
Appendix #1:
本ガイドの第二章 SD-WANインターネットブレークアウトの設定をする前における
リモート拠点/センター拠点での FortiGateの設定に関して P19
Appendix #2:
ウィザードで作成した Site-to-Site間 IPsec VPNの削除方法 P37
![Page 4: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分](https://reader034.vdocuments.pub/reader034/viewer/2022051903/5ff3928597a48221fb7b6a4d/html5/thumbnails/4.jpg)
4 –FortiGate SD-WAN Configuration – Ver1.00
Presented by Fortinet SE Team
1. はじめに
近年、Office365を代表とするクラウドアプリケーションの利用が進み、それにとも
なってネットワークリソースがひっ迫し、機器や回線の増強を迫られ困っているとい
う声をよく耳にします。本書ではその問題を解決する方法として、FortiGateの SD-
WAN機能の設定方法を 2つご紹介します。
・SD-WAN インターネットブレークアウト(第 2 章)
本社・拠点間接続があり、クラウドアプリケーションは直接インターネット接
続させる場合の設定。
・SD-WAN ハイブリッド WAN(第3章)
WAN回線が複数あり、クラウドアプリケーションをリンクロードバランスさ
せる場合の設定。
目的と対象は下記の通りです。
目的:
クラウドアプリケーションの利用による、ネットワークリソースのひっ迫を
FortiGateの機能を用いて低減させること。
対象者:
FortiGateの設定経験があり、情報セキュリティ・ネットワークの導入経験があ
るパートナー/ディストリビュータのエンジニア様。
なお、本ガイドでは、FortiGate-100Eを利用していますが、ご利用の機器に適宜読み
替えてください。現在販売されている主力の FortiGate一覧に関しては下記 URLをご
覧下さい。
https://www.fortinet.co.jp/doc/fortinet-ProductMatrix.pdf
また、ファームウェアは FortiOS 5.6.4を利用しています。
![Page 5: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分](https://reader034.vdocuments.pub/reader034/viewer/2022051903/5ff3928597a48221fb7b6a4d/html5/thumbnails/5.jpg)
5 –FortiGate SD-WAN Configuration – Ver1.00
Presented by Fortinet SE Team
2. SD-WAN インターネットブレークアウト
2-1 想定トポロジー
2-2 前提条件
・センターとリモート拠点が IPsecVPNで接続されている環境を想定。
(拠点間 IPsec VPNの設定例は APPENDIX #1: を参照下さい)
・FortiGateの基本設定(時刻、IPアドレス、デフォルトゲートウェイ、DNS
など)が終了し、LANケーブルの接続なども終了していること。
・FortiGateのプロキシサーバ機能(Explicit Proxy)を利用して既存プロキシ
の負荷を下げることも可能ですが、本ガイドでは解説しません。
・ISDBを利用し、ルーティングによるネットワーク負荷分散を実施する。
※ISDB:Internet Service Database。クラウドアプリケーションの IPアドレ
スやポート番号をまとめたグループオブジェクト。FortiGateでルーティングに利
用することで、クラウドアプリケーションをインターネットブレークアウトし、ネ
ットワーク負荷分散を実現できる(Policy Based Routingの一種)。ISDBは自動的
にアップデートされるので運用が簡単、またルーティングによる負荷分散なので高
速に動作するという利点がある。
![Page 6: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分](https://reader034.vdocuments.pub/reader034/viewer/2022051903/5ff3928597a48221fb7b6a4d/html5/thumbnails/6.jpg)
6 –FortiGate SD-WAN Configuration – Ver1.00
Presented by Fortinet SE Team
2-3 参考資料
▼Client-Side SD-WAN with IPsecVPN Deployment Scenario-Expert
http://cookbook.fortinet.com/client-side-sd-wan-IPsec-vpn-deployment-
example-expert/
2-4 リモート拠点側の SD-WAN インターネットブレークアウト
の設定例
設定の大まかな流れとしては、以下になります。
A) FW部分で利用する Office365 用のポリシー作成
FortiGateは許可ポリシーを書かないとトラフィックを通しません。
B) ISDB を利用した PBRで利用する Office365用スタティックルートの作成
インターネットブレークアウトを実現するキモになります。
各々の詳細の設定方法は、下記の通りです。
A) FW 部分で利用する Office365 用のポリシー作成
ポリシー&オブジェクト > IPv4ポリシーで新規作成にて“BreakOut”というポリ
シーのルールを作成。(lanから wan1に抜ける際に掛かるポリシー)
※注:ポリシーに関しては、これからの Office365提供サービスにも依存する部
分も出てくる可能性もある為、参考として考えて下さい。
![Page 7: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分](https://reader034.vdocuments.pub/reader034/viewer/2022051903/5ff3928597a48221fb7b6a4d/html5/thumbnails/7.jpg)
7 –FortiGate SD-WAN Configuration – Ver1.00
Presented by Fortinet SE Team
その結果、下記の様になります。
ただ、この様に作成したままの順番だと、作成した“BreakOut”ポリシーより ALL
が先に選ばれる為、“BreakOut”ポリシーを選択後、ドラック&ドロップで移動さ
せ、下記の様に順番変更の実施が必要になります。
これにより、Office365の通信の際(今回のサンプルでは lanからwan1に抜け
る時)、まず最初に今回作成した“BreakOut”ポリシーが適応されます。
追加選択
![Page 8: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分](https://reader034.vdocuments.pub/reader034/viewer/2022051903/5ff3928597a48221fb7b6a4d/html5/thumbnails/8.jpg)
8 –FortiGate SD-WAN Configuration – Ver1.00
Presented by Fortinet SE Team
次に、ISDBを利用したアプリケーションを宛先とした PBRの設定を行います。
B)ISDBを利用した PBR で利用するOffice365 用スタティックルートの作成
ネットワーク > スタティックルートにて、「インターネットサービス」を選
択。ドロップダウンリストから必要なサービスを選択し、リモート拠点側の
FortiGateが接続しているネットワークでインターネットに抜けるのに一番近い
対向先の IPアドレス(この例では 10.130.169.254)をゲートウェイとして登録し
て下さい。
その結果、下記の様になります。
![Page 9: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分](https://reader034.vdocuments.pub/reader034/viewer/2022051903/5ff3928597a48221fb7b6a4d/html5/thumbnails/9.jpg)
9 –FortiGate SD-WAN Configuration – Ver1.00
Presented by Fortinet SE Team
2-5確認方法、確認コマンド
2-5-1 SD-WAN インタネットブレークアウトの確認方法
ポリシー設定でログの有効化をし、LogレベルをデフォルトのWarningから
informationへ変更し、ログ&レポート > 転送トラフィックで確認。
詳細な設定方法は下記の通り。
♯ ポリシー設定でのログ有効化の実施
ポリシー&オブジェクト > IPv4ポリシーで作成した“BreakOut”ポリシーを選択
し、ロギングオプション部分を「すべてのセッション」に変更。
♯ ローカルログ(メモリ)フィルータ設定変更(レベル:information へ)
CLIにて
FG100E-SD-WAN # show log memory filter
config log memory filter
end
FG100E-SD-WAN # config log memory filter
FG100E-SD-WAN (filter) # set severity information
FG100E-SD-WAN (filter) # end
![Page 10: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分](https://reader034.vdocuments.pub/reader034/viewer/2022051903/5ff3928597a48221fb7b6a4d/html5/thumbnails/10.jpg)
10 –FortiGate SD-WAN Configuration – Ver1.00
Presented by Fortinet SE Team
これで動作確認の際、ログ&レポート > 転送トラフィックで“BreakOut”ポリシ
ーに適合したモノをログ表示し始めます。
更に、下記の様に FortiViewで「宛先インターフェース」を選び、Office365の
ブレークアウト用ポリシーを付与したwan1に絞り込んで着目すると SD-WAN
ブレークアウトの状況がわかりやすくなります。
FortiView > すべてのセッション にて、「フィルタ追加」の部分で宛先インタ
ーフェースでwan1を選択してみて下さい。
そうすると、下記の様に表示され絞り込みやすくなります。
![Page 11: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分](https://reader034.vdocuments.pub/reader034/viewer/2022051903/5ff3928597a48221fb7b6a4d/html5/thumbnails/11.jpg)
11 –FortiGate SD-WAN Configuration – Ver1.00
Presented by Fortinet SE Team
3. SD-WAN ハイブリッド WAN
(リンクロードバランス/トラフィックシェーピング)
3-1 想定トポロジー
3-2前提条件
・インターネット側への接続回線として 2本以上もっている環境を想定。
・回線品質を要求するようなトラフィックと、クラウドアプリケーション(本
ガイドの例では Office365)のトラフィックを区別し、優先度をそれぞれ設定
することで快適なインターネット環境を実現することを目的とする。
・FortiGateの基本設定(時刻、IPアドレス、デフォルトゲートウェイ、DNS
など)が終了し、LANケーブルの接続なども終了していること。
※ちなみに、本ガイドでは、リモート側の FortiGate100Eにて、スタティッ
クルートで 0.0.0.0/0に対し wan1/wan2共にアドミニストレーティブ・デ
ィスタンス:1でデフォルト GWとして設定している状態(片方毎、設定し
たルートを無効にしても、インターネットへのアクセス可能である事を確認
済)から SD-WANハイブリッドWANの設定を開始しています。
ネットワーク > インターフェース
![Page 12: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分](https://reader034.vdocuments.pub/reader034/viewer/2022051903/5ff3928597a48221fb7b6a4d/html5/thumbnails/12.jpg)
12 –FortiGate SD-WAN Configuration – Ver1.00
Presented by Fortinet SE Team
ネットワーク > スタティックルート
3-3 参考資料
▼Redundant Internet with SD-WAN
http://cookbook.fortinet.com/redundant-internet-sd-wan-56/
3-4 リモート拠点側での SD-WAN ハイブリッドWAN 設定例
SD-WANハイブリッドWANとしては、大きく下記 2種類の設定があります。
A) SD-WAN リンクロードバランス
B) SD-WAN トラフィックシェーピング
設定の大まかな流れとしては、下記の通りになります。
A)SD-WAN リンクロードバランス
A-1) SD-WANインターフェースの作成
A-2) SD-WANのロードバランスのアルゴリズムの設定
A-3) SD-WANステータスチェックの設定
(状態確認先ダウン時の代替用スタティックルートの登録):複数パターン可
A-4) ISDBを利用した SD-WANルール部分の設定
A-5)セキュリティポリシーの設定
(LANから SD-WANインターフェースへのトラフィック許可)
B)SD-WAN トラフィックシェーピング
送信元アドレスとアプリケーションを指定し、出力インターフェース(本ガイ
ドでは SD-WAN)にて特定帯域にシェーピングするようルールを作成
各々の詳細に関しては、下記の通りです。
A-1)SD-WAN インターフェースの作成
ネットワーク > SD-WANでインターフェースステートを「有効」にし、「新規
作成」にてインターフェースでwan1/wan2を選択し、追加。
![Page 13: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分](https://reader034.vdocuments.pub/reader034/viewer/2022051903/5ff3928597a48221fb7b6a4d/html5/thumbnails/13.jpg)
13 –FortiGate SD-WAN Configuration – Ver1.00
Presented by Fortinet SE Team
※FWポリシーですでに使用されている場合、そのインターフェースは選択肢に
表示されませんのでご注意ください。
A-2)SD-WAN ロードバランスアルゴリズムの設定
今回は、Volumeでwan1:wan2=3:1(75%:25%)になるよう設定。
※値が変わらない場合は、ポリシーまで設定後、再度設定してみて下さい。
A-3)SD-WAN ステータスチェックの設定
「新規作成」にて回線品質確認用の対向先サーバを登録。
A-1)SD-WAN インター
フェースの作成
現在は、下記2つのみ
#Volume:
A Volume ratio
#Session:
A sessions ratio
![Page 14: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分](https://reader034.vdocuments.pub/reader034/viewer/2022051903/5ff3928597a48221fb7b6a4d/html5/thumbnails/14.jpg)
14 –FortiGate SD-WAN Configuration – Ver1.00
Presented by Fortinet SE Team
その結果、通信できていれば、下記の様に表示。(例:Googleに対する Ping)
↓Pingできない(未到達)場合の例
A-4)ISDBを利用した SD-WAN ルール部分の設定
下記の様に、送信元(アドレス、アドレスグループ)と宛先(アドレス、インタ
ーネットサービス)で出力インターフェースを特定したり、A-3)SD-WAN ステ
ータスチェックの設定で作成したルールに対する Status Checkで到達している
限り SD-WANインターフェースに付与されたインターフェースから送信する事
を可能にします。
また、もし本 SD-WANルール部分の設定をしない場合は、デフォルトの sd-wan
が利用され、出力(outbound traffic)に関しては、Volume-basedで判断され
ます。
※ISDB・・・P5参照
![Page 15: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分](https://reader034.vdocuments.pub/reader034/viewer/2022051903/5ff3928597a48221fb7b6a4d/html5/thumbnails/15.jpg)
15 –FortiGate SD-WAN Configuration – Ver1.00
Presented by Fortinet SE Team
![Page 16: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分](https://reader034.vdocuments.pub/reader034/viewer/2022051903/5ff3928597a48221fb7b6a4d/html5/thumbnails/16.jpg)
16 –FortiGate SD-WAN Configuration – Ver1.00
Presented by Fortinet SE Team
A-5)ポリシー設定(LAN から SD-WAN インターフェースへのトラフィック許
可)
「新規作成」にて LANからWANに対して、ポリシーを作成。
B)SD-WAN トラフィックシェーピング
先程作成した SD-WANと LANインターフェースに対し、特定アプリケーション
の利用だけで占有したくない場合、トラフィックシェーピングポリシーで特定サ
ービスをある程度絞る事も可能ですので、必要に応じてご検討下さい。
![Page 17: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分](https://reader034.vdocuments.pub/reader034/viewer/2022051903/5ff3928597a48221fb7b6a4d/html5/thumbnails/17.jpg)
17 –FortiGate SD-WAN Configuration – Ver1.00
Presented by Fortinet SE Team
設定方法は、ポリシー&オブジェクト > トラフィックシェーピングポリシーに
て作成となります。
なお、シェーパーのルールにてデフォルト以外のものに関しては、ポリシー&オ
ブジェクト > トラフィックシェーパー部分でのルール作成となります。
ポリシー&オブジェクト > アドレスで
作成したアドレスから選択
セキュリティプロファイル > アプリケーションコン
トロール上にあるカテゴリから選択
ポリシー&オブジェクト > インターネットサービス
データベース(ISDB)上にあるアプリから選択
![Page 18: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分](https://reader034.vdocuments.pub/reader034/viewer/2022051903/5ff3928597a48221fb7b6a4d/html5/thumbnails/18.jpg)
18 –FortiGate SD-WAN Configuration – Ver1.00
Presented by Fortinet SE Team
3-5 確認方法、確認コマンド
3-5-1 SD-WAN インターフェース上での使用状況の確認
ネットワーク > SD-WAN の SD-WAN使用量部分で Volumeを確認
3-5-2 SD-WAN 先の状況確認
ネットワーク > SD-WAN > SD-WANステータスチェック部分にて確認。
3-5-3 SD-WAN の利用状況確認
モニタ > SD-WANモニタにて確認。
※「リフレッシュ」を押下する事で現状に近い状態を確認
3-5-4 フェールオーバーの確認(補足)
SD-WANインターフェースとして利用している接続ポートである wan1をインターフ
ェースダウン(無効)した際、下記の様になりました。
●SD-WANの利用状況確認
●SD-WAN先の状況確認
●SD-WAN使用量部分の確認(バンド幅での確認:Volume表示では違いが分かりにくかった為)
![Page 19: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分](https://reader034.vdocuments.pub/reader034/viewer/2022051903/5ff3928597a48221fb7b6a4d/html5/thumbnails/19.jpg)
19 –FortiGate SD-WAN Configuration – Ver1.00
Presented by Fortinet SE Team
Appendix #1:
本ガイドの第二章 SD-WANインターネットブレークアウトの設定をする前における
リモート拠点/センター拠点での FortiGateの設定に関して
1. 想定トポロジー
※注:わかりやすい様に Tunnelにネットワークアドレスを付与したが、付与せずとも可能。
(SECURITY FABRICで利用する場合は、表示をわかりやすくする為にも必要)
2. 参考資料(IPSEC VPN)
▼ SECURITY FABRIC OVER IPSEC VPN
http://cookbook.fortinet.com/security-fabric-over-IPsec-vpn-56/
▼ CookBook SITE-TO-SITE IPSEC VPN with FORTIGATES
http://cookbook.fortinet.com/site-site-IPsec-vpn-two-fortigates-56/
▼ FortiOS Handbook IPsecVPN version 5.6.3
https://docs.fortinet.com/uploaded/files/3608/fortigate-IPsecvpn-
56.pdf
▼ IPsec VPN troubleshooting
http://cookbook.fortinet.com/IPsec-vpn-troubleshooting/
http://cookbook.fortinet.com/IPsec-vpn-troubleshooting-video-52/
![Page 20: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分](https://reader034.vdocuments.pub/reader034/viewer/2022051903/5ff3928597a48221fb7b6a4d/html5/thumbnails/20.jpg)
20 –FortiGate SD-WAN Configuration – Ver1.00
Presented by Fortinet SE Team
3. 各種設定
3.1. リモート側とセンター側との SITE-TO-SITE IPSECVPN設定
■IPsecVPN設定前のリモート側アドレスとスタティック情報とポリシーの設定情報
ネットワーク > スタティックルート情報
ポリシー&オブジェクト > IPv4ポリシー
■IPsecVPN設定前のセンター側アドレスとスタティック情報とポリシーの設定情報
ネットワーク > スタティックルート情報
ポリシー&オブジェクト > IPv4ポリシー
![Page 21: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分](https://reader034.vdocuments.pub/reader034/viewer/2022051903/5ff3928597a48221fb7b6a4d/html5/thumbnails/21.jpg)
21 –FortiGate SD-WAN Configuration – Ver1.00
Presented by Fortinet SE Team
3.1.1. ウィザードを利用した SITE-TO-SITE IPSECVPN の設定
現在 FortiGateの GUIでの VPN IPsecのウィザードには 3種類あります。
『サイト間に NATなし』
『このサイトは NAT越し』(アグレッシブモード)
『リモートサイトは NAT越し』
この中で今回の確認した構成でのセンター拠点は、『リモートサイトは NAT越し』
(アグレッシブモード)ではなく、『このサイトは NAT越し』の VPN設定の場合を
記載してます。ちなみに、リモート側の方も『このサイトは NAT越し』で同様のウィ
ザードを選択しています。
※注:『リモートサイトは NAT越し』(アグレッシブモード)時の場合、センター拠
点からの通信ではなく、リモート拠点からの通信をトリガーとして接続を開始しま
す。
3.1.1.1. リモート拠点側の IPSECVPN設定例:
■IPsecVPN設定
VPN > IPsecウィザードにて必要項目の登録/選択
![Page 22: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分](https://reader034.vdocuments.pub/reader034/viewer/2022051903/5ff3928597a48221fb7b6a4d/html5/thumbnails/22.jpg)
22 –FortiGate SD-WAN Configuration – Ver1.00
Presented by Fortinet SE Team
作成してトンネルリストを確認後、VPN > IPsecトンネルで確認すると、
End-Endの確認未実施の状態でステータスは、“非アクティブ“ のまま。
次に、ネットワーク > インターフェースにて VPNウィザードから作成された
WANのインターフェース VPN-Branch_NATを選択。
その後、次の様に IPsecVPNのトンネルに付与する IPアドレス/NWを登録し
OKを押して下さい。
センター側の Internal NW
192.168.2.0/24
10.130.196.0/24
IPsecVPNで利用する
wan1のアドレス
![Page 23: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分](https://reader034.vdocuments.pub/reader034/viewer/2022051903/5ff3928597a48221fb7b6a4d/html5/thumbnails/23.jpg)
23 –FortiGate SD-WAN Configuration – Ver1.00
Presented by Fortinet SE Team
モニター > ルーティングモニタや モニター > IPsecモニターを確認。
Tunnel Interfaceのアドレスに変更
![Page 24: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分](https://reader034.vdocuments.pub/reader034/viewer/2022051903/5ff3928597a48221fb7b6a4d/html5/thumbnails/24.jpg)
24 –FortiGate SD-WAN Configuration – Ver1.00
Presented by Fortinet SE Team
3.1.1.2. センター拠点側の IPSECVPN設定例:
■IPsecVPN設定
VPN > IPsecウィザードにて必要項目の登録/選択
リモート側の Internal NW
192.168.10.0/24
IPsecVPNで利用する
wan1のアドレス
![Page 25: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分](https://reader034.vdocuments.pub/reader034/viewer/2022051903/5ff3928597a48221fb7b6a4d/html5/thumbnails/25.jpg)
25 –FortiGate SD-WAN Configuration – Ver1.00
Presented by Fortinet SE Team
作成してトンネルリストを確認後、VPN > IPsecトンネルで確認すると、
End-Endの確認未実施の状態で
ステータスは、“非アクティブ“ のまま。
次に、ネットワーク > インターフェースにて VPNウィザードから作成された
WANのインターフェース VPN-HQ_NATを選択。
その後、次の様に IPsecVPNのトンネルに付与する IPアドレス/NWを登録し
OKを押して下さい。
モニター > ルーティングモニタや モニター > IPsecモニターを確認。
Tunnel Interfaceのアドレスに変更
![Page 26: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分](https://reader034.vdocuments.pub/reader034/viewer/2022051903/5ff3928597a48221fb7b6a4d/html5/thumbnails/26.jpg)
26 –FortiGate SD-WAN Configuration – Ver1.00
Presented by Fortinet SE Team
3.2. リモートとセンター間の IPSEC VPN確認方法、確認コマンド
リモート側/センター側の設定も終了した後、End-End端末で通信を行う事で、IPsec
のステータスがアップする事を確認して下さい。
例:センター側に接続していた PCから、リモート側にある端末への Ping確認
センター側での設定直後のアップへ変化する前のダウン時の画面例
センター側でのダウン状態からアップへ変化した時の画面例
アップしない場合、モニター > IPsecモニターでステータスがダウン状態だと思い
ますので、右クリックでアップに変更してみて、再度接続確認を行ってみて下さい。
![Page 27: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分](https://reader034.vdocuments.pub/reader034/viewer/2022051903/5ff3928597a48221fb7b6a4d/html5/thumbnails/27.jpg)
27 –FortiGate SD-WAN Configuration – Ver1.00
Presented by Fortinet SE Team
省略可能
3.2.1. トラブルシュート時の確認コマンド
3.2.1.1. DIAGNOSE VPN TUNNEL LISTでの確認
これで暗号化、復号化されたパケット数と送信、受信されたバイト数など統計データ
を確認
diagnose vpn tunnel list 出力例:
list all IPsec tunnel in vd 0
------------------------------------------------------
name=VPN-Brance_NAT ver=1 serial=1 10.130.169.1:0->192.168.254.1:0
bound_if=7 lgwy=static/1 tun=intf/0 mode=auto/1 encap=none/8 options[0008]=npu
proxyid_num=1 child_num=0 refcnt=12 ilast=5 olast=68542 ad=/0 itn-status=a1
stat: rxp=318 txp=476 rxb=44074 txb=40530 <<正常であれば TX/RX がカウントされるはず
dpd: mode=on-demand on=1 idle=20000ms retry=3 count=0 seqno=7
natt: mode=none draft=0 interval=0 remote_port=0
proxyid=VPN-Brance_NAT proto=0 sa=0 ref=1 serial=1
src: 0:192.168.10.0/255.255.255.0:0
dst: 0:192.168.2.0/255.255.255.0:0 0:10.130.196.0/255.255.255.0:0
3.2.1.2. 元々の IPSEC VPNの設定確認(上記カウントがない場合)
各サイトの Fortigateにて
diagnose debug disable
diagnose debug reset
diagnose debug timestamp enable :Timestampを入れる
diagnose vpn ike gateway clear :一旦ダウンさせる
diagnose vpn ike log :VPNの対向が多い場合は、下記コマンド利用
diagnose vpn ike log filter name VPN-branch_NAT
diagnose debug application ike -1(-1~63)
diagbose debug enable :アウトプットさせる
※セット後、GUIで モニター > IPsecモニタで[アップ]押下でダウンからアップ
へ。
①コマンド Logで Pre-Shared secret mismatchの有無を確認
ike 0:TRX:322: PSK auth failed: probable pre-shared key mismatch
ike Negotiate SA Error:
上記の様な PSK mismatchが出たら、re-shared keysを再度確認。
![Page 28: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分](https://reader034.vdocuments.pub/reader034/viewer/2022051903/5ff3928597a48221fb7b6a4d/html5/thumbnails/28.jpg)
28 –FortiGate SD-WAN Configuration – Ver1.00
Presented by Fortinet SE Team
②Negotiation failureで
ike Negotiate ISAKMP SA Error: 2015-08-27 14:59:43 ike
0:169c956278af2a9a/0000000000000000:84: no SA proposal chosen
と表示したら、もしウィザードで作成していた場合は、カスタムにして、
Phase1Proposalの対向先含め両者の確認
③同様に、下記の様に異なる状況で接続しようとしている場合は、青がリモート側
で、緑がローカル側であり、IKE SA Phase1/2ネゴシエーションがうまくいっていな
いので、Phase1/2 Proposalの対向先含め両者の確認
responder received SA_INIT msg
incoming proposal:
proposal id = 1:
protocol = IKEv2:
encapsulation = IKEv2/none
type=ENCR, val=AES_CBC (key_len = 256)
type=INTEGR, val=AUTH_HMAC_SHA_96
type=PRF, val=PRF_HMAC_SHA
type=DH_GROUP, val=1536.
proposal id = 2:
protocol = IKEv2:
encapsulation = IKEv2/none
type=ENCR, val=3DES_CBC
type=INTEGR, val=AUTH_HMAC_SHA_2_256_128
type=PRF, val=PRF_HMAC_SHA2_256
type=DH_GROUP, val=1536.
proposal id = 1:
protocol = IKEv2:
encapsulation = IKEv2/none
type=ENCR, val=AES_CBC (key_len = 128)
type=INTEGR, val=AUTH_HMAC_SHA_96
type=PRF, val=PRF_HMAC_SHA
type=DH_GROUP, val=1536.
異なるとネゴシエーション
上手くいかず
![Page 29: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分](https://reader034.vdocuments.pub/reader034/viewer/2022051903/5ff3928597a48221fb7b6a4d/html5/thumbnails/29.jpg)
29 –FortiGate SD-WAN Configuration – Ver1.00
Presented by Fortinet SE Team
3.3. センター側のインターネットアクセス用 FORTIGATE設定
ネットワーク > インターフェース
ネットワーク > スタティックルート
ポリシー&オブジェクト > IPv4ポリシー
インターネットへのデフォルト
ルートと戻りの経路情報の追加
PAT(IPマスカレード)を可能
にする様に、ポリシーを設定
![Page 30: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分](https://reader034.vdocuments.pub/reader034/viewer/2022051903/5ff3928597a48221fb7b6a4d/html5/thumbnails/30.jpg)
30 –FortiGate SD-WAN Configuration – Ver1.00
Presented by Fortinet SE Team
3.4. センター側のインターネットアクセス用 SITE-TO-SITE
IPSEC VPN経路情報/ポリシー設定
3.4.1. センター側の経路情報部分
ネットワーク > インターフェース(単なるアドレス確認)
ネットワーク > スタティックルート
3.4.2. センター側のポリシー設定部分
ポリシー&オブジェクト > IPv4ポリシー
通過時にポリシーとして
VPN-HQ_NATから lanに抜ける際、送信先に 0.0.0.0/0情報が足りない。
同様に lanから VPN-HQ_NATに抜ける際、送信元に 0.0.0.0/0情報が足りない。
このため、Site-to-Site間 IPsec VPN用(サイト間 IPsecウィザード)で自動作成さ
れたアドレスグループである VPN-HQ‗NAT_localへの Internetに対するアドレス
0.0.0.0/0の追加変更を実施:オレンジ色部分
IPv4 ポリシーに追加する方法:
ポリシー&オブジェクト > アドレスにて
新規作成で新規アドレス(本例では、VPN-HQ_NAT_local_subnet_3)を作成。
その際、スタティックルート設定も ONにする。
インターネットへの
デフォルトルートの追加
![Page 31: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分](https://reader034.vdocuments.pub/reader034/viewer/2022051903/5ff3928597a48221fb7b6a4d/html5/thumbnails/31.jpg)
31 –FortiGate SD-WAN Configuration – Ver1.00
Presented by Fortinet SE Team
作成したアドレス(本例では、VPN-HQ_NAT_local_subnet_3)を、下記の様にして
アドレスグループ VPN-HQ‗NAT_localに追加。
ポリシー&オブジェクト > アドレスで、アドレスグループ VPN-HQ‗NAT_localを選
択し、右クリックで編集、もしくはダブルクリックをする。
メンバーを選択し、[+]でエントリを選択内で、VPN-HQ_NAT_local_subnet_3
も選択し OKを押して下さい。
![Page 32: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分](https://reader034.vdocuments.pub/reader034/viewer/2022051903/5ff3928597a48221fb7b6a4d/html5/thumbnails/32.jpg)
32 –FortiGate SD-WAN Configuration – Ver1.00
Presented by Fortinet SE Team
これらの設定により、センター側の FortiGateでは、イメージ的には下記の様になり
ます。
![Page 33: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分](https://reader034.vdocuments.pub/reader034/viewer/2022051903/5ff3928597a48221fb7b6a4d/html5/thumbnails/33.jpg)
33 –FortiGate SD-WAN Configuration – Ver1.00
Presented by Fortinet SE Team
3.5. リモート側のインターネットアクセス用 SITE-TO-SITE
IPSEC VPN経路情報/ポリシー設定
3.5.1. リモート側の経路情報部分
ネットワーク > インターフェース(単なるアドレス確認)
ネットワーク > スタティックルート
Static 0.0.0.0/0へのメトリック調整(VPN側:1、WAN側:5にして VPNを選択
する様に設定):赤色部分
※注:通常、Staticをデフォルトで作成するとアドミニストレーティブ・ディスタン
スは 10なので考えてから変更の必要性があります。
3.5.2. リモート側のポリシー設定部分
① Site-to-Site間 IPsec VPN用(サイト間 IPsecウィザード)で自動作成されたア
ドレスグループである VPN-Branch‗NAT‗remoteへの Internetに対するアドレ
ス 0.0.0.0/0の追加変更:オレンジ色部分
前述“3.4.2 センター側のポリシー設定“部分の様に新規アドレスを作成後グルー
プに追加する方法でも作成可能ですが、下記では、アドレスグループである
VPN-Branch_NAT_remoteに所属するアドレス VPN-
Branch_NAT_local_subnet_1等を選び、クローン作成後、アドレスグループに
追加する別方法で作成しています。
IPv4 ポリシーに追加する方法:
ポリシー&オブジェクト > アドレスで
![Page 34: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分](https://reader034.vdocuments.pub/reader034/viewer/2022051903/5ff3928597a48221fb7b6a4d/html5/thumbnails/34.jpg)
34 –FortiGate SD-WAN Configuration – Ver1.00
Presented by Fortinet SE Team
↓ 作成したアドレス(VPN-Brance_NAT_remote_subnet_3)
をアドレスグループ(VPN-Branch_NAT_remote)に追加
クローンの作成&クローンの名前変更
(VPN-Brance_NAT_remote_subnet_3)
作成したクローン(VPN-
Brance_NAT_remote_subnet_3)
を変更し、サブネット/IP範囲部分に
0.0.0.0/0の変更追加
![Page 35: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分](https://reader034.vdocuments.pub/reader034/viewer/2022051903/5ff3928597a48221fb7b6a4d/html5/thumbnails/35.jpg)
35 –FortiGate SD-WAN Configuration – Ver1.00
Presented by Fortinet SE Team
これらの設定により、リモート拠点側の FortiGate では、イメージ的には経路情報は
下記の様になります。(※SD-WANインターネットブレークアウトの設定は、wan1
に行い PBR: Policy Based Routingをさせてます。)
![Page 36: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分](https://reader034.vdocuments.pub/reader034/viewer/2022051903/5ff3928597a48221fb7b6a4d/html5/thumbnails/36.jpg)
36 –FortiGate SD-WAN Configuration – Ver1.00
Presented by Fortinet SE Team
3.5.3. SD-WAN インターネットブレークの設定前の確認
SD-WANの設定をするリモート側の FortiGateにつながっている PCから、リモ
ートサイトにある端末への Trace Route確認(8.8.8.8で確認しました)
[正常時]
リモート側 FortiGateのスタティックルート設定
確認 PC画面
[Site-to-Site間での IPsecVPNに向けたスタティックルートの無効時]
リモート側 FortiGateのスタティックルート設定
確認 PC画面
![Page 37: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分](https://reader034.vdocuments.pub/reader034/viewer/2022051903/5ff3928597a48221fb7b6a4d/html5/thumbnails/37.jpg)
37 –FortiGate SD-WAN Configuration – Ver1.00
Presented by Fortinet SE Team
Appendix #2:
ウィザードで作成した Site-to-Site間 IPsec VPNの削除方法
下記にて関連部分の削除ができる。(順番が異なると関連性が残って消せません)
①ポリシー&オブジェクト > IPv4ポリシー
②ネットワーク > スタティックルート
③VPN > IPsecトンネル
④ポリシー&オブジェクト > アドレスグループ&アドレス
にてアドレスグループの削除後、アドレスの削除
順序逆でも OK