microsoft office 365 用 fortigate sd-wan...

37
1 –FortiGate SD-WAN Configuration – Ver1.00 Presented by Fortinet SE Team Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド Version 1.00 フォーティネットジャパン株式会社 2018 年 5 月

Upload: others

Post on 15-Sep-2020

0 views

Category:

Documents


0 download

TRANSCRIPT

Page 1: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分

1 –FortiGate SD-WAN Configuration – Ver1.00

Presented by Fortinet SE Team

Microsoft Office 365用

FortiGate SD-WAN設定ガイド

Version 1.00

フォーティネットジャパン株式会社

2018年 5月

Page 2: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分

2 –FortiGate SD-WAN Configuration – Ver1.00

Presented by Fortinet SE Team

免責事項

本ドキュメントに関する著作権は、フォーティネットジャパン株式会社へ帰属します。

フォーティネットジャパン株式会社が事前に承諾している場合を除き、形態及び手段を

問わず本ドキュメントまたはその一部を複製する事は禁じられています。

また本内容は参考例となります。個別のセキュリティ対策に関する要件を満たすには、

ご利用者様ごとにプランニングおよび設定の調整が必要となりますので、予めご了承

下さい。尚、本ドキュメントの作成にあたっては最新の注意を払っておりますが、その

記述内容は予告なしに変更される事があります。

Page 3: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分

3 –FortiGate SD-WAN Configuration – Ver1.00

Presented by Fortinet SE Team

目次:

第1章: はじめに P4

第2章: SD-WANインターネットブレークアウト P5

2-1.想定トポロジー P5

2-2.前提条件 P5

2-3.参考資料 P6

2-4.リモート拠点側の SD-WANインターネット

ブレークアウトの設定例 P6

2-5.確認方法、確認コマンド P9

第3章: SD-WANハイブリッドWAN P11

3-1.想定トポロジー P11

3-2.前提条件 P11

3-3.参考資料 P12

3-4.リモート拠点側の SD-WANハイブリッドWAN設定例 P12

A)SD-WANリンクロードバランス

B)SD-WAN トラフィックシェーピング

3-5.確認方法、確認コマンド P18

Appendix #1:

本ガイドの第二章 SD-WANインターネットブレークアウトの設定をする前における

リモート拠点/センター拠点での FortiGateの設定に関して P19

Appendix #2:

ウィザードで作成した Site-to-Site間 IPsec VPNの削除方法 P37

Page 4: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分

4 –FortiGate SD-WAN Configuration – Ver1.00

Presented by Fortinet SE Team

1. はじめに

近年、Office365を代表とするクラウドアプリケーションの利用が進み、それにとも

なってネットワークリソースがひっ迫し、機器や回線の増強を迫られ困っているとい

う声をよく耳にします。本書ではその問題を解決する方法として、FortiGateの SD-

WAN機能の設定方法を 2つご紹介します。

・SD-WAN インターネットブレークアウト(第 2 章)

本社・拠点間接続があり、クラウドアプリケーションは直接インターネット接

続させる場合の設定。

・SD-WAN ハイブリッド WAN(第3章)

WAN回線が複数あり、クラウドアプリケーションをリンクロードバランスさ

せる場合の設定。

目的と対象は下記の通りです。

目的:

クラウドアプリケーションの利用による、ネットワークリソースのひっ迫を

FortiGateの機能を用いて低減させること。

対象者:

FortiGateの設定経験があり、情報セキュリティ・ネットワークの導入経験があ

るパートナー/ディストリビュータのエンジニア様。

なお、本ガイドでは、FortiGate-100Eを利用していますが、ご利用の機器に適宜読み

替えてください。現在販売されている主力の FortiGate一覧に関しては下記 URLをご

覧下さい。

https://www.fortinet.co.jp/doc/fortinet-ProductMatrix.pdf

また、ファームウェアは FortiOS 5.6.4を利用しています。

Page 5: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分

5 –FortiGate SD-WAN Configuration – Ver1.00

Presented by Fortinet SE Team

2. SD-WAN インターネットブレークアウト

2-1 想定トポロジー

2-2 前提条件

・センターとリモート拠点が IPsecVPNで接続されている環境を想定。

(拠点間 IPsec VPNの設定例は APPENDIX #1: を参照下さい)

・FortiGateの基本設定(時刻、IPアドレス、デフォルトゲートウェイ、DNS

など)が終了し、LANケーブルの接続なども終了していること。

・FortiGateのプロキシサーバ機能(Explicit Proxy)を利用して既存プロキシ

の負荷を下げることも可能ですが、本ガイドでは解説しません。

・ISDBを利用し、ルーティングによるネットワーク負荷分散を実施する。

※ISDB:Internet Service Database。クラウドアプリケーションの IPアドレ

スやポート番号をまとめたグループオブジェクト。FortiGateでルーティングに利

用することで、クラウドアプリケーションをインターネットブレークアウトし、ネ

ットワーク負荷分散を実現できる(Policy Based Routingの一種)。ISDBは自動的

にアップデートされるので運用が簡単、またルーティングによる負荷分散なので高

速に動作するという利点がある。

Page 6: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分

6 –FortiGate SD-WAN Configuration – Ver1.00

Presented by Fortinet SE Team

2-3 参考資料

▼Client-Side SD-WAN with IPsecVPN Deployment Scenario-Expert

http://cookbook.fortinet.com/client-side-sd-wan-IPsec-vpn-deployment-

example-expert/

2-4 リモート拠点側の SD-WAN インターネットブレークアウト

の設定例

設定の大まかな流れとしては、以下になります。

A) FW部分で利用する Office365 用のポリシー作成

FortiGateは許可ポリシーを書かないとトラフィックを通しません。

B) ISDB を利用した PBRで利用する Office365用スタティックルートの作成

インターネットブレークアウトを実現するキモになります。

各々の詳細の設定方法は、下記の通りです。

A) FW 部分で利用する Office365 用のポリシー作成

ポリシー&オブジェクト > IPv4ポリシーで新規作成にて“BreakOut”というポリ

シーのルールを作成。(lanから wan1に抜ける際に掛かるポリシー)

※注:ポリシーに関しては、これからの Office365提供サービスにも依存する部

分も出てくる可能性もある為、参考として考えて下さい。

Page 7: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分

7 –FortiGate SD-WAN Configuration – Ver1.00

Presented by Fortinet SE Team

その結果、下記の様になります。

ただ、この様に作成したままの順番だと、作成した“BreakOut”ポリシーより ALL

が先に選ばれる為、“BreakOut”ポリシーを選択後、ドラック&ドロップで移動さ

せ、下記の様に順番変更の実施が必要になります。

これにより、Office365の通信の際(今回のサンプルでは lanからwan1に抜け

る時)、まず最初に今回作成した“BreakOut”ポリシーが適応されます。

追加選択

Page 8: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分

8 –FortiGate SD-WAN Configuration – Ver1.00

Presented by Fortinet SE Team

次に、ISDBを利用したアプリケーションを宛先とした PBRの設定を行います。

B)ISDBを利用した PBR で利用するOffice365 用スタティックルートの作成

ネットワーク > スタティックルートにて、「インターネットサービス」を選

択。ドロップダウンリストから必要なサービスを選択し、リモート拠点側の

FortiGateが接続しているネットワークでインターネットに抜けるのに一番近い

対向先の IPアドレス(この例では 10.130.169.254)をゲートウェイとして登録し

て下さい。

その結果、下記の様になります。

Page 9: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分

9 –FortiGate SD-WAN Configuration – Ver1.00

Presented by Fortinet SE Team

2-5確認方法、確認コマンド

2-5-1 SD-WAN インタネットブレークアウトの確認方法

ポリシー設定でログの有効化をし、LogレベルをデフォルトのWarningから

informationへ変更し、ログ&レポート > 転送トラフィックで確認。

詳細な設定方法は下記の通り。

♯ ポリシー設定でのログ有効化の実施

ポリシー&オブジェクト > IPv4ポリシーで作成した“BreakOut”ポリシーを選択

し、ロギングオプション部分を「すべてのセッション」に変更。

♯ ローカルログ(メモリ)フィルータ設定変更(レベル:information へ)

CLIにて

FG100E-SD-WAN # show log memory filter

config log memory filter

end

FG100E-SD-WAN # config log memory filter

FG100E-SD-WAN (filter) # set severity information

FG100E-SD-WAN (filter) # end

Page 10: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分

10 –FortiGate SD-WAN Configuration – Ver1.00

Presented by Fortinet SE Team

これで動作確認の際、ログ&レポート > 転送トラフィックで“BreakOut”ポリシ

ーに適合したモノをログ表示し始めます。

更に、下記の様に FortiViewで「宛先インターフェース」を選び、Office365の

ブレークアウト用ポリシーを付与したwan1に絞り込んで着目すると SD-WAN

ブレークアウトの状況がわかりやすくなります。

FortiView > すべてのセッション にて、「フィルタ追加」の部分で宛先インタ

ーフェースでwan1を選択してみて下さい。

そうすると、下記の様に表示され絞り込みやすくなります。

Page 11: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分

11 –FortiGate SD-WAN Configuration – Ver1.00

Presented by Fortinet SE Team

3. SD-WAN ハイブリッド WAN

(リンクロードバランス/トラフィックシェーピング)

3-1 想定トポロジー

3-2前提条件

・インターネット側への接続回線として 2本以上もっている環境を想定。

・回線品質を要求するようなトラフィックと、クラウドアプリケーション(本

ガイドの例では Office365)のトラフィックを区別し、優先度をそれぞれ設定

することで快適なインターネット環境を実現することを目的とする。

・FortiGateの基本設定(時刻、IPアドレス、デフォルトゲートウェイ、DNS

など)が終了し、LANケーブルの接続なども終了していること。

※ちなみに、本ガイドでは、リモート側の FortiGate100Eにて、スタティッ

クルートで 0.0.0.0/0に対し wan1/wan2共にアドミニストレーティブ・デ

ィスタンス:1でデフォルト GWとして設定している状態(片方毎、設定し

たルートを無効にしても、インターネットへのアクセス可能である事を確認

済)から SD-WANハイブリッドWANの設定を開始しています。

ネットワーク > インターフェース

Page 12: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分

12 –FortiGate SD-WAN Configuration – Ver1.00

Presented by Fortinet SE Team

ネットワーク > スタティックルート

3-3 参考資料

▼Redundant Internet with SD-WAN

http://cookbook.fortinet.com/redundant-internet-sd-wan-56/

3-4 リモート拠点側での SD-WAN ハイブリッドWAN 設定例

SD-WANハイブリッドWANとしては、大きく下記 2種類の設定があります。

A) SD-WAN リンクロードバランス

B) SD-WAN トラフィックシェーピング

設定の大まかな流れとしては、下記の通りになります。

A)SD-WAN リンクロードバランス

A-1) SD-WANインターフェースの作成

A-2) SD-WANのロードバランスのアルゴリズムの設定

A-3) SD-WANステータスチェックの設定

(状態確認先ダウン時の代替用スタティックルートの登録):複数パターン可

A-4) ISDBを利用した SD-WANルール部分の設定

A-5)セキュリティポリシーの設定

(LANから SD-WANインターフェースへのトラフィック許可)

B)SD-WAN トラフィックシェーピング

送信元アドレスとアプリケーションを指定し、出力インターフェース(本ガイ

ドでは SD-WAN)にて特定帯域にシェーピングするようルールを作成

各々の詳細に関しては、下記の通りです。

A-1)SD-WAN インターフェースの作成

ネットワーク > SD-WANでインターフェースステートを「有効」にし、「新規

作成」にてインターフェースでwan1/wan2を選択し、追加。

Page 13: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分

13 –FortiGate SD-WAN Configuration – Ver1.00

Presented by Fortinet SE Team

※FWポリシーですでに使用されている場合、そのインターフェースは選択肢に

表示されませんのでご注意ください。

A-2)SD-WAN ロードバランスアルゴリズムの設定

今回は、Volumeでwan1:wan2=3:1(75%:25%)になるよう設定。

※値が変わらない場合は、ポリシーまで設定後、再度設定してみて下さい。

A-3)SD-WAN ステータスチェックの設定

「新規作成」にて回線品質確認用の対向先サーバを登録。

A-1)SD-WAN インター

フェースの作成

現在は、下記2つのみ

#Volume:

A Volume ratio

#Session:

A sessions ratio

Page 14: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分

14 –FortiGate SD-WAN Configuration – Ver1.00

Presented by Fortinet SE Team

その結果、通信できていれば、下記の様に表示。(例:Googleに対する Ping)

↓Pingできない(未到達)場合の例

A-4)ISDBを利用した SD-WAN ルール部分の設定

下記の様に、送信元(アドレス、アドレスグループ)と宛先(アドレス、インタ

ーネットサービス)で出力インターフェースを特定したり、A-3)SD-WAN ステ

ータスチェックの設定で作成したルールに対する Status Checkで到達している

限り SD-WANインターフェースに付与されたインターフェースから送信する事

を可能にします。

また、もし本 SD-WANルール部分の設定をしない場合は、デフォルトの sd-wan

が利用され、出力(outbound traffic)に関しては、Volume-basedで判断され

ます。

※ISDB・・・P5参照

Page 15: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分

15 –FortiGate SD-WAN Configuration – Ver1.00

Presented by Fortinet SE Team

Page 16: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分

16 –FortiGate SD-WAN Configuration – Ver1.00

Presented by Fortinet SE Team

A-5)ポリシー設定(LAN から SD-WAN インターフェースへのトラフィック許

可)

「新規作成」にて LANからWANに対して、ポリシーを作成。

B)SD-WAN トラフィックシェーピング

先程作成した SD-WANと LANインターフェースに対し、特定アプリケーション

の利用だけで占有したくない場合、トラフィックシェーピングポリシーで特定サ

ービスをある程度絞る事も可能ですので、必要に応じてご検討下さい。

Page 17: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分

17 –FortiGate SD-WAN Configuration – Ver1.00

Presented by Fortinet SE Team

設定方法は、ポリシー&オブジェクト > トラフィックシェーピングポリシーに

て作成となります。

なお、シェーパーのルールにてデフォルト以外のものに関しては、ポリシー&オ

ブジェクト > トラフィックシェーパー部分でのルール作成となります。

ポリシー&オブジェクト > アドレスで

作成したアドレスから選択

セキュリティプロファイル > アプリケーションコン

トロール上にあるカテゴリから選択

ポリシー&オブジェクト > インターネットサービス

データベース(ISDB)上にあるアプリから選択

Page 18: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分

18 –FortiGate SD-WAN Configuration – Ver1.00

Presented by Fortinet SE Team

3-5 確認方法、確認コマンド

3-5-1 SD-WAN インターフェース上での使用状況の確認

ネットワーク > SD-WAN の SD-WAN使用量部分で Volumeを確認

3-5-2 SD-WAN 先の状況確認

ネットワーク > SD-WAN > SD-WANステータスチェック部分にて確認。

3-5-3 SD-WAN の利用状況確認

モニタ > SD-WANモニタにて確認。

※「リフレッシュ」を押下する事で現状に近い状態を確認

3-5-4 フェールオーバーの確認(補足)

SD-WANインターフェースとして利用している接続ポートである wan1をインターフ

ェースダウン(無効)した際、下記の様になりました。

●SD-WANの利用状況確認

●SD-WAN先の状況確認

●SD-WAN使用量部分の確認(バンド幅での確認:Volume表示では違いが分かりにくかった為)

Page 19: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分

19 –FortiGate SD-WAN Configuration – Ver1.00

Presented by Fortinet SE Team

Appendix #1:

本ガイドの第二章 SD-WANインターネットブレークアウトの設定をする前における

リモート拠点/センター拠点での FortiGateの設定に関して

1. 想定トポロジー

※注:わかりやすい様に Tunnelにネットワークアドレスを付与したが、付与せずとも可能。

(SECURITY FABRICで利用する場合は、表示をわかりやすくする為にも必要)

2. 参考資料(IPSEC VPN)

▼ SECURITY FABRIC OVER IPSEC VPN

http://cookbook.fortinet.com/security-fabric-over-IPsec-vpn-56/

▼ CookBook SITE-TO-SITE IPSEC VPN with FORTIGATES

http://cookbook.fortinet.com/site-site-IPsec-vpn-two-fortigates-56/

▼ FortiOS Handbook IPsecVPN version 5.6.3

https://docs.fortinet.com/uploaded/files/3608/fortigate-IPsecvpn-

56.pdf

▼ IPsec VPN troubleshooting

http://cookbook.fortinet.com/IPsec-vpn-troubleshooting/

http://cookbook.fortinet.com/IPsec-vpn-troubleshooting-video-52/

Page 20: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分

20 –FortiGate SD-WAN Configuration – Ver1.00

Presented by Fortinet SE Team

3. 各種設定

3.1. リモート側とセンター側との SITE-TO-SITE IPSECVPN設定

■IPsecVPN設定前のリモート側アドレスとスタティック情報とポリシーの設定情報

ネットワーク > スタティックルート情報

ポリシー&オブジェクト > IPv4ポリシー

■IPsecVPN設定前のセンター側アドレスとスタティック情報とポリシーの設定情報

ネットワーク > スタティックルート情報

ポリシー&オブジェクト > IPv4ポリシー

Page 21: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分

21 –FortiGate SD-WAN Configuration – Ver1.00

Presented by Fortinet SE Team

3.1.1. ウィザードを利用した SITE-TO-SITE IPSECVPN の設定

現在 FortiGateの GUIでの VPN IPsecのウィザードには 3種類あります。

『サイト間に NATなし』

『このサイトは NAT越し』(アグレッシブモード)

『リモートサイトは NAT越し』

この中で今回の確認した構成でのセンター拠点は、『リモートサイトは NAT越し』

(アグレッシブモード)ではなく、『このサイトは NAT越し』の VPN設定の場合を

記載してます。ちなみに、リモート側の方も『このサイトは NAT越し』で同様のウィ

ザードを選択しています。

※注:『リモートサイトは NAT越し』(アグレッシブモード)時の場合、センター拠

点からの通信ではなく、リモート拠点からの通信をトリガーとして接続を開始しま

す。

3.1.1.1. リモート拠点側の IPSECVPN設定例:

■IPsecVPN設定

VPN > IPsecウィザードにて必要項目の登録/選択

Page 22: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分

22 –FortiGate SD-WAN Configuration – Ver1.00

Presented by Fortinet SE Team

作成してトンネルリストを確認後、VPN > IPsecトンネルで確認すると、

End-Endの確認未実施の状態でステータスは、“非アクティブ“ のまま。

次に、ネットワーク > インターフェースにて VPNウィザードから作成された

WANのインターフェース VPN-Branch_NATを選択。

その後、次の様に IPsecVPNのトンネルに付与する IPアドレス/NWを登録し

OKを押して下さい。

センター側の Internal NW

192.168.2.0/24

10.130.196.0/24

IPsecVPNで利用する

wan1のアドレス

Page 23: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分

23 –FortiGate SD-WAN Configuration – Ver1.00

Presented by Fortinet SE Team

モニター > ルーティングモニタや モニター > IPsecモニターを確認。

Tunnel Interfaceのアドレスに変更

Page 24: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分

24 –FortiGate SD-WAN Configuration – Ver1.00

Presented by Fortinet SE Team

3.1.1.2. センター拠点側の IPSECVPN設定例:

■IPsecVPN設定

VPN > IPsecウィザードにて必要項目の登録/選択

リモート側の Internal NW

192.168.10.0/24

IPsecVPNで利用する

wan1のアドレス

Page 25: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分

25 –FortiGate SD-WAN Configuration – Ver1.00

Presented by Fortinet SE Team

作成してトンネルリストを確認後、VPN > IPsecトンネルで確認すると、

End-Endの確認未実施の状態で

ステータスは、“非アクティブ“ のまま。

次に、ネットワーク > インターフェースにて VPNウィザードから作成された

WANのインターフェース VPN-HQ_NATを選択。

その後、次の様に IPsecVPNのトンネルに付与する IPアドレス/NWを登録し

OKを押して下さい。

モニター > ルーティングモニタや モニター > IPsecモニターを確認。

Tunnel Interfaceのアドレスに変更

Page 26: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分

26 –FortiGate SD-WAN Configuration – Ver1.00

Presented by Fortinet SE Team

3.2. リモートとセンター間の IPSEC VPN確認方法、確認コマンド

リモート側/センター側の設定も終了した後、End-End端末で通信を行う事で、IPsec

のステータスがアップする事を確認して下さい。

例:センター側に接続していた PCから、リモート側にある端末への Ping確認

センター側での設定直後のアップへ変化する前のダウン時の画面例

センター側でのダウン状態からアップへ変化した時の画面例

アップしない場合、モニター > IPsecモニターでステータスがダウン状態だと思い

ますので、右クリックでアップに変更してみて、再度接続確認を行ってみて下さい。

Page 27: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分

27 –FortiGate SD-WAN Configuration – Ver1.00

Presented by Fortinet SE Team

省略可能

3.2.1. トラブルシュート時の確認コマンド

3.2.1.1. DIAGNOSE VPN TUNNEL LISTでの確認

これで暗号化、復号化されたパケット数と送信、受信されたバイト数など統計データ

を確認

diagnose vpn tunnel list 出力例:

list all IPsec tunnel in vd 0

------------------------------------------------------

name=VPN-Brance_NAT ver=1 serial=1 10.130.169.1:0->192.168.254.1:0

bound_if=7 lgwy=static/1 tun=intf/0 mode=auto/1 encap=none/8 options[0008]=npu

proxyid_num=1 child_num=0 refcnt=12 ilast=5 olast=68542 ad=/0 itn-status=a1

stat: rxp=318 txp=476 rxb=44074 txb=40530 <<正常であれば TX/RX がカウントされるはず

dpd: mode=on-demand on=1 idle=20000ms retry=3 count=0 seqno=7

natt: mode=none draft=0 interval=0 remote_port=0

proxyid=VPN-Brance_NAT proto=0 sa=0 ref=1 serial=1

src: 0:192.168.10.0/255.255.255.0:0

dst: 0:192.168.2.0/255.255.255.0:0 0:10.130.196.0/255.255.255.0:0

3.2.1.2. 元々の IPSEC VPNの設定確認(上記カウントがない場合)

各サイトの Fortigateにて

diagnose debug disable

diagnose debug reset

diagnose debug timestamp enable :Timestampを入れる

diagnose vpn ike gateway clear :一旦ダウンさせる

diagnose vpn ike log :VPNの対向が多い場合は、下記コマンド利用

diagnose vpn ike log filter name VPN-branch_NAT

diagnose debug application ike -1(-1~63)

diagbose debug enable :アウトプットさせる

※セット後、GUIで モニター > IPsecモニタで[アップ]押下でダウンからアップ

へ。

①コマンド Logで Pre-Shared secret mismatchの有無を確認

ike 0:TRX:322: PSK auth failed: probable pre-shared key mismatch

ike Negotiate SA Error:

上記の様な PSK mismatchが出たら、re-shared keysを再度確認。

Page 28: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分

28 –FortiGate SD-WAN Configuration – Ver1.00

Presented by Fortinet SE Team

②Negotiation failureで

ike Negotiate ISAKMP SA Error: 2015-08-27 14:59:43 ike

0:169c956278af2a9a/0000000000000000:84: no SA proposal chosen

と表示したら、もしウィザードで作成していた場合は、カスタムにして、

Phase1Proposalの対向先含め両者の確認

③同様に、下記の様に異なる状況で接続しようとしている場合は、青がリモート側

で、緑がローカル側であり、IKE SA Phase1/2ネゴシエーションがうまくいっていな

いので、Phase1/2 Proposalの対向先含め両者の確認

responder received SA_INIT msg

incoming proposal:

proposal id = 1:

protocol = IKEv2:

encapsulation = IKEv2/none

type=ENCR, val=AES_CBC (key_len = 256)

type=INTEGR, val=AUTH_HMAC_SHA_96

type=PRF, val=PRF_HMAC_SHA

type=DH_GROUP, val=1536.

proposal id = 2:

protocol = IKEv2:

encapsulation = IKEv2/none

type=ENCR, val=3DES_CBC

type=INTEGR, val=AUTH_HMAC_SHA_2_256_128

type=PRF, val=PRF_HMAC_SHA2_256

type=DH_GROUP, val=1536.

proposal id = 1:

protocol = IKEv2:

encapsulation = IKEv2/none

type=ENCR, val=AES_CBC (key_len = 128)

type=INTEGR, val=AUTH_HMAC_SHA_96

type=PRF, val=PRF_HMAC_SHA

type=DH_GROUP, val=1536.

異なるとネゴシエーション

上手くいかず

Page 29: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分

29 –FortiGate SD-WAN Configuration – Ver1.00

Presented by Fortinet SE Team

3.3. センター側のインターネットアクセス用 FORTIGATE設定

ネットワーク > インターフェース

ネットワーク > スタティックルート

ポリシー&オブジェクト > IPv4ポリシー

インターネットへのデフォルト

ルートと戻りの経路情報の追加

PAT(IPマスカレード)を可能

にする様に、ポリシーを設定

Page 30: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分

30 –FortiGate SD-WAN Configuration – Ver1.00

Presented by Fortinet SE Team

3.4. センター側のインターネットアクセス用 SITE-TO-SITE

IPSEC VPN経路情報/ポリシー設定

3.4.1. センター側の経路情報部分

ネットワーク > インターフェース(単なるアドレス確認)

ネットワーク > スタティックルート

3.4.2. センター側のポリシー設定部分

ポリシー&オブジェクト > IPv4ポリシー

通過時にポリシーとして

VPN-HQ_NATから lanに抜ける際、送信先に 0.0.0.0/0情報が足りない。

同様に lanから VPN-HQ_NATに抜ける際、送信元に 0.0.0.0/0情報が足りない。

このため、Site-to-Site間 IPsec VPN用(サイト間 IPsecウィザード)で自動作成さ

れたアドレスグループである VPN-HQ‗NAT_localへの Internetに対するアドレス

0.0.0.0/0の追加変更を実施:オレンジ色部分

IPv4 ポリシーに追加する方法:

ポリシー&オブジェクト > アドレスにて

新規作成で新規アドレス(本例では、VPN-HQ_NAT_local_subnet_3)を作成。

その際、スタティックルート設定も ONにする。

インターネットへの

デフォルトルートの追加

Page 31: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分

31 –FortiGate SD-WAN Configuration – Ver1.00

Presented by Fortinet SE Team

作成したアドレス(本例では、VPN-HQ_NAT_local_subnet_3)を、下記の様にして

アドレスグループ VPN-HQ‗NAT_localに追加。

ポリシー&オブジェクト > アドレスで、アドレスグループ VPN-HQ‗NAT_localを選

択し、右クリックで編集、もしくはダブルクリックをする。

メンバーを選択し、[+]でエントリを選択内で、VPN-HQ_NAT_local_subnet_3

も選択し OKを押して下さい。

Page 32: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分

32 –FortiGate SD-WAN Configuration – Ver1.00

Presented by Fortinet SE Team

これらの設定により、センター側の FortiGateでは、イメージ的には下記の様になり

ます。

Page 33: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分

33 –FortiGate SD-WAN Configuration – Ver1.00

Presented by Fortinet SE Team

3.5. リモート側のインターネットアクセス用 SITE-TO-SITE

IPSEC VPN経路情報/ポリシー設定

3.5.1. リモート側の経路情報部分

ネットワーク > インターフェース(単なるアドレス確認)

ネットワーク > スタティックルート

Static 0.0.0.0/0へのメトリック調整(VPN側:1、WAN側:5にして VPNを選択

する様に設定):赤色部分

※注:通常、Staticをデフォルトで作成するとアドミニストレーティブ・ディスタン

スは 10なので考えてから変更の必要性があります。

3.5.2. リモート側のポリシー設定部分

① Site-to-Site間 IPsec VPN用(サイト間 IPsecウィザード)で自動作成されたア

ドレスグループである VPN-Branch‗NAT‗remoteへの Internetに対するアドレ

ス 0.0.0.0/0の追加変更:オレンジ色部分

前述“3.4.2 センター側のポリシー設定“部分の様に新規アドレスを作成後グルー

プに追加する方法でも作成可能ですが、下記では、アドレスグループである

VPN-Branch_NAT_remoteに所属するアドレス VPN-

Branch_NAT_local_subnet_1等を選び、クローン作成後、アドレスグループに

追加する別方法で作成しています。

IPv4 ポリシーに追加する方法:

ポリシー&オブジェクト > アドレスで

Page 34: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分

34 –FortiGate SD-WAN Configuration – Ver1.00

Presented by Fortinet SE Team

↓ 作成したアドレス(VPN-Brance_NAT_remote_subnet_3)

をアドレスグループ(VPN-Branch_NAT_remote)に追加

クローンの作成&クローンの名前変更

(VPN-Brance_NAT_remote_subnet_3)

作成したクローン(VPN-

Brance_NAT_remote_subnet_3)

を変更し、サブネット/IP範囲部分に

0.0.0.0/0の変更追加

Page 35: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分

35 –FortiGate SD-WAN Configuration – Ver1.00

Presented by Fortinet SE Team

これらの設定により、リモート拠点側の FortiGate では、イメージ的には経路情報は

下記の様になります。(※SD-WANインターネットブレークアウトの設定は、wan1

に行い PBR: Policy Based Routingをさせてます。)

Page 36: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分

36 –FortiGate SD-WAN Configuration – Ver1.00

Presented by Fortinet SE Team

3.5.3. SD-WAN インターネットブレークの設定前の確認

SD-WANの設定をするリモート側の FortiGateにつながっている PCから、リモ

ートサイトにある端末への Trace Route確認(8.8.8.8で確認しました)

[正常時]

リモート側 FortiGateのスタティックルート設定

確認 PC画面

[Site-to-Site間での IPsecVPNに向けたスタティックルートの無効時]

リモート側 FortiGateのスタティックルート設定

確認 PC画面

Page 37: Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド...ドレスグループであるVPN-Branch‗NAT‗remoteへのInternet に対するアドレ ス0.0.0.0/0の追加変更:オレンジ色部分

37 –FortiGate SD-WAN Configuration – Ver1.00

Presented by Fortinet SE Team

Appendix #2:

ウィザードで作成した Site-to-Site間 IPsec VPNの削除方法

下記にて関連部分の削除ができる。(順番が異なると関連性が残って消せません)

①ポリシー&オブジェクト > IPv4ポリシー

②ネットワーク > スタティックルート

③VPN > IPsecトンネル

④ポリシー&オブジェクト > アドレスグループ&アドレス

にてアドレスグループの削除後、アドレスの削除

順序逆でも OK