私もかなり前から愛用していますが(自宅から会社へ)、社内サーバ管理等をしている方にとって重宝するものではないでしょうか。FortiClientのVPN機能だけなら無償で使用できるので使わない手はないでしょう。ここではFortiGateへダイヤルアップでIPSecVPN接続を行うための設定をご紹介します。
【機能】
・パーソナルファイヤウォール
・IPSec VPN
・アンチウイルス
・Webフィルタリング
・アンチスパム
【ライセンス価格】
・1クライアント:初年度\14,000 更新は年\6,000
・2~9クライアント:初年度@\9,900 更新は年@\3,600
・10~24クライアント:初年度@\9,000 更新は年@\3,100
※FortiClientのアンチウイルス・ファイアウォール等のほぼ全機能が無償で利用できようになりました。(2009/10/14発表)詳しくは、こちら
パーソナルファイアウォール、IPSec VPNは無料のためライセンス料は不要ですが
他の機能を有効活用するためには、上記ライセンス料が必要になります。
ただしインストール後、90日間はお試し期間でライセンスがなくてもフル活用できます。
ではインストール・・・その前にFortiGateにダイアルアップ用IPSecの設定が必要です。
また、セキュリティに重点をおいた設定とはなっておりません。
あくまで「接続する」をメインに考えた構成となっていますので、
何かあっても当方では一切責任を負えません・・・(^_^;)。
【FortiGate IPSec設定】
例としてFortigate-60B 3.00-b0730(MR7 Patch 1)を使いWeb管理画面から設定をしてみます。
●フェイズ1を作成(VPN>IPSec>自動鍵(IKE))
リモートゲートウェイはダイアルアップユーザを選択します。
ローカルインターフェースは、外部ポートを指定します。
認証方法は事前共有鍵を選択してパスワードを入力します。(単なるパスワード認証)
※モードの「アグレッシブ」と「メイン(IDプロテクション)」の違い
「メイン(IDプロテクション)」では自ノードのID(IP含む)を共通鍵で暗号化する。ただし接続先が予めわかっていることが前提(グローバル固定IP)。
「アグレッシブ」では手順が簡素化されIDは暗号化されない。互いにIPアドレスが予めわかっている場合はメイン、どちらか一方または両方とも動的IPの場合はアグレッシブを使用するようです。
●フェイズ2を作成(VPN>IPSec>自動鍵(IKE))
先ほど作成したフェイズ1を指定します。
●FortiClient用の仮想IPを設定(ファイアウォール>アドレス)
インターフェースはFortiClientが接続してくる外部ポートを指定します。
IPは相互のローカルネットワークとバッティングしない構成にしましょう。
●ポリシーを定義(ファイアウォール>ポリシー)
ポリシーの順番に注意です。internal->wan1の一番上に来るようにします。
以下の「前にポリシーを挿入」ボタンを使うとよいでしょう。
●internal->wan1
宛先アドレスは先ほど作成したFortiClientとします。
アクションをIPSECにします。
VPNトンネルは先ほど作成したHonbuにします。
以上でFortiGate側の設定は完了です。
次にクライアント側の設定に移ります。
【FortiClientのインストールと設定】
有効アカウントをお持ちの方はサポートページからダウンロードしましょう。
アカウントなんてないよ!という方は、購入先ベンダー等問い合わせてみてください。
クライアント本体自体は無料ですので代金を請求されることはないないでしょう。
ただし、FortiGateの保守ライセンスを保有していることが条件になると思いますが。
●インストール開始
●使用許諾契約の条件に同意します
●セットアップタイプ
ここではVPNのみで進めますのでカスタムを指定します。興味のある方は色々と試してみてください。
ただしインストールするクライアントPCにすでにアンチウイルスが導入済みの場合は
競合により不都合が発生することがありますのでアンチウイルスはインストールしないようにしてください。
●カスタム設定
VPN以外は、インストールしないように指定します。
●インストールを開始
●初期設定
基本設定のまま次へ進みます。
●ライセンスキー入力
ライセンスキーの入力は省略します。(ライセンス購入した場合は入力)
※スケジュール更新は任意で設定してください。
●接続設定
FortiClientが起動します。
●接続の作成(VPN>高級>追加)※なぜ高級という名称なんでしょうかね。
設定はマニュアルとします。
リモートゲートウェイは接続先のアドレスを入力します。(グローバルIPでもよい)
リモートネットワークは接続先のローカルネットワークを定義します。
認証方法はFortiGateでの定義に合わせます。ここではパスワード認証で作成しましたので
Preshared Keyを指定してパスワードを入力します。
●詳細設定
仮想のIPアドレスを取得にチェックを入れ設定ボタンを押します。
手動設定を選択してFortiGateのシステム>アドレスで定義したfortiClient用レンジの
アドレスを指定します。
※必要に応じてDNSサーバーアドレスを指定します。接続後、優先DNSとして機能します。
接続が成功すると、ポップアップ画面にネゴシエーションに成功しました!と表示されますので
確認することができます。
コマンドプロンプトで接続先のローカルへPINGを実行してみましょう。
応答があればVPN接続されているということになります。
私は自宅からリモートデスクトップを使って会社マシンへ接続することが多いので
VPN用と割り切って使用しています。
0 件のコメント:
コメントを投稿