FortiGateの設計/設定ガイド

FortiGateの設計・設定方法を詳しく書いたサイトです。 FortiGateの基本機能であるFW(ファイアウォール)、IPsec、SSL‐VPN(リモートアクセス)だけでなく、次世代FWとしての機能、セキュリティ機能(アンチウイルス、Webフィルタリング、SPAM対策)、さらにはHA,可視化、レポート設定までも記載します。初期化方法やバージョンアップなどの管理面も書いています。標的型攻撃を守るためのゲートウェイとしても導入されることが多いので、セキュリティ機能に関しては充実した記載を心がけます。

AWSとFortigateでVPN

2.3 AWSとFortiGate

AWSとForigateでVPN接続をし、企業とクラウド上でネットワークを構築してみよう。

(1)環境
AWS VPC 172.16.0.0/16

企業側 グローバルIP x.x.x.x
      社内ネットワーク192.168.1.0/24
aws_forti_vpn

(2)設定の流れAWS側
https://nwengblog.com/awsvpn/
VPCのメニュー>仮想プライベートネットワーク(VPN)を上から順に設定していく。
①カスタマーゲートウェイの作成 →VPNの対向のルータの情報
 VPCのメニュー>仮想プライベートネットワーク(VPN)
 カスタマーゲートウェイの作成で
  ・名前: 
  ・ルーティング: 静的
  ・IPアドレス:対向のFortigateのIPアドレス 203.0.113.8
   ※それ以外はデフォルト

②仮想プライベートゲートウェイ →自分のVPNルータ
 ・上記の下にある「仮想プライベートゲートウェイ」
  任意の名前を付ける。それ以外はデフォルト
 ・作成したら、VPCに関連づける。
  作成した仮想プライベートゲートウェイを選択して「アクション」「VPCにアタッチ」で、関連づけたいVPCを選ぶ。

③サイト間のVPN接続
 ・VPN 接続の作成 ボタンを押す
 ・上から、Virtual Private Gateway を選んで、作成した仮想プライベートゲートウェイを選ぶ
 ・カスタマーゲートウェイは「既存」を選び、作成したカスタマーゲートウェイを選ぶ
 ・ルーティングオプションは「静的」を選び、対向のセグメントを入れる(たとえば、192.168.1.0/24)
 ・トンネルオプション おそらくデフォルトでいい。個別に設定をしてもいい。トンネル1の事前共有キーを設定「secret_key」など。 ※トンネルが2つ作成されようとしているが、私は1つしか作らなかった。
 ※ここから課金が発生する。1時間0.01ドルくらいかな?
 設定のダウンロードを押すと、FortigateのGUIでどう設定すればいいかの具体的な方法が記載される。なんて便利なんだーー。

④ルートテーブル
 VPCの画面などから「ルートテーブル」をクリック。
 該当するサブネットのルートテーブルを探し、「ルートの編集」でルートを追加する。
 対向セグメント(たとえば192.168.1.0/24)を指定して、ターゲットとして作成した仮想プライベートゲートウェイを選択する(一番下にある)

⑤セキュリティグループの設定
 必要か?

⑥状態確認
 Fortigateと接続してからになるが、「サイト間のVPN接続」から
該当するVPNを選び、下の「Tunnel Deatails」で「アップ」になっていればいい。

(3)Fortigate側
①Fortigateにログインし、VPN>IPsecトンネル 新規作成
 ここでは強制的にウィザードになってしまうので、あきらめてウィザードで進める
 ・VPNセットアップ 名前を入れる。
 ・テンプレートタイプ:サイト間
 ・NAT無し
  ※ダウンロードしたAWSの設定情報などから、対抗のIPアドレスなども入れるはず
 ・ローカルIFはlan
 ・ローカルサブネット、リモートサブネットに、それぞれNW情報を入れる
 ・インターネットアクセスはNoneにした

②作成したIPsecトンネルであるが、「カスタムトンネルへコンバート」
 基本的には以下の通り
 https://www.ikura-oisii.com/?p=191
  ・フェーズ1プロポーザルで、SHA1-AES128、DHグループは2のみ。鍵のTTLは28800  
 ・フェーズ2では、SHA1-AES128、DHグループは2のみ。鍵のTTLは3600、自動鍵キープアライブをON

③ポリシーも確認
 ・ポリシー&ルーティング:lanのセグメント(192.168.1.0/24)と、リモートセグメント(10.0.0.0/16←本当は10.0.1.0/24としたいが、ConfigをみるとVPCが適切のようだ)
  インターネットアクセスは、Noneにした。(必要がないので) 

④インターフェースをみよう。 WAN1にトンネルインターフェースが作成されている。+ボタンで押そう
  デフォルトの0.0.0.0のままでいい

⑤ルーティングは作成されているはず
 Configと中身を確認しよう ※何もしなくていい

⑥ポリシー
 こちらも作成されているはず ※何もしなくていい

⑦状態確認
 IPsecモニタで、「アップ」にする。
とりあえず接続は完了。

ルーティングはサブネットにするのか、VPCに設定するのだろうか。→VPCだね。
新規にVPCを作成したらうまく接続できた。上のURLの通りにやること。

(4)疎通確認
FortigateのCLIから直接Pingを送信してみたが、うまくいかなかった。配下のPCから行うと、無事に疎通できた。

検証としては、イメージを作成して配信などもやりたい。
認証連携、二要素認証、バックアップ環境の構築など。