IBM Cloud Docs
FortiGate ピアへの接続

FortiGate ピアへの接続

IBM Cloud VPN for VPC を使用すると、VPN トンネルを介して VPC をオンプレミス・ネットワークに安全に接続できます。 このトピックでは、FortiGate の VPN ゲートウェイを、VPN for VPC に接続するように構成する方法について説明します。

これらの説明は、 FortiGate 300C, Firmware Version v5.2.13, build762 (GA) に基づいており、VPN ゲートウェイのデフォルト (Auto) IPsec および IKE ポリシーを使用することを考慮して書かれています。 VPNゲートウェイ用にカスタムIKEおよびIPsecポリシーを作成する場合、以下のセクションで提案されているDiffie-Hellman、認証、暗号化、および鍵の有効期間の値の一部は変更可能です。

オンプレミス・ピアへの接続を続行する前に、 VPNゲートウェイの既知の 問題を参照してください。

FortiGate ピアへの IBM ポリシー・ベース VPN の接続

VPN > IPsec トンネル を選択して、新規カスタム・トンネルを作成するか、既存のトンネルを編集します。

FortiGate の VPN は、VPN for VPC から接続要求を受け取ると、IPsec フェーズ 1 のパラメーターを使用して、セキュア接続を確立し、VPN for VPC を認証します。 次に、セキュリティポリシーが接続を許可している場合、 FortiGate VPN は IPsec Phase 2 パラメータを使用してトンネルを確立し、IPsec セキュリティポリシーを適用します。 鍵管理サービス、認証サービス、およびセキュリティー・サービスは、IKE プロトコルを使用して動的にネゴシエーションされます。

これらの機能をサポートするために、FortiGate の VPN に対して以下の一般的な構成手順を実行する必要があります。

  • フェーズ 1 のパラメーターを定義します。これは、FortiGate の VPN が VPN for VPC を認証してセキュア接続を確立するために必要なパラメーターです。
  • フェーズ 2 のパラメーターを定義します。これは、FortiGate の VPN が VPN for VPC への VPN トンネルを作成するために必要なパラメーターです。
  • セキュリティー・ポリシーを作成します。これは、許可されるサービスと、IP 送信元アドレスと宛先アドレス間のトラフィックの許可方向を制御します。

構成の例を以下に示します。

  1. 認証で IKEv2 を選択します。
  2. フェーズ1の提案で DH-group 19
  3. フェーズ 1 プロポーザルで lifetime = 36000 を設定します。
  4. フェーズ 2 プロポーザルで PFS を無効にします。
  5. フェーズ 2 プロポーザルで lifetime = 10800 を設定します。
  6. フェーズ 2 でサブネットの情報を入力します。
  7. その他のパラメーターはデフォルト値のままにします。

FortiGate ピアへの IBM の静的経路ベース VPN の接続

以下の手順は、 IBM 静的ルートベース VPN を FortiGate ピアに接続する方法を示しています。

  1. 1 次トンネルを構成するには、VPN > IPsec トンネル を選択して新しいカスタム・テンプレート・タイプのトンネルを作成するか、既存のトンネルを編集します。

    caption-side=bottom"
    FortiGate 接続プライマリ トンネルの作成 FortiGate 接続プライマリ トンネルの作成

  2. 1 次トンネルのピア IP を構成するには、IBM 経路ベース VPN ゲートウェイの小さなパブリック IP アドレスをリモート・ゲートウェイ IP アドレスとして使用します。

    小規模パブリック IP について詳しくは、この 重要な通知を参照してください。 また、場合によっては、Fortigateピアを構成する際に、パケットドロップの問題を回避するために、NAT Traversalオプションを Enabledではなく Forcedに設定する必要があることを覚えておいてください。

    caption-side=bottom"
    FortiGate プライマリ トンネルのピア IP との接続 プライマリ トンネルのピア IP との FortiGate 接続

  3. IKE プロポーザルを構成するには、一致した IKE バージョンとプロポーザルを使用します。

    caption-side=bottom"
    FortiGate コネクション IKE プロポーザル FortiGate コネクション IKE プロポーザル

  4. IPsec プロポーザルを構成するには、一致した IPsec プロポーザルを使用します。

    caption-side=bottom"
    FortiGate コネクション IPsec プロポーザル FortiGate コネクション IPsec プロポーザル

FortiGate、サードパーティのVPNピアに接続する場合、ローカルIDが誤った形式で送信されると、フェーズ1認証に失敗することがあります。 デフォルトでは、IPアドレスが設定されていても、 FortiGate、そのローカルIDを完全修飾ドメイン名(FQDN)として送信する。 しかし、サードパーティ製のVPNゲートウェイの中には、代わりにIPアドレス形式のローカルIDを期待するものもある。 ID タイプの不一致により、VPN トンネルがエラーで失敗することがある。 AUTHENTICATION_FAILED. ピア側では、ログに次のようなエラーが表示されるかもしれない: Failed to locate an item in the database – Peer identity type is FQDN.

このエラーを解決するには、 FortiGate CLIを使用して、 localid-typeaddress に、 localid を FortiGate のパブリックIPに設定します。

config vpn ipsec phase1-interface
    edit <tunnel_name>
        set localid-type address
        set localid <your FortiGate public IP>
    next
end

2 次トンネルの構成

2 次トンネルを構成するには、以下のステップを実行します。

  1. 上記のステップを繰り返して、2 次トンネルを作成します。 IBM 経路ベース VPN ゲートウェイの大きなパブリック IP アドレスをリモート・ゲートウェイ IP アドレスとして使用します。

    caption-side=bottom"
    FortiGate 接続セカンダリ トンネル作成 FortiGate 接続セカンダリ トンネル作成

  2. 宛先が VPC サブネットであり、インターフェースが 1 次トンネルである 1 次経路を作成します。

    caption-side=bottom"
    FortiGate connection primary route FortiGate connection primary route

  3. セカンダリ・ルートを設定するには、宛先をVPCサブネット、インターフェイスをセカンダリ・トンネルとするバックアップ・ルートを作成します。 アドミニストレイティブ・ディスタンスがプライマリ・ルートのものより大きいことを確認してください。

    caption-side=bottom"
    FortiGate connection secondary route FortiGate connection secondary route

  4. 構成を検証するには、すべての経路をリストし、経路構成を検証します。 次に、1 次経路と 2 次経路で経路距離と 1 次経路が正しく構成されていることを確認します。

    caption-side=bottom"
    FortiGate 接続構成検証 FortiGate 接続構成検証