FortiGate ピアへの IBM ポリシー・ベース VPN の接続

VPN > IPsec トンネル を選択して、新規カスタム・トンネルを作成するか、既存のトンネルを編集します。

FortiGate の VPN は、VPN for VPC から接続要求を受け取ると、IPsec フェーズ 1 のパラメーターを使用して、セキュア接続を確立し、VPN for VPC を認証します。 その後、セキュリティー・ポリシーで接続が許可されると、FortiGate の VPN は、IPsec フェーズ 2 のパラメーターを使用して、トンネルを確立し、IPsec セキュリティー・ポリシーを適用します。 鍵管理サービス、認証サービス、およびセキュリティー・サービスは、IKE プロトコルを使用して動的にネゴシエーションされます。

これらの機能をサポートするために、FortiGate の VPN に対して以下の一般的な構成手順を実行する必要があります。

• フェーズ 1 のパラメーターを定義します。これは、FortiGate の VPN が VPN for VPC を認証してセキュア接続を確立するために必要なパラメーターです。
• フェーズ 2 のパラメーターを定義します。これは、FortiGate の VPN が VPN for VPC への VPN トンネルを作成するために必要なパラメーターです。
• セキュリティー・ポリシーを作成します。これは、許可されるサービスと、IP 送信元アドレスと宛先アドレス間のトラフィックの許可方向を制御します。

構成の例を以下に示します。

1. 認証で IKEv2 を選択します。
2. フェーズ1の提案で DH-group 19。
3. フェーズ 1 プロポーザルで lifetime = 36000 を設定します。
4. フェーズ 2 プロポーザルで PFS を無効にします。
5. フェーズ 2 プロポーザルで lifetime = 10800 を設定します。
6. フェーズ 2 でサブネットの情報を入力します。
7. その他のパラメーターはデフォルト値のままにします。

FortiGate ピアへの IBM の静的経路ベース VPN の接続

IBM の静的経路ベース VPN を FortiGate ピアに接続する方法の例を以下に示します。

1. 1 次トンネルを構成するには、VPN > IPsec トンネル を選択して新しいカスタム・テンプレート・タイプのトンネルを作成するか、既存のトンネルを編集します。

   

2. 1 次トンネルのピア IP を構成するには、IBM 経路ベース VPN ゲートウェイの小さなパブリック IP アドレスをリモート・ゲートウェイ IP アドレスとして使用します。

   小規模パブリック IP について詳しくは、この 重要な通知を参照してください。

   

3. IKE プロポーザルを構成するには、一致した IKE バージョンとプロポーザルを使用します。

   

4. IPsec プロポーザルを構成するには、一致した IPsec プロポーザルを使用します。

   

サードパーティVPNピアに FortiGate、ローカルIDの形式が間違って送信されると、フェーズ1認証に失敗することがありました。 デフォルトでは、IPアドレスが設定されていても、 FortiGate、そのローカルIDを完全修飾ドメイン名（FQDN）として送信する。 しかし、サードパーティ製のVPNゲートウェイの中には、代わりにIPアドレス形式のローカルIDを期待するものもある。 ID タイプの不一致により、VPN トンネルがエラーで失敗することがある。 AUTHENTICATION_FAILED. ピア側では、ログに次のようなエラーが表示されるかもしれない： Failed to locate an item in the database – Peer identity type is FQDN.

このエラーを解決するには、 FortiGate CLIを使用して、 localid-type を address に、 localid を FortiGate のパブリックIPに設定します。

config vpn ipsec phase1-interface
    edit <tunnel_name>
        set localid-type address
        set localid <your FortiGate public IP>
    next
end