QuWAN と Fortinet® デバイスの間でサイトツーサイト VPN を設定するには？

FortiGate® デバイスに対し、QuWAN に接続されたルーターとの IPsec サイトツーサイト VPN トンネルを確立する次の設定を行います。認証方法、暗号アルゴリズム、鍵交換設定を定義して、接続をセキュアにします。トンネルの安定性や QuWAN の VPN フレームワークとの互換性のために、NAT traversal やデッドピア検出などのオプションを有効にします。以下の設定は、FortiGate® 300C デバイス用の FortiProxy 1.1.0 オンラインヘルプに基づいています。

1. FortiGate® ユーザーインターフェイスにログインします。
2. ［VPN］ > ［IPSec］ > ［Tunnels (トンネル)］に進みます。
3. ［Create New (新規作成)］をクリックします。
4. IPSec VPN 設定を行います。
   

   一般設定

   設定	ユーザー操作
   Name (名前)	その VPN トンネルに対する一意な名称を入力します。
   Comments (コメント)（オプション）	トンネルを の説明を追加します。
   Enable IPsec Interface Mode (IPsec インターフェイスモードを有効化)	VPN トンネルに対する IPsec を有効にするには、これを選択します。

   ネットワーク設定

   設定	ユーザー操作
   IP Version (IP バージョン)	プロトコル バージョンは、IPv4 を選択します。
   Remote Gateway (リモートゲートウェイ)	リモートピアが固定 IP であれば、［Static IP Address (静的 IP アドレス)］を選んでください。
   IP Address (IP アドレス)	リモートピアの IP アドレスを入力します。
   Interface (インターフェイス)	その VPNトンネルに対するネットワークインターフェイスを選択します。
   Mode Config (モード設定) (オプション)	有効にして IP アドレスを VPN クライアントに割り当てます。
   NAT Traversal (NAT トラバーサル)	NAT デバイスが両ピアの間にある場合は、NAT Traversal を有効にします。
   Keepalive Frequency (キープアライブ頻度)	キープアライブパケットが送出される頻度を設定します。
   Dead Peer Detection (デッドピア検出)	応答しない VPN ピアを検出して削除するために、デッドピア検出を有効にします。

   

   認証設定

   設定	ユーザー操作
   Method (方法)	認証用に ［Pre-shared Key (事前共有鍵)］を選択します。
   Pre-shared Key (事前共有鍵)	QuWAN Orchestrator のルートベース VPN 接続設定ウィンドウから事前共有鍵をコピーし、それを事前共有鍵フィールドに貼り付けます。
   IKE Version (IKE バージョン)	IKE バージョンは、2を選択します。
   Mode (モード)	セキュアなアイデンティティ管理のために、［Main (ID Protection) (メイン (ID 保護))］を選択します。

   

   フェイズ 1 提案設定

   注意

   両方のデバイスの暗号設定と認証設定が一致していることを確認してください。

   設定	ユーザー操作
   Encryption (暗号化)	暗号化アルゴリズムとして［AES256］ を選択します。
   Authentication (認証)	認証として［SHA256］を選択します。
   Diffie-Hellman Groups (Diffie-Hellman グループ)	鍵交換グループとして 2、5、14、15、16、19、20、21などを選択します。
   Key Lifetime (鍵有効期間) seconds (秒)	暗号鍵が有効な期間を設定します (デフォルト：86400 秒)。
   Local ID (ローカル ID)	必要な場合は、ローカル ID を入力します。 ルートベース IPsec VPN 接続に対して Dynamic DNS (DDNS) サービスを使用している場合は、ローカル ID を FQDN 形式で設定する必要があります。

   

   XAUTH 設定

   設定	ユーザー操作
   Type (種類)	拡張認証が必要でない限り、［Disabled (無効)］を選択します。

   フェイズ 2 セレクター

   設定	ユーザー操作
   Local Address (ローカルアドレス)	ローカルネットワークを定義します (デフォルト：0.0.0.0/0)。
   Remote Address (リモートアドレス)	リモートネットワークを定義します (デフォルト：0.0.0.0/0)。

   

   フェイズ 2 設定

   設定	ユーザー操作
   Name (名前)	フェイズ 1 と同じ名前にするかまたは、必要であればそれを変更します。
   Comments (コメント) (オプション)	説明を追加します。
   Local Address (ローカルアドレス)	［Subnet (サブネット)］を選択して、ローカルネットワークの範囲を設定します。
   Remote Address (リモートアドレス)	［Subnet (サブネット)］を選択して、リモートネットワークの範囲を設定します。

5. ［OK］をクリックします。

FortiGate® デバイスが、IPSec VPN トンネルを作成します。

QuWAN に接続されたルーターを FortiGate® デバイスに接続するには、 ルートベース VPN 接続を設定する必要があります。この方法は、ルーティングポリシーに基づいて 2 つのネットワーク間でトラフィックを方向づける暗号化されたトンネルを確立します。ポリシーベース VPN とは異なり、ルートベース VPN は、ダイナミックルーティングと複数サブネットをサポートし、接続されているサイト間での正確なトラフィック制御と効率のよいデータ交換を実現します。

QuWAN Orchestrator でルートベース VPN 接続を設定する前に、ピアデバイスに適切な設定をする必要があります。これは、別のルーターやファイアウォールなど、VPN トンネルの対抗側にあるデバイスを指します。

1. QuWAN Orchestrator にログインします。
2. ［QuWAN トポロジー］ > ［ルートベース VPN］に進みます。
3. ［新規接続の作成］をクリックします。
   新規接続の作成 ウィンドウが表示されます。
4. 接続名を、1～64文字で指定します。
5. IPSec モードとして、［トンネルモード］を選択します。
6. トラフィックを経由させるハブと集中管理を選択します。
7. WAN インターフェイスポートを選択します。
8. リモートゲートウェイデバイスのパブリック IP アドレスまたはホスト名を指定します。
9. ［テスト接続］をクリックして、リモートゲートウェイ接続をテストします。
10. 事前共有キーを指定します。
    注意

    リモートデバイスの事前共有鍵は、QuWAN Orchestrator で設定されているものと同一にしてください。
11. 任意: ［詳細設定］をクリックし、ルートベース VPN に対する追加の設定オプションを出します。
12. Internet Key Exchange (IKE) の設定を行います。
    1. IKE のバージョンを選択します。
    2. 認証アルゴリズムを選択します。
    3. 適切な暗号化方式を選択します。
    4. Diffie-Hellman (DH) グループを選択します。
       注意

       DH グループは、通信の初期段階にプライベートキーを安全に確立するための暗号化強度を規定します。
    5. 鍵漏洩による暗号化リスクを低減するために、IKE Security Association (SA) 期間を規定します。
    6. 任意: リモートサイトの認証用に、ローカル ID (ドメイン名) を指定します。
    7. ルートベース VPN 接続のために DDNS が設定されている場合に限り、ローカル ID を提供します。
13. Encapsulating Security Payload (ESP、カプセル化セキュリティーペイロード) を設定します。
    1. 認証アルゴリズムを選択します。
    2. 適切な暗号化方式を選択します。
    3. 新しい DH 鍵を生成するために、［完全前方秘匿性 (PFS、Perfect Forward Secrecy) を有効にする］を選択します。
    4. DH グループを選択します。
    5. ESP SA 期間を規定します。
    6. 任意: ピアデバイスのアウテージを見つけ、対応するために、［デッドピア検出 (DPD、Dead Peer Detection) を有効にする］を選択します。
    7. DPD タイムアウト値を秒で指定します。
14. 任意: NAT デバイスがネットワークに存在する場合に、VPN 接続が正しく機能するよう、［NAT モードを有効にする］ を選択します。
    1. NAT トラバーサルを有効活用するために、ローカルトンネル IP アドレスを指定します。
15. 任意: サイトサブネット設定:
    1. ［サイトサブネット］の下で、［サブネットの追加］をクリックします。
    2. サイトサブネットを指定します。
    3. 説明を指定してください。
    4. をクリックします。
16. ［作成］をクリックします。
    QuWAN Orchestrator が、ルートベース VPN 接続を作成します。
17. QuWAN トポロジー/ルートベース VPNページにある、FortiGate® ルートベース VPN 接続を見つけます。
18.  をクリックし、ルートベース VPN 接続を有効にします。

QuWAN Orchestrator が、QNAP ルーターと Fortinet® FortiGate® デバイスの間で、サイトツーサイト VPN 接続を確立します。