はじめに
このドキュメントでは、Fortigate Firewallを使用してセキュアアクセスを設定する方法について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- Fortigate 7.4.xバージョンのファイアウォール
- セキュアなアクセス
- Cisco Secure Client - VPN(トンネルモード)
- Cisco Secureクライアント – ZTNA
- クライアントレスZTNA
使用するコンポーネント
このドキュメントの情報は、次のハードウェアに基づくものです。
- Fortigate 7.4.xバージョンのファイアウォール
- セキュアなアクセス
- Cisco Secure Client - VPN(トンネルモード)
- Cisco Secureクライアント – ZTNA
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
シスコは、プライベートアプリケーション(オンプレミスとクラウドベースの両方)を保護し、アクセスを提供するセキュアなアクセスを設計しました。また、ネットワークからインターネットへの接続も保護します。これは、複数のセキュリティ方式とレイヤの実装によって実現されます。すべての目的は、クラウド経由でアクセスする情報を保持することです。
設定
セキュアアクセスでのVPNの設定
Secure Accessの管理パネルに移動します。
- クリック
Connect > Network Connections > Network Tunnels Groups
- 「
Network Tunnel Groups」で、 + Add
Tunnel Group Name
- 、
Regionの設定 Device Type
- クリック
Next
注:ファイアウォールの場所に最も近い地域を選択します。
Tunnel ID Format
- コマンドと
Passphrase
- クリック
Next
- ネットワークで設定したIPアドレス範囲またはホストを設定し、トラフィックをセキュアアクセス経由で通過させる
- クリック
Save
トンネルに関すSave る情報をクリックして表示した後、次の手順のためにその情報を保存してください。 Configure the VPN Site to Site on Fortigate.
トンネルデータ
FortigateでのVPNサイト間の設定
Fortigateダッシュボードに移動します。
- クリック
Create New > IPsec Tunnels
Custom
- をクリックし、
Name を設定して、Nextをクリックします。
次の図では、パーNetwork ツの設定を構成する方法を示します。
Network
Network
IP Version : IPv4
Remote Gateway :スタティック IP アドレス
IP Address:ステップTunnel Dataで指定Primary IP Datacenter IP Address,したIPアドレスを使用します。
Interface :トンネルの確立に使用する予定のWANインターフェイスを選択します
Local Gateway :デフォルトで無効
Mode Config :デフォルトで無効
NAT Traversal :Enable
Keepalive Frequency :10
Dead Peer Detection :オンデマンド
DPD retry count :3
DPD retry interval :10
Forward Error Correction :チェックボックスはオンにしないでください。
Advanced...:これをイメージとして設定します。
ここで、IKE Authenticationを設定します。
[Authentication]
Authentication
Method :デフォルトの事前共有キー
Pre-shared Key :手順「トンネルデータ」で指定したPassphraseを使用します。
IKE
注:セキュアアクセスはIKEv2のみをサポートします
次に、 Phase 1 Proposalを設定します。
フェーズ1の提案
Phase 1 Proposal
Encryption : AES256を選択
Authentication : SHA256を選択
Diffie-Hellman Groups :ボックス19と20をオンにします。
Key Lifetime (seconds) :デフォルトで86400
Local ID : Primary Tunnel IDを使用します。これは、トンネルデータ
次に、 Phase 2 Proposalを設定します。
フェーズ2の提案
New Phase 2
Name :デフォルトのままにする(VPNの名前から取得)
Local Address :デフォルトで許可(0.0.0.0/0.0.0.0)
Remote Address :デフォルトで許可(0.0.0.0/0.0.0.0)
Advanced
Encryption : AES128を選択
Authentication : SHA256を選択
Enable Replay Detection :デフォルトで許可(有効)
Enable Perfect Forward Secrecy (PFS) :チェックボックスのマークを外す
Local Port :デフォルトで許可(有効)
Remote Port:デフォルトで許可(有効)
Protocol :デフォルトで許可(有効)
Auto-negotiate :デフォルトにする(マークなし)
Autokey Keep Alive :デフォルトにする(マークなし)
Key Lifetime :デフォルトで許可(秒)
Seconds :デフォルトで許可(43200)
その後、[OK]をクリックします。数分後にセキュアアクセスを使用してVPNが確立されたことが表示され、次の手順に進むことができます。 Configure the Tunnel Interface.
トンネルインターフェイスの設定
トンネルが作成された後、セキュアアクセスと通信するためのWANインターフェイスとして使用しているポートの背後に、新しいインターフェイスがあることに気付きます。
これを確認するには、 Network > Interfacesに移動します。
セキュアアクセスとの通信に使用するポート(この場合はインターフWAN ェイス)を展開します。
Tunnel Interface をクリックし、 Edit
Interface Configuration
IP :ネットワークに存在しないルーティング不能IPを設定します(169.254.0.1)。
Remote IP/Netmask :リモートIPをインターフェイスIPの次のIPとして設定し、ネットマスクを30(169.254.0.2 255.255.255.252)に設定します。
その後、をクリックOK して設定を保存し、次のステップであるConfigure Policy Route (オリジンベースルーティング)に進みます。
警告:このパートの後、デバイスからセキュアアクセスへのトラフィック、およびセキュアアクセスからトラフィックをルーティングするネットワークへのトラフィックを許可または許可するために、FortiGateでファイアウォールポリシーを設定する必要があります。
ポリシールートの設定
この時点で、VPNがセキュアアクセスに設定され、確立されています。トラフィックをセキュアアクセスに再ルーティングして、トラフィックまたはFortiGateファイアウォールの背後にあるプライベートアプリケーションへのアクセスを保護する必要があります。
- 移動先
Network > Policy Routes
If Incoming traffic matches
Incoming Interface :セキュアアクセス(トラフィックの発信元)へのトラフィックの再ルーティングを計画したインターフェイスを選択します。
Source Address
IP/Netmask :このオプションは、インターフェイスのサブネットだけをルーティングする場合に使用します
Addresses :オブジェクトが作成されていて、トラフィックの送信元が複数のインターフェイスと複数のサブネットにある場合は、このオプションを使用します
Destination Addresses
Addresses:選択 all
Protocol:選択 ANY
Then
Action: Choose Forward Traffic
Outgoing Interface :手順「トンネルインターフェイスの設定」で変更したトンネルインターフェイスを選択します。
Gateway Address:ステップで設定したリモートIP(RemoteIPNetmask)を設定します。
Status :
Enabledを選択します
OK
をクリックして設定を保存すると、デバイストラフィックがセキュアアクセスに再ルーティングされたかどうかを確認できます。
確認
マシンのトラフィックがセキュアアクセスに再ルーティングされたかどうかを確認するには、インターネット上で確認してパブリックIPを確認する方法と、curlで次のコマンドを実行する方法の2つの方法があります。
C:\Windows\system32>curl ipinfo.io { "ip": "151.186.197.1", "city": "Frankfurt am Main", "region": "Hesse", "country": "DE", "loc": "50.1112,8.6831", "org": "AS16509 Amazon.com, Inc.", "postal": "60311", "timezone": "Europe/Berlin", "readme": "https://ipinfo.io/missingauth" }
トラフィックを確認できるパブリック範囲は次のとおりです。
Min Host:151.186.176.1
Max Host :151.186.207.254
注:これらのIPは変更される可能性があります。つまり、シスコは将来的にこの範囲を拡張する可能性があります。
パブリックIPアドレスが変更された場合は、セキュアアクセスによって保護されていることを意味し、セキュアアクセスダッシュボードでプライベートアプリケーションを設定して、VPNaaSまたはZTNAからアプリケーションにアクセスできます。