株式会社ネットワールドのエンジニアがお届けする技術情報ブログです。
各製品のエキスパートたちが旬なトピックをご紹介します。

トップ > Fortinet > 【Fortinet】SSL-VPN機能の廃止!IPSecVPNへのスムーズな移行方法について
最終更新日

【Fortinet】SSL-VPN機能の廃止!IPSecVPNへのスムーズな移行方法について

Fortinet

皆様、こんにちは!
ネットワールドSE  西日本技術部の小田です。

Fortinet社よりFortiOS 7.6.3においてSSL-VPNの機能廃止が
公式に発表されました。

docs.fortinet.com

FortiGateを利用している多くの方にとって、切り替えを行うのは容易ではなく、
今後、管理者の悩みの種となりそうです。

「SSL-VPNで利用しているユーザー認証や二要素認証が使えなくなるのでは?」と心配される方もいらっしゃるでしょうが、ご安心ください。

費用をかけず、VPNソフトの入れ替えもせずに、
並行して切り替えることができます。

今回は、IPSec-VPNへの簡単な移行方法についてご紹介します。
移行に際しては、

クライアント証明書認証つかえるの?
メール認証つかえるの?
FortiToken認証使えるの?

などの不安要素があると思いますが、ホストチェック機能以外は
既存同様利用できます!
※ホストチェック機能は、別途EMSサーバが必要となるため、今後、ご紹介します。

さらに、SSL-VPNを利用しながらIPSec-VPNに順次移行も可能なため、
業務への影響もありません。

加えて、IPSec-VPNに変更することでSSL-VPNを狙った脆弱性攻撃への
対策にもなるという、うれしい特典もあります。

今回は、誰でもできるようにローカルユーザーを用いた事前共有鍵方式での
設定手順をご紹介します。

それでは、さっそくリモート接続用のIPSec-VPNの設定です。

目次

■FortiGate

1.ユーザーグループの作成

「ユーザ&認証」>「ユーザグループ」>「新規作成」を選択し

SSL-VPNで利用しているユーザ全てをグループとして登録します。

 

※下図ではローカルユーザーの「test」「test1」を「IPsec-Group」に所属させます。

 

2.リモート接続用IPSecトンネルの作成

メインメニューの「VPN」>「新規作成」>「IPSecトンネル」を選択します。

 

3.VPN作成ウィザードの設定

3-1 ウィザードに従って以下の項目を設定し「次へ」を選択します。

・名前:任意の名称

・テンプレートタイプ:リモートアクセス

・リモートデバイスタイプ:クライアントベース及びFortiClient

 

3-2 認証設定画面になるので以下を入力し「次へ」を選択します。

 

・着信インターフェース:接続されるインターフェース

・認証方式:事前共有鍵

・事前共有鍵:任意の文字列

・ユーザグループ:最初に作成したユーザグループ

 

3-3 ポリシー&ルーティング画面になるので以下を設定して「次へ」を選択します。

 

・ローカルインターフェース:接続先インターフェース

・ローカルアドレス:接続先IPアドレス

 ※上記2項目はトンネル作成後ファイアウォールポリシーでも追加出来ます。

・クライアントアドレス範囲:リモート端末に割り当てるIPアドレス範囲

・サブネットマスク:リモート端末に割り当てるサブネットマスク

・DNSサーバ:リモート端末に割り当てるDNSサーバアドレス

・IPv4スプリットトンネリングを有効化:全ての通信をFortiGateに向ける場合は無効

・エンドポイント登録を許可:デフォルト

 

3-4 クライアントオプション画面はそのまま「次へ」を選択します。

 

3-5 設定の確認画面が表示されるのでそのまま「作成」を選択し

   「VPNが設定されました」と表示されるのを確認します。

※作成されたアドレス名を控えておきましょう。

4.IPSecトンネルの編集

4-1 「VPN」>「IPSecトンネル」画面にて作成したトンネルが作成されてるので

  クリックし「編集」を選択します。

 

4-2 トンネルテンプレートに「カスタムトンネルへコンバート」ボタンがあるので

  選択してカスタム画面にコンバートします。

 

4-3 通常の設定画面になるので以下の項目を変更し「OK」を選択します。

・ピアオプション:「特定のピアID」及び「任意のID番号」

 ※IPSecトンネルを複数利用する場合は設定が必要です※

・フェーズ1、フェーズ2の暗号化レベル及び認証レベル

 ※必要に応じて変更してください。

5.ファイアウォールポリシーの追加

 ファイアウォールポリシー画面でSSL-VPN様に設定されたポリシーを参考に

 IPSec用のポリシーも追加します。

 

これでFortiGate側の設定は完了です。

次はFortiClient側の設定を追加しましょう!

 

■FortiClient

1.FortiClientのメイン画面から「新規接続の追加」を選択します。

 

2.「IPSec-VPN」を選択しFortiGate側で設定した内容と同じ値を入力し「保存」を選択します。

・VPN:IPSec-VPN

・リモートGW:接続先グローバルIPアドレス

・認証方法:事前共有鍵及びFortiGateで設定した文字列

 

フェーズ1及びフェーズ2の設定でもFortiGateで設定した内容と一致するように

してください。

※DHグループは複数選択すると接続エラーになるので必ず一つのみ選択してください。

 

これで全ての設定が完了しました!

では実際に接続を試して見ましょう。

 

■接続確認

まずはFortiClientを開いて設定したVPNを選択しユーザー名とパスワードを入力し

「接続」を選択します。

※ユーザー名とパスワードを入力しないと接続も出来ないのでご安心下さい


問題無く接続が出来てますね!

 

FortiGateのモニタ画面でもちゃんとIPSec-VPNで接続されている事が確認出来ました




初回のみSSL-VPNより設定量は多いですが、一度設定してしまえば利用者側は

SSL-VPN、IPSec-VPNを意識することなく同じ操作で利用する事が出来ます。

 

二要素認証等を含めた構築は弊社で構築対応可能ですので
弊社営業までご連絡ください。

EMSサーバについて別ブログでご案内させて頂きます。

 

2025/05/14 追記

※特定のキャリア回線によってはIPSec-VPN通信が制限されている可能性がありますのでご注意ください。

 

免責事項

  • 本書は、株式会社ネットワールド(以下 弊社)が作成・管理します。
  • 本書の記載内容の一部または全部を弊社に無断で改変・転載することを禁じます。
  • 本書の記載内容は、一部または全部が将来予告無く変更されることがあります。
  • 本書の利用は、利用者様の責任において行われるものとします。
  • 本書の記載内容には、最善の注意を払っておりますが、正確性・完全性を保証するものではありません。
    従いまして、本書の利用によって生じたあらゆる損害に関して、弊社は一切の責任を負いません。