皆さん、こんにちは。
ネットワールドSE 西日本技術部の小川です。
今回は FortiGate の IPsec VPN(IKEv1 Aggressiveモード)と Passlogic の マトリックス認証を組み合わせた構成について、実際の設定例と注意点を交えてご紹介します。
- はじめに
- Passlogicとは?
- FortiGate + Passlogic による IPsec VPN 基本構成
- FortiGate IPsec VPN (ike バージョン1)設定
- Passlogic の基本構成
- Passlogic 設定
- FortiClient の IPsec VPN 接続設定
- FortiClient からの接続確認手順
- 認証ログと接続ステータスの確認手順
- IPsec VPN 接続トラブル時の確認方法
はじめに
FortiGate バージョン 7.6.3 以降では SSL-VPN 機能が廃止されたため、今後は IPsec VPN への移行を検討されるケースが増えてくると考えられます。
より安全な認証方式を導入したい方に向けて、FortiGate と Passlogic を組み合わせた、セキュアな VPN 接続構成をご紹介します。
※SSL-VPN から IPsec-VPN の移行に関しては、こちらの記事を参考にして下さい。
Passlogicとは?
Passlogic は、**パスワードレス・デバイスレス・ワンタイムパスワードによる多要素認証(MFA)**を提供する認証プラットフォームです。
ユーザーは事前に決めた「パターン」に沿って乱数表から数字を読み取ることで認証するため、よりセキュアな環境を構築できます。
FortiGate + Passlogic による IPsec VPN 基本構成
■ 今回検証に使用した機器情報
| 機器名 | バージョン / 備考 |
|---|---|
| FortiGate | FortiOS 7.6.4 |
| Passlogic | 6.1.0 |
| クライアント端末 | Windows 11 / FortiClient 7.4.3 |
■ 認証フロー(参考)
FortiGate IPsec VPN (ike バージョン1)設定
■ Passlogic 用の RADIUS 設定
config user radius
edit "Passlogic-Radius" # 任意の名前
set server "192.168.1.253" # Passlogic 認証サーバのIP
set secret ***** # RADIUS シークレットキー
set auth-type pap # PAP指定(autoでも可)
set source-ip-interface "port2" # 任意(指定しなくても可)
next
end
■ RADIUS ユーザグループの作成
config user group
edit "Passlogic-Radius-Group" # ユーザグループ名
set member "Passlogic-Radius" # 作成したRADIUSを指定
next
end
■ IPsec VPN フェーズ1インタフェースの設定
config vpn ipsec phase1-interface
edit "ipsec-tunnel" # 任意の名前
set type dynamic
set interface "port1" # WAN側インタフェース
set mode aggressive # アグレッシブモード
set peertype any
set net-device disable
set mode-cfg enable # Mode-Cfg 有効化
set ipv4-dns-server1 10.20.1.1 # 社内DNS
set proposal aes128-sha256 aes256-sha256 aes128-sha1 aes256-sha1 # 暗号化方式
set dhgrp 20 # DHグループ
set xauthtype auto # XAuth 有効化
set authusrgrp "Passlogic-Radius-Group" # 認証グループ指定
set ipv4-start-ip 192.168.255.1 # IP払い出し開始
set ipv4-end-ip 192.168.255.254 # IP払い出し終了
set ipv4-netmask 255.255.255.0 # サブネットマスク
set ipv4-split-include "subnet_192.168.1.0" # 特定のサブネットだけVPN接続したい場合
set unity-support disable
set psksecret ***** # 事前共有キー
next
end
■ IPsec VPN フェーズ2インタフェースの設定
config vpn ipsec phase2-interface
edit "ipsec-tunnel-ph2" # 任意の名前
set phase1name "ipsec-tunnel" # フェーズ1インタフェース指定
set proposal aes128-sha256 aes256-sha256 # 暗号化方式
set dhgrp 20 # DHグループ
next
end
■ ファイアウォールポリシーの作成(VPN用)
config firewall policy
edit 0
set name "Remote VPN" # ポリシー名(任意)
set srcintf "ipsec-tunnel" # VPNインタフェース
set dstintf "port2" # 社内LANインタフェース
set action accept # 通信許可
set srcaddr "all" # 送信元アドレス
set dstaddr "subnet_192.168.1.0" # 宛先アドレス
set schedule "always"
set service "ALL" # 許可するサービス
set logtraffic all # ログ出力(任意)
set nat enable # NAT有効(任意)
next
end
Passlogic の基本構成
Passlogic は、セキュリティを重視した分離構成(ゲートウェイサーバ+認証サーバ)を基本としています。冗長構成にも対応しており、必要に応じてロードバランサーを組み合わせることが可能です。
クラウド版の提供もあり、運用形態に応じて柔軟に選択できます。
Passlogic 設定
今回は、Passlogic を **オンプレミス環境にて分離構成(ゲートウェイサーバ+認証サーバ)**で構築した事例です。
ゲートウェイサーバと認証サーバはすでにインストール済みの環境を前提としており、この記事ではその後の FortiGate との連携手順にフォーカスしています。
■ 認証サーバにログイン
ブラウザで以下のURLにアクセスします。
https://<認証サーバIPアドレス>:8443/passlogic-admin/
管理者はマトリックス型パターン認証でログインします。
■ RADIUS クライアントの登録(FortiGate)
- 管理画面で [RADIUS] → [RADIUS設定] を開きます。
- [追加] をクリックします。
- 以下の情報を入力:
- 識別名(任意)
- IPアドレス(FortiGate の LAN 側 IP)
- シークレットキー(FortiGate 側と一致させる)
- [次へ] をクリックします。
- 入力内容を確認して、[登録]をクリックします。
■ ユーザーの作成
- [ユーザー管理] → [新規作成] をクリック
※CSV によるユーザー一括登録も可能です
- ユーザー情報を入力します。(例:ユーザーID「passlogic」、ポリシーは「Default Policy」)
- 下へスクロールして初期パスワードを設定します。
- [次へ]をクリックします。
- ユーザー設定内容を確認をして、[登録]をクリックします。
- [通知書をメール] をクリックし、ユーザーに通知します。
■ Webトークンの有効化
- [設定] → [ポリシー設定] をクリックします。
- 「Default Policy」 → [編集] をクリックします。
- 下へスクロールして、[Web Tokenを使用する際には有効にしてください]にチェックします。
■ ユーザーによるパスワード(パターン)変更
- ユーザーに通知メールが届きます。
- メール内のURL(例:
https://<ゲートウェイサーバのFQDN>/ui)にアクセスします。
<初期パスワードを入力>
<3回パスワードを入力>
<完了>
FortiClient の IPsec VPN 接続設定
■ FortiClient のインストール
Fortinet サポートサイトから FortiClient 7.4.3 をダウンロードしてインストールします。
Product Downloads | Fortinet Product Downloads | Support
■ VPN 設定の開始
- FortiClient を起動します。
- [VPN設定] をクリックします。
- [IPsec VPN] を選択し、接続名やゲートウェイ情報を入力します。
- [+詳細設定] → [VPN設定] を開き、必要な項目を入力します。
■ フェーズ1の設定
- [フェーズ1] タブを開きます。
- IKE プロポーザルと DH グループを設定します。
- FortiGate の IPsec VPN 設定に合わせて選択します。
■ フェーズ2の設定
- [フェーズ2] タブを開きます。
- IKE プロポーザルと DH グループを設定します。
- こちらも FortiGate 側の設定に合わせて選択します。
■ 設定の保存
すべての項目を確認後、[保存] をクリックして設定完了です。
※FortiEMS を使えば FortiClient の運用が楽になります。詳細については下記のブログを参考にしてください。
FortiClient からの接続確認手順
■ Webトークンにアクセス
ユーザーは以下のURLにアクセスして、マトリックス認証を開始します。
https://<ゲートウェイサーバFQDN>/ui/token.php?uid=<ユーザーID> 
■ FortiClient で接続
FortiClient を起動し、以下の情報を入力します。
- ユーザーID
- パスワード(マトリックス認証で表示された数字を入力)
■ 接続完了
認証が成功すると、IPsec VPN 接続が確立され、社内ネットワークへのアクセスが可能になります。
この手順により、Passlogic のマトリックス認証と FortiGate の IPsec VPN を組み合わせたセキュアな接続が確認できます。
認証ログと接続ステータスの確認手順
■ Passlogic 認証ログの確認
- 管理画面にログインします。
- メニューから [ログ閲覧] をクリックします。
- 対象ユーザーの認証履歴を確認します。
ログには、認証成功・失敗の履歴や、接続元情報などが記録されます。
■ FortiGate VPN 接続ステータスの確認
接続状況の確認
- FortiGate 管理画面の [ダッシュボード] → [ネットワーク] をクリックします。
- [IPsec] のウィジェットをダブルクリックします。
- VPN 接続状況が一覧表示され、カーソルを合わせると詳細が確認可能です。
VPN ポリシーのトラフィック確認
- [ダッシュボード] → [FortiView ポリシー] をクリックします。
- VPN 用ファイアウォールポリシーをダブルクリックします。
- 接続中ユーザーの送信元 IP アドレスを確認できます。
セッションログの確認
- 宛先をさらにダブルクリックします。
- [セッションログを表示] をクリックします。
- 時系列でログを確認できます。
この手順により、Passlogic 側の認証状況と FortiGate 側のVPN接続状況を両方から確認でき、トラブルシューティングや運用監視に役立ちます。
IPsec VPN 接続トラブル時の確認方法
VPN 接続がうまくいかない場合は、FortiGate のコンソールにログインし、IKE(IPsec)関連のデバッグログを取得することで、原因を特定できます。
■ デバッグログの取得手順
- FortiGate CLI にログインします。
- 以下のコマンドを順に実行します。
diag debug application ike -1
diag debug enableこれで、IPsec VPN の接続処理に関する詳細ログが表示されます。認証失敗や設定ミスなど、どこで接続が止まっているかを確認できます。
■ デバッグログの停止
ログの出力を止めるには、以下のコマンドを実行します。
diag debug disable
最後までご覧いただき、ありがとうございました。
この構成が、より安全で安定したリモートアクセス環境の構築に役立てば幸いです。
免責事項
- 本書は、株式会社ネットワールド(以下 弊社)が作成・管理します。
- 本書の記載内容の一部または全部を弊社に無断で改変・転載することを禁じます。
- 本書の記載内容は、一部または全部が将来予告無く変更されることがあります。
- 本書の利用は、利用者様の責任において行われるものとします。
- 本書の記載内容には、最善の注意を払っておりますが、正確性・完全性を保証するものではありません。
従いまして、本書の利用によって生じたあらゆる損害に関して、弊社は一切の責任を負いません
