こんにちは、saeです。
AWS環境へのFortigateでのVPN(IPsec)接続の注意点を書いてみました。
AWS側の設定後にダウンロードするGUIベースの設定情報(BGPではなく、スタティック)を元に設定を行ったのですが、幾つか注意点や不明点がありましたので参考情報として記載します。
1.利用するFortigate のバージョンを合わせます
Fortigateの設定情報は幾つかのOSバージョンをダウンロードできますが、できれば設定情報のバージョンを合わせることをお勧めします。
記載された設定手順やコマンドがバージョンによって異なることがあるので、混乱することがあります。
2. VPNの設定手順で記載のない項目がある
Fortigateの設定では手順にない項目が幾つかあります。
その中でも、「モード設定」は、ダイアルアップユーザの為の項目であり、チェックすると、フェーズ2がアップしなくなります。
Under “Network” Section:
a. IP Version: IPv4
b. Remote Gateway: Static IP Address
c. IP address: *.*.*.*
d. Local Interface: wan1
e. Local Gateway: Select Specify and enter WAN port IP (Public IP)
f. Dead Peer Detection: Enable by selecting On Idle/ On Demand
3. Static Route Configurationの設定数値がなぜか「example」
Static Route Configurationの設定値の記載は実際の設定値ではなく、例示となっています。
この設定項目は、AWS側のサーバーのサブネットとなるのですが、この設定項目までは、具体的な設定値が記載されていたので、今回の項目もそう思って、そのまま設定すると誤った設定となります。
! #4 Static Route Configuration
Your Customer Gateway needs to set a static route for the prefix corresponding to your
! VPC to send traffic over the tunnel interface.
! An example for a VPC with the prefix 10.0.0.0/16 is provided below:
!
! This is configured from the root VDOM
Go to Network Tab --> Static Routes --> Create New
a. Destination: Subnet (10.0.0.0/16)next
4. 設定できないCLIコマンドがある
CLIコマンドの設定項目もあるのですが、なぜか設定できない項目もありますが、そのまま設定を進めても大きく影響することはありませんでした。