Fortigate Firewallを使用したセキュアアクセスの設定

ダウンロード オプション

  • PDF     (2.3 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (2.1 MB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (1.5 MB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2026 年 6 月 4 日
Document ID:222270

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

はじめに

このドキュメントでは、Fortigate Firewallを使用してセキュアアクセスを設定する方法について説明します。

前提条件

要件

次の項目に関する知識があることを推奨しています。

  • Fortigate 7.4.xバージョンのファイアウォール
  • セキュアなアクセス
  • Cisco Secure Client:VPN(トンネルモード)
  • Cisco Secureクライアント – ZTNA
  • クライアントレスZTNA

使用するコンポーネント

このドキュメントの情報は、次のハードウェアに基づくものです。 

  • Fortigate 7.4.xバージョンのファイアウォール
  • セキュアなアクセス
  • Cisco Secure Client:VPN(トンネルモード)
  • Cisco Secureクライアント – ZTNA

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

バックグラウンド情報

Cisco Secure Access Fortinet Image

シスコは、プライベートアプリケーション(オンプレミスとクラウドベースの両方)を保護し、アクセスを提供するセキュアなアクセスを設計しました。また、ネットワークからインターネットへの接続も保護します。これは、複数のセキュリティ方式とレイヤの実装によって実現されます。すべての目的は、クラウドを介してアクセスされる情報を保持することです。

設定

セキュアアクセスでのVPNの設定

1. Secure Accessの管理パネルに移動します。

Network Tunnel Groups

2. Connect > Network Connections > Network Tunnels Groupsの順にクリックします。

Network Connections and Network Tunnel Groups

3. Network Tunnel Groupsの下で、+Addをクリックします。

+Add Network Tunnel Groups

4. トンネルグループ名リージョン、およびデバイスタイプを設定します。

5. Nextをクリックします。

Naming Convention for Tunnel Group

note-icon

:ファイアウォールの場所に最も近い地域を選択してください。

6.トンネルIDの形式パスフレーズを設定します。

7. Nextをクリックします。

Tunnel ID and Passphrase

8. ネットワーク上で構成したIPアドレス範囲またはホストを構成し、トラフィックをセキュアアクセス経由で渡します。

9. Saveをクリックします。

Routing Options and Network Overlaps

10. Saveすると、トンネルに関する情報が表示されます。次のステップ「FortigateでVPNサイト間を設定する」でこの情報を保存します。

トンネルデータ

Data for Tunnel Setup

FortigateでのVPNサイト間の設定

1. Fortigateダッシュボードに移動します。

2. VPN > IPsec Tunnelsの順にクリックします。

VPN IPsec Tunnels

3. Create New > IPsec Tunnelsの順にクリックします。

Create New IPsec Tunnel

4. Customをクリックし、Nameを設定し、Nextをクリックします。

Custom VPN Setup

次の図では、ネットワークの設定方法を示します。

ネットワーク

Advanced Configurations

ネットワーク

  • IP Version:IPv4
  • リモートゲートウェイ:固定IPアドレス
  • IP Address:トンネルデータで提供されるプライマリIPデータセンターのIPアドレスを使用します。
  • Interface:トンネルの確立に使用するWANインターフェイスを選択します
  • ローカルゲートウェイ:デフォルトでは無効
  • Mode Config:デフォルトで無効
  • NATトラバーサル:有効
  • キープアライブ頻度:10
  • デッドピア検出:アイドル時
  • DPD再試行回数:3
  • DPD再試行間隔:10
  • Forward Error Correction:チェックボックスはオンにしないでください
  • Advanced...:設定手順については、フェーズ2を参照してください

ここで、IKE 認証を設定します。

認証

Authentication Pre-Shared Key

  • 認証 
    • 方式:デフォルトの事前共有キー
    • 事前共有キー:トンネルデータの手順で提供されたパスフレーズを使用します 
  • IKE 
    • バージョン:バージョン2を選択します。
note-icon

:セキュアアクセスはIKEv2のみをサポートしています。

次に、フェーズ1プロポーザルを設定します。

フェーズ1提案

Phase 1 Proposal Configuration Settings

  • フェーズ1提案 
    • Encryption:AES256を選択します。
    • Authentication:SHA256を選択
    • Diffie-Hellman Groups:20だけを選択してください。複数を選択すると、後で問題が発生する可能性があります
    • Key Lifetime(秒):デフォルトで86400
    • ローカルID:Tunnel Dataステップで指定したプライマリトンネルIDを使用します 

ここで、Phase 2 Proposalを設定します。

フェーズ2の提案

Phase 2 Configuration Settings - Subnet

  • 新しいフェーズ2
    • Name:デフォルトのままにします(この値はVPN接続名と一致します)。
    • Local Address:デフォルト(0.0.0.0/0.0.0.0)のままにします。
    • リモートアドレス:デフォルト(0.0.0.0/0.0.0.0)にする
  • 詳細 
    • Encryption:AES128を選択します。
    • Authentication:SHA256を選択
    • リプレイ検出の有効化:デフォルトのままにする(有効)
    • Perfect Forward Secrecy(PFS)の有効化 チェックボックスをオフにします
    • Local Port:デフォルト(Enabled)のままにする
    • Remote Port:デフォルト(Enabled)のままにする
    • Protocol:デフォルト(Enabled)のままにします
    • 自動ネゴシエート:デフォルトのままにする(マークなし)
    • Auto-key Keep Alive:デフォルトのままにする(マーキングなし)
    • Key Lifetime:デフォルト(秒)のままにする
    • Seconds:デフォルトのままにする(43200)

その後、OKをクリックします。これで、セキュアアクセスを使用してVPNが確立されました。次のステップ「トンネルインターフェイスの設定」に進みます。

WAN

トンネルインターフェイスの設定

トンネルが作成されると、セキュアアクセスと通信するためのWANインターフェイスとして使用しているポートの背後に、新しいインターフェイスが表示されます。 

1. これを確認するには、Network > Interfacesの順に選択します。

FortiGate Interface

2. セキュアアクセスとの通信に使用するポートを展開します。この場合は、WANインターフェイスです。

WAN - Physical Interface + CSA - Tunnel Interface

3. Tunnel Interfaceをクリックし、Editをクリックします。

FortiLink Tunnel Interface

4. 設定を構成するには、図を参照してください。

インターフェイス設定 

  • IP:ネットワークに存在しないルーティング不能IPを設定します(例:169.254.0.1)。
  • リモートIP/ネットマスク:リモートIPをインターフェイスIPの次のIPとして設定し、ネットマスクを30にします(たとえば、169.254.0.2 255.255.255.252)。

5. OKをクリックして設定を保存し、次のステップポリシールートの設定(起点ベースルーティング)に進みます。

RemoteIP Netmask

warning-icon

警告:完了後、FortiGateファイアウォールポリシーを構成して、デバイスからセキュアアクセスへのトラフィックと、セキュアアクセスから宛先ネットワークへのトラフィックを許可します。

ポリシールートの設定

この時点で、VPNがセキュアアクセスに設定され、確立されています。次に、トラフィックをセキュアアクセスに再ルーティングして、トラフィックまたはFortiGateファイアウォールの背後にあるプライベートアプリケーションへのアクセスを保護する必要があります。

1. Network > Policy Routesの順に移動します。

Network Policy Routes

2. ポリシーを設定します。

Incoming Traffic Configuration Settings

  • 着信トラフィックが一致した場合:
    • Incoming Interface:トラフィックをセキュアアクセス(トラフィックの発信元)に再ルーティングするインターフェイスを選択します。
  • 送信元アドレス
    • IP/ネットマスク:インターフェイスのサブネットだけをルーティングする場合にこのオプションを使用します。
    • アドレス:オブジェクトが作成されていて、トラフィックの送信元が複数のインターフェイスと複数のサブネットにある場合に、このオプションを使用します。
  • 宛先アドレス
    • Addresses:インターネットトラフィックを保護する場合はallを選択します。プライベートアクセスを行うには、VPN Profile IP PoolCGNAT Range 100.64.0.0/10を追加する必要があります。
    • Protocol:ANYを選択します。
  • Then 
    • アクション:転送トラフィックの選択
  • Outgoing Interface:Configure Tunnel Interfaceステップで変更したトンネルインターフェイスを選択します。
  • Gateway Address:RemoteIPNetmaskステップで設定したリモートIPを設定します。
  • Status:Enabledを選択します。

3. OKをクリックして構成設定を保存します。デバイスへのトラフィックがセキュアアクセスに再ルーティングされたかどうかを確認します。 

確認

トラフィックがからセキュアアクセスに再ルーティングされたかどうかを確認するには、インターネット上で確認してパブリックIPを確認するか、curlでコマンドを実行するという2つの方法があります。

C:\Windows\system32>curl ipinfo.io
{
  "ip": "151.186.197.1",
  "city": "Frankfurt am Main",
  "region": "Hesse",
  "country": "DE",
  "loc": "50.1112,8.6831",
  "org": "AS16509 Amazon.com, Inc.",
  "postal": "60311",
  "timezone": "Europe/Berlin",
  "readme": "https://ipinfo.io/missingauth"
}

トラフィックを確認できるパブリック範囲は次のとおりです。

  • 最小ホスト:151.186.176.1 
  • 最大ホスト数:151.186.207.254
note-icon

:これらのIPは変更される可能性があります。シスコは将来この範囲を拡張できます。

パブリックIPアドレスが変更された場合は、セキュアアクセスによって保護されていることを意味します。VPNaaSまたはZTNAからアプリケーションにアクセスするように、セキュアアクセスダッシュボードでプライベートアプリケーションを設定できます。

更新履歴

改定 発行日 コメント
2.0
04-Jun-2026
スペルチェック、文法、文章の構造、代替テキストの編集、番号付けを更新。
1.0
02-Aug-2024
初版
TAC Authored

シスコ エンジニア提供

  • ジャイロモレノ
    TAC

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ

このドキュメントは次の製品に対応しています