異機種間IPsec FortiGate 60D – RTX810

異機種間のIPsec接続は得てして苦労しますが、IKEv2なら比較的すんなり接続できることが多いです。今回FortiGate 60DとRTX810をIKEv2のIPsecで接続してみましたので、その設定例を紹介したいと思います。

構築環境

FortiGate 60Dのファームウェアはv6.0.5、RTX810のファームウェアはRev.11.01.33となります。NATを挟まない環境で、お互い動的IPをDDNS登録している前提で、接続環境を構築しました。

FortiGate 60Dのconfig

wan1のアドレスはdhcpで取得(初期config)、internalのアドレスは192.168.100.1/24としています。

config system interface
    edit "wan1"
        set mode dhcp
    next
    edit "internal"
        set ip 192.168.100.1 255.255.255.0
    next
end

IPsec関連とFirewallの設定は以下となります。

config vpn ipsec phase1-interface
    edit "to rtx810"
        set type ddns
        set interface "wan1"
        set ike-version 2
        set peertype any
        set proposal aes128-sha1
        set localid "fortigate.example.com"
        set dhgrp 2
        set remotegw-ddns "rtx810.example.com"
        set psksecret presharedkey
    next
end

config vpn ipsec phase2-interface
    edit "to rtx810"
        set phase1name "to rtx810"
        set proposal aes128-sha1 aes256-sha1 aes128-sha256 aes256-sha256
        set dhgrp 2
        set src-subnet 192.168.100.0 255.255.255.0
        set dst-subnet 192.168.200.0 255.255.255.0
    next
end

config firewall policy
    edit 2
        set srcintf "internal"
        set dstintf "to rtx810"
        set srcaddr "all"
        set dstaddr "all"
        set action accept
        set schedule "always"
        set service "ALL"
    next
    edit 3
        set srcintf "to rtx810"
        set dstintf "internal"
        set srcaddr "all"
        set dstaddr "all"
        set action accept
        set schedule "always"
        set service "ALL"
    next
end

最後にstatic routeを設定してFortiGate 60Dの設定は終わりです。

config router static
    edit 1
        set dst 192.168.200.0 255.255.255.0
        set device "to rtx810"
    next
end

RTX810のconfig

基本YAMAHAのページの設定例通りです。LAN2はDHCPでアドレス取得、LAN1は192.168.200.1/24としています。

ip route default gateway dhcp lan2
ip route 192.168.100.0/24 gateway tunnel 1
ip lan1 address 192.168.200.1/24
ip lan2 address dhcp
ip lan2 secure filter in 1000 1010 1020 2000
ip lan2 secure filter out 3000 dynamic 100 101
ip lan2 nat descriptor 1
tunnel select 1
 ipsec tunnel 1
  ipsec sa policy 1 1 esp
  ipsec ike version 1 2
  ipsec ike keepalive log 1 off
  ipsec ike keepalive use 1 on
  ipsec ike local name 1 rtx810.example.com fqdn
  ipsec ike pre-shared-key 1 text presharedkey
  ipsec ike remote name 1 fortigate.example.com fqdn
 ip tunnel mtu 1438
 ip tunnel tcp mss limit auto
 tunnel enable 1
ip filter 1000 pass * 192.168.200.0/24 icmp
ip filter 1010 pass * 192.168.200.1 udp * 500,4500
ip filter 1020 pass * 192.168.200.1 esp
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * tcp
ip filter dynamic 101 * * udp
nat descriptor type 1 masquerade
nat descriptor address outer 1 primary
nat descriptor masquerade static 1 1 192.168.200.1 udp 500
nat descriptor masquerade static 1 2 192.168.200.1 udp 4500
nat descriptor masquerade static 1 3 192.168.200.1 esp
ipsec auto refresh on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.200.2-192.168.200.191/24

スループット

上記configでIPsecはAES128-SHA1で接続確立し、CentOS間でiperf3を実行したところスループットは185Mbpsでした。IPsecの能力的にはFortiGate 60Dは十分高速、RTX810はあまり速くないので、RTX810の性能に引っ張られる形であまりいい結果はでませんでした。RTX810のIPsecスループットで検証した結果と同じですね。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です