FortiGateでIPSec VPN設定時にハマったリモートアドレスへのアクセス
以前FortiGate間でIPSec VPNを張ったら、VPNは張れているのに、サーバからサーバへアクセスができない!という事象が発生した。正しい方法か分からないがアクセスできるようになる方法を記載しておく。
ネットワーク構成
後ほど図を載せるが、簡単に説明する。
拠点Aと拠点BのFortiGate間をIPSec VPNで結ぶ。拠点AにはLANが1つあり、拠点Bには2つある。拠点BのLANはL3スイッチを隔てて存在しており、FortiGateがセグメントを持つのはそのうちのひとつである。
ハマった内容
拠点AのPCから拠点BのL3スイッチの向こうのサーバにアクセスできない。
経路を簡単に言うと、PCから送信されたPingは拠点AのFortiGateからVPNを通り拠点BのFortiGateへ。そのPingは拠点BのFortiGateにルーティングされてLANへ。その後拠点BのL3スイッチのルーティングにより、別のLANへ。こんな感じ。
解決策
文字で説明しても分からないのでさっさと図を載せる。
IPSec VPNの設定をしたことがある人ならご存知だと思うが、設定の中でローカルサブネットとリモートサブネットを設定する箇所がある。その設定の中で、拠点Bの2つのLANを含む必要がある、というのが今回の解決策。
調べたのだが、このようなケースは出てこず・・・。ゆえに「正しい方法かはわからないが、」と文頭に言わせてもらった。
上図の中では、Tokyo拠点のサブネットがシンプルなので、Tokyo拠点のLANをすべて含むようなビットでサブネットを切っている。
実際のVPNでは複数のローカルサブネットとリモートサブネットを登録できるので、そのように設定するのが正しいのかも?と思いつつ、私のチームの場合はこれで用件は満たしたし、納期も早めだったので「これでいいや!」ということになった。
こんにちは。仕事でVPNの設定をしていて、すごく気になるのですが、画像の確認をしてもらえませんか?少し見づらいです。。。
島田さん、コメントありがとうございます。画像、申し訳ありませんでした。修正したのでご確認頂けますか?
エンジニアの方でしょうか。一緒に頑張りましょう!