FortiGateでIPSec VPN設定時にハマったリモートアドレスへのアクセス

以前FortiGate間でIPSec VPNを張ったら、VPNは張れているのに、サーバからサーバへアクセスができない!という事象が発生した。正しい方法か分からないがアクセスできるようになる方法を記載しておく。

ネットワーク構成

後ほど図を載せるが、簡単に説明する。

拠点Aと拠点BのFortiGate間をIPSec VPNで結ぶ。拠点AにはLANが1つあり、拠点Bには2つある。拠点BのLANはL3スイッチを隔てて存在しており、FortiGateがセグメントを持つのはそのうちのひとつである。

ハマった内容

拠点AのPCから拠点BのL3スイッチの向こうのサーバにアクセスできない。

経路を簡単に言うと、PCから送信されたPingは拠点AのFortiGateからVPNを通り拠点BのFortiGateへ。そのPingは拠点BのFortiGateにルーティングされてLANへ。その後拠点BのL3スイッチのルーティングにより、別のLANへ。こんな感じ。

解決策

文字で説明しても分からないのでさっさと図を載せる。

IPSec VPNの設定をしたことがある人ならご存知だと思うが、設定の中でローカルサブネットとリモートサブネットを設定する箇所がある。その設定の中で、拠点Bの2つのLANを含む必要がある、というのが今回の解決策。

調べたのだが、このようなケースは出てこず・・・。ゆえに「正しい方法かはわからないが、」と文頭に言わせてもらった。

上図の中では、Tokyo拠点のサブネットがシンプルなので、Tokyo拠点のLANをすべて含むようなビットでサブネットを切っている。

実際のVPNでは複数のローカルサブネットとリモートサブネットを登録できるので、そのように設定するのが正しいのかも?と思いつつ、私のチームの場合はこれで用件は満たしたし、納期も早めだったので「これでいいや!」ということになった。

めっさん
  • めっさん
  • 当サイトの管理人。ニューヨークの大学を飛び級で卒業。その後日系企業でグローバル案件に携わる。大小様々な企業を転々としながら、マレーシアやアメリカへの赴任経験を持つ。バイリンガルITエンジニアとしていかに楽に稼ぐか日々考えている。年齢は秘密だけど定年も間近かな。

2件のコメント

  • こんにちは。仕事でVPNの設定をしていて、すごく気になるのですが、画像の確認をしてもらえませんか?少し見づらいです。。。

    • 島田さん、コメントありがとうございます。画像、申し訳ありませんでした。修正したのでご確認頂けますか?
      エンジニアの方でしょうか。一緒に頑張りましょう!

コメントする

メールアドレスが公開されることはありません。 が付いている欄は必須項目です