LoginSignup
0
0
@fmIt_2020(M F)

【FortiGate】IPSec-VPNモニタリング設定について

Posted at

IPSec-VPNモニタリング機能

VPN接続をする際に冗長性を持たせるためにメイン/バックアップの2つのトンネルを用意することがしばしばあります。
接続先の障害で切り替わりしますが、ルーティングのメトリックのようなIPでの確認切り替わりだけでなく、トンネルのダウンがおきた時点で可能な限りすぐに切り替わってほしいのでモニタリング機能を整理しました。

設定方法

基本設定

モニタリング設定は「vpn ipsec phase1-interface」内のインタフェース設定で行います。

設定例
config vpn ipsec phase1-interface
    edit "VPN_main"
        set interface "port1"
        set peertype any
        set net-device disable
        set proposal aes128-sha256 aes256-sha256 aes128-sha1 aes256-sha1
        set dpd on-idle
        set remote-gw x.x.x.x                   <-- メインセンタのリモートIP(GIP)
        set psksecret XXX
    next
    edit "VPN_backup"
        set interface "port10"
        set peertype any
        set net-device disable
        set proposal aes128-sha256 aes256-sha256 aes128-sha1 aes256-sha1
        set dpd on-idle
        set remote-gw y.y.y.y                   <-- バックアップセンタのリモートIP(GIP)
        set monitor "VPN_main"                  <-- モニタ対象のインタフェース
        set psksecret ENC XXX
    next
end

基本的な設定としてはバックアップ側の設定にモニタ対象のインタフェース名を指定することで有効になります。

復旧時の動作

バックアップに切り替わった後、メイン側が復旧したときの動作を指定できます。
冗長機能などではよく自動/手動の切り戻し方式が選択できますが、本機能は自動切り戻しだけになります。
切り戻しタイミングのみ設定可能です。

タイミング 内容
即時(immediate) すぐにメインに切り戻す
遅延(delay) 一定時間(秒)待機後、メインに切り戻す
時間指定(time) 指定した曜日(or 毎日)/時間になったらメインに切り戻す

時間指定は説明だけだとわかりにくいので具体例を挙げます。

例1 月曜日の昼(12:00)にバックアップに切り倒し、20時に復旧した場合

設定 動作
毎日 0:00 火曜日の0時に切り戻し
毎週月曜日 23:00 当日の23時に切り戻し
毎週日曜日 0:00 6日後の日曜日0時に切り戻し

例2 月曜日の昼(12:00)にバックアップに切り倒し、23時1分に復旧した場合

設定 動作
毎日 0:00 火曜日の0時に切り戻し
毎週月曜日 23:00 翌週月曜日の23時に切り戻し
毎週日曜日 0:00 6日後の日曜日0時に切り戻し

例3 月曜日の昼(12:00)にバックアップに切り倒し、翌日(火曜日)5時に復旧した場合

設定 動作
毎日 0:00 水曜日の0時に切り戻し
毎週月曜日 23:00 翌週月曜日の23時に切り戻し
毎週日曜日 0:00 6日後の日曜日0時に切り戻し

モニタリング設定値

設定値 設定内容 デフォルト値 設定範囲 備考
set monitor モニタ機能の有効化、モニタ対象の指定 無(未設定) インタフェース名を指定
set monitor-hold-down-type モニター対象のトンネルが再接続した場合の回復時間方式 immediate immediate:復旧後即時
delay:一定時間待機
time:指定日時待機
set monitor-hold-down-delay 復旧から切り戻しまでの待機時間(秒) 0 0~31536000 hold-down-typeが「delay」の時のみ設定可
set monitor-hold-down-time 復旧している場合の切り戻し時間 00:00 hh:mm (24時間表記) hold-down-typeが「time」の時のみ設定可
set monitor-hold-down-weekday 復旧している場合の切り戻し曜日 sunday everyday(毎日)
sunday(日曜)
monday(月曜)
tuesday(火曜)
wednesday(水曜)
thursday(木曜)
friday(金曜)
saturday(土曜)		 hold-down-typeが「time」の時のみ設定可

補足事項

モニタリング機能を有効化した場合、メイン/バックアップのどちらか一つしか「UP」状態にすることができません。
切り倒しが発生したタイミングでメインは「DOWN」、バックアップが「UP」になり、メイン復旧後も切り戻しが発生するまでメインは「DOWN」のままになります。
※トンネルインタフェースのUP/DOWNを管理している場合は注意が必要です

参考

Technical Tip: IPsec VPN: Site-to-Site tunnel monitor
FortiGate v7.0 CLI Reference

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0