FortiGateとAWSの接続方法について

接続シナリオの整理

FortiGateとAWSをつなぐ方法は大きく3パターンあります。

オンプレFortiGate ⇔ AWS VPC

• Site-to-Site VPN（IPsec）
• Direct Connect（専用線）
• Transit Gatewayを経由

AWS上にFortiGate-VMを展開

• EC2上にデプロイしてVPCゲートウェイやUTMとして利用

ハイブリッド構成

• AWS Direct Connectで基幹通信を担保し、VPNをバックアップとして利用

オンプレFortiGateとAWSをVPN接続する方法（最も一般的）

AWS側の準備

1. VPCを用意（例：10.10.0.0/16）
2. VGW (Virtual Private Gateway) を作成してVPCにアタッチ
3. CGW (Customer Gateway) を作成（FortiGateのグローバルIPを指定）
4. Site-to-Site VPN Connectionを作成

• VGWとCGWを紐付け
• 2本のトンネルが自動で用意される
• 「デバイス用設定ファイル（FortiGate用）」をダウンロード可能

FortiGate側の設定（例：静的ルート方式）

重要：AWSの「構成ファイル」に合わせること。暗号スイート、PFS、ライフタイムなどが一致しないとVPNは確立しません。

Phase1（IKE設定）

config vpn ipsec phase1-interface
edit "aws-tunnel-a"
 set interface "port1"                     # WAN側IF
 set ike-version 2                         # IKEv2推奨（AWS側もIKEv2設定）
 set remote-gw <AWS_TUNNEL_A_IP>
 set psksecret "<PSK_TUNNEL_A>"
 set proposal aes256-sha256
 set dhgrp 14
 set dpd on-idle
 set keylife 28800
next
end

# Tunnel B も同様に設定（AWSが提供する第2トンネル用パラメータを使用）

Phase2（トラフィックセレクタ）

config vpn ipsec phase2-interface
edit "aws-tunnel-a-p2"
 set phase1name "aws-tunnel-a"
 set proposal aes256-sha256
 set pfs enable                            # or disable → AWS構成ファイルに従う
 set dhgrp 14
 set keylifeseconds 3600
 set src-subnet 192.168.1.0 255.255.255.0  # オンプレLAN
 set dst-subnet 10.10.0.0 255.255.0.0      # AWS VPC
next
end

ルーティング（冗長化）

config router static
edit 0
 set dst 10.10.0.0/16
 set device "aws-tunnel-a"
 set distance 10
next
edit 0
 set dst 10.10.0.0/16
 set device "aws-tunnel-b"
 set distance 10
next
end

高可用性を担保するなら config system link-monitor を併用し、トンネル死活監視でルート切替を制御します。
動的ルーティングを使う場合は BGP をFortiGate側で有効化します。

ポリシー

config firewall policy
edit 0
 set name "to-aws"
 set srcintf "internal"
 set dstintf "aws-tunnel-a"
 set srcaddr "all"
 set dstaddr "all"
 set action accept
 set schedule "always"
 set service "ALL"
 set logtraffic all
next
edit 0
 set name "to-aws-b"
 set srcintf "internal"
 set dstintf "aws-tunnel-b"
 set srcaddr "all"
 set dstaddr "all"
 set action accept
 set schedule "always"
 set service "ALL"
 set logtraffic all
next
end

FortiGate-VMをAWSに展開する方法

1. AWS Marketplaceから FortiGate Next-Generation Firewall (BYOL/オンデマンド) を起動
2. 単一アーム構成（シンプル）、二重アーム構成（WAN/LAN分離）、HA構成を選択
3. Elastic IP割当／セキュリティグループ設定 → FortiGate初期設定
4. 利用シナリオ：VPC内のゲートウェイ、UTM、オンプレVPNハブ、East-West制御

Direct Connectとの連携

• FortiGateをCPE装置として利用可能
• BGPでVGW/TGWと経路交換し、冗長性を担保
• VPNをバックアップ経路として組み合わせる構成が一般的

運用・監視のポイント

• 2トンネル必須：AWSは常に2本提供、FortiGateも両方設定する
• 監視
• AWS側 → CloudWatchでトンネル状態監視
• FortiGate側 → diagnose vpn ike gateway list / diagnose vpn tunnel list
• セキュリティ：ポリシーで通信範囲を最小化、不要サービスを遮断
• MSS調整：必要に応じてTCP MSSを調整し、断続的な切断を防止

まとめ

• 一般的には「オンプレFortiGateとAWSをSite-to-Site VPNで接続」が主流。
• 冗長性を確保するには2トンネル必須、可能ならBGPでの経路交換が推奨。
• AWS内のセキュリティ制御やハブ用途ならFortiGate-VMをEC2として展開。
• 高信頼・高帯域を求める場合はDirect Connect＋VPNのハイブリッド構成。

以上、FortiGateとAWSの接続方法についてでした。

最後までお読みいただき、ありがとうございました。