Fortinet商品など
FortiGateのトンネルインターフェースについて
FortiGateの「トンネルインターフェース(Tunnel Interface)」は、主にIPsec VPNやGREトンネルなどの仮想トンネル通信において使用される仮想インターフェースで、ネットワークのセグメントをVPN経由で論理的に接続するための中核的な役割を果たします。
これはVLANインターフェースや物理インターフェースと同様に扱えるため、非常に柔軟なVPN設計やポリシー制御が可能になります。
トンネルインターフェースとは?
物理インターフェースとは異なり、トンネルインターフェースは仮想的に作成されるインターフェースで、IPsecやGREなどのトンネルプロトコルと連携して、仮想的なネットワークパスを形成します。
たとえば
- IPsec VPNを使って2拠点を接続する場合、トンネルインターフェースを使えばその接続先をインターフェースとして扱えます。
- インターフェースベース(route-based)VPNの実現に必須。
ポリシーベースVPNとトンネルインターフェースの違い
| 特徴 | ポリシーベースVPN | トンネルインターフェース(ルートベースVPN) |
|---|---|---|
| 設定 | IPsecポリシーで直接制御 | インターフェース経由で制御 |
| 柔軟性 | 低い | 高い(ルーティング、QoS、複数セレクターなど) |
| 推奨 | 小規模・固定用途向け | 複雑なネットワークや多拠点VPN向け |
トンネルインターフェースの主な用途
IPsec VPNのルートベース接続
- トンネルインターフェースを作成してルーティングテーブルに登録することで、柔軟なトラフィック制御が可能になります。
- 静的ルートやOSPF/BGPによる動的ルーティングの実装が可能。
GREトンネル
- GRE(Generic Routing Encapsulation)トンネルでも仮想インターフェースが利用されます。
SSL VPN / IPSec ダイヤルアップクライアントとの接続
- VPN接続時に自動生成される「ssl.root」や「vpn」インターフェースもトンネルインターフェースの一種。
インターフェースベースのセキュリティポリシー適用
- トンネルを経由するトラフィックに対して、他のインターフェース同様にFirewallポリシーを設定可能。
設定手順(IPsec VPNのトンネルインターフェース例)
以下は、FortiGateにおける基本的なトンネルインターフェース設定の流れです。
VPNトンネル作成
GUIからでもCLIからでも可能です。
CLI例
config vpn ipsec phase1-interface
edit "vpn-to-branch"
set interface "wan1"
set peertype any
set remote-gw 203.0.113.1
set psksecret ENC <password>
set proposal aes256-sha256
set dhgrp 14
next
フェーズ2の設定(トンネルセレクタ)
config vpn ipsec phase2-interface
edit "vpn-to-branch-p2"
set phase1name "vpn-to-branch"
set proposal aes256-sha256
set dhgrp 14
set src-subnet 0.0.0.0/0
set dst-subnet 0.0.0.0/0
next
静的ルートの設定(VPNトンネル宛て)
config router static
edit 1
set dst 10.1.0.0/24
set device "vpn-to-branch"
set gateway 0.0.0.0
next
ファイアウォールポリシーの設定
config firewall policy
edit 1
set srcintf "internal"
set dstintf "vpn-to-branch"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
set nat enable
next
トンネルインターフェースの利点
柔軟なルーティングが可能
- VPN接続先に対して静的ルートもダイナミックルーティング(OSPF/BGP)も設定可能。
ポリシーの粒度が細かい
- トンネルをインターフェースとして扱えるため、ポリシー制御やNAT、QoSの適用が容易。
複数トンネルの同時制御
- 拠点間VPNやハブアンドスポーク構成において複数のVPN接続を効率よく制御可能。
応用:SD-WANとの統合
FortiGateのSD-WAN機能では、複数のトンネルインターフェースを「メンバーリンク」として登録し、トラフィックをアプリケーションごとに最適なトンネルにルーティングすることが可能です。
これにより、例えば以下のような制御が実現できます。
- VoIPはレイテンシの少ないトンネルに。
- ファイル転送は帯域の広いトンネルに。
- VPNトンネル障害時は自動で他のトンネルにフェイルオーバー。
注意点
- トンネルインターフェースはアクティブになっていないと疎通不可です。
- VPNが確立されない限り、トンネルインターフェースは「ダウン状態」になります。
- トンネルの両端で一致する設定が必要(特にPhase1/Phase2、PSKなど)
- 診断コマンドでステータス確認が可能:
diagnose vpn tunnel list
get vpn ipsec tunnel summary
まとめ
FortiGateのトンネルインターフェースは、柔軟なネットワーク構成とポリシー制御を可能にする非常に強力な機能です。
特にルートベースVPN(インターフェースモード)を使用することで、他のネットワーク機器と同様にトンネルを制御・可視化できるため、拡張性と管理性が大きく向上します。
補足:おすすめ用途別の活用例
| 用途 | 利用するトンネルインターフェースの構成 |
|---|---|
| 本社-支社間VPN | IPsecルートベースVPN(BGP/OSPF併用) |
| クラウド接続(AWSなど) | GRE/IPsecハイブリッド構成 |
| リモートアクセス | SSL VPN(ssl.root)やL2TP/IPsec |
以上、FortiGateのトンネルインターフェースについてでした。
最後までお読みいただき、ありがとうございました。
商品カテゴリから探す
「安心のセキュリティをお得な価格」でご提供!
Fortinet商品など
受付時間 / 9:00~17:00 定休日 / 土・日・祝
【大阪本社】
〒531-0072
大阪市北区豊崎3-19-3
ピアスタワー6階
電話番号:06-6359-5533
FAX番号:06-6359-5534
【東京支店】
〒104-0032
東京都中央区八丁堀3-25-8
八丁堀陽光ビル3階A
電話番号:03-6823-1313
【福岡支店】
〒812-0038
福岡市博多区祇園町8-13
第一プリンスビル1階
(The Company キャナルシティ博多前)
電話番号:092-600-1222
