MENU
「安心のセキュリティをお得な価格」でご提供!
Fortinet商品など
Fortinet商品など
Fortigateのスプリットトンネルの設定方法について
スプリットトンネルとは?
スプリットトンネル(Split Tunnel)は、リモートアクセスVPNで接続中のクライアント端末が、一部のトラフィックのみをVPNトンネル経由にし、それ以外のトラフィックはローカルネットワークから直接インターネットへ送信する方式です。
この機能を使うことで、次のような利点があります。
- 不要なトラフィックをVPNに通さないことで、帯域の消費を削減
- 一般的なWebアクセスなどはクライアントの回線で処理されるため、パフォーマンスが向上
- セキュリティポリシーに応じた、柔軟な通信制御が可能
SSL VPNの基本設定
GUI 操作手順
- FortiGateにログイン
- [VPN] > [SSL-VPN Settings] に移動
- 以下を設定:
- Listen on Interface:インターネット側のWANインターフェース(例:
wan1) - Server Certificate:有効なSSL証明書を選択
- Authentication/Portal Mapping:後述するユーザーグループとポータルを紐づけ
- Listen on Interface:インターネット側のWANインターフェース(例:
補足
FortiGateでは、SSL VPN接続に使われる仮想インターフェース名はssl.rootとなります。
スプリットトンネル対応ポータルの作成
GUI 操作手順
- [VPN] > [SSL-VPN Portals] に移動
- 新規ポータル(例:
split-access)を作成するか、既存ポータルを編集 - 以下の設定を行う:
- Tunnel Mode:有効にする
- Split Tunneling:有効にする
- Routing Address:VPNトンネル経由で通す必要があるネットワークを指定(※事前に作成した「アドレスオブジェクト」を使用)
Routing Address(トンネル対象ネットワーク)の作成
[GUI 操作手順]
- [Policy & Objects] > [Addresses] を開く
- 「Create New」から以下のように設定
- Name:
internal_net(任意) - Type:Subnet
- Subnet:例)
192.168.10.0/24 - Interface:任意(特定しない場合は「Any」でも可)
- Name:
ユーザーグループの作成とポータル割り当て
GUI 操作手順
- [User & Authentication] > [User Groups] に移動
- 新しいグループを作成し、対象ユーザー(またはRADIUS/LDAPグループ)を追加
- SSL VPN Settings画面に戻り、Authentication/Portal Mapping にて、このユーザーグループに「split-access」ポータルを紐付け
Firewallポリシーの作成(VPNユーザー→社内アクセス)
GUI 操作手順
- [Policy & Objects] > [IPv4 Policy] に移動
- 新規ポリシーを作成
- Incoming Interface:
ssl.root - Outgoing Interface:社内ネットワークのインターフェース(例:
lan) - Source:VPNユーザーグループ
- Destination:
internal_net(先ほど作成したアドレス) - Service:ALL(必要に応じて制限)
- Action:ACCEPT
- NAT:必要に応じて有効化
- Incoming Interface:
クライアント(FortiClient)での動作確認
- FortiClientからVPN接続を実施
- 接続後、
route print(Windows)でルーティングテーブルを確認192.168.10.0/24のようなトンネル対象が含まれていること
- 以下のように通信が分岐していれば成功
- 社内システム(例:ファイルサーバ、社内Web)はVPN経由で接続可
- 外部サイト(例:YouTube、Google)はクライアントのローカル回線経由でアクセス
補足:CLIでの設定(上級者向け)
config vpn ssl web portal
edit "split-access"
set tunnel-mode enable
set split-tunneling enable
set split-tunneling-routing-address "internal_net"
next
end
config firewall address
edit "internal_net"
set subnet 192.168.10.0 255.255.255.0
next
end
セキュリティ上の注意点
スプリットトンネルは通信の効率化に寄与する一方、ローカル経由で外部ネットワークと通信するため、次のリスクに留意が必要です。
| リスク | 対策例 |
|---|---|
| 社内に未検査のトラフィックが侵入する | FortiClient EMSでのコンプライアンスチェック(アンチウイルス、パッチ状況など) |
| 感染PCからの社内侵入 | ゼロトラスト型ポリシー(ZTNA)やEDRとの連携 |
| ポリシー管理の煩雑化 | トラフィックのログ記録、Webフィルタリングの併用 |
運用ヒント
- VPNトンネル対象のネットワークを追加・変更する場合は、Routing Addressに指定する「Addressオブジェクト」を編集することで対応可能。
- FortiClientから見たルート設定は FortiGate から配信されるため、クライアント側の設定は不要。
まとめ
| 項目 | 説明 |
|---|---|
| スプリットトンネルとは | VPNとローカル経由の通信を分離する仕組み |
| 必要構成 | SSL VPN設定・ポータル・Routing Address・ポリシー |
| メリット | 帯域の削減、レスポンス改善 |
| セキュリティ対策 | FortiClient EMSやZTNAの併用が望ましい |
以上、Fortigateのスプリットトンネルの設定方法についてでした。
最後までお読みいただき、ありがとうございました。
商品カテゴリから探す
「安心のセキュリティをお得な価格」でご提供!
Fortinet商品など
受付時間 / 9:00~17:00 定休日 / 土・日・祝
【大阪本社】
〒531-0072
大阪市北区豊崎3-19-3
ピアスタワー6階
電話番号:06-6359-5533
FAX番号:06-6359-5534
【東京支店】
〒104-0032
東京都中央区八丁堀3-25-8
八丁堀陽光ビル3階A
電話番号:03-6823-1313
【福岡支店】
〒812-0038
福岡市博多区祇園町8-13
第一プリンスビル1階
(The Company キャナルシティ博多前)
電話番号:092-600-1222
