リモートアクセスVPN-パスワード認証（IKEv2自動トランスポートモード）

文書更新日:2026-04-14

Info

本設定ガイドは、FortiGate v7.6.6およびFortiClient 7.4.3.4726（ライセンス版）を用いて動作確認した内容に基づいて作成しています。
IKEv2の自動トランスポートモードでTCPへのフォールバックを利用するには、FortiClient 7.4.1以降が必要です。
Fortinet公式ドキュメントの「FortiClient standalone and licensed version feature comparison」によると、FortiClient 7.4系の無償Standalone版はIPsec over TCPをサポートしていません。UDPが利用できない環境でTCP接続まで確認する場合は、ライセンス版のFortiClientを使用してください。

目的

PIO-IDのユーザで、FortiGateへVPNを使ってリモートアクセスします。
接続する際の認証方式は、パスワードです。
VPNトンネルは、IKEv2の自動トランスポートモードを利用します。
PIO-IDの標準RADIUSサーバを利用します。
ユーザ/グループによるアクセス制限をします。

設定方法

PIO-IDのグループの作成

PIO-ID 管理者ポータル＞グループ画面へ移動します。
グループ追加をクリックします。グループ追加画面がポップアップします。
グループ名を入力し、登録ボタンをクリックします。

PIO-IDのユーザの作成

PIO-ID 管理者ポータル＞ユーザ画面へ移動します。
登録ボタンをクリックします。ユーザ登録画面がポップアップします。
ユーザ登録画面の基本情報を入力します。グループタブをクリックします。
メンバーとなるグループを選択し、登録ボタンをクリックします。

PIO-IDのRADIUSサイトの登録

PIO-ID 管理者ポータル＞認証＞RADIUS＞簡易設定タブへ移動します。
カタログ表示ボタンをクリックします。
カタログからFortiGate NGFW(IPsec IKEv2対応)の登録ボタンをクリックします。FortiGate NGFW(IPsec IKEv2対応)画面がポップアップします。

基本情報タブに、以下を設定します。

設定項目	設定内容
有効/無効	有効を選択します。
サーバ	標準を選択します。
サーバ番号	適切なサーバ番号を選択します。選択するサーバの番号により、RADIUSサーバのポート番号が異なります。PIO-ID 管理者ポータル＞認証＞RADIUS＞基本情報タブの標準RADIUSサーバ＞RADIUSポート番号にサーバの番号と通信ポート番号の対応が記載されています。
IP or ホスト名	FortiGate NGFW側のグローバルIPアドレスです。インターネットに出ていくときの送信元のIPアドレスです。グローバルIPアドレスが、動的の場合には、DDNS（ダイナミックDNS）を利用してホスト名（FQDN）を設定します。
シークレット	任意の文字列を設定します。英大文字、英小文字、数字、記号を組み合わせて、最低でも14文字以上の複雑な文字列を設定することをお勧めします。

VPNアクセスの認証タブへ移動します。
許可したいユーザおよび許可したいグループをダブルクリックし、許可へ移動させます。
登録ボタンをクリックします。

FortiGateのRADIUSサーバの設定

FortiGate 管理GUI＞ユーザ＆認証＞RADIUSサーバ画面へ移動します。
新規作成ボタンをクリックします。新規RADIUSサーバ設定画面が表示されます。

以下を設定します。

設定項目	設定内容
名前	任意の文字列を設定します。（例：PIO-ID_RADIUS）
プライマリサーバ
IP/名前	PIO-ID 管理者ポータル＞認証＞RADIUS＞基本情報タブの標準RADIUSサーバ＞IPアドレスのプライマリです。
シークレット	PIO-IDのRADIUSサイトの登録の手順のシークレットに設定した文字列です。
セカンダリサーバ
IP/名前	PIO-ID 管理者ポータル＞認証＞RADIUS＞基本情報タブの標準RADIUSサーバ＞IPアドレスのセカンダリです。
シークレット	PIO-IDのRADIUSサイトの登録の手順のシークレットに設定した文字列です。

OKボタンをクリックします。

PIO-IDのRADIUSサイトの登録でサーバ番号2～10を選択した場合は、FortiGate CLIからRADIUS認証の通信ポート番号を設定します。サーバ番号1を選択した場合は、FortiGateの初期値であるUDP 1812を使用するため、この手順は不要です。

設定項目	設定内容
RADIUSサーバの名前	手順3で設定した名前です。（例：PIO-ID_RADIUS）
RADIUS認証の通信ポート番号	PIO-IDのRADIUSサイトの登録で選択したサーバ番号のポート番号です。PIO-ID 管理者ポータル＞認証＞RADIUS＞基本情報タブの標準RADIUSサーバ＞RADIUSポート番号を確認してください。

FortiGate CLI

config user radius
    edit "<RADIUSサーバの名前>"
        set radius-port <RADIUS認証の通信ポート番号>
    next
end

Info

FortiGateのRADIUSサーバ設定画面で接続をテストボタンをクリックします。実行するタイミングは、選択したサーバ番号により異なります。

サーバ番号1を選択した場合：RADIUSサーバを作成した後
サーバ番号2～10を選択した場合：RADIUS認証の通信ポート番号を設定した後

接続が成功しない場合には、以下をご確認ください。

設定内容が間違いないこと
FortiGateからPIO-IDのRADIUSサーバのIPアドレスおよびRADIUS認証の通信ポート番号へ接続可能であること

Warning

PIO-IDのRADIUSサーバでは、FortiGateのVPNアクセスや管理アクセスのみ認証可能となるように制限をかけているため、ユーザクレデンシャルをテストボタンをクリックし、正しいユーザ情報を入力しても成功となりませんが、問題ではありません。

FortiGateのユーザグループの設定

FortiGate 管理GUI＞ユーザ＆認証＞ユーザグループ画面へ移動します。
新規作成ボタンをクリックします。新規ユーザグループ画面が表示されます。

以下を設定します。

設定項目	設定内容
名前	任意の文字列を設定します。（例：PIO-ID）
タイプ	ファイアウォールを選択します。
リモートグループ	リモートサーバ：FortiGateのRADIUSサーバの設定の手順で設定したサーバの名前です。（例：PIO-ID_RADIUS）　グループ：いずれかを追加します。

OKボタンをクリックします。

FortiGateのVPNの設定

Info

IKEv2の自動トランスポートモードの設定は、Fortinet公式ドキュメントの「LDAP authentication with IKEv2 using UDP or TCP as transport」および「Dialup IPsec VPN using custom TCP port」を参考にしています。

FortiGate 管理GUI＞VPN＞VPNウィザード画面へ移動します。
以下の項目を設定し、開始ボタンをクリックします。

設定項目 設定内容

名前任意の文字列を設定します。（例：IPsecVPN）

テンプレートを選択 リモートアクセスを選択します。

以下の項目を設定し、次ボタンをクリックします。

設定項目	設定内容
VPN クライアントの種類	FortiClientを選択します。
認証方式	事前共有鍵を選択します。
事前共有鍵	任意の文字列を設定します。
IKE	バージョン2を選択します。
トランスポート	自動を選択します。
Fortinet カプセル化を使用する	無効を選択します。
NAT トラバーサル	有効を選択します。
EAP ピアの識別	EAP ID要求を選択します。
ユーザー認証方法	フェーズ1インターフェースを選択します。FortiGateのユーザグループの設定の手順で設定したユーザグループの名前を選択します。（例：PIO-ID）

以下の項目を設定し、次ボタンをクリックします。

設定項目	設定内容
接続されたエンドポイントに割り当てるアドレス	VPNクライアントに割り当てるIPアドレスの範囲です。環境により異なります。（例：192.168.100.200-192.168.100.210）
接続されたエンドポイントのサブネット	255.255.255.255を設定します。

以下の項目を設定し、次ボタンをクリックします。

設定項目	設定内容
トンネルにバインドする着信インターフェイス	FortiGateのWAN側のインターフェースです。環境により異なります。（例：wan1）
ローカルインターフェース	FortiGateのLAN側のインターフェースです。環境により異なります。（例：internal）
ローカルアドレス	LAN側ネットワークを指定します。（例：all）

設定を確認し、サブミットボタンをクリックします。

Info

FortiGate v7.6.6のVPNウィザードで作成した設定例は、以下を参照してください。
ウィザード作成後のphase1-interface設定サンプル
 ウィザード作成後のphase2-interface設定サンプル
自動モードでは、通常はUDPを使用し、UDPが利用できない場合にTCPへフォールバックします。デフォルト設定のまま利用する場合は、UDP側が500、TCP側が443であることを確認します。
FortiGate CLI
```
show full-configuration system settings | grep ike-
    set ike-port 500
    set ike-tcp-port 443
```
自動モードではFortiGateがIKE用にTCPポート443を待ち受けるため、GUI管理ポートもポート443を使用していると、IPsecトンネルにバインドされているインターフェースのGUIアクセスに影響が出る可能性があります。必要に応じて管理アクセスポートを変更します。（例：10443）
FortiGate CLI
```
config system global
    set admin-sport 10443
end
```
Warning

管理GUIへのアクセスが拒否されるため、管理GUIにアクセスするには、https://<FortiGateの管理IPアドレス>:10443/ でログインしなおします。

Info

TCPポート443は、GUI管理アクセスのほか、ZTNAやAgentless VPNなど他の機能と競合する場合があります。FortiGateで利用している受信ポートとの競合がないか事前に確認してください。

動作確認方法

Windows端末からパスワードによるリモートアクセスVPNの認証が可能なことを確認します。

リモートアクセスクライアントのインストール

FortiGateのリモートアクセスクライアントである、FortiClientをインストールしていない場合には、以下よりダウンロードしてインストールします。

ダウンロード

接続先の設定

FortiClientを起動して、新規VPN接続を作成します。以下を設定します。

設定項目	設定内容
VPN	IPsecVPNを選択します。
接続名	任意の文字列を設定します。（例：PIO-ID）
リモートGW	VPNクライアントが接続するIPアドレスです。
認証方法	事前共有鍵を選択します。
事前共有鍵	FortiGateのVPNの設定の手順で設定した事前共有鍵です。
認証（EAP）	ユーザ名入力を選択します。

設定項目	設定内容
IKE	バージョン2を選択します。
Address Assignment	モードコンフィグを選択します。
Encapsulation	Autoを選択します。
IKE UDP Port	500を設定します。
IKE TCP Port	443を設定します。

フェーズ1およびフェーズ2の設定値は、FortiGate側のVPN設定に合わせてください。

保存ボタンをクリックします。

VPN接続

以下を設定し、接続ボタンをクリックします。

設定項目	設定内容
VPN名称	接続先の設定の手順で作成した接続先を選択します。（例：PIO-ID）
ユーザ名	PIO-IDのRADIUSサイトの登録の手順で許可したユーザです。
パスワード	ユーザのパスワードです。

ログインが成功することを確認します。
FortiGate CLIで以下のコマンドを実行し、接続中のセッションがUDPかTCPかを確認します。
FortiGate CLI
```
diagnose vpn ike gateway list
```
Info

通常はtransport: UDPとなり、UDPが利用できないネットワーク環境ではtransport: TCPへ自動で切り替わります。サンプル出力は、UDP接続時の出力例および TCP接続時の出力例を参照してください。

設定項目	設定内容
名前	任意の文字列を設定します。（例：IPsecVPN）
テンプレートを選択	リモートアクセスを選択します。