ささの備忘録

ITインフラSEの備忘録です ITインフラを中心に、 日々忘れないがちな事を、つぶやいていきます

FortiGateでログを保存するには

こんにちは。
引き続き、FortiGateについて書きます。ログについてです。
FortiGateのログは、分かりにくいですね。どこにどんなログが出るのか?
分かる範囲で整理してみたいと思います。

ログの保存先について

FortiGateのログの保存先として、以下があります
内蔵メモリ---私の使っている「FortiGate60D」をはじめとして、ディスクを内蔵しない機器デフォルト保存先。とにかく容量が少なく、再起動で消えるので、長期保存は不可能です。
内蔵ディスク---Eモデルだと、末尾1が付く機器(FortiGate101E等)。上位機種。あと、Dモデルだと100Dや200Dもディスクを積んでました。ある程度の保存は可能です
FortiCloud---無償版は7日なので、内臓メモリよりは良いですね
FortiAnalyzer---高価ですが、本気でログを保存するなら、これでしょうか
Syslogサーバー---別途、サーバー等構築が必要なので、難易度が高いです。FortiAnalyzerなんかに比べると、ビューがないので、ある程度スキルが必要ですね

ログ保存設定について

60Dの場合は、「ログ&レポート」-「ログ設定」で、メモリがEnableになっていればOKです
log1

取得するログのレベルは、デフォルト”Warning”ですので、とにかくログを取得したい場合は、”information"に変更します
変更はコマンドで行います

#config log syslogd filter
(filter)#set severity information
(filter)#end

また、システムログやローカルログを取得する場合は、以下の箇所で選択しましょう
例えば、VPNのログなんかはここをチェックしないと、ログが出力されません
log2

次回は、ログの確認方法を書いてみたいと思います

FortiGateOS6.03で「SD-WANインターフェース」を試す

こんにちは。
昨日は関東南部では、珍しく「雪」でした。
寒かった。一日中ストーブ&こたつで、しのぎきったのですが、
今日も、雪が残っているせいか、寒い。早くあったかくならないかな。
枝豆とビール!!がおいしい季節が待ち遠しいです。でも暑かったら暑かったで、冬が待ち遠しくなるんだろうなぁ

さて、
自宅でFortiGateを使用している限りは、絶対に使いませんが、今後、会社で使うかも・・
と思い。「SD-WANインターフェース」を試してました。

SD-WANとは

「SD-WAN(Software-Defined WAN)」。広義で言うSD-WANは、拠点間をつなぐWANをソフトウェアによって統合、一括管理し、仮想的なネットワークを実現する事。
FortiGateでも「SD-WAN」というと、いろいろな機能があるようです。
sdwan1

いろいろな機能は、今後必要なタイミングで調べればいいかな
ひとまず、WAN回線の冗長で「SD-WANインターフェース」を設定してみたいと思います

「SD-WANインターフェース」

今回、”wan1”と”wan2”を、「SD-WANインターフェース」として設定して、WAN回線をロードバランスしたいと思います

1.まず、FortiGate60Dを初期化し、デフォルトで”wan1”にかかっている、ポリシーを削除します
2.次に、「SD-WAN」を有効化して、インターフェースメンバーに”wan1”と”wan2”を追加します
sdwan2

3.”wan1” ”wan2”それぞれで、インターネット接続します(今回はPPPoE)
sdwan3

4.ルーティングを設定
sdwan4

5.ポリシーを設定(ひとまず、”internal”->”SD-WAN”すべて許可)
sdwan5

6.最後に、「SD-WANポリシー」を設定します
今回は、デフォルトの「送信元IP」のままにします
sdwan6


PC2台つなげて、インターネット上のサーバーにpingすると
192.168.100.100->"wan1”から通信していることを確認
192.168.100.101->"wan2”から通信していることを確認

HTTPアクセスも同様の動作となりました。
ちゃんと、ロードバランシングしています

”wan1”のLANケーブルを抜線します
sdwan8

pingは1回くらい落ちますが、引き続き、
192.168.100.100->"wan2”から通信していることを確認
192.168.100.101->"wan2”から通信していることを確認

HTTPアクセスも同様の動作となりました。
ちゃんと、障害時も動作しています

なかなか、使えそうな機能です。
次回は、Active-StanbyでのWAN回線冗長構成を試してみたいと思います


FortiGate「Virtual Wire Pair」を使ってみる

こんばんは。

FortiGateの新しい機能を試してみましたので、ご報告です。

Paloaltoでは一般的に使用している、「Virtual Wire」。L1(ワイヤー)として動作するので、既存環境への影響が低く良いです。

同等の機能が、FortiGateでも実装出来るようになりました(OS5.6以降かな?)
「Virtual Wire Pair」です

今までは、既存環境に影響なく、FortiGateを導入する場合に使用されていたのは「Transparent」モードでした。モードを「NAT」から切り替える事で、L2で動作することが可能でした。

「Virtual Wire Pair」は、「Transparent」のモード設定とは違い、インターフェース設定です。
ですので、port1とPort2で「Virtual Wire Pair」、Port3とwan1で「NAT/Router」なんて構成も可能です

ただし、1ポート対1ポートの構成に限られます
また、スイッチポート構成は出来ません

では、早速試してみたいと思います

Virtual Wire Pairインターフェースの作成

初期状態を想定して、設定してみます
構成イメージは、以下になります

vwp05

構成で、1点注意があります。
「VWP(Virtual Wire Pairの略)」は、L1構成なので、IPアドレスは必要ありませんし、設定も出来ません。これはこれで良いのですが・・

FortiGateはライセンスのアクティベーションや、UTM機能を使用する為(FortiGuardアクセス)、インターネットへのアクセスが必須です。

ですので、インターネットアクセス用のポート(ManagemetやWAN2など)にIPアドレスを設定し、インターネットへアクセス出来るようにする必要があります

また、「VWP」設定を行う前提条件として、
「VWP」設定を行うインターフェースは、ポリシーやルート設定などに参照されてないこと。DHCPサーバー設定されていないこと。
もし参照・設定されていたら、解除しましょう

「internal」インターフェースポートを使用して、「VWP」を設定したいので・・
「internal」に紐づいている、DHCPサーバー設定、ポリシー設定を削除します

1. DHCPサーバーの削除
#config system dhcp server
#delete 1
#end

2. ポリシーの削除
#config firewall policy
#delete 1
#end

続いて、「internal」スイッチポートを解除します

3. スイッチインターフェースの削除
#config system virtual-switch
#delete internal
#end

スイッチポートが解除されました
※以降、キャプチャ画面は100Dの画面です
vwp01

4. VWPポートを作成
「ネットワーク」-「インターフェース」-「新規作成」をクリックし、「バーチャルワイヤーペア」を選択します
vwp02

バーチャルワイヤ作成画面が開きますので、以下情報を入力・選択し「OK」をクリック
名前 :任意(例 VWP01)
インターフェースメンバー:任意(例 internal1,internal2)
vwp03

バーチャルワイヤペアインタフェースが作成されました
vwp06


Virtual Wire Pairポリシーの作成

5. 初期状態は何もポリシーがないので、何も通信が出来ません(暗黙のDeny)
許可ポリシーを設定します

「ポリシー&オブジェクト」-「IPv4バーチャルワイヤーペアポリシー」を開き、新規ポリシーを作成します
※もし表示していない場合は、一度管理画面をログオフし再度ログオンしてください。

今回は、LAN->WAN全て許可、WAN->LANはDHCP通信のみ許可設定

「ポリシー&オブジェクト」-「IPv4バーチャルワイヤーペアポリシー」-「新規作成」を選択し、以下情報を入力し、OKをクリック
名前 :任意(例 VWP LAN->WAN)
バーチャルワイヤーペア:LAN(internal2)->WAN(internal1)
送信元:all
宛先:all
スケジュール:always
サービス:all
アクション:ACCEPT
vwp07

同じやり方で、逆方向にDHCPサービスを許可するポリシーを作成します
vwp08


管理用ポートの作成

FortiGateはインターネットにアクセスし、アクティベーションが必要です。インターネットへアクセスするポートにIPアドレスを設定し、デフォルトGWを設定します。

今回は「internal7」へIPアドレスと管理アクセス(HTTPS,PING)を設定
インターフェース名:internal7
エイリアス:LAN
ロール:LAN
アドレス(マニュアル):192.168.X.1/24
管理アクセス:HTTPS,PINGチェック
vwp09

デフォルトGWへのルーティング設定
「ネットワーク」->「スタティックルート」->「新規作成」をクリック、デフォルトGWルートを設定
宛先:0.0.0.0/0.0.0.0
インターフェース:internal7 
ゲートウェイアドレス:192.168.X.254
vwp11

FortiGateからインターネットにアクセスできることを確認します
vwp12

詳細な設定は省略しましたが、以上で設定出来ました。

最後に通信確認を行い完了です
vwp13

スポンサードリンク
プロフィール

ささ

名前:ささ
関東地方に住む40代、子供2人と妻と猫とで暮す
主に「ITインフラ系」の構築に携わる。今の会社は転職の末、お世話になり早20数年。保有資格は、「ネスペ」「セスペ」など
最近、「ソロキャンプ」「DIY」を趣味にするため、いろいろと準備中