ささの備忘録

ITインフラSEの備忘録です ITインフラを中心に、 日々忘れないがちな事を、つぶやいていきます

2019年01月

FortiGate「Virtual Wire Pair」を使ってみる

こんばんは。

FortiGateの新しい機能を試してみましたので、ご報告です。

Paloaltoでは一般的に使用している、「Virtual Wire」。L1(ワイヤー)として動作するので、既存環境への影響が低く良いです。

同等の機能が、FortiGateでも実装出来るようになりました(OS5.6以降かな?)
「Virtual Wire Pair」です

今までは、既存環境に影響なく、FortiGateを導入する場合に使用されていたのは「Transparent」モードでした。モードを「NAT」から切り替える事で、L2で動作することが可能でした。

「Virtual Wire Pair」は、「Transparent」のモード設定とは違い、インターフェース設定です。
ですので、port1とPort2で「Virtual Wire Pair」、Port3とwan1で「NAT/Router」なんて構成も可能です

ただし、1ポート対1ポートの構成に限られます
また、スイッチポート構成は出来ません

では、早速試してみたいと思います

Virtual Wire Pairインターフェースの作成

初期状態を想定して、設定してみます
構成イメージは、以下になります

vwp05

構成で、1点注意があります。
「VWP(Virtual Wire Pairの略)」は、L1構成なので、IPアドレスは必要ありませんし、設定も出来ません。これはこれで良いのですが・・

FortiGateはライセンスのアクティベーションや、UTM機能を使用する為(FortiGuardアクセス)、インターネットへのアクセスが必須です。

ですので、インターネットアクセス用のポート(ManagemetやWAN2など)にIPアドレスを設定し、インターネットへアクセス出来るようにする必要があります

また、「VWP」設定を行う前提条件として、
「VWP」設定を行うインターフェースは、ポリシーやルート設定などに参照されてないこと。DHCPサーバー設定されていないこと。
もし参照・設定されていたら、解除しましょう

「internal」インターフェースポートを使用して、「VWP」を設定したいので・・
「internal」に紐づいている、DHCPサーバー設定、ポリシー設定を削除します

1. DHCPサーバーの削除
#config system dhcp server
#delete 1
#end

2. ポリシーの削除
#config firewall policy
#delete 1
#end

続いて、「internal」スイッチポートを解除します

3. スイッチインターフェースの削除
#config system virtual-switch
#delete internal
#end

スイッチポートが解除されました
※以降、キャプチャ画面は100Dの画面です
vwp01

4. VWPポートを作成
「ネットワーク」-「インターフェース」-「新規作成」をクリックし、「バーチャルワイヤーペア」を選択します
vwp02

バーチャルワイヤ作成画面が開きますので、以下情報を入力・選択し「OK」をクリック
名前 :任意(例 VWP01)
インターフェースメンバー:任意(例 internal1,internal2)
vwp03

バーチャルワイヤペアインタフェースが作成されました
vwp06


Virtual Wire Pairポリシーの作成

5. 初期状態は何もポリシーがないので、何も通信が出来ません(暗黙のDeny)
許可ポリシーを設定します

「ポリシー&オブジェクト」-「IPv4バーチャルワイヤーペアポリシー」を開き、新規ポリシーを作成します
※もし表示していない場合は、一度管理画面をログオフし再度ログオンしてください。

今回は、LAN->WAN全て許可、WAN->LANはDHCP通信のみ許可設定

「ポリシー&オブジェクト」-「IPv4バーチャルワイヤーペアポリシー」-「新規作成」を選択し、以下情報を入力し、OKをクリック
名前 :任意(例 VWP LAN->WAN)
バーチャルワイヤーペア:LAN(internal2)->WAN(internal1)
送信元:all
宛先:all
スケジュール:always
サービス:all
アクション:ACCEPT
vwp07

同じやり方で、逆方向にDHCPサービスを許可するポリシーを作成します
vwp08


管理用ポートの作成

FortiGateはインターネットにアクセスし、アクティベーションが必要です。インターネットへアクセスするポートにIPアドレスを設定し、デフォルトGWを設定します。

今回は「internal7」へIPアドレスと管理アクセス(HTTPS,PING)を設定
インターフェース名:internal7
エイリアス:LAN
ロール:LAN
アドレス(マニュアル):192.168.X.1/24
管理アクセス:HTTPS,PINGチェック
vwp09

デフォルトGWへのルーティング設定
「ネットワーク」->「スタティックルート」->「新規作成」をクリック、デフォルトGWルートを設定
宛先:0.0.0.0/0.0.0.0
インターフェース:internal7 
ゲートウェイアドレス:192.168.X.254
vwp11

FortiGateからインターネットにアクセスできることを確認します
vwp12

詳細な設定は省略しましたが、以上で設定出来ました。

最後に通信確認を行い完了です
vwp13

「FortiGate60D」のinternalスイッチを解除する方法

どうも、ご無沙汰しておりました。

年が開けてから、仕事が忙しく、暇さえあれば検証をしていた為、更新をさぼってました

今回は、自宅で使用している「FortiGate60D」の”internalスイッチポート”を解除してみたいと思います

60Dは、internalポートが「ソフトウェアスイッチ※」になっており、7ポートもinternalポートとして、使用できます。ただし、そんなには使わないケースも多く、配下にスイッチを置いてしまえば、1ポートで十分かなと思います
※スイッチには「ソフトウェアスイッチ」と「ハードウェアスイッチ」があり、ハードウェアスイッチの方が、CPU負荷が低いので、ソフトウェアスイッチより良いかなと思います。ただし、まとめられるポートに制限があるようです

internalスイッチポートを解除する

スイッチポート(internal)以外から、管理画面にアクセスします。今回はDMZ(10.10.10.1)ポートからアクセスし、コマンドを実行します。コンソールから実施してもOKです。その方が楽ですね

1

<前準備>

スイッチインターフェイス設定を解除するため、デフォルトで紐づいている設定を削除します。

1. DHCPサーバーの削除

# config system dhcp server

# delete 1

# end

※デフォルトではスイッチインターフェイスはDHCPサーバーとしての機能が紐付けされています。

2. ポリシーの削除

# config firewall policy

# delete 1

# end

※デフォルトではスイッチインターフェイスと紐づくポリシーが設定されています

<スイッチインターフェース解除>

デフォルトで設定されたスイッチインターフェイスを削除します。

# config system virtual-switch

# delete internal

# end


無事にスイッチインターフェースが解除されました
(訳があり、以下キャプチャは、100Dの画面です)
sw02

東龍の小さな巨人

こんにちは。ささです。

最近、寒くて、外の出るのをためらう事が多かったですが

昨日は思い切って、武蔵野の森スポーツプラザに「春の高校バレー2019」準決勝を観戦に行きました
haru02

どちらかというと、男子の鎮西、洛南がお目当てだったのですが・・

1試合目の、「下北沢成徳(東京第一)」VS「東九州龍谷(大分)」の試合がすごかった!!
結果は、フルセットの末、東龍の勝利なのですが
haru01

内容がすばらしい。両チーム、ボールを「落とさない」、「つなぐ」
どちらが勝つか、最後の1球まで分からない、すごい試合でした

私は、関東在住ですし、石川も気になるので、最初は「下北沢成徳」推しでした

ただ・・

東九州龍谷の「7番」がすごい!!!

室岡選手、162cmなのに、180cm近い相手に、フェイントを使わず、スパイクを打ち抜くんです
「すごい!!」
ジャンプは、最高到達点が297cmとの事。180cmの選手と変わらないと・・そんな事って
リアル日向翔陽
まさに、東龍の「小さな巨人」

あれだけ、身長の高い選手がいる中で、1年生で162cmの室岡選手に、あれだけトスが上がるって
チームからも認められてるって事

あと、スパイクだけじゃなく
・レシーブ
・ブロック
もすごかった!
ブロックの穴になりそうなところですが、結構ブロックで止めてたものなぁ

バレーって、やっていると、身長は?身長は?って言われ続けるスポーツ
身長が高ければ、経験が少なくても、選ばれる
そんな理不尽な経験が多いんですよ

そんな中、室岡選手は、バレーボール選手希望の星だな。
今後も応援していきたいと思います

余談ですが、春高のツッキーのポスター
欲しいなぁ
haru03


Windows Server 2016で証明機関を構築

こんにちは

最近、リモートから社内へ接続するときに、ユーザー認証だけではなく、端末認証もかけたいと、声をもらう事があります

今回は、端末認証を行う際、証明書を発行する為、Windows Server 2016で「プライベート認証局」を作ってみたいと思います

「プライベート認証局」とは、ブラウザなどにあらかじめルート証明書が組み込まれている「パブリック認証局」とは違い、社内だけなど限られた範囲で使用される、認証局です

Windows Server 2016で認証局を構築する

1.証明機関の役割をインストール
今回は、仮想環境で作成したWindows Server 2016ドメイン環境に、証明機関をインストールします
テスト環境ですので、DCと共存させます
証明機関の構成については、MSの推奨を見ると、階層構造のようですが、今回は、単純にリモート接続時の認証用に使用するだけですので、1階層で構築します
ad1

まず、「役割と機能の追加」から「Active Directory証明書サービス」にチェックを入れます
さらに、「役割サービス」で「証明機関」「証明機関Web登録」にチェックを入れ、
インストールします

2.証明機関の構成
役割のインストールが終わったら、構成を行います
資格情報はドメイン管理者で、そのまま次へ
ad2


構成する役割サービスを選択します。「証明機関」「証明機関Web登録」をチェックし次へ
ad3


CAは「エンタープライズCA」を選択します
ad4


1階層ですので、「ルートCA」を選択し次へ
ad5


ルート証明書用の「新しい秘密キーを作成する」を選択し次へ
ad6


暗号化オプションはそのままで、次へ
ad6

CAの名前はそのままで、次へ
ad8


有効機関はデフォルト5年ですので、ここはそのままでも、変えても良いです。次へ
ad9

データベースの場所はそのまま、次へ
ad10

構成をクリックします
ad11

以上で構成が完了です
ad12

次回は、サーバー証明書の発行をしてみたいと思います


L字デスク用の「棚」をDIY

こんにちは、
明けましておめでとうございます。本年もよろしくおねがいします

先日「L字デスク」をDIYをした事を書きました

diy5

自分で作成しただけあって、使い勝手がいいのですが、
物の置き場所が、不足している感じがします

もう少し、使いやすくしたいと思い

今回、デスクに合わせた「棚」を作りたいと思います

L字デスク用「棚」を作る

棚を作るため、まずは「図面」を書きます
図面作成用のアプリなどは無いので、Excelで作成
diy11
簡単なもので良いです。図面を作成する事で、必要な材料の計算が出来ますので、重要!!

必要な材料を「ホームセンターコーナン」へ
今回は、安めに抑えたいので、耐久性はガマンして、
1×4材を支柱、棚は前回デスクを作成した余りの材料を使用します
diy12

あと、棚はある程度重さがあるモノを置くので、コーススレッドで止めるだけでは不安です
座金を購入して、補強します
diy22


デスクであまった材料はサイズが合わないので、棚用に切る必要があります
diy13

これだけのサイズを、まっすぐ切るのは、かなり難しい、というか「不可能」
そのため、Amazonのちからを借りて、「ソーガイド」を購入
diy14

diy15

併せて、木材を固定するため、ダイソーで「F字クランプ」を購入
diy16

説明書を見ながら、図面どおりのサイズに、棚用の木材を切っていきます
diy17

慣れないせいか、曲がりましたが、「それも味かなぁ」と
とりあえず切れました
diy18

次は、木材の保護もあり、デスクと同じ塗料「油性オイルステン」を使用して、塗ります
diy19

diy20

1日乾かします
晴れている日が2日必要なんですよね~

あとは組み立てですが、うまく組み上がりました
diy21

やっぱり、自作は良いです!!

スポンサードリンク
プロフィール

ささ

名前:ささ
関東地方に住む40代、子供2人と妻と猫とで暮す
主に「ITインフラ系」の構築に携わる。今の会社は転職の末、お世話になり早20数年。保有資格は、「ネスペ」「セスペ」など
最近、「ソロキャンプ」「DIY」を趣味にするため、いろいろと準備中