ささの備忘録

ITインフラSEの備忘録です ITインフラを中心に、 日々忘れないがちな事を、つぶやいていきます

FortiGate

「FortiGate60D」をUSB経由で管理

こんにちは。

家の近くの公園でも、桜が見ごろになりつつあります
暖かかったら、絶対に花見に行くのですが、昨日から「とにかく寒い」です
この間まで、暑い日もあったのですが、これから花見というタイミングで、
寒くなるんて・・早く暖かくなって欲しいですね

話は変わりますが、先日、Fortinet社主催の「Webiner」に参加しました
「Wienerとは」
ウェビナーは、ウェブとセミナーを組み合わせた造語であり、Webセミナーやオンラインセミナーとも呼ばれる。インターネット上で行なわれるセミナーそのもの、もしくはインターネット上でのセミナーを実施するためのツールを指す


お話をされていたのは、「左門 至峰さん」です

私自身、”ネットワークスペシャリスト”を取得する際に、書籍やWebで良く見かけていましたし、1月にFortiGateの設定本を出版されていたので、是非聞きたいと思ってました

内容は、「 今、必要とされる企業ネットワークセキュリティの勘所」です
おおよそ知っている話が多かったのですが、その中で、

「FortiGateはUSB経由でiphoneで管理ができます」と・・

「えっ。。知らなかった」

という事で、早速試してみました


ipadを使ってFortiGateに接続する

本当は、iphoneを使いたかったのですが、私のスマホはandroidなので、娘のZ会用ipadを使います
ちょっと型は古いですが、まぁ大丈夫でしょう

ipad1

まずは、FortiGate管理用のアプリをダウンロードします
AppStoreで「Fortiexplorer」で検索すると、2個出てきますが、機能が多そうな「Fortiexplorer」をインストールします。ただ、機能制限を解除するには、課金が必要との事・・制限って、嫌な予感がします

ipad2

インストールが完了したら、ipadとFortiGateをUSBケーブルで接続します
ipad4

「Fortiexplorer」を起動すると、自動的に接続しているFortiGateが認識されます
ipad5

接続方式でUSBをクリックします
ipad6

ログイン情報を入力して「Done」をクリック
ipad7

無事接続できました。なんかいい感じのビューです
ipad8


「FortiExplorer」を使ってみる

設定変更はできるのでしょうか

インターフェイスのIPアドレスは変更出来るみたいです。
ipad9

ipad10

但し、ポリシーなどは設定変更や追加は出来ない感じですね
恐らく、このあたりが課金をすれば使用出来るようになるのでしょうか
ipad11

セッション情報をみたいと思い、FortiViewを開きましたが、こちらも思うように見えませんでした
ipad13

課金してみようかと思いましたが、Apple idが娘のものだった為か、ダメでした
ipad12

もし、本当に必要となったときに、制限なしで試してみようと思います。

ちなみに、「FortiExplorer Lite」も同じ感じでした
こちらの方が、見える範囲が狭い感じですね
ipad14


コンソールケーブルからCUIだと、分かりにくい部分を、補足する感じで使える気がします

FortiGateでログを保存するには

こんにちは。
引き続き、FortiGateについて書きます。ログについてです。
FortiGateのログは、分かりにくいですね。どこにどんなログが出るのか?
分かる範囲で整理してみたいと思います。

ログの保存先について

FortiGateのログの保存先として、以下があります
内蔵メモリ---私の使っている「FortiGate60D」をはじめとして、ディスクを内蔵しない機器デフォルト保存先。とにかく容量が少なく、再起動で消えるので、長期保存は不可能です。
内蔵ディスク---Eモデルだと、末尾1が付く機器(FortiGate101E等)。上位機種。あと、Dモデルだと100Dや200Dもディスクを積んでました。ある程度の保存は可能です
FortiCloud---無償版は7日なので、内臓メモリよりは良いですね
FortiAnalyzer---高価ですが、本気でログを保存するなら、これでしょうか
Syslogサーバー---別途、サーバー等構築が必要なので、難易度が高いです。FortiAnalyzerなんかに比べると、ビューがないので、ある程度スキルが必要ですね

ログ保存設定について

60Dの場合は、「ログ&レポート」-「ログ設定」で、メモリがEnableになっていればOKです
log1

取得するログのレベルは、デフォルト”Warning”ですので、とにかくログを取得したい場合は、”information"に変更します
変更はコマンドで行います

#config log syslogd filter
(filter)#set severity information
(filter)#end

また、システムログやローカルログを取得する場合は、以下の箇所で選択しましょう
例えば、VPNのログなんかはここをチェックしないと、ログが出力されません
log2

次回は、ログの確認方法を書いてみたいと思います

FortiGateOS6.03で「SD-WANインターフェース」を試す

こんにちは。
昨日は関東南部では、珍しく「雪」でした。
寒かった。一日中ストーブ&こたつで、しのぎきったのですが、
今日も、雪が残っているせいか、寒い。早くあったかくならないかな。
枝豆とビール!!がおいしい季節が待ち遠しいです。でも暑かったら暑かったで、冬が待ち遠しくなるんだろうなぁ

さて、
自宅でFortiGateを使用している限りは、絶対に使いませんが、今後、会社で使うかも・・
と思い。「SD-WANインターフェース」を試してました。

SD-WANとは

「SD-WAN(Software-Defined WAN)」。広義で言うSD-WANは、拠点間をつなぐWANをソフトウェアによって統合、一括管理し、仮想的なネットワークを実現する事。
FortiGateでも「SD-WAN」というと、いろいろな機能があるようです。
sdwan1

いろいろな機能は、今後必要なタイミングで調べればいいかな
ひとまず、WAN回線の冗長で「SD-WANインターフェース」を設定してみたいと思います

「SD-WANインターフェース」

今回、”wan1”と”wan2”を、「SD-WANインターフェース」として設定して、WAN回線をロードバランスしたいと思います

1.まず、FortiGate60Dを初期化し、デフォルトで”wan1”にかかっている、ポリシーを削除します
2.次に、「SD-WAN」を有効化して、インターフェースメンバーに”wan1”と”wan2”を追加します
sdwan2

3.”wan1” ”wan2”それぞれで、インターネット接続します(今回はPPPoE)
sdwan3

4.ルーティングを設定
sdwan4

5.ポリシーを設定(ひとまず、”internal”->”SD-WAN”すべて許可)
sdwan5

6.最後に、「SD-WANポリシー」を設定します
今回は、デフォルトの「送信元IP」のままにします
sdwan6


PC2台つなげて、インターネット上のサーバーにpingすると
192.168.100.100->"wan1”から通信していることを確認
192.168.100.101->"wan2”から通信していることを確認

HTTPアクセスも同様の動作となりました。
ちゃんと、ロードバランシングしています

”wan1”のLANケーブルを抜線します
sdwan8

pingは1回くらい落ちますが、引き続き、
192.168.100.100->"wan2”から通信していることを確認
192.168.100.101->"wan2”から通信していることを確認

HTTPアクセスも同様の動作となりました。
ちゃんと、障害時も動作しています

なかなか、使えそうな機能です。
次回は、Active-StanbyでのWAN回線冗長構成を試してみたいと思います


FortiGate「Virtual Wire Pair」を使ってみる

こんばんは。

FortiGateの新しい機能を試してみましたので、ご報告です。

Paloaltoでは一般的に使用している、「Virtual Wire」。L1(ワイヤー)として動作するので、既存環境への影響が低く良いです。

同等の機能が、FortiGateでも実装出来るようになりました(OS5.6以降かな?)
「Virtual Wire Pair」です

今までは、既存環境に影響なく、FortiGateを導入する場合に使用されていたのは「Transparent」モードでした。モードを「NAT」から切り替える事で、L2で動作することが可能でした。

「Virtual Wire Pair」は、「Transparent」のモード設定とは違い、インターフェース設定です。
ですので、port1とPort2で「Virtual Wire Pair」、Port3とwan1で「NAT/Router」なんて構成も可能です

ただし、1ポート対1ポートの構成に限られます
また、スイッチポート構成は出来ません

では、早速試してみたいと思います

Virtual Wire Pairインターフェースの作成

初期状態を想定して、設定してみます
構成イメージは、以下になります

vwp05

構成で、1点注意があります。
「VWP(Virtual Wire Pairの略)」は、L1構成なので、IPアドレスは必要ありませんし、設定も出来ません。これはこれで良いのですが・・

FortiGateはライセンスのアクティベーションや、UTM機能を使用する為(FortiGuardアクセス)、インターネットへのアクセスが必須です。

ですので、インターネットアクセス用のポート(ManagemetやWAN2など)にIPアドレスを設定し、インターネットへアクセス出来るようにする必要があります

また、「VWP」設定を行う前提条件として、
「VWP」設定を行うインターフェースは、ポリシーやルート設定などに参照されてないこと。DHCPサーバー設定されていないこと。
もし参照・設定されていたら、解除しましょう

「internal」インターフェースポートを使用して、「VWP」を設定したいので・・
「internal」に紐づいている、DHCPサーバー設定、ポリシー設定を削除します

1. DHCPサーバーの削除
#config system dhcp server
#delete 1
#end

2. ポリシーの削除
#config firewall policy
#delete 1
#end

続いて、「internal」スイッチポートを解除します

3. スイッチインターフェースの削除
#config system virtual-switch
#delete internal
#end

スイッチポートが解除されました
※以降、キャプチャ画面は100Dの画面です
vwp01

4. VWPポートを作成
「ネットワーク」-「インターフェース」-「新規作成」をクリックし、「バーチャルワイヤーペア」を選択します
vwp02

バーチャルワイヤ作成画面が開きますので、以下情報を入力・選択し「OK」をクリック
名前 :任意(例 VWP01)
インターフェースメンバー:任意(例 internal1,internal2)
vwp03

バーチャルワイヤペアインタフェースが作成されました
vwp06


Virtual Wire Pairポリシーの作成

5. 初期状態は何もポリシーがないので、何も通信が出来ません(暗黙のDeny)
許可ポリシーを設定します

「ポリシー&オブジェクト」-「IPv4バーチャルワイヤーペアポリシー」を開き、新規ポリシーを作成します
※もし表示していない場合は、一度管理画面をログオフし再度ログオンしてください。

今回は、LAN->WAN全て許可、WAN->LANはDHCP通信のみ許可設定

「ポリシー&オブジェクト」-「IPv4バーチャルワイヤーペアポリシー」-「新規作成」を選択し、以下情報を入力し、OKをクリック
名前 :任意(例 VWP LAN->WAN)
バーチャルワイヤーペア:LAN(internal2)->WAN(internal1)
送信元:all
宛先:all
スケジュール:always
サービス:all
アクション:ACCEPT
vwp07

同じやり方で、逆方向にDHCPサービスを許可するポリシーを作成します
vwp08


管理用ポートの作成

FortiGateはインターネットにアクセスし、アクティベーションが必要です。インターネットへアクセスするポートにIPアドレスを設定し、デフォルトGWを設定します。

今回は「internal7」へIPアドレスと管理アクセス(HTTPS,PING)を設定
インターフェース名:internal7
エイリアス:LAN
ロール:LAN
アドレス(マニュアル):192.168.X.1/24
管理アクセス:HTTPS,PINGチェック
vwp09

デフォルトGWへのルーティング設定
「ネットワーク」->「スタティックルート」->「新規作成」をクリック、デフォルトGWルートを設定
宛先:0.0.0.0/0.0.0.0
インターフェース:internal7 
ゲートウェイアドレス:192.168.X.254
vwp11

FortiGateからインターネットにアクセスできることを確認します
vwp12

詳細な設定は省略しましたが、以上で設定出来ました。

最後に通信確認を行い完了です
vwp13

「FortiGate60D」のinternalスイッチを解除する方法

どうも、ご無沙汰しておりました。

年が開けてから、仕事が忙しく、暇さえあれば検証をしていた為、更新をさぼってました

今回は、自宅で使用している「FortiGate60D」の”internalスイッチポート”を解除してみたいと思います

60Dは、internalポートが「ソフトウェアスイッチ※」になっており、7ポートもinternalポートとして、使用できます。ただし、そんなには使わないケースも多く、配下にスイッチを置いてしまえば、1ポートで十分かなと思います
※スイッチには「ソフトウェアスイッチ」と「ハードウェアスイッチ」があり、ハードウェアスイッチの方が、CPU負荷が低いので、ソフトウェアスイッチより良いかなと思います。ただし、まとめられるポートに制限があるようです

internalスイッチポートを解除する

スイッチポート(internal)以外から、管理画面にアクセスします。今回はDMZ(10.10.10.1)ポートからアクセスし、コマンドを実行します。コンソールから実施してもOKです。その方が楽ですね

1

<前準備>

スイッチインターフェイス設定を解除するため、デフォルトで紐づいている設定を削除します。

1. DHCPサーバーの削除

# config system dhcp server

# delete 1

# end

※デフォルトではスイッチインターフェイスはDHCPサーバーとしての機能が紐付けされています。

2. ポリシーの削除

# config firewall policy

# delete 1

# end

※デフォルトではスイッチインターフェイスと紐づくポリシーが設定されています

<スイッチインターフェース解除>

デフォルトで設定されたスイッチインターフェイスを削除します。

# config system virtual-switch

# delete internal

# end


無事にスイッチインターフェースが解除されました
(訳があり、以下キャプチャは、100Dの画面です)
sw02

スポンサードリンク
プロフィール

ささ

名前:ささ
関東地方に住む40代、子供2人と妻と猫とで暮す
主に「ITインフラ系」の構築に携わる。今の会社は転職の末、お世話になり早20数年。保有資格は、「ネスペ」「セスペ」など
最近、「ソロキャンプ」「DIY」を趣味にするため、いろいろと準備中