ヤフオクで購入した 「FortiGate 60Fを設定」

今から5年くらい前に、「FortiGate 50E」をヤフオクで購入し、自宅のネットワークに接続して使用してました。

ただ、そのFortiGate50Eも、今から2年くらい前に、UTMライセンスが切れてしまい、取り外しをしてからは、我が家のネットワークにはファイアウォールは無くなってしまいました。

その為、現在の我が家のネットワークセキュリティはゆるゆるです。

このままでは、いけないと思い。
再度、FortiGateを購入して、我が家のネットワークセキュリティ向上を計画。

現在は、FortiOSも「Ver7.X」になり、新しい機能も追加されていますので、試してみたいという思いから、ヤフオクで、中古のFortiGateを購入をする事にしました。

目次

 FortiGate の購入を計画!

FortiGateを買う事は決めましたが、どの機種にするか?は、まだ決めていませんでした。

そこで、機種選定は、前回「FortiGate 50Eを買って失敗」と感じた点も考慮し、以下内容から機種選定を行いました。

  • 対応OSが多い事(50Eは7.Xに対応しなかった)
  • deep-inspectionを動かしても、遅くならない事
  • コンパクトでコスパが良い事
  • 市場に多く出ているモデルである事

購入対象として選んだのは、「FortiGate 60F」 以上 「FortiGate 100F」 以下

さらに、ヤフオクで落札する基準は、捻出可能金額も考慮して、以下が条件です。

  • ライセンス残期間は1年以上
  • 4万円以下

「FortiGate 60F」をヤフオクで購入しました!

購入対象機器と条件が決まったので、しばらくヤフオクで、出品される中古FortiGateをウォッチを行い、購入したのが以下です。

機種は「FortiGate 60F」です。ライセンスも2025年9月まであります。

FortiGate 60F
ヤフオク商品説明

まだ、FortiGateGモデルが出ていない中、比較的、安く買えたのではと思ってます。

まずは、最新OSまでバージョンアップして、自宅にネットワークに繋いでみたいと思います。

購入したFortiGate は、ルーターモードで使用したいのですが、自宅は残念ながら「NURO光」
自由にネットワーク構成を組む事が出来ません

その為、FortiGateのL1機能「Virtual Wire Pair」で接続する事にしました。

 FortiGateで「Virtual Wire Pair」を構成する

「Virtual Wire Pair」とは

Paloaltoでは、良く構成している「Virtual Wire」ですが、L1(ワイヤー)として動作するので、既存環境への影響が低く良い機能です。

同等の機能が、FortiGateでも実装出来るようになりました(確か、OS5.6以降)。
FortiGateでの、機能の名前は「Virtual Wire Pair」です。

今までは、既存環境に影響なく、FortiGateを導入する場合に使用されていたのは「Transparent」モードでした。
モードを「NAT」から切り替える事で、L2で動作することが可能でした。

「Virtual Wire Pair」は、「Transparent」のモード設定とは違い、インターフェース設定です。
ですので、port1とPort2で「Virtual Wire Pair」、Port3とwan1で「NAT/Router」なんて構成も可能です。

ただし、注意する点は
1ポート対1ポートの構成に限られます
また、スイッチポート構成は出来ません

それでは、早速、設定していきたいと思います。。

FortiGate 60Fに「Virtual Wire Pair」設定する

初期状態を想定して、設定してみます。
構成イメージは、以下になります。

構成で、1点注意があります。
「VWP(Virtual Wire Pairの略)」は、L1構成なので、IPアドレスは必要ありませんし、設定も出来ません。
これはこれで良いのですが。

FortiGateでは、ライセンスのアクティベーションや、UTM機能を使用する為(FortiGuardアクセス)など、インターネットへのアクセスが必須です。

ですので、VWPポートとは別に、インターネットアクセス用のポート(ManagemetやWAN2など)にIPアドレスを設定し、インターネットへアクセス出来るようにする必要があります

また、「VWP」設定を行う前提条件として、
「VWP」設定を行うインターフェースは、ポリシーやルート設定などに参照されてないこと。DHCPサーバー設定されていないこと。
もし参照・設定されていたら、解除しましょう。

「internal」インターフェースポートを使用して、「VWP」を設定したいので・・
「internal」に紐づいている、DHCPサーバー設定、ポリシー設定を削除します。

1. DHCPサーバーの削除

以下コマンドを入力します。

config system dhcp server
delete 1
end

2. ポリシーの削除

以下コマンドを入力します。

config firewall policy
delete 1
end

続いて、「internal」スイッチポートを解除します。

3. スイッチインターフェースの削除

以下コマンドを入力します

config system virtual-switch
delete internal
end

スイッチポートが解除されました。

参考:FortiGate管理画面「インターフェース」(キャプチャ忘れの為、以降画面ショットは100Dのものです

4. VWPポートを作成

「ネットワーク」-「インターフェース」-「新規作成」をクリックし、「バーチャルワイヤーペア」を選択します。

バーチャルワイヤ作成画面が開きますので、以下情報を入力・選択し「OK」をクリック
・名前 :任意(例 VWP01)
・インターフェースメンバー:任意(例 internal1,internal2)

バーチャルワイヤペアインタフェースが作成されました。

5. Virtual Wire Pairポリシーの作成

初期状態は何もポリシーがないので、何も通信が出来ません(暗黙のDenyが有効)

許可ポリシーを設定します。

「ポリシー&オブジェクト」-「IPv4バーチャルワイヤーペアポリシー」を開き、新規ポリシーを作成します
※もし表示していない場合は、一度管理画面をログオフし再度ログオンしてください。

今回は、LAN->WAN全て許可、WAN->LANはDHCP通信のみ許可設定を行います

・「ポリシー&オブジェクト」-「IPv4バーチャルワイヤーペアポリシー」-「新規作成」を選択し、以下情報を入力し、OKをクリック

【設定値】
名前 :任意(例 VWP LAN->WAN)
バーチャルワイヤーペア:LAN(internal2)->WAN(internal1)
送信元:all
宛先:all
スケジュール:always
サービス:all
アクション:ACCEPT

同じやり方で、逆方向にDHCPサービスを許可するポリシーを作成します。

6. 管理用ポートの作成

FortiGateはインターネットにアクセスし、アクティベーションが必要です。インターネットへアクセスするポートにIPアドレスを設定し、デフォルトGWを設定します。

今回は「internal7」へIPアドレスと管理アクセス(HTTPS,PING)を設定を行います
キャプチャ忘れの為、値及び画面ショットは100Dのものです

【設定値】
インターフェース名:internal7
エイリアス:LAN
ロール:LAN
アドレス(マニュアル):192.168.X.1/24
管理アクセス:HTTPS,PINGチェック

7. デフォルトGWへのルーティング設定

「ネットワーク」->「スタティックルート」->「新規作成」をクリック、デフォルトGWルートを設定します。

【設定値】
宛先:0.0.0.0/0.0.0.0
インターフェース:internal7 
ゲートウェイアドレス:192.168.X.254

8. 動作確認

FortiGateからインターネットにアクセスできることを確認します。

詳細な設定は省略しましたが、以上で設定出来ました。

最後に、LAN上のPCから、インターネット接続確認を行い完了です。

以上で、自宅ネットワークに、「FortiGate 60F」をVWPで設置が完了しました!

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

コメント

コメントする

CAPTCHA

目次