ども。こんばんは。
先日購入したFortiGate 90Dへリプレースの準備をしていきます。
今回はヤフオクで購入。3台購入しました。(私と後輩2人で共同購入。)
Tポイント5000ポイントくらい使って1台、¥21,700ってところですね。
ライセンスが2020年6月まで残っています。
FortiOS 5.6が使えて、価格も比較的安くとてもいい機種だと思っています。
ではリプレースに向けて設定をいれていきます。
なお、FortiOS 5.6のあれこれはこちらにまとめていきます。
まずは、ファームウェアをあげます。もうズドンとあげます。
※事前にWAN1のIPアドレスを変更してインターネットにつながる状態にしています。
初期では、LAN1でDHCPが走っているので、LAN1に繋いで「192.168.1.99」につなげばGUIが見れます。これも大昔からの伝統ですねー。
ズドンと上げたら一応execute factoryresetをしています。なんとなく気持ち悪いので。
※一同factoryresetする前にAVとか諸々最新にできたことを確認しました。
■とりあえずVDOMを有効化
■基本的な設定
・ホスト名変更
・タイムゾーン変更
・管理者パスワードの追加
・ハードウェアスイッチを削除(後述のroot VDOMのポリシーを消してから)
・SSLのポートを10443に変更(SSL-VPNとかぶるので)
■VDOMを追加
・今回は、今のJuniper SRXのVirtual Routerと同じ構成にするつもりなので2つ設定。
両方ともフローベースだぜ!NGFWもポリシーベースだぜ!(←詳細はFortiOS 5.6メモ(随時更新したい)を参照。)
・VDOM rootにあるIPv4ポリシーを消す。
※wan1インターフェースがrootから別のvdomに移動できないため。
・とりあえずFeature Visibilityは全部onに。
・Implicit Policyのロギングを有効に。
■インターフェースを設定
・リンクアグリゲーション
・・・は、100D以上じゃないとできないってよ・・・。
しょうがないので、今回はWAN1とWAN2をそれぞれTrunkでL3とつなぎ、WAN1側にCTUにつながるラインを、WAN2側に既存のLAN側になる部分を繋ぐ設計にしよう。
・VLANインターフェースとしてPPPoE用のインターフェースを2つ作成しそれぞれのVDOMへ
いま、PPPoE喋るインターフェースってUntaggなんだよなー。FortiGateだとVLANインターフェイスだとタグつけなきゃダメかー。。。
→当然ながらVLANID同一で複数サブインターフェースは切れないので、今回は諦めてWAN1とWAN2それぞれ物理インターフェースを使うことに。
・VLANインターフェースを作成
Internal1の下にそれぞれ作って、それぞれのVDOMに割当。
■VDOM Linkとroot VDOMからFortiGuardへの抜け設定
・FortiGuardはrootから出ていくので、root VDOMのスタティックルートをvdom linkに抜ける。
多分、vdom linkのインターフェースにIPアドレスを振っておかないと出ていけないっぽい。
※IPアドレスが0.0.0.0/0.0.0.0の場合は、通信ログに何も乗ってこなかった。
■セントラルNATの設定
・今回NGFWをポリシーベースにしたのでポリシー毎にSNAT(送信元NAT)できないので設定する。これVirtual IPの設定したら、逆方向(サーバ発信)もNATされる・・・よね?
■Virtual IPの設定
・これは普通に設定する。
■ポリシー
・ひたすら以降中。
一旦今日はここまで。
ではでは。またの機会に。