ども。こんばんは。

先日購入したFortiGate 90Dへリプレースの準備をしていきます。

今回はヤフオクで購入。3台購入しました。(私と後輩2人で共同購入。)

Tポイント5000ポイントくらい使って1台、¥21,700ってところですね。
ライセンスが2020年6月まで残っています。

FortiOS 5.6が使えて、価格も比較的安くとてもいい機種だと思っています。

ではリプレースに向けて設定をいれていきます。

なお、FortiOS 5.6のあれこれはこちらにまとめていきます。

FortiOS 5.6メモ(随時更新したい)

まずは、ファームウェアをあげます。もうズドンとあげます。
※事前にWAN1のIPアドレスを変更してインターネットにつながる状態にしています。
初期では、LAN1でDHCPが走っているので、LAN1に繋いで「192.168.1.99」につなげばGUIが見れます。これも大昔からの伝統ですねー。

ズドンと上げたら一応execute factoryresetをしています。なんとなく気持ち悪いので。
※一同factoryresetする前にAVとか諸々最新にできたことを確認しました。

■とりあえずVDOMを有効化

FortiOS 5.6メモ(随時更新したい)を参照。

■基本的な設定

・ホスト名変更
・タイムゾーン変更
・管理者パスワードの追加
・ハードウェアスイッチを削除(後述のroot VDOMのポリシーを消してから)
 ・SSLのポートを10443に変更(SSL-VPNとかぶるので)

■VDOMを追加

・今回は、今のJuniper SRXのVirtual Routerと同じ構成にするつもりなので2つ設定。
両方ともフローベースだぜ!NGFWもポリシーベースだぜ!(←詳細はFortiOS 5.6メモ(随時更新したい)を参照。)

・VDOM rootにあるIPv4ポリシーを消す。
※wan1インターフェースがrootから別のvdomに移動できないため。

・とりあえずFeature Visibilityは全部onに。

・Implicit Policyのロギングを有効に。

■インターフェースを設定

・リンクアグリゲーション

・・・は、100D以上じゃないとできないってよ・・・。

しょうがないので、今回はWAN1とWAN2をそれぞれTrunkでL3とつなぎ、WAN1側にCTUにつながるラインを、WAN2側に既存のLAN側になる部分を繋ぐ設計にしよう。

・VLANインターフェースとしてPPPoE用のインターフェースを2つ作成しそれぞれのVDOMへ
いま、PPPoE喋るインターフェースってUntaggなんだよなー。FortiGateだとVLANインターフェイスだとタグつけなきゃダメかー。。。

→当然ながらVLANID同一で複数サブインターフェースは切れないので、今回は諦めてWAN1とWAN2それぞれ物理インターフェースを使うことに。

・VLANインターフェースを作成
Internal1の下にそれぞれ作って、それぞれのVDOMに割当。

■VDOM Linkとroot VDOMからFortiGuardへの抜け設定

・FortiGuardはrootから出ていくので、root VDOMのスタティックルートをvdom linkに抜ける。
多分、vdom linkのインターフェースにIPアドレスを振っておかないと出ていけないっぽい。
※IPアドレスが0.0.0.0/0.0.0.0の場合は、通信ログに何も乗ってこなかった。

■セントラルNATの設定

・今回NGFWをポリシーベースにしたのでポリシー毎にSNAT(送信元NAT)できないので設定する。これVirtual IPの設定したら、逆方向(サーバ発信)もNATされる・・・よね?

■Virtual IPの設定

・これは普通に設定する。

■ポリシー

・ひたすら以降中。

一旦今日はここまで。

ではでは。またの機会に。