インターネットが繋がらないトラブルや日常のIT機器に関するいろんな出来事を記事にしています。

Fortigateの設定例。初期設定から高度な機能まで実践してみよう!

Fortigateを使っているネットワークエンジニアのあそおです。

Fortigateってマニュアルが英語だったり、体系化されていなかったりすることが多いのですね。

なので僕自身の僕自身による僕のためのマニュアルを体系化すべくこの記事を作成しました。

ネットの他サイトさんの力も借りて、わかりやすいFortigateの設定ページを目指します。
みんなの知識や経験は集約しなくっちゃね。

※以下、項目だけ記載している箇所は今後随時追記予定です。

Fortigateの基本設定

Fortigate準備編

ログイン

アクセスの仕方

タイムゾーン設定

GUI言語設定

Fortigateは初期値では英語表記です。

僕たちは日本人なので日本語でおけ、というわけで言語を日本語に設定しましょう。

参考

参考:北国のエンジニア雑記

Fortigate GUIの日本語化

管理画面のタイムアウトを延長する

FortigateにGUIでログインしてしばらく放置していると5分後に自動的にログアウトされます。

5分って意外とすぐに過ぎます。

ちょいと面倒なので自動的にログアウトする時間を延長しておきましょう。

参考

参考:FortiGateの設計/設定ガイド
WebUIのタイムアウト時間を延ばす

ローカル側インタフェース設定

インターネットに接続する

参考

参考:WinRoad徒然草
Fortigateの接続設定

ルーティング設定

参考

参考:30代未経験ネットワークエンジニアのblog
Fortigateを初めから設定してみる_スタティックルート

ポリシーベースルーティング設定

WAN回線が2つあると、送信元によって使用するWAN回線を指定したい場合があります。そんな時に使うのがポリシーベースルーティング、PBR。

設定方法とトラブルを経験したので以下の記事にまとめました。

https://iotcry.com/1862.html

ファイアウォールポリシー設定

参考

参考:30代未経験ネットワークエンジニアのblog
Fortigateを初めから設定してみる_ポリシー作成

管理者パスワード変更

Fortigateでインターネットにサーバを公開する

Fortigateを遠隔で接続する

IPsec-VPNで遠隔拠点と接続する

他ブログさんでわかりやすく解説されていますね。

参考

参考:30代未経験ネットワークエンジニアのblog
Fortigateを使ってIPSec-VPNを構築してみる(Fortigate60D-RTX1100編)

FortigateとyamahaのIPSecの組み合わせは結構多そうですよね。

実際に僕の会社のユーザさんでもこの構成パターンは多々あります。

SSL-VPNでPC端末から接続する

参考

参考:30代未経験ネットワークエンジニアのblog
SSL-VPNの設定

クラウドシステムに接続する

Amazon AWSと接続する

【調査中】

Microsoft Azure(アジュール)と接続する

基本的にはIPSecを使用します。

Azure側でもVPNゲートウェイを設定してFortigateとインターネットVPNをはる感じです。

Fortigateのセキュリティ設定

【調査中】

ポリシー設定

Webフィルター

【調査中】

Webフィルターとは

【調査中】

Webフィルターを使う場合

【調査中】

Webフィルターのトラブル

【調査中】

SSLインスペクション

【調査中】

セキュアSD-WAN

【調査中】

アンチウイルス

【調査中】

アンチスパム

【調査中】

SSL/SSHインスペクション

【調査中】

WAF

【調査中】

Fortigateの応用設定

タグvlanでLAN側のセグメントを分ける

一番わかりやすかったのが以下のサイトさん。

参考

参考:イノベーション エンジニアブログ
FortigateのVLAN設定に苦しんだ話

LAN側をvlanタグを付与する形にして複数セグメントを収容するパターンですね。

Fortigateの内側にvlanタグを処理できるスイッチなどがあった場合に設定可能です。

ロードバランサー

【調査中】

ヘルスチェックモニタの作成

【調査中】

バーチャルサーバの作成

【調査中】

リアルサーバの作成

【調査中】

ファイアウォールポリシーの作成

【調査中】

ロードバランサー接続確認

【調査中】

高度な機能を有効化

【調査中】

トラフィックシェーピングで帯域制御する

【調査中】

CLIのみ設定できる内容がある

【調査中】

高度なルーティング設定

OSPFを使いたい

【調査中】

BGPを使いたい

【調査中】

FortiGateのFAQ

出荷時のログインアカウントは何ですか。

admin / パスワードなし です。

パスワード忘れたら以下の記事を参考に。

Fortigateに接続したいのですがコンソールケーブルが無く、しかもFortigaeのLAN側のIPアドレスを忘れてしまいました。どうしましょう。

PCの有線LANのネットワークをDHCPに設定してLANケーブルをFortigateのローカル側のポートに接続してみてください。
うまくいけばIPを取得できます。
デフォルトゲートウェイのIPアドレスがFortigateのIPアドレスの可能性が高いのでブラウザを開いて「https://【ゲートウェイのIP】」で接続してみてください。

もういやだ最初からやりなおす。Fortigateの初期化の方法を教えてください。

電源を切る際にシャットダウン処理は必要ですか。

ブチっと電源を切ってもいいですが、再起動中などFortigateが何かの処理をしている場合は待ちましょう。

コンソールの表示をページングさせない("more"表示を出さない)方法は何ですか。

参考

参考:らくがきちょう なんとなく ~所属組織/団体とは無関係であり、個人の見解です~
ネットワーク機器毎の more 無効化コマンド一覧

CLI、コマンドラインで以下コマンドを設定する。

 config system console
set output standard
end

恒久的な方法しかないのかしらん。

ちなみにmore表示を復活させたい場合は

 config system console
set output more
end

とのことです。

ファームウェアのアップデートはどうすればいいですか。

【調査中】

通信をブロックしたログを調べたいのですが。

デフォルトではブロックログは出ない模様です。

CLIから変更します。

 # config log memory filter
(filter) # set severity information
(filter) # end

参考

参考:とあるネットワーク屋の日常
通信ブロックログの表示

なぜか繋がらなくなりました。どうしてですか。

し、しらんがなw
LANケーブルが抜けてるんじゃないの(適当)
でもあれですね。
FortigateってWebライセンスなどのライセンス契約が切れると一部インターネットのサイトが見れなくなったりしますね。

でもまあ、冗談抜きで基本的な構成をひとつひとつ確認してください。
「この設定はこの機能のために設定している」という感じでひとつひとつ。
めんどくさいですがトラブルシューティングの方法はそれしかないです。

ミラーポートを設定してパケットキャプチャしたいのですが

参考

参考:30代未経験ネットワークエンジニアのblog
Fortigateのミラーポート機能を使ってみた

Fortigateの設定例。初期設定から高度な機能まで実践してみよう!

他サイトさんの力もお借りして、僕の記事がFortigateの辞書になる。

そして僕は仕事で楽ができる(に違いない)

そんなことを目論んで本記事を作成しました。

ついでにあなたのお役にたっていれば棚からぼたもちです。

そういえば最近ぼたもち食べてないな~。

でわでわ~ごきげんよう~さよならさよなら~ノシ

  • B!