【Fortigate】運用中のFG60D(v6.0.9)をTransparentモードからNATモードへ変更してみた


こんにちわ。かみーです。Qiitaお初!

本記事では、運用中のFortigateをTransparentモードからNATモードにしてみた時のことを記載していきます。
なんでそんなことをしようとしたから?簡単に言うと、CEルータ配下を全て同一セグとしていたのを「CEルータとFW間のセグを作る」「FW以下をLANセグとする」という要件をおうちNWで実現しようと思ったから・・・です。なんとなく。

◇構成

構成図を置いておきます。

<作業前の構成>

<作業後の構成>

◇作業の前提

作業実施にあたって心がけたこと

  ・クライアント端末側に手間をかけない(DGWやDNSの変更はインフラ機器側で巻き取る)
  ・DHCPサーバ機能をCEルータからFortigateへ移す(DHCPリレーエージェントとかは使わない)
  ・現行で動いている監視機能(死活監視、SNMPのリソース取得)はそのまま動かす
  ・リモート作業で完結させる

こちらを心がけていきました。

◇実際にやった内容(概要)

凡例:(項番) [実施した機器] 実施した作業内容

  • (1) [各機器]バックアップconfigを取得
  • (2) [CEルータ]変更後構成のセカンダリIPを付与
  • (3) [CEルータ]LAN向けのStaticルートを追加
  • (4) [Fortigate]動作モードをTransparentからNATモードに変更(GUIで実施)
  • (5) [Fortigate]WAN/LANのinterface設定(IP)、DGWの設定
  • (6) [Fortigate]ポリシーの復元
  • (7) [Fortigate]DHCPサーバ機能の有効化
  • (8) [CEルータ]DHCPサーバ機能の無効化
  • (9) [監視機器]CEルータ監視のIP変更

Fortigate分は太文字にしました。
なお、項番4にて動作モードを変更するとFirewallポリシーは全部消えます。
「LAN→WAN」のポリシーにAny Permitがポツンと残ります。

◇実際にやった内容(詳細)

※[CEルータ]での内容は本記事では省略します。

(1) [各機器]バックアップconfigを取得


※GUIで実施。ログイン後に右上のアイコン > 設定 > バックアップ
 CLIの場合は「show full-configuration」

(4) [Fortigate]動作モードをTransparentからNATモードに変更(GUIで実施)

システム設定 > オペレーションモード
でNATを選択します。選択して適用すると機器の再起動が発生し、通信断も発生しますので注意。
(画像キャプし忘れました\(^o^)/)
※GUIで実施。Transparentで動作時のみ、動作モードの項目がGUIに表示される。

(5) [Fortigate]WAN/LANのinterface設定(IP)、DGWの設定

まずはInterfaceのIPを設定


GUI:ネットワーク > インターフェース
internal(LAN側)、wan2(WAN側)のIPアドレスを変更していく。

次にルート設定(DGWをCEルータに向ける)


(6) [Fortigate]ポリシーの復元

バックアップしていたコンフィグから、CLIで流し込みします。

config firewall policy
    edit 1
    :
    :
  next
end

※Firewallルールは項番(1)で取得したコンフィグ中で[config firewall policy]からその次の[end]までがFirewallPolicyの部分となります。

(7) [Fortigate]DHCPサーバ機能の有効化

DHCPサーバ機能はinterfaceの部分から設定をしていくようです。

これであとは下記のような動作確認をして完了としました。
  ・FortigateからCEルータ(172.16.0.254)へのping疎通が可能なこと
  ・Fortigateからインターネットへ抜けてping疎通が可能なこと(8.8.8.8でテスト)
  ・DHCPによって端末にIPを割り振られること
  ・端末がインターネットへ抜けられること
  ・死活監視、SNMPリソース監視ができること

◇感想

  • これだけの内容なのにいざアウトプットしようとすると全然文章がまとまらねぇ!
  • 読みやすい記事って思って書いたけど行間の処理が上手く出来ねぇ。
  • Yamahaにおいて、SSHなどのサービス許可するホストを指定する際に「LAN1」などのインタフェースを指定できるのだけどこれは「LAN1側での通信を許可する」のではなく「LAN1が属するセグメントを許可する」ということなので注意。 ※snmpは32bitのIP指定、SSHはLAN1指定・・・としていたのだが、snmp通信は通るのに、SSH通信ができず・・・というところで少しハマった。

ここまでお読みいただきありがとうございました。それでは!