FortiGate トランスペアレントモードへ変更 【FortiOS v6.2.3】(修正・修正2)
FortiOS 5.4 以降はGUIでの設定項目が無くなっているため
CLIコンソールからコマンドで設定する必要がある
CLIコンソールからコマンドで設定する必要がある
以下は FortiOS ver.6.2.3 で実施しています。
(※バージョンによってはメニュー表示名が異なります)
デフォルトの動作モードはNATモードですが
上位ルーターが192.168.100.1の場合
下位にFortigateを取り付けると192.168.1.99からIPを払い出されるため
下位のネットワーク環境が変わります。
トランスペアレント(透過)モードは、その名の通りルーターから
払い出されるIPを透過するため、既存のネットワーク環境を生かしたまま
Fortigateを導入することができます。
◆CLIで設定方法
Web管理画面右上の >_ をクリックしCLIコンソールを開き
以下のコマンドを実行する
config system settings
set opmode transparent
set manageip 192.168.100.10 255.255.255.0
※ 機器に割り当てるIPとサブネットマスク
set gateway 192.168.100.1
※ デフォルトゲートウェイ値 WAN接続されているルーターのIP
end
[Cannot change to Transparent mode because this vdom contains managed switches and switchctl-vlans.
ここまでだとルーターからのDHCPが割り当てられないため
◆DHCPプロトコルを許可する方法
Web管理画面 > ポリシーオブジェクト > IPv4ポリシー > 「新規作成」
以下のように設定
①
名前:LAN-WAN1
着信インターフェース:LAN
発信インターフェース:WAN1
送信元:ALL
宛先:ALL
スケジュール:ALWAYS
サービス:DHCP
アクション:ACCEPT
インスペクションモード:フローベース
以下デフォルト
続いて
②
名前:WAN1-LAN
着信インターフェース:WAN1
発信インターフェース:LAN
送信元:ALL
宛先:ALL
スケジール:ALWAYS
サービス:DHCP
アクション:ACCEPT
インスペクションモード:フローベース
以下デフォルト
以上です。
◆CLIで設定方法
Web管理画面右上の >_ をクリックしCLIコンソールを開き
以下のコマンドを実行する
config system settings
set opmode transparent
set manageip 192.168.100.10 255.255.255.0
※ 機器に割り当てるIPとサブネットマスク
set gateway 192.168.100.1
※ デフォルトゲートウェイ値 WAN接続されているルーターのIP
end
[補足]
上位モデルの場合などはエラーがでた時の対処方法
[Cannot change to Transparent mode because this vdom contains managed switches and switchctl-vlans.
Please clear managed-switches, disable fortilink and retry.
node_check_object fail! for opmode transparent
Attribute 'opmode' value 'transparent' checking fail -7610
Command fail. Return code -7610]
・fortilink
Web管理画面 > ネットワーク > インターフェース > アグリゲート
fortilink を右クリックし編集をクリック
IPアドレス を Static(マニュアル) に変更し保存します。
その後、同じfortilink を右クリックし
set status > 無効
にします。
再度上記コマンドを実行すれば、大丈夫だと思います。
ここまでだとルーターからのDHCPが割り当てられないため
Fortigateへの通信が切断されます。
ルーターからDHCPにて割り当てを行っている場合は
設定するPCのIPアドレスも先に固定に変更しておきましょう
※すでに上記でトランスペアレントモードに変更した場合は
DHCPが無効になっているため、設定PCのIPは固定にしておいてください。(上記設定例だと 192.168.100.2 など)
次にデフォルトでは、ブロードキャストトラフィックが遮断されているため
ブロードキャストトラフィックを許可します。
◆ブロードキャストトラフィックを許可する方法
上記と同じくコンソール画面から以下のコマンドを入力します。
config system interface
edit wan1
set broadcast-forward enable
next
edit internal
set broadcast-forward enable
end
◆DHCPプロトコルを許可する方法
Web管理画面 > ポリシーオブジェクト > IPv4ポリシー > 「新規作成」
以下のように設定
①
名前:LAN-WAN1
着信インターフェース:LAN
発信インターフェース:WAN1
送信元:ALL
宛先:ALL
スケジュール:ALWAYS
サービス:DHCP
アクション:ACCEPT
インスペクションモード:フローベース
以下デフォルト
続いて
②
名前:WAN1-LAN
着信インターフェース:WAN1
発信インターフェース:LAN
送信元:ALL
宛先:ALL
スケジール:ALWAYS
サービス:DHCP
アクション:ACCEPT
インスペクションモード:フローベース
以下デフォルト
以上です。