FortiClientのIPSec-VPN設定

FortiClientのインストール

それでは、Foritigate側のIPSec-VPNの設定は終わりましたので、次は、クライアントのPCの設定をします。

Fortinet社のサイトからFortiClientをインストールします。

インストール先はhttp://www.forticlient.com/standard.htmlです。

32ビット用と64ビット用のインストール先は別ですので、お使いのPCにあわせて選んでください。

32ビットの場合は、次のページの「Download Now」と書かれた大きなボタンをクリックしてください。

64ビットの場合は、次のページの右上にある「Download Now」と書かれた小さな文字をクリックしてください。

① 「FortiClient SSL VPN」にチェックを入れてOKボタンを押します。

② 次へを押します。

③ 「フリーエディション」にチェックをいれて「次へ」をクリックします。

④ 「ソフトウエアライセンス条項に同意します」にチェックを入れて、「次へ」をクリックします。

⑤ セットアップの種類の選択で「カスタム」をクリックします。

⑥ 「IPSecVPN」以外のチェックを外して、「次へ」をクリックします。

⑦ 注意書きを読んでから、「インストール」をクリックします。

⑧ 「セットアップ終了」の案内が出たら、FortiClientのインストールは終了ですので、「完了]ボタンを押してください。

⑨ しばらく自動設定の画面が出てから「Wellcome」と出ますので、ご自身の環境に合わせて、「更新」ボタンをクリックすれば、設定完了の案内が表示されます。

FortiClientのIPSec-VPNの設定

FortiClientをインストールしたら、以下のように設定して下さい。

① クライアント側PCのFortiClientを起動します。

② 「VPN」→「接続」→「詳細」→「追加」をクリックします。

③ 「接続名」(任意)を入力します。

④ 「VPNタイプ」は「手動VPN」を選択します。

⑤ 「リモートGW」はFortigateで設定したリモートのグローバルIPアドレスかドメイン名(ダイナミックDNSも可)を入力します。

⑥ リモートネットワークは「リモート側のIPアドレス」(例:192.168.11.0/255.255.255.0)を入力します。

⑦ 認証方法は「事前共有鍵」を選択します。

⑧ 「事前共有鍵」には、Fortigateで指定した事前共有鍵を入力します。

⑨ さらに、「詳細」をクリックします。

⑩ 詳細設定の画面で。ポリシの設定をクリックして、Fortigat側の接続設定と合っていることを確認します。

⑪ 接続設定の詳細に問題がなければ、「OK」を押します。

⑫ 戻って、仮想IPアドレスを取得にチェックをいれ、右の設定をクリックします。

⑬ 「仮想IP取得」のダイアログで「手動取得」にチェックを入れます。

⑭ IPとサブネットマスクはFortiGateの「ファイアーウォール」-「アドレス」で指定したIPアドレスを入力します。

⑮ DNSサーバーは、リモート側で使用しているDNSを設定します。

⑯ 「拡張認証」にチェックを入れ、設定をクリックします。

⑰ 「自動ログイン」にチェックを入れ、Foritigateで設定したユーザー名とパスワードを入力します。

⑱ 「OK」をクリックすれば、設定は完了です。

⑲ 設定完了後、「接続」をクリックすると、FortiClientで会社のネットワークに接続できます。

タグ

2011年5月2日 | コメント/トラックバック(0) |

カテゴリー:Fortigate

FortigateでIPSec VPNの設定

IPsec用のアドレス追加

では、実際にFortigateを使って社員が自宅など外部のPCからVPNで、会社のサーバにアクセスできるように設定をします。

まず、会社のIPSec-VPN用のアドレスを作成します。

① 「ファイアウォール」→「アドレス」→「アドレス」を選択します。

② 「Create New」ボタンをクリックします。

③ 任意のアドレス名を入力します。ここでは、「IPSec-VPN」としておきます。

④ タイプは「サブネット/IP範囲指定」を選択します。

⑤ 「サブネット/IP指定」にVPNで使用するFortigateのアドレス範囲を指定します。ここでは、「192.168.1.0/24」を指定します。

⑥ インタフェースは「Any」を選択します。

⑦ 「OK」ボタンを押せば、会社のIPSec-VPN用アドレスが作成されます。

Fortigate側のIPSec VPNトンネルの設定

AutoIKEを使って、社員PCと会社のサーバのIPSec-VPNを確立します。

① 「VPN」→「IPSec」→「自動鍵(IKE)」を選択します。

② 「フェイズ1を作成」ボタンをクリックします。

③ 名前を決めます(任意)。ここでは、「IPSec_Phase1」としておきます。

④  リモートゲートウェイは、「ダイアルアップユーザ」を選択します。

⑤ IPアドレスは、グローバル固定IPアドレスを利用する場合は、グローバル固定IPを(例:210.147.147.55)、ダイナミックDNSを利用する場合は、ダイナミックDNS名(例:winroad.ddo.jp)を入力します。

⑥ ローカルインタフェースは「Wan1」を選択します。

⑦ モードは「アグレッシブ」を選択します。

⑧ 認証方法は「事前共有鍵」を選択しします。

⑨ 6文字以上の文字列を入力します。

この文字列は、クライアント側の設定をするときに必要ですので、忘れずにメモっておいて下さい。尚、第三者には絶対に見られないようにして下さい。

⑩ あらゆるピアIDを受け入れるにチェックを入れます。

⑪ 「特別オプション」をクリックします。

⑫ 「XAUTH」の「クライアントを有効にする」にチェックを入れます。

⑬ 「ユーザー名」と「パスワード」を入力します。

⑭ 「OK」ボタンをクリックすれば、Phase1が作成されます。

次にIPSec Phase 2を作成します。

① 「VPN」→「IPSec」→「自動鍵(IKE)」を選択します。

② 「フェイズ2を作成」ボタンをクリックします。

③ 名前は任意で指定してします。ここでは、「IPSec_phase2」としておきます。

④ フェイズ1には先ほど作成した名前を指定します。ここでは、「IPSec_Phase1」を選択します。

⑤ 「特別オプション」をクリックします。

⑥ 「リプレイ検知を有効にする」にチェックを入れます。

⑦ 「PFSを有効にする」にチェックを入れます。

⑧ 「DHグループ」は5を選択します。

⑨ 「鍵の有効時間」を決めます。

⑩ 「自動キーアライブ」の有効にチェックを入れます。

⑪ 「DHCP-IPSec」の有効にチェックを入れます。

⑫ 「OK」をクリックします。

VPNトンネルのためのファイアウォールポリシーの設定

VPNトンネルのための専用のファイアウォールポリシーを設定します。

① 「ファイアウォール」→「ポリシー」→「ポリシー」を選択します。

② 「Create New」ボタンをクリックします。

③ 送信元インタフェースは「internal」を選択します。

④ 送信元アドレスは先「all」を選択します。

⑤ 宛先インタフェースは「Wan1」を選択します。

⑥ 宛先アドレスは、先ほど作成したアドレス(ここでは、IPSec_VPN)を選択します。

⑦ スケジュールは「always」、サービスは、「ANY」、アクションは「IPSEC」を選択します。

⑧ VPNトンネルは、作成した「IPSec_phase1」を選択します。

⑨ 「OK」ボタンをクリックします。

これで会社側の設定は終了です。次にクライアント(社員)側のPCにFortiClientをインストールして、設定をすれば、FortigateでIPSecVPNを使った通信が構築できます。

タグ

2011年4月26日 | コメント/トラックバック(0) |

カテゴリー:Fortigate

VPNの基本

VPNとは

拠点間(営業所と営業所)を通信で結ぶ場合、専用線を使った通信が主流でした。しかし専用線はコスト的に割高なので、インターネットを利用して安全な通信ができないのかと開発された技術がVPN(Virtual Private Network)、つまりバーチャル(仮想的)なプライベート空間です。

そのVPNもIP-VPNとインターネットVPNに大別できます。IP-VPNは通信事業者の独自の通信網の中でVPNを構築するサービスで、インターネットVPNは、完全に開かれたインターネットの中で仮想的な空間作り出す技術です。

FortigateのVPNは、IPSec、PPTP、SSLなどの技術を使い、Fortigate本体と、クライアントPCにインストールしたソフトウエアを使って実現するインターネットVPNです。

IPSec VPNとは

IPSecとは、インターネットの標準化団体であるIETFが定めた、インターネットVPNを構築するためのプロトコル(言語又は手順書)の総称です。このIPSecを利用してVPN接続を構築する技術がIPSec VPNです。

IPSecは、OSI参照モデルの第3層(レイヤ3)であるネットワーク層レベルで暗号化、認証、改竄防止をしていますので、IPSecを実現すれば、そのままネットワークとネットワークの通信路に専用線のような安全性をもたらします。

IPSecでは、通信の始めにどんな鍵を使うかを決め、その後にその鍵アルゴリズムで作成した共通鍵を送ります。この作業は、SSLやSSHなどの鍵交換の手順よりもはるかに複雑なため、IPSecでは、この鍵交換だけを独立したプロトコルとしています。これをIKE(Internet Key Exchange)といいます。

さらにIPSecでは、暗号化の手順の為のプロトコルであるESP(Encapsulatig Security Payload)や認証とデータ改竄防止の為のプロトコルであるAH(Authentication Header)を使って暗号化通信を実現しています。

IKEによる鍵交換

コンピュータが複数の相手と同時に暗号化通信を行うためには、相手に応じた暗号鍵を作成し、使い分ける必要があります。その暗号鍵を使い分ける概念がSA(Security Association)といい、そのSAにはSPI(Security Pointer Index)が関連づけられます。

SPIはその通信で使用する暗号鍵などを示す32ビットの整数で、暗号化通信で送信される各パケットに挿入されます。 SAは手動で設定することもできますが、管理を容易にするために自動的に鍵の生成を行うシステムが必要となります。

IKEは、「ISAKMP/Oakley」という鍵交換プロトコルを元にして作成されたプロトコルで、IPSecの標準となっています。

ESPによるデータの暗号化

IKEによって作成されたSPI値を元に暗号化通信が始まります。IPSecの暗号化プロトコルがESPです。 ESPには大別して、トランスポートモードとトンネルモードという2つの暗号化モードがあります。

トランスポートモード

トランスポートモードでは、双方のホストがIPSecマシンとして機能します。ですので、トランスポートモードはイントラネットでのコンピュータ同士の暗号化通信で利用します。トランスポートモードは、ホストとホストの間の暗号化通信路の構築ですので、SSHのような使い方となります。

トンネルモード

トンネルモードでは、IPSecをインストールしたルータをゲートウェイとしてネットワーク同士を接続します。このサイトのFortigateでは、こちらを利用して暗号化通信を行います。トンネルモードでは、送信元ゲートウェイで暗号化・カプセル化したパケットを、受信元ゲートウェイでカプセルを外して中身を内部のネットワークに送ります。

SSL-VPNとは

SSL(Secure Socket Layer)とは、SSLサーバ証明書が導入されているサイトにhttpsから始まるURLでアクセスする事で通信の暗号化及び、ウェブサイトの運営者を確認する事ができるプロトコルのことです。このSSLを利用して安全にVPNを構築しようとする技術が、SSL-VPNです。

SSLが導入されているサイトでは、ブラウザに鍵マークのアイコンが表示されます。あなたの情報は暗号化され通信中の漏洩を防ぐことができます。SSLについては、私の会社のサーバにも導入する予定ですの、後日詳しく記載していきたいと思います。

SSLによるVPNはIPSecのようなネットワーク間の暗号化通信ではなく、ホストとリモートネットワークの暗号化通信の構築です。SSL-VPNの事をリモートアクセスVPNとも呼びます。

SSLサーバをVPN装置とするためには、リバースプロキシ方式が採用されます。そのためSSLゲートウエイをDMZに設置します。

リバースプロキシ方式とは、リモートアクセスからのSSL接続要求をSSLゲートウェイで解釈し、イントラネット内のサーバへのHTTP接続要求に返還してファイアウォールを通過する方式です。

ほとんどのWebブラウザはSSLに対応していますので、Webベースのアプリケーションであれば、SSL-VPNが利用できます。

タグ

2011年4月23日 | コメント/トラックバック(0) |

カテゴリー:Fortigate

Fortigaeでファイアウォール設定

ファイアウォールとは

ファイアウォールとは読んで字の如し(防火壁)です。火事(インターネット)から家(LAN)を守るための防火壁です。インターネットには、色々な情報が飛び交っています。しかし、飛び交っているのは情報ばかりではありません。色々な悪意が飛び交っているのです。

  • コンピュータウイルス
  • スパイウェア
  • 不正アクセスと不正侵入
  • DoS攻撃
  • スパム
  • フィッシング詐欺

コンピュータウイルスは、今やほとんどの人に認知されるようになっていますので、知らない人はほとんどいないと思います。悪意のプログラマーは時として、自分の力を誇示するためにコンピュータウイルスを作り、ばらまいています。

コンピュータウイルスは認知度が高まっていますので、ウイルス対策ソフトの導入などで、一応対応できるようになってきていますが、それ以外の不正侵入や盗聴、データ改竄、Dos攻撃などの対策を施している人はまだまだ少数といえるのでは無いでしょうか。

UTM(統合脅威管理システム)

Fortigateはこれらの脅威(インターネット)から家(LAN)を守るためのUTM(統合脅威管理)システムです。UTMはネットワークを流れる通信を監視して、必要に応じて内容をチェックするためのハードウエア、OS、UTMとして機能するためのソフトウエアから構成されています。

ですからFortigateは小さいながらも、ネットワークの脅威に対処するために特化した専用のマシン(コンピュータ)であるともいえます。

ファイアウォールの概要

Fortigateでは、サービスやスケジュールに従ってパケットの流れを制御します。ファイヤーウォールとはソース(入り口)からデスティネーション(出口)に流れるパケットを一定の条件によって制御することです。

実際問題として、知人や親戚は無条件で玄関を開け、家に招き入れますが、業者の人(宅配や点検業者)は身分をチェックしてから玄関の扉を開けるはずです。又、知人でも時間によっては玄関先で応対することがあると思います。

これらの日常のセキュリティと同じようにインターネットの脅威から家(LAN)を守るのがファイアウォールの役目です。

基本的な設定条件

Fortigateでは、ファイアウォール設定をするために、あらかじめ決めておかなければならない最低限のパラメータがありますので、設定前にきちんと決めておいて下さい。

  • 送信元インタフェース
  • 送信元アドレス
  • 宛先インタフェース
  • 宛先アドレス
  • スケジュール
  • サービス
  • アクション

送信元インタフェースとは、データの入口で、宛先インターフェースは出口の事です。送信元アドレスや宛先アドレスをallに設定すると、すべてのアドレスからのすべてのアドレスへパケットを送信することができます。又、特定のアドレスから特定のアドレスへパケットを送信することもできます。

スケジュールの設定では、時間帯や曜日によって通信を制御することができます。サービスで、ANYを指定するとあらゆるプロトコルを通過することができますし、通過するプロトコルをHTTPだけとかFTPだけとか指定することもできます。

内部から外部への接続

それでは、実際に内部インタフェース(internal)から外部(Wan1)に、すべてのアドレスで指定したサービスグループを常に(allways)パケット通過させる設定を作成してみましょう。

1. まず先にサービスグループを作成します。

2. 「ファイアウォール」→「サービス」→「グループ」と選択します。

3. 「Create New」ボタンをクリックします。

4. 「サービスグループの追加」画面でグループ名に「Basis」(任意)と入力します。

5. 「利用可能なサービス」から、複数の項目を選択しますので、[Ctrl]キーを押しながら、DNS、FTP、FTP_GET、FTP_PUT、HTTP、HTTPS、IMAP、NNTP、POP3、SMTP、SSH、UDPをクリックします。

6. 右矢印(→)をクリックして、右のメンバの中に選択した項目を入れます。

7. 「OK」ボタンをクリックすれば、新しいサービスグループが作成されます。

8. 次に、「ファイアウォール」→「ポリシー」→「ポリシー」と選択します。

9. 「Create New」ボタンをクリックします。

10. 「ポリシー追加」画面で以下のように設定します。

11. 「送信元インタフェース/ゾーン」は、「internal」を選択します。

12. 「送信元アドレス」は「all」を選択します。

13. 「宛先インタフェース/ゾーン」には、「wan1」を選択します。

14. 「宛先アドレス」は、「all」を選択します。

15. 「スケジュール」には、「always」を選択します。

16. 「サービス」には先ほど作成した(一番下に作成されている)「Basis」を選択します。

17. 「アクション」には「ACCEPT」を選択します。

18. NAT以下の項目を今は設定しません。

19. 「OK」ボタンをクリックします。

これで、内部から外部へすべてのアドレスでBasisというサービスグループを使って常にパケットを通すファイアウォールの設定が完成しました。

タグ

2011年4月20日 | コメント/トラックバック(0) |

カテゴリー:Fortigate

Fortigateでリモートデスクトップ接続

バーチャルIPの設定

Webサーバーの設定と同様に、バーチャルIPを設定しwan(外部PC)からinternal(LAN)へファイアウォールポリシーを適用できるようにします。

  1. ファイアウォール→バーチャルIP→バーチャルIPを選択します。
  2. Create Newボタンをクリックします
  3. バーチャルIP名を記入します(任意)。
  4. 外部PCからアクセスできるようにインタフェースはWan1を選択します。
  5. 外部IPアドレスにはプロバイダからリース(配布)されたグルーバールIPアドレス(固定IP)を指定します。
  6. マップ先IPアドレスにはローカル固定IPアドレスを指定します。
  7. ポートフォワーディングにチェックを入れます。
  8. プロトコルはTCPを選択
  9. サービスポートは標準なら3389を指定
  10. マッピングするボートも3389を指定
  11. OKをクリック

リモートデスクトップはサーバーのアドレスさえ知っていれば、入り口(認証画面)まで誰でも簡単にいくことができますので、できればポート番号は変更しておいた方がいいと思います。ポート番号の変更の方法は後日アップしたいと思います。

リモートデスクトップ接続のアドレスを追加

  1. ファイアウォール→アドレス→アドレスを選択します。
  2. Create Newボタンをクリックします。
  3. アドレス名を記載(任意)
  4. サブネット/IP範囲指定では、グローバル固定IPを指定します。
  5. インタフェースはAnyを選択
  6. OKをクリック

リモートデスクトップ接続のファイアウォールポリシーの設定

最後に、外部PC(Wan)から、LAN(internal)にアクセスできるように、ファイアウォールポリシーを設定します。

  1. ファイアウォール→ポリシー→ポリシーを選択
  2. Create Newボタンをクリック
  3. 送信元アドレスはwan1を選択
  4. 送信元アドレスは、allを選択
  5. 宛先アドレスはバーチャルIPの設定で作成したIP名を指定
  6. スケジュールはalwaysを選択
  7. サービスはTCPを選択
  8. アクションはACCEPTを選択
  9. OKをクリック
  10. Fortigateの本体を再起動すればFortigate経由でリモートデスクトップができるようになると思います。

タグ

2011年4月7日 | コメント/トラックバック(0) |

カテゴリー:Fortigate

FortigateのWebサーバー設定

バーチャルIPの設定

まず最初にバーチャルIPを設定し、あとでwan→dmz1(又は、internal)→ファイアウォールポリシーを適用します。

  1. ファイアウォール→バーチャルIP→バーチャルIPを選択。
  2. Create Newボタンをクリック。
  3. バーチャルIP名をつけます。
  4. ExternalインタフェースをWan1に設定
  5. 外部IPアドレスにプロバイダーから配布してもらったグローバルIPアドレスを設定
  6. マップ先IPアドレスにWebサーバーのローカル固定IPアドレスを設定
  7. ポートフォワーディングにチェックを入れる
  8. プロトコルをTCPに設定
  9. サービスポートとマッピングするポートの両方に80を入力
  10. OKボタンを押す

Webサーバーのアドレス追加

  1. ファイアウォール→アドレス→アドレスを選択
  2. Creat Newボタンをクリック
  3. 任意のアドレス名を設定
  4. タイプはサブネット/IP範囲指定を選択
  5. アドレスの範囲を指定(例:10.10.10.1-10.10.10.1)
  6. インタフェースを選択
  7. OKボタンを押す

Webサーバーの公開ファイアウォールポリシーの設定

最後に、インターネット(wan1)のユーザーが、公開サーバーのWebサイトにアクセスできるようにwan→dmz(internal)のポリシーを設定します。

  1. ファイアウォール→ポリシー→ポリシーを選択
  2. Create Newボタンをクリック
  3. 次のように設定します。
  4. 宛先アドレスはバーチャルIPで設定したIP名を選択します。
  5. サービスはHTTPを選択
  6. OKボタンをクリック

タグ

2011年4月7日 | コメント/トラックバック(0) |

カテゴリー:Fortigate

Fortigateのトランスペアレントモード

トランスペアレントモードとは

さて、トランスペアレントモードとは何でしょうか。既存のネットワーク環境を変更せずに、つまりルーターとしては、機能せず、ファイヤーウォールとしてのみ機能するモードと考えればいいでしょうか。トランスペアレントモードでは、Fortigateの各インタフェースはIPアドレスを持たず、通過するトラフィックを監視します。ポートにはIPアドレスが割り当てられず、ネットワーク上で「見えない」状態になります。ただ、全く見えなくなっては困りますので、各種設定をするために、管理用IPアドレスだけは、設定します。

1.  [システム]→[設定]→[オペレーション]の[運用モード]をトランスペアレントに変更します。

2.  [管理用IP/ネットマスク]を[10.10.10.1/255.255.255.0]に変更します。

3.  [デフォルトゲートウェイ]を既存のゲートウェイアドレス(今使用中のルーターのアドレス)を入力します。

4. [適用]ボタンをクリックします。

5.  次に管理用PCのIPアドレスを変更します。

6. Windows7の 「スタート」ボタンから、「コントロールパネル」→「ネットワークと共有センター」とクリックします。

7.  「ローカルエリア接続」をクリック

8. 「ローカルエリア接続の状態」ダイアログの左下にある「プロパティ」をクリック

9. 「インターネットプロトコルバージョン4(TCP/IP)」を選択して、「プロパティ」をクリック

10.  IPアドレスを[10.10.10.2]、サブネットマスクを[255.255.255.0]、デフォルトゲートウェイを先ほどFortigateに指定したアドレス(10.10.10.1)に変更します。優先DNSサーバーはプロバイダから指定されたアドレスを入力します。

これでトランスペアレントモードの設定は完了です。

タグ

2011年4月5日 | コメント/トラックバック(0) |

カテゴリー:Fortigate

Fortigateの接続設定

WANインターフェイスの設定

FortigateをNAT/ルートモードでインターネットに接続するために、WANインターフェイスを設定します。

  1. [システム]→[ネットワーク]→[インタフェース]を選択します。
  2. [インタフェース名]が[Wan1]の左のチェックボックスにチェックを入れ、編集アイコンをクリックすると、[インターフェイスを編集]画面になります。
  3. インターフェイスのアドレッシングモードをPPPoEを選択し、プロバイダーから配布されたログイン名とパスワードを記載します。
  4. [サーバからデフォルトゲートウェイを取得する]と[内部DNSを上書き]の両方にチェックを入れ、[適用]ボタンをクリックしてしばらくすると、接続が確立し、[リンクステータス]が[アップ]になって、IPアドレスとネットマスクが表示されればOKです。

デフォルトルートの設定

  1. [ルータ]→[スタティック]→[スタティックルート]を選択します。
  2. [Create New]ボタンをクリックします。ただし、既に作成されている場合は、左のチェックボックスにチェックを入れ、[編集]をクリックします。
  3. 宛先IP/ネットマスクは[0.0.0.0/0.0.0.0]にしておきます。
  4. [デバイス]フィールドのリストボックスで[wan1]を選択します。
  5. [ゲートウェイ]は、内部インターフェイス(internal)と同じ[192.168.1.99](初期設定)にします。

DNSサーバーの設定

プライマリDNSサーバーとセカンダリDNSサーバーを設定します。

  1. [システム]→[ネットワーク]→[オプション]を選択します。
  2. プロバイダーから配布されているプライマリーDNSサーバーとセカンダリーサーバーのIPアドレスを入力します。
  3. [適用]ボタンをクリックします。

ここまでの操作で、管理用コンピュータからFortigateを経由してインターネットに接続できるはずです

DHCPサーバーの設定

Fortigateをルータとして使い、DHCPサーバとして機能させるときには、次のように設定します。

  1. システム→DHCP→サービスを選択
  2. Create Newボタンをクリック
  3. モードをサーバーに設定
  4. タイプはレギュラーに設定
  5. IPレンジにはDHCPサーバがリース(配布)するIPアドレスの範囲を指定します。
  6. ネットワークマスクを設定
  7. デフォルトゲートウェイにはFortigateのIPアドレスを設定します。工場出荷状態のままなら、[192.168.1.99]です。
  8. DNSサービスは定義するにチェック
  9. DNSサーバ0と1には、プロバイダから配布されたIPアドレスを入力
  10. OKをクリック

タグ

2011年4月4日 | コメント/トラックバック(0) |

カテゴリー:Fortigate

Fortigateのバックアップ

Fortigateの設定を色々変えていくうちに間違えて元に戻せなくなる場合があります。設定を変更する前には、必ずバックアップを取っておきましょう。

  1. [システム]→[ダッシュボード]→[Status]の中の、バックアップをクリックします。
  2. 次のページで、ローカルPCにチェックが入ったまま、バックアップをクリックすると、自動的にPCのダウンロードフォルダにバックアップが作成されます。作成されたファイル名は、FG********_20110404.confのようにシリアル番号の後に、日付.confという名前ですので、探せばすぐにわかると思います。

タグ

2011年4月4日 | コメント/トラックバック(0) |

カテゴリー:Fortigate

Fortigateを工場出荷状態に戻す

Fortigateを色々いじくってるうちに、internalのIPアドレスを変更してしまい、ブラウザから全くアクセスできなくなりました。

Fortinet社代理店のサポート窓口に電話して、工場出荷状態に戻す(リセットする)方法を教えて貰ったので、忘れないように記載しておきます。尚、シリアル番号を聞かれますので、電話する前に必ずシリアル番号はメモってから電話するようにしましょう。

1. Fortigateの後ろにあるCONSOLEポートをパソコンのシリアルポートに接続します。但し、FortigateのCONSOLEポート(RJ-45)とパソコンのD-Sub9ピンを接続する為のクロスケーブルが標準では、添付されていなかったので、秋葉原のネットワーク機器専門店に行って買ってきました。Ciscoのルーターはこれと同じ物を使っているみたいなので、店員には話せばすぐにわかって購入することができました(2,000円)。

2. Fortigateとパソコンで通信するためのソフト(Tera Term)をインストールします。

3. Tera Termをインストール後、起動すると、新しい接続画面が出るので、下の方のシリアルポートをクリックし、COM1ポートが選択されているのを確認して、OKボタンを押す。

4. [Enter]キーを1度押すと[FG**********(シリアルナンバー) login:]と出てきますので、[admin]と入力してEnterキーを押すと、[Password:]と出てきます。何も入力しないで、そのまま[Enter]キーを押す(但し、既にパスワードを設定している場合はその設定したパスワードを入力)とWellcom!!と表示され、下に[FGT********* #]と出て来れば接続OKです。

5. [execute factoryreset]と入力してEnterキーを押すと確認画面が出てきますので、[Do you want to continue? (y/n)]で、yを入力すると工場出荷状態に戻せます。

Fortigateにアクセスできなくなったときは、焦りましたが、これでいつでも工場出荷状態に戻すことができますので、色々好きにいじくり回すことができます。

尚、工場出荷状態に戻してから1から設定し直すのは面倒なので、[システム]→[Status]のシステムコンフィグレーションで毎日バックアップを取るように心がけましょう。

よく使うコマンドライン

Fortigateのシリアルコマンドでよく使うものをピックアップしておきます。

  • get system status

FortiOS のバージョン、シリアル番号等のステータス情報を表示します。

  • get system interface

FortiGate に設定してあるインターフェースの情報一覧が表示されます。

  • execute ping xxx.xxx.xxx.xxx

FortiGate から ping を実行します。

  • execute clear system arp table

FortiGate が保持している arp テーブル情報をクリアします。

  • execute reboot

FortiGate を再起動します。

  • execute shutdown

FortiGate をシャットダウンします。

  • diagnose sys session clear

FortiGate が保持しているセッション情報をクリアします。

タグ

2011年4月4日 | コメント/トラックバック(0) |

カテゴリー:Fortigate

このページの先頭へ