sidetech

(元)インフラエンジニアの寄り道メモ。

Fortigate200D-v5.4.4 れびゅう

Fortigate54threatmap

先日?はFortigate100Dで遊んでいましたが、今回は200Dで、バージョンが5.4.4です。
前回と違ってGUIが刷新されたようなんですが・・・。
ちょっと使いにくいっすね。[E:coldsweats01]
 
今回は、site to site VPNの機能も試しました。Fortigateで初めてのVPNAWSとだなんて・・・。結構悩みました。何故かって・・・AWSからもらえるConfigでどーしてもエラーが出てしまう部分が2か所あったからです・・・[E:coldsweats01]
おかげでCLIの癖が少し分かりました。ハマると色々と試すから覚えますね。やっぱりマニュアル通りにやるより最初はトライ&エラーを繰り返す方が覚えが良いです[E:coldsweats01]
一番ビツクリしたのはCLIで「full-configuration」したときですかね・・・。どんだけ~っていうぐらい長い・・・統合しすぎじゃ・・・。
 
しかし、FortigateはFortiViewに力を入れているようで、通信ログは見やすいですね。
画像のThreatMapも面白いですね。常にどこからか不正な通信を受けているのが判りやすいです。

そういえば、AWSからFortigateのConfigを取るときに、CLIGUIと2つ取れるんですが・・・ちゃんと5.0+ってやつなんですけどね・・・うーん(゜-゜)
 
どっちもチャレンジしてみましたが、結果で言うとCLIが楽ですね[E:coldsweats01]
GUIの方はアプローチをテキスト記述してくれているのですが、名称がかみ合っていなかったりです。たぶん・・・バージョン5.?のどこかでGUIが刷新されたんですかね。
GUIでやっても一部CLIでやらなくちゃならん部分があって、結局なんだよっってなります[E:coldsweats01]
 
AWSから頂くConfigは読み替え必須なので、慣れていないときついスね。。。
 
コマッタのは、「set mtu」が指示通り入らない。IPSecのTunnelにset mtuを流し込めというのですが、流し込めない。インターフェースに対してだったらset mtuが出来ました。
あとは、BGPで使うrouter prefix-listでroute-idが入らない・・・という2か所が上手く行かなかったんですが、なんとかVPNは張れました・・・。
 
あとそうそう、GUIのConfig指示にはないのがCLI版にはありました。
BGPのところなのですが、「config network」ってのが出てきます。
これはAWS側のサブネット情報をぶち込む感じなんですが、こちらはroute-idが投入出来ました。
(GUI版にも指示がありました・・・)
 
なので?、FortigateでAWSVPN張る場合はCLIのConfigの方が良さげです。
ただ、CLI版でもPolicyの記述でPolicyIDがIPSec Tunnel #1の設定時とIPSec Tunnel #2の設定時で、なぜか同じPolicyIDを設定してしまう内容になっているので(というか読み替えろと言われているので)、PolicyIDにはお気を付けを(とおもったらこれはこれで間違いじゃない方法が・・・17/05/28)。
 
IPSec Tunnel #1での参考
config firewall policy
edit 5
set srcintf "vpn-xxxxxxx-0"
set dstintf internal  #「internal」も読み替え必須。Internal用インターフェースを指定の意
set srcaddr all
set dstaddr all
set action accept
set schedule always
set service ALL
next
end
 
IPSec Tunnel #2での参考
 
config firewall policy
edit 5
set srcintf "vpn-xxxxxxx-1"
set dstintf internal
set srcaddr all
set dstaddr all
set action accept
set schedule always
set service ALL
next
end
 
「edit 5」ってのがPolicy番号なんで・・・。
まだFortigateの癖が判っていないけど、Policy番号って飛び番が出来なさそうなんだよね。。。出来るのかな・・・僕がやったときは上書きしやがったんでアレれって思ったんだけど。
 
そいあFortigateのConfigなげーなぁ・・・って思っていたら部分的にshowが使えて必要分の表示してくれるから、このshowの使い方は少しだけ気に入った。
 
あとはNATの扱い方の感覚というか基本的なふるまいがSSGのようでそうでないようで・・・慣れるのにちょっと暇掛かりそう。
 
こうちょっとトライ&エラーやらないと身体に馴染まないね。も少し頑張る。