FortiGate IT セキュリティ ネットワーク

【GUI】FortiGateのWANインタフェースを設定する方法

投稿日:

どうも社内ニートです。

今回はGUIでFortiGateのWANインタフェースを設定する方法をご紹介します。
GUIで物理インタフェースのWANインタフェースを設定する方法に限りますので、
LANインタフェースや論理インタフェースであるVLAN、Loopbackインタフェース、
また、CLIで設定する方法は別な記事として記載します。

インタフェースのロール(役割)

FortiGateにはインタフェースのロール(役割)を設定します。
ロールには4つの設定値があります。

  1. WAN
  2. LAN
  3. DMZ
  4. 未定義

WANと設定した場合とLANと設定した場合では設定できる項目が異なってきますので、
正しくロールを設定してあげる必要があります。

今回は『WAN』のロールの場合の設定についてご紹介していきます。

オンプレミス(物理)のFortiGate

オンプレミス(物理)のFortiGateの場合、
ポート番号の名称として、WANインタフェースやLANインタフェースが、
あらかじめ割り当てられているものがあります。

例えば、FortiGate60Eの場合は、
左から『WAN2』、『WAN1』、『DMZ』、
『internal7』、『internal6』、…、『internal1』となっています。

それぞれのインタフェースのロールのデフォルト値は、
インタフェース名に沿った値となっています。

インタフェース名
ロール
WAN1、WAN2
WAN
DMZ
DMZ
internal1~7
LAN

オンプレミス(物理)のFortiGateの場合は、
インタフェースのロールを変更するしなくてもよい場合もあります。

WANインタフェースの設定方法

今回はGUIでWANインタフェースを設定する方法をご紹介します。
基本的な設定としては、

  1. IPアドレスを設定
  2. 管理アクセスを設定

最低限この2つを設定できればよいかと思います。

まずは、設定するインタフェースを選択していきます。

操作
『ネットワーク』→『インタフェース』→対象のインタフェースを選択→『編集』
※対象のインタフェースをダブルクリックするでも可能

操作
各種設定→『OK』を押下


各種設定が完了したら『OK』を押下して設定完了です。

それでは設定方法をご紹介していきます。

IPアドレスを設定

WANインタフェースのIPアドレスの設定方法は3種類あります。

  1. マニュアル
  2. DHCP
  3. PPPoE

WANインタフェースの場合は、
マニュアルかPPPoEを設定することが多いかと思います。

それぞれで設定する方法をご紹介していきます。

マニュアル

マニュアルつまり手動でIPアドレスを設定する方法です。

操作
『IPアドレッシング』で『マニュアル』を選択


『IPアドレス/ネットワークマスク』で指定のIPアドレスとネットワークマスクを入力します。
ネットワークマスクは『255.255.255.0』のような2進数形式でも、『/24』のような10進数形式でも設定可能です。

DHCP

DHCPでIPアドレスを取得する方法です。

操作
『IPアドレッシング』で『DHCP』を選択

DHCPサーバよりIPアドレスなどの情報を取得できれば、
下記のように取得した情報が表示されます。

サーバからデフォルトゲートウェイを取得

サーバからデフォルトゲートウェイを取得が有効になっていると、
DHCPで取得したゲートウェイをネクストホップとした
デフォルトルートが自動で作成されます。
デフォルトルートを作成したくない場合は無効にしてください。

ルーティングテーブルを確認してみましょう。

操作
『モニタ』→『ルーティングモニタ』


DHCPで取得したゲートウェイをネクストホップとした
デフォルトルートが作成されていることが確認できます。

ディスタンス

ディスタンスはAD値のことで、
自動で作成されるデフォルトルートのAD値を指定します。
デフォルトではAD値が『5』となっています。

手動で作成するスタティックルートのデフォルトのAD値は『10』なので、
デフォルトのままでは、手動で作成したデフォルトルートよりも、
自動で作成されるデフォルトルートの方が優先されてしまいますのでご注意ください。

内部DNSを上書き

内部DNSとはFortiGate自身が参照するDNSのことを指します。
有効にすることでFortiGateが参照するDNSをDHCPで取得したDNSサーバに変更します。

PPPoE

PPPoEでIPアドレスを取得する方法です。

操作
『IPアドレッシング』で『PPPoE』を選択
『ユーザID』と『パスワード』を入力

設定を行い、PPPoEでアドレスが取得できればこのように表示されます。

今回はフレッツ光のような実インターネット回線を使用せず、
CiscoルータをPPPoEサーバと見立てて使用しています。

Unnumbered IP接続

UnnumberedでPPPoEを終端することができます。
インターネット回線でグローバルIPが8個払い出されるプランなどの際に使用します。

初期ディスクタイムアウト

初期ディスクタイムアウトは、PPPoEを再検出し始めるまでの待ち時間です。
デフォルトの『1s』から変更する必要はないかと思います。

初期PADTタイムアウト

PADTとはPPPoE Active Discovery Terminateの略称で、
こちらの設定値はアイドル時間後にセッションを終了させる時間になります。
デフォルトの『1s』から変更する必要はないかと思います。

サーバからデフォルトゲートウェイを取得

サーバからデフォルトゲートウェイを取得が有効になっていると、
PPPoEで取得したゲートウェイをネクストホップとした
デフォルトルートが自動で作成されます。
デフォルトルートが作成したくない場合は無効にしてください。

デフォルトルートが作成されていることが確認できます。

ディスタンス

ディスタンスはAD値のことで、
自動で作成されるデフォルトルートのAD値を指定します。
デフォルトではAD値が『5』となっています。

手動で作成するスタティックルートのデフォルトのAD値は『10』なので、
デフォルトのままでは、手動で作成したデフォルトルートよりも、
自動で作成されるデフォルトルートの方が優先されてしまいますのでご注意ください。

内部DNSを上書き

内部DNSとはFortiGate自身が参照するDNSのことを指します。
有効にすることでFortiGateが参照するDNSをPPPoEで取得したDNSサーバに変更します。

管理アクセスを設定

管理アクセスは、
そのインタフェース宛の通信でどのプロトコルを許可するかの設定になります。

例えば、FortiGateのWANインタフェースの宛にPingを行い疎通確認を行いたい場合は、
『PING』という項目にチェックを入れる必要があります。

『PING』にチェックを入れた状態で、
インタフェース宛(192.168.11.19)にPingを行うと応答が返ってきます。

『PING』にチェックが入っていなければ、
インタフェース宛(192.168.11.19)にPingを行っても応答が返ってきません。

注意事項
正確には『PING』のチェックを外した後に『OK』を押下して、
設定を反映させる必要があります。

設定方法は必要なプロトコルにチェックを入れ、
不要なプロトコルはチェックを外してください。

各プロトコルの詳細はこちらに記載しています。

まとめ

GUIでFortiGateのWANインタフェースを設定する方法をご紹介しました。
今回は基本的な部分の設定のみご紹介させて頂きました。
GUIでも他にも設定項目がありますので、応用編ということでご紹介できればと思います。

その他の機能はこちらに記載しています。

-FortiGate, IT, セキュリティ, ネットワーク

Copyright© 社内ニート@ネットワークブログ , 2020 All Rights Reserved Powered by STINGER.