趣味プログラミングblog

---

初期化の難航

使用する前に初期化。
これでいきなりハマった。電源入れて10秒くらい経過してからリセットボタンを押下。そのまま1分我慢。

そんな仕様にするか普通。。。

2,3回試してもダメっぽい。DHCPで接続するとIPが払い出されるけど、169.254.で始まる謎アドレスが振られる。Fortiのデフォかな。

先輩に相談したら、コンソールを繋いでみろとのこと。言われた通りやると、1分以上経過してからボタン状態が読み込まれるっぽい。ステータスランプが光り始めるまで我慢なのね。

無事に初期化が完了。
デフォの192.168.1.99にローカル側からアクセスできた。

---

設定の復元

次に稼働中の機器からConfigの
バックアップの取得。取得対象がグローバルとVDOMの2種類があってよーわからん。ひとまずグローバル側のバックアップを使って復元。

起動はしたけど、設定合ってる？
192.168.1.99には繋がらないし。

コンソール繋いでネットで検索したコマンドを打っても、そんなコマンドねぇって怒られる。
configって打ったら投入したconfigをたらたら吐き出す。

あれ！

投入したconfigは、IPを持たないトランスペアレントモードだけど、どうやってGUIでアクセスするんだ？？

どうやら3番ポートが管理用になっていて、現行機の管理PCと同じセグメントの設定でアクセスしたらして上手くいった。

---

インターネット接続の確認

次は、Fortigateを経由してインターネットに出れるかの確認。場所の関係で、現行Forti配下の回線で試験。
パソコンがネットに出ることをを確認してから、間にFortiを接続。ブラウザを起動したら、安全に接続できませんのメッセージが。

ひとまず、DNSサーバーに繋がるかどうか、google.comにpingを打って確認。

あれ？ 応答返ってくる。。。
ブラウジングはできないけど、外には出れているっぽい。

---

SSL関係の問題

プログラムで上手くいかない場合はアイディア次第でいくらでも逃げ道があるけど、こういう環境構築系って一つずつ要因を潰していく必要があってどうも苦手。
手順書通りちゃんとやれない人には向かない。

Copilotに相談したら、SSL関係が怪しいとの回答。そうか！
普通のファイアウォールはIPアドレスとポートだけを見るのに対して、Fortigateは通信の中身までチェックしている。ってことは、パソコンとWebサーバとの間の SSL暗号化をFortigateが解いて再び暗号化をかけてるというわけだ。

それをやるにはFortigateがパソコンに対してはサーバに成りすまし、サーバに対してはパソコンに成りすまして通信する必要があって、Fortigateがダミーのサーバ証明書を持ってるはず。そんな作業は無理！

---

MACアドレスフィルタリングの設定

ブラウジングは諦めて、目的のMACアドレスフィルタリングができるかの確認。
インターネットを検索してもできることはわかるけど、設定に関する有用なサイトがヒットしない。

GUIで設定項目を眺めていても見つけられず。
先輩に相談したら、ポリシー関係の設定で事前にユーザーグループを作る必要があるとのこと。

LAN側の設定にアドレスというのがあり、MACアドレスを登録できることを確認。

その設定をポリシーに設定すればいけることがわかった。元々、全通信許可していたところにMACアドレスの制限を入れ、次の行に全通信を拒否する設定を追加。

ポリシーの優先順位変更のやり方がわからず、またハマる。ドラッグドロップでいけた。

---

動作確認

一応、目的の設定は完了したので、動作確認。
MACアドレスが登録されていないと、Fortigateを通過できず、DHCPサーバー機能を持ったルーターからIPアドレスをもらえないところまで確認できた。

---

まとめ

今回は、FortigateのセットアップしてMACアドレスフィルタリングの設定をやってみた。
Fortigateの初期化や、設定のリストア、Macアドレスの設定方法など、技術的な問題ではなくUIの問題で多くのユーザーが直面するであろう課題だと思う。

今回の設定したMACアドレスフィルタリングは、ある程度セキュリティ強化することができる。しかし、偽装されたMACアドレスやルーター配下の端末には対応できないため、他のセキュリティ対策と組み合わせる必要がある点を付け加えておきたい。

MACアドレスフィルタリングの具体的な手順については改めて内容をまとめる予定。