サポート切れのFortigateをRTの下に置いてUTMとして使う
○やりたいこと
サポート切れのFortigateをRTの下に置いてUTMとして使うかつ、外出先のiphoneその他の端末から接続して遠隔でもwebguiから設定できるようにしたい。
設置後はFORTIGATEのlog確認、ポリシー制御(特定のセグメントの通信制御)、webや通信制御、Kali linuxでペネトレーションテストとかやろうかと考えている。サポート切れてるから使える機能少ないのが難点。
○構成図
RTはlan分割機能でfortigateとプライベートセグメントを分けている。
ルーティングテーブル追加
fortigateはrtx830の192.168.101.0/24を知らんからDFを192.168.104.1に追加。
RTX830はfortigateの192.168.1.0/24を知らんから192.168.104.99をスタティックルート追加。
fortigate配下の端末はプライベートセグメントのwi-fi接続してるからプライベートセグメントにwi-fi接続すれば接続可能。forti経由も可能にしてる。
fortigateの設定ミスしてもリモートデスクトップでwi-fiからfortigateに接続可能。
やってないけどwanからlan端末の通信はポリシー書かないと多分通信できないはず。
あとfori配下の端末でforti経由で外ぬけしたいなら端末のデフォルトゲートウェイどうしよう。とりあえず後でヨシッ!!
これでサポート期限切れのfortigateを外に出さないでUTMとして使える。
本当はFortigateをonu配下においてVPN組みたかったけどサポート切れだから外から見える構成にしたくない、けれども外からローカルのFortigateをおいた検証環境にアクセスしたい。
機器の設定しやすいからこの環境作った。
この検証を作るためにやったことをまとめる。
〇詰まったところ
・ルーティング書き忘れてた。複数のセグメントがある場合は必須
・FortigateでハードウェアスイッチからLANを分割すると戻すときに、分離したハードウェアスイッチのIPを0.0.0.0/0.0.0.0にしないと戻せない
0.0.0.0/0.0.0.0にするとハードウェアスイッチに参加可能
○考えてなかったこと
fortiのlan配下の端末から外抜けする時に有線lanでもデフォルトゲートウェイ作らないと。
有線と無線で両方でDFあったら優先したい方のメトリックの値小さくすればいいのかな?後で検証する