LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@infinite1oop(H T)

Fortigate(その3:SD-WAN)

Posted at

SD-WAN

その3はSD-WANの基本を扱う。

ネットワーク

image.png

Fortigate間に2つのWAN回線があり、PC1が属する左側のネットワーク(192.168.10.0/24)とPC2が属する右側のネットワーク(192.168.20.0/24)とが通信を行う。状況によりWAN回線の自動切り替えを行うのがSD-WANである(例:回線断)。

設定

左側のFortigate-1の設定のみ記載。

WAN(ネットワークインターフェース)

NetworkInterface0.PNG
ここはほぼ自明。

IPsec VPN

テンプレートを用いて作成すると、作成したVPNトンネルをSD-WANに登録できなくなるため、「カスタム」を選択して作成する。トンネル名称は、WANごとに"vpn1"(10.1.1.0/24)と"vpn2"(10.1.2.0/24)としている。

vpn1.PNG

リモートゲートウェイとして、対向FortigateのIPアドレスを指定。

vpn2.PNG

事前認証鍵を指定。

vpn3.PNG

VPNトンネル(IPsec)対象となるネットワーク(192.168.10.0/24, 192.168.20.0/24)を指定。

vpn5.PNG

オートネゴシエーション選択。

vpn6.PNG

IPsecトンネル確立後の状況は下記となる。

vpnList.PNG

確立のWANの状況は下記。

wanList2.PNG

SD-WAN

SD-WANゾーン作成。

sdwan1.PNG

作成したゾーンに対して、VPNトンネル"vpn1"をメンバーに登録("vpn2"も同様)。

sdwan3.PNG

GUIでは設定できない内容あり。作成したSD-WANメンバーのソースIPアドレスをCLIにて指定する。

FG1 # config system sdwan

FG1 (sdwan) # config members

FG1 (members) # show
config members
    edit 1
        set interface "vpn1"
        set zone "SDWAN"
    next
    edit 2
        set interface "vpn2"
        set zone "SDWAN"
    next
end

FG1 (members) # edit 1

FG1 (1) # set source 192.168.10.1

FG1 (1) # next

FG1 (members) # edit 2

FG1 (2) # set source 192.168.10.1

FG1 (2) # next

FG1 (members) # show
config members
    edit 1
        set interface "vpn1"
        set zone "SDWAN"
        set source 192.168.10.1
    next
    edit 2
        set interface "vpn2"
        set zone "SDWAN"
        set source 192.168.10.1
    next
end

FG1 (members) #

"set source"にて指定する。

次に、SLA設定。対向Fortigateに接続されるネットワークのGatewayアドレス(192.168.20.1)をpingの対象とする。

sdwan6.PNG

ルール設定。対象アドレスを"all"、プロトコルを"any"とする。

sdwan8.PNG

ルール設定続き。戦略を適切に選択、インターフェースとして、VPNトンネル、ゾーン、SLAターゲットを指定する。

sdwan9.PNG

Static Route

左側から見て、右側のネットワーク(トンネルの先)である"192.168.20.0/24"へのルートとして、作成したSDWANを指定する。

staticroute1.PNG

調べると、ブラックホールも指定すべきらしい。

staticroute3.PNG

最終的には下記となる。

staticroute4.PNG

Firewall

Fortigate内外(WAN-LAN間)を通信させるためのFirewall設定が必要となる。ここでは作成したSDWANとInternalとの疎通を設定(発着信インターフェースに指定)。

Firewall1.PNG

送信先及び宛先ネットワークを新規に作成。ここでは、LAN20(192.168.20.0/24)、LAN10(192.168.10.0/24)を作成する。

Firewall2.PNG

見えていないが、"NAT"は無効化するようだ。

Firewall6.PNG

最終的には下記となる。

Firewall7.PNG

検証

まず、SD-WAN構築後の状況は下記。

sdwanList.PNG

PC1-PC2間にてpingの疎通を確認するのみ。Fortigate間はESPパケットとなってしまうので省略。Fortigate-1のルーティングテーブルは下記となる。

FG1 # get route info routing-table all
Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP
       O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       V - BGP VPNv4
       * - candidate default

Routing table for VRF=0
C       10.1.1.0/24 is directly connected, wan1
C       10.1.2.0/24 is directly connected, wan2
C       192.168.10.0/24 is directly connected, internal
S       192.168.20.0/24 [1/0] via vpn1 tunnel 10.1.1.2, [1/0]
                        [1/0] via vpn2 tunnel 10.1.2.2, [1/0]

対向Fortigate-2のLAN側ネットワークである192.168.20.0/24へのルートがvpn1,vpn2経由であることが見える。

参考URL

英語だが、参考にしたURLを下記。

EOF

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?