わかっている人用メモ
回避方法
中央管理をFortiManagerに設定します。
その後、通常通りファイルアップロードからアップデート可能になります。
F**********1 (global) # config globalconfig system central-management
F**********1 (global) # set type fortimanager
F**********1 (global) # end
*Multi-VDOMモードの場合、Globalで入力する。
The Serial Number for FortiManager is not entered.
In order to verify identity of FortiManager serial number is needed.
If serial number is not set, connection will be set as unverified.
FortiGate can establish a connection to obtain the serial number now.Do you want to try to connect now? (y/n)
*nを入力して設定を終了する。
はじめに
次の条件に当てはまる場合、アップデートが実行できなくなります。
- FortiGuardライセンス期限切れ
- 自動アップデート対象
- FortiOS 7.4.8 以降 / 7.6.4 以降
*参考:https://csps.hitachi-solutions.co.jp/fortinet/data/info_20250905.pdf
手動アップデート不可なのは思想として理解できるのですが、この状態になるとライセンスがないため、自動アップデートも失敗します。
結果としてファームウェアアップデートが実質的にできない状態になります。
対策
FortiManager管理下として設定すると回避できます。
これは自動アップデートの対象がFortiManager配下にある場合は対象外になる仕様を利用しています。
Fortigate側で実行するだけで良いため、FortiManagerがない環境でも実行できます。
(エラーが出ますが、無視する方針です)
アップデートするためには自身でファームウェアを用意する必要があります。
F**********1 (global) # config globalconfig system central-management
F**********1 (global) # set type fortimanager
F**********1 (global) # end
*Multi-VDOMモードの場合、Globalで入力する。
The Serial Number for FortiManager is not entered.
In order to verify identity of FortiManager serial number is needed.
If serial number is not set, connection will be set as unverified.
FortiGate can establish a connection to obtain the serial number now.Do you want to try to connect now? (y/n)
*nを入力して設定を終了する。
検証環境
私の手元の環境で確認したスクショを貼っていきます。
今回の環境は以下の通りです。
機器:FortiGate 80F
FortiOS:v7.6.5 build3651
アップグレード先:v7.6.6 build3652
ライセンス:期限切れ
↑ アップデートボタンが無効化されて利用できない
設定投入
↑ CLIで設定を投入しました。接続しないため、アラートはnで回避します。
アラート内容
FortiManager のシリアル番号が入力されていません。
FortiManager の識別を確認するためには、シリアル番号が必要です。
シリアル番号が設定されていない場合、この接続は 未検証 (unverified) として扱われます。
FortiGate は現在接続を確立してシリアル番号を取得することができます。
今すぐ接続を試行しますか?
実行後、アップグレードボタンが表示されるようになりました。
同時に「中央管理に接続できません」というアラートが出るため、右上の通知が出るようになります。
アップデート作業実施
アップデート画面①:アップグレードの種類を選択
FortiCloud等で複数のFortigateを管理している場合、一括アップデート等が利用できます。
この記事を読んでいる方はライセンスが切れているはずのため、選択できないはずです。
アップデート画面②:ファームウェアを選択
自動ダウンロードは利用できないため、「推奨/すべてのアップグレード/すべてのダウングレード」は利用できません。
ファイルアップロードを選択して、PCローカルにあるファームウェアを選択します。
ドラッグ&ドロップでもOKですし、ディレクトリ参照から選択してもOKです。
アップデート画面③:スケジュールを選択
人権はありませんので、すぐに実行します。
アップデート画面④:レビュー
確認画面が表示されます。
この画面の選択をしたら、キャンセルできません。
この画面の裏でバックアップファイルがダウンロードされます。
アップデート画面⑤:再起動待ち
ファームウェアのアップロードを行うため、しばらく待ちます。
この時に中断させたらどのような動作をするかは検証してません。
人柱になる覚悟を持った方は検証していただければと思います......
アップロード完了後は確認もなく、再起動シーケンスが開始します。
アップデート完了後の状態確認
再起動完了後、ログインし、「ファームウェア&登録」画面を開きます。
アップグレードレポートを表示させると統計情報で再起動前後の差分を確認することができます。
設定のDiffも確認できますが、好みに応じてWinMerge等で実施しても良いと思います。
アップデート時には設定が自動的に書き換えられることもあるため、必ず差分確認をしましょう。
また、各VersionのリリースノートからDefault動作の変更を参照して、設計に影響がないか確認しましょう。
参考:FortiOS7.6.5の各リリースノート
デフォルト値変更
デフォルト動作の変更
Special notices
さいごに
あくまでSIerとして検証のため利用するなど、商用利用で実施しないことを前提としております。
弊社でも既に更改された撤去済の装置を検証用に用意しているものであり、別途リセラーとの契約があるためファームウェアを用意することができております。
ライセンス条件に反した使用方法を推奨するものではありません。予めご留意ください。
また、検証の中では中央管理に接続ができないアラートが表示されます。
アップデート完了後に設定を戻すなどすることで解消します。
環境に応じてこの手順を活用いただければと思います。
本記事は一部AIによる生成を利用しています。
内容の誤り等はご容赦いただけますようお願いいたします。