■ 中古Firewallを調教したら最強ルータになった件 ～Fortigate52EのOpenWrt化～

皆さまこんにちは。
OpenWrt沼にハマってます　零壱(ゼロイチ)テクトです。

以前から、OpenWrtをインストールしたルータに興味があったのですが
特に近年話題のFortigate 50Eは、ベースのスペックが高く
ゲーミングルータに匹敵する有望性があり、使ってみたいと思っていました。

今回、知人経由でFortigate 52Eを入手したので
そちらをOpenWrt化していきたいと思います。

　

OpenWrtの大御所であらせられる 大破様の手順が完璧すぎて
大差はなく、先人の100番煎じぐらいなのですけど
Fortigate50E以外は、ちょっと癖があるため
経験談を元に備忘として残していきます。

あと純粋にOpenWrtルータに触れて快適さに感動しました。

１．準備

　・Fortigate 52E本体（以後、FG52E）
　・コンソールケーブル（僕はUSB接続のを使ってます）
　・LANケーブル
　 ・PC [有線LAN付き]（Win11のノートPCを使いました）
　　　● PCでやっておくコト
　　　・Windowsファイアウォールの解除（TFTPブロックしたりするので全解除で）
　　　・有線LANのIPアドレスを設定（「192.168.1.168」/サブネット「255.255.255.0」）
　　　　※ 後述にてTFTPサーバのアドレスはFG側で指定のアドレスにする必要があるため

　　　● PCにインストールしておくモノ
　　　・TeraTerm（Terminalアプリなら何でもOK）
　　　・Serva（TFTPサーバなら何でもOK。このソフトが一番簡単と思われ）
　　　　※Terminal/TFTPサーバの使い方については割愛。
　　　● PCにダウンロードしておくモノ
　　　・KERNEL：　openwrt-24.10.1-mvebu-cortexa9-fortinet_fg-52e-initramfs-kernel.bin
　　　・SYSUPGRADE：　openwrt-24.10.1-mvebu-cortexa9-fortinet_fg-52e-squashfs-sysupgrade.bin

▼OpenWrtイメージ：DLサイト
https://firmware-selector.openwrt.org/?version=24.10.1&target=mvebu%2Fcortexa9&id=fortinet_fg-52e

※必ず使用機種と同じものにしましょう。FG52Eのイメージが見つからず
　FG50Eで代用したところ、ストレージが認識しなかったので揃えた方が良いです。

※いきなり最新版ではなく、確実なSnapshotが良い人は、リンク先でSnapShotに変えて
　openwrt-mvebu-cortexa9-fortinet_fg-52e-initramfs-kernel.bin　等をDL

※SnapShotは、OpenWrtをブラウザから操作可能にする「Luci」が入って無いケースがあるので注意。
　この記事では、導入当初からLuciが入っている事前提でお話しています。

２．OpenWrt導入作業

　・FG52Eのコンソールポートに、PCをコンソールケーブルで繋ぐ（電源はまだ入れない）!
　・PC側でTeraTermを起動して、接続ポートをシリアルを選択
　・FG52Eの電源を入れる
　・起動画面がCLIで表示されます。
　　起動の途中で
「Please wait for OS to boot, or press any key to display configuration menu」
　　と表示されるので、次に進む数秒以内に、適当なキー(SpaceでもEnterでも)を押す

　

　・ちゃんと反応したら、Fortigateの設定メニューが表示される。

　

　・メニューから「R」キーを押して、「[R]: Review TFTP parameters.」を選択
　・FTP接続に必要な情報が表示される。

　

　　・「Image download port」が、PCと有線で接続するポート
　　・「TFTP server IP address」が、TFTPサーバに設定するIPアドレス
　　　（FG50Eシリーズは大体192.168.1.168）
　　・この時、IPアドレスなどが違っていたら、PC側の設定を変更
　　・「Firmware file name」は、TFTPに置くイメージファイル名
　　　（Fortigateは、ほぼ「image.out」で固定です）
　・FG52EのFTP接続ポート（ここではWAN1）とPCを有線のLANケーブルで接続
　・PCで、カーネルイメージ「openwrt～略～fg-52e-initramfs-kernel.bin」を
　　「image.out」にリネームする。
　・PCで、TFTPサーバ（Serva）の設定で「image.out」を配置
　・PCで、TFTPサーバ（Serva）を起動
　・PCで、再度TeraTerm画面にて「T」キーを押して
　　「[T]: Initiate TFTP firmware transfer.」を選択
　・FG52Eが、「接続ポート：WAN1」の「192.168.1.168」のTFTPサーバから
　　「image.out」をダウンロード開始されます。
　　※開始されない場合、PCのTFTPサーバの設定間違いか、FWが解除されているか確認しましょう
　・ダウンロードが完了すると
　　「Save as Default firmware/Backup firmware/Run image without saving:[D/B/R]?」
　　のメッセージが表示される。
　・「R」キーを押す。（イメージから起動する）
　・イメージからOpenWrtが起動。TeraTermにその様子が表示されます。
　・完全に起動すると、Openwrtのロゴ、が表示されます。

　

３．OpenWrt起動後作業

　・FG52EのWAN1につなげたLANケーブルをLAN1に差し替える。
　・PCで、ブラウザを起動
　・ブラウザのURL欄に「192.168.1.1」を入力してEnter
　・OpenWrtのログイン画面が表示される。
　　（LuciというOpenWrtをブラウザで設定できるアプリのおかげ表示されます）

　

　・初期起動時は、Usernameに「root」が入っている事を確認
　　Passwordは空欄で、「Log-in」ボタンを押す
　・メニュー画面から「System」→「Backup / Flash Firmware」を選択

　

　・画面下部の「Flash new firmware image」項目から
　　「Flash image...」ボタンを押す。

　

　・「Uploading file...」から「Browse」ボタンを押して

　

　　「openwrt-～～～fg-52e-squashfs-sysupgrade.bin」を選ぶ。
　　（Sysupgradeのファイル。Kernelでは無いので注意）
　・「Upload」ボタンを押す。アップロード後、再起動されます。
　　（「Continue」ボタンが出た場合は、ボタンを押します）
　・無事、ブラウザでLuciにアクセスできたならFG52EのOpenWrt化完了です。

※この後、OpenWrtではなく、Fortigateで起動してしまった場合
　コンソール接続のまま、最初のメニュー画面に移行後、
　「B」キーで「[B]: Boot with backup firmware and set as default.」
　を選択すると、OpenWrtの方で再起動がかかるようです。

※説明を読む限り、デフォルトとバックアップと2つのファームを持っていて
　今起動している方とは別のファームをデフォルトに設定するみたいですね。

最後まで読んで頂きありがとうございます。

　Fortigate 52EのOpenWrt化はこれで完了です。
　もう弄りたくてたまらない人や、上級者の方はこれで終わりです。

　以降は、僕含めた初心者や入門者にお勧めの設定やお話です。

４．基本設定

　僕はLuciによるブラウザから全て設定しているので、
　以下設定についてはそれを前提でお願いします。
　最低限やった方が良いと思った設定になります。

　▼ パスワード設定

　　初期設定ではパスワードが設定されていないので、必ず設定しましょう。
　　・メニュー→「System/システム」タブ→「Administration」を選択

　　

　　・「Router Password」タブを選択（デフォルト）

　　

　　・「Password」「Confirmation」に設定したいパスワードを入力
　　・右下の「Save」ボタンを押す。

　▼ 日本語化

　　メニュー画面のフォントは好みが分かれますが、
　　日本語化するにはソフトウェアのインストールが必要です。
　　・メニュー→「System」タブ→「Software」を選択

　　

　　・「Software」画面が表示される

　　

　　・「Actions」項目の「Update lists」ボタンを押す
　　・一旦、OpenWrt上のアプリリストが全更新されます
　　・その後、「Filter」のテキストボックスにて検索ワードを入力
　　・「luci-i18n-base-ja」を入れるか、「Jpanaese」とか入れて
　　　フィルタされたアプリリストから探せます。
　　・入力後、画面下部から「luci-i18n-base-ja」を探して
　　　同項目の右側「Install」ボタンを押す

　　

　　・「luci-i18n-base-ja」以外の モジュールやらライブラリやら
　　　インストール候補が表示されるので、再度「Install」ボタンを押す
　　・バージョンによっては、この時点で日本語化されます。
　　・されない場合は、メニュー→「System」タブ→「System」を選択

　　

　　・「Language and Style」タブを選択
　　・「Language」項目を、「Auto」→「日本語」に変更

　　

　　・画面右下の「Save & Apply」ボタンを押したら反映されます。

※この言語変更画面に「Design/デザイン」という項目がありますが
　これはスキンのようなもので、ソフトウェアから
　テーマをインストールする事で変える事が可能です。

　▼ 時間設定/NTP設定

　　OpenWrtのデフォルトでも問題ないですが
　　個人的に日本国内のNTPサーバも入れています。
　　まずはUTCの9時間ズレを直します。

　　・メニュー→「System」タブ→「System」を選択

　　

　　・「一般設定/General Settings」タブを選択
　　・「Timezone/タイムゾーン」で「Asia/Tokyo」を選択

　　

　　・画面右下の「保存＆適用 / Save & Apply」ボタンを押したら反映されます。
　　・同じ画面の「時刻同期/Time Synchronization」タブを選択
　　・更に下部の「NTP servers/NTPサーバー候補」にて以下2つを追記
　　　「ntp.nict.jp」
　　　「ntp.jst.mfeed.ad.jp」

　　

　　・画面右下の「保存＆適用 / Save & Apply」ボタンを押したら反映されます。

※一番上から取得していくので
　僕は、上からこんな感じに設定しました。
　「ntp.nict.jp」
　「ntp.jst.mfeed.ad.jp」
　「0.openwrt.pool.ntp.org」
　「1.openwrt.pool.ntp.org」
　別に2と3を削る必要はないのですが、
　何個も設定して意味あるものではないので好みです。

５．応用設定

　　僕が便利だと思って入れたアプリや、設定についてです。
　　多くはゲーミングルータで出来た事を、再現している形になります。

　● IPアドレス/ホスト名

　　特定のMACアドレスに対して、ルータ側から指定して
　「IPアドレス」「ホスト名」を払い出す事ができます。
　　僕はPCやNW機器側の設定ではなく、OpenWrt側からIP/ホスト名を払い出しています。

　　本体側弄らなくても好きなIPアドレスをルータ側だけ操作できる他
　　自身でホスト名が設定できない機器類含めて設定できるので
　　ルータ上のトラフィックグラフやIPの払い出しなど
　　どの機器がどんな通信・ログを出しているかが一目瞭然となり
　　とても便利になります。

　・メニュー→「DHCPおよびDNS」タブ→「静的リース」タブを選択

　　

　・静的リース画面です。

　　

・「MACアドレス」
　　　対象の機器のMACアドレスを探します。
　　　対象の機器に掲載の情報やラベルを参照して探します。

・「ホスト名」
　　　設定したいなら、ホスト名を入力。
　　　空にしたら設定されません。
　　　空の状態で、機器側でホスト名が設定されていたらそちらが表示されます。

・「IPアドレス」
　　　設定したいなら、IPアドレスを入力。
　　　DHCPの範囲に被らないよう注意。

・「リース期間」
　　　IPアドレス/ホスト名が1回の払い出される期間
　　　リースが切れると消えますが、再接続すると再度払い出されます。
　　　「12h」(12時間)や「7d」(一週間)といった設定を選択するか
　　　手動で入力できます。選択の中には「Infinity」もあります。

　● Terminalソフト「ttyd」

　　このソフトウェアは、Luciからコマンド画面が触れるので
　　Luciで設定できないアプリなどがあった場合
　　コンソールを繋がなくても触れるのでとても便利でした。

　　「Software」のFilterから「ttyd」で検索→インストール

　● VPNソフトTailscale

　　VPNソフトの超便利で、ど定番アプリ。
　　ルータ間でVPNしても良いし、ルータとスマホ、ルータとPCと
　　VPNを張るのにとにかく便利かつ、最も分かり易いです。
　　今回、OpenWrtルータにして最も良かったと感じたソフトです。

　　「Software」のFilterから「tailscale」で検索→インストール

　※容量が50MBくらい必要で、何もしていないOpenWrt機はしんどいです。
　　以下のExroot化とセットで必要になるかも

　● Root化/Exroot化

　　USBメモリや外部ストレージをあたかもメインストレージとして
　　マウントし直す事で、本体の使えるストレージを増やす方法
　　結構手間がかかるので、ここでは割愛
　　FG52Eは、内部に32GBのSSDを2枚持っているので
　　このSSDをRoot化したら、USB端子を別の事に使い回せます。

　　コマンドによるストレージ容量確認は以下の通り。
　　

備考/所感

・元々ゲーミングルータを使っていたのですが速度が全然違いました。
　2Gbps回線を契約していますが、元のゲーミングルータでは700Mbpsぐらいだったのに
　OpenWrt FG52Eでは、900Mbpsを超えるようになりました（1Gポートなので上限値）

・元々Youtube程度で困った事はありませんでしたが
　キビキビ動いて、レスポンスがとても良くなりました。

・PCとスマホで4台くらいで同時にYoutubeなどを見ても
　OpenWrt FG52Eでは、CPU使用率は2%、メモリは100MBくらいしか使っていません。
　本当に何でもできそうなくらいリソースが空いてます。

・Fortigateをルータとして使った事はありましたが、ルータ/FWとしてであり
　家庭用やゲーミングルータを大きく超えたあらゆる機能がてんこ盛りの
　OpenWrtとそれを最大限に使えるFortigateの組み合わせは最強だと思います。

・Fortigate 52Eは先ほどの通り、mSATAによるSSD32GBが2枚搭載しており
　ストレージが非常に余裕がある機種です。

・このSSDをメインストレージにする事で、
　ソフトウェアも複数好きなだけ入れられて
　また入れたソフトもメモリが2GBあるおかげで気にせず使用できます。

・ストレージがない50Eは、本体の容量が欲しい場合USBメモリをExroot化して
　メインストレージにする必要がありますが、52Eはそれがないおかげで
　USBポートを他の事に使える上、USBメモリより信頼できるストレージで運用できます。

・大破ログ様にもありますが、sambaをインストールして
　本体ストレージないしは、USB3.0のUSBメモリを、NAS代わりにしようとすると
　最初は書き込み10MB/sぐらいだけど、だんだんCPU使用率があがって
　5分くらいでCPUが1コアが100%になると、50KB/sぐらいになって使い物になりませんでした。
　外付けHDD付けて簡易NASにしたかったので残念！！

・記事ではしれっと説明してますが、OpenWrtを理解するまで
　ここ2か月で70時間くらい実機勉強してます。（＾＾；）

以上、ご清聴ありがとうございました。

　　　　　　　　どこかの誰かの何かの足しになれば幸いです。

　　　　　　　　　　　　　　　　　　　　　　　　01000010 01011001 01000101

参考

■ 大破ログ様：Fortinet FortiGate 50E
https://taiha.hatenablog.jp/entry/2023/03/10/004523

■ 大破ログ様：Fortinet FortiGate/FortiWiFi 5xE (50E-2R, 51E, 52E)
https://taiha.hatenablog.jp/entry/2024/06/08/191112

■ けやっこめも様：FortiGate 52EとFortiWiFi 50E-2RにOpenWRTを焼く
https://keyakko.hatenablog.jp/entry/2024/07/13/232332

■ rapport-star様：OpenwrtがFortiGate 50Eに対応したらしいので入れてみた
https://www.rapport-star.com/blog/2023/05/26/openwrt%E3%81%8Cfortigate-50e%E3%81%AB%E5%AF%BE%E5%BF%9C%E3%81%97%E3%81%9F%E3%82%89%E3%81%97%E3%81%84%E3%81%AE%E3%81%A7%E5%85%A5%E3%82%8C%E3%81%A6%E3%81%BF%E3%81%9F/