インストールする対象サーバを選択
SMB選択
インストールクリック。
インストール完了後、再起動すれば完了
C直下にshareフォルダを作成します。
作成したshareフォルダを選択し、右クリック→アクセスを許可する→特定のユーザーを選択。
プルダウンから、Everyoneを選択し、追加。
再度Everyoneを選択し、共有ボタンをクリック。
アクセス許可レベルを読み書きに変更。
※認証なしでアクセスするには、GuestまたはEveryoneを許可しないとアクセスできません。
共有完了。
クライアントから共有フォルダーへアクセス・フォルダーアップロード完了。
WindowsServer側でも反映されていること確認。
※今回試したFortigateのOS「v6.2.10 build1263」には設定項目がなかったですが
他のOSによっては、メニュー→システム→設定のインスペクションモード「プロキシベース」に変更しないと、プロキシ設定が行えない事もあるとの事。
FortiGateでは、プロキシの設定項目(Explicitプロキシ)がデフォルトでOFFになってますので、ONにします。
次に、インターフェース側でもプロキシをONにします。
下図のインターフェースは、LAN側のインターフェースです。
メニュー→Explicitプロキシで、ExplicitWebプロキシの機能をON。
リッスンインターフェース(プロキシ要求を受付するポート)を選択し、受付ポート番号を指定。
とりあえず繋げるだけなのでデフォルト8080にします。
メニュー→プロキシポリシーで、新規作成をクリック。
LAN→WANへの全ての通信にプロキシを適用します。
プロキシをリッスンポートIPとポート番号を入力し、「保存」ボタンクリック。
プロキシOFFの状態だと、外部サービスへの接続は宛先IPをグローバルIPにして通信しますので、プライベートIP↔グローバルIPが表示されてます。
プロキシをONにすると、外部への接続はプロキシサーバー(今回はFortigate)宛てに通信するので、グローバルIPは表示されず代わりにFortigateのIPが表示されてます。
今回は、ローカルユーザー(FG内でユーザー管理)を利用します。
ユーザー&デバイス → ユーザー定義 → 新規作成
ローカルユーザ選択。
ユーザー名・パスワード入力
ユーザー名・パスワード以外に、認証が必要な場合は、下図のような認証機能を追加利用できます。
Eメールアドレスは、二要素認証のパスワードを送付するアドレスを入力します。
今回は、利用しませんので、何も入力せずに飛ばします。
ユーザーアカウントステータスを有効化にして、「サブミット」クリックすると作成完了です。
グループ名を入力し、メンバーに先ほど作成したユーザーを選択。
デフォルトで作成されているtunnel-accessを編集します。
リッスンするインターフェースには、SSL-VPNのアクセスを受け付けるポートを選択。
リッスンするポートは、SSL-VPNのアクセスを受け付けるポート番号を設定。
デフォルトは、443ですが、管理GUIとポート番号が被るため、SSL-VPN用に10443で変更します。
SSL-VPNアクセスしてくるPCの仮想NICに設定するIPの設定します。
アドレス範囲は、Fortigateのデフォルト設定のSSLVPN_TUNMNEL_ADDR1。
先ほど編集したポータルの設定(tunnel-access)を選択し、OKクリック。
これで、SSL-VPNとSSL-VPNポータルの設定が、連携されます。
これで、一通りSSL-VPNの設定は、完了です。次はポリシーの設定です。
画面上部の警告部分をクリックすると、ポリシー作成画面に遷移します。
発信インターフェースは、LAN側のIFを選択。
送信元は、サービスALL、アクセス端末は、ssl-groupグループに所属したユーザーのみ。
宛先は、LAN側のサブネットを選択。サービスもALL
この状態で適用をクリックし、ポリシー作成完了。
SSL-VPNクライアントに割り当てるIPアドレスに対してのルーティングの設定を行います。
割り当てるアドレス範囲が「10.212.134.200 - 10.212.134.210」なので、10.212.134.0/28でStaticRouteの設定を行います。
新規作成をクリック。
宛先ネットワークを入力し、SSLVPN用のインターフェースを選択し、OKクリック。
ソフトは、下記からインストール
https://www.fortinet.com/support/product-downloads
「FortiClient VPN」
ソフト起動し、VPN設定クリック。
今回は、SSL-VPNの設定なので、「SSL-VPN」を選択。
接続名と説明は、適当に入力し、リモートGWは、VPN接続を受け付けるIPアドレス
(リッスンするインターフェース選択)
クライアント証明と認証は、そのままで保存クリック。
Fortigateで作成したユーザー名・パスワードを入力し、接続クリック。
繋がらん。。
警告メッセージを「はい」クリックして、繋がりました。
これで接続完了です。
イーサーネットが、物理NICです。
きちんと、VPN用のIPに設定されてますね。
ハートビート(LAN5)を結線したところ、スレーブ(Backup)側がXになりました。。
数分したら、同期成功しました。(何も設定変えてないです)
監視ポートWAN1のケーブルを抜線します。
※抜線して、片系が落ちてる間は、LANIP(192.168.10.254)でGUIアクセスしても、マスタ側(Backup)しか応答しません。
スレーブ側(Main)にGUIアクセスしたい場合は、GUI用の管理ポート(2port)のIPに対して、アクセスする必要があります。
Mainがスレーブに切り替わってますね。
Backupがマスタに切り替わってますね。
SWにつないだPCから、ping打ちっぱなしで、切り替えた結果
1秒位切り替わったと思われます。
監視ポートWAN1のケーブルを再接続し、2台ともリンクアップしているのに
ロールが戻ってません。
VRRPやHSRPなどは、抜線したケーブルを再接続すれば、自動でマスタ・スレーブが基に戻りますが、Fortigateは、CLIで下記設定を行わないと、自動で戻りません。。
「set override enable」コマンドで、自動切り戻しを有効にします。
設定前
設定後
コマンド投入後は、下図の通り自動で戻るようになりました。
※自動で切り戻るという事は、予期せぬタイミングでネットワークの瞬断が発生しますので、設定は「set override disable」で、夜間などに手動切替が推奨されてるみたいです。
FortiGateCloudで表示されるイベントログの内容をメモ。
「2」がGUIログイン。「1」がログアウト
GUIログインのタイムアウトでログアウトした時に表示される。
「2」は、FortiGateCloudと通信できた時。
「3」は、FortiGateCloudと通信できなくなった時。
下記ログ2行が表示された時は、インターネット向け(アップリンク)を抜いた時でした。
jsconsoleからshutdownコマンドを実行した時。
jsconsoleは、下図のCLI Console
ログイン時にパスワードミスした時に表示。
