2013年11月27日水曜日

FortiGate ログが書き込まれない

先日FortiGate110Cのファームウェアをアップデートしたらログが書き込まれなくなった

更新前:FortiOS 4.0_MR1
更新後:FortiOS 4.0_MR3_Patch15

管理者権限のあるユーザでWeb管理画面へ
ダッシュボード>StatusにあるCLIコンソールから操作します。

存在しない場合は表示項目の追加からCLIコンソールを選択して追加します。

CLIコンソールでチェックすると

# show log memory setting
show log memory setting
    set status disable ← 無効になってる!
end

あれ?・・・ということで有効に変更

# config log memory setting
 (setting) # set status enable ← 有効に変更
 (setting) # end
# exit
 

2013年11月11日月曜日

FortiWiFi 基本設定

FortiWiFi-60Cの簡単な設定

FortiWiFiとは
FortiGateにWi-Fiのポートが付いたモデルである。

基本的にはFortiGateと同じである。

ちょっと残念なのがこのWiFiポートはアクセスポイント(AP)ではないっていうことです。
WANポート、LANポートのように独立したポートなのです。

従ってLANポートと同じネットワークアドレスが設定できない。

どうしてもAPがいいのであれば別途FortiAPという専用機器があるのでそちらを追加で購入する方法があります。

それからMACアドレスでの接続許可やSSIDを隠すステルスモードは現在搭載されていないがファームウェアV5.0で可能になる予定です。








例)
WANポート_10.10.10.1/255.255.255.255(外側)
LANポート_192.168.0.0/255.255.255.0(内側)
WiFiポート_192.168.50.0/255.255.255.0(内側)

ファームウェアV4.0 MR3 Patch15 (build 0672)

●アドレス
wifi用のアドレスを作成します。



●DNS設定
wifiインターフェースを「システムのDNSサーバに転送」にしておく(存在しなければ追加)




●ワイヤレスコントローラ
IPアドレス :192.168.50.1/255.255.255.0
管理アクセス :PINGのみで良いでしょう
DHCPサーバ有効 :ON
アドレス範囲 :192.168.50.10-192.168.50.20
サブネットマスク :255.255.255.0
デフォルトゲートウェイ :インターフェースのIPと同じ
DNSサーバ :システムDNSと同じ(社内のDNSを使いたい場合は指定で定義)

SSID:必要に応じて変更
セキュリティー:WPA/WPA2-パーソナル
暗号化:AES
事前共有キー:8文字~64文字まで(26文字以上は設定したいところです)

WiFi機器同士の通信をさせない場合はSSID内トラフィックブロックをONにする
同時接続数を制限する場合はその台数を設定する



●DHCPサーバ
ワイアレスコントローラの作成と同時に作成されるので内容をチェックしておく



●ポリシー
Wi-Fi機器がインターネットだけにつながれば良いのであればWiFiポート→WANポートへのポリシーを作成するだけでよい。NATは有効にします。

送信元アドレスは先ほど作成したアドレスを設定
宛先アドレスは外部なので基本的にallで設定




これでWi-Fi経由でインターネットが閲覧できるようになります。

●Wi-Fiの調整
送信出力の調整
不正APスキャンさせないをONにします。





●WiFiポートからLANポート
LANポート内にあるサーバにアクセスさせた場合
WiFiポート→LANポートへのポリシーを作成するだけでよい。NAT有効にします。

●その他
SSIDは追加できるのでひとつのWiFiポートに対して複数の割り当てができます。LANにアクアセスできる、できないで分けるなどの使い方ができるようです。

簡単な説明だがこんな感じで設定すればOK
 

2013年11月8日金曜日

ForiGate 信頼できるホストを間違ってアクセスできなくなった!

FortiGateでは納品時はどのホストからもアクセスができるようになっているがセキュリティ的によくない。

やはり0.0.0.0を変えてアクセス制限は設定しなければいけませんね。

設定はWEB管理画面で言うと、システム>管理者>管理者アカウント内の「信頼できるホスト」

しかし、ここで0.0.0.0を誤って全部127.0.0.1/32に書き換えてしまった!当然その瞬間WEBからの応答がなくなる。

こんな場合はFortiGateとPCをシリアル接続してCLI経由で設定します。(接続方法はこちらを参考)

まずは管理者でログイン

# config system admin
(admin)# show system admin
config system admin
    edit "admin"
        set trusthost1 127.0.0.1 255.255.255.255
        set trusthost2 127.0.0.1 255.255.255.255
        set trusthost3 127.0.0.1 255.255.255.255
        set accprofile "super_admin"
        set vdom "root"
        ・
        ・
        ・

        こんな感じで設定情報が表示される・・・見事にlocalhostのみだ!笑える
        ということで3番目を上書きして変更します。

(admin)# edit admin ←設定するユーザー名
(admin)# set trusthost3 192.168.0.0/255.255.255.0 ←信頼するホスト(192.168.0.0/24でも可)
(admin)# end
# exit

これで完了!
無事WEB管理画面にアクセスできるようになりました。
 


Google検索