【FortiGate】テレビ電話、テレビ会議、ビデオ会議システム等の接続不具合
FortiGateとPolycom製品のVideo Border Proxy Plus シリーズ(以下VBP)を接続した際に正常に通信ができない事象が発生したので検証した結果、回避できたのでその設定方法を記します。
【事象概要】
PolycomのVBPは外部のユーザーが会議室用ビデオ会議システム、個人用ビデオ会議システム、モバイルデバイスなどの内部のユーザーとの間の会議にセキュアに参加し、コミュニケーションを図れるようにします。
よりセキュアにするためにSIPを使用したテレビ電話システムなどVoIP機器をFortigate配下に設置し、外部からアクセスされるポートをすべてVIPやポリシーでアクセス許可を行っても、クライアントとサーバ間で正常に通信ができません。
【構成】
【結論】
Fortigateには、Default設定でSIPをサポートする機能がありますが、この機能が逆に不具合の原因となることがあります。
【設定】
まずは通常通り上記構成の通信を許可する設定をします。
①Destination NATの設定
「ポリシー&オブジェクト」>「バーチャルIP」>「新規作成」
②ポリシーの設定
「ポリシー&オブジェクト」>「IPv4ポリシー」>「新規作成」
※ALLで許可していますがポート番号や送信元が特定でていればよりセキュアになります。
◎同様にLAN→WANの通信も許可するようにしてください。
[参考]Polycom製品の通信を許可する際の設定例は下記公式サイトで確認できます。
Example Scenario: Using FortiGate services to support Audio/Visual Conferencing
====================================
ここまでは通常の設定ですが今回の事象を回避するには以下の設定が必要です。
====================================
③SIP、H.323 セッションヘルパー機能を無効にします。(CLIのみ)
# conf sys session-helper (session-helper) # show ←セッションヘルパーの設定内容を確認 config system session-helper edit 1 set name pptp set port 1723 set protocol 6 next edit 2 set name h323 set port 1720 set protocol 6 next edit 3 set name ras set port 1719 set protocol 17 next edit 13 set name sip set port 5060 set protocol 17 next (session-helper) # delete 13 ←SIPのセッションヘルパーを削除(無効) (session-helper) # delete 2 ←H.323のセッションヘルパーを削除(無効) (session-helper) # end # config system settings (settings) # set sip-helper disable ←SIPのセッションヘルパーを無効 (settings) # set sip-nat-trace disable ←SIPのNATトレースを無効 (settings) # end
※それでも通信できない場合は "edit 3" のrasも無効にしてください。
これで通信が可能となるはずです。
【FortiGate】非対称ルーティングの設定
非対称ルーティングの有効化はセキュリティレベルの低下に繋がりますのでオススメしませんが
やむを得ず実施される場合は理解した上でお願いします。
Fortigateは、ステートフルFirewallなので、非対称となる通信はステートの確認ができない為、
パケットが破棄されます。
しかし、非対称ルーティングの有効化(ステートフルインスペクションの無効化)をすることで
非対称ルーティングの通信も許可することが可能です。
非対称ルーティングとは一般的に多い構成がロードバランサ―にてDSR (Direct Server Return)機能を利用すると、
戻り通信がロードバランサ―を経由しないため非対称通信となります。(下図参照)
今回は下図の構成で検証してみました。
FortiGateはL2でルーティングポイントがRouterにありますので必ずRouter経由での通信経路となります。
例えばFortiGateからすれば同じSYNパケットが端末1からRouterに抜けて、またRouterから端末2に抜けるような通信となります。
現在の設定状態を確認した後に設定します。
# config system settings (settings)# get asymroute : disable ←非対称ルーティングが無効な状態 (settings)# set asymroute enable (settings)# end # config system settings (settings)# get asymroute : enable ←非対称ルーティングが有効な状態
これで非対称ルーティングが行えます。
※ただし、前述したようにセキュリティレベルは低下します。
例えばステートフルではないのでFirewallとしては機能しません。
UTM機能もポリシーとポートが合致したもののみ検査の対象となります。
【FortiGate】SSL-VPN接続時の二要素認証
FortiGateでSSL-VPN接続時の二要素認証の設定方法をここに記載します。
二要素認証方式は代表的に下記4種類あります。
・FortiToken(基本ライセンスで2つ)
・Email
・SMS(1回送信ごとに課金)※プロバイダーに制限あり
・証明書
今回は費用をかけず一番容易な方法であるEmailでの二要素認証の方法を記載します。
※SSL-VPN接続の設定は完了していることを前提とします。
①ユーザの登録
ユーザ&デバイス>ユーザ>ユーザ定義
「ローカルユーザ」を選択して「次へ」をクリック
ユーザ名・パスワードを入力して「次へ」をクリック
Emailアドレスを入力して「次へ」をクリック
「有効」にチェックを入れて「作成」をクリック
※ここで「二要素認証」にチェックを入れる必要はない
②メールサーバの登録(CLIのみ)
メールサーバの登録が必要になってきます。フリーメールでも可能です。
今回はGmailで試してみました。
# conf system email-server # set reply-to "xxxxxxxx@gmail.com" # set server "smtp.gmail.com" # set port 465 # set authenticate enable # set username "xxxxxxxx@gmail.com" # set password ******** # set security smtps # end
③ユーザの登録の修正(CLIのみ)
# conf user local # edit TEST # set two-factor email # end
これ以降GUIでも設定が確認できます。
■
2016/5/4に小柿渓谷放流釣場へアマゴを釣りに行きました!
朝起きて何もすることがないと思い、以前から一回行こうと思ってたので急遽行くことを決意しました。
まず現地で一人分の料金3800円を支払い好きな釣り場を選んで釣りを開始します。
釣り場は川に岩を積んで枠で仕切られています。
空いてる釣り場ならどこでもいいみたいなので雰囲気のいい場所を選んで釣りを開始すると管理人が一人分のアマゴを放流してくれました。
おそらく15~20匹程度でしょうか。
放流する寸前に数匹だけバケツに入れてくれました。優しさだとは思いますが。。。
嬉しい半分、釣り人のプライドが傷付きました(笑)
放流後に仕掛けにエサ(イクラ)を付け投入するとすぐにウキが沈んでアマゴがかかりました。
やっぱり魚の引きはいいもんですね!
その後も立て続けに釣れて10匹は釣れましたがそれからアタリがピタッと止まってしまいました。
後から話を聞くと放流後は食い気があるのですぐに釣れるがだんだんスレてきて、アマゴ自体も目がいいので糸や針が見えると警戒するそうです。
多く釣るにはやっぱり腕が必要のようです。
来年また勉強して挑戦してみようと思います。
小柿渓谷放流釣場
HP:http://www.geocities.jp/kogakifishing/
釣ったアマゴは塩焼きにしておいしくいただきました!
【FortiGate】管理接続方法
FortiGateの簡単な管理接続方法があるのでここに記載します。
この方法は管理IPがわからない場合でも接続することが可能です。
①まずPCに"FortiExplorer"をインストールします。
インストーラーのダウンロードはこちら⇒【FortiExplorer】
②USBのType A-Mini-BでPCとFortiGateを接続します。
自動でFortiExplorerが起動し筐体の情報が表示されます。下図参照
③ログイン
・GUI表示の場合は左ペインの「Web-based Manager」
・CLI表示の場合は左ペインの「Commandline Interface」