体育会系NetworkEngineerの備忘録

ネットワーク機器(Cisco、Juniper、FortiGate、BIG-IPなど)の設定方法や検証レポートを紹介します。プライベートの内容も少しあります。

【FortiGate】テレビ電話、テレビ会議、ビデオ会議システム等の接続不具合

FortiGateとPolycom製品のVideo Border Proxy Plus シリーズ(以下VBP)を接続した際に正常に通信ができない事象が発生したので検証した結果、回避できたのでその設定方法を記します。

【事象概要】
PolycomのVBPは外部のユーザーが会議室用ビデオ会議システム、個人用ビデオ会議システム、モバイルデバイスなどの内部のユーザーとの間の会議にセキュアに参加し、コミュニケーションを図れるようにします。
よりセキュアにするためにSIPを使用したテレビ電話システムなどVoIP機器をFortigate配下に設置し、外部からアクセスされるポートをすべてVIPやポリシーでアクセス許可を行っても、クライアントとサーバ間で正常に通信ができません。

【構成】
f:id:fantasista7s:20180830153451p:plain

【結論】
Fortigateには、Default設定でSIPをサポートする機能がありますが、この機能が逆に不具合の原因となることがあります。

【設定】
まずは通常通り上記構成の通信を許可する設定をします。

Destination NATの設定
「ポリシー&オブジェクト」>「バーチャルIP」>「新規作成」
f:id:fantasista7s:20180830151650j:plain

②ポリシーの設定
「ポリシー&オブジェクト」>「IPv4ポリシー」>「新規作成」
※ALLで許可していますがポート番号や送信元が特定でていればよりセキュアになります。
f:id:fantasista7s:20180830151658j:plain
◎同様にLAN→WANの通信も許可するようにしてください。

[参考]Polycom製品の通信を許可する際の設定例は下記公式サイトで確認できます。
Example Scenario: Using FortiGate services to support Audio/Visual Conferencing

====================================
ここまでは通常の設定ですが今回の事象を回避するには以下の設定が必要です。
====================================

SIPH.323 セッションヘルパー機能を無効にします。(CLIのみ)

# conf sys session-helper

(session-helper) # show         ←セッションヘルパーの設定内容を確認
config system session-helper
   edit 1
       set name pptp
       set port 1723
       set protocol 6
   next
   edit 2
       set name h323
       set port 1720
       set protocol 6
   next
   edit 3
       set name ras
       set port 1719
       set protocol 17
   next

   edit 13
       set name sip
       set port 5060
       set protocol 17
   next

(session-helper) # delete 13       ←SIPのセッションヘルパーを削除(無効)

(session-helper) # delete 2        ←H.323のセッションヘルパーを削除(無効)

(session-helper) # end

# config system settings

(settings) # set sip-helper disable       ←SIPのセッションヘルパーを無効

(settings) # set sip-nat-trace disable     ←SIPのNATトレースを無効

(settings) # end

※それでも通信できない場合は "edit 3" のrasも無効にしてください。

これで通信が可能となるはずです。

【FortiGate】非対称ルーティングの設定

非対称ルーティングの有効化はセキュリティレベルの低下に繋がりますのでオススメしませんが
やむを得ず実施される場合は理解した上でお願いします。

Fortigateは、ステートフルFirewallなので、非対称となる通信はステートの確認ができない為、
パケットが破棄されます。
しかし、非対称ルーティングの有効化(ステートフルインスペクションの無効化)をすることで
非対称ルーティングの通信も許可することが可能です。

非対称ルーティングとは一般的に多い構成がロードバランサ―にてDSR (Direct Server Return)機能を利用すると、
戻り通信がロードバランサ―を経由しないため非対称通信となります。(下図参照)
f:id:fantasista7s:20180827173244p:plain

今回は下図の構成で検証してみました。
FortiGateはL2でルーティングポイントがRouterにありますので必ずRouter経由での通信経路となります。
例えばFortiGateからすれば同じSYNパケットが端末1からRouterに抜けて、またRouterから端末2に抜けるような通信となります。
f:id:fantasista7s:20180827170538p:plain

現在の設定状態を確認した後に設定します。

# config system settings
(settings)# get

asymroute : disable ←非対称ルーティングが無効な状態

(settings)# set asymroute enable
(settings)# end

# config system settings
(settings)# get

asymroute : enable ←非対称ルーティングが有効な状態

これで非対称ルーティングが行えます。

※ただし、前述したようにセキュリティレベルは低下します。
例えばステートフルではないのでFirewallとしては機能しません。
UTM機能もポリシーとポートが合致したもののみ検査の対象となります。

【FortiGate】SSL-VPN接続時の二要素認証

FortiGateでSSL-VPN接続時の二要素認証の設定方法をここに記載します。

二要素認証方式は代表的に下記4種類あります。
・FortiToken(基本ライセンスで2つ)
・Email
・SMS(1回送信ごとに課金)※プロバイダーに制限あり
・証明書

今回は費用をかけず一番容易な方法であるEmailでの二要素認証の方法を記載します。

SSL-VPN接続の設定は完了していることを前提とします。

①ユーザの登録
 ユーザ&デバイス>ユーザ>ユーザ定義
 「ローカルユーザ」を選択して「次へ」をクリック
f:id:fantasista7s:20161027194947j:plain
 ユーザ名・パスワードを入力して「次へ」をクリック
f:id:fantasista7s:20161027195054j:plain
 Emailアドレスを入力して「次へ」をクリック
f:id:fantasista7s:20161027195148j:plain
 「有効」にチェックを入れて「作成」をクリック
 ※ここで「二要素認証」にチェックを入れる必要はない
f:id:fantasista7s:20161027195255j:plain

②メールサーバの登録(CLIのみ)
 メールサーバの登録が必要になってきます。フリーメールでも可能です。 
 今回はGmailで試してみました。

# conf system email-server

# set reply-to "xxxxxxxx@gmail.com"

# set server "smtp.gmail.com"

# set port 465

# set authenticate enable

# set username "xxxxxxxx@gmail.com"

# set password ********

# set security smtps

# end

③ユーザの登録の修正(CLIのみ)

# conf user local

# edit TEST

# set two-factor email

# end

これ以降GUIでも設定が確認できます。

以上、FortiClientでSSL-VPN接続するとCodeを入力する欄が出力されます。

すぐに指定したメールアドレスにCodeが届くので入力すればSSL-VPN接続ができます。

2016/5/4に小柿渓谷放流釣場へアマゴを釣りに行きました!
朝起きて何もすることがないと思い、以前から一回行こうと思ってたので急遽行くことを決意しました。
まず現地で一人分の料金3800円を支払い好きな釣り場を選んで釣りを開始します。
釣り場は川に岩を積んで枠で仕切られています。
空いてる釣り場ならどこでもいいみたいなので雰囲気のいい場所を選んで釣りを開始すると管理人が一人分のアマゴを放流してくれました。
おそらく15~20匹程度でしょうか。
放流する寸前に数匹だけバケツに入れてくれました。優しさだとは思いますが。。。
嬉しい半分、釣り人のプライドが傷付きました(笑)
放流後に仕掛けにエサ(イクラ)を付け投入するとすぐにウキが沈んでアマゴがかかりました。
やっぱり魚の引きはいいもんですね!
その後も立て続けに釣れて10匹は釣れましたがそれからアタリがピタッと止まってしまいました。
後から話を聞くと放流後は食い気があるのですぐに釣れるがだんだんスレてきて、アマゴ自体も目がいいので糸や針が見えると警戒するそうです。
多く釣るにはやっぱり腕が必要のようです。
来年また勉強して挑戦してみようと思います。

小柿渓谷放流釣場
HP:http://www.geocities.jp/kogakifishing/

f:id:fantasista7s:20160507102517j:plain
釣ったアマゴは塩焼きにしておいしくいただきました!
f:id:fantasista7s:20160507102556j:plain

【FortiGate】管理接続方法

FortiGateの簡単な管理接続方法があるのでここに記載します。

この方法は管理IPがわからない場合でも接続することが可能です。

①まずPCに"FortiExplorer"をインストールします。
インストーラーのダウンロードはこちら⇒【FortiExplorer】

②USBのType A-Mini-BでPCとFortiGateを接続します。
自動でFortiExplorerが起動し筐体の情報が表示されます。下図参照
f:id:fantasista7s:20160401150955j:plain

③ログイン
GUI表示の場合は左ペインの「Web-based Manager」
CLI表示の場合は左ペインの「Commandline Interface」