イノベーション エンジニアブログ


株式会社イノベーションのエンジニアたちの技術系ブログです。ITトレンド・List Finderの開発をベースに、業務外での技術研究などもブログとして発信していってます!


このエントリーをはてなブックマークに追加

Fortigateにプロバイダを追加した時のメモ

KTNです。
先日、新しくネットワークの魔術師になったばかりの、
亜美さん、小柳津さんにお客様用Wi-Fiの設定をしてもらいましたが、
そのさらに続きで、プロバイダを追加したときのお話を書きたいと思います。

なんでプロバイダ追加したの?

既にプロバイダ設定してあるのに、なんで更に追加するの?
という感じではあるのですが、
外部公開しているサーバがあってグローバルIPが足りなくなったからではないです。
マーケティングの情報取得のためにツールでGoogleに頻繁にアクセスしていて、
そのせいで社内の人が何かをググる時に、ロボットではないか?と疑われ、
都度認証が必要になって面倒くさいから。
社内の人が使うグローバルIPと、ツールが使うグローバルIPを分けたい!となりまして、
たまたま利用可能なプロバイダ契約があったので追加で設定してみた、という感じです。

こんな感じにしたい

2.jpg

完成形の構成イメージはこんな感じになります。
 社内用からの通信     → プロバイダA
 お客様用からの通信    → プロバイダA
 別プロバイダ用からの通信 → プロバイダB
を使うようにしたい!
なので、作業は簡単です。
Fortigate(UTM)のWAN2ポートに追加プロバイダ分のPPPoEの設定をしてVLANを追加して、
L2とAPにもVLAN追加してやればほぼ完了ですね。
あとはFortigateのルーティングを書くぐらいです。

設定してみました

といっても、
> FortigateのWAN2ポートに追加プロバイダ分のPPPoEの設定をしてVLANを追加して、
> L2とAPにもVLAN追加してやればほぼ完了ですね。
ここについては前回の亜美さんの記事でも書いている内容ですので、
省略しちゃいます。決して手抜きでは無いです。
図のVLAN300を各機器に設定していきます。
最後のルーティングの部分だけ設定を説明したいと思います。

Fortigateの設定画面の「ポリシー」→「ポリシー」を開きます。
本当は画面を貼りたいところなのですが、社内の機器のポリシーを貼るのははばかられるので、
文字で失礼します。
設定するのは以下のイメージ
 ・社内用
  incomingインターフェース:internal
  outgoingインターフェース:wan1
  サービス:HTTP、HTTPS
  アクション:NAT有効
 ・お客様用
  incomingインターフェース:VLAN200
  outgoingインターフェース:wan1
  サービス:HTTP、HTTPS
  アクション:NAT有効
 ・別プロバイダ用
  incomingインターフェース:VLAN300
  outgoingインターフェース:wan2
  サービス:HTTP、HTTPS
  アクション:NAT有効
上記の感じでポリシーを設定しておけば、
それに従ってルーティングをいい感じにやってくれるのでは!?という期待を持って設定してみます。
結果は、、、すべての通信がwan1を使おうとしているようで上手く動作しませんでした。。。

ポリシーベースルーティングが欲しい

上記の結果になることは若干予想してまして、
宛先だけではルーティングを書くことが出来ないので(両方宛先がインターネットになるので)、
ソースを元に振り分けをする必要があるかなと。
Fortigateのポリシーに設定すれば、いい感じにやってれると思ったのですが、
そんなことは無いことがわかったので、対応方法を考えます。

マニュアルをちら見すると「ポリシールート」という項目があり、
設定内容を見るとIncoming(ルートポリシーの対象となるパケットを受信するインタフェース)
とありました。
ただしこれを使うには「高度なルーティング」を有効にする必要があるとのことなので、
Fortigateの「ダッシュボード」→「Status」から有効にしちゃいます。

3.png

有効にすると「ルータ」という項目がメニューに追加されるので、
「ルータ」→「ポリシールート」から設定します。
 ・社内用
  受信インターフェース:internal
  送信インターフェース:wan1
 ・お客様用
  受信インターフェース:VLAN200
  送信インターフェース:wan1
 ・別プロバイダ用
  受信インターフェース:VLAN300
  送信インターフェース:wan2
上記の感じでポリシールートを設定して動作確認すると、
期待通りに動作しました!!
さすがFortigate様、結構値段はするかもですが、
その分欲しい機能を提供してくれます。ありがとう!!

終わりに

ネットワーク機器の設定する際には、
事前にしっかり機能を確認しないといけないですね、
安いルータとかだったらポリシールート無いと思うので。
今回はFortigateなので論理的に機器を分割するVDOMを使えば設定出来ることを知っていたので、
最悪そっちで設定しようと思ってましたが、
VDOMを作成するのは結構面倒なのでポリシールートで設定できて良かったです。
もうしばらくはネットワークの設定変更はなさそうですが、
また何かあれば書きたいと思います。では〜。