【FortiGate】GUI 管理画面にアクセス/ログインできない場合の確認ポイントと解決方法

ネットワーク

はじめに

  • fortigate 管理画面 アクセスできない
  • fortigate ログインできない
  • fortigate gui 接続できない
  • fortigate gui 表示されない

こういったトラブルを解決するための確認ポイントと解決方法について記載します。

なお、構築段階、運用段階の両方のシチュエーションを想定しています。

作業環境

  • FortiGate
    • 型番: FortiGate 60E
    • バージョン: 6.4.5

確認点① 接続先 IP アドレスは正しいか

まずは接続しようとしている FortiGate の IP アドレスが正しいかを確認してください。

これは対象 FortiGate の設計書、パラメータシート、その他管理資料などで確認します。

またコンソール接続可能な場合は show system interface で各インターフェースの IP アドレスを確認できます。

確認点② 接続先 IP アドレスへの疎通性はあるか

操作している端末から FortiGate の IP アドレスへのネットワーク疎通性が無い場合は、そもそも FortiGate に到達できないため GUI アクセスはできません。

FortiGate の IP アドレスや、その IP を含む IP セグメントへの疎通性があることを確認します。

FortiGate の IP アドレスに対して ping が成功しない場合、FortiGate 側で ping に応答しないようにする設定がされている可能性もあるため、ping が成功しないことだけではネットワーク疎通性が無いとは判断できません。

確認点③ ログインユーザ情報は正しいか

GUI のログイン画面は表示できているが認証に失敗している場合は、使用しているログインユーザ情報が正しいかを確認します。

これは対象 FortiGate の設計書、パラメータシート、その他管理資料などで確認します。

確認点④ FortiGate 側で GUI アクセスが許可されているか

FortiGate の GUI にアクセスするためには、FortiGate の設定で GUI アクセスの許可設定がされている必要があります。そのため、関係する設定を確認します。

インターフェースで管理アクセス設定はされているか

接続しようとしている IP アドレスが設定されているインターフェースについて、[管理アクセス] 設定で [HTTPS] や [HTTP] にチェックが入っているかを確認します。

  • [HTTPS] にチェックが入っていてかつ [HTTP] にチェックが入っていない場合、ブラウザでアドレスとして [https://<IP アドレス>] のように https でアクセスする必要があります。http でアクセスしようとした場合はアクセスできません
  • [HTTPS] と [HTTP] の両方にチェックが入っている場合は、https と http のどちらでもアクセス可能です(http でアクセスした場合は https にリダイレクトされます)

CLI で設定確認する場合は、show system interface で確認します。

FG60E # show system interface
config system interface
#中略
    edit "internal"
        set vdom "root"
        set ip 192.168.1.99 255.255.255.0
        set allowaccess ping https ssh http fgfm fabric
        set type hard-switch
        set stp enable
        set role lan
        set snmp-index 6
    next
#中略
end

以下の set allowaccess 項目の設定値に https や http が含まれているかを確認します。

        set allowaccess ping https ssh http fgfm fabric

解決方法

以下のいずれかを行います。

  • https アクセスが許可されていて http アクセスが許可されていない場合は、https でアクセスする
  • https アクセスが許可されていない場合は https アクセスを許可するよう設定変更する
    • GUI の場合は対象インターフェース設定の管理アクセスにて https にチェックを入れる
    • CLI の場合は対象インターフェース設定にて set allowaccess に https を含めた値を設定する
  • https アクセスが許可されているインターフェースの IP アドレスを宛先としてアクセスする

管理者ユーザのログイン制限は設定されているか

管理者ユーザの設定で [信頼されるホストにログインを制限] が設定されている場合、指定されている送信元 IP アドレス 以外からは GUI アクセス/ログインすることができません。(この場合 CLI にもアクセス/ログイン できません。)

  • ログインが許可されている管理者ユーザが一つも存在しないときは、GUI のログイン画面にアクセスできません。
  • ログインが許可されている管理者ユーザが少なくとも一つ存在する場合は、GUI のログイン画面にはアクセスできますが、ログインが許可されていない管理者ユーザでログインしようとすると以下の認証失敗画面になります

CLI で設定確認する場合は、show system admin で確認します。

config system admin
    edit "admin"
        set trusthost1 10.1.10.0 255.255.255.0
        set accprofile "super_admin"
        set vdom "root"
        set password ENC SH22lC3zcCbO3lgOILjkoj5IKSTrjY1YPzIisPyMcH6IqenxP31PiMQHNjQDuo=
    next
    edit "admin2"
        set accprofile "super_admin"
        set vdom "root"
        set password ENC SH2mx52J23oAdDinXCSORIeP4WkpVo+xNGRQVjWxiTKKvqVA0dFHwkzCH0yqns=
    next
end

以下の set trusthost1 項目が設定されている場合は、送信元 IP アドレスが制限されています。

        set trusthost1 10.1.10.0 255.255.255.0

[信頼されるホストにログインを制限] 設定として複数の IP が設定されている場合は、set trusthost1set trusthost2、… のように項目名の末尾の数字が異なる複数行の設定が表示されます

解決方法

以下のいずれかを行います。

  • [信頼されるホストにログインを制限] 設定を削除する
  • [信頼されるホストにログインを制限] 設定で送信元 IP アドレスを追加する
  • [信頼されるホストにログインを制限] 設定で許可されている送信元 IP アドレスからアクセスする

確認点⑤ HTTP/HTTPS ポートの設定が変更されているか

GUI アクセスする際は HTTP または HTTPS 接続しますが、FortiGate のデフォルトの設定では待ち受けポート番号はそれぞれ 80 と 443 になっています。

この設定を変更している場合は、設定されているポート番号でアクセスする必要があります。

この設定項目では GUI は [システム > 設定] 画面の [管理者設定] 欄にあります。

上の例では HTTPSポートが 1234 に変更されているため、HTTPS で GUI アクセスする場合は [https://<IP アドレス>:1234] にアクセスする必要があります。

CLI で設定を確認する場合は show system global で確認します。

config system global
    set admin-port 80   '← HTTP ポート設定'
    set admin-sport 1234  '← HTTPS ポート設定'
end

※デフォルト値の場合は show system global コマンドでは上記設定項目は表示されません

―――――――――――――

タイトルとURLをコピーしました