検証環境
- FortiGate-60E
- version v7.2.3
FortiGate で PPPoE 接続する 2 つの方法
FortiGate で PPPoE 接続する場合、以下の 2 パターンの設定方法があります。
- WAN 向けの物理インターフェースに対して、アドレッシングモードを PPPoE と設定する
- PPPoE インターフェースを作成し、WAN 向けの物理インターフェースに紐づける
また上記パターン1 の場合は、WAN 向けのスタティックルートを設定する場合の注意点があります。
詳細を以下で記載します。
パターン① アドレッシングモードを PPPoE にする方法
PPPoE 接続する一つ目の設定パターンは、WAN 向けの物理インターフェースに対してアドレッシングモードを PPPoE と設定する方法です。この方法は、過去のバージョンから可能な従来の方法です。
◆GUI で設定する場合
GUI で設定する場合は、WAN 向けの物理インターフェースの設定画面にて、以下のようにアドレッシングモードを PPPoE と設定し、PPPoE のユーザ名・パスワード等を設定します。
設定項目については最低限以下を設定して、他はデフォルトまたは要件に応じて調整すればOKです。
- ユーザ名 → プロバイダから受領した PPPoE 用のユーザ名
- パスワード → プロバイダから受領した PPPoE 用のパスワード
- サーバからデフォルトゲートウェイを取得
- 有効(デフォルト)の場合、PPPoE サーバからデフォルトルートを取得しルーティングテーブルにインストールする
- デフォルトルートを WAN 向けにしたくない場合は、無効にする
設定完了後、PPPoE 接続に成功すると以下のようにステータスや取得したIP等の情報が表示されます。
◆CLI で設定する場合
CLI で設定する場合は、config system interface の対象インターフェースにて設定します。
| CLIでの設定項目 | GUIでの設定項目 | デフォルト |
| mode | アドレッシングモード | – |
| username | PPPoE ユーザ名 | – |
| password | PPPoE パスワード | – |
| ipunnumbered | Unnumbered IP接続 | 0.0.0.0 |
| disc-retry-timeout | 初期Discタイムアウト | 1 |
| padt-retry-timeout | 初期PADTタイムアウト | 1 |
| defaultgw | サーバからデフォルトゲートウェイを取得 | enable |
| distance | ディスタンス | 5 |
| dns-server-override | 内部DNSを上書き | enable |
設定例:
config system interface
edit "wan1"
set mode pppoe
set username "pppoeuser01"
set password "pppoeuser01"
set ipunnumbered 0.0.0.0
set disc-retry-timeout 1
set padt-retry-timeout 1
set defaultgw enable
set distance 5
set dns-server-override enable
next
end設定後、PPPoE 接続に成功し IP を取得できている場合、get system interface physical <IF名> コマンドで IP アドレスを確認できます。
FortiGate-60E # get system interface physical wan1
== [onboard]
==[wan1]
mode: pppoe
ip: 123.100.101.10 255.255.255.255
ipv6: ::/0
status: up
speed: 100Mbps (Duplex: full)
FEC: none
FEC_cap: noneWAN 向けスタティックルートの設定方法
例として、以下のネットワーク構成を考えます。
FortiGate-A では wan1 を使用して PPPoE 接続していますが、サーバからデフォルトゲートウェイを取得を無効にして、FortiGate-B の wan1(123.100.102.10) 向けのスタティックルートを設定します。
◆GUI で設定する場合
以下のように設定します。
- 自動ゲートウェイ検索 → 有効
- 宛先 → 宛先アドレスを指定
- インターフェース → wan1 (PPPoE 接続している物理インターフェース)
- その他 → デフォルト
自動ゲートウェイ検索(dynamic-gateway)を有効化していることがポイントです。
これを有効化することで、ルートの出力インターフェースを仮想インターフェースである ppp インターフェースにすることができ、ルーティングが可能になります。
◆CLI で設定する場合
CLI で設定する場合は以下コマンドです。dynamic-gateway が自動ゲートウェイ検索に対応します。
config router static
edit 1
set dst 123.100.102.10 255.255.255.255
set device "wan1"
set dynamic-gateway enable
next
end※スタティックルートの edit 番号については未使用の番号を指定してください
◆ルーティングテーブルの確認
スタティックルート設定後ルーティングテーブルを確認すると、以下のようなルートを確認できます。
S 123.100.102.10/32 [10/0] via 100.200.250.1, ppp2, [1/0]ここで、出力インターフェースが ppp2 となっていることがポイントです。
スタティックルートの設定では出力インターフェースを wan1 と設定しましたが、自動ゲートウェイ検索(dynamic-gateway)を有効化していることで出力インターフェースが ppp になります。これにより、WAN 向けにルーティングすることが可能となります。
ルートを確認した結果出力インターフェースが ppp になっていない場合、自動ゲートウェイ検索(dynamic-gateway)を有効化できていない可能性があるため設定を確認してみてください。
パターン② PPPoE インターフェースを作成する方法
PPPoE 接続するための 2 つ目の設定方法として、PPPoE インターフェースを作成し、それを WAN 向けの物理インターフェースに紐づけるという方法があります。PPPoE インターフェースはファームウェアバージョン 5.6 から追加された比較的新しい機能です。
この方法の場合、WAN 向けの通信は PPPoE インタフェースを介して行われます。
◆GUI で設定する場合
まず WAN 向けの物理インターフェースのアドレッシングモードをマニュアルとし IP アドレスは未設定の状態とします。
次に、インターフェースの新規作成を行います。([新規作成 > インターフェース])
以下画像のようにタイプを「PPPoEインターフェース」と設定します。名前は PPPoE とわかりやすい任意の名前とします。インターフェースに WAN 向けの物理インターフェースを指定します。PPPoE 欄で PPPoE ユーザ等の各種設定を行います。その他、通常のインターフェースと同様に管理アクセス等の設定を行うことができます。
インターフェース新規作成を確定すると、以下のように WAN 向け物理インターフェース配下に PPPoE インターフェースが作成されます。
設定後、PPPoE 接続に成功していれば作成した PPPoE インターフェースの設定画面で以下のように取得した IP 等の情報が表示されます。
◆CLI で設定する場合
CLI で設定する場合はまず config system pppoe-interface で PPPoE 情報を設定します。
| CLIでの設定項目 | 説明 | デフォルト |
| edit | 作成されるPPPoE インターフェースの名前 | – |
| device | PPPoE インターフェースを紐づける WAN 向けインタフェース | – |
| username | PPPoE ユーザ名 | – |
| password | PPPoE パスワード | – |
| ipunnumbered | Unnumbered IP接続 | 0.0.0.0 |
| disc-retry-timeout | 初期Discタイムアウト | 1 |
| padt-retry-timeout | 初期PADTタイムアウト | 1 |
| dial-on-demand | ダイヤルオンデマンド | disable |
設定例:
config system pppoe-interface
edit "PPPoE"
set device "wan1"
set username "pppoeuser01"
set password "pppoeuser01"
set ipunnumbered 0.0.0.0
set disc-retry-timeout 1
set padt-retry-timeout 1
set dial-on-demand disable
next
endconfig system pppoe-interface を設定すると、自動で config system interface 内に PPPoE インタフェースが作成されます。作成されるインタフェース名は、config system pppoe-interface で設定した edit の名前と一致します。
config system interface
edit "PPPoE"
set vdom "root"
set mode pppoe
set type tunnel
set role wan
set snmp-index 17
set interface "wan1"
next
end次に、config system interface 内で必要に応じて各種設定を行います。
| CLIでの設定項目 | GUIでの設定項目 | デフォルト |
| defaultgw | サーバからデフォルトゲートウェイを取得 | enable |
| distance | ディスタンス | 5 |
| dns-server-override | 内部DNSを上書き | enable |
設定例:
config system interface
edit "PPPoE"
set defaultgw enable
set distance 5
set dns-server-override enable
next
endWAN 向けスタティックルートの設定方法
例として、以下のネットワーク構成を考えます。
FortiGate-A では wan1 を使用して PPPoE 接続していますが、サーバからデフォルトゲートウェイを取得を無効にして、FortiGate-B の wan1(123.100.102.10) 向けのスタティックルートを設定します。
◆GUI で設定する場合
以下の通り設定します。
- 自動ゲートウェイ検索 → 無効
- 宛先 → 宛先アドレスを指定
- インターフェース → PPPoE (作成した PPPoE インターフェース)
- その他 → デフォルト
PPPoE インタフェースを作成するパターンの場合、自動ゲートウェイ検索は無効にして出力インターフェースに PPPoE インタフェースを指定します。
◆CLI で設定する場合
以下のように、 dst と device のみ設定すれば OK です。
device では作成した PPPoE インタフェースを指定します。
config router static
edit 1
set dst 123.100.102.10 255.255.255.255
set device "PPPoE"
next
end◆ルーティングテーブルの確認
以下のスタティックルートを確認することができます。
S 123.100.102.10/32 [10/0] is directly connected, PPPoE, [1/0]出力インターフェースは設定した通り PPPoE インターフェースとなります。
ポリシー設定時の注意点
PPPoE インターフェースを作成するパターンの場合は、WAN 向けの通信は PPPoE インタフェースから送受信されるため、ポリシー設定時のインターフェースの指定は WAN 向けの物理インターフェースではなく PPPoE インターフェースを指定することになる点に注意してください。
単一の物理インターフェースで複数の PPPoE 接続を構成する
PPPoE インターフェースを作成するパターンでは、一つの物理インターフェースに対して複数の PPPoE インターフェースを紐づけることができます。よって、単一の物理インターフェースで複数の PPPoE 接続を構成する要件がある場合は PPPoE インターフェース使用することになるでしょう。
まとめ
- PPPoE 接続するための設定方法は 2 パターンある
- 従来のアドレッシングモードを PPPoE にする方法では、WAN 向けスタティックルートを設定する際には自動ゲートウェイ検索(dynamic-gateway)を有効化する必要がある
- PPPoE インターフェースを作成する方法では、WAN 向けスタティックルートを設定する際に自動ゲートウェイ検索(dynamic-gateway)を意識する必要はないが、ポリシー設定時の WAN 向けインターフェースとしては PPPoE インターフェースを指定する点に注意
留意点
- PPPoE インターフェースを使用していて、かつ SSL-VPN のソースインターフェース(リッスンするインターフェース)に PPPoE インターフェースを指定している場合、SSL-VPN が正常に動作しない不具合があるバージョンがあるようです。SSL-VPN と PPPoE インターフェースを併用する場合はリリースノートの確認と事前検証を行うことを推奨します
参考資料
