FortiGate での PPPoE 設定手順(v6.0.6)

ネットワーク

FortiGate で PPPoE 設定をする手順を説明します。

想定ネットワーク構成

以下のネットワーク構成を想定します。

FortiGateについて

  • 型番:FortiGate 60E
  • ファームウェアバージョン:v6.0.6 build0272 (GA)

要件

クライアントAおよびB間で通信できるようFortiGateにてPPPoEの設定を実施する。

なお、PPPoEサーバ (Cisco ルータを使用) のコンフィグとして以下を設定している前提とします。

username pppoe@example.com password hogehoge

bba-group pppoe PPPOE-GROUP1
 virtual-template 1

interface GigabitEthernet8
 ip address 120.130.140.254 255.255.255.0
 duplex auto
 speed auto
 pppoe enable group PPPOE-GROUP1

interface Virtual-Template1
 mtu 1454
 ip unnumbered GigabitEthernet8
 peer default ip address pool POOL1
 ppp authentication chap

ip local pool POOL1 120.130.140.1

ip route 120.130.140.2 255.255.255.255 120.130.140.1

PPPoEの設定手順

GUIで設定する場合の手順

PPPoEの設定はインターフェースの設定画面で実施します。

wan1インターフェースの設定画面にて以下の通り設定します。

  • アドレス
    • アドレッシングモード → PPPoE
    • ユーザ名 → PPPoE用のユーザ名
    • パスワード → PPPoE用のパスワード
    • Unnumbered IP接続 → 0.0.0.0(デフォルト値)
    • 初期ディスクタイムアウト → 1(デフォルト値)
    • 初期PADTタイムアウト → 1(デフォルト値)
    • サーバからデフォルトゲートウェイを取得 → ON
      • ディスタンス → 5(デフォルト値)
    • 内部DNSを上書き → OFF

PPPoEの設定は以上で完了です。

設定後、wan1インターフェースの設定画面にて以下の項目を確認してください。

  • ステータス → 「接続済み」となっていること
  • 取得したIP/ネットマスク → IPアドレスを取得できていること
  • デフォルトゲートウェイ → ゲートウェイを取得できていること

「サーバからデフォルトゲートウェイを取得」について

この項目をONにすると自動でPPPoEサーバからデフォルトゲートウェイが取得されてルーティングテーブルに保存されます。

FGT # get router info routing-table all

Routing table for VRF=0
Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP
       O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default

S*      0.0.0.0/0 [5/0] via 120.130.140.254, ppp1   # ← 自動で取得したデフォルトゲートウェイ
C       10.10.1.0/24 is directly connected, internal1
C       120.130.140.1/32 is directly connected, ppp1
C       120.130.140.254/32 is directly connected, ppp1

「サーバからデフォルトゲートウェイを取得」をOFFとした場合は手動でスタティックルートを設定する必要があります。

CLIで設定する場合の手順

CLIでPPPoEの設定をする場合は、インターフェースの設定項目にて設定します。
設定コマンドは以下の通りです。

config system interface
    edit "wan1"
        set role wan
        set mode pppoe
        set username "pppoe@example.com"
        set password "hogehoge"
        set ipunnumbered 0.0.0.0
        set disc-retry-timeout 1
        set padt-retry-timeout 1
        set defaultgw enable
        set distance 5
        set dns-server-override disable
    next
end

各項目の意味は以下の通りです。

config system interface
    edit "wan1"
        set role wan # ← ロール
        set mode pppoe # ← アドレッシングモード
        set username "pppoe@example.com" # ← PPPoE用のユーザ
        set password "hogehoge" # ← PPPoE用のパスワード
        set ipunnumbered 0.0.0.0 # ← Unnumbered IP接続
        set disc-retry-timeout 1 # ← 初期ディスクタイムアウト
        set padt-retry-timeout 1 # ← 初期PADTタイムアウト
        set defaultgw enable # ← サーバからデフォルトゲートウェイを取得
        set distance 5 # ← ディスタンス
        set dns-server-override disable # ← 内部DNSを上書き(無効)
    next
end

PPPoEの設定は以上で完了です。

設定後、以下コマンドで wan1 の状態が想定通りであることを確認します。

FGT # get system interface physical
#(略)
        ==[wan1]
                mode: pppoe
                ip: 120.130.140.1 255.255.255.255
                ipv6: ::/0
                status: up
                speed: 1000Mbps (Duplex: full)
#(略)

ルーティングテーブルも確認しておきます。

FGT # get router info routing-table all

Routing table for VRF=0
Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP
       O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default

S*      0.0.0.0/0 [5/0] via 120.130.140.254, ppp1   # ← 自動で取得したデフォルトゲートウェイ
C       10.10.1.0/24 is directly connected, internal1
C       120.130.140.1/32 is directly connected, ppp1
C       120.130.140.254/32 is directly connected, ppp1

ポリシーの設定

各種の通信を許可するポリシーを追加します。

LANからWANへの通信を許可するポリシー

クライアントAからクライアントBへの通信をするためのポリシーを追加します。

ポリシーの内容は以下の画像の通りとします。

PPPoEサーバには10.10.1.0/24へのルーティングを設定していないため、FortiGateでNATを設定しておきます。

WANからLANへの通信を許可するポリシー

クライアントBからクライアントAへの通信をするためのポリシーを追加します。
FortiGateで 120.130.140.2 宛の通信を受信したら宛先NATをして 10.10.1.3 に変換するように設定することにします。

まず宛先NAT用のバーチャルIPを作成します。
[ポリシー&オブジェクト]→[バーチャルIP]の画面で[新規作成]を選択します。
設定内容は以下画像の通りとします。

次にポリシーを設定します。内容は以下画像の通りとします。

以上でポリシー設定は完了です。

疎通確認

以下の2方向のPing疎通を確認します。

  • クライアントA → クライアントB
  • クライアントB → クライアントA

クライアントAからのPing

クライアントBからのPing

双方向でPing疎通が取れることが確認できました。

―――――――――――――

次のステップ → FortiGate と Cisco ルータとの間で IPsec VPN を構築する

―――――――――――――

タイトルとURLをコピーしました