【FortiGate】トランスペアレントモードについての基礎知識【L2 機器として使用】

ファイアウォール(UTM)

作業環境

  • FortiGate 60E
    • version 7.0.5

FortiGate のオペレーションモード

FortiGate のシステム設定において、オペレーションモードという設定があります。

これは FortiGate の根本的な動作に関わる設定で、以下の 2 つのモードがあります。

オペレーションモード
  • NAT モード
    • L3 機器(ルータ)として動作
  • トランスペアレントモード(透過モード)
    • L2 機器(L2 スイッチ)として動作

デフォルトは NAT モードです。

トランスペアレントモードを採用するパターンとしては、既存のネットワークに対して、IP アドレスなどの L3 の設定変更をすることなく FortiGate (ファイアウォール、UTM 機能)を追加したい場合などが考えられます。

トランスペアレントモードへの変更方法

トランスペアレントモードへの変更は CLI でのみ実施可能です。

設定対象のコンフィグは config system settings 内の opmode です。

また、トランスペアレントモードへ変更する際に、FortiGate 管理用の IP アドレス/サブネットマスクとデフォルトゲートウェイについても設定します。

設定コマンドは以下の通りです。

config system settings
    set opmode transparent
    set manageip <IP_address subnet>
    set gateway <gateway_address> 
end

設定例は以下の通りです。

config system settings
    set opmode transparent
    set manageip 10.10.10.1/24
    set gateway 10.10.10.254
end

ただし、FortiGate 60E の初期状態からトランスペアレントモードへ変更しようとすると、以下のようにエラーメッセージが表示されて変更ができません。

FortiGate-60E # config system settings
FortiGate-60E (settings) #     set opmode transparent
FortiGate-60E (settings) #     set manageip 10.10.10.1/24
FortiGate-60E (settings) #     set gateway 10.10.10.254
FortiGate-60E (settings) # end
Cannot change to Transparent mode because this vdom contains managed switches and switchctl-vlans.
Please clear managed-switches, disable fortilink and retry.
node_check_object fail! for opmode transparent
Attribute 'opmode' value 'transparent' checking fail -7610
Command fail. Return code -7610

原因は、デフォルトで存在するインターフェースの fortilink です。トランスペアレントモードへモード変更する前にこの fortilink を削除してください。

fortilink を削除するためには、その前fortilink を参照している NTP 設定と DHCP 設定を削除する必要があります。

fortilink 削除後は以下のようにトランスペアレントモードへ変更できます。

FortiGate-60E # config system settings
FortiGate-60E (settings) #     set opmode transparent
FortiGate-60E (settings) #     set manageip 10.10.10.1/24
FortiGate-60E (settings) #     set gateway 10.10.10.254
FortiGate-60E (settings) # end
Changing to TP mode
FortiGate-60E #

現在のオペレーションモードは get system status コマンドで確認できます。

FortiGate-60E # get system status
Version: FortiGate-60E v7.0.5,build0304,220208 (GA)
...
Operation Mode: Transparent
...

トランスペアレントモードへ変更時に設定したデフォルトゲートウェイは、config system setting 内ではなく、config router static 配下の設定として反映されます。

FortiGate-60E # show router static
config router static
    edit 1
        set gateway 10.10.10.254
        set priority 0
    next
end

NAT モードへ戻す方法

トランスペアレントモードへ変更した後 NAT モードへ戻す場合は、トランスペアレントモードへ変更した際と同様に config system settingsopmodenat と設定します。

また、NAT モードへ変更する際に、FortiGate 管理用に使用する物理インターフェースとその IP アドレス/サブネットマスク、デフォルトルートについても設定します。

設定コマンドは以下の通りです。

config system settings
    set opmode nat
    set ip <IP_address subnet>
    set device <interface>
    set gateway <gateway_address> 
end

設定例は以下の通りです。

config system settings
    set opmode nat
    set ip 10.1.10.1/24
    set device internal
    set gateway 10.1.10.254
end

FortiGate-60E # config system settings
FortiGate-60E (settings) #     set opmode nat
FortiGate-60E (settings) #     set ip 10.1.10.1/24
FortiGate-60E (settings) #     set device internal
FortiGate-60E (settings) #     set gateway 10.1.10.254
FortiGate-60E (settings) # end
Changing to NAT mode
FortiGate-60E #

NAT モードへ変更時に設定したインターフェースと IP アドレス/サブネットマスクは、set system setting 内ではなく、config system interface 配下の設定として反映されます。

FortiGate-60E (internal) # show
config system interface
    edit "internal"
        ...
        set ip 10.1.10.1 255.255.255.0
        ...
    next
end

NAT モードへ変更時に設定したデフォルトルートは、config system setting 内ではなく、config router static 配下の設定として反映されます。

FortiGate-60E # show router static
config router static
    edit 1
        set gateway 10.1.10.254
        set priority 0
        set device "internal"
    next
end

オペレーションモードがトランスペアレントモードとなっている間は、GUI のシステム設定でオペレーションモード、及び管理 IP アドレスを設定する項目が表示されるため、GUI でも設定変更が可能です。

トランスペアレントモードへ変更時の注意点

トランスペアレントモードへモード変更した際の影響として以下のようなものがあります。

  • すべてのインターフェースについて IP アドレスが未設定の状態となります
  • 手動で作成したアドレス、サービスなどのオブジェクトがすべて削除されます
  • ポリシー設定はすべて削除されます

Forward Domain (転送ドメイン)

オペレーションモードをトランスペアレントモードに変更すると、各インターフェースに対して、転送ドメインと呼ばれるブロードキャストドメインを設定できるようになります。
※NAT モードでは転送ドメインの設定はできません

デフォルトではすべてのインターフェースが同じ転送ドメイン (ID:0) に所属しています。

転送ドメインの設定を変更することで、特定のインターフェースについてはブロードキャストドメインを分ける、といったことができます。ブロードキャストドメインを分ける目的としては以下のようなものがあります。

ブロードキャストドメインを分ける目的
  • Vlan 毎にブロードキャストドメインを分け、不要なブロードキャストフレームを削減したい
  • 異なる Vlan で同じ MAC アドレスを学習させたい

例えば、internal1 と internal2 の転送ドメインを分けている状況で、internal1 と internal2 の先に同じ MAC アドレスを持つ機器が存在していた場合、以下のように MAC アドレステーブルに同じ MAC アドレスを持つレコードが 2 つ登録されます。

FW01 # diag netlink brctl name host root.b
show bridge control interface root.b host.
fdb: hash size=2048, used=13, num=15, depth=3, gc_time=4, ageing_time=3
Bridge root.b host table
port no device  devname mac addr                ttl     attributes
...
  5     9       internal2       70:85:c2:02:64:6d       0        Hit(0)
  4     8       internal1       70:85:c2:02:64:6d       15       Hit(15)
...

転送ドメインの設定

設定は CLI でのみ実施できます。

例えば、wan2 の転送ドメイン ID を 10 に設定する場合は以下のコマンドになります。

config system interface
    edit "wan2"
        set forward-domain 10
    next
end

転送ドメイン ID の範囲は 0-2147483647 です。

forward-domain    Enter an integer value from <0> to <2147483647>.

転送ドメインとポリシー設定

トランスペアレントモードにおいてポリシー設定をする際は、着信インターフェースと発信インターフェースのドメイン ID が一致している必要があります。

ドメイン ID が異なる着信インターフェースと発信インターフェースの組に対してポリシーを設定しようとした場合、以下のようなエラーメッセージが表示されて設定ができません。

ARP ブロードキャスト/ARP 応答の転送について

トランスペアレントモードの FortiGate では、ARP ブロードキャストについては許可ポリシー無しでも同じドメインに属するインターフェースに転送され、ARP 応答についても許可されます。

一方で ARP 以外のブロードキャストについては許可ポリシーが無い場合は転送されません。

トランスペアレントモードで設定時の留意点

トランスペアレントモードの FortiGate の設定方法については NAT モードの場合とほぼ同様ですが、留意すべき点としては以下があります。

  • 管理用 IP アドレスは、インターフェースに対してではなく、筐体に対して設定する
    • 各種管理アクセス許可設定については NAT モードと同様にインターフェース単位で行う
    • 管理アクセス専用のポートを用意することが推奨されている
  • Vlan インターフェースを使用する場合は、併せて転送ドメインも設定する
    • Vlan ID と転送ドメイン ID は一致させる必要はありませんが、一致させることが推奨
  • DHCP のクライアントとサーバが FortiGate を挟んで通信する場合は以下の 2 つのポリシー設定が必要
    • DHCP クライアントから DHCP サーバへの DHCP サービスを許可するポリシー
    • DHCP サーバから DHCP クライアントへの DHCP サービスを許可するポリシー

参考資料

System | Administration Guide
config system settings | CLI Reference
Broadcast, multicast, and unicast forwarding | Handbook
Forwarding domains in transparent mode | Handbook
https://docs.fortinet.com/document/fortigate/6.0.0/handbook/9196/vlans-in-transparent-mode
Technical Note: How to allow the flow of transit DHCP traffic in transparent mode
DescriptionBydefault,whentheFortiGatefirewallisinthetransparentmode,itdropsallbroadcasttrafficexceptARP.ThiswillresultinthedroppingoftheDHCPbroadcasttrafficbyde...


タイトルとURLをコピーしました