[Fortigate][自分用メモ] Fortigate FG100Dでトランスペアレントモードに切り替えるのに難儀したこと。

2015/05/01 10:06Firewall,Networkauto-ipsec,config,fortigate,FortiOS 4.0,トランスペアレント,バーチャルスイッチ,設定

購入したFG100Dをようやくラッキングして、テスト稼働に入ったわけですが、ちょっとモードの切替に難儀したのでメモ。

物臭な私は自宅のネットワーク環境を大きく変更したくなかったので、デフォルトのNATモードからトランスペアレントモードで使用することに決め、切り替えようとしました。

ちなみにマニュアルは以下になります。

Microsoft Word – Fortigate_Transparent_Mode_Technical_Guide_FortiOS_4_0_version1.2.doc – viewAttachment.do
http://kb.fortinet.com/kb/viewAttachment.do?attachID=Fortigate_Transparent_Mode_Technical_Guide_FortiOS_4_0_version1.2.pdf&documentID=FD33113

確認環境:

# get system status
Version: FortiGate-100D v5.0,build0310,150123 (GA Patch 11)
Virus-DB: 22.00958(2014-10-10 23:33)
Extended DB: 22.00958(2014-10-10 23:34)
IPS-DB: 5.00556(2014-10-08 23:50)
IPS-ETDB: 5.00556(2014-10-08 23:50)
Serial-Number:
Botnet DB: 1.00000(2012-05-28 22:51)
BIOS version: 04000030
System Part-Number: P11510-03
Log hard disk: Available
Internal Switch mode: interface
Hostname:
Operation Mode: Transparent
Current virtual domain: root
Max number of virtual domains: 10
Virtual domains status: 0 in NAT mode, 1 in TP mode
Virtual domain configuration: disable
FIPS-CC mode: disable
Current HA mode: standalone
Branch point: 310
Release Version Information: GA Patch 11
FortiOS x86-64: Yes
System time: Thu Apr 30 12:05:42 2015

実際に何が起こるか

普通であれば以下のコマンドを実行することで、NATモードからトランスペアレントモードへ切り替えることが出来ます。

#set opmode transparent
(settings)#set manageip 192.168.1.99/255.255.255.0
(settings)#set gateway 192.168.1.254
(settings)#end
Changing to TP mode

が、今回は以下の様なエラーメッセージが出力され、切り替えることが出来ません。

Cannot change to transparent mode because this vdom contains the following virtual switch: lan

FG100DはPort1からPort16までが論理的に纏められてバーチャルスイッチとしてデフォルト動作します。しかもひとつだけセキュリティポリシーも設定されています。ということで、

対応するには

1. バーチャルスイッチに設定されているセキュリティポリシーを削除する
2. バーチャルスイッチを解除する

でこのメッセージは出力されなくなります。

allowaccess of interface wan1 can' t enable auto-ipsec in transparent mode.
node_check_object fail! for opmode transparent
Attribute ' opmode' value ' transparent' checkingfail -651
Command fail. Return code -651

wan1インターフェイスでauto-ipsecが有効になっているため、切り替えることが出来ない旨メッセージが表示されます。これはwan1インターフェイスがデフォルトだとDHCPクライアントとして動作しており同時にauto-ipsecが有効になってしまっているために起きる問題です。

解消するにはインターフェイスタイプをスタティックに変更することで、ようやくトランスペアレントモードへ切り替えることが出来ます。

この記事を書いた人
kometchtech

kometchtech
うつ病を患いながら、IT業界の末席にいるおっさんエンジニア。科学計算をしたことがないのに、HPC分野にお邪魔している。興味のある分野で学習したことをblogにまとめつつ、うつ病の経過症状のメモも置いておく日々。じつはRouterboard User Group JPの中の人でもある。
Amazon欲しいものリスト / Arm板を恵んでくれる人募集中

Buy Me A Coffee