26.インタ−ネットはもはや限界 26-1. FortiGate の DNS/Proxy/SSL-VPN (1) FortiGate のDNSサ−バ機能は `2f/11 ( linedns.txt の付録から ) FortiGate はコマンドでDNSサ−バ機能の画面を出すことができるらしい。画面がでな いにしてもコマンドでDNSサ−バの設定ができるらしい。Fortinet社のエンジニアさん が教えてくれた。やってみよう。とりあえず telnet でアクセスしてコマンドを見てみた。 FortiGate-80C のファ−ムウェアは v5.0,build0310 (GA Patch 11) にて。DNSサ−バ 設定のメニュ−はこのファ−ムウェアでは出ないと思いコマンドでみたのだが。ひょっと してメニュ−を続けて出すようなことで出てきたのかも知れない。 # show system ? << 関係しそうなところだけ書いてみた。VDOM を作ってない場合は dns Configure DNS. これら3つ出てくる。 dns-database Configure DNS database. dns-server Configure DNS servers. # show system dns << これで指定DNSのIPアドレスが出た。 # config system dns << VDOM を作った場合は #config global にて操作。 (dns) # ? set Modify value. unset Set to default value. get Get dynamic and system information. show Show configuration. abort End and discard last config. end End and save last config. # config system dns-server << VDOM を作った場合は #config vdom とやってDNSサ (dns-server) # ? −を作った VDOM にて、#edit vdom1 とかで操作。 edit Add/edit a table value. delete Delete a table value. purge Clear all table values. rename Rename a table entry. get Get dynamic and system information. show Show configuration. end End and save last config. * DNSの動作確認その1 ※PC1 の位置については下の方の図を参照のこと。 パソコン PC1 でネットワ−ク設定の DNS を192.168.9.3 にして、DOS窓で ping した。 動作確認してみたノ−トパソコンでは反応が微妙だった。ネットワ−クのインタ−フェ− スを無効にして有効にしたり、パソコンを起動し直したりしてテストをやった。先ずはパ ソコンの本体にてDNSの名前解決を調べ、それからブラウザのプロキシの動作を調べる。 vdom1->[システム]->[ネットワ−ク]->[DNSサ−バ] 画面には {インタ−フェ−ス上のDNS サ−ビス} と {DNSデ−タベ−ス} がある。{インタ−フェ−ス上のDNSサ−ビス}は何もし なかった。{DNSデ−タベ−ス} で下記を作成した、192.168.9.3 でDNSサ−バが動いて いるということ。これだけでは PC1 から ping mmm.test.co.jj は応答しなかった。 -------------------------------------- | DNSゾ−ンの編集 {インタ−フェ−ス上のDNSサ−ビス} をモ− |------------------------------------- ド "再帰検索" か "システムの DNSサ−バに |タイプ ◎マスタ− ○スレ−ブ 転送" にすると外の名前解決もするみたいだ。 |確認 ○パブリック ◎シャド− みたいというのはどうも挙動が変だと思う。 |DNSゾ−ン [NAIBUNET ] |ドメイン名 [test.co.jj ] "25-3.インタ−ネットの回線とDNS" で検 | | 討した際はル−トは見ないと書いたが。ル− |TTL(秒) [86400 ] トDNSかどうかは分からないが外のURL |権威 [有効 ▽] の名前解決はしないと、その時は確認したが。 |------------------------------------- | DNSエントリ [グロ−バル]->[ネットワ−ク]->[DNS] の設 |------------------------------------- 定は関係しないのでないか。 "◎FortiGuard | □ # タイプ 詳細 サ−バを利用" になっていたのを、"◎詳細" |------------------------------------- にして [0.0.0.0] にしても名前解決はした。 | □ 1 アドレス(A) mmm->192.168.9.2 -------------------------------------- vdom1->[システム]->[ネットワ−ク]->[DNSサ−バ] で {インタ−フェ−ス上のDNSサ−ビ ス} でインタ−フェ−ス internal6、 モ−ド "再帰検索" にて ping www.asai.com OK。 モ−ド "システムのDNSサ−バに転送" もOK。モ−ド "DNSデ−タベ−ス参照のみ" だと ping www.asai.com だめ。この時 G->[ネットワ−ク]->[DNS] ◎詳細 は 0.0.0.0 だった。 {インタ−フェ−ス上のDNSサ−ビス} の設定で、モ−ド "DNSデ−タベ−ス参照のみ"と言 うのはその画面下 {DNSデ−タベ−ス} の内容だけ見るということ。ping mmm.test.co.jj OKで ping www.asahi.com はダメ、モ−ド "再帰検索" でも同じになった。モ−ド "シ ステムのDNSサ−バに転送" は ping mmm.test.co.jj ダメで ping www.asahi.com OK。 * DNSの動作確認その2 {インタ−フェ−ス上のDNSサ−ビス} は、モ−ド "システムのDNSサ−バに転送" がそこ そこ安定しているような感じ、これで外のドメイン名解決をする。"再帰検索" と "DNSデ −タベ−ス参照のみ" は {DNSデ−タベ−ス} の内容も見るということらしいが、 どうも そこで作ったエントリ mmm.test.co.jj なんかは、応答の挙動が不安定である。 しかし "システムのDNSサ−バに転送" のシステムのDNSサ−バとは。 G->[ネットワ−ク] ->[DNS] のことだと思うのだが、◎詳細 は 0.0.0.0 にしていた、どうなっている。念の ため{DNSデ−タベ−ス} を削除してみたが関係してなかった、{インタ−フェ−ス上のDNS サ−ビス}"のモ−ドは "再帰検索"、"DNSデ−タベ−ス参照のみ" 選択肢が出なくなった。 {DNSデ−タベ−ス}なし。{インタ−フェ−ス上のDNSサ−ビス} はモ−ド "システムのDNS サ−バに転送"。パソコンPC1のDOS窓で nslookup やったら応答した、> www.kddi.com はIPアドレスを返してきた。{インタ−フェ−ス上のDNSサ−ビス} で作ったのを削除し たら nslookup は応答したが、> www.kddi.com は "DNS request timed out." になった。 ----------------------------------- | ロ−カルエリア接続3 | ping を打ってテストしているパソコンの PC1 は | ネットワ−クケ−ブルが接続さ...| Windows 7。これには FortiClient もインスト− |X Fortinet virtual adapter | ルして先に SSL-VPN のテストをしていた。 ひょ ----------------------------------- っとして、この関係するネットワ−クのソフトも ----------------------------------- DNSの名前解決に何か影響してないか。左のネ | ロ−カルエリア接続3 | ットワ−ク接続のところのソフトで、X Fortinet | 無効 | となっていたのを無効にした。DNSの動作確認 | Fortinet virtual adapter | のため、毎回パソコンを再起動したりもしてみた。 ----------------------------------- PC1>nslookup 既定のサ−バ−: UnKnown Address: 192.168.9.3 > set type=any > nix.co.jj nix.co.jj primary name server = dns.nix.co.jj resoponsible mail addr = hostmaster.nix.co.jj serial = 1158660962 refresh = 7200 (2 hours) retry = 20 (20 secs) expire = 7200 (2 hours) default TTL = 86400 (1 days) * FortiGate のDNSの参照先は FortiGate のDNS機能で、外のURLの名前解決してアクセスできる。装置内にインタ −ネットのル−トファイルを持っていて見ているのか、 FortiGuard センタ−のDNSサ −バ 208.91.112.53 と 52 を見ているのか、それとも Fortinet社が用意した別なDNS サ−バを見ているのか。実際にパケットをキャプチャして確認してみよう。DNSの応答 はどうなのか。例えば FortiGuard センタ−のDNSサ−バを見るとして遅いとか、ル− トファイルを見る方が断然速いとか。そういうことだと困るな。 {DNSデ−タベ−ス}なし。{インタ−フェ−ス上のDNSサ−ビス} はモ−ド "システムのDNS サ−バに転送"。 PC1 のDOS窓で > nslookup やって、> www.iij.ad.jp とか入れて外 部のサイトの名前解決してみた。 その際に FortiGate 内に流れるパケットをキャプチャ してみた。DNSキャッシュサ−バは vdom1 の中に作った。 パソコンからのDNS問い 合わせは vdom1 に行って、FortiGate 本体の VDOM root に入って、 wan1 から外に問い 合わせが行くはず。VDOM root でパケットを先ず見たが、それらしきものはなかった。 # config vdom (vdom)# edit root (root)# diagnose sniffer packet wan1 'udp port 53' 3 << 3 を指定するとパケット 209.222.147.37.53 -> 192.168.1.6.45308: udp 148 の中身も出てくる。ここ 208.91.112.220.53 -> 192.168.1.6.13065: udp 235 ではIPアドレスだけ抜 80.85.69.54.53 -> 192.168.1.6.15292: udp 436 き出して表示してみた。 常にDNSのパケットが流れていた。ざっと見たところ上のようなIPアドレスが見えた。 方向はもちろんこの逆もあった。 パケットには secure-dns-version-1.fortinet.com と 言うのが頻繁に出てきていた、akamai も出てきていた。 www.iij.ad.jp というのがパケ ットの中身に出てこなかった、ひょっとしてと思い下記の指定をしたら出てきた。 (vdom)# edit vdom1 (vdom1)# diagnose sniffer packet internal6 'udp port 53' 3 192.168.9.9.65359 -> 192.168.9.2.53: udp 31 192.168.9.2.53 -> 192.168.9.9.65359: udp 85 常にはパケットのやり取りはまるで出てこない。上記の名前解決をしようとしたら、この ようにパケットが出てきた。"'udp port 53' 3" の 3指定で、パケットの中身が出てきて www.iij.ad.jp と言う文字列が現われているのが分かる。"'udp port 53' 1" だとやりと りのIPアドレスだけ出てきた。"'udp port 53' 2" ではもう少しでてきた。 [グロ−バル] はパケットのキャプチャには関係ないと思うが。#config global はできる、 その中に diagnose はある。でも # diagnose オプションに sniffer は無かった。 * FortiGate の [グロ−バル] の CLIコンソ−ルにて CLIコンソ−ルの画面はデフォルトで50行しかない。 ログは流れて行って消えてしまう ので、これでは表示されたのを追えない。CLIコンソ−ル 右上のペン(編集)をクリックす ると別画面が出てくる、ここでコンソ−ルのバッファ長さ:[50] になっているのを [500] とかにすればいい。 # config vdom (vdom)# edit vdom1 (vdom1)# config system ? dns-database Configure DNS database. << ここにはただの dns は無かった。 dns-server Configure DNS servers. # config global の方にあった。 (vdom1)# config system dns-server (dns-server) # ? edit Add/edit a table value. delete Delete a table value. purge Clear all table values. rename Rename a table entry. get Get dynamic and system information. show Show configuration. end End and save last config. (dns-server) # show config system dns-server edit "internal6" << モ−ドは"再帰検索"で。"DNSデ−タベ−ス参照のみ"にした next ら "set mode non-recursive" がこの下に追加された。"シ end ステムのDNSサ−バに転送" は"set mode forward-only" に。 (dns-server) # end (vdom1)# config system dns-database (dns-database) # ? edit Add/edit a table value. delete Delete a table value. purge Clear all table values. rename Rename a table entry. get Get dynamic and system information. show Show configuration. end End and save last config. (dns-database) # show << 作ったエントリが出てきた。set hostname "mmm" とか。 # config global G->[ネットワ−ク]->[DNS] で"◎FortiGuardサ− (global)# config system dns バを利用" で設定状態を表示した。Fortinet社の (dns)# show 2つのIPアドレスが出た。 config system dns set primary 208.91.112.53 "◎詳細" でプライマリDNSサ−バを [0.0.0.0]に set secondary 208.91.112.52 したら set primary 208.91.112.53 は出なくな end った。set secondary 208.91.112.52 だけが出た。 (dns)# show full-configuration 変更になったのを確認するのにコマンドの最初の config system dns ところに戻り、また #config global からやった。 set primary 208.91.112.53 (dns)#show とその場でやっても変わらなかった。 set secondary 208.91.112.52 | プライマリDNSサ−バに例えば [8.8.8.8] と記入 set dns-cache-limit 5000 したら set primary 8.8.8.8 になった。 set dns-cache-ttl 1800 set cache-notfound-responses disable set source-ip 0.0.0.0 end (2) ここからはプロキシサ−バのこと `2g/08/E * FortiGate のプロキシサ−バ □仮想IP-A |DNS [ プロキシサ−バ ProxyA 192.168.1.5 の状態 ] ----------- □ | Linux で InterScan WWW のプロキシ機能を利用。 | | svr1 svr2.nnn.con ----□Fire ■ ■ □ProxyA /etc/nsswitch.conf /etc/resolv.conf |.2 |.88 |.99 |.5 ------------------ -------------------- -------------------------------- |hosts: files dns |nameserver 仮想IP-A 192.168.1.0 | NAT|.6 /etc/hosts ----------- --------------------------- | |--------DNSc | | | FG80C | vdom1 | |192.168.1.88 svr1 | | ProxyB| |192.168.1.99 svr2.nnn.con ------------------- PC1 | |lan6 △ (vdom1)# diagnose sniffer packet internal6 192.168.9.0 |.2 |.3 |.9 これでパケットの流れをみた。http://svr1 の -------------------------------- み 192.168.1.5 のプロキシサ−バに回される。 PC1 のブラウザのプロキシ設定 192.168.9.3 の 8080。 PC1 のブラウザで http://svr1/、 http://svr2.nnn.con/ とアクセスしたい、 既に PC1 でプロキシを 192.168.1.5 にすれ ばこれらのアクセスは出来ている、ProxyA マシンの /etc/hosts の記述により。PC1のブ ラウザのプロキシは ProxyB で、 ProxyB にて ProxyA を見に行くように設定できる。プ ロキシサ−バの2段構成ということになる。 vdom1->[システム]->[ネットワ−ク]->[Explicitプロキシ] にて {▼Webプロキシフォワ−ディングサ−バ} 全部のパケット サ−バ名 アドレス ポ−ト ヘルスチェック サ−バダウン が 192.168.1.5 ---------------------------------------------------------------- に回されるのか、 aaa 192.168.1.5 80 X ブロック svr1のみ回され るのかという疑 {▼URL一致リスト} 問が湧いてくる。 サ−バ名 URLパタ−ン キャッシュ除外 転送サ−バ ステ−タス パケットの流れ ---------------------------------------------------------------- を diagnose コ bbb svr1 X aaa 〆 マンドで調べた。 vdom1->[システム]->[ネットワ−ク]->[DNSサ−バ] にて、下記のDNS設定した。 これ で ProxyA の /etc/hosts の "192.168.1.99 svr2.nnn.con" の代わりでアクセスできた。 {DNSデ−タベ−ス} は DNSゾ−ン dnstest1、ドメイン名 nnn.con、タイプ マスタ、確認 シャド−。{DNSエントリ} はタイプ アドレス(A)、詳細 svr2->192.168.1.99。 {インタ−フェ−ス上のDNSサ−ビス} は インタ−フェ−ス internal6、モ−ド はどれで も http://svr2.nnn.con/ アクセスできた。 モ−ドで "再帰検索" と"システムのDNSサ−バに転送" はインタ−ネットのサイトには名 前解決してアクセスできた。"DNSデ−タベ−ス参照のみ" でも何故かアクセスできた?。 * プロキシとアクセス制限を試した `2g/08/E vdom1 の ProxyB からのパケットは FortiGate-80C の 192.168.9.2 へ入り、LAN->WANへ のル−ルを通ることになる。root->[ポリシ−&オブジェクト]->[ポリシ−]->[IPv4] にて "LAN1to4 wan1 all all ALL 〆ACCEPT NAT有効"、この後に "Webフィルタ default" を加 えた。PC1 から http://svr1/ へアクセスすると止められた、"Web Page Blocked!" と表 示されて。設定は root->[セキュリティプロファイル]->[Webフィルタ] で スタティック URLフィルタ のとこを 〆無効なURLのブロック にしていた。 -------------------------------------------------------------------------------- | http://svr1/ |------------------------------------------------------------------------------- | Web Page Blocked! | | The page you have requested has been blocked, because the URL is banned. | URL: invalid | 他に Client IP, Server IP, User name, Group name の表示あり。 [Webフィルタ] の設定をもう少し、コメント[Default web filtering. ]、 〆FortiGuard カテゴリ、〆無効なURLのブロック、レ−ティングオプションは 〆ドメインとIPアドレス でURLをレ−ティング、〆レ−ティングによりHTTPリダイレクトをブロック、 〆イメ−ジ のURLうんぬん。他は〆ナシ。無効なURLのブロック を〆ナシにすると FortiGuardカテゴ リで検知されたという表示になった。 更に 無効なURLのブロック を〆ナシにするとサ− バにアクセスできた。因みroot->[セキュリティプロファイル]->[高度な設定]は設定なし。 * FortiGate のポ−トの利用の仕方 NAT|.6 ------ |wan1 ------------------- |ハブ| lan5------------- | vdom2 |VDOM:root| |B |-----|vdom2| 本体 | |SSL-VPN| | | | .3------| | --------|FortiGate| | | .2| |------ .3| | -80C|-------- | |-----------|dmz |vdom1| ---------------|.2 | vdom1 | | | -------------- 192.168.8.0 | | Proxy | ------ lan1-4| |lan6 ------------------- PC1 |.2 |.3 |lan1-4 |lan6 △ --------------- 192.168.9.0 |.2 |.3 |.9 |ハブA | ---------------------------------------- --------------- "25-7.インタ−ネット接続モデル {j}、(4) FortiGate でUTMのフル制御" でのところ。 lan1-4 は internal1 から internal4 番ポ−トを、 ソフトウェアスイッチとして定義し たということ。vdom1 のネットワ−クケ−ブルは [a] ようにハブAにつなぐ。 vdom1 は lan1-4 と同じセグメントなので [b] のような接続ができるのでないか。6番ポ−トにつ ないだネットワ−クケ−ブルを2、3、4番ポ−トのどれに繋いでもよろしいという。 [a] ----------------------- [b] ----------------------- | 本体 | | 本体 | SI業者の技術者 | 1 2 3 4 5 6 | | 1 2 3 4 5 6 | に聞いたら、でき | □ □ □ □ □ □ | | □ □ □ □ □ □ | るけどあまり推奨 ---|-------------|--- ---|-------|----|---- ではないとのこと。 lan1-4| |lan6 lan1-4| |__|lan6 | | | ----------------------- ----------------------- |ハブA | |ハブA | ----------------------- ----------------------- (3) 再び FortiGate のDNSとプロキシ `2h/01/s * 一つずつ確認して行く vdom1->[システム]->[ネットワ−ク]->[DNSサ−バ] で {DNSデ−タベ−ス} を作った上で。 a)"再帰検索" どうもこれら3つの出方を見ると、b)とc) も a) # config vdom の"再帰検索" は含まれているように思える。"再 (vdom)# edit vdom1 帰検索" は他のDNSにも問い合わせるという事。 (vdom1) # show system dns-server config system dns-server [システム]->[ネットワ−ク]->[DNSサ−バ] {DNS edit "internal6" デ−タベ−ス} を作らなければ {インタ−フェ− next ス上のDNSサ−ビス} では b)しか選択肢が出ない。 end b)"システムのDNSサ−バに転送" c)"DNSデ−タベ−ス参照のみ" config system dns-server config system dns-server edit "internal6" edit "internal6" set mode forward-only set mode non-recursive next next end end (global) # show system dns [グロ−バル]->[ネットワ−ク]->[DNS] で config system dns "◎FortiGuardサ−バを利用"とした場合に set primary 208.91.112.53 これらのIPアドレスがデフォルトで入る。 set secondary 208.91.112.52 end (global) # diag test application dnsproxy 3 vdom: root, index=0, is master, vdom dns is enabled, mip-169.254.0.1 dns_log=1 dns64 is disabled dns-server:208.91.112.53:53 tz=0 req=2181 to=284 res=1879 rt=17 secure=0 ready=1 dns-server:208.91.112.52:53 tz=0 req=1572 to=365 res=1190 rt=14 secure=0 ready=1 dns-server:208.91.112.220:53 tz=-480 req=0 to=0 res=0 rt=0 secure=1 ready=1 dns-server:80.85.69.54:53 tz=0 req=0 to=0 res=0 rt=0 secure=1 ready=1 vdom: vdom2, index=1, is master, vdom dns is disabled, mip-169.254.0.1 dns_log=1 dns64 is disabled vdom: vdom1, index=2, is master, vdom dns is disabled, mip-169.254.0.1 dns_log=1 dns64 is disabled DNS_CACHE: hash-size=2048, ttl=11800, min-ttl=60, max-num=5000 | (global) # show system dns [グロ−バル]->[ネットワ−ク]->[DNS] を config system dns 202.241.128.3 だけにした。注1,2 は上と set primary 202.241.128.3 同じIPアドレスが出ている。 end (global) # diag test application dnsproxy 3 vdom: root, index=0, is master, vdom dns is enabled, mip-169.254.0.1 dns_log=1 dns64 is disabled dns-server:202.241.128.3:53 tz=0 req=94 to=0 res=94 rt=3 secure=0 ready=1 dns-server:208.91.112.220:53 tz=-480 req=0 to=0 res=0 rt=0 secure=1 ready=1 注1 dns-server:80.85.69.54:53 tz=0 req=0 to=0 res=0 rt=0 secure=1 ready=1 注2 | [グロ−バル]->[ネットワ−ク]->[DNS] で "◎詳細"、プライマリDNSサ−バ、セカンダリ DNSサ−バ共に [0.0.0.0 ] とした。注1,2 は上と同じIPアドレスが出た。CLIコンソ− ルで # config vdom, # edit root, # exec ping www.iij.ad.jp は名前解決してリプラ イを返してきた。vdom1 をプロキシ設定して、パソコンのブラウザ指定して、外のURL に名前解決してアクセスできた。vdom1 に設定したプロキシサ−バはDNSサ−バとして 208.91.112.220 または 80.85.69.54 を利用しているということになる。これは分かりに くい挙動である。(global)# show system dns とやってもDNSサ−バのIPアドレスは 何も出てこないのに、 暗黙で 208.91.112.220 と 80.85.69.54 のIPアドレスはあると いうことである。動作をテストしてみて分かったことだが、こんなんでいいのか?。 [ どういう事か分かった? ] セキュリティフィ−チャ−の Webフィルタ ( ON ) にしているとこうなるみたい。これら の "IPアドレス Forti" で Google 検索した。http://cookbook.fortinet.com/dns-web -filtering/ にずばりの記事があった"DNS web filtering:setup and server selection"。 FortiGate の [Webフィルタ]機能が参照するサ−バのIPアドレスはアメリカでUSAの 208.91.112.220、イギリスでUKの 80.85.69.54 の2つある。 たいがいUSAのIPア ドレスが採られると説明が書かれてある。下記のコマンドでそれが表示される。念を入れ て試しに Webフィルタ ( OFF ) してみた。# diag test application dnsproxy 3 は変わ らず 208.91.112.220 と 80.85.69.54 は出てきた。# show system fortiguard も変わら ず下のように出た。あらかじめ FortiGate 装置内に登録されていると言うことだろう。 (global) # show system fortiguard Webフィルタ( ON ) した場合は config system fortiguard このIPアドレスのDNSサ− set webfilter-sdns-server-ip "208.91.112.220" バに問い合わせる。さらにプロ end キシ機能でも参照するという話。 * FortiGate のDNSはキャッシュしている # config global (global) # diag test application dnsproxy help 1. Clear DNS cache 2. Show stats 3. Dump DNS setting | 7. Dump DNS cache キャッシュしている内容を表示する。 8. Dump DNS DB | 12. Show Hostname cache これもキャッシュの内容を表示する。 13. Clear Hostname cache 14. DNS debug bit mask (global) # diag test application dnsproxy 7 vfid=0, name=play.google.com, category=255, ttl=137:74:1737 xxx.xxx.xxx.xxx (ttl=137) vfid=0, name=update.fortiguard.net, category=255, ttl=46678:25189:68 xx.xx.xx.88 (ttl=46678) xx.xx.xx.89 (ttl=46678) ... | 以下同様ここでは数十出てきた。 * プロキシサ−バとDNSの指定 DNSc2 MR 仮想設置 先ずはインタ−ネット回線が1本の場合。 ◇ ◇ DNSc2 はDNSサ−バのアプライアンス |.7 |.3 202.241.128.x でDNSのル−トファイルを持っている。 --------------------------------------- DNSキャッシュサ−バ、DNSc1 も同様。 .2| DNSc2 MR ----------- DNSc1 はDNSのル−トファイルはない。 □ □ |VDOM:root| vdom1 社内用のDNSサ−バとして、社内のサ |.7 |.1 .2| |------- −バのURL名を解決する。他の名前解 ----------------|FortiGate| DNSc1| 決は DNSc2 へ問い合わせを送る。 192.168.2.0 | |ProxyB| ------------------ vdom1 の DNSc1 はG->[ネットワ−ク]-> | | 指定△PC [DNS] のIPアドレスを仕組みとして見 192.168.1.0 .2| .9| ← | る。202.241.128.7、Amazon EC2 のDNS1 --------------------------------------- を記載する。"再帰検索" でいいだろう。 同じようなテストを何回もやっている。 やはりどうも FortiGate のDNS参照は仕組み が分かりにくい。FortiGate にある "Webフィルタ" 機能が、Fortinet 社が外に用意して あるDNSサ−バを参照する。多分、独自なDNSサ−バになっていてサイトのレピュテ −ション情報も返すようになっていると思われる。 FortiGate は "Webフィルタ" 機能を ON/OFF にかかわらず、このDNSサ−バのIPアドレスを見るようになっている。 パケ ットの様子を表示してみて、どうもそのような動作をしているようなのだ。G->[ネットワ −ク]->[DNS] のIPアドレスが有ろうが無かろうが外のURLは名前解決ができる。 一 体どういう動作になるのか。現状のプロキシサ−バは Trend Micro社の IWSS( InterScan Web Security Suite ) なのだが、 Webレピュテ−ションでトレンドマイクロ社が用意 した外のDNSサ−バを参照する。つまりこれも仕組みは FortiGate と同じことである。 [ メモ書きしてたのも参考に ] [グロ−バル]->[ネットワ−ク]->[DNS] で2つとも [0.0.0.0 ] にしても PC のブラウザ から外のサイトにアクセスができた。 どうも下記の 208.91.112.220、80.85.69.54 を見 ているようだ。コンソ−ルで sniffer をやると2つのIPアドレスがでてくる。 (global) # diag test application dnsproxy 3 dns-server:208.91.112.220:53 ... dns-server:80.85.69.54:53 ... (global) # show system fortiguard config system fortiguard set webfilter-sdns-server-ip "208.91.112.220" end 208.91.112.220 と80.85.69.54 は "Webフィルタ機能" が、参照するDNSサ−バらしい。 Webサイトがまっとうかどうか評価情報を持っている。[グロ−バル]->[ネットワ−ク] ->[DNS] に DNSc2 のIPアドレスを書いて、PC のブラウザのプロキシ経由のアクセスが 少しでも速くなるようにと考えた。しかし 208.91.112.220 を見る、先に見るのか後かは 分からないが。208.91.112.220 は非常に多くから参照されるわけでDNS応答は遅い。 * FortiGate のDNS機能のまとめ FortiGate 本体内のDNS指定のパケットの振る舞いとプロキシ機能との関係などを調べ て、DNSサ−バをどう扱えばいいか検討した。ProxyB のDNSは FortiGate 本体で指 定したのを見る、[グロ−バル]->[ネットワ−ク]->[DNS] である。 [グロ−バル]->[ネットワ−ク]->[DNS] に外部のDNSサ−バのIPアドレスを記入する と、ここから出るDNSパケットはデフォルトル−ト指定したインタ−フェ−スから外へ いく。WANインタ−フェ−スが複数ある場合は、VDOM root での最初の WAN1 から出る。 もし最初に指定したDNSサ−バがダウンしたら、次に指定したDNSサ−バを直ちに見 に行く。これはテスト環境で切り替わりの動作確認をした、ほとんど分からない。社内で ブラウザを使っていて、待たせるようなことはない。 ・FortiGate のDNSサ−バはDNSル−トファイルは持ってない。 ・FortiGate のDNSサ−バはDNS検索したキャッシュ情報は持つ。 ・VDOM を作った場合はそれぞれでDNSサ−バを設けることができる。 ・FortiGate の Webフィルタが見る Fortinet社のDNSサ−バがある。 (4) FortiGate のポリシ−ル−ティング `2h/01/e * ダメ元テストその1 FortiGate 本体の DNS パケットの発信元が 0.0.0.0 であるらしい。ひょっとして発信元 を例えば lan1 の 192.168.9.2 にしたら制御できないか。どうも関係ないみたいだった。 # config global (global) # config system dns (dns) # show full-configuration ヘルプ画面を出して DNS の説明の source-ip に config system dns enables you to define a dedicated IP address set primary 202.241.128.3 for communications withh the DNS server. と。 set secondary 0.0.0.0 set domain '' set ip6-primary :: set ip6-secondary :: set dns-cache-limit 5000 set dns-cache-ttl 1800 set cache-notfound-response disable set source-ip 0.0.0.0 end (dns) # set source-ip 192.168.9.3 参考でこのIPアドレスは指定して出来なかった。 192.168.9.3 is not valid source ip. node_check_object fail! for source-ip 192.168.9.3 (dns) # set source-ip 192.168.9.2 (dns) # show full config system dns set primary 202.241.128.3 | set source-ip 192.168.9.2 end * ダメ元テストその2 FortiGate 本体の ICMP や DNS のパケットがひょっとして {Local In ポリシ−} なるも ので制御されてはいないか。そう思い触ってみたがどうやら関係ないようだった。 G->[設定]->[フィ−チャ−] 画面で {Local In ポリシ−} を ( ON ) にしたら、 以下の メニュ− [Local In] が ...->[ポリシ−] の下に出来ていた。 root->[ポリシ−&オブジェクト]->[ポリシ−]->[Local In] ------------------------------------------------------ Local In ポリシ− ------------------------------------------------------ アプリケ− プロト 送信元インタ− サ−ビス アクシ ション コル フェ−ス/ゾ−ン (Port) ョン ------------------------------------------------------ ▼VPN(2) IPsec UDP any 500 〆ACCEPT << この2つ G->[設定]->[ IPsec UDP any 4500 〆ACCEPT << フィ−チャ−] で{VPN} ------------------------------------------------------ を (OFF) にしたら出な ▼その他(1) くなると思ったが出た。 - UDP any 1144 〆ACCEPT ------------------------------------------------------ ▼デフォルト(1) すべて ANY any Any (/)破棄 ------------------------------------------------------ ▼ネットワ−キング&ル−ティング(8) BFD UDP any 3784 〆ACCEPT DNSポリシ− TCP internal1 53 〆ACCEPT << root->[システム]->[ネ DNSポリシ− UDP internal1 53 〆ACCEPT << ットワ−ク]->[DNSサ− | バ] の{インタ−フェ− ------------------------------------------------------ ス上のDNSサ−ビス} を ▼管理者アクセス(12) 作ったらこの2つ出た。 HTTP HTTPS PING というのがある。 # config vdom (vdom) # edit root (root) # config firewall local-in-policy (local-in-policy) # edit 1 new entry '1' added (1) # set intf internal1 (1) # set srcaddr all (1) # set dstaddr all (1) # set action accept (1) # set service TCP8888 (1) # set schedule always (1) # end (root) # (root) # config firewall local-in-policy (local-in-policy) # show full-conf << または show full でもよし。上で定義し config firewall local-in-policy た分だけ表示されてきた。 何も定義して edit 1 ないと # show full-configuration とや set intf "internal1" っても何も出てこない。 set srcaddr "all" set dstaddr "all" set action "accept" set service "TCP8888" set schedule "always" set auto-asic-offload enable set status enable next end [ 参考に Local In の説明をどこかで見つけた ] For example, you can configure a local-in policy so that only administrators can access the FortiGate unit on weekends from a specific management computer at 192.168.21.12, represented by the address mgmt-comp1, using SSH on port 3 (192.168.21.77 represented by address object FG-port3) using the Weekend schedule which defines the time the of access. config firewall local-in-policy edit <1> set intf port3 set srcaddr mgmt-comp1 set dstaddr FG-port3 set action accept set service SSH set schedule Weekend end * DNSの動作確認その3 `2h/03/S vdom1->[システム]->[ネットワ−ク]->[DNSサ−バ] で {インタ−フェ−ス上のDNSサ−ビ ス} でインタ−フェ−ス internal6、モ−ド "再帰検索"。G->[ネットワ−ク]->[DNS] は "◎FortiGuardサ−バを利用" にし、以下のことは "◎詳細" のDNS指定も同じだった。 PC1 でネットワ−ク設定 DNS を192.168.9.3。DOSコマンド>ping qqq.nix.co.jj とや る。別名解釈されて、web.nix.co.jj となり応答が返ってきた。PC1 のブラウザでプロキ シ指定 192.168.9.3 してWeb画面も出た。sss.nix.co.jj は応答はなかった。 モ−ド "システムのDNSサ−バに転送" にしたら >ping asahi.com は応答あったが、数分 してもう一度やったら応答しなくなった。>ping qqq.nix.co.jj、>ping sss.nix.co.jjは 最初から応答はなかった。nslookup でやってもIPアドレスを返すことはなかった。 アマゾンに ELB でWebサ−バを立てた。 2つのIPアドレスを負荷分散して使うため URL名のアクセスになる。web.nix.co.jj CNAME amazon1-elb-nantarakantara.com. と いうのをDNSのエントリ登録したのだが、どうも認識がおかしい、不安定な感じ。 web.nix.co.jj CNAME の事、 モ−ド "再帰検索" で出来なくて "システムのDNSサ−バに 転送" にしたらWeb画面は出た。しかし間を置いてやったら反応しなくなってしまった。 nslookup コマンドで名前解決しているかもと見たが応答なかった。一体どうなっている。 運用としては vdom1 のDNSでは外部URLの CNAME はやらない。既存でプロキシサ− バがあって /etc/hosts ファイルがあるなら、そこにエントリを書く。 それに vdom1 の [Explicitプロキシ] の {URL一致リスト} も使って名前解決するようにしてみる。 ----------------------------------- □www.tcp.or.jj | DNSゾ−ンの編集 vdom1にて |1.1.1.1 |---------------------------------- --------------- |タイプ ◎マスタ− ○スレ−ブ : |確認 ○パブリック ◎シャド− --------------------- |DNSゾ−ン [NIX-TEST ] | |ドメイン名 [nix.co.jj ] ----------- DNSc |プライマリ−マスタ− | |-------- | のホスト名 [dns1 ] | FG80C | vdom1 | |連絡先Emailアドレス [hostmaster ] | v5.2.8 | Proxy | |TTL(秒) [86400 ] web ------------------- PC1 |権威 [有効 ▽] □ |lan1 |lan6 △ |---------------------------------- |.7 |.2 |.3 |.9 | DNSエントリ ----------------------------------- |---------------------------------- 192.168.9.0 | (+)新規作成 |------------------------------------------------------ | □ # タイプ 詳細 |------------------------------------------------------ | □ 1 アドレス(A) web -> 192.168.9.7 | □ 2 キャノニカルネ−ム(CNAME) qqq -> web.nix.co.jj. << 最後はピリオド付ける。 | □ 3 キャノニカルネ−ム(CNAME) sss -> www.tcp.or.jj. ------------------------------------------------------- (5) FortiGate 本体で SSL-VPN を動かす `2h/03/E ( linkprf.txt の付録から ) * FortiGate 本体で SSL-VPN [ 検討です ] PC からは A.2 IPアドレスに SSL-VPN アクセスする。 FortiGate の VDOM の root で SSL-VPN 機能を使えるようにして。 A.2 は FortiGate のWAN側ポ−トのIPアドレス である。A.2 IPアドレスは回線Aのもので、 回線Aがダウンしたら A.2 にはアクセス できなくなる。それで PC からは A.9 か 50.26 にアクセスして、A.2 に誘導するように できないか。さらに A.9 と 50.26 はドメイン名 sslf.nix.co.jj を付けて LinkProofで 自動制御できないか。https://sslf.nix.co.jj で、通常は回線A側 202.241.128.3 に接 続。回線Aがダウンしたら回線C側の 50.28 に接続する。 SSL-VPN はポ−ト番号を 444 ぐらいにして、FortiGate の管理用ポ−トと重ならないようにした方がいいかも知れない。 回線C側のIPはこれまで 50.25〜50.30 だが、新たに 50.31 が使えると仮定して。 / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ 上記の PC からは A.9 か 50.26 にアクセス \_______________/ というのは1月程前に思いつきで書いたこと A: C: | である。改めて検討して、多分そんなことは : : △PC FortiClient できないのでないかと思った。以下のような □ □ の SSL-VPN LinkProof の設定で出来るのでないか。2つ ‖.1 |50.25 設定を追加しただけだが。FortiGate 側の設 ‖ |↑50.26で外へ 定は何もない。 懸念すべきは LinkProof の G1‖.9 G3|50.26 50.31 "Dynamic NAT"などで 202.241.128.2 という ------------- 50.28◇ ◇ IPアドレスが幾つかの設定に出て来る。こ | LinkProof | 仮想IPアドレス れが影響するかも知れない。 ------------- □ G2‖.9 |.3 手元に LinkProof Branch があるので、これ ================================== で動作確認してみるかだ。DNSの設定はと ‖.2 202.241.128.0 りあえず抜きにして、IPアドレスでアクセ -------------- □DMR スする。PCから https://202.241.128.2:444 | FortiGate | |.1 と https://...50.31:444 で応答するかであ | |------------- る。 FortiGate の VDOM root への SSL-VPN |root:SSL-VPN|.2 設定は下記で動作確認はできた。数時間でや -------------- れた。やや手こずったが、まあ。この勢いで |.2 192.168.1.0 LinkProof Branch に電源を入れてテストし ---------------------------------- てみるか。疑問な事は確認、テストが肝要。 [LinkProof]->[Smart NAT]->[Static NAT Table] From Local IP | To Local IP | Server IP | From Static | To Static | | | NAT IP | NAT IP --------------|---------------|-----------|-------------|---------- 202.241.128.3 | 202.241.128.3 | ...50.25 | ...50.28 | ...50.28 202.241.128.2 | 202.241.128.2 | ...50.25 | ...50.31 | ...50.31 << 追加。 [LinkProof]->[Smart NAT]->[No NAT Table] From Local IP | To Local IP | Port Number | Server IP --------------|---------------|-------------|-------------- 202.241.128.3 | 202.241.128.3 | 0 | 202.241.128.1 202.241.128.2 | 202.241.128.2 | 444 | 202.241.128.1 << 追加。 [LinkProof]->[Smart NAT]->[Dynamic NAT Table] ↓IPアドレスを共用してる。 From Local IP | To Local IP | Server IP| Dynamic NAT IP | Redundancy Mode --------------|---------------|----------|----------------|---------------- 202.241.128.2 | 202.241.128.2 | ...50.25 | ...50.26 | Regular [ テストその1 ] △PC2 PC2 の FortiClient から 192.168.1.6 のポ−ト 192.168.1.0 |.7 444 にアクセス、SSL-VPN 接続を確認した。 --------------------------------- | root->[VPN]->[SSL]->[設定] での様子 NAT .6|wan1 ・Listenするインタ−フェ−ス wan1 ----------- FortiGate-80C ・Listenするポ−ト 444 |VDOM root| v5.2.8 ・アクセス制限 任意のホストからアクセス許可 | SSL-VPN | ・サ−バ証明書 Fortinet_Factory (Default) ----------- Qube3 PC1 ・アドレス範囲 自動的にアドレス割り当て |lan1 □ △ ・DNSサ−バ クライアントシステムのDNSと同じ 192.168.9.0 |.2 |.4 |.9 ・認証ポ−タルマッピング すべてのその他の --------------------------------- ユ−ザ/グル−プ tunnel-access root->[ポリシ−&オブジェクト]->[ポリシ−]->[IPv4] root->[ユ−ザ&デバイ -------------------------------------------------------- ス]の[ユ−ザ] でユ− 項番 送信元 宛先 サ−ビス アクション NAT ザ guest、グル−プで ======================================================== Guest-group を定義。 ▽lan1 - wan1 1 all all ALL 〆ACCEPT 有効 ここで宛先を allにし -------------------------------------------------------- たら下記のエラ−が出 ▽ssl.root(SSL VPN interface) - lan1 た。Guest-group には 2 SSLVPN_ qube3 ALL 〆ACCEPT 無効 何でも許可するのはポ TUNNEL_ADDR1 リシ−違反ということ Guest-group らしい。それで qube3 -------------------------------------------------------- オブジェクトを定義し ▽Implicit た。PC2 から Qube3に 3 all all ALL (/)DENY は ping 応答はあるが -------------------------------------------------------- PC1 には応答はない。 ------------------------------------------------------------------ | /!\ Failed to save policy. Since split tunneling is enabled on | | portal "tunnel-access", the destination address of "all" would | | be invalid for user/group "Guest-group" (as defined int the | | SSL-VPN Settings Authentication/Portal Mapping). | ------------------------------------------------------------------ [ テストその2 ] □NetAD3 △PC2 PC2 の FortiClient から ssl.nix.con のポ−ト 192.168.1.0 |.8 |.7 444 にアクセス、SSL-VPN 接続を確認した。 --------------------------------- | FortiClient で リモ−トGW を[192.168.1.6] に NAT .6|wan1 してたのを [ssl.nix.con ] とした。PC2 のネッ ----------- トワ−ク設定で DNS は 192.168.1.8 を記載。 |VDOM root| 80C | SSL-VPN | FortiClient で "〆無効なサ−バ証明書の警告を ----------- Qube3 非表示" にしたら、接続した際に何も出てこなく |lan1 □ なった。 FortiGate の SSL-VPN 設定でサ−バ証 192.168.9.0 |.2 |.4 明書はデフォルトの Fortinet_Factory を指定で。 --------------------------------- NetAttest D3 にゾ−ンを nix.con を作成して、Aレコ−ドを ssl.nix.con 192.168.1.6 を作った。一応、NetAD3 は {現在の設定を保存}のアイコンをクリックして。10分ほど で動作確認まですんなりできた。後は LinkProof Branch をかましてのテストである。し かし回線C側のパブリックIPアドレスは実際 50.25〜50.30 の範囲で利用は埋っている。 LinkProof の Static PAT でIPアドレスを更にポ−ト番号で分けることができる。その テストも以前やった、Static PAT を使ってみるか。これで FortiGateの SSL-VPN を本体 と VDOM とで出来ることを確認した。それでどちらを採用するかだが、今の気持ちとして 本体でやっていいのでないか。特に不都合は無いような気がする。そんな分かりにくい話 でもない。1つ VDOM を作らなくてもいい訳で、その分メモリもいらないかも知れない。 * FortiGate のNATの様子をまた調べた `2g/08/s,12/M [ テスト環境 ] SSL-VPN□仮想IP △PC2 A|.8 192.168.1.0 |.7 -------------------------------------- | VDOM:vdom2 NAT|.6 SSL-VPN -----------VDOM:root | user1□ | wan1 | ------ |wan1 B|.3(5) .2| |FortiGate |ハブ| lan5-------------- ---------------|dmz | -80C | |-----|vdom2| 本体 | 192.168.8.0 | lan1 | | | .3------| | ----------- PC1 | | .2| | Qube3□ | △ | |-----------|dmz | .4| 192.168.9.0 |.2 |.9 | | | | -------------------------------------- ------ -------- この図は "25-7.インタ−ネット接続モデル{j},(5)FortiGate でUTMのフル制御" を元 にした。PC1, PC2 は Windows 7 で FortiClient あり。 PC1 と PC2 から SSL-VPN アクセスして、ログインした所で、どこからパケットが発信さ れているか vdom2 の SSL-VPNモニタ で見た。 Qube3 はここでは設置しなかった。発信元のIPアドレスを調べるだけなので必要なかっ た。"FortiGate 本体で SSL-VPN を動かす場合" のテストでは設置して確認に利用した。 FortiGate の VDOM の root でポリシ−のル−ルを作成。SSL_VIR は Virtual IP でwan1, Static NAT, External 192.168.1.8, Map 192.168.8.3。 vdom2->[ポリシ−&オブジェクト]->[ポリシ−]->[IPv4] -------------------------------------------------------------------------------- 項番 From To 送信元 宛先 サ−ビス アクション NAT ================================================================================ 1 lan5 lan5 all all ALL 〆ACCEPT 無効 -------------------------------------------------------------------------------- 2 ssl.vdom2(SSL VPN interface) lan5 all SSLVPN_ ALL 〆ACCEPT 無効 user1 TUNNEL_ADDR1 -------------------------------------------------------------------------------- 3 any any all all ALL (/)DENY -------------------------------------------------------------------------------- root->[ポリシ−&オブジェクト]->[ポリシ−]->[IPv4] ------------------------------------------------------------- 項番 From To 送信元 宛先 サ−ビス アクション NAT ============================================================= 1 lan1 wan1 all all ALL 〆ACCEPT 有効 PC1 から A に。 ------------------------------------------------------------- 2 wan1 dmz all SSL_VIR ALL 〆ACCEP 無効 PC2 から B に。 ------------------------------------------------------------- 3 dmz wan1 all all ALL 〆ACCEP 有効 SSL-VPN から外へ。 ------------------------------------------------------------- 4 lan1 dmz all all ALL 〆ACCEP 有効 PC1 から B に。 ------------------------------------------------------------- 5 any any all all ALL (/)DENY ------------------------------------------------------------- [ Test-1 ] root->[ポリシ−&オブジェクト]->[ポリシ−]->[IPv4] で定義した。以下 Test-x で同じ。 PC1 から A に SSL-VPN アクセス 192.168.1.8。vdom2->[VPN]->[モニタ]->[SSL-VPNモニ タ] を見ると確かに送信元IP は 192.168.9.9 になっていた。ル−ル1番はNAT有りに しているので、wan1 インタ−フェ−ス 192.168.1.6 からの送信になると思うが、アクセ ス先は仮想IPアドレスなのでこうした事になるのだろう。分かりにくい現象である。 項番 From To 送信元 宛先 サ−ビス アクション NAT ------------------------------------------------------------- 1 lan1 wan1 all all ALL 〆ACCEPT 有効 2 dmz lan1 all all ALL 〆ACCEPT 無効 3 wan1 dmz all SSL_VIR ALL 〆ACCEPT 無効 4 lan1 dmz all all ALL 〆ACCEPT 有効 PC1 から A に SSL-VPN アクセス。送信元IP 192.168.9.9。 ル−ル 2,3 を無効にしたら接続できなくなった。 ル−ル 2 を無効、3 を有効にしたら接続できた。 PC1 から B に SSL-VPN アクセス。送信元IP 192.168.8.3。 ル−ル 2,3 を無効にしても同じで 送信元IP 192.168.8.3。 ル−ル 4 を NAT無にしたら 送信元IP 192.168.9.9 になった。 ル−ル1 で宛先限定 ADD_SSL (192.168.1.8/32) でも同じ。 [ Test-2 ] 項番 From To 送信元 宛先 サ−ビス アクション NAT ------------------------------------------------------------- 1 lan1 wan1 all all ALL 〆ACCEPT 有効 2 wan1 dmz all SSL_VIR ALL 〆ACCEPT 無効 3 lan1 dmz all all ALL 〆ACCEPT 無効 PC1 から A に SSL-VPN アクセス。送信元IP 192.168.9.9。 PC1 から B に SSL-VPN アクセス。送信元IP 192.168.9.9。 [ Test-3 ] 項番 From To 送信元 宛先 サ−ビス アクション NAT ------------------------------------------------------------- 1 lan1 wan1 all all ALL 〆ACCEPT 有効 2 wan1 dmz all SSL_VIR ALL 〆ACCEPT 有効 3 lan1 dmz all all ALL 〆ACCEPT 無効 PC1 から B に SSL-VPN アクセス。送信元IP 192.168.9.9。 PC1 から A に SSL-VPN アクセス。送信元IP 192.168.8.2。(注) [ Test-4 ] 項番 From To 送信元 宛先 サ−ビス アクション NAT ------------------------------------------------------------- 1 lan1 wan1 all all ALL 〆ACCEPT 有効 2 wan1 dmz all SSL_VIR ALL 〆ACCEPT 有効 << NAT 有の場合を調 3 lan1 dmz all all ALL 〆ACCEPT 無効 べた。dmz インタ −フェ−スからの PC2 から A に SSL-VPN アクセス。送信元IP 192.168.8.2。 発信になった。 [ Test-5 ] 項番 From To 送信元 宛先 サ−ビス アクション NAT ------------------------------------------------------------- 1 lan1 wan1 all all ALL 〆ACCEPT 有効 2 wan1 dmz all SSL_VIR ALL 〆ACCEPT 無効 << NAT 無しが適切な 3 lan1 dmz all all ALL 〆ACCEPT 無効 設定のはずである。 NAT 有のがもしあ PC2 から A に SSL-VPN アクセス。送信元IP 192.168.1.7。 れば無にすること。 ル−ル 2 を無効にしたら PC2 から A にアクセスできなくなった。 [ Test-6 ] 項番 From To 送信元 宛先 サ−ビス アクション NAT ------------------------------------------------------------- 1 lan1 wan1 all ADD_SSL ALL 〆ACCEPT 有効 2 wan1 dmz all SSL_VIR ALL 〆ACCEPT 無効 3 lan1 dmz all all ALL 〆ACCEPT 無効 4 dmz wan1 all ADD_SSL ALL 〆ACCEPT 有効 5 any any all all ALL (/)DENY PC2 から A に SSL-VPN アクセス。送信元IP 192.168.1.7。 PC1 から A に SSL-VPN アクセス。送信元IP 192.168.9.9。 PC1 から B に SSL-VPN アクセス。送信元IP 192.168.9.9。 ル−ル 4 はパソコンをDMZに置いて A にアクセスする話。 * 今後は SSL-VPN は FortiGate ので由し リモ−トアクセスは FortiClient でやってもらうか。 F5社のでもデル社のでもどうも 専用アプライアンスはよろしくない。SSL-VPN のクライアントの Camail パソコン用ソフ トはインスト−ルすらできない場合だってある。ましてや設定だって悪戦苦闘させられる ことも多々。もうお付き合いできんバイ。FortiClient をちゃちゃっと試した。ユ−ザ認 証は FortiToken で One Time Password、これなら時と場所を選ばない。`2g/04 "FortiClient インスト−ル" でも検索してみたら、日本語サイトも結構でてきた。 大学 のサ−ビスでの設定手順も結構でてきた。SSL-VPN 接続での例が多いかな。何年か前にリ モ−トアクセスの大学の状況を調べた時は、FortiClient の名前は出てこなかった気がす る。それとも FirePass とか市販製品名で検索したのかも知れない。いずれにせよ昨今は FortiClient を利用している大学は結構ある。それなりの信頼性も有るということだろう。 Windows 7 パソコンに一度テストでインスト−ルした FortiClient、毎日画面の右下に透 明な吹き出しがでてアップデ−トしてくれと。いつも無視しているのだが、Y を押してア ップデ−トしないとずっと出てくるのかな。Ctrl+Alt+Del キ−を押して [Windowsタスク マネ−ジャ] をクリックすると常駐プロセスが出る。{サ−ビス} で FortiClient が1つ 実行中、{プロセス} では FortiTray.exe 説明が FortiClient System Tray Controller。