[Fortigate][自分用メモ] Fortigate FG100Dでトランスペアレントモードに切り替えるのに難儀したこと。

    • 2015/05/01 10:06:31
    • Category: Network
     
    • 最終更新日時:2015/05/01 10:07:03


    購入したFG100Dをようやくラッキングして、テスト稼働に入ったわけですが、ちょっとモードの切替に難儀したのでメモ。

    物臭な私は自宅のネットワーク環境を大きく変更したくなかったので、デフォルトのNATモードからトランスペアレントモードで使用することに決め、切り替えようとしました。

    ちなみにマニュアルは以下になります。

    Microsoft Word - Fortigate_Transparent_Mode_Technical_Guide_FortiOS_4_0_version1.2.doc - viewAttachment.do
    http://kb.fortinet.com/kb/viewAttachment.do?attachID=Fortigate_Transparent_Mode_Technical_Guide_FortiOS_4_0_version1.2.pdf&documentID=FD33113

    確認環境:
    # get system status 
    Version: FortiGate-100D v5.0,build0310,150123 (GA Patch 11)
    Virus-DB: 22.00958(2014-10-10 23:33)
    Extended DB: 22.00958(2014-10-10 23:34)
    IPS-DB: 5.00556(2014-10-08 23:50)
    IPS-ETDB: 5.00556(2014-10-08 23:50)
    Serial-Number:
    Botnet DB: 1.00000(2012-05-28 22:51)
    BIOS version: 04000030
    System Part-Number: P11510-03
    Log hard disk: Available
    Internal Switch mode: interface
    Hostname:
    Operation Mode: Transparent
    Current virtual domain: root
    Max number of virtual domains: 10
    Virtual domains status: 0 in NAT mode, 1 in TP mode
    Virtual domain configuration: disable
    FIPS-CC mode: disable
    Current HA mode: standalone
    Branch point: 310
    Release Version Information: GA Patch 11
    FortiOS x86-64: Yes
    System time: Thu Apr 30 12:05:42 2015

    普通であれば以下のコマンドを実行することで、NATモードからトランスペアレントモードへ切り替えることが出来ます。
    #set opmode transparent
    (settings)#set manageip 192.168.1.99/255.255.255.0
    (settings)#set gateway 192.168.1.254
    (settings)#end
    Changing to TP mode

    が、今回は以下の様なエラーメッセージが出力され、切り替えることが出来ません。
    Cannot change to transparent mode because this vdom contains the following virtual switch: lan


    FG100DはPort1からPort16までが論理的に纏められてバーチャルスイッチとしてデフォルト動作します。しかもひとつだけセキュリティポリシーも設定されています。ということで、

    1. バーチャルスイッチに設定されているセキュリティポリシーを削除する
    2. バーチャルスイッチを解除する

    でこのメッセージは出力されなくなります。

    が、これだけではダメでして、今度は以下の様なメッセージが。
    allowaccess of interface wan1 can' t enable auto-ipsec in transparent mode.
    node_check_object fail! for opmode transparent
    Attribute ' opmode' value ' transparent' checkingfail -651
    Command fail. Return code -651

    wan1インターフェイスでauto-ipsecが有効になっているため、切り替えることが出来ない旨メッセージが表示されます。
    これはwan1インターフェイスがデフォルトだとDHCPクライアントとして動作しており、合わせてauto-ipsecが有効になってしまっているために起きる問題です。
    解消するにはインターフェイスタイプをスタティックに変更することで、ようやくトランスペアレントモードへ切り替えることが出来ます。

    Unable to change Operation Mode | Fortinet Technical Discussion Forums /
    https://forum.fortinet.com/tm.aspx?m=115314


    関連記事


    Pagination

    Trackback

    Trackback URL

    https://kometchtech.blog.fc2.com/tb.php/1852-a2aed1e5

    Comment

    Post Your Comment

    コメント登録フォーム
    公開設定

    Utility

    Profile

    kometch

    Author:kometch
    なんちゃってエンジニアです。
    2009年10月から業務都合により大阪勤務になりました。
    2010年1月、HYBRID W-ZERO3を購入しました。
    2010年11月、HTC Desire HDを購入しました。
    2012年2月、都内の会社に転職しました。
    2012年5月、HTC One Xを購入しました。
    2012年8月、事情により休職しました。
    2012年8月、SONY Xperia SXを購入しました。
    2013年1月、一身上の都合により退職しました。
    2014年3月、都内の会社に就職しました。
    2016年8月、HPC系の会社に転職しました。

    Amazonほしい物リスト
    何か問題などありましたら、こちらまで。 Twitter:@kometchtech follow us in feedly

    カレンダー

    09 | 2017/10 | 11
    1 2 3 4 5 6 7
    8 9 10 11 12 13 14
    15 16 17 18 19 20 21
    22 23 24 25 26 27 28
    29 30 31 - - - -

    全記事(数)表示

    全タイトルを表示

    バロメーター

    カテゴリー

    カテゴリークラウド

    アーカイブ

    検索フォーム

    FC2カウンター

    現在の閲覧者数

    現在の閲覧者数:

    Amazonアソシエイト

    スポンサードリンク

    月間ページランキング

    ブログパーツ

    サイトランキング

    スポンサードリンク

    スポンサードリンク