FortiGate　トランスペアレントモードの設定

お客様からの要望でUTM導入依頼があり、FortiGateを導入しました。FortiGateの設定はWEBの管理画面からほとんどの設定が来ますが、今回一部の設定がコマンドラインからでないと設定できない項目があったので紹介します。

トランスペアレントモードとは？

FortiGateでは「NATモード」と「トランスペアレント（透過）モード」の2つのモードがあります。今回はトランスペアレントモードを使いました。トランスペアレントモードとは、すでに構築済みのネットワーク環境にそのままFortiGateを導入することができます。もちろんルータ・パソコン・NASなどネットワークに接続された機器の設定変更は必要ありません。

トランスペアレントモードへの設定

FortiGateのOSバージョン5.2まではWEB管理画面から、「NATモード」もしくは「トランスペアレントモード」の変更ができました。OSバージョン5.4からはWEB管理画面には項目がなく、コマンドラインからのみ「トランスペアレントモード」に変更ができます。
今回のOSバージョンは5.6系の「5.6.3」になります。
FortiGateの初期設定では下記のように「NATモード」になっています。

FortiGateの「CLIコンソール」から下記のコマンドを入力します。

今回FortiGateの設定は

• IPアドレス：192.168.100.10
• サブネットマスク：255.255.255.0
• デフォルトゲートウェイ：192.168.100.1

に設定しました。
コマンドを入力すると下記のように「Changing to TP mode」と表示され「トランスペアレントモード」に変更されました。

管理画面のダッシュボードから確認するとモードがトランスペアレントモードと表示されます。

また、「システム」→「設定」から「System Operation Settings」の項目には動作モード、管理IPなどが表示され、動作モードの変更とIPアドレスの変更ができます。

注意点

「トランスペアレントモード」に設定する時の注意点が2つあります。
1つ目は、FortiGateの初期設定は「DHCPサーバ」が有効になっており、接続するパソコンのIPアドレスは自動取得でも問題ありません。FortiGateを「トランスペアレントモード」に設定するとFortiGateの「DHCPサーバ」は無効になるので動作モードが切り替わるタイミングで接続できなくなる可能性があります。FortiGateを設定するパソコンのIPアドレスは一時的に固定IPアドレスを使って設定することをおすすめします。

2つ目は、一部のミッドレンジモデル・ハイエンドモデルの機種を設定する場合です。初期設定で複数のポートがバーチャルスイッチとして動作しています。バーチャルスイッチとして動作していると「CLIコンソール」から「トランスペアレントモード」に変更しようとしてもエラーが表示され変更できません。設定前にWEB管理画面上からバーチャルスイッチの設定を削除する必要があります。

まとめ

UTMを導入する時すでに構築されたネットワーク環境に機器を追加することになると思います。社内にはパソコン、複合機、ファイルサーバ（NAS）などネットワークに接続された機器が多数あります。それらの機器の設定変更は容易ではありません。UTMには今回のトランスペアレントモードのように、既存ネットワークに追加するだけで利用できる機能があります。コマンドラインから設定できるのでWEB管理画面からの設定だけでなく、コマンドラインから設定出来る方法を知っておくのも非常に大切です。

この記事を読んだ方はこちらも読まれています

Windows11への切替は必要？不要？