• ベストアンサー
  • すぐに回答を!

FortiGateのインターフェース設定について

現在、同一セグメント内で部署間での通信を遮断するため、 YAMAHA RT107eのLAN分離機能を使用しております。 今回諸々の理由がありましてFortigate80Cに更新することになっているのですが、 同様な設定が可能なのかとスイッチモードをインターフェースモードに変えると各ポートが異なるセグメントになってしまい、 ポリシーで何とかならないかと試行錯誤しておりますが解決できておりません。 ForiGate単機でInternalポートでポートセパレート機能のようなことが出来ないか ご教授願えないでしょうか? よろしくお願いします

共感・応援の気持ちを伝えよう!

質問者が選んだベストアンサー

  • ベストアンサー
  • 回答No.1

 これ、他のFortiGATEでもポートペアリング出来ない現象が有ります。  トランスペアモードから、LANインターフェイスをスイッチモードからインターフェイスモードへの変更すると、Internalポートを分割出来るのですが、ポート毎のペアリングされない現象が有ります。  ファームウェア更新にて、対応出来るか確認する必要が有りますが、最悪FortiGATEをルーターモードで基本ルーターとして構成し、L2スイッチ等(SWX2200-8G、SWX2200-24G)で分ける構成の方が良いのでは?  若しくは、RT107E→RTX810変更にて、FortiGATE配下としてRTX810でのLAN分割構成になるかも。

共感・感謝の気持ちを伝えよう!

質問者からのお礼

やはり、単機では無理なのですね。 L2スイッチで分ける方向で検討してみます。 アドバイスいただきまして、誠にありがとうございました。

関連するQ&A

  • Fortigateのルーティング設定について

    勉強のためにFortigate-40cを中古で購入したのですが、L3のルーティングが上手くできません。 現在、以下のように設定しているのですが、PC1からPC2への疎通ができません。 逆も同じ状況です。 ■NW構成 PC1 (192.168.10.2/24) ↓ Fortigate (Internal1(Port1) 192.168.10.1/24を設定) ┃※Staticルーティング(1)と(2)を設定 Fortigate (Internal2(Port2) 192.168.20.1/24を設定) ↓ PC2 (192.168.20.2/24) ■Staticルーティングの設定内容 (1) 宛先IPアドレス :192.168.10.0/24 ゲートウェイ  :192.168.10.1 インターフェース:Internal1 (2) 宛先IPアドレス :192.168.20.0/24 ゲートウェイ  :192.168.20.1 インターフェース:Internal2 上記の設定は間違っているのでしょうか? もしかして根本的に間違っているのか…。 ネットワークに関してはど素人のため、アドバイスを頂けますと幸いです。 よろしくお願いいたします。

  • YAMAHA RT58iの設定方法を教えてください。

    以下の条件でYAMAHAルータのRT58iの設定方法を教えてください。 ・ローカルルータとして使う ・LANポートIPは10.10.1.1/24、WANポートIPは192.168.1.1/24 ・LAN側IPは10.10.1.2~.11まで(10個)をDHCPサーバ機能で取得 ・IPマスカレードでLAN側IP10個をWANポートIP(192.168.1.1)に変換 ・LAN側インターフェースin/outでアクセス制限を掛ける ・制限は10.10.1.0/24⇔192.168.100.0/24 ・構成は以下のとおり [LAN側HUB]----[RT58i]----[WAN側HUB] どうぞ、よろしくお願いします。     

  • RT57iのVPN接続機能だけを使うには

    RT57iを利用したネットワーク構築に関して質問させて頂きます。 先日、AirMac TimeCapsuleを購入し、WAN直下に設置しました。 AirMac TimeCapsuleには、VPN機能がないため、今まで使っていたRT57iのVPN機能のみを利用したいと考えました。 そこで、以下のように、機器を構成し、VPN接続ができるか試してみたのですが、できませんでした。 WAN | AirMacTimeCapsule[192.168.0.1] || |└[192.168.0.2](WAN port)RT57i(LAN port)[192.168.0.3] | | hub(L2)───────────────────────────────────────┘ | │ pc pc pc… AirMacTimeCapsuleには、ポート設定で、 パブリックUDPポート 500,1701,4500 パブリックTCPポート 1723 プライベートアドレス 192.168.0.2 プライベートUDPポート 500,1701,4500 プライベートTCPポート 1723 という穴をあけて、VPNまわりのパケットをRT57iに流す(つもり)の設定をしてみました。 しかし、RT57iのWAN portにAirMacTimeCapsuleからのLANを指した段階で、RT57iに接続できなくなってしまいました。 そこでメーカーの方に、問い合わせしたところ 「VPN以外の不要な設定(PPPoE設定など)を削除し、LAN1インターフェースのIPアドレスおよび、デフォルトゲートウェイを上位ルータとして設定するのみでございます。VPN機能のみを利用するためのローカルルータ(またはVPNサーバ)としてご認識いただければ幸いです。」 といった親切且つご丁寧な回答を頂いたのですが、そうしているつもりでも、うまくゆきません。お詳しい方いらっしゃいましたら、具体的にどのような設定を行えば良いか、どうかご教示をお願いいたします。

  • ファイヤウォールのポート解放について

    Activedirectoryを導入するにあたり、業者より、本社LAN上にサーバーが置いてあるので、WAN越しにくる営業拠点から本社へのNETBIOSなど幾つかのポートを解放してくれと言われました。 見よう見まねで設定をしていますが、あまり自信がありませんので、アドバイス頂ければ幸いです。 ファイヤウォールは、Fortigate200Aを使用しています。 インタフェイスはLAN側(本社LANがあり、その中にあるIP-VPN用及びインターネットVPN用のルータを介して営業拠点と接続しています)とWAN側(インターネット用ルーターを介して直接インターネットに出ています)が1つずつです。DMZはありません。 ファイヤウォールのポリシーとして以下を追加しました。 アドレスCクラスと仮定しますと、 インタフェイス:Internal(LAN) -> Internal(LAN) 送信元:営業拠点のアドレス 192.168.#.0 宛先:本社のアドレス 192.168.*.0 ポート:TCP,UDP 42 etc.... アクション:ACCEPT 営業拠点のアドレスとポートは複数ありますので、グループで設定してあります。 こんな感じでよいのでしょうか?

  • 自分のサーバーを立てたいのですが・・

    外部から自分のサーバーにアクセスしてもらうように ルーターを越えてサーバーPCを見えるようにしなくてはいけません。 ポートフォワーディング機能などを使ってそこのポートにアクセスしてきたものをサーバーPCで応答するように設定。 とルーター設定に書いてあったのですが、ポートフォワーディング機能を検索してもメールのことしか書いてありません・・ また、私の場合プロトコルはわからなかったので、すべてにしました。 と書いてあったのですが、どういうことなのでしょうか・・ 二日前から8時間くらい試行錯誤してもさっぱりで;; PC初心者でごめんなさい・・;

  • ホームゲートウェイと無線ルーター、USBの接続

    auひかりギガ得プランのホームゲートウェイ(BL190HW)の無線機能を使わずに、ELECOMの無線ルーターWH-300AN/DGRを購入しました。 そこで、接続方法について、ご存知の方、教えて下さい。 ★出来無いこと★ PCがプリンタを認識しない(表示:ネットワーク上にUSBデバイスが見つかりません) ちなみに無線機能は使えました。 ★現在の接続★ ホームゲートウェイ  ー ポート1 PC           ー  ポート2 PC            ー ポート3 接続なし           ー ポート4 無線ルーター(RTモード) 無線ルーター(RTモード)--- ポート1 TV(サーバー)             --- ポート2 TV             --- ポート3 接続なし             --- ポート4 接続なし              --- USBポート プリンタ             --- 無線 → スマートフォン  ★やりたい事★ 無線:スマートフォンのために使います。(接続できました) 無線ルーターのUSBポート:プリンターを接続し、2台のPCで共有します。(接続できません) TV2台をLAN接続します。その内1台はサーバー機能あり。(接続できました) PC 2台は有線LANを使います。(接続できました) PCの接続スピードを最優先にしたいです。TVの方は、若干スピードが出なくても結構です。 (ホームゲートウェイのポートは4つ、無線ルーターのポートは4つです。) ★質問★ どうすれば、PCの接続スピードを最優先にして、プリンターを共有できますか? はたして、無線ルーターがRTモードでいいのか、APモードにしたらいいのかもわかりません。 お詳しい方、経験者の方、教えてください。宜しくお願い致します!!

  • RT107eでIPSec VPN(メインモード)を設定しようとしていま

    RT107eでIPSec VPN(メインモード)を設定しようとしています。 本部側がRT107e、拠点側はルータを使用せずにWindows XP標準のIPセキュリティポリシーを使いたいのですが、送信フィルタ、受信フィルタ、認証用のフィルタを設定しても接続できません。 Webを検索し続けていますが、YAMAHAルータとの接続例もみあたりません。YAMAHAルータでWindows XPの標準機能でIPSecの接続成功例・推奨設定などわかる方がいらっしゃいましたら、教えていただけますでしょうか。 双方にはグローバルIPアドレスが割り当てられています。 WinXPはRT57iの内側にありますが、静的NATでグローバルIPが割り当てられesp、udp500は通過できます。 現在はPingすると「Negotiating IP Security.」で接続を確立できません。

  • タグVLANは同一セグメントで使用できるのか?

    社内でLANを組んでおり、お互いにデータを共有している環境があります。 ルータにも接続され、インターネットも共有しています。 今回、無線アクセスポイントを複数台設置し、お客様にインターネット接続を提供しようと考えています。 その際、社内用とお客様用は遮断し、インターネット接続のみ共有したいので、VLANで分けるつもりです。 現在複数あるL2スイッチそれぞれに社内用、お客様用のポートを用意したいので、タグVLANを使用したいと思っています。 無線アクセスポイントに接続しているお客様が移動した場合、最寄りのアクセスポイントにローミングするようにしたいので、SSIDはすべて同一とします。 最初は単純に、ルータでタグLAN、セグメントの分割、DHCPサーバーを用意し、  社内用 192.168.10.0/24  お客様用 192.168.20.0/24 とするつもりでしたが、お客様を全員ひとつのグループにしてしまうとお客様同士が相互にアクセス出来てしまいます。 そこですべてのスイッチのお客様向けポートをひとつひとつ、それぞれタグVLANで分離していこうと考えました。 しかし、タグVLANの設定例を色々見ると、みんなVLANごとにセグメントを変えているようです。 上記のようにお客様用のポートが全部セグメントが異なる場合、ローミングしたときにIPアドレスを取得し直すことになり、一時的に接続が切れてしまうのではないかと思います。 タグVLANで、お客様向けのポートはそれぞれ分離しますが、IPアドレスは全部 192.168.20.0/24を使用し、問題無くローミングする、という考えは可能なのでしょうか?

  • ポートの解放について

    私は 【ルーター機能付きモデム(NVIII)】ー【ルーター(WBR2-G54)】ー【PC】 という構成でインターネットに接続しています。 ルーター機能が二重になってしまうのでWBR2-G54の方を http://www3.melcoinc.co.jp/download/manual/air5/qa/wireless-47/wireless-47.html の通りにブリッジ接続の設定をしインターネットに接続することができました。 ここまではいいんですが、今度ネットゲームをやることになってポートを解放しなくてはいけないみたいなのです。 いろいろ試行錯誤してみたのですが、ポートの解放がどうしてもできなくて質問させていただきました。 私のポート解放のやり方がまちがっている可能性があるので、どなたか一から教えていただけないでしょうか。 よろしくお願いいたします。

    • ベストアンサー
    • ADSL
  • 無線LANでDLNAが使えません。

    現在logitecのLAN-WH300N/DGP という無線LANルーターを使用しています。 フレッツ光ネクストでインターネットをしている為、二重ルーターにならないようにlogitecルーターの方はAPモードにして使 用しています。 そこでなのですが、DLNA機能が使えなくなる問題が発生しました。RTモードに戻すと普通に使えるようになります。 NTTのルーターのIPアドレスと、logitecのIPアドレスのセグメント(192.168.1.○○○)同じにしてあるのに、この現象が起きるのが不思議です。