Foritgateを介すと通信できない

###実現したいこと
以下の構成でPC → Catalystへ通信させたい

###現状
PC-1 → Fortigate(192.168.50.253)へは疎通可〇
PC-1 → Fortigate(192.168.100.1)へは疎通不可×
Fortigate → Catalystへは疎通可〇

###設定内容
・PC-1
IPアドレス：192.168.50.1
サブネットマスク：255.255.255.0

route print
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~省略~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
192.168.100.0   255.255.255.0   192.168.50.253   192.168.50.1   26
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~省略~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

・Fortigate
インターフェース

アドレス(オブジェクト)

ポリシー

・Catalyst3750

Switch#show run int fa1/0/1

interface FastEthernet1/0/1
 switchport access vlan 10
 switchport mode access
end

Switch#show run int vlan 10

interface Vlan10
 ip address 192.168.100.2 255.255.255.0
end

Switch#show run | inc ip route
ip route 192.168.50.0 255.255.255.0 192.168.100.1

今まで上記の設定でPCからCatalystまで通信可能だと思っておりました。何を見落としているのかいくら考えても分かりません。
何か分かる方いらっしゃいましたら、ご教示願います。

以上、よろしくお願いいたします(>_<)

###追記
「明示的なdeny」と「全てaccept」の計２つポリシーを作成し、PCからCatalystへ向けてpingを飛ばしたが、パケットは０Bのままカウントされず。

ログの確認画面

Fortigateを再起動後、改めて「ログ&レポート」画面を見たら以下のように表示がされていた。
よって、作成した「PC to RT」ポリシーに問題がありそうです。。

また、今までOBのままだったのが再起動後、パケットがカウントされた。

行動規範の内容に同意します

回答1件

ベストアンサー

PC-1 → Fortigate(192.168.50.253)へは疎通可〇

PC-1 → Fortigate(192.168.100.1)へは疎通不可×
Fortigate → Catalystへは疎通可〇

PC-1からFortigate(192.168.100.1)への通信がFortigateで許可されていません。
IPv4ポリシーでPC-1からFortigate(192.168.100.1)への通信を許可するポリシーを書いてみてください。
また、今の状態でPC-1からCatalyst(192.168.100.2)は通信できるはずです。

投稿2019/01/21 00:07

ozwind918

総合スコア1140

narururu

2019/01/21 03:46

ご回答ありがとうございます。ozwind918さん(^_^) ご提示いただいたポリシーで試しましたが、通信不可の状態のままです。また、今の状態でもPCからCatalystへは通信できません。 fortigate壊れちゃったのかな…(´・ω・`)

ozwind918

2019/01/21 03:50

FortigateのセキュリティログにDenyされているものはありませんでしょうか。

taichi_0807

2019/01/21 04:11

FortigateのポリシーNo2の暗黙のDenyのログを有効化すれば、手掛かりにならないでしょうか。設定上問題無いように見えます。 ※「PC-1」「Catalyst3750」のアドレスオブジェクトの中身を見てないので、アドレス間違いの可能性は消せませんが。

narururu

2019/01/22 15:49 編集

アドバイスありがとうございます。ozwind918さん☺ セキュリティログが表示されないため確認できない状態です。ログ&レポートの転送トラフィックやローカルトラフィックの画面には「マッチするエントリーはありません」と表示されてしまいます。なぜかFortigate単体でログを保管することができないような感じです。後でログの設定を確認してみます。また、画面「IPv4ポリシー」のポリシー一覧の右側に記載されているバイトの欄では０Bのままなので、作成したポリシーが使われていない状況です。さらに、明示的なDenyのポリシーを作成し疎通確認を試しましたが、そのポリシーにもパケットはカウントされず０Bの状態でした。

narururu

2019/01/22 15:54 編集

いつもアドバイスありがとうございます。taichi教授☺ No.2の暗黙のポリシーはFortigateの仕様で有効化できないため、「明示的なdeny」でポリシーを作成し、パケットのカウントを確認してみましたが、０Bのままでした。また、「全てaccept」という形でポリシーを作成し通信させてみましたが、通りませんでした。また、作成したポリシーにはどちらもパケットがカウントされず。。。ログの設定を確認してみます。 ※因みに、各オブジェクトのIPアドレスの設定については作成画面をを載せておりますので参考までにご覧ください。

ozwind918

2019/01/23 00:13

パケットカウントが上がっていないのであれば、根本的にどこか間違いがあるのではないかと思います。頂いた内容では問題ないように思われますが、一度切り分けのためにVDOMを無効にしてみてはどうでしょうか。

narururu

2019/01/27 09:19

アドバイスありがとうございます。ozwind918さん☺ 返信が遅れまして大変申し訳ございません。先程、PCからCatalystへpingを飛ばしたところ、Fortigateの「ログ&レポート」の画面でDenyされたパケットが作成したポリシーに引っかかっていることが分かりました。再起動したことで表示が更新されたのでしょうか。また、作成したポリシーの何が問題なのかわからないため、一度無効化し、作成した「全てAccept」ポリシーを有効化した状態で、ping飛ばしたところ、PCからCatalystへ通信できました。よって、作成したポリシーの「PC to RT」が間違っていそうです。

narururu

2019/01/27 09:38

アドレス(オブジェクト)のインターフェースをtrustやuntrustからanyへ変更したことで、通信ができるようになりました。 Fortigateのインターフェースのtrustやuntrustの用途がいまいち理解できませんが、とりあえずこの機能を使用しなければ思った通りに実装できそうです。皆様、アドバイス本当にありがとうございました。おかげさまで原因を見つけることができました。また、何かありましたらアドバイスいただけますととても助かります。私からもアドバイスできるようにきちんと考えて取り組んで参りたいと思います('ω')

narururu

2019/01/27 10:02

すいません。先程、原因はインターフェースゾーンだと申しましたが、そうではなく、無線を切っていなかったことが原因でした。あれから再度問題の切り分けを実施した結果、インターフェースゾーンはanyだろうがtrust/untrustだろうが関係なく疎通できました。大変失礼いたしました。

行動規範の内容に同意します