質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.35%

  • ネットワーク

    694questions

    ネットワークとは、複数のコンピューター間を接続する技術です。インターネットが最も主流なネットワークの形態で、TCP/IP・HTTP・DNSなどの様々なプロトコルや、ルータやサーバーなどの様々な機器の上に成り立っています。

  • ネットワークスペシャリスト

    51questions

    ネットワークスペシャリスト試験 (NW)は、IPA 独立行政法人 情報処理推進機構の実施している国家資格です。

Foritgateを介すと通信できない

解決済

回答 1

投稿 編集

  • 評価
  • クリップ 1
  • VIEW 1,074

narururu

score 60

実現したいこと

以下の構成でPC → Catalystへ通信させたい
イメージ説明

現状

PC-1 → Fortigate(192.168.50.253)へは疎通可〇
PC-1 → Fortigate(192.168.100.1)へは疎通不可×
Fortigate → Catalystへは疎通可〇

イメージ説明

設定内容

・PC-1
IPアドレス:192.168.50.1
サブネットマスク:255.255.255.0

route print
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~省略~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
192.168.100.0   255.255.255.0   192.168.50.253   192.168.50.1   26
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~省略~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

・Fortigate
インターフェース
イメージ説明

アドレス(オブジェクト)
イメージ説明
イメージ説明

ポリシー
イメージ説明

・Catalyst3750

Switch#show run int fa1/0/1

interface FastEthernet1/0/1
 switchport access vlan 10
 switchport mode access
end
Switch#show run int vlan 10

interface Vlan10
 ip address 192.168.100.2 255.255.255.0
end
Switch#show run | inc ip route
ip route 192.168.50.0 255.255.255.0 192.168.100.1

 

今まで上記の設定でPCからCatalystまで通信可能だと思っておりました。何を見落としているのかいくら考えても分かりません。
何か分かる方いらっしゃいましたら、ご教示願います。

以上、よろしくお願いいたします(>_<)

追記

「明示的なdeny」と「全てaccept」の計2つポリシーを作成し、PCからCatalystへ向けてpingを飛ばしたが、パケットは0Bのままカウントされず。
イメージ説明

ログの確認画面
イメージ説明
イメージ説明

Fortigateを再起動後、改めて「ログ&レポート」画面を見たら以下のように表示がされていた。
よって、作成した「PC to RT」ポリシーに問題がありそうです。。
イメージ説明
また、今までOBのままだったのが再起動後、パケットがカウントされた。
イメージ説明

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 1

checkベストアンサー

0

PC-1 → Fortigate(192.168.50.253)へは疎通可〇
PC-1 → Fortigate(192.168.100.1)へは疎通不可×
Fortigate → Catalystへは疎通可〇

PC-1からFortigate(192.168.100.1)への通信がFortigateで許可されていません。
IPv4ポリシーでPC-1からFortigate(192.168.100.1)への通信を許可するポリシーを書いてみてください。
また、今の状態でPC-1からCatalyst(192.168.100.2)は通信できるはずです。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2019/01/27 18:19

    アドバイスありがとうございます。ozwind918さん☺

    返信が遅れまして大変申し訳ございません。
    先程、PCからCatalystへpingを飛ばしたところ、Fortigateの「ログ&レポート」の画面でDenyされたパケットが作成したポリシーに引っかかっていることが分かりました。再起動したことで表示が更新されたのでしょうか。
    また、作成したポリシーの何が問題なのかわからないため、一度無効化し、作成した「全てAccept」ポリシーを有効化した状態で、ping飛ばしたところ、PCからCatalystへ通信できました。
    よって、作成したポリシーの「PC to RT」が間違っていそうです。

    キャンセル

  • 2019/01/27 18:38

    アドレス(オブジェクト)のインターフェースをtrustやuntrustからanyへ変更したことで、通信ができるようになりました。
    Fortigateのインターフェースのtrustやuntrustの用途がいまいち理解できませんが、
    とりあえずこの機能を使用しなければ思った通りに実装できそうです。
    皆様、アドバイス本当にありがとうございました。おかげさまで原因を見つけることができました。
    また、何かありましたらアドバイスいただけますととても助かります。
    私からもアドバイスできるようにきちんと考えて取り組んで参りたいと思います('ω')

    キャンセル

  • 2019/01/27 19:02

    すいません。
    先程、原因はインターフェースゾーンだと申しましたが、そうではなく、無線を切っていなかったことが原因でした。あれから再度問題の切り分けを実施した結果、インターフェースゾーンはanyだろうがtrust/untrustだろうが関係なく疎通できました。大変失礼いたしました。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.35%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

同じタグがついた質問を見る

  • ネットワーク

    694questions

    ネットワークとは、複数のコンピューター間を接続する技術です。インターネットが最も主流なネットワークの形態で、TCP/IP・HTTP・DNSなどの様々なプロトコルや、ルータやサーバーなどの様々な機器の上に成り立っています。

  • ネットワークスペシャリスト

    51questions

    ネットワークスペシャリスト試験 (NW)は、IPA 独立行政法人 情報処理推進機構の実施している国家資格です。