Q&A
DHCPリレーの機能を勘違いされているように見受けられたので補足で。
DHCPリクエストはブロードキャスト通信のため、DHCPサーバとは別のセグメントに存在する端末からのリクエストを受け取ることができません。
それの対応として、DHCPリクエストを転送する機能がDHCPリレーとなります。
初期ネットワーク構成
現在以下の構成になっていたRTXだけにFortiGateを導入しました。
]
RTX1210 LAN1 IPアドレス 192.168.1.250 /24
にてインターネットをしておりました。
前提・実現したいこと① NATモードにて構成
この状態のネットワークに、Fortigate60Dを導入いたしました。
NATモードか、トランスペアレントモードのどちらで導入するか、どうするか悩んだ末にまずはNATモードにて構成をいたしました。
RTX1210 LAN1 IPアドレス 192.168.1.250 /24
FortiGate 60D Internal IPアドレス 192.168.1.251 /24
ところが、FortiGate側のDHCPリレーにし、RTX側にてDHCPサーバにしたのですが、
ネット接続ができません。
試しにスタティックルートを書いてみましたが通信ができませんでした。
このような構成ではデフォルトゲートウェイを必ずFortiGateに向ける必要があるのでしょうか?
PCからFortiGateまでの192.168.1.251にはPingが飛びます。
以下構成でネット接続はできる事は確認。
FortiGateへDHCPサーバーを設けて、RTXをDHCPリレーにしたところ、問題なくネット接続を
できる事を確認しました。
RTX1210 LAN1 IPアドレス 192.168.1.250 /24
FortiGate 60D Internal IPアドレス 192.168.1.251 /24
前提・実現したいこと② トランスペアレントモードにて構成
トランスペアレントモードにて現状の構成を崩さず以下を構成も考えておりますが、
トランスペアレントモードはL2レベルでのトラフィック制御ということになると思いますが、
RTX 配下へ設置する事になると思い、考えられるのは既存のネットワーク構成を変更することなく、挟むだけで導入可能にし
DMZのセグメントを分けたくない場合も有効になるメリット面はありますが、デメリットや出来なくなることはないのでしょうか?
RTX1210 LAN1 IPアドレス 192.168.1.250 /24
FortiGate 60D Internal IPアドレス 192.168.1.251 /24
###疑問点まとめ
1.RTXとFortigate(NATモード)を併用で使用する場合は、デフォルトゲートウェイを必ずFortiGateに向ける必要があるのでしょうか?
RTXにDHCPサーバをさせる事をさせる事はできないものなのでしょうか?
2.トランスペアレントモードにすると、NATモードに比べるとできなくなることやデメリット面はあるのでしょうか?
3.RTXのL2TP/IPsecVPNではなく、FortiVPN Clientを優先的に使用したいと思うと、NATモードでないと機能しないでしょうか?
当方、初歩的な事も書かれていると思いますが、特にVLANを切っている構成ではございません。
前提・実現したいこと① NATモードにて構成
前提・実現したいこと② トランスペアレントモードにて構成 にて同様にも扱えるようにご教授頂けますと幸いです。
よろしくお願いいたします。
回答3件
0
>>2.トランスペアレントモードにすると、NATモードに比べるとできなくなることやデメリット面はあるのでしょうか?
他の回答者さんが書いている様にデメリットも有りますが・・
あえてトランスペアレントモードを推奨します。
理由は、何か有った時の切り分けが楽だからです。
L3レベル以上のトラブルに関してはFortigateを
ただの箱と見做すことができます。
(もちろん物理やL2レベルの確認は一通り必要ですが)
しかし、RTX1210 FortiGate 60D・・・どっちも自宅に欲しいなー
投稿2020/09/28 13:46
総合スコア923
0
1.RTXとFortigate(NATモード)を併用で使用する場合は、デフォルトゲートウェイを必ずFortiGateに向ける必要があるのでしょうか?
デフォルトゲートウェイを必ずFortiGateに向ける必要はありません。
PCのデフォルトゲートウェイをRTXに向けたままの設定でもRTXのデフォルトルートがFortigateに向いていれば通信できると思います。
※PCのデフォルトゲートウェイがFortigateに向いている構成があくまで理想です。
RTXにDHCPサーバをさせる事はできないものなのでしょうか?
例えばRTXをDHCPサーバにしつつ、クライアントに払い出すデフォルトゲートウェイを192.168.1.251にする構成は可能かと思いますがどうでしょうか?
3.RTXのL2TP/IPsecVPNではなく、FortiVPN Clientを優先的に使用したいと思うと、NATモードでないと機能しないでしょうか?
FortiVPN Clientを使用する場合はNATモードでないとだめだと思います。
投稿2020/09/28 13:27
総合スコア11
0
1.RTXとFortigate(NATモード)を併用で使用する場合は、デフォルトゲートウェイを必ずFortiGateに向ける必要があるのでしょうか?
RTXにDHCPサーバをさせる事をさせる事はできないものなのでしょうか?
NATモードで使用するか否かではなく、このご質問内容においては「インターネットゲートウェイとして使用する場合」という表現が相応しいと考えます。
その場合、デフォルトゲートウェイはインターネットゲートウェイに設定するのが通常と考えます。
RTXにDHCPサーバをさせる場合はスコープ定義でデフォルトゲートウェイの設定を追加し、インターネットゲートウェイ(1の構成においてはFortigate LAN側IPが該当)にすべきと考えます。
2.トランスペアレントモードにすると、NATモードに比べるとできなくなることやデメリット面はあるのでしょうか?
導入するサイトに従ったデザインをするべく備えた機能なのでデメリット/メリットという表現になると回答は難しいです。もちろん出来ることは全然違うので、それを全て回答するのはまた難しいです。
L3処理かL2処理か、またそれに伴う付帯機能は使えなくなると考えるべきでしょう。
3.RTXのL2TP/IPsecVPNではなく、FortiVPN Clientを優先的に使用したいと思うと、NATモードでないと機能しないでしょうか?
私はNATでしか実績がないので調べてみたところ、トランスペアレントモードの場合、一部の機能(SSL-VPN等)が選択できないとありました。
https://licensecounter.jp/engineer-voice/blog/articles/20190625__vol5.html
投稿2020/05/07 03:18
総合スコア4313
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。