質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

89.07%

FortiGateとRTX環境のネットワーク配置について

受付中

回答 1

投稿

  • 評価
  • クリップ 0
  • VIEW 641

e_fe3ak21

score 9

初期ネットワーク構成

現在以下の構成になっていたRTXだけにFortiGateを導入しました。
![イメージ説明]

RTX1210 LAN1 IPアドレス 192.168.1.250 /24
にてインターネットをしておりました。

前提・実現したいこと① NATモードにて構成

この状態のネットワークに、Fortigate60Dを導入いたしました。
NATモードか、トランスペアレントモードのどちらで導入するか、どうするか悩んだ末にまずはNATモードにて構成をいたしました。

イメージ説明

RTX1210 LAN1 IPアドレス 192.168.1.250 /24
FortiGate 60D Internal IPアドレス 192.168.1.251 /24

ところが、FortiGate側のDHCPリレーにし、RTX側にてDHCPサーバにしたのですが、
ネット接続ができません。
試しにスタティックルートを書いてみましたが通信ができませんでした。
このような構成ではデフォルトゲートウェイを必ずFortiGateに向ける必要があるのでしょうか?
PCからFortiGateまでの192.168.1.251にはPingが飛びます。

以下構成でネット接続はできる事は確認。

FortiGateへDHCPサーバーを設けて、RTXをDHCPリレーにしたところ、問題なくネット接続を
できる事を確認しました。

イメージ説明

RTX1210 LAN1 IPアドレス 192.168.1.250 /24
FortiGate 60D Internal IPアドレス 192.168.1.251 /24

前提・実現したいこと② トランスペアレントモードにて構成

トランスペアレントモードにて現状の構成を崩さず以下を構成も考えておりますが、
トランスペアレントモードはL2レベルでのトラフィック制御ということになると思いますが、
RTX 配下へ設置する事になると思い、考えられるのは既存のネットワーク構成を変更することなく、挟むだけで導入可能にし
DMZのセグメントを分けたくない場合も有効になるメリット面はありますが、デメリットや出来なくなることはないのでしょうか?

イメージ説明

RTX1210 LAN1 IPアドレス 192.168.1.250 /24
FortiGate 60D Internal IPアドレス 192.168.1.251 /24

疑問点まとめ

1.RTXとFortigate(NATモード)を併用で使用する場合は、デフォルトゲートウェイを必ずFortiGateに向ける必要があるのでしょうか?
RTXにDHCPサーバをさせる事をさせる事はできないものなのでしょうか?

2.トランスペアレントモードにすると、NATモードに比べるとできなくなることやデメリット面はあるのでしょうか?

3.RTXのL2TP/IPsecVPNではなく、FortiVPN Clientを優先的に使用したいと思うと、NATモードでないと機能しないでしょうか?

当方、初歩的な事も書かれていると思いますが、特にVLANを切っている構成ではございません。
前提・実現したいこと① NATモードにて構成
前提・実現したいこと② トランスペアレントモードにて構成 にて同様にも扱えるようにご教授頂けますと幸いです。

よろしくお願いいたします。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 1

0

1.RTXとFortigate(NATモード)を併用で使用する場合は、デフォルトゲートウェイを必ずFortiGateに向ける必要があるのでしょうか?
RTXにDHCPサーバをさせる事をさせる事はできないものなのでしょうか?

NATモードで使用するか否かではなく、このご質問内容においては「インターネットゲートウェイとして使用する場合」という表現が相応しいと考えます。
その場合、デフォルトゲートウェイはインターネットゲートウェイに設定するのが通常と考えます。
RTXにDHCPサーバをさせる場合はスコープ定義でデフォルトゲートウェイの設定を追加し、インターネットゲートウェイ(1の構成においてはFortigate LAN側IPが該当)にすべきと考えます。

2.トランスペアレントモードにすると、NATモードに比べるとできなくなることやデメリット面はあるのでしょうか?

導入するサイトに従ったデザインをするべく備えた機能なのでデメリット/メリットという表現になると回答は難しいです。もちろん出来ることは全然違うので、それを全て回答するのはまた難しいです。
L3処理かL2処理か、またそれに伴う付帯機能は使えなくなると考えるべきでしょう。

3.RTXのL2TP/IPsecVPNではなく、FortiVPN Clientを優先的に使用したいと思うと、NATモードでないと機能しないでしょうか?

私はNATでしか実績がないので調べてみたところ、トランスペアレントモードの場合、一部の機能(SSL-VPN等)が選択できないとありました。
https://licensecounter.jp/engineer-voice/blog/articles/20190625__vol5.html

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2020/05/07 12:22

    DHCPリレーの機能を勘違いされているように見受けられたので補足で。
    DHCPリクエストはブロードキャスト通信のため、DHCPサーバとは別のセグメントに存在する端末からのリクエストを受け取ることができません。
    それの対応として、DHCPリクエストを転送する機能がDHCPリレーとなります。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 89.07%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る