質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.48%

  • SSH

    572questions

    SSH(Secure Shell)は、セキュアチャネルを通してデータを交換するためのネットワークプロトコルです。リモートサーバーへのコマンド実行やファイル転送を行う時に一般的に使用されます。

  • VMware

    231questions

    VMwareとは、 ハードウェアで動作するOS上で仮想マシンを作成、実行するソフトウェアです。 Windows上でUNIX系OSを動作させたり、他のOS上で別の仮想OSを動作することが可能です。

vSphere6×Fortigate リモートデスクトップアクセス

受付中

回答 2

投稿 編集

  • 評価
  • クリップ 0
  • VIEW 1,087

VMwareの vSphere6 essentials Plus(2CPU)を使って仮想環境を構築中なのですが、SSHを有効にしてもつくったVMにリモートデスクトップアクセスやSSHアクセスを行うことができません。
ファイアウォールにはFotiWiFi 60Dを用いています。
SSHのほかに何か考えられる原因はあるでしょうか。
色々調べてはみていますが、何も原因が思いつかず、、、
よろしくお願い致します。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 2

0

vSphere側の Firewall構成を確認し、ssh通過可能設定を VM(仮想マシン)、および VM内 OS構成で port 22通過にしないと、通常通信できません。
さらに通過対象 IP rangeも FortiGate側できちんと確認しておかないとならないです。

ちなみに vSphere 6からは SSLv3が Default使用不可になっている(代わりに TLSは有効)ので、仮想マシン側の Firewall(ESXi Serverのセキュリティプロファイル)とOS側 Firewallの双方は必ず確認しましょう。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/10/06 23:16

    横から失礼します。
    興味があったので教えてください。
    ESXiのfirewallにおけるssh透過設定は初耳です。
    どこで設定できるのでしょうか?

    なお、セキュリティプロファイルは仮想ホストに対しての通信制御であり、仮想ゲストにかかわる通信を制御するものではないと思っています。

    キャンセル

  • 2016/10/08 13:51 編集

    普通に CLI内コマンドがありますけど、ご存知ないですか?
    >esxcli network firewall...コマンド。
    これは VM側以外にも ESXiを含めた制御に依存するコマンドです。

    それに、ファイアウォール構成は vSphere Client等からアクセスして設定する場合には「セキュリティプロファイル」メニュー内に存在するので、いずれにせよそこを見ないと現状の ESXi ポート設定およびサービス稼動状況も確認出来ません。

    仮想マシン側のポート通過設定に関してはセキュリティプロファイル内のファイアウォール構成に依存せず強制通過設定が可能な事もご存知かと思います(Promiscus Modeを使用すれば完全通過になるため)。

    少なからず vSphere6以降は前述したお話も関連しますので「vSphereネットワーク」や vSphere 6ドキュメントセンターを確認してみてください。
    ※当方 vSphere 6 U1aまでの構築で実際の動作確認を行っています。
     今のところ Update 2でも仕様に変更が無い事も確認しています。

    キャンセル

  • 2016/10/08 16:55

    頂いたご回答が期待したものでなかったので、お手数ですが再度確認させてください。

    > vSphere側の Firewall構成を確認し、ssh通過可能設定を VM(仮想マシン)、および VM内 OS構成で port 22通過にしないと、通常通信できません。

    上記ですが、vSphere側のFirewallにおいて、ssh通過設定を仮想ゲストにすると読み解けるのですが違う意図でしょうか?

    少なくとも今まで構築した中で、このような設定をせずとも、仮想ゲストへの疎通を阻害されるものはありませんでした。(OSのパケットフィルタ機能とは別として)

    キャンセル

  • 2016/10/08 19:22 編集

    「および」と書いているように、システム側である ESXiと VM側双方で設定の確認、また通過設定後の動作確認をするという意味ですが、いかがでしょうか?。
    本筋から離れているので、ドキュメント類を参照するなどして確認いただいてもよろしいでしょうか?。

    それと
     > 少なくとも今まで構築した中で、このような設定をせずとも、
     > 仮想ゲストへの疎通を阻害されるものはありませんでした。
     > (OSのパケットフィルタ機能とは別として)
    に付いてですが、Pronmiscus Mode実行時は基本的にそのまま通過しますが、vSS側など、各所に通信阻害の要件も考えられますので初めに付けた commentはそれらを切り分けるための取っ掛かりです。

    そもそも VM内 OS側での通過設定もできているか否か現状では不明ですので、それであればきちんと ESXi Serverと ssh通信できる事(但し事前に DCUIで ssh& ESXi shell有効化の設定は必要ですが)の要件として Firewall&Serviceの構成状況を確認すれば「質問者の疑問が『vSphere特有の現象ではない』という事に気が付く」と導けますがいかがでしょうか。

    コンサルティングサービスではないので、本件はこれで comment endとします。申し訳ありません。

    キャンセル

  • 2016/10/09 03:01

    私もこれで終わりにしますが、

    > vSphere側の Firewall構成を確認し、ssh通過可能設定を VM(仮想マシン)、および VM内 OS構成で port 22通過にしないと、通常通信できません。

    上記は「ssh通過可能設定を VM(仮想マシン)」と「VM内 OS構成で port 22通過」に設定しないと「通常通信できない」と読み解けます。
    一貫して問い合わせしているのは、仮想ゲストの通信において、仮想ホストのFirewallが関与するのか?ということです。

    仮想ホスト、仮想ゲストは物理NICに以下にある仮想スイッチから、それぞれパケットを受け取る仕組みになっているので仮想ホストのFirewallが仮想ゲストの通信を阻害することはないと認識しています。


    > Pronmiscus Mode実行時は基本的にそのまま通過しますが

    Promiscus Modeは 自分あてのパケット以外を認知する場合に使用する設定です。
    自分あてのパケットは本設定に関わらず受け取ることが可能です。

    キャンセル

  • 2016/10/09 07:09

    大変失礼ですが、ここは「揚げ足取り」をする場ではないと思いますので、「一貫して」云々と言われても当方が当惑します。

    あくまでも本来の質問者が「気が付いていないところに対しての気づきを与えるための各種 comment」として書いていたのですが、貴殿の書き方では当方に対しての揚げ足取りの様に見えます。
    ESXiの場合、自分自身の内部サービス、Firewall設定に誤りがあれば VM側でも何らかの通信阻害要因が発生する可能性がありますし、vSS含めて仮想SWは L2 Tagged VLANの機能を持っていることはお分かりかと思いますので、誤ってここを設定してしまったなど、元質問の内容だけでは想像できないところもあります。

    ESXi側で SSH有効化がされていれば次は ESXiへ SSH login(チャレンジレスポンス認証必須になりますが)を外部から行い、これで引っかかるのであれば FortiGate(FortiWiFiと言っても要は FortiGateですので)側の設定になるのはお分かりかと思います。

    要は「VMwareだから or 仮想環境だから」という先入観が質問者にあると読み解けたため、まずはそこを潰し、その上で「仮想環境が介在しなくても事象が発生するなら、他の箇所を探る」という気付きを与えれば、vSphere環境に VMを作成できる Skillがある以上、質問者の能力で調査は可能だと考えていました。

    また現状「VM内にどの OSを入れているのか?」も判らない状態で「Linux」と環境を決めつけてしまうのも commenterとしては憚られましたのでわざと外堀のインフラ部位から確認をするように書いていました。

    Promiscus Modeの件も何らかの理由で構成を間違えていれば受信できない Packetがあれば一時的に有効化することで受信できるようになりますし、これを有効化しないとならないのであれば仮想 NW構成側に問題がある事も判りますから、総合的に見て「仮想環境だから」という先入観払拭の必要が必要と考えて commentしていました。
    ですので貴殿の commentは非常に残念です。

    キャンセル

0

環境依存の構成においては、他の回答者様が想像できる構成を提示したほうが、よりよい回答を得やすいと思います。

本質問ではFotiWiFiというセキュリティアプライアンスが含まれているため、これを経由しての接続か否かで回答が大幅に変わってきます。

詰まった場合は最低レイヤから確認するのが良いかと思います。

1) 同一セグメントに存在するノードからTCP/IPの通信ができる状態か?
pingで応答があるか確認しましょう。
pingの応答がない場合・・・
・仮想ゲストOSのIPの設定が間違っている。
・ESXi上における仮想ゲストのネットワークアダプタの設定が間違っている。

2) 1)で応答がある場合・・・
Linux ssh においては、デフォルトではfirewalld、iptables共に許可となっています。
1)で期待した結果が得られれば接続できるはずです。
Windows リモートデスクトップについては、デフォルトでは機能/Firewall共に無効になっています。
機能は、システムプロパティからリモートデスクトップ接続を有効に、firewallはコントロールパネルのWindows ファイアウォールから、ファイアウォールの機能を無効にするか3389/TCPを許可する設定をします。

上記をクリアできて、かつ、セキュリティアプライアンス経由接続で失敗した場合、初めてセキュリティアプライアンス経由に疑いの目を向けることができます。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/10/06 23:46

    結構前の質問ですね。
    回答する前に確認すべきだった・・・

    キャンセル

関連した質問

  • 受付中

    macTerminalのリモートログインについて

    今、僕は会社のパソコンで作業しているのですが、家に置いてあるパソコンにターミナルからssh xxx@(ip)でリモートログインしたのですが、openコマンドを実行しても会社のパソコ

  • 解決済

    リモートでチーム開発する際のredmineとgitについて

    リモートの開発体制で、redmineとgitを導入しようと思うのですが、さくらVPSのユーザーの作成について質問があります。 ※サーバーはさくらVPSを使用します。 redmi

  • 受付中

    Virtual Boxの仮想マシンでESXiを立てたがpingが通らない

    仮想化ソフトウェアについて素人レベルの知識かと思います。 一年目の常駐SEをやっておりましてLAMP環境の構築は問題なくできるレベルくらいです。 ESXiで仮想マシンを動か

  • 解決済

    git bash シェルスクリプト

    git bashでlinuxサーバーにsshで接続させたのちにリモート側にあるシェルスクリプトを実行させるシェルを作成中なのですがうまくいかないので助けていただけると嬉しいです。

  • 受付中

    SSHでPermission deniedと表示された

    SSH通信によるインスタンスへのログイン設定をしたのですが、sshでPermission denied と出てしまい、ログインすることができません。参考サイトはhttp://qii

  • 解決済

    bitbucketへの接続方法は?

    前提・実現したいこと bitbucketへSSH接続したいです。 ruby on rails チュートリアル(https://railstutorial.jp/)をやっているの

  • 解決済

    リモート環境にあるファイルを効率よく編集するには?

    テキストエディタのAtomを使っていてVagranで立ち上げたCentOS上にあるファイルを効率よく編集したいです。 リモート上にあるファイルをAtomで編集するためのプラグイ

  • 解決済

    sshに接続できない

    ssh root@IPアドレス を入力すると port 22: Connection refused のエラーです。 windowsの方で、tera termというアプリケー

同じタグがついた質問を見る

  • SSH

    572questions

    SSH(Secure Shell)は、セキュアチャネルを通してデータを交換するためのネットワークプロトコルです。リモートサーバーへのコマンド実行やファイル転送を行う時に一般的に使用されます。

  • VMware

    231questions

    VMwareとは、 ハードウェアで動作するOS上で仮想マシンを作成、実行するソフトウェアです。 Windows上でUNIX系OSを動作させたり、他のOS上で別の仮想OSを動作することが可能です。