FortiGate FortiOS4.0 MR1 ip unnumberd設定
最近はtwitterのまとめ記事しかない感じですねぇ。
ひさーしぶりにテクニカルな記事でいってみよう。
FortiGate310B FortiOS4.0MR1のipunnumberd設定
FortiGate 310BでWAN側ポートにUnnumbered IPで明示的にIPアドレス設定した。
ちょっとはまったもんで記録。
※参考にさせていただきました↓
http://blog.goo.ne.jp/riju704/e/12bef4c1452285f8fa9f2f7bc88a69aa
※CLIリファレンス
http://docs.fortinet.com/fgt/techdocs/fortigate-cli.pdf
- DMZポートをグローバルアドレスで設定する。
複数インタフェースに重複したIPセグメントの設定を許可する設定。
参考サイトでは
config sys global
set allow-interface-subnet-overlap enable
で設定されていたが、このコマンドは 3.0MR7で削除されてしまっているらしい。(CLIリファレンス更新履歴より)
4.0MR1ではこれ。
config system settings
set allow-subnet-overlap enable
end
リファレンスより
Variable | Description | Default |
---|---|---|
allow-subnet-overlap {enable disable} | Enable limited support for interface and VLAN subinterface IP address overlap for this VDOM. Use this command to enable limited support for overlapping IP addresses in an existing network configuration. Caution: for advanced users only. Use this only for existing network configurations that cannot be changed to eliminate IP address overlapping. |
disable |
つまりは上級者向け設定で、必要以外はなるべく使うなってこと?かな。まぁすみませんが使わせてもらいます。
- PPPoEで外向けIPアドレスを明示的に設定して使う
OCNのIP8タイプは、そのままPPPoEして接続すると本来使ってはならんだろう8個IPアドレスの先頭、つまりネットワークドレスが付与される。
FortiGateでIP Unnumberedを有効にして、外向きのIPアドレスを明示指定する設定。
参考サイトでは以下のとおり。
config system interface
edit wan1
set pppoe-unnumbered-negotiate disable
next
end
これもちょっと変わってしまっていた感。
まず先にWAN側のPPPoEを喋るインターフェースにipunnumberedを設定する。
config system interface
edit port1
set ipunnumbered
end
これ自体はGUIでもCLIでも。そしてこれがきちんと効くように設定する。
config system interface
edit port1
set pppoe-unnumbered-negotiate disable
end
この設定をするには、インタフェースがpppoeでかつipunnumberedに値が入っている必要がある。
なので逆順では設定できなかった。
リファレンスより
Variable | Description | Default |
---|---|---|
pppoe-unnumberednegotiate {disable enable} | Disable to resolve problems when mode is set to PPPoE, and ipunnumbered is set. The default configuration may not work in some regions, such as Japan. This is only available when mode is pppoe and ipunnumbered is set. |
enable |
この後にpppoeを再接続して、外向きIPアドレスが変わったことを確認した。
GUIでIPアドレス指定してもそのままじゃ動かないシステムってねぇ。
そんなとこかな。
これを参考にするような稀有な人はいるんだろうか。