自宅で色々と検証をしたいなと考えて、自宅にFortigateのVMを立てようと思っていました。
TLに流れてきた情報から、7.2.1以降でライセンスが期限付きから無期限に変更となっているのを知りました。
※7.2.0系までは、15日でライセンスの有効期限が切れます。
それなら7.2.x系の最新版、7.2.4を試そうと思い軽い気持ちで取り掛かったものの全くうまくいかず。
いくつかのサイトを見てもすごく簡単に手順がかかれていました。
うまくいかないのは自分の環境が悪いのかと思ってましたが、やっと問題点が解消できました。
共有の意味も込めて、ブログに書いておきます。
ポイント
FortiCloudのVM Imageダウンロード用のサイトの作りが分かりにくいので注意すること。
- Downloadすべきは「FortiGate」のイメージ
- ページの作り上、「FortiFirewall」が上に並んでいるが、それは別モデルなのでレジストできない
- ヒントをくれたのは、このQA
- Downloadすべきは「FortiGate」のイメージ
Trial版の制限で以下の点があるが、レジスト前は考慮する必要なし。レジスト後に勝手に変更される。
- CPU:1つまで
- Memory:2GBまで
- インターフェース:3つまで
- ポリシー:3つまで
- 同時に評価できるライセンス数:1つまで
手順の流れ
全体の手順の流れの概要を記載します。なお、私の環境はvsphere環境なので、それ前提で記載します。
- (1)FortiCloudでアカウント作成・レジストを行う
- (2)FortiCloud上からVM版のダウンロードを行う
- (3)自身の持つ仮想基盤環境へそれをインポートする
- (4)一度自動で再起動が走る
- (5)パスワード変更とTrial版でのレジスト
- (5-1)CLIで操作する場合
- コンソールでログインしパスワードを変更する。
- コンソール上でレジストに必要な情報を定義し、レジスト用のコマンドを入力する。
- 自動的に再起動が始まり、再起動後には制限のかかった環境で起動する。
- (5-2)WebUIで操作する場合
- (5-1)CLIで操作する場合
(1)FortiCloudでアカウント作成・レジストを行う
こちらの記事を参考に、レジストまで行ってください。
https://qiita.com/nw-engineer/items/82519ed8516aabc51893
なお、上記URL内に「2.VMのダウンロード」があり、手順自体は同じなのですが、注意点もあるので別枠で記載します。
レジスト用のメールアドレスをgmail.comにした場合、ベリファイ用のメールが迷惑メールフォルダに届くことがあります。メールが届いていない、という場合には迷惑メール扱いされていないかどうか、確認してみてください。
(2)FortiCloud上からVM版のダウンロードを行う
ここが最大のハマりどころでした。
前述したように、私の環境はvsphere環境です。そのため、「Select Platform」で「VMWare ESXi」を選択しました。
それを選択すると下記のような画面が表示されます。ここで「New deployment of Fortigate for VMware」とついたファイルをDownloadします。
私は、上側にある「New deployment of FortiFirewall for VMware」をDownloadした結果、レジストできないできないとずっと堂々巡りしていました。
正しいモデルの場合、こうなります。
FGVMEVDExxxxxxxxxx # get system status Version: FortiGate-VM64 v7.2.4,build1396,230131 (GA.F)
参考までに、こちらが間違いのほう、FortiFirewallのバージョン情報です。
FortiFirewall-VM64 # get system status Version: FortiFirewall-VM64 v7.2.4,build1396,230131 (GA.F)
無事ダウンロードできたら、ZIPファイルを展開しておいてください。
(3)自身の持つ仮想基盤環境へそれをインポートする
こちらは、各々の持つ仮想基盤環境固有の手順でデプロイを行います。
vsphereではOVAテンプレートのインポートでデプロイが可能です。
この際、インポートの際にファイルを3つ選択する、という点だけが注意点かなと思います。
- 【選択するファイル】
- fortios.vmdk
- FortiGate-VM64.ovf
- datadrive.vmdk
(4)一度自動で再起動が走る
デプロイが終わると、ディスクの初期化のために一度勝手に再起動が走ります。
再起動が終わると自動で起動してきますので、しばらく待ちます。
(5)パスワード変更とTrial版でのレジスト
この後、パスワード変更とTrial版でのレジストを行い、再起動するとTrialライセンスでのFortigate VMが利用できるようになります。
なお、初期のパスワードは以下の通りです。
- ユーザ名:admin
- パスワード:なし(これでログイン後に強制的にパスワード変更を求められる)
(5-1)CLIで操作する場合
コンソールでログインしパスワードを変更する。
Webコンソールなどを利用して、FortiVMにコンソールログインします。
上記のアカウントでログインするとパスワード変更を求められますので、任意のパスワードに変更します。
コンソール上でレジストに必要な情報を定義し、レジスト用のコマンドを入力する。
以下のコマンドを入力し、コンソール経由でレジストに必要な情報を入力します。
# (1)でレジストしたアカウント情報を設定 execute vm-license-options account-id <(1)でアカウント登録したメールアドレス> execute vm-license-options account-password <(1)で登録したパスワード> # 設定内容の確認 execute vm-license-options show # レジスト execute vm-license
自動的に再起動が始まり、再起動後には制限のかかった環境で起動する。
レジストが完了すると自動的に再起動が走ります。再起動後は制限がかかった環境で起動してきます。
(5-2)WebUIで操作する場合
自身のport1に付与されたIPアドレスを確認する
インターネット用のルータなどでFortiVMに付与されたIPアドレスを確認します。
WebUIでログインするとパスワード設定を求められるため、パスワードを入力する。
上記で確認できたIPアドレスに対し、httpsでアクセスをします。
ログイン画面が表示されますので、上述した初期ログイン情報でログインするとパスワードを求められますので、任意のパスワードに変更します。
ログインすると直後にレジストを求める画面が表示されるため、Trial版のライセンスに変更し(1)で作成したアカウントを入力する
ログイン直後に以下のような画面が表示されます。 ライセンスの種別を「Evaluation License」に切り替え、画面下方にある入力箇所に(1)でレジストしたアカウントのID(メールアドレス)、パスワードを入力後、「OK」をクリックします。
自動的に再起動が始まり、再起動後には制限のかかった環境で起動する。
この後、ライセンス認証成功のダイアログが画面右下に表示され、自動的に再起動されます。
再起動後は制限がかかった環境で起動してきます。
【補足】DHCP環境がない場合の手順
Webコンソールなどを経由して、以下のコマンドを入力し、固定IPとデフォルトゲートウェイを設定してください。
# Port1に固定IPアドレスを登録 config system interface edit port1 set mode static set ip <ipaddress> <netmask> end # デフォルトルートの追加 config router static edit 1 set dst 0.0.0.0/0 set gateway <ご自宅のインターネット用ゲートウェイアドレス> set device port1 end exit
ここまでで作業は完了です。
お疲れさまでした。ここまでで作業は完了です。
後はCLIなりWebUIなり、お好きな方法でアクセスして検証してみてください。
この内容が、どなたかの参考になれば幸いです。
超えてしまえばなんてことはないダウンロードイメージの誤りでしたが、やはり人間、知っているものほどしっかり対象確認しないものですね… 油断大敵だなと思いました。
きっかけと奮闘記
■事の発端。 3月くらいから試してはいたんですが、らちがあかんくなって物理Fortiをヤフオクで落としたツイートからが始まりでした。
my new gear...
— tatematsu_san (@tk4_jj) 2023年3月31日
VMがうまく動かんので実機を手配。 pic.twitter.com/xNGNGYz696
■コメントいただいて、実際に動いたーとご報告をいただいたtanabotaさん!大感謝です!
v7.2あたりからFortiVMのトライアルライセンスの仕様が変わったから説
— tanabota🍏 (@2252tanabota) 2023年4月1日
インタフェース、経路、ポリシーがそれぞれ3個ずつしか設定できないやつ… https://t.co/VmKuF8N5Lv
■いろいろなご意見いただいた、ゆるふわかめかめはさん。感謝感謝です。
なるほど。
— ゆるふわかめかめは🐢🐢🌊 (@huanteina_god) 2023年4月1日
7.0系までしか試してなかったので、15日リミットはその通り認識会います。
7.2そんなんなってるんだ🤔
一応コンフィグさえ持ってきておけば
15日制限でも工場出荷時に戻してリストアかければ元通りで問題なく検証可能ですね。
50Eはたしか7.2入らないはず。
■最後の一歩
うーん、まじでFortiの7.2.4のVMのレジスト、まったく成功する気配がしない…
— tatematsu_san (@tk4_jj) 2023年4月8日
Invalid modelってエラーが出るのと、外部には通信できてることを考えると7.2.4のTrialに対応できてないんじゃないの?と思ってしまう…