自宅で色々と検証をしたいなと考えて、自宅にFortigateのVMを立てようと思っていました。

TLに流れてきた情報から、7.2.1以降でライセンスが期限付きから無期限に変更となっているのを知りました。

※7.2.0系までは、15日でライセンスの有効期限が切れます。

それなら7.2.x系の最新版、7.2.4を試そうと思い軽い気持ちで取り掛かったものの全くうまくいかず。

いくつかのサイトを見てもすごく簡単に手順がかかれていました。

• Fortigate VMトライアルライセンス永続化 - Qiita
• 【自己学習用】FortiGate の実機を無料で使用する方法【VM 版】 | matsublog

うまくいかないのは自分の環境が悪いのかと思ってましたが、やっと問題点が解消できました。

共有の意味も込めて、ブログに書いておきます。

ポイント

• FortiCloudのVM Imageダウンロード用のサイトの作りが分かりにくいので注意すること。

  • Downloadすべきは「FortiGate」のイメージ
    • ページの作り上、「FortiFirewall」が上に並んでいるが、それは別モデルなのでレジストできない
    • ヒントをくれたのは、このQA

• Trial版の制限で以下の点があるが、レジスト前は考慮する必要なし。レジスト後に勝手に変更される。

  • CPU：1つまで
  • Memory：2GBまで
  • インターフェース：3つまで
  • ポリシー：3つまで
  • 同時に評価できるライセンス数：1つまで

手順の流れ

全体の手順の流れの概要を記載します。なお、私の環境はvsphere環境なので、それ前提で記載します。

• (1)FortiCloudでアカウント作成・レジストを行う
• (2)FortiCloud上からVM版のダウンロードを行う
• (3)自身の持つ仮想基盤環境へそれをインポートする
• (4)一度自動で再起動が走る
• (5)パスワード変更とTrial版でのレジスト
  • (5-1)CLIで操作する場合
    • コンソールでログインしパスワードを変更する。
    • コンソール上でレジストに必要な情報を定義し、レジスト用のコマンドを入力する。
    • 自動的に再起動が始まり、再起動後には制限のかかった環境で起動する。
  • (5-2)WebUIで操作する場合
    • 自身のport1に付与されたIPアドレスを確認する
      • DHCP環境がある場合はとても楽ですが、固定IPのみの環境でも一部手動設定すれば利用可能になります。
    • WebUIでログインするとパスワード設定を求められるため、パスワードを入力する。
    • ログインすると直後にレジストを求める画面が表示されるため、Trial版のライセンスに変更し(1)で作成したアカウントを入力する
    • 自動的に再起動が始まり、再起動後には制限のかかった環境で起動する。

(1)FortiCloudでアカウント作成・レジストを行う

こちらの記事を参考に、レジストまで行ってください。

https://qiita.com/nw-engineer/items/82519ed8516aabc51893

なお、上記URL内に「2.VMのダウンロード」があり、手順自体は同じなのですが、注意点もあるので別枠で記載します。

レジスト用のメールアドレスをgmail.comにした場合、ベリファイ用のメールが迷惑メールフォルダに届くことがあります。メールが届いていない、という場合には迷惑メール扱いされていないかどうか、確認してみてください。

(2)FortiCloud上からVM版のダウンロードを行う

ここが最大のハマりどころでした。

前述したように、私の環境はvsphere環境です。そのため、「Select Platform」で「VMWare ESXi」を選択しました。

それを選択すると下記のような画面が表示されます。ここで「New deployment of Fortigate for VMware」とついたファイルをDownloadします。

私は、上側にある「New deployment of FortiFirewall for VMware」をDownloadした結果、レジストできないできないとずっと堂々巡りしていました。

正しいモデルの場合、こうなります。

FGVMEVDExxxxxxxxxx # get system status
Version: FortiGate-VM64 v7.2.4,build1396,230131 (GA.F)

参考までに、こちらが間違いのほう、FortiFirewallのバージョン情報です。

FortiFirewall-VM64 # get system status
Version: FortiFirewall-VM64 v7.2.4,build1396,230131 (GA.F)

無事ダウンロードできたら、ZIPファイルを展開しておいてください。

(3)自身の持つ仮想基盤環境へそれをインポートする

こちらは、各々の持つ仮想基盤環境固有の手順でデプロイを行います。

vsphereではOVAテンプレートのインポートでデプロイが可能です。

この際、インポートの際にファイルを3つ選択する、という点だけが注意点かなと思います。

• 【選択するファイル】
  • fortios.vmdk
  • FortiGate-VM64.ovf
  • datadrive.vmdk

(4)一度自動で再起動が走る

デプロイが終わると、ディスクの初期化のために一度勝手に再起動が走ります。

再起動が終わると自動で起動してきますので、しばらく待ちます。

(5)パスワード変更とTrial版でのレジスト

この後、パスワード変更とTrial版でのレジストを行い、再起動するとTrialライセンスでのFortigate VMが利用できるようになります。

なお、初期のパスワードは以下の通りです。

• ユーザ名：admin
• パスワード：なし（これでログイン後に強制的にパスワード変更を求められる）

(5-1)CLIで操作する場合

コンソールでログインしパスワードを変更する。

Webコンソールなどを利用して、FortiVMにコンソールログインします。

上記のアカウントでログインするとパスワード変更を求められますので、任意のパスワードに変更します。

コンソール上でレジストに必要な情報を定義し、レジスト用のコマンドを入力する。

以下のコマンドを入力し、コンソール経由でレジストに必要な情報を入力します。

# (1)でレジストしたアカウント情報を設定
execute vm-license-options account-id <(1)でアカウント登録したメールアドレス>
execute vm-license-options account-password <(1)で登録したパスワード>

# 設定内容の確認
execute vm-license-options show

# レジスト
execute vm-license

自動的に再起動が始まり、再起動後には制限のかかった環境で起動する。

レジストが完了すると自動的に再起動が走ります。再起動後は制限がかかった環境で起動してきます。

(5-2)WebUIで操作する場合

自身のport1に付与されたIPアドレスを確認する

インターネット用のルータなどでFortiVMに付与されたIPアドレスを確認します。

WebUIでログインするとパスワード設定を求められるため、パスワードを入力する。

上記で確認できたIPアドレスに対し、httpsでアクセスをします。

ログイン画面が表示されますので、上述した初期ログイン情報でログインするとパスワードを求められますので、任意のパスワードに変更します。

ログインすると直後にレジストを求める画面が表示されるため、Trial版のライセンスに変更し(1)で作成したアカウントを入力する

ログイン直後に以下のような画面が表示されます。 ライセンスの種別を「Evaluation License」に切り替え、画面下方にある入力箇所に(1)でレジストしたアカウントのID(メールアドレス)、パスワードを入力後、「OK」をクリックします。

自動的に再起動が始まり、再起動後には制限のかかった環境で起動する。

この後、ライセンス認証成功のダイアログが画面右下に表示され、自動的に再起動されます。

再起動後は制限がかかった環境で起動してきます。

【補足】DHCP環境がない場合の手順

Webコンソールなどを経由して、以下のコマンドを入力し、固定IPとデフォルトゲートウェイを設定してください。

# Port1に固定IPアドレスを登録

config system interface

edit port1
set mode static
set ip <ipaddress> <netmask>
end

# デフォルトルートの追加
config router static

edit 1
set dst 0.0.0.0/0
set gateway <ご自宅のインターネット用ゲートウェイアドレス>
set device port1
end

exit

ここまでで作業は完了です。

お疲れさまでした。ここまでで作業は完了です。

後はCLIなりWebUIなり、お好きな方法でアクセスして検証してみてください。

この内容が、どなたかの参考になれば幸いです。

超えてしまえばなんてことはないダウンロードイメージの誤りでしたが、やはり人間、知っているものほどしっかり対象確認しないものですね… 油断大敵だなと思いました。

きっかけと奮闘記

■事の発端。 3月くらいから試してはいたんですが、らちがあかんくなって物理Fortiをヤフオクで落としたツイートからが始まりでした。

my new gear...
VMがうまく動かんので実機を手配。 pic.twitter.com/xNGNGYz696

— tatematsu_san (@tk4_jj) 2023年3月31日

■コメントいただいて、実際に動いたーとご報告をいただいたtanabotaさん！大感謝です！

v7.2あたりからFortiVMのトライアルライセンスの仕様が変わったから説
インタフェース、経路、ポリシーがそれぞれ３個ずつしか設定できないやつ… https://t.co/VmKuF8N5Lv

— tanabota🍏 (@2252tanabota) 2023年4月1日

■いろいろなご意見いただいた、ゆるふわかめかめはさん。感謝感謝です。

なるほど。
7.0系までしか試してなかったので、15日リミットはその通り認識会います。
7.2そんなんなってるんだ🤔

一応コンフィグさえ持ってきておけば
15日制限でも工場出荷時に戻してリストアかければ元通りで問題なく検証可能ですね。
50Eはたしか7.2入らないはず。

— ゆるふわかめかめは🐢🐢🌊 (@huanteina_god) 2023年4月1日

■最後の一歩

うーん、まじでFortiの7.2.4のVMのレジスト、まったく成功する気配がしない…
Invalid modelってエラーが出るのと、外部には通信できてることを考えると7.2.4のTrialに対応できてないんじゃないの？と思ってしまう…

— tatematsu_san (@tk4_jj) 2023年4月8日