【FortiGateへファームウェアを流し込む】物理から論理まで～

早いもので、今年も8月を迎えました。いやぁ～暑いですね💦
いつも、寝起き時に鼻をかむのですが、
「ギガビットイーサネット0/8からかもうか、ギガビットイーサネット0/4からかもうか」
と左右の鼻の穴をイーサネットだと勘違いしている自分に、脳みそが覚醒してから気づき戦々恐々とした私です…
これからは就寝時にも適度にエアコンや扇風機を使っていこうと決めました。脳が熱暴走してからでは遅いですにゃ～…

さて、前置きが長くなりましたが、今回はFortigate60Dのファームウェアインストールについて筆を取りますねこ～。

v目次にゃv

1.Fortigateとは
2.ファームウェアについて
3.私の環境と注意点
4.ファームウェアを本体に落とし込む
5.物理編（仮説→結果）
6.論理編

Fortigateとは

ざっくり説明するとFortinet社が開発したUTM ぎょぴ！

どんな機能を搭載しているのかは下記の通りきんぎょ。※要約
・ファイアウォール
・アンチウイルス
・Webコンテンツフィルタリング
・IPS
・IPSec-VPN
・SSl-VPN

ネットワークをよりセキュアにできる機器！って感じぎょぴぼ～。

ファームウェアについて

ファームウェアとは機器を動かすためのソフトウェアのことぎょぴ。
FortiGateでは本体とは別でライセンスを購入する必要があるきんぎょ～。
大抵の場合、基本保守ライセンスを筆頭にして、追加ライセンスを購入することで、
追加の機能を使用できるようになるねこ。
もしくは、バンドル版といって、基本ライセンスと追加ライセンスが一緒になったライセンスを購入するねこ。

ちなみに60Dのバンドル版だと71,500円です。（た、たけぇ～😱）
さすがに、趣味レベルでは手が出しがたい金額ですにゃ…

私の環境と注意点

今回はFortiGate60Dを中古で購入しました。ファームウェアは無しです。
ライセンスは非常に高いので、中古で入手する際は必ずファームウェア付きのものを選びましょう。
また、FortiGateを初期化する際に、erase-diskをしてしまうとファームウェアも消えちゃうので、ファームウェアを持っていない方は注意が必要ですにゃ～。
※初期化方法は4つくらいあります。状況に合った方法を選ぶことをお勧めします。

ファームウェアを本体に落とし込む

ここからが本題です。今回はファームウェアなしのため、PCにあるファームウェアをFortiGate本体に落とし込む必要がありますきつね。
Cisco機器のIOSのアップデートでもそうですが、ファームウェアはTFTPサーバ経由で流し込みますきんぎょ。
その際の流れをここに記しますねこー。

物理編（仮説→結果）

まずはLANケーブルで物理機器をつなぐ必要がありますねこ～。
まずは、こんな感じかなと仮説１を

インターネットへの接続をWi-Fiルータ経由でFortiGate WAN2へ。
TFTPサーバとFortiGate internal1をWi-FiルータLAN経由で接続。

と仮説と立てましたが、なんやかんやあって、インターネット接続無し版を↓

私の頭の中では、
FortiGateはTFTPサーバをお外へ探しにいくため、TFTPサーバ⇔Wi-FiルータW1
での接続をとりました。

で、で、
なんやかんやあって（笑）最終的に実行したのが以下です↓

Wi-FiルータのLANをハブとして使ってる感じですね～。
これでうまくいってますきんぎょ！！！

論理編

さて、ここからは論理編ですきんぎょ。
まずは、TFTPサーバを作ります。

PCのイーサネットの設定

ipアドレスを手動で振ってあげます。
今回は192.168.1.16とします。（実際はお手持ちの環境に合わせてください。）
FortiGateとは同一セグメントで通信を行う想定ですので、今回はデフォルトゲートウェイは設定しません。
※今回、一応、PC側のファイアウォールは切ってあります。

TFTPサーバ設定

今回は、WinAgents TFTP Serverを使用します。

TFTPサーバで指定するフォルダにFortiGate本体に流したいファームウェアを入れておきましょう。
画像のFGT_60D-v6-build03...のところですにゃ。
その他、設定する項目は特別なしです。
※デフォルトで全てのインターフェースからの通信を許可していますが、気になる人は設定から許可するインターフェース（IP）を指定することも可

FortiGateでの進め方（CLI）

前提として、PCとFortiGateはコンソールケーブルで繋ぎ、TeraTermを起動。
その他、物理編での画像3枚目の構成をとります。

①FortiGateの電源を入れ、画像のように
Plese wait for OS to boot, or...
と出たら、メッセージに沿って何かキーを押します。
そうするとメニューが表示されます。

②次に、メニューに沿って、今回は「C」キーを押し、TFTP設定画面へ。

③さらに細かい設定を行っていきます。
（画像取り忘れのため、テキストにて失礼します。）

/*******************************/
[P]: Set firmware download port.
[D]: Set DHCP mode.
[I]: Set local IP address.
[S]: Set local subnet mask.
[G]: Set local gateway.
[V]: Set local VLAN ID.
[T]: Set remote TFTP server IP address.
[F]: Set firmware file name.
[E]: Reset TFTP parameters to factory defaults.
[R]: Review TFTP parameters.
[N]: Diagnose networking(ping).
[Q]: Quit this menu.
[H]: Display this list of options.

Enter P,D,I,S,G,V,T,F,E,R,N,Q,or H:
/*******************************/

こちらもメッセージに沿って設定していきます。
[P]を押し、TFTPサーバとのやり取りポートを指定します。今回の構成ではinternal1(1~7)です。

[D]を押し、DHCPモードを無効にします。（デフォルトで無効ですが）

[I]を押し、本体のIPを設定。今回は192.168.1.1ですが、お手持ちの機器環境で調整してください。

[S]では、サブネットを設定します。今回は/24です。

[G]では、デフォルトゲートウェイを設定します。今回、192.168.1.254で設定していますが、TFTPサーバは同一セグメントにあるので、いらないかも？？

[T]を押し、TFTPサーバのIPを設定します。今回は192.168.1.16です。ここもお手持ちの環境に合わせてください。※FortiGate本体IPと同一セグメントでの設定を推奨します。

[F]を押し、流し込むファイル名を打ち込みます。必ずTFTPサーバに置いてあるファームウェア名と同じにしましょう。

上記設定をしたら、「Q」キーを押し、設定を抜けます。（2回抜けます）
2度目で抜けるとTFTPサーバとの通信、OSの再読み込みが走りますきんぎょ～。

【参考画像】

ログイン画面が出ると成功ですにゃ～！

エンドタイトル

以上でFortiGateのファームウェアDLは終了ですにゃ～
物理接続が上手くいっていないとTFTPサーバとの通信が始まらなかったり、OSの読み込みで失敗したり意外と大変だったりぎょぴ…
うまくいかない時はFortiGateの電源を抜いて、RESETボタンを長押しする等、何度か試すとうまくいきますきんぎょ～。

今回はここまで🐾
自宅にて、汗をかきながら…。

次回も頑張るきんぎょー…