技術
2026年03月06日
Fortigate - AWS でVPN設定をしていました。
サンプルコンフィグをダウンロードし、設定をいれ、問題なく接続できました。
AWS内にあるサーバーにもPINGが飛びました。
そんななか、 link-monitor の設定をし、ルーティングの監視をしていたのです。
これもサンプルコンフィグ内に設定例があったので、従いました。
Fortigateのトンネルインターフェースに、169.254.x.x のAWSから指定のあったIPアドレスを割り当て、対抗にpingをして監視するものです。
ですが、この監視用の ping が飛ばないのです。
原因としては、AWSでトンネル設定をするときに
フェーズ2セレクターで、ローカルアドレスとリモートアドレスの設定があるのですが、
ここに、AWS側と自身のローカル側のセグメントを設定していたためです。
ここに設定を入れると、そのセグメント以外のトラフィックがトンネルに流れることはなくなり、セキュア?ではありますが、PINGによるトンネルの監視ができなくなります。
ここの設定値を 0.0.0.0/0 に変更したところ、ping 応答が返ってくるようになり、link-monitor を利用することができるようになりました。
サンプルコンフィグをダウンロードし、設定をいれ、問題なく接続できました。
AWS内にあるサーバーにもPINGが飛びました。
そんななか、 link-monitor の設定をし、ルーティングの監視をしていたのです。
これもサンプルコンフィグ内に設定例があったので、従いました。
Fortigateのトンネルインターフェースに、169.254.x.x のAWSから指定のあったIPアドレスを割り当て、対抗にpingをして監視するものです。
ですが、この監視用の ping が飛ばないのです。
原因としては、AWSでトンネル設定をするときに
フェーズ2セレクターで、ローカルアドレスとリモートアドレスの設定があるのですが、
ここに、AWS側と自身のローカル側のセグメントを設定していたためです。
ここに設定を入れると、そのセグメント以外のトラフィックがトンネルに流れることはなくなり、セキュア?ではありますが、PINGによるトンネルの監視ができなくなります。
ここの設定値を 0.0.0.0/0 に変更したところ、ping 応答が返ってくるようになり、link-monitor を利用することができるようになりました。
stock_value at 11:31|この記事のURL│Comments(0)
2026年02月25日
とりあえずテスト
AWS側での設定
・カスタマーゲートウェイ作成
IP アドレス
※カスタマーゲートウェイデバイスの外部インターフェイスの IP アドレスを指定します。
NAT外側のグローバルIPを記載
※今回は動的IPは考慮していません。テストであれば、現在のグローバルIPアドレスを記載すればOKです。IP変わったら、再設定(=再作成)が必要です。
・仮想プライベートゲートウェイ作成
デフォルトでいいと思います。
作成後はVPCにアタッチします。
・Site-to-Site VPN 接続の作成
ターゲットゲートウェイのタイプ
→ 仮想プライベートゲートウェイ
上記で作成したものを選択
カスタマーゲートウェイ
既存で、上記で作成したものを選択
ルーティングオプション
動的・静的どちらでも。練習ならBGP?
ローカル IPv4 ネットワーク CIDR
デフォルトの通り 0.0.0.0/0
リモート IPv4 ネットワーク CIDR
デフォルトの通り 0.0.0.0/0
サンプルConfigをダウンロードします。
EC2の画面から、
セキュリティグループを選択
FortigateのローカルIPからの通信を許可します。
今回はpingのみ確認なので、
すべてのICMPをFortigateのローカルIPから許可しました。
----
Fortigate側設定
----
VPNトンネルの作成
リモートゲートウェイ
IPアドレスで、AWS側のグローバルIP
インターフェース: WAN
ローカルゲートウェイ
FortigateのWAN側のIP。NAT配下なのでローカルIPになります。
プライマリIPを選択すると自動で設定されます。
事前共有鍵
AWSから指定のあったもの
IKEバージョン2
Diffie-Hellmanグループ
AWSで指定のあったもの。今回は2
キーの有効期間
AWSで指定のあったもの。
フェーズ2セレクター
ローカルアドレスとリモートアドレスは
0.0.0.0/0
※Site-to-Site VPN 接続の作成時の「ローカル IPv4 ネットワーク CIDR」等と連動します。注意
暗号化 - 認証
AWSから指定のあったもの。今回はAWS128-SHA1
キーの有効期間
AWSから指定のあったもの。今回は3600秒
ネットワーク - BGPメニューから BGP情報を登録します。
ローカルAS
AWSから指定のあったもの。
ルーターID
FortigateのWAN側のIP。NAT配下なのでローカルIPになります。
ネイバーもAWSの指示通りに設定します。
ほかはデフォルトのまま
ファイアーウォールポリシーの設定
VPN → LOCAL への通信を許可
LOCAL → VPN への通信を許可
これでしばらくすると、VPNが接続されます。
相互にpingを売ってみると、無事に疎通しました。
※なおこの状態にするまで、トラブルもあったのでおおむね8時間かかりました。
大変だった。
AWS側での設定
・カスタマーゲートウェイ作成
IP アドレス
※カスタマーゲートウェイデバイスの外部インターフェイスの IP アドレスを指定します。
NAT外側のグローバルIPを記載
※今回は動的IPは考慮していません。テストであれば、現在のグローバルIPアドレスを記載すればOKです。IP変わったら、再設定(=再作成)が必要です。
・仮想プライベートゲートウェイ作成
デフォルトでいいと思います。
作成後はVPCにアタッチします。
・Site-to-Site VPN 接続の作成
ターゲットゲートウェイのタイプ
→ 仮想プライベートゲートウェイ
上記で作成したものを選択
カスタマーゲートウェイ
既存で、上記で作成したものを選択
ルーティングオプション
動的・静的どちらでも。練習ならBGP?
ローカル IPv4 ネットワーク CIDR
デフォルトの通り 0.0.0.0/0
リモート IPv4 ネットワーク CIDR
デフォルトの通り 0.0.0.0/0
サンプルConfigをダウンロードします。
EC2の画面から、
セキュリティグループを選択
FortigateのローカルIPからの通信を許可します。
今回はpingのみ確認なので、
すべてのICMPをFortigateのローカルIPから許可しました。
----
Fortigate側設定
----
VPNトンネルの作成
リモートゲートウェイ
IPアドレスで、AWS側のグローバルIP
インターフェース: WAN
ローカルゲートウェイ
FortigateのWAN側のIP。NAT配下なのでローカルIPになります。
プライマリIPを選択すると自動で設定されます。
事前共有鍵
AWSから指定のあったもの
IKEバージョン2
Diffie-Hellmanグループ
AWSで指定のあったもの。今回は2
キーの有効期間
AWSで指定のあったもの。
フェーズ2セレクター
ローカルアドレスとリモートアドレスは
0.0.0.0/0
※Site-to-Site VPN 接続の作成時の「ローカル IPv4 ネットワーク CIDR」等と連動します。注意
暗号化 - 認証
AWSから指定のあったもの。今回はAWS128-SHA1
キーの有効期間
AWSから指定のあったもの。今回は3600秒
ネットワーク - BGPメニューから BGP情報を登録します。
ローカルAS
AWSから指定のあったもの。
ルーターID
FortigateのWAN側のIP。NAT配下なのでローカルIPになります。
ネイバーもAWSの指示通りに設定します。
ほかはデフォルトのまま
ファイアーウォールポリシーの設定
VPN → LOCAL への通信を許可
LOCAL → VPN への通信を許可
これでしばらくすると、VPNが接続されます。
相互にpingを売ってみると、無事に疎通しました。
※なおこの状態にするまで、トラブルもあったのでおおむね8時間かかりました。
大変だった。
stock_value at 14:33|この記事のURL│Comments(0)
2026年02月20日
メモです。
Fortigateほんとにいい機器だと思うのですが、設定がなかなか大変ですね。ヤマハが簡単に思います。
FortigateにFortiswitchを接続し、スイッチ側はMC-LAGの設定をします。
*FortilinkのスプリットインターフェースはOFFにしておきます。
以下のように配線しました。
Fortigate(PortX) - FS1(Port1)
FS1(Port2) - FS2(Port2)
FortigateからFSを承認して設定変更可能にします。
「FortiSwitchポート」メニューから、LLDPプロファイル列を表示させます。
以下のポートのLLDP設定をそれぞれ default-auto-mclag-icl に変更します。
FS1(Port21/Port22) , FS2(Port21/Port22)
以下のポートをそれぞれLANケーブルで接続します
FS1(Port21/Port22) , FS2(Port21/Port22) スイッチ同士を接続しMC-LAG
Fortigate(PortX) - FS1(Port1)
Fortigate(PortX) - FS2(Port1)
これでしばらく待つとFortigateのGUIでMC-LAGが組まれていることが確認できます。
Fortigateほんとにいい機器だと思うのですが、設定がなかなか大変ですね。ヤマハが簡単に思います。
FortigateにFortiswitchを接続し、スイッチ側はMC-LAGの設定をします。
*FortilinkのスプリットインターフェースはOFFにしておきます。
以下のように配線しました。
Fortigate(PortX) - FS1(Port1)
FS1(Port2) - FS2(Port2)
FortigateからFSを承認して設定変更可能にします。
「FortiSwitchポート」メニューから、LLDPプロファイル列を表示させます。
以下のポートのLLDP設定をそれぞれ default-auto-mclag-icl に変更します。
FS1(Port21/Port22) , FS2(Port21/Port22)
以下のポートをそれぞれLANケーブルで接続します
FS1(Port21/Port22) , FS2(Port21/Port22) スイッチ同士を接続しMC-LAG
Fortigate(PortX) - FS1(Port1)
Fortigate(PortX) - FS2(Port1)
これでしばらく待つとFortigateのGUIでMC-LAGが組まれていることが確認できます。
stock_value at 11:32|この記事のURL│Comments(0)
2026年02月12日
メモと感想だけ。
いいルーターだと思いました。
・Web管理画面のレスポンスがすごく早い。
・再起動も早い。(昨今のルーターはLinuxが中で動いているのか、結構時間がかかります)
・ファイアウォールの設定はちょっと複雑そう
・IPv6は透過ならOK
・VPNサーバー機能はなし
あまり端末の無い、小規模なところに安定しているルーターが欲しかったので導入しました。
VPNができないのであれば、外部から管理画面が参照できればいいのですが。WAN側に設定画面を公開する方法もありますが・・。
NUROの "複数固定IP" が利用できない場合があるようです。固定IP1個であれば問題ありません。
そもそも固定IPが複数個ある場合は、Yamahaやほかのルーターの方がいいように思いました。
この機器だと、1つのIP以外は、NAT変換になってしまうようです。
設定変更のとき、一部の設定は連動して初期状態になるようです。例えばWAN側をDHCP環境から固定IPに設定変更すると、DHCPサーバー設定は初期状態になります。
ファイアウォールはわかりません。
NTPもWAN側設定変更で初期状態になりました。
トータルとしてとてもいい製品だと思いますが、一部の環境・利用状況によっては適合しない場合もあるかもしれません。
いいルーターだと思いました。
・Web管理画面のレスポンスがすごく早い。
・再起動も早い。(昨今のルーターはLinuxが中で動いているのか、結構時間がかかります)
・ファイアウォールの設定はちょっと複雑そう
・IPv6は透過ならOK
・VPNサーバー機能はなし
あまり端末の無い、小規模なところに安定しているルーターが欲しかったので導入しました。
VPNができないのであれば、外部から管理画面が参照できればいいのですが。WAN側に設定画面を公開する方法もありますが・・。
NUROの "複数固定IP" が利用できない場合があるようです。固定IP1個であれば問題ありません。
そもそも固定IPが複数個ある場合は、Yamahaやほかのルーターの方がいいように思いました。
この機器だと、1つのIP以外は、NAT変換になってしまうようです。
設定変更のとき、一部の設定は連動して初期状態になるようです。例えばWAN側をDHCP環境から固定IPに設定変更すると、DHCPサーバー設定は初期状態になります。
ファイアウォールはわかりません。
NTPもWAN側設定変更で初期状態になりました。
トータルとしてとてもいい製品だと思いますが、一部の環境・利用状況によっては適合しない場合もあるかもしれません。
stock_value at 14:43|この記事のURL│Comments(0)
2026年02月07日
Fortigate + FortiAP の構成でテストをしていました。
Fortigateのテストが一通り完了し、FortiAPのテストをしようと接続したのです。
接続してしばらくしても、まったくFortigateの管理画面に出てきません。
FortiSwitchを設定していたときは、しばらく待てばFortigateの管理画面に出てきたのに・・。
機器の電源も入っているようなので、行方不明になっているようにさえ見ました。
結論としては、当該のインターフェースで、「セキュリティファブリック接続」を有効にする必要がありました。
どうやら fortilink ではFortiAPは管理しないということなのかな??よくわかりません。
Fortigateのテストが一通り完了し、FortiAPのテストをしようと接続したのです。
接続してしばらくしても、まったくFortigateの管理画面に出てきません。
FortiSwitchを設定していたときは、しばらく待てばFortigateの管理画面に出てきたのに・・。
機器の電源も入っているようなので、行方不明になっているようにさえ見ました。
結論としては、当該のインターフェースで、「セキュリティファブリック接続」を有効にする必要がありました。
どうやら fortilink ではFortiAPは管理しないということなのかな??よくわかりません。
stock_value at 14:29|この記事のURL│Comments(0)
2026年02月02日
インストールはドキュメントの通りです。
Stalwart Installation Linux / MacOS
$ curl --proto '=https' --tlsv1.2 -sSf https://get.stalw.art/install.sh -o install.sh
$sudo sh install.sh
※パスを指定せずに実行すると /opt/stalwart/ にインストールされました。
※Linux最小構成のときには、追加のパッケージを先にインストールするように案内された記憶があります。
インストール完了画面にはWeb管理画面のパスワードが表示されるので、これをメモします。
ポートが開いており、外部からアクセスできる場合には、以下のURL/Portでアクセス可能です。
http://yourserver.org:8080/login
Setting のページから Server - Listeners にアクセスします。
ここでは Listen させるポートが列挙されています。
最初検証していたときは、証明書を利用しないポートではうまく動かなかったように思うのと、無料でSSL利用できるので、利用しない・できないポートは削除しました。※初期のテストだったので、たぶん暗号化なしのPOPもできると思います。
現在は http:8080,https,imaps:993,pop3s:995,smtp:25,submission:587,submissions:465 のみにしました。
587はSSL利用でもいいかも???
※ここでListenさせるポートが決まったら、Firewallなどはここで設定しておくのがいいと思います。
またコンソールからこの通りListenしていることもチェックしておきます。
同じ設定のところで、TLS - ACME providers の設定ができます。
ここで証明書の取得情報を指定すれば、そのまま letsencrypt を利用できます。
※ここで取得した証明書ですが、どこに保存されるのかわからなくて気持ち悪かったので、別途自身でCertbotを利用することにしました。
別途証明書を取得し、それを Stalwart で利用する場合は以下の通り設定します。
Certificate Id: <任意>
Certificate: %{file:/etc/letsencrypt/live/<取得したSSLパス>/fullchain.pem}%
Private Key: %{file:/etc/letsencrypt/live/<取得したSSLパス>/privkey.pem}%
※取得した証明書のパスをそのまま指定していますが、このままだとPermission error になりますので、適切に処理してください。
※Configの場合は以下の通り
vi /opt/stalwart/etc/config.toml
certificate.<任意>.cert = "%{file:/etc/letsencrypt/live/<取得したSSLパス>/fullchain.pem}%"
certificate.<任意>.default = true
certificate.<任意>.private-key = "%{file:/etc/letsencrypt/live/<取得したSSLパス>/privkey.pem}%"
※上記任意の箇所はGUIの "Certificate Id" に対応していると思われる
指定後リロードで、GUIの管理画面にHTTPSでアクセスできるようになります。
続いてドメインを指定します。
Management のページから、Directory - Domains のページに行き、ドメインを設定します。
ドメインを設定すると ・・・ のところから View DNS records があるので、これを表示させます。
DNSサーバーに設定するべきレコードがたくさん表示されます。
DKIMキーについては、文字列が長いので、途中で分割されています。注意して現在利用しているDNSサーバーを書き換えます。
私の場合はValue-domainのDNSを利用しているのですが問題なく設定できました。
※ただしTLSAレコードは、今の私の知識では不明だったので、設定しませんでした。
デフォルトでは26行のレコードが表示されていました。
設定したのはこのうち10行ぐらいでした。
DNSサーバーの設定変更が完了したら、反映を待ちつつ次の設定を行います。
Directory - Accounts にアクセスします。
Create Accountから、メールアドレスを作成します。
Login NameはWeb管理画面にアクセスする場合や、メールを受信する場合のIDとして利用されるようです。
別途メールアドレスを指定する欄もありますが、ログイン名はメールアドレスにするのがいいように思います。
AuthenticationタブからPasswordを設定します。
Permissionsタブで、Roles から admin を指定すると、そのユーザーは管理画面にアクセスできるようになります。
※ただし初期の admin ユーザーを無効化する方法は調べていません。できるのかな?
とりあえずここまで設定することで、メールの送受信ができるようになりました。
SPAM対策は標準で搭載されていました。
DNSBLも同様です。
ただしアンチスパムは無いので、 milter などで連携する必要があります。
Stalwart Installation Linux / MacOS
$ curl --proto '=https' --tlsv1.2 -sSf https://get.stalw.art/install.sh -o install.sh
$sudo sh install.sh
※パスを指定せずに実行すると /opt/stalwart/ にインストールされました。
※Linux最小構成のときには、追加のパッケージを先にインストールするように案内された記憶があります。
インストール完了画面にはWeb管理画面のパスワードが表示されるので、これをメモします。
ポートが開いており、外部からアクセスできる場合には、以下のURL/Portでアクセス可能です。
http://yourserver.org:8080/login
Setting のページから Server - Listeners にアクセスします。
ここでは Listen させるポートが列挙されています。
最初検証していたときは、証明書を利用しないポートではうまく動かなかったように思うのと、無料でSSL利用できるので、利用しない・できないポートは削除しました。※初期のテストだったので、たぶん暗号化なしのPOPもできると思います。
現在は http:8080,https,imaps:993,pop3s:995,smtp:25,submission:587,submissions:465 のみにしました。
587はSSL利用でもいいかも???
※ここでListenさせるポートが決まったら、Firewallなどはここで設定しておくのがいいと思います。
またコンソールからこの通りListenしていることもチェックしておきます。
同じ設定のところで、TLS - ACME providers の設定ができます。
ここで証明書の取得情報を指定すれば、そのまま letsencrypt を利用できます。
※ここで取得した証明書ですが、どこに保存されるのかわからなくて気持ち悪かったので、別途自身でCertbotを利用することにしました。
別途証明書を取得し、それを Stalwart で利用する場合は以下の通り設定します。
Certificate Id: <任意>
Certificate: %{file:/etc/letsencrypt/live/<取得したSSLパス>/fullchain.pem}%
Private Key: %{file:/etc/letsencrypt/live/<取得したSSLパス>/privkey.pem}%
※取得した証明書のパスをそのまま指定していますが、このままだとPermission error になりますので、適切に処理してください。
※Configの場合は以下の通り
vi /opt/stalwart/etc/config.toml
certificate.<任意>.cert = "%{file:/etc/letsencrypt/live/<取得したSSLパス>/fullchain.pem}%"
certificate.<任意>.default = true
certificate.<任意>.private-key = "%{file:/etc/letsencrypt/live/<取得したSSLパス>/privkey.pem}%"
※上記任意の箇所はGUIの "Certificate Id" に対応していると思われる
指定後リロードで、GUIの管理画面にHTTPSでアクセスできるようになります。
続いてドメインを指定します。
Management のページから、Directory - Domains のページに行き、ドメインを設定します。
ドメインを設定すると ・・・ のところから View DNS records があるので、これを表示させます。
DNSサーバーに設定するべきレコードがたくさん表示されます。
DKIMキーについては、文字列が長いので、途中で分割されています。注意して現在利用しているDNSサーバーを書き換えます。
私の場合はValue-domainのDNSを利用しているのですが問題なく設定できました。
※ただしTLSAレコードは、今の私の知識では不明だったので、設定しませんでした。
デフォルトでは26行のレコードが表示されていました。
設定したのはこのうち10行ぐらいでした。
DNSサーバーの設定変更が完了したら、反映を待ちつつ次の設定を行います。
Directory - Accounts にアクセスします。
Create Accountから、メールアドレスを作成します。
Login NameはWeb管理画面にアクセスする場合や、メールを受信する場合のIDとして利用されるようです。
別途メールアドレスを指定する欄もありますが、ログイン名はメールアドレスにするのがいいように思います。
AuthenticationタブからPasswordを設定します。
Permissionsタブで、Roles から admin を指定すると、そのユーザーは管理画面にアクセスできるようになります。
※ただし初期の admin ユーザーを無効化する方法は調べていません。できるのかな?
とりあえずここまで設定することで、メールの送受信ができるようになりました。
SPAM対策は標準で搭載されていました。
DNSBLも同様です。
ただしアンチスパムは無いので、 milter などで連携する必要があります。
stock_value at 09:00|この記事のURL│Comments(0)
2026年02月01日
最近ではメールサーバーを自身で構築し維持するのはナンセンスだと思っています。
しかし私自身は知識の習得のために、定期的に自身でメールサーバーを構築し運用しています。
ただしメルマガなどの受信のみで利用しており、停止しても特に問題はありません。
だいたい年に1か月ぐらい停止しているように思います。(監視なども適当ですし、メルマガなので受信トラブルに気づかない・・。)
止めたくないサーバーであれば、外部のホスティングサービスを利用するのが "絶対に" 必須です。
価格が安いからカゴヤのVPSサーバーを利用しているのですが、2025/2月ごろに容量がUPしました。
今まではディスクサイズは、30Gぐらいだったのですが、100Gが標準になりました。そして価格は据え置きです。
ただし何もしなければ容量はそのままで、新しいサーバーを利用する必要がありました。
サーバーの再構築は特にメールサーバーの場合大変です。
絶対にやりたくないぐらい大変です。
どうしたものだろうと思っていたのです。そしてどちらかといえば、今の環境を変える強い動機もなく、
そのままでいいと思っていたのです。ディスクを消費する用途もないので。
そんな中メールサーバーについては、新しいものを見つけました。
Stalwartというものです。
POP/IMAP、DKIM、DMARC、などなどもろもろの機能が包括的に含まれているようです。
もしこれをインストールするだけですべて利用できるなら、改めて構築したいと思いました。
今までは、Postfix/Dovecot/Milter などを駆使する必要があったのです。ブラウザで管理もできないし・・。
次回はStalwart メールサーバーのメモ。
しかし私自身は知識の習得のために、定期的に自身でメールサーバーを構築し運用しています。
ただしメルマガなどの受信のみで利用しており、停止しても特に問題はありません。
だいたい年に1か月ぐらい停止しているように思います。(監視なども適当ですし、メルマガなので受信トラブルに気づかない・・。)
止めたくないサーバーであれば、外部のホスティングサービスを利用するのが "絶対に" 必須です。
価格が安いからカゴヤのVPSサーバーを利用しているのですが、2025/2月ごろに容量がUPしました。
今まではディスクサイズは、30Gぐらいだったのですが、100Gが標準になりました。そして価格は据え置きです。
ただし何もしなければ容量はそのままで、新しいサーバーを利用する必要がありました。
サーバーの再構築は特にメールサーバーの場合大変です。
絶対にやりたくないぐらい大変です。
どうしたものだろうと思っていたのです。そしてどちらかといえば、今の環境を変える強い動機もなく、
そのままでいいと思っていたのです。ディスクを消費する用途もないので。
そんな中メールサーバーについては、新しいものを見つけました。
Stalwartというものです。
POP/IMAP、DKIM、DMARC、などなどもろもろの機能が包括的に含まれているようです。
もしこれをインストールするだけですべて利用できるなら、改めて構築したいと思いました。
今までは、Postfix/Dovecot/Milter などを駆使する必要があったのです。ブラウザで管理もできないし・・。
次回はStalwart メールサーバーのメモ。
stock_value at 12:30|この記事のURL│Comments(0)
