通常、Fortigateはインターネットに繋いだら勝手にライセンス認証されるので、それほど悩むところもないのですが、プロキシ配下だったり、VDOMを使っていたりするといろいろと面倒だったのでメモしておきます。
プロキシ設定
プロキシに関する設定は、CLIから以下のように設定します。
# config system global
(global)# config system autoupdate tunneling
(tunneling)# set status enable
(tunneling)# set address [プロキシサーバのIPアドレス]
(tunneling)# set port [ポート番号]
(tunneling)# set username [ユーザID]※
(tunneling)# set password [パスワード]※
(tunneling)# end
(global)# config system autoupdate tunneling
(tunneling)# show
config system autoupdate tunneling
set status enable
set address [プロキシサーバのIPアドレス]
set port [ポート番号]
set username "[ユーザID]"
set password [暗号化されたパスワード]※プロキシサーバ側でユーザ認証を行っている場合
マネジメントVDOMの設定
VDOMを設定している場合、ライセンスアクティベートの通信(FortiGuardへの通信)はマネジメントVDOMから行われます。 通常はroot VDOMがマネジメントVDOMとなっていますが、root VDOMからインターネットへ通信できない場合は、グローバル→システム→VDOM→マネジメントを切り替えからインターネットへ通信できるVDOMへ、マネジメントVDOMを変更する必要があります。
DNSの設定
ライセンスのアクティベートには、Fortigate自身で以下のFQDNを名前解決できる必要があります。 Fortigateがプロキシ配下にある等でFortiGuardのDNSサーバに直接接続できない場合、Fortigateから直接接続可能で、下記URLが名前解決な可能なDNSサーバを指定してあげる必要があります。
- update.fortiguard.net
- service.fortiguard.net
グローバル→ネットワーク→DNSでDNSサーバを指定します。 社内ネットワーク機器の名前解決の為だけにあるような、フォワーダの設定されていない内部DNSだと、上記FQDNを名前解決することができないため注意が必要です。
名前解決が出来ているかを確認する場合は、CLIから上記FQDNへPingを打つことで確認できます。なおVDOMを設定している場合は、以下のようにマネジメントVDOMへ入ってから実施する必要があります。
# config vdom
(vdom)# edit [マネジメントVDOM]
(マネジメントVDOM名)# execute ping update.fortiguard.net
PING fds1.fortinet.com (173.243.138.66): 56 data bytes
…
