■FortiAnalyzer-VMをVMPlayerで試してみる。
何らかのFortinet製品を購入、シリアル番号を登録している、
各種イメージをダウンロードする権利のあるアカウントを持って入れば、
15日間組み込みの評価ライセンスで試用出来る。
なお、評価ライセンスを請求すればもう少し長く試用できる。
$ pdftotext dlsv/FortiAnalyzer-VM-Install-Guide.pdf - | \
grep -A 1 "trial license" | xargs echo -n | sed -e 's/\./&\n/g'
FortiAnalyzer VM includes a free, full featured 15 day trial license.
No activation is required for the built-in evaluation license.
■サイジングの確認。
1ソケット1コア、2GBのメモリ、64bitLinuxベースOS。
ディスクは82GB。
$ mkdir FAZ && cd FAZ
$ unzip FAZ_VM64-v500-build0706-FORTINET.out.ovf.zip
Archive: FAZ_VM64-v500-build0706-FORTINET.out.ovf.zip
inflating: datadrive.vmdk
inflating: FortiAnalyzer-VM64.ovf
inflating: faz.vmdk
$ ovftool FAZ/FortiAnalyzer-VM64.ovf | grep -A 6 "Name.*FortiAnalyzer-VM"
Name: FortiAnalyzer-VM
Annotation: FortiAnalyzer Virtual Appliance by Fortinet Technologies Inc.
(http://www.fortinet.com)
End-user License Agreements:
--
Name: FortiAnalyzer-VM
Operating System: other26xlinux64guest
Virtual Hardware:
Families: vmx-07
Number of CPUs: 1
Cores per socket: 1
Memory: 2.00 GB
$ ovftool FAZ/FortiAnalyzer-VM64.ovf | grep "Capacity"
Capacity: 2.00 GB
Capacity: 80.00 GB
■SCSIのサブタイプを変更してovfをvmxに変換する。
$ sed -i -e 's/VirtualSCSI/lsilogic/g' FAZ/FortiAnalyzer-VM64.ovf
$ ovftool --acceptAllEulas "FAZ/FortiAnalyzer-VM64.ovf" "FAZ/FortiAnalyzer-VM64.vmx"
Opening OVF source: FAZ/FortiAnalyzer-VM64.ovf
Opening VMX target: FAZ/FortiAnalyzer-VM64.vmx
Writing VMX file: FAZ/FortiAnalyzer-VM64.vmx
Transfer Completed
Warning:
- No manifest file found.
- Wrong file size specified in OVF descriptor for 'datadrive.vmdk' (specified: 75264, actual 10551808).
- No manifest entry found for: 'faz.vmdk'.
- No manifest entry found for: 'datadrive.vmdk'.
Completed successfully
■4NICなので、これだけならvmplayerでも起動出来る。
$ grep ethernet.*Dev FAZ/FortiAnalyzer-VM64.vmx
ethernet0.virtualDev = "vmxnet3"
ethernet1.virtualDev = "vmxnet3"
ethernet2.virtualDev = "vmxnet3"
ethernet3.virtualDev = "vmxnet3"
$ vmrun -T player start FAZ/FortiAnalyzer-VM64.vmx &
■初回ログインは例のごとく、「admin/パスなし」なので、
IPを振ってssh、httpsを有効にする。
$ ip a list vmnet8 | awk '/inet /{print $2}'
192.168.152.1/24
$ ssh admin@192.168.152.10
FAZVM64
config system interface
edit "port1"
set ip 192.168.152.10 255.255.255.0
set allowaccess https ssh
next
end
■ルーティングも設定しておく。
Fortigateとの関係はL2の範囲だが、他にも外部接続が必要となる
機能がいくつかある。
なお、Fortigateとは設定方法が異なるので注意。
config system route
edit 0
set device port1
set dst 192.168.152.0 255.255.255.0
set gateway 192.168.152.2
end
■Fortigateで言う「show full-configuration」が使えず、
単に「show」コマンドなのが残念だが、
ADOMでも使わない限り、ほぼFortigateの操作性と変わらない。
なお、Fortigateと異なり、FortiAnalyzerではパイプが使えない。
config system global
set timezone 60
set language japanese
end
■Fortigate-VM版も素のFWとしてであれば15日の試用期間がある。
これも評価版の申請をすればもう少し長く試用出来る。
今回はFortiAnalyzerで認識さえすれば良いのでスルー。
$ pdftotext dlsv/fortigate-vm-install-50.pdf - | grep -A 7 "embedded.*trial license"
FortiGate VM includes a limited embedded 15-day trial license that supports:
• 1 CPU maximum
• 1024 MB memory maximum
• low encryption only (no HTTPS administrative access)
• all features except FortiGuard updates
You cannot upgrade the firmware, doing so will lock the Web-based Manager until a license is
uploaded. Technical support is not included. The trial period begins the first time you start
■1ソケット、1コア、1GBメモリで、64bitLinuxベースOS。
ディスクは32GB。
$ ovftool FGT_VM64ovf/FortiGate-VM64.ovf | grep -A 6 "Name.*Fortigate"
Name: Fortigate-VM
Annotation: FortiGate Virtual Appliance by Fortinet Technologies Inc.
(http://www.fortinet.com)
End-user License Agreements:
End User License Agreement for FortiGate Virtual Appliance
--
Name: Fortigate-VM
Operating System: other24xlinux64guest
Virtual Hardware:
Families: vmx-07
Number of CPUs: 1
Cores per socket: 1
Memory: 1024.00 MB
$ ovftool FGT_VM64ovf/FortiGate-VM64.ovf | grep "Capacity"
Capacity: 2.00 GB
Capacity: 30.00 GB
■稼働中のゲストOSの合計が10NICかそれを超えるとVMnetに繋がらなくなるので、
初回起動後に1度シャットダウン、最初のポート以外のNICを無効にする。
イレギュラーな方法なのであくまで試用のみとする。
なお、起動時にエラーは出るが、VPN関連なので、スルーする。
$ sed -i 's/^ethernet[1-9]/#&/g' FGT_VM64ovf/FortiGate-VM64.vmx
$ vmrun -T player start FGT_VM64ovf/FortiGate-VM64.vmx &
$ telnet 192.168.152.11
>>> "next" @ global.vpn.certificate.local.Fortinet_CA_SSLProxy:failed command (error 1)
>>> "next" @ global.vpn.certificate.local.Fortinet_SSLProxy:failed command (error 1)
>>> "set" "servercert" "self-sign" @ root.vpn.ssl.settings:value parse error (error -3)
config system interface
edit "port1"
set vdom "root"
set ip 192.168.152.11 255.255.255.0
set allowaccess http telnet fgmt
set type physical
set snmp-index 1
next
end
config system global
set timezone 60
set language japanese
end
config log fortianalyzer setting
set status enable
set server 192.168.152.10
set source-ip 192.168.152.11
set upload-option realtime
end
FortiAnalyzer will aggregate the logs and provides centralized reporting.
In presence of FortiAnalyzer we recommend on-appliance reporting to be disabled.
By selecting to continue, on-appliance log reporting will be disabled.
Do you want to continue? (y/n)y
■FortiAnalyzer-VM側でWebログインすればほぼ自動的にデバイス登録がされる。
Serial-Number: FGVMEV0000000000
Hostname: FortiGate-VM64
$ ssh admin@192.168.152.10 'get system status' | \
grep Name
Platform Full Name : FortiAnalyzer-VM64
$ ssh admin@192.168.152.10 'get system status' | grep NamePlatform Full Name : FortiAnalyzer-VM64
(
FAZVM64
FortiGate-VM64 FGVMEV0000000000 (y /y /y /y ) 1000MB 0.00%
