月別アーカイブ: 3月 2014

FortiGate 60Bを買った

 自宅のルータ類はRTX1100/CISCO1812J/Netscreen204なんかが稼働しているんだけど、オークションで安価で多数出ていたので今回FortiGate60Bを購入した。

 FortiGateは、UTM、統合セキュリティゲートウェイ系でIPルータに高機能ファイアウォールとウィルス検出ゲートウェイなんかが乗った感じ。 ただし、セキュリティ系機能はライセンス契約しないと役にたたず、新品の本体価格は1年分のライセンスくらいなので、中古品はセキュリティ機能を使う目的には全く不適(新品バンドルパッケージは1年ライセンス同梱)
 と言うわけで、中古FGの利用についてはGUIで色々いじれるルータ的なポジションで、Netscreenと同じ。
 今回購入した60Bについては、中身はVIA C3(Samuel2コア)のx86装置で走っているのはFortiOSと言うLinuxカスタムOSである。 ただし、CP6と言うセキュリティ処理用ASICが乗っていて、IPSecやSSL等の処理がオフローディングされている。
 この辺はNetscreen5GTのIXP425にもオンチップでIPSecアクセラレーション等が乗っているんで同じ感じ。 純粋な演算器はNS5GTのIXP425に対して、FG60BのC3はクロックが倍ほど高いけどクロック当たりの演算性能が低いためドライストーン評価では1~2割の差しか無い。

 プレーンなメインモードIPSecでは実測で50Mbps超と小型機としては優秀、L2TP/IPSecやSSL VPNでは15Mbps程度であり、モバイル回線からのアクセスであれば未だ現役な感じを受ける。
 通常のルーティングでは82Mbpsが記録され、自宅のフレッツ光側が足を引っ張る感じ、ファンレスでこの性能であれば自宅用高機能ルータとしては結構アリな感じだ。
 また、こいつはUSBモデムにも対応していて、イーモバのHuawei系USBモデムが挿すだけで使える(D02HW,D33HWで確認)ほか単純なUSBモデムであればベンダーID/プロダクトIDを手動設定することで使えることもある。 ドコモ XiのLG L-02C端末がサポートリストにあるが検出できなかった。 60Dでは検出するが接続不能で、この辺はMacで不具合もあったUSB端末なので相性問題と思われる。
 初期設定についてはCISCOのコンソールケーブル互換なので、いつも使っているCISCO青ケーブルをつなぎ替えて設定、初期状態でFortiOS3.0系が入っていたが、この装置対応最新版の4.0MR3 Patch15イメージが手元にあるのでダウンロードを実行。 電源投入してローディングメッセージが出た段階でターミナルから入力すると割り込んでファームウェアダウンロードできるのでTFTPで入れてやる。
 結構高機能のOS(システムメモリも256MBも乗っていて殆ど2000年頃のPC並み)なので起動にも結構時間がかかり、電源投入から1分くらいはネットワークインタフェイスは応答しない。
 立ち上がった後は、ターミナルから

みたいに設定してやるとブラウザからアクセスできる。 endした段階で打った設定が反映される。
 デフォルトのログインは admin で、パスワード無し。
 完全日本語化されたこぎれいなインタフェイス、ウィザードで初期設定すればPPPoEアクセスやUSBモデムによるバックアップ、基本的なVPN設定が完了する。
 FortiGateの良さはFortiClientであり、これは無料で利用できるVPNクライアントでWin/Mac/iOS/Android等で使える。 そして、FGとFCはSSL VPNを経由してIPを処理できるため、プロトコル制限のある回線から容易にVPNしてIP接続できる。
SSL VPNは普通にNATも超えられるので、プライベートネットワークが振られるスマホや、プロトコルを制限されたイーモバイルなどを経由してVPNアクセスできるため、モバイルユーザのVPNリモートアクセスゲートウェイとして良い存在だ。
 単純なルータとしてはRTX1100にかなわないところもあるが、あまり大きくなくファンレスで静かな点は家庭用にはアリ、VPNアクセスではRTX1100のL2TP/IPSec with NAT Traversalが7MbpsあたりでCPUフルとなる事を考えると、スループットが2倍を超えてかなり有利と言える。

(1298)


カテゴリー: LAMP[Linux, Apache, MySQL, PHP] | コメントをどうぞ