FortiGateの非対称ルーティングについて

非対称ルーティングとは

非対称ルーティング（Asymmetric Routing）とは、通信の送信経路と受信経路が異なる状態を指します。

例として、クライアントからサーバーへのリクエストはFortiGateを経由するが、サーバーからクライアントへのレスポンスが別のルーターを通る場合です。

このような経路の不一致は、ステートフルファイアウォールであるFortiGateのセッション管理と矛盾を生じさせる要因になります。

FortiGateのセッション管理と非対称ルーティングの影響

FortiGateはすべての通信をセッションとして記録・追跡し、以下の情報を保持します。

• 送信元・宛先IPアドレス
• 送信元・宛先ポート番号
• プロトコル
• 入出力インターフェース

非対称ルーティングが発生すると、戻りパケットがFortiGateを通らずセッションテーブルと一致しないため、パケットが破棄され、通信断や不安定さが発生します。

非対称ルーティングが発生しやすいシナリオ

• マルチISP（複数WAN回線）構成
• ロードバランサーを利用する環境
• 冗長ルーターや動的ルーティングを組み合わせたネットワーク
• ポリシーベースルーティングによる経路分岐

特に複数出口を持つ設計では、意図せず非対称ルートが生じやすくなります。

FortiGateでの対処方法

設計段階での対称性確保

最も推奨されるのは、SNAT（送信元NAT）やポリシーベースルーティング（PBR）を用いて行きと戻りの経路を揃えることです。

また、SD-WAN機能を利用すると、複数回線環境でも経路の一貫性を保ちやすくなります。

asymroute オプションの利用

どうしても非対称を避けられない場合、CLIで以下を有効化します。

config system settings
    set asymroute enable
    set asymroute-icmp enable
end

• asymroute enable：非対称ルートを許容
• asymroute-icmp enable：ICMPの非対称ルートを許容

注意
TCP/UDP用の asymroute-tcp/udp は存在しません。TCPに関しては別オプション tcp-session-without-syn により例外的に対応可能ですが、セキュリティ低下を招くため常用は推奨されません。

Auxiliary Session の活用

FortiGateにはAuxiliary Session（補助セッション）機能があり、SD-WANやADVPN環境で戻り経路が異なる場合でもセッションを維持しやすくなります。

asymroute より副作用が少ないため、検討価値が高い方法です。

Hyperscale VDOMでの挙動

FortiOS 6.4.8以降のHyperscale Firewall VDOMでは、非対称ルーティング処理が改善され、asymroute を明示的に有効化しなくても動作するケースがあります。

装置とVDOM種別により挙動が異なる点に注意してください。

導入時の注意点

• セキュリティ検査が制限される（IPS、アンチウイルス、アプリ制御などの精度低下）
• ログの整合性が崩れる可能性がある（片方向のみ記録）
• セキュリティ基準（STIGなど）では、asymroute は「不要なら禁止」と明記されています

まとめ

• 非対称ルーティングは、送受信経路の不一致によりFortiGateのセッション管理が崩れ、通信障害を引き起こす。
• ベストプラクティスは、設計段階で対称性を確保すること（SNAT／PBR／SD-WAN）。
• やむを得ない場合のみ asymroute を利用し、ICMPや特殊なケースで補完。
• 新しい環境では Auxiliary SessionやHyperscale VDOM を活用するのが望ましい。

以上、FortiGateの非対称ルーティングについてでした。

最後までお読みいただき、ありがとうございました。