Fortigateについて語ろう4
レス数が1000を超えています。これ以上書き込みはできません。
FortiGateシリーズは、ネットワーク全体を総合的に保護するハードウェアベースの
ネットワーク・プロテクション・ゲートウェイ(NPG)です。
Fortinet社独自開発のABACASTM(Accelerated Behavior and Content Analysis System)
テクノロジと独自のASIC(FortiAsic)ベースアーキテクチャを採用した、次世代
ネットワークプロテクション・アプライアンスです。
ファイアウォール、不正侵入、VPN、トラフィックシェーピングなどネットワークレベル
のサービスに加え、ウィルスプロテクションやコンテンツフィルタリングなどの
アプリケーションレベルのサービス機能も搭載しており、効果的にネットワークを保護します。
FortiGateは、4種類のICSA認定取得をしています。
アンチウイルス、ファイアウォール、IPSec、IDS
セールスポイントは非常に魅力的ですばらしいのですが、
非常に個性的な製品ですので、皆さん助け合って安定稼働に努めましょう。
フォーティネットジャパン
http://www.fortinet.co.jp/
FortiProtect Center
http://www.fortinet.com/FortiProtectCenter/
質問する際には必ずFortiGateの機種、FortiOSのバージョン、 ネットワーク構成・環境を報告してください。 NetscreenがScreenOS打ち切りでこっちに流れ着いた forti一台でsnatとdnatかますダブルnatできる? ftpにあがってるfirmは大丈夫なんだろうか・・・ netscreenとfortigateどっちがいいの? 80Cを中央に置いて、WANポート側に、192.168.100.0/24のネットワーク、
Internal側に192.168.0.0/24を設定。
双方向、permit_allにして、WAN側から、internal側にあるドメコンに参加させようとしたら、
ミスったwww
切替失敗、最悪な1日だった…orz NATの問題ですかね?
基本NATは使わず、ルーティング処理させているのですが…
ドメインに参加できたり、できなかったりのPCが多発www
pingは双方向、必ず返ってくるので、上位レイヤかなぁ、と考えたり、
permit_allだから、それは関係ないだろうと、関係あれば、どのPCも参加できないだろう?と考えたり…です あっ、NATのチェックは外してないです…orz
両セグメントがダイレクトコネクトだから、
自動的にルーティング処理になると思っていました…orz
ttp://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1155273516 60Cが安かったから買っちゃった
どうやってOS手に入れようかな >>11
なんか適当にネットから落としてくれば・・・
ftp fortigate firmwareでぐぐると出てくるよ。
使えるかどうかは知らんけど。 >>12
最悪その方向で
サポートに入れれば入りたいですね 注文していた60Cが届いた
2週間で到着
FWが5.00 MR6だ
使い古しだとか言ってたのに
どっちにしてもバージョンアップしないと
Heartbleed対策完了しないからなあ MR6じゃないよ。パッチ6な。
5.0MR2のGAがもうすぐリリース。 fortigate60-cの電源アダプタを探しています。
純正でなくても代替できるアダプターないでしょうか Forti ASICが凄すぎて 俺のPCルータが嫉妬中・・・orz
60CのRAM 1G モデルほすぃ! 検証機として40Cを2台買ってもらった
時間ができたらNGN網内折り返しのIPv6トンネルと、ISP経由のIPv4トンネルで冗長組んでみる >>18
安いFWアプライアンスをホームルータ代わりに使うのは鉄板だな
FortiやJuniperの旧netscreenとか >>15
サポート入ってないからとりあえず練習機として弄ってる
情報あり
>>16
輸入したときについてきたACアダプタ
パーツナンバー検索してきたら出てきた
original AC Adapter For FSP FSP036 RAB 12V 3A 36W 9NA0361612 AD036RAB FTN3-in Laptop Adapter from Electronics on Aliexpress.com
ttp://www.aliexpress.com/item/original-AC-Adapter-For-FSP-FSP036-RAB-12V-3A-36W-9NA0361612-AD036RAB-FTN3/1724479260.html これまでSSG使ってたが、勉強がてら80Cを手に入れて使ってみた。
netscreenでのscreenがIDSとIPSに分かれてるのね。
基本DBお任せでって感じなのか。。。
にしても、IDSの設定がCLIでしか出来ない上に、なんだ、この超絶わかりにくいCLIは・・・ あ…ありのまま 今 起こった事を話すぜ!
Fortigate80Cをヤフオクで買ったら、2018年まで有効なライセンスがフルで入っていた…
何を言ってるのかわからねーと思うが(ry >>22
しかもバージョン変わるとコマンド変わったりするんだぜ? >>23
よくあるよ。俺も60c買ったら2017だったし。 会社で30Dいれようか悩んでるのだけど、何故60並みのカタログスペックで
下位機種扱いなんでしょうか。
教えてエロイ人! >>23 >>25
いいなあ、オクで落とした場合、代理店名が基本的には不明だろうから、
保守契約が移管できないらしい。数年分最初からついてる状態なら、
その分まるまる得したようなものだね。 80CはUNKNOWN問題とか7GB問題とかあるのでしてー Fortiは自分は今まで800台くらい
セキュリティ アプライアンス入れてきたけど、一回も障害がない。
営業だけど、イイ感じだ。
みんなの意見は? >>29
でも障害ないと障害対応の保守費で儲けられないじゃない。いいの?
通年保守費は置いといて。営業としてそこのとこどうなの?
fortiは構成上困ったことになって仮想機能で切り抜けることができたので
助かりました。いまどき仮想なんてどこの奴もあるけど
改めて仮想機能は便利だと思った 障害が無いのは障害が無いような使い方しかしてないからじゃ? >>29
FW付ルータとして使うとうーんとなるときが結構ある
WANーLANの設定に癖がある
内部FW単体として使うと問題ない 調査不足のまま90D導入して難儀してる
LACPや冗長インタフェース作れるのは100D以上だけなんだな 質問です。
マニュアル見ながらVPN組めるぐらいの素人に毛が生えたぐらいのレベルで
UTMの設定もマニュアル見て何とかなるレベルに仕上げることできます? まずはやってみなよ
自分への投資だ
金かけたくなければ先にOpenWRTでも触ってみたら? >>34
ん〜俺もFGは最近使い始めたんだが、
ScreenOSから移ってきたんで、正直良く分からん、特に使い方がw
VPNを組めるかどうかより、
TCP/IPとEtherを理解できるかどうかじゃない?そこが分かれば、
後は使い方だけな気がする。
中古80C使ってるけど、たまにコンサバモードに入って、むーんって思ってたら、
丁度、80CのGeneration2品を発見したので、速攻ポチった。
FortiOS 5以降だと、内蔵Flashのlog diskは使えないが、とりあえずメモリー倍になったので、
コンサバモードに落ちることなくなって、いやっほー<今w
ちなみにライセンスは2017/12まで残ってた。 >>34
シグネチャタイプのIPSを設定するだけなら、単にポリシーでチェックボックス一つ入れるだけ
AVもほぼ同様 では、何とかなりそうなのかな。
今はv6でVPN環境は出来上がってて、IPS・AVの導入を考えているとこ。
一度貸し出しで試してみるサンクス。 FortiGuard.com | CVE-2014-8730 "Poodle for TLS" vulnerability
http://www.fortiguard.com/advisory/CVE-2014-8730--Poodle-for-TLS--vulnerability/
の対策でvirtual-server-hardware-acceleration持ってる機種って何か分かる?
60Cと200Bは持ってなかった
現行のDとかは持ってんのかな
300Dは持ってそうだけど
しかし、
うちのサポートは使えないなあ >>39
US公式のリファレンスマニュアルの下に、機種と使える機能のマトリクス表がある
SSL Offloadingの有無を調べるよろし >>40
ありがとう
Feature/Platform Matrixってやつね
とりあえず4.3ではない?機能なのね
ていうかなんでうちのサポートは4.3も対象って言ってきたんだろう
調べないで言ってきてるなあ
5.0以上のFortiOSで60Cは無理で200Bは出来ると
200Bはアップグレードしたら防ぐ必要があるのか
まあ、次の更改まで止めらんねーとか
訳わからないこと言ってるからアップグレードはやらなそうだな
200Bは昔は8万ぐらいで中古が輸入できたんだがもう無理だしなあ
80Cでも出来るのか でもライセンスがなあ
オークションで起動ログでVer5書いてるやつ探すわ 80Cのヤフオク見たがVer4しかないなあorz
ま、いっか
UTM買っても個人で使う分にはルータにしかならんしな >>41
そうとも言い切れないかもしれない
デバイス自身の管理画面へのログインもSSL/TLSを使う以上、SSLアクセラレータが使えない機種でもPOODLEに該当するって意味かもね >>43
だからワークアラウンドなのかね
FortiOSもファームウェアがアップグレードしやすければいいんだけどなあ FortiOSのバージョン違い(4.x <=> 5.x)でIPSec VPNをされた方は、いらっしゃいませんか?
機種交換で数週間、この組み合わせで使用しようかと思ってるんですが
3.x <=> 4.x の時は、目立った問題はなかった覚えが有ります >>45
大した設定してないけどやってるよ。
認証は事前共有鍵。 >>46
ありがとうございます
出入り業者は、異バージョンだと駄目だから・・・と言ってますが
やってみます
というか、出入り業者切ったほうが良さそうかな?
3台しかクライアントの無い場所に30Dを入れようかと言ったら、
一次代理店が30Dは止めておけと言ったから入れられないとか
確かに30Dのサポート体制は落ちるみたいですが
未輸入だった20Cでも良いレベルなんですがね 何これ、買ったけどマニュアルも何もないじゃん、どうすんのこれ・・・orz わかる人がいたら教えてほしいです。
Fortigate600CでトランスペアレントのHA(A-P)構成
アンチウイルスのセキュリティプロファイルを二つ作成したとする。
それぞれをA、Bというルール名と仮定。
Aはフローベースのモニタ
Bはフローベースのブロック
とした場合
Aのセキュリティプロファイルが適用されているところに、
Bのセキュリティプロファイルへ変更した場合即時に反映されないでeicar素通りしちゃいます…
長文すんません。 「FG-60D-US」を個人で購入しようと思うのだけど、
Q1:ベース製品だけの購入は可能?この場合、HW故障の保証は?
Q2:○○保守[e.g.平日先出しセンドバック保守] と Forticare の違いは?
Q3:FortiOSの更新をする場合、Forticareが必要になる?
わかる人がいたら助けてください(> <) >>50
1.可能。ただし、保証は別
2.ごめん、そこはなんとなくしか分からん
3.代理店の保証が必要 日本でForticareに入るっけ?
保証形態はCiscoと似てるんじゃないかな?
代理店経由でFortiから保証貰って運用する
Fottiの場合、OSも代理店経由でしか手に入んないけど
アメリカ輸入品を日本の代理店で保証はつけられる
一応 >>51 ありがとうございました。
Forticareはネット通販等でも買えるようですね。
本体はAmazon.com辺りでは買えなかったので、
輸入できないと思ってましたが、個人輸入的なところですかね。 30Dだけど、2、3ヶ月に一度ぐらいCPU100%になっててネットに繋がらなくなる。
同じような人いませんか? それだけじゃなんとも
30DはCPU弱いから、そういうこともあるかもね程度のことしか言えない
事象発生時にtop叩けば何か分かるかもね fortigate60Cv4.0でvipでソースipレンジにwanインターフェイス(pppoe動的ip)を割り当てたいのですがどうしたら良いでしょうか
動的ipでvipでフォワーディングするにはその都度変動ipに変更しないと行けないですか? >>55
何かおかしなこと言ってる気がする
多分一般的な動的IPアドレス環境でサーバ公開したいってことだよね?
出来ないわけないだろと思うんだけど手元にある検証機にFortiOS4.0入れるのまんどい >>56
>多分一般的な動的IPアドレス環境でサーバ公開したいってことだよね?
ですです
今のとこvipにpppoeで取ってきたグローバルIPを当てて公開しているのですが、再起動時などにIPが変わってしまったらまた設定し直さないといけないので、それをどうにか設定し直さずに運用できないかなと >>57
VIPじゃなくてstatic natで書くとか
VIPのexternalに0.0.0.0指定するとか何か方法あるんじゃないかな
cookbookかhabdbook調べてみな FWのポリシーでサービスでallだけを選択しても全部通らない?
ping通らないなぁと思ってall icmpを追加したら通ったけど
allにはall icmpとかall tcpとかall udpは含まれないということでしょうか?
OSは5.2.3。4の頃はなんか全部通ってた気がする。 >>62
英語が苦手なのは否定しないが結局はコレだった。
5.2.2を経由してると5.2.3でもそのままだった。 >>63
全く内容読めてないだろ
ICMPに何の関わりもない記事じゃん
別個に許可しなければICMP通らないのは知ってる限りでも5.0で既に仕様だった 横からすまんが
5.0ではサービスオブジェクト"ALL"はIPすべてを指してた。
5.2.2で"ALL"にプロトコル番号6が指定された。
"ALL_TCP"というサービスオブジェクトがあるのに、
"ALL"でIPの6が設定されているのは明らかにバグだわ。
英語読めてないのは>>64の方な。 すみません、トラブルでハマっていて困っています。
Fortigate 60Cで、最新のファーム5.2.3 にあげたら
(ファイル名 FGT_60C-v5-build0670-FORTINET.out)
それまで出来ていた、ブラウザからGUIでのアクセスが出来なくなってしまいました。
configにはちゃんと「set allowaccess ping http https ssh」としているのですが
なぜでしょうか。PCからfortigateへのpingは帰ってきますので、物理生涯ではなさそうなのですが。
こんなトラブルで残業です・・・お助けください。 >>66
ブラウザのVerが対応してないんじゃないの? >>66 バーチャルIPとインターフェースのIPが一緒で、pingやら管理画面へのアクセスが通らなくなったことはあった。けど、それは違いそうだな…。 最新版でアクセス出来ないのは原因不明で、ファームを古いものにお落としたらちゃんとアクセスが出来るのです・・・。
IE11なのですが、IEは問題が多いのですかね。クロームで試してみます。 自分は5.2系の不具合と認識してる。
100D/200Dでも頻繁に起きてる そいや5.2.3のWebUIなんかやたら遅かったりするね
筐体が白くなってから随分マシになたっと思ったけど相変わらずぶれるなあ 今まで色々FW扱ってきたけど、これが一番設定しやすいね。
150人規模の会社だと、200Dくらいを入れた方がいいのかしら?
担当者は予算がないので100Dで、と言われてるけど。 40C使ってるけど5.2に上げたらメモリが90%近くに張り付くんで4に戻した。
こんなもん? 60cなのですが、vipの設定最大数っていくつになるか誰かわかりますか?
仕様からじゃよくわからなかったもので。 /:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::ヽ
/:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::://ヽ:::::::::::::::|
l:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::// ヽ::::::::::::::l
l:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::/:::「'ヽ:::::::::::// ヽ:::::::::::|
|::::::::::::::::::::::::::::::::::::::::::::::::::::::::::ノl:::ノ l:::::::/ ヽ::::::::|
ノ:::::::::::::::::::::::::::::::::::::::::::::::::::::/ ゙゙ ノ:::/ ,,;;;;;;,, ,,,,ヽ:::::l
):::::::::::::::::::::::::::::::::::::::::::::::/ ノ/ __,'''i: ('''__):::l
)::::::::::::::::::::::::::::::::::::::::::::::::::/  ̄ ̄ン:. :「 ̄`ヾ
1:::::::::::::::::::::::「 `┤l:::::::::::::::::l  ̄ , ヽ ̄ l
`l:::::::::::::::::::::ヽ :l li:::::::::::::/ /´ `l | <ヴッ!!!
ヽ::::::::::::::::::::::\_」 lヽ::::/ !:-●,__ ノ /
ノ:::::::::::::::::::::::::::ノ | l `゙゙ ,,;;;;;;;;;;;;;;;;;;;;, /ヽ
,/ ヽ::::::::::::::::::::::( l l::::::::.. /.:''/´ ̄_ソ / `ヽ
ヽ:::::::::::::::ヽ | l:::::::::::... /::// ̄ ̄_ソ / \
ヽ:::::::\| l::::::::::::::::... / :::.ゝ` ̄ ̄/ / ヽ
ヽ:::l l:::::::::::::::::::..  ̄ ̄;;'' / ヽ
l l;;;;;;:::::::::::::::.....;;;;............;;;;;;''ノ l
l l '''''''''''''''''''''''''''''''''''''' ̄l | |
http://y2u.be/z2qK2lhk9O0 なにがと〜る〜、もりがと〜る、ボ〜、ボ〜、ボ〜、ボ〜、ボ〜、ボ〜、
ボ〜、ボ〜、ボ〜、ボ〜、ボ〜、ボ〜、ボ〜、ボ〜、ボア〜ル
https://www.facebook.com/tour.mori なんとっ、Fortigateの書籍出てたのでポチった 前の書籍からだいぶ開いたねぇ。
WAN最適化あたりが入ってればよかったのに。 書籍に書いていないということはどういうことかわかるだろ? すみません、ここで聞いていいのかわからないんですが
先日リコーの営業にFG-60Dバンドル版+リコーの設定やハード保守を
それぞれ5年で約60万(本体+ライセンスで約40万、保守5年で25万から割引)
というのを勧められ (内容はたぶんこれ↓と同じだと思います)
https://www.ricoh.co.jp/itkeeper/gateway/service.html
経理担当がマイナンバーの扱い怖いし導入してほしいという流れからの
自社の規模や業態的にオーバースペックか調べてと上司に頼まれたんですが、
自力では各モデル及びライセンス内容の違いが判断できませんでした お聞きしたいのは、下に書いた条件でFG-60Dは妥当なのかどうかと
設定やハード的な保守を依頼するほど扱いの難しい機器なのかという点です
説明書+上に出てた書籍などで調べられる程度の知識で大丈夫そうなら
リコー保守は不要かなと思ってます
規模と業態としては、常時ネット接続してるPCは8台で
もちろんセキュリティソフトは入ってます
業務上ネット使用は給与振込み時のネットバンキングと調べごとくらいで
取引会社からの特別な企業秘密などは扱ってません
ちなみに従業員のネット閲覧はとくに制限はありません
説明不足はあると思うのですが、アドバイス頂けると助かります >>85
ライセンス内容(Full IPSのみ とか)保守内容が解らないと価格の返事は出来ないよ
オーバースペックかどうかは、総接続台数が解らない
30D なら30台 60D なら60台 が目安
但し速度は変わるけど UTM使うなら60Dだと20台が限度だと思う。
その下の40Cだと5台くらいが限度だから、機種選定は妥当だと思う セキュリティ対策って設定して終わりじゃないから
設定だけしてもらってもあんま意味ないかと。
保守も故障対応とかアップデート程度っぽいし。 85です
色々アドバイスありがとうございます!
機種として60Dは妥当な感じでしょうか
すぐ決めなくてはというわけではないので
業態的に合ってるかと設定や保守の依頼については
上に出てた本を読んでもう一度考えてみようと思います 最近こぞってリコーを初め複合機屋がFortiに手出してる。
UTM多機能、トランスペアレントで挟み込むだけだから導入が楽、
テンプレ設定でばらまけるから内容を理解してないレベルの事務機屋にも販売させることができる。
価格設定は我々中小SIerから見たら羨ましいレベルのぼったくり、さすが大手の看板使うと違うなぁと思います。
もし他に出入り業者が居たら相談したらもっと安く済むかもしれないし、
注意して欲しいのはFortiはあくまで対策の1つと考え、これで万全!と過信はしない方が良いかなと思います。 連続で失礼、
セキュリティ設定の変更なら管理画面も日本語GUIだし難しくはないと思う、
というかWebフィルタやDLP使わないならほとんど設定変更もないと思うけど。
初期状態からの設定は自分ではしない方が良いかと思います。
あと導入するならハードウェア保守はケチらない方がいいです、壊れやすいものではないけど
万が一壊れたら笑い話にもならないので。 すんません
自宅から書き込み
会社のISPが遅すぎて
Forti(OS 5.x)のVPNから、フレッツVPNへの変更を思案中
Fortiだけで、フレッツVPNされているところ、有りますか?
フレッツVPNはRTX使わないと と業者に言われて 単純にトンネル機能だけ使うならRTXのほうが信頼性はあるわな
別にPPPoEしゃべれてトンネル機能持ってるならなんでもいい >>94
なんでだろ?
うちはRTX1200or1100で問題おきてないけどな >>94
フレッツ回線でispとフレッツvpnワイド使うなら、hub噛ませてwan1とwan2に接続して両方使えば良いかも。
pppoeのマルチセッションは出来なかったするからfortiだと。vdom使うのは負荷がたかいし。
フレッツvpnワイドだとネットワークは超えれないから、内部でvpnかけるといいかも?
今ならrtxよりcisco startの方が安くてオススメ くっそー30Dまた固まってる定期レポートこねー
おそらくウィルすチェックの定義ファイル更新だろうけど、
これってスケジュールで更新時間何とかできたっけ?
>>94
うちはNECのIXルータでフレッツ光ネクストのIPv6でVPNやってる。
接待頼んだ数社のベンダには全部断れたから自分でやったけど。w >>95-99
いろいろ、教えていただき有難うございます
我ながら情報不足だと反省
従来、FortigateのVPN機能で各拠点を接続
リース期間が切れたので、総入れ替え
内訳は、200D 90D 30D
で、その際NTT Bフレッツから光ネクストファミリー 1Gタイプに切り替え
ISPがO●Nと言う地雷 当然のごとく夜間は遅くて使えない状態
30Dのせいで、98氏の案もダメ (90DもVDOMは不可)
切り替え直後なので、追加のハード申請もしにくい状況です
トホホ 全拠点ISPとフレッツVPNの2セッションってことかな
30Dの拠点だけインターネットもVPN経由にしてしまう荒業も・・・・ただでさえ遅いのに激ヤバですかね
30Dは置いといて単純に2セッション収容するだけなら別にVDOMはいらないんでは?
2ポート分PPPoEに割り当ててルーティングだけで済むよね? 速度なら、NTTCOMのArcstar系サービスにするか、
他社の同系統サービスにするか 家庭用ルータでAtermWG1800HP使ってたけど有線クソだからFortiGate-60Dに乗り換えた
Fortiアニキたちよろしく! ホスト名出てしまったwww
これを機にセキュリティ勉強しなおします べつにホスト名出たところでNTTがしゃべらなければだれにもわからんだろ
あと2chはともかく世の中にはIP公開掲示板が多いし ちょいと教えてください。
5.2.3に上げたら、GUI上からUSBモデムの項目消えたんだけど、
40C特有の問題?それとも全面的に消されちゃったの?
デモ環境でUSB使いたかったんだけどなぁ。 始めて30DさわったんだけどDNSサーバ機能ないのな、キャッシュ機能も
普通にあると思ってたからびびるわ最近のファームもそうだけど細かいとこで仕様かえすぎでうざいわ最近 >>110
あるよ
インターフェースのとこで設定する >>111
内部DNS用に個別にAレコード登録できますか?
家庭で使うにはあると便利なんだけど >>111
ええ〜まじで・・・・
インターフェイスのとこも探したんだけどな、見逃していたのかな
もしよければなんてコマンドか教えてください FortiOS(firmware)の4.0系と5.0系って
利用面で大きな違いありますか?
漠然としたものになりますけど
4.0 MRxで十分、とか
5.0以上にしておくべきとかはありますか?
利用規模は小規模でクリティカルなことはしませんが、必要十分、なのかできれば上げるべきか、が分からずで 可能な限り上げるといいんじゃないかな。
上げている方が何かと便利だしね。 5.2からHA構成でPPPoE対応とか書いてあるので、確かめたんですがちょっと良くわかりません。
HSからの抜粋
DHCP/PPPoE機能使用時に冗長化構成を組むことは可能ですか。
FortiOS5.2よりDHCP機能及びPPPoE機能を使用時の冗長化構成をサポートしています。
100D F/W5.2.4 HA構成でインタフェースにPPPoEのチェックあり。
500D F/W5.2.4 HA構成でインタフェースにPPPoEのチェック無し。DHCPは有
500Dは中級だからPPPoEとか使用しない想定なんですかね。 >>113
5.2系ならフィーチャーでDNSデータベースをONにすると出来ると思います。
ネットワーク>DNSサーバでゾーン作成後にインタフェースでサービスを有効 >>117
ありがとう。
30DにはGUIのフィーチャーにも、config system globalだったかsettingだったかのgui-にも
DNSデータベースがないのですよ。 >>118
データシート見るとDNS Database supportは60Dからだね fortigate 60cをPPPoEルーターとして使うにあたって注意した方が良いこととかありますか?
ハマりやすいところなどあれば教えてください
GUIでwizard使ってまともに繋がらないみたいな話も聞いたので不安です >>120
特に無いよ
普通に接続できるという感じしか記憶にないけど、fgのやすい奴はよく壊れるイメージ。特に中にフラッシュかssd積んでる機器で、ディスクロギングしてると駄目っぽい。
どこからかその機能が使えなくなったのは、ディスク破損が多発してるからじゃないかな。 一転補足だけど、fortiOS古いとメモリリークやcpu100%やらで悩むよ。 >>119
まぁ、そうなんだけどそれでもDNSキャッシュサーバはあるって話だったので・・ >>118
60Cだと出てくるDNS Databaseが
30Dでは出てこないって話?
いちおう60Cだとこういう手順だね
見つけにくい位置にあるけど30Dだと出ないんかな
http://network-cisco.seesaa.net/s/article/393477605.html >>121
ありがとうございます
ディスクロギングがデフォルトオフになったのはv5か5.2あたりからみたいですね
とりあえず購入してみます >>124
そうでござる、無いのでござる
で、>>119の言う通りスペックシートには30Dと40DにはDNS Database機能が無い
ただ>>111はあると言ってるので、なんか裏技でもあるんかなと
もう引き渡しちゃったから試しようもないのですけどね >>114
4.0はもうメンテされないから
VPNとかに使うなら辞めたほうがいい
UTMとしても4はもうすぐサポートなくなると思うよ FortiClientからVPN経由でLANのPCをWOLで立ち上げる方法が分かりません。。。
一応ファイアウォールのポリシーはVPN→Internalは全てのサービスを許可しているのですが、うまくいきません。
マジックパケットはユニキャストでもブロードキャストでもどっちでもいいです。
Ciscoだとできたんだけどなぁ すいません自己解決しました
スタティックなarpを書いてなかっただけだった… 自宅用にFortiGate-60cを中古で買ったら2019年までFortiGerdのサブスクリプションついててワロタ
Internalをswitchで動かしてて、Internalポートに接続してる機器同士でjumboFrame透過させたかったからMTU9000にしたら、インターネット抜けが20Mbpsくらい落ちたもんでMTU元に戻した
そしてMTU戻した後もInternal同士でjumboFrame透過出来た
switch動作有能ですな FortiCloudのキーって筐体にシールで貼ってあるけど、あれってシール以外に書いてないんですかね?
いや、もうラックにマウントしちゃったので見ようと思うと大変なんですよw ラックタイプならディスク持ってるだろうしFortiCloudなんていらなくない? 4系OSのForti買ってやってみたけど簡単に入れるな ファーム最新にしたらレポートの中no dataになっちまった
海外製はやっぱよーわからん ファーム最新にしたらレポートの中no dataになっちまった
海外製はやっぱよーわからん fortiを他のFWのDMZに置いてVPN装置として公開したいんだけど
VPN接続しにくるincomingインタフェースとlocalインターフェースが
同じポートでも通信って問題なくできるもんなの? ssl.rootからWAN1への通信を許可するポリシーを書けば行けるんじゃない? ssl.rootかぁ、なんか見るサイトによって
VPNポリシーの作り方が違って解らんなぁ
明日試してみますぞ 他のFWのポリシーは
(A)WAN->DMZにHTTPS
(B)DMZ->LANにVPNで許可するトラフィック
Fortiのポリシーは
(C)SSL.ROOT->WAN1 または
(D)SSL.ROOT->LAN
どっちのパターンでもやったことあるけど(昔のバージョンだけど・・)
素直にFortiを2本足にして(A)(D)でやった方が苦労しなくて済んだ気がする ssl.root >> wan1で出来たよ、ありがとう 国内ベンダでFortiOS5.4.0提供はじめた所ってある? Fortigate自身もrecomemdedにしてないから、当分ないやろ fortigate200Dで質問です。
ポートにそれぞれアドレスをふってお互いにポリシーを書いて通信(Ping)させましたが、ポートのインターフェイスの設定をDHCPにして自動取得したpcしか通信できないです。何か設定足らないでしょうか?
ポリシーはすべてallにしています。 Windowsファイアウォールがはじいてるとかゲートウェイ間違ってるとかじゃないの
業者さんに設定お願いした方がよさそうだね フロー(ディープブロー)とプロキシの差がいまいち・・・。フローでもeicarをwebダウンロードしようとすると、ページ書き換えるよね?
プロキシ動作じゃなくてもできるもんなの?
あと、聞いた話、5.4.0がばぐばぐで、5.4.1は今の予定では6月とからし。 60Dですが、Wifi経由で接続してきたPCは問題ないのに、
Androidスマホ、タブレット、iPad、iPhoneに限ってインターネットに出られません。
なにか気を付けなければいけない設定はありますか? >>152
自己レスになりますが、
DHCPモニタで一覧したときに、ホスト情報に「VCI」が含まれていない端末が60Dを通過出来ない様子。
依然対応方法はわからずです。 Fortigate100D(固定ip)とSi-R G100(動的IP)をipsecで接続したことのある人はいないだろうか… どんどん新しいFortiOSリリースするのを悪いとまでは言わないけど、
既存のOSを安定化させて欲しい。
リリース前に基本動作の確認をしっかりやって欲しいな。
誰と競争してるのか知らんけど、自分の製品の土台をしっかり作り上げて欲しいです。 >>154
FortiGateとScreenOS、YAMAHAあとなんだっけ忘れたけど繋いだことある
YAMAHAとSi-Rも繋いだことあるけどFortiとSi-Rはないな
多分、徹底的にプロポーザル合わせれば行ける雰囲気だけど
確かFortiOS5.2から対向が動的IPだとルーティングべ―スIPsecできないクソ仕様になった
詳細は覚えてないけどもポリシーベースじゃないと無理だと思った方がいい
>>155
ほんそれ
GUIやら細かい仕様やらコロコロ変え過ぎ、SSL-VPNとかUTM使う分には問題なさそうだけど
SIerとしては価格含めてまともな競合製品があったらFortigateなんて速攻捨ててる
一応今色々新しいの検証はしているが・・・。 >>156
そんな仕様があったのは(なったのは?)知らなかったデス…
まぁ、無理とわかっていても単純に無理ですってのは納得はしてくれないと思うんで、試せるだけ試して無理ですって方向に持って行きたいと思います。
だから異機種間のVPNって嫌なんだ… >>156
なんじゃそのクソ仕様はと思ったけど、冷静に考えたら当たり前の仕様だよな。理由が分からないならこの仕事やめた方が良い。 >>158
今までたいていの機械で出来てきたことだと思うけど
ルーティングベースNGでポリシーベースはOKが当たり前ってどういう理由で? 60Dでハマってます。
拠点aに60Dを新規設置しました。拠点a.拠点b.拠点cはルータでvpnトンネルを張っています。
拠点bと拠点cのインターネットの通信は一旦拠点aの60Dを通って外に出て行きます。
拠点aは問題ないのですが、拠点b、拠点cはインターネット使用した場合httpのみかなり表示が遅くなります。なのでGoogleは問題ないですがヤフーはかなり表示がら遅くなります。60Dのポリシー、UTM機能を切っても駄目でした。
メーカーに問い合わせたんですがありえない事象だと言われました…
なにかご教授いただきたいです。 60D でアンチウィルスのプロファイルが新規作成できない・・・・
ライセンスがないからとか?
それとも CLI で何かを有効化する必要があるのか? フューチャーで複数プロファイルのやつ有効にしてる? HA構成したときに、スイッチポートをモニタポートにすることってできますか? [拡散希望!]
参考になりそうなURL送っておきます
電磁波による拷問と性犯罪
http://denjiha.main.jp/higai/archives/category/%E6%9C%AA%E5%88%86%E9%A1%9E
公共問題市民調査委員会
http://masaru-kunimoto.com/
この方たちは集団訴訟の会を立ち上げてマスコミに記事にしてもらう事を目的に集団訴訟を被害者でしようという試みを持っている方達です
訴訟は50人集めてしようという事なのですが50人で訴訟をすると記事に書けるそうです
記事には原発問題を取り上げてテク犯被害を受ける様になった大沼安史さんらが取り上げて下さるそうです
大沼安史さんがテク犯に遭っているという記事
http://ameblo.jp/hilooooooooooooo/entry-11526674165.html
大沼安史の個人新聞
http://onuma.cocolog-nifty.com/blog1/4/index.html
この方たちは電話相談等も受け付けている様で電話番号を載せている方達は電話かけ放題の契約をしていますのでこちらから電話して本人にかけ直してくれと頼むとかけ直してくれます
音声送信被害等を受けている「電磁波による拷問と性犯罪」の記事の水上さんは年金暮らしなので時間には余裕があるそうで被害内容の話等を聞いてくださると思います
もう一人の電磁波犯罪には遭っていない国本さんという方は電磁波犯罪をしっかり理解されている方で年金暮らしの方なので長電話も大丈夫です
大沼さんはこちらのページからメールを受け付けておられる様です
http://onuma.cocolog-nifty.com/about.html
電話をかけたい場合は人によってはメールで電話番号を訊くと教えてくれると思います
この文章を見られた方は全文コピーをしてできるだけ多くの知り合いの被害者の方等にメールを送るなり被害者ブログに書き込むなりしていただければ大変有難いです
もし大勢の方に送る事が出来なければまだこの文章に触れていない知り合いの被害者に少しでも全文コピーで送っていただけるとその方が次の何人かの方に繋いで頂ける場合があり結果として大勢の方に見て頂く事が出来るはずです
ご協力よろしくお願い致します 👀
Rock54: Caution(BBR-MD5:f70dfdc711a7c6ae6accccb939f27fbf) お客さんところのHA構成のFortgate200Bをファームウェアのアップデートした
1アップグレードに20分取ってたら5分ぐらいで終わっちゃってちょっと驚いた
検証用に購入した1台放出しようかな
200Bは5.4台にできないし、
>>165
マスター側のスイッチポートは色々できたと思う FortiExplorerでUSB MGMTに繋げると
PCとFortigateはIPアドレスなくても通信できるのでしょうか? 4.0MR3でHA(Act-Passive)構成した時にDevicePriority同じ値にしないと
2台のFortigateのHBIF接続した時に片方が落ちるんだけど
Act-Passiveの時はDevicePriority揃えないとダメとかある? FortiGate ファーム 5.2.3
Forti AP ファーム 5.2
ブリッジモード接続で、SSIDステルスの設定は出来ないのでしょうか? >>171
4.0MR3台のコンフィグみたけど同じになってるな
揃えるべきかも 怪奇現象が発生しており、お知恵を拝借したく書き込ませていただきました。
<やりたいこと>
・Forigate 300Dを2台でHA構成
・社内の2つのネットワークの間に設置する
・もともとはルータ1台が置いてあって、ファイウォールに置き換える
(IPは同じものを使用。)
・AV機能のみ稼動
<今の状態>
2つのネットワークのうち、片方にFTPサーバ(1)があり、5分間隔くらいで、
もう片方のサーバ(2)から、ルータを経由して、ファイルのアップロードを行っている。
<発生していること>
・ルータからファイアウォールに切り替えた後、最初は問題なくFTP通信している。
・数時間経つと、突然サーバ(2)が、FTPサーバ(1)を見失い、通信できなくなる
・2回切り替えを行ったが、1回目は4時間、2回目は2時間くらいで、通信できなくなる。
(再現性あり)
・ルータに構成を戻すと、最初は同じく見失ったままだが、1時間くらいすると復旧する。
・ファイアウォールでパケットキャプチャ確認しても、サーバ(2)側のポートに該当パケットの通過なし。
サポートに問い合わせても、原因不明とのことで、お手上げ状態です。
「この辺が怪しんじゃね?」というのでもあったら、アドバイスいただけると助かります。 >>174
正直サポートがお手上げだとどうしようもなさそうだけど
L2レベルから疑ってみたらどうかな。
スイッチングHUBのMACテーブルとかサーバーのarpとか・・・ 両系アクティブの事象に似てる気がする
シングルで動かしてみて上手くいったらa-pで動作見たら? FortiOS 5.2.8アップデートがWebGUIに出てるのにいざアップデートしようとしたらダウンロードで失敗する
正常にアップデートできた兄貴いる? INTの定義なんて自由にやれるんだし、RJ-45のポート使えばいいんじゃない?
>>180
Fortiはあそこからのアップグレード成功するほうが珍しい
代理店なり保守契約結んでるところからDLしてアップグレードするよろし >>113
もう見てないと思うけど、サポートしているハードでも透過モードの時はDNSサーバの項目は表示されないみたい なぜかポート開放できん
DMZのインターフェースではできてるのに
なんでやろ? fortigateのVMライセンスで運用するのは、
何かデメリットとかあるのでしょうか?
適当に増設出来るKVMクラウド基盤に載せるんで、
マシンスペックが足りないという事は絶対無いんですが、
皆物理マシン買ってるみたいで、避けられてる理由でも
あるのかなと勘繰ってしまう… 同じ処理能力出そうとすると実機より高くつく
ってかASICじゃないから遅い 200Dと60D発注した。
支店に60D置くんだ。 AHやESPなとIPプロトコルをポートフォワードするのとって可能ですか?
GUIみてるのですが、TCPとかUDPはあるのにIPがない…
forti配下のCiscoにVPNを処理させたいのです ポートフォワードの意味を勘違いしているような気がする >>192
すいません。この場合はNATと表現すべきですかね… >>193
君の知識だったら金払ってプロにお願いした方が良いね。 勉強のために60Dをオクしようかと思ってるんだけど
契約切れてると制限されてる機能とかってありますかね? >>196
パターンファイルの更新とかファームのアップデートとか。 >>197
ありがとうございます
評価や勉強としては十分な感じですね 会社でのUTM導入を考えてスペックとにらめっこしてます
90Dいいなー、と思ったのですが、アンチウィルスのスループットが
フローで65Mbps/プロキシで35Mbpsと書かれてますけど
アンチウィルス機能をオンにするとそんなに遅くなりますか?
UTM導入は初経験なので、そこまで遅くなるのか実感が無いです UTMは単純捜査じゃないからASICとか効かないし
どこもそんなもん >>200
そんなもんですかー
実効速度がフローでも50Mbpsになりそうですけど
もう一段高い100Dを検討しようかな… Sophosとかで評価版のソフトがあるから空きPCとかに入れて試してみたら?
UTMの感覚は掴めると思う >>202
このスレの趣旨と反してしまうかもだけど、面白い製品を紹介してくれて助かります
PCをUTMとして使えないのかとも考えていたので、これは是非試してみたい 支社に60D.本社に200Dを想定して、回線使わず接続テストしてるんだ
支社からは外に出ず、本社経由で出てるっぽいけど、支社のPCからTracertすると、本社から外のgatewayのIPの前に200DのMGMTのIPが見える
なんだこりゃ
60Dと200Dの間には、インターネットの代わりにルーターを置いてる >>204
tracerouteはどのIPアドレスで返さなきゃいけないというような決まりはないじゃん。
だからそれは仕様なんだよ(藁 5.2からNAT64使えるみたいだけど使ってる人いる?
スループットどれくらいでるのか知りたい >>204
IPsecだと思うけど、トンネルにIPふってないなら、そうなるかもね 100dで質問です。
新しいセグメント追加のためvlan追加したいのです。
すべて使用のポートを倫理で切っている為、元のvlanを切って新たに作る流れになると思いますがその場合、その切ったvlanは通信断等発生するでしょうか? もう少し具体的に書いてくれ。何がやりたいのかよくわからない 倫理で切るって、ポリシーってことですか?
vlan切ったら、通信も斷かな
人のいない時に試してみたら? >>200
ASICがきかない?きくよ。
どのチップが入ってるかはモデルで
変わってくるから確認してください。
エントリーモデルクラスだとsoc
ある程度ミッドレンジになってくると
CP、NPが入ってるからパフォーマンス
があがってくる。 ポリシーのセクションビューができない
デフォの暗黙のanyがあるから? 一部のGoogleサービスのみ利用を許可する制限を掛けたくて、
FortiGateの導入を検討しています(60D or 50E)。
規模的には60Dでも十分かと思ったのですが、NGFWスループットが
23Mbpsと低いのが気になっています。
※アプリケーションコントロール機能での制御を考えているため。
逆に、50EはNGFWスループットが220Mbpsと60Dより高く、
その他のスループットも60Dより高いのですが、ファイアウォール
レイテンシが180マイクロs(60Dは4マイクロs)と大きいのが
気になります。
NGFWスループットとファイアウォールレイテンシの間には、相反する関係があるのでしょうか?
※NGFW関連の機能を無効にしていても。
また、50Eの180マイクロsというレイテンシは、一般的なWeb閲覧や
Web会議のような使い方であれば、十分な値なのでしょうか? そなの?うち50人ぐらいの製造業だけど30D使ってるよ
どうせアンチウィルスでスループットそんなに出ないでしょ? >>219
ネットで調べても、取り扱っているサイトが少ないように
思うのですが、あまり実績のない機器なのでしょうか?
>>221
5.4系はまだ安定していないのでしょうか? >>224
一般には5.2系が安定版ってされてる
とりあえずFortiはサイジング含めて選定難しめの機器だから販社に検証機借りて試験導入する事を勧めるわ >>225
ありがとうございます。
試験機での検証を考えたいと思います。 FG300Dの導入を検討してて、相見積もりでウォッチガードの金額聞いたら安すぎてびっくり
スループットとかいいのになんで安いんだろ 俺も昨日ウォッチガードってのを見つけて値段調べてたら本当に安かった
ネットで調べてたら情報まったく出てこなくてびびったけどw 昔アキバのOTTO(PC-server1)で扱ってたことあったけどな>ウォッチガード 赤いやつってイメージしかない。
昔のは中身PCだったな。 ウォッチガードって今でも管理用PC用意しなきゃいけないの? 100dで質問した者です。
すいません、自分でもなんかへんな文章で申し訳ない
LANインターフェイスとして12ポートを物理できっています。それを半分の6ポートを今の物理グループより削除して新たにインターフェイスグループを作成しLANを2つにしたいのです。
今のLANには一本だけでL3が繋がっており半分のポートをグループから削除しても問題ないとフォーティーより回答あったので削除実行したらネットワークが止まりました。慌ててすぐコンフィグを戻して復旧しましたが原因がよくわかりません。
LAN側pcよりpingを打っていましたがL3までは通っておりました。
fotiとL3間の通信が取れていないようで、ポリシーか物理インターフェイスを変更した為Macアドレス変化したのかのどちらかと思っているのですがどうでしょうか?
物理インターフェイスを分けるとMacアドレスって変化するでしょうか?
あとはポリシーを新たに分けたインターフェイスで適用し直しでしょうか? 5.2系5.2.3以前のだとハードウェアスイッチのメンバー編集すると不具合起こす >>236
まじですか、、確認してみます。
その場合はやはり新たにポリシーの設定し直しですかね >>238
そんなに古くなかったような気がしますが確認してみます。
ありがとうございます。
ちなみに5.2系5.2.3以前とありますが5.0系も対象でしょうか? 細かいこと聞いても、答えられないよ
自分で試しなよ 忘れてた。
5.0系はハードウェアスイッチの機能に制約が多くて、そのせいか不具合が少なかった。
たぶん5.0系は大丈夫だけど、メンバーの編集の自由度が低かった気がする 5.0系は初期化しないとスイッチの構成変更できなかったような 5.4はチャレンジャー
5,2は常識人
5,0は⁇ webフィルタの設定で教えていただきたいのですが、
www.yahoo.co.jpとyahoo.co.jpは許可とし、img.yahoo.co.jpなどのwww以外の文字列は禁止したい場合
正規表現でブロックをすれば良いと思うのですが、下記の記述でうまくいきません。
^(?!.*www).*(?=[0-9a-z]).*$\.yahoo\.co\.jp
設定教えていただけませんか。 エスケープ怪しい
正規表現チェッカーサイトなりでマッチするか確認してみたら? >>247
なるべく1行ですませたいと考えました。
>>248
v5.4.1 build5447 です。機器は60Dです。 >>250
5.4.2出たけどまだまだ不具合多い。
リリースノートの既知の不具合がてんこ盛りw
出荷時から5.4.1? >>251
出荷時は5.2系統以前でした。最近5.4に変えたのですが、かなり変わりました。
動作も前とすこし違うような気がします。 >>252
悪い事言わないから5.2系にもどした方がいいよ
5.4にしかない機能をどうしても使いたいとかあるの? >>252
チャレンジャーやのぉ。機器モデルと使ってる機能晒してくれよ。 fortigateでwebのブロック等の制限ではなく、閲覧履歴のみをを取りたいのですが可能ですか? >>256
全部のカテゴリをモニターで登録しとけばいいよ >>257
できました
…が、当然ですがユーザが意図して開いたページと広告とかの勝手にコネクション張る系がごちゃまぜでよく分かりませんでした…
正解はブラウザとユーザ本人のみぞ知るってことですかね
個人的な興味なので満足しました
あんまり嫁さんの閲覧履歴とか見ても不幸な事態に陥りそうなのでオフります
ありがとうございました あんたの嫁さんにPacketBlackHoleとミラーリング用のスイッチをプレゼントして
セットアップまでしてやろうか >>260
それって暗号化された通信も復号化できるの? 実装的にmitmproxyと考察してる人は居るね
メインのWebUIの方は、BackTrackにも含まれてるXplicoの独自カスタマイズだと思う
何れにしても目新しいソリューションでは無いはずだよ 50bから50dへの入れ替えって、コンフィグバックアップからリストアで、移行できるもん?
fortigate以外は触ったことあるんだけど、今回初めて触ることに。 >>265
機器が違ってもバージョンが一緒ならインタフェース以外の設定は流し込めるよ
ただFortiはインタフェースに紐付けてポリシーを書くから新しい機器に合わせて流し込む前に修正する必要があるね
あと50bは5.4.xのFotiOSに対応してないので、50eと同じバージョンに揃える事はできません
なのでコンフィグ移行は無理です >>266
ありがとう、やっぱりバージョン違いがネックかぁ。
別の人が特に資料も残さず書いたコンフィグを移行しなくちゃいけなくなったから、これは時間かけても勉強しながら手入力するよ。 Ping通ってるのにNTP上手くいかんのなんでやろ? 相手のNTPサーバーが動いてないとかICMPは通ってるけどUDPが通っていないとか。 ポリシーでNTP通せば、行くでしょ
FGからNTPして、他からリスン? 60Dでスループット計測してます。
LAN → WAN Any 許可の UTM 全オフのポリシーで
一世代前の家庭用ルータより 200Mbp 近く速度が落ちた。
カタログスペックでは圧勝しているはずが、なぜこんなに速度でないのか謎です。
ポリシー自体には適用していなくても、ライセンス入りだと裏で動いて
実通信にも影響でるんでしょか?
試しに Web フィルタを適用すると更に速度が落ちるので関係ないか。。 一世代前の家庭用ルーターの方がそのレギュレーションだと高速、でいいじゃん。 >>276
それ以外にも試してて、ジュニパーのSRX220と比較しても遅いのよ。
SRX220の方がクラスが上だけど、単純にFWスループットなら60Dの方が出るのかと思ったのだけどね。 一世代前の家庭用ルーターで200Bps出るって凄くない? >>277
じゃあそもそも60Dが遅いということで。 Juniperオタクの荒らしやったんか
まんまと乗ってもた >>282
いや、全然荒らすつもりもなければオタクでもないよ。
ジュニパーの方もUTM有効にすれば同等かそれ以下に落ちるから、
Fortiの方もUTMが動いててこれだけスループット悪いんだと思っているんだけどね。
GUI上で考えられるUTM、ログは全部オフにしたけど大きくは変わらず。
あとはCLIでなんかないか調べてるところ。 >>285
家庭用なら 500Mbps、60D が 300Mbps です。
ちなみに別時間帯、何種類かの方法で何度も計測していますが、だいたい差は同じぐらいです。
なんとなくわかったのが、PPPoE を使っていない WAN2 配下のサーバと計測すると他機器を上回る十分な速度がでました。
セッション情報みると WAN2 は FortiAsic が機能しているけど WAN1 の場合は全セッション機能しておらず。
切れそうな UTM は全部切ってるけど、やっぱりどこかで動いてるのかなと。
(回線については問題ではないことはわかったので省略します) >>287
mtu/mssは設定済みです(全機器共有) >>286
fortios 5.2 pppoe asic でぐぐると 同様な症状が
ひょっとしたらPPPoEだとASICが効いていないの
かも?
ちなみにバージョンは? >>289
情報ありがとう。
まさしく5.2系で、5.2.8でダメだったので最近でた5.2.10にアップグレードしたけど変わらずでした。
仕様なら諦めるしかないけど、5.2特有ならバグかな。。
5.4には他の面で支障が出てくるから上げたくないし、もうちょっと調べてみます。 >>286
本家のスレッド読み進めていくとどうやらPPPoEの
フレームタイプはオフロードされないみたい。
CPUが非力な下位モデルでは厳しいかも。
前にPPPoE用のルータ置いてFortigateはブリッジモードで
使いしかないのかも。 >>291
ありがとう、こちらでもスレッド確認しました。
容量5GB、500ファイル程度の圧縮データを流すと
CPU 使用率が一気に 100 % にもなるんで、
ASIC 効いてないのは間違いなさそうです。
で、PPPoE でなければ CPU 使用率も問題なし。
このラインの製品使うとこなら、わざわざ上位にルータ置くことも少ないし
この辺りは仕様に書いといて欲しいなあ。(基本 UTM ありきの製品とはいえ。) でもこの手のモデルは、PPPoEが多いと思うけどなぁ PPPoE の時、ASIC は効きません。
ハンドブックを読んでみよう。 各種PCUNIXでもPPPoEをカーネルモードで処理しないと速度でないしナ。 200Dだけど、スループット800Mbps出てても、ポリシーでサービスをallからhttpにするだけで、半分以下になった
こんなもんなんすか! >>298
結果だけ言われてもどーしようもねーよバーカ! gigabitの線があるなら箱もgigabit性能欲しいよね。 ギガの性能についてはUTMやPPPoEは切り離して検討すべき話かな?
そもそもCPU依存機能は計測しにくい。
xeon詰んでる機種あたりでやっとリソースへの不満が大分減る。主観ですが。。。
そろそろ国内でもE型番が出てくるらしく2桁型番のスペックへの不満は
それなりに改善されるんじゃないか。 ポリシーのサービスをallからhttpに変えるだけで、そんなパフォーマンスが落ちるのかって話だよ
経験のない奴は黙ってて UTMの機能はともかく、PPPoEぐらいは楽々捌いてくれないとね。 だったら構成ぐらい書けよバーカ!その程度でSE名乗ってんじゃねーよ! Fortigateは、VIPに対するあくせすで、Port443は、サーバAに、Port80はサーバBにみたいに、
プロコルごとに振り分け先を変えることはできないのですか?
vip をたとえば、 vip1 10.1.1.1--->192.168.1.1 vip2 10.1.1.1--->192.168.10.1
と定義しようとすると、重複アドレスエラーになるのですが。
(NAT元のアドレスが同じだとduplicateになります) 200Dなんですが、トランスペアレントモードでHA構成組んだ事ある方いますか?
障害時からの切り戻りがなんか不安定で、やるタイミングか状況かでうまくいったりいかなかったりします。
やっぱルータモードの方がいいんでしょうか?
バージョンは5.2.9です >>308
バーチャルIPの設定の中にポートフォワードのチェックボックスあるじゃん
転送先をip:ポートじゃなくてipだけにしたいとか言うならしらん >>310
ありがとうございます。
その設定で下記ができるですか?
443,80 10.1.1.1 443
--------------->VIP------------>192.168.1.1
| 80
+------------->192.168.0.1 >>310
ありがとうございます。
その設定で下記ができるですか?
443,80 10.1.1.1 443
--------------->VIP------------>192.168.1.1
| 80
+------------->192.168.0.1 >>310
※だめですね。ずれて絵が描けません。
ありがとうございます。
その設定で下記ができるですか?
443,80 10.1.1.1 443
--------------->VIP------------>192.168.1.1
| 80
+------------->192.168.0.1 >>310
>>314
実は運用で使い始めていて試せなかったため、質問させて頂いたのですが、
運用時間外で試行することができ、ポートフォーワーディングとペアで設定
すると、同じNAT元VIPでもduplicateしないことを確認できました。
ありがとうございました。 5.4.2で DNS Filter あてたポリシーからアクセスすると、
ブラウザが一度名前を引けずにタイムアウトする。
少し待ってアクセスすると問題ない。
5.4.3いれても変わらないんだけど同じ症状の人いるかな? DMZにあるサーバにinternalから、VIPは出来るけど、サーバからWANへ出て行けません。VIPを無効にすると出て行けます。
いい手はないでしょうか。 だれか助けて。
VPNのためにFortiClientをPCにインストールしてたが
ある時にインターネットができなくなった(昨年12月頃)。
OSはWindws10。
で、WEBからまた新しいFortiClientをインストールしようとしたが
https://www.fortinet.com/support-and-training/support/product-downloads.html
今まではすぐにダウンロードできたが今度はメールアドレスなど細かい個人情報を
聞いてきた。これってなんで変わったの?それともおかしなサイトをオレが見てる?
で、適当に情報を入力して、FortiClientをダウンロードしてインストールすると
なんと勝手にアンチウイルスソフトまでインストールさせられた。前は
インストールしないのを選べた。それでFortiClientアンチウイルスがWin10の
Defenderとバッティングして、Defenderをオンにできない。
みんなどうしてるの?Defenderをオンにしたいんだけど。辛いわ。 >>319
なんでダウンロードサイトが2つもあるんだよ?w
とにかく、神様ありがとう。 >>319
今のforticlientを一度アンインストールして、
vpn onlyのインストーラーで再インストールすればよいと
思うが、そもそも今のforticlientをアンイストールできない。
下記のエラーが出てアンイストールできない。
どうすればいいの?なんなんだろうこれ?
forticlient cannot be modified or removed while
it is registered to a remote management server >>321
たぶんfortigateにクライアントが登録されてるんじゃね。
forticlientのコンソール開いてファイル→登録解除。
でどうかな。 FortiViewの送信元(またはすべてのセッション)にデバイスっていう項目があるけど、これを表示する方法はありますか?
WinやiOSで試しても出てこないのでOS依存ではなさそう。
ハンドブック読んでも書いてなく、DHCPサーバ予約設定のDiscriptionに文字列入れてみたけど表示されずで用途も使い方もわかりません。 >>323
ユーザ&デバイスのデバイス定義を設定してみるとか。 >>323
ポリシーの送信元デバイスタイプをとりあえずAll
にすればデバイス検出が有効化される。
IP address is in same subnet as the othersのエラーが出た場合は
下記コマンドをcliで
config system settings
set allow-subnet-overlap enable
end >>317
VIPを無効にすると出て行けるなら、犯人は恐らくSNAT ipsecで見覚えのないアドレスから接続しようとしていたので
このアドレスに対してdenyのポリシーを作りたいのですが
入力インターフェースWAN1
出力インターフェースANY
で作ればいいのでしょうか。 >>328
local-in-policy だね。
CLIからのみ、設定可能。 5.4で質問です。
ntpサーバとの同期をしたく、CLIからサーバのアドレスいれてもエラーがでて投入できません。
5.4以前のバージョンではインターフェイスの設定があったと思いますがそれがなくなっていました。
他に設定する項目ありましたでしょうか? >>331
どんなエラーをだしてるのかね。タイプをcustomにしてないとか言うオチじゃないよね。 カスタムにはしましたが駄目でした。
カスタムにはすれば即時反映なんですよね?
一旦セーブするとかあるんでしょうか?
因みにエラーは下記です。
UTM (ntp) # set source-ip 192.168.10.203
192.168.10.203 is not valid source ip.
node_check_object fail! for source-ip 192.168.10.203
value parse error before '192.168.10.203 ' 5.4にするメリットが不明なんだが、結構あげる人いるんだなあ。 >>333
source-ipってNTPにアクセスするインターフェースのアクセス元IPではなかったか >>335
おっしゃる通りでした。
インターフェイスのアドレスを入れるとソースipは入力できましたがntpサーバアドレスを入力するとかコマンドが見当たりません。エンドで抜けようとするとntpサーバのアドレスが不明みたいなエラーがでます。。。 Fortigateってどことサポート契約するのが良い?
たしか、メーカーの直接サポートはなくて、販売会社?との契約だよね?
そうなると、単なる売ってるだけの所から、技術が強いところまで色々ありそう
設定とか迷ったときに、安心して問合せが出来る所はどこだろう? SCSKとかCTCじゃないかな
やっぱ大手じゃないとサポートレベルが低い ローエンドならEシリーズになるからそっちの方を今後かうべし 最近めっちゃ多い標準攻撃メールだけどみんなのとこもfortiスルーしてる?
思ったより高性能って訳でもないのかなー >>348
その程度のものなのか
最近ゼロックスのビートにするか悩んでる 60C使ってるけど最初のダッシュボードが全部表示されるのにめちゃくちゃ時間かかるね。 FortiAnalyzerって基本保守契約がなくても使えますか?
ヤフオクとかで中古を買ってもログの閲覧などできるでしょうか。 先週始めてFortigateを触りました。
Fortigate-50Eをトランスペアレントモードにしたいのですが、
GUIに[変更]のリンクが出ないし、CLIでset opmode transparentも使えません…。
もしかして、50Eはトランスペアレントモードをサポートしてないのでしょうか…。 >>351
それ後継機器でも一緒。開くのに時間かかるからイライラする。 仮想上アプライアンスでかんばってるけど
IronportとNSXがアンチウイルスベンダーと絡んで何かやってるみたいだから
風前の灯かもな。 LDAP認証で、対Windows AD
ユーザー登録まで、AD参照でできるけど、
実際の認証ができない。
administratorで接続してもダメなんだよね
シングルサインオンはやってません。 >>363
AD情報を参照できてるってことはconfig user ldapの設定には問題がなさそうだけど、「ユーザー登録まで、AD参照」ってどういう意味?
普通は、
(1)config user ldapを設定
(2)config user groupでFortiGate上にグループとAD上のグループと紐付け
(3)上記(2)で作ったグループをconfig system adminやVPNで利用する
って設定の流れだと思うが。 >>364
ありがとうございます。
ForticlientからIPsecVPN remoteで認証しようとしてます。ローカルユーザーはOKです。
XauthをPAPやCHAPで試してもダメでした。
LDAPサーバー設定のユーザーで違うパスワードを入れてテストするとNGなので、認証してるように思うんですけどね。 >>365
コモンネーム識別子のところ cn とかにしてない?
sAMAccountName になっているか確認してみ。 >>367
CLIで diagnose test authserver ldap <LDAP server_name> <username> <password>
で該当ユーザーを確認して正常ならIPSECアクセス許可しているLDAPのとろこの
見直しやポリシー見直しかな。
ちなみに5.4系はバグバグなので検証したことがないw
5.2系ならうちでは正常に認証している。 >>367
追加説明 ユーザーのVPN許可グループにLDAPのVPN許可グループを
追加してうちでは認証させてます。
ADにVPNユーザーグループ作ってその中に許可ユーザーを入れてます。
ちなみにadministratorはテスト後は正常にアクセス確認後は外してます。 >>369
AD側のユーザーに問題は?
[次回ログオン時にパスワード変更が必要]にチェック入れてて一度もパスワード変更してないと認証通らないよ。 SSL-VPNでやってるけど
LDAPサーバの設定で
コモンネーム: sAMAccountName
識別名: dc=hoge,dc=local
バインドタイプ: レギュラー
ユーザDN: cn=administrator,cn=users,dc=hoge,dc=local
セキュアな接続: オフ
ユーザグループはサーバ選んでLDAPグループクエリで参照して選んで
これだけでいけているなうちは
ver5.0.12だけど・・・・ 皆さんありがとうございます
CLIから、diagnose .... でldapテストしてみると、failが返ってきます
チョット手詰まりですね
もう一度、見直してみます わかる方教えてください。
100DをFW兼SSL-VPNゲートウェイ装置としてかんがえています。
ただ、トランスペアレントモードで使うことは可能でしょうか?
インターネット固定IP一個でインターネット側には、拠点間接続用のVPNルータがおり、ポートフォワードで100Dにきます。
DMZ上にSSL-VPNで使わせたいサーバを置きます。 ムリ。ポートフォワードできるならNATモードでいいんじゃ >>374
ありがとうございます。
無理なのですね。
NATモードだとアドレスの関係が複雑になるので、さけたかったんですがよく考えます。 60Cでdmzポートからvipでinternalへの通信てできないのかな
wan1,wan2だとvipでできたんだけど 出来たらおかしいだろ
VIPの定義に使ってるの外向けIPなんだし 以前LDAPがうまくいかなかった>>372です。解決しましたので報告致します。
コモンネーム: sAMAccountName
の設定で、先頭に半角スペースが入っていました>_<
情けない〜 >>377
どういこと?
dmzポートをonuに繋いでfg60cからpppoeでグローバルip取得
vipでグローバルipとinternalのip紐付け
ポリシーを適切に設定してるけどvip機能してないように見える
同じようにwan1またはwan2をonuに繋いでfg60cからpppoeでグローバルip取得
vipでグローバルipとinternalのip紐付け
ポリシーを適切に設定するとちゃんとルーティングしてる
わからん… 正直動作は変わんないんだからWANとかDMZとかわけわからん名前
付けずに通し番号振った上でバスやチップとの接続状態を全公開
してほしい。 >>384
違いがあったから書いてるんだけど
dmzって60Cについてるポートの名前だよwan1,wan2も wan,dmz以外の普通のポートはどうなん?試した? >>385
テキストのコンフィグ見たら違いとかないの?
ステータスが拾える拾えないとか多少の違いはあるけど、動作としては
原則どのポート使っても設定合ってれば違いないと思うけど。 >>384
wanとかdmzとか決まってる方が、やり易いじゃん。テプラて貼るの不細工だし >>388
その用途通りにポートを配置できるうちはいいんさ。
極端な話WAN側にLANをささなきゃならなくなった場合にすげえ困る(´・ω・`) >>389
ポートが足りなくなるって状況がわからんのだが
タグVLANじゃダメなん? >>390
んー ポートが足りる足りないじゃなしに、デフォで付いてるI/F名と実態が
ずれちゃった場合に却って紛らわしいのがやだなーと。
LANとWANて区切りじゃなく、どっちもLANだけど目的が違うネットワークとの
間に挟むとか。 普通、wanなんて2つdmzは1つでいいと思うけどな 一般的な用途で使う分にはWANとDMZ、LANでいいんだろうけど
ローカルのファイアウォールでも使ったりするんだよ。
俺もそういうときにWANとかDMZとか決めうちされた名前が気になるな >>385
経験上ではどのポートでもVIP普通に使えたな
60Dでもやったことあるようなないような
100D以上の機種では確実に何度かやっている はず LAN同士繋ぐならWAN,DMZ使わずどちらもLANポート使えばいいんじゃね
NPを二つ以上搭載してるモデルだとポートとの対応気にする必要あるけど、
100Dなら一つのNPに全ポート繋がってるでしょ >>396
いや、その、100Dはアホの子だからNP積んでないと思うよ(´・ω・`)
200DはNP4 Lite積んでるから差別化したんかな…
FWスループットだけでみるとSoC積んでる2桁型番に負けてるしね 100E 200E出たな
100Eは変わらずNP積んでないけど公称スペックはだだ上がりしとる >>398
いま100Eのデータシート見たらNPも含んだSoCを積むことになったのね
2桁型番の最上位みたいな扱いと考えていいんかな >>399
多分そんな感じ
扱ったことある人は分かるだろうけど、SoCモデルって苦手な処理させると
パフォーマンスだだ下がって一気にCPU100%張り付いてしばらく戻らないからサイジング本当に難しい
予算あるなら出来れば200E以上でいきたいよね E使うためにいずれ5.4のあのGUIに慣れる必要があるんだな・・・ そんな5.4のGUIだめか?
メニューが整理されてていいと思うけどな
バグは別問題な >>400
後継機に変えてスペックアップしてるはずがConserve modeに落ちたりとか
2桁型番には良い思い出がないな…
100DはAtomみたいだしARMに移っても処理能力的に問題ないと判断したのかね 4月から5.6出すっていう
ttp://ascii.jp/elem/000/001/448/1448435/ >>402
すまん、単に好みの問題なのかもしれない
見た目よくしてもブラウザ依存度が強くなりそうなUIは苦手なんだ ブラウザに依存しないweb uiってなんだ?いまだにIE使ってるとか?
端末の解像度に依存しにくくなったし、いいと思うけどね fortigate配下の人が社内システムアクセスのためにIE使う事があったとしても管理者がweb-ui操作にもIE使ってるんだとすると残念だね… Win10になっちゃえばEdgeで超快適になったりするのかな みんな、まさかのFirefoxなのか?
それとも情報抜かれるかビクビクのChromeか? 個人的にはFireFoxなんだけど
IEしか入ってないPCでしかさわれない環境に出くわしたり、
客がIEでさわろうとして「なんか変」って電話かかってきたり何度か面倒に遭遇したんだ
まぁでもFGTだけの話じゃないしわがままだったな、すまんすまん 一般に広めようと思えば、IEで使えないってダメだろ 今IEにフォーカスしてるベンダのせきゅりてぃー、ってダメだろ インターネットに繋がってない作業用端末でIEのみとかあるんじゃないの
WSUSとAV更新用のサーバはローカルアクセス出来る前提だけど 作業用端末ならターゲットの要求するソフトぐらい入れてやれよ的な。 そういう意味で言うと自前の証明書ストア持ってるFirefoxさんがいいのか?
ブラウザ自体の出来が悪くて糞重いけど 大量に証明書配りたいときとかWindowsのストア参照してくれたほうが
グループポリシーで撒けていいんじゃないの どうせレジストリ撒けばすむんだろうからどっちでもいいんじゃね。 Fortigete100DでSSL-VPNやるんでいじくってる。
ローカルユーザのパスワードポリシーに期間はあるけど最低文字数とか複雑さとかが見当たらない。
ヤッパリないんですよね?
ないことにちょっと驚き L2SWが余っていて、それを使うかFortigateのLANポートで済ますか検討してるんだけど、
Fortigateのスイッチング容量が書いてる資料ってある?
ルーティングを行わずLANポート間で通信する場合、ハードウェア処理になるか知りたいんだが。 話だけ聞いてると
素直にL2SW使えば良いじゃん
と、思ってしまうが それだとLANからWAN側に出ていく通信に関しては
L2SWとFortigate間の1本のLANケーブルでやることになるんで、
そこがボトルネックになりかねないのでは?
だからFortigateのLANポート間の通信がハードウェア処理で、
かつスイッチング容量が十分であればFortigateのポートを使いたいんだけど
それに関しての資料が見当たらない。 そんなに通信あるなら内部経由だろうが、ケーブル経由だろうがボトルネックになるだろ まあ確かに、そもそもWAN側も1Gbpsの一本で繋がってるだけだしな。
もともと知りたかったスイッチング容量はなさそうなんで諦める。
電気代の無駄だしポートが足りてるうちはFortigateの空きを使うわ。 >>427
スネークテストで
https://goo.gl/images/6Ghk83
やったことないし、よく分かってないけど(^_^;) 各ポートがNP直結してるモデルだとNPの性能によるんじゃね >>432
ありがとう、自分もやったことないけど、真剣に調べる気になったらコレやってみます。
>>433
>>434
そこんとこが知りたいけど、データシートみたいなのないね。 資料欲しいなら代理店に聞けばいいだろ
保守入ってんだろ つーかここ最近のFortinetの保守ライセンスの体系変更ちょっとエグくないか
保守更新ちょっと忘れたらアウトとか怖すぎるわ アウト? 契約更新できなくなる訳じゃないし、そんな変更あったっけ? >>438
そのまさかで一度保守切らせると契約更新できなくなるって聞いたけど俺の聞き間違え? 確か切れてた時の分も払えば契約できるよ
詳しくは代理店に聞け 100Dにおいて、社内LANに接続する前にwebフィルタサーバをおいているのですが、
このwebフィルタサーバ以外のIPアドレス通信を遮断する設定が記載されている
ようなホームページがありましたら教えていただけないでしょうか。
どうも無断で個人PCを接続されている節があるもので・・・・ ふつーはwebフィルターがproxyとして動いてるとおもうので、
Webフィルターだけ80/tcp (設計によっては443/tcpも)とおして、
残りはrejectすれぱいいんじゃね。 >>441
基本設計まずい匂いがプンプンする
オーソドックスな3層設計にして、DMZにプロキシを設置、
TrustゾーンからWANへのHTTP/HTTPSを許可するpolicy消しちゃえ
MTA社内で建ててるなら一切のInternetへの直接接続を禁止することも出来るんじゃね >>442
ありがとうございます。
fotigate側で受けている発信元がwebフィルタサーバ以外のアドレスも
あったので、webフィルタを経由していないPCがあるのかと思い無断接続を
疑いました。webフィルタを経由しないで来られるとだめなのかなと思いまして。
>>443
ありがとうござます。
零細企業なもので独学しながら管理しているものですから、教えて戴いた
内容が半分以上理解が・・・orz導入だけは、大塚商会に頼んだので
どういう構造になっているやらorz
教えていただいた内容をググって勉強してみます、ありがとうございます。 エンドポイントセキュリティーとしてFortiClientはどうなんでしょ
皆さん使われてます? >>445
試しにバージョンアップしてみたらOS起動しなくなった。おそろしや >>446
自宅でバンドル版使ってる時にVPN Client用途だかで入れたけど
アダルトサイトのカテゴリフェルタリングとか余計なもの入っててウザかった気がする
これ入れると競合してるAVソフトが無効になるから
よく分からんFortiClientを動かしてる方が不安が大きかった気がする
数年前に導入しててアンインストールするまで放置してたユーザとしての感想だから当てにならんだろうけど 今年の6月で5.2もEOESって言われても5.4や5.6なんかにする勇気はない バグに当たろうが脆弱性にひっかろうが、own riskだと言える人は古いバージョン使ってどうぞ まだ推奨バージョン自体が5.2なのにサポート終了とか言われてもどうすりゃいいのよ?って事だよ! そもそも5.4が動かない古いモデル使ってるとかだったりして。どこだか知らんけど、サポート終了せまってるのに推奨にしてるような代理店は… あのなあ、推奨してるのはfortinet社自身だからな?
そもそも5.4以降しか動かないEモデル以外の現行モデルすべての話しだ。 こんなことダッシュボードのシステム情報見てる奴なら誰でも知っている事だろうに。
ろくに使ってない奴ばかりだな。 5.2では表記がRecommendedだね、未だにそこへ5.4.xが表示されないのかな?
ただ、5.4.x,5.6.xではこの表記は無くなったよ。
結局のところは >>451 の言う通りかな。
>>448 今は VPN機能のみかフルバージョンにするかインストール時に選べる。 5.4は潜在バグ山盛りまもなく終息
5.6が安定するまで5.2推奨 潜在してるバグをご存知な >>459 様が推奨バージョンを5.2となされたぞー!
お前ら今すぐダウングレードしろー!! FortiのバグなんてJuniperのSSGに較べたらかわいいもんだよ。 >>461
SSGの安定感に適うものなし。
>>458
Fortinet 社が惰性で更新してないだけだろ。
2世代前のOSを積極的に推すはずがない。 ヤフオク見てると40Cが安いんですが、
性能的にはどうなんでしょう?
自宅でpppoe+FWとして使いたいのですが速度でますかね?
回線はフレッツ光のギガです。
ルールはinsideからの通信(戻り含む)のみ許可といった感じです。 >>464
ありがとうございます。
値段なりってことですね。。 40Cは中古流通で単価100円〜500円。今見たけどヤフオクのはちょっと高い。
速度はそもそも200Mbpsまでの製品だ、PPPoEを使う場合はもっと落ちる。奈落まで落ちる。
市販の一般向けルーターでPPPoEを処理する前提なら40Cで良いと思うよ。UTMを使うのは論外で。
PPPoEを併用してギガ出したいならせめて300D。200Dでもぎりぎりいけるかも知れない。
FW用途ということなので、100Dは論外。90D/60DでもPPPoE併用だとちときつい。
ギガを期待するなら、PPPoE受け用の市販ルーター+FG60Cが現実的な解かと。
長文すまん。 utmもpppoeもしゃぶれないなんて
forti使う意味がまっわくわからないじゃないかw でもPPPoEはハードウェア支援ないんだろ?
だったら別の箱でやらせたほうがいいんじゃないかね。
なんつうかNPが勿体ない。 FWだろ?NGFW/UTMでもルーターでも無いよな
UTMでギガ越えってカタログ値ですら300Dからか。 エンタープライズなネットワークだとfortigateはFW専用機として設置することが多いよね
FWとして見れば頭一つ抜けて安くて速い PPPoEとかって、そんなに思い処理なのか?
数千円のルータでも出来るのに 重くはないけど非力なSoCがまともに演算しちゃうと遅い
FWとして始まったOSだから小規模CPEとしての機能は弱いとこある その数千円の製品は、日本のPPPoE事情向けに専用カスタムされたチップを積んでるんだよ。
ベースチップはわりと多機能なんだけど、その辺りを犠牲にしてね。
業務用各社が見えるところにスループットをあまり書いていない辺りで察してあげてくれ。 FLETSはIPv6-IPoE使える感じになって来た 試しにLAN上にPPPoEサーバ作ってテストしてみたけど
単純にPPPoE+NATでFGT60Dが160Mbps程度、RTX1210が180Mbps程度だった
どっちもDHCP+NATの場合は900Mbps超えている うちのLinuxのPPPoEサーバが低速なだけの可能性はあるがな! ごめんやっぱPPPoEサーバが低速な可能性が高いので忘れてください rp-pppoeをカーネルモードにしてやりなおした
RTX1210は900Mbps程度、FGT60Dは170Mbps程度
スレ汚しすまんかった 自宅運用中の60D(5.4.4)はBNRでこんなもん。回線はOCNでPPPoE+NAT。
1.NTTPC(WebARENA)1: 175.99Mbps (22.00MB/sec)
2.NTTPC(WebARENA)2: 197.86Mbps (24.73MB/sec)
推定転送速度: 197.86Mbps (24.73MB/sec) 数千円のバッファロー以下です。
本当にありがとうございました。 anony君がいみじくも踏んでいる通り、
ユーザーモードのPPPoEは重い。 俺も自宅で60Dつかってたけど自作ルータに乗り換えた 60Dてそんなにダメかな?
UTM無しなら、結構使えると思うけど むしろL4のFWとして使うのが一番コスパいいんじゃないの GUIでポリシーいじれて手ごろな機械って今おすすめある? 60DはUTM諸々かけたら20Mbps程度?が公開された製品スペックなんだが
数千円のバッファローと比べて何を期待したいか教えてくれ
手頃=値段の理解でいいならsophosのUTMが個人利用に限りライセンス無料発行 >>486 みたいな用途がいいんじゃないかなーHA構成も簡単だし? >>488
個人で使うには評価用というか仕事で触ってる人が適当に触りたいから、という用途が
一番じゃないのかな。
先にも書かれてるように単なるPPPoE+NAT箱として使うだったら
バッファローのほうがいいよ。
あとゲートウェイ型のUTM箱で手軽で速度以外はまとも、という切り口でも
FGになりそうだな。 家の100mbps DHCPな環境では40Cが大活躍してるぞよ
FW、VPN、AV、URLフィルタを使ってる
AVはフローベースだがSSLを復号化してないからザルなんだろうけど フローベースはSSL複合化してなくてもザルなモード 小規模事務所内に90D置きたいのですが、動作音というか、ファンの音うるさいですか? >>493
まぁまぁ音出してた気がする。
3mも離れたらさほど気にならない程度だったような・・・人によるだろうけど SSL-VPNの認証をLDAP(Windows AD)でやってます。ADサーバーからのパスワード変更要求に対して、ポータル画面で出来ないんですが、いい方法はないでしょうか? CLIでやってみます
ろくに調べもせず、書き込んでごめんちゃい ディープインスペクション使ってる人いる?
常時SSL時代に向けて今機能検証しているんだけど、OS提供の証明書ストアを用いないHTTPクライアントへの対策ってどうしてる?
無数に存在するHTTPクライアントをそれぞれ検証するとか非現実的だし、なんか良い方法知っている人がいたら教えておくれ。 >>498
証明書エラー気にしないなら別にって感じ fortigate購入前のものですが、DLPは基本ライセンス外で、
オプションを購入する必要がありますか?
ライセンス関係が、いまいち、よくわからないです。 >>500
必要だよ。
購入元に必要ライセンス確認したほうがいい >>494.497
ありがとうございます。ファンレスかどうかカタログではわからなかったので・・・
>>498
うちも検証中です。古い機種(80C)だと処理がもたつく感じ。
機種に入ってるCA証明書をクライアントに配布するのはドメイン環境+windowsなら可能ですが
タブレット・スマホなどは手動対応いりそうなので、大量にあるのでどうしようかと。
また常時SSLのサイトが増えてきたので、webフィルタや経路のウイルススキャン、ログ取りなどを考えると
今後必須になってくるのでしょう。 >>499
証明書エラーは、素人が見るととんでもないことが起こってる、とすぐ連絡してくるので
都度の対応が大変な予感がします。
また、エラーを無視して進めるとwindows+IE11だと、レイアウトが崩れるサイトがあります。
これはfortigate側の問題なのでしょうか。 >>503
スマホやタブレットはまだマシな方だと思うよ。
Androidでの証明書展開はよくわからんけど、iOSの方は構成プロファイルとそのインストール手順を用意すれば最悪何とかなる。
気掛かりなのはアプライアンス装置とかwget・curl等の
CUIタイプのHTTPクライアントとかかな。
社内SEやってると常時SSL時代とか嫌がらせにしか思えなくなる。 されてるが、本来のサイトの証明書ではなく、fortigateの証明書になるのでエラーが出る。
ディープインスペクション使うと、Android7.0でPlayストアに繋がらなかったり、
マクドナルドのアプリで画像だけが表示されないなど、こちらの環境では不具合多数。 TorからのアクセスをブロックするってWebフィルタ機能の標準フィルタで出来る?
内部からTorをブロックする場合はアプリケーションコントロールにあるけど
ていうかTor使って攻撃すんなよなあ
まあ悪用されるソフトだけどさ >>508
Torって内部からのセッション使って通信するんではないの? そのへんはスマホ側の実装の影響なので、明示proxyでDIに逃げるしかないかな、今のところ。
Torを止めるのはAPPでいけるけど、Torの終端からアタックっぽいモノといわれるとIPSじゃない?
後、DLPはライセンス必要?いらなくない? IPSは通信速度をかなり犠牲にするからやりたくない派 >>509
お客様のシステムでエンドユーザーの閲覧ランキングがあるんだけど
一部のエンドユーザーがTor経由で不正に大量の閲覧をTor経由で実施してるんだよね
それを止めたいらしい
エンドユーザー特定できてんだからそのエンドユーザー追い出せばいいんだけど
まあ施設系のシステムもお客様管理してるから
施設管理とWebサービス担当で調整つけられないからインフラ的にやれってさ
閲覧ランキングの仕様が糞なんだけど直さないって言ってるんだよな
集計方法に画像のアクセスも一緒にしちゃってるから
外部サービスと集計とお客様で実装した集計システムと差分が出てんのになあ
まあエンドユーザーはそんなこと知らんだろうけど
内部は簡単なんだけどね >>514
グループポリシーやセキュリティ対策ソフトでexeの実行をブロックできないん? >>515
外部からのアクセスの集計なのでちょっと違う
内部からだったら簡単なんだけどね >>517
セキュリティデバイス扱うスレでそういうのは勘弁してくれ >>513
IPSなしでファイアウォールとWebフィルタだけあればいいっていう要件も多いけどなあ。 サービス証書見直せよ。
ちゃんとURLとかIDが記載されてるぞ。 >>520
IPS使うのは中規模ネットワークだけよね tls decryptしなきゃ見せ掛けポリシー違反な
通信が入り込む >>522
サーバー公開してなかったり固定IPはVPNでしか利用してなかったりするとIPSは不要かな?
でも、それならUTMじゃなくてもいい気もするけど >>527
クライアントソフトウェアの脆弱性に対する定義もあるからなんとも
小規模ネットワークは予算の都合からIPSは使えないし、
大規模ネットワークはFortigateにFWだけやらせてIPSは別途Macafeeとかって構成が多い Windows2008R2サーバADにLDAPSで認証しています。
「次回ログオン時パスワードの変更が必要」のチェックを入れたユーザーは、SSLVPNのログイン画面で新しいパスワードが設定できるのですが、30日経って有効期限が切れたユーザーは、新しいパスワードを入力してもエラーになります。
FortiGateのLDAP設定、セキュアな接続「LDAPS」で証明書は無しです。
ファームはv5.2.5build701です。何方かヒントをお願い致します。 そりゃ、新しいパスワードをいきなり入れても・・・・ いきなりじゃなくて、新しいパスワードを2回入れてもエラーになるってことでしょ こいつ通すとメールの送受信がエラーになるようになった
大丈夫かこれ? 80Cってかなり古いのに、保守の終了時期未定なんだね かなり売れたからじゃないの
俺はそれを毎日のように撤去して歩いてる 80Cを毎日のように設置している日々もあったのですね。 80Cは新ファームが出ても平気で何も問題なく動いてたからなー。
40Cとか60C60Dは不具合出まくった v6リンクローカルアドレスの最初みたいで気になる? >>528
サンクス
ある程度はエンドポイントに任せていいってことか
ルータでパケットフィルタとIDS動作させて、
安いForti入れてたけど効果が疑問で外すか悩んでたけどもう外す方向で決めた 社内プロキシサーバーとゲートウェイの間に挟んでUTMとして使うって一般的でしょうか? >>542
ゲートウェイがインターネットゲートウェイを指すなら一般的
クライアントのインターネット通信はプロキシに向けさせて、プロキシからインターネット向けの通信をUTMで管理する FW挟んでるのにプロキシサーバ使う意味ってそんなにある? FWはIPアドレスでしかログとれないけど
プロキシならURLでログ取れる。
接続先がバーチャルホストやCDNの場合、
ログがIPアドレスだけでは困ることがある。 >>544
プロキシというよりwebフィルタというかi-filterのためかな >>547
全て網羅してるわけじゃ無いからな
ASAで出来るのにFortiじゃ出来ない事はいっぱいある >>547
fortiのwebフィルタは国内で使おうとするとガバガバ
俺がテストした時はDMMのエロ動画見れた(笑) てかDMM動画ってSSLじゃないの?
SSLインスペクションはちゃんと有効化していたのか? >>553
sslでもどこに繋ぐに行くかはわかるだろ >>554
SSLではURLは暗号化されてるよ。
何のためにcertificate-inspectionがあると思ってるん? >>555
証明書使って暗号化された後は見えないけど、証明書自体は見えるから
CN≒FQDNまでは見えるよ
*使われててもまあドメインまではなんとか 5.6にしてしばらく使ってるけど、今のところ問題なし。
5.4がイマイチだった分警戒してたけど、意外と安定してるかも。 50EのスペックはDシリーズと比べてなんであんなに桁違いに良いの? SoCの世代が違うからじゃ?
というか、Dシリーズが遅すぎた、とも言えるけど。
D系ってC系チップのクロックちょっと上げただけの物だったよーな? ファイアウォールスループットなんて倍になってるもんな。1.5 Gbps > 3.0Gbps
今更だけど、ファイアウォールスループットって、本体が同時に処理できる最大処理容量っていう意味であってる? >>559
なるほど…
>>560
オレはその理解 >>562
NPUで処理されてるセッションの数(割合)だっけ?確か。 問題は価格とGUIの作り込みだよね
専任の管理者を配置できない中小企業〜SOHOで運用できるレベルで
ワールドワイドで実績がある機種ってFortigateくらいじゃないかな
PAは機能と性能は良いけど設定は結構複雑、
SRXもJunOSでお手軽とは言いにくい HTTPSでログインするときのブラウザ証明書警告、消すにはFGに証明書インストールするしか方法ない? ブラウザとかOSに証明書インストールすればいいんじゃね 一応FGの既存証明書を全部インストールしてみたんだけど、だめっぽい。 2年ぐらい使ったけど、うちでは透過モードの保険的な使い道しかないな
このウィルスチェックはほぼ役に立たないと思う 情シスな人からしたらPalo altoの方が幸せになれる
インフラエンジニアならFortigate fortigateのアンチウイルスが特段良いとも思わんが、パロがfortigateより良いとも思わんけどな 5.6のFortiview、Forti自身のローカルトラフィック見れなくなってるやんけ。
5.2では設定変更すれば見れたのに。 情シスの立場なら運用性が高いPaloが
インフラ屋からすると、(簡単なので)手離れがいいForti ってことでは? 運用する奴に選ばせて運用する奴に金を出させる、みたいな。 情シスはただのユーザさん
インフラエンジニアは技術売って食ってる人 Fortiwifi-30Dのデザインがかわいくて好きなのですが、個人で本体だけ購入できないでしょうか? 米amazonなら買えるんじゃない?
E世代はちっこくても結構パワーあっていいね >>585
楽天で買えるんじゃね?
https://search.rakuten.co.jp/search/mall/Fortiwifi%EF%BC%8D30D/
会社で使うのを楽天で買ってライセンス更新の時にソフトバンクに移管したわ
最初からちゃんとした代理店で買えばよかった
多分もう使うことないと思うけど >>587 >>588
ありがとうございます。
アンテナは折っちゃいそうで怖くて、
Eシリーズ、アンテナ内蔵のデザイン、ラインナップして欲しかったなぁ。 Ver5.6.1で、5分毎にシステムイベントに出力されるリソース情報(System performance statistics)の出力間隔を変更したいんだけど、
もしかして変更不可能?無効にすることはできたけど、間隔は設定する項目が見当たらなかった。 >>590
config system global
sys-perf-log-interval x
end >>498
ディープインスペクションONにするとYahooウォレットの明細ページが表示できないね。バグかな? >>593
誤検知っぽいね。
問題ないページを除外するように申告するページなかったっけ? 60D買いました、ネットへの接続全てをExpressVPN経由のみにして、他への/からのパケットは全て破棄する
みたいな設定ってできないかな? 実家と自宅のsite-to-siteのIPSec VPNを格安で実現したいんだが、
Fortigate 60Dあたりでやるとどのくらいスループットが出るのだろうか。
UTMは不要です。 FG60D(5.5)の/24からASA5505(9.1)の/32を二個へipsecでVPN貼りたいんですが
(仕事場の機器なので細かいverが今確認できません)
ASAのACLを二行で
src:172.16.0.1/32 dst:192.168.1.0/24
src:172.16.1.1/32 dst:192.168.1.0/24
FGにはPh2ifのスピードセレクタで
src:192.168.1.0/24
dst:172.16.0.1/32,172.16.1.1/32(アドレスグループ)
のようにすると、一つは張れるんですが、一つしか張れません
張れない方は延々phase2のエラーを吐いています
phase2のセレクタを2つにわけて作ってもダメでした。
他に書き方とかあるでしょうか? >>596
PPPoEさえFGに処理させなければFG側の処理落ちは
気にしないでよいレベルだと思う。 >>596
PPPoEの環境じゃないので、買って試してみます。
15,000円くらいで500Mbps以上でるなら、安い! 回線側で500Mbps以上出るキャリアってどんなのよ? 実家側はフレッツ光ネクスト ギガファミリー・スマートタイプで、
ダウン、アップ共に600Mbps以上でます。 すげーな
うちは50Mbpsしか出ない
500Mも出る地域あるなんてうらやましい 日本よりUSの方がEoL長いのはなぜ?
アメリカ第一主義? FortiOS5.6の提供始めた国内ベンダーってある? ネットワールド、CTC、SCSK、NVC、図研ネットウエイブetc
いっぱいあるで
SCSKが国内販売台数No1だったはず 販売店は多いけど・・・・・
サポート体制は・・・・・・・
良いところを知らない
量販店で買っても一緒だわ 個人利用なら代理店とか使わないでebayで買うのがおすすめ。 Softbankは5.6のPatch2を10/6から提供してるね。 5.6.2を試したけど、ダッシュボードからコンフィグの保存が出来なくなってた
多分どこか別のところにあるんだろうけど、ここが変わるかーって感じ
1ポートで複数PPPoEをサポートするようになったの嬉しい 右上のユーザー名→Configuration→Backup 30Eは平均消費電力が13Wなのか。SSG5も殆ど負荷がないのに熱い。 SRX300もアイドルでも熱いし、ファンレスは熱持つよ FG40Cの発熱はゴム足着けてる粘着剤が溶けるレベルだよ FG40cはどこかで壊れたかと思うぐらい熱くなったとか書いてあったね。
機能は違うけどIx2501とか筐体が冷たい位。
OSがBSDベースだとどうしてもパワーのあるCPUじゃないと動かんのかな。 常時SSL化時代に向けてSSLインスペクションがどうにか使えないかと試行錯誤しているけど、
OS標準の証明書ストアを使わずSSL通信を行う行儀の悪いアプリが多すぎて挫折しそう。
まずはMacで検証しているけど、メジャーどこだとKindle、Dropbox、Google Backup and Sync、iTunes StoreはWiresharkで証明書警告出て通信できない。
OneDriveは問題なし。
SSLインスペクションの例外にすべてのアドレスを登録すれば問題は解決するけど、
いちいちWiresharkで超時間掛けて調べ上げないと行けないから企業での運用は現実的とは言い難いな−
てかAkamaiとかのCDN使われてると例外アドレス追加は無理ゲーだった。 >>619
周り見てる感じ、基本的にiOSで個別にアプリをリリースしてる系のサービスは軒並み
アウトだと思ったほうがよさげ。
やっぱり元々の仕組みに無理があるんだよね…
そんなわけで各社最近はもっぱらエンドポイント側に精を出してるね。 SSLは専用サーバが必要でクレカサイトぐらいしかなかった みたいな話ももう通じなくなってくんだろうな。 5.6に上げたらAVのログ出力設定なくなったんだけど、もしかして設定できなくなった? FG-90Dで勉強中なんですが
FGでPPPOE接続するとルータ接続するよりスループットが1/3くらいに落ちるんです。
気になるのでもう一台で試したけどやはり同じ・・・
PPPOE接続はFGではしないほうがいいんでしょうか
PPPOE down 300Mbps up 260Mbps
Rooter down 800Mbps up 750Mbps >>624
>>295あたりの話題で、PPPoEはASIC効かないって >>625
ありがとうございます。
前に出てた話題だったのですね
おかげでスッキリしました PPPとかNAPTとか噛ませたスループットはどのへんが早いのかね
ciscoブランチ>ヤマハ・NECブランチ>Buffaloなど家庭用
みたいなイメージなんだがどうだろ >>628
そもそもルータとL7見れるファイアウォールだと役割違うからな…
ルータとFGを多段にしてPPPは外に出すのが正しい姿な気がする。 誰でも簡単にネットで稼げる方法など
参考までに、
⇒ 『加藤のセセエイウノノ』 というサイトで見ることができるらしいです。
グーグル検索⇒『加藤のセセエイウノノ』
HNGFTWYRHB Fortigateのシステム性能として、SSL-VPNスループットの記載があると思いますが、これはSSL-VPNを利用している環境だと、ファイアウォールスループットがこの値まで落ちますよ。という認識で良いのでしょうか? 割り込みすまん。
うちで導入しているFortiGate OS5.4のポリシーが急に全部消えたんだわ。
履歴で「ポリシー パージ」って出てて、ログにある利用者にパージするコマンド打ったって
聞いたが「そんなことはしてない」って言われたんだが、なにかほかに原因ってある? 300Dにあるかどうかわからんけど、GUIのウィザード使うときれいに全部消えるね >>636 確認したら「ウィザード」あったわ。
本人にも確認したらそれ触ったみたい。
教えてくれてありがとう。
質問ついでで悪いんだけど、ウィザードって消せるの?
調べても、そんな感じの記述なくて >>637 「ウィザード消せるか」の意味は画面上から消せるのかって意味で。
言葉足らずでごめん 消せないっぽい。
config system globalとかでgui関連のコマンドを探してみたんだけど、ウィザード消すのは見つけられんかった >>639 そうなのか。
教えてくれてありがとうね。
policy消えた原因が分かって助かったよ。 そんな罠があるのか。知らんかった。
ここはためになるインターネットですね。
>>633
それ以上のスループットは出ないよということなので、認識の通りかと Fortigate シリーズの SSL-VPN のスループットって AES128 と SHA256 以外の組み合わせでも同じスループットでますか? >>639
消すのとはちょっと違うけど、新しいバージョンだとウィザード無くなってるよ 今後の保守を考えFortigate-60Eの購入を前提に、、
希望する構成が可能なのか?、色々ネット検索で調べてる途中でこのスレ見つけました。
このスレ全部見ましたが、
1.中古のFortigate-60D(ライセンス契約が残っている物)を中古購入して、
FortiOS5.2を入れる、又は入っている物を買う+保守契約は別途結ぶの方が安定性が良いのでしょうか?
家族経営の小さな事業規模です。
接続PCは、全部で6〜8台(内1台は、VPNを利用した外部から必要な時のみ接続)、常時稼働は3〜4台+ネットワークプリンタ2台です。
ポートベースVLAN+トランスペアレントモードを利用して2セグメント構成を検討しています。
WAN→IX2215→192.168.1.0/27→WAN1(Fortigate-60EorD)LAN1.2→LACP(192.168.1.0/27)→L2SW→PC
→192.168.2.0/27→WAN2(Fortigate-60EorD)LAN3.4→LACP(192.168.2.0/27)→LSSW→PC
※インターネットやVPN等の接続はIX2215に任せて、FortigateにはUTM機能を担って貰うつもりです。
トランスペアレントモードでは、LAN側がL3SWでは無くL2SWになるとの事なので、
2.Fortigate-60のLAN側にLACP組めるのか?
3.WAN1と2で別セグメントを入れ、出口側の指定LANポートとの間にリンクを張ること等で、
指定 WAN→指定LANポート間の経路が確保できるのか?
4.LANポート側へWANで入ってきたセグメンとをそのまま伝達できるのか?
長文で申し訳ありませんが、
1〜4について回答出来る人いらっしゃいましたら、レスお願いします。 構成の部分が上手く記載出来なかったので、再度その部分のみUPします。
WAN→IX2215→192.168.1.0/27→WAN1(Fortigate-60EorD)LAN1.2.3→LACP(192.168.1.0/27)→L2SW→PC
→192.168.2.0/27→WAN2(Fortigate-60EorD)LAN4.5.6→LACP(192.168.2.0/27)→LSSW→PC >>646
レス有難うございます。
Forti OS 5.6には、リングアグリケーションについて機種指定は記載がなかったのですが、
FortiOS 5.6 Feature/Platform Matrixに100DorE以降のみと確かに書いてありました。
上記構成のLACP部分は諦めますが、それ以外の部分の構成は指定出来るのでしょうか? >>647
60EでVDOM使えばトランスペアレントの仮想FWでお望みのことができそうな気がする
サポートとかも考えると60Eで最新Verにでもしといた方がいいと思うけど >>644
5.2は2017/6にサポート終了してるし、5.4も2018/12までなのに何で今さら5.2?
保守契約を結ぶつもりなら60Eを新品で買って5.6を使うのが最善だと思うけど
FortiGateは販社を通して申請して保守会社と保守契約を結んだり、UTMライセンスを購入する必要があるから、契約更新をするつもりがあるなら新品以外の選択肢はないよ
あとe-trendとかの格安で売ってるとこは保守契約結べないというか、保守サービスを売ってないから注意 もしかして皆さん、日本代理店経由で買ってるの?ebayとかで買ったほうが安いし直接保守契約結べるのに。 個人で買ってるならともかく企業で利用してんなら代理店経由だろ 自分は www.avfirewalls.com でfw60Cとfg50E買ったよ。ダイマだなこりゃw まあ中の人でもない限りはそこまで直マというわけでも。 >>652
個人購入する時は、そこで買って保守契約結んでる Fortigate 600C v5.4.4 の SSL-VPN の Web App (SSH、ファイル共有)
ですがメニューから選んで接続しようとすると、ブラウザの画面が真っ白になり
いくら待っても うんともすんとも言わなくなりました。
Win7、8.1、10各種、Java8 update161、Firefox 52.0 や Firefox 56、IE11 などの
環境です。
Win7、Java7、Firefox 47.0 32bit版 なんて古い環境のクライアントPCを引っ張
り出して試したところ、画面中央に黒い枠が出てターミナル接続ができます。
やっぱりクライアントの環境が(自動更新などで)変わってしまったせいでしょう
か? なぜ使えなくなってしまったのか、が原因が分からず困ってます。
どこそこに類似事例が載っていた等、なにかヒントないでしょうか? 聞いたけど
「クライアントの環境の問題かもしれないので切り分けてください」って回答しか来ない 最初からクライアント側の問題って分かってるじゃない 5.4.6より前だとSSL-VPNポータルにXSSの脆弱性有るから5.4.8に上げちゃえば良いんでね。ついでに治るかもよw >>660
だからその原因と対処方法はどうしたらいいですか? って質問しても、
その回答が「切り分けてください」 しか返ってこないので困ってるわけなのですが
>>661
保守会社で「検証済みリリース可」ってなってるバージョンしか提供してもらえないんですよね
それも客側のアップデートじゃなくて「検証含めてSE作業依頼してください(有償)」なので・・・ だって他のPCで使えるならクライアントの問題じゃん 証明書まわりじゃないの。
取り消し確認とか失効確認とか外してみたら? ☆ 日本の、改憲を行いましょう。現在、衆議員と参議院の
両院で、改憲議員が3分の2を超えております。
『憲法改正国民投票法』、でググってみてください。国会の発議は
すでに可能です。平和は勝ち取るものです。お願い致します。☆☆ ご存知であれば教えてください。
SSL-VPNでブラウザー接続した場合に外側へのpingが届かないのですが
対応方法あるでしょうか?
イントラネットページ内から外部へのリンクページに飛べません。
トンネルモードで入るしかないのでしょうか インターネットへのアクセスを許可するファイヤーウォールのルールの
発信元として定義されているIPアドレスの範囲(クライアントネットワーク)に
SSL-VPN のLAN側IPアドレスって含まれてますよね? (そんな理由じゃないとは思いつつ) >>669
ウィザードで設定しただけだと
ポリシーでSSL-VPN I/F -> internalだけだったのですが
SSL-VPN I/F -> Wanが必要だったようでした。
すごく初歩的な内容ですいませんでした トランスペアレントモードについて教えてください。
クライアント(192.168.0.11)
ルーター(192.168.0.1) ※クライアントのデフォルトゲートウェイ
の構成があったとして、ここにfortigateをトランスペアレントモードで組み込む場合
どのように配線と設定すればよいのですか?イメージがよくわかりませんので教えてください。
トランスペアレントモードでは、fortigateにはIPアドレスを割り当てないのですが
勝手にクライアントとルーターの間に入って通信を監視してくれるというイメージでしょうか?
それともクライアントに何か設定変更がいるのでしょうか?
クライアントのLAN配線をルーターのポートに直結せずに、fortigateに刺して運用するということでしょうか? >>671
イメージがわかないならトラペアは止めた方がよいのでは? >>671
どの型番のどのOS導入するか知らんけど、基本は変わらないだろう。
ttps://www.fortinet.co.jp/doc/FortiGate-Cookbook50_p139.pdf 年末の v5.2.13,build762 でパフォーマンス良くなった気がする
まだ戦わせられるな・・・ v5.2系からv5.6系までアップデートした方います?
特に不具合とかありませんか? なんでフルモデルチェンジレベルで変えるんだろうな
ファイナルファンタジーの開発チームかよ 6.0系リリースされたから入れてみたけど
見た目はあんまり変わらんのね。 30eですが安かったので輸入しました。実家へ配送したので今は試せません。
giga対応のfwとして頑張って貰うつもりで、うまくいけばssg5と交代させます。
どうやらipadではfortimanagerを使って管理できるようですが、lite版があるようです。
フル版とlite版では何が違うのでしょうか。 daily report はどうやったら止められるのでしょうか?
ちな3月で保守契約終わって更新してません。 個人的に集団凌辱があまり好きではないので
オーロラの前二作は見ていないのだが(評価は高いみたいだが)
今回のはやはりいいな、もうちょっと風呂で絡んでほしかったけど
ただ、またまたハメ撮りだけど…、ま、オーロラだしね
温泉物=ハメ撮り、って固定観念なんとかならんのかね
別に二人っきり体で別カメあってもええやん ユニークで個性的な嘘みたいに金の生る木を作れる方法
興味がある人はどうぞ
グーグルで検索するといいかも『ネットで稼ぐ方法 モニアレフヌノ』
5BZKL IPSとかアプリケーションフィルタって、感覚的に使用率どれぐらい?
自分の知る限り、誤検知とか通信遅延のデメリットの方が大きくて使ってるところ殆ど知らないんだが。 IPSあたりはSOCへ運用投げないと死ぬと思う。
あとFortigateにL4以上のことやらすなら最初から
脅威保護スループットとかしか見ないで
サイジングすれば
裏切られ感は少ないと思う。
L4スループットがベースじゃなく、あれはHWオフロード
した結果だから。 >>687
ありがとう、やっぱりそんな感じか。
デスクトップモデルでまともに機能全部使おうもんなら、あっという間に
CPU100パーで無事死亡するし、他所ではどうなのか気になったので。 パロっても使いこなせないだろ
FWX120のOEM提案してくるとこもあるよ >>675
今日サーバーメンテのついでにfortigate 100dのファームウェアを5.2.13 build 762へアップグレードしたんだけど、その後5.6へアップグレードしたら再起動後に見事に死んだよ
急いでコンソール繋いで電源OFF/ONしてリストアかけて事なきを得たけど滝汗だったw
識者らに教えてもらいたいのだけれど、Fortigate 100D(に限らないと思うけど)ファームウェアアップグレードはcurrent で使用してるファームウェアbuildからリリースされてる一つ上のbuildへしかアップグレードできない(しちゃいけない)んですかね? >>692
アップグレードパスに従わずにやれるのか?
Webからポチッとなはやったことないんだが
5.6は5.4経由しないとダメだった気が ttps://gold.nvc.co.jp/document/fortinet/OS/fgt/information/FortiOS_ver.5.0_MR6_Patch_3_Informations.pdf
こんなんとか >>693
そうそう、web管理画面からポチっとなです
なんとなくそんな気がしてたんだけど、やっぱり5.2→5.4→5.6のステップでやらないとだめなんですかね?
アップグレードパスというのが何を意味してるのかよくわからないけれどcuiでも同じ様なステップでアップグレードするもんなんですか? >>694
おー、理解しましたありがとうございますw
ちゃんとドキュメントを確認するべきでしたありがとうございます WAN LLBってどこの例を見ても
2回線の例しかないけど、3回線以上ってできないの? >>695
アップグレードパスは守った方がいいのでは。
コンフィグ変換を手堅くさせるためにも、
なにかサポートが必要になった時のためにも。
メーカーのページに書いてありますよ。
v5.2.a → v5.4.b → v5.4.c → v5.6.d → v5.6.e
のように、途中で細かなverupを経て
最新にする。みたいな流れが多いです。
v5.xのところが変わる時はログディスクを初期化した方がいい
など、お作法があることもあるので、
リリースノートなどを確認しましょう >>698
おお、ログディスク初期化は気になっていたんですが実施したほうがいいのですね
前回失敗コイてまだターゲットのverまでアップグレードできていないので、次回はアップグレードパスに従って進めようと思います
ありがとうございます >>699
細かくバージョンを上げるごとにコンフィグを
取得しておき、
都度比較するといいですよ。
。。結構変わるんだなってw
仕様変更である機能が無効になったり、もういろいろです。
ログの形式も少しずつ変わっていくので、
集計したり統計を取ってる時は気をつけた方がいいですね。 30eを買って遊んでるんですが、NGFWなし、アンチウイルス無しで一人で使ってる割にはスループットがssg5によりもたつく気がします。入れたポリシーもssg5よか少ないはずなんですが。
こんな物なんでしょうか。60e位に変えるべきですかね? FG60Dの5.6で検証してます、
FTPサーバをPASVモードでvirtualip越で公開したいんですが、
port21での接続ができたあと、dataセッションがport書換が原因でつながらない様なんですが、
policyはwanのanyからVIP宛てに、ftp、Get、Putと1024から65535のportを設定しました。 ウイルスメールが届いた時に送信者に自動的に送られるアラートメールって送らないようにする事って出来ますでしょうか?
web管理画面で文面は変更できるようなんですが、送信しないようにする設定が見つかりません。
ご存じの方いましたら教えて頂けませんでしょうか? 会社(中小規模)で導入することに決まったんだが
複合機屋から来た見積もりが60E(Enterprise Protection相当)で5年95万・・・
やっぱ日本ってぼったくりだわ・・・、個人なら輸入するんだがなぁ >>707の人件費のほうがぼったくりみたいなもんだろ。 execute telnet した時、
接続先に改行コードとして 0x0a を送出してるらしいのだけど
0x0d にしか反応しない機材がある。
送出する改行コード変える方法は無いかしら… >>707
代わりにその仕事を5年で95万でやってくれる人を雇えば済むんじゃね? 60eの底面に有る蓋って何の拡張用でしょうか。
マニュアルを漁っても説明がありません。 別売りのラックマウンキットの方に、
底面に取り付けるマグネット式のプレートならあった気がするけど
60E単体の底面に蓋なんてあったっけか 今pcが無いので、そのものの写真を出せませんが、以下が底面の写真です。
https://goo.gl/images/sFe2NF
フラッシュを焚いたようでわかりにくいですが、シリアル番号の左隣に縦長で3.5x10cmぐらいの蓋があり、上側が1箇所ねじ止めされてます。
ssg5のsodimmのスロットぽいですが、やや長細いですね。
開ける事は出来るでしょうが、自分のは買ったばかりの未登録で、開封検知なんかされると厄介なので取り敢えず正体を知りたかったのです。
fortigateのマニュアル類には記載がなく、検索してもほぼヒットしませんので。 ハードウェアに関するマニュアルを幾つか漁って見ましたが、60Eも61Eも一緒に纏められているようで、この蓋に関する記載は見つけていません。
ただ、61EならばLTE用のsimを搭載できるのかもしれませんね。 60Dで6.0.2にしたら何か1日1回くらい落ちるように・・・
とりあえず6.0.1に戻して様子見。 >>717
6.0.2のログを記載してくれよー
それじゃただの独り言じゃん >>718
ログなしでブチっと落ちてる。
デバッグまではかけてない。 fortiexplorer proって使ってる人がいますか?fortiexploler自体はtouch IDが使えて手軽ですが、ほぼモニタしか出来ず、2400円払ってアップグレードする価値があるかどうか知りたいのです。
ipadからlan経由でwebにログインするとCLIが漢字変換モードで始まり、英数モードに簡単に切り替え出来ない為、ほんの数行configを入力するだけで大手間です。これが簡単になると助かるのですけど。 >>720
俺の方の60Dはコンソールに
Internal errorからのKernel panicのログ出して再起動してた
検証中に何回か落ちたときの一回分しかログ取れてないけど FortiOS 6.02でIe11だとログイン後真っ白になってしまうんですが
設定でなんとかならないでしょうか
EgdeやChromeでは開けるんだけど >>723
うちも困ってるが、非対応だからどうしようもないみたい。 >>722
うちも60Dで同じになったんだけど、その時はICMP通信してました。2回落ちて、そのどちらも。 MS曰く「IEは腐った牛乳 史上最高最速のブラウザーEdgeをおすすめします」 FortiOSの各バージョンのPDF見てたら
IE11のサポートは5.4.5までなんですね
社内システムがIE11以外で問題でるんで
SslVpn使うならこのバージョンにするしかないでしょうか そんなサポート使うかね?
べつに動かなくなる訳じゃなくて保証しないだけじゃなくて? ブラウザのサポートバージョンなんて気にしないけどな。
推奨環境くらいのニュアンス。
そりゃあまりに古いIEなんかだと本当に動かなかったりしそうだが。 firefoxで普通に動いてる。
safariつかipad用のsafariだとCLIがまともに動作しない。 私たち日本人の、日本国憲法を改正しましょう。
総ム省の、『憲法改正國民投票法』、でググって
みてください。拡散も含め、お願い致します。 ドキュメントに載ってるKnow Issuesを
Bug Trackerで検索かけるとヒットしないのあって困る
そもそもBug Tracker自体の情報量が少ないからあってもなくても似たようなもんだが 60dでsslvpnポータルって10件が上限みたいだけど、上限値ってどっかで設定変更できるの? 適当なバージョンのMaximum Values Tableを見ると、60Dは10が上限みたいだね
ユーザ情報をローカル管理するならそれの上限も見た方がいい
常時接続数以上は使わないけど、ユーザ数は全社員登録するとかいったら溢れるし
あと、AD(LDAP)連携を複数設定するのら
それの上限値も少ないから確認した方がいいと思う
証明書のCRLをLDAPで取ってきたりすると、さらにLDAPの設定数が増える 60Dを6.0.3に上げた時、何回かリブートしないとFortiGuardにつながらなかった eoのインターネットオフィスを使ってるのですがFortigateで接続してる方いますか?
設定方法分かる方がおられれば教えてください。
営業担当から得られた情報は
@PPPOE シングルセッション デュアルスタック DHCPV6-PD
A基本的に一般向けサービスと接続方法は同じ
FortiOS5.6.7 で以下の設定では駄目でした。
config ipv6
set ip6-mode pppoe
set ip6-allowaccess ping
set dhcp6-prefix-delegation enable
set dhcp6-prefix-hint 2001:xxx:xx:xxx::/56
set autoconf enable
end ↑言葉足らずです
eoのインターネットオフィス(法人向けサービス)でipv6通信をするための設定です。
pppoeにてipv4での通信はできており固定のipv4アドレスを1個貰っています。
そこにオプションでipv6サービスを申し込んだのですが、うまく設定ができません。 DHCPV6-PDで ip6-mode pppoe ? 参照したのは以下のページです
https://blah.cloud/networks/enabling-ipv6-dhcpv6-pd-pppoe-fortigate/
他にも以下を参考にしましたがダメでした。
https://yorickdowne.wordpress.com/2018/06/08/ipv6-with-prefix-delegation-on-fortigate/
config system interface
edit "wan1"
config ipv6
set ip6-mode dhcp
set ip6-allowaccess ping
set dhcp6-prefix-delegation enable
set dhcp6-prefix-hint ::/56
end
next
end NECのルータでの設定が以下だそうです
ppp profile ppp
authentication myname dual-user1
authentication password dual-user1 pas1
ipv6 dhcp client-profile dhcpv6-cl
option-request dns-servers
ia-pd subscriber FastEthernet1/0.0
interface FastEthernet0/0.1
encapsulation pppoe
auto-connect
ppp binding ppp
ip address ipcp
ip napt enable
ipv6 enable
ipv6 dhcp client dhcpv6-cl
no shutdown すいません、どなたかお分かりでしたら教えてください。100eをつかっているのですが、GUI からキャプチャ回したとき、UDPが取得出来たり、出来なかったりします(ほとんどの場合取れない)。どうすれば取れるのでしょうか? 早々にありがとうございます!
調べてみたらそれっぽいですので、今日早速試してみます! fitbit.comkにあるダッシュボート内の記録ページが
エラーとなっているのですが、みなさんのところもそうですか? fortigateにciscoでいうNATのredundancyみたいな設定はないんですか? 今会社で100D(5.4.3)使っててバージョンアップする予定なんですが、6.0の安定性ってどうですぁか?
6.0か5.6どっちにするか悩んでます 教えてほしいのですが、現在60D OS5.2なのですが、
DHCPでMACで固定のIPを払い出す方法はあるでしょうか?
ロケーションの違う2箇所で使う場面があり端末側で固定は出来ないものの、
一箇所ではアドレスが決まっている方が便利な場面があるので
そう出来たらいいなぁという感じなのですが・・・ >>753
ありがとう!
config reserved-address
edit 1
set-ip (IP)
set mac (MAC)
でいけました
レンジは多分レンジ外は指定できないのかなと思うのでもともとのレンジの中で
使われそうにない最終IPで設定して問題なしっぽいです
重ね重ねありがとう 教えてください
ログをメモリにしてるんだけど高度って項目でディスクロギングってあるので
ディスクのクォータ設定でディスクロギング容量をフォーマットして
割り振りなりすればディスクでロギングって可能です? 運用について相談です。
webフィルタを設定して運用しているのですが、最近はどこもかしこも、
ほぼ常時SSL化されているので、SSLインスペクションを有効にして
ドメイン単位でのフィルタをしています。(かなり巻き添え規制が発生しますが)
この方法以外に、この前韓国で話題になっていた、DNSフィルタ(Server Name Indication)という
方法もあると思いますが、Fortigateで使ってる方いますか?こちらもドメイン単位でしか規制できないですが。
DNSフィルタの場合、クライアントのDNSをFortigateに向けてやる必要があると思うのですが、
ドメイン(ActiveDirectory)環境の場合は、クライアントのDNS設定はドメインコントローラーへ向いていると思います。
こんな場合はDNSフィルターは無理なんですかね? よくわからないけど、ADの参照先をfortigateにすればいいんじゃないの? nat46ってどうやるんですか?
やったらnat変換後の送信元IP6アドレスはFGT自身のサーバ向けIFのアドレスになると思ってたんだけど、なりません。認識違いました? FortiGate40CをNURO光のONU直下に
トランスペアレント(透過)モードで設置しよう
と思って設定中ですが、インターネットに
繋がらなくて困っています。NATモード(ONU
との二重ルーター)だと問題なく繋がります。
NATモードの際のアドレスは
192.168.1.99/255.255.255.0 ゲートウェイは
192.168.1.1 となっています。トランスペアレ
ントの場合、これをどのように設定するのが
正解か、アドバイス頂けると有り難いです。
いろいろ試してみたのですが、上手くいかず、
お手上げ状態です。 >>759
NURO光のONUがどういう仕様かわからん事にはどうにも
ONUがルータ機能持ってるタイプなんだっけ?
端末のデフォルトゲートウェイもONUなの? >>760
光回線はNURO、ONUはF660A、現在はファイヤーウォール機能オンにしていますが、Fortigateを透過型ファイヤーウォールに設定出来たら、ONUのファイヤーウォールはオフにする積りです。ゲートウェイはONUです。 >>761
追加です。ONU(F660A)はルーター機能を持っていて、オフにすることが出来ないタイプです。 >>761
まずどこまで通信が通ってどこまで戻ってるかは分かる?
例えば
ONU(ルータ機能付き)
↓@
FG40C
↓A
端末
だとして@のエリアを通過してONUまで通信が届いているか
ONUから端末まで戻れるか
この辺切り分けないとちょっと分からないな
トランスペアレントモードの場合はそもそも@Aともに同一セグメントとなるから
FW機能での何らかのカットが行われていない限りは
ルーティング上の問題にはならないはず >>763
コメント、有難うございます。
ONU(F660A)→Fortigate40c→端末(PC)と
繋いで40cをトランスペアレントに設定して
端末からpingを打つと40cには通りますが、
F660Aには通らず、インターネットに
繋らない状態です。40cをルーターに設定する
と問題なくインターネットに繋がります。
所謂、二重ルーター環境ですが、この環境下で
速度測定をしてみました。端末をF660Aに直結
した状態と40c経由にした状態(二重ルーター)を
比べると何れも下り:600メガ、上り:900メガで
殆ど差がなく、二重ルーター環境も選択肢かな
と思っているところです。 >>764
二重ルータで問題がなければそれもありかと思うけど
そもそもトランスペアレントモードの場合は端末側の設定も
変えないといけない
単純にFGの設定を変えて対応してるだけってなら
端末はDHCPでIPもらう設定にしていてって事なのかなと
>>763の形でいうとトランスペアレントモードだと
@Aともに同一セグメントだけどNATモードだと違うセグメントになるので
端末のIPは変えないといけない
DHCPで貰うだけなら何ら問題ないけどね
そもそもFG通さずONUに端末を直差しして繋がるのか切り分けてみたら?
個人的にはセキュリティ面を考えてもトランスペアレントモードにする
メリットはあまりないと思うけどね
@を単なる通過するセグメントにするだけでもセキュリティ上は
そっちのが一段降りるので少し強くなるし あ、ONU直差しは通信できるのね
そういう意味ではFGがカットしてるとしか思えないってのは分かる気はするけど
ちょっと不思議な状態だな
ポリシーはそもそもちゃんと設定できてる?
セグメントが違ってしまうからポリシーをちゃんと見直さないといけない
全通しから通らないんだとちょっと不明だが
個人的にはNATモードよりは通常のルーティングモード?のがいいと思うけど FortiGate-50EってCPUが Marvell Armada 385じゃん?
PPPoEをhardwareサポートしてるっぽい事書いてるけど50EだったらPPPoEのスループット出るのかな?
https://www.marvell.com/company/news/pressDetail.do?releaseID=7316 >>767
PPPoE + NAPT + IPS + DNSフィルタで90Mbps出たときにCPU使用率1ケタだった
50Eは神では ちょっとFortiのDNSの仕様がイマイチわからないので
教えてください
インタフェースIPをDNSとするようにDHCPに配らせて
その端末から通常通りにインターネットに関してはDNSリレーさせて通信させることは出来たのですが、
内部の端末についてるホスト名だけはちゃんと内部のIPに飛ばしたい
DNSデータベースに何かを設定したらいいんだろうけどどうすればいいのか
調べても出てこなかったのですがどう書けばいいのでしょう? >>768
まじかw
60Dだと80Mbpsで100%近くで張り付くから買い替えようかな >>770
その代わりFortiのSoC入ってないから注意ね >>771
SoC入ってないからって困る事ある?
SoC1の60C、SoC2の60Dを持ってるけどウンコ過ぎて50Eが神に感じるんだけど
SoC3は性能いいの?
今度出るSoC4はめっちゃ性能良さそうだけど FortiとYAMAHAでIPsec設定するとメインでもアグレッシブでも
IKEフェーズ1の時点でNGなんだけど組み合わせ悪いやつかね
ike Negotiate ISAKMP SA Error:〜: no SA proposal chosen ってなるわ IKEv2にしてみたら?
IKEv2のほうが接続可能性は高いぞ。 >>774 運ゲーだね
>>775 IKEv2で2時間ほど頑張ってみたけどダメだった
あああああこんなにくやしいのは久しぶりだあああああ >>776
俺も検証したことあるけど、絶対無理だよ
古いファームにしないと繋がらない 仮にVPNはれても、障害時の切り替わりで問題発生とかあるから恐ろしいぞい >>777
どのファームだめでどのファームならおkでした?
fortiとyamahaでipsecで繋いでる環境でfortiのバージョンアップ検討してますので参考にしたい 異種機器間VPNだと、AWS VPCのForti向けサンプルコンフィグが糞だった
糞みたいなインデントの修正するだけで半日くらい潰れる >>781
あきらめるってなにを?
現状fortiとyamahaでipsec繋がってる環境で、fortiのファームアップ考えてて、古いファームにしないと無理っていう書き込みがあったから聞いただけなんだが ほれ。
FortiGate60D (Firmware 6.0.5)とRTX810で接続してやったよ。
ttp://www.nosense.jp/ipsec-fg60d-rtx810/
特に苦労するところはないけど。 これ、ヤマハとかよりスループット高いよね
UTM機能お金使わずに、ルーターとして使うのあり? >>785
ルータと違ってセッション管理しちゃうから注意ね。
やたら無通信時間が長いアプリとかたまにあるし。 >>787
PPPoEとIPv6は実測値が面白いことになる機種も多い >>783 ありがとう
https://network-beginner.xyz/fortigate_and_rtx_ipsec-vpn
このサイトも参考にさせてもらって設定したらアグレッシブでのみ成功したけど
2拠点目繋げようとするどっちか1か所しか繋がらない
fortigateから見たリモート側のPeerIDは文字化けしてるしRTXでのPeerIDの指定方法もわからない
ここで行き止まりかな ipsec ike local name を fqdnにしたら識別できて繋がった
スレ汚してすみませんでした すいません、Forti初心者なのですがご存知の方教えてください。
FortiCloudのサブスクリプションライセンスの購入を考えているのですが、
登録できるデバイス数は無制限でしょうか。それとも登録したい台数分のサブスクリプションを購入しないとダメ? >>797
60Eはconfig system vxlanがあるけど
60Dはipsecのset encap vxlanしかない。 Ver.6.0でアプリケーションコントロールのカスタムシグネチャーをhostで識別させたいんだけどうまく行かなくて夜も眠れない。
相手サイトでアプリケーション識別するカスタムシグネチャー分かる人いないですかね… 正確には脆弱性自体は前からあったけど
エクスプロイトが公開されたから
攻撃実現性が増した感じだよね FortiClientのiPhone, iPadアプリは
構成プロファイルで配ったクライアント証明書を認識しなくて
わざわざiTunesから仕込む必要あるから
SSL-VPNで数百端末展開するだけでも地獄っいうね... >>796
FortiCloud自体はデバイス登録数は制限無いです
ログリテンションのサブスクリプションはFortiGateごとの購入が必要 10月半ばから一斉に本体を10%値上げだと
増税と合わせてだいぶアレになるな nuro bizでの設定例がわかる方がいたら教えていただきたいです。
nuro bizのONUにfortigate 60Eを接続しているのですが、LAN1(標準固定IP)で外への接続ができません。
いろいろ調べてIPoEで接続するとの情報は得られたのですがfortigateでどのように設定すればいいのかがわかりません。
https://thorsten-on-tech.blog/2018/06/08/ipv6-with-prefix-delegation-on-fortigate/
こちらを参考にipv6をdhcpにしてみましたが、
diagnose ipv6 route list | grep wan1
で見るとipv6のアドレスが割り振られていないようです。
ONUのLAN2経由であれば外に出られます。
どうかよろしくお願いいたします。 Fortigateで作成したvlan10,20,30のすべてがタグVLANで、
これをLAN1,LAN2のアグリゲートで上位L3SWと接続できている。
LAN3には内部の独自セグメントのIPを割り当ててPCを「直接」接続している。
この状態だとPC側から投げたパケットは上位ルータに飛ばない
(ルーティングやフィルタの設定に異常はない)
ひょっとしてこういう接続はNGなの?
LAN3にもタグVLANを適用し、わざわざタグVLANに対応したL2SWを接続したうえで、
PCをL2SWに接続しないとダメ? 最新ファームでは下位モデルのLAGに対応したんだね vdomAにあるradiusサーバーを、vdomBから参照するにはどうしたらよいでしょうか
vdomAからは接続できているのですが、vdomBの「RADIUSサーバの編集」で接続テストすると「RADIUSサーバに接続できません」となります。 この機種かなりやばない?
Webからポリシー追加とかstatic route追加・削除してたんだけど、
static routeを追加したり削除した直後に数秒ほど飛んではいけない宛先にpingが飛んだりする。
設定反映のタイミングで設定がガバガバになることない? どの機種、どのバージョンか書いてない時点で回答するに値しないクソ質問ですし
でそんなに気になるならパケットキャプチャとった上でメーカーに問い合わせろでFA 「やばない?」とか「設定がガバガバ」とかいう放言にマトモな対応を期待する方が馬鹿w 前提となる環境が全く判らないので情報として価値がない それじゃあ典型的な古参隔離スレじゃん
古参のフォーマットに合わせないと無視って、新規が入ってこないわけだわ FG60Eを6.2.0から6.2.2に上げようとしたらアップグレードパスがないとかで弾かれた
factoryresetしても駄目だったわ 60Fって60Eから相当能力上がってるね。3倍ぐらいは上。ただ、遅延は3μから4μになってる。サイトがメンテ中だからgoogleのキャッシュしか見れないけど。
で、6.2.0から6.2.1にまず上げないの? バージョン飛ばすとアップグレードパス云々って言われるのは手続き上あることだと思うんだけど。 公式のアップグレードパスとして6.2.0 -> 6.2.2が案内されてるじゃん トランスペアレントモード時のルーティングの設定ているんですか?
透過するだけだしいらないと思ってるんですが 機器自体がアップデートなりなんなりで通信するためのデフォルトゲートウェイが要るかどうかという話なら
運用ポリシーに照らして設定したらいいんでないかな >>825
なるほど、機器がって事か
納得しました。
実在に流れる通信には関係ないって事ですね FortiGateをリバースプロキシとして使えますか? この手のネットワーク機器の付加価値機能って、使えるけど使っちゃいかんってコモンセンスだったけど今後はどやろね
SSLオフローダとしてはASICで非常に優秀なことは理解してるんだけど、
本当に思ったように振り分けできる?ログの出力フォーマットをパースしやすいように整えられる?とか色々考えちゃう 石橋3回叩かないと歩けないタイプ?
手に負う根性無いなら丸投げしようぜ >>819
これ自己解決。
6.2.0の既知のバグだったわ。
一旦6.0.7に下げたら6.2.2に出来たわ。 >>830
ちょっと意味が分からん
Fortigateにリバプロさせるようなしょぼいシステム組みたくないって話なんだが理解できとるか? SSL-VPN使うことにしました。
ありがとうございました。 ケースバイケースってか予算が無かったりそもそも要件詰め忘れてたりの間に合わせだろ?
そんなん使う時点でエンジニアとしてどうよって思うわ 6.2.3リリース。
早速入れてみたが、ログイン画面文字化けするな。 ありゃ うちもリリース間近の400Eで6.2.2入れてるんだけどどうしようかな Fortinetに限らず、一般的に透過モードで設置した場合WAN側にあるPCとLAN側のPCって普通に通信できるものですか?
例えば共有フォルダが丸見えになりますか? >>839
ということは、透過モードのまま制限することは可能ではあるってことですかね?
インターネットのみ可能な来客用ネットワークをUTMの外側に作りたいのですが、UTMの設定はUTM設置業者にさせればいいでしょうか? >>841
できるはできるけど要件だけ聞くとわざわざ透過モードで
設計する理由が分からない。
雰囲気的に業者に設計方針から依頼したほうが幸せになると
思うよ。 SSL-VPN を利用する際に
FQDNを使わず直接IPアドレスを使ったアクセスを
拒否することは可能ですか? >>843
勿論、httpのhostnameヘッダが入ってない場合を想定してるんだろうが、確か出来ないはず。
想定が違うなら、httpプロトコルの勉強した方がいい。 >>843
俺はダイナミックIP使って、頻繁にIPアドレスを変更している。 >>844
そうですか。残念です。
Internet explorer 11 だと SSL-VPN ポータルが表示されないのですが
どうすればよろしいでしょうか >>846
最近のFortiOSはIEサポートしてないから大人しく対応ブラウザ使うべし。リリースノートに載ってるから。 自分でfortigateに証明書を入れず、FortiClientを使用してIPアドレス指定でSSL-VPNを繋いでいるのですが
この状態でも通信は暗号化はされるのでしょうか。
素人質問で申し訳ないです。 並行輸入品て日本国内のサポート受けることできますか 30Eのforticare 1yr 8時間x5日とかの安いライセンスをebayから買って更新しようとしたら$200とか高いのしか売ってなかったけど、最近方針って変わったのでしょうか?
もっともebayは時々品切れになるから、待ってると復活したりしますが、値上げされると困ります。
firewall.comなら普通に安いのですが、こちらから買ったことがないので評判探してます。 家で使ってる50Eは本体も更新ライセンスもここで買ったけど特に問題は無かったよ https://www.avfirewalls.com/ 100Dと60Eが同じ値段だったらみんなどっち買う? >859 レストン
其処でライセンス買ってみたけど、注文はキャンセルされました。
理由は、お前はウチから本体買ってないから登録されてない、からだそうです。
当然、fortinetには2台も登録済なんですけどね。 米とかドイツの尼でもFC-10-0030E-311-02-12は品切れみたい。
なんかサービス体系変えてきそう。
ebayでJPY 18,774てのがあったけど、どうするか。ライセンス切れはまだ先だけど。 FTPで嵌っていて、どうにも解決できない為お聞きしたく。
#どういう訳かngワードに引っかかって、全文を書けないので
分割して書き込みます。 (続き)
現在FG60Eという機種が入っていて、NATで運用しています。
firewallの内側からFTP接続するのですが、接続は出来るものの、
ファイルアップロードでかなりの確率で失敗します。(続く) (続き)
FTPサーバはAWSでvsftpdを使用しています。
highポートは、fortigate、EC2とも1024-65535全てを
開けて見ましたが結果は変わらず。
DMZからFTP接続すると問題なくファイル送受信出来るので
何か設定が間違ってると思うのですが、vsftp側の設定も含めて
ご教示頂ければ嬉しいです。 ありがとうございます。
連休明けに設定確認してみます。 質問なのですが。
LAN内の、FortiGateの真下などに
別メーカーのUTMを入れるセキュリティ強化は
企業ではあまりやらないのでしょうか?
UTM2段構えとか、より安全そうなイメージですが・・ ハイエンドな環境だと、パフォーマンス重視で用途で分ける場合があるのでは?
L4ACLはFortiで、サンドボックスはFireEyeにしたりとか UTM2段で入れるくらいなら冗長構成取るんじゃないかな
UTM2段、且つ冗長構成を取るってブルジョワなユーザならともかく 別メーカー多段だと、シグネイチャベースのIPSやアンチウイルスなら
効果ありそうな気もするけど、どうなんだろうね? 多段UTMとか誤検知やらなんやらでトラシューが大変になる未来しか見えない 当方は、
fortigate 60Fをルーターのみで利用、配下でfortigate 100eをトランスペアブリッジとセキュリティ検疫で利用してます。 ブラックリストで重ねる位ならホワイトリスト一重かな
ホワイトリストで重ねるなら効果あるだろうが設定が面倒くさいし
重ねるだけ可用性下がるが冗長構成にすれば金もかかる
ユーザーなり接続数ベースのライセンス形態と違って
FortiはHWベースなんで冗長組むと比例して高くつく Forti以外でもHWを冗長構成で2個並べればその分の費用はかかると思うけどな 2台分のライセンスより1台分+HAライセンスの方が安いって話じゃない? utmの管理者を翻弄するクラウド。
ホワイトリストもブラックリストもガンガン増える。 今は、セグメントUTMとかLAN内に階層で置いてるよね? 同じ製品の型番のfortigateとfortiwifiってファームウェアのイメージ同地物使えるの?やっぱりだめ? fortigateのSSL-VPNでAD参加のために
DNSをADサーバー2台が先にくるように設定しているんですが
拠点内サーバーへのアクセスのためにWS01 192.168.0.254
みたいなのをFortigateのDNSとして登録して先にこさせることって可能でしょうか?
その場合、多分DNSリレーが必要だと思うんですけど、先に挟み込みができるのか
GUIいじってみましたけどよくわからず・・・。
機種は60Dと50Eです。 Fortigateのクラウドサンドボックスって
検査中のファイルをFortigateで止めとく事できるのでしょうか?
とりあえずは、クライアントに流れるのかな?
ソニックウォールのサンドボックスは検査完了まで
止められるみたいですが。 >>889
FGのDNS参照先として特定のサーバを登録したければ、ネットワーク>DNSから設定可能です
SSL-VPNのAD参加の下りがわかりませんが、SSL-VPN接続してきたユーザに特定のDNSサーバのアドレスを
払い出すことは可能です。
>>891
クライアントに流れるはず
検査完了で止めておくとセッションタイムアウトになるし >>871
結果報告が遅れて申し訳ない。ビンゴでした。
機能をオフにしたら、問題が解消されました。
情報をありがとうございました。 >>889
ADサーバー側のDNSサーバーにルートヒントぶち込んでフルサービスリゾルバの役割も担わせれば良い >>892
それは設定しています。ありがとうございます。
もともとADサーバー2つをリモートクライアントのDNSとして登録しています。
この構成だと、VPN越しにAD参加が可能なのです。
で、ぶっちゃけADサーバーにレコード登録すればいいだろってのはあるんですが
[クライアント]---[FG50E]--[ADサーバー]--[PublicDNS]
という流れでFGにはDNSをリレーしてもらうようにするとして
1.これでAD参加可能か?
2.FG独自で名前登録して、そのFGを置いているところでだけ使えるレコードとして
使えないか?
というところが聞きたいところです。
拠点内だとNetBiosで名前解決していたようなものがVPN越しだと
うまく動かず(そりゃそうですよね)
hostsの登録も難しいようなのでFGでなんとかできないかな?と。 >>895
DNS updateのフォワードはしない いまいちスループットの意味がわからないのですが
ベストエフォート100Mbps回線の、ネット接続用で使う場合は
ユーザー数が多くても、スループットはあまり気にする必要ないのでしょうか? 90D ライセンス切れ品が転がっていたから、SSL-VPN FortiClientのGWとして設定した。
テレワーク急に始める企業には神のような機械だな。
50人登録したけど何人まで使えるんだろう。 100D OS5.4 と FortiClientVPN6.2.4(これしか拾えない)で
自宅複数とIPsecVPNをはりたいのですが、
当然ながら相手は動的IP
識別の為のPeer IDは、どうやって作るのでしょうか? FortiClientは一応ここからDL出来るかと
6.0.Xまでならセキュリティ機能(AVなど)は無料
https://forticlient.com/downloads 数人しかいない別拠点ように40Fが欲しいんだが
日本だといつ頃かね >>902
>>903
どうも有難うございました
結果的には、拠点Fortiの様なPeer IDの設定は不要
枝番が出てFCとして、複数拠点の接続可能でした
数日前にはできなかったのですが、なんかミスってたんですね >>905
FortiClient使うときはIPアドレス不定でアクセスする場合が多いためアグレッシブモード使うから
ID設定はAnyが一般的かなと思います(されてる設定の通り)
>>901読んだとき、敢えてメインモード使いたいだろうなと思ってしまいました Fortiって、FWスループットだけの
見掛け倒しじゃない? HWオフロードできる部分はASIC処理なので速い
CPU処理になる機能を使えばその分パフォーマンスは落ちるってだけですな
他メーカでも同じ話 >>897
そうですか。
DNSキャッシュサーバーとしての機能は持たないんですね。
FortigateってDNSは完全な中継しかしないんですね。 60Fて、あの安さであの脅威スループットは凄くない?
ソニックウォールでも、同等スループット機種は倍はするよ。 ASIC搭載とはいえCPU使う機能であればスループットはそれなりに落ちる
でも、他ベンダもそれは一緒だから「あのデータシートは嘘だ」的な話はあまり聞かない どんな装置でも導入前にテストしようと考えるのが当たり前なんだよな
何も知らないまま選定して物だけ流してトラブって炎上とかみてて呆れる httpsまで保護するなら、同レンジの中では
60F 一択な気もする。 60Fは10Gbpsに対応しろとは言わないが、2.5か5には対応して欲しかったな。
中途半端すぎ。 パフォーマンスが出るからっつて小さいものに何でも付けてしまうと
マーケティングも何もあったもんじゃないしな 質問になります。
拠点間のIPSec-VPNだとNATトラバーサルで使えるようですが
forticlientでも、NAT内側にあるFortiGateに
外からVPN接続可能なのでしょうか? >>910
これだとActive Directory参加は難しそうなので
悩ましいんですよね。
1番目にADサーバーを入れないとむずかしく。
>>919
NAT機器でSTATIC NATでFortigateにポート転送してもらっていればできますけど
そうでなければ無理ですね。 NATトラバーサルって謎だよね。
ポートフォワードしなくても、なぜか使える製品もあるし・・ >>1
東京三鷹の土井(剛)莉里子
https://i.imgur.com/pZ90Ptt.png
氏名■土井剛(莉里子)
生年月日■1994.3.7
前住所■〒181-0013 東京都三鷹市下連雀5丁目3 シティハイツ吉祥寺通り4階
性別■男(詐欺師のため、戸籍変更している可能性あり)
Twitter■@copy__writing @kotobamemo_bot
疾患■性同一性障害(LGBT)、発達障害(ADHD)、アスペルガー症候群、統合失調症
●一方的に好意を寄せる男性から相手にされないと嫌がらせを繰り返す
●某大学病院の精神科隔離病棟にて強制入院
●骨が見えるほどのリストカット
●奇声をあげながら自室部屋のドアをナイフで突き刺す
●シティハイツ吉祥寺通り4階から飛び降り自殺
●性転換手術(金玉を取る)
●トラブル...嫌がらせ、ハッキング、乗っ取り、たかり、脅迫、殺害予告...etc
●去年から今年にかけてyoutuber同士のトラブルの仲介に入り某大手youtuberから複数回に渡り1億近い慰謝料をふんだくる
●自宅の吉祥寺にいられなくなり、大阪に潜伏中(警察からも逃げている) NAT-Tは500と4500のポート使うかどうかの話じゃないの? 50EでDS-Liteの設定をし、LAN側の端末からは快適にインターネットに出られるようになったのですが、FortiGuardへの接続がうまく行きません。 CPE側にIPv4アドレスを持たないDS-LiteでIPv4によるVPNってできるの? リモートVPN用にipsecトンネルを複数つくると繋がらなくなるんだけど、
こういうもんなの? 【告知】大阪で1番恥さらしな男!!これまで誰一人として語れなかった覚醒剤中毒者の泥沼の世界!!そして警察官、刑務官、裁判官のええ加減さを真実のみを赤裸々に語り最低中の最低の究極のゴキブリ男が恥を承知の上で書いた渾身の力作!!
ノンフィクション自叙伝!!
【ゴミと呼ばれて刑務所の中の落ちこぼれ】
中学2年の時に覚醒剤を覚え17歳から45歳まで【少年院1回、刑務所8回、合計20年】獄中生活を体験したが、ある女性との出逢いで生き方を180度変えて鉄の信念で覚醒剤を断ちきり見事に更生を果たした感動の奇跡の一冊!!
全国の書店&ネット通販でどうぞ!! LAN内のフロア毎に、透過型ブリッジモードで設置して
LAN内UTMにするって
利用方法おかしいのでしようか? 確かに贅沢だなw
VDOMも有りだけどPort01は1F、Port02は2Fとかに切るだけでも十分な気がしてきた。 forticare 8x5契約が切れそうなのですが、24x7の契約で継ぎ足すことはできたのでしょうか。
fortinet的には、本体買った当時から今までの分の24x7ライセンスも買え、と言いかねませんけど。 Port01は1F、Port02は2Fとかだと
IPS有効の場合、LAN内ファイルサーバーとかの
利用速度めっちゃ落ちそうだよねw そこは機種によるとしか言えないだろうね。
安くても最近出てるFシリーズとかはカタログスペックでワイヤスピード出てるし。 fortigateでNAPT(IPマスカレード)する時に変換後のSrcPortレンジの指定って出来ますか? >>935
IPv4だったらASIC処理で得意 v6は微妙 Fortigate60DにSSL-VPNで接続してRDPでWindowsにログインしてそのWindowsでインターネットからダウロードすると
帯域逼迫かなんか知らんけどRDPがまともに通信出来ない。
利用者は自分1人。
ショボ過ぎへんか?
ちなみにトラヒックシェーパーでSSLVPNの10Mbps帯域保証設定しても変わらず。 60DのSSL-VPN処理能力の低さを甘く見ないで 60dから50eに変えたが、グレード下がっても新しい方が処理早いな。SSL-VPNスループット測ってみるか… >>939
ありがとう。IPv4は得意なんですね。
構成の問題な気がしてきました。 https://www.avfirewalls.com/ ここで40FオーダーしたらもうUS外で売れないんだわスマンネって言われた。
どこか平行輸入で帰る所って有ります? 今さらきがついたが
50Eって6.4いけないんだな 今100F触ってるけど、カタログスペックはすげー伸びてるな FortiGateのカタログスペックって鵜呑みにしてええのん?
疑わしいんやが。 >>948
L4のパフォーマンスは信用してよい。
専用ASICでハードウェア処理するからそんなにブレない。
ただ頭いいことやらせようとするとね…それなりだよね… gei-ipでのブロック使ってる人いる?
いたら、ipv6だとどうしてるか教えて欲しい Captive Portal の認証でfacebookやgmail等のsocialなアカウントを利用した認証ってできますか? 945だけど
US Amazonで40F買えました。UTMライセンス3年つきで約12.7万円でした、参考までに。 金持ちやなぁ。
ワシには型落ち中古で1万円ぐらいの奴しか無理だわ 同じく中古の50Eを約1万で買った。ライセンスが約3年間が付いてたので、かなりお買い得だったと思う。 10万円かけて買って壊れたらどうすんやろ…
海外から買ってたら保守契約なんかもできないよね >>955
3年で1万はやすいね
それだけ安いと無意味にHAとか組みたくなりそう HAはいらんがLAGの為に自宅用に50E買ったんや…
ポート数すくないけど、下にそれなりなまぁなんとかなるな。
回線冗長の為に楽天LTEとかで繋ぎたいのだけど、USBモデムで接続できない… すまん。それなりなL2SWがあったら、ですな。逝ってきますorz >>959
使えるモデル少ないけど使えるのあるぞ。
CLIで有効にしてみた? >>961
持ってるLG-03は駄目だった。
使えるリストとかあれば是非教えてほしい 中古を買おうと思ってるんだけど
ライセンスが期限内で有効な状態なら
最新ファームウェアは
代理店のID/PWが無くてファイルでダウンロードできなくても
FortiGuard上からアップデートできるもの?
それともファームウェアは個別にダウンロードして入手して
機器に転送する必要がある? FGT60C*** # diagnose sys modem query
USB status: Connected
manufacturer: Sierra Wireless, Incorporated
model: NI-760S
ダイアルアップ?使いみちが判らん行けそうだ
ttps://www.ncxx.co.jp/product/ni-760s >>963
ありがとう、と言いたいところだけど3G…LTE対応してる筈なんだけどなぁ。
メーカーサポートサイトでユーザ登録してる所は大概見てるので、6.xの新機能としてLTEか5G対応してほしい所 >>967
表記上だけの問題じゃないかな。LTE対応してると思うよ。
設定コマンドにlteって入ってるし。
config system lte-modem deep inspectionで使う証明書って
買ったやつは使えない?
もしくは使えるのは条件ある? ん?公的証明書が使えるか?という質問?
設定した事無いけど使えないなんてことありえなくね? >>970
買ったやつはクライアント証明書にはいるんだけど
deep inspectionのプロファイルで選択出来ない
選択できるのローカルCAのやつだけなんだよ
多分、自分がそもそも勘違いなんだとは思うんだが
FujiSSLみたいなとこで買ったやつが使いたい >>971
誤 クライアント証明書
正 ローカル証明書 使えない
deep inspectionする機器が
deep inspectionしてますよと
利用者に明示するためのものだから
公的証明書なんか使えたら偽装になる >>973
なるほど、そう言われてみるどこそうだよね
せめて証明書の名前とドメインを変えられれば良かったんだけど
ユーザーが見たときに自社のドメインの証明書なら
気にしないんだけど
fortinetでしかもコモンネームも乱数っぽく見えろから
説明しても気にする人いて あぁ、そうかユーザーが接続してる第三者のドメインの証明書がいるのか。 50e じゃdeep inspectionきついかね?
試しにONにして楽天のトップページ行くだけでCPU跳ね上がるんだけど
60eならASICで余裕? >>976
60Eは50Eの2倍強のSSLインスペクション性能
それで余裕かどうかは低能で頭が悪いお前次第 そうなのね
低脳だからもう少し教えて欲しいんだけど
2倍はセッション数、パケット数
とかどこで考えるといいの?
カタログ見るとSSL inspectionのスループット
2倍も変わらないからわからくて スループットであるベンダーのマルチプロトコルでの検証結果
信じるかどうかは低能で頭が悪いお前次第 >>979
あんがと
参考に買い替え含めて検討してみるよ 40Fでdeep inspection設定して楽天に繋いでみたらCPU負荷が20%位になった、メモリは変わらず。
まぁエントリーモデルだからこんなもんだろね。 >>981
Fシリーズでもか
SSL inspectionはやっぱ重いんだな フォワードプロキシでdeep inspectionしている人って
使ってるクライアント全部にFGのルート証明書いれてたりするの? >>983
パソコンは入れてるが、スマホ系はアプリがエラー出しまくるやつがあって使い物にならん。 >>984
なるほど・・・
Javaとかの独自の証明書ストアとかも考慮すると、かなり面倒だな そうなると、Deep Inspectionはエンドポイントでやろうよってなるんだよね SSLインスペクションは企業で利用しても
問題が出るサイトに関する問い合わせ対応と
除外運用がクソ面倒くさい >>987
でもやらなきゃ、やらないで
SSL通信で好き放題されるでしょ? エントリー、ミドルクラスだと、なんでもかんでも1台でやるのは無理だよなー。 ハイエンドでも利用ユーザが5000人以上とかの大規模だと
・SSL暗号
・IPS
・アンチウィルス
・SSL複合
は別筐体でやるな >>994
お金が、、、、
零細企業ほどリテラシー低くて
ゲートウェイでやりたいと思うのに 貧乏なら可視化はあきらメロン
URLドメインフィルタで締め上げる スタティックルートの設定数上限8
って変更可能ですか? このスレッドは1000を超えました。
新しいスレッドを立ててください。
life time: 2340日 16時間 28分 59秒 5ちゃんねるの運営はプレミアム会員の皆さまに支えられています。
運営にご協力お願いいたします。
───────────────────
《プレミアム会員の主な特典》
★ 5ちゃんねる専用ブラウザからの広告除去
★ 5ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
───────────────────
会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。
▼ プレミアム会員登録はこちら ▼
https://premium.5ch.net/
▼ 浪人ログインはこちら ▼
https://login.5ch.net/login.php レス数が1000を超えています。これ以上書き込みはできません。
