X



トップページ通信技術
1002コメント341KB
Fortigateについて語ろう5
レス数が1000を超えています。これ以上書き込みはできません。
0001anonymous@fusianasan2020/07/05(日) 00:58:45.94ID:???
FortiGateシリーズは、ネットワーク全体を総合的に保護するハードウェアベースの
ネットワーク・プロテクション・ゲートウェイ(NPG)です。
Fortinet社独自開発のABACASTM(Accelerated Behavior and Content Analysis System)
テクノロジと独自のASIC(FortiAsic)ベースアーキテクチャを採用した、次世代
ネットワークプロテクション・アプライアンスです。
ファイアウォール、不正侵入、VPN、トラフィックシェーピングなどネットワークレベル
のサービスに加え、ウィルスプロテクションやコンテンツフィルタリングなどの
アプリケーションレベルのサービス機能も搭載しており、効果的にネットワークを保護します。
FortiGateは、4種類のICSA認定取得をしています。
アンチウイルス、ファイアウォール、IPSec、IDS

セールスポイントは非常に魅力的ですばらしいのですが、
非常に個性的な製品ですので、皆さん助け合って安定稼働に努めましょう。

フォーティネットジャパン
http://www.fortinet.co.jp/
FortiProtect Center
http://www.fortinet.com/FortiProtectCenter/

質問する際には必ずFortiGateの機種、FortiOSのバージョン、 ネットワーク構成・環境を報告してください。
0002anonymous2020/07/08(水) 09:44:46.31ID:???
前スレ>>998
(998レス目で質問する時点で知能が低そうだが)

50E(v5.4/v6.2)ですら
スタティックルートの設定数上限数は100だから

スタティックルートの設定数上限8というのが
何の機種/Verで何を根拠に言っているのか不明


もしECMPのアクティブ経路数のことを言ってるのだとしても
v4.x/v5.xはデフォルト10/最大10で
v6.xはデフォルト255/最大255

【v4.x / v5.x】
(settings) # set ecmp-max-paths (10 is default)

【v6.x】
  (settings) # set ecmp-max-paths
  ecmp-max-paths Enter an integer value from <1> to <255> (default = <255>).
0003anonymous2020/07/08(水) 09:45:51.66ID:???
[誤] v4.x/v5.xはデフォルト10/最大10

[正] v4.x/v5.xはデフォルト10/最大100
0004anonymous@fusianasan2020/07/08(水) 13:25:37.18ID:???
>>2
すまんね
50E 6.2.4 のGUIでipv4,6 それぞれで9個目いれるとエラーになるから
そうなのかと思いこんだだけでした
CLIで入れたら普通にはいったよ
0006dog2020/07/08(水) 21:51:04.24ID:???
v6.2どうよ?
0007anonymous@fusianasan2020/07/09(木) 15:31:45.12ID:???
SSL-VPNで接続したとき、
URLが /proxy/(セッションごとの8文字の文字列)/(vpn内のターゲットアドレス)
という感じになりますが
セッション毎の文字列がアドレスに入らないようにすることは可能でしょうか
0008anonymous2020/07/10(金) 23:57:24.91ID:???
Webフィルタリングやアプリケーション制御を設定すると
SSLインスペクションの有効化する必要があると出る

FQDNでのURLフィルタリングや
URLを元にしたアプリ種別の識別だけ(詳細アクションまでや制御は不要)
SSLインスペクションしなくても使える認識だけど
この場合はどう設定すれば良い?
0009anonymous@fusianasan2020/07/12(日) 14:58:35.48ID:???
https://licensecounter.jp/engineer-voice/blog/articles/20190529__vol4ipsecvpn.html
こちらを参考に拠点間VPNで、Lan <-> Lan は出来たのですが、特定のグローバルIPのみ
リモートからセンターのWANに流す方法がわかりません。
リモートから特定のサイトにアクセスしたときに、センター経由で接続させたいのです。

素人質問で申し訳ないのですが、教えて頂けないでしょうか。
Fortigate 50E、ファームウェア v6.2.4 を使用しています。
0010anonymous@fusianasan2020/07/13(月) 16:35:34.23ID:oSmKuldJ
すみません、fortigateのipsec vpnのフェーズ1認証方式で、「シグネチャ」というのがありますが、これはどういった挙動となるのでしょうか。
0011anonymous@fusianasan2020/07/13(月) 16:41:19.00ID:oSmKuldJ
>>10
すみません、解決しました。
デジタル署名方式のことですかね。
UTM等のシグネチャに頭がいっておりました。
0012anonymous@fusianasan2020/07/13(月) 16:57:08.18ID:???
ネットワークの勉強用にFGE50を入手しましたが、名前解決で躓いています。

FGE50の物理インターフェース設定を
LAN1:192.168.10.1(DHCP:10~250)
LAN2:192.168.20.1(DHCP:10~250)
として、ポート1にPC_A、ポート2にPC_Bを接続しました。
スタティックルート、IPv4ポリシーも設定し、PC_AからPC_B(逆も)へのipを指定したpingは通るのですが、
名前解決ができず、コンピュータ名でpingが通りません。

FG50EではDNSサーバの設定ができるようなのですが、
どのように設定すれば、異なるインターフェースの名前解決ができるように
なるでしょうか。
なお、FG50EもPCもDNS設定はデフォルトのFortiGuardサーバで、
GUIのDNSサーバ設定画面ではLAN1、LAN2ともにシステム設定DNSへ転送、
としています。

FortiGate 50E ファームは6.0.10です。
0013anonymous@fusianasan2020/07/13(月) 17:44:52.05ID:hyhunuNR
wan出れる?
ポリシーで許可してる?
0014anonymous@fusianasan2020/07/13(月) 19:06:04.03ID:???
そりゃプロバイダのDNS参照してて
レコードの無いじぶんのPCの名前解決なんぞ出来るわけないですよ。
自分でDNSサーバー建てないと。
Fortigate のDNSサーバー機能はどこまで出来るか知りませんがお勧めはしないです。
0015anonymous@fusianasan2020/07/13(月) 19:30:49.27ID:???
>>12
mDNS とか、LLMNRといったプロトコルがどういうネットワークで動くのか考えてみようか
0017anonymous@fusianasan2020/07/13(月) 21:46:45.72ID:???
L3(FortiGate)越えられるんか?
0018dog2020/07/13(月) 22:11:52.22ID:???
>>12
同セグメントでは無い為
NETBIOSで名前解決不可
FGのconfig→feature→DNS databaseを使う
0019anonymous@fusianasan2020/07/13(月) 23:58:39.49ID:???
ファーム上げたら特定のメーカーのコピー機のSSLの通信通らなくなったんだけど意味分からん
別メーカーも全部同じようなhttpsのサイト行ってるはずなんだけど
インスペクションルールかと思って全部ルール外しても通らないのが謎過ぎる
0020anonymous2020/07/14(火) 00:21:55.67ID:???
保守契約してるサポートに問い合わせしろよ無能カス

保守契約してない無能カスなら自己責任だから勝手になんとかしろ
もしくはファーム上げた無能の自分のせいなんだから
元のファームにダウングレードしろカス
0021anonymous@fusianasan2020/07/14(火) 06:53:47.40ID:???
なんか嫌なことでもあったの?
0022anonymous@fusianasan2020/07/14(火) 08:32:11.32ID:???
>>21
こーゆー20みたいなネット弁慶っていうか、専門板は精神疾患系の人多いよね。
0023anonymous@fusianasan2020/07/14(火) 08:49:39.11ID:nmdDBYwC
FNDNのFreeプラン入ってるんだけど、評価用ライセンスって有料プラン契約しないともらえんの?
0024anonymous@fusianasan2020/07/14(火) 09:09:54.82ID:???
>>20 は煽り運転みたいなもんだから放っておくべし
0025anonymous@fusianasan2020/07/14(火) 11:06:17.03ID:???
>>19
6.0.4のリリースノートより
TLS1.2をデフォ値
0026anonymous@fusianasan2020/07/14(火) 12:51:39.22ID:1wtwb3BX
HA組んでモニタポートに設定したIFがダウンしたときそのIFだけ2号機介して通信とか出来ないのかね
0027anonymous2020/07/14(火) 13:07:46.20ID:???
FortigateのActive/Active HA構成は
UTM処理をStandby機でオフロードするだけで
通信処理は必ずActive機だけ
00282020/07/14(火) 13:54:45.34ID:???
装置縮退したとき稼働系に全部寄って
性能不足に成りそうだな
0029anonymous2020/07/14(火) 14:21:15.84ID:???
>>28
Active/Active構成なら当たり前の前提

故障縮退中の時間より
正常動作中の時間の方がはるかに長いから
それでも十分に意味がある

故障縮退中の一両日は性能低下してスローダウンすることは
運用条件として客と合意する必要はあるけどな
0030anonymous@fusianasan2020/07/15(水) 06:44:53.19ID:???
>>25
マジでありがとう
海外ユーザーが勝手に管理画面からアップデートパス無視してファーム上げてて正直知らんって感じだった
0031anonymous2020/07/15(水) 07:44:57.91ID:???
ユーザーが管理画面入って勝手に触れるとか
どんだけ無能なネットワーク管理者だよ
0032anonymous@fusianasan2020/07/15(水) 14:10:20.64ID:???
>>31
納入時の保守内容に運用まで入れてねーんだよ
0033anonymous@fusianasan2020/07/15(水) 16:42:42.77ID:n0RD7BC8
現在FortiGate60D(v6.0.6)を使ってるのですが、ゲームなどをダウンロードすると
CPU使用率が100%になってしまうのでFortiGate50Eに入れ替えようと思ってます。
下記のサイトで速度テストした際もCPU使用率が100%になります。
https://www.speedtest.net/

どなたかFortiGate50Eを使ってる人がいましたらCPU使用率がどのくらいになるか教えていただけないでしょうか。
0034anonymous@fusianasan2020/07/15(水) 18:15:50.77ID:???
速度低下が起きてないなら変えなくてもいいんじゃね?
0035anonymous@fusianasan2020/07/15(水) 18:35:52.93ID:???
>>33
PPPoEの設定をfortigate側でしてないです?
ルータですればCpuに余裕出るかも
0036anko2020/07/15(水) 19:04:09.13ID:???
>>34
同意。
60Dにv6ファームはWebUIが重いだよ
0037anonymous2020/07/15(水) 21:12:02.88ID:???
>>33
有効にするUTM機能と個々の詳細設定内容によって結果なんて全く変わるのに
何その頭が悪い無意味な質問?
0038anonymous@fusianasan2020/07/16(木) 07:02:04.68ID:???
>>33

PPPoE使ってる?60DでPPPoE接続だとCPU100%になるよ。
0039anonymous@fusianasan2020/07/16(木) 12:59:10.50ID:SxOFZcPU
そういう返信が1番頭悪いな
0040anonymous2020/07/16(木) 13:04:21.99ID:???
>>39
何その頭が悪い無意味な返信?
0041anonymous@fusianasan2020/07/16(木) 21:23:28.18ID:???
確かに何の意味も無い返信してる奴って
どんな頭の構造してるんだろな。
0042anonymous@fusianasan2020/07/16(木) 21:57:48.82ID:???
頭が本当に悪いから、頭が悪いって罵ることしかできない。
人に必要とされない寂しい人なのでそっとしておいて。
0043anko2020/07/17(金) 05:45:09.65ID:???
>>33のconfig晒せばいいんや
0044anonymous2020/07/17(金) 13:14:43.95ID:???
>>41,42
じゃあお前が>>33に回答してやれよ?

無価値で無能なゴミ人間じゃないなら(笑)

何その頭が悪い無意味なレスするくらいならさあ(笑)
0045anonymous@fusianasan2020/07/17(金) 13:50:22.83ID:???
なるほど、60DでPPPoE接続は糞遅いのか?しらんかった。家の構成がまさにそれだわ。
0046anonymous@fusianasan2020/07/17(金) 15:46:43.26ID:???
diag sys top でCPU負荷の高いデーモンを特定してみるのが一番簡単かと。
ipsengine
scanunitd
pppoed
スペック低いと上記が高い実績あり。
pppoedが高負荷なら買い替えも有りかな。

自分も過去にFortiWifi60D使ってた時にpppoedの負荷が高かったので50Eに買い替えました。
これはうろ覚えだけど50Eからはpppoeはソフトウエア処理からハードウエアアクセラレーションに変わった気がする。

んでこの間40Fに買い替えた際にipoeとpppoeデュアルセッションにしたけど、現状だとCPU負荷はssl deep-inspectionを設定しなければ10%越えないかも。

>>ゴミの人
こんなもんで良い?
0047anonymous2020/07/17(金) 15:54:47.09ID:???
>>46
遅えーよ無能カスのゴミ人間

>>33は特定できるようなスキルが無いから
頭悪い質問してきてるんだろ無能
>>33でも理解できて実行できるレベルに落として
丁寧に説明してやれよ無能

まず構成や設定の判断に必要な情報を
ヒアリングして確認するのが先だろ無能

> これはうろ覚えだけど50Eからはpppoeは
> ソフトウエア処理からハードウエアアクセラレーションに変わった気がする。

のソースを出せよ
バカのうろ覚えの妄言や思い込みじゃなくて
0048anonymous2020/07/17(金) 16:10:36.26ID:???
無能>>46の変わりにソース貼ってやるよ

 Reponse du support fortinet :

 According to http://docs.fortinet.com/uploaded/files/2151/fortigate-hardware-accel-526.pdf page 74:
 "NP4 session fast path requirements:
 //...//
 Layer2 type/length must be 0x0800 (IEEE 802.1q VLAN specification is supported); link aggregation between any network interfaces sharing the same network processor(s) may be used (IEEE 802.3ad specification is supported)"
 0x0800 is Ethertype of IPv4 over Ethernet.
 Point-to-Point Protocol over Ethernet (PPPoE) is a network protocol for encapsulating PPP frames inside Ethernet frames and has ethertype 0x8863 and 0x8864, meaning that it cannot be offloaded.
 So all traffic hits CPU and throughput reached is much smaller due to CPU getting high when packets are handled by it (throughput values in the unit specifications are for offloaded traffic to NPU).
 In order to have better transfer results you will have to migrate from PPPOE type of external connectivity or use a bigger unit.
 Or, as you noted, you can use another unit in front of the FortiGate in bridge mode, to perform the PPPOE encapsulation.

解決策としてはPPPoE接続だけ別のルータを挟んでやらせる
(中古で数千円のCiscoやヤマハの古いルータでも可)
0049anonymous@fusianasan2020/07/17(金) 18:24:56.57ID:fLO/NbTk
論破されてて草
0051anonymous@fusianasan2020/07/17(金) 22:09:23.43ID:???
fortigate50eと安い市販の無線ルーターを接続して、dhcpとかはfortigateで無線の接続だけ無線ルーターにしたいんだけど出来ますかね?
fortiAP買わないといけない?
0052anonymous@fusianasan2020/07/17(金) 22:35:06.30ID:???
>>51

余裕でできる。
むしろ何故できないと思うのか不思議。
0054anonymous@fusianasan2020/07/18(土) 12:13:34.42ID:???
>>38,48の内容に対して
なんの価値も無い内容じゃねーか>>47この無能ゴミ(失笑)
0055anonymous@fusianasan2020/07/20(月) 18:27:00.66ID:h3bkBWCy
IPアドレスフィルタリング機能が使いたいためだけにfortigate-80eを使っているんだけど実は無駄だったりする?
0056anonymous@fusianasan2020/07/20(月) 20:20:28.15ID:???
釣りだろうけど、一応。
む・だ!

すっきりした?
0057anonymous@fusianasan2020/07/20(月) 22:43:08.01ID:???
FortiGate 60Dのスループットって家庭用ルーターより遅くね?
せっかくIPoE導入したのに180Mbpsで頭打ち。測定中はCPUは100%張り付き
0058anonymous@fusianasan2020/07/20(月) 23:08:20.31ID:???
>>57
PPPoEは家庭用ルーターなんて比にならないくらい遅い。
でもIPsecはめちゃくちゃ早い。
0059anonymous@fusianasan2020/07/20(月) 23:14:17.27ID:???
UTMにルーターとしての性能を求めるなよ
60Fでも買って試せ
0061anonymous@fusianasan2020/07/21(火) 00:28:22.16ID:???
>>58
IPoEだからPPPoEじゃない。
でも遅い。カタログ詐欺じゃねーか?
0062anonymous@fusianasan2020/07/21(火) 10:54:24.28ID:???
IPoEそのものが遅いわけないと思うけど。

MAP-EとかDS-Lite使ってんじゃないの?
0063anko2020/07/21(火) 20:19:01.62ID:???
IPSアリにしたら値段相応決まってんねん
0064anonymous@fusianasan2020/07/22(水) 15:42:45.31ID:???
>>61
安いモデルはIPv6がASICじゃなくてCPUで処理するから遅いんだよ
IPv6をASICで処理してくれるのは200番台からじゃないかね
0065anonymous@fusianasan2020/07/22(水) 15:55:32.97ID:???
↓にあるんだけど、NP4、もしくはSoCタイプでNP自体を積んでないモデルはIPv6をASICオフロードしてくれない
ttps://docs.fortinet.com/document/fortigate/6.0.0/hardware-acceleration/575471/network-processors-np6-np6lite-and-np4

そうするとIPv6使うIPoEは直ぐにCPU張り付いちゃうんだよねー
0066anonymous@fusianasan2020/07/22(水) 19:55:40.75ID:???
なるほど、そういうことですか。
しかしCPU処理後するからってUTMもなにも使ってないのに定価10万円以上する機器が1万円の家庭用ルーターよりFWスループット遅いとはね。
0067anonymous@fusianasan2020/07/22(水) 23:59:35.33ID:???
オフロードなしでそんな遅いとはよっぽど貧弱なCPU使ってんだな。
0068sage2020/07/23(木) 00:21:14.32ID:???
60Dは2014年販売開始だよ
0069anonymous@fusianasan2020/07/23(木) 01:49:30.05ID:???
>>66
そりゃ使い方間違ってんだからそうなるよ、
自分の要件に合う機械ちゃんと選ばんと。
業務用の物は特にピーキーなんだから。(金額相応とも言う)
0070anonymous@fusianasan2020/07/23(木) 14:46:55.39ID:???
Fortigateはルータじゃなくてファイアウォールだからな
ご家庭だとルータとしての役割求められるから向いてないこともある
家庭用ルータとしてはNEC IXあたりがコスパいいんじゃないかね
NUCにpfSenseやVyOSもいいけど、日本で需要の多いv6plusは対応してないこと多いんだよね
0071anonymous@fusianasan2020/07/23(木) 16:10:55.09ID:???
PPPoEも遅い。IPoEでもIPv6は遅い。
ゴミじゃんww
0072anonymous@fusianasan2020/07/23(木) 16:18:43.18ID:???
二桁なんてそんなもんだろ安いんだから
0073anonymous@fusianasan2020/07/23(木) 23:36:08.42ID:???
最近じゃ100F以上でないと要件に合わないわ
0074anonymous@fusianasan2020/07/25(土) 00:04:01.59ID:32NS3Jq6
ウォッチガード評価機借りたけど
設定わけわからんw
使ってる企業いるんかいな。
0075anonymous@fusianasan2020/07/25(土) 12:20:51.21ID:Ro8Vgc3m
60dってpppoeの速度、家庭用より遅いんか。。。ヤマハのファイアウォールfwx120からリプレイスしようと思ってたけどやめるか。。。
0076anonymous@fusianasan2020/07/25(土) 12:39:16.04ID:Ro8Vgc3m
http://www.nosense.jp/fg60d-throughput-pppoe/
60dでpppoeの実測値計った人いるみたいやね。

60d買ってしまったから5000円ドブに捨てちまったな。
0077sage2020/07/25(土) 12:50:45.07ID:???
PPPoEじゃ地域IP網のネックあるし
違う接続方式のルータ買えよ
0079anonymous@fusianasan2020/07/25(土) 18:23:29.43ID:???
>>74
お客さん先にWatchGuard入れて運用していますが、なかなか良い感じですよ
0080anonymous@fusianasan2020/07/25(土) 22:08:08.90ID:???
市販の無線ルーターをブリッジモードにして、pppoe接続をfortitateでしたらyahooとヨドバシだけ繋がりがめちゃくちゃ不安定で???だったけど、どうやらMTUが原因だったらしい。
dhcpオプションでMTUの値をセットしたら問題なくなった!ポリシーのutmが悪いのかずっと悩んでたけど全く関係なかったわ
0081anonymous@fusianasan2020/07/29(水) 22:52:21.99ID:???
SSL-VPNの接続手法について教えてください。
構成は、Fortigate200E/FortiOS6.4.1/FortiClient6.4です。

Win10端末よりSSL-VPN接続を試みると80%までは
進行するのですが、そこでエラーメッセージと共に切断されてしまいます。
同様の設定で別の機器Fortigate60D/FortiOS6.0.10への接続は可能ですので
基本的な設定に誤りはないのではないかと考えているのですが、80%時に切断される
原因か分からず困っています。
なにか考えられる点はありますか?
ちなみにWin10のバージョンをすぐ更新できる環境ではないため、
TSLv1.3は使用不可な環境です…
0082anonymous@fusianasan2020/07/30(木) 01:58:48.49ID:AdjVK7tS
肝心のエラーメッセージをなぜ貼らない
0083812020/07/30(木) 21:58:21.14ID:???
お騒がせしました。自己解決しました。
GUIで無効化したつもりでいたホストチェックが設定上有効だったようで
CLIからホストチェック自体を削除したところ接続できるようになりました。
もっともWin10はホストチェックで許可はしていたのですが…

>82
FortiClientの80%時の切断メッセージです。
Unable to establish the VPN connection. The VPN server may be unreachable. (-14)
0084anonymous@fusianasan2020/07/31(金) 01:54:04.90ID:???
VPNのトラブルシューティングの基本はサーバ側(今回だとFrotigate)のログ確認よ
クライアント側からだと良く分からん
0085anonymous@fusianasan2020/08/02(日) 09:17:04.29ID:Oy+JUfq1
マルウェア検知能力って、各UTMメーカーそんな変わらないレベルなのかな?
WatchGuardのCylance AIアンチウィルス凄そうだよね。
0086anonymous@fusianasan2020/08/06(木) 10:34:15.59ID:ka1cPpcf
iPhone/iPad の VPN接続方式で
・タイプ:IKEv2
・ユーザ認証:証明書
でつないでる人いる?

「ユーザ認証:ユーザ名」は ナレッジがあるんだけど
「ユーザ認証:証明書」は ナレッジ含め 成功例が見当たらないんだよね
0087anonymous@fusianasan2020/08/06(木) 21:05:44.75ID:???
FortigateのVPNやめてSoftEtherでやってええか?
0089anonymous@fusianasan2020/08/07(金) 08:24:33.33ID:BPGrN510
いいよん
0091anonymous@fusianasan2020/08/07(金) 14:26:39.38ID:???
うちは辞めたね。fortitoken使い始めた
0092anonymous@fusianasan2020/08/07(金) 19:31:02.09ID:???
VPN張ること自体ださいからクラウド移行中
0093anonymous@fusianasan2020/08/09(日) 11:24:12.00ID:A3uX7Trc
同一ネットワーク内に、UTM複数入れる時って
メーカーは、ばらけた方がセキュリティレベル上がるのかな?
同メーカーだと、シグネイチャも同じだし・・
0094anonymous@fusianasan2020/08/09(日) 12:03:39.41ID:???
複数UTMの必要性がよくわからん?
UTMとエンドポイントセキュリティでは異なるメーカーにするのは一般的やと思うけど。
0095anonymous@fusianasan2020/08/09(日) 22:20:07.69ID:???
FortiGateでHTTPSにIPSオンにするとパフォーマンスきつくなって結局使えないから、UTMとしては実用性が無い

残念です
0096anonymous@fusianasan2020/08/09(日) 22:24:11.09ID:+Z9XxEX2
セキュリティ対策ってのは結局のところ費用対効果が重要だからなー
検出率の向上がどれだけリスク低減に寄与するのか、管理コストや教育コストがどんだけ増加するのか
検出率は間違いなく上がるだろうけど、セキュリティレベルは下がることもあるかもね
0097anonymous@fusianasan2020/08/10(月) 02:44:21.11ID:???
>>95
サイズ次第よ
トラフィックにもよるけど、SSLオフロードしてIPSかけるなら最低でも300番台からってのが常識
それ未満のサイズでグダグダ言うのは間違い
0098anonymous@fusianasan2020/08/10(月) 11:41:44.61ID:???
>>97

300番台ですか

それだと他の機能とHTTPSとのバランス取れていない気がします
ASIC依存に偏りすぎな気がします

ユーザーがHTTPSのIPS掛かっていなくてもUTM導入してWebブラウジングが安全になったと
勘違いしているし、リセラーも敢えて説明しないのが現状ですよね

無料の証明書が普及してイキなりマルウエアを送り込んでくるサイトもHTTPS化して
厄介に夏てきている現状考えるとFortiも、もうそろそろHTTPSへの対応を、せめて100辺りから
利用できないと厳しいですね

HPPTS使い物にならないところ以外は使いやすいし売りやすいのですが、正直自信をもってUTMを導入したい
ユーザーさんへの説明が厳しいです
0099anonymous@fusianasan2020/08/10(月) 11:48:01.45ID:???
>>97

バンドル版で100万オーバーで次年度からも年間60万円オーバーだと厳しいです
現実には100までのFortiが一番目にしますし、そのお客さんもUTM導入しているつもりのユーザーさんが
たくさん居られますから..........

想定ターゲットが私の会社と違うのでしょうが,300番台以降だと100人以下の企業では厳しいですね
0100anonymous@fusianasan2020/08/10(月) 13:29:06.06ID:???
企業ユーザーの全HTTPSトラフィックを復号・暗号して検査なんて無理っしょ。
エンドポイント側で対策でOKでしょ。
0101anonymous@fusianasan2020/08/10(月) 13:47:13.21ID:???
>>98-99
なんか根本から考え方がちょっと変な気がするけど、
じゃあ他のメーカーでFortigate100Fと同じ値段でSSLオフロードしてIPSかけて必要な実効速度出るアプライアンス入れりゃいいんじゃん?
で、そんなんあるの?って話

>>100
一応上り下り合わせて2Gbpsのスループット出ればOKだから、
Fortigateのミッドレンジモデルでも対応は出来るのよ
ただ、ネットワークでセキュリティ担保しようとする考え方がもう古いし
そんな不毛な投資するならMicrosoft365E5よ
0102anonymous@fusianasan2020/08/10(月) 15:57:36.42ID:BCwkkfUH
HTTPSトラフィック検査のスループット目安がわからないのですが
200人規模だと、何ギガくらいスループットある機種なら無難なのでしょうか?
0103anonymous@fusianasan2020/08/10(月) 16:04:44.66ID:???
>>101

FortiGate使いやすいから苦言です
Fortiバンザイではない書き込みはダメでしたか?
ASICから外れたHTTPS SSLオフロードを何とかASICの対応に入れてほしいし、そう思っている
ユーザーや納品業者は多いですよ、たぶん

100Fと同じ価格帯でSSLオフロード出せるのはWatchguardT70なら十分ですよ

まあユーザー数と設定によって速度はまちまちで、一つの答えは出ませんがね

FortiGateバンザイない書き込みですいません
0104anonymous@fusianasan2020/08/10(月) 16:11:13.01ID:???
>>103
FireboxT70のことだとしたら、100Fよりスループット出ないよ?
それと何を勘違いしてるのか知らんけど、SSLオフロードってASIC使ってるよ?
0105anonymous@fusianasan2020/08/10(月) 16:11:24.37ID:???
>>101
MerakiやJuniperの様に、ナンチャッテHTTPS対応でユーザーを胡麻化そうと
しないFortiGateの方が良いと思うので、Asic対応何とかするべきだと思うので書き込んじゃいました

気を悪くされたなら御免なさい

北の電力会社のデータセンターや、公共施設のネットワーク機器にFortiGateあるもので
触るんですが、何処もHTTPSスルーで動いてますからね、仕方ないですが
0106anonymous@fusianasan2020/08/10(月) 16:21:10.60ID:???
>>102
凄く難しい
SSL解いた上で、何の機能をONにするのか明確に定めた上で、検証データ持ってるベンダに相談するしかない
俺が知ってる限りだと自社でしっかり検証してるのってSB C&Sとか
200人規模っていうところで、回線の帯域が1Gbps上限、上り下りあわせて2Gbpsしっかり出しとけばクレームにはならんだろう、って感じでサイジングすると、どうしても300E以上の機種になる

そんなには金出せないよって言うならNATと最低限のフィルタリングをするルータなりFWと組み合わせるとか
Office365とか主要クラウドトラフィックはブレイクアウトさせるとか工夫も必要になってくる
0107anonymous@fusianasan2020/08/10(月) 20:39:46.93ID:BCwkkfUH
HTTPS対応で使うなら、フルUTM機能使いたいよね。
0108anonymous@fusianasan2020/08/10(月) 21:23:17.00ID:???
>>104

それはFireWallとVPNですよね?

AV、IPS、UTMはT70が圧勝ですよ

AV,IPS、UTMで比べるとT70は200Eと良い勝負ですよ

FireWallとVPNの速度ほしいならYamahaで良いです
0109anonymous@fusianasan2020/08/10(月) 21:45:30.11ID:???
>>108
そんなわけないじゃん
100F舐めすぎ
100回読み直して土下座してくれる?
ttps://www.fortinet.com/content/dam/fortinet/assets/data-sheets/ja_jp/FGT100F_DS.pdf
0110anonymous@fusianasan2020/08/10(月) 21:48:40.60ID:???
>>108
あとYAMAHAってなんだよw
とことん分かってねえ素人だな
0111anonymous@fusianasan2020/08/10(月) 21:59:18.09ID:???
>>109
Forti USからのWatchGuardとの対比資料ですが、Fortiの人間は基本FireWallとVPNで勝負なんで
UTMを購入するユーザーと納品する立場の人間の気持ちがわかっていない


Forti 100E 200E WG T70 M270

VPN 4000 9000 740 1600

FrreWall 7400 20000 4000 4900

AV 250 1200 1200 2100

UTM 2500 1200 1100 1600

IPS 500 2200 1500 2300


UTM導入する場合は、フルで機能ONにしたいんですよ

Asicの守備範囲以外は、良い数字が出なくて仕方ないので、何回も書いてますがHTTPSはAsicで対応してほしい

土下座とかうっとおしいから書き込まないです

FortiはフルでUTM掛けれないことで有名なんだから仕方ないでしょう? 
Asicで速度出そうとしているFortiとIntelAtomで動作させているWatchGuardの設計思想でしょ?
受け入れないと仕方ない

仮想UTMはAsic使用できないからFortiは性能悲惨でしょう?
0112anonymous@fusianasan2020/08/10(月) 22:05:37.38ID:???
>>111
Forti 100E 200E WG T70 M270

VPN 4000 9000 740 1600

FrreWall 7400 20000 4000 4900

AV 250 1200 1200 2100

UTM 250 1200 1100 1600

IPS 500 2200 1500 2300


ゼロ一つ多かったです
0113anonymous@fusianasan2020/08/10(月) 22:18:11.64ID:???
>>111
なんで一世代古い100E、まして、穴のある検証資料持ち出してんだよ
あと何度でも言ってやるがAESのデコードエンコードにASIC使ってないわけ無いだろド素人め
0114anonymous@fusianasan2020/08/10(月) 22:24:45.35ID:???
>>113

UTM機能フルでオンにして使えますで大々的に宣伝すれば?

FortiはUTMの細かいオプションもチェック一つつけるだけでAsic対象から外れるから、事前に確認するのにフルでAsic対応なの?

HTTPSオンのお客さん見たことないですが

良く調べて法が良いよ
0115anonymous@fusianasan2020/08/10(月) 22:35:29.62ID:???
>>114
うぜー素人だな
情報処理のイロハも知らんからASICの使われ方が想像できていない
ASIC対象外の処理が含まれたら一切ASICが使われなくなるとかあり得ないから

第一お前自信が挙げてる>>112 のFortigate200Eより100FはSSL解いた上でのIPSのスループット上がってんだよ

そんなに気に入ってるならHuaweiより酷い評価されてるwatchguard使ってりゃ良いんじゃないの?
0116anonymous@fusianasan2020/08/10(月) 23:08:59.88ID:BCwkkfUH
最近のwatchguardは評判イイよ。
安くてスループット番長だし。
中身は、ちゃんぽん詰め合わせUTMだけどw
0117anonymous@fusianasan2020/08/10(月) 23:17:58.09ID:???
>>116
Fortiダメだとは言っていないんですけどね

ブチ切れられてどうにもならないです

結構な頻度でAVエンジン等の入れ替わり激しくてSPAMエンジンのマーキングが変わったり等

ちょっとどうかなとと言う事もあります

UTMのパフォーマンスは確かに良いですよね
0118anonymous@fusianasan2020/08/10(月) 23:30:11.97ID:???
はいどうぞ
ttps://blog.paloaltonetworks.com/2019/09/network-gartner-magic-quadrant-leader/
0119anonymous@fusianasan2020/08/11(火) 15:46:33.53ID:???
常に俺様目線で聞く耳持たずでマウント取りたがる奴とは議論になんないよね
どんだけすごい技術者なのか知らんけど仕事では絶対に関わり合いたくないタイプ
0120anonymous@fusianasan2020/08/11(火) 20:38:02.04ID:???
言ってること出鱈目だしね

ASIC対応のサービスでオプション一つチェック入れるとそのサービスのASIC動作から
ソフトウエア動作になることは現場でさゎっている人間は周知の事実なのに

何回、担当SEや営業二確認する事か
0121anonymous@fusianasan2020/08/12(水) 01:17:24.34ID:???
>>120
安い機種しか触ったこと無いとそう感じるかもね
 ※実際は間違っていて単にCPUで回される処理に律速されてるだけ
CP積んでる機種以上はHTTPSの復号化と再暗号化はASICでやるよ
ttps://docs.fortinet.com/document/fortigate/6.0.0/hardware-acceleration/194109/cp4-capabilities
0122anonymous@fusianasan2020/08/12(水) 07:54:22.02ID:???
横からすいませんが
>>120の人は、アンチウイルスや攻撃検出などのオプションを選択したらASICのアクセレーションから外れる時があると、書き込んでるよ?
私も営業の方からその話は聞いています
結構チェック入れても警告も無くASIC範囲を外れるとそのサービスごとソフト処理になるので注意点と言われた覚えがあります
その都度確認いただけたらと仰っていましたが

ローエンドだとHTTPSの複合化暗号化はASICで出来ないのですね?
参考までですが現行だとどのモデルから対応してますか?

安い機種しかと言われていますが、それもFORTIGATEですからね、そんな見下されても
客先では、その安い機種を一番よく見かけるよ?

横から申し訳ありません
0123anonymous@fusianasan2020/08/12(水) 10:00:57.43ID:???
>>122
それ本当にFortinetのアカウントマネージャや担当SEから言われた?
適当なこと言ってる代理店じゃないの?
0124anonymous@fusianasan2020/08/12(水) 18:52:50.16ID:???
>>122
全てかどうかは判らないけど40FはSSLインスペクションはASIC処理される
CPが独立搭載されてるのは200番台からだけどローエンドのSOCもCPを内包してるらしい

ttps://www.fortinet.com/jp/products/fortigate/fortiasic#soc4
0125anonymous@fusianasan2020/09/05(土) 15:55:51.24ID:xeBmSk3w
SSLインスペクション有効時は、メモリ容量はあまり関係ないのでしょうか?
CPUのみ命!って感じかな?
0126anonymous@fusianasan2020/09/08(火) 08:40:12.96ID:???
Androidスマホアプリの通信先など挙動を調べたいのですが、
Frotigateの証明書をインストールして、Deep-inspectionをかけると
アプリがエラー吐いて起動しない&正常に動作しないですね。
正規の証明書じゃないとだめなのでしょうか。
同じような悩みの方いらっしゃいますか?何か良い方法があれば教えていただきたいです。
0127anonymous2020/09/09(水) 23:48:59.15ID:???
セキュリティ面で証明書が公式のと一致するかチェックしてるアプリはそこそこある(Certificate Pinning)
また証明書の作り方次第でうまく行かない場合もある
0128anonymous@fusianasan2020/09/15(火) 09:05:57.32ID:???
40fのスペック見ると
50eどころか60eよりも上なんだけど
40fの方がお得なの?
0129anonymous@fusianasan2020/09/15(火) 12:20:19.22ID:???
fortigate のカタログスペックは当てになんなくね?
このスレでも60DはPPPoEとかIPv6とかあったし。
まぁ当てにならんから聞いてるんだろうけど。
0130anonymous@fusianasan2020/09/15(火) 18:53:36.50ID:???
こんなバカッ速にはならないでしょう...,残念ですが

こんなこと書いてると、またヤヤコシイノに絡まれてた人見てるので、あれだけど

これまでもカタログスペックが全く出ないからね
01311282020/09/15(火) 19:36:23.84ID:???
そうか、出た時期やスペックより
値段や型番を当てにしたほうがいいのかな。
レスありがトン
0132anonymous@fusianasan2020/09/17(木) 20:56:41.34ID:mEP2zI91
IOSにforticlientと証明書いれてSSL-VPNしたい。
MAC無しでできますか?
APPにはでてこない。
01331322020/09/19(土) 00:46:00.84ID:j2u6tNov
事故解決
すくなくとも今は、Macがないとできないとわかった。
1000台位に入れてSSL-VPNしたかったけど無理だな。
0134anonymous@fusianasan2020/09/19(土) 02:22:12.05ID:???
>>130
全部一行空ける文体がまんまご本人のようだけど・・・w
適当なこと言って全部論破されてるだけじゃん
0135anonymous@fusianasan2020/09/23(水) 22:21:41.66ID:???
どこまで調べたのか知らないけど、
Apple iOSのFortiClientは、iTunesからFortiClientアプリに入れたクライアント証明書しか認識しないよ
形式もPKCS#12とかだったかな
拡張子もチェックしてたかもしれない
なので、メール添付とかから開いて認識させるのはできない

前に試した時はMDMからも展開できなさそうだった
なので、力作業頑張ってくれ
0136anonymous@fusianasan2020/09/23(水) 23:13:23.67ID:???
iOS使うような情弱には無理やろ
01371322020/09/24(木) 05:36:52.80ID:9QElQwuJ
>>135
ありがとう。
販社サポにきいても同じだった。
Forticlientはあきらめた。
IPsecにするわ
0138anonymous@fusianasan2020/09/27(日) 09:21:54.09ID:???
Fortigateでipv6 over ipv4設定する場合、
DS Liteは対応可能だが、map-eは対応不可との認識で良いのかな?
0140anonymous@fusianasan2020/09/28(月) 07:21:18.09ID:???
Windowsの証明書サービスでクライアント証明書発行してipadに入れてIPsec接続したが繋がらん(;´д`)
共有鍵ではつながる。
Fortigateには、鯖証明書とCAをいれたんだが。
0141anonymous@fusianasan2020/09/29(火) 09:51:27.56ID:???
フレッツのひかり電話対応HGWの下にFortigateのwan1、wan2の両方接続してwan1はipv4のPPPoE、wan2はipoeのipv6プレフィックスを移譲してもらって、internalは固定のipv4と移譲してもらった64bitのipv6プレフィックスを割り当ててるつもりだが
internalの端末には
ipv6のアドレスがinternalのアドレスとwan側のアドレス両方割り当てられている。
ipv6わからん。
wan1とwan2を分けてるのは特に意味はなくはなんとなく。
0142anonymous@fusianasan2020/10/03(土) 16:15:39.58ID:WsoUEeGf
>>140
windowsの証明書ストア間違ってない
0143anonymous@fusianasan2020/10/05(月) 13:59:43.05ID:???
FortiOS6.0ですが、fortigateのDNS server機能で
「システム設定DNSへ転送」を選択すると
特定ドメインだけ別DNSサーバーに転送するいわゆる条件付きフォワーダー機能が働かなくなる。
「システム設定DNSへ転送」ではなく、「再帰的」にすると条件付きフォワーダー機能は働く。
仕様?
自分で名前解決せずに基本はフォワードしつつ
特定ドメインは別DNSにフォワードしたいんですが。
0145anonymous@fusianasan2020/10/15(木) 08:59:32.73ID:/gwNDsZa
SSLインスペクション有効で使い物にならないって
具体的にどうなるのでしょうか?
ネット速度が1Mbpsくらいに落ちるとか?
0148anonymous@fusianasan2020/10/17(土) 21:35:31.72ID:???
>>146
バージョン6.4以上か〜。60Eが中古市場に出回るのを待つしかないか。
0150anonymous@fusianasan2020/10/18(日) 12:04:14.09ID:???
>>149
市販のOCNバーチャルコネクト対応ルーターの方がスループット速いん?
0153anonymous@fusianasan2020/10/27(火) 23:28:20.76ID:???
60EだとIPv6オフロードされなくない?
0155anonymous@fusianasan2020/10/30(金) 18:48:48.31ID:???
60D (SoC2) から 60E (SoC3)になってNP6lite相当のipv6オフロードされるようになったのね
すまん知らなかったわ
ttps://www.fortinet.com/content/dam/fortinet/assets/data-sheets/FortiGate_FortiWiFi_60E_Series.pdf
ttps://docs.fortinet.com/document/fortigate/6.0.0/hardware-acceleration/575471/network-processors-np7-np6-np6xlite-np6lite-and-np4
0156anonymous@fusianasan2020/11/24(火) 23:00:17.95ID:A0EAmU4E
よい子のみんなは、ちゃんとファームウェアをうpしてるよね
ttps://news.yahoo.co.jp/byline/ohmototakashi/20201124-00209286/
0157anon2020/11/25(水) 07:14:12.97ID:???
無論、6.2系ですわよ
0159anonymous@fusianasan2020/12/02(水) 10:42:11.51ID:IFUMgA/k
FortiOS 6.6 beta1がFNDNにリリースされたよー
0160anonymous@fusianasan2020/12/02(水) 19:34:07.53ID:???
6.4ですら何それ美味しいの?な代理店jp
0161anonymous@fusianasan2020/12/17(木) 02:19:03.39ID:???
もう6.6とか
ついていけないっす・・・
0162anonymous@fusianasan2020/12/17(木) 09:18:38.50ID:???
金なくてFortigate60Dから更新できないワイ、低みの見物。
0163anonymous@fusianasan2020/12/18(金) 21:59:02.14ID:???
アップしたら、数時間後にWAN側からの通信が拒否される不具合が出て、
ロールバックせざるを得なかったでござる。
0166anonymous@fusianasan2021/01/15(金) 12:07:44.83ID:???
中古で販売されているFortiGate機器について質問です。
代理店・販売店ユーザー登録してなくても、ライセンス残っているFortiGateは、ファームアップデート更新できますか?
0167anonymous@fusianasan2021/01/15(金) 12:22:26.52ID:???
ダッシュボードにアップデートできますって出るやつなら行けるんじゃね
個人で検証用ならともかく業務で使うならちゃんと代理店使った方がいい
0168166です2021/01/15(金) 12:56:39.57ID:???
>167
ありがとうございました。
また質問です。
ライセンス切れた全く同じ他の機器へもコピーしたいのですが、可能ですか?
Web管理画面より、USBメモリ等へファームファイルコピーしたりできますか?
ファーム以外のウイルスとかファイヤーウォールとかは使用しないので必要ありません。
0169anonymous@fusianasan2021/01/15(金) 14:51:17.46ID:???
犯罪行為に加担したくないので無回答推奨
0170anonymous@fusianasan2021/01/15(金) 19:19:53.03ID:???
ライセンスってなんや?サポート契約か?
0171anonymous@fusianasan2021/01/15(金) 19:25:01.67ID:???
>>166
通常、代理店にユーザ登録しないとファームウェアは手に入らないはず。
中古でもライセンス有効期限内ならユーザ登録できるけど、有効期限切れたやつは扱ったことがないから知らない(ファームウェアが手元にあっても更新できないかもしれない。
0172anonymous@fusianasan2021/01/15(金) 19:27:30.26ID:???
>>168
fortigateにファームウェアを書き出す機能はない(少なくとも知る限りでは、だけど
0173anonymous@fusianasan2021/01/15(金) 20:39:49.79ID:???
まぁファームなんぞ適当に拾って来て好きに入れたったらええねん。
0174anonymous@fusianasan2021/01/15(金) 21:50:01.15ID:s7eE2ADk
保守が残っていればオンラインアップデートは可能。

ファームウェアの書き出しはできない。

ライセンスのコピーは不可能。
というか、シリアル番号をオンラインでFortigate側のサーバに送信して、都度ライセンス情報を取得する方式だから、ライセンスというものがそもそも本体には保存されていない。
0175anonymous@fusianasan2021/01/15(金) 21:52:14.98ID:s7eE2ADk
もちろん、ファームウェアイメージファイルが手元にあれば、ライセンスがなくても更新可能だが、協定的にOKであるかは分からない。
0176166です2021/01/15(金) 22:32:27.55ID:???
皆様アドバイスどうもありがとうございます。
>>173
>>まぁファームなんぞ適当に拾って来て好きに入れたったらええねん。
結構出回っているもんなんですか?
0177anonymous2021/01/15(金) 22:39:36.78ID:???
ファームウェアを適当に引っ張って来ることに対する罪の意識が全くないのが驚き
やるなら他人に聞かないでこっそり自己責任でやれよ…
0178anonymous@fusianasan2021/01/16(土) 08:50:15.37ID:???
ググれば出てくるみたいだが>>166が何をしたいのかがわからん
そもそもまだ実機持ってない様子か

零細企業で使うんなら、自称でもいいからライセンス更新しますって業者で買ってちゃんとしたほうがいいぞ
ここはサポートセンタではない
0179anonymous@fusianasan2021/01/17(日) 21:55:04.30ID:???
おいらは何がしたいか十分わかるよ
自分で金出して勉強する人は必死なんだよ
それくらい理解してやれよな
0180anonymous@fusianasan2021/01/18(月) 02:22:39.59ID:???
いや、金出そうとしてないって話なんだが
0181anonymous@fusianasan2021/01/20(水) 14:55:19.92ID:???
Upgrade Path Tool 使えます?
製品選択は出来るが、OSの選択が出来ない…。
0182anonymous@fusianasan2021/01/20(水) 15:19:20.68ID:???
>>181
前から反応悪いことあったけど今は完全にだめっぽいね
Chrome,IE,Flash環境でも見れないっぽい

昔ながらのリリースノートみながら控えていく感じで・・・
0183anonymous@fusianasan2021/01/20(水) 19:08:42.57ID:EMRVqkKb
>>181
Firefoxで30秒ぐらい待てば表示される
0184anonymous@fusianasan2021/01/20(水) 21:17:58.20ID:???
>>182
ありがとうございます。
最近ずっと調子悪かったけど
何とか使えてたんですけどねぇ。

>>183
ありゃ、Firefoxいけました?
一応いろんなブラウザで数分
放置したりして試したつもり
でしたが、抜けてたかな?
また試してみます。
ありがとうございます。
0185anonymous@fusianasan2021/01/21(木) 18:23:38.61ID:???
JPNE 「v6 プラス」固定 IP サービス利用時の. FortiGate 設定ガイド &#8211; Ver1.00

この設定ガイド作った人ちゃんと検証してるんかな?
CLIコマンドスペルミスもあるし、だいたいONUとHGWを同一で語ってるし、ひかり電話あり/なしで変わってくるとおもんだけど・・・
全然接続できないわ。
0186anonymous@fusianasan2021/01/21(木) 18:31:55.08ID:???
ひかり電話有り/なしでも基本はRAでプレフィックスもらうかと
DHCP-PDクライアントになるのは通常HGWだし、その配下のノードはHGWからRAでprefix払い出してもらうし
0188185です2021/01/21(木) 19:30:33.02ID:???
ひかり電話あり契約だけど、HGW使いたくないのでONU直下にFortigate接続しても、同じ設定でいいの?
0190anonymous@fusianasan2021/01/21(木) 19:43:35.80ID:???
ひかり電話ありで契約してたらNGN側はDHCPv6-PD設定になってる
その状態でHGW外してCPEをONUに直結したいならDHCPv6-PDクライアント設定にする必要があるけどRAのパターンしか対応してないかと
あと、IPoEは固定IPサービスのみ対応
0191185です2021/01/21(木) 20:04:57.24ID:???
YAMAHA RTXの場合は、RAとDHCPv6-PDの場合は設定が違うんだけど・・・
もう少しFortigate-60Fいじくって勉強してみます。
ありがとうございました。
0192anonymous@fusianasan2021/01/21(木) 22:23:45.34ID:???
ipv6難し過ぎるわ〜
prefixをdelegationとか〜何言うてまんねん?wwwwwwww
って感じ&#129402;
0193anonymous@fusianasan2021/01/24(日) 17:35:26.32ID:???
>>192
同じく。
分からないからDHCPにしちゃってるけど、やっぱり割り当てられてない
0194anonymous@fusianasan2021/01/24(日) 23:49:49.20ID:SsLZePyC
IPv6決めたときにDNS配るのは俺の仕事じゃねえ!とか意地張った奴らのせいなんだよな
いっそ飛ばしてインターネットに特化したIPv7とか作って欲しいレベル
0195anonymous@fusianasan2021/01/25(月) 00:12:34.80ID:???
基本はRAでもらうIPv6プレフィックスもらう前提だよ > FortiGate
だから、ひかり電話契約の場合はHGW/ひかり電話対応ルータなりの下につないでRAでIPv6プレフィックスもらう
ひかり電話契約なしの場合はONUに直結してRAでIPv6プレフィックスもらう

ひかり電話契約してて、ひかり電話対応のHGWというかルータ外して(ひかり電話つぶして)
ONUに別のルータ直結って需要はあんまりないんじゃないかね
0196anonymous@fusianasan2021/01/25(月) 00:14:13.42ID:???
なんか変な文章になってた
「基本はRAでPv6プレフィックスもらう前提だよ > FortiGate」でした
0197anonymous2021/01/25(月) 02:23:08.20ID:???
ひかり電話契約してONUと直結したいって人はDHCP-PDで複数セグメント分のv6アドレスが欲しいんじゃないかな
IPv4ならVLANで複数セグメントに分けてるけどv6は単一セグメントって気分的に微妙じゃない?
0198anonymous@fusianasan2021/01/25(月) 02:28:42.53ID:???
ひかり電話ありの契約
ONU--<DHCPv6-PD(/56のprefix払い出し)>--HGW---<RAで/64のprefix払い出し>---CPE or PC
ひかり電話なしの契約
ONU--<RAで/64のprefix払い出し>---CPE or PC

くらいを知ってればいいと思う

>>197
そこまでわかって設計する人は多分ここで「繋がらない」とは言ってない気がする
0201anonymous@fusianasan2021/01/25(月) 13:20:32.92ID:???
流れで教えて。
NURO光(F660A/F600)でIPv6ってどうやれば…
0202anonymous@fusianasan2021/01/25(月) 18:42:45.58ID:voBwg2t/
>>200
ありがとうございます!スッキリしました。
0203anonymous@fusianasan2021/01/25(月) 19:36:19.76ID:???
FortigateでIPoEって皆企業ユースなの?
わざわざFortigateをフレッツのCPEにするユースケースがピンと来ない
0204anonymous@fusianasan2021/01/25(月) 20:36:49.64ID:???
このスレは自宅用途のほうが多いんじゃないの?
0205anonymous@fusianasan2021/01/25(月) 20:59:11.73ID:???
家庭で使うレベルのFortiGateはPPPoEもよわよわだしIPv4overIPv6をやらせるとかスループット悪そう
これはもうルーターの下に透過モードで置いて使うものだと思って割り切ってる
0207anonymous@fusianasan2021/01/25(月) 21:50:33.80ID:???
ipv6接続すら出来んのは流石に勉強が足りんやろ?
0208anonymous@fusianasan2021/01/25(月) 21:50:44.12ID:???
IPoEで繋がらないって人は固定IPサービスを契約した上で言ってるのかな
安いプラン(共有型)は繋がらないよ
02092062021/01/25(月) 22:20:14.33ID:JuThGp4z
>>208
もちろん固定IP8個のサービスです。
02102062021/01/25(月) 22:21:35.76ID:JuThGp4z
勉強の問題ではないよ
pdfの解説がダメダメ
ドキュメントはやっぱりYAMAHAだよなあ
0211anonymous@fusianasan2021/01/25(月) 22:23:23.10ID:???
IPv6の接続設定ができない時点で(ゲホゲホ)
0212anonymous@fusianasan2021/01/26(火) 01:46:47.98ID:???
v6のアドレスと言うかプレフィックス取得のための設定はCLIで2,3行程度なんだが
それがうまくいかないのは正直オマ環としか思えない
0213anonymous@fusianasan2021/01/26(火) 04:23:41.88ID:???
繋がんねーバージョンのファーム無かったっけ?
最新のは繋がったはずだが設定次第か
0214anonymous@fusianasan2021/01/26(火) 10:50:31.86ID:???
IPoE前提ならほぼ最新のものを使うしかないからIPv6のprefixが取得できないって問題は無いかと
0215206です2021/01/27(水) 20:02:33.13ID:???
ネットワークの知識と言うか、ハードの設定知識&コツが必要なんだよね。
YAMAHA CLIも苦労したが、今はもう慣れた。
アライドのコマンドは分かりやすい、unixライクでコメントもconfigに残せるし。
マニュアルなしでも感覚的にわかりやすかった最高の機器がSonicwallだった。最近は見る影もないけど。
で、Fortigateは売れている割には、Web設定ムズイね、一つ一つの機能が感覚的に全然わからん、マニュアル見ないと。今勉強中。
速度も値段の割にはショボいし。
何でこんなんが人気あるのか、さっぱりだ。
0216anonymous@fusianasan2021/01/27(水) 23:03:30.38ID:???
どうしてって安いから人気あるんだよ
0218anonymous@fusianasan2021/01/28(木) 03:01:53.19ID:???
安さ以外ないわな
まともなUTMを使いたいんだったらPalo勧める
0219anonymous@fusianasan2021/01/28(木) 10:45:54.21ID:???
Fortigateをマニュアル見ないとわからんって…
0220anonymous2021/01/29(金) 14:21:55.70ID:???
ヤマハがUTM出すっていうから対抗して値下げしてくれないかなー
安価なUTMでそこそこ使えるってので売れてるけどヤマハのUTMの完成度高かったらローエンドモデルはわりかしやばいやろ
0221anonymous@fusianasan2021/01/29(金) 21:28:09.66ID:???
ヤマハのやつはCheckPointと協業らしいから、値段も機能も期待できないんじゃない?
0222215 206です2021/01/29(金) 22:05:47.27ID:???
>>217
なんでや?
YAMAHAの方がコストパフォーマンス最強
10年以上前のRTXでも無料でファーム更新できるし、サポートメール&電話も無料だ。
本体価格より高いライセンス料のFortigateが詐欺に見えてくる。
0223anonymous@fusianasan2021/01/30(土) 05:50:46.62ID:???
UTM度外視でコスパを語られてもな
0224anonymous@fusianasan2021/01/30(土) 10:20:26.42ID:DmcvviCn
FortiはPAよりずっと安上がりなんやで!!
0225anonymous@fusianasan2021/01/30(土) 14:47:12.29ID:???
PAはヤマハで親しんだ人には無理じゃね
ヤマハとフォーティが協業した方が中小のパソコンの先生情シス担当には向いてる気がするのに
0226anonymous@fusianasan2021/01/30(土) 19:40:48.76ID:???
先日、Fortigate-60F新品を初めて購入し初めていじくりました。シスコとYAMAHA RTXからの乗り換えです。

CLIコマンドでWANインターフェースにIPv6アドレスを設定したのですが、Web-GUI画面ではipv4しか表示されないのですが、故障ですか?
同様にIPv6ポリシーの作成もWeb-GUIで確認できません。
再起動してCLIのshowコマンドではちゃんと設定されています。

Fortigateってこんなにしょぼいのですか?
それともなんか他に見るところ間違っているのでしょうか?
0229anonymous@fusianasan2021/01/31(日) 14:26:44.13ID:0mONG/cZ
FOS古いんじゃね?
0230anonymous@fusianasan2021/01/31(日) 14:36:29.76ID:???
Fortigateがしょぼいのは否定は出来んが、
中小零細家庭向けには最高や!
0231anonymous@fusianasan2021/01/31(日) 14:47:18.07ID:???
あのUIでしょぼいっていったらPaloaltoみたらcomitで発狂しちゃうんじゃね
FWX120/SRT100のフィルタ設定の方がしょぼいというか意味わかんなくなってくる
0232anonymous@fusianasan2021/01/31(日) 21:09:37.13ID:???
fortigateもparoもSRXもSSGもケチをつけようと思ったらいくらでも出てくる
0233anonymous@fusianasan2021/02/02(火) 00:19:06.75ID:???
どのメーカの装置でも「しょぼい」って発言する人は目の前の機器を正しく設定できないから感情的になって言ってるようにみえる
「使い方がわからない/設定が難しい」→「装置がしょぼいせいだ(自分は悪くない)」みたいな
マニュアル読んだ上で「説明書いてないじゃん」って言う人は居ないし
0234anonymous@fusianasan2021/02/02(火) 02:32:37.30ID:WwfUKq3F
正直Fortigateに対抗が無い
性能も価格も機能も勝てるやつおらんやんけ
0235anonymous@fusianasan2021/02/03(水) 13:38:16.40ID:9nNizuaK
>マニュアル読んだ上で
最近のトレンドは、マニュアル読まなくても直感的にわかるようにするべきで、Fortigateはその点が抜けている。
ダメダメUTMの部類。
SonicWallやSophos系は最高です。
0236anonymous@fusianasan2021/02/03(水) 13:43:53.97ID:???
まぁ細かな設定はCLI必要だったりするが、
ちなFortigateのCLIは好きになってきた。
Fortigate慣れてからCisco触ると、なんだこの糞CLIは?
昭和か?!と思ってしまう。
0237anonymous@fusianasan2021/02/03(水) 14:20:25.17ID:???
CiscoでIOS、IOS-XE、XR、ASA、FPとかいろいろ触ってきた人だとGUIもCLIもシンプルに感じると思うけど
家庭用ブロードバンドルータくらいしか触ってない人がFortiGateをいきなり触ると難しいかもしれないね
どの製品だろうが触る人のスキルレベル次第で感想がコロコロ変わるってことなんだよね
0238anonymous@fusianasan2021/02/03(水) 14:40:33.99ID:???
普段Forti,Paloいじってる身としては、確かにASAとかFPはわけわかめだったな。
Sophosは7年くらい前にUTMアーキテクトとか言うの取らされたけどこれもUI文化が違いすぎて苦労した覚えがある。
0239anonymous@fusianasan2021/02/03(水) 16:09:57.13ID:???
>>235
その直感もその人のスキルと慣れによるんだよね
0240anonymous@fusianasan2021/02/03(水) 16:21:21.12ID:???
iPhoneだってAndroidしか触ったことない人からしたらクソUIだよ
0241anonymous@fusianasan2021/02/03(水) 22:30:28.16ID:???
ひかり電話有りのipoe環境で
internalにprefix delegationしてInternal側の端末はipv6通信出来るようになってるんだけど、
fortigateのwan側にipv6グローバルIPを付与したいけどわからない。
fortigateからインターネットのipv6にping打つと送信元ipはinternalインターフェイスのipv6グローバルIPになってる。
0243anonymous@fusianasan2021/02/03(水) 23:37:31.48ID:???
commitしないで反映されるのは嫌って人はいたな
02452412021/02/04(木) 08:39:38.65ID:???
fortigateの状態確認したら/60プレフィックスまるごと委任されてんのね。
これはwan側に付与するグローバルアドレスが余ってないって事か?
0246anonymous@fusianasan2021/02/04(木) 12:03:00.08ID:???
そもそもPDの動作を知らない?
02472412021/02/04(木) 12:20:02.38ID:???
全然詳しく知らん
PD委任元のHGWでPrefix Exclude設定とかして
プレフィックス全部委任しないように出来るんか?

みんなはFortigateとHGWの間のセグメントにグローバルIPv6を付与したい時はどうしてるんだ?
0248anonymous@fusianasan2021/02/04(木) 12:32:32.08ID:???
一般的にはHGWがRA(/64)でLAN側にPrefix払い出すかと
だから、FortiGateはRAでIPv6アドレスを自動設定するようにすればいい

config system interface
edit wan1
config ipv6
set dhcp6-information-request enable
set autoconf enable
end

Prefixもらうだけならautoconfだけでいいかもだけど
02492412021/02/04(木) 12:50:30.49ID:???
それはひかり電話有りでもですか?
自分はwan1のコンフィグは以下にしてます。
config ipv6
set ip6-allowaccess ping
set dhcp6-prefix-delegation enable
set autoconf enable
end
0250anonymous@fusianasan2021/02/04(木) 13:05:54.58ID:???
>>249
>>185-200あたりを読むといいんじゃないかな

普通はひかり電話だったらHGWがPD受けてLAN側にPAでプレフィックス払い出す
で、FortiGateはそのRAでIPv6自動設定(PDは使わない)
そもそもひかり電話契約しててHGW外したらひかり電話使えなくなるんじゃないのかな
0251anonymous@fusianasan2021/02/04(木) 13:40:52.37ID:???
ひかり電話が契約か機器構成か分からんが
家庭向けのひかり電話ルーターならPD要求には/60のPDを返す
PD外側はGLAふらずLLA使う

一般的とか普通とか決めつけずLAN内の構成でRAかPDか選ぶもんだ
02522412021/02/04(木) 14:36:42.05ID:???
う〜む。自分の理解が怪しいので勉強せねばいかんが、

>>250の方法(PDじゃなくてRA)ってfortigateのwan側にIPv6グローバルが1個割り当てられる。
プリフィクスDelegationじゃないので、lan側には割り当てられない。

>>251の方法は自分がfortigateに設定している方法で/60プリフィクスをHGWからfortigateに委任される方法。
で自分はfortigateのlan側に委任されたプリフィクスのうち/64を1個割り当ててるが、wan側はリンクローカルアドレスになっている。(wan側がリンクローカルアドレスになるのはPDの仕様?)
自分はawsとipv6のVPNを張りたいのでwan側にもグローバルアドレスを割り当てたかったです。
0254anonymous@fusianasan2021/02/05(金) 08:11:24.99ID:???
>>236
おらCiscoで育ったからFGのCLIは比較的やりやすいと思うがなぁ

尚某楽器メーカーのACLは何度やっても慣れない…(´・ω・`)
0255anonymous@fusianasan2021/02/05(金) 09:07:29.41ID:???
LAN側アドレス指定すれゃいい
指定対向アドレスLAN側、トンネル終端LAN側が基本の形
VPNサーバなら裸で外に置かずルータ/FWの内側に立てて外からつつけるアドレスあれば割り当てる
それがルータに相乗りしてるだけ

ルータでやるから
WAN側アドレス、WAN側トンネル終端を選べる
対向からみたアドレスと、トンネル終端のインタフェースを別に選べる 
NAT環境だとWAN側アドレスしか指定できないでWAN側アドレス指定/NAT,FW/LAN側トンネル終端になる
これのNAT,FWめんどくさがりVPNサーバを外に出したのがWAN側アドレス指定トンネル終端

先にv4のしがらみ忘れてv6のアドレッシング学ぶべし
02562412021/02/05(金) 12:34:23.60ID:???
確かにipv6でVPN張るのが目的なのでLAN側グローバルIP使ってVPN張れば完了かもしれないですけど
wan → lanのFirewallポリシーでIKEとESP許可するのが(気分的になんとなく)嫌というのと、
このURL( https://www.seil.jp/blog/10.html )の内容が正しければHGWからPrefix Delegationを委任された構成でも、委任されたPrefix とは別のPrefix をwan側インターフェイスに割り当てる事が出来るはず。
出来るのであれば妥協せずにやりたいと言う気持ちの方が大きい。(ここからはVPN張るのが目的じゃなくなって来てますが。)
このスレでipv6 prefix delegationされててwan側にも普通にグローバルIP割り当て出来てるよ。って人いないですか?
0257anonymous@fusianasan2021/02/05(金) 23:43:08.69ID:???
>>254
TelnetでACL入れて自爆はみんなやるよな
アライドがCiscoライクになって不便・・・
スレチだが
0258anonymous@fusianasan2021/02/06(土) 04:41:38.87ID:???
PDはルータの上流側IFに割り当てるためのものではないので(RFC 3633のUpon the receipt of a valid Reply message...のところ)、
そっちはRAなりDHCPv6のIA_NAなりのひかり電話ルータが対応している方法で別途取得するよう設定してください

どうしても1個のPDで済ませたい人のためにPrefix Exclude Optionというのもあるが(RFC6603)、たぶんひかり電話HGWは喋ってくれない
0259anonymous@fusianasan2021/02/06(土) 04:42:28.19ID:???
IPv6スレで返事しようとして間違えちったスマンコ
0260anonymous@fusianasan2021/02/06(土) 17:30:36.83ID:???
HGWからのRAってMフラグが1か0か知らんけど、
そもそもFortigateって、RAでPrefixを受けてもIPv6アドレス自動生成する?(Mフラグ0の場合)
スタティックで設定しないと出来なくね?
0261anonymous@fusianasan2021/02/06(土) 17:34:02.83ID:???
HGW配下はやったことないけど、ひかり電話なしプランのONU直結で/64でIPv6アドレス自動生成されるよ
設定間違ってるんじゃね?
0262anonymous@fusianasan2021/02/07(日) 04:15:55.87ID:???
>>257
お前は俺かw
遠隔地のACL機器入れるときに順番間違ったりするパテーンな。

最近もおいそれと遠隔地のACLをCLIでいじったりするのは神経すりへるよね。


うちもIPv6対応してるからファーム上げるのと併せてやろっかな…
0263anonymous@fusianasan2021/02/12(金) 22:22:44.52ID:???
OCNのバーチャルコネクトの対応ルーターにFortigate 50Eが入ってないのはなんでなん?
ファーム6.4.2でもあかんのん?
0264anonymous@fusianasan2021/02/13(土) 10:58:37.80ID:hsy/b2H6
OCN光フレッツの IPoE 固定IP1で
fortigate60EでIpsec VPN張りたいんですけど、
インターフェースのアドレスの所はどう入力したらいいでしょうか。。。
アドレッシングモードDHCPでアドレスだけ入力しても接続できなくて。。。
基本的な事ですみません。。。
宜しくお願い致します。
0265anonymous@fusianasan2021/02/13(土) 12:48:29.54ID:???
ipv6ならautoconfをenableにすれば
RAからSLAACで自動生成されるが、それが半永久的に固定なんかどうかは知らん。
02662632021/02/13(土) 17:24:05.00ID:???
自決しました。(ヽ´ω`)
0267anonymous@fusianasan2021/02/14(日) 23:23:44.78ID:???
>>264
IPv4でのIPsec VPNってことかと思うけど、IPoEでIPv4アドレスが自動設定されたら
後は通常のIPsec設定と同じですよ

>インターフェースのアドレスの所はどう入力したらいいでしょうか。。。
IPsecの論理インターフェースにIPアドレス付与ってことでしょうか?
トンネルモードで使うのであればリンクモニタ的なこととかしないのであればIPアドレスの設定は不要です
0268anonymous@fusianasan2021/02/15(月) 13:17:49.17ID:???
こんなネットワークがあるとして、

INTERNET
|
Fortigate 50E(v6.0.10)
LAN1(192.168.1.0/24) LAN2(20.0/24)
| |
| ルータA(192.168.20.254)
| [86.0/24]
| |
| プリンタ(192.168.86.201)
|
PC(192.168.1.2)


これ、ルータAネットワークからPCにはアクセスできるけど、
PCからルータA内のネットワークにアクセスできない。
どうルーティングすればいい?


スタティックルート
宛先:192.168.30.0/24
ゲートウェイアドレス:192.168.20.254
インターフェース:LAN2
でOK?
02692682021/02/15(月) 13:21:34.53ID:???
色々投稿失敗した…

FGのLAN1が1.0/24で
FGのLAN2が20.0/24
ルータAのネットワークは86.0/24
です

で、宛先は宛先:192.168.30.0/24 じゃなくて宛先:192.168.86.0/24
0270anonymous@fusianasan2021/02/15(月) 13:39:00.85ID:???
それでいいけど、ここで聞くより
その設定を試したした方が早いでしょうよ
入れてるけど通らないのか?
ルーターAでNATしてる落ちか?
0271anonymous@fusianasan2021/02/15(月) 13:53:06.20ID:???
どうルーティングすればいいって、スタティックなりかけば良いんじゃないの?
それと、FWポリシー
02722682021/02/15(月) 13:58:30.24ID:???
>>270
ありがとう。
試したけどダメでルータA側のサポートに問い合わせ前に念の為と思いまして。

ルータAではNATしてます。
0273anonymous@fusianasan2021/02/15(月) 14:21:09.02ID:???
>>206
当方も同じ状況でまったく繋がらない
このPDF文書の通りやってv6プラス固定IPサービス使用してる人いるんかいな?
それとも、この設定の前or後に何かやっておかなければならない設定とかあるのでしょうか?
0274anonymous@fusianasan2021/02/15(月) 14:45:17.42ID:???
>>273
>>206と同じってことはIPv6アドレスも設定されてないってことかな
だったらまずはIPv6アドレスが付与されないとこのトラブルシュートからだね
0275anonymous@fusianasan2021/02/15(月) 16:54:12.86ID:???
>>272
NATしてるて…
スタティックルート言う以前の問題ですよ

ルーターAがどこのメーカーか判らんから
どの言葉使ってるか知らんけどポートフォワーディングとか
静的NATとか宛先NATみたいなものを使いなされ
これ以上はスレチだからここまでな
もっと勉強してくれ
0276anonymous@fusianasan2021/02/15(月) 18:20:09.04ID:???
IPv6アドレスの取得すらできないのであれば、他のIPoEルータ持ってきたところで繋がらないからなぁ
0277anonymous@fusianasan2021/02/15(月) 19:14:58.95ID:fFlqDs2y
>>275
もちろんポート転送はしてる(検証のために1-65535)けどダメなので、
サポートに問い合わせるとともに一応の確認のために聞いてみたのです。

ちなルータはGoogle Wifiです。
0279anonymous@fusianasan2021/02/20(土) 12:49:45.20ID:???
なこたぁないわ
ドンドン質問して、どんどん答えてあげよう!
0280anonymous@fusianasan2021/02/21(日) 00:38:55.86ID:???
質問するにしてもFortiGateと無関係の質問は遠慮してほしい
0281anonymous@fusianasan2021/02/21(日) 17:40:48.76ID:???
ネットワークの一般知識については、自習して欲しいとは思います。
0282anonymous@fusianasan2021/02/21(日) 21:59:22.54ID:???
まぁ、277はFortigateとルーターの切り分けしたくての質問なのでスレ違いではないでしょう。
0283anonymous@fusianasan2021/02/21(日) 23:31:00.40ID:???
まぁ、レス読んでいけばわかるよ > スレチ
0284anonymous@fusianasan2021/02/22(月) 01:10:30.33ID:???
描いてある構成の中のルータにNATがある時点で自宅内LANっぽい話だけど、そういった質問する人って自宅のLANをちょっと触った程度の経験くらいだから前提となる基礎知識が微妙なんだよね(IPv6が付与されないとかの人とかも同じく・・・)
正直FortiGateをどこまで使いこなせてるんだろとは思う
0285anonymous@fusianasan2021/02/22(月) 02:37:08.85ID:???
ルーターAのDNAT設定してあるんならルーターAの192.168.20.254宛に開放したポート叩くだけなのに
それができてないって事はパソコンから叩くアドレスからして間違ってそうじゃん
FG挟まないでルーターAのWAN側にPC置いたときにちゃんと望む動作ができる事を確認してから
FGの設定が間違ってるかどうかを疑うのが筋じゃないです?
0286anonymous@fusianasan2021/02/22(月) 02:53:39.82ID:???
トラシューやるならdebugコマンドでログ見るとかパケットキャプチャ機能もあっていろいろ方法があるのに
「動かない!」って人からそういう切り分けや解析をした話が出たこと無いんだよね
設定が難しいと思う人はバッファローあたりを使ったほうが良いと思う
0287anonymous@fusianasan2021/02/22(月) 03:01:31.14ID:???
>>285
ほんとその通りで、初心者の人ほど設定/構成を簡素化して問題の切り分けを行うってことが出来ないんですよね
とりあえず色んなものつなげて、いざ試したら動きませんでした、さて何が悪いですか?ってのが多い
0288anonymous@fusianasan2021/02/22(月) 11:55:56.40ID:???
と、偉そうな事を言っているようだが、
このスレは難しい質問来たらまともに答えられる人はほぼいない。
0289anonymous@fusianasan2021/02/22(月) 11:59:39.30ID:???
普通のことだけどね、切り分けとか
0290anonymous@fusianasan2021/02/22(月) 12:06:45.98ID:???
基本的に高度な質問は来ないしね
「動きません」という投稿があって、切り分けを奨められてもその後レスが無くなるし
0291anonymous@fusianasan2021/02/22(月) 12:09:24.31ID:???
このスレにはエスパーが少ない気はする
0292anonymous@fusianasan2021/02/22(月) 12:24:41.30ID:???
当たり前のことが偉そうに聞こえる人に対してはエスパーじゃないと無理だもんな
0293anonymous@fusianasan2021/02/22(月) 19:27:20.62ID:???
ポンコツは他人に説明する能力がなく
聞く最低限の躾けが成ってない
0295anonymous@fusianasan2021/02/23(火) 00:38:24.91ID:???
転職した先でFortigate初めて触ったんだが、
Quakeのマルチホストサーバ用の設定が(ちゃんと名前入りでポート通す設定)入ってんだが
これデフォなん?
0296anonymous@fusianasan2021/02/23(火) 00:45:33.79ID:???
サービスオブジェクトのことを言ってるのであれば入っているかと
FWポリシー設定は別だけど
0298anonymous@fusianasan2021/02/26(金) 02:24:01.67ID:???
購入を検討してるんだけど、ここはやめとけな代理店ある?
0299anonymous@fusianasan2021/02/26(金) 11:57:16.20ID:???
日本の代理店はどこも&#128169;
手続きが遅いから必ずライセンス切れ期間が発生する
数ヶ月遅れもザラ
やる気なし
0300anonymous@fusianasan2021/02/26(金) 20:41:30.72ID:???
なんでFWポリシーでワイルドカード*使えないの??
0301anonymous@fusianasan2021/02/26(金) 21:06:04.66ID:???
何のワイルドカードのことなんかね
0302anonymous@fusianasan2021/02/26(金) 22:18:59.64ID:???
>>241
IPoEでちゃんとアドレスが割り振られているならば、wan側のi/fへipv6 アドレスは振られていると思いますよ
# diagnose ipv6 address list
で確認してみてください

icmpの送信元については、
# execute ping6-options interface <interface>
で、outgoing interface を指定すれば状況が変わるかもしれませんね
0303anonymous@fusianasan2021/02/27(土) 11:16:56.75ID:???
>>301
ホストのFQDNにワイルドカード使いたいんだよね。*.google.comみたいに。
0305anonymous@fusianasan2021/02/27(土) 15:10:12.01ID:???
お前らの仲間入りがしたくて、オクでライセンス切れの60D落としだんだけど、
最新のファームを入手するには、なんか代理店とかと保守契約みたいの必要なの?
(現状のファームウェア バージョン v5.0,build0318)

ひとまずファーム更新して、勉強しようと思ったけど、このバージョンでも勉強になるのだろうか。
0306anonymous@fusianasan2021/02/27(土) 15:39:50.14ID:???
>>305
保守契約にfirmwareのupgrade権がついているので、切れてる場合は無理。
また60DはFortiOS 6.0.x までしか乗らない

現行のfirmwareでfirewallとしては使えるが、utm機能は利用できないと考えるのが良いかと

Cliに慣れたい、firewallとして使ってみたいってことなら使えるかと
documentはこちら
https://docs.fortinet.com/product/fortigate/5.0
03073052021/02/27(土) 15:47:33.27ID:???
>>306
親切にありがとー。
ひとまずこれで勉強してみるよ。

何かあったらまた質問させて下さい。
0308anonymous@fusianasan2021/02/27(土) 17:39:07.08ID:???
ちょっと触ってみたいくらいであればAWSマケプレのFreeトライアルとかでもいいかも
0311anonymous@fusianasan2021/02/28(日) 18:18:43.44ID:???
*.live.comのアドレスオブジェクトのこと?
んなもん家のv5.2にもあるがや
0313anonymous@fusianasan2021/03/01(月) 00:16:00.65ID:???
うちはファームのアップグレード制限があって60Dから50eに切り替えたな

中古を1万で性能もほぼ落ちないし割と使い勝手いいからかなり助かってる
0314anonymous@fusianasan2021/03/01(月) 06:58:14.45ID:???
50Eは6.4対応してないからな〜。
60Eの値崩れ待ちだな。
0315anonymous@fusianasan2021/03/03(水) 12:14:43.13ID:???
>>314

確認したらまじだった…(´・ω・`)
検証で使うのにこれぐらい会社に買ってほしいよ
0316anonymous@fusianasan2021/03/06(土) 10:16:05.71ID:???
まんじゅコスモスですが、なぜかtomcatが落ちてました
再起動したら復帰しました
Mar 5 03:51:16 localhost systemd: tomcat.service: main process exited, code=killed, status=9/KILL
Mar 5 03:51:16 localhost systemd: Unit tomcat.service entered failed state.
0317anonymous@fusianasan2021/03/06(土) 10:16:52.88ID:???
ぎゃあああああああああ
誤爆してる!!

FortiGate60Eのライセンス切れてるのはたまにヤフオクで3万台で出るようになったねえ
0318anonymous@fusianasan2021/03/19(金) 00:10:27.93ID:Eb06R8KS
UTMをFWの上に設置って
おかしいのでしょうか?
0319anonymous@fusianasan2021/03/19(金) 08:18:10.42ID:???
ラックマウント位置の事かな?
0320anonymous@fusianasan2021/03/19(金) 09:32:54.39ID:???
>>318
何をしたいからに依るからなんともいえないですね
既存の構成を壊したくないからトランスペアレントで置くとかもあるでしょうし
FWがやってたことをFGでカバーできて、管理機器数を減らしたいという要望もあるなら
FWは無くていいかと思います
0322anonymous@fusianasan2021/03/20(土) 00:23:55.11ID:???
訊くだけ訊いてレスはしない人多い
0323anonymous@fusianasan2021/03/20(土) 09:11:09.16ID:???
お前みたく24時間張り付いてるわけじゃないんだよな
0325anonymous@fusianasan2021/03/21(日) 21:10:09.66ID:???
FortiGate100EがでかいからってONUとかルータの下にスチール棚に積み重ねられてた現場で交換したけど嫌だった
0326anonymous@fusianasan2021/03/31(水) 10:03:51.91ID:obo5y7fa
FortiOS7.0がリリースされたね。
50Eは対象外だわ。
0328anonymous@fusianasan2021/04/08(木) 19:45:26.34ID:o2NEQRkL
わかる方がいれば教えて下さい。
60Fでforticlientを使用してfortiguardddnsでVPN接続をしていました。
OCNと契約していて法人回線から一般回線に契約変更したところ、ddnsでの接続ができなくなりました。
変更されたIPアドレス直打ちでは接続できるのですが、これは自動的に情報が変わるまで時間を要しているだけなのでしょうか?
0329anonymous@fusianasan2021/04/08(木) 20:42:41.62ID:???
ddnsで引いたIPアドレス見たらいいんじゃね?
0331anonymous@fusianasan2021/04/08(木) 22:33:34.30ID:???
どんなに遅くても1時間で更新されてなかったら異常やろ。
ddnsレコードのTTLなんてせいぜい5分〜10分やろ
03323282021/04/09(金) 07:45:27.56ID:MZpKIl8X
レスくださった方ありがとうございます。
DNS設定でfortiguardDDNSのドメインに表示されているIPアドレスと
nslookupで表示されるアドレスが異なっているのですが利用可とはなっています。
pppoeの認証IDとパスワードを変更してそのまま使っているので再起動させると利用不可になるのかもしれません。
ここからどのように確認できるか改めて調べてみます。
0336anonymous@fusianasan2021/04/10(土) 09:45:56.46ID:???
fortiddnsの応答早いと思うけどなぁ
0337anonymous@fusianasan2021/04/20(火) 08:30:46.95ID:???
いまForti60Fで検証してるけど>>328の現象出てるな
FOS:FortiGate-60F v6.4.5,build1828,210217 (GA)
03383372021/04/29(木) 08:39:11.63ID:???
1日おいてもダメで再起動とかしてたらいつの間にか直ってた
0339anonymous@fusianasan2021/05/17(月) 22:44:26.72ID:UZxtPxn/
fortigate、ipoeの冗長構成に対応してる?
0340anonymous@fusianasan2021/05/18(火) 02:45:16.05ID:???
VDOM使えば2回線収容は可能
NGNのIPv6の接続仕様を調べればわかるかと
0341anonymous@fusianasan2021/05/18(火) 11:37:59.67ID:31PXHU0I
sdwan使っても冗長化できるよん。
0342anonymous@fusianasan2021/05/18(火) 16:57:19.33ID:???
IPoEがIPv4 ovr IPv6のことを言っているのであればIPoE 2回線を同じVDOMには無理ですね
SDWAN関係なく
0343anonymous@fusianasan2021/05/20(木) 17:54:58.58ID:FVoUlb7l
フレッツ網からアドレス払い出されないとかあるんだよなぁ
コールドスタンバイも冗長って判断ならば、
MACアドレス一緒にしたスタンバイ機つくればすんなりいくんかなぁ?
0344anonymous@fusianasan2021/05/21(金) 17:25:39.00ID:???
NGN2回線に同じDUIDでリクエスト出してどっちも通るん?
0345anonymous@fusianasan2021/05/25(火) 15:56:11.29ID:???
SSL-VPNでシステムにアクセスするとアクセス元IPがFortigateのIPになります。
実際のIPをシステムに伝える方法ありますか?
0347anonymous@fusianasan2021/05/25(火) 18:56:48.44ID:???
fortiのsyslogをそのシステムに送ればいいんじゃない?
0348anonymous@fusianasan2021/05/26(水) 00:24:13.58ID:???
>>345
それはSSL-VPNのFirewallポリシーでソースNATしてるでしょ?

ソースNATしなかったとしてもSSL-VPNクライアントには別途用意してるアドレスプールからIP割り当てるんじゃなかったかな?SSL-VPNの設定は。
だからソースNATしなかったとしても接続元IPはクライアントの元のIPじゃなくてアドレスプールから割り当てたIPになる。
0349anonymous@fusianasan2021/05/26(水) 11:14:15.55ID:???
あーそうかぁ
そうですよね

残念
0350anonymous@fusianasan2021/05/29(土) 04:35:47.86ID:???
すみません
FortiClient6.4.3使用中

Windowsログオン時のFortiSSLって、どう使うんですか?
アダプターの存在は確認
証明書の明示がないからSSL-VPNとは異なる?
IPsec-VPNのID パスワードでは開かず

昔のように、ログオン前にVPNを張りたいもので 
0351anonymous@fusianasan2021/05/30(日) 02:30:14.61ID:???
>>350
それやるならFortiClient EMSが要るんじゃないかと
0352anonymous@fusianasan2021/05/30(日) 16:42:11.69ID:???
>>350
FortiClient_6.4.3_Administration_Guideの53ページに書いてるやつ?
03533502021/06/03(木) 06:50:58.23ID:???
>>351 352
ご返事遅れてすみません。
おっしゃる通り、有償のようです

業者は、古いVerならできます
と言うけれど、再考します
どうもありがとうございます
0354anonymous@fusianasan2021/06/14(月) 23:21:59.70ID:L5Tg2m6s
※前置きとしてNWは正常に稼働しております。
IPoEの仕組みがイマイチ理解できなかったため質問させていただきます。
構成としては、OCNのIPoE契約(多分v6プラス、電話なし)でFGをONUに直結、IPv4overIPv6構成です。

質問1:vneトンネルに自動的に設定されるグローバルipv4はどこから取得しているのでしょうか。
質問2:vneトンネルに自動的に設定されるような設定はどの部分にあたるのでしょうか。

MAPーEを利用して払いだされているのかと思ったのですが、何か違うような気がして・・

〜以下設定例〜
#wan側IF
config system interface
edit "port10"
config ipv6
set dhcp6-information-request enable
set autoconf enable
set unique-autoconf-addr enable
end

#vne
config system interface
edit "vne.test"
set vdom "test"
set ip 130.1.2.3 255.255.255.255
set type tunnel
set interface "port10"
next
end
0355anonymous@fusianasan2021/06/14(月) 23:34:52.74ID:L5Tg2m6s
勉強不足、MAP-EはIPv4 over IPv6トンネリングのことでした。
MAPルール配信サーバーてきなものが居るのね。
0356anonymous@fusianasan2021/06/17(木) 02:53:26.32ID:???
v6プラス(JPNE)とOCNのIPoEは別サービスですね、事業者が異なります

>MAPルール配信サーバーてきなものが居るのね
ですね
0357anonymous@fusianasan2021/06/17(木) 12:15:15.84ID:v+pjdfeZ
みなさん回線速度ってどのサイトで計測してますか?
自分はみんそくです。1番速い結果が出るので。
他のサイトだと半分も出ないのでどれが正しいかわからなくなります。。
0358anonymous@fusianasan2021/06/19(土) 00:11:44.22ID:SAV1b8Hc
おしえてください。。
ocnのIPoE固定1で、pcやandroidはv6通信を確立してweb見れるのに、iPhoneはv6アドレス取得できず、webも超遅いか見れないとこばっか。
どうして?
対処設定あります?
本当に困っています
0359anonymous@fusianasan2021/06/19(土) 02:00:50.93ID:???
IPoE固定1ってIPv4アドレスを固定で一つ割り当てるサービスなので、IPv6ネイティブの通信って話だったらocnのIPoE固定1ってのは関係ないです
IPv6ネイティブ通信がうまく行かないのであればnd-proxy、IPv6ファイアウォールポリシーの確認ですね
0360anonymous@fusianasan2021/06/23(水) 13:09:33.15ID:WCpx/DJa
滅多にない構成だと思うけど共有
通常ポリシ n とバーチャルワイヤペアポリシ v を併用する構成のおはなし

vを通過したトラフィックがそのままvに戻らずに、nを通過・戻った後、vに戻るような通信をしたい場合、nを通過しようとした時点でパケットがドロップされます
その際はFortigate以外のL3でNATを掛けてFortigateにvとnの通信は別セッションであると認識させれば通信可能になりました
0361anonymous@fusianasan2021/07/13(火) 17:01:06.06ID:???
ちょっと聞かせてください。
機種:FG-40f
ファームウェア:v6.0.6 build6478(GA)
元々natモードで動かしていたのですが、上位にルータを置いたのでTPモードにして運用する予定です。モード変更しても基本的にnatモードに関わる所以外は変更されないとベンダーから回答があり、モード変更したのですが、webフィルタの設定が変わってしまいました。設定が変わった原因分かる方いらっしゃいますでしょうか。
0362anonymous@fusianasan2021/07/13(火) 17:09:46.11ID:???
>>361
ベンダーが間違ってるからベンダーに質問して
0363anonymous@fusianasan2021/07/13(火) 18:00:24.21ID:???
>>361
webフィルタの設定がベンダーの言う「natモードに関わる所」にあたるんじゃね?
0364anonymous@fusianasan2021/07/13(火) 19:47:06.54ID:???
変わる前の状態控えないで変えたの?
0365anonymous@fusianasan2021/07/13(火) 20:20:33.83ID:???
50Eのv6.2.8でTransixのAFTRとtunnel張ったらTXは増えるがRXのカウンタが0のまんまでうまくいかない。。。
0367anonymous@fusianasan2021/07/14(水) 17:49:15.83ID:???
>>366
v4のlanからtunnel deviceへのポリシーはMSS1420にしてるんですよねえ
0369anonymous@fusianasan2021/07/14(水) 21:48:15.24ID:???
>>368
東西のAFTRのアドレス間違えてただけだったゴメン
0371anonymous@fusianasan2021/07/26(月) 00:32:06.74ID:???
60EにSSL&#8722;VPN接続した状態で、特定のサイトにだけ自前IPアドレスではなくWAN側アドレスでアクセスしたいんだけど、(検証中のためアクセスに会社のIP制限かけてる)どうすればいいのか教えて下さい。
今は着信:トンネルインターフェース、発信:wan、宛先:そのサイト、というポリシーを登録してみたんですがダメでした。
サイト間でIPSecVPN張るまでの一時的な対応なんですが…
0372anonymous@fusianasan2021/07/26(月) 01:02:26.53ID:???
>>371
>特定のサイトにだけ自前IPアドレスではなくWAN側アドレスでアクセスしたいんだけど

自前IPアドレスってのがよくわからないのと、WAN側アドレスってのFortiGate-60EのWAN側IPアドレスなのか、
それともSSL-VPN接続を行っているPC等があるサイトのWAN側IPアドレスなのか
文章だけだとどうしたいのかちょっとわからないですね
0374anonymous@fusianasan2021/07/26(月) 08:06:06.27ID:???
>>371
SSLVPNの設定の
スプリットトンネルで特定のサイトのネットワークアドレスを対象に含めればOK
もちろんFirewall Policyでも
SSL-VPN→wanで宛先にルール作成(nat onで)して宛先に特定サイトのネットワークアドレス含めてね。
0375anonymous@fusianasan2021/07/26(月) 08:22:04.97ID:???
>>372
自前IPはSSL-VPNで接続した機器側のWAN側アドレスで、WAN側アドレスはfortigateのwan側アドレスのことでした。
確かに分かりづらかったですね。

>>374
>>373
ありがとうございます。
スプリットトンネル試してみます
0376anonymous@fusianasan2021/07/26(月) 10:07:56.84ID:???
>>373
>>374

スプリットトンネルのルーティング先にアクセス先のアドレスを追加したらできました!

ありがとうございました
0377anonymous@fusianasan2021/07/29(木) 01:57:02.52ID:???
初めてfortigate(FG-50E/6.2.9)触ってます。
管理アクセス(CLI/GUI)をloopbackインターフェースにしたいのですが上手く行きません。
loはOSPFで配下のL3SWに広告し、FG-50Eからloを送信元にL3SWのloにpingすると応答あるのですが、L3SWからだとFG-50Eは応答してくれず、L3SWにぶら下がるPCからも同様の状態。
FG-50Eのlo,L3SWと接続用インターフェースはicmp,https,sshは同じように許可設定をしています(しているつもりです)。
FG-50EのL3SWとの接続用インターフェースはicmpもhttpsも受けてくれます。
素人まずここ読め的なのでもヒント頂けると嬉しいす
0378anonymous@fusianasan2021/07/29(木) 02:31:01.19ID:???
>>377
着信インターフェース(,L3SWと接続用インターフェース)からLoopback宛のファイアウォールポリシーは設定されていますか?
0379anonymous@fusianasan2021/07/29(木) 10:18:48.76ID:???
ありがとうございます!
「IPv4ポリシー」で既存のNATルールと暗黙のdenyの間に明示的に許可入れることで通るようになりました。
interfaceでの受付許可だけでなくこちらも設定必要なのですね。次はRADIUS連携とVPNなど遊んでみます!
0381anonymous@fusianasan2021/08/03(火) 22:12:32.02ID:???
361で質問させてもらった者です。放置しちゃっててすみません。何人か回答頂きましてありがとうございます。結局何回やってもモード変えるとほとんど設定変わる事がわかりました。。その後もベンダーに色々聞きながらボチボチやってます。
0382anonymous@fusianasan2021/08/05(木) 00:19:39.01ID:???
>>381
上位のルータの機能をFortiGateでカバーできるのであればNAT/ルートモードにして、上位ルータを外して
WAN回線(?)をFortiGateに直接収容してインスペクションやれば装置が少なくなって管理が楽かもしれません
構成を詳しくわかってないので想像で話してますが
0383anonymous@fusianasan2021/08/18(水) 22:05:17.30ID:???
次の構成できているかたいますか?

・一台のFortigateをvdomで分割
・wan1とwan2を別vdomに割り当て
・それぞれ別の回線でOCN-IPoEて接続

私の環境では、wan2でしかvneトンネルが通信してくれなくて困っています。
0384anonymous@fusianasan2021/08/18(水) 23:33:49.51ID:???
同じようなところで悩んでます。

vdom:root(デフォルト)
vdom:wan1(作成したvdom)
vdom:wan2(作成したvdom)
とし、それぞれvne.wan1、vne.wan2を作成してipoe設定をしても固定のipv4アドレスは受け取れずでした。ちなみにvne.rootを作成して同一の設定をした場合は接続成功します。
rootじゃないとダメなのかな…
0385anonymous@fusianasan2021/08/19(木) 23:59:41.91ID:???
名前解決はroot vdomじゃないと出来ないので
0386anonymous@fusianasan2021/08/27(金) 20:08:13.56ID:???
Fortigate検討しています。40Fと50eとでは、処理スピードや帯域で違いがあるだけで、
中のIPS/IDSといった機能は同じとみていいのでしょうか?それほど通信速度を求めてはいないので、
50eでも十分であれば50eにしたいです
0387anonymous@fusianasan2021/08/27(金) 22:14:48.10ID:???
過去ログ読んで解決しました、ごめんなさい。。。
0388anonymous@fusianasan2021/08/31(火) 23:25:56.91ID:???
どちらかを選ぶなら40Fでしょうね、50Eは6.2までしかOS出ませんので新しいことは試せませんし
0389anonymous@fusianasan2021/09/01(水) 12:17:06.04ID:???
FGでv6プラス(固定)にしたらLINEアプリだけ全く繋がらなくなり、パケット見てるとサーバーからSyn Ackだけは帰ってくるけどそのあとタイムアウト。
ポリシーでMSSを1420にしたら繋がるようになりました。なるほど、こういう事が起きるんですねー。
0390anonymous@fusianasan2021/09/03(金) 09:43:55.94ID:EBST6U6I
拠点A:PPPoE ipv4(グローバルIPv4:x.x.x.x) FGT6.2.9
拠点B: PoE (IPv4 over IPv6 DS Liteポート制限なし)NATポイントは拠点BのWANポート(グローバルIPv4:y.y.y.y) FGT6.2.9

上記の環境でIPv4同士でIPSec VPNをしようとしています。
以前は拠点BもPPPoEで
IPSECトンネルで通信できていました。
今回拠点BがPoE (IPv4 over IPv6)になってからIPSec VPNができなくなりました。

ログを見るとphase1は通っているように見えます。
必要なポリシーがあるのでしょうか?
0391anonymous@fusianasan2021/09/03(金) 18:45:30.43ID:N2HLb4P+
フリーランスに立ちはだかる「常駐」の壁。慣例を打ち壊し、
“テレワーク”案件3割→8割へと成長を遂げた「クラウドテック」の軌跡
https://prtimes.jp/story/detail/DBnPOktyljr
テレワークの一般化により、11月にはテレワーク可能案件83.7%へと増加。
2021年、フリーランスのトレンドは「移住&テレワーク」と予測
https://prtimes.jp/main/html/rd/p/000000045.000050142.html
リモートワーク求人専門サイト「プロリモート」がリニューアルオープン、業務委託契約の求職者と企業をマッチング
https://www.value-press.com/pressrelease/262778
1/3以上が採用につながる高マッチング率、リモートワーク×エンジニア・デザイナー専門の
人材紹介サービス「ReworkerAgent」正式リリース場所からも時間からも自由な働き方を実現!
https://www.nishinippon.co.jp/item/o/713384/
新潟県、移住してきたテレワーカー/フリーランスに最大50万円を支給
https://internet.watch.impress.co.jp/docs/news/1287094.html
茨城県日立市、県外からの「テレワーク移住者」に最大151万円の助成金
https://internet.watch.impress.co.jp/docs/news/1281120.html
長野市、市内に移転・事業所設置し、移住することで最大550万円の支援金を支給
https://internet.watch.impress.co.jp/docs/news/1274735.html
フリーランスが活用できる「最大1,000〜3,000万円・補助率50%〜75%」の
『ものづくり・商業・サービス補助金』とは?概要や条件を解説
https://freenance.net/media/money/4255/
『ReWorks(リワークス)』リモートワーク特化型転職サイトとして 3月5日 リニューアル
https://prtimes.jp/main/html/rd/p/000000051.000010457.html
0394anonymous@fusianasan2021/09/09(木) 08:10:07.56ID:???
暗号のようなアドバイスは高度すぎてわからん
0395anonymous@fusianasan2021/09/09(木) 08:20:41.83ID:???
ちょっと遊んでみようと中古でライセンスありのFortigate 50Eを買ってみた。
OS5.4からファームウェアアップデートしようとしたら…できない。
Available Firmware がOS6.0からしかなくて、OS5.*はオンラインでは
アップデートできないみたい…下調べが足りなかったわ
0396anonymous@fusianasan2021/09/09(木) 12:31:40.70ID:???
ライセンスあるならダウンロードサイトに入れると思うのだけど?
どこのベンダーが管理してるか調べる方法はあった気がする
0397anonymous@fusianasan2021/09/09(木) 12:38:36.56ID:???
過去のメールさかのぼったらfortiのサポートにシリアル番号連絡して、サポートサイトに登録できない旨を質問してるっぽかった。
その返信に既に登録されていることとベンダーの名称が書かれてたのので、そこに連絡してベンダーのサポートサイトからファームをダウンロードしたと思う。
0398anonymous@fusianasan2021/09/09(木) 16:33:35.28ID:???
透過モードで繋いたpcがゲートウェイに対してのみ通信出来ません。他の同セグへは通信問題なし。外部からはこのPCにアクセス出来ます。wan/lanインターフェースを入れ替えても変わらずこのpcからのゲートウエイ宛は不可。また問題のpcはフォーティ介さないと問題なく通信可能。考えられる原因はなんでしょうか?ポリシーは双方向許可、ゲートウエイへの透過ログも乗ってきません。いらんオプション設定が影響しているのでしょうか?
0399anonymous@fusianasan2021/09/09(木) 17:38:34.46ID:???
ゲートウェイ宛は通信不可だが、
そのゲートウェイの先にある別のネットワークへの通信は出来ると言うことでしょうか?

ゲートウェイと通信出来いないと言うのは、
ping, http, telnet, ssh
など主だったプロトコル全てでしょうか?
0400anonymous@fusianasan2021/09/09(木) 18:25:51.82ID:???
ありがとうございます
パソコンのゲートウエイ、すなわち同セグのルーターにのみ全ての通信ができません。不可思議な状況です。
0401anonymous@fusianasan2021/09/10(金) 00:23:10.95ID:???
400の回答がズレておりました、状況はPCのゲートウェイ当てに疎通が取れない=ルーター越えの通信は全て不可になります。よろしくお願いします
0402anonymous@fusianasan2021/09/10(金) 06:30:48.91ID:???
arpでルーターのmacアドレスは取得出来てますか?
0403anonymous@fusianasan2021/09/10(金) 07:28:35.81ID:???
透過はトランスペアレントの事かな
Fortigateは外にでられるか?
ポリシーは双方向全て許可にしてみたか?
非対称ルーティングになっていないか?
まさかfortigateとルーターのIP被って無いよね?
04043952021/09/10(金) 13:58:14.05ID:???
>>396-397
アドバイスありがとう
おかげで無事ライセンス有効期限内にFirmwareアップデートできたわ
0405anonymous@fusianasan2021/09/10(金) 14:48:12.12ID:???
402さん
arpはPC側もルーター側も正しく拾ってます
クリアしても正常に取得します
状況からブロードキャストは通ってる筈です

403さん
>透過はトランスペアレントの事かな
はい
>Fortigateは外にでられるか?
設計的には外に出る用途はありません
>ポリシーは双方向全て許可にしてみたか?
はい、許可ログonにしても乗ってきません、、
ログとりの為deny-allを作って違反ログonにしてもなにも来ません。多分ポリシーに落ちる前に何かしらの排他処理を食らってるようです。
>非対称ルーティングになっていないか?
現在直面している問題はパソコンのデフォルトゲートウエイ、すなわち同セグのアドレスにピンが通りませんのでルーティングは関係ありませんが、ルーターの先はごく単純なもので経路選択はありません。
>まさかfortigateとルーターのIP被って無いよね?
念のため確認しましたが大丈夫です
0406anonymous@fusianasan2021/09/10(金) 15:42:35.26ID:???
403さん402さん
すみません、よくarpを見たところ、ゲートウエイが仮装マックでした、、、(ルーターも自分が構築したのにお恥ずかしい)

試しにasymroute enableにしたら無事通りました。
構成を見直す必要がありそうです。

助かりました、お恥ずかしい限りでございます
いた汚し失礼致しました
0407anonymous@fusianasan2021/09/10(金) 20:01:57.48ID:???
synパケットがfortigateを通ってなかったって事?
0408anonymous@fusianasan2021/09/11(土) 01:34:14.87ID:???
構成図とか無いと本人以外はエスパーするしか無い
0409anonymous@fusianasan2021/09/11(土) 10:42:44.86ID:???
asymroute enableにしたら通りましたって、それFortigateはずしたら通りました、みたいなもんやで
0410anonymous@fusianasan2021/09/11(土) 11:01:44.67ID:???
ワシにはトランスペアレントモードで同セグ通信が非対称になる状況が理解出来ん。
0411anonymous@fusianasan2021/09/11(土) 17:07:11.46ID:???
fortiやっちまったな
こりゃ売上激減するわ
0413.2021/09/11(土) 17:36:40.28ID:???
値上げの話だろ
0414anonymous@fusianasan2021/09/12(日) 10:39:26.87ID:687dm6Yr
>>412
うち、まだ2FAじゃない。
コロナ不況で金がでない。利用者数がすくないのでダメ。
0416anonymous@fusianasan2021/09/12(日) 23:32:51.82ID:592yu6OM
すみません、レベルの低すぎる話なんですがわかる方いたらお願いします。
自宅がNURO光なんですが、FortiClientでVPN接続にはなるのですが、社内サーバへアクセスできません。
iPhoneテザリング経由だと可能なんですが
大塚商会に聞いてもご家庭によって環境が違いますので、と役に立たない回答しか帰ってきません。
出している情報が少なすぎると思いますが、宜しくお願い致します。
0417anonymous@fusianasan2021/09/13(月) 01:08:17.23ID:???
自宅のLANのネットワークアドレスと社内LANのネットワークアドレスが同じなのでは
0418anonymous@fusianasan2021/09/13(月) 01:23:44.43ID:???
せめて構成図、IPアドレス情報とかないとな
「あーじゃね?こーじゃね?」って適当にエスパーしてもらいたいのならいいけど
0419anonymous@fusianasan2021/09/13(月) 06:24:07.36ID:CcTfw1kv
どの情報を出せばいいのかすら分からず…
0420anonymous@fusianasan2021/09/13(月) 14:23:18.90ID:???
>役に立たない回答しか帰ってきません。

その前に簡単な構成情報も出せないようじゃ、人のこと言えないんじゃないかな
0421anonymous@fusianasan2021/09/13(月) 21:16:26.18ID:???
その塩対応は大塚商会と保守契約してるのかすら怪しいな
0422anonymous@fusianasan2021/09/13(月) 21:29:20.50ID:???
アドレスレンジ重複確認のアドバイスが上で出てるけどガン無視してるしなぁ
0423anonymous@fusianasan2021/09/13(月) 22:28:51.95ID:???
>>415
言い出しっぺとして転がってたラズパイで実験したら問題なくIPSECで繋がった。もうライセンス買わんで良いかも。
0424anonymous@fusianasan2021/09/14(火) 00:30:27.33ID:P2QP+H+k
>>417
ありがとうございます
無知過ぎてなんのこと言ってるのか分からず調べてました
会社のサーバーのアドレスが192.168.1.1だったのですが、プライマリIPアドレスというのが同じだったので168.2.1にビビりながら変えてみたら入れました

大塚商会とは保守契約結んでるんですが家庭によって違うので分かんないっすねとの回答が来るだけでした
ありがとうございました
スレ汚し失礼しました
0425anonymous@fusianasan2021/09/14(火) 02:48:58.83ID:???
たぶん誤解してるだろうけど保守契約で設定のやり方教えてくれは契約外だから
大塚商会からしたらただのクレーマーだよ
0426anonymous@fusianasan2021/09/14(火) 03:01:55.78ID:???
「解決しました」まで含めて作り話だろうね
0427anonymous@fusianasan2021/09/14(火) 08:27:02.28ID:???
うまく動きませんNGです構成は普通です詳しくないので難しいこと言って煙に巻かないでください本当に困ってるんですよ。みたいなのはどの業界でも結構見かける。
0428anonymous@fusianasan2021/09/14(火) 09:40:15.87ID:???
一部のipsシグネチャーをオフにしたい。
ipsセンサーで、一部のシグネチャーのチェックを外した後もフィルターに従い新らしいシグネチャーは追加され続ける認識であってますか。
0429anonymous@fusianasan2021/09/14(火) 10:03:49.46ID:wU9ehGWV
>>425
今回の契約内容がテレワーク環境構築だったので教えてもらえるものと思ってましたが違ったんですね今後気をつけます

>>426
頭陰謀論者
0430anonymous@fusianasan2021/09/14(火) 10:09:00.19ID:???
>>427
「車のエンジンがかからない」のコピペ的な「困ってる」しか言えない人いるし、それと同じ類だね
0431anonymous@fusianasan2021/09/14(火) 10:33:40.05ID:???
>>427
ほんとそれ!構成図とかない、サーバはsi構築したベンダー任せだからわかりません。そんな案件で対処もしようがないのに「役立たず」と罵られる始末。

保守契約もないのに、何様なんだと思うは。
0432anonymous@fusianasan2021/09/14(火) 10:58:03.15ID:???
珍しく盛り上がっとるやんけw
0433anonymous@fusianasan2021/09/15(水) 16:30:24.75ID:???
たよれーるのFortiGateってどこから入れてるんだろう?MKI?
0435anonymous@fusianasan2021/09/15(水) 18:58:43.58ID:???
SCSKならまだ対応してくれそうだがな
0436anonymous@fusianasan2021/09/15(水) 23:20:42.69ID:???
SCSKは6.2ファーム公開がやけに遅かったり色々あった記憶
でも保守に技術サポートも入ってるから設定関連の質問も対応してくれる筈
ただ問い合わせ能力は問われるね、構成も目的もしっかり伝えられない奴はSIベンダーに頼んだ方がいいね
0437anonymous@fusianasan2021/09/16(木) 02:40:20.71ID:???
技術サポートのレベルが高いサプライヤはどこ?

個人的にSBC&Sは時間がかかりすぎる気がする。
ネットワールドとかどうなんだろう?
0439anonymous@fusianasan2021/09/16(木) 08:02:02.04ID:???
保守サイトの情報はctc-spが充実しとるな。
0440anonymous@fusianasan2021/09/16(木) 08:10:06.88ID:exhIy45E
ヤフオクで買ったFortigateが保守期限内だったけど
ファームウェアのダウンロードも保守も断られたな。
どこも中古は保守受けないのかな。
0442anonymous@fusianasan2021/09/18(土) 15:04:48.12ID:???
FortiClient6.43のSSL接続のRADIUSに、
Windows標準のNetworkPolicyServerって使えないの?
ただし、現在社内無線LANの802.1xで使用中
LDAPの連携かけてやろうとしたんだけど、
業者がNPSじゃできませんと言って、NetAttestを買わされた
本当にできないの?
FG100F 6.2.7
0444anonymous@fusianasan2021/09/18(土) 15:14:45.08ID:???
ユーザ名とパスワードの問い合わせしてるだけなら普通にできるでしょ
04454422021/09/18(土) 16:26:58.32ID:???
>>443
有難うございます
さて、これでこの会社切ることにします
名前さらしたいですが、後の事も有りますし
もう、このメーカーのカメラは全システム入れ替えます、
0447anonymous@fusianasan2021/09/18(土) 17:54:18.29ID:???
>>442みたいな担当がいるところには関わりたくない
0449anonymous@fusianasan2021/09/18(土) 18:00:10.94ID:???
「仕様上できる」なんて言うもんならできなかったときにすげえギャーギャー騒ぐし
お前のお母さんじゃねえよ
0450anonymous@fusianasan2021/09/18(土) 18:05:39.94ID:???
ITに関わってる人は多いけどほとんどの人は自分で調べられない&手を動かせない人たちばかりだからね
5chに質問書き込む前にその端末でググれば良いんだけど
0451anonymous@fusianasan2021/09/18(土) 18:23:56.84ID:???
>>445
スレ違い。
そんな事はネットにも口にも出さなくて良い。
0452anonymous@fusianasan2021/09/18(土) 18:32:35.14ID:???
業者は確実に出来るもん提案するよね、出来ないと責任問題だからね

まずやってみるとかは検証機なら出来るけど実環境では厳しいよね
あとADはサーバ管理が杜撰だと問題起こることもあるし
対応出来ないベンダーが多いのも仕方なしな感じもある
0454anonymous@fusianasan2021/09/18(土) 20:38:20.81ID:???
受ける際に、うちでは実績無い、検証が必要で予算がかかります。
とかの話がされるならわかるけど、出来ませんで他製品を売るのは
わからない奴に売っちまえ的で非誠実な営業とは思うなー。
後でバレること考えないのかしら?
0455anonymous@fusianasan2021/09/19(日) 00:54:00.63ID:???
「NPSでSSL-VPNの認証は出来ません」って断言はしないと思うけどね
0456anonymous@fusianasan2021/09/19(日) 02:42:49.41ID:???
>>454
おまえがそう思うなら、おまえの責任でやれば予算も浮くやん。仕様にかいてあるだろ?

責任もってやれない。
実機で検証もしない。

そんなやつは、金だけ置いて黙ってろよ。
0458anonymous@fusianasan2021/09/19(日) 09:28:19.46ID:???
SSL-VPNといえば侵入された可能性のある客に、ちゃんとパスワード変更促した?
0459anonymous@fusianasan2021/09/19(日) 09:45:47.83ID:???
そういう注意喚起は保守から連絡する
0460anonymous@fusianasan2021/09/19(日) 10:10:03.44ID:???
保守から連絡きたことなんて一度もないぞ
0461anonymous@fusianasan2021/09/19(日) 12:26:09.09ID:???
PSIRTすら見てないってどうなのよ。
0462anonymous@fusianasan2021/09/19(日) 13:06:48.97ID:???
ようするに、保守も誰も顧客に連絡してない。
04634422021/09/19(日) 13:16:12.42ID:???
>>455
断言されたよ

IPsecでのVPN運用中だし、冗長化してない
上からは早急にの要求
皆様のように運用中の機械で検証やるほどの度胸は無い
お任せでNetAttestで運用すると障害発生で使えない
結局当方で100台ほどIPsecに戻す
それで、原因不明と放置され数か月

確かに英語に目がいかなかった自分は悪い
0464anonymous@fusianasan2021/09/19(日) 13:52:51.42ID:???
Radiusサーバでのユーザ名/パスワード認証くらいだったら他社装置間の接続でも問題は出にくいのに
そこをあえて「できません」って断言する業者だったら、なぜ出来ないのかくらいの技術的な会話ができる人がいればよかったのにね
技術的に不可能なのか、検証できる人員が居ない&サポートできないなのかは結局わからないまま
0465anonymous@fusianasan2021/09/19(日) 16:15:50.74ID:???
全体の構成を確認してないのにできるできないとか知ったかぶりの素人が言いそうな話だな。
0467anonymous@fusianasan2021/09/19(日) 17:14:18.53ID:???
その昔、できるできないの秘密というタイトルの児童書があってね
その中に出てくるデキッコナイスっていう外人が好きだったなあ
0468anonymous@fusianasan2021/09/19(日) 17:39:01.76ID:???
NPSは使用できませんって言われて信じる方も相当だな
0469anonymous@fusianasan2021/09/20(月) 08:26:54.42ID:???
それはソ○トンのサポートがクソってことじゃねぇか
0470anonymous@fusianasan2021/09/20(月) 11:09:31.48ID:???
ファイルゼンブ流出しちゃうからな
0471anonymous@fusianasan2021/09/20(月) 18:01:12.32ID:???
Fortigateを海外で買える安いところでおすすめはありますか?
ライセンス更新も必要ですので、安いだけでは困ります。
0473anonymous@fusianasan2021/09/20(月) 18:10:49.04ID:???
海外で購入されてた方もいらっしゃいますので不可です。
0475anonymous@fusianasan2021/09/20(月) 23:15:03.14ID:x9ZTeyuQ
>>471
国内で買った方がいいぞ。
故障したとき、海外だと対応できないし出来たとしても時間かかるぞ。
0476anonymous@fusianasan2021/09/20(月) 23:38:19.27ID:???
国によっては輸出規制とかありそう
0477anonymous@fusianasan2021/09/22(水) 13:39:50.75ID:???
マジ値上げはんぱねーんだけどなめてんのかって
0478anonymous@fusianasan2021/09/27(月) 20:51:41.86ID:???
YAMAHA 舐めてるのか。
RTXの新製品出せよ!
0480anonymous2021/09/30(木) 01:43:03.50ID:???
Fortigate40F届いた!さっそくプロキシモードにしてFortiオレオレ証明書をPCにインストール。
ディープパケットインスペクションにしています。でもたまにプライバシーが保護されていません画面がでてきます・・・

みなさんこういうこと普通にありますか?
https://imgur.com/a/UieLj7v
0481anonymous@fusianasan2021/09/30(木) 06:44:52.63ID:???
>>480
"信頼できるルート証明書"の所にインストールした?
0482anonymous2021/09/30(木) 14:00:02.03ID:???
>>480
ローカルコンピュータとユーザと二つインストール先がありましたが、念のため両方の、
"信頼できるルート証明書"の方にインストールしました。
0483anonymous@fusianasan2021/09/30(木) 19:40:14.90ID:???
ブラウザ変えても同じ事象になりますか?
0484anonymous2021/09/30(木) 22:23:17.95ID:???
Chrome使っていますが、Firefoxでも試してみたところ今のところ証明書エラー画面はなしでした。
でも不可思議なんですよね。導入して証明書をインストールしていたのに、何度も証明書エラーが出たりでなかったりで、
それが十数回起きてからエラーにならなくなるという
04884842021/10/02(土) 00:16:27.62ID:???
Fortiのオレオレ証明書の期限見てみました、2031年・・・
ベリサイン社とかのを購入して、そっちを使った方がいいのかな?

ちなみに今日は証明書のエラーはなかったですが、ERR_CONNECTION_RESETエラーが。
https://imgur.com/a/uMzGKTz
今のところChromeだけで確認してます
04894842021/10/02(土) 00:18:27.55ID:???
>>486 , >>487
ありがとう、明日ちゃんと読んでみる
0490anonymous@fusianasan2021/10/02(土) 00:38:32.21ID:???
>>488
FortiのSSLインスペクション用の証明書は外部から買えないよ
サイト名が*(全てのサイト)なんてサーバ証明書を発行する証明機関なんかないから
04914872021/10/02(土) 02:16:12.35ID:???
>>489
その二つはあなたの問題とは関係ないので読む必要ありません。
Let's Encrypt から発行されたサーバ証明書を
Fortigate の certificate-inspection が信用しなくなったという問題で、
以前はつながっていたサイトが10月1日から見られなくなったという話です。
0493anonymous@fusianasan2021/10/05(火) 02:41:03.14ID:???
>>467
遅レスだが地球に穴あけて反対側に行く話を思い出したw
0494anonymous@fusianasan2021/10/06(水) 08:50:27.31ID:???
IPSの挙動テストを評価版でしたいのだけど
"Web.Server.Password.Files.Access"
のシグネチャがない。

他にテストする方法ないだろうか?
0495anonymous@fusianasan2021/10/13(水) 20:32:45.99ID:mb7TIAK8
ddnsサーバって今障害が出てます?
ネットワーク - dns - fortiguard DDNS
をオンにすると、通常はサーバ欄にfortiddns.comなどが選べるはずなんですが、「DDNSサーバ情報をfortigurardサービスから取得できません」と表示され、サーバ欄が空欄となっています
0496>>4842021/10/15(金) 23:29:31.05ID:???
証明書エラー、Foritgate40Fのファームを最新にしたら起こらなくなりました。
プロキシベースにしてcustom_deep_inspectionをONにするとニコニコ生放送・Youtubeが
見れなくなっていましたが、こちらは当該アドレスをSSLインスペクションから除外、で対応できました
0497>>4962021/10/27(水) 00:34:38.44ID:???
Fortigate40Fの証明書問題、動画サイトはSSL除外で表示されるようになってましたが
他サイトでエラー画面が出てきていました。サポセンに相談してみたところ、

>期限切れのルートCAへのフォールバックを防ぐ
という対処を教えていただき、CLIで実行したところうまく行きました。
0499anonymous@fusianasan2021/10/27(水) 01:04:39.18ID:???
>>498
そこを提示するのは問題ないと思う

原因についてはCA証明書のクロスサインについて別に調べて理解すると原因の問題について理解しやすかった
原因の理解なんてしなくても対処は出来るけどね
0500anonymous@fusianasan2021/10/31(日) 00:07:23.08ID:???
質問です。
fg50e、v6.29

wan1はマンションフリーインターネット向け
wan2は上位に固定ipを持つルータを配置し、ルータからdnatでwan2向けに転送しています。
wan2からforticlientにてssl-vpnを利用したいのですが、dgwがwan1に向いているため接続できず、一時的にdgwをwan2に向けることでvpnできることを確認しました。
dgwがwan1の状態で、wan2から来たグローバルipに対してはgwをwan2に向けたくポリシールートを利用しましたがうまく行きません。(以下切り分けのためまずは広めに設定しています)
※着信インターフェイスwan1、送信元アドレスall、宛先アドレスall、アクション転送先インターフェイスwan2
誤っている点、確認すべき点等あればアドバイスいただけますでしょうか。
0501anonymous@fusianasan2021/10/31(日) 04:47:41.91ID:???
>>500
デフォルトルート向けて動いた状態でデフォルトルート戻してスタティックルート書けば動きそうな気がするんだけど。
0502anonymous@fusianasan2021/10/31(日) 09:26:49.71ID:???
ポリシールートで実現出来るんかなぁ?使ったことないから知らんけど無理な気がする。
wan2の上位のルーターで、wan2への通信をソースnapt(ipマスカレード)してやればFortigateは何もしなくて良くて一番簡単やが。
0503anonymous@fusianasan2021/10/31(日) 09:28:02.17ID:???
そういうのはSDWANのfeature使うんじゃ
0504anonymous2021/10/31(日) 09:46:44.41ID:???
VDOMで別けてしまうのが簡単じゃない?
0505anonymous@fusianasan2021/10/31(日) 11:23:51.05ID:???
lan側は1個でもvdom別けれるんかのぅ?
0506anonymous@fusianasan2021/10/31(日) 12:37:30.53ID:???
ルータのlan側インターフェースでソースnaptする案で解決しました。
ポリシールートでは上手く行かない理由はいまいちわからずですが、、、
みなさま返信ありがとうございました!

>>502
なるほど、ソースipをローカルアドレスに置き換えて固定化するわけですね
ルータのlan側でnapt有効化するだけであっさり解決しました!

>>501
宛先が変動するグローバルipなのでスタティックルートを書くことができず、、、
wan2向けをdgwとしてwan1向けをポリシールートすれば可能であることは確認していましたが
メインのwan1側はできればポリシールートで書きたくないという気持ちがありました。

>>504
最終的にはVDOMでわけることを考えていましたが
経験がなくまずは今の構成での解決方法を考えていました
今後時間のあるときにVDOMにも挑戦します!
0507anonymous@fusianasan2021/11/03(水) 13:05:45.19ID:???
中古ライセンスありのFortiGate50Eを買って、多分初歩的なところで躓いています
どうかお知恵をお貸しください。バージョンFortiOS v6.2.9 build1234 (GA)です。

Explicit Proxy 機能を使おうと思い、プロキシーポリシーから新規作成で
New Proxy Policyを作ろうとしているのですが、必須項目のサービスのエントリ
選択画面で「エントリーなし」とでて、選べません。
エントリを新規作成(例:myproxy1)しても空欄のままです。

ただし、サービスの一覧で見ると上記で作成した新エントリmyproxy1は存在します。
なぜかプロキシーポリシーの新規作成のエントリ選択画面には表示されません。
本来、このエントリ選択で「Web Proxy」または自作の「myproxy1」が選べるはずだと
思うのですが、どこかで誤りがあるのでしょうか。

よろしくお願いいたします。
0508anonymous@fusianasan2021/11/03(水) 13:38:02.08ID:???
すみません、自己解決しました。
サービスのエントリにFirewall/Explicit Proxyを選択するオプションがあり
最初からExplicit Proxyのためのサービスとして登録する必要がありました
初期状態ではすべてFirewallになっていたためエントリ画面に出ないだけでした
お騒がせして申し訳ないす
0509anonymous@fusianasan2021/11/10(水) 16:04:19.20ID:???
>>143
む。これの現象出た。
ファームバージョンは6.0.12
0510anonymous@fusianasan2021/11/20(土) 11:49:20.17ID:fSgAFZMu
FortiGateでtransixのDS-Lite使ってる方居ませんか?
ipv6トンネルのローカルアドレスを固定で設定すると、網側のメンテなどでプレフィックスが変わった時に追従出来ないと思うのですが、知見をお持ちの方がいらっしゃれば教えてください。
0511anonymous@fusianasan2021/11/20(土) 12:55:42.09ID:???
Fortigateはガラパゴス規格に弱い
大人しくヤマハかNECのルータ置いとけ
0512anonymous@fusianasan2021/11/20(土) 21:22:49.01ID:fSgAFZMu
やっぱりそうですよねー
ヤマハが半導体の影響で入手できなく、模索してました。
0513anonymous@fusianasan2021/11/20(土) 23:32:26.61ID:dpAs2h0g
PPPoEもそうだけどセッション保持がしつこくて嫌になる
0514anonymous@fusianasan2021/11/22(月) 11:57:35.75ID:???
DS lite使うだけならset autoconf enableじゃあかんの?
0515anonymous@fusianasan2021/11/22(月) 15:18:47.84ID:???
https://tadaup.jp/loda/1122151306214218.jpg
つたない図でごめん
この構成でX.X.X.4宛にSSL-VPN接続が出来ていたのに突然接続できなくなっちゃったんだけど何か原因思いつきますか……?
だいぶエスパー頼みになっちゃうんだけど考えられる可能性をば……
0516anonymous@fusianasan2021/11/22(月) 15:29:05.32ID:???
すみません
クライアント側のエラー表示はこんな感じでした
Unable to establish the VPN connection. The VPN server may be unreachable. (-14)
0517anonymous@fusianasan2021/11/22(月) 17:29:56.57ID:SyGujHDe
>>0514
IPv6アドレスが変わっても、絶対触らずにIPv4通信を継続させたい、という感じです。
0518anonymous@fusianasan2021/11/22(月) 17:32:31.15ID:SyGujHDe
>>0516
VPNサーバーが応答なしってエラーなので、機器のサービスが落ちてるか経路上の問題では無いでしょうか。あと、ONUにはIPアドレス無いはず
0519anonymous@fusianasan2021/11/22(月) 23:05:46.10ID:???
>>518
ONUと書いてあるけどアルテリアとかのメディコンなんじゃね
それならこの構成も普通に出来る
その場合、単にネットワーク外れてるとかSSL-VPNルータの障害とかな気がする
0520anonymous@fusianasan2021/11/22(月) 23:30:02.52ID:???
そもそもグローバルIPは固定の契約なのか??
0521anonymous@fusianasan2021/11/23(火) 00:02:11.70ID:???
>>515
下の装置のipアドレス消し忘れてるぞ。特定しました。
0522anonymous@fusianasan2021/11/23(火) 02:43:53.30ID:???
>>518
応答なしなのでやっぱりそうですかね……
一応X.X.X.6とX.X.X.5にはpingは届いてます。

>>519
すみません適当でそんな感じの構成だと思って下さい

>>520
固定です……
0523anonymous@fusianasan2021/11/23(火) 10:46:22.67ID:???
6.4.8 きてたんだねー

うちはアップデートした方が良さそう
0524anonymous@fusianasan2021/11/23(火) 12:53:18.42ID:???
6.4.8でLets EncryptのクロスルートCAの問題も解消されてるみたいね
6.2系だと6.2.10で対応されてたみたいだけど
0525anonymous@fusianasan2021/11/23(火) 13:26:25.98ID:???
>>517
ちょっと何を言ってるのかよく分からんけど素直に網側のpreferrd lifetimeに従うしか無いんじゃないの?
無瞬断で切替られると思ってる??
0526anonymous@fusianasan2021/11/23(火) 14:38:20.34ID:/oGzFb22
>>0525
すんません、変換ミスです
○設定
×絶対
切れるのはいいんですが、都度設定変更は避けたいという感じです。
0527anonymous@fusianasan2021/11/23(火) 14:58:51.89ID:???
>>526
いや、だからset autoconf enableじゃダメなん?って言ってんだけど。

設定の意味とか挙動が分かってないのかな。。
0528anonymous@fusianasan2021/11/23(火) 21:36:18.09ID:qOHjJAMn
>>0527
autoconf enableって、ipipトンネルのローカルipまで書き換えてくれるのですか?
0529anonymous@fusianasan2021/11/24(水) 01:32:37.75ID:???
>>524
やっぱり6.4系の対応の方がまだだったよね・・・
0531anonymous@fusianasan2021/11/26(金) 18:44:11.51ID:???
fortigateは半導体不足の影響はないですか?
0532anonymous@fusianasan2021/11/26(金) 18:53:36.61ID:???
この状況で影響ありませんって言えるIT機器ベンダがあるなら聞いてみたい
0533anonymous@fusianasan2021/11/28(日) 22:11:17.20ID:???
fortiAP,fortiSwitchのエントリーモデル系はもう納期未定と言われた。
0535anonymous@fusianasan2021/12/04(土) 05:29:52.55ID:???
5chへの書き込みに固定IPで出たくないから、プロキシで書いてるんだけど
最近プロキシ通してるだけで怒られる事多くなってきた
FortiでPPPoEかモデムでLTE終端、SD-WAN通して5ch.net宛だけそこ経由、
他はメインのルータに流そうかなと思うんだけど
1.SD-WANはライセンス切れてても使える
2.SD-WANは性能指標のFW機能の一部(notIPS,SSLインスペクション)に該当する
で合ってますでしょうか
0536anonymous@fusianasan2021/12/04(土) 16:01:55.06ID:???
ライセンス残っている60Eをオークションで購入して、初めてFortigateを触ります。
新しい機能を覚えたほうが良いと考え、FortiOS 7.0.2に更新しました。
CLIからトランスペアレントモードに変更して、管理IPv4アドレスを割り当て済みで、
IPv4のインターネットへの通信と、WebからFortigate管理画面へログインできています。

インターネット側のルーターはNEC IX2207で、OCN IPoE (IPv4動的アドレス契約)、
ひかり電話なし、ONU直結、IPv6とIPv4 MAP-Eによるインターネット接続はできています。
PCには、IX2207からIPv6アドレスが割り振られています。

ここに、Fortigate 60Eを入れて、WAN1をIX2201-GE2に、LAN1をPC側につなぎます。
すると、IPv6アドレスがPCに割り振られなくなりました。
Fortigateに、IPv6を使う、WANからLANへRA通知も通す、という設定が必要だと思いますが、
どこをいじればよいか、わかる方教えてください。
0537anonymous@fusianasan2021/12/04(土) 16:16:10.59ID:???
よく知らんけど、NECからFortigateにprefix delegationとやらでFortigateのlan側用のipv6セグメントを移譲してやらなアカンて事かな?
ipv6はムズいね。ワシには無理だ。
0538anonymous@fusianasan2021/12/04(土) 16:18:33.73ID:???
あ、光電話なしだからipv6プレフィックスは/64しかもらえないのか?
じゃぁprefix delegationじゃなくてfortigateでnd proxyしてやりゃいいのか?
05395362021/12/04(土) 16:42:18.23ID:???
>>538
NECのIXルーターの設定は、 ttps://jpn.nec.com/univerge/ix/Support/ipv6/OCN-VC/index.html
の、「設定例1 OCNバーチャルコネクト(動的IP)の設定 - IPv6 RA」を使ったのですが、
interface GigaEthernet1.0
ipv6 nd ra enable
ipv6 nd ra other-config-flag
とあるので、IXルーターがすでにNDプロキシ使っているようです。
YouTubeであきみちが、NDプロキシは1回しか使えないって言っていたので、ダメなのかなと。
0540anonymous@fusianasan2021/12/04(土) 16:48:15.52ID:???
ググれば腐るほど出てくると思うけど……
そこを見ても設定できないのか
そもそもIPoE用のトンネルも設定したか
NDプロキシは有効化してるか
ND通知をポリシーで許可してるかとか色々情報が足りん
05415362021/12/04(土) 17:33:08.77ID:???
ググっても「Fortigateをルーターとして使用+OCN MAP-E IPv4固定」ばかりで、
トランスペアレントモードで、すでに上位のルーターがND-Proxyとして動いている事例が
見つけられなかったのです。

MAP-E 動的IPなので、Fortigateをルーターとして使用しない前提で環境を作っています。
中古Fortigateなので故障したときは、L2SWとIXルーターを直結させて、
UTM機能はなくなるけれど、インターネット接続は維持できる環境を目指しています。
IPv6で、GoogleやMicrosoftのサービスとの通信速度が上がるので、
トランスペアレント+IPv6が必要です。

>ND通知をポリシーで許可
は探してみます。
NDプロキシ有効にして2段になっても、外部には迷惑はかけないだろうから、やってみます。

>そもそもIPoE用のトンネルも設定したか
は、わかっていないので、多分設定していません。
0542anonymous@fusianasan2021/12/04(土) 17:43:13.40ID:???
ライセンス切れのFortigateを使う神経が理解できんな
ファームウェアの更新できないし穴が開いたら開きっぱなしの危険物でしかない

そこらの市販WiFiルーターの方がマシ
頼むからやめてくれ

サポート終了したWindowsを使い続けるのは叩かれるのに碌にファームウェアも更新されないネットワーク機器を使い続けるのは叩かれないのは理解し難い
0543anonymous@fusianasan2021/12/04(土) 17:46:05.82ID:???
やめてくれも何もお前はどこの誰目線で話してんだよ(笑)
536の勝手だろうが
05455362021/12/04(土) 18:30:04.26ID:???
>>542
中古購入だけど、最初に書き込んだ通り、
ライセンス残っているものを選んだので、その批判は該当しません。
ライセンスが切れたらまた別の個体を探します。

そもそも、AntiVirusやWebFilterが使いたくて購入する製品なのに、
ライセンス切れの個体を使っていると思い込む人がいるのは、不思議ですね。
0546anonymous@fusianasan2021/12/04(土) 19:27:45.99ID:???
>>542
なんだ?あんたwwww
人にもの頼む態度じゃねーなwww
0547anonymous@fusianasan2021/12/04(土) 21:17:56.30ID:???
>>541
トランスペアレントで動かしてるなら、とりあえずIPv6のファイアウォールポリシー(ユニキャストとマルチキャスト)を許可するポリシー書いてみればいいかと
0548anonymous@fusianasan2021/12/04(土) 21:33:41.42ID:???
>>541
トランスペアレントモードじゃなくてバーチャルワイヤーペアではダメ?
ルーティングやIPv6配布等は上位ルータで、通信制御とUTMだけはインラインでFortigateが行う、という構成がとれるはず
0549anonymous@fusianasan2021/12/04(土) 23:17:39.33ID:???
Fortigateの証明書でcustom_deep_inspectionしてるけど、いつも見れてるウェブサイトがなぜか急に
「証明書の問題があり、セキュリティ的に危ないです!」って出てくるときがある。何度かリロードすると
アクセスできるようになるんだけど、これって侵入されたりとかしてるのかな
0551anonymous@fusianasan2021/12/05(日) 00:39:51.72ID:???
されてるかもしれないしされてないかもしれない
とりあえずウイルススキャンしよう
0552anonymous@fusianasan2021/12/05(日) 00:47:06.55ID:???
FortiGateいれてるのにログは見ないんかね
0553>>5492021/12/05(日) 01:31:04.42ID:???
>>551
CylanceProtectは何も検知してないみたいです

>>552
証明書のエラーログってどこでみたらいいですか?証明書のエラーが出た時と、
そうでない時とで比較できたらいいんですが
0554anonymous@fusianasan2021/12/05(日) 04:43:03.55ID:???
FortiGateの差し替えメッセージで出てる証明書エラーとかじゃないの?
そのFGを管理してる人に訊いたほうが良いかと
05555362021/12/05(日) 11:32:34.72ID:???
>>547
IPv6ファイアウォールポリシーですね。
ログインしているノートPCの解像度低くて、メニュー構成が頭に入らず迷子になっています。
WebGUIから設定できますか、CLIでのコマンド投入必須ですか。

初期化してCLIでトランスペアレント モードを有効にした後は、
標準ではすべてのパケットを通すようになっているかと思うのですが、
IPv6のユニキャストやマルチキャストを落とすようになっているのでしょうか。

大きい画面を外付けして、あとでIPv6許可のポリシーのやりかた、探してみます。

>>548
バーチャルワイヤー、初めて聞きました。今のところは、
VDOMもVLANも必要ないので、よさそうです。
トランスペアレントモードでのIPv6しばらくやってみてダメそうだったら、
バーチャルワイヤーを試してみます。
0556anonymous@fusianasan2021/12/05(日) 12:31:06.31ID:???
Certificate-inspectionでは、httpsのAnti-Virusができないことは確認できました。
ttps://www.eicar.org/?page_id=3950 からeicar.comをダウンロードすると、
Fortigateのブロック画面は出ずに、WindowsDefenderで検出されました。

逆に、Certificate-inspectionでも、httpならばAnti-Virusが使えることを示したいのですが、
httpで提供されているeicar.comが見つけられません。どなたかご存じないでしょうか。
ローカルにhttpサーバーを立ち上げて、DMZにおくしかないでしょうか。

今ほとんどのサイトがhttpsで提供されているので、deep-inspectionが必要だということを、
実例を見せて示したいです。
0557anonymous@fusianasan2021/12/05(日) 13:03:32.19ID:???
>>555
Admin guideを読みましょう
https://docs.fortinet.com/product/fortigate/7.0

>標準ではすべてのパケットを通すようになっているかと思うのですが

いや、それだったらセキュリティ装置としての意味がないかと
ファイアウォールポリシー書いて無ければ全部落とすのがデフォルトです
0559anonymous@fusianasan2021/12/05(日) 14:36:24.25ID:???
>>556
現在から将来までの全従業員分の端末へ証明書のインストールもおまえがやってくれる料金込みで請け負ってる?
0560anonymous@fusianasan2021/12/05(日) 15:07:59.05ID:???
そんなん知らんがな
手作業でてめぇでやれって話だろそんなんセキュリティ構築担当のする話ではないわ
手作業じゃ無理です〜ってならADでもなんでも使えそしてそれは別単価でのお話ですわ
0561.2021/12/05(日) 17:28:37.89ID:???
カスペルスキー eicar
でググれ
0562anonymous@fusianasan2021/12/05(日) 18:46:20.33ID:???
>>561
ttp://www.virusanalyst.com/eicar.zip
が見つかった。ありがとう。

559は何言っているかよくわからない。
0563anonymous@fusianasan2021/12/05(日) 19:52:56.37ID:???
>>562
Deep Inspection使う場合は普通はプライベートCA建てたり端末へのCA証明書インストールなどの構築/運用/作業が必要ですが、
そこは検討されていますかってことじゃないでしょうか
0564anonymous@fusianasan2021/12/05(日) 21:28:01.42ID:???
そんな質問スルーでええやろ。
0565anonymous@fusianasan2021/12/05(日) 21:52:14.88ID:???
ビルトインの証明書でのdeep-inspectionの提案はしていないと思いたい
0567anonymous@fusianasan2021/12/06(月) 09:39:47.79ID:???
>>566
ビルトインの証明書はFortiGateのシリアル番号に紐付いていてコンフィグとして引き継げません
FortiGate交換時に端末へのCA証明書の再インストールが発生します
0569anonymous@fusianasan2021/12/06(月) 21:36:11.76ID:???
最近Deep-inspectionの話多いけど60Fで性能足りるの?
このスレの上の方だと300以上は要るとか言われてるよね
0570anonymous@fusianasan2021/12/07(火) 21:55:36.84ID:n+miFD4E
>>567
それほんとですか?
リストアで戻せばもとシリアルナンバーの自己証明書が戻る様な気がするけど
0571anonymous@fusianasan2021/12/07(火) 22:31:56.06ID:???
セキュリティ構築たんとーさんはだいぶ呑気なもんだな。利便性や運用しらん!セキュリティ高いのが正義!そんな投げっぱな構築やってると顧客減るけど大丈夫?

UTMなんて一番最初に予算削られるとこですよ
0572anonymous@fusianasan2021/12/07(火) 22:35:35.91ID:???
>>567
知らんかった〜。
お客さんにビルトインCAのままADで端末に配布しとるわ〜
ま、担当外れたからどうでもええわ〜。
0573anonymous@fusianasan2021/12/08(水) 00:12:41.66ID:???
今のご時世いの一番にコスト削減するのがUTM周りとか
そんな時代遅れか知恵遅れな顧客はこっちから願いさげですぅ〜
0574anonymous@fusianasan2021/12/08(水) 00:14:19.38ID:???
>>570
プライベートCAなりで作ってFortiGateにインポートしたものならコンフィグとして残るのでレストアは可能ですが
ビルトインの方はS/N固有になるのでレストアできないですね
同機種のFortiGateが2台あればすぐ試せるかと思います
0575anonymous@fusianasan2021/12/08(水) 08:21:02.46ID:???
プライベートCA建てた方がいいとは言われるけど、deep-inspection用の証明書はshow fullで秘密鍵ごと取れるから移せるよ。
0576anonymous@fusianasan2021/12/08(水) 09:22:49.17ID:???
FortigateのIPSテンプレートのhigh_securityってデフォルト状態で運用すると問題ある?
素人考えであれだけどハイセキュリティっていうくらいだからある程度安全性あるのかなって思うんだけど
0577anonymous@fusianasan2021/12/08(水) 12:37:50.73ID:???
FortigateのUTM機能なんておもちゃレベルじゃないの?
0578anonymous@fusianasan2021/12/08(水) 13:35:44.11ID:???
具体的にどの辺がおもちゃレベルなんでしょうか?
0579anonymous@fusianasan2021/12/08(水) 13:43:10.48ID:???
餅は餅屋と言われるぐらいのおもちやレベル
0581anonymous@fusianasan2021/12/08(水) 18:51:38.68ID:ZDOBlCwl
>>574
やってみました。確かに引き継がないですね。
大変勉強になりました。
0582anonymous@fusianasan2021/12/08(水) 21:43:27.15ID:???
中小企業でしか使われてないわな。fortigate
あとライセンス切れは家庭。
0584anonymous@fusianasan2021/12/09(木) 00:02:22.44ID:???
結局どのあたりがどういう理由でおもちゃレベルなんでしょう??
0585anonymous@fusianasan2021/12/09(木) 00:23:40.39ID:???
それを言わないが、あるんだよと思わせたいパロアルトの思惑
0586anonymous@fusianasan2021/12/09(木) 01:02:40.78ID:???
ひと昔前に比べればだいぶ洗練されてきたけど
デカい案件ではやっぱりパロ使うわ
0587anonymous@fusianasan2021/12/11(土) 18:50:54.11ID:???
具体的な技術議論なんて出来ないなんちゃってエンジニアの吹き溜まり
0588anonymous@fusianasan2021/12/11(土) 21:09:35.51ID:???
FortiDDNSの挙動がよくわからん。
故障交換後に「取得可!!」ってなったと思ったのにだめとか
0590anonymous@fusianasan2021/12/12(日) 16:25:22.84ID:???
>>589
おおおおおお
こんな技ちゃんとあるんだ。NetvolanteDNSよりも春香に親切じゃん
05915362021/12/12(日) 17:23:18.80ID:???
>>557-558
初期設定で、IPv4でのWANへのアクセスは問題なかったので、
Default Allowかと思っていました。

実際は、SPIでLANからWANへの通信が登録されて、
帰りのパケットが許可されていたので、通信できていたようです。

WANからLANへのIPv6パケットは、明示で許可しないとダメですよね。

>>547
ひとまず、WANからLANへのIPv6をすべて許可する
プロファイルを一番上に追加したら、クライアントPCで
IPv6アドレスが取得できて、test-ipv6.comは8つOKでした。

これから、プロファイルなりポリシーなり、いろいろといじってみます。
0592anonymous@fusianasan2021/12/12(日) 17:34:16.30ID:???
556です。

httpでもhttpsでも、eicarのあるURIは知れ渡っているので、
Edgeでのダウンロードは、Windows10クライアント側ででブロックされていました。
curlで試して、httpのブロックはうまくいきました。

ダウンロードすると、httpsはそのままzipがローカルに保存できるが、
httpはファイルダウンロードされずにCLIにBlockedのHTMLが表示されました。

あとで、自己署名証明書を入れて、deep-inspectionを有効にして、
curlでもhttpsのダウンロードが検出できるか、試してみます。
0593anonymous@fusianasan2021/12/12(日) 18:13:43.18ID:???
556です。


>>563-568
Fortigateが交換されるたびに、
クライアントにCA証明書インストールしなおしで事足りる規模です。

>>572
ActiveDirectoryもいらない規模。

>>569
クライアントの台数と通信量によるでしょう。
少ない台数から、負荷を見ながら少しずつ増やしてみる予定です。

Fortigateを明示的なhttp-proxyとして使えば、
LAN側のTLS処理が無くなり、負荷が下がると思います。
CA証明書も不要だけど、クライアントへのProxy設定は別途必要。
(で、合っている?)

>>571 自己批判乙。
0594anonymous@fusianasan2021/12/12(日) 18:23:09.85ID:???
>>574-575
うちも、クライアントPCに都度CA証明書インストールでも大丈夫な規模ですが、
故障交換時に、再度CA証明書インストールを避けられるなら、避けたいです。

> deep-inspection用の証明書はshow fullで秘密鍵ごと取れる
から移せるとは、どのようにするのでしょうか。
ヒントをいただきたいです。

Openssl等を使って、現用の秘密鍵から自己署名証明書をつくって、取っておく。
代替のFortigateに書き込むと、クライアント側の証明書はそのまま利用できる、
というイメージでしょうか。
0595anonymous@fusianasan2021/12/12(日) 19:45:46.78ID:???
>>593
>Fortigateを明示的なhttp-proxyとして使えば、
>LAN側のTLS処理が無くなり、負荷が下がると思います。
>CA証明書も不要だけど、クライアントへのProxy設定は別途必要。

FortiGateとPC間がHTTPということであればPCがリクエスト出すときにHTTPでGET要求なりを出す必要があります(サイトのURLがHTTPの必要あり)
それと、HTTPで来たリクエストをFortiGateが受けてHTTPSでリクエストする機能は無かったように記憶しています
バーチャルサーバのSSLオフロードの逆みたいな感じですね(これもできなかったような記憶)
そしてプロキシとして使う場合はASICオフロードは効かないのでパフォーマンスも下がりますね
0596anonymous@fusianasan2021/12/13(月) 16:09:44.24ID:???
例えば5555 -> 80でフォワーディングする時って
ポリシーで許可するポートって5555でいいの?それともフォワーディングした後の80にするの?
0598anonymous@fusianasan2021/12/13(月) 21:25:19.71ID:m6rSBtT9
カタログのSSLスキャンのスループット凄いと思ったけど
これIPS有効のみの数値?
0601anonymous@fusianasan2021/12/15(水) 13:24:46.12ID:???
さくらいんたのJPRS 990円 SSL証明書って問題なく使えますよね?
0603anonymous@fusianasan2021/12/16(木) 15:01:24.19ID:???
7.02です。DoH有効にしてたら、定期的にネットが遮断されてFortigateの管理ページにもつながらなくなります。
偶然フリーズする直前にログインしてたら、メモリが足りないというようなことが表示されていたのですが、
DoHの機能はまだベータ提供ということなのでしょうか?
0604anonymous@fusianasan2021/12/17(金) 04:12:46.97ID:???
SSL-VPNでプールアドレスを/24で設定してるんだけど
接続と切断を繰り返すとトンネルIPアドレスを受け取れませんってエラーでて接続できなくなるんですけどどうしてでしょうか??

Fortiを覗いてみる限り何故かセッションが切れずにずっと繋がったままになっててアドレスを握ってるみたいなんですけど
クライアントで接続切った時にセッションも同時に落とす(tunnel-downさせたい)設定とかって無いんでしょうか??
アイドルタイムアウト自体はデフォルトの5分にしてあります
0605anonymous@fusianasan2021/12/17(金) 04:19:05.44ID:???
SSL-VPNで付与したIPアドレスをVPN接続切れても開放しないバグがあったようなので問い合わせ or バージョンアップしてみるといいかも
0606anonymous@fusianasan2021/12/17(金) 05:27:10.42ID:???
>>605
ありがとうございます
バグなんですねこれ……結構致命的な気がしますけど……
OSのバージョンアップしてみます
0607anonymous@fusianasan2021/12/17(金) 06:15:51.97ID:???
>>605
かさねがさねすみません
そのバグについてのレポートみたいなのってどこかにあったりしますか?
0608anonymous@fusianasan2021/12/17(金) 08:20:42.70ID:???
普通はリリースノートを読むと思う
0609anonymous@fusianasan2021/12/17(金) 09:13:42.63ID:???
それが見当たらないから聞いてるんですが^^;
0610anonymous@fusianasan2021/12/17(金) 11:39:08.55ID:???
ちゃんと読んでたら見つかるよ
がんばれ
0611anonymous@fusianasan2021/12/17(金) 13:50:34.86ID:???
>>604
SSL-VPNポータル編集で以下チェック入れてもダメ?

ユーザを一度に単一のSSL-VPN接続に制限する
0613anonymous@fusianasan2021/12/21(火) 06:04:09.27ID:???
>>611
チェック入れた後再起動で上手くいきました、ありがとうございます。
別にチェック入れることに支障はないんですけど酷いですねこれ
0617anonymous@fusianasan2021/12/22(水) 15:20:00.82ID:???
>>611
一旦よくなったと思ったんですけどやっぱりダメでした
接続と切断を繰り返すうちに一ユーザだけで何十個もアドレス握っちゃってますね
枯渇した後も以前のセッションが残っていれば既存のセッションを切断して接続しますか?のダイアログがでるようにはなりましたけど新規ユーザはどうしようもないですね

酷いですねこれ(笑)
0618anonymous@fusianasan2021/12/22(水) 16:45:55.51ID:???
>>617
家の(FortiOS7.03)で試してみたけどそんな症状が出ないなぁ
FortiOSとFortiClientのVersionって何使ってます?
0620anonymous@fusianasan2021/12/23(木) 23:26:42.17ID:???
うちもtokenと50E/SSL VPNつかってるけどそんな症状でないなぁ
0621anonymous@fusianasan2021/12/24(金) 02:56:44.36ID:???
情報共有どうもです
IPoEで繋げてるのがいかんのですかね……
アドレスプールにv6もいれた方がいいとかあったりします??
0622anonymous@fusianasan2021/12/24(金) 07:33:07.99ID:???
7.01か
6系ではどこもそんな症状無いなぁ
個人的にはそんなβテスター向けリリース使うからだと思うが…
0623anonymous@fusianasan2021/12/24(金) 09:26:17.89ID:???
>>622
Fortigateの最新バージョン系統はバグ多いよね
複数メジャーバージョンある場合は本番環境は安定バージョン選ぶよね
0624anonymous@fusianasan2021/12/24(金) 09:34:58.11ID:???
>>622
ありがとうございます
バージョンですかね……?取り敢えず最新にはあげてみます
0625.2021/12/24(金) 21:53:59.57ID:???
1年毎にアップデート出るけどさー
テストしたんか?
って感じのが初期はアルアルだわ
known issueが育つまで
待って考えてるわw
0626anonymous@fusianasan2022/01/17(月) 21:58:28.05ID:4D5CD1yM
60Fでも、やっぱしpppoeは、遅いんやろか?

200Eでは、それなりにスピードでてる。
200EのCPUは、Celeron G1820 2.7GHz
0627anonymous@fusianasan2022/01/17(月) 22:01:15.43ID:4D5CD1yM
ちなみに100Dは、Atom D525 1.8GHz
だった
0628anonymous@fusianasan2022/01/18(火) 01:11:01.48ID:???
50EだけどPPPoEで700Mbps出てるよ
もうこれ以上はフレッツ側が限界な気がするけど
700Mbps出てるときもCPU使用率50%くらいだったな
06296272022/01/18(火) 08:58:33.57ID:nwoV9p1/
>>628
ありがとう。
スピードはでてるが、CPU負荷は高いですね。
0630anonymous@fusianasan2022/01/21(金) 12:13:25.04ID:???
>>628
ちな、セキュリティ機能なしのポリシー利用でpppoeで700mでてcpu50パーってことですか?
0631anonymous@fusianasan2022/01/21(金) 12:28:42.36ID:???
>>630
IPSとAppコントロール(モニタリングのみ)を有効にして700Mbps出た時にCPU50%
0632anonymous@fusianasan2022/02/07(月) 13:20:09.11ID:???
Windowsでhostsファイルイジる代わりに、Fortigateに設定することってできるの?
DNSエントリに登録すれば良さげだけど、DNSゾーンとかが分からない…
0633anonymous@fusianasan2022/02/07(月) 13:24:47.52ID:???
>>632
Workgroup運用でドメイン名がないんだけど、エントリにホスト名とIPアドレスを指定すると、FQDNにドメイン名が補完されちゃう。(とりあえずドメイン名はworkgroupにしてみた)
0634anonymous@fusianasan2022/02/07(月) 14:12:02.97ID:???
TLDがworkgroupのオレオレドメインで運用するなら
fortigateにDNSゾーン作って(fortigateがTLD管理出来るかは知らない。出来なければ適当にドットを1つ以上含むドメインに変更して)、
Windows側はTCPIP設定の詳細設定のDNSタブの検索DNSサフィックスに作ったDNSドメイン記載しとけば
名前解決時に補完(例えばping host1とコマンド打てば、host1.workgroupでDNS問い合わせ)してくれる。
0635anonymous@fusianasan2022/02/11(金) 14:16:46.74ID:???
オリジナルの業務アプリケーションの通信記録を取るために、
簡単なカスタムアプリケーションシグネチャーを登録したいのですが、
「変更を保存できませんでした」と表示され登録できません。
Fortigate-60E FortiOS v7.0.4 build0301 (GA)
バーチャルワイヤーペアで通信を監視中、プロキシベース、SSL deep-inspection。
クライアントPCのWindows10のルート証明書にFortinet_CA_SSLを登録済みです。

ポリシー&オブジェクト > ファイアウォールバーチャルワイヤーペアポリシーで、
設定したセキュリティプロファイル APP Defaultを設定しました。
ログ&レポート > アプリケーションコントロール で、
宛先IPアドレス(ホスト名)と、アプリケーション名が見られる状態です。
ttps://help.fortinet.com/fortiproxy/11/Content/Admin%20Guides/FPX-AdminGuide/700_Security-Profiles/720_CustomSignatures.htm
を見て、カスタムアプリケーションシグネチャを登録しようとしているのですが、
「変更を保存できませんでした」と表示され登録できません。

簡単に
F-SBID (--name "Original_App" ; --service HTTP; )
としても、登録できないため、シグネチャの構文エラーではないと思われます。
どの辺をいじるとよいか、お分かりの方、よろしくお願いします。
0636anonymous@fusianasan2022/02/11(金) 19:54:06.29ID:???
forticlientを使用したipsec VPNで日本国内のみからの接続に制限したいのですがうまく行きません。
どなたか成功してますか?
0637anonymous@fusianasan2022/02/11(金) 20:50:26.43ID:???
>>636
グローバルが一つだと外部に晒したipにポリシーを当てることができないので無理かも。
グローバルが複数なら、一つを外部インターフェースにもう一つをループバックにして、その間の通信に国内のipだけを透過ルーティングするポリシー書いて、ループバックに振ったグローバルでipsecを受けるみたいなことをする必要があったと思います。
0639anonymous@fusianasan2022/02/11(金) 23:14:06.50ID:???
>>638
ip1個しか割り当てられないのはpppoeでもdhcpでも固定でもipsecではポリシーかけられないですね。
ssl-vpnならできるけどそれではダメですか?遅い?
0641anonymous@fusianasan2022/02/12(土) 05:28:48.74ID:???
>>639
ipsecご要望でして・・・


>>640
バーチャルipにて内部に転送をかけるポリシーに日本ipのみみたいな感じでしょうか?
0643anonymous@fusianasan2022/02/12(土) 10:16:16.95ID:???
>>642
なるほどこっちでもいけそうですね。
やってみます!
皆さんありがとう!
0644anonymous@fusianasan2022/02/12(土) 11:49:01.46ID:???
local in policyて自分で追加できるのか
いい情報貰った
06456352022/02/17(木) 20:46:45.30ID:???
>>635
FortiOS v7.0.4 で、カスタムアプリケーションシグネチャーを登録、
どなたかできた方いませんか。
0646anonymous@fusianasan2022/02/19(土) 03:00:36.10ID:Zudi2d7X
もしどなたかわかる方いらっしゃれば教えて頂きますでしょうか

■スタティックルート
 0.0.0.0/0 wan2
■バーチャルIP
 wan1宛 ⇒ DMZ1宛
上記環境で、wan1宛に外から来た通信をwan2ではなくwan1に返す為に
以下設定を追加したのですが、上手くいきませんでした
■ポリシールート
 着信インターフェース:DMZ1
 宛先GW:wan1のGW

一方で以下設定を追加した場合は上手くいきました
■スタティックルート
 "wan1に通信してきた外部のアドレス" "wan1のGW"

上記ポリシールートで通信がうまくいかないい理由はどんな事が考えられるでしょうか?
0647anonymous@fusianasan2022/02/19(土) 10:33:38.79ID:???
RPFチェックとかじゃないですかね
0648anonymous@fusianasan2022/02/19(土) 13:51:37.23ID:???
>>646
同じようなことをやろうとして苦労した記憶があります。
自分は結局pbrはあきらめて、
646の構成で言うwan1先にいるルータ側でnaptさせて、
外部ipをwan1の持つipと同セグ(直接接続ルートになるのでスタティックルートもPBRも記載不要になる)に変換させることで対応しました。
0649anonymous@fusianasan2022/02/19(土) 13:58:25.39ID:???
上記はwan1先にルータがいて自由にさわれることが前提の場合の話です。
また、ルーティング記載不要と書きましたがそれはwan1側の話でwan2側のdgwはもちろん必要です。

あと>>500で自分が似たような質問しているので
参考になるかは微妙ですがどうぞです。
0650anonymous@fusianasan2022/02/19(土) 16:20:21.71ID:???
ポリシルートを設定するときにはその宛先に対するルーティングテーブルがあることが必要ですがそこは大丈夫でしょうか
0651anonymous2022/02/19(土) 18:33:15.67ID:???
PBRするときはその先にルートがある必要があるから、WAN1とWAN2それぞれに
0.0.0.0/0があるように書いてAD値をWAN2が小さくなるように設定したうえで
PBRすると動くと思うよ。
0652anonymous@fusianasan2022/02/19(土) 18:40:24.80ID:Zudi2d7X
回答くださった皆さんありがとうございます
教えて頂いた情報を参考に再度設定してみようと思います

>>647
RPFチェックという仕組みも有るんですね

>>648
>>649
wan1先ルータでのNAPTは盲点でした
ルータの設定変更について検討してみます
過去の質問回答も参考になりました

>>650
wan1宛のルーティングテーブル無いです…
ポリシールートだけでルーティングしてくれるものと勘違いしてました
wan1宛のデフォルトルートも作成して、プライオリティ値をwan2宛の
デフォルトルートよりも高くする事をまずは試してみたいと思います
0653anonymous@fusianasan2022/02/19(土) 18:45:57.17ID:Zudi2d7X
>>651
助言ありがとうございます
AD値で優劣をつける方法と
AD値は同じにして、プライオリティ値で優劣をつける方法では
どちらが良いとかありますでしょうか?
0654anonymous@fusianasan2022/02/19(土) 23:51:59.12ID:???
プライオリティのほうが良いです
ADだとベストパスが消えない限り次点のパスは有効にならないはずなんで
0655anonymous@fusianasan2022/02/20(日) 07:16:31.03ID:???
自分ならwan1とwan2でvdom分けます。
そうすればwan1がpppoe=ダイナミックゲートウェイの場合でも問題なし。

今回はルータ渡しのようですが、pbrではダイナミックゲートウェイで書けなかった記憶が。

もちろんvdom間を適切に繋いであげる必要があります。
0656anonymous@fusianasan2022/02/23(水) 17:02:09.13ID:X0QQHK08
FortiClientVPNでIPSEC接続時に、
クライアント証明書認証はできるのでしょうか。
(できればRadiusを使用したい)

FortiClientVPNには、クライアント証明書を指定する項目があるのですが、
FortiGateのIPSECの認証設定では、"事前共有鍵"か"シグネチャ"しか選択できないので、
もし、ご存じのかたがいらっしゃれば教えていただけないでしょうか。
0658anonymous@fusianasan2022/02/23(水) 22:42:07.58ID:0I80hVM+
>>654、655
他ご回答下さった皆さんありがとうございます
スタティックルート追加、プライオリティ値調整で無事行いたい事ができました
0660anonymous@fusianasan2022/02/24(木) 16:58:40.47ID:GXVHCnRd
>657
ご回答ありがとうございます!
週末試してみます。
0661anonymous@fusianasan2022/02/26(土) 13:39:55.49ID:???
すみません、fortigate詳しい方にお聞きしたいのですがDHCPv6-PDの再移譲って最新の60Fとかであれば出来ますかね?
フレッツ光ネクストのひかり電話有りの契約で上位WANルーターから/58でもらったprefixを
fortigateで受けて配下のコアスイッチに/60などで再移譲したいと考えています
同じような構成で出来ている等の情報ありましたら教えて頂けると助かります
0663anonymous@fusianasan2022/02/26(土) 18:44:12.65ID:???
情報ありがとうございます!
手元にまだ実機がないので届き次第上のURLを参考に設定してみます
0664anonymous@fusianasan2022/02/27(日) 19:35:14.46ID:???
Fortigateでアルテリアのクロスパス使う方法知りませんか?どうも上手く接続出来なくて…
0665anonymous@fusianasan2022/02/27(日) 22:02:52.41ID:KJiUiy31
>>664
Fortigate 楽天ひかりで検索
0666anonymous@fusianasan2022/02/28(月) 15:45:35.21ID:???
SSL-VPN WebモードでアドレスのIP部分をいじると
メニューに表示されてないものへもアクセスできてしまうのですが
特定ユーザーだけ
特定のアドレスのものへしかアクセスできないようにしたりは可能でしょうか。
参考になるドキュメントやサイトご存じであればおしえてください。
0667anonymous2022/02/28(月) 19:18:53.59ID:DDmEBu7f
>>666
出来ないと思うよ
IPアドレスじゃなくてIDベースで制御するリモートアクセスとしてIAPって製品分野が出来上がってる
zscaler ZPA, akamai EAP, netskope NPA とかそのあたり
必須要件だったらそういうの検討してもいいかもね
0668anonymous@fusianasan2022/02/28(月) 20:31:04.52ID:???
>>666
ポリシーを細かく分ければできないことはないはず
0670anonymous@fusianasan2022/03/03(木) 06:16:42.63ID:Fc/N3CGb
トラフィックシェイパーについて、教えてください。
設定する事で、下限の帯域は確保しつつ、上限帯域に制限した通信が可能という認識で
間違いないでしょうか。

業務ネットワークと同じネットワーク内で、インスタライブ配信を実施してるんですが
ブロックノイズが出るのがどうしても気になって。
LAN⇔WANのポリシーにトラフィックシェイパー設定して、改善するもんでしょうか。

動画配信の為に、ネットワークを別にした方がいいのか、お知恵をお借りしたく。

回線はN○○PC系です。
プロバイダはIPv6非対応。
0671anonymous2022/03/03(木) 09:08:42.59ID:???
>>661
うちは60Eで出来てるよ。
ただPPPoEしゃべってるInterfaceでは定義はできるんだけど何をやっても動かず、
2ポートをONU側に接続して片方はPPPoE用、もう片方をDHCPv6-PD用として使ってる。
0672anonymous@fusianasan2022/03/04(金) 00:47:20.21ID:ogM+MYRV
普通にWANの増速した方が良いかもしれませんね
0673anonymous@fusianasan2022/03/04(金) 11:57:31.30ID:???
>>671
動作情報ありがとうございます、
同じWANポートでPPPoEとの共存できないって事ですね…
0674anonymous@fusianasan2022/03/04(金) 14:19:25.36ID:SAk9nX2K
できるはずですが
0676anonymous@fusianasan2022/03/05(土) 03:10:53.51ID:???
>>670
構成がわからないからなんともいえませんがフルHDの動画であれば30Mbpsくらい常時確保できてれば問題ないんじゃないですかね
それが無理ならネットワーク分けるなりしたほうがいいように思えます
FTTHでIPoEだったら余裕そうだけど
0677anonymous@fusianasan2022/03/07(月) 12:43:14.94ID:???
>>676
670です。
ありがとうございます。
参考にします。
0678anonymous@fusianasan2022/03/07(月) 22:56:45.57ID:EG7Il395
もし分かる方いらっしゃればご意見を頂けないでしょうか
teams、googleハングアウトのようなWeb会議を行った際に、
その通信がudp_flood判定をされて、パケットが大量にドロップされている事が
ログのアノマリを見て分かりました(多いと1日数百件のudp_floodログ)

とりあえずはIPv4 DoSポリシーにて、当該通信でのudp_floodに関するアクションを
モニタとする事で対応しているのですが、これはよく有る事象なのでしょうか?
または、Fortiの設定に問題が有るのでしょうか?
0679anonymous@fusianasan2022/03/26(土) 13:26:05.50ID:???
運用でfortiにポリシー追加とかやってるんだけどfortiのスキルあると思われるようになるには何すれば良い?
fortiの資格とかもあるようだが何かマイナーで評価されなそうだし
0681anonymous@fusianasan2022/03/26(土) 19:19:08.59ID:???
>>680
最近コマンドラインじゃないと設定出来ない項目いじったので触っています。
getとshowの使い分けはわかるようになりました。
0682anonymous@fusianasan2022/03/28(月) 08:51:30.71ID:???
terraformみたいなんで管理してIaCやってる感を出す
0683anonymous@fusianasan2022/03/28(月) 09:45:55.78ID:iCTxOPyH
diag使いこなす。
0684anonymous@fusianasan2022/03/28(月) 21:14:13.00ID:???
>>679
fortiの資格がマイナーなら、forti自体もマイナーなんだと思うがな。

cliでwebフィルタのカテゴリ設定してたら、ある意味凄いと思う
0685anonymous@fusianasan2022/03/28(月) 21:15:17.92ID:???
それは逆にバカにされるのでは……
0686anonymous@fusianasan2022/03/28(月) 22:58:13.43ID:???
CLIも良いんだけどさ
Webで設定したら10分で終わるところをCLIで1時間以上掛かってると格好悪いぞ
0687anonymous@fusianasan2022/03/29(火) 22:23:16.94ID:???
食っていけるという意味でFWの将来性はどうなの

ゼロトラストとかいうのがFWやVPNは古いとうたってるみたいだが何が凄いのかよくわからん
各サーバ使う時に認証があるのは普通だろ
0688anonymous@fusianasan2022/03/30(水) 09:19:18.56ID:???
LAN内部は安全みたいに信頼できるとかできないに分けて考えず、ドコでも危険だから片っ端からUTM導入しておけば、有事の際にも言い訳たつって事だから…
0689anonymous@fusianasan2022/03/30(水) 15:51:34.82ID:???
>>688
僕は逆にUTMは減ってくるんじゃないかと思います。
LAN内部が安全ではないから全てのデータはクラウドにて管理するようになるかと思います。
オンプレ側はインターネットへの通信とクラウドへの通信さえあればいいように変わっていくのではないかと思います。
0690anonymous@fusianasan2022/03/30(水) 20:20:39.51ID:???
そうしたらプロバイダは従量課金にするかもね
0691anonymous@fusianasan2022/04/01(金) 20:06:20.08ID:???
回線切れたら大騒ぎなのですがそれは
0692anonymous@fusianasan2022/04/02(土) 01:58:38.75ID:???
awsだってたまに止まるけど
まぁ仕方ないよねで済ましてる
こういうのでいいんだよ
0693anonymous@fusianasan2022/04/02(土) 17:47:40.01ID:GylSp1WA
確かにな。
日本人が細かすぎるんだよ。
0694anonymous@fusianasan2022/04/03(日) 00:43:13.91ID:w6EEjOtH
>>689
ゼロトラスト売る側だけどこれが正解
FWやUTMで守っていたものは、今後は各PCやサーバ単位でEDR入れて守るようになる
データもオンプレに置くよりクラウドに置いて Azure AD で認証する方が安全
0695anonymous@fusianasan2022/04/03(日) 10:29:42.73ID:???
>>694
情報系システムはそうなんだけど、基幹系は、、、ね?
0696anonymous@fusianasan2022/04/03(日) 19:44:41.49ID:w6EEjOtH
>>695
時間の問題かなあって思ってる
銀行ですら勘定系をAzureに持ってって、お国もクラウドファースト言ってGSS持ってく算段してる時代だもの
Fortigate とかこの手のアプライアンス触って飯食ってる仕事の給料が下がることはあっても上がることはないよねー
0698anonymous@fusianasan2022/04/04(月) 23:40:40.92ID:???
>>694
将来はそうなるとは思うんだけど…。

現状、EDR入らないネットワーク機器やら複合機とかIoT機器の脆弱性はどう防御できる筋書きでお話してるんかなぁ…。
そのへんがまず突っ込まれると思うんだけんど、どう詰めてますか?

恥ずかしい質問かもね。すまん
0699anonymous@fusianasan2022/04/05(火) 23:04:20.63ID:???
EDRって感染した後の挙動を止める事後対応じゃないのか?
なんかイマイチパッとしないように見えるけど進んでいる技術なのか?
0700anonymous@fusianasan2022/04/05(火) 23:10:57.80ID:???
挙動とかを監視してる分、従来のパターンファイルで引っ掛けるだけのアンチウイルスよりは進んでると言えるんじゃない?
0701anonymous@fusianasan2022/04/06(水) 00:18:22.94ID:4CdjqIvg
>>698
凄く初歩的なところで言うと、アプライアンスでどうにかなるもんじゃなくて脆弱性守るのってパッチ当てるしかないからね
Fortigate の脆弱性守ってくれるのは誰?ってなるじゃん
まあ、そこら辺の機器だと基本は SIEM/SOAR の領域になるかね
0702anonymous@fusianasan2022/04/06(水) 00:21:11.24ID:???
>>698
IoTだとAWS IoT Device Defenderというクラウドの監視サービスがあるようです。
0703anonymous@fusianasan2022/04/06(水) 19:39:15.28ID:???
>>701
そーゆーお話だとまだEDRだけは難しいのかなぁ

セキュリティ機器はパッチ適用は当然として。社内に転がってる全IoT機器をこまめにアップデートするのは多くの会社で現実的ではないしね。
UTMのIPSパターンファインで、いろんなIoT機器の脆弱性を突く通信があった場合検知してくれるしね
0704anonymous@fusianasan2022/04/06(水) 20:25:46.17ID:???
>>699
ファイルそのものは検出しなくてもランサムウェアのプロセスを検知して暗号化実行をブロックしたりするかと > EDR
0705anonymous@fusianasan2022/04/07(木) 19:17:13.66ID:kZDOJ/6x
>>703
社内に転がってるIoT機器が外から自由に突かれるってどういうアーキテクチャなん?
根本から色々理解が浅い気がすんだが
0707anonymous@fusianasan2022/04/08(金) 00:22:24.33ID:???
外から自由に突かれるって話はどこから出てきたんだろう・・・
0708anonymous@fusianasan2022/04/08(金) 01:06:18.92ID:M3VTMrgi
>>706
ん?実装箇所がアプライアンスなのか組み込みLinuxのFirewallかはともかくとして、
ゼロトラストはわざわざ他所からの通信許可しておくことを推奨してるわけじゃないぞ
0709anonymous@fusianasan2022/04/08(金) 01:11:48.14ID:???
要はUTM業者の飯の種としてはしばらく必要ってことでしょ

カメラとかのIoT機器はONU時点で別として社内LANには物理的に入らない設計の要求増えそう
複合機はインターネット出なくてもいいよなってなったり
0710anonymous@fusianasan2022/04/08(金) 08:57:58.85ID:???
まず社内への人間の出入りを禁止しないと…
0711anonymous@fusianasan2022/04/08(金) 20:33:43.72ID:???
そもそも上司へのゼロトラストなんて何10年も前から実践している
0713anonymous@fusianasan2022/04/08(金) 21:54:34.23ID:???
httpsの通信が主流なのに、アンチウイルスできます!とか大爆笑。どうやってるんですかね?
0714anonymous@fusianasan2022/04/08(金) 22:42:28.86ID:???
>>713
ディープインスペクションでhttpsでもアンチウイルスは効くだろ
パフォーマンスは知らん
0715anonymous@fusianasan2022/04/11(月) 19:49:05.13ID:???
>>713
これって常駐してるアンチUTMの人だから、ほっといた方がいい
0716anonymous2022/04/11(月) 23:36:27.07ID:???
UTM でわざわざアンチウィルスやる意味ってもう無いだろ
0717anonymous@fusianasan2022/04/27(水) 22:16:54.37ID:D+1xj+KI
初心者で恐縮なのですが、
以下のサイトのとおり、fortigate+楽天ひかり回線で、ipv4 over ipv6接続をしたいです。
機種選定でおすすめがあれば教えて頂けないでしょうか。(中古でコスパ良だと助かります)
https://naitwo2.hateblo.jp/entry/FortiGate-DS-Lite
0718anonymous@fusianasan2022/04/28(木) 16:58:20.24ID:???
性能の指標が無いと選べなくない?
OSを7系に上げなくて良ければ家庭用ならば50Eくらいで十分じゃないかな?

ライセンスが無いと普通はOS上げられないしシグネチャーも受け取れない
ちょっと高機能なルーターになっちゃいますが
0719anonymous@fusianasan2022/05/02(月) 18:43:04.40ID:???
6.4.9 でったんだねー

でも、6.4.8 が入ってるけど
6.4.9 への有効なアップグレードパスがあれへんってメッセージでとるわ
0720anonymous@fusianasan2022/05/03(火) 00:09:14.60ID:???
>>719
中間パス無しで一回でアップグレード出来る場合もそう出る気がする

気になるならUpgrade Path Toolで調べれば確実だよ
0721anonymous@fusianasan2022/05/03(火) 20:48:34.46ID:RqN1DD7p
以下サイトを参考に、
fortigate60E(ver7.0.2)を利用したDS-Liteのインターネット接続を構築しています。

https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-internet-multifeed-ipoe-fixed-ip_fos702.pdf

インターネットアクセス確認まではOKとなっているのですが、
iphone(×3台)が接続できない事象が発生しています。
他のwinPC端末や、google機器や、alexa機器などはインターネット接続が出来ているのですが...
iphoneの通信をパスする設定等で思いつくものはありますでしょうか。
0722anonymous@fusianasan2022/05/04(水) 02:26:50.46ID:???
100Dです。通信量が増えるとダッシュボードのCPU使用率が1コアだけ100%に張り付くんですけど原因や調査方法がわかる方いますか?他の3コアは25%ぐらいで負荷が偏り過ぎてます。。
0723anonymous@fusianasan2022/05/04(水) 20:51:55.28ID:???
>>722
PCと同じような挙動なので特におかしくないんじゃないかな
0724anonymous@fusianasan2022/05/04(水) 23:49:13.87ID:???
>>721
OKとNGは具体的に書かないと誰もわからない

>>722
100Dは実コア2つだからただの使いすぎじゃない?
0725anonymous@fusianasan2022/05/05(木) 00:32:27.13ID:XFsuvO4w
>>724
iphoneだけが、インターネットに接続出来ないという事象になります。


インターネットアクセスOK⇒windowsPCやAlexaやgoogle機器

インターネットアクセスNG⇒iphoneのみ


※構成
ONU⇔fortigate⇔無線AP⇔クライアント端末群
0726anonymous@fusianasan2022/05/05(木) 00:59:55.30ID:???
>>725
デバイスインベントリにiphoneはいるか?
いるのならiphoneをwifiに継いだ状態で他の機器(Windowsとか)には接続できるか?
そのiphoneのIPはポリシーに入っているか?
対象ポリシーのログは確認しているか?
他のポリシー(暗黙等)、UTMポリシーでDropしていないか?

それにiphone使ってないから何とも言えないけどPingとかlookup出来るアプリってないの?

ヒントがおおざっぱ過ぎてエスパーでないと回答に困るな。
0728anonymous@fusianasan2022/05/05(木) 09:41:22.09ID:???
iCloud プライベートリレー とかそのへんかな。
うちのやつのログに何か記録されていたような覚えがあるが気にしてなかった。
0729anonymous@fusianasan2022/05/05(木) 12:24:24.03ID:???
プロキシモードとフローモードのどっちをみんな使っているの?
10MB以上検査出来ないならフローモードの方がマシだと思うんだがプロキシモードの最大値を変えてるのか?
0731anonymous@fusianasan2022/05/06(金) 10:24:06.38ID:???
>>728
エスパーだと先に気になるのはMAC randomizationの方かな。
0732anonymous@fusianasan2022/05/06(金) 17:46:11.82ID:???
>>725
エスパーするとiPhoneが機内モードになってるんじゃないかな
0733anonymous@fusianasan2022/05/06(金) 18:36:27.04ID:???
>>725
なんちゃってエスパーだけどiPhoneのアドレスを固定にすると直るんじゃないかな。
0734anonymous@fusianasan2022/05/07(土) 23:10:44.76ID:JOLGsOfK
エスパーの皆さま情報不足ですいません。
iosの設定をいじったらインターネットに繋がるようになりました。ありがとうございました。

ただ、windowsはv6で接続出来ているのですが、
iphoneのみv4接続しかできない事象にハマりました。

iphoneのネットワークをみると、v6のアドレス(DNS含む)は貰えてるのですが、結局未解決です…
0735anonymous@fusianasan2022/05/07(土) 23:26:13.66ID:JOLGsOfK
そもそもiphoneからv6アドレスにpingが通らない…
0736anonymous@fusianasan2022/05/07(土) 23:29:22.15ID:???
ポリシー書いてないだけでは?
0737anonymous@fusianasan2022/05/07(土) 23:44:19.95ID:???
構成図も情報も殆どなくて困ってますって話しかしないなら解決はしなさそうだね
0738anonymous@fusianasan2022/05/08(日) 02:44:20.80ID:TWmG/BXr
>>736
fortigateーAPーwin端末やiphone

AP接続ポート⇆WANポートは、
anyで許可ポリシー入れてます。
iphoneだけv6が見えないんですよね

再度ポリシー見直してみます。
0739anonymous@fusianasan2022/05/08(日) 02:54:13.36ID:???
>>734
無線APのせいじゃないの?
それにしてもほんっと情報出さないねw
0740anonymous@fusianasan2022/05/08(日) 09:49:13.88ID:???
AP接続ポート、WANポート間がAnyってやばくねw
0741anonymous@fusianasan2022/05/09(月) 21:27:22.06ID:???
FWって1000個ぐらい拒否IPアドレス設定しても負荷大丈夫?
0742anonymous@fusianasan2022/05/09(月) 23:04:34.62ID:???
そんくらいじゃ問題ないけど良く来る所はマスクで締めた方が良いし、GioIPで閉めるのも考慮した方が良いと思う。
0744anonymous@fusianasan2022/05/11(水) 21:08:00.69ID:???
ライセンスの期限が25年1月までのものがあるんだが
同一モデルで今年ライセンス切れるやつがあって
期限長い方の権利でファーム取得して
期限切れのモデルに入れるとかできるのかな。
ファームに日付埋め込まれてて照合でダメって言われるやつかな?
0746anonymous@fusianasan2022/05/12(木) 10:12:17.12ID:???
ファーム(OS)の更新は可能
シグネチャーの更新やWebフィルタは利用不可だよ
0747新人君2022/05/14(土) 04:20:13.54ID:/H9rvSVD
エスパーの皆様
FortiGate transparent modeについて質問させて下さい。
transparent modeでは、L2として動作するのでルーティングは出来ない認識でいます。

そこで質問なのですが、transparent modeでもCLIでStatic route 設定可能なようなのですが、
transparent modeで、Static route の使い道が分からず・・

PC(192.168.1.1)から1.1.1.1に通信させたい場合、transparent modeで実現できるかをご教示頂きたく。
なお、PCに設定しているゲートウエイは、192.168.1.254で、PCにスタティックルート設定はなしが条件となります。
.1 .10 192.168.1.254/24
PC--------FG---------RT1
|
| 192.168.1.253/24
RT2
| 1.1.1.1/32
0748新人君2022/05/14(土) 04:21:52.53ID:/H9rvSVD
すみません、構成図がずれてました・・・
.1     .254    
PC--------FG---------RT1
     |
     | 192.168.1.253/24
     RT2
     | 1.1.1.1/32
0749新人君2022/05/14(土) 04:24:12.83ID:/H9rvSVD
ずれちゃう・・・
RT1 192.168.1.254/24
RT2 192.168.1.253/24
RT2 1.1.1.1/32(loopback)
です。。連投すみません。
0750anonymous@fusianasan2022/05/14(土) 08:29:39.03ID:???
Transparentモード使った事ないから知らんけど(じゃぁ答えるなって言われそうやけど)
普通に考えるとそれはFortigate自信がip通信する際に参照するルーティングテーブルじゃないの?

fortigateまたぐL2通信に関係無いやろ?
0752anonymous@fusianasan2022/05/14(土) 13:45:19.50ID:???
ルーター間が通信できていればポリシーが許していれば通信可能ですよ

FGTのルーティングは他の人が書いている様に管理用
普通の環境だとFGTがインターネットに出られないとシグネチャーが更新できないからデフォルトルートを設定するよ
0753新人君2022/05/14(土) 14:00:59.96ID:/H9rvSVD
エスパーの皆様

有難うございます!
0754anonymous@fusianasan2022/05/14(土) 14:18:08.37ID:???
必要な設定をなしが条件となりますって言われても…
エスパーの皆様って煽りもやめたほうがいいよ。
0755aho2022/05/14(土) 14:44:27.47ID:???
NAT使えよNAT
0756anonymous@fusianasan2022/05/14(土) 19:57:41.86ID:???
>>747
他の方が回答出しちゃってますが
試しに構成を作ってみました。

RT1はFGTのWAN側でRT2はLAN側のポート接続ですよね?
RT1に1.1.1.1向けのルーティングがあれば繋がりますね。

また、FGTのルーティングをRT2向け、PCのデフォルトGWをFGTしてもPCから1.1.1.1繋がらないので、他の方がおっしゃってる通りFGTのルーティングはFGT本体の通信用ですね。
0757新人君から進化した2022/05/20(金) 19:16:36.95ID:XkQ5QeX7
>>756
求めいていた回答です。
PCでFortigateをゲートウエイにしても1.1.1.1に繋がらないのですね。

トランスペアレントの場合、完全にFrotigate自身のルーティングであること、理解できました。

アザマス。
0758anonymous@fusianasan2022/05/22(日) 14:34:48.80ID:???
少し質問させたください。

少し特殊な環境での構成になるのですが、
WAN接続の無いfortigateのLANポート(192.168.0.1)に、
WAN接続のあるRT@(192.168.0.11)と、
同じくWAN接続のあるRTA(192.168.0.12)が接続されています。

fortigateのデフォルトルートはRT@に向いており、
fortigate自身のDNSやfortiguard等の通信を含め、全てRT@経由でWANに抜けて行きます。
そこまではいいのですが、
RTAではRTAのWAN(pppoe)に外部から着信したhttp,https,icmpのパケットを
静的NAPTでfortigate(192.168.0.1)に転送するように設定されています。
しかしこのままでは、fortigateは返信パケットをデフォルトルートに従いRT@(192.168.0.11)に送信してしまいます。

何とかしてfortigateから発信する一部のプロトコル、ポートを持った通信をデフォルトルート以外に転送することは可能でしょうか。

PBRで色々試してみましたが上手くいきません。
0760anonymous@fusianasan2022/05/22(日) 17:53:44.26ID:???
>>758
SD-LAN?として、LAN側インターフェイスをsd-wanインターフェイスにぶちこんで。
sdwanルールで書くとかどーお?
0761anonymous@fusianasan2022/05/22(日) 18:51:49.18ID:iiGUU5Gm
>>758
Fortigateというより一般的な戻りルートの問題なので
この場合RT①と②では一般的な静的NAPT(Fortigate LAN1に着信するパケットは送信元IPがグローバルIP)ではなく
Ciscoでいう双方向NAT(Fortigate LAN1に着信するパケットは送信元IPが192.168.0.11や12になる)を使うしかないと思います。
0762anonymous@fusianasan2022/05/22(日) 19:05:23.87ID:???
回答ありがとうございます

>>759
FortiManagerに属してるのでVDOM使うと別途ライセンスがいるのです・・・

>>760
試してみましたがPBRと同様に設定したルール道理には動けませんでした。

>>761
たしかにNATを使ったほうが楽なのかもしれません。
動的NATか、逆側IPマスカレードで試してみます。
0763anonymous@fusianasan2022/05/22(日) 19:20:30.67ID:???
>>758
192.168.0.0にもう一個インターフェイスだしてSD-WANかな。
RT2のNAPT先をもう一つのインターフェイスにすれば多分RT2に帰ってくれる。
FortiManagerは触ったことないから知らん。
0764anonymous@fusianasan2022/05/22(日) 22:29:43.09ID:37JwvNHh
初心者ですがlonkmonitorについて質問です

https://docs.fortinet.com/document/fortigate/6.0.0/handbook/252877/remote-link-failover
上記構成で記載の設定+左のfortigateを高プライオリティ、overrideを設定した場合ですが、障害箇所が復旧しているかに関わらずpingserver-flip-timeout 分経過すれば切り戻ってしまう認識ですが、それを止める設定は何かあるでしょうか

flip-timeout が経過した際にプライマリ選定を行い、左がプライマリに戻ってしまうため通信断が起きるのを避けたいです。
0765anonymous@fusianasan2022/05/22(日) 23:05:13.57ID:iiGUU5Gm
>>764
flip-timeoutを最大値2147483647min=4083年にしておけばとりあえず自動で切り戻らなくなるのでは。使ったことないけど。

切り戻したいタイミングで手動で1にして、切り戻してからまた最大値にする運用すれば目的に近いということで。。。
0766anonymous@fusianasan2022/05/23(月) 00:23:36.26ID:???
>>765
回答ありがとうございます。
時間長くすればその間は切り戻らないのはそうなのですが、復旧してるなら最短で切り戻したいということでして、、

あまり資料も見つからず、使われていない設定なのですかね
0767anonymous@fusianasan2022/05/23(月) 00:44:16.33ID:???
>>758
RT2から来る通信の送信元を絞れるなら対応可能
0768anonymous@fusianasan2022/05/23(月) 02:43:57.60ID:???
>>767
それって送信元のスタティック書くだけ?だったら、ここに質問しなくね?
0769anonymous@fusianasan2022/05/23(月) 13:42:35.81ID:???
>>767
>>768

送信元が固定ならスタティックで何とかなったのですが、動的IPなので難しいです

一応、逆NAPTでRTAのWANからくるfortigate宛のパケットの送信元をRTAのLAN側IPに変換して一応解決しました。

ありがとうございます
0770anonymous@fusianasan2022/05/24(火) 12:55:18.86ID:???
>>766
sdwanがあるし、linkmonあんま使われないと思う。お力になれずスマン
0771anonymous@fusianasan2022/05/25(水) 22:32:24.18ID:fsAGyccO
linkmonitorがどうかに頭使うより
使わんように頭と金使う方がみんな幸せな気がする
0773anonymous@fusianasan2022/05/26(木) 14:03:15.24ID:mnA+KO/f
おっしゃる通りです
失礼しました
0774anonymous@fusianasan2022/05/27(金) 08:41:10.67ID:???
v6ブラスからのIPv6-RAをfortigateを介してLANに流しているはずなのだが、iPadだけIPv6で通信できない。IPv6グローバルアドレスは割り振られているのに…
MS-WindowsとAndroidはIPv6で通信できるのに…

iPadは何が気に入らないのだろう?
0775anonymous@fusianasan2022/05/27(金) 11:48:33.41ID:???
プライベートWi-Fiアドレスとか
0776anonymous@fusianasan2022/05/29(日) 23:28:19.98ID:???
トラシューでログとか見れない人だったら、ぶっちゃけバッファローとか使ったほうがいいっすよ
0777anonymous@fusianasan2022/05/30(月) 01:28:58.10ID:???
>>776
解決案も出さない癖に、他機種をすすめるような煽りするのは病院おすすめする

>>774
ドロやあいぽんで可能ならば、ipad側v6の何らかじゃないかい?fortidocsやらで探って見つかんなきゃ、キャプチャしてみるしかないな
0780anonymous@fusianasan2022/05/30(月) 23:10:45.52ID:???
ドキュメント読んだり、ログ見たり、パケットキャプチャ取って確認したりでやることはいろいろあるんだけど
ここで質問する人は一発で解決する答えを聞きに来てる感じだからそのあたりの解析作業をすることはほぼない
0781anonymous@fusianasan2022/05/31(火) 09:27:33.00ID:???
質問自体が低レベルな奴は煽られるのが5ch
ここは煽られながら情報を得る所だ
0782anonymous@fusianasan2022/06/02(木) 08:16:26.16ID:???
大原則、趣味で中古買ったなら自己解決が基本
仕事で納めるために買ったならサポートに聞くとかできるだろ、Fortiなら図研かSBだろ?
0783anonymous@fusianasan2022/06/02(木) 12:30:43.05ID:9588vqFk
教えたがりがいるし、別にいいとおもうけど。ここで聞いたって。
0784aho2022/06/02(木) 19:43:37.95ID:???
v7.0行こうぜ
0785anonymous@fusianasan2022/06/02(木) 20:41:27.89ID:???
在庫なくね?
scskとか大手からは即入できるのかな
0786anonymous@fusianasan2022/06/03(金) 07:11:10.01ID:???
>>785
scskで40fなら納期2週間ほど。
80fまではそれなりに在庫ありました。
値上げすごいけど。
07877742022/06/04(土) 05:05:12.64ID:???
みんなありがとう

時間が取れたので調べました
とりあえず以下の事象が判明したので、サポートへ投げてみました

1.iPad のみ、wan 側の IPv6 アドレス宛に ping を飛ばすと応答パケットが Fortigate 内で止まり internal 側へ送出されない
2.iPad に割り振られた IPv6 アドレスのみ Fortigate の route table に登録されていない
  Windows と Android に割り振られたアドレスは、"diagnose ipv6 route list" コマンドで経路情報が表示される

https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-jpne-v6plus.pdf
については、設定しているつもり
ただ、config firewall policy の srcintf と dstintf は書式が違うはずで、internal->wan1しか許してはいけないのではないかな
0788anonymous@fusianasan2022/06/12(日) 09:06:01.36ID:/TrsoRsS
サポートの回答はどうでしたか?
07897742022/06/12(日) 10:50:18.69ID:???
バージョン7.2.0は上げすぎでサポートしないので、7.0.5に下げろとか
0790anonymous@fusianasan2022/06/13(月) 01:04:54.49ID:???
>>783
解決のための相談に乗ってくれる人はいる
でも、相談者は調査方法じゃなくてダイレクトに答えがほしいだけだからね
調査しないとその答えが出ないですよってことを相談者はなかなか理解してくれない
0791anonymous@fusianasan2022/06/15(水) 14:52:42.21ID:???
まだ日本の代理店サポートに期待してるの?
最新版には追従できず古いバージョンしかサポートできない連中だよ
0792anonymous@fusianasan2022/06/15(水) 19:24:16.01ID:???
Fortiの最新版はバグ多いからな
v7.2系とか現状オープンベータ版みたいなもん
何で複数メジャーバージョンでアップデート出してるのか知らん無知が増えたな
0793anonymous@fusianasan2022/06/15(水) 20:48:55.32ID:???
開発したメーカーですらまともに対応出来ませんからww
0794anonymous@fusianasan2022/06/16(木) 00:04:43.41ID:???
>>793
メーカーですら対応出来ない問題も報告、解析してくれるコミュニティもあっての新ファームだしな
問題はメーカーに丸投げ的な考えの多そうな日本人向けではないけど
0795anonymous@fusianasan2022/06/17(金) 12:24:19.17ID:???
保守無しでファーム手に入んないのかよ!
そう思うとメジャーバージョンアップすら無料のWindowsは神だな。
0796sage2022/06/17(金) 13:03:43.29ID:???
マルチVDOM環境でVDOM作って
配下のvdomでWebフィルタリングの詳細設定しようとすると

スタティックURLフィルタのところで
--------------------
無効なURLをブロック
URLフィルタ
FortiSandboxにより検知された悪意のあるURLをブロック
コンテンツフィルタ
--------------------
あるはずが
「URLフィルタ」と「コンテンツフィルタ」が表示されなくなるんだけどなんで?
FG50E
6.2.10 build1263 (GA)なんだけど
0798anonymous@fusianasan2022/06/22(水) 22:32:03.85ID:gqCCrR07
ちょっと教えてほしい。
FortiGateでIPSEC-VPN冗長構成を検討している。

DC側は、ISP-A,ISP-Bの2回線。RT#1,RT#2はBGPしゃべってなくて、単純に回線収容してるだけ。
拠点側FGは、DC側FGのISP-A,ISP-Bグローバル向けのIPSECピアを2つ設定。(local idをメイン、バックアップで設定)
DC側FGは、拠点向けにset peertype oneで、メイン、バックアップを設定。
DC側FGは、フローティングスタティックを使って、通常時はデフォルトルートをISP-A、障害時はISP-Bとする。
ここまではいいんだけど、ここから先が疑問。

通常時、拠点FGから、ISP-BのグローバルIPに対してVPNトンネルを張りに来た際に、VPN応答はISP-A回線経由で返してしまうはず。
そこで、FortiGate自発パケットに対してローカルPBRが実装できれば解決できると思ったんだけど、実装できなそう・・・・

こういう構成の時って、どうやるのが好ましいのかな・・
まぁ、VPNトンネル張るだけだから、ISP-A経由で戻してもそこのバックボーン内で送信元ISP-BのIPが拒否されていなければ、
問題は発生しないとは思ってるけども。
[拠点FG]
||
[インターネット]
|   |
|  |
ISP-A ISP-B
|   |
|   |
RT#1 RT#2
|   |
|  |
wan1 wan2
[ DC側 FG]
0799anonymous@fusianasan2022/06/22(水) 23:00:38.60ID:???
Router外してFGで直収すればいい
0800anonymous@fusianasan2022/06/22(水) 23:36:49.18ID:???
DC側FGで拠点側ISP-Bのグローバル宛ホストスートをwan2に指定する
0801anonymous@fusianasan2022/06/22(水) 23:50:22.73ID:???
>>798
検証はしてないから正確では無いかも知れんが
FortigateのIPSecピアは個別に出力インターフェースが設定出来るから
出力インターフェースごとにルーティングされると思われる

IPSecピアごとの出力インターフェース指定とか普通のルーターには無いし

VPN通信自体が使うIPSecピアの切り替えはSD-WANやらリンクモニターやらルーティングプロトコルやらを適当にやればどうにかなるはず
0802anonymous@fusianasan2022/06/23(木) 00:00:33.12ID:???
通常は着信したインターフェースから返す仕様
なのでwan2に着信があったらwan2から返す
フローティングスタティックの設定が具体的にどうなってるかわかんないけど
wan2側もルーティングテーブルがないと
RPFチェックで落ちると思うのでそのあたりは要確認
0803anonymous@fusianasan2022/06/23(木) 08:11:57.77ID:oaTYYQXh
ありがとう!
検証してみる!
0804anonymous@fusianasan2022/06/23(木) 12:49:45.15ID:???
設定に困ったとき相談できる窓口があるサポート会社はどこ?
0805anonymous@fusianasan2022/06/23(木) 14:53:56.41ID:???
どこでも相談できるよ、金さえ払えば
0807anonymous@fusianasan2022/06/24(金) 12:33:22.14ID:???
>>805
ほんと?
2社と契約しているが、障害対応は受けるが今から設定する内容の相談は営業窓口って言われるぞ
保守窓口で答えてくれることもあるが突っ込んだら営業へとなる
0810anonymous@fusianasan2022/06/24(金) 18:12:28.25ID:???
アホの極み
保守内容なんてそれぞれ違う
0811anonymous@fusianasan2022/06/24(金) 18:17:09.29ID:???
もしかしてファームのアップとか設定変更とか保守?
修理点検のみ?
いろんな捉え方あり?
それとも俺の思っている保守内容が世界共通?って人か?
0812anonymous@fusianasan2022/06/24(金) 18:46:20.68ID:???
どこまで対応してもらえるのかは契約内容確認すればいいんじゃないでしょうか
0813anonymous@fusianasan2022/06/24(金) 19:03:31.25ID:???
保守の意味は辞書通りに決まってる
保守範疇は契約内容によって違う

当たり前だろ

これがごっちゃになってて話が通じてない
0816anonymous@fusianasan2022/06/24(金) 21:13:04.30ID:???
>>804
導入時にできてたことがなにもしてないのにできなくなったのなら保守窓口。
新しいことをやるなら予算用意して営業に連絡。
金出さないやつが聞ける場所はこことヤフー知恵袋。
0817anonymous@fusianasan2022/06/24(金) 21:17:05.62ID:???
ソフトバンクはQA技術支援も含むって書いてあるけど、
費用浮かすために技術もないくせに自前で構築しようとして何とも行かなくなってメーカーサポートに設計紛いの質問するのはルール違反だと思う。
0818anonymous@fusianasan2022/06/24(金) 22:14:28.87ID:???
正直メーカーに連絡するよりシステムベンダに依頼すべきじゃね

メーカーの営業経由でベンダー紹介してもらってもいいけどさ
0819anonymous@fusianasan2022/06/25(土) 06:34:07.03ID:???
そのシステムベンダーですが、メーカーサポートに
技術的な質問してもたいした答えは返ってこない。
0820anonymous@fusianasan2022/06/25(土) 08:23:35.10ID:???
ソフトバンクはやるのかな?
せめてコマンドマニュアルとか設定例くらいメーカーで普通に公開してほしいな(日本語で)
あと導入してもよいファームもサポート会社で違うのも面倒だわ
ファーム何使うのが良い?ってくらいの質問でも同じサポート会社でも答える時と答えない時あるし
柔軟に対応しているとも言えるが

でもここにかいている奴ら、保守と保守契約なんて言うのに
メーカーとパートナーと販売店とシステムベンダー区別してないのか?
メーカーは直接サポート契約しないからメーカーサポートと窓口持っているのは限られてるぞ
俺はメーカーの人と話したことはあるがサポートを依頼したことはないな(依頼しているのを目撃したことはある)
0821,2022/06/25(土) 09:40:59.83ID:???
いったいどこのワンオペ病院
逆ギレすんな
0822anonymous@fusianasan2022/06/25(土) 09:54:30.76ID:???
聞けるところにはダメもとでも聞いてみるってのはいいと思うけどな

ただ、相手が答えやすい様な質問・状況は準備した方が良いとは思う。
・商談には関係ない別件の質問だけど、協業途中だから相手に無視させにくい状況で聞くとか
・アンサーを求めるんじゃなくて、気づいたことないですかね?っていうあくまでヒントをもらうとか
 (材料準備したからやってくれ じゃなく ここんところどう切ったらいいですかね 的な)
結局ディストリビューターのバックエンジニアだって自分のやったことないのは
自社のサポートDBみたいなの調べるしかないし、それで見つかんなきゃ
ちょっとググって無さそうならシラネって言いたいだろうし

自分はファームバージョン選定の時は仕入れたディストリビューターの窓口に
「貴社がサポートが可能とする、推奨バージョンは何ですか?」ってメールで聞く。
なんか起こった時に巻き込みやすいかなって。
0823anonymous@fusianasan2022/06/25(土) 11:50:07.49ID:???
>>822
ファーム同じようにメールで聞いたことあるよ
今新規ならこれって教えてくれるときもあれば
推奨は特に無いよと言われたこともある
相手次第だよな
0824anonymous@fusianasan2022/06/26(日) 01:10:10.88ID:???
セキュリティベンダの推奨は基本は最新OS / 最新パッチだよ
それ以外答えようはない
0825anonymous@fusianasan2022/06/26(日) 01:42:52.08ID:???
>>824
技術質問の契約ない保守は、それだけだろうな
0826anonymous@fusianasan2022/06/26(日) 06:37:00.41ID:???
日本のベンダーは自前で動作チェックしたものだけ公開してるから、メーカーの最新とは限らない。
それでわかるだろ。
0828anonymous@fusianasan2022/06/26(日) 15:00:59.71ID:???
>>824
枯れたメジャーバージョンの最新セキュリティアップデート版が推奨されるだろ
最新メジャーバージョンとかまともなセキュリティーベンダーなら推奨しない
0829anonymous@fusianasan2022/06/26(日) 19:03:20.17ID:???
>>824
どこがそんな回答してくれたのか知りたい
今契約しているところは指定バージョン以外を入れたら保守対象外と言われた
しかも指定バージョンが無茶苦茶古く6.2とか言うし
そんなんが最初なら乗り換えたいわ
どこが7.2とか7.4やってくれる?
0830anonymous@fusianasan2022/06/26(日) 19:55:14.57ID:???
>>829
さすがに6.2は古いな
自分の取引してる所の代理店は出荷が6.4系、サポートが6.2,6.4,7.0系になってるわ
7.0系も最近になって7.0.5あたりでサポートし出した感じ
0831anonymous@fusianasan2022/06/26(日) 19:59:23.52ID:???
>>830
ちなみに最新OSはメモリリークしたり機能バグする多いからほぼバグテスターのようなもん
7.2系なんかバグったら公式フォーラムでサポート依頼しながらバグ前提で使うもんだから普通の代理店はサポートとか期待しないわ
0832anonymous@fusianasan2022/06/26(日) 20:08:17.90ID:d3w6xT8i
7.2はまだ怖いなー
自分の経験上だけど、Patch3以降ぐらいからじゃないかなー、導入奨められるのは。
中には、Patch5ぐらいじゃないと、怖いバージョンもあるかもだけど。
0833anonymous@fusianasan2022/06/27(月) 06:46:07.63ID:???
>>829
6.2までのモデルもあるけどそれじゃなくてか?
それ以外だと6.2は標準サポート終了して延長サポート突入済み
0834anonymous@fusianasan2022/06/27(月) 14:34:02.69ID:5Y8wE/h6
上の方でFortiGate+どこかのAPを使ってiPhoneがIPv6で外に抜けないと言ってる人がいたけどウチでも同様になってる。
Windows PC2台とAndroid3台はIPv6で外に抜けるしIPv4もDS-Liteで使えてる。
ちなみにiPhoneでもIPv4はDS-Lite(IPv4 over IPv6)で使えてる。

環境は下記の通り。
・FortiGate 60E(7.0.6)ちなみに7.2.0でも同様だった。
・NTT西+朝日ネット(IPoE + DS-Lite)IP非固定
・iPhone SE2(15.5),iPhone XS(15.5),iPad mini2(12.5.5)

https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-internet-multifeed-ipoe-ds-lite_fos702.pdf
この辺のFortinetの資料はOCN IPoEのものやアルテリアのものも参考にしていて、WAN固定IPサービス部分を除き同じ事を実施済み。

iPhoneはIPv6アドレスを取得していて、PCとiPhone間でv6でのICMPは疎通OK
しかしiPhoneから外向けのv6アドレスにはping疎通NG

iPhoneやAndroidはinternal側の同一サブネットにいるためF/Wポリシーも同一。
ちなみにiPhoneでも下記設定を施したRTX1200配下からはv6アドレスで外に抜けていたし今戻してみてもちゃんとv6を使用できた。
https://network.yamaha.com/setting/router_firewall/flets/flets_other_service/ipv6_ipoe

FortiGate 60Eの何らかの設定が足らないか過剰なのか不明だけどFortiGate+iPhone(iOS)ならではの問題がありそうなのは確か。
0835anonymous@fusianasan2022/06/27(月) 15:08:27.68ID:???
デバッグログ、パケットキャプチャみて調査するしかないんじゃないでしょうか
うちはiPhone13 miniで問題なくIPv6で繋がってます(7.0.6、test-ipv6で10/10)
nd-proxyとIPv6 firewall policyがあればいいはず
08368342022/06/27(月) 16:26:19.56ID:5Y8wE/h6
>>835
ありがとうございます。

v6のポリシーは上記URLのPDFのものと同じなんですが足らないんですかね。。
その他関係ありそうなところで今設定してるのは下記くらいです。

FGT60E # show system nd-proxy
config system nd-proxy
set status enable
set member "wan1" "internal"
end

FGT60E # show system interface wan1
config system interface
edit "wan1"
set vdom "root"
set type physical
set role wan
set snmp-index 1
config ipv6
set ip6-allowaccess ping
set dhcp6-information-request enable
set autoconf enable
set unique-autoconf-addr enable
end
next
end

wan1がRAで取得したv6アドレスにinternalのPC,Androidからはping通るけど
iphoneからは通らないのがそもそもの問題な気がしてきた。
0837anonymous@fusianasan2022/06/27(月) 17:31:09.77ID:6lJlu2iS
教えてください。
FortigateでSSL-VPNのサーバ証明書をFortigateのWebGUIのLetsEncryptから生成出来ると思います。
この証明書は3ヶ月で期限切れになりますが、自動更新は出来るのでしょうか?
同一ドメイン作成はできないようなので、自動更新ができない場合、一旦既存の証明書を削除して作り直しするしかなさそうですが。。
08388342022/06/27(月) 19:45:32.49ID:5Y8wE/h6
分かった事はiPhoneからFortiGate 60Eのwan1のv6アドレスに一度pingを実行すれば、外にあるWebサーバのv6アドレス宛にもpingが届きHTTPアクセスもOKでv6アドレスがApacheのログに記録される。
しかし、iPhoneのWi-Fiを一度OFFにして再度ONにした後にiPhoneが新しいv6アドレスを取得するとまたping NGになる。
で、またFortiGate 60Eのwan1にpingを実行した後にはまた疎通OKになるというループ。

何かND-Proxyの動きがおかしいようなルートがおかしいような。
でもこんな動きするのiPhoneだけだしなぁ。

FortiGateに設定しているStatic routeはDS-Lite向けのipv4のvne.rootトンネル向けだけであり、ipv6のStatic routeは未設定。
でもFortiGate自身やiPhone以外は問題が出ていないという状況です。
0839anonymous@fusianasan2022/06/27(月) 20:04:37.79ID:???
プライベートアドレスにしていてMACアドレス変わったけどネイバーテーブルが更新されてないとかあるのかも
まわりの状況だけだと判断つかないので、デバッグログ取ったりパケットキャプチャ取ったりしてご自身でログを確認されることをおすすめします
0840anonymous@fusianasan2022/06/27(月) 21:19:44.13ID:???
なんか無能ってログ見ないよなあ
0841anonymous@fusianasan2022/06/27(月) 21:38:54.66ID:???
>>838
騙されたと思ってiPhoneのWi-Fi設定のプライベートWi-FiアドレスをOFFにしてみるのだ
08428342022/06/28(火) 10:01:42.69ID:utqQV6JZ
iPhoneのプライベートWi-FiをOFFった状態でも上記と全く同じ現象でした。
疎通NGの際のログには発信は数バイトあるけど着信は0バイトという現象。

キャプチャは取って中身見てみたけどAndroidとは違う流れになっている事は分かったもののもう少し時間かけて調べてみます。
08438372022/06/28(火) 11:31:29.63ID:Pi3bkKB4
>>837
なんか今日見たら更新されてました。
勝手に自動更新になるんですかね。。
08458372022/06/29(水) 10:58:24.60ID:LzIvgFYO
>>844
なるほど。
設定はコマンドでは無くGUIで設定しその時は証明署名・ドメイン(FQDN)、メールの入力だけで自動プロビジョニングが
開始されたのでACMEは意識してませんでしたが、たしかにconfig上では設定されてました。
ウィザードで設定すると勝手にWAN側ポートを認識しACMEポートとして設定されて、期間が近づいたら自動で更新される
ようになっているようですね。
ありがとうございます。
0846anonymous@fusianasan2022/07/03(日) 17:36:13.68ID:???
スレチで申し訳ないのですが、専用スレがなかったためこちらで訊かせてください。
接続はWindows機一台のみで、パロアルトのPA-200の中古を検討しているのですが、データシートを読むと
FWスループット100Mbps、脅威防御スループット50Mbps、新規セッション1000/sとありました。

Windows機は、ガッツリ帯域を食うようなことはしていません。
一台のみの接続台数であれば、この機種でまかなえるでしょうか?
0847anonymous@fusianasan2022/07/03(日) 20:21:32.89ID:bNEsXoAp
>>846
パロの中古なんて買ってまともに動くの?保守なしアプデなしでしょ?
0849anonymous@fusianasan2022/07/03(日) 20:59:07.02ID:???
FotiOSを7.0.5から7.0.6に上げると、explicit proxy経由で@Niftyメールなど一部のWebサイトにアクセスできなくなるな

障害報告上げようかと思ったけど、めんどくせ…
0850anonymous@fusianasan2022/07/03(日) 21:22:40.90ID:???
>>848
高すぎる
200系はGUI動かすのすら苦労するし、今は検証用にしか使えない性能
ヤフオクで買うなら送料込みで3000円が限界
0851anonymous@fusianasan2022/07/03(日) 21:30:23.92ID:???
>>850
そうなんですか…PC1台だけならそれほど重くならないはずと思っていたのですが、
厳しいかぁ。

ちなみに、GUIを動かすのが苦労するというのは設定が複雑すぎるということでしょうか?
Fortigateより煩雑なら選択肢から外した方がいいかもしれませんね
0852anonymous@fusianasan2022/07/03(日) 22:35:10.53ID:???
2011年11月発売の機種でパフォーマンスも今の時代からすると低すぎる
無料でも要らないかな
0853anonymous@fusianasan2022/07/03(日) 22:44:14.02ID:???
それほど低機能なのに、ヤフオクに出したら13000円となると、やはり元の定価が非常に高いからなんでしょうね。
ありがとうございましたm(_ _ )m
0854anonymous@fusianasan2022/07/06(水) 10:00:53.29ID:DAqWYIBs
IPsecで冗長化か考えてた人はSD-WANメンバーにWANもVPNインターフェイスも突っ込んで
SD-WANポリシー書いてあげたら幸せになれるよ。
リンクモニターするためにVPNにアドレス振ってあげてね。ping許可も。
0855兵隊。2022/07/07(木) 19:16:23.58ID:KCvTdPqO
FortiGateを最近業務で触り始めたんだけど、やれることが多くてどこから突っ込んで勉強したら
ええのや・・・

ちょうど話題に出てる,SD-WAN,IPSECやらをからめた構成で検証してみるのがよいですかね?
これ検証したらいい勉強になるぜ。 みたいなのがあれば、教えてほしい。
0857anonymous@fusianasan2022/07/09(土) 15:17:35.50ID:???
英語読めないんで日本語でいいやつないですか?
0858anonymous@fusianasan2022/07/09(土) 16:15:32.48ID:???
fori社監修の本が出てるから、それがいいんじゃん。日本語だし。
0860anonymous@fusianasan2022/07/17(日) 10:18:50.46ID:???
FG-50Eを6.2.10→6.2.11にGUIで上げたらGUI接続出来なくなった。
ssh出来るけど443は外から叩いてもcloseになってる
cliでrestore imageで6.2.10に戻しても状況変わらなかったんだけど思いつく事などあります?
0861anonymous@fusianasan2022/07/17(日) 11:41:38.63ID:???
管理者接続のポート番号変わっちゃったとか?まぁ普通に考えたら有りえないんだけども。
0862anonymous@fusianasan2022/07/17(日) 17:47:24.72ID:???
わからんけどexecute factoryresetで初期化してみたら
0863anonymous@fusianasan2022/07/17(日) 21:02:32.80ID:bILzoiN3
リリースノートも見てみたけど、そんなバグものってないね。
てか、Frotiのリリースノートのいけてなさは半端ない。
トリガーとか書いてないから、どういう意味ですか? とか問い合わせきても、こっちも書いてある以上の
事は分からないんだけど。

https://docs.fortinet.com/document/fortigate/6.2.11/fortios-release-notes/236526/known-issues
0864anonymous@fusianasan2022/07/18(月) 00:53:34.14ID:???
>>860
コマンド叩けるなら接続インターフェースの管理のhttpsを開けたらいいのではないかな?
0865anonymous@fusianasan2022/07/18(月) 04:38:27.06ID:fPxOjV2Q
>>860
コンフィグ取得してみてDIFFしたら違い出てないか?
結構変わっちゃうぞFortiは
0866anonymous@fusianasan2022/07/18(月) 15:59:49.40ID:???
>>860
普通に考えるとマイナーバージョンのファームウェアアップデートが原因とは考えにくい。

ほかの要素をあたるべき。
もちろん100%ないとは言い切れない。
0867anonymous@fusianasan2022/07/18(月) 16:17:46.52ID:???
>>860
config system global
set admin-server-sert "”
になってない?ファームウェアをアップグレードしたときに指定されたいたものが外れていたときがあった
0868p2022/07/18(月) 18:03:41.63ID:???
ストレージ溢れるとかってバグだろw
最適化ってなんやねん
FortiGate 30E and 50E flash card space optimization
0869anonymous@fusianasan2022/07/18(月) 23:34:13.43ID:???
ローカルストレージが小さいモデルの制限
0870anonymous@fusianasan2022/08/02(火) 21:39:40.47ID:???
>>866
普通に考えてもダメな時の前科多すぎるからなあ
0871anonymous@fusianasan2022/08/03(水) 08:53:10.73ID:???
バージョンダウンの時はConfigも元のバックアップに戻さないと確か正常復元の保証無いよね

今のGUIからのアップデートだと自動的にバックアップ取らされる仕組みだったと思うけれど無視して未保存だったら知らんが
0872anonymous@fusianasan2022/08/04(木) 14:33:27.01ID:RtL51HNy
EメールフィルタでIMAPとPOP3だけ検証したいのですがいい方法ないでしょうか?
SMTP検証はサイト見つけたんですが…
Gmailのサーバで試したもののPOP3Sだったので検知せず。POPサーバ建てるしかないですかね…
0873anonymous@fusianasan2022/08/04(木) 15:48:56.01ID:???
BJDとかでサクッとたてればいいんでは?
0874anonymous@fusianasan2022/08/04(木) 23:16:36.47ID:lY325otV
>>873
ありがとうございます、BJDは使ったことないので試してみます!
0877anonymous@fusianasan2022/08/08(月) 23:34:23.58ID:???
Winproxyって名前だったけど同名のソフトあったから変えたんだよな
0879anonymous@fusianasan2022/08/10(水) 13:18:47.75ID:???
誰かFortiOS7.2.1をアップしてくれんやろかー
0882anonymous@fusianasan2022/08/22(月) 16:18:46.88ID:ipoiGtzg
IPoE2回線でのSD-WAN構成について解説しているサイトや情報ご存じないですか?
少なくとも片方はVDOMで分けて設定が必要かと思いますが、SCSKに問い合わせても事例が無いので回答できないと言われまして...
0883anonymous@fusianasan2022/08/23(火) 16:39:12.84ID:???
あそこはわからないことが多いよ
他社が公開してくれている使い方でも自励がない、出来ないと言われたこともある
0884anonymous@fusianasan2022/08/23(火) 16:43:43.76ID:???
書き忘れた
今聞いてるのはサボート窓口だよな?しつこく聞くと「修理対応とか動いていた設定が動かないときの窓口です。新規の設定はサポートしていません」と言われたこともある
購入した代理店?経由で営業に聞いてもらうと情報をもらえることもあった
fortigateはどこのサポートも同じかもしれないけどな
0885anonymous@fusianasan2022/08/23(火) 19:31:12.20ID:???
新規の設定は構築として請け負うものだからね
0886anonymous@fusianasan2022/08/23(火) 20:37:15.98ID:???
>>882

v6 のI/F 毎にVDOM 分けて、VDOM link で root vdomに繋げて
root VDOM から VDOM link 経由の v6 tunnel を作る

それぞれをsdwan でまとめる。って感じで多分いけるかと
0887anonymous@fusianasan2022/08/23(火) 20:40:28.06ID:???
あ、tunnel はそれぞれのVDOM からになるのかな?
環境があるならまずやってみて欲しい
0889anonymous@fusianasan2022/08/24(水) 00:16:22.41ID:???
ipoeトンネルIFになるvne.rootがvdom1つにつき1つまでだからvdom分けは必須かと。
ただrootvdomじゃないと固定v4アドレスが降ってこなかった記憶があります。
vneトンネルがvdom単位で作成できれば可能性はあるかなぁ。
0890anonymous@fusianasan2022/08/24(水) 02:59:12.08ID:???
過去レス見るとvdom単位のvneはダメっぽそうですね。
>>383
>>384

ファームが上がって出来るようになってる可能性があるかもしれませんが。
0891anonymous@fusianasan2022/08/24(水) 19:06:20.50ID:???
>>882
>>886の方法で可能かと

VDOM分ける理由はvne-tunnelがVDOMに一つなのと、RA/RSでIPv6 prefixもらうインターフェースはVDOMで一個にする必要があるためですね
RA/RSでIPv6 prefixをもらうと、そのインターフェースのnexthopのNGNエッジルータが自動でIPv6のデフォルトルートになるので、
同一のルーティングテーブルで2箇所からRA/RSでIPv6 prefixもらってしまうと、2つのIPv6デフォルトルートできてしまい
それらを明示的に使い分けるのが困難なためです

他メーカの製品でもそのあたりは同じかと
0893anonymous@fusianasan2022/08/24(水) 21:03:15.01ID:???
IPoEの意味も知らんぽいどしろうとの相手なんかできないだろ
文字通りIPがイーサに載ること
こんだけIPoE一色になるまえにL3,L2プロトコルが色々乱立覇権争いしてた頃
40年位前に特定の組み合わせを示すのにできた言葉
0894anonymous@fusianasan2022/08/26(金) 04:57:09.97ID:Qsa9HB2X
すみません、FortigateのVPNについて教えてください。
この度、外部からVPNで社内に接続する方法について検討しています。
その方法として、L2TP/IPsecを用いた接続(こちらの方がOS標準機能で実現可能なので望ましい)か
FortiClientを用いたIPsec接続のどちらかを考えています。
その際、認証アカウント単位でアクセス権と言いますかポリシー制御をかけたいのですが
見方が悪いのかそのような設定箇所が見当たりませんでした。
もしかして上記2つの接続方法では、認証アカウント単位での制御はできないのでしょうか?
初歩的な質問で申し訳ございませんが、ご教示いただけますと幸いです。
0895anonymous@fusianasan2022/08/26(金) 10:20:38.81ID:???
>>894
ユーザグループ毎にVPNを作成してVPNにIPv4ポリシー書けばできそうですね。

https://milestone-of-se.nesuke.com/product/fortigate/secure-ipsec-vpn-config-sample/

ユーザ単位(認証アカウント単位)にしたい場合、ユーザとユーザグループを1対1で設定する 事になりそうですが
規模によっては設定上の上限値を考慮しないと破綻するので購入前なら 代理店に問い合わせた方が良いかと。
0896anonymous@fusianasan2022/08/26(金) 10:35:57.52ID:???
>>885
それ言うと変更も構築で請け負う物だし
障害対応だって請け負うものだし
保守の対応範囲が明確に書ききれないだろうけどハード故障とファーム提供だと思って
後は担当者の気分と知識次第かな
0897anonymous@fusianasan2022/08/26(金) 11:44:20.74ID:???
>>895
ありがとうございます。
ユーザーグループを分けて設定というのには目から鱗でした。

元々は社員のみが使うリモートワーク用にと思い発案したのですが、各システムベンダーの保守担当から
メンテナンス用にリモート環境が欲しいとの要望があったことを思い出し、この際一緒にやるかとの流れになりまして。
ただベンダーを信頼しているとはいえ、万が一の事故発生時に他社に対してもフリーアクセスな環境を
与えていたとなると問題になるなぁと怖くなり、なんとか制御する方法があればいいなと考えていた次第です。

当社で使用しているFortigate40Fはトランスペアレントモード(もちろんルーターからIPsecパススルーでFortigateに渡すつもりです)
で動作しているため、ご教示いただいたページの構成とは異なりますが、loopback云々は飛ばして
読み替えていけば実現できそうな気がしてきました。
グループ分けは社員用と各ベンダー用(2社)の計3グループに分けられそうなので、現実的な範囲でできそうです。
クライアントを別途インストールする必要がありますが、社員向けにはこれから具体的な話を進める予定ですので
少しだけ手間かかるよ、ぐらいの話で済みますし、ベンダーについてはクライアント使ってね!で大丈夫だと思います。
0898anonymous@fusianasan2022/08/26(金) 11:44:34.53ID:???
なお前職がFotigateを取り扱う職種(既知の通り雑魚クラスですが)で、2年前に現職に転職したのですが
代理店(設置導入業者)はメンテナンス費用を別途払ってるのに、前機種については5年間一度も点検や
ファーム更新の対応をしたことがなく、今回の40Fも全ての通信に対してアンチウイルス、webフィルタ(デフォルト)、IPS
を適用というただUTMを挟んでるだけのザル設定に20万請求されたり
今回の設定変更(社員のみの簡単な方)に30万とか言ってくるなど不信感しかないため、知識に乏しいのかあまり頼りたくなく
今回adminのパスワードを寄越せと依頼しまして自力解決を目指していましたが、こちらで知恵を拝借する形となり申し訳ございません。
なお最終的に出来上がったコンフィグは、業者にも渡す予定です。
すみません、後半はかなりグダグダにグチですね……金額もそれが相場なのかもしれませんし……

9月の中頃には設定変更を行う予定ですので、不要かもしれませんがまた結果等ご報告いたします。
この度は本当にありがとうございました。
0899anonymous@fusianasan2022/08/26(金) 12:53:06.05ID:???
>>898
自力でできないのにそれを高いとうのは?
言いたいことはわかるけど
0900anonymous@fusianasan2022/08/26(金) 13:00:14.62ID:???
どの程度の金額を希望なのかな?
1万とか2万でやってくれるところがあれば発注したい
0901anonymous@fusianasan2022/08/26(金) 13:27:57.00ID:???
知識が乏しいかもしれない業者に、自分で触ったコンフィグ渡して面倒見てもらえると思うのかい?
0902anonymous@fusianasan2022/08/26(金) 13:44:38.30ID:???
>>899
普通のL2TP/IPsec、あるいは普通にFortiClientを利用したIPsecなら、私のようなボンクラでも余裕で設定ぐらいはできました。
ただメンテナンスもお願いしている手前、業者に依頼したらそんな金額で……
それなら自分でやるわ!になった次第ですが、その後にユーザー別の制御をかけたいと思うようになって
一気にハードルが上がってしまいました。
上で紹介していただいた方法を思い付かなかった想像力、応用力がなかった自分の能力不足ですが……

まぁリスクや後からの微細な仕様変更への対応、人件費含めると、適正価格というのは一体どれぐらいなのかな?
と疑問に思ったりもします。

>>900
なもんで、適正がどれぐらいなのか判断つきにくいですが、私の肌感覚としてネットで軽く調べただけで多くの事例がヒットする
かつ複雑でもなんでもないそんな内容であれば5万もあれば十分かと思ったりします。←例えば簡単な方のL2TPとか
適正価格が本当に分からないですけどね。

>>901
一応、コンフィグ送ってくれてたら何かあった時は私が例えば死んだ後とかに対応する旨返答は頂いてますが
実際面倒見てくれるかは分からないですね。
そう考えると、企業にとってみたら30万(ユーザー制御になるともっと高額?)浮いたように見えるも
結果マイナスになるのかもしれません。


私の一方的なグチで皆様にも多大なる不快感を与えてしまってましたら本当に申し訳ございません。
0903anonymous@fusianasan2022/08/26(金) 13:45:52.01ID:???
どんな契約か?だろ
オンサイト保守ならconfig渡しておけば故障時に設定入れてくれる
という業者もあった
標準サービスだと
点検やファームアップ作業はないだろうな
個別保守契約でもしないとやってくれないだろうな
とは思う
0904anonymous@fusianasan2022/08/26(金) 14:53:32.19ID:???
とはいえ、管理者アカウントを人質に取ったままEOSまでファーム更新無しは流石にどうかと思うわ
0905anonymous@fusianasan2022/08/26(金) 19:13:06.27ID:???
すげーな
契約していない作業もやってくれるのか?
ぜひうちの設定もお願いしたい
0906anonymous@fusianasan2022/08/26(金) 22:58:59.64ID:???
898に依頼すれば出し値5万でやってくれるのか
めんどくさいクソ客の依頼投げたいから連絡先教えてよ
0907anonymous@fusianasan2022/08/27(土) 02:02:52.48ID:???
>>902
どういった想定作業の5万なのでしょうか?


不特定のグローバルアドレスからの外部接続を許可するのであればペネトレーションテストはしない想定ですか?
間違って穴が空いててもわかりません。

リモートアクセスのログは取らない想定ですか?
身に覚えないリモート接続があってもわかりません。

2要素認証はしない想定ですか?
ユーザーとIPSECのパスワードを知っている人が会社を辞めた場合、私物PCから接続できてしまいます。パスワードを変えるなり対応が必要です。

また、要件に無いのかもしれませんが、リモートで同時接続の負荷試験はしないのですか?
実際使ってみたら使いものにならないくらい通信が遅くなるかもしれません。


外部に穴を空けるのはそれなりにリスクのある作業だと思います。

リスクが取れるならご自身で設定されるのはありだと思いますが、ただ後々大変な事になっても自己責任になります。
0908anonymous@fusianasan2022/08/27(土) 03:12:26.15ID:???
この手の話って基本的にお金で解決するんですよね
0909anonymous@fusianasan2022/08/27(土) 07:59:39.08ID:???
>>906
マジそれな。
これを5万でやってくれるなら起業すりゃ商売繁盛じゃね。
誰かさんのように、何言っても高ぇ高ぇしか言わない客多いからな(笑
0910anonymous@fusianasan2022/08/27(土) 12:04:00.37ID:i1SbaeJx
>>908
客に、金と時間かければ誰だって出来んだよ!って怒鳴られたわ。
まあ確かにそうだなと思ったけど。
0911anonymous@fusianasan2022/08/27(土) 12:12:06.52ID:???
多少金払いが良くても手離れが悪い/ガラが悪い客は敬遠される
0912anonymous@fusianasan2022/08/28(日) 00:34:16.68ID:???
>>910
「だったら、お金と時間かけてやってください」で終了なんですよね
そのセリフはお金を払わない人がよく言います
0913anonymous@fusianasan2022/08/28(日) 17:50:01.27ID:???
書いてるじゃん
ネットで事例があるような設定して5万だよ
肌感覚として間違いないよ
0914anonymous@fusianasan2022/08/28(日) 20:57:33.90ID:???
まぁここはお金もらう側の業者も多いだろうしな
あれやこれやとリスクだのコストだの綺麗事抜かしてるけど
実際のところネット事例集そのまま丸パクリで何十万も金取る業者もいるからな
もちろんここの住人は都会でそれなりの規模の客先に出入りしている業者だと思うから価格に見合った仕事してるだろうけど
俺の住む鳥取市は、知ってるだけでもかなりいい加減な作業で費用だけは一流並みに請求する業者が少なくとも4社はある
0915anonymous@fusianasan2022/08/28(日) 21:47:28.32ID:???
何でまともな業者に頼まないのか
0916anonymous@fusianasan2022/08/28(日) 22:56:15.48ID:???
IT業者のぐるなび的なクチコミサイトって有ったりする?
NDAに激しく抵触しそうだけど。
0917anonymous@fusianasan2022/08/28(日) 23:58:07.11ID:???
>>914
言いたいことは分かるよw
例えば例に挙げてゴメンだけど>>907とか、さぞ立派なこと言っているようで実は大したことがないw
間違って穴が?今回の話に合わせると、FortigateにIPsecの設定を施したら他にも釣られて関係ないポートが開いちゃうものなの?
リモートアクセスログなんて、普通Syslogで代用できるしwみんなもフルで取ってるでしょ?
2要素認証なんて、それこそいくらでも事例がヒットする内容なのに、さも特別感装いやがってw
あと退職した人?そいつのユーザーアカウント削除すれば良いだけだし、そもそも2要素認証していればなんの問題もない罠w
まあこんなもんよ
小難しい御託並べても、それはど素人になら通用する詭弁なことが多いよね
0918anonymous@fusianasan2022/08/29(月) 00:36:40.74ID:???
>>916
あそこの業者はボッタクリだ!とか、契約にないことは一切してくれない!とかの一方的な悪口コミを、NDAに抵触だ!と言われても困っちゃう。
09198952022/08/29(月) 01:59:51.66ID:???
立場によって色々な意見はあるとは思いますが、ここ以外に日本語でFortinet製品の情報を日本語でやり取りできる
コミュニティみたいなものはあった方が良い気がしますね。

Fortinet Japanの中の人がここを見ているかわかりませんが、日本語が使えるコミュニティサイトを作るのは難しんですかね。
0920anonymous@fusianasan2022/08/29(月) 02:30:07.74ID:???
自分たちではやる気ないよ
各代理店?がやるくらいかな
09218952022/08/29(月) 02:47:39.08ID:???
なるほど。
私は今となっては仕事では全く関係ないのですが、10数年前にFortinetには元々ciscoにいた人が多いと聞いていて
ciscoやVMwareのようにユーザの自助努力である程度解決できるようなKBなりコミュニティなりを醸成されていくものと
思っていましたが、認識違いでしたかね。
0922anonymous@fusianasan2022/08/29(月) 05:57:36.53ID:???
シスコがそういうコミュニティ発展できたのってほぼ一強だったからだし
0923anonymous@fusianasan2022/08/29(月) 23:18:39.33ID:???
適正価格って、請け負って儲けが出る価格じゃないのか?

config流するだけなら5万でも妥当かもしれんが動作保証なんてしてくれんけど。
0924anonymous@fusianasan2022/08/29(月) 23:36:58.84ID:???
自分で出来るようなことなら自分でやればいいだけなのに
何故か人にやってもらう話になってて金額云々の話になってるのが謎
0925anonymous@fusianasan2022/08/30(火) 07:21:57.99ID:???
世の中コンフィグ流すだけとかすら出来ない連中ばっかなんですよ……
コンフィグ流せたら上等よ……
0926anonymous@fusianasan2022/08/30(火) 08:40:00.28ID:???
この業界単価がどう?というのはあるだろうが
5万じゃ1日もかけられない
って所多いだろうな
実作業だけではなく、受注前の要件確認、見積から始まり各種の資料作成とフォロー
場合によっては事前検証
正直短時間度終わる仕事ってそれ以外のことが多くて受けたくないな
他の案件とからめてほしいわ
0927anonymous@fusianasan2022/08/31(水) 19:53:52.16ID:???
パラシとか手順書とか見ないのに要求されるの草
クラウドの手順書なんて納めた頃には変わってるw
0928anonymous@fusianasan2022/08/31(水) 20:01:23.34ID:qhe8M1vb
こっちでやるからちゃちゃっと教えてよ。手順書作ってくれればいいから。作業の予算ないんだよ。
0929anonymous@fusianasan2022/08/31(水) 20:36:59.70ID:???
資料を手順書と読んだのかな?
だとしたら仕事したことのない子供か?
社内手続だけでもかなり有るぞ
自分が作るの以外にもな
会社での仕事ってそんなもんさ
イヤなら趣味で絵やるんだよ
0930anonymous@fusianasan2022/09/01(木) 22:59:42.45ID:???
>>928
しょうがないから、書くけどこれだけだよー?

1. コンソールにadminログイン
2.execute factoryreset
3.y

意外と簡単にできるからやってごらんよ
0931anonymous@fusianasan2022/09/02(金) 00:51:53.67ID:???
面白いと思って書き込んだんやろなぁ
0932anonymous@fusianasan2022/09/02(金) 08:28:20.11ID:DLjL82aX
こいつ絶対仕事できない低脳だな

「コンソールにadminログイン」が分かる連中はそんな罠には引っかからない
本当に引っ掛けたいのなら、素人でも分かるようにシリアル接続ではなくwebログインの仕方詳細や
ブラウザ上からのコンソール起動方法を説明しないとダメだね
あと入力コマンド、これもキチンと書かないといけない
2.とか3.とか、素人はそのまま入力するぞ
0934anonymous@fusianasan2022/09/02(金) 18:31:24.43ID:???
ネタだとしたら寒すぎるので、敢えてマジレスした可能性
0935anonymous@fusianasan2022/09/03(土) 13:35:15.42ID:hACUfT7H
Fortigate使いにくいからYAMAHAのルーターに変えようと思ったけど中古でも高いな
0936anonymous@fusianasan2022/09/03(土) 16:03:28.88ID:???
UTM機能は要らないってことかな?
ルーターとして使うだけなら、fortigateの方が設定楽だと思うけどなぁ
YAMAHAは行き帰り両方フィルター考慮しないといけないし…
各種VPNとか、事例集が多いのはYAMAHAだけどね
そこまでのスペックやIPoEが要らないのならRTX1200の中古オススメ
0937anonymous@fusianasan2022/09/04(日) 01:36:07.62ID:???
もろもろのバグで使いにくいってのならわかる
設定が難しいって話なら?って感じ
0938anonymous@fusianasan2022/09/04(日) 11:23:35.13ID:???
ヤマハの利点はスクリプトで色々できることかな
Fortigateにスクリプトが実装されればと夢見てる
0939anonymous@fusianasan2022/09/04(日) 13:43:30.51ID:hoBEDvGk
Fortigateってファームウェアアップするとひきつがれないconfigとか
パフォーマンスに影響があったりと客先で使いづらくない?
YAMAHAも同じかなぁ。
0940anonymous@fusianasan2022/09/06(火) 20:02:05.25ID:???
ちゃんとConfigは引き継ぐぞ
RTX1200は遅いから個人ならば830が良いよ
VPNはYAMAHAよりもSynologyのWifiルーターの方がSSL-VPNも使えて便利
0941anonymous@fusianasan2022/09/07(水) 07:37:03.87ID:???
指定されたパスに従ってアップグレードしてないとか
0942anonymous@fusianasan2022/09/07(水) 09:46:05.29ID:???
RTX1200ですら遅いと言われる時代になったか…
まぁ確かに10年以上前の製品だし、これも時代の流れか
0943小心者2022/09/10(土) 00:37:55.69ID:Vv/PT3Le
お客さんからの問い合わせに対して、FORTINET DOCUMENTS LIBRARYに記載があるから、これは仕様と存じます。 

って回答しても、本当に仕様なんですか? と聞き返されると、凄い不安になってしまいます。
皆さんも不安になりますでしょうか?
私が小心者なのでしょうかね。自信が無く、寝れない日が続いています。
0944anonymous@fusianasan2022/09/10(土) 13:00:49.52ID:h1Y8dg2a
そういうときは、サポートに問い合わせて裏を取ればいいんだよ。
サポートが言ってますってのは常套手段。
サポートが間違えりゃ、サポートの責にできる。
0945anonymous@fusianasan2022/09/10(土) 14:04:28.99ID:???
>>943
技術者は小心者しゃねーと信用出来ねーよ。
本当に合ってるか何度も違う角度から検証すんだよ。
自信家はエンジニア辞めろ。
あ、IQ低いほど自信家らしいよ。
0947anonymous@fusianasan2022/09/11(日) 00:18:56.17ID:???
>>944
おまえ何もできん人間だな
メーカサポートが言ってました
なんて仕事で通用するなら、高校生バイトと一緒だろ

エンジニアなら自分で検証して確認したデータだすまでが仕事だろ
0948anonymous@fusianasan2022/09/11(日) 02:44:59.45ID:???
ドキュメントを根拠に仕様を説明しても疑われているという話で、検証して権威付けは無理があるのでは。

自分の不安感を取り除くために検証するのは悪くはないかもしれないけど、検証してドキュメント通りの動きに
なったから仕様と言われても検証する前からドキュメント通りの動きだし答えになっていないよね。

944のサポートに問い合わせて裏取りが最善に思えるけど、>>943はこんな所で聞かずに職場の上司や同僚に
相談すべき内容だと思うよ。
0949anonymous@fusianasan2022/09/11(日) 03:29:10.97ID:???
ドキュメントに記載があって動作もその通りならそういう仕様と言い切ってOKですよ
0950anonymous@fusianasan2022/09/11(日) 09:53:18.64ID:???
仕様がそうだから今のままではできません。なのでこうします

を考えるのがSEの仕事なのでは??
0951anonymous@fusianasan2022/09/11(日) 12:45:03.08ID:???
Public に公開してるドキュメントの通りの挙動をしてる状態で、「それは仕様通りの挙動ですか?」と問われたら、「大丈夫?」と心配するレベルですね。

具体的に気になってるところを聞いてみては?客の疑問は別のところにあるんじゃない?

その機能を使いたいが、今後変わったら困るとか。まぁ未来のことなんて誰も分からんから、このケースだとさらに困るけどね。
0952anonymous@fusianasan2022/09/11(日) 13:24:03.17ID:???
>>943
信用されていないだけ?
過去のやり取りで信頼感0なんだろう
0953小心者2022/09/11(日) 15:48:46.23ID:by8/bSNc
皆さん
色々とアドバイス頂きましてありがとうございます。

弊職はサポート側の業務もしており、
Fortinet社へ問い合わせすることも可能ではありますが、ドキュメントに記載があり、解釈が不安な点はラボでも検証をしてはいるのですが、自分で仕様だと言い切る自信を持てず悩んでおりました。

検証もしてはおりますので、もう少し自分に自信をもてるように、精進していこうと思います。
0954anonymous@fusianasan2022/09/13(火) 01:20:17.61ID:a08vytbx
upgrade pathのプルダウン何にも選べないんだけど俺だけ?
0955anonymous@fusianasan2022/09/13(火) 09:25:02.29ID:PKf+YU0a
今日開いたら直ってたわ
0956anonymous@fusianasan2022/09/16(金) 09:54:24.76ID:???
fortigateのトラフィックシェーピングって制度は結構いい加減なんですかね?
0958anonymous@fusianasan2022/09/16(金) 21:25:16.78ID:R0Le4TWH
FGTのQOSはオマケみたいなものと捉えています。
ルータじゃなくて、しょせんFWですので。

なにを勘違いしてか、FGTでOQS実装されているからといって、Ciscoルータみたいにがっつり
使えると思われてしまうのが、しんどいですわ。
0959anonymous@fusianasan2022/09/16(金) 23:36:34.50ID:???
FGTでQOSの精度を求められるって、どんな案件なんだ?モデル何入れるん?
0960anonymous@fusianasan2022/09/16(金) 23:54:55.91ID:???
QoSの精度とか求めるならCiscoの高いルータ(ASR1k以上とか?)使ってくださいですかね
0961anonymous@fusianasan2022/09/17(土) 04:31:17.69ID:???
細い閉域網を使うためにQoS云々って話はいまだにありますね
信頼性云々で閉域網が好まれることはあるけど、逼迫して特定のトラフィクだけ救えても
どのみち業務に支障がでるんですよね
ご家庭用でも10Gbpsが来てる時代にQoSって必要なんかなとは思います
0962anonymous@fusianasan2022/09/17(土) 09:25:33.28ID:???
Fortigateはおまけ機能の詰め合わせで成ってる製品
0963anonymous@fusianasan2022/09/17(土) 09:44:50.31ID:???
使えない機能ならつけなくて結構
宣伝だけして使えませんって詐欺じゃん
0964anonymous@fusianasan2022/09/17(土) 10:40:21.48ID:???
何千人もいるのにベストエフォート1Gbp一本しか引かないでいつも回線パンパンなんだけど、シェーピングすればうまくいくって信じ込んでうまくいかなくて精度が悪いフォーティのせいみたいなのは何度も見た
0965anonymous@fusianasan2022/09/17(土) 12:39:48.34ID:fU617t+t
法人だと回線を簡単には変えられないだろうから難しいよね
帯域保証になると値段が跳ね上がるしなぁ
0966anonymous@fusianasan2022/09/17(土) 14:13:28.34ID:???
ベストエフォート1G一本しか引かないって見た事ないなぁ
そんな契約回線を複数企業で使うプランあると思えないし単体企業だったとしてもそんな1G回線が逼迫するほど色んなサービス引くかね、、、
0967anonymous@fusianasan2022/09/17(土) 14:56:10.23ID:???
ギャランティ100Mbpsで足りなくて困ってるからベストエフォート1Gbps敷設してそっちに逃がす的なのは時々聞くかな
そのギャランティ要らんやろ、とは思う

>>963
使えるけど利用者が高いルータと同等の精度を出せるって思ってるからな
大体、普通の通信って増減が都度あるから精度にこだわっても仕方ないんだけど
0968anonymous@fusianasan2022/09/17(土) 22:46:40.19ID:d1nrEsN/
スループットの考え方について質問させてください。

例えばFGT-60Fなのですが、ファイアウォールスループット(1518 udp) 10Gbpsとデータシートに記載されてます。

60Fって、インターフェイスが1G×10ポート搭載であり、10Gのポートを搭載してないです。
この10Gbpsというのは、1G×10ポートでLAGを組んで測定してると推測してるのですが、考え方はあってますでしょうか?
また、上り・下りの両方合計で10Gbpsと理解しています。

https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/ja_jp/fortinet-ProductMatrix.pdf

お客様環境でアップリンク(インターネット回線収容)を1G×1ポートで接続した場合は、Maxで1Gbpsしか出ないと理解しております。
(契約してる回線帯域が、仮に100Mbpsでしたら、MAX100Mbps)
0969anonymous@fusianasan2022/09/18(日) 00:26:10.96ID:???
LAGってリンクアグリゲーション?
リンクアグリゲーションじゃなくても
各ポートが10個の独立したゾーンであれば
それぞれのポート(ゾーン)間の通信の送信と受信を足して最大で10Gbpsまで出るスペックですよ。
ってことじゃないかなぁ?
その類のスペックは実運用にはほぼ参考にならんと思うけど。
0970名無し2022/09/18(日) 00:38:53.25ID:???
>>968
1ポートが1Gbpsなら、全二重通信すると2Gbps換算になるため5ポートかと思います。
0971anonymous@fusianasan2022/09/18(日) 01:32:52.72ID:???
ファイアーウォールの処理速度とインターフェースの転送速度は別物
0972anonymous@fusianasan2022/09/18(日) 04:15:45.89ID:???
なお実際は10Gbpsなんてただの理論値であって、精々その1/5ぐらい出れば良いぐらい
0973anonymous@fusianasan2022/09/19(月) 11:02:29.05ID:kT+wlHtt
>969
ありがとうございます。
リンクアグリゲーションを想定していました。
データシートのスループット表記は、上り・下り合計で最大10Gbpsであると理解しました。

>970
ありがとうございます。理解できました。
0974anonymous@fusianasan2022/10/12(水) 23:04:05.00ID:Hk2ceGZN
これは、大事かな。

Fortinet製FortiOS、FortiProxyおよびFortiSwitchManagerの認証バイパスの脆弱性(CVE-2022-40684)に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220025.html
0975anonymous@fusianasan2022/10/13(木) 00:33:38.00ID:???
外部に管理インターフェイスなんて公開しないから問題ないだろ?
社内にスーパーハッカーいるなら知らんけど。
0976anonymous@fusianasan2022/10/13(木) 02:28:14.96ID:g1xJxd/P
公開するつもりはなくとも公開していたとかはあるだろ。
デフォルトは、adminへのip制限はいってないでしょ。
0977anonymous@fusianasan2022/10/13(木) 07:10:42.82ID:???
>>976
そんな奴は今回の脆弱性無くても大問題だろww
0978anonymous@fusianasan2022/10/13(木) 12:34:21.67ID:Wf0pmq9R
SSL-VPNで443 開けててバイパスされるとやだな。
0979anonymous@fusianasan2022/10/13(木) 14:20:02.46ID:???
>>978
SSL-VPNのhttpsページは管理インターフェースではないので今回の対象ではないよ
0980anonymous@fusianasan2022/10/14(金) 21:30:15.21ID:FgCOEImN
これ、うちでもざわついてるわ
FortiSwitchManager って、FortiSwitchとFortiManagerを間違えてるとおもったけど、
こんな製品あるんだね・・・・ 

おびっくり。
0982anonymous@fusianasan2022/10/15(土) 19:00:51.12ID:JpUN4ttv
SD-WANについて、相談です。
FortiGateは、デフォルトだと出力IFと入力IFが異なる非対称通信はDropしますが、
SD-WANゾーンで束ねているIFに関しても、同じ動作になるのでしょうかね。

SD-WANで収容しているIFがインターネット回線であれば、BGPの世界でISPごとに広報している
グローバルIPが違うので、出力/入力IFが異なるケースは基本ないと考えています。

しかし、広域イーサネットなどの回線を収容していて、対抗のFortiGate(DC側)からインターネットに
抜けさせている構成の場合は、DC側FortiGateのルーテイング次第で非対称にもなりえるので、
どうなるか、気になりました。
0983anonymous@fusianasan2022/10/15(土) 21:31:48.33ID:???
DC側Fortiのルーティングで非対称になってるんだったら非対称になるから落とされるだけの話では
相手側が非対称ルーティングに対する対策をしてないんだったらこっちからどうこうする事は出来ない気がするけど
対抗の問題であってこっちの通信に関しては非対称にはならないと思うよ
0984anonymous@fusianasan2022/10/16(日) 22:02:56.32ID:oy5iP4vD
7.0 と7.2系は、7.0.8と7.2.2が出てるね。
0985anonymous@fusianasan2022/10/17(月) 19:07:42.69ID:nQ2oSCit
>>983
DC側のFGTはセッションテーブルみて、戻すので大丈夫でした!!
ありがとうございました!
0986anonymous@fusianasan2022/10/17(月) 23:02:15.30ID:i5w63i5Q
タイムサーバーとNTP同期差せると1分遅れるてる。治らん
0987anonymous@fusianasan2022/10/18(火) 07:30:04.22ID:???
同期先のタイムサーバー変えてみたら?
0988anonymous@fusianasan2022/10/18(火) 07:46:49.08ID:CZXsLgVm
変えたけどだめ
0989anonymous@fusianasan2022/10/18(火) 20:49:51.39ID:???
コンソールでntp status 確認してちゃんと同期取れてるなら他にする事はないかなー
あとntpってズレを徐々にあわせてくからひょっとしたらしばらくほっとくとそのうち合うかもしれないと雑な回答してみる
0990anonymous@fusianasan2022/10/19(水) 03:04:27.51ID:???
何をどう設定してどう確認したとか書かないからただの日記なんですよね
0991anonymous@fusianasan2022/10/20(木) 07:38:19.69ID:xbSuRwU4
すまぬ。
自然になおってた

機種 200E 2台と100F
いずれも 7.0.6
タイムサーバー fortinet
ntpサーバーとして機能
時刻同期間隔 60分
システム>設定 で表示される時刻
1分遅れ

なので

1.タイムサーバーをプロバイダにかえる
(同期間隔を1分にも変更)
→かわらず

2.時刻同期をやめてマニュアル設定に変更
し正しい時刻をいれる
→表示は1分遅れ変わらず。

3.コマンドで時刻設定
→システム>設定の表示は1分遅れかわらず。

時刻入力枠に正しい時刻が初期値で入っていた
2と3を何回か繰り返したが、変わらずあきらめ

2日後にみたら システム>設定
の表示は正しい時刻になってた。
0992anonymous@fusianasan2022/11/01(火) 16:30:09.58ID:???
これとciscoUmbrellaとどっちがいいのか教えてください
というかそもそも比較する対象なのかどうかもよく分らんです
端末数10台程度の零細企業です
0993anonymous@fusianasan2022/11/01(火) 19:46:41.30ID:???
バッファローのルーターで充分じゃね
0994anonymous@fusianasan2022/11/02(水) 00:05:24.65ID:???
というかそんな小規模とすら呼べないレベルのNWにCiscoのお高い企業向けNWサービスとかアプライアンス導入する意味が分からない
知識もない電気店の店員に騙されて高い商品かわされるジジババじゃないんだから
0995名無し2022/11/02(水) 01:37:36.77ID:???
助成金使うのでは?
0996anonymous@fusianasan2022/11/02(水) 05:19:59.74ID:???
いやいや
大手の取引先からのセキュリティ監査に引っかかってUTMに準ずるものの設置を求められてるのです
これだけじゃなくてドキュメント類のの不備とか他にも指摘事項がてんこ盛りでてんやわんやです
「おたくの規模は関係ない」という認識で迫られてるので参ってます
0997anonymous@fusianasan2022/11/02(水) 06:49:16.48ID:???
そら規模は関係ないわな
どこの何使うかは費用との相談じゃない?
0998anonymous@fusianasan2022/11/02(水) 07:40:34.58ID:???
>>996
そこそこ知識がある専任入れたほうがいいかもしれんね、fw入れるだけですまなそうだし。
0999anonymous@fusianasan2022/11/02(水) 09:20:04.27ID:???
当然のリテラシーを求められて参ってるだの困ってるだの言うレベルの相手と良く取引するなぁその相手先
1000sage2022/11/02(水) 11:19:01.22ID:gyIIxYUe
きちんと、選任の担当者を当てた方が良いでしょうね。
要件もわかりませんし。

要件に合わせた機器選定や設定投入などはお金がかかる話ですし、運用はそれとは別です。
その辺む含めた対策を要求されてるんだと思います


次スレ↓

https://mao.5ch.net/test/read.cgi/network/1667352872/
10011001Over 1000Thread
このスレッドは1000を超えました。
新しいスレッドを立ててください。
life time: 850日 10時間 20分 16秒
10021002Over 1000Thread
5ちゃんねるの運営はプレミアム会員の皆さまに支えられています。
運営にご協力お願いいたします。


───────────────────
《プレミアム会員の主な特典》
★ 5ちゃんねる専用ブラウザからの広告除去
★ 5ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
───────────────────

会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。

▼ プレミアム会員登録はこちら ▼
https://premium.5ch.net/

▼ 浪人ログインはこちら ▼
https://login.5ch.net/login.php
レス数が1000を超えています。これ以上書き込みはできません。

ニューススポーツなんでも実況