X
トップページ通信技術
159コメント76KB
Fortigateについて語ろう6
0001anonymous@fusianasan
垢版 |
2022/11/02(水) 10:34:32.42ID:SrkPhshn
FortiGateシリーズは、ネットワーク全体を総合的に保護するハードウェアベースの
ネットワーク・プロテクション・ゲートウェイ(NPG)です。
Fortinet社独自開発のABACASTM(Accelerated Behavior and Content Analysis System)
テクノロジと独自のASIC(FortiAsic)ベースアーキテクチャを採用した、次世代
ネットワークプロテクション・アプライアンスです。
ファイアウォール、不正侵入、VPN、トラフィックシェーピングなどネットワークレベル
のサービスに加え、ウィルスプロテクションやコンテンツフィルタリングなどの
アプリケーションレベルのサービス機能も搭載しており、効果的にネットワークを保護します。
FortiGateは、4種類のICSA認定取得をしています。
アンチウイルス、ファイアウォール、IPSec、IDS

セールスポイントは非常に魅力的ですばらしいのですが、
非常に個性的な製品ですので、皆さん助け合って安定稼働に努めましょう。

フォーティネットジャパン
http://www.fortinet.co.jp/
FortiProtect Center
http://www.fortinet.com/FortiProtectCenter/

質問する際には必ずFortiGateの機種、FortiOSのバージョン、 ネットワーク構成・環境を報告してください。

Fortigateについて語ろう5
https://mao.5ch.net/test/read.cgi/network/1593878325/
0002anonymous@fusianasan
垢版 |
2022/11/15(火) 04:54:13.01ID:???
アラートメールってSQLインジェクション検知とかDDos攻撃検知とかも知らせてくれるの?
0003anonymous@fusianasan
垢版 |
2022/11/18(金) 16:02:05.55ID:???
PaloAlto PA-220の電源なし動作未確認を買いました。
PA-220が一台あったので電源アダプタをつなぎました。
背面のランプはつきました。でも、全面のPWRも何も、何も。

待てど暮せどランプも点かず…ジャンク品として流すことにしました (T_T)
0004anonymous@fusianasan
垢版 |
2022/11/20(日) 04:18:48.09ID:???
>>2
よく思うんだけど、Dos攻撃知ってどーするの?サービス再開出来る手段とかある?
0005名無し
垢版 |
2022/11/20(日) 11:36:13.87ID:???
Dosポリシーで落ちる前にしきい値で遮断するのでは?
だだ、全ポリシー有効にしてログを出すようにするとアラートメールが止まらなくなる。
0006名無し
垢版 |
2022/11/29(火) 11:59:58.49ID:pKfmugSr
FortiCloudの無償版提供もそろそろ部分的に終わる兆しがあるなぁ。
FortiOSも最新にすれば良い訳ではない。
そもそも定義体があがってなんぼだから。
なので、Upするとベース定義体のタイムスタンプがやばいのよね。
V7.2.x V7.0.xはその辺改善してるけど。
0007anonymous@fusianasan
垢版 |
2022/11/29(火) 12:35:22.38ID:???
OSも定義も最新にしないと
OSバグやセキュリティホールは定義では治らない
0008名無し
垢版 |
2022/11/29(火) 13:53:25.99ID:sK66+3I6
>7
まぁいまだに5.4がいるわけですよ。
6.x系も多いけど。
0011anonymous@fusianasan
垢版 |
2022/12/01(木) 21:12:08.17ID:WZRJF9Vx
FortiSwitchのFortilinkが、いまいちしっくりこない。。。
なんだろう、スタンドアロンで動かせばいいんじゃないかと思ってしまう自分がいる。
0012anonymous@fusianasan
垢版 |
2022/12/03(土) 12:17:07.49ID:???
最新と言っても7.2系入れちゃう奴はバグに苦しんでも自業自得だと思う
0013名無し
垢版 |
2022/12/03(土) 16:26:26.28ID:???
最新のメジャーバージョンは、修正されるまでしばらくお試しですよね。
0014anonymous@fusianasan
垢版 |
2022/12/04(日) 00:17:11.69ID:???
心配しなくても日本の代理店は古くさいバージョンしかサポートしない
0015.
垢版 |
2022/12/04(日) 07:53:32.66ID:???
7.2でmaturity firmware levels入ったから
メインツリーで実験すんのやめたw
0016unknown
垢版 |
2022/12/13(火) 11:13:39.08ID:ZR+35FWb
おいおいおいおい?!!!!!
cve-2022-42475
0017anonymous@fusianasan
垢版 |
2022/12/13(火) 16:15:35.91ID:???
―――こうしてForigateを使用している百数十社の会社の顧客データは盗まれ、
社長は株価ダウンを恐れて隠蔽をし、顧客データは全て密かに中◯に高値で独占売買され、
サイバー部隊の日本人対策用データベースに保存されていくのだった。おわり
0018anonymous@fusianasan
垢版 |
2022/12/13(火) 19:57:10.44ID:vChbwZz9
不具合多くね?
0019anonymous@fusianasan
垢版 |
2022/12/14(水) 08:23:57.51ID:???
公式でSSLVPN機能使ってなければ大丈夫ってアナウンスして欲しいな
0020anonymous@fusianasan
垢版 |
2022/12/14(水) 08:40:12.99ID:???
実は設定をoffにしてもポートが開いていて攻撃を受けるというオチだったりして
0021anonymous@fusianasan
垢版 |
2022/12/14(水) 12:39:54.71ID:9/kq+Y4d
>>19
ソレは書き加えられた
0023anonymous@fusianasan
垢版 |
2022/12/14(水) 14:42:45.83ID:???
こんな危なっかしいVPNじゃなくてIPA純正のシン・テレワークシステムでも使っとけ
0025anonymous@fusianasan
垢版 |
2022/12/14(水) 15:19:35.88ID:???
ユーザー向けにFORTIGATEのSSLVPN使ってる会社は無いだろうけど
管理者とか保守会社がメンテナンス用とかバックアップ用とかで結構使ってたりするんだよな~
0028anonymous@fusianasan
垢版 |
2022/12/15(木) 12:47:24.52ID:???
バグ情報見てないからしらんけどEAP-TLSみたいなんて出来ないん?
それでダメならforti自体がアカンことになると思うんだけど
0029名無し
垢版 |
2022/12/15(木) 13:08:59.30ID:???
>>22
バージョン6.0系の修正が出る可能性あるみたいです。
0030名無し
垢版 |
2022/12/15(木) 13:29:20.53ID:???
CVE-2022-42475関連。参考まで

SSL-VPNの無効化方法。
https://community.fortinet.com/t5/FortiGate/Technical-Tip-nbsp-How-to-disable-SSL-VPN-functionality-on/ta-p/230801

怪しいログの確認コマンド。
https://community.fortinet.com/t5/FortiGate/PSIRT-Note-FG-IR-22-398-FortiOS-heap-based-buffer-overflow-in/ta-p/239420


攻撃を受けたかファイルの確認方法。
作成されてると不味いやつ。
https://community.fortinet.com/t5/Support-Forum/FortiOS-6-2-9-list-files-in-filesystem-CVE-2022-42475-FG-IR-22/td-p/239477

https://community.fortinet.com/t5/Support-Forum/Checking-the-FortiGate-OS-Linux-file-system/td-p/239622
0032名無し
垢版 |
2022/12/16(金) 15:47:17.49ID:???
>>28
認証なしでリモートからコマンド可能なので証明書は関係ないです。
しかも昔のバージョン5からなので致命的
0034anonymous@fusianasan
垢版 |
2022/12/16(金) 19:44:29.80ID:???
>>32
言葉足らずだったわ
VPNを証明書認証でやればええんちゃう?って言いたかった
出来るのかしらんけど
0035anonymous@fusianasan
垢版 |
2022/12/16(金) 22:50:33.06ID:???
>>34
認証無しでも不正操作される問題に認証で対策するのか?
0036anonymous@fusianasan
垢版 |
2022/12/17(土) 10:34:32.33ID:???
アクセス元制限では対応できないのだろうか?
0037anonymous@fusianasan
垢版 |
2022/12/20(火) 15:21:00.94ID:u2xeDD4I
SD-WAN機能触ってみたけどSD-WANとは名ばかりだな
0038anonymous@fusianasan
垢版 |
2022/12/20(火) 18:42:53.99ID:???
そもそもファイアウォール自体がSDと言えなくもない。
0039anonymous@fusianasan
垢版 |
2022/12/21(水) 01:25:11.61ID:???
普通のSD-WANベンダ製品が売れてるって話もあんまり聞かない
ブレイクアウト需要は多いけど
0040anonymous@fusianasan
垢版 |
2023/01/02(月) 01:04:21.52ID:MBSuKMwo
PaloaltoVM試用版って30日となっているけどいつから30日ですか?
インストールし直せば何度も使えますか?
0041anonymous@fusianasan
垢版 |
2023/01/04(水) 23:02:53.00ID:9r7+8v3h
FortiGateで0% nice ってなっているんですけど、ここのniceはシステム以外の優先度の
低いプロセスで使っているCPU使用率を表示させているのでしょうか?

# get system performance status
CPU states: 0% user 0% system 0% nice 100% idle 0% iowait 0% irq 0% softirq
0043anonymous@fusianasan
垢版 |
2023/01/04(水) 23:46:20.69ID:9r7+8v3h
nice値によって優先度が変わるというのは理解したように思えるのですが、
よく分からない。。。。
0045名無し
垢版 |
2023/01/05(木) 08:44:22.78ID:???
>>41
おそらくその認識かと思います。
公式見るとnice100%だけだとFortiGateの動作が停止してるようです。

https://docs.fortinet.com/document/fortigate/6.4.2/administration-guide/152469/troubleshooting-cpu-and-network-resources


Troubleshooting CPU and network resources
FortiGate has stopped working

If the FortiGate has stopped working, the first line of the output will look similar to this:

CPU states: 0% user 0% system 0% nice 100% idle
0047名無し
垢版 |
2023/01/05(木) 10:28:54.76ID:???
>>46
idleの間違いですね。お恥ずかしい。
指摘ありがとうございます。
0049anonymous@fusianasan
垢版 |
2023/01/05(木) 18:23:09.26ID:9jqhwvzr
niceのパーセントが上がってる時って、ナイスじゃない事が
起きてるってことでOK?
優先度が何かしらで変わるって事は、優先度があがるようにCPU割り当ててる
感じか。
0050anonymous@fusianasan
垢版 |
2023/01/06(金) 23:38:10.79ID:kqpu8M8o
Fortinet JapanのSEさんって、めっちゃメール回答とか安心感ありますわ。
なんだろう、努力した時間の違いなのか?
ああいう、カッコいいSEになりたい。
0051anonymous@fusianasan
垢版 |
2023/01/07(土) 13:13:36.01ID:???
代理店に問い合わせろ
という回答に安心感?
0052anonymous@fusianasan
垢版 |
2023/01/07(土) 21:39:28.55ID:???
保守対応に該当する問い合わせは保守契約(保守体制フロー)に基づいて代理店に問い合わせてもらうしか無い
これはどこのメーカーも基本的には同じ
0054anonymous@fusianasan
垢版 |
2023/01/07(土) 22:06:49.55ID:???
>>53
障害対応のチケットオープンとかエンドユーザが直接メーカとやるかね
代理店、SIerに払ってる保守費は一体どこに消えていくのか
0055anonymous@fusianasan
垢版 |
2023/01/07(土) 22:09:37.37ID:???
エンドユーザとメーカーで直接保守契約を結ぶことってダイレクトサポート(有償サポート)くらいかなぁ
0060hoge
垢版 |
2023/01/21(土) 16:08:28.85ID:???
例の病院のVPNでのランサムウェア被害って
使ってるの知ってて連絡の無い保守契約してる業者
イー加減にしろ
0062anonymous@fusianasan
垢版 |
2023/01/21(土) 17:41:17.84ID:???
保守ベンダから連絡しないでしよう。
保守ベンダは、故障や技術サポートの窓口だから脆弱性情報は聞かれない限り、情報提供もしない。                
構築ベンダにセキュリティサポート費用とか払って脆弱性情報貰うか、機器導入してる組織のセキュリティ担当かCERT担当がアンテナたて日々脆弱性情報集めるしかない。         
                                             
と言っても、IPAのサイトかJPCERTのサイトか、メーカーサイト位しか確認しないけどね。
0063anonymous@fusianasan
垢版 |
2023/01/21(土) 20:34:31.78ID:WH/kJP7o
確認して対処できる人がいるならそもそもそんなことになってないねんな
ファルコンとかガチのハッカー雇ってるとこのサービス使えばええんや
じぇーくらーととかいううんちに頼るのは悪手
0065anonymous@fusianasan
垢版 |
2023/01/22(日) 05:39:18.27ID:???
RSSとかでPSIRT情報来るからそういうのをIT/セキュリティ管理者は見ておかないといけないよねってだけの話なんだけど
全部丸投げしてるからねぇ
0066anonymous@fusianasan
垢版 |
2023/01/22(日) 08:12:49.84ID:???
自分の仕事と契約内容がわかってないんだろう
0067anonymous@fusianasan
垢版 |
2023/01/22(日) 10:30:40.09ID:???
保守ベンダーだって普通に連絡取る所多いだろ
ここで連絡取れないとような所は切られるからな
但し、ベンダーとの関係が悪かったり担当者に問題があったりすると別だが
病院系はヤバい担当者も居ると聞くからどっちが問題かはわからん
0068anonymous@fusianasan
垢版 |
2023/01/22(日) 14:24:06.65ID:???
影響のデカいセキュリティホールなんかは
メールで連絡してくれてもいいんしゃね?
とは思う。
ベストエフォートで。
0069名無し
垢版 |
2023/01/22(日) 16:05:30.07ID:???
fortiguard PSIRTアドバイザリを見ないの?
0071anonymous@fusianasan
垢版 |
2023/01/22(日) 19:41:09.20ID:???
情シスがそんなん見るかよ
インフラなんて業者任せや
0072anonymous@fusianasan
垢版 |
2023/01/22(日) 19:51:36.38ID:xesKpOmK
あなた、怠惰ですねぇ
0074anonymous@fusianasan
垢版 |
2023/02/04(土) 02:26:02.33ID:???
複数拠点でipsecVPN(アグレッシブモード)を行う時の設定をしてみたけど、このサイトでいうB拠点とC拠点の通信ができない(pingが通らない)のは仕様なんだろうか
scskのサポート担当に尋ねたらハブアンドスポークでやってくれと言われたが…
私はできるか出来ないかを聞いたんだがなぁ
普通のciscoルータやアライドルータだとできるのに
https://tec-world.networld.co.jp/faq/show/10151
0076名無し
垢版 |
2023/02/04(土) 07:26:06.90ID:???
>>74
A拠点でB、C向けのIPSEC張れてるなら、B-C間ポリシーをA拠点に入れれば通信通りません?
0077anonymous@fusianasan
垢版 |
2023/02/04(土) 08:54:22.99ID:???
>>76
ポリシーもあるけどB,C拠点のIPSecVPN Phase2設定内の送信先アドレスに双方拠点のアドレス入れる必要もあるね
自分の組んだ環境だと拠点間通信も問題ないわ
A拠点もBとの接続設定の送信元アドレスにCのアドレスを含める必要はある
0078anonymous@fusianasan
垢版 |
2023/02/04(土) 09:57:16.45ID:???
>>76
>>77
レスありがとうございます
・A拠点にBC間のポリシー設定済み
・B拠点のポリシーに送信元C拠点のNWアドレスを設定 その逆も然り
・AにおけるAB間のIPsecのphase2の設定の送信元アドレスにC拠点のNWアドレス(AC間のIPsecの設定時に利用しているもの)の設定 BにおけるAB間のIPsecの設定の宛先アドレスにC拠点を設定してます (C拠点の場合も同様に設定してます)

時間があればwebGUIのスクショ載せます

納期近かったから、結局ハブアンドスポークで構築して納品したんですけど
0079anonymous@fusianasan
垢版 |
2023/02/04(土) 10:00:45.21ID:???
ちなみに同じ設定で、どこの拠点もグローバルIPが固定だと通信できちゃいました 同じようにメッシュ型じゃなくA拠点中心のスター型で

後出しになって素人丸出しだけれどFortigate60f ファーム7.2.3です
0080anonymous@fusianasan
垢版 |
2023/02/04(土) 10:03:02.18ID:???
fortigateのddns設定つかえば良かったかもしれんが、これはやってないです
0081名無し
垢版 |
2023/02/04(土) 12:20:02.47ID:???
ddns使わずに動的グローバルアドレス間のIPSECは出来ないのでは?
0083anonymous@fusianasan
垢版 |
2023/02/04(土) 13:29:50.66ID:???
そうだよ震えろ
日本のIT業界なんてこのレベルのが設計構築してんだ
0084anonymous@fusianasan
垢版 |
2023/02/04(土) 17:03:00.13ID:???
>>81
片側が静的IPならIPSecアグレッシブモード使えば拠点側は動的IPでもDDNSは要らない
VPNセッション開始が拠点側からになるだけで通信自体はほぼ変わらん
0085anonymous@fusianasan
垢版 |
2023/02/04(土) 17:09:18.64ID:???
動的グローバルアドレス間って書いてあるから
0086anonymous@fusianasan
垢版 |
2023/02/04(土) 17:09:33.08ID:???
v7.2系使ってる時点でFortigate素人感漂うな
質問してるNetWorldはまだサポートしてないんだからまともな技術サポートを受ける権利が無くなるから本番環境で使うとかアカン
0087名無し
垢版 |
2023/02/04(土) 17:59:29.07ID:???
>>84

81です。
B拠点(動的)-A拠点経由(静的)-C拠点(動的)なら仰る通りですが、B拠点(動的)--C拠点(動的)でIPSEC接続されたいように見えます。


>>86
サポートはscskみたいですね。
サポートも新しいバージョンはバグがある可能性が高い事は教えてくれないんですかね。
0088anonymous@fusianasan
垢版 |
2023/02/04(土) 18:55:16.32ID:???
逆にCiscoやアライドでどうやったら出来たんだろう
0089anonymous@fusianasan
垢版 |
2023/02/04(土) 23:33:11.13ID:???
>>83
設定も切り分けも出来ない人が金取って設定してるとか怖すぎるよね
どこもそういった人しか居ないんだけどさ
0090anonymous@fusianasan
垢版 |
2023/02/04(土) 23:37:39.73ID:???
>「私はできるか出来ないかを聞いたんだがなぁ」

このくらいのことを構築担当してる業者が訊くとかほんと終わってるのと
理解してない人って整理されて無くて何言ってるかわかんない質問投げてくるから回答する方も大変なんだよね
0092anonymous@fusianasan
垢版 |
2023/02/05(日) 01:28:47.95ID:???
動的IP-動的IPでのIPsecVPN接続は可能だけど、1から説明しないと行けなさそうな感じなんで
おとなしくハブ&スポークでやってって提案されたってとこかな
0093anonymous@fusianasan
垢版 |
2023/02/05(日) 11:42:47.95ID:UPYe4qDT
S○SKの技術サポートって他社と比べてどんな感じなんでしょうか?
以前問い合わせしたときに技術レベルに疑問を感じることがあって…
0095anonymous@fusianasan
垢版 |
2023/02/05(日) 12:11:02.24ID:???
どこの業者も構築や設定差ボートはしません
故障時のサポートです
って言われた経験ある
そう言わんと設定をサポート二丸投げする奴らが居るんだろうな
0096anonymous@fusianasan
垢版 |
2023/02/05(日) 13:18:14.18ID:???
「DDNS使えばいいですよ」って案内しても「DDNSってなんですか?」「どうやって設定するんですか?」ってくるのが見えてるからね
0097anonymous@fusianasan
垢版 |
2023/02/05(日) 13:40:54.49ID:UPYe4qDT
>>93
なるほど。そうっぽいですよね。

>>95
まぁ丸投げはダメでしょうね。
ただ故障サポートって言い切るのも少し違う気します(笑
0098anonymous@fusianasan
垢版 |
2023/02/05(日) 13:43:29.63ID:UPYe4qDT
>>97 の 1つめは >>94 様宛でした。
失礼しました。
0100anonymous@fusianasan
垢版 |
2023/02/05(日) 18:00:33.45ID:???
だいたいはお金(有償サポート or スキルのある人を雇う)で解決するんだよね
0101anonymous@fusianasan
垢版 |
2023/02/05(日) 18:23:58.03ID:???
まぁそもそも製品独特の設定方法だの仕様だのを外部の人間に把握してろってのがおかしな話なんだ
そんなのfortiだのciscoだのが自社で大規模な部隊持っとけって話だけど現実それが無理だからサポートがあるわけで
0102anonymous@fusianasan
垢版 |
2023/02/05(日) 18:28:37.75ID:???
SIerはそういったノウハウ/技術を提供することで顧客からお金をもらう体なんだけどね
0105anonymous@fusianasan
垢版 |
2023/02/05(日) 18:38:50.62ID:???
構築はできないけど構築費用は貰います的な
0106anonymous@fusianasan
垢版 |
2023/02/05(日) 18:41:16.40ID:???
顧客の要望を聴き取ってこういう設計のNWがありますよと提案し構築するのが仕事
ベンダー特有の技術を提供するわけではない
0107anonymous@fusianasan
垢版 |
2023/02/05(日) 18:48:50.88ID:???
>>103
製品の内部資料とか公開してんの?
それどこのメーカーよ?(笑)
0108anonymous@fusianasan
垢版 |
2023/02/05(日) 18:51:15.93ID:???
提案してる装置の設定を顧客の代わりに行ったり構築支援したりするのでそういった「技術」は提供してると思うよ
なので扱ってるベンダの装置の設定をある程度理解しておく必要はあるかと
「特有の技術」ってのが装置の設定のことを指してないと良いんだけど
0109anonymous@fusianasan
垢版 |
2023/02/05(日) 19:01:08.72ID:???
流石に一般技術的な話とかマニュアル見ればわかる設定とかの話ではないな
例えばつい先日あった話だが某Ciscoの証明書期限切れによるOSイメージダウンロード検証不可の事象だって
OSダウンロードでスタックしてる、証明書が原因らしいってのまではログでわかるかもしれないけど
じゃあ何で証明書で認証できてないのとか実はMICとは別の物理的に焼き込まれた証明書でしたーとかCiscoのアナウンスが無いとわからない事だったし
0110anonymous@fusianasan
垢版 |
2023/02/05(日) 19:10:41.22ID:???
>>109
特殊なものは資料も公開されてないからベンダ側で対処するしかないし、ベンダ側でも開発が調べないとわからなかったりするね
そういうのじゃなくて、受注していざ構築始めたら「実際に動かしたこと無いので設定よくわかりません」「一応設定してはみたけど期待どおりに動かないんです。なんでですか?」みたいなレベルの
業者様はちょっとご遠慮したいかなと思う
0112anonymous@fusianasan
垢版 |
2023/02/05(日) 21:51:41.13ID:???
各ベンダ、製品ごとに装置の設定の仕方は異なるわけだから
そういうのがわかるのもベンダ特有の技術になるんかなと思った
0113anonymous@fusianasan
垢版 |
2023/02/06(月) 01:18:29.83ID:???
ベンダごとの製品の特徴を知らないと構築どころかコンサルも無理なんだよなぁ
0114anonymous@fusianasan
垢版 |
2023/02/06(月) 02:13:34.09ID:???
メーカじゃないから、そんなのわからなくても僕SIerだから悪くないもん!

って、主張するから子供と一緒と言われんじゃろ?わかる
0116anonymous@fusianasan
垢版 |
2023/02/06(月) 03:20:12.14ID:???
>>106
顧客の要望を聴き取って実現できるメーカの製品を選定/提案すると思ってましたが違うんですね
具体的な製品選定は誰がやるんでしょうね
0117unknown
垢版 |
2023/02/06(月) 18:34:23.42ID:gU1PsVxN
美桜ちゃんはトランジスタグラマー
0118anonymous@fusianasan
垢版 |
2023/02/06(月) 22:08:56.04ID:???
素人で申し訳なくこんな質問して怒られるかもしれませんが

60Fを利用しているのですが、
スタティックルートやファイヤーウォールポリシーの宛先にインターネットデータベースを使うと応答速度が低下する現象はあったりしますでしょうか。
0119anonymous@fusianasan
垢版 |
2023/02/07(火) 00:03:43.59ID:???
設定に問題がなければそういったことはありません
0120anonymous@fusianasan
垢版 |
2023/02/07(火) 01:49:02.05ID:BlNyCmIb
FortigateではASICにオフロード出来ると思いますが、ASICの負荷が高くなった場合は、
CPU処理になるのでしょうかね?
例えば、NTurboが100%になったら、オフロード出来ずCPU処理になるという考えで良いでしょうかね。
0124anonymous@fusianasan
垢版 |
2023/02/17(金) 22:30:03.15ID:???
FortiGate 60E (7.2.1)でのIPv6について質問です。

フレッツ光ネクスト回線+朝日ネットのv6契約にて下記のURLを参考に設定済みで、
Windows10/11、Android12/13は正常に外部とv6通信ができています。
https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-asahinet-v6connect-ipip.pdf

しかしiPhoneXS/SE2およびiPad mini4、macOS12/13だけ(要はApple製品)がv6で外部と通信できません。
v6アドレスおよびv6ゲートウェイアドレス、v6DNSアドレスをRAから取得済みなのに何故かvne-tunnel(v4 over v6)から外部に抜けます。

Apple製品のプライベートWi-FiをOFFにしたりMacbookで有線接続にしても同様でした。

ただ、FortiGateのwan1が取得しているグローバルv6アドレスに一度ping6コマンドを発すると、
その後は外部のv6サーバにping6が疎通するようになりv6のWebサーバなどにもアクセスできるようになります。
(test ipv6サイトでもOK判定になる)

バグなのか上記のPDFでは設定が足らないのか、どなたか同じような環境でv6で抜けられている人いませんか?
0126124
垢版 |
2023/02/19(日) 12:11:48.73ID:???
7.2.4に上げてみたけど全く同じてすね。
FortiGateだとApple製品でv6できてる人いないんじゃないかなこれ。。

同じ環境でRTX1200だと問題無くv6使えるんですが他に色々便利だからFortiGateを使っていきたいなと。
0128anonymous@fusianasan
垢版 |
2023/02/19(日) 12:50:40.22ID:???
してあったらごめんだけどセッションヘルパーで58ポート開けてあげて見てもダメかね?
0130sage
垢版 |
2023/02/19(日) 14:35:10.18ID:zf2HIFvc
>>126

私はふつうに使えてますね。
iPhone / iPad / macOS それぞれ最新パッチ当て済

FOS は7.2.4 で、プロバイダは Asahinet の ipv6 サービス

ちゃんとipv6テストサイトで、safari / Firefox / chrome / edge からipv6アドレスで接続出来ているのを確認できます

IPv6 tunnel はご提示の手順の方法ではありませんが、ipv6 native でアクセスする分には関係ありませんので、関連性はないかと
0131124
垢版 |
2023/02/19(日) 16:23:12.64ID:???
nd-proxyは有効にしてます。
session helperでプロトコル58は有効にしていませんが、設定しようにもポート番号指定が必須なので設定できず。

>>130
おお、もし良ければv6周りのconfigを教えてもらえませんか?
上のPDFで触れられてないものがあるでしょうか。
仰るとおりv6トンネルのds-lite部分は関係無いと思います。

InternalのmacOSやiPhoneからwan1のv6アドレスにping6するとv6ネイティブで外に通るようになるのがまた解せない。。
0132sage
垢版 |
2023/02/19(日) 16:58:37.39ID:zf2HIFvc
>131

Android や windows で通信できている、およびmacOS 側にもIPv6 アドレスが設定されているってことは、
普通のIPv6 設定は問題ないと思うので、macOSに関連するところなんじゃないかなーと思う。
どのIPを使って通信させるのかを判断するのはクライアントなので。

よくわからない状況だけど、ご要望の資料でしてない設定ということなので、ipv6 の delegated 設定と np proxy です
Nd proxy はしてそうなので(IPが振られているので)。手順書は、ipv6 tunnel を使ってIPv4 通信をさせることが目的だから
この辺の設定はしてないと思う。

ただ、IP振られてるなら通信できても良さそうだなぁとは思います。

蛇足ですがipv6 と ipv4 のポリシーは同じだったら分けたほうがいいと思う。
Ipv4 だとどうしてもNAT が必要になるので、ipv6 native でやりたいならnat 外したポリシーを作ったほうがいいかと思う。

下は、wan で IPv6 NDを受けて、lan へ委任する例(IPv6 のみ)
0133sage
垢版 |
2023/02/19(日) 16:59:03.32ID:zf2HIFvc
(抜粋)
config system interface
edit "wan"
config ipv6
set dhcp6-prefix-delegation enable
set autoconf enable
config dhcp6-iapd-list
edit 1
set prefix-hint ::/60
next
end
end
next
end
0134sage
垢版 |
2023/02/19(日) 16:59:26.08ID:zf2HIFvc
config system interface
edit "lan"
config ipv6
set ip6-mode delegated
set dhcp6-information-request enable
set ip6-send-adv enable
set ip6-manage-flag enable
set ip6-other-flag enable
set ip6-upstream-interface "wan1"
set ip6-delegated-prefix-iaid 1
set ip6-subnet ::/60
config ip6-prefix-list
edit ::/60
next
end
config ip6-delegated-prefix-list
edit 1
set upstream-interface "wan1"
set subnet ::/60
set rdnss-service delegated
end
next
end
0135sage
垢版 |
2023/02/19(日) 16:59:44.23ID:zf2HIFvc
参考になれば
0136124
垢版 |
2023/02/19(日) 17:54:45.84ID:???
ありがとうございます。

v4とv6のFWポリシーは分けてます。

頂いた参考設定ですが、これはひかり電話有りのタイプですかね?
後出しになってしまい恐縮なんですがこちらひかり電話を解約したのでHGWの下のFGはRAでv6アドレスを取得してます。

随分前にwan1でdelegateする設定をしたんですがうまくいきませんでした。
帰ったらリトライしてみます。
0137sage
垢版 |
2023/02/19(日) 18:02:28.99ID:GbKCknDf
>>136
はい。光電話タイプです。

anonymous@fusianasan
0140anonymous@fusianasan
垢版 |
2023/12/27(水) 01:11:50.45ID:???
リモートメンテ用に放置されてて侵入されるぐらいなら
自動アップデートがデフォルトでいいよねという
FG社の優しさ
0141anonymous@fusianasan
垢版 |
2023/12/28(木) 17:54:23.43ID:???
中古で買ったFortigate60Fのライセンス買いたいんだけども
どうすればいいんだってばよ?
0142anonymous@fusianasan
垢版 |
2023/12/29(金) 00:02:49.28ID:???
正規ルート外れた箱にライセンス売るとこは基本ないよ。
0144anonymous@fusianasan
垢版 |
2023/12/31(日) 06:58:58.47ID:???
Fortigate60Fなんですがinternal1でフロー制御を有効にする場合は以下であってますか?
config switch physical-port
 edit internal1
  set flow-control both
 next
end
0146anonymous@fusianasan
垢版 |
2024/02/08(木) 22:17:26.27ID:GKB7uuIi
fortigateでv6プラス固定IPを利用しています。
この固定IPで他拠点とIPsec VPNは構築できるますか?
0147.
垢版 |
2024/02/09(金) 16:33:26.33ID:???
おい、ファーム自動更新してるかねイライラ
0148anonymous@fusianasan
垢版 |
2024/02/09(金) 23:21:54.67ID:???
バグだらけ不具合だらけで品質管理やってないだろ
何回問い合わせさせるのか
0149anonymous@fusianasan
垢版 |
2024/02/12(月) 09:21:50.44ID:7TYH3DtV
>>146
できるよん
0150anonymous@fusianasan
垢版 |
2024/02/16(金) 08:28:06.40ID:dS1zYM4K
>>146
できますよ。やっています。
0151anonymous@fusianasan
垢版 |
2024/03/17(日) 19:22:35.65ID:mSovpy3Z
IPsec VPNの設定で教えてください。

Windows10と11のOS標準VPNクライアントでL2TP/IPsecに接続させたいのですが、
このページを参考に設定をして、クライアントが接続できるところまで確認しています。
https://www.nedia.ne.jp/blog/tech/2021/03/02/17467

VPNクライアント→fortigateのLAN側へのアクセスは出来ていますが、
fortigateのLAN側→VPNクライアントへの通信がうまくいきません。

クライアント側へ遠隔でサポートするために、LAN側からRDPなどでつなぎたいのですが
ポリシーの設定をどうすればよいのでしょう?

解説ページの真ん中のほうの、「ALAN→WANのポリシー」の部分で、NATをonにしているので、
クライアント側へ接続できないのだと思いますが、NATをoffにすると
クライアント側からもfortigateのLAN側へ通信ができなくなってしまいます。
0153anonymous@fusianasan
垢版 |
2024/03/24(日) 02:40:09.43ID:???
Windowsデフォルトの機能だからL2TP/IPsec使いたがる人はたまにいるけどFortiClientでも使っておいた方が無難かと
ここで訊くってことはどのみち保守とか入ってないんだし
0154anonymous@fusianasan
垢版 |
2024/04/09(火) 00:32:20.26ID:???
FWポリシーで接続できるHP絞っているだけなんですが、ページはほぼ表示されつつもブラウザのタブバー部分だけ読み込みアイコンがやたら続くのは何故でしょうか
軽快で有名な阿部寛のHPはすぐ読み込み完了するのですが企業HPなどが大体この状態に陥ります
0155anonymous@fusianasan
垢版 |
2024/04/11(木) 17:45:25.25ID:9k9jvyiK
FortiOSの末尾が数字で終わってたりアルファベットだったりする意味はなんですか?

7.4.6F
7.4.7M
7.0.5

のFやMや何もついてなかったり
0156anonymous@fusianasan
垢版 |
2024/04/11(木) 18:39:17.42ID:9k9jvyiK
解決しました。
Fが新機能含むバージョンで、Mが含まないバージョンでした。
0158anonymous@fusianasan
垢版 |
2024/04/24(水) 16:44:35.31ID:???
>>151
>fortigateのLAN側→VPNクライアントへの通信がうまくいきません。
もっと具体的に書こう
回線のプラン名とプロバイダのプラン名と接続方式も念のため書こう
0159anonymous@fusianasan
垢版 |
2024/04/24(水) 16:45:33.79ID:???
>>154
ブラウザの開発者ツール/デベロッパーツールなどで確認しよう
新着レスの表示
レスを投稿する

ニューススポーツなんでも実況