Fortigateについて語ろう4
■ このスレッドは過去ログ倉庫に格納されています
FortiGateシリーズは、ネットワーク全体を総合的に保護するハードウェアベースの
ネットワーク・プロテクション・ゲートウェイ(NPG)です。
Fortinet社独自開発のABACASTM(Accelerated Behavior and Content Analysis System)
テクノロジと独自のASIC(FortiAsic)ベースアーキテクチャを採用した、次世代
ネットワークプロテクション・アプライアンスです。
ファイアウォール、不正侵入、VPN、トラフィックシェーピングなどネットワークレベル
のサービスに加え、ウィルスプロテクションやコンテンツフィルタリングなどの
アプリケーションレベルのサービス機能も搭載しており、効果的にネットワークを保護します。
FortiGateは、4種類のICSA認定取得をしています。
アンチウイルス、ファイアウォール、IPSec、IDS
セールスポイントは非常に魅力的ですばらしいのですが、
非常に個性的な製品ですので、皆さん助け合って安定稼働に努めましょう。
フォーティネットジャパン
http://www.fortinet.co.jp/
FortiProtect Center
http://www.fortinet.com/FortiProtectCenter/
質問する際には必ずFortiGateの機種、FortiOSのバージョン、 ネットワーク構成・環境を報告してください。 全拠点ISPとフレッツVPNの2セッションってことかな
30Dの拠点だけインターネットもVPN経由にしてしまう荒業も・・・・ただでさえ遅いのに激ヤバですかね
30Dは置いといて単純に2セッション収容するだけなら別にVDOMはいらないんでは?
2ポート分PPPoEに割り当ててルーティングだけで済むよね? 速度なら、NTTCOMのArcstar系サービスにするか、
他社の同系統サービスにするか 家庭用ルータでAtermWG1800HP使ってたけど有線クソだからFortiGate-60Dに乗り換えた
Fortiアニキたちよろしく! ホスト名出てしまったwww
これを機にセキュリティ勉強しなおします べつにホスト名出たところでNTTがしゃべらなければだれにもわからんだろ
あと2chはともかく世の中にはIP公開掲示板が多いし ちょいと教えてください。
5.2.3に上げたら、GUI上からUSBモデムの項目消えたんだけど、
40C特有の問題?それとも全面的に消されちゃったの?
デモ環境でUSB使いたかったんだけどなぁ。 始めて30DさわったんだけどDNSサーバ機能ないのな、キャッシュ機能も
普通にあると思ってたからびびるわ最近のファームもそうだけど細かいとこで仕様かえすぎでうざいわ最近 >>110
あるよ
インターフェースのとこで設定する >>111
内部DNS用に個別にAレコード登録できますか?
家庭で使うにはあると便利なんだけど >>111
ええ〜まじで・・・・
インターフェイスのとこも探したんだけどな、見逃していたのかな
もしよければなんてコマンドか教えてください FortiOS(firmware)の4.0系と5.0系って
利用面で大きな違いありますか?
漠然としたものになりますけど
4.0 MRxで十分、とか
5.0以上にしておくべきとかはありますか?
利用規模は小規模でクリティカルなことはしませんが、必要十分、なのかできれば上げるべきか、が分からずで 可能な限り上げるといいんじゃないかな。
上げている方が何かと便利だしね。 5.2からHA構成でPPPoE対応とか書いてあるので、確かめたんですがちょっと良くわかりません。
HSからの抜粋
DHCP/PPPoE機能使用時に冗長化構成を組むことは可能ですか。
FortiOS5.2よりDHCP機能及びPPPoE機能を使用時の冗長化構成をサポートしています。
100D F/W5.2.4 HA構成でインタフェースにPPPoEのチェックあり。
500D F/W5.2.4 HA構成でインタフェースにPPPoEのチェック無し。DHCPは有
500Dは中級だからPPPoEとか使用しない想定なんですかね。 >>113
5.2系ならフィーチャーでDNSデータベースをONにすると出来ると思います。
ネットワーク>DNSサーバでゾーン作成後にインタフェースでサービスを有効 >>117
ありがとう。
30DにはGUIのフィーチャーにも、config system globalだったかsettingだったかのgui-にも
DNSデータベースがないのですよ。 >>118
データシート見るとDNS Database supportは60Dからだね fortigate 60cをPPPoEルーターとして使うにあたって注意した方が良いこととかありますか?
ハマりやすいところなどあれば教えてください
GUIでwizard使ってまともに繋がらないみたいな話も聞いたので不安です >>120
特に無いよ
普通に接続できるという感じしか記憶にないけど、fgのやすい奴はよく壊れるイメージ。特に中にフラッシュかssd積んでる機器で、ディスクロギングしてると駄目っぽい。
どこからかその機能が使えなくなったのは、ディスク破損が多発してるからじゃないかな。 一転補足だけど、fortiOS古いとメモリリークやcpu100%やらで悩むよ。 >>119
まぁ、そうなんだけどそれでもDNSキャッシュサーバはあるって話だったので・・ >>118
60Cだと出てくるDNS Databaseが
30Dでは出てこないって話?
いちおう60Cだとこういう手順だね
見つけにくい位置にあるけど30Dだと出ないんかな
http://network-cisco.seesaa.net/s/article/393477605.html >>121
ありがとうございます
ディスクロギングがデフォルトオフになったのはv5か5.2あたりからみたいですね
とりあえず購入してみます >>124
そうでござる、無いのでござる
で、>>119の言う通りスペックシートには30Dと40DにはDNS Database機能が無い
ただ>>111はあると言ってるので、なんか裏技でもあるんかなと
もう引き渡しちゃったから試しようもないのですけどね >>114
4.0はもうメンテされないから
VPNとかに使うなら辞めたほうがいい
UTMとしても4はもうすぐサポートなくなると思うよ FortiClientからVPN経由でLANのPCをWOLで立ち上げる方法が分かりません。。。
一応ファイアウォールのポリシーはVPN→Internalは全てのサービスを許可しているのですが、うまくいきません。
マジックパケットはユニキャストでもブロードキャストでもどっちでもいいです。
Ciscoだとできたんだけどなぁ すいません自己解決しました
スタティックなarpを書いてなかっただけだった… 自宅用にFortiGate-60cを中古で買ったら2019年までFortiGerdのサブスクリプションついててワロタ
Internalをswitchで動かしてて、Internalポートに接続してる機器同士でjumboFrame透過させたかったからMTU9000にしたら、インターネット抜けが20Mbpsくらい落ちたもんでMTU元に戻した
そしてMTU戻した後もInternal同士でjumboFrame透過出来た
switch動作有能ですな FortiCloudのキーって筐体にシールで貼ってあるけど、あれってシール以外に書いてないんですかね?
いや、もうラックにマウントしちゃったので見ようと思うと大変なんですよw ラックタイプならディスク持ってるだろうしFortiCloudなんていらなくない? 4系OSのForti買ってやってみたけど簡単に入れるな ファーム最新にしたらレポートの中no dataになっちまった
海外製はやっぱよーわからん ファーム最新にしたらレポートの中no dataになっちまった
海外製はやっぱよーわからん fortiを他のFWのDMZに置いてVPN装置として公開したいんだけど
VPN接続しにくるincomingインタフェースとlocalインターフェースが
同じポートでも通信って問題なくできるもんなの? ssl.rootからWAN1への通信を許可するポリシーを書けば行けるんじゃない? ssl.rootかぁ、なんか見るサイトによって
VPNポリシーの作り方が違って解らんなぁ
明日試してみますぞ 他のFWのポリシーは
(A)WAN->DMZにHTTPS
(B)DMZ->LANにVPNで許可するトラフィック
Fortiのポリシーは
(C)SSL.ROOT->WAN1 または
(D)SSL.ROOT->LAN
どっちのパターンでもやったことあるけど(昔のバージョンだけど・・)
素直にFortiを2本足にして(A)(D)でやった方が苦労しなくて済んだ気がする ssl.root >> wan1で出来たよ、ありがとう 国内ベンダでFortiOS5.4.0提供はじめた所ってある? Fortigate自身もrecomemdedにしてないから、当分ないやろ fortigate200Dで質問です。
ポートにそれぞれアドレスをふってお互いにポリシーを書いて通信(Ping)させましたが、ポートのインターフェイスの設定をDHCPにして自動取得したpcしか通信できないです。何か設定足らないでしょうか?
ポリシーはすべてallにしています。 Windowsファイアウォールがはじいてるとかゲートウェイ間違ってるとかじゃないの
業者さんに設定お願いした方がよさそうだね フロー(ディープブロー)とプロキシの差がいまいち・・・。フローでもeicarをwebダウンロードしようとすると、ページ書き換えるよね?
プロキシ動作じゃなくてもできるもんなの?
あと、聞いた話、5.4.0がばぐばぐで、5.4.1は今の予定では6月とからし。 60Dですが、Wifi経由で接続してきたPCは問題ないのに、
Androidスマホ、タブレット、iPad、iPhoneに限ってインターネットに出られません。
なにか気を付けなければいけない設定はありますか? >>152
自己レスになりますが、
DHCPモニタで一覧したときに、ホスト情報に「VCI」が含まれていない端末が60Dを通過出来ない様子。
依然対応方法はわからずです。 Fortigate100D(固定ip)とSi-R G100(動的IP)をipsecで接続したことのある人はいないだろうか… どんどん新しいFortiOSリリースするのを悪いとまでは言わないけど、
既存のOSを安定化させて欲しい。
リリース前に基本動作の確認をしっかりやって欲しいな。
誰と競争してるのか知らんけど、自分の製品の土台をしっかり作り上げて欲しいです。 >>154
FortiGateとScreenOS、YAMAHAあとなんだっけ忘れたけど繋いだことある
YAMAHAとSi-Rも繋いだことあるけどFortiとSi-Rはないな
多分、徹底的にプロポーザル合わせれば行ける雰囲気だけど
確かFortiOS5.2から対向が動的IPだとルーティングべ―スIPsecできないクソ仕様になった
詳細は覚えてないけどもポリシーベースじゃないと無理だと思った方がいい
>>155
ほんそれ
GUIやら細かい仕様やらコロコロ変え過ぎ、SSL-VPNとかUTM使う分には問題なさそうだけど
SIerとしては価格含めてまともな競合製品があったらFortigateなんて速攻捨ててる
一応今色々新しいの検証はしているが・・・。 >>156
そんな仕様があったのは(なったのは?)知らなかったデス…
まぁ、無理とわかっていても単純に無理ですってのは納得はしてくれないと思うんで、試せるだけ試して無理ですって方向に持って行きたいと思います。
だから異機種間のVPNって嫌なんだ… >>156
なんじゃそのクソ仕様はと思ったけど、冷静に考えたら当たり前の仕様だよな。理由が分からないならこの仕事やめた方が良い。 >>158
今までたいていの機械で出来てきたことだと思うけど
ルーティングベースNGでポリシーベースはOKが当たり前ってどういう理由で? 60Dでハマってます。
拠点aに60Dを新規設置しました。拠点a.拠点b.拠点cはルータでvpnトンネルを張っています。
拠点bと拠点cのインターネットの通信は一旦拠点aの60Dを通って外に出て行きます。
拠点aは問題ないのですが、拠点b、拠点cはインターネット使用した場合httpのみかなり表示が遅くなります。なのでGoogleは問題ないですがヤフーはかなり表示がら遅くなります。60Dのポリシー、UTM機能を切っても駄目でした。
メーカーに問い合わせたんですがありえない事象だと言われました…
なにかご教授いただきたいです。 60D でアンチウィルスのプロファイルが新規作成できない・・・・
ライセンスがないからとか?
それとも CLI で何かを有効化する必要があるのか? フューチャーで複数プロファイルのやつ有効にしてる? HA構成したときに、スイッチポートをモニタポートにすることってできますか? [拡散希望!]
参考になりそうなURL送っておきます
電磁波による拷問と性犯罪
http://denjiha.main.jp/higai/archives/category/%E6%9C%AA%E5%88%86%E9%A1%9E
公共問題市民調査委員会
http://masaru-kunimoto.com/
この方たちは集団訴訟の会を立ち上げてマスコミに記事にしてもらう事を目的に集団訴訟を被害者でしようという試みを持っている方達です
訴訟は50人集めてしようという事なのですが50人で訴訟をすると記事に書けるそうです
記事には原発問題を取り上げてテク犯被害を受ける様になった大沼安史さんらが取り上げて下さるそうです
大沼安史さんがテク犯に遭っているという記事
http://ameblo.jp/hilooooooooooooo/entry-11526674165.html
大沼安史の個人新聞
http://onuma.cocolog-nifty.com/blog1/4/index.html
この方たちは電話相談等も受け付けている様で電話番号を載せている方達は電話かけ放題の契約をしていますのでこちらから電話して本人にかけ直してくれと頼むとかけ直してくれます
音声送信被害等を受けている「電磁波による拷問と性犯罪」の記事の水上さんは年金暮らしなので時間には余裕があるそうで被害内容の話等を聞いてくださると思います
もう一人の電磁波犯罪には遭っていない国本さんという方は電磁波犯罪をしっかり理解されている方で年金暮らしの方なので長電話も大丈夫です
大沼さんはこちらのページからメールを受け付けておられる様です
http://onuma.cocolog-nifty.com/about.html
電話をかけたい場合は人によってはメールで電話番号を訊くと教えてくれると思います
この文章を見られた方は全文コピーをしてできるだけ多くの知り合いの被害者の方等にメールを送るなり被害者ブログに書き込むなりしていただければ大変有難いです
もし大勢の方に送る事が出来なければまだこの文章に触れていない知り合いの被害者に少しでも全文コピーで送っていただけるとその方が次の何人かの方に繋いで頂ける場合があり結果として大勢の方に見て頂く事が出来るはずです
ご協力よろしくお願い致します 👀
Rock54: Caution(BBR-MD5:f70dfdc711a7c6ae6accccb939f27fbf) お客さんところのHA構成のFortgate200Bをファームウェアのアップデートした
1アップグレードに20分取ってたら5分ぐらいで終わっちゃってちょっと驚いた
検証用に購入した1台放出しようかな
200Bは5.4台にできないし、
>>165
マスター側のスイッチポートは色々できたと思う FortiExplorerでUSB MGMTに繋げると
PCとFortigateはIPアドレスなくても通信できるのでしょうか? 4.0MR3でHA(Act-Passive)構成した時にDevicePriority同じ値にしないと
2台のFortigateのHBIF接続した時に片方が落ちるんだけど
Act-Passiveの時はDevicePriority揃えないとダメとかある? FortiGate ファーム 5.2.3
Forti AP ファーム 5.2
ブリッジモード接続で、SSIDステルスの設定は出来ないのでしょうか? >>171
4.0MR3台のコンフィグみたけど同じになってるな
揃えるべきかも 怪奇現象が発生しており、お知恵を拝借したく書き込ませていただきました。
<やりたいこと>
・Forigate 300Dを2台でHA構成
・社内の2つのネットワークの間に設置する
・もともとはルータ1台が置いてあって、ファイウォールに置き換える
(IPは同じものを使用。)
・AV機能のみ稼動
<今の状態>
2つのネットワークのうち、片方にFTPサーバ(1)があり、5分間隔くらいで、
もう片方のサーバ(2)から、ルータを経由して、ファイルのアップロードを行っている。
<発生していること>
・ルータからファイアウォールに切り替えた後、最初は問題なくFTP通信している。
・数時間経つと、突然サーバ(2)が、FTPサーバ(1)を見失い、通信できなくなる
・2回切り替えを行ったが、1回目は4時間、2回目は2時間くらいで、通信できなくなる。
(再現性あり)
・ルータに構成を戻すと、最初は同じく見失ったままだが、1時間くらいすると復旧する。
・ファイアウォールでパケットキャプチャ確認しても、サーバ(2)側のポートに該当パケットの通過なし。
サポートに問い合わせても、原因不明とのことで、お手上げ状態です。
「この辺が怪しんじゃね?」というのでもあったら、アドバイスいただけると助かります。 >>174
正直サポートがお手上げだとどうしようもなさそうだけど
L2レベルから疑ってみたらどうかな。
スイッチングHUBのMACテーブルとかサーバーのarpとか・・・ 両系アクティブの事象に似てる気がする
シングルで動かしてみて上手くいったらa-pで動作見たら? FortiOS 5.2.8アップデートがWebGUIに出てるのにいざアップデートしようとしたらダウンロードで失敗する
正常にアップデートできた兄貴いる? INTの定義なんて自由にやれるんだし、RJ-45のポート使えばいいんじゃない?
>>180
Fortiはあそこからのアップグレード成功するほうが珍しい
代理店なり保守契約結んでるところからDLしてアップグレードするよろし >>113
もう見てないと思うけど、サポートしているハードでも透過モードの時はDNSサーバの項目は表示されないみたい なぜかポート開放できん
DMZのインターフェースではできてるのに
なんでやろ? fortigateのVMライセンスで運用するのは、
何かデメリットとかあるのでしょうか?
適当に増設出来るKVMクラウド基盤に載せるんで、
マシンスペックが足りないという事は絶対無いんですが、
皆物理マシン買ってるみたいで、避けられてる理由でも
あるのかなと勘繰ってしまう… 同じ処理能力出そうとすると実機より高くつく
ってかASICじゃないから遅い 200Dと60D発注した。
支店に60D置くんだ。 AHやESPなとIPプロトコルをポートフォワードするのとって可能ですか?
GUIみてるのですが、TCPとかUDPはあるのにIPがない…
forti配下のCiscoにVPNを処理させたいのです ポートフォワードの意味を勘違いしているような気がする >>192
すいません。この場合はNATと表現すべきですかね… >>193
君の知識だったら金払ってプロにお願いした方が良いね。 勉強のために60Dをオクしようかと思ってるんだけど
契約切れてると制限されてる機能とかってありますかね? >>196
パターンファイルの更新とかファームのアップデートとか。 >>197
ありがとうございます
評価や勉強としては十分な感じですね 会社でのUTM導入を考えてスペックとにらめっこしてます
90Dいいなー、と思ったのですが、アンチウィルスのスループットが
フローで65Mbps/プロキシで35Mbpsと書かれてますけど
アンチウィルス機能をオンにするとそんなに遅くなりますか?
UTM導入は初経験なので、そこまで遅くなるのか実感が無いです UTMは単純捜査じゃないからASICとか効かないし
どこもそんなもん >>200
そんなもんですかー
実効速度がフローでも50Mbpsになりそうですけど
もう一段高い100Dを検討しようかな… ■ このスレッドは過去ログ倉庫に格納されています