Fortigateについて語ろう4
■ このスレッドは過去ログ倉庫に格納されています
FortiGateシリーズは、ネットワーク全体を総合的に保護するハードウェアベースの ネットワーク・プロテクション・ゲートウェイ(NPG)です。 Fortinet社独自開発のABACASTM(Accelerated Behavior and Content Analysis System) テクノロジと独自のASIC(FortiAsic)ベースアーキテクチャを採用した、次世代 ネットワークプロテクション・アプライアンスです。 ファイアウォール、不正侵入、VPN、トラフィックシェーピングなどネットワークレベル のサービスに加え、ウィルスプロテクションやコンテンツフィルタリングなどの アプリケーションレベルのサービス機能も搭載しており、効果的にネットワークを保護します。 FortiGateは、4種類のICSA認定取得をしています。 アンチウイルス、ファイアウォール、IPSec、IDS セールスポイントは非常に魅力的ですばらしいのですが、 非常に個性的な製品ですので、皆さん助け合って安定稼働に努めましょう。 フォーティネットジャパン http://www.fortinet.co.jp/ FortiProtect Center http://www.fortinet.com/FortiProtectCenter/ 質問する際には必ずFortiGateの機種、FortiOSのバージョン、 ネットワーク構成・環境を報告してください。
>>289 情報ありがとう。 まさしく5.2系で、5.2.8でダメだったので最近でた5.2.10にアップグレードしたけど変わらずでした。 仕様なら諦めるしかないけど、5.2特有ならバグかな。。 5.4には他の面で支障が出てくるから上げたくないし、もうちょっと調べてみます。 >>286 本家のスレッド読み進めていくとどうやらPPPoEの フレームタイプはオフロードされないみたい。 CPUが非力な下位モデルでは厳しいかも。 前にPPPoE用のルータ置いてFortigateはブリッジモードで 使いしかないのかも。 >>291 ありがとう、こちらでもスレッド確認しました。 容量5GB、500ファイル程度の圧縮データを流すと CPU 使用率が一気に 100 % にもなるんで、 ASIC 効いてないのは間違いなさそうです。 で、PPPoE でなければ CPU 使用率も問題なし。 このラインの製品使うとこなら、わざわざ上位にルータ置くことも少ないし この辺りは仕様に書いといて欲しいなあ。(基本 UTM ありきの製品とはいえ。) でもこの手のモデルは、PPPoEが多いと思うけどなぁ PPPoE の時、ASIC は効きません。 ハンドブックを読んでみよう。 各種PCUNIXでもPPPoEをカーネルモードで処理しないと速度でないしナ。 200Dだけど、スループット800Mbps出てても、ポリシーでサービスをallからhttpにするだけで、半分以下になった こんなもんなんすか! >>298 結果だけ言われてもどーしようもねーよバーカ! gigabitの線があるなら箱もgigabit性能欲しいよね。 ギガの性能についてはUTMやPPPoEは切り離して検討すべき話かな? そもそもCPU依存機能は計測しにくい。 xeon詰んでる機種あたりでやっとリソースへの不満が大分減る。主観ですが。。。 そろそろ国内でもE型番が出てくるらしく2桁型番のスペックへの不満は それなりに改善されるんじゃないか。 ポリシーのサービスをallからhttpに変えるだけで、そんなパフォーマンスが落ちるのかって話だよ 経験のない奴は黙ってて UTMの機能はともかく、PPPoEぐらいは楽々捌いてくれないとね。 だったら構成ぐらい書けよバーカ!その程度でSE名乗ってんじゃねーよ! Fortigateは、VIPに対するあくせすで、Port443は、サーバAに、Port80はサーバBにみたいに、 プロコルごとに振り分け先を変えることはできないのですか? vip をたとえば、 vip1 10.1.1.1--->192.168.1.1 vip2 10.1.1.1--->192.168.10.1 と定義しようとすると、重複アドレスエラーになるのですが。 (NAT元のアドレスが同じだとduplicateになります) 200Dなんですが、トランスペアレントモードでHA構成組んだ事ある方いますか? 障害時からの切り戻りがなんか不安定で、やるタイミングか状況かでうまくいったりいかなかったりします。 やっぱルータモードの方がいいんでしょうか? バージョンは5.2.9です >>308 バーチャルIPの設定の中にポートフォワードのチェックボックスあるじゃん 転送先をip:ポートじゃなくてipだけにしたいとか言うならしらん >>310 ありがとうございます。 その設定で下記ができるですか? 443,80 10.1.1.1 443 --------------->VIP------------>192.168.1.1 | 80 +------------->192.168.0.1 >>310 ありがとうございます。 その設定で下記ができるですか? 443,80 10.1.1.1 443 --------------->VIP------------>192.168.1.1 | 80 +------------->192.168.0.1 >>310 ※だめですね。ずれて絵が描けません。 ありがとうございます。 その設定で下記ができるですか? 443,80 10.1.1.1 443 --------------->VIP------------>192.168.1.1 | 80 +------------->192.168.0.1 >>310 >>314 実は運用で使い始めていて試せなかったため、質問させて頂いたのですが、 運用時間外で試行することができ、ポートフォーワーディングとペアで設定 すると、同じNAT元VIPでもduplicateしないことを確認できました。 ありがとうございました。 5.4.2で DNS Filter あてたポリシーからアクセスすると、 ブラウザが一度名前を引けずにタイムアウトする。 少し待ってアクセスすると問題ない。 5.4.3いれても変わらないんだけど同じ症状の人いるかな? DMZにあるサーバにinternalから、VIPは出来るけど、サーバからWANへ出て行けません。VIPを無効にすると出て行けます。 いい手はないでしょうか。 だれか助けて。 VPNのためにFortiClientをPCにインストールしてたが ある時にインターネットができなくなった(昨年12月頃)。 OSはWindws10。 で、WEBからまた新しいFortiClientをインストールしようとしたが https://www.fortinet.com/support-and-training/support/product-downloads.html 今まではすぐにダウンロードできたが今度はメールアドレスなど細かい個人情報を 聞いてきた。これってなんで変わったの?それともおかしなサイトをオレが見てる? で、適当に情報を入力して、FortiClientをダウンロードしてインストールすると なんと勝手にアンチウイルスソフトまでインストールさせられた。前は インストールしないのを選べた。それでFortiClientアンチウイルスがWin10の Defenderとバッティングして、Defenderをオンにできない。 みんなどうしてるの?Defenderをオンにしたいんだけど。辛いわ。 >>319 なんでダウンロードサイトが2つもあるんだよ?w とにかく、神様ありがとう。 >>319 今のforticlientを一度アンインストールして、 vpn onlyのインストーラーで再インストールすればよいと 思うが、そもそも今のforticlientをアンイストールできない。 下記のエラーが出てアンイストールできない。 どうすればいいの?なんなんだろうこれ? forticlient cannot be modified or removed while it is registered to a remote management server >>321 たぶんfortigateにクライアントが登録されてるんじゃね。 forticlientのコンソール開いてファイル→登録解除。 でどうかな。 FortiViewの送信元(またはすべてのセッション)にデバイスっていう項目があるけど、これを表示する方法はありますか? WinやiOSで試しても出てこないのでOS依存ではなさそう。 ハンドブック読んでも書いてなく、DHCPサーバ予約設定のDiscriptionに文字列入れてみたけど表示されずで用途も使い方もわかりません。 >>323 ユーザ&デバイスのデバイス定義を設定してみるとか。 >>323 ポリシーの送信元デバイスタイプをとりあえずAll にすればデバイス検出が有効化される。 IP address is in same subnet as the othersのエラーが出た場合は 下記コマンドをcliで config system settings set allow-subnet-overlap enable end >>317 VIPを無効にすると出て行けるなら、犯人は恐らくSNAT ipsecで見覚えのないアドレスから接続しようとしていたので このアドレスに対してdenyのポリシーを作りたいのですが 入力インターフェースWAN1 出力インターフェースANY で作ればいいのでしょうか。 >>328 local-in-policy だね。 CLIからのみ、設定可能。 5.4で質問です。 ntpサーバとの同期をしたく、CLIからサーバのアドレスいれてもエラーがでて投入できません。 5.4以前のバージョンではインターフェイスの設定があったと思いますがそれがなくなっていました。 他に設定する項目ありましたでしょうか? >>331 どんなエラーをだしてるのかね。タイプをcustomにしてないとか言うオチじゃないよね。 カスタムにはしましたが駄目でした。 カスタムにはすれば即時反映なんですよね? 一旦セーブするとかあるんでしょうか? 因みにエラーは下記です。 UTM (ntp) # set source-ip 192.168.10.203 192.168.10.203 is not valid source ip. node_check_object fail! for source-ip 192.168.10.203 value parse error before '192.168.10.203 ' 5.4にするメリットが不明なんだが、結構あげる人いるんだなあ。 >>333 source-ipってNTPにアクセスするインターフェースのアクセス元IPではなかったか >>335 おっしゃる通りでした。 インターフェイスのアドレスを入れるとソースipは入力できましたがntpサーバアドレスを入力するとかコマンドが見当たりません。エンドで抜けようとするとntpサーバのアドレスが不明みたいなエラーがでます。。。 Fortigateってどことサポート契約するのが良い? たしか、メーカーの直接サポートはなくて、販売会社?との契約だよね? そうなると、単なる売ってるだけの所から、技術が強いところまで色々ありそう 設定とか迷ったときに、安心して問合せが出来る所はどこだろう? SCSKとかCTCじゃないかな やっぱ大手じゃないとサポートレベルが低い ローエンドならEシリーズになるからそっちの方を今後かうべし 最近めっちゃ多い標準攻撃メールだけどみんなのとこもfortiスルーしてる? 思ったより高性能って訳でもないのかなー >>348 その程度のものなのか 最近ゼロックスのビートにするか悩んでる 60C使ってるけど最初のダッシュボードが全部表示されるのにめちゃくちゃ時間かかるね。 FortiAnalyzerって基本保守契約がなくても使えますか? ヤフオクとかで中古を買ってもログの閲覧などできるでしょうか。 先週始めてFortigateを触りました。 Fortigate-50Eをトランスペアレントモードにしたいのですが、 GUIに[変更]のリンクが出ないし、CLIでset opmode transparentも使えません…。 もしかして、50Eはトランスペアレントモードをサポートしてないのでしょうか…。 >>351 それ後継機器でも一緒。開くのに時間かかるからイライラする。 仮想上アプライアンスでかんばってるけど IronportとNSXがアンチウイルスベンダーと絡んで何かやってるみたいだから 風前の灯かもな。 LDAP認証で、対Windows AD ユーザー登録まで、AD参照でできるけど、 実際の認証ができない。 administratorで接続してもダメなんだよね シングルサインオンはやってません。 >>363 AD情報を参照できてるってことはconfig user ldapの設定には問題がなさそうだけど、「ユーザー登録まで、AD参照」ってどういう意味? 普通は、 (1)config user ldapを設定 (2)config user groupでFortiGate上にグループとAD上のグループと紐付け (3)上記(2)で作ったグループをconfig system adminやVPNで利用する って設定の流れだと思うが。 >>364 ありがとうございます。 ForticlientからIPsecVPN remoteで認証しようとしてます。ローカルユーザーはOKです。 XauthをPAPやCHAPで試してもダメでした。 LDAPサーバー設定のユーザーで違うパスワードを入れてテストするとNGなので、認証してるように思うんですけどね。 >>365 コモンネーム識別子のところ cn とかにしてない? sAMAccountName になっているか確認してみ。 >>367 CLIで diagnose test authserver ldap <LDAP server_name> <username> <password> で該当ユーザーを確認して正常ならIPSECアクセス許可しているLDAPのとろこの 見直しやポリシー見直しかな。 ちなみに5.4系はバグバグなので検証したことがないw 5.2系ならうちでは正常に認証している。 >>367 追加説明 ユーザーのVPN許可グループにLDAPのVPN許可グループを 追加してうちでは認証させてます。 ADにVPNユーザーグループ作ってその中に許可ユーザーを入れてます。 ちなみにadministratorはテスト後は正常にアクセス確認後は外してます。 >>369 AD側のユーザーに問題は? [次回ログオン時にパスワード変更が必要]にチェック入れてて一度もパスワード変更してないと認証通らないよ。 SSL-VPNでやってるけど LDAPサーバの設定で コモンネーム: sAMAccountName 識別名: dc=hoge,dc=local バインドタイプ: レギュラー ユーザDN: cn=administrator,cn=users,dc=hoge,dc=local セキュアな接続: オフ ユーザグループはサーバ選んでLDAPグループクエリで参照して選んで これだけでいけているなうちは ver5.0.12だけど・・・・ 皆さんありがとうございます CLIから、diagnose .... でldapテストしてみると、failが返ってきます チョット手詰まりですね もう一度、見直してみます わかる方教えてください。 100DをFW兼SSL-VPNゲートウェイ装置としてかんがえています。 ただ、トランスペアレントモードで使うことは可能でしょうか? インターネット固定IP一個でインターネット側には、拠点間接続用のVPNルータがおり、ポートフォワードで100Dにきます。 DMZ上にSSL-VPNで使わせたいサーバを置きます。 ムリ。ポートフォワードできるならNATモードでいいんじゃ >>374 ありがとうございます。 無理なのですね。 NATモードだとアドレスの関係が複雑になるので、さけたかったんですがよく考えます。 60Cでdmzポートからvipでinternalへの通信てできないのかな wan1,wan2だとvipでできたんだけど 出来たらおかしいだろ VIPの定義に使ってるの外向けIPなんだし 以前LDAPがうまくいかなかった>>372 です。解決しましたので報告致します。 コモンネーム: sAMAccountName の設定で、先頭に半角スペースが入っていました>_< 情けない〜 >>377 どういこと? dmzポートをonuに繋いでfg60cからpppoeでグローバルip取得 vipでグローバルipとinternalのip紐付け ポリシーを適切に設定してるけどvip機能してないように見える 同じようにwan1またはwan2をonuに繋いでfg60cからpppoeでグローバルip取得 vipでグローバルipとinternalのip紐付け ポリシーを適切に設定するとちゃんとルーティングしてる わからん… 正直動作は変わんないんだからWANとかDMZとかわけわからん名前 付けずに通し番号振った上でバスやチップとの接続状態を全公開 してほしい。 >>384 違いがあったから書いてるんだけど dmzって60Cについてるポートの名前だよwan1,wan2も wan,dmz以外の普通のポートはどうなん?試した? >>385 テキストのコンフィグ見たら違いとかないの? ステータスが拾える拾えないとか多少の違いはあるけど、動作としては 原則どのポート使っても設定合ってれば違いないと思うけど。 >>384 wanとかdmzとか決まってる方が、やり易いじゃん。テプラて貼るの不細工だし >>388 その用途通りにポートを配置できるうちはいいんさ。 極端な話WAN側にLANをささなきゃならなくなった場合にすげえ困る(´・ω・`) ■ このスレッドは過去ログ倉庫に格納されています
read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる