Fortigateについて語ろう4

**anonymous@**125.090.net5.hinocatv.ne.jp · 2014/02/09(日) 17:15:56.81

FortiGateシリーズは、ネットワーク全体を総合的に保護するハードウェアベースの
ネットワーク・プロテクション・ゲートウェイ（NPG）です。
Fortinet社独自開発のABACASTM(Accelerated Behavior and Content Analysis System)
テクノロジと独自のASIC（FortiAsic）ベースアーキテクチャを採用した、次世代
ネットワークプロテクション・アプライアンスです。
ファイアウォール、不正侵入、VPN、トラフィックシェーピングなどネットワークレベル
のサービスに加え、ウィルスプロテクションやコンテンツフィルタリングなどの
アプリケーションレベルのサービス機能も搭載しており、効果的にネットワークを保護します。
FortiGateは、4種類のICSA認定取得をしています。
アンチウイルス、ファイアウォール、IPSec、IDS

セールスポイントは非常に魅力的ですばらしいのですが、
非常に個性的な製品ですので、皆さん助け合って安定稼働に努めましょう。

フォーティネットジャパン
http://www.fortinet.co.jp/
FortiProtect Center
http://www.fortinet.com/FortiProtectCenter/

質問する際には必ずFortiGateの機種、FortiOSのバージョン、ネットワーク構成・環境を報告してください。

**anonymous** · 2016/12/04(日) 12:47:35.23

>>289
情報ありがとう。
まさしく5.2系で、5.2.8でダメだったので最近でた5.2.10にアップグレードしたけど変わらずでした。
仕様なら諦めるしかないけど、5.2特有ならバグかな。。
5.4には他の面で支障が出てくるから上げたくないし、もうちょっと調べてみます。

**ななしさん** · 2016/12/04(日) 13:05:16.58

>>286
本家のスレッド読み進めていくとどうやらPPPoEの
フレームタイプはオフロードされないみたい。

CPUが非力な下位モデルでは厳しいかも。

前にPPPoE用のルータ置いてFortigateはブリッジモードで
使いしかないのかも。

**anonymous@**157.190.130.210.rev.vmobile.jp · 2016/12/04(日) 13:58:22.34

このスレの皆さんは、凄いね。

**anonymous** · 2016/12/04(日) 14:02:36.32

>>291
ありがとう、こちらでもスレッド確認しました。

容量5GB、500ファイル程度の圧縮データを流すと
CPU 使用率が一気に 100 % にもなるんで、
ASIC 効いてないのは間違いなさそうです。
で、PPPoE でなければ CPU 使用率も問題なし。

このラインの製品使うとこなら、わざわざ上位にルータ置くことも少ないし
この辺りは仕様に書いといて欲しいなあ。(基本 UTM ありきの製品とはいえ。)

**anonymous@**157.190.130.210.rev.vmobile.jp · 2016/12/04(日) 14:16:11.74

でもこの手のモデルは、PPPoEが多いと思うけどなぁ

**anonymous@**14.79.232.153.ap.dti.ne.jp · 2016/12/05(月) 15:47:43.27

PPPoE の時、ASIC は効きません。
ハンドブックを読んでみよう。

**anonymous@**95.69.239.49.rev.vmobile.jp · 2016/12/08(木) 17:07:58.60

ASICが効かないと、そんなに遅いんですか！

**anonymous** · 2016/12/08(木) 21:01:11.97

各種PCUNIXでもPPPoEをカーネルモードで処理しないと速度でないしナ。

**anonymous@**114.179.138.210.rev.vmobile.jp · 2016/12/10(土) 14:37:52.30

200Dだけど、スループット800Mbps出てても、ポリシーでサービスをallからhttpにするだけで、半分以下になった
こんなもんなんすか！

**ななしさん** · 2016/12/10(土) 21:56:20.11

>>298
結果だけ言われてもどーしようもねーよバーカ！

**anonymous** · 2016/12/10(土) 22:41:17.10

gigabitの線があるなら箱もgigabit性能欲しいよね。

**anonymous@**ab130124.dynamic.ppp.asahi-net.or.jp · 2016/12/11(日) 02:07:34.82

結果だけで十分と思うが

**ななしさん** · 2016/12/11(日) 02:24:50.08

計測方法くらい書けよ

a · 2016/12/11(日) 06:38:36.72

ギガの性能についてはUTMやPPPoEは切り離して検討すべき話かな？
そもそもCPU依存機能は計測しにくい。
xeon詰んでる機種あたりでやっとリソースへの不満が大分減る。主観ですが。。。
そろそろ国内でもE型番が出てくるらしく２桁型番のスペックへの不満は
それなりに改善されるんじゃないか。

**anonymous@**180.72.239.49.rev.vmobile.jp · 2016/12/11(日) 12:35:05.22

ポリシーのサービスをallからhttpに変えるだけで、そんなパフォーマンスが落ちるのかって話だよ
経験のない奴は黙ってて

**anonymous** · 2016/12/11(日) 13:56:51.32

UTMの機能はともかく、PPPoEぐらいは楽々捌いてくれないとね。

**ななしさん** · 2016/12/11(日) 14:25:41.19

だったら構成ぐらい書けよバーカ！その程度でSE名乗ってんじゃねーよ！

fg · 2016/12/11(日) 15:35:48.16

>>306
いいこといったwwww

**anonymous@**M106072176096.v4.enabler.ne.jp · 2016/12/13(火) 23:54:45.58

Fortigateは、VIPに対するあくせすで、Port443は、サーバAに、Port80はサーバBにみたいに、
プロコルごとに振り分け先を変えることはできないのですか？
vip をたとえば、 vip1 10.1.1.1--->192.168.1.1 vip2 10.1.1.1--->192.168.10.1
と定義しようとすると、重複アドレスエラーになるのですが。
（NAT元のアドレスが同じだとduplicateになります）

**anonymous@**KD182251249045.au-net.ne.jp · 2016/12/14(水) 18:23:02.03

200Dなんですが、トランスペアレントモードでHA構成組んだ事ある方いますか？
障害時からの切り戻りがなんか不安定で、やるタイミングか状況かでうまくいったりいかなかったりします。
やっぱルータモードの方がいいんでしょうか？
バージョンは5.2.9です

**anonymous@**sp1-75-196-89.msb.spmode.ne.jp · 2016/12/14(水) 18:46:14.03

>>308
バーチャルIPの設定の中にポートフォワードのチェックボックスあるじゃん

転送先をip:ポートじゃなくてipだけにしたいとか言うならしらん

**anonymous@**M106072176096.v4.enabler.ne.jp · 2016/12/16(金) 00:58:52.05

>>310

ありがとうございます。
その設定で下記ができるですか？

443,80 10.1.1.1 443
--------------->VIP------------>192.168.1.1
| 80
+------------->192.168.0.1

**anonymous@**M106072176096.v4.enabler.ne.jp · 2016/12/16(金) 01:00:15.02

>>310

ありがとうございます。
その設定で下記ができるですか？

443,80 10.1.1.1　　　　443
--------------->VIP------------>192.168.1.1
　　　　　　　　　|　　80
　　　　　　　　　+------------->192.168.0.1

**anonymous@**M106072176096.v4.enabler.ne.jp · 2016/12/16(金) 01:02:09.67

>>310

　　　　※だめですね。ずれて絵が描けません。

ありがとうございます。
その設定で下記ができるですか？

443,80 10.1.1.1　　　　　　　443
--------------->VIP------------>192.168.1.1
　　　　　　　　　　　　|　　80
　　　　　　　　　　　　+------------->192.168.0.1

**anony** · 2016/12/16(金) 16:41:46.41

問題無いと思うけど、試してみたら？

**anonymous@**M106072176096.v4.enabler.ne.jp · 2016/12/18(日) 14:44:05.06

>>310
>>314
実は運用で使い始めていて試せなかったため、質問させて頂いたのですが、
運用時間外で試行することができ、ポートフォーワーディングとペアで設定
すると、同じNAT元VIPでもduplicateしないことを確認できました。
ありがとうございました。

**anony** · 2016/12/28(水) 15:35:10.04

5.4.2で DNS Filter あてたポリシーからアクセスすると、
ブラウザが一度名前を引けずにタイムアウトする。
少し待ってアクセスすると問題ない。
5.4.3いれても変わらないんだけど同じ症状の人いるかな？

**anonymous@**113.37.37.242 · 2016/12/29(木) 07:40:21.06

DMZにあるサーバにinternalから、VIPは出来るけど、サーバからWANへ出て行けません。VIPを無効にすると出て行けます。
いい手はないでしょうか。

**anonymous@**i114-185-80-194.s42.a013.ap.plala.or.jp · 2017/01/02(月) 14:23:04.29

だれか助けて。

VPNのためにFortiClientをPCにインストールしてたが
ある時にインターネットができなくなった（昨年12月頃）。
OSはWindws10。

で、WEBからまた新しいFortiClientをインストールしようとしたが
https://www.fortinet.com/support-and-training/support/product-downloads.html

今まではすぐにダウンロードできたが今度はメールアドレスなど細かい個人情報を
聞いてきた。これってなんで変わったの？それともおかしなサイトをオレが見てる？

で、適当に情報を入力して、FortiClientをダウンロードしてインストールすると
なんと勝手にアンチウイルスソフトまでインストールさせられた。前は
インストールしないのを選べた。それでFortiClientアンチウイルスがWin10の
Defenderとバッティングして、Defenderをオンにできない。

みんなどうしてるの？Defenderをオンにしたいんだけど。辛いわ。

**ななし** · 2017/01/02(月) 20:37:21.78

>>318
http://www.forticlient.com/#download
こっちのインストーラでvpn only選べる。

**anonymous@**i114-185-80-194.s42.a013.ap.plala.or.jp · 2017/01/02(月) 22:33:04.85

>>319
なんでダウンロードサイトが2つもあるんだよ？ｗ

とにかく、神様ありがとう。

**anonymous@**i114-185-80-194.s42.a013.ap.plala.or.jp · 2017/01/02(月) 23:19:02.08

>>319

今のforticlientを一度アンインストールして、
vpn onlyのインストーラーで再インストールすればよいと
思うが、そもそも今のforticlientをアンイストールできない。

下記のエラーが出てアンイストールできない。
どうすればいいの？なんなんだろうこれ？

forticlient cannot be modified or removed while
it is registered to a remote management server

**ななし** · 2017/01/02(月) 23:40:37.00

>>321
たぶんfortigateにクライアントが登録されてるんじゃね。
forticlientのコンソール開いてファイル→登録解除。
でどうかな。

**anonymous** · 2017/01/03(火) 18:43:24.66

FortiViewの送信元(またはすべてのセッション)にデバイスっていう項目があるけど、これを表示する方法はありますか？
WinやiOSで試しても出てこないのでOS依存ではなさそう。
ハンドブック読んでも書いてなく、DHCPサーバ予約設定のDiscriptionに文字列入れてみたけど表示されずで用途も使い方もわかりません。

**ななし** · 2017/01/03(火) 22:06:12.31

>>323
ユーザ＆デバイスのデバイス定義を設定してみるとか。

**ななしさん** · 2017/01/03(火) 22:22:21.35

>>323

ポリシーの送信元デバイスタイプをとりあえずAll
にすればデバイス検出が有効化される。

IP address is in same subnet as the othersのエラーが出た場合は
下記コマンドをcliで

config system settings
　set allow-subnet-overlap enable

end

**anony** · 2017/01/04(水) 10:35:29.25

>>317
VIPを無効にすると出て行けるなら、犯人は恐らくSNAT

**anonymous@**p78228-ipbffx02marunouchi.tokyo.ocn.ne.jp · 2017/01/06(金) 14:21:57.64

>>322
ありがとう。
いま確認中です。

**ななし** · 2017/01/07(土) 11:33:22.25

ipsecで見覚えのないアドレスから接続しようとしていたので
このアドレスに対してdenyのポリシーを作りたいのですが
入力インターフェースWAN1
出力インターフェースANY
で作ればいいのでしょうか。

**あのにー** · 2017/01/07(土) 23:46:53.86

>>328
local-in-policy だね。
CLIからのみ、設定可能。

**ななし** · 2017/01/08(日) 07:30:18.24

>>329
ありがとうございます。

**anonymous@**KD182251249014.au-net.ne.jp · 2017/01/10(火) 13:34:35.56

5.4で質問です。

ntpサーバとの同期をしたく、CLIからサーバのアドレスいれてもエラーがでて投入できません。
5.4以前のバージョンではインターフェイスの設定があったと思いますがそれがなくなっていました。
他に設定する項目ありましたでしょうか？

**あのにー** · 2017/01/10(火) 22:28:41.12

>>331
どんなエラーをだしてるのかね。タイプをcustomにしてないとか言うオチじゃないよね。

**331** · 2017/01/10(火) 23:29:04.94

カスタムにはしましたが駄目でした。
カスタムにはすれば即時反映なんですよね？
一旦セーブするとかあるんでしょうか？
因みにエラーは下記です。
UTM (ntp) # set source-ip 192.168.10.203
192.168.10.203 is not valid source ip.
node_check_object fail! for source-ip 192.168.10.203
value parse error before '192.168.10.203 '

**anony** · 2017/01/11(水) 21:31:20.26

5.4にするメリットが不明なんだが、結構あげる人いるんだなあ。

**anonymous@**KD182251254004.au-net.ne.jp · 2017/01/12(木) 12:23:49.63

>>333
source-ipってNTPにアクセスするインターフェースのアクセス元IPではなかったか

**anonymous@**128.230.214.202.rev.vmobile.jp · 2017/01/12(木) 13:06:28.74

素直に、バージョンダウンしたら？

**331** · 2017/01/13(金) 22:56:16.39

>>335
おっしゃる通りでした。
インターフェイスのアドレスを入れるとソースipは入力できましたがntpサーバアドレスを入力するとかコマンドが見当たりません。エンドで抜けようとするとntpサーバのアドレスが不明みたいなエラーがでます。。。

F · 2017/01/14(土) 20:00:23.49

>>337
ググれ。

**anonumous** · 2017/01/14(土) 22:21:37.93

Fortigateってどことサポート契約するのが良い？
たしか、メーカーの直接サポートはなくて、販売会社？との契約だよね？
そうなると、単なる売ってるだけの所から、技術が強いところまで色々ありそう
設定とか迷ったときに、安心して問合せが出来る所はどこだろう？

fg · 2017/01/14(土) 22:40:11.52

SCSKとかCTCじゃないかな
やっぱ大手じゃないとサポートレベルが低い

**anonymous@**pw126245136073.16.panda-world.ne.jp · 2017/01/19(木) 21:14:42.50

>>339
検討してるモデルはどのへんだい？

**anonymous@**250.64.239.49.rev.vmobile.jp · 2017/01/22(日) 09:58:41.59

60D買ったけど、5.2.5だった
よかった

**anonymous@**pw126245128002.16.panda-world.ne.jp · 2017/01/24(火) 17:47:49.62

ローエンドならEシリーズになるからそっちの方を今後かうべし

**anonymous@**231.208.138.210.rev.vmobile.jp · 2017/01/26(木) 06:02:06.19

一年以上経たないとEは買わないな

**anony** · 2017/01/30(月) 09:13:21.45

最近めっちゃ多い標準攻撃メールだけどみんなのとこもfortiスルーしてる？
思ったより高性能って訳でもないのかなー

**anonymous@**72.6.138.210.rev.vmobile.jp · 2017/01/30(月) 16:05:23.82

せめて件名書いてもらえないと

**anonymous@**183.250.149.210.rev.vmobile.jp · 2017/01/30(月) 17:11:55.41

>>345
標準じゃなくて標的型な？

**anonymous@**182-166-115-198f1.hyg1.eonet.ne.jp · 2017/01/30(月) 22:19:24.19

コスパが売りのfortigateだと思います…

**ななしさん** · 2017/01/31(火) 06:41:10.44

>>348
でも値上げしたのが残念。

**nonymous** · 2017/01/31(火) 09:34:33.29

>>348
その程度のものなのか
最近ゼロックスのビートにするか悩んでる

**anonymous** · 2017/02/05(日) 13:32:36.91

60C使ってるけど最初のダッシュボードが全部表示されるのにめちゃくちゃ時間かかるね。

**anonymous@**42.72.239.49.rev.vmobile.jp · 2017/02/05(日) 14:32:07.08

今60Cの事、言われても

**Forti** · 2017/02/06(月) 19:19:37.27

FortiAnalyzerって基本保守契約がなくても使えますか?
ヤフオクとかで中古を買ってもログの閲覧などできるでしょうか。

**anonymous@**ntszok032095.szok.nt.ngn.ppp.infoweb.ne.jp · 2017/02/06(月) 21:07:42.69

先週始めてFortigateを触りました。
Fortigate-50Eをトランスペアレントモードにしたいのですが、
GUIに[変更]のリンクが出ないし、CLIでset opmode transparentも使えません…。
もしかして、50Eはトランスペアレントモードをサポートしてないのでしょうか…。

**anonymous@**2.125.214.202.rev.vmobile.jp · 2017/02/07(火) 16:14:39.48

そんな事ないと思うけど

**anonymous@**2.125.214.202.rev.vmobile.jp · 2017/02/07(火) 16:15:36.65

Eはやる気もないので、ゴメンな

**nonymous** · 2017/02/09(木) 11:54:26.69

このスレ的にはcheckpointってどう？

**anony** · 2017/02/09(木) 19:41:31.68

過去の遺物

**anonymous** · 2017/02/10(金) 11:37:10.20

>>351
それ後継機器でも一緒。開くのに時間かかるからイライラする。

**anonymous@**p1309083-omed01.osaka.ocn.ne.jp · 2017/02/10(金) 21:48:02.84

仮想上アプライアンスでかんばってるけど
IronportとNSXがアンチウイルスベンダーと絡んで何かやってるみたいだから
風前の灯かもな。

**anonymous** · 2017/02/10(金) 22:13:18.73

>>360
何が？

**anonymous@**FL1-119-242-82-53.kng.mesh.ad.jp · 2017/02/10(金) 23:21:55.86

仮想アプライアンスってたくさんあるな

**anonymous@**43.252.149.210.rev.vmobile.jp · 2017/02/11(土) 12:26:11.63

LDAP認証で、対Windows AD
ユーザー登録まで、AD参照でできるけど、
実際の認証ができない。
administratorで接続してもダメなんだよね
シングルサインオンはやってません。

**anonymous@**p924b89.tokyff01.ap.so-net.ne.jp · 2017/02/12(日) 09:41:47.13

>>363
AD情報を参照できてるってことはconfig user ldapの設定には問題がなさそうだけど、「ユーザー登録まで、AD参照」ってどういう意味？
普通は、
(1)config user ldapを設定
(2)config user groupでFortiGate上にグループとAD上のグループと紐付け
(3)上記(2)で作ったグループをconfig system adminやVPNで利用する
って設定の流れだと思うが。

**anonymous@**55.65.239.49.rev.vmobile.jp · 2017/02/12(日) 13:54:39.65

>>364
ありがとうございます。
ForticlientからIPsecVPN remoteで認証しようとしてます。ローカルユーザーはOKです。
XauthをPAPやCHAPで試してもダメでした。
LDAPサーバー設定のユーザーで違うパスワードを入れてテストするとNGなので、認証してるように思うんですけどね。

**ななしさん** · 2017/02/12(日) 16:04:38.77

>>365

コモンネーム識別子のところ　cn　とかにしてない？

sAMAccountName　になっているか確認してみ。

**anonymous@**55.65.239.49.rev.vmobile.jp · 2017/02/12(日) 16:14:24.82

やってるんすよ

**ななしさん** · 2017/02/12(日) 16:30:11.92

>>367

CLIで　 diagnose test authserver ldap <LDAP server_name> <username> <password>
で該当ユーザーを確認して正常ならIPSECアクセス許可しているLDAPのとろこの
見直しやポリシー見直しかな。

ちなみに5.4系はバグバグなので検証したことがないｗ
5.2系ならうちでは正常に認証している。

**ななしさん** · 2017/02/12(日) 16:38:18.46

>>367
　追加説明　ユーザーのVPN許可グループにLDAPのVPN許可グループを
追加してうちでは認証させてます。

ADにVPNユーザーグループ作ってその中に許可ユーザーを入れてます。

ちなみにadministratorはテスト後は正常にアクセス確認後は外してます。

**anonymous@**p924b89.tokyff01.ap.so-net.ne.jp · 2017/02/13(月) 00:49:26.79

>>369
AD側のユーザーに問題は？
[次回ログオン時にパスワード変更が必要]にチェック入れてて一度もパスワード変更してないと認証通らないよ。

**anony** · 2017/02/14(火) 18:37:16.79

SSL-VPNでやってるけど

LDAPサーバの設定で
　コモンネーム: sAMAccountName
　識別名: dc=hoge,dc=local
　バインドタイプ: レギュラー
　ユーザDN: cn=administrator,cn=users,dc=hoge,dc=local
　セキュアな接続: オフ

ユーザグループはサーバ選んでLDAPグループクエリで参照して選んで
これだけでいけているなうちは
ver5.0.12だけど・・・・

**anonymous@**234.72.239.49.rev.vmobile.jp · 2017/02/15(水) 16:17:51.86

皆さんありがとうございます
CLIから、diagnose .... でldapテストしてみると、failが返ってきます
チョット手詰まりですね
もう一度、見直してみます

**anonymous@**KD182250241005.au-net.ne.jp · 2017/02/20(月) 19:51:35.97

わかる方教えてください。
100DをFW兼SSL-VPNゲートウェイ装置としてかんがえています。
ただ、トランスペアレントモードで使うことは可能でしょうか？

インターネット固定IP一個でインターネット側には、拠点間接続用のVPNルータがおり、ポートフォワードで100Dにきます。
DMZ上にSSL-VPNで使わせたいサーバを置きます。

F · 2017/02/21(火) 09:44:59.36

ムリ。ポートフォワードできるならNATモードでいいんじゃ

**373** · 2017/02/21(火) 11:04:12.53

>>374
ありがとうございます。
無理なのですね。
NATモードだとアドレスの関係が複雑になるので、さけたかったんですがよく考えます。

**anonymous@**pdf874843.tokynt01.ap.so-net.ne.jp · 2017/02/25(土) 20:24:04.92

60Cでdmzポートからvipでinternalへの通信てできないのかな
wan1,wan2だとvipでできたんだけど

**anonymous** · 2017/02/27(月) 19:06:38.60

出来たらおかしいだろ
VIPの定義に使ってるの外向けIPなんだし

**anonymous@**65.198.214.202.rev.vmobile.jp · 2017/02/28(火) 12:30:42.35

以前LDAPがうまくいかなかった>>372です。解決しましたので報告致します。
コモンネーム: sAMAccountName
の設定で、先頭に半角スペースが入っていました>_<
情けない～

**ななしさん** · 2017/02/28(火) 18:38:28.28

>>378
乙ですた。

はまるときはそんなもんｗ

**anony** · 2017/03/01(水) 09:15:52.56

わろたｗｗ
お疲れさま！

**anonymous** · 2017/03/01(水) 17:19:08.54

>>377
どういこと?
dmzポートをonuに繋いでfg60cからpppoeでグローバルip取得
vipでグローバルipとinternalのip紐付け
ポリシーを適切に設定してるけどvip機能してないように見える

同じようにwan1またはwan2をonuに繋いでfg60cからpppoeでグローバルip取得
vipでグローバルipとinternalのip紐付け
ポリシーを適切に設定するとちゃんとルーティングしてる

わからん…

**anonymous@**93.72.239.49.rev.vmobile.jp · 2017/03/02(木) 16:23:56.10

なぜ、dmzに回線を繋ぐんですか？

**anonymous** · 2017/03/03(金) 15:43:29.21

>>382
そこが空いてたから…

**anonymous** · 2017/03/03(金) 18:42:14.07

正直動作は変わんないんだからWANとかDMZとかわけわからん名前
付けずに通し番号振った上でバスやチップとの接続状態を全公開
してほしい。

**anonymous** · 2017/03/04(土) 02:46:25.57

>>384
違いがあったから書いてるんだけど
dmzって60Cについてるポートの名前だよwan1,wan2も

**anonymous@**210.148.125.0 · 2017/03/04(土) 11:28:28.84

wan,dmz以外の普通のポートはどうなん？試した？

**anonymous** · 2017/03/04(土) 17:57:10.76

>>385
テキストのコンフィグ見たら違いとかないの？
ステータスが拾える拾えないとか多少の違いはあるけど、動作としては
原則どのポート使っても設定合ってれば違いないと思うけど。

**anonymous@**186.230.214.202.rev.vmobile.jp · 2017/03/05(日) 12:33:47.31

>>384
wanとかdmzとか決まってる方が、やり易いじゃん。テプラて貼るの不細工だし

**anonymous** · 2017/03/06(月) 22:31:46.78

>>388
その用途通りにポートを配置できるうちはいいんさ。
極端な話WAN側にLANをささなきゃならなくなった場合にすげえ困る(´･ω･`)