Fortigateについて語ろう4
レス数が1000を超えています。これ以上書き込みはできません。
>>619
周り見てる感じ、基本的にiOSで個別にアプリをリリースしてる系のサービスは軒並み
アウトだと思ったほうがよさげ。
やっぱり元々の仕組みに無理があるんだよね…
そんなわけで各社最近はもっぱらエンドポイント側に精を出してるね。 SSLは専用サーバが必要でクレカサイトぐらいしかなかった みたいな話ももう通じなくなってくんだろうな。 5.6に上げたらAVのログ出力設定なくなったんだけど、もしかして設定できなくなった? FG-90Dで勉強中なんですが
FGでPPPOE接続するとルータ接続するよりスループットが1/3くらいに落ちるんです。
気になるのでもう一台で試したけどやはり同じ・・・
PPPOE接続はFGではしないほうがいいんでしょうか
PPPOE down 300Mbps up 260Mbps
Rooter down 800Mbps up 750Mbps >>624
>>295あたりの話題で、PPPoEはASIC効かないって >>625
ありがとうございます。
前に出てた話題だったのですね
おかげでスッキリしました PPPとかNAPTとか噛ませたスループットはどのへんが早いのかね
ciscoブランチ>ヤマハ・NECブランチ>Buffaloなど家庭用
みたいなイメージなんだがどうだろ >>628
そもそもルータとL7見れるファイアウォールだと役割違うからな…
ルータとFGを多段にしてPPPは外に出すのが正しい姿な気がする。 誰でも簡単にネットで稼げる方法など
参考までに、
⇒ 『加藤のセセエイウノノ』 というサイトで見ることができるらしいです。
グーグル検索⇒『加藤のセセエイウノノ』
HNGFTWYRHB Fortigateのシステム性能として、SSL-VPNスループットの記載があると思いますが、これはSSL-VPNを利用している環境だと、ファイアウォールスループットがこの値まで落ちますよ。という認識で良いのでしょうか? 割り込みすまん。
うちで導入しているFortiGate OS5.4のポリシーが急に全部消えたんだわ。
履歴で「ポリシー パージ」って出てて、ログにある利用者にパージするコマンド打ったって
聞いたが「そんなことはしてない」って言われたんだが、なにかほかに原因ってある? 300Dにあるかどうかわからんけど、GUIのウィザード使うときれいに全部消えるね >>636 確認したら「ウィザード」あったわ。
本人にも確認したらそれ触ったみたい。
教えてくれてありがとう。
質問ついでで悪いんだけど、ウィザードって消せるの?
調べても、そんな感じの記述なくて >>637 「ウィザード消せるか」の意味は画面上から消せるのかって意味で。
言葉足らずでごめん 消せないっぽい。
config system globalとかでgui関連のコマンドを探してみたんだけど、ウィザード消すのは見つけられんかった >>639 そうなのか。
教えてくれてありがとうね。
policy消えた原因が分かって助かったよ。 そんな罠があるのか。知らんかった。
ここはためになるインターネットですね。
>>633
それ以上のスループットは出ないよということなので、認識の通りかと Fortigate シリーズの SSL-VPN のスループットって AES128 と SHA256 以外の組み合わせでも同じスループットでますか? >>639
消すのとはちょっと違うけど、新しいバージョンだとウィザード無くなってるよ 今後の保守を考えFortigate-60Eの購入を前提に、、
希望する構成が可能なのか?、色々ネット検索で調べてる途中でこのスレ見つけました。
このスレ全部見ましたが、
1.中古のFortigate-60D(ライセンス契約が残っている物)を中古購入して、
FortiOS5.2を入れる、又は入っている物を買う+保守契約は別途結ぶの方が安定性が良いのでしょうか?
家族経営の小さな事業規模です。
接続PCは、全部で6〜8台(内1台は、VPNを利用した外部から必要な時のみ接続)、常時稼働は3〜4台+ネットワークプリンタ2台です。
ポートベースVLAN+トランスペアレントモードを利用して2セグメント構成を検討しています。
WAN→IX2215→192.168.1.0/27→WAN1(Fortigate-60EorD)LAN1.2→LACP(192.168.1.0/27)→L2SW→PC
→192.168.2.0/27→WAN2(Fortigate-60EorD)LAN3.4→LACP(192.168.2.0/27)→LSSW→PC
※インターネットやVPN等の接続はIX2215に任せて、FortigateにはUTM機能を担って貰うつもりです。
トランスペアレントモードでは、LAN側がL3SWでは無くL2SWになるとの事なので、
2.Fortigate-60のLAN側にLACP組めるのか?
3.WAN1と2で別セグメントを入れ、出口側の指定LANポートとの間にリンクを張ること等で、
指定 WAN→指定LANポート間の経路が確保できるのか?
4.LANポート側へWANで入ってきたセグメンとをそのまま伝達できるのか?
長文で申し訳ありませんが、
1〜4について回答出来る人いらっしゃいましたら、レスお願いします。 構成の部分が上手く記載出来なかったので、再度その部分のみUPします。
WAN→IX2215→192.168.1.0/27→WAN1(Fortigate-60EorD)LAN1.2.3→LACP(192.168.1.0/27)→L2SW→PC
→192.168.2.0/27→WAN2(Fortigate-60EorD)LAN4.5.6→LACP(192.168.2.0/27)→LSSW→PC >>646
レス有難うございます。
Forti OS 5.6には、リングアグリケーションについて機種指定は記載がなかったのですが、
FortiOS 5.6 Feature/Platform Matrixに100DorE以降のみと確かに書いてありました。
上記構成のLACP部分は諦めますが、それ以外の部分の構成は指定出来るのでしょうか? >>647
60EでVDOM使えばトランスペアレントの仮想FWでお望みのことができそうな気がする
サポートとかも考えると60Eで最新Verにでもしといた方がいいと思うけど >>644
5.2は2017/6にサポート終了してるし、5.4も2018/12までなのに何で今さら5.2?
保守契約を結ぶつもりなら60Eを新品で買って5.6を使うのが最善だと思うけど
FortiGateは販社を通して申請して保守会社と保守契約を結んだり、UTMライセンスを購入する必要があるから、契約更新をするつもりがあるなら新品以外の選択肢はないよ
あとe-trendとかの格安で売ってるとこは保守契約結べないというか、保守サービスを売ってないから注意 もしかして皆さん、日本代理店経由で買ってるの?ebayとかで買ったほうが安いし直接保守契約結べるのに。 個人で買ってるならともかく企業で利用してんなら代理店経由だろ 自分は www.avfirewalls.com でfw60Cとfg50E買ったよ。ダイマだなこりゃw まあ中の人でもない限りはそこまで直マというわけでも。 >>652
個人購入する時は、そこで買って保守契約結んでる Fortigate 600C v5.4.4 の SSL-VPN の Web App (SSH、ファイル共有)
ですがメニューから選んで接続しようとすると、ブラウザの画面が真っ白になり
いくら待っても うんともすんとも言わなくなりました。
Win7、8.1、10各種、Java8 update161、Firefox 52.0 や Firefox 56、IE11 などの
環境です。
Win7、Java7、Firefox 47.0 32bit版 なんて古い環境のクライアントPCを引っ張
り出して試したところ、画面中央に黒い枠が出てターミナル接続ができます。
やっぱりクライアントの環境が(自動更新などで)変わってしまったせいでしょう
か? なぜ使えなくなってしまったのか、が原因が分からず困ってます。
どこそこに類似事例が載っていた等、なにかヒントないでしょうか? 聞いたけど
「クライアントの環境の問題かもしれないので切り分けてください」って回答しか来ない 最初からクライアント側の問題って分かってるじゃない 5.4.6より前だとSSL-VPNポータルにXSSの脆弱性有るから5.4.8に上げちゃえば良いんでね。ついでに治るかもよw >>660
だからその原因と対処方法はどうしたらいいですか? って質問しても、
その回答が「切り分けてください」 しか返ってこないので困ってるわけなのですが
>>661
保守会社で「検証済みリリース可」ってなってるバージョンしか提供してもらえないんですよね
それも客側のアップデートじゃなくて「検証含めてSE作業依頼してください(有償)」なので・・・ だって他のPCで使えるならクライアントの問題じゃん 証明書まわりじゃないの。
取り消し確認とか失効確認とか外してみたら? ☆ 日本の、改憲を行いましょう。現在、衆議員と参議院の
両院で、改憲議員が3分の2を超えております。
『憲法改正国民投票法』、でググってみてください。国会の発議は
すでに可能です。平和は勝ち取るものです。お願い致します。☆☆ ご存知であれば教えてください。
SSL-VPNでブラウザー接続した場合に外側へのpingが届かないのですが
対応方法あるでしょうか?
イントラネットページ内から外部へのリンクページに飛べません。
トンネルモードで入るしかないのでしょうか インターネットへのアクセスを許可するファイヤーウォールのルールの
発信元として定義されているIPアドレスの範囲(クライアントネットワーク)に
SSL-VPN のLAN側IPアドレスって含まれてますよね? (そんな理由じゃないとは思いつつ) >>669
ウィザードで設定しただけだと
ポリシーでSSL-VPN I/F -> internalだけだったのですが
SSL-VPN I/F -> Wanが必要だったようでした。
すごく初歩的な内容ですいませんでした トランスペアレントモードについて教えてください。
クライアント(192.168.0.11)
ルーター(192.168.0.1) ※クライアントのデフォルトゲートウェイ
の構成があったとして、ここにfortigateをトランスペアレントモードで組み込む場合
どのように配線と設定すればよいのですか?イメージがよくわかりませんので教えてください。
トランスペアレントモードでは、fortigateにはIPアドレスを割り当てないのですが
勝手にクライアントとルーターの間に入って通信を監視してくれるというイメージでしょうか?
それともクライアントに何か設定変更がいるのでしょうか?
クライアントのLAN配線をルーターのポートに直結せずに、fortigateに刺して運用するということでしょうか? >>671
イメージがわかないならトラペアは止めた方がよいのでは? >>671
どの型番のどのOS導入するか知らんけど、基本は変わらないだろう。
ttps://www.fortinet.co.jp/doc/FortiGate-Cookbook50_p139.pdf 年末の v5.2.13,build762 でパフォーマンス良くなった気がする
まだ戦わせられるな・・・ v5.2系からv5.6系までアップデートした方います?
特に不具合とかありませんか? なんでフルモデルチェンジレベルで変えるんだろうな
ファイナルファンタジーの開発チームかよ 6.0系リリースされたから入れてみたけど
見た目はあんまり変わらんのね。 30eですが安かったので輸入しました。実家へ配送したので今は試せません。
giga対応のfwとして頑張って貰うつもりで、うまくいけばssg5と交代させます。
どうやらipadではfortimanagerを使って管理できるようですが、lite版があるようです。
フル版とlite版では何が違うのでしょうか。 daily report はどうやったら止められるのでしょうか?
ちな3月で保守契約終わって更新してません。 個人的に集団凌辱があまり好きではないので
オーロラの前二作は見ていないのだが(評価は高いみたいだが)
今回のはやはりいいな、もうちょっと風呂で絡んでほしかったけど
ただ、またまたハメ撮りだけど…、ま、オーロラだしね
温泉物=ハメ撮り、って固定観念なんとかならんのかね
別に二人っきり体で別カメあってもええやん ユニークで個性的な嘘みたいに金の生る木を作れる方法
興味がある人はどうぞ
グーグルで検索するといいかも『ネットで稼ぐ方法 モニアレフヌノ』
5BZKL IPSとかアプリケーションフィルタって、感覚的に使用率どれぐらい?
自分の知る限り、誤検知とか通信遅延のデメリットの方が大きくて使ってるところ殆ど知らないんだが。 IPSあたりはSOCへ運用投げないと死ぬと思う。
あとFortigateにL4以上のことやらすなら最初から
脅威保護スループットとかしか見ないで
サイジングすれば
裏切られ感は少ないと思う。
L4スループットがベースじゃなく、あれはHWオフロード
した結果だから。 >>687
ありがとう、やっぱりそんな感じか。
デスクトップモデルでまともに機能全部使おうもんなら、あっという間に
CPU100パーで無事死亡するし、他所ではどうなのか気になったので。 パロっても使いこなせないだろ
FWX120のOEM提案してくるとこもあるよ >>675
今日サーバーメンテのついでにfortigate 100dのファームウェアを5.2.13 build 762へアップグレードしたんだけど、その後5.6へアップグレードしたら再起動後に見事に死んだよ
急いでコンソール繋いで電源OFF/ONしてリストアかけて事なきを得たけど滝汗だったw
識者らに教えてもらいたいのだけれど、Fortigate 100D(に限らないと思うけど)ファームウェアアップグレードはcurrent で使用してるファームウェアbuildからリリースされてる一つ上のbuildへしかアップグレードできない(しちゃいけない)んですかね? >>692
アップグレードパスに従わずにやれるのか?
Webからポチッとなはやったことないんだが
5.6は5.4経由しないとダメだった気が ttps://gold.nvc.co.jp/document/fortinet/OS/fgt/information/FortiOS_ver.5.0_MR6_Patch_3_Informations.pdf
こんなんとか >>693
そうそう、web管理画面からポチっとなです
なんとなくそんな気がしてたんだけど、やっぱり5.2→5.4→5.6のステップでやらないとだめなんですかね?
アップグレードパスというのが何を意味してるのかよくわからないけれどcuiでも同じ様なステップでアップグレードするもんなんですか? >>694
おー、理解しましたありがとうございますw
ちゃんとドキュメントを確認するべきでしたありがとうございます WAN LLBってどこの例を見ても
2回線の例しかないけど、3回線以上ってできないの? >>695
アップグレードパスは守った方がいいのでは。
コンフィグ変換を手堅くさせるためにも、
なにかサポートが必要になった時のためにも。
メーカーのページに書いてありますよ。
v5.2.a → v5.4.b → v5.4.c → v5.6.d → v5.6.e
のように、途中で細かなverupを経て
最新にする。みたいな流れが多いです。
v5.xのところが変わる時はログディスクを初期化した方がいい
など、お作法があることもあるので、
リリースノートなどを確認しましょう >>698
おお、ログディスク初期化は気になっていたんですが実施したほうがいいのですね
前回失敗コイてまだターゲットのverまでアップグレードできていないので、次回はアップグレードパスに従って進めようと思います
ありがとうございます >>699
細かくバージョンを上げるごとにコンフィグを
取得しておき、
都度比較するといいですよ。
。。結構変わるんだなってw
仕様変更である機能が無効になったり、もういろいろです。
ログの形式も少しずつ変わっていくので、
集計したり統計を取ってる時は気をつけた方がいいですね。 30eを買って遊んでるんですが、NGFWなし、アンチウイルス無しで一人で使ってる割にはスループットがssg5によりもたつく気がします。入れたポリシーもssg5よか少ないはずなんですが。
こんな物なんでしょうか。60e位に変えるべきですかね? FG60Dの5.6で検証してます、
FTPサーバをPASVモードでvirtualip越で公開したいんですが、
port21での接続ができたあと、dataセッションがport書換が原因でつながらない様なんですが、
policyはwanのanyからVIP宛てに、ftp、Get、Putと1024から65535のportを設定しました。 ウイルスメールが届いた時に送信者に自動的に送られるアラートメールって送らないようにする事って出来ますでしょうか?
web管理画面で文面は変更できるようなんですが、送信しないようにする設定が見つかりません。
ご存じの方いましたら教えて頂けませんでしょうか? 会社(中小規模)で導入することに決まったんだが
複合機屋から来た見積もりが60E(Enterprise Protection相当)で5年95万・・・
やっぱ日本ってぼったくりだわ・・・、個人なら輸入するんだがなぁ >>707の人件費のほうがぼったくりみたいなもんだろ。 execute telnet した時、
接続先に改行コードとして 0x0a を送出してるらしいのだけど
0x0d にしか反応しない機材がある。
送出する改行コード変える方法は無いかしら… >>707
代わりにその仕事を5年で95万でやってくれる人を雇えば済むんじゃね? 60eの底面に有る蓋って何の拡張用でしょうか。
マニュアルを漁っても説明がありません。 別売りのラックマウンキットの方に、
底面に取り付けるマグネット式のプレートならあった気がするけど
60E単体の底面に蓋なんてあったっけか 今pcが無いので、そのものの写真を出せませんが、以下が底面の写真です。
https://goo.gl/images/sFe2NF
フラッシュを焚いたようでわかりにくいですが、シリアル番号の左隣に縦長で3.5x10cmぐらいの蓋があり、上側が1箇所ねじ止めされてます。
ssg5のsodimmのスロットぽいですが、やや長細いですね。
開ける事は出来るでしょうが、自分のは買ったばかりの未登録で、開封検知なんかされると厄介なので取り敢えず正体を知りたかったのです。
fortigateのマニュアル類には記載がなく、検索してもほぼヒットしませんので。 ハードウェアに関するマニュアルを幾つか漁って見ましたが、60Eも61Eも一緒に纏められているようで、この蓋に関する記載は見つけていません。
ただ、61EならばLTE用のsimを搭載できるのかもしれませんね。 60Dで6.0.2にしたら何か1日1回くらい落ちるように・・・
とりあえず6.0.1に戻して様子見。 >>717
6.0.2のログを記載してくれよー
それじゃただの独り言じゃん >>718
ログなしでブチっと落ちてる。
デバッグまではかけてない。 fortiexplorer proって使ってる人がいますか?fortiexploler自体はtouch IDが使えて手軽ですが、ほぼモニタしか出来ず、2400円払ってアップグレードする価値があるかどうか知りたいのです。
ipadからlan経由でwebにログインするとCLIが漢字変換モードで始まり、英数モードに簡単に切り替え出来ない為、ほんの数行configを入力するだけで大手間です。これが簡単になると助かるのですけど。 >>720
俺の方の60Dはコンソールに
Internal errorからのKernel panicのログ出して再起動してた
検証中に何回か落ちたときの一回分しかログ取れてないけど FortiOS 6.02でIe11だとログイン後真っ白になってしまうんですが
設定でなんとかならないでしょうか
EgdeやChromeでは開けるんだけど >>723
うちも困ってるが、非対応だからどうしようもないみたい。 >>722
うちも60Dで同じになったんだけど、その時はICMP通信してました。2回落ちて、そのどちらも。 MS曰く「IEは腐った牛乳 史上最高最速のブラウザーEdgeをおすすめします」 FortiOSの各バージョンのPDF見てたら
IE11のサポートは5.4.5までなんですね
社内システムがIE11以外で問題でるんで
SslVpn使うならこのバージョンにするしかないでしょうか そんなサポート使うかね?
べつに動かなくなる訳じゃなくて保証しないだけじゃなくて? ブラウザのサポートバージョンなんて気にしないけどな。
推奨環境くらいのニュアンス。
そりゃあまりに古いIEなんかだと本当に動かなかったりしそうだが。 firefoxで普通に動いてる。
safariつかipad用のsafariだとCLIがまともに動作しない。 私たち日本人の、日本国憲法を改正しましょう。
総ム省の、『憲法改正國民投票法』、でググって
みてください。拡散も含め、お願い致します。 ドキュメントに載ってるKnow Issuesを
Bug Trackerで検索かけるとヒットしないのあって困る
そもそもBug Tracker自体の情報量が少ないからあってもなくても似たようなもんだが 60dでsslvpnポータルって10件が上限みたいだけど、上限値ってどっかで設定変更できるの? 適当なバージョンのMaximum Values Tableを見ると、60Dは10が上限みたいだね
ユーザ情報をローカル管理するならそれの上限も見た方がいい
常時接続数以上は使わないけど、ユーザ数は全社員登録するとかいったら溢れるし
あと、AD(LDAP)連携を複数設定するのら
それの上限値も少ないから確認した方がいいと思う
証明書のCRLをLDAPで取ってきたりすると、さらにLDAPの設定数が増える 60Dを6.0.3に上げた時、何回かリブートしないとFortiGuardにつながらなかった eoのインターネットオフィスを使ってるのですがFortigateで接続してる方いますか?
設定方法分かる方がおられれば教えてください。
営業担当から得られた情報は
@PPPOE シングルセッション デュアルスタック DHCPV6-PD
A基本的に一般向けサービスと接続方法は同じ
FortiOS5.6.7 で以下の設定では駄目でした。
config ipv6
set ip6-mode pppoe
set ip6-allowaccess ping
set dhcp6-prefix-delegation enable
set dhcp6-prefix-hint 2001:xxx:xx:xxx::/56
set autoconf enable
end ↑言葉足らずです
eoのインターネットオフィス(法人向けサービス)でipv6通信をするための設定です。
pppoeにてipv4での通信はできており固定のipv4アドレスを1個貰っています。
そこにオプションでipv6サービスを申し込んだのですが、うまく設定ができません。 DHCPV6-PDで ip6-mode pppoe ? 参照したのは以下のページです
https://blah.cloud/networks/enabling-ipv6-dhcpv6-pd-pppoe-fortigate/
他にも以下を参考にしましたがダメでした。
https://yorickdowne.wordpress.com/2018/06/08/ipv6-with-prefix-delegation-on-fortigate/
config system interface
edit "wan1"
config ipv6
set ip6-mode dhcp
set ip6-allowaccess ping
set dhcp6-prefix-delegation enable
set dhcp6-prefix-hint ::/56
end
next
end NECのルータでの設定が以下だそうです
ppp profile ppp
authentication myname dual-user1
authentication password dual-user1 pas1
ipv6 dhcp client-profile dhcpv6-cl
option-request dns-servers
ia-pd subscriber FastEthernet1/0.0
interface FastEthernet0/0.1
encapsulation pppoe
auto-connect
ppp binding ppp
ip address ipcp
ip napt enable
ipv6 enable
ipv6 dhcp client dhcpv6-cl
no shutdown すいません、どなたかお分かりでしたら教えてください。100eをつかっているのですが、GUI からキャプチャ回したとき、UDPが取得出来たり、出来なかったりします(ほとんどの場合取れない)。どうすれば取れるのでしょうか? 早々にありがとうございます!
調べてみたらそれっぽいですので、今日早速試してみます! fitbit.comkにあるダッシュボート内の記録ページが
エラーとなっているのですが、みなさんのところもそうですか? fortigateにciscoでいうNATのredundancyみたいな設定はないんですか? 今会社で100D(5.4.3)使っててバージョンアップする予定なんですが、6.0の安定性ってどうですぁか?
6.0か5.6どっちにするか悩んでます 教えてほしいのですが、現在60D OS5.2なのですが、
DHCPでMACで固定のIPを払い出す方法はあるでしょうか?
ロケーションの違う2箇所で使う場面があり端末側で固定は出来ないものの、
一箇所ではアドレスが決まっている方が便利な場面があるので
そう出来たらいいなぁという感じなのですが・・・ >>753
ありがとう!
config reserved-address
edit 1
set-ip (IP)
set mac (MAC)
でいけました
レンジは多分レンジ外は指定できないのかなと思うのでもともとのレンジの中で
使われそうにない最終IPで設定して問題なしっぽいです
重ね重ねありがとう 教えてください
ログをメモリにしてるんだけど高度って項目でディスクロギングってあるので
ディスクのクォータ設定でディスクロギング容量をフォーマットして
割り振りなりすればディスクでロギングって可能です? 運用について相談です。
webフィルタを設定して運用しているのですが、最近はどこもかしこも、
ほぼ常時SSL化されているので、SSLインスペクションを有効にして
ドメイン単位でのフィルタをしています。(かなり巻き添え規制が発生しますが)
この方法以外に、この前韓国で話題になっていた、DNSフィルタ(Server Name Indication)という
方法もあると思いますが、Fortigateで使ってる方いますか?こちらもドメイン単位でしか規制できないですが。
DNSフィルタの場合、クライアントのDNSをFortigateに向けてやる必要があると思うのですが、
ドメイン(ActiveDirectory)環境の場合は、クライアントのDNS設定はドメインコントローラーへ向いていると思います。
こんな場合はDNSフィルターは無理なんですかね? よくわからないけど、ADの参照先をfortigateにすればいいんじゃないの? nat46ってどうやるんですか?
やったらnat変換後の送信元IP6アドレスはFGT自身のサーバ向けIFのアドレスになると思ってたんだけど、なりません。認識違いました? FortiGate40CをNURO光のONU直下に
トランスペアレント(透過)モードで設置しよう
と思って設定中ですが、インターネットに
繋がらなくて困っています。NATモード(ONU
との二重ルーター)だと問題なく繋がります。
NATモードの際のアドレスは
192.168.1.99/255.255.255.0 ゲートウェイは
192.168.1.1 となっています。トランスペアレ
ントの場合、これをどのように設定するのが
正解か、アドバイス頂けると有り難いです。
いろいろ試してみたのですが、上手くいかず、
お手上げ状態です。 >>759
NURO光のONUがどういう仕様かわからん事にはどうにも
ONUがルータ機能持ってるタイプなんだっけ?
端末のデフォルトゲートウェイもONUなの? >>760
光回線はNURO、ONUはF660A、現在はファイヤーウォール機能オンにしていますが、Fortigateを透過型ファイヤーウォールに設定出来たら、ONUのファイヤーウォールはオフにする積りです。ゲートウェイはONUです。 >>761
追加です。ONU(F660A)はルーター機能を持っていて、オフにすることが出来ないタイプです。 >>761
まずどこまで通信が通ってどこまで戻ってるかは分かる?
例えば
ONU(ルータ機能付き)
↓@
FG40C
↓A
端末
だとして@のエリアを通過してONUまで通信が届いているか
ONUから端末まで戻れるか
この辺切り分けないとちょっと分からないな
トランスペアレントモードの場合はそもそも@Aともに同一セグメントとなるから
FW機能での何らかのカットが行われていない限りは
ルーティング上の問題にはならないはず >>763
コメント、有難うございます。
ONU(F660A)→Fortigate40c→端末(PC)と
繋いで40cをトランスペアレントに設定して
端末からpingを打つと40cには通りますが、
F660Aには通らず、インターネットに
繋らない状態です。40cをルーターに設定する
と問題なくインターネットに繋がります。
所謂、二重ルーター環境ですが、この環境下で
速度測定をしてみました。端末をF660Aに直結
した状態と40c経由にした状態(二重ルーター)を
比べると何れも下り:600メガ、上り:900メガで
殆ど差がなく、二重ルーター環境も選択肢かな
と思っているところです。 >>764
二重ルータで問題がなければそれもありかと思うけど
そもそもトランスペアレントモードの場合は端末側の設定も
変えないといけない
単純にFGの設定を変えて対応してるだけってなら
端末はDHCPでIPもらう設定にしていてって事なのかなと
>>763の形でいうとトランスペアレントモードだと
@Aともに同一セグメントだけどNATモードだと違うセグメントになるので
端末のIPは変えないといけない
DHCPで貰うだけなら何ら問題ないけどね
そもそもFG通さずONUに端末を直差しして繋がるのか切り分けてみたら?
個人的にはセキュリティ面を考えてもトランスペアレントモードにする
メリットはあまりないと思うけどね
@を単なる通過するセグメントにするだけでもセキュリティ上は
そっちのが一段降りるので少し強くなるし あ、ONU直差しは通信できるのね
そういう意味ではFGがカットしてるとしか思えないってのは分かる気はするけど
ちょっと不思議な状態だな
ポリシーはそもそもちゃんと設定できてる?
セグメントが違ってしまうからポリシーをちゃんと見直さないといけない
全通しから通らないんだとちょっと不明だが
個人的にはNATモードよりは通常のルーティングモード?のがいいと思うけど FortiGate-50EってCPUが Marvell Armada 385じゃん?
PPPoEをhardwareサポートしてるっぽい事書いてるけど50EだったらPPPoEのスループット出るのかな?
https://www.marvell.com/company/news/pressDetail.do?releaseID=7316 >>767
PPPoE + NAPT + IPS + DNSフィルタで90Mbps出たときにCPU使用率1ケタだった
50Eは神では ちょっとFortiのDNSの仕様がイマイチわからないので
教えてください
インタフェースIPをDNSとするようにDHCPに配らせて
その端末から通常通りにインターネットに関してはDNSリレーさせて通信させることは出来たのですが、
内部の端末についてるホスト名だけはちゃんと内部のIPに飛ばしたい
DNSデータベースに何かを設定したらいいんだろうけどどうすればいいのか
調べても出てこなかったのですがどう書けばいいのでしょう? >>768
まじかw
60Dだと80Mbpsで100%近くで張り付くから買い替えようかな >>770
その代わりFortiのSoC入ってないから注意ね >>771
SoC入ってないからって困る事ある?
SoC1の60C、SoC2の60Dを持ってるけどウンコ過ぎて50Eが神に感じるんだけど
SoC3は性能いいの?
今度出るSoC4はめっちゃ性能良さそうだけど FortiとYAMAHAでIPsec設定するとメインでもアグレッシブでも
IKEフェーズ1の時点でNGなんだけど組み合わせ悪いやつかね
ike Negotiate ISAKMP SA Error:〜: no SA proposal chosen ってなるわ IKEv2にしてみたら?
IKEv2のほうが接続可能性は高いぞ。 >>774 運ゲーだね
>>775 IKEv2で2時間ほど頑張ってみたけどダメだった
あああああこんなにくやしいのは久しぶりだあああああ >>776
俺も検証したことあるけど、絶対無理だよ
古いファームにしないと繋がらない 仮にVPNはれても、障害時の切り替わりで問題発生とかあるから恐ろしいぞい >>777
どのファームだめでどのファームならおkでした?
fortiとyamahaでipsecで繋いでる環境でfortiのバージョンアップ検討してますので参考にしたい 異種機器間VPNだと、AWS VPCのForti向けサンプルコンフィグが糞だった
糞みたいなインデントの修正するだけで半日くらい潰れる >>781
あきらめるってなにを?
現状fortiとyamahaでipsec繋がってる環境で、fortiのファームアップ考えてて、古いファームにしないと無理っていう書き込みがあったから聞いただけなんだが ほれ。
FortiGate60D (Firmware 6.0.5)とRTX810で接続してやったよ。
ttp://www.nosense.jp/ipsec-fg60d-rtx810/
特に苦労するところはないけど。 これ、ヤマハとかよりスループット高いよね
UTM機能お金使わずに、ルーターとして使うのあり? >>785
ルータと違ってセッション管理しちゃうから注意ね。
やたら無通信時間が長いアプリとかたまにあるし。 >>787
PPPoEとIPv6は実測値が面白いことになる機種も多い >>783 ありがとう
https://network-beginner.xyz/fortigate_and_rtx_ipsec-vpn
このサイトも参考にさせてもらって設定したらアグレッシブでのみ成功したけど
2拠点目繋げようとするどっちか1か所しか繋がらない
fortigateから見たリモート側のPeerIDは文字化けしてるしRTXでのPeerIDの指定方法もわからない
ここで行き止まりかな ipsec ike local name を fqdnにしたら識別できて繋がった
スレ汚してすみませんでした すいません、Forti初心者なのですがご存知の方教えてください。
FortiCloudのサブスクリプションライセンスの購入を考えているのですが、
登録できるデバイス数は無制限でしょうか。それとも登録したい台数分のサブスクリプションを購入しないとダメ? >>797
60Eはconfig system vxlanがあるけど
60Dはipsecのset encap vxlanしかない。 Ver.6.0でアプリケーションコントロールのカスタムシグネチャーをhostで識別させたいんだけどうまく行かなくて夜も眠れない。
相手サイトでアプリケーション識別するカスタムシグネチャー分かる人いないですかね… 正確には脆弱性自体は前からあったけど
エクスプロイトが公開されたから
攻撃実現性が増した感じだよね FortiClientのiPhone, iPadアプリは
構成プロファイルで配ったクライアント証明書を認識しなくて
わざわざiTunesから仕込む必要あるから
SSL-VPNで数百端末展開するだけでも地獄っいうね... >>796
FortiCloud自体はデバイス登録数は制限無いです
ログリテンションのサブスクリプションはFortiGateごとの購入が必要 10月半ばから一斉に本体を10%値上げだと
増税と合わせてだいぶアレになるな nuro bizでの設定例がわかる方がいたら教えていただきたいです。
nuro bizのONUにfortigate 60Eを接続しているのですが、LAN1(標準固定IP)で外への接続ができません。
いろいろ調べてIPoEで接続するとの情報は得られたのですがfortigateでどのように設定すればいいのかがわかりません。
https://thorsten-on-tech.blog/2018/06/08/ipv6-with-prefix-delegation-on-fortigate/
こちらを参考にipv6をdhcpにしてみましたが、
diagnose ipv6 route list | grep wan1
で見るとipv6のアドレスが割り振られていないようです。
ONUのLAN2経由であれば外に出られます。
どうかよろしくお願いいたします。 Fortigateで作成したvlan10,20,30のすべてがタグVLANで、
これをLAN1,LAN2のアグリゲートで上位L3SWと接続できている。
LAN3には内部の独自セグメントのIPを割り当ててPCを「直接」接続している。
この状態だとPC側から投げたパケットは上位ルータに飛ばない
(ルーティングやフィルタの設定に異常はない)
ひょっとしてこういう接続はNGなの?
LAN3にもタグVLANを適用し、わざわざタグVLANに対応したL2SWを接続したうえで、
PCをL2SWに接続しないとダメ? 最新ファームでは下位モデルのLAGに対応したんだね vdomAにあるradiusサーバーを、vdomBから参照するにはどうしたらよいでしょうか
vdomAからは接続できているのですが、vdomBの「RADIUSサーバの編集」で接続テストすると「RADIUSサーバに接続できません」となります。 この機種かなりやばない?
Webからポリシー追加とかstatic route追加・削除してたんだけど、
static routeを追加したり削除した直後に数秒ほど飛んではいけない宛先にpingが飛んだりする。
設定反映のタイミングで設定がガバガバになることない? どの機種、どのバージョンか書いてない時点で回答するに値しないクソ質問ですし
でそんなに気になるならパケットキャプチャとった上でメーカーに問い合わせろでFA 「やばない?」とか「設定がガバガバ」とかいう放言にマトモな対応を期待する方が馬鹿w 前提となる環境が全く判らないので情報として価値がない それじゃあ典型的な古参隔離スレじゃん
古参のフォーマットに合わせないと無視って、新規が入ってこないわけだわ FG60Eを6.2.0から6.2.2に上げようとしたらアップグレードパスがないとかで弾かれた
factoryresetしても駄目だったわ 60Fって60Eから相当能力上がってるね。3倍ぐらいは上。ただ、遅延は3μから4μになってる。サイトがメンテ中だからgoogleのキャッシュしか見れないけど。
で、6.2.0から6.2.1にまず上げないの? バージョン飛ばすとアップグレードパス云々って言われるのは手続き上あることだと思うんだけど。 公式のアップグレードパスとして6.2.0 -> 6.2.2が案内されてるじゃん トランスペアレントモード時のルーティングの設定ているんですか?
透過するだけだしいらないと思ってるんですが 機器自体がアップデートなりなんなりで通信するためのデフォルトゲートウェイが要るかどうかという話なら
運用ポリシーに照らして設定したらいいんでないかな >>825
なるほど、機器がって事か
納得しました。
実在に流れる通信には関係ないって事ですね FortiGateをリバースプロキシとして使えますか? この手のネットワーク機器の付加価値機能って、使えるけど使っちゃいかんってコモンセンスだったけど今後はどやろね
SSLオフローダとしてはASICで非常に優秀なことは理解してるんだけど、
本当に思ったように振り分けできる?ログの出力フォーマットをパースしやすいように整えられる?とか色々考えちゃう 石橋3回叩かないと歩けないタイプ?
手に負う根性無いなら丸投げしようぜ >>819
これ自己解決。
6.2.0の既知のバグだったわ。
一旦6.0.7に下げたら6.2.2に出来たわ。 >>830
ちょっと意味が分からん
Fortigateにリバプロさせるようなしょぼいシステム組みたくないって話なんだが理解できとるか? SSL-VPN使うことにしました。
ありがとうございました。 ケースバイケースってか予算が無かったりそもそも要件詰め忘れてたりの間に合わせだろ?
そんなん使う時点でエンジニアとしてどうよって思うわ 6.2.3リリース。
早速入れてみたが、ログイン画面文字化けするな。 ありゃ うちもリリース間近の400Eで6.2.2入れてるんだけどどうしようかな Fortinetに限らず、一般的に透過モードで設置した場合WAN側にあるPCとLAN側のPCって普通に通信できるものですか?
例えば共有フォルダが丸見えになりますか? >>839
ということは、透過モードのまま制限することは可能ではあるってことですかね?
インターネットのみ可能な来客用ネットワークをUTMの外側に作りたいのですが、UTMの設定はUTM設置業者にさせればいいでしょうか? >>841
できるはできるけど要件だけ聞くとわざわざ透過モードで
設計する理由が分からない。
雰囲気的に業者に設計方針から依頼したほうが幸せになると
思うよ。 SSL-VPN を利用する際に
FQDNを使わず直接IPアドレスを使ったアクセスを
拒否することは可能ですか? >>843
勿論、httpのhostnameヘッダが入ってない場合を想定してるんだろうが、確か出来ないはず。
想定が違うなら、httpプロトコルの勉強した方がいい。 >>843
俺はダイナミックIP使って、頻繁にIPアドレスを変更している。 >>844
そうですか。残念です。
Internet explorer 11 だと SSL-VPN ポータルが表示されないのですが
どうすればよろしいでしょうか >>846
最近のFortiOSはIEサポートしてないから大人しく対応ブラウザ使うべし。リリースノートに載ってるから。 自分でfortigateに証明書を入れず、FortiClientを使用してIPアドレス指定でSSL-VPNを繋いでいるのですが
この状態でも通信は暗号化はされるのでしょうか。
素人質問で申し訳ないです。 並行輸入品て日本国内のサポート受けることできますか 30Eのforticare 1yr 8時間x5日とかの安いライセンスをebayから買って更新しようとしたら$200とか高いのしか売ってなかったけど、最近方針って変わったのでしょうか?
もっともebayは時々品切れになるから、待ってると復活したりしますが、値上げされると困ります。
firewall.comなら普通に安いのですが、こちらから買ったことがないので評判探してます。 家で使ってる50Eは本体も更新ライセンスもここで買ったけど特に問題は無かったよ https://www.avfirewalls.com/ 100Dと60Eが同じ値段だったらみんなどっち買う? >859 レストン
其処でライセンス買ってみたけど、注文はキャンセルされました。
理由は、お前はウチから本体買ってないから登録されてない、からだそうです。
当然、fortinetには2台も登録済なんですけどね。 米とかドイツの尼でもFC-10-0030E-311-02-12は品切れみたい。
なんかサービス体系変えてきそう。
ebayでJPY 18,774てのがあったけど、どうするか。ライセンス切れはまだ先だけど。 FTPで嵌っていて、どうにも解決できない為お聞きしたく。
#どういう訳かngワードに引っかかって、全文を書けないので
分割して書き込みます。 (続き)
現在FG60Eという機種が入っていて、NATで運用しています。
firewallの内側からFTP接続するのですが、接続は出来るものの、
ファイルアップロードでかなりの確率で失敗します。(続く) (続き)
FTPサーバはAWSでvsftpdを使用しています。
highポートは、fortigate、EC2とも1024-65535全てを
開けて見ましたが結果は変わらず。
DMZからFTP接続すると問題なくファイル送受信出来るので
何か設定が間違ってると思うのですが、vsftp側の設定も含めて
ご教示頂ければ嬉しいです。 ありがとうございます。
連休明けに設定確認してみます。 質問なのですが。
LAN内の、FortiGateの真下などに
別メーカーのUTMを入れるセキュリティ強化は
企業ではあまりやらないのでしょうか?
UTM2段構えとか、より安全そうなイメージですが・・ ハイエンドな環境だと、パフォーマンス重視で用途で分ける場合があるのでは?
L4ACLはFortiで、サンドボックスはFireEyeにしたりとか UTM2段で入れるくらいなら冗長構成取るんじゃないかな
UTM2段、且つ冗長構成を取るってブルジョワなユーザならともかく 別メーカー多段だと、シグネイチャベースのIPSやアンチウイルスなら
効果ありそうな気もするけど、どうなんだろうね? 多段UTMとか誤検知やらなんやらでトラシューが大変になる未来しか見えない 当方は、
fortigate 60Fをルーターのみで利用、配下でfortigate 100eをトランスペアブリッジとセキュリティ検疫で利用してます。 ブラックリストで重ねる位ならホワイトリスト一重かな
ホワイトリストで重ねるなら効果あるだろうが設定が面倒くさいし
重ねるだけ可用性下がるが冗長構成にすれば金もかかる
ユーザーなり接続数ベースのライセンス形態と違って
FortiはHWベースなんで冗長組むと比例して高くつく Forti以外でもHWを冗長構成で2個並べればその分の費用はかかると思うけどな 2台分のライセンスより1台分+HAライセンスの方が安いって話じゃない? utmの管理者を翻弄するクラウド。
ホワイトリストもブラックリストもガンガン増える。 今は、セグメントUTMとかLAN内に階層で置いてるよね? 同じ製品の型番のfortigateとfortiwifiってファームウェアのイメージ同地物使えるの?やっぱりだめ? fortigateのSSL-VPNでAD参加のために
DNSをADサーバー2台が先にくるように設定しているんですが
拠点内サーバーへのアクセスのためにWS01 192.168.0.254
みたいなのをFortigateのDNSとして登録して先にこさせることって可能でしょうか?
その場合、多分DNSリレーが必要だと思うんですけど、先に挟み込みができるのか
GUIいじってみましたけどよくわからず・・・。
機種は60Dと50Eです。 Fortigateのクラウドサンドボックスって
検査中のファイルをFortigateで止めとく事できるのでしょうか?
とりあえずは、クライアントに流れるのかな?
ソニックウォールのサンドボックスは検査完了まで
止められるみたいですが。 >>889
FGのDNS参照先として特定のサーバを登録したければ、ネットワーク>DNSから設定可能です
SSL-VPNのAD参加の下りがわかりませんが、SSL-VPN接続してきたユーザに特定のDNSサーバのアドレスを
払い出すことは可能です。
>>891
クライアントに流れるはず
検査完了で止めておくとセッションタイムアウトになるし >>871
結果報告が遅れて申し訳ない。ビンゴでした。
機能をオフにしたら、問題が解消されました。
情報をありがとうございました。 >>889
ADサーバー側のDNSサーバーにルートヒントぶち込んでフルサービスリゾルバの役割も担わせれば良い >>892
それは設定しています。ありがとうございます。
もともとADサーバー2つをリモートクライアントのDNSとして登録しています。
この構成だと、VPN越しにAD参加が可能なのです。
で、ぶっちゃけADサーバーにレコード登録すればいいだろってのはあるんですが
[クライアント]---[FG50E]--[ADサーバー]--[PublicDNS]
という流れでFGにはDNSをリレーしてもらうようにするとして
1.これでAD参加可能か?
2.FG独自で名前登録して、そのFGを置いているところでだけ使えるレコードとして
使えないか?
というところが聞きたいところです。
拠点内だとNetBiosで名前解決していたようなものがVPN越しだと
うまく動かず(そりゃそうですよね)
hostsの登録も難しいようなのでFGでなんとかできないかな?と。 >>895
DNS updateのフォワードはしない いまいちスループットの意味がわからないのですが
ベストエフォート100Mbps回線の、ネット接続用で使う場合は
ユーザー数が多くても、スループットはあまり気にする必要ないのでしょうか? 90D ライセンス切れ品が転がっていたから、SSL-VPN FortiClientのGWとして設定した。
テレワーク急に始める企業には神のような機械だな。
50人登録したけど何人まで使えるんだろう。 100D OS5.4 と FortiClientVPN6.2.4(これしか拾えない)で
自宅複数とIPsecVPNをはりたいのですが、
当然ながら相手は動的IP
識別の為のPeer IDは、どうやって作るのでしょうか? FortiClientは一応ここからDL出来るかと
6.0.Xまでならセキュリティ機能(AVなど)は無料
https://forticlient.com/downloads 数人しかいない別拠点ように40Fが欲しいんだが
日本だといつ頃かね >>902
>>903
どうも有難うございました
結果的には、拠点Fortiの様なPeer IDの設定は不要
枝番が出てFCとして、複数拠点の接続可能でした
数日前にはできなかったのですが、なんかミスってたんですね >>905
FortiClient使うときはIPアドレス不定でアクセスする場合が多いためアグレッシブモード使うから
ID設定はAnyが一般的かなと思います(されてる設定の通り)
>>901読んだとき、敢えてメインモード使いたいだろうなと思ってしまいました Fortiって、FWスループットだけの
見掛け倒しじゃない? HWオフロードできる部分はASIC処理なので速い
CPU処理になる機能を使えばその分パフォーマンスは落ちるってだけですな
他メーカでも同じ話 >>897
そうですか。
DNSキャッシュサーバーとしての機能は持たないんですね。
FortigateってDNSは完全な中継しかしないんですね。 60Fて、あの安さであの脅威スループットは凄くない?
ソニックウォールでも、同等スループット機種は倍はするよ。 ASIC搭載とはいえCPU使う機能であればスループットはそれなりに落ちる
でも、他ベンダもそれは一緒だから「あのデータシートは嘘だ」的な話はあまり聞かない どんな装置でも導入前にテストしようと考えるのが当たり前なんだよな
何も知らないまま選定して物だけ流してトラブって炎上とかみてて呆れる httpsまで保護するなら、同レンジの中では
60F 一択な気もする。 60Fは10Gbpsに対応しろとは言わないが、2.5か5には対応して欲しかったな。
中途半端すぎ。 パフォーマンスが出るからっつて小さいものに何でも付けてしまうと
マーケティングも何もあったもんじゃないしな 質問になります。
拠点間のIPSec-VPNだとNATトラバーサルで使えるようですが
forticlientでも、NAT内側にあるFortiGateに
外からVPN接続可能なのでしょうか? >>910
これだとActive Directory参加は難しそうなので
悩ましいんですよね。
1番目にADサーバーを入れないとむずかしく。
>>919
NAT機器でSTATIC NATでFortigateにポート転送してもらっていればできますけど
そうでなければ無理ですね。 NATトラバーサルって謎だよね。
ポートフォワードしなくても、なぜか使える製品もあるし・・ >>1
東京三鷹の土井(剛)莉里子
https://i.imgur.com/pZ90Ptt.png
氏名■土井剛(莉里子)
生年月日■1994.3.7
前住所■〒181-0013 東京都三鷹市下連雀5丁目3 シティハイツ吉祥寺通り4階
性別■男(詐欺師のため、戸籍変更している可能性あり)
Twitter■@copy__writing @kotobamemo_bot
疾患■性同一性障害(LGBT)、発達障害(ADHD)、アスペルガー症候群、統合失調症
●一方的に好意を寄せる男性から相手にされないと嫌がらせを繰り返す
●某大学病院の精神科隔離病棟にて強制入院
●骨が見えるほどのリストカット
●奇声をあげながら自室部屋のドアをナイフで突き刺す
●シティハイツ吉祥寺通り4階から飛び降り自殺
●性転換手術(金玉を取る)
●トラブル...嫌がらせ、ハッキング、乗っ取り、たかり、脅迫、殺害予告...etc
●去年から今年にかけてyoutuber同士のトラブルの仲介に入り某大手youtuberから複数回に渡り1億近い慰謝料をふんだくる
●自宅の吉祥寺にいられなくなり、大阪に潜伏中(警察からも逃げている) NAT-Tは500と4500のポート使うかどうかの話じゃないの? 50EでDS-Liteの設定をし、LAN側の端末からは快適にインターネットに出られるようになったのですが、FortiGuardへの接続がうまく行きません。 CPE側にIPv4アドレスを持たないDS-LiteでIPv4によるVPNってできるの? リモートVPN用にipsecトンネルを複数つくると繋がらなくなるんだけど、
こういうもんなの? 【告知】大阪で1番恥さらしな男!!これまで誰一人として語れなかった覚醒剤中毒者の泥沼の世界!!そして警察官、刑務官、裁判官のええ加減さを真実のみを赤裸々に語り最低中の最低の究極のゴキブリ男が恥を承知の上で書いた渾身の力作!!
ノンフィクション自叙伝!!
【ゴミと呼ばれて刑務所の中の落ちこぼれ】
中学2年の時に覚醒剤を覚え17歳から45歳まで【少年院1回、刑務所8回、合計20年】獄中生活を体験したが、ある女性との出逢いで生き方を180度変えて鉄の信念で覚醒剤を断ちきり見事に更生を果たした感動の奇跡の一冊!!
全国の書店&ネット通販でどうぞ!! LAN内のフロア毎に、透過型ブリッジモードで設置して
LAN内UTMにするって
利用方法おかしいのでしようか? 確かに贅沢だなw
VDOMも有りだけどPort01は1F、Port02は2Fとかに切るだけでも十分な気がしてきた。 forticare 8x5契約が切れそうなのですが、24x7の契約で継ぎ足すことはできたのでしょうか。
fortinet的には、本体買った当時から今までの分の24x7ライセンスも買え、と言いかねませんけど。 Port01は1F、Port02は2Fとかだと
IPS有効の場合、LAN内ファイルサーバーとかの
利用速度めっちゃ落ちそうだよねw そこは機種によるとしか言えないだろうね。
安くても最近出てるFシリーズとかはカタログスペックでワイヤスピード出てるし。 fortigateでNAPT(IPマスカレード)する時に変換後のSrcPortレンジの指定って出来ますか? >>935
IPv4だったらASIC処理で得意 v6は微妙 Fortigate60DにSSL-VPNで接続してRDPでWindowsにログインしてそのWindowsでインターネットからダウロードすると
帯域逼迫かなんか知らんけどRDPがまともに通信出来ない。
利用者は自分1人。
ショボ過ぎへんか?
ちなみにトラヒックシェーパーでSSLVPNの10Mbps帯域保証設定しても変わらず。 60DのSSL-VPN処理能力の低さを甘く見ないで 60dから50eに変えたが、グレード下がっても新しい方が処理早いな。SSL-VPNスループット測ってみるか… >>939
ありがとう。IPv4は得意なんですね。
構成の問題な気がしてきました。 https://www.avfirewalls.com/ ここで40FオーダーしたらもうUS外で売れないんだわスマンネって言われた。
どこか平行輸入で帰る所って有ります? 今さらきがついたが
50Eって6.4いけないんだな 今100F触ってるけど、カタログスペックはすげー伸びてるな FortiGateのカタログスペックって鵜呑みにしてええのん?
疑わしいんやが。 >>948
L4のパフォーマンスは信用してよい。
専用ASICでハードウェア処理するからそんなにブレない。
ただ頭いいことやらせようとするとね…それなりだよね… gei-ipでのブロック使ってる人いる?
いたら、ipv6だとどうしてるか教えて欲しい Captive Portal の認証でfacebookやgmail等のsocialなアカウントを利用した認証ってできますか? 945だけど
US Amazonで40F買えました。UTMライセンス3年つきで約12.7万円でした、参考までに。 金持ちやなぁ。
ワシには型落ち中古で1万円ぐらいの奴しか無理だわ 同じく中古の50Eを約1万で買った。ライセンスが約3年間が付いてたので、かなりお買い得だったと思う。 10万円かけて買って壊れたらどうすんやろ…
海外から買ってたら保守契約なんかもできないよね >>955
3年で1万はやすいね
それだけ安いと無意味にHAとか組みたくなりそう HAはいらんがLAGの為に自宅用に50E買ったんや…
ポート数すくないけど、下にそれなりなまぁなんとかなるな。
回線冗長の為に楽天LTEとかで繋ぎたいのだけど、USBモデムで接続できない… すまん。それなりなL2SWがあったら、ですな。逝ってきますorz >>959
使えるモデル少ないけど使えるのあるぞ。
CLIで有効にしてみた? >>961
持ってるLG-03は駄目だった。
使えるリストとかあれば是非教えてほしい 中古を買おうと思ってるんだけど
ライセンスが期限内で有効な状態なら
最新ファームウェアは
代理店のID/PWが無くてファイルでダウンロードできなくても
FortiGuard上からアップデートできるもの?
それともファームウェアは個別にダウンロードして入手して
機器に転送する必要がある? FGT60C*** # diagnose sys modem query
USB status: Connected
manufacturer: Sierra Wireless, Incorporated
model: NI-760S
ダイアルアップ?使いみちが判らん行けそうだ
ttps://www.ncxx.co.jp/product/ni-760s >>963
ありがとう、と言いたいところだけど3G…LTE対応してる筈なんだけどなぁ。
メーカーサポートサイトでユーザ登録してる所は大概見てるので、6.xの新機能としてLTEか5G対応してほしい所 >>967
表記上だけの問題じゃないかな。LTE対応してると思うよ。
設定コマンドにlteって入ってるし。
config system lte-modem deep inspectionで使う証明書って
買ったやつは使えない?
もしくは使えるのは条件ある? ん?公的証明書が使えるか?という質問?
設定した事無いけど使えないなんてことありえなくね? >>970
買ったやつはクライアント証明書にはいるんだけど
deep inspectionのプロファイルで選択出来ない
選択できるのローカルCAのやつだけなんだよ
多分、自分がそもそも勘違いなんだとは思うんだが
FujiSSLみたいなとこで買ったやつが使いたい >>971
誤 クライアント証明書
正 ローカル証明書 使えない
deep inspectionする機器が
deep inspectionしてますよと
利用者に明示するためのものだから
公的証明書なんか使えたら偽装になる >>973
なるほど、そう言われてみるどこそうだよね
せめて証明書の名前とドメインを変えられれば良かったんだけど
ユーザーが見たときに自社のドメインの証明書なら
気にしないんだけど
fortinetでしかもコモンネームも乱数っぽく見えろから
説明しても気にする人いて あぁ、そうかユーザーが接続してる第三者のドメインの証明書がいるのか。 50e じゃdeep inspectionきついかね?
試しにONにして楽天のトップページ行くだけでCPU跳ね上がるんだけど
60eならASICで余裕? >>976
60Eは50Eの2倍強のSSLインスペクション性能
それで余裕かどうかは低能で頭が悪いお前次第 そうなのね
低脳だからもう少し教えて欲しいんだけど
2倍はセッション数、パケット数
とかどこで考えるといいの?
カタログ見るとSSL inspectionのスループット
2倍も変わらないからわからくて スループットであるベンダーのマルチプロトコルでの検証結果
信じるかどうかは低能で頭が悪いお前次第 >>979
あんがと
参考に買い替え含めて検討してみるよ 40Fでdeep inspection設定して楽天に繋いでみたらCPU負荷が20%位になった、メモリは変わらず。
まぁエントリーモデルだからこんなもんだろね。 >>981
Fシリーズでもか
SSL inspectionはやっぱ重いんだな フォワードプロキシでdeep inspectionしている人って
使ってるクライアント全部にFGのルート証明書いれてたりするの? >>983
パソコンは入れてるが、スマホ系はアプリがエラー出しまくるやつがあって使い物にならん。 >>984
なるほど・・・
Javaとかの独自の証明書ストアとかも考慮すると、かなり面倒だな そうなると、Deep Inspectionはエンドポイントでやろうよってなるんだよね SSLインスペクションは企業で利用しても
問題が出るサイトに関する問い合わせ対応と
除外運用がクソ面倒くさい >>987
でもやらなきゃ、やらないで
SSL通信で好き放題されるでしょ? エントリー、ミドルクラスだと、なんでもかんでも1台でやるのは無理だよなー。 ハイエンドでも利用ユーザが5000人以上とかの大規模だと
・SSL暗号
・IPS
・アンチウィルス
・SSL複合
は別筐体でやるな >>994
お金が、、、、
零細企業ほどリテラシー低くて
ゲートウェイでやりたいと思うのに 貧乏なら可視化はあきらメロン
URLドメインフィルタで締め上げる スタティックルートの設定数上限8
って変更可能ですか? このスレッドは1000を超えました。
新しいスレッドを立ててください。
life time: 2340日 16時間 28分 59秒 5ちゃんねるの運営はプレミアム会員の皆さまに支えられています。
運営にご協力お願いいたします。
───────────────────
《プレミアム会員の主な特典》
★ 5ちゃんねる専用ブラウザからの広告除去
★ 5ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
───────────────────
会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。
▼ プレミアム会員登録はこちら ▼
https://premium.5ch.net/
▼ 浪人ログインはこちら ▼
https://login.5ch.net/login.php レス数が1000を超えています。これ以上書き込みはできません。