Fortigateについて語ろう4
■ このスレッドは過去ログ倉庫に格納されています
FortiGateシリーズは、ネットワーク全体を総合的に保護するハードウェアベースの
ネットワーク・プロテクション・ゲートウェイ(NPG)です。
Fortinet社独自開発のABACASTM(Accelerated Behavior and Content Analysis System)
テクノロジと独自のASIC(FortiAsic)ベースアーキテクチャを採用した、次世代
ネットワークプロテクション・アプライアンスです。
ファイアウォール、不正侵入、VPN、トラフィックシェーピングなどネットワークレベル
のサービスに加え、ウィルスプロテクションやコンテンツフィルタリングなどの
アプリケーションレベルのサービス機能も搭載しており、効果的にネットワークを保護します。
FortiGateは、4種類のICSA認定取得をしています。
アンチウイルス、ファイアウォール、IPSec、IDS
セールスポイントは非常に魅力的ですばらしいのですが、
非常に個性的な製品ですので、皆さん助け合って安定稼働に努めましょう。
フォーティネットジャパン
http://www.fortinet.co.jp/
FortiProtect Center
http://www.fortinet.com/FortiProtectCenter/
質問する際には必ずFortiGateの機種、FortiOSのバージョン、 ネットワーク構成・環境を報告してください。 自分は www.avfirewalls.com でfw60Cとfg50E買ったよ。ダイマだなこりゃw まあ中の人でもない限りはそこまで直マというわけでも。 >>652
個人購入する時は、そこで買って保守契約結んでる Fortigate 600C v5.4.4 の SSL-VPN の Web App (SSH、ファイル共有)
ですがメニューから選んで接続しようとすると、ブラウザの画面が真っ白になり
いくら待っても うんともすんとも言わなくなりました。
Win7、8.1、10各種、Java8 update161、Firefox 52.0 や Firefox 56、IE11 などの
環境です。
Win7、Java7、Firefox 47.0 32bit版 なんて古い環境のクライアントPCを引っ張
り出して試したところ、画面中央に黒い枠が出てターミナル接続ができます。
やっぱりクライアントの環境が(自動更新などで)変わってしまったせいでしょう
か? なぜ使えなくなってしまったのか、が原因が分からず困ってます。
どこそこに類似事例が載っていた等、なにかヒントないでしょうか? 聞いたけど
「クライアントの環境の問題かもしれないので切り分けてください」って回答しか来ない 最初からクライアント側の問題って分かってるじゃない 5.4.6より前だとSSL-VPNポータルにXSSの脆弱性有るから5.4.8に上げちゃえば良いんでね。ついでに治るかもよw >>660
だからその原因と対処方法はどうしたらいいですか? って質問しても、
その回答が「切り分けてください」 しか返ってこないので困ってるわけなのですが
>>661
保守会社で「検証済みリリース可」ってなってるバージョンしか提供してもらえないんですよね
それも客側のアップデートじゃなくて「検証含めてSE作業依頼してください(有償)」なので・・・ だって他のPCで使えるならクライアントの問題じゃん 証明書まわりじゃないの。
取り消し確認とか失効確認とか外してみたら? ☆ 日本の、改憲を行いましょう。現在、衆議員と参議院の
両院で、改憲議員が3分の2を超えております。
『憲法改正国民投票法』、でググってみてください。国会の発議は
すでに可能です。平和は勝ち取るものです。お願い致します。☆☆ ご存知であれば教えてください。
SSL-VPNでブラウザー接続した場合に外側へのpingが届かないのですが
対応方法あるでしょうか?
イントラネットページ内から外部へのリンクページに飛べません。
トンネルモードで入るしかないのでしょうか インターネットへのアクセスを許可するファイヤーウォールのルールの
発信元として定義されているIPアドレスの範囲(クライアントネットワーク)に
SSL-VPN のLAN側IPアドレスって含まれてますよね? (そんな理由じゃないとは思いつつ) >>669
ウィザードで設定しただけだと
ポリシーでSSL-VPN I/F -> internalだけだったのですが
SSL-VPN I/F -> Wanが必要だったようでした。
すごく初歩的な内容ですいませんでした トランスペアレントモードについて教えてください。
クライアント(192.168.0.11)
ルーター(192.168.0.1) ※クライアントのデフォルトゲートウェイ
の構成があったとして、ここにfortigateをトランスペアレントモードで組み込む場合
どのように配線と設定すればよいのですか?イメージがよくわかりませんので教えてください。
トランスペアレントモードでは、fortigateにはIPアドレスを割り当てないのですが
勝手にクライアントとルーターの間に入って通信を監視してくれるというイメージでしょうか?
それともクライアントに何か設定変更がいるのでしょうか?
クライアントのLAN配線をルーターのポートに直結せずに、fortigateに刺して運用するということでしょうか? >>671
イメージがわかないならトラペアは止めた方がよいのでは? >>671
どの型番のどのOS導入するか知らんけど、基本は変わらないだろう。
ttps://www.fortinet.co.jp/doc/FortiGate-Cookbook50_p139.pdf 年末の v5.2.13,build762 でパフォーマンス良くなった気がする
まだ戦わせられるな・・・ v5.2系からv5.6系までアップデートした方います?
特に不具合とかありませんか? なんでフルモデルチェンジレベルで変えるんだろうな
ファイナルファンタジーの開発チームかよ 6.0系リリースされたから入れてみたけど
見た目はあんまり変わらんのね。 30eですが安かったので輸入しました。実家へ配送したので今は試せません。
giga対応のfwとして頑張って貰うつもりで、うまくいけばssg5と交代させます。
どうやらipadではfortimanagerを使って管理できるようですが、lite版があるようです。
フル版とlite版では何が違うのでしょうか。 daily report はどうやったら止められるのでしょうか?
ちな3月で保守契約終わって更新してません。 個人的に集団凌辱があまり好きではないので
オーロラの前二作は見ていないのだが(評価は高いみたいだが)
今回のはやはりいいな、もうちょっと風呂で絡んでほしかったけど
ただ、またまたハメ撮りだけど…、ま、オーロラだしね
温泉物=ハメ撮り、って固定観念なんとかならんのかね
別に二人っきり体で別カメあってもええやん ユニークで個性的な嘘みたいに金の生る木を作れる方法
興味がある人はどうぞ
グーグルで検索するといいかも『ネットで稼ぐ方法 モニアレフヌノ』
5BZKL IPSとかアプリケーションフィルタって、感覚的に使用率どれぐらい?
自分の知る限り、誤検知とか通信遅延のデメリットの方が大きくて使ってるところ殆ど知らないんだが。 IPSあたりはSOCへ運用投げないと死ぬと思う。
あとFortigateにL4以上のことやらすなら最初から
脅威保護スループットとかしか見ないで
サイジングすれば
裏切られ感は少ないと思う。
L4スループットがベースじゃなく、あれはHWオフロード
した結果だから。 >>687
ありがとう、やっぱりそんな感じか。
デスクトップモデルでまともに機能全部使おうもんなら、あっという間に
CPU100パーで無事死亡するし、他所ではどうなのか気になったので。 パロっても使いこなせないだろ
FWX120のOEM提案してくるとこもあるよ >>675
今日サーバーメンテのついでにfortigate 100dのファームウェアを5.2.13 build 762へアップグレードしたんだけど、その後5.6へアップグレードしたら再起動後に見事に死んだよ
急いでコンソール繋いで電源OFF/ONしてリストアかけて事なきを得たけど滝汗だったw
識者らに教えてもらいたいのだけれど、Fortigate 100D(に限らないと思うけど)ファームウェアアップグレードはcurrent で使用してるファームウェアbuildからリリースされてる一つ上のbuildへしかアップグレードできない(しちゃいけない)んですかね? >>692
アップグレードパスに従わずにやれるのか?
Webからポチッとなはやったことないんだが
5.6は5.4経由しないとダメだった気が ttps://gold.nvc.co.jp/document/fortinet/OS/fgt/information/FortiOS_ver.5.0_MR6_Patch_3_Informations.pdf
こんなんとか >>693
そうそう、web管理画面からポチっとなです
なんとなくそんな気がしてたんだけど、やっぱり5.2→5.4→5.6のステップでやらないとだめなんですかね?
アップグレードパスというのが何を意味してるのかよくわからないけれどcuiでも同じ様なステップでアップグレードするもんなんですか? >>694
おー、理解しましたありがとうございますw
ちゃんとドキュメントを確認するべきでしたありがとうございます WAN LLBってどこの例を見ても
2回線の例しかないけど、3回線以上ってできないの? >>695
アップグレードパスは守った方がいいのでは。
コンフィグ変換を手堅くさせるためにも、
なにかサポートが必要になった時のためにも。
メーカーのページに書いてありますよ。
v5.2.a → v5.4.b → v5.4.c → v5.6.d → v5.6.e
のように、途中で細かなverupを経て
最新にする。みたいな流れが多いです。
v5.xのところが変わる時はログディスクを初期化した方がいい
など、お作法があることもあるので、
リリースノートなどを確認しましょう >>698
おお、ログディスク初期化は気になっていたんですが実施したほうがいいのですね
前回失敗コイてまだターゲットのverまでアップグレードできていないので、次回はアップグレードパスに従って進めようと思います
ありがとうございます >>699
細かくバージョンを上げるごとにコンフィグを
取得しておき、
都度比較するといいですよ。
。。結構変わるんだなってw
仕様変更である機能が無効になったり、もういろいろです。
ログの形式も少しずつ変わっていくので、
集計したり統計を取ってる時は気をつけた方がいいですね。 30eを買って遊んでるんですが、NGFWなし、アンチウイルス無しで一人で使ってる割にはスループットがssg5によりもたつく気がします。入れたポリシーもssg5よか少ないはずなんですが。
こんな物なんでしょうか。60e位に変えるべきですかね? FG60Dの5.6で検証してます、
FTPサーバをPASVモードでvirtualip越で公開したいんですが、
port21での接続ができたあと、dataセッションがport書換が原因でつながらない様なんですが、
policyはwanのanyからVIP宛てに、ftp、Get、Putと1024から65535のportを設定しました。 ウイルスメールが届いた時に送信者に自動的に送られるアラートメールって送らないようにする事って出来ますでしょうか?
web管理画面で文面は変更できるようなんですが、送信しないようにする設定が見つかりません。
ご存じの方いましたら教えて頂けませんでしょうか? 会社(中小規模)で導入することに決まったんだが
複合機屋から来た見積もりが60E(Enterprise Protection相当)で5年95万・・・
やっぱ日本ってぼったくりだわ・・・、個人なら輸入するんだがなぁ >>707の人件費のほうがぼったくりみたいなもんだろ。 execute telnet した時、
接続先に改行コードとして 0x0a を送出してるらしいのだけど
0x0d にしか反応しない機材がある。
送出する改行コード変える方法は無いかしら… >>707
代わりにその仕事を5年で95万でやってくれる人を雇えば済むんじゃね? 60eの底面に有る蓋って何の拡張用でしょうか。
マニュアルを漁っても説明がありません。 別売りのラックマウンキットの方に、
底面に取り付けるマグネット式のプレートならあった気がするけど
60E単体の底面に蓋なんてあったっけか 今pcが無いので、そのものの写真を出せませんが、以下が底面の写真です。
https://goo.gl/images/sFe2NF
フラッシュを焚いたようでわかりにくいですが、シリアル番号の左隣に縦長で3.5x10cmぐらいの蓋があり、上側が1箇所ねじ止めされてます。
ssg5のsodimmのスロットぽいですが、やや長細いですね。
開ける事は出来るでしょうが、自分のは買ったばかりの未登録で、開封検知なんかされると厄介なので取り敢えず正体を知りたかったのです。
fortigateのマニュアル類には記載がなく、検索してもほぼヒットしませんので。 ハードウェアに関するマニュアルを幾つか漁って見ましたが、60Eも61Eも一緒に纏められているようで、この蓋に関する記載は見つけていません。
ただ、61EならばLTE用のsimを搭載できるのかもしれませんね。 60Dで6.0.2にしたら何か1日1回くらい落ちるように・・・
とりあえず6.0.1に戻して様子見。 >>717
6.0.2のログを記載してくれよー
それじゃただの独り言じゃん >>718
ログなしでブチっと落ちてる。
デバッグまではかけてない。 fortiexplorer proって使ってる人がいますか?fortiexploler自体はtouch IDが使えて手軽ですが、ほぼモニタしか出来ず、2400円払ってアップグレードする価値があるかどうか知りたいのです。
ipadからlan経由でwebにログインするとCLIが漢字変換モードで始まり、英数モードに簡単に切り替え出来ない為、ほんの数行configを入力するだけで大手間です。これが簡単になると助かるのですけど。 >>720
俺の方の60Dはコンソールに
Internal errorからのKernel panicのログ出して再起動してた
検証中に何回か落ちたときの一回分しかログ取れてないけど FortiOS 6.02でIe11だとログイン後真っ白になってしまうんですが
設定でなんとかならないでしょうか
EgdeやChromeでは開けるんだけど >>723
うちも困ってるが、非対応だからどうしようもないみたい。 >>722
うちも60Dで同じになったんだけど、その時はICMP通信してました。2回落ちて、そのどちらも。 MS曰く「IEは腐った牛乳 史上最高最速のブラウザーEdgeをおすすめします」 FortiOSの各バージョンのPDF見てたら
IE11のサポートは5.4.5までなんですね
社内システムがIE11以外で問題でるんで
SslVpn使うならこのバージョンにするしかないでしょうか そんなサポート使うかね?
べつに動かなくなる訳じゃなくて保証しないだけじゃなくて? ブラウザのサポートバージョンなんて気にしないけどな。
推奨環境くらいのニュアンス。
そりゃあまりに古いIEなんかだと本当に動かなかったりしそうだが。 firefoxで普通に動いてる。
safariつかipad用のsafariだとCLIがまともに動作しない。 私たち日本人の、日本国憲法を改正しましょう。
総ム省の、『憲法改正國民投票法』、でググって
みてください。拡散も含め、お願い致します。 ドキュメントに載ってるKnow Issuesを
Bug Trackerで検索かけるとヒットしないのあって困る
そもそもBug Tracker自体の情報量が少ないからあってもなくても似たようなもんだが 60dでsslvpnポータルって10件が上限みたいだけど、上限値ってどっかで設定変更できるの? 適当なバージョンのMaximum Values Tableを見ると、60Dは10が上限みたいだね
ユーザ情報をローカル管理するならそれの上限も見た方がいい
常時接続数以上は使わないけど、ユーザ数は全社員登録するとかいったら溢れるし
あと、AD(LDAP)連携を複数設定するのら
それの上限値も少ないから確認した方がいいと思う
証明書のCRLをLDAPで取ってきたりすると、さらにLDAPの設定数が増える 60Dを6.0.3に上げた時、何回かリブートしないとFortiGuardにつながらなかった eoのインターネットオフィスを使ってるのですがFortigateで接続してる方いますか?
設定方法分かる方がおられれば教えてください。
営業担当から得られた情報は
@PPPOE シングルセッション デュアルスタック DHCPV6-PD
A基本的に一般向けサービスと接続方法は同じ
FortiOS5.6.7 で以下の設定では駄目でした。
config ipv6
set ip6-mode pppoe
set ip6-allowaccess ping
set dhcp6-prefix-delegation enable
set dhcp6-prefix-hint 2001:xxx:xx:xxx::/56
set autoconf enable
end ↑言葉足らずです
eoのインターネットオフィス(法人向けサービス)でipv6通信をするための設定です。
pppoeにてipv4での通信はできており固定のipv4アドレスを1個貰っています。
そこにオプションでipv6サービスを申し込んだのですが、うまく設定ができません。 DHCPV6-PDで ip6-mode pppoe ? 参照したのは以下のページです
https://blah.cloud/networks/enabling-ipv6-dhcpv6-pd-pppoe-fortigate/
他にも以下を参考にしましたがダメでした。
https://yorickdowne.wordpress.com/2018/06/08/ipv6-with-prefix-delegation-on-fortigate/
config system interface
edit "wan1"
config ipv6
set ip6-mode dhcp
set ip6-allowaccess ping
set dhcp6-prefix-delegation enable
set dhcp6-prefix-hint ::/56
end
next
end NECのルータでの設定が以下だそうです
ppp profile ppp
authentication myname dual-user1
authentication password dual-user1 pas1
ipv6 dhcp client-profile dhcpv6-cl
option-request dns-servers
ia-pd subscriber FastEthernet1/0.0
interface FastEthernet0/0.1
encapsulation pppoe
auto-connect
ppp binding ppp
ip address ipcp
ip napt enable
ipv6 enable
ipv6 dhcp client dhcpv6-cl
no shutdown すいません、どなたかお分かりでしたら教えてください。100eをつかっているのですが、GUI からキャプチャ回したとき、UDPが取得出来たり、出来なかったりします(ほとんどの場合取れない)。どうすれば取れるのでしょうか? 早々にありがとうございます!
調べてみたらそれっぽいですので、今日早速試してみます! fitbit.comkにあるダッシュボート内の記録ページが
エラーとなっているのですが、みなさんのところもそうですか? fortigateにciscoでいうNATのredundancyみたいな設定はないんですか? 今会社で100D(5.4.3)使っててバージョンアップする予定なんですが、6.0の安定性ってどうですぁか?
6.0か5.6どっちにするか悩んでます 教えてほしいのですが、現在60D OS5.2なのですが、
DHCPでMACで固定のIPを払い出す方法はあるでしょうか?
ロケーションの違う2箇所で使う場面があり端末側で固定は出来ないものの、
一箇所ではアドレスが決まっている方が便利な場面があるので
そう出来たらいいなぁという感じなのですが・・・ ■ このスレッドは過去ログ倉庫に格納されています