Fortigateについて語ろう4

[0705 anonymous 2018/06/09(土) 11:01:39.03 ID:???]

session-helper

[0706 anonymous 2018/07/13(金) 16:03:54.02 ID:???]

ウイルスメールが届いた時に送信者に自動的に送られるアラートメールって送らないようにする事って出来ますでしょうか？
web管理画面で文面は変更できるようなんですが、送信しないようにする設定が見つかりません。
ご存じの方いましたら教えて頂けませんでしょうか？

[0707 anonymous@fusianasan 2018/07/20(金) 12:16:22.90 ID:???]

会社(中小規模)で導入することに決まったんだが
複合機屋から来た見積もりが60E(Enterprise Protection相当)で5年95万・・・
やっぱ日本ってぼったくりだわ・・・、個人なら輸入するんだがなぁ

[0708 anonymous 2018/07/21(土) 10:48:41.85 ID:???]

>>707の人件費のほうがぼったくりみたいなもんだろ。

[0709 anonymous@fusianasan 2018/07/21(土) 11:37:53.37 ID:???]

気にするだけ無駄やぞ
askが儲かるようなもんだ

[0710 anonymous@fusianasan 2018/07/26(木) 09:41:10.62 ID:???]

execute telnet した時、
接続先に改行コードとして 0x0a を送出してるらしいのだけど
0x0d にしか反応しない機材がある。
送出する改行コード変える方法は無いかしら…

[0711 anonymous@fusianasan 2018/08/12(日) 00:55:13.98 ID:???]

>>707
代わりにその仕事を5年で95万でやってくれる人を雇えば済むんじゃね？

[0712 anonymous@fusianasan 2018/08/14(火) 10:16:22.84 ID:???]

60eの底面に有る蓋って何の拡張用でしょうか。
マニュアルを漁っても説明がありません。

[0713 anonymous 2018/08/14(火) 12:07:05.65 ID:???]

別売りのラックマウンキットの方に、
底面に取り付けるマグネット式のプレートならあった気がするけど
60E単体の底面に蓋なんてあったっけか

[0714 anonymous@fusianasan 2018/08/14(火) 13:29:54.64 ID:???]

今pcが無いので、そのものの写真を出せませんが、以下が底面の写真です。
https://goo.gl/images/sFe2NF
フラッシュを焚いたようでわかりにくいですが、シリアル番号の左隣に縦長で3.5x10cmぐらいの蓋があり、上側が1箇所ねじ止めされてます。
ssg5のsodimmのスロットぽいですが、やや長細いですね。

開ける事は出来るでしょうが、自分のは買ったばかりの未登録で、開封検知なんかされると厄介なので取り敢えず正体を知りたかったのです。
fortigateのマニュアル類には記載がなく、検索してもほぼヒットしませんので。

[0715 anonymous@fusianasan 2018/08/14(火) 14:15:40.18 ID:???]

>>712
61Eとかwifiで使ってるのかも？

[0716 anonymous@fusianasan 2018/08/14(火) 14:54:28.49 ID:???]

ハードウェアに関するマニュアルを幾つか漁って見ましたが、60Eも61Eも一緒に纏められているようで、この蓋に関する記載は見つけていません。
ただ、61EならばLTE用のsimを搭載できるのかもしれませんね。

[0717 nanashi 2018/08/14(火) 16:24:14.25 ID:???]

60Dで6.0.2にしたら何か1日1回くらい落ちるように・・・
とりあえず6.0.1に戻して様子見。

[0718 チリワイン 2018/08/14(火) 19:25:56.73 ID:???]

>>717
6.0.2のログを記載してくれよー
それじゃただの独り言じゃん

[0719 anonymous@fusianasan 2018/08/14(火) 19:47:30.87 ID:GR4vVG8W]

【ロシア国防省】　日本が、地震に偽装して、核実験
http://rio2016.5ch.net/test/read.cgi/lifeline/1533983438/l50

[0720 nanashi 2018/08/14(火) 20:57:17.53 ID:???]

>>718
ログなしでブチっと落ちてる。
デバッグまではかけてない。

[0721 anonymous@fusianasan 2018/08/15(水) 03:31:45.00 ID:???]

fortiexplorer proって使ってる人がいますか？fortiexploler自体はtouch IDが使えて手軽ですが、ほぼモニタしか出来ず、2400円払ってアップグレードする価値があるかどうか知りたいのです。
ipadからlan経由でwebにログインするとCLIが漢字変換モードで始まり、英数モードに簡単に切り替え出来ない為、ほんの数行configを入力するだけで大手間です。これが簡単になると助かるのですけど。

[0722 anonymous 2018/10/01(月) 22:11:52.13 ID:???]

>>720
俺の方の60Dはコンソールに
Internal errorからのKernel panicのログ出して再起動してた
検証中に何回か落ちたときの一回分しかログ取れてないけど

[0723 anonymous@fusianasan 2018/10/06(土) 08:24:55.76 ID:???]

FortiOS 6.02でIe11だとログイン後真っ白になってしまうんですが
設定でなんとかならないでしょうか
EgdeやChromeでは開けるんだけど

[0724 anonymous@fusianasan 2018/10/06(土) 11:34:09.68 ID:???]

>>723
うちも困ってるが、非対応だからどうしようもないみたい。

[0725 anonymous@fusianasan 2018/10/06(土) 16:16:15.47 ID:p1ZYmtbX]

>>722
うちも60Dで同じになったんだけど、その時はICMP通信してました。2回落ちて、そのどちらも。

[0726 anonymous@fusianasan 2018/10/07(日) 23:07:22.76 ID:???]

MS曰く「IEは腐った牛乳　史上最高最速のブラウザーEdgeをおすすめします」

[0727 anonymous@fusianasan 2018/10/07(日) 23:33:22.45 ID:???]

腐った牛乳って自ら貶したのはIE6では

[0728 anonymous@fusianasan 2018/10/09(火) 22:37:25.96 ID:???]

FortiOSの各バージョンのPDF見てたら
IE11のサポートは5.4.5までなんですね
社内システムがIE11以外で問題でるんで
SslVpn使うならこのバージョンにするしかないでしょうか

[0729 anonymous@fusianasan 2018/10/10(水) 06:58:48.61 ID:???]

そんなサポート使うかね？
べつに動かなくなる訳じゃなくて保証しないだけじゃなくて？

[0730 anonymous@fusianasan 2018/10/10(水) 22:55:35.44 ID:???]

ブラウザのサポートバージョンなんて気にしないけどな。
推奨環境くらいのニュアンス。
そりゃあまりに古いIEなんかだと本当に動かなかったりしそうだが。

[0731 anonymous@fusianasan 2018/10/11(木) 08:02:37.54 ID:???]

firefoxで普通に動いてる。
safariつかipad用のsafariだとCLIがまともに動作しない。

[0732 anonymous@fusianasan 2018/10/19(金) 17:50:43.29 ID:???]

　私たち日本人の、日本国憲法を改正しましょう。
総ム省の、『憲法改正國民投票法』、でググって
みてください。拡散も含め、お願い致します。

[0733 anonymous 2018/11/24(土) 00:38:25.10 ID:???]

60シリーズって温度センサーついてないのか。

[0734 anonymous 2018/12/02(日) 19:44:58.18 ID:???]

ドキュメントに載ってるKnow Issuesを
Bug Trackerで検索かけるとヒットしないのあって困る
そもそもBug Tracker自体の情報量が少ないからあってもなくても似たようなもんだが

[0735 anonymous@fusianasan 2018/12/07(金) 11:19:27.18 ID:???]

60dでsslvpnポータルって10件が上限みたいだけど、上限値ってどっかで設定変更できるの？

[0736 a 2018/12/08(土) 08:34:43.57 ID:???]

適当なバージョンのMaximum Values Tableを見ると、60Dは10が上限みたいだね

ユーザ情報をローカル管理するならそれの上限も見た方がいい
常時接続数以上は使わないけど、ユーザ数は全社員登録するとかいったら溢れるし

あと、AD(LDAP)連携を複数設定するのら
それの上限値も少ないから確認した方がいいと思う
証明書のCRLをLDAPで取ってきたりすると、さらにLDAPの設定数が増える

[0737 fg 2018/12/30(日) 10:02:53.88 ID:eSsWwWD8]

60Dを6.0.3に上げた時、何回かリブートしないとFortiGuardにつながらなかった

[0738 anonymous@fusianasan 2018/12/31(月) 23:31:19.35 ID:???]

コンフィグ引き継げないからじゃん。

[0739 anonymous@fusianasan 2019/01/24(木) 09:35:47.68 ID:fiT5pQBZ]

eoのインターネットオフィスを使ってるのですがFortigateで接続してる方いますか？
設定方法分かる方がおられれば教えてください。

営業担当から得られた情報は
�@PPPOE シングルセッション　デュアルスタック DHCPV6-PD
�A基本的に一般向けサービスと接続方法は同じ

FortiOS5.6.7 で以下の設定では駄目でした。

config ipv6
set ip6-mode pppoe
set ip6-allowaccess ping
set dhcp6-prefix-delegation enable
set dhcp6-prefix-hint 2001:xxx:xx:xxx::/56
set autoconf enable
end

[0740 anonymous@fusianasan 2019/01/24(木) 10:39:56.57 ID:fiT5pQBZ]

↑言葉足らずです
eoのインターネットオフィス（法人向けサービス）でipv6通信をするための設定です。
pppoeにてipv4での通信はできており固定のipv4アドレスを1個貰っています。
そこにオプションでipv6サービスを申し込んだのですが、うまく設定ができません。

[0741 anonymous@fusianasan 2019/01/24(木) 11:00:58.71 ID:???]

DHCPV6-PDで ip6-mode pppoe ？

[0742 anonymous@fusianasan 2019/01/24(木) 12:09:30.74 ID:fiT5pQBZ]

参照したのは以下のページです
https://blah.cloud/networks/enabling-ipv6-dhcpv6-pd-pppoe-fortigate/

他にも以下を参考にしましたがダメでした。
https://yorickdowne.wordpress.com/2018/06/08/ipv6-with-prefix-delegation-on-fortigate/
config system interface
edit "wan1"
config ipv6
set ip6-mode dhcp
set ip6-allowaccess ping
set dhcp6-prefix-delegation enable
set dhcp6-prefix-hint ::/56
end
next
end

[0743 anonymous@fusianasan 2019/01/24(木) 12:12:37.28 ID:fiT5pQBZ]

NECのルータでの設定が以下だそうです
ppp profile ppp
authentication myname dual-user1
authentication password dual-user1 pas1
ipv6 dhcp client-profile dhcpv6-cl
option-request dns-servers
ia-pd subscriber FastEthernet1/0.0

interface FastEthernet0/0.1
encapsulation pppoe
auto-connect
ppp binding ppp
ip address ipcp
ip napt enable
ipv6 enable
ipv6 dhcp client dhcpv6-cl
no shutdown

[0744 anonymous@fusianasan 2019/02/07(木) 22:54:32.88 ID:6hsvhmuA]

すいません、どなたかお分かりでしたら教えてください。100eをつかっているのですが、GUI からキャプチャ回したとき、UDPが取得出来たり、出来なかったりします(ほとんどの場合取れない)。どうすれば取れるのでしょうか？

[0745 anonymous@fusianasan 2019/02/07(木) 23:21:06.04 ID:???]

ASIC処理されてるとか

[0746 anonymous@fusianasan 2019/02/08(金) 07:15:33.65 ID:xMmWwejq]

早々にありがとうございます！
調べてみたらそれっぽいですので、今日早速試してみます！

[0747 anonymous@fusianasan 2019/02/15(金) 06:50:49.95 ID:???]

fitbit.comkにあるダッシュボート内の記録ページが
エラーとなっているのですが、みなさんのところもそうですか？

[0748 anonymous@fusianasan 2019/02/19(火) 08:06:19.30 ID:???]

fortigateにciscoでいうNATのredundancyみたいな設定はないんですか?

[0749 anonymous@fusianasan 2019/03/12(火) 13:28:17.21 ID:???]

今会社で100D(5.4.3)使っててバージョンアップする予定なんですが、6.0の安定性ってどうですぁか？
6.0か5.6どっちにするか悩んでます

[0750 unko 2019/03/12(火) 21:47:23.82 ID:???]

畳と嫁はなんとやら

[0751 anonymous@fusianasan 2019/03/24(日) 14:39:18.54 ID:???]

教えてほしいのですが、現在60D　OS5.2なのですが、
DHCPでMACで固定のIPを払い出す方法はあるでしょうか？
ロケーションの違う2箇所で使う場面があり端末側で固定は出来ないものの、
一箇所ではアドレスが決まっている方が便利な場面があるので
そう出来たらいいなぁという感じなのですが・・・

[0752 anonymous@fusianasan 2019/03/24(日) 19:07:09.03 ID:???]

>>751
そんな終息したものは捨てよう

http://help.fortinet.com/fos50hlp/52data/Content/FortiOS/fortiOS-HTML5-v2/Home.htm

[0753 anonymous@fusianasan 2019/03/24(日) 19:58:59.62 ID:???]

>>751

https://help.fortinet.com/cli/fos60hlp/60/Content/FortiOS/fortiOS-cli-ref/config/system/dhcp%20server+dhcp6%20server.htm
ここの

config ip-range
config reserved-address
を参考にすればいけるんじゃね？
5系も6系も変わらんじゃろ。

[0754 anonymous@fusianasan 2019/03/24(日) 22:44:27.15 ID:???]

>>753
ありがとう！
config reserved-address
edit 1
set-ip (IP)
set mac (MAC)
でいけました
レンジは多分レンジ外は指定できないのかなと思うのでもともとのレンジの中で
使われそうにない最終IPで設定して問題なしっぽいです

重ね重ねありがとう

[0755 anonymous@fusianasan 2019/03/26(火) 22:05:35.47 ID:???]

教えてください
ログをメモリにしてるんだけど高度って項目でディスクロギングってあるので
ディスクのクォータ設定でディスクロギング容量をフォーマットして
割り振りなりすればディスクでロギングって可能です？

[0756 anonymous@fusianasan 2019/04/13(土) 09:43:16.48 ID:???]

運用について相談です。
webフィルタを設定して運用しているのですが、最近はどこもかしこも、
ほぼ常時SSL化されているので、SSLインスペクションを有効にして
ドメイン単位でのフィルタをしています。(かなり巻き添え規制が発生しますが)

この方法以外に、この前韓国で話題になっていた、DNSフィルタ(Server Name Indication)という
方法もあると思いますが、Fortigateで使ってる方いますか?こちらもドメイン単位でしか規制できないですが。

DNSフィルタの場合、クライアントのDNSをFortigateに向けてやる必要があると思うのですが、
ドメイン(ActiveDirectory)環境の場合は、クライアントのDNS設定はドメインコントローラーへ向いていると思います。

こんな場合はDNSフィルターは無理なんですかね?

[0757 anonymous 2019/04/13(土) 18:11:42.12 ID:???]

よくわからないけど、ADの参照先をfortigateにすればいいんじゃないの？

[0758 anonymous@fusianasan 2019/04/20(土) 06:11:18.66 ID:???]

nat46ってどうやるんですか？
やったらnat変換後の送信元IP6アドレスはFGT自身のサーバ向けIFのアドレスになると思ってたんだけど、なりません。認識違いました？

[0759 anonymous@fusianasan 2019/05/08(水) 15:22:40.46 ID:???]

FortiGate40CをNURO光のONU直下に
トランスペアレント(透過)モードで設置しよう
と思って設定中ですが、インターネットに
繋がらなくて困っています。NATモード(ONU
との二重ルーター)だと問題なく繋がります。
NATモードの際のアドレスは
192.168.1.99/255.255.255.0 ゲートウェイは
192.168.1.1 となっています。トランスペアレ
ントの場合、これをどのように設定するのが
正解か、アドバイス頂けると有り難いです。
いろいろ試してみたのですが、上手くいかず、
お手上げ状態です。

[0760 anonymous@fusianasan 2019/05/12(日) 23:20:57.89 ID:???]

>>759
NURO光のONUがどういう仕様かわからん事にはどうにも

ONUがルータ機能持ってるタイプなんだっけ？

端末のデフォルトゲートウェイもONUなの？

[0761 anonymous@fusianasan 2019/05/13(月) 22:22:40.79 ID:???]

>>760
光回線はNURO、ONUはF660A、現在はファイヤーウォール機能オンにしていますが、Fortigateを透過型ファイヤーウォールに設定出来たら、ONUのファイヤーウォールはオフにする積りです。ゲートウェイはONUです。

[0762 anonymous@fusianasan 2019/05/13(月) 22:28:42.56 ID:???]

>>761
追加です。ONU(F660A)はルーター機能を持っていて、オフにすることが出来ないタイプです。

[0763 anonymous@fusianasan 2019/05/18(土) 14:31:24.39 ID:???]

>>761
まずどこまで通信が通ってどこまで戻ってるかは分かる？

例えば
ONU（ルータ機能付き）
↓�@
FG40C
↓�A
端末
だとして�@のエリアを通過してONUまで通信が届いているか
ONUから端末まで戻れるか
この辺切り分けないとちょっと分からないな

トランスペアレントモードの場合はそもそも�@�Aともに同一セグメントとなるから
FW機能での何らかのカットが行われていない限りは
ルーティング上の問題にはならないはず

[0764 anonymous@fusianasan 2019/05/19(日) 08:48:55.83 ID:???]

>>763
コメント、有難うございます。
ONU(F660A)→Fortigate40c→端末(PC)と
繋いで40cをトランスペアレントに設定して
端末からpingを打つと40cには通りますが、
F660Aには通らず、インターネットに
繋らない状態です。40cをルーターに設定する
と問題なくインターネットに繋がります。
所謂、二重ルーター環境ですが、この環境下で
速度測定をしてみました。端末をF660Aに直結
した状態と40c経由にした状態(二重ルーター)を
比べると何れも下り:600メガ、上り:900メガで
殆ど差がなく、二重ルーター環境も選択肢かな
と思っているところです。

[0765 anonymous@fusianasan 2019/05/21(火) 15:27:20.57 ID:???]

>>764
二重ルータで問題がなければそれもありかと思うけど
そもそもトランスペアレントモードの場合は端末側の設定も
変えないといけない
単純にFGの設定を変えて対応してるだけってなら
端末はDHCPでIPもらう設定にしていてって事なのかなと
>>763の形でいうとトランスペアレントモードだと
�@�Aともに同一セグメントだけどNATモードだと違うセグメントになるので
端末のIPは変えないといけない
DHCPで貰うだけなら何ら問題ないけどね
そもそもFG通さずONUに端末を直差しして繋がるのか切り分けてみたら？

個人的にはセキュリティ面を考えてもトランスペアレントモードにする
メリットはあまりないと思うけどね
�@を単なる通過するセグメントにするだけでもセキュリティ上は
そっちのが一段降りるので少し強くなるし

[0766 anonymous@fusianasan 2019/05/21(火) 15:30:30.00 ID:???]

あ、ONU直差しは通信できるのね
そういう意味ではFGがカットしてるとしか思えないってのは分かる気はするけど
ちょっと不思議な状態だな
ポリシーはそもそもちゃんと設定できてる？
セグメントが違ってしまうからポリシーをちゃんと見直さないといけない
全通しから通らないんだとちょっと不明だが

個人的にはNATモードよりは通常のルーティングモード？のがいいと思うけど

[0767 fg 2019/05/21(火) 18:51:25.41 ID:NBvOu0S8]

FortiGate-50EってCPUが Marvell Armada 385じゃん？
PPPoEをhardwareサポートしてるっぽい事書いてるけど50EだったらPPPoEのスループット出るのかな？
https://www.marvell.com/company/news/pressDetail.do?releaseID=7316

[0768 fg 2019/05/22(水) 02:03:22.38 ID:D60CRriF]

>>767
PPPoE + NAPT + IPS + DNSフィルタで90Mbps出たときにCPU使用率1ケタだった
50Eは神では

[0769 anonymous@fusianasan 2019/05/22(水) 23:14:30.00 ID:???]

ちょっとFortiのDNSの仕様がイマイチわからないので
教えてください

インタフェースIPをDNSとするようにDHCPに配らせて
その端末から通常通りにインターネットに関してはDNSリレーさせて通信させることは出来たのですが、
内部の端末についてるホスト名だけはちゃんと内部のIPに飛ばしたい
DNSデータベースに何かを設定したらいいんだろうけどどうすればいいのか
調べても出てこなかったのですがどう書けばいいのでしょう？

[0770 anonymous@fusianasan 2019/06/05(水) 14:20:30.73 ID:???]

>>768
まじかw
60Dだと80Mbpsで100%近くで張り付くから買い替えようかな

[0771 anonymous@fusianasan 2019/06/08(土) 21:32:07.83 ID:???]

>>770
その代わりFortiのSoC入ってないから注意ね

[0772 fg 2019/06/10(月) 09:29:02.19 ID:cLDmkCLH]

>>771
SoC入ってないからって困る事ある？
SoC1の60C、SoC2の60Dを持ってるけどウンコ過ぎて50Eが神に感じるんだけど
SoC3は性能いいの？
今度出るSoC4はめっちゃ性能良さそうだけど

[0773 sage 2019/06/20(木) 22:17:44.28 ID:gC/PTqw9]

FortiとYAMAHAでIPsec設定するとメインでもアグレッシブでも
IKEフェーズ1の時点でNGなんだけど組み合わせ悪いやつかね
ike Negotiate ISAKMP SA Error:〜: no SA proposal chosen　ってなるわ

[0774 anonymous 2019/06/21(金) 10:10:31.55 ID:???]

>>773 相性はあるよ
回線でもあるしね

[0775 anonymous@fusianasan 2019/06/21(金) 13:33:06.56 ID:???]

IKEv2にしてみたら？
IKEv2のほうが接続可能性は高いぞ。

[0776 anonymous@fusianasan 2019/06/22(土) 01:01:11.26 ID:???]

>>774　運ゲーだね
>>775　IKEv2で2時間ほど頑張ってみたけどダメだった

あああああこんなにくやしいのは久しぶりだあああああ

[0777 ． 2019/06/22(土) 06:27:58.97 ID:???]

>>776
俺も検証したことあるけど、絶対無理だよ
古いファームにしないと繋がらない

[0778 anonymous@fusianasan 2019/06/22(土) 08:54:50.89 ID:???]

仮にVPNはれても、障害時の切り替わりで問題発生とかあるから恐ろしいぞい

[0779 anonymous@fusianasan 2019/06/22(土) 11:31:31.12 ID:???]

>>777
どのファームだめでどのファームならおｋでした？
fortiとyamahaでipsecで繋いでる環境でfortiのバージョンアップ検討してますので参考にしたい

[0780 anonymous@fusianasan 2019/06/22(土) 11:45:38.65 ID:???]

異種機器間VPNだと、AWS VPCのForti向けサンプルコンフィグが糞だった
糞みたいなインデントの修正するだけで半日くらい潰れる

[0781 ．．． 2019/06/22(土) 21:35:03.22 ID:???]

>>779
いや、もう諦めようよ・・・

https://kb.fortinet.com/kb/documentLink.do?externalID=13885

[0782 anonymous@fusianasan 2019/06/24(月) 08:26:12.58 ID:???]

>>781
あきらめるってなにを？
現状fortiとyamahaでipsec繋がってる環境で、fortiのファームアップ考えてて、古いファームにしないと無理っていう書き込みがあったから聞いただけなんだが

[0783 anonymous@fusianasan 2019/06/24(月) 19:24:20.74 ID:???]

ほれ。
FortiGate60D (Firmware 6.0.5)とRTX810で接続してやったよ。

ttp://www.nosense.jp/ipsec-fg60d-rtx810/

特に苦労するところはないけど。

[0784 anonymous@fusianasan 2019/06/24(月) 21:03:13.61 ID:???]

パッと検証してブログ記事作成するとかイケメンかよ

[0785 anonymous@fusianasan 2019/06/25(火) 20:03:42.58 ID:???]

これ、ヤマハとかよりスループット高いよね
UTM機能お金使わずに、ルーターとして使うのあり？

[0786 anonymous@fusianasan 2019/06/25(火) 22:02:11.04 ID:???]

モノによる

[0787 anonymous@fusianasan 2019/06/25(火) 22:49:46.14 ID:???]

実測値はどうだか

[0788 anonymous@fusianasan 2019/06/25(火) 23:12:03.04 ID:???]

>>785
ルータと違ってセッション管理しちゃうから注意ね。
やたら無通信時間が長いアプリとかたまにあるし。

[0789 anonymous@fusianasan 2019/07/26(金) 15:45:01.64 ID:???]

>>787
PPPoEとIPv6は実測値が面白いことになる機種も多い

[0790 anonymous@fusianasan 2019/07/30(火) 22:13:13.36 ID:???]

https://i.imgur.com/dWYOCDj.jpg

[0791 anonymous@fusianasan 2019/08/01(木) 01:22:57.48 ID:txazrML8]

個人だとどこでライセンス買うのがオススメ？

[0792 anonymous@fusianasan 2019/08/02(金) 20:46:10.82 ID:???]

>>783 ありがとう
https://network-beginner.xyz/fortigate_and_rtx_ipsec-vpn
このサイトも参考にさせてもらって設定したらアグレッシブでのみ成功したけど
2拠点目繋げようとするどっちか1か所しか繋がらない
fortigateから見たリモート側のPeerIDは文字化けしてるしRTXでのPeerIDの指定方法もわからない
ここで行き止まりかな

[0793 anonymous@fusianasan 2019/08/02(金) 21:40:00.39 ID:???]

ipsec ike local name を fqdnにしたら識別できて繋がった
スレ汚してすみませんでした

[0794 anonymous@fusianasan 2019/08/04(日) 02:36:05.93 ID:HfVtUV9B]

自宅検証用にみんなどの機種使ってるの？

[0795 nanashi 2019/08/04(日) 07:24:53.54 ID:???]

60Dだけどvxlanが微妙なんで60E欲しい

[0796 sage 2019/08/09(金) 11:01:04.34 ID:3woH7nMD]

すいません、Forti初心者なのですがご存知の方教えてください。
FortiCloudのサブスクリプションライセンスの購入を考えているのですが、
登録できるデバイス数は無制限でしょうか。それとも登録したい台数分のサブスクリプションを購入しないとダメ？

[0797 anonymous@fusianasan 2019/08/19(月) 05:02:53.49 ID:hriGQZgT]

>>795
何が微妙なの

[0798 nanashi 2019/08/19(月) 19:30:37.85 ID:???]

>>797
60Eはconfig system vxlanがあるけど
60Dはipsecのset encap vxlanしかない。

[0799 anonymous@fusianasan 2019/08/21(水) 00:21:44.69 ID:???]

Ver.6.0でアプリケーションコントロールのカスタムシグネチャーをhostで識別させたいんだけどうまく行かなくて夜も眠れない。
相手サイトでアプリケーション識別するカスタムシグネチャー分かる人いないですかね…

[0800 anonymous@fusianasan 2019/08/29(木) 08:48:52.49 ID:???]

脆弱性でたからsslvpn使ってるとこは注意

[0801 anonymous@fusianasan 2019/08/29(木) 19:17:48.59 ID:???]

正確には脆弱性自体は前からあったけど
エクスプロイトが公開されたから
攻撃実現性が増した感じだよね

[0802 anonymous@fusianasan 2019/09/01(日) 14:00:14.99 ID:???]

FortiClientのiPhone, iPadアプリは
構成プロファイルで配ったクライアント証明書を認識しなくて
わざわざiTunesから仕込む必要あるから
SSL-VPNで数百端末展開するだけでも地獄っいうね...

[0803 anonymous@fusianasan 2019/09/26(木) 02:10:29.60 ID:???]

>>796
FortiCloud自体はデバイス登録数は制限無いです
ログリテンションのサブスクリプションはFortiGateごとの購入が必要

[0804 anonymous@fusianasan 2019/09/28(土) 10:09:28.96 ID:???]

10月半ばから一斉に本体を10%値上げだと
増税と合わせてだいぶアレになるな

[0805 anonymous@fusianasan 2019/10/03(木) 03:22:58.29 ID:???]

nuro bizでの設定例がわかる方がいたら教えていただきたいです。
nuro bizのONUにfortigate 60Eを接続しているのですが、LAN1（標準固定IP）で外への接続ができません。
いろいろ調べてIPoEで接続するとの情報は得られたのですがfortigateでどのように設定すればいいのかがわかりません。
https://thorsten-on-tech.blog/2018/06/08/ipv6-with-prefix-delegation-on-fortigate/
こちらを参考にipv6をdhcpにしてみましたが、
diagnose ipv6 route list | grep wan1
で見るとipv6のアドレスが割り振られていないようです。
ONUのLAN2経由であれば外に出られます。
どうかよろしくお願いいたします。

[0806 nanasi 2019/10/16(水) 20:31:09.56 ID:???]

Fortigateで作成したvlan10,20,30のすべてがタグVLANで、
これをLAN1,LAN2のアグリゲートで上位L3SWと接続できている。

LAN3には内部の独自セグメントのIPを割り当ててPCを「直接」接続している。
この状態だとPC側から投げたパケットは上位ルータに飛ばない
（ルーティングやフィルタの設定に異常はない）
ひょっとしてこういう接続はNGなの？

LAN3にもタグVLANを適用し、わざわざタグVLANに対応したL2SWを接続したうえで、
PCをL2SWに接続しないとダメ？

[0807 nanashi 2019/10/16(水) 21:59:04.97 ID:???]

>>806
50Eの6.2ではできてる。

[0808 anonymous@fusianasan 2019/10/17(木) 09:50:29.10 ID:???]

>>807
ありがとう。

[0809 anonymous@fusianasan 2019/10/17(木) 14:55:34.27 ID:5gwexqKi]

最新ファームでは下位モデルのLAGに対応したんだね

[0810 anonymous@fusianasan 2019/11/05(火) 21:34:39.75 ID:???]

vdomAにあるradiusサーバーを、vdomBから参照するにはどうしたらよいでしょうか
vdomAからは接続できているのですが、vdomBの「RADIUSサーバの編集」で接続テストすると「RADIUSサーバに接続できません」となります。

[0811 anonymous@fusianasan 2019/11/06(水) 13:57:01.48 ID:???]

この機種かなりやばない？
Webからポリシー追加とかstatic route追加・削除してたんだけど、
static routeを追加したり削除した直後に数秒ほど飛んではいけない宛先にpingが飛んだりする。
設定反映のタイミングで設定がガバガバになることない？

[0812 anonymous@fusianasan 2019/11/06(水) 22:05:18.57 ID:???]

ダメなら使うのやめとけ

[0813 anonymous@fusianasan 2019/11/07(木) 08:12:29.98 ID:???]

>>812
質問に答えてない

[0814 anonymous 2019/11/07(木) 08:16:58.51 ID:???]

どの機種、どのバージョンか書いてない時点で回答するに値しないクソ質問ですし
でそんなに気になるならパケットキャプチャとった上でメーカーに問い合わせろでFA

[0815 anonymous@fusianasan 2019/11/07(木) 19:46:18.19 ID:???]

いや、そういう情報を共有するスレだろ

[0816 anonymous@fusianasan 2019/11/07(木) 19:59:03.04 ID:???]

「やばない？」とか「設定がガバガバ」とかいう放言にマトモな対応を期待する方が馬鹿ｗ

[0817 anonymous@fusianasan 2019/11/07(木) 20:14:39.96 ID:???]

前提となる環境が全く判らないので情報として価値がない

[0818 anonymous@fusianasan 2019/11/08(金) 09:44:09.73 ID:???]

それじゃあ典型的な古参隔離スレじゃん
古参のフォーマットに合わせないと無視って、新規が入ってこないわけだわ

[0819 anonymous@fusianasan 2019/11/09(土) 13:50:36.14 ID:L0GkWdQC]

FG60Eを6.2.0から6.2.2に上げようとしたらアップグレードパスがないとかで弾かれた
factoryresetしても駄目だったわ

[0820 anonymous@fusianasan 2019/11/10(日) 02:34:48.91 ID:???]

>>819
うちもだわ。機種もバージョンも一緒。

[0821 anonymous@fusianasan 2019/11/13(水) 02:56:37.14 ID:???]

60Fって60Eから相当能力上がってるね。3倍ぐらいは上。ただ、遅延は3μから4μになってる。サイトがメンテ中だからgoogleのキャッシュしか見れないけど。

で、6.2.0から6.2.1にまず上げないの？　バージョン飛ばすとアップグレードパス云々って言われるのは手続き上あることだと思うんだけど。

[0822 anonymous@fusianasan 2019/11/14(木) 08:09:23.99 ID:???]

公式のアップグレードパスとして6.2.0 -> 6.2.2が案内されてるじゃん

[0823 anonymous@fusianasan 2019/11/18(月) 20:06:43.98 ID:???]

>>810
ワイもいろいろ試したが出来んかった

[0824 anonymous@fusianasan 2019/11/24(日) 13:33:26.56 ID:???]

トランスペアレントモード時のルーティングの設定ているんですか？
透過するだけだしいらないと思ってるんですが

[0825 anonymous@fusianasan 2019/11/24(日) 17:11:52.83 ID:???]

機器自体がアップデートなりなんなりで通信するためのデフォルトゲートウェイが要るかどうかという話なら
運用ポリシーに照らして設定したらいいんでないかな

[0826 anonymous@fusianasan 2019/11/24(日) 22:32:32.84 ID:???]

>>825
なるほど、機器がって事か
納得しました。
実在に流れる通信には関係ないって事ですね

[0827 anonymous@fusianasan 2019/11/29(金) 09:53:01.84 ID:???]

FortiGateをリバースプロキシとして使えますか?

[0828 anonymous@fusianasan 2019/11/30(土) 11:32:02.52 ID:???]

使えます

[0829 anonymous@fusianasan 2019/12/08(日) 13:43:11.00 ID:???]

この手のネットワーク機器の付加価値機能って、使えるけど使っちゃいかんってコモンセンスだったけど今後はどやろね
SSLオフローダとしてはASICで非常に優秀なことは理解してるんだけど、
本当に思ったように振り分けできる？ログの出力フォーマットをパースしやすいように整えられる？とか色々考えちゃう

[0830 & ◆OXOm5H/08U 2019/12/09(月) 13:09:43.05 ID:???]

石橋３回叩かないと歩けないタイプ?
手に負う根性無いなら丸投げしようぜ

[0831 anonymous@fusianasan 2019/12/10(火) 15:40:08.47 ID:???]

>>819
これ自己解決。
6.2.0の既知のバグだったわ。
一旦6.0.7に下げたら6.2.2に出来たわ。

[0832 anonymous@fusianasan 2019/12/13(金) 11:06:05.29 ID:???]

>>830
ちょっと意味が分からん
Fortigateにリバプロさせるようなしょぼいシステム組みたくないって話なんだが理解できとるか？

[0833 anonymous@fusianasan 2019/12/13(金) 13:36:19.45 ID:???]

SSL-VPN使うことにしました。
ありがとうございました。

[0834 anonymous@fusianasan 2019/12/13(金) 15:08:55.57 ID:???]

×コモンセンス
○ケースバイケース

[0835 anonymous@fusianasan 2019/12/14(土) 10:12:33.30 ID:???]

ケースバイケースってか予算が無かったりそもそも要件詰め忘れてたりの間に合わせだろ？
そんなん使う時点でエンジニアとしてどうよって思うわ

[0836 anonymous@fusianasan 2019/12/20(金) 19:26:35.33 ID:34e0ge6G]

6.2.3リリース。
早速入れてみたが、ログイン画面文字化けするな。

[0837 anonymous@fusianasan 2019/12/20(金) 20:36:06.39 ID:???]

ありゃ　うちもリリース間近の400Eで6.2.2入れてるんだけどどうしようかな

[0838 anonymous@fusianasan 2019/12/20(金) 22:40:08.71 ID:???]

Fortinetに限らず、一般的に透過モードで設置した場合WAN側にあるPCとLAN側のPCって普通に通信できるものですか？
例えば共有フォルダが丸見えになりますか？

[0839 anonymous@fusianasan 2019/12/20(金) 23:24:30.85 ID:???]

>>838
ポリシーによるとしか…

[0840 nanashi 2019/12/21(土) 06:27:49.16 ID:???]

>>837
年末だし避けた方が・・・

[0841 anonymous@fusianasan 2019/12/22(日) 20:23:32.62 ID:???]

>>839
ということは、透過モードのまま制限することは可能ではあるってことですかね？
インターネットのみ可能な来客用ネットワークをUTMの外側に作りたいのですが、UTMの設定はUTM設置業者にさせればいいでしょうか？

[0842 anonymous@fusianasan 2019/12/23(月) 00:49:31.48 ID:???]

>>841
できるはできるけど要件だけ聞くとわざわざ透過モードで
設計する理由が分からない。
雰囲気的に業者に設計方針から依頼したほうが幸せになると
思うよ。

[0843 anonymous@fusianasan 2019/12/23(月) 08:11:41.77 ID:???]

SSL-VPN を利用する際に
FQDNを使わず直接IPアドレスを使ったアクセスを
拒否することは可能ですか?

[0844 anonymous@fusianasan 2019/12/23(月) 08:26:40.94 ID:oIFvnOSy]

>>843
勿論、httpのhostnameヘッダが入ってない場合を想定してるんだろうが、確か出来ないはず。
想定が違うなら、httpプロトコルの勉強した方がいい。

[0845 anonymous@fusianasan 2019/12/23(月) 16:37:49.34 ID:???]

>>843
俺はダイナミックIP使って、頻繁にIPアドレスを変更している。

[0846 anonymous@fusianasan 2019/12/23(月) 19:55:52.76 ID:???]

>>844
そうですか。残念です。

Internet explorer 11 だと SSL-VPN ポータルが表示されないのですが
どうすればよろしいでしょうか

[0847 nanashi 2019/12/24(火) 06:28:31.04 ID:???]

>>843
俺はsrc IP絞った。

[0848 anonymous@fusianasan 2019/12/24(火) 08:08:40.27 ID:KB7IbA+5]

>>846
最近のFortiOSはIEサポートしてないから大人しく対応ブラウザ使うべし。リリースノートに載ってるから。

[0849 anonymous@fusianasan 2020/01/07(火) 20:21:05.17 ID:???]

自分でfortigateに証明書を入れず、FortiClientを使用してIPアドレス指定でSSL-VPNを繋いでいるのですが
この状態でも通信は暗号化はされるのでしょうか。
素人質問で申し訳ないです。

[0850 anonymous@fusianasan 2020/01/08(水) 08:22:52.92 ID:f6X7IK54]

>>849
暗号化されてる。

[0851 anonymous@fusianasan 2020/01/09(木) 06:52:58.56 ID:???]

>>850
ありがとうございます。

[0852 anonymous@fusianasan 2020/01/12(日) 12:27:55.97 ID:???]

並行輸入品て日本国内のサポート受けることできますか

[0853 anonymous@fusianasan 2020/01/12(日) 13:35:10.26 ID:???]

できますん

[0854 anonymous@fusianasan 2020/01/12(日) 16:50:18.53 ID:???]

ですよねー

[0855 anonymous@fusianasan 2020/01/15(水) 08:11:33.31 ID:7zpQoq1k]

6.4まだー？

[0856 855 2020/01/15(水) 12:30:29.48 ID:7zpQoq1k]

>>855
6.3でした

[0857 anonymous@fusianasan 2020/03/03(火) 01:45:57.20 ID:???]

6.3は出ない

[0858 anonymous@fusianasan 2020/03/04(水) 21:53:04.24 ID:???]

30Eのforticare 1yr 8時間x5日とかの安いライセンスをebayから買って更新しようとしたら$200とか高いのしか売ってなかったけど、最近方針って変わったのでしょうか？
もっともebayは時々品切れになるから、待ってると復活したりしますが、値上げされると困ります。

firewall.comなら普通に安いのですが、こちらから買ったことがないので評判探してます。

[0859 anonymous@fusianasan 2020/03/05(木) 08:57:09.61 ID:???]

家で使ってる50Eは本体も更新ライセンスもここで買ったけど特に問題は無かったよ https://www.avfirewalls.com/

[0860 anonymous@fusianasan 2020/03/06(金) 17:17:38.70 ID:???]

100Dと60Eが同じ値段だったらみんなどっち買う？

[0861 anonymous@fusianasan 2020/03/06(金) 22:46:41.95 ID:???]

どちらも買わずに吉原に行く

[0862 anonymous@fusianasan 2020/03/10(火) 04:26:04.38 ID:???]

>859 レストン
其処でライセンス買ってみたけど、注文はキャンセルされました。
理由は、お前はウチから本体買ってないから登録されてない、からだそうです。

当然、fortinetには2台も登録済なんですけどね。

[0863 anonymous@fusianasan 2020/03/10(火) 11:34:23.00 ID:???]

fortiはlicenceがクソ

[0864 anonymous@fusianasan 2020/03/10(火) 22:37:52.33 ID:???]

米とかドイツの尼でもFC-10-0030E-311-02-12は品切れみたい。
なんかサービス体系変えてきそう。

ebayでJPY 18,774てのがあったけど、どうするか。ライセンス切れはまだ先だけど。

[0865 anonymous@fusianasan 2020/03/19(木) 10:48:43.53 ID:???]

FTPで嵌っていて、どうにも解決できない為お聞きしたく。
#どういう訳かngワードに引っかかって、全文を書けないので
分割して書き込みます。

[0866 anonymous@fusianasan 2020/03/19(木) 10:52:03.55 ID:???]

（続き）
現在FG60Eという機種が入っていて、NATで運用しています。
firewallの内側からFTP接続するのですが、接続は出来るものの、
ファイルアップロードでかなりの確率で失敗します。（続く）

[0867 anonymous@fusianasan 2020/03/19(木) 10:56:15.74 ID:???]

（続き）
FTPサーバはAWSでvsftpdを使用しています。

highポートは、fortigate、EC2とも1024-65535全てを
開けて見ましたが結果は変わらず。

DMZからFTP接続すると問題なくファイル送受信出来るので
何か設定が間違ってると思うのですが、vsftp側の設定も含めて
ご教示頂ければ嬉しいです。

[0868 nanashi 2020/03/19(木) 19:40:08.77 ID:???]

ftpはpassive mode?

[0869 anonymous@fusianasan 2020/03/19(木) 20:04:17.87 ID:???]

>>868
そうです。

[0870 anonymous@fusianasan 2020/03/19(木) 23:30:15.07 ID:???]

パッシブやめたら？

[0871 anonymous@fusianasan 2020/03/20(金) 00:15:20.65 ID:???]

FTP でウイルス対策を有効にしていると REST コマンドを通してくれない。
https://kb.fortinet.com/kb/documentLink.do?externalID=10834

[0872 anonymous@fusianasan 2020/03/20(金) 00:35:59.98 ID:???]

ありがとうございます。
連休明けに設定確認してみます。

[0873 anonymous@fusianasan 2020/03/31(火) 23:33:02.49 ID:vALh/NWB]

質問なのですが。
LAN内の、FortiGateの真下などに
別メーカーのUTMを入れるセキュリティ強化は
企業ではあまりやらないのでしょうか？
UTM２段構えとか、より安全そうなイメージですが・・

[0874 anonymous@fusianasan 2020/03/31(火) 23:48:56.00 ID:???]

イメージ。

[0875 anonymous 2020/04/01(水) 00:19:41.05 ID:???]

ハイエンドな環境だと、パフォーマンス重視で用途で分ける場合があるのでは？
L4ACLはFortiで、サンドボックスはFireEyeにしたりとか

[0876 anonymous@fusianasan 2020/04/01(水) 00:58:08.29 ID:???]

UTM2段で入れるくらいなら冗長構成取るんじゃないかな
UTM2段、且つ冗長構成を取るってブルジョワなユーザならともかく

[0877 anonymous@fusianasan 2020/04/01(水) 08:30:51.95 ID:e1ZJH4yg]

別メーカー多段だと、シグネイチャベースのIPSやアンチウイルスなら
効果ありそうな気もするけど、どうなんだろうね?

[0878 anonymous@fusianasan 2020/04/01(水) 20:00:53.55 ID:???]

金をどぶに捨てるくらいなら意味がある

[0879 anonymous@fusianasan 2020/04/01(水) 20:25:48.26 ID:???]

多段UTMとか誤検知やらなんやらでトラシューが大変になる未来しか見えない

[0880 anonymous@fusianasan 2020/04/02(木) 15:23:51.57 ID:16WubaHP]

当方は、
fortigate 60Fをルーターのみで利用、配下でfortigate 100eをトランスペアブリッジとセキュリティ検疫で利用してます。

[0881 anonymous@fusianasan 2020/04/02(木) 22:25:17.09 ID:???]

ブラックリストで重ねる位ならホワイトリスト一重かな
ホワイトリストで重ねるなら効果あるだろうが設定が面倒くさいし
重ねるだけ可用性下がるが冗長構成にすれば金もかかる
ユーザーなり接続数ベースのライセンス形態と違って
FortiはHWベースなんで冗長組むと比例して高くつく

[0882 anonymous@fusianasan 2020/04/03(金) 04:39:52.34 ID:???]

Forti以外でもHWを冗長構成で2個並べればその分の費用はかかると思うけどな

[0883 nanashi 2020/04/03(金) 07:49:14.54 ID:???]

2台分のライセンスより1台分+HAライセンスの方が安いって話じゃない?

[0884 anonymous@fusianasan 2020/04/03(金) 16:47:05.73 ID:???]

utmの管理者を翻弄するクラウド。

ホワイトリストもブラックリストもガンガン増える。

[0885 anonymous@fusianasan 2020/04/03(金) 22:41:50.27 ID:Z6w6y++G]

今は、セグメントUTMとかLAN内に階層で置いてるよね？

[0886 anonymous@fusianasan 2020/04/04(土) 16:16:58.75 ID:???]

同じ製品の型番のfortigateとfortiwifiってファームウェアのイメージ同地物使えるの？やっぱりだめ？

[0887 anonymous@fusianasan 2020/04/04(土) 17:07:42.06 ID:???]

だめ

[0888 anonymous@fusianasan 2020/04/04(土) 19:12:00.80 ID:???]

ありがとう。たすかりました。

[0889 anonymous@fusianasan 2020/04/06(月) 19:35:33.32 ID:6LoJytDx]

fortigateのSSL-VPNでAD参加のために
DNSをADサーバー2台が先にくるように設定しているんですが
拠点内サーバーへのアクセスのためにWS01　192.168.0.254
みたいなのをFortigateのDNSとして登録して先にこさせることって可能でしょうか？
その場合、多分DNSリレーが必要だと思うんですけど、先に挟み込みができるのか
GUIいじってみましたけどよくわからず・・・。
機種は60Dと50Eです。

[0890 anonymous@fusianasan 2020/04/06(月) 20:51:52.11 ID:???]

日本語で頼む

[0891 anonymous@fusianasan 2020/04/06(月) 22:55:50.07 ID:16mjvFmK]

Fortigateのクラウドサンドボックスって
検査中のファイルをFortigateで止めとく事できるのでしょうか？
とりあえずは、クライアントに流れるのかな？

ソニックウォールのサンドボックスは検査完了まで
止められるみたいですが。

[0892 anonymous@fusianasan 2020/04/07(火) 01:52:55.04 ID:???]

>>889
FGのDNS参照先として特定のサーバを登録したければ、ネットワーク＞DNSから設定可能です
SSL-VPNのAD参加の下りがわかりませんが、SSL-VPN接続してきたユーザに特定のDNSサーバのアドレスを
払い出すことは可能です。

>>891
クライアントに流れるはず
検査完了で止めておくとセッションタイムアウトになるし

[0893 anonymous@fusianasan 2020/04/07(火) 13:44:21.44 ID:???]

>>871
結果報告が遅れて申し訳ない。ビンゴでした。
機能をオフにしたら、問題が解消されました。
情報をありがとうございました。

[0894 anonymous@fusianasan 2020/04/08(水) 03:38:11.01 ID:???]

>>889
ADサーバー側のDNSサーバーにルートヒントぶち込んでフルサービスリゾルバの役割も担わせれば良い

[0895 891 2020/04/08(水) 11:49:44.84 ID:???]

>>892
それは設定しています。ありがとうございます。
もともとADサーバー2つをリモートクライアントのDNSとして登録しています。
この構成だと、VPN越しにAD参加が可能なのです。

で、ぶっちゃけADサーバーにレコード登録すればいいだろってのはあるんですが

[クライアント]---[FG50E]--[ADサーバー]--[PublicDNS]
という流れでFGにはDNSをリレーしてもらうようにするとして
1.これでAD参加可能か？
２.FG独自で名前登録して、そのFGを置いているところでだけ使えるレコードとして
使えないか？

というところが聞きたいところです。

拠点内だとNetBiosで名前解決していたようなものがVPN越しだと
うまく動かず（そりゃそうですよね）
hostsの登録も難しいようなのでFGでなんとかできないかな？と。

[0896 889 2020/04/08(水) 11:50:40.11 ID:6Q+PU/sk]

↑889です。専ブラ使わないとつらいですね。

[0897 unko 2020/04/08(水) 20:12:14.67 ID:???]

>>895
DNS updateのフォワードはしない

[0898 anonymous@fusianasan 2020/04/09(木) 03:38:06.90 ID:???]

誰か読解してくれ

[0899 anonymous@fusianasan 2020/04/09(木) 23:14:14.13 ID:/y6gbGOT]

いまいちスループットの意味がわからないのですが
ベストエフォート100Mbps回線の、ネット接続用で使う場合は
ユーザー数が多くても、スループットはあまり気にする必要ないのでしょうか？

[0900 ocn 2020/04/11(土) 13:12:56.52 ID:???]

90D ライセンス切れ品が転がっていたから、SSL-VPN FortiClientのGWとして設定した。
テレワーク急に始める企業には神のような機械だな。
50人登録したけど何人まで使えるんだろう。

[0901 NHK 2020/04/11(土) 15:55:08.69 ID:???]

100D OS5.4 と FortiClientVPN6.2.4(これしか拾えない)で
自宅複数とIPsecVPNをはりたいのですが、
当然ながら相手は動的ＩＰ

識別の為のPeer IDは、どうやって作るのでしょうか？

[0902 anonymous@fusianasan 2020/04/11(土) 17:06:20.80 ID:???]

FortiClientは一応ここからDL出来るかと
6.0.Xまでならセキュリティ機能（AVなど）は無料
https://forticlient.com/downloads

[0903 anonymous@fusianasan 2020/04/11(土) 17:14:36.14 ID:???]

>>901
これのことですかね？

Configuring FortiClient - pre-shared key and peer ID
https://help.fortinet.com/fos50hlp/54/Content/FortiOS/fortigate-ipsecvpn-54/Phase_1/Authenticating_Remote_Peers_Clients.htm

[0904 anonymous@fusianasan 2020/04/11(土) 19:26:57.06 ID:???]

数人しかいない別拠点ように40Fが欲しいんだが
日本だといつ頃かね

[0905 901 2020/04/13(月) 06:20:29.31 ID:???]

>>902
>>903
どうも有難うございました

結果的には、拠点Fortiの様なPeer IDの設定は不要
枝番が出てFCとして、複数拠点の接続可能でした

数日前にはできなかったのですが、なんかミスってたんですね

[0906 903 2020/04/13(月) 09:58:25.83 ID:???]

>>905
FortiClient使うときはIPアドレス不定でアクセスする場合が多いためアグレッシブモード使うから
ID設定はAnyが一般的かなと思います（されてる設定の通り）
>>901読んだとき、敢えてメインモード使いたいだろうなと思ってしまいました

[0907 anonymous@fusianasan 2020/04/13(月) 23:28:00.35 ID:3rujejxz]

Fortiって、FWスループットだけの
見掛け倒しじゃない？

[0908 anonymous@fusianasan 2020/04/14(火) 00:18:12.36 ID:???]

HWオフロードできる部分はASIC処理なので速い
CPU処理になる機能を使えばその分パフォーマンスは落ちるってだけですな
他メーカでも同じ話

[0909 anonymous@fusianasan 2020/04/14(火) 11:19:28.88 ID:TZ3n/cxj]

>>897
そうですか。
DNSキャッシュサーバーとしての機能は持たないんですね。
FortigateってDNSは完全な中継しかしないんですね。

[0910 anonymous@fusianasan 2020/04/14(火) 12:15:46.98 ID:???]

>>909
こういうのでよければ

FortiGate DNS server
https://docs.fortinet.com/document/fortigate/6.2.0/cookbook/960561/fortigate-dns-server

ローカルのレコードにないものについての問い合わせは
システムDNSサーバに問い合わせ

[0911 anonymous@fusianasan 2020/04/16(木) 13:17:45.10 ID:HsaRV7w+]

60Fて、あの安さであの脅威スループットは凄くない？
ソニックウォールでも、同等スループット機種は倍はするよ。

[0912 anonymous@fusianasan 2020/04/17(金) 00:17:27.96 ID:???]

ASIC搭載とはいえCPU使う機能であればスループットはそれなりに落ちる
でも、他ベンダもそれは一緒だから「あのデータシートは嘘だ」的な話はあまり聞かない

[0913 anonymous@fusianasan 2020/04/17(金) 16:56:24.08 ID:???]

機器借りてテストしないとダメなのどこも一緒

[0914 anonymous@fusianasan 2020/04/18(土) 01:06:50.67 ID:???]

どんな装置でも導入前にテストしようと考えるのが当たり前なんだよな
何も知らないまま選定して物だけ流してトラブって炎上とかみてて呆れる

[0915 anonymous@fusianasan 2020/04/19(日) 09:24:55.43 ID:VqDl5ZwJ]

httpsまで保護するなら、同レンジの中では
60F　一択な気もする。

[0916 anonymous@fusianasan 2020/04/19(日) 17:44:08.11 ID:???]

60Fは10Gbpsに対応しろとは言わないが、2.5か5には対応して欲しかったな。
中途半端すぎ。

[0917 anonymous@fusianasan 2020/04/19(日) 18:30:48.80 ID:???]

パフォーマンスが出るからっつて小さいものに何でも付けてしまうと
マーケティングも何もあったもんじゃないしな

[0918 anonymous@fusianasan 2020/04/19(日) 18:44:24.31 ID:???]

>>916
LACPで我慢しとけ

[0919 anonymous@fusianasan 2020/04/20(月) 12:30:38.45 ID:YzzJ0S8Z]

質問になります。
拠点間のIPSec-VPNだとNATトラバーサルで使えるようですが
forticlientでも、NAT内側にあるFortiGateに
外からVPN接続可能なのでしょうか？

[0920 anonymous@fusianasan 2020/04/20(月) 14:21:43.66 ID:57z7k3It]

>>910
これだとActive Directory参加は難しそうなので
悩ましいんですよね。
1番目にADサーバーを入れないとむずかしく。

>>919
NAT機器でSTATIC　NATでFortigateにポート転送してもらっていればできますけど
そうでなければ無理ですね。

[0921 anonymous@fusianasan 2020/04/23(木) 16:33:42.23 ID:ms0fyKzL]

NATトラバーサルって謎だよね。
ポートフォワードしなくても、なぜか使える製品もあるし・・

[0922 無職のADHDが◯千万円分のビットコイン所持 2020/04/27(月) 14:36:42.62 ID:fXCs3MtT]

>>1
東京三鷹の土井（剛）莉里子
https://i.imgur.com/pZ90Ptt.png


氏名■土井剛（莉里子）

生年月日■1994.3.7

前住所■〒181-0013 東京都三鷹市下連雀5丁目3 シティハイツ吉祥寺通り4階

性別■男（詐欺師のため、戸籍変更している可能性あり）

Twitter■@copy__writing　@kotobamemo_bot

疾患■性同一性障害（LGBT）、発達障害（ADHD）、アスペルガー症候群、統合失調症



●一方的に好意を寄せる男性から相手にされないと嫌がらせを繰り返す
●某大学病院の精神科隔離病棟にて強制入院
●骨が見えるほどのリストカット
●奇声をあげながら自室部屋のドアをナイフで突き刺す
●シティハイツ吉祥寺通り4階から飛び降り自殺
●性転換手術（金玉を取る）
●トラブル...嫌がらせ、ハッキング、乗っ取り、たかり、脅迫、殺害予告...etc
●去年から今年にかけてyoutuber同士のトラブルの仲介に入り某大手youtuberから複数回に渡り1億近い慰謝料をふんだくる
●自宅の吉祥寺にいられなくなり、大阪に潜伏中（警察からも逃げている）

[0923 anonymous@fusianasan 2020/05/07(木) 13:50:33.18 ID:???]

NAT-Tは５００と４５００のポート使うかどうかの話じゃないの？

[0924 anonymous@fusianasan 2020/05/09(土) 07:52:02.33 ID:???]

50EでDS-Liteの設定をし、LAN側の端末からは快適にインターネットに出られるようになったのですが、FortiGuardへの接続がうまく行きません。

[0925 anonymous@fusianasan 2020/05/09(土) 08:36:02.68 ID:???]

これでいけるかもしらん
https://kb.fortinet.com/kb/documentLink.do?externalID=FD43725

[0926 anonymous@fusianasan 2020/05/09(土) 16:39:27.17 ID:???]

>>925
これはやりました

[0927 ano 2020/05/09(土) 18:52:58.76 ID:???]

CPE側にIPv4アドレスを持たないDS-LiteでIPv4によるVPNってできるの？

[0928 anonymous@fusianasan 2020/05/09(土) 20:27:31.36 ID:???]

>>927
http://www.30boys.tokyo/asapu/web_diary/diary.cgi?mode=view&;YMD=20180619

[0929 anonymous@fusianasan 2020/05/11(月) 10:47:41.23 ID:WUfLJwWv]

リモートVPN用にipsecトンネルを複数つくると繋がらなくなるんだけど、
こういうもんなの？

[0930 anonymous@fusianasan 2020/05/11(月) 12:45:39.78 ID:qPoaS1T1]

【告知】大阪で１番恥さらしな男！！これまで誰一人として語れなかった覚醒剤中毒者の泥沼の世界！！そして警察官、刑務官、裁判官のええ加減さを真実のみを赤裸々に語り最低中の最低の究極のゴキブリ男が恥を承知の上で書いた渾身の力作！！
ノンフィクション自叙伝！！
【ゴミと呼ばれて刑務所の中の落ちこぼれ】
中学2年の時に覚醒剤を覚え17歳から45歳まで【少年院1回、刑務所8回、合計20年】獄中生活を体験したが、ある女性との出逢いで生き方を180度変えて鉄の信念で覚醒剤を断ちきり見事に更生を果たした感動の奇跡の一冊！！
全国の書店&ネット通販でどうぞ！！

[0931 anonymous@fusianasan 2020/05/14(木) 09:17:30.56 ID:9Goq+aaG]

LAN内のフロア毎に、透過型ブリッジモードで設置して
LAN内UTMにするって
利用方法おかしいのでしようか？

[0932 anonymous@fusianasan 2020/05/14(木) 11:29:28.80 ID:???]

贅沢だなｗ
VDOMで切るわ

[0933 anonymous@fusianasan 2020/05/14(木) 13:17:34.23 ID:???]

確かに贅沢だなw
VDOMも有りだけどPort01は1F、Port02は2Fとかに切るだけでも十分な気がしてきた。

[0934 anonymous@fusianasan 2020/05/14(木) 16:10:58.74 ID:???]

forticare 8x5契約が切れそうなのですが、24x7の契約で継ぎ足すことはできたのでしょうか。
fortinet的には、本体買った当時から今までの分の24x7ライセンスも買え、と言いかねませんけど。

[0935 anonymous@fusianasan 2020/05/14(木) 18:55:48.97 ID:ZGOfY0UY]

200Eってショートパケットの処理苦手ですか?

[0936 anonymous@fusianasan 2020/05/14(木) 23:30:11.53 ID:9Goq+aaG]

Port01は1F、Port02は2Fとかだと
IPS有効の場合、LAN内ファイルサーバーとかの
利用速度めっちゃ落ちそうだよねw

[0937 anonymous@fusianasan 2020/05/15(金) 00:31:12.86 ID:???]

そこは機種によるとしか言えないだろうね。
安くても最近出てるFシリーズとかはカタログスペックでワイヤスピード出てるし。

[0938 anonymous@fusianasan 2020/05/16(土) 15:52:18.45 ID:???]

fortigateでNAPT（IPマスカレード）する時に変換後のSrcPortレンジの指定って出来ますか？

[0939 anonymous@fusianasan 2020/05/18(月) 12:48:48.97 ID:???]

>>935
IPv4だったらASIC処理で得意 v6は微妙

[0940 anonymous@fusianasan 2020/05/18(月) 16:10:08.95 ID:???]

Fortigate60DにSSL-VPNで接続してRDPでWindowsにログインしてそのWindowsでインターネットからダウロードすると
帯域逼迫かなんか知らんけどRDPがまともに通信出来ない。
利用者は自分1人。
ショボ過ぎへんか？
ちなみにトラヒックシェーパーでSSLVPNの10Mbps帯域保証設定しても変わらず。

[0941 anonymous@fusianasan 2020/05/18(月) 17:34:20.82 ID:???]

60DのSSL-VPN処理能力の低さを甘く見ないで

[0942 オツム 2020/05/19(火) 18:50:34.96 ID:???]

別の所のボトルネック

[0943 anonymous@fusianasan 2020/05/20(水) 11:16:08.24 ID:???]

60dから50eに変えたが、グレード下がっても新しい方が処理早いな。SSL-VPNスループット測ってみるか…

[0944 anonymous@fusianasan 2020/05/23(土) 19:56:46.54 ID:???]

>>939
ありがとう。IPv4は得意なんですね。
構成の問題な気がしてきました。

[0945 anonymous@fusianasan 2020/06/04(木) 20:36:47.66 ID:???]

https://www.avfirewalls.com/ ここで40FオーダーしたらもうUS外で売れないんだわスマンネって言われた。
どこか平行輸入で帰る所って有ります?

[0946 anonymous@fusianasan 2020/06/06(土) 21:57:40.63 ID:???]

今さらきがついたが
50Eって6.4いけないんだな

[0947 anonymous@fusianasan 2020/06/07(日) 11:41:33.53 ID:???]

今100F触ってるけど、カタログスペックはすげー伸びてるな

[0948 anonymous@fusianasan 2020/06/07(日) 13:48:34.91 ID:???]

FortiGateのカタログスペックって鵜呑みにしてええのん？
疑わしいんやが。

[0949 anonymous@fusianasan 2020/06/07(日) 21:23:46.33 ID:???]

>>948
L4のパフォーマンスは信用してよい。
専用ASICでハードウェア処理するからそんなにブレない。
ただ頭いいことやらせようとするとね…それなりだよね…

[0950 anonymous@fusianasan 2020/06/08(月) 10:35:58.86 ID:???]

gei-ipでのブロック使ってる人いる？
いたら、ipv6だとどうしてるか教えて欲しい

[0951 anonymous@fusianasan 2020/06/08(月) 22:40:58.50 ID:???]

>>950
geo-ipです。

[0952 anonymous@fusianasan 2020/06/14(日) 11:46:31.01 ID:???]

Captive Portal の認証でfacebookやgmail等のsocialなアカウントを利用した認証ってできますか？

[0953 anonymous@fusianasan 2020/06/16(火) 11:38:46.28 ID:???]

945だけど
US Amazonで40F買えました。UTMライセンス3年つきで約12.7万円でした、参考までに。

[0954 anonymous@fusianasan 2020/06/16(火) 18:01:56.38 ID:???]

金持ちやなぁ。
ワシには型落ち中古で1万円ぐらいの奴しか無理だわ

[0955 anonymous@fusianasan 2020/06/18(木) 07:10:22.91 ID:???]

同じく中古の50Eを約1万で買った。ライセンスが約3年間が付いてたので、かなりお買い得だったと思う。

[0956 anonymous 2020/06/18(木) 09:23:47.08 ID:???]

10万円かけて買って壊れたらどうすんやろ…
海外から買ってたら保守契約なんかもできないよね

[0957 anonymous@fusianasan 2020/06/18(木) 21:49:34.09 ID:8TXatml/]

>>955
3年で1万はやすいね
それだけ安いと無意味にHAとか組みたくなりそう

[0958 anonymous@fusianasan 2020/06/19(金) 00:49:14.39 ID:???]

自宅でHAは流石にいらんわｗｗ

[0959 anonymous@fusianasan 2020/06/19(金) 03:36:12.82 ID:???]

HAはいらんがLAGの為に自宅用に50E買ったんや…

ポート数すくないけど、下にそれなりなまぁなんとかなるな。
回線冗長の為に楽天LTEとかで繋ぎたいのだけど、USBモデムで接続できない…

[0960 anonymous@fusianasan 2020/06/19(金) 03:37:33.64 ID:???]

すまん。それなりなL2SWがあったら、ですな。逝ってきますorz

[0961 nanashi 2020/06/19(金) 06:45:31.19 ID:???]

>>959
使えるモデル少ないけど使えるのあるぞ。
CLIで有効にしてみた？

[0962 anonymous@fusianasan 2020/06/20(土) 00:06:06.56 ID:???]

>>961

持ってるLG-03は駄目だった。
使えるリストとかあれば是非教えてほしい

[0963 nanashi 2020/06/20(土) 14:25:37.43 ID:???]

>>962
リストはメニューから見れる。らしい・・・
https://kb.fortinet.com/kb/documentLink.do?externalID=FD37269

リスト化されてるのはこんな感じ。
https://www.fortinetguru.com/2017/03/fortigate-modem-compatibility-matrix/

[0964 anonymous 2020/06/20(土) 14:53:10.54 ID:???]

中古を買おうと思ってるんだけど
ライセンスが期限内で有効な状態なら
最新ファームウェアは
代理店のID/PWが無くてファイルでダウンロードできなくても
FortiGuard上からアップデートできるもの？

それともファームウェアは個別にダウンロードして入手して
機器に転送する必要がある？

[0965 ano 2020/06/20(土) 14:58:32.03 ID:???]

自動update可能

[0966 unko 2020/06/20(土) 15:19:55.32 ID:???]

FGT60C*** # diagnose sys modem query
USB status: Connected
manufacturer: Sierra Wireless, Incorporated
model: NI-760S

ダイアルアップ？使いみちが判らん行けそうだ
ttps://www.ncxx.co.jp/product/ni-760s

[0967 anonymous@fusianasan 2020/06/23(火) 08:10:06.51 ID:???]

>>963
ありがとう、と言いたいところだけど3G…LTE対応してる筈なんだけどなぁ。

メーカーサポートサイトでユーザ登録してる所は大概見てるので、6.xの新機能としてLTEか5G対応してほしい所

[0968 nanashi 2020/06/23(火) 20:06:23.21 ID:???]

>>967
表記上だけの問題じゃないかな。LTE対応してると思うよ。
設定コマンドにlteって入ってるし。
config system lte-modem

[0969 anonymous@fusianasan 2020/06/28(日) 11:09:53.10 ID:???]

deep inspectionで使う証明書って
買ったやつは使えない？
もしくは使えるのは条件ある？

[0970 anonymous@fusianasan 2020/06/28(日) 12:26:58.40 ID:???]

ん？公的証明書が使えるか？という質問？
設定した事無いけど使えないなんてことありえなくね？

[0971 sage 2020/06/28(日) 12:43:14.44 ID:P5zHD2Qd]

>>970
買ったやつはクライアント証明書にはいるんだけど
deep inspectionのプロファイルで選択出来ない
選択できるのローカルCAのやつだけなんだよ
多分、自分がそもそも勘違いなんだとは思うんだが
FujiSSLみたいなとこで買ったやつが使いたい

[0972 sage 2020/06/28(日) 13:56:54.67 ID:P5zHD2Qd]

>>971
誤　クライアント証明書
正　ローカル証明書

[0973 anonymous 2020/06/28(日) 14:19:17.82 ID:???]

使えない
deep inspectionする機器が
deep inspectionしてますよと
利用者に明示するためのものだから
公的証明書なんか使えたら偽装になる

[0974 sage 2020/06/28(日) 16:33:30.58 ID:P5zHD2Qd]

>>973
なるほど、そう言われてみるどこそうだよね
せめて証明書の名前とドメインを変えられれば良かったんだけど
ユーザーが見たときに自社のドメインの証明書なら
気にしないんだけど
fortinetでしかもコモンネームも乱数っぽく見えろから
説明しても気にする人いて

[0975 anonymous@fusianasan 2020/06/28(日) 20:22:49.01 ID:???]

あぁ、そうかユーザーが接続してる第三者のドメインの証明書がいるのか。

[0976 anonymous@fusianasan 2020/07/02(木) 09:24:23.25 ID:???]

50e じゃdeep inspectionきついかね？
試しにONにして楽天のトップページ行くだけでCPU跳ね上がるんだけど
60eならASICで余裕？

[0977 anonymous 2020/07/02(木) 19:06:45.39 ID:???]

>>976
60Eは50Eの2倍強のSSLインスペクション性能

それで余裕かどうかは低能で頭が悪いお前次第

[0978 sage 2020/07/02(木) 19:38:07.06 ID:G1CYHhPR]

そうなのね
低脳だからもう少し教えて欲しいんだけど
2倍はセッション数、パケット数
とかどこで考えるといいの？

カタログ見るとSSL inspectionのスループット
2倍も変わらないからわからくて

[0979 anonymous 2020/07/02(木) 19:58:37.00 ID:???]

スループットであるベンダーのマルチプロトコルでの検証結果
信じるかどうかは低能で頭が悪いお前次第

[0980 sage 2020/07/02(木) 20:26:56.53 ID:G1CYHhPR]

>>979
あんがと
参考に買い替え含めて検討してみるよ

[0981 anonymous@fusianasan 2020/07/02(木) 20:49:18.98 ID:???]

40Fでdeep inspection設定して楽天に繋いでみたらCPU負荷が20%位になった、メモリは変わらず。
まぁエントリーモデルだからこんなもんだろね。

[0982 sage 2020/07/02(木) 23:39:32.23 ID:G1CYHhPR]

>>981
Fシリーズでもか
SSL inspectionはやっぱ重いんだな

[0983 anonymous 2020/07/03(金) 00:07:11.56 ID:???]

フォワードプロキシでdeep inspectionしている人って
使ってるクライアント全部にFGのルート証明書いれてたりするの？

[0984 anonymous@fusianasan 2020/07/03(金) 08:24:24.14 ID:???]

>>983
パソコンは入れてるが、スマホ系はアプリがエラー出しまくるやつがあって使い物にならん。

[0985 anonymous 2020/07/03(金) 19:42:58.67 ID:???]

>>984
なるほど・・・
Javaとかの独自の証明書ストアとかも考慮すると、かなり面倒だな

[0986 anonymous@fusianasan 2020/07/04(土) 07:29:03.24 ID:???]

そうなると、Deep Inspectionはエンドポイントでやろうよってなるんだよね

[0987 anonymous@fusianasan 2020/07/04(土) 12:13:21.04 ID:???]

SSLインスペクションは企業で利用しても
問題が出るサイトに関する問い合わせ対応と
除外運用がクソ面倒くさい

[0988 sage 2020/07/04(土) 13:09:47.68 ID:RHTNvAxp]

>>987
でもやらなきゃ、やらないで
SSL通信で好き放題されるでしょ？

[0989 unko 2020/07/04(土) 13:21:22.07 ID:???]

でクラウドSaaSに丸投げた

[0990 anonymous@fusianasan 2020/07/04(土) 13:51:45.12 ID:???]

>>988
NWでなんとかする発想がもう限界

[0991 anonymous@fusianasan 2020/07/04(土) 16:13:02.59 ID:???]

うちもZscalerに投げてるなー。

[0992 anonymous 2020/07/04(土) 18:06:41.40 ID:???]

クラウドプロキシが一番ラクチン

[0993 anonymous@fusianasan 2020/07/04(土) 19:39:18.10 ID:???]

エントリー、ミドルクラスだと、なんでもかんでも1台でやるのは無理だよなー。

[0994 anonymous 2020/07/04(土) 19:47:13.84 ID:???]

ハイエンドでも利用ユーザが5000人以上とかの大規模だと
　・SSL暗号
　・IPS
　・アンチウィルス
　・SSL複合
は別筐体でやるな

[0995 anonymous@fusianasan 2020/07/05(日) 00:59:22.68 ID:???]

とりあえず次スレ立てといた
https://mao.5ch.net/test/read.cgi/network/1593878325/

[0996 anonymous@fusianasan 2020/07/05(日) 19:01:38.00 ID:???]

>>994
お金が、、、、
零細企業ほどリテラシー低くて
ゲートウェイでやりたいと思うのに

[0997 unk 2020/07/05(日) 21:29:25.42 ID:???]

貧乏なら可視化はあきらメロン
URLドメインフィルタで締め上げる

[0998 anonymous@fusianasan 2020/07/08(水) 08:08:46.64 ID:???]

スタティックルートの設定数上限8
って変更可能ですか？

[0999 anonymous@fusianasan 2020/07/08(水) 09:11:04.78 ID:???]

>>998
https://docs.fortinet.com/max-value-table

[1000 anonymous 2020/07/08(水) 09:44:55.57 ID:???]

ume