Fortigateについて語ろう4
■ このスレッドは過去ログ倉庫に格納されています
FortiGateシリーズは、ネットワーク全体を総合的に保護するハードウェアベースの
ネットワーク・プロテクション・ゲートウェイ(NPG)です。
Fortinet社独自開発のABACASTM(Accelerated Behavior and Content Analysis System)
テクノロジと独自のASIC(FortiAsic)ベースアーキテクチャを採用した、次世代
ネットワークプロテクション・アプライアンスです。
ファイアウォール、不正侵入、VPN、トラフィックシェーピングなどネットワークレベル
のサービスに加え、ウィルスプロテクションやコンテンツフィルタリングなどの
アプリケーションレベルのサービス機能も搭載しており、効果的にネットワークを保護します。
FortiGateは、4種類のICSA認定取得をしています。
アンチウイルス、ファイアウォール、IPSec、IDS
セールスポイントは非常に魅力的ですばらしいのですが、
非常に個性的な製品ですので、皆さん助け合って安定稼働に努めましょう。
フォーティネットジャパン
http://www.fortinet.co.jp/
FortiProtect Center
http://www.fortinet.com/FortiProtectCenter/
質問する際には必ずFortiGateの機種、FortiOSのバージョン、 ネットワーク構成・環境を報告してください。 ウイルスメールが届いた時に送信者に自動的に送られるアラートメールって送らないようにする事って出来ますでしょうか?
web管理画面で文面は変更できるようなんですが、送信しないようにする設定が見つかりません。
ご存じの方いましたら教えて頂けませんでしょうか? 会社(中小規模)で導入することに決まったんだが
複合機屋から来た見積もりが60E(Enterprise Protection相当)で5年95万・・・
やっぱ日本ってぼったくりだわ・・・、個人なら輸入するんだがなぁ >>707の人件費のほうがぼったくりみたいなもんだろ。 execute telnet した時、
接続先に改行コードとして 0x0a を送出してるらしいのだけど
0x0d にしか反応しない機材がある。
送出する改行コード変える方法は無いかしら… >>707
代わりにその仕事を5年で95万でやってくれる人を雇えば済むんじゃね? 60eの底面に有る蓋って何の拡張用でしょうか。
マニュアルを漁っても説明がありません。 別売りのラックマウンキットの方に、
底面に取り付けるマグネット式のプレートならあった気がするけど
60E単体の底面に蓋なんてあったっけか 今pcが無いので、そのものの写真を出せませんが、以下が底面の写真です。
https://goo.gl/images/sFe2NF
フラッシュを焚いたようでわかりにくいですが、シリアル番号の左隣に縦長で3.5x10cmぐらいの蓋があり、上側が1箇所ねじ止めされてます。
ssg5のsodimmのスロットぽいですが、やや長細いですね。
開ける事は出来るでしょうが、自分のは買ったばかりの未登録で、開封検知なんかされると厄介なので取り敢えず正体を知りたかったのです。
fortigateのマニュアル類には記載がなく、検索してもほぼヒットしませんので。 ハードウェアに関するマニュアルを幾つか漁って見ましたが、60Eも61Eも一緒に纏められているようで、この蓋に関する記載は見つけていません。
ただ、61EならばLTE用のsimを搭載できるのかもしれませんね。 60Dで6.0.2にしたら何か1日1回くらい落ちるように・・・
とりあえず6.0.1に戻して様子見。 >>717
6.0.2のログを記載してくれよー
それじゃただの独り言じゃん >>718
ログなしでブチっと落ちてる。
デバッグまではかけてない。 fortiexplorer proって使ってる人がいますか?fortiexploler自体はtouch IDが使えて手軽ですが、ほぼモニタしか出来ず、2400円払ってアップグレードする価値があるかどうか知りたいのです。
ipadからlan経由でwebにログインするとCLIが漢字変換モードで始まり、英数モードに簡単に切り替え出来ない為、ほんの数行configを入力するだけで大手間です。これが簡単になると助かるのですけど。 >>720
俺の方の60Dはコンソールに
Internal errorからのKernel panicのログ出して再起動してた
検証中に何回か落ちたときの一回分しかログ取れてないけど FortiOS 6.02でIe11だとログイン後真っ白になってしまうんですが
設定でなんとかならないでしょうか
EgdeやChromeでは開けるんだけど >>723
うちも困ってるが、非対応だからどうしようもないみたい。 >>722
うちも60Dで同じになったんだけど、その時はICMP通信してました。2回落ちて、そのどちらも。 MS曰く「IEは腐った牛乳 史上最高最速のブラウザーEdgeをおすすめします」 FortiOSの各バージョンのPDF見てたら
IE11のサポートは5.4.5までなんですね
社内システムがIE11以外で問題でるんで
SslVpn使うならこのバージョンにするしかないでしょうか そんなサポート使うかね?
べつに動かなくなる訳じゃなくて保証しないだけじゃなくて? ブラウザのサポートバージョンなんて気にしないけどな。
推奨環境くらいのニュアンス。
そりゃあまりに古いIEなんかだと本当に動かなかったりしそうだが。 firefoxで普通に動いてる。
safariつかipad用のsafariだとCLIがまともに動作しない。 私たち日本人の、日本国憲法を改正しましょう。
総ム省の、『憲法改正國民投票法』、でググって
みてください。拡散も含め、お願い致します。 ドキュメントに載ってるKnow Issuesを
Bug Trackerで検索かけるとヒットしないのあって困る
そもそもBug Tracker自体の情報量が少ないからあってもなくても似たようなもんだが 60dでsslvpnポータルって10件が上限みたいだけど、上限値ってどっかで設定変更できるの? 適当なバージョンのMaximum Values Tableを見ると、60Dは10が上限みたいだね
ユーザ情報をローカル管理するならそれの上限も見た方がいい
常時接続数以上は使わないけど、ユーザ数は全社員登録するとかいったら溢れるし
あと、AD(LDAP)連携を複数設定するのら
それの上限値も少ないから確認した方がいいと思う
証明書のCRLをLDAPで取ってきたりすると、さらにLDAPの設定数が増える 60Dを6.0.3に上げた時、何回かリブートしないとFortiGuardにつながらなかった eoのインターネットオフィスを使ってるのですがFortigateで接続してる方いますか?
設定方法分かる方がおられれば教えてください。
営業担当から得られた情報は
@PPPOE シングルセッション デュアルスタック DHCPV6-PD
A基本的に一般向けサービスと接続方法は同じ
FortiOS5.6.7 で以下の設定では駄目でした。
config ipv6
set ip6-mode pppoe
set ip6-allowaccess ping
set dhcp6-prefix-delegation enable
set dhcp6-prefix-hint 2001:xxx:xx:xxx::/56
set autoconf enable
end ↑言葉足らずです
eoのインターネットオフィス(法人向けサービス)でipv6通信をするための設定です。
pppoeにてipv4での通信はできており固定のipv4アドレスを1個貰っています。
そこにオプションでipv6サービスを申し込んだのですが、うまく設定ができません。 DHCPV6-PDで ip6-mode pppoe ? 参照したのは以下のページです
https://blah.cloud/networks/enabling-ipv6-dhcpv6-pd-pppoe-fortigate/
他にも以下を参考にしましたがダメでした。
https://yorickdowne.wordpress.com/2018/06/08/ipv6-with-prefix-delegation-on-fortigate/
config system interface
edit "wan1"
config ipv6
set ip6-mode dhcp
set ip6-allowaccess ping
set dhcp6-prefix-delegation enable
set dhcp6-prefix-hint ::/56
end
next
end NECのルータでの設定が以下だそうです
ppp profile ppp
authentication myname dual-user1
authentication password dual-user1 pas1
ipv6 dhcp client-profile dhcpv6-cl
option-request dns-servers
ia-pd subscriber FastEthernet1/0.0
interface FastEthernet0/0.1
encapsulation pppoe
auto-connect
ppp binding ppp
ip address ipcp
ip napt enable
ipv6 enable
ipv6 dhcp client dhcpv6-cl
no shutdown すいません、どなたかお分かりでしたら教えてください。100eをつかっているのですが、GUI からキャプチャ回したとき、UDPが取得出来たり、出来なかったりします(ほとんどの場合取れない)。どうすれば取れるのでしょうか? 早々にありがとうございます!
調べてみたらそれっぽいですので、今日早速試してみます! fitbit.comkにあるダッシュボート内の記録ページが
エラーとなっているのですが、みなさんのところもそうですか? fortigateにciscoでいうNATのredundancyみたいな設定はないんですか? 今会社で100D(5.4.3)使っててバージョンアップする予定なんですが、6.0の安定性ってどうですぁか?
6.0か5.6どっちにするか悩んでます 教えてほしいのですが、現在60D OS5.2なのですが、
DHCPでMACで固定のIPを払い出す方法はあるでしょうか?
ロケーションの違う2箇所で使う場面があり端末側で固定は出来ないものの、
一箇所ではアドレスが決まっている方が便利な場面があるので
そう出来たらいいなぁという感じなのですが・・・ >>753
ありがとう!
config reserved-address
edit 1
set-ip (IP)
set mac (MAC)
でいけました
レンジは多分レンジ外は指定できないのかなと思うのでもともとのレンジの中で
使われそうにない最終IPで設定して問題なしっぽいです
重ね重ねありがとう 教えてください
ログをメモリにしてるんだけど高度って項目でディスクロギングってあるので
ディスクのクォータ設定でディスクロギング容量をフォーマットして
割り振りなりすればディスクでロギングって可能です? 運用について相談です。
webフィルタを設定して運用しているのですが、最近はどこもかしこも、
ほぼ常時SSL化されているので、SSLインスペクションを有効にして
ドメイン単位でのフィルタをしています。(かなり巻き添え規制が発生しますが)
この方法以外に、この前韓国で話題になっていた、DNSフィルタ(Server Name Indication)という
方法もあると思いますが、Fortigateで使ってる方いますか?こちらもドメイン単位でしか規制できないですが。
DNSフィルタの場合、クライアントのDNSをFortigateに向けてやる必要があると思うのですが、
ドメイン(ActiveDirectory)環境の場合は、クライアントのDNS設定はドメインコントローラーへ向いていると思います。
こんな場合はDNSフィルターは無理なんですかね? よくわからないけど、ADの参照先をfortigateにすればいいんじゃないの? nat46ってどうやるんですか?
やったらnat変換後の送信元IP6アドレスはFGT自身のサーバ向けIFのアドレスになると思ってたんだけど、なりません。認識違いました? FortiGate40CをNURO光のONU直下に
トランスペアレント(透過)モードで設置しよう
と思って設定中ですが、インターネットに
繋がらなくて困っています。NATモード(ONU
との二重ルーター)だと問題なく繋がります。
NATモードの際のアドレスは
192.168.1.99/255.255.255.0 ゲートウェイは
192.168.1.1 となっています。トランスペアレ
ントの場合、これをどのように設定するのが
正解か、アドバイス頂けると有り難いです。
いろいろ試してみたのですが、上手くいかず、
お手上げ状態です。 >>759
NURO光のONUがどういう仕様かわからん事にはどうにも
ONUがルータ機能持ってるタイプなんだっけ?
端末のデフォルトゲートウェイもONUなの? >>760
光回線はNURO、ONUはF660A、現在はファイヤーウォール機能オンにしていますが、Fortigateを透過型ファイヤーウォールに設定出来たら、ONUのファイヤーウォールはオフにする積りです。ゲートウェイはONUです。 >>761
追加です。ONU(F660A)はルーター機能を持っていて、オフにすることが出来ないタイプです。 >>761
まずどこまで通信が通ってどこまで戻ってるかは分かる?
例えば
ONU(ルータ機能付き)
↓@
FG40C
↓A
端末
だとして@のエリアを通過してONUまで通信が届いているか
ONUから端末まで戻れるか
この辺切り分けないとちょっと分からないな
トランスペアレントモードの場合はそもそも@Aともに同一セグメントとなるから
FW機能での何らかのカットが行われていない限りは
ルーティング上の問題にはならないはず >>763
コメント、有難うございます。
ONU(F660A)→Fortigate40c→端末(PC)と
繋いで40cをトランスペアレントに設定して
端末からpingを打つと40cには通りますが、
F660Aには通らず、インターネットに
繋らない状態です。40cをルーターに設定する
と問題なくインターネットに繋がります。
所謂、二重ルーター環境ですが、この環境下で
速度測定をしてみました。端末をF660Aに直結
した状態と40c経由にした状態(二重ルーター)を
比べると何れも下り:600メガ、上り:900メガで
殆ど差がなく、二重ルーター環境も選択肢かな
と思っているところです。 >>764
二重ルータで問題がなければそれもありかと思うけど
そもそもトランスペアレントモードの場合は端末側の設定も
変えないといけない
単純にFGの設定を変えて対応してるだけってなら
端末はDHCPでIPもらう設定にしていてって事なのかなと
>>763の形でいうとトランスペアレントモードだと
@Aともに同一セグメントだけどNATモードだと違うセグメントになるので
端末のIPは変えないといけない
DHCPで貰うだけなら何ら問題ないけどね
そもそもFG通さずONUに端末を直差しして繋がるのか切り分けてみたら?
個人的にはセキュリティ面を考えてもトランスペアレントモードにする
メリットはあまりないと思うけどね
@を単なる通過するセグメントにするだけでもセキュリティ上は
そっちのが一段降りるので少し強くなるし あ、ONU直差しは通信できるのね
そういう意味ではFGがカットしてるとしか思えないってのは分かる気はするけど
ちょっと不思議な状態だな
ポリシーはそもそもちゃんと設定できてる?
セグメントが違ってしまうからポリシーをちゃんと見直さないといけない
全通しから通らないんだとちょっと不明だが
個人的にはNATモードよりは通常のルーティングモード?のがいいと思うけど FortiGate-50EってCPUが Marvell Armada 385じゃん?
PPPoEをhardwareサポートしてるっぽい事書いてるけど50EだったらPPPoEのスループット出るのかな?
https://www.marvell.com/company/news/pressDetail.do?releaseID=7316 >>767
PPPoE + NAPT + IPS + DNSフィルタで90Mbps出たときにCPU使用率1ケタだった
50Eは神では ちょっとFortiのDNSの仕様がイマイチわからないので
教えてください
インタフェースIPをDNSとするようにDHCPに配らせて
その端末から通常通りにインターネットに関してはDNSリレーさせて通信させることは出来たのですが、
内部の端末についてるホスト名だけはちゃんと内部のIPに飛ばしたい
DNSデータベースに何かを設定したらいいんだろうけどどうすればいいのか
調べても出てこなかったのですがどう書けばいいのでしょう? >>768
まじかw
60Dだと80Mbpsで100%近くで張り付くから買い替えようかな >>770
その代わりFortiのSoC入ってないから注意ね >>771
SoC入ってないからって困る事ある?
SoC1の60C、SoC2の60Dを持ってるけどウンコ過ぎて50Eが神に感じるんだけど
SoC3は性能いいの?
今度出るSoC4はめっちゃ性能良さそうだけど FortiとYAMAHAでIPsec設定するとメインでもアグレッシブでも
IKEフェーズ1の時点でNGなんだけど組み合わせ悪いやつかね
ike Negotiate ISAKMP SA Error:〜: no SA proposal chosen ってなるわ IKEv2にしてみたら?
IKEv2のほうが接続可能性は高いぞ。 >>774 運ゲーだね
>>775 IKEv2で2時間ほど頑張ってみたけどダメだった
あああああこんなにくやしいのは久しぶりだあああああ >>776
俺も検証したことあるけど、絶対無理だよ
古いファームにしないと繋がらない 仮にVPNはれても、障害時の切り替わりで問題発生とかあるから恐ろしいぞい >>777
どのファームだめでどのファームならおkでした?
fortiとyamahaでipsecで繋いでる環境でfortiのバージョンアップ検討してますので参考にしたい 異種機器間VPNだと、AWS VPCのForti向けサンプルコンフィグが糞だった
糞みたいなインデントの修正するだけで半日くらい潰れる >>781
あきらめるってなにを?
現状fortiとyamahaでipsec繋がってる環境で、fortiのファームアップ考えてて、古いファームにしないと無理っていう書き込みがあったから聞いただけなんだが ほれ。
FortiGate60D (Firmware 6.0.5)とRTX810で接続してやったよ。
ttp://www.nosense.jp/ipsec-fg60d-rtx810/
特に苦労するところはないけど。 これ、ヤマハとかよりスループット高いよね
UTM機能お金使わずに、ルーターとして使うのあり? >>785
ルータと違ってセッション管理しちゃうから注意ね。
やたら無通信時間が長いアプリとかたまにあるし。 >>787
PPPoEとIPv6は実測値が面白いことになる機種も多い >>783 ありがとう
https://network-beginner.xyz/fortigate_and_rtx_ipsec-vpn
このサイトも参考にさせてもらって設定したらアグレッシブでのみ成功したけど
2拠点目繋げようとするどっちか1か所しか繋がらない
fortigateから見たリモート側のPeerIDは文字化けしてるしRTXでのPeerIDの指定方法もわからない
ここで行き止まりかな ipsec ike local name を fqdnにしたら識別できて繋がった
スレ汚してすみませんでした すいません、Forti初心者なのですがご存知の方教えてください。
FortiCloudのサブスクリプションライセンスの購入を考えているのですが、
登録できるデバイス数は無制限でしょうか。それとも登録したい台数分のサブスクリプションを購入しないとダメ? >>797
60Eはconfig system vxlanがあるけど
60Dはipsecのset encap vxlanしかない。 Ver.6.0でアプリケーションコントロールのカスタムシグネチャーをhostで識別させたいんだけどうまく行かなくて夜も眠れない。
相手サイトでアプリケーション識別するカスタムシグネチャー分かる人いないですかね… 正確には脆弱性自体は前からあったけど
エクスプロイトが公開されたから
攻撃実現性が増した感じだよね FortiClientのiPhone, iPadアプリは
構成プロファイルで配ったクライアント証明書を認識しなくて
わざわざiTunesから仕込む必要あるから
SSL-VPNで数百端末展開するだけでも地獄っいうね... >>796
FortiCloud自体はデバイス登録数は制限無いです
ログリテンションのサブスクリプションはFortiGateごとの購入が必要 10月半ばから一斉に本体を10%値上げだと
増税と合わせてだいぶアレになるな nuro bizでの設定例がわかる方がいたら教えていただきたいです。
nuro bizのONUにfortigate 60Eを接続しているのですが、LAN1(標準固定IP)で外への接続ができません。
いろいろ調べてIPoEで接続するとの情報は得られたのですがfortigateでどのように設定すればいいのかがわかりません。
https://thorsten-on-tech.blog/2018/06/08/ipv6-with-prefix-delegation-on-fortigate/
こちらを参考にipv6をdhcpにしてみましたが、
diagnose ipv6 route list | grep wan1
で見るとipv6のアドレスが割り振られていないようです。
ONUのLAN2経由であれば外に出られます。
どうかよろしくお願いいたします。 ■ このスレッドは過去ログ倉庫に格納されています
