Fortigateについて語ろう4
■ このスレッドは過去ログ倉庫に格納されています
FortiGateシリーズは、ネットワーク全体を総合的に保護するハードウェアベースの
ネットワーク・プロテクション・ゲートウェイ(NPG)です。
Fortinet社独自開発のABACASTM(Accelerated Behavior and Content Analysis System)
テクノロジと独自のASIC(FortiAsic)ベースアーキテクチャを採用した、次世代
ネットワークプロテクション・アプライアンスです。
ファイアウォール、不正侵入、VPN、トラフィックシェーピングなどネットワークレベル
のサービスに加え、ウィルスプロテクションやコンテンツフィルタリングなどの
アプリケーションレベルのサービス機能も搭載しており、効果的にネットワークを保護します。
FortiGateは、4種類のICSA認定取得をしています。
アンチウイルス、ファイアウォール、IPSec、IDS
セールスポイントは非常に魅力的ですばらしいのですが、
非常に個性的な製品ですので、皆さん助け合って安定稼働に努めましょう。
フォーティネットジャパン
http://www.fortinet.co.jp/
FortiProtect Center
http://www.fortinet.com/FortiProtectCenter/
質問する際には必ずFortiGateの機種、FortiOSのバージョン、 ネットワーク構成・環境を報告してください。 私たち日本人の、日本国憲法を改正しましょう。
総ム省の、『憲法改正國民投票法』、でググって
みてください。拡散も含め、お願い致します。 ドキュメントに載ってるKnow Issuesを
Bug Trackerで検索かけるとヒットしないのあって困る
そもそもBug Tracker自体の情報量が少ないからあってもなくても似たようなもんだが 60dでsslvpnポータルって10件が上限みたいだけど、上限値ってどっかで設定変更できるの? 適当なバージョンのMaximum Values Tableを見ると、60Dは10が上限みたいだね
ユーザ情報をローカル管理するならそれの上限も見た方がいい
常時接続数以上は使わないけど、ユーザ数は全社員登録するとかいったら溢れるし
あと、AD(LDAP)連携を複数設定するのら
それの上限値も少ないから確認した方がいいと思う
証明書のCRLをLDAPで取ってきたりすると、さらにLDAPの設定数が増える 60Dを6.0.3に上げた時、何回かリブートしないとFortiGuardにつながらなかった eoのインターネットオフィスを使ってるのですがFortigateで接続してる方いますか?
設定方法分かる方がおられれば教えてください。
営業担当から得られた情報は
@PPPOE シングルセッション デュアルスタック DHCPV6-PD
A基本的に一般向けサービスと接続方法は同じ
FortiOS5.6.7 で以下の設定では駄目でした。
config ipv6
set ip6-mode pppoe
set ip6-allowaccess ping
set dhcp6-prefix-delegation enable
set dhcp6-prefix-hint 2001:xxx:xx:xxx::/56
set autoconf enable
end ↑言葉足らずです
eoのインターネットオフィス(法人向けサービス)でipv6通信をするための設定です。
pppoeにてipv4での通信はできており固定のipv4アドレスを1個貰っています。
そこにオプションでipv6サービスを申し込んだのですが、うまく設定ができません。 DHCPV6-PDで ip6-mode pppoe ? 参照したのは以下のページです
https://blah.cloud/networks/enabling-ipv6-dhcpv6-pd-pppoe-fortigate/
他にも以下を参考にしましたがダメでした。
https://yorickdowne.wordpress.com/2018/06/08/ipv6-with-prefix-delegation-on-fortigate/
config system interface
edit "wan1"
config ipv6
set ip6-mode dhcp
set ip6-allowaccess ping
set dhcp6-prefix-delegation enable
set dhcp6-prefix-hint ::/56
end
next
end NECのルータでの設定が以下だそうです
ppp profile ppp
authentication myname dual-user1
authentication password dual-user1 pas1
ipv6 dhcp client-profile dhcpv6-cl
option-request dns-servers
ia-pd subscriber FastEthernet1/0.0
interface FastEthernet0/0.1
encapsulation pppoe
auto-connect
ppp binding ppp
ip address ipcp
ip napt enable
ipv6 enable
ipv6 dhcp client dhcpv6-cl
no shutdown すいません、どなたかお分かりでしたら教えてください。100eをつかっているのですが、GUI からキャプチャ回したとき、UDPが取得出来たり、出来なかったりします(ほとんどの場合取れない)。どうすれば取れるのでしょうか? 早々にありがとうございます!
調べてみたらそれっぽいですので、今日早速試してみます! fitbit.comkにあるダッシュボート内の記録ページが
エラーとなっているのですが、みなさんのところもそうですか? fortigateにciscoでいうNATのredundancyみたいな設定はないんですか? 今会社で100D(5.4.3)使っててバージョンアップする予定なんですが、6.0の安定性ってどうですぁか?
6.0か5.6どっちにするか悩んでます 教えてほしいのですが、現在60D OS5.2なのですが、
DHCPでMACで固定のIPを払い出す方法はあるでしょうか?
ロケーションの違う2箇所で使う場面があり端末側で固定は出来ないものの、
一箇所ではアドレスが決まっている方が便利な場面があるので
そう出来たらいいなぁという感じなのですが・・・ >>753
ありがとう!
config reserved-address
edit 1
set-ip (IP)
set mac (MAC)
でいけました
レンジは多分レンジ外は指定できないのかなと思うのでもともとのレンジの中で
使われそうにない最終IPで設定して問題なしっぽいです
重ね重ねありがとう 教えてください
ログをメモリにしてるんだけど高度って項目でディスクロギングってあるので
ディスクのクォータ設定でディスクロギング容量をフォーマットして
割り振りなりすればディスクでロギングって可能です? 運用について相談です。
webフィルタを設定して運用しているのですが、最近はどこもかしこも、
ほぼ常時SSL化されているので、SSLインスペクションを有効にして
ドメイン単位でのフィルタをしています。(かなり巻き添え規制が発生しますが)
この方法以外に、この前韓国で話題になっていた、DNSフィルタ(Server Name Indication)という
方法もあると思いますが、Fortigateで使ってる方いますか?こちらもドメイン単位でしか規制できないですが。
DNSフィルタの場合、クライアントのDNSをFortigateに向けてやる必要があると思うのですが、
ドメイン(ActiveDirectory)環境の場合は、クライアントのDNS設定はドメインコントローラーへ向いていると思います。
こんな場合はDNSフィルターは無理なんですかね? よくわからないけど、ADの参照先をfortigateにすればいいんじゃないの? nat46ってどうやるんですか?
やったらnat変換後の送信元IP6アドレスはFGT自身のサーバ向けIFのアドレスになると思ってたんだけど、なりません。認識違いました? FortiGate40CをNURO光のONU直下に
トランスペアレント(透過)モードで設置しよう
と思って設定中ですが、インターネットに
繋がらなくて困っています。NATモード(ONU
との二重ルーター)だと問題なく繋がります。
NATモードの際のアドレスは
192.168.1.99/255.255.255.0 ゲートウェイは
192.168.1.1 となっています。トランスペアレ
ントの場合、これをどのように設定するのが
正解か、アドバイス頂けると有り難いです。
いろいろ試してみたのですが、上手くいかず、
お手上げ状態です。 >>759
NURO光のONUがどういう仕様かわからん事にはどうにも
ONUがルータ機能持ってるタイプなんだっけ?
端末のデフォルトゲートウェイもONUなの? >>760
光回線はNURO、ONUはF660A、現在はファイヤーウォール機能オンにしていますが、Fortigateを透過型ファイヤーウォールに設定出来たら、ONUのファイヤーウォールはオフにする積りです。ゲートウェイはONUです。 >>761
追加です。ONU(F660A)はルーター機能を持っていて、オフにすることが出来ないタイプです。 >>761
まずどこまで通信が通ってどこまで戻ってるかは分かる?
例えば
ONU(ルータ機能付き)
↓@
FG40C
↓A
端末
だとして@のエリアを通過してONUまで通信が届いているか
ONUから端末まで戻れるか
この辺切り分けないとちょっと分からないな
トランスペアレントモードの場合はそもそも@Aともに同一セグメントとなるから
FW機能での何らかのカットが行われていない限りは
ルーティング上の問題にはならないはず >>763
コメント、有難うございます。
ONU(F660A)→Fortigate40c→端末(PC)と
繋いで40cをトランスペアレントに設定して
端末からpingを打つと40cには通りますが、
F660Aには通らず、インターネットに
繋らない状態です。40cをルーターに設定する
と問題なくインターネットに繋がります。
所謂、二重ルーター環境ですが、この環境下で
速度測定をしてみました。端末をF660Aに直結
した状態と40c経由にした状態(二重ルーター)を
比べると何れも下り:600メガ、上り:900メガで
殆ど差がなく、二重ルーター環境も選択肢かな
と思っているところです。 >>764
二重ルータで問題がなければそれもありかと思うけど
そもそもトランスペアレントモードの場合は端末側の設定も
変えないといけない
単純にFGの設定を変えて対応してるだけってなら
端末はDHCPでIPもらう設定にしていてって事なのかなと
>>763の形でいうとトランスペアレントモードだと
@Aともに同一セグメントだけどNATモードだと違うセグメントになるので
端末のIPは変えないといけない
DHCPで貰うだけなら何ら問題ないけどね
そもそもFG通さずONUに端末を直差しして繋がるのか切り分けてみたら?
個人的にはセキュリティ面を考えてもトランスペアレントモードにする
メリットはあまりないと思うけどね
@を単なる通過するセグメントにするだけでもセキュリティ上は
そっちのが一段降りるので少し強くなるし あ、ONU直差しは通信できるのね
そういう意味ではFGがカットしてるとしか思えないってのは分かる気はするけど
ちょっと不思議な状態だな
ポリシーはそもそもちゃんと設定できてる?
セグメントが違ってしまうからポリシーをちゃんと見直さないといけない
全通しから通らないんだとちょっと不明だが
個人的にはNATモードよりは通常のルーティングモード?のがいいと思うけど FortiGate-50EってCPUが Marvell Armada 385じゃん?
PPPoEをhardwareサポートしてるっぽい事書いてるけど50EだったらPPPoEのスループット出るのかな?
https://www.marvell.com/company/news/pressDetail.do?releaseID=7316 >>767
PPPoE + NAPT + IPS + DNSフィルタで90Mbps出たときにCPU使用率1ケタだった
50Eは神では ちょっとFortiのDNSの仕様がイマイチわからないので
教えてください
インタフェースIPをDNSとするようにDHCPに配らせて
その端末から通常通りにインターネットに関してはDNSリレーさせて通信させることは出来たのですが、
内部の端末についてるホスト名だけはちゃんと内部のIPに飛ばしたい
DNSデータベースに何かを設定したらいいんだろうけどどうすればいいのか
調べても出てこなかったのですがどう書けばいいのでしょう? >>768
まじかw
60Dだと80Mbpsで100%近くで張り付くから買い替えようかな >>770
その代わりFortiのSoC入ってないから注意ね >>771
SoC入ってないからって困る事ある?
SoC1の60C、SoC2の60Dを持ってるけどウンコ過ぎて50Eが神に感じるんだけど
SoC3は性能いいの?
今度出るSoC4はめっちゃ性能良さそうだけど FortiとYAMAHAでIPsec設定するとメインでもアグレッシブでも
IKEフェーズ1の時点でNGなんだけど組み合わせ悪いやつかね
ike Negotiate ISAKMP SA Error:〜: no SA proposal chosen ってなるわ IKEv2にしてみたら?
IKEv2のほうが接続可能性は高いぞ。 >>774 運ゲーだね
>>775 IKEv2で2時間ほど頑張ってみたけどダメだった
あああああこんなにくやしいのは久しぶりだあああああ >>776
俺も検証したことあるけど、絶対無理だよ
古いファームにしないと繋がらない 仮にVPNはれても、障害時の切り替わりで問題発生とかあるから恐ろしいぞい >>777
どのファームだめでどのファームならおkでした?
fortiとyamahaでipsecで繋いでる環境でfortiのバージョンアップ検討してますので参考にしたい 異種機器間VPNだと、AWS VPCのForti向けサンプルコンフィグが糞だった
糞みたいなインデントの修正するだけで半日くらい潰れる >>781
あきらめるってなにを?
現状fortiとyamahaでipsec繋がってる環境で、fortiのファームアップ考えてて、古いファームにしないと無理っていう書き込みがあったから聞いただけなんだが ほれ。
FortiGate60D (Firmware 6.0.5)とRTX810で接続してやったよ。
ttp://www.nosense.jp/ipsec-fg60d-rtx810/
特に苦労するところはないけど。 これ、ヤマハとかよりスループット高いよね
UTM機能お金使わずに、ルーターとして使うのあり? >>785
ルータと違ってセッション管理しちゃうから注意ね。
やたら無通信時間が長いアプリとかたまにあるし。 >>787
PPPoEとIPv6は実測値が面白いことになる機種も多い >>783 ありがとう
https://network-beginner.xyz/fortigate_and_rtx_ipsec-vpn
このサイトも参考にさせてもらって設定したらアグレッシブでのみ成功したけど
2拠点目繋げようとするどっちか1か所しか繋がらない
fortigateから見たリモート側のPeerIDは文字化けしてるしRTXでのPeerIDの指定方法もわからない
ここで行き止まりかな ipsec ike local name を fqdnにしたら識別できて繋がった
スレ汚してすみませんでした すいません、Forti初心者なのですがご存知の方教えてください。
FortiCloudのサブスクリプションライセンスの購入を考えているのですが、
登録できるデバイス数は無制限でしょうか。それとも登録したい台数分のサブスクリプションを購入しないとダメ? >>797
60Eはconfig system vxlanがあるけど
60Dはipsecのset encap vxlanしかない。 Ver.6.0でアプリケーションコントロールのカスタムシグネチャーをhostで識別させたいんだけどうまく行かなくて夜も眠れない。
相手サイトでアプリケーション識別するカスタムシグネチャー分かる人いないですかね… 正確には脆弱性自体は前からあったけど
エクスプロイトが公開されたから
攻撃実現性が増した感じだよね FortiClientのiPhone, iPadアプリは
構成プロファイルで配ったクライアント証明書を認識しなくて
わざわざiTunesから仕込む必要あるから
SSL-VPNで数百端末展開するだけでも地獄っいうね... >>796
FortiCloud自体はデバイス登録数は制限無いです
ログリテンションのサブスクリプションはFortiGateごとの購入が必要 10月半ばから一斉に本体を10%値上げだと
増税と合わせてだいぶアレになるな nuro bizでの設定例がわかる方がいたら教えていただきたいです。
nuro bizのONUにfortigate 60Eを接続しているのですが、LAN1(標準固定IP)で外への接続ができません。
いろいろ調べてIPoEで接続するとの情報は得られたのですがfortigateでどのように設定すればいいのかがわかりません。
https://thorsten-on-tech.blog/2018/06/08/ipv6-with-prefix-delegation-on-fortigate/
こちらを参考にipv6をdhcpにしてみましたが、
diagnose ipv6 route list | grep wan1
で見るとipv6のアドレスが割り振られていないようです。
ONUのLAN2経由であれば外に出られます。
どうかよろしくお願いいたします。 Fortigateで作成したvlan10,20,30のすべてがタグVLANで、
これをLAN1,LAN2のアグリゲートで上位L3SWと接続できている。
LAN3には内部の独自セグメントのIPを割り当ててPCを「直接」接続している。
この状態だとPC側から投げたパケットは上位ルータに飛ばない
(ルーティングやフィルタの設定に異常はない)
ひょっとしてこういう接続はNGなの?
LAN3にもタグVLANを適用し、わざわざタグVLANに対応したL2SWを接続したうえで、
PCをL2SWに接続しないとダメ? 最新ファームでは下位モデルのLAGに対応したんだね vdomAにあるradiusサーバーを、vdomBから参照するにはどうしたらよいでしょうか
vdomAからは接続できているのですが、vdomBの「RADIUSサーバの編集」で接続テストすると「RADIUSサーバに接続できません」となります。 この機種かなりやばない?
Webからポリシー追加とかstatic route追加・削除してたんだけど、
static routeを追加したり削除した直後に数秒ほど飛んではいけない宛先にpingが飛んだりする。
設定反映のタイミングで設定がガバガバになることない? どの機種、どのバージョンか書いてない時点で回答するに値しないクソ質問ですし
でそんなに気になるならパケットキャプチャとった上でメーカーに問い合わせろでFA 「やばない?」とか「設定がガバガバ」とかいう放言にマトモな対応を期待する方が馬鹿w 前提となる環境が全く判らないので情報として価値がない それじゃあ典型的な古参隔離スレじゃん
古参のフォーマットに合わせないと無視って、新規が入ってこないわけだわ FG60Eを6.2.0から6.2.2に上げようとしたらアップグレードパスがないとかで弾かれた
factoryresetしても駄目だったわ 60Fって60Eから相当能力上がってるね。3倍ぐらいは上。ただ、遅延は3μから4μになってる。サイトがメンテ中だからgoogleのキャッシュしか見れないけど。
で、6.2.0から6.2.1にまず上げないの? バージョン飛ばすとアップグレードパス云々って言われるのは手続き上あることだと思うんだけど。 公式のアップグレードパスとして6.2.0 -> 6.2.2が案内されてるじゃん トランスペアレントモード時のルーティングの設定ているんですか?
透過するだけだしいらないと思ってるんですが 機器自体がアップデートなりなんなりで通信するためのデフォルトゲートウェイが要るかどうかという話なら
運用ポリシーに照らして設定したらいいんでないかな >>825
なるほど、機器がって事か
納得しました。
実在に流れる通信には関係ないって事ですね FortiGateをリバースプロキシとして使えますか? この手のネットワーク機器の付加価値機能って、使えるけど使っちゃいかんってコモンセンスだったけど今後はどやろね
SSLオフローダとしてはASICで非常に優秀なことは理解してるんだけど、
本当に思ったように振り分けできる?ログの出力フォーマットをパースしやすいように整えられる?とか色々考えちゃう 石橋3回叩かないと歩けないタイプ?
手に負う根性無いなら丸投げしようぜ >>819
これ自己解決。
6.2.0の既知のバグだったわ。
一旦6.0.7に下げたら6.2.2に出来たわ。 >>830
ちょっと意味が分からん
Fortigateにリバプロさせるようなしょぼいシステム組みたくないって話なんだが理解できとるか? ■ このスレッドは過去ログ倉庫に格納されています