Fortigateについて語ろう4
レス数が1000を超えています。これ以上書き込みはできません。
NECのルータでの設定が以下だそうです
ppp profile ppp
authentication myname dual-user1
authentication password dual-user1 pas1
ipv6 dhcp client-profile dhcpv6-cl
option-request dns-servers
ia-pd subscriber FastEthernet1/0.0
interface FastEthernet0/0.1
encapsulation pppoe
auto-connect
ppp binding ppp
ip address ipcp
ip napt enable
ipv6 enable
ipv6 dhcp client dhcpv6-cl
no shutdown すいません、どなたかお分かりでしたら教えてください。100eをつかっているのですが、GUI からキャプチャ回したとき、UDPが取得出来たり、出来なかったりします(ほとんどの場合取れない)。どうすれば取れるのでしょうか? 早々にありがとうございます!
調べてみたらそれっぽいですので、今日早速試してみます! fitbit.comkにあるダッシュボート内の記録ページが
エラーとなっているのですが、みなさんのところもそうですか? fortigateにciscoでいうNATのredundancyみたいな設定はないんですか? 今会社で100D(5.4.3)使っててバージョンアップする予定なんですが、6.0の安定性ってどうですぁか?
6.0か5.6どっちにするか悩んでます 教えてほしいのですが、現在60D OS5.2なのですが、
DHCPでMACで固定のIPを払い出す方法はあるでしょうか?
ロケーションの違う2箇所で使う場面があり端末側で固定は出来ないものの、
一箇所ではアドレスが決まっている方が便利な場面があるので
そう出来たらいいなぁという感じなのですが・・・ >>753
ありがとう!
config reserved-address
edit 1
set-ip (IP)
set mac (MAC)
でいけました
レンジは多分レンジ外は指定できないのかなと思うのでもともとのレンジの中で
使われそうにない最終IPで設定して問題なしっぽいです
重ね重ねありがとう 教えてください
ログをメモリにしてるんだけど高度って項目でディスクロギングってあるので
ディスクのクォータ設定でディスクロギング容量をフォーマットして
割り振りなりすればディスクでロギングって可能です? 運用について相談です。
webフィルタを設定して運用しているのですが、最近はどこもかしこも、
ほぼ常時SSL化されているので、SSLインスペクションを有効にして
ドメイン単位でのフィルタをしています。(かなり巻き添え規制が発生しますが)
この方法以外に、この前韓国で話題になっていた、DNSフィルタ(Server Name Indication)という
方法もあると思いますが、Fortigateで使ってる方いますか?こちらもドメイン単位でしか規制できないですが。
DNSフィルタの場合、クライアントのDNSをFortigateに向けてやる必要があると思うのですが、
ドメイン(ActiveDirectory)環境の場合は、クライアントのDNS設定はドメインコントローラーへ向いていると思います。
こんな場合はDNSフィルターは無理なんですかね? よくわからないけど、ADの参照先をfortigateにすればいいんじゃないの? nat46ってどうやるんですか?
やったらnat変換後の送信元IP6アドレスはFGT自身のサーバ向けIFのアドレスになると思ってたんだけど、なりません。認識違いました? FortiGate40CをNURO光のONU直下に
トランスペアレント(透過)モードで設置しよう
と思って設定中ですが、インターネットに
繋がらなくて困っています。NATモード(ONU
との二重ルーター)だと問題なく繋がります。
NATモードの際のアドレスは
192.168.1.99/255.255.255.0 ゲートウェイは
192.168.1.1 となっています。トランスペアレ
ントの場合、これをどのように設定するのが
正解か、アドバイス頂けると有り難いです。
いろいろ試してみたのですが、上手くいかず、
お手上げ状態です。 >>759
NURO光のONUがどういう仕様かわからん事にはどうにも
ONUがルータ機能持ってるタイプなんだっけ?
端末のデフォルトゲートウェイもONUなの? >>760
光回線はNURO、ONUはF660A、現在はファイヤーウォール機能オンにしていますが、Fortigateを透過型ファイヤーウォールに設定出来たら、ONUのファイヤーウォールはオフにする積りです。ゲートウェイはONUです。 >>761
追加です。ONU(F660A)はルーター機能を持っていて、オフにすることが出来ないタイプです。 >>761
まずどこまで通信が通ってどこまで戻ってるかは分かる?
例えば
ONU(ルータ機能付き)
↓@
FG40C
↓A
端末
だとして@のエリアを通過してONUまで通信が届いているか
ONUから端末まで戻れるか
この辺切り分けないとちょっと分からないな
トランスペアレントモードの場合はそもそも@Aともに同一セグメントとなるから
FW機能での何らかのカットが行われていない限りは
ルーティング上の問題にはならないはず >>763
コメント、有難うございます。
ONU(F660A)→Fortigate40c→端末(PC)と
繋いで40cをトランスペアレントに設定して
端末からpingを打つと40cには通りますが、
F660Aには通らず、インターネットに
繋らない状態です。40cをルーターに設定する
と問題なくインターネットに繋がります。
所謂、二重ルーター環境ですが、この環境下で
速度測定をしてみました。端末をF660Aに直結
した状態と40c経由にした状態(二重ルーター)を
比べると何れも下り:600メガ、上り:900メガで
殆ど差がなく、二重ルーター環境も選択肢かな
と思っているところです。 >>764
二重ルータで問題がなければそれもありかと思うけど
そもそもトランスペアレントモードの場合は端末側の設定も
変えないといけない
単純にFGの設定を変えて対応してるだけってなら
端末はDHCPでIPもらう設定にしていてって事なのかなと
>>763の形でいうとトランスペアレントモードだと
@Aともに同一セグメントだけどNATモードだと違うセグメントになるので
端末のIPは変えないといけない
DHCPで貰うだけなら何ら問題ないけどね
そもそもFG通さずONUに端末を直差しして繋がるのか切り分けてみたら?
個人的にはセキュリティ面を考えてもトランスペアレントモードにする
メリットはあまりないと思うけどね
@を単なる通過するセグメントにするだけでもセキュリティ上は
そっちのが一段降りるので少し強くなるし あ、ONU直差しは通信できるのね
そういう意味ではFGがカットしてるとしか思えないってのは分かる気はするけど
ちょっと不思議な状態だな
ポリシーはそもそもちゃんと設定できてる?
セグメントが違ってしまうからポリシーをちゃんと見直さないといけない
全通しから通らないんだとちょっと不明だが
個人的にはNATモードよりは通常のルーティングモード?のがいいと思うけど FortiGate-50EってCPUが Marvell Armada 385じゃん?
PPPoEをhardwareサポートしてるっぽい事書いてるけど50EだったらPPPoEのスループット出るのかな?
https://www.marvell.com/company/news/pressDetail.do?releaseID=7316 >>767
PPPoE + NAPT + IPS + DNSフィルタで90Mbps出たときにCPU使用率1ケタだった
50Eは神では ちょっとFortiのDNSの仕様がイマイチわからないので
教えてください
インタフェースIPをDNSとするようにDHCPに配らせて
その端末から通常通りにインターネットに関してはDNSリレーさせて通信させることは出来たのですが、
内部の端末についてるホスト名だけはちゃんと内部のIPに飛ばしたい
DNSデータベースに何かを設定したらいいんだろうけどどうすればいいのか
調べても出てこなかったのですがどう書けばいいのでしょう? >>768
まじかw
60Dだと80Mbpsで100%近くで張り付くから買い替えようかな >>770
その代わりFortiのSoC入ってないから注意ね >>771
SoC入ってないからって困る事ある?
SoC1の60C、SoC2の60Dを持ってるけどウンコ過ぎて50Eが神に感じるんだけど
SoC3は性能いいの?
今度出るSoC4はめっちゃ性能良さそうだけど FortiとYAMAHAでIPsec設定するとメインでもアグレッシブでも
IKEフェーズ1の時点でNGなんだけど組み合わせ悪いやつかね
ike Negotiate ISAKMP SA Error:〜: no SA proposal chosen ってなるわ IKEv2にしてみたら?
IKEv2のほうが接続可能性は高いぞ。 >>774 運ゲーだね
>>775 IKEv2で2時間ほど頑張ってみたけどダメだった
あああああこんなにくやしいのは久しぶりだあああああ >>776
俺も検証したことあるけど、絶対無理だよ
古いファームにしないと繋がらない 仮にVPNはれても、障害時の切り替わりで問題発生とかあるから恐ろしいぞい >>777
どのファームだめでどのファームならおkでした?
fortiとyamahaでipsecで繋いでる環境でfortiのバージョンアップ検討してますので参考にしたい 異種機器間VPNだと、AWS VPCのForti向けサンプルコンフィグが糞だった
糞みたいなインデントの修正するだけで半日くらい潰れる >>781
あきらめるってなにを?
現状fortiとyamahaでipsec繋がってる環境で、fortiのファームアップ考えてて、古いファームにしないと無理っていう書き込みがあったから聞いただけなんだが ほれ。
FortiGate60D (Firmware 6.0.5)とRTX810で接続してやったよ。
ttp://www.nosense.jp/ipsec-fg60d-rtx810/
特に苦労するところはないけど。 これ、ヤマハとかよりスループット高いよね
UTM機能お金使わずに、ルーターとして使うのあり? >>785
ルータと違ってセッション管理しちゃうから注意ね。
やたら無通信時間が長いアプリとかたまにあるし。 >>787
PPPoEとIPv6は実測値が面白いことになる機種も多い >>783 ありがとう
https://network-beginner.xyz/fortigate_and_rtx_ipsec-vpn
このサイトも参考にさせてもらって設定したらアグレッシブでのみ成功したけど
2拠点目繋げようとするどっちか1か所しか繋がらない
fortigateから見たリモート側のPeerIDは文字化けしてるしRTXでのPeerIDの指定方法もわからない
ここで行き止まりかな ipsec ike local name を fqdnにしたら識別できて繋がった
スレ汚してすみませんでした すいません、Forti初心者なのですがご存知の方教えてください。
FortiCloudのサブスクリプションライセンスの購入を考えているのですが、
登録できるデバイス数は無制限でしょうか。それとも登録したい台数分のサブスクリプションを購入しないとダメ? >>797
60Eはconfig system vxlanがあるけど
60Dはipsecのset encap vxlanしかない。 Ver.6.0でアプリケーションコントロールのカスタムシグネチャーをhostで識別させたいんだけどうまく行かなくて夜も眠れない。
相手サイトでアプリケーション識別するカスタムシグネチャー分かる人いないですかね… 正確には脆弱性自体は前からあったけど
エクスプロイトが公開されたから
攻撃実現性が増した感じだよね FortiClientのiPhone, iPadアプリは
構成プロファイルで配ったクライアント証明書を認識しなくて
わざわざiTunesから仕込む必要あるから
SSL-VPNで数百端末展開するだけでも地獄っいうね... >>796
FortiCloud自体はデバイス登録数は制限無いです
ログリテンションのサブスクリプションはFortiGateごとの購入が必要 10月半ばから一斉に本体を10%値上げだと
増税と合わせてだいぶアレになるな nuro bizでの設定例がわかる方がいたら教えていただきたいです。
nuro bizのONUにfortigate 60Eを接続しているのですが、LAN1(標準固定IP)で外への接続ができません。
いろいろ調べてIPoEで接続するとの情報は得られたのですがfortigateでどのように設定すればいいのかがわかりません。
https://thorsten-on-tech.blog/2018/06/08/ipv6-with-prefix-delegation-on-fortigate/
こちらを参考にipv6をdhcpにしてみましたが、
diagnose ipv6 route list | grep wan1
で見るとipv6のアドレスが割り振られていないようです。
ONUのLAN2経由であれば外に出られます。
どうかよろしくお願いいたします。 Fortigateで作成したvlan10,20,30のすべてがタグVLANで、
これをLAN1,LAN2のアグリゲートで上位L3SWと接続できている。
LAN3には内部の独自セグメントのIPを割り当ててPCを「直接」接続している。
この状態だとPC側から投げたパケットは上位ルータに飛ばない
(ルーティングやフィルタの設定に異常はない)
ひょっとしてこういう接続はNGなの?
LAN3にもタグVLANを適用し、わざわざタグVLANに対応したL2SWを接続したうえで、
PCをL2SWに接続しないとダメ? 最新ファームでは下位モデルのLAGに対応したんだね vdomAにあるradiusサーバーを、vdomBから参照するにはどうしたらよいでしょうか
vdomAからは接続できているのですが、vdomBの「RADIUSサーバの編集」で接続テストすると「RADIUSサーバに接続できません」となります。 この機種かなりやばない?
Webからポリシー追加とかstatic route追加・削除してたんだけど、
static routeを追加したり削除した直後に数秒ほど飛んではいけない宛先にpingが飛んだりする。
設定反映のタイミングで設定がガバガバになることない? どの機種、どのバージョンか書いてない時点で回答するに値しないクソ質問ですし
でそんなに気になるならパケットキャプチャとった上でメーカーに問い合わせろでFA 「やばない?」とか「設定がガバガバ」とかいう放言にマトモな対応を期待する方が馬鹿w 前提となる環境が全く判らないので情報として価値がない それじゃあ典型的な古参隔離スレじゃん
古参のフォーマットに合わせないと無視って、新規が入ってこないわけだわ FG60Eを6.2.0から6.2.2に上げようとしたらアップグレードパスがないとかで弾かれた
factoryresetしても駄目だったわ 60Fって60Eから相当能力上がってるね。3倍ぐらいは上。ただ、遅延は3μから4μになってる。サイトがメンテ中だからgoogleのキャッシュしか見れないけど。
で、6.2.0から6.2.1にまず上げないの? バージョン飛ばすとアップグレードパス云々って言われるのは手続き上あることだと思うんだけど。 公式のアップグレードパスとして6.2.0 -> 6.2.2が案内されてるじゃん トランスペアレントモード時のルーティングの設定ているんですか?
透過するだけだしいらないと思ってるんですが 機器自体がアップデートなりなんなりで通信するためのデフォルトゲートウェイが要るかどうかという話なら
運用ポリシーに照らして設定したらいいんでないかな >>825
なるほど、機器がって事か
納得しました。
実在に流れる通信には関係ないって事ですね FortiGateをリバースプロキシとして使えますか? この手のネットワーク機器の付加価値機能って、使えるけど使っちゃいかんってコモンセンスだったけど今後はどやろね
SSLオフローダとしてはASICで非常に優秀なことは理解してるんだけど、
本当に思ったように振り分けできる?ログの出力フォーマットをパースしやすいように整えられる?とか色々考えちゃう 石橋3回叩かないと歩けないタイプ?
手に負う根性無いなら丸投げしようぜ >>819
これ自己解決。
6.2.0の既知のバグだったわ。
一旦6.0.7に下げたら6.2.2に出来たわ。 >>830
ちょっと意味が分からん
Fortigateにリバプロさせるようなしょぼいシステム組みたくないって話なんだが理解できとるか? SSL-VPN使うことにしました。
ありがとうございました。 ケースバイケースってか予算が無かったりそもそも要件詰め忘れてたりの間に合わせだろ?
そんなん使う時点でエンジニアとしてどうよって思うわ 6.2.3リリース。
早速入れてみたが、ログイン画面文字化けするな。 ありゃ うちもリリース間近の400Eで6.2.2入れてるんだけどどうしようかな Fortinetに限らず、一般的に透過モードで設置した場合WAN側にあるPCとLAN側のPCって普通に通信できるものですか?
例えば共有フォルダが丸見えになりますか? >>839
ということは、透過モードのまま制限することは可能ではあるってことですかね?
インターネットのみ可能な来客用ネットワークをUTMの外側に作りたいのですが、UTMの設定はUTM設置業者にさせればいいでしょうか? >>841
できるはできるけど要件だけ聞くとわざわざ透過モードで
設計する理由が分からない。
雰囲気的に業者に設計方針から依頼したほうが幸せになると
思うよ。 SSL-VPN を利用する際に
FQDNを使わず直接IPアドレスを使ったアクセスを
拒否することは可能ですか? >>843
勿論、httpのhostnameヘッダが入ってない場合を想定してるんだろうが、確か出来ないはず。
想定が違うなら、httpプロトコルの勉強した方がいい。 >>843
俺はダイナミックIP使って、頻繁にIPアドレスを変更している。 >>844
そうですか。残念です。
Internet explorer 11 だと SSL-VPN ポータルが表示されないのですが
どうすればよろしいでしょうか >>846
最近のFortiOSはIEサポートしてないから大人しく対応ブラウザ使うべし。リリースノートに載ってるから。 自分でfortigateに証明書を入れず、FortiClientを使用してIPアドレス指定でSSL-VPNを繋いでいるのですが
この状態でも通信は暗号化はされるのでしょうか。
素人質問で申し訳ないです。 並行輸入品て日本国内のサポート受けることできますか 30Eのforticare 1yr 8時間x5日とかの安いライセンスをebayから買って更新しようとしたら$200とか高いのしか売ってなかったけど、最近方針って変わったのでしょうか?
もっともebayは時々品切れになるから、待ってると復活したりしますが、値上げされると困ります。
firewall.comなら普通に安いのですが、こちらから買ったことがないので評判探してます。 家で使ってる50Eは本体も更新ライセンスもここで買ったけど特に問題は無かったよ https://www.avfirewalls.com/ 100Dと60Eが同じ値段だったらみんなどっち買う? >859 レストン
其処でライセンス買ってみたけど、注文はキャンセルされました。
理由は、お前はウチから本体買ってないから登録されてない、からだそうです。
当然、fortinetには2台も登録済なんですけどね。 米とかドイツの尼でもFC-10-0030E-311-02-12は品切れみたい。
なんかサービス体系変えてきそう。
ebayでJPY 18,774てのがあったけど、どうするか。ライセンス切れはまだ先だけど。 FTPで嵌っていて、どうにも解決できない為お聞きしたく。
#どういう訳かngワードに引っかかって、全文を書けないので
分割して書き込みます。 (続き)
現在FG60Eという機種が入っていて、NATで運用しています。
firewallの内側からFTP接続するのですが、接続は出来るものの、
ファイルアップロードでかなりの確率で失敗します。(続く) (続き)
FTPサーバはAWSでvsftpdを使用しています。
highポートは、fortigate、EC2とも1024-65535全てを
開けて見ましたが結果は変わらず。
DMZからFTP接続すると問題なくファイル送受信出来るので
何か設定が間違ってると思うのですが、vsftp側の設定も含めて
ご教示頂ければ嬉しいです。 ありがとうございます。
連休明けに設定確認してみます。 質問なのですが。
LAN内の、FortiGateの真下などに
別メーカーのUTMを入れるセキュリティ強化は
企業ではあまりやらないのでしょうか?
UTM2段構えとか、より安全そうなイメージですが・・ ハイエンドな環境だと、パフォーマンス重視で用途で分ける場合があるのでは?
L4ACLはFortiで、サンドボックスはFireEyeにしたりとか UTM2段で入れるくらいなら冗長構成取るんじゃないかな
UTM2段、且つ冗長構成を取るってブルジョワなユーザならともかく 別メーカー多段だと、シグネイチャベースのIPSやアンチウイルスなら
効果ありそうな気もするけど、どうなんだろうね? 多段UTMとか誤検知やらなんやらでトラシューが大変になる未来しか見えない 当方は、
fortigate 60Fをルーターのみで利用、配下でfortigate 100eをトランスペアブリッジとセキュリティ検疫で利用してます。 ブラックリストで重ねる位ならホワイトリスト一重かな
ホワイトリストで重ねるなら効果あるだろうが設定が面倒くさいし
重ねるだけ可用性下がるが冗長構成にすれば金もかかる
ユーザーなり接続数ベースのライセンス形態と違って
FortiはHWベースなんで冗長組むと比例して高くつく Forti以外でもHWを冗長構成で2個並べればその分の費用はかかると思うけどな 2台分のライセンスより1台分+HAライセンスの方が安いって話じゃない? utmの管理者を翻弄するクラウド。
ホワイトリストもブラックリストもガンガン増える。 今は、セグメントUTMとかLAN内に階層で置いてるよね? 同じ製品の型番のfortigateとfortiwifiってファームウェアのイメージ同地物使えるの?やっぱりだめ? fortigateのSSL-VPNでAD参加のために
DNSをADサーバー2台が先にくるように設定しているんですが
拠点内サーバーへのアクセスのためにWS01 192.168.0.254
みたいなのをFortigateのDNSとして登録して先にこさせることって可能でしょうか?
その場合、多分DNSリレーが必要だと思うんですけど、先に挟み込みができるのか
GUIいじってみましたけどよくわからず・・・。
機種は60Dと50Eです。 Fortigateのクラウドサンドボックスって
検査中のファイルをFortigateで止めとく事できるのでしょうか?
とりあえずは、クライアントに流れるのかな?
ソニックウォールのサンドボックスは検査完了まで
止められるみたいですが。 >>889
FGのDNS参照先として特定のサーバを登録したければ、ネットワーク>DNSから設定可能です
SSL-VPNのAD参加の下りがわかりませんが、SSL-VPN接続してきたユーザに特定のDNSサーバのアドレスを
払い出すことは可能です。
>>891
クライアントに流れるはず
検査完了で止めておくとセッションタイムアウトになるし >>871
結果報告が遅れて申し訳ない。ビンゴでした。
機能をオフにしたら、問題が解消されました。
情報をありがとうございました。 >>889
ADサーバー側のDNSサーバーにルートヒントぶち込んでフルサービスリゾルバの役割も担わせれば良い >>892
それは設定しています。ありがとうございます。
もともとADサーバー2つをリモートクライアントのDNSとして登録しています。
この構成だと、VPN越しにAD参加が可能なのです。
で、ぶっちゃけADサーバーにレコード登録すればいいだろってのはあるんですが
[クライアント]---[FG50E]--[ADサーバー]--[PublicDNS]
という流れでFGにはDNSをリレーしてもらうようにするとして
1.これでAD参加可能か?
2.FG独自で名前登録して、そのFGを置いているところでだけ使えるレコードとして
使えないか?
というところが聞きたいところです。
拠点内だとNetBiosで名前解決していたようなものがVPN越しだと
うまく動かず(そりゃそうですよね)
hostsの登録も難しいようなのでFGでなんとかできないかな?と。 >>895
DNS updateのフォワードはしない いまいちスループットの意味がわからないのですが
ベストエフォート100Mbps回線の、ネット接続用で使う場合は
ユーザー数が多くても、スループットはあまり気にする必要ないのでしょうか? 90D ライセンス切れ品が転がっていたから、SSL-VPN FortiClientのGWとして設定した。
テレワーク急に始める企業には神のような機械だな。
50人登録したけど何人まで使えるんだろう。 100D OS5.4 と FortiClientVPN6.2.4(これしか拾えない)で
自宅複数とIPsecVPNをはりたいのですが、
当然ながら相手は動的IP
識別の為のPeer IDは、どうやって作るのでしょうか? FortiClientは一応ここからDL出来るかと
6.0.Xまでならセキュリティ機能(AVなど)は無料
https://forticlient.com/downloads 数人しかいない別拠点ように40Fが欲しいんだが
日本だといつ頃かね >>902
>>903
どうも有難うございました
結果的には、拠点Fortiの様なPeer IDの設定は不要
枝番が出てFCとして、複数拠点の接続可能でした
数日前にはできなかったのですが、なんかミスってたんですね >>905
FortiClient使うときはIPアドレス不定でアクセスする場合が多いためアグレッシブモード使うから
ID設定はAnyが一般的かなと思います(されてる設定の通り)
>>901読んだとき、敢えてメインモード使いたいだろうなと思ってしまいました Fortiって、FWスループットだけの
見掛け倒しじゃない? HWオフロードできる部分はASIC処理なので速い
CPU処理になる機能を使えばその分パフォーマンスは落ちるってだけですな
他メーカでも同じ話 >>897
そうですか。
DNSキャッシュサーバーとしての機能は持たないんですね。
FortigateってDNSは完全な中継しかしないんですね。 60Fて、あの安さであの脅威スループットは凄くない?
ソニックウォールでも、同等スループット機種は倍はするよ。 ASIC搭載とはいえCPU使う機能であればスループットはそれなりに落ちる
でも、他ベンダもそれは一緒だから「あのデータシートは嘘だ」的な話はあまり聞かない どんな装置でも導入前にテストしようと考えるのが当たり前なんだよな
何も知らないまま選定して物だけ流してトラブって炎上とかみてて呆れる httpsまで保護するなら、同レンジの中では
60F 一択な気もする。 60Fは10Gbpsに対応しろとは言わないが、2.5か5には対応して欲しかったな。
中途半端すぎ。 パフォーマンスが出るからっつて小さいものに何でも付けてしまうと
マーケティングも何もあったもんじゃないしな 質問になります。
拠点間のIPSec-VPNだとNATトラバーサルで使えるようですが
forticlientでも、NAT内側にあるFortiGateに
外からVPN接続可能なのでしょうか? >>910
これだとActive Directory参加は難しそうなので
悩ましいんですよね。
1番目にADサーバーを入れないとむずかしく。
>>919
NAT機器でSTATIC NATでFortigateにポート転送してもらっていればできますけど
そうでなければ無理ですね。 NATトラバーサルって謎だよね。
ポートフォワードしなくても、なぜか使える製品もあるし・・ >>1
東京三鷹の土井(剛)莉里子
https://i.imgur.com/pZ90Ptt.png
氏名■土井剛(莉里子)
生年月日■1994.3.7
前住所■〒181-0013 東京都三鷹市下連雀5丁目3 シティハイツ吉祥寺通り4階
性別■男(詐欺師のため、戸籍変更している可能性あり)
Twitter■@copy__writing @kotobamemo_bot
疾患■性同一性障害(LGBT)、発達障害(ADHD)、アスペルガー症候群、統合失調症
●一方的に好意を寄せる男性から相手にされないと嫌がらせを繰り返す
●某大学病院の精神科隔離病棟にて強制入院
●骨が見えるほどのリストカット
●奇声をあげながら自室部屋のドアをナイフで突き刺す
●シティハイツ吉祥寺通り4階から飛び降り自殺
●性転換手術(金玉を取る)
●トラブル...嫌がらせ、ハッキング、乗っ取り、たかり、脅迫、殺害予告...etc
●去年から今年にかけてyoutuber同士のトラブルの仲介に入り某大手youtuberから複数回に渡り1億近い慰謝料をふんだくる
●自宅の吉祥寺にいられなくなり、大阪に潜伏中(警察からも逃げている) NAT-Tは500と4500のポート使うかどうかの話じゃないの? 50EでDS-Liteの設定をし、LAN側の端末からは快適にインターネットに出られるようになったのですが、FortiGuardへの接続がうまく行きません。 CPE側にIPv4アドレスを持たないDS-LiteでIPv4によるVPNってできるの? リモートVPN用にipsecトンネルを複数つくると繋がらなくなるんだけど、
こういうもんなの? 【告知】大阪で1番恥さらしな男!!これまで誰一人として語れなかった覚醒剤中毒者の泥沼の世界!!そして警察官、刑務官、裁判官のええ加減さを真実のみを赤裸々に語り最低中の最低の究極のゴキブリ男が恥を承知の上で書いた渾身の力作!!
ノンフィクション自叙伝!!
【ゴミと呼ばれて刑務所の中の落ちこぼれ】
中学2年の時に覚醒剤を覚え17歳から45歳まで【少年院1回、刑務所8回、合計20年】獄中生活を体験したが、ある女性との出逢いで生き方を180度変えて鉄の信念で覚醒剤を断ちきり見事に更生を果たした感動の奇跡の一冊!!
全国の書店&ネット通販でどうぞ!! LAN内のフロア毎に、透過型ブリッジモードで設置して
LAN内UTMにするって
利用方法おかしいのでしようか? 確かに贅沢だなw
VDOMも有りだけどPort01は1F、Port02は2Fとかに切るだけでも十分な気がしてきた。 forticare 8x5契約が切れそうなのですが、24x7の契約で継ぎ足すことはできたのでしょうか。
fortinet的には、本体買った当時から今までの分の24x7ライセンスも買え、と言いかねませんけど。 Port01は1F、Port02は2Fとかだと
IPS有効の場合、LAN内ファイルサーバーとかの
利用速度めっちゃ落ちそうだよねw そこは機種によるとしか言えないだろうね。
安くても最近出てるFシリーズとかはカタログスペックでワイヤスピード出てるし。 fortigateでNAPT(IPマスカレード)する時に変換後のSrcPortレンジの指定って出来ますか? >>935
IPv4だったらASIC処理で得意 v6は微妙 Fortigate60DにSSL-VPNで接続してRDPでWindowsにログインしてそのWindowsでインターネットからダウロードすると
帯域逼迫かなんか知らんけどRDPがまともに通信出来ない。
利用者は自分1人。
ショボ過ぎへんか?
ちなみにトラヒックシェーパーでSSLVPNの10Mbps帯域保証設定しても変わらず。 60DのSSL-VPN処理能力の低さを甘く見ないで 60dから50eに変えたが、グレード下がっても新しい方が処理早いな。SSL-VPNスループット測ってみるか… >>939
ありがとう。IPv4は得意なんですね。
構成の問題な気がしてきました。 https://www.avfirewalls.com/ ここで40FオーダーしたらもうUS外で売れないんだわスマンネって言われた。
どこか平行輸入で帰る所って有ります? 今さらきがついたが
50Eって6.4いけないんだな 今100F触ってるけど、カタログスペックはすげー伸びてるな FortiGateのカタログスペックって鵜呑みにしてええのん?
疑わしいんやが。 >>948
L4のパフォーマンスは信用してよい。
専用ASICでハードウェア処理するからそんなにブレない。
ただ頭いいことやらせようとするとね…それなりだよね… gei-ipでのブロック使ってる人いる?
いたら、ipv6だとどうしてるか教えて欲しい Captive Portal の認証でfacebookやgmail等のsocialなアカウントを利用した認証ってできますか? 945だけど
US Amazonで40F買えました。UTMライセンス3年つきで約12.7万円でした、参考までに。 金持ちやなぁ。
ワシには型落ち中古で1万円ぐらいの奴しか無理だわ 同じく中古の50Eを約1万で買った。ライセンスが約3年間が付いてたので、かなりお買い得だったと思う。 10万円かけて買って壊れたらどうすんやろ…
海外から買ってたら保守契約なんかもできないよね >>955
3年で1万はやすいね
それだけ安いと無意味にHAとか組みたくなりそう HAはいらんがLAGの為に自宅用に50E買ったんや…
ポート数すくないけど、下にそれなりなまぁなんとかなるな。
回線冗長の為に楽天LTEとかで繋ぎたいのだけど、USBモデムで接続できない… すまん。それなりなL2SWがあったら、ですな。逝ってきますorz >>959
使えるモデル少ないけど使えるのあるぞ。
CLIで有効にしてみた? >>961
持ってるLG-03は駄目だった。
使えるリストとかあれば是非教えてほしい 中古を買おうと思ってるんだけど
ライセンスが期限内で有効な状態なら
最新ファームウェアは
代理店のID/PWが無くてファイルでダウンロードできなくても
FortiGuard上からアップデートできるもの?
それともファームウェアは個別にダウンロードして入手して
機器に転送する必要がある? FGT60C*** # diagnose sys modem query
USB status: Connected
manufacturer: Sierra Wireless, Incorporated
model: NI-760S
ダイアルアップ?使いみちが判らん行けそうだ
ttps://www.ncxx.co.jp/product/ni-760s >>963
ありがとう、と言いたいところだけど3G…LTE対応してる筈なんだけどなぁ。
メーカーサポートサイトでユーザ登録してる所は大概見てるので、6.xの新機能としてLTEか5G対応してほしい所 >>967
表記上だけの問題じゃないかな。LTE対応してると思うよ。
設定コマンドにlteって入ってるし。
config system lte-modem deep inspectionで使う証明書って
買ったやつは使えない?
もしくは使えるのは条件ある? ん?公的証明書が使えるか?という質問?
設定した事無いけど使えないなんてことありえなくね? >>970
買ったやつはクライアント証明書にはいるんだけど
deep inspectionのプロファイルで選択出来ない
選択できるのローカルCAのやつだけなんだよ
多分、自分がそもそも勘違いなんだとは思うんだが
FujiSSLみたいなとこで買ったやつが使いたい >>971
誤 クライアント証明書
正 ローカル証明書 使えない
deep inspectionする機器が
deep inspectionしてますよと
利用者に明示するためのものだから
公的証明書なんか使えたら偽装になる >>973
なるほど、そう言われてみるどこそうだよね
せめて証明書の名前とドメインを変えられれば良かったんだけど
ユーザーが見たときに自社のドメインの証明書なら
気にしないんだけど
fortinetでしかもコモンネームも乱数っぽく見えろから
説明しても気にする人いて あぁ、そうかユーザーが接続してる第三者のドメインの証明書がいるのか。 50e じゃdeep inspectionきついかね?
試しにONにして楽天のトップページ行くだけでCPU跳ね上がるんだけど
60eならASICで余裕? >>976
60Eは50Eの2倍強のSSLインスペクション性能
それで余裕かどうかは低能で頭が悪いお前次第 そうなのね
低脳だからもう少し教えて欲しいんだけど
2倍はセッション数、パケット数
とかどこで考えるといいの?
カタログ見るとSSL inspectionのスループット
2倍も変わらないからわからくて スループットであるベンダーのマルチプロトコルでの検証結果
信じるかどうかは低能で頭が悪いお前次第 >>979
あんがと
参考に買い替え含めて検討してみるよ 40Fでdeep inspection設定して楽天に繋いでみたらCPU負荷が20%位になった、メモリは変わらず。
まぁエントリーモデルだからこんなもんだろね。 >>981
Fシリーズでもか
SSL inspectionはやっぱ重いんだな フォワードプロキシでdeep inspectionしている人って
使ってるクライアント全部にFGのルート証明書いれてたりするの? >>983
パソコンは入れてるが、スマホ系はアプリがエラー出しまくるやつがあって使い物にならん。 >>984
なるほど・・・
Javaとかの独自の証明書ストアとかも考慮すると、かなり面倒だな そうなると、Deep Inspectionはエンドポイントでやろうよってなるんだよね SSLインスペクションは企業で利用しても
問題が出るサイトに関する問い合わせ対応と
除外運用がクソ面倒くさい >>987
でもやらなきゃ、やらないで
SSL通信で好き放題されるでしょ? エントリー、ミドルクラスだと、なんでもかんでも1台でやるのは無理だよなー。 ハイエンドでも利用ユーザが5000人以上とかの大規模だと
・SSL暗号
・IPS
・アンチウィルス
・SSL複合
は別筐体でやるな >>994
お金が、、、、
零細企業ほどリテラシー低くて
ゲートウェイでやりたいと思うのに 貧乏なら可視化はあきらメロン
URLドメインフィルタで締め上げる スタティックルートの設定数上限8
って変更可能ですか? このスレッドは1000を超えました。
新しいスレッドを立ててください。
life time: 2340日 16時間 28分 59秒 5ちゃんねるの運営はプレミアム会員の皆さまに支えられています。
運営にご協力お願いいたします。
───────────────────
《プレミアム会員の主な特典》
★ 5ちゃんねる専用ブラウザからの広告除去
★ 5ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
───────────────────
会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。
▼ プレミアム会員登録はこちら ▼
https://premium.5ch.net/
▼ 浪人ログインはこちら ▼
https://login.5ch.net/login.php レス数が1000を超えています。これ以上書き込みはできません。