FortiGateシリーズは、ネットワーク全体を総合的に保護するハードウェアベースの
ネットワーク・プロテクション・ゲートウェイ(NPG)です。
Fortinet社独自開発のABACASTM(Accelerated Behavior and Content Analysis System)
テクノロジと独自のASIC(FortiAsic)ベースアーキテクチャを採用した、次世代
ネットワークプロテクション・アプライアンスです。
ファイアウォール、不正侵入、VPN、トラフィックシェーピングなどネットワークレベル
のサービスに加え、ウィルスプロテクションやコンテンツフィルタリングなどの
アプリケーションレベルのサービス機能も搭載しており、効果的にネットワークを保護します。
FortiGateは、4種類のICSA認定取得をしています。
アンチウイルス、ファイアウォール、IPSec、IDS
セールスポイントは非常に魅力的ですばらしいのですが、
非常に個性的な製品ですので、皆さん助け合って安定稼働に努めましょう。
フォーティネットジャパン
http://www.fortinet.co.jp/
FortiProtect Center
http://www.fortinet.com/FortiProtectCenter/
質問する際には必ずFortiGateの機種、FortiOSのバージョン、 ネットワーク構成・環境を報告してください。
Fortigateについて語ろう5
レス数が1000を超えています。これ以上書き込みはできません。
2020/07/05(日) 00:58:45.94ID:???
2020/07/08(水) 09:44:46.31ID:???
前スレ>>998
(998レス目で質問する時点で知能が低そうだが)
50E(v5.4/v6.2)ですら
スタティックルートの設定数上限数は100だから
スタティックルートの設定数上限8というのが
何の機種/Verで何を根拠に言っているのか不明
もしECMPのアクティブ経路数のことを言ってるのだとしても
v4.x/v5.xはデフォルト10/最大10で
v6.xはデフォルト255/最大255
【v4.x / v5.x】
(settings) # set ecmp-max-paths (10 is default)
【v6.x】
(settings) # set ecmp-max-paths
ecmp-max-paths Enter an integer value from <1> to <255> (default = <255>).
(998レス目で質問する時点で知能が低そうだが)
50E(v5.4/v6.2)ですら
スタティックルートの設定数上限数は100だから
スタティックルートの設定数上限8というのが
何の機種/Verで何を根拠に言っているのか不明
もしECMPのアクティブ経路数のことを言ってるのだとしても
v4.x/v5.xはデフォルト10/最大10で
v6.xはデフォルト255/最大255
【v4.x / v5.x】
(settings) # set ecmp-max-paths (10 is default)
【v6.x】
(settings) # set ecmp-max-paths
ecmp-max-paths Enter an integer value from <1> to <255> (default = <255>).
2020/07/08(水) 09:45:51.66ID:???
[誤] v4.x/v5.xはデフォルト10/最大10
[正] v4.x/v5.xはデフォルト10/最大100
[正] v4.x/v5.xはデフォルト10/最大100
2020/07/08(水) 13:25:37.18ID:???
2020/07/08(水) 13:27:38.70ID:???
6dog
2020/07/08(水) 21:51:04.24ID:??? v6.2どうよ?
2020/07/09(木) 15:31:45.12ID:???
SSL-VPNで接続したとき、
URLが /proxy/(セッションごとの8文字の文字列)/(vpn内のターゲットアドレス)
という感じになりますが
セッション毎の文字列がアドレスに入らないようにすることは可能でしょうか
URLが /proxy/(セッションごとの8文字の文字列)/(vpn内のターゲットアドレス)
という感じになりますが
セッション毎の文字列がアドレスに入らないようにすることは可能でしょうか
2020/07/10(金) 23:57:24.91ID:???
Webフィルタリングやアプリケーション制御を設定すると
SSLインスペクションの有効化する必要があると出る
FQDNでのURLフィルタリングや
URLを元にしたアプリ種別の識別だけ(詳細アクションまでや制御は不要)
SSLインスペクションしなくても使える認識だけど
この場合はどう設定すれば良い?
SSLインスペクションの有効化する必要があると出る
FQDNでのURLフィルタリングや
URLを元にしたアプリ種別の識別だけ(詳細アクションまでや制御は不要)
SSLインスペクションしなくても使える認識だけど
この場合はどう設定すれば良い?
2020/07/12(日) 14:58:35.48ID:???
https://licensecounter.jp/engineer-voice/blog/articles/20190529__vol4ipsecvpn.html
こちらを参考に拠点間VPNで、Lan <-> Lan は出来たのですが、特定のグローバルIPのみ
リモートからセンターのWANに流す方法がわかりません。
リモートから特定のサイトにアクセスしたときに、センター経由で接続させたいのです。
素人質問で申し訳ないのですが、教えて頂けないでしょうか。
Fortigate 50E、ファームウェア v6.2.4 を使用しています。
こちらを参考に拠点間VPNで、Lan <-> Lan は出来たのですが、特定のグローバルIPのみ
リモートからセンターのWANに流す方法がわかりません。
リモートから特定のサイトにアクセスしたときに、センター経由で接続させたいのです。
素人質問で申し訳ないのですが、教えて頂けないでしょうか。
Fortigate 50E、ファームウェア v6.2.4 を使用しています。
10anonymous@fusianasan
2020/07/13(月) 16:35:34.23ID:oSmKuldJ すみません、fortigateのipsec vpnのフェーズ1認証方式で、「シグネチャ」というのがありますが、これはどういった挙動となるのでしょうか。
11anonymous@fusianasan
2020/07/13(月) 16:41:19.00ID:oSmKuldJ2020/07/13(月) 16:57:08.18ID:???
ネットワークの勉強用にFGE50を入手しましたが、名前解決で躓いています。
FGE50の物理インターフェース設定を
LAN1:192.168.10.1(DHCP:10~250)
LAN2:192.168.20.1(DHCP:10~250)
として、ポート1にPC_A、ポート2にPC_Bを接続しました。
スタティックルート、IPv4ポリシーも設定し、PC_AからPC_B(逆も)へのipを指定したpingは通るのですが、
名前解決ができず、コンピュータ名でpingが通りません。
FG50EではDNSサーバの設定ができるようなのですが、
どのように設定すれば、異なるインターフェースの名前解決ができるように
なるでしょうか。
なお、FG50EもPCもDNS設定はデフォルトのFortiGuardサーバで、
GUIのDNSサーバ設定画面ではLAN1、LAN2ともにシステム設定DNSへ転送、
としています。
FortiGate 50E ファームは6.0.10です。
FGE50の物理インターフェース設定を
LAN1:192.168.10.1(DHCP:10~250)
LAN2:192.168.20.1(DHCP:10~250)
として、ポート1にPC_A、ポート2にPC_Bを接続しました。
スタティックルート、IPv4ポリシーも設定し、PC_AからPC_B(逆も)へのipを指定したpingは通るのですが、
名前解決ができず、コンピュータ名でpingが通りません。
FG50EではDNSサーバの設定ができるようなのですが、
どのように設定すれば、異なるインターフェースの名前解決ができるように
なるでしょうか。
なお、FG50EもPCもDNS設定はデフォルトのFortiGuardサーバで、
GUIのDNSサーバ設定画面ではLAN1、LAN2ともにシステム設定DNSへ転送、
としています。
FortiGate 50E ファームは6.0.10です。
13anonymous@fusianasan
2020/07/13(月) 17:44:52.05ID:hyhunuNR wan出れる?
ポリシーで許可してる?
ポリシーで許可してる?
2020/07/13(月) 19:06:04.03ID:???
そりゃプロバイダのDNS参照してて
レコードの無いじぶんのPCの名前解決なんぞ出来るわけないですよ。
自分でDNSサーバー建てないと。
Fortigate のDNSサーバー機能はどこまで出来るか知りませんがお勧めはしないです。
レコードの無いじぶんのPCの名前解決なんぞ出来るわけないですよ。
自分でDNSサーバー建てないと。
Fortigate のDNSサーバー機能はどこまで出来るか知りませんがお勧めはしないです。
2020/07/13(月) 19:30:49.27ID:???
>>12
mDNS とか、LLMNRといったプロトコルがどういうネットワークで動くのか考えてみようか
mDNS とか、LLMNRといったプロトコルがどういうネットワークで動くのか考えてみようか
2020/07/13(月) 21:19:33.85ID:???
>>15
ありがとう。調べてみます
ありがとう。調べてみます
2020/07/13(月) 21:46:45.72ID:???
L3(FortiGate)越えられるんか?
18dog
2020/07/13(月) 22:11:52.22ID:???2020/07/13(月) 23:58:39.49ID:???
ファーム上げたら特定のメーカーのコピー機のSSLの通信通らなくなったんだけど意味分からん
別メーカーも全部同じようなhttpsのサイト行ってるはずなんだけど
インスペクションルールかと思って全部ルール外しても通らないのが謎過ぎる
別メーカーも全部同じようなhttpsのサイト行ってるはずなんだけど
インスペクションルールかと思って全部ルール外しても通らないのが謎過ぎる
2020/07/14(火) 00:21:55.67ID:???
保守契約してるサポートに問い合わせしろよ無能カス
保守契約してない無能カスなら自己責任だから勝手になんとかしろ
もしくはファーム上げた無能の自分のせいなんだから
元のファームにダウングレードしろカス
保守契約してない無能カスなら自己責任だから勝手になんとかしろ
もしくはファーム上げた無能の自分のせいなんだから
元のファームにダウングレードしろカス
2020/07/14(火) 06:53:47.40ID:???
なんか嫌なことでもあったの?
2020/07/14(火) 08:32:11.32ID:???
>>21
こーゆー20みたいなネット弁慶っていうか、専門板は精神疾患系の人多いよね。
こーゆー20みたいなネット弁慶っていうか、専門板は精神疾患系の人多いよね。
23anonymous@fusianasan
2020/07/14(火) 08:49:39.11ID:nmdDBYwC FNDNのFreeプラン入ってるんだけど、評価用ライセンスって有料プラン契約しないともらえんの?
2020/07/14(火) 09:09:54.82ID:???
>>20 は煽り運転みたいなもんだから放っておくべし
2020/07/14(火) 11:06:17.03ID:???
26anonymous@fusianasan
2020/07/14(火) 12:51:39.22ID:1wtwb3BX HA組んでモニタポートに設定したIFがダウンしたときそのIFだけ2号機介して通信とか出来ないのかね
2020/07/14(火) 13:07:46.20ID:???
FortigateのActive/Active HA構成は
UTM処理をStandby機でオフロードするだけで
通信処理は必ずActive機だけ
UTM処理をStandby機でオフロードするだけで
通信処理は必ずActive機だけ
28↓
2020/07/14(火) 13:54:45.34ID:??? 装置縮退したとき稼働系に全部寄って
性能不足に成りそうだな
性能不足に成りそうだな
2020/07/14(火) 14:21:15.84ID:???
>>28
Active/Active構成なら当たり前の前提
故障縮退中の時間より
正常動作中の時間の方がはるかに長いから
それでも十分に意味がある
故障縮退中の一両日は性能低下してスローダウンすることは
運用条件として客と合意する必要はあるけどな
Active/Active構成なら当たり前の前提
故障縮退中の時間より
正常動作中の時間の方がはるかに長いから
それでも十分に意味がある
故障縮退中の一両日は性能低下してスローダウンすることは
運用条件として客と合意する必要はあるけどな
2020/07/15(水) 06:44:53.19ID:???
2020/07/15(水) 07:44:57.91ID:???
ユーザーが管理画面入って勝手に触れるとか
どんだけ無能なネットワーク管理者だよ
どんだけ無能なネットワーク管理者だよ
2020/07/15(水) 14:10:20.64ID:???
>>31
納入時の保守内容に運用まで入れてねーんだよ
納入時の保守内容に運用まで入れてねーんだよ
33anonymous@fusianasan
2020/07/15(水) 16:42:42.77ID:n0RD7BC8 現在FortiGate60D(v6.0.6)を使ってるのですが、ゲームなどをダウンロードすると
CPU使用率が100%になってしまうのでFortiGate50Eに入れ替えようと思ってます。
下記のサイトで速度テストした際もCPU使用率が100%になります。
https://www.speedtest.net/
どなたかFortiGate50Eを使ってる人がいましたらCPU使用率がどのくらいになるか教えていただけないでしょうか。
CPU使用率が100%になってしまうのでFortiGate50Eに入れ替えようと思ってます。
下記のサイトで速度テストした際もCPU使用率が100%になります。
https://www.speedtest.net/
どなたかFortiGate50Eを使ってる人がいましたらCPU使用率がどのくらいになるか教えていただけないでしょうか。
2020/07/15(水) 18:15:50.77ID:???
速度低下が起きてないなら変えなくてもいいんじゃね?
2020/07/15(水) 18:35:52.93ID:???
2020/07/16(木) 07:02:04.68ID:???
39anonymous@fusianasan
2020/07/16(木) 12:59:10.50ID:SxOFZcPU そういう返信が1番頭悪いな
2020/07/16(木) 21:23:28.18ID:???
確かに何の意味も無い返信してる奴って
どんな頭の構造してるんだろな。
どんな頭の構造してるんだろな。
2020/07/16(木) 21:57:48.82ID:???
頭が本当に悪いから、頭が悪いって罵ることしかできない。
人に必要とされない寂しい人なのでそっとしておいて。
人に必要とされない寂しい人なのでそっとしておいて。
2020/07/17(金) 13:14:43.95ID:???
2020/07/17(金) 13:50:22.83ID:???
なるほど、60DでPPPoE接続は糞遅いのか?しらんかった。家の構成がまさにそれだわ。
2020/07/17(金) 15:46:43.26ID:???
diag sys top でCPU負荷の高いデーモンを特定してみるのが一番簡単かと。
ipsengine
scanunitd
pppoed
スペック低いと上記が高い実績あり。
pppoedが高負荷なら買い替えも有りかな。
自分も過去にFortiWifi60D使ってた時にpppoedの負荷が高かったので50Eに買い替えました。
これはうろ覚えだけど50Eからはpppoeはソフトウエア処理からハードウエアアクセラレーションに変わった気がする。
んでこの間40Fに買い替えた際にipoeとpppoeデュアルセッションにしたけど、現状だとCPU負荷はssl deep-inspectionを設定しなければ10%越えないかも。
>>ゴミの人
こんなもんで良い?
ipsengine
scanunitd
pppoed
スペック低いと上記が高い実績あり。
pppoedが高負荷なら買い替えも有りかな。
自分も過去にFortiWifi60D使ってた時にpppoedの負荷が高かったので50Eに買い替えました。
これはうろ覚えだけど50Eからはpppoeはソフトウエア処理からハードウエアアクセラレーションに変わった気がする。
んでこの間40Fに買い替えた際にipoeとpppoeデュアルセッションにしたけど、現状だとCPU負荷はssl deep-inspectionを設定しなければ10%越えないかも。
>>ゴミの人
こんなもんで良い?
2020/07/17(金) 15:54:47.09ID:???
2020/07/17(金) 16:10:36.26ID:???
無能>>46の変わりにソース貼ってやるよ
Reponse du support fortinet :
According to http://docs.fortinet.com/uploaded/files/2151/fortigate-hardware-accel-526.pdf page 74:
"NP4 session fast path requirements:
//...//
Layer2 type/length must be 0x0800 (IEEE 802.1q VLAN specification is supported); link aggregation between any network interfaces sharing the same network processor(s) may be used (IEEE 802.3ad specification is supported)"
0x0800 is Ethertype of IPv4 over Ethernet.
Point-to-Point Protocol over Ethernet (PPPoE) is a network protocol for encapsulating PPP frames inside Ethernet frames and has ethertype 0x8863 and 0x8864, meaning that it cannot be offloaded.
So all traffic hits CPU and throughput reached is much smaller due to CPU getting high when packets are handled by it (throughput values in the unit specifications are for offloaded traffic to NPU).
In order to have better transfer results you will have to migrate from PPPOE type of external connectivity or use a bigger unit.
Or, as you noted, you can use another unit in front of the FortiGate in bridge mode, to perform the PPPOE encapsulation.
解決策としてはPPPoE接続だけ別のルータを挟んでやらせる
(中古で数千円のCiscoやヤマハの古いルータでも可)
Reponse du support fortinet :
According to http://docs.fortinet.com/uploaded/files/2151/fortigate-hardware-accel-526.pdf page 74:
"NP4 session fast path requirements:
//...//
Layer2 type/length must be 0x0800 (IEEE 802.1q VLAN specification is supported); link aggregation between any network interfaces sharing the same network processor(s) may be used (IEEE 802.3ad specification is supported)"
0x0800 is Ethertype of IPv4 over Ethernet.
Point-to-Point Protocol over Ethernet (PPPoE) is a network protocol for encapsulating PPP frames inside Ethernet frames and has ethertype 0x8863 and 0x8864, meaning that it cannot be offloaded.
So all traffic hits CPU and throughput reached is much smaller due to CPU getting high when packets are handled by it (throughput values in the unit specifications are for offloaded traffic to NPU).
In order to have better transfer results you will have to migrate from PPPOE type of external connectivity or use a bigger unit.
Or, as you noted, you can use another unit in front of the FortiGate in bridge mode, to perform the PPPOE encapsulation.
解決策としてはPPPoE接続だけ別のルータを挟んでやらせる
(中古で数千円のCiscoやヤマハの古いルータでも可)
49anonymous@fusianasan
2020/07/17(金) 18:24:56.57ID:fLO/NbTk 論破されてて草
2020/07/17(金) 21:18:15.81ID:???
47と48は別人?
2020/07/17(金) 22:09:23.43ID:???
fortigate50eと安い市販の無線ルーターを接続して、dhcpとかはfortigateで無線の接続だけ無線ルーターにしたいんだけど出来ますかね?
fortiAP買わないといけない?
fortiAP買わないといけない?
2020/07/17(金) 22:35:06.30ID:???
2020/07/18(土) 08:27:12.37ID:???
>>52
thx
thx
2020/07/18(土) 12:13:34.42ID:???
55anonymous@fusianasan
2020/07/20(月) 18:27:00.66ID:h3bkBWCy IPアドレスフィルタリング機能が使いたいためだけにfortigate-80eを使っているんだけど実は無駄だったりする?
2020/07/20(月) 20:20:28.15ID:???
釣りだろうけど、一応。
む・だ!
すっきりした?
む・だ!
すっきりした?
2020/07/20(月) 22:43:08.01ID:???
FortiGate 60Dのスループットって家庭用ルーターより遅くね?
せっかくIPoE導入したのに180Mbpsで頭打ち。測定中はCPUは100%張り付き
せっかくIPoE導入したのに180Mbpsで頭打ち。測定中はCPUは100%張り付き
2020/07/20(月) 23:08:20.31ID:???
2020/07/20(月) 23:14:17.27ID:???
UTMにルーターとしての性能を求めるなよ
60Fでも買って試せ
60Fでも買って試せ
2020/07/20(月) 23:44:52.89ID:???
UTMだけやらせろよ
他はオマケ
他はオマケ
2020/07/21(火) 00:28:22.16ID:???
2020/07/21(火) 10:54:24.28ID:???
IPoEそのものが遅いわけないと思うけど。
MAP-EとかDS-Lite使ってんじゃないの?
MAP-EとかDS-Lite使ってんじゃないの?
63anko
2020/07/21(火) 20:19:01.62ID:??? IPSアリにしたら値段相応決まってんねん
2020/07/22(水) 15:42:45.31ID:???
2020/07/22(水) 15:55:32.97ID:???
↓にあるんだけど、NP4、もしくはSoCタイプでNP自体を積んでないモデルはIPv6をASICオフロードしてくれない
ttps://docs.fortinet.com/document/fortigate/6.0.0/hardware-acceleration/575471/network-processors-np6-np6lite-and-np4
そうするとIPv6使うIPoEは直ぐにCPU張り付いちゃうんだよねー
ttps://docs.fortinet.com/document/fortigate/6.0.0/hardware-acceleration/575471/network-processors-np6-np6lite-and-np4
そうするとIPv6使うIPoEは直ぐにCPU張り付いちゃうんだよねー
2020/07/22(水) 19:55:40.75ID:???
なるほど、そういうことですか。
しかしCPU処理後するからってUTMもなにも使ってないのに定価10万円以上する機器が1万円の家庭用ルーターよりFWスループット遅いとはね。
しかしCPU処理後するからってUTMもなにも使ってないのに定価10万円以上する機器が1万円の家庭用ルーターよりFWスループット遅いとはね。
2020/07/22(水) 23:59:35.33ID:???
オフロードなしでそんな遅いとはよっぽど貧弱なCPU使ってんだな。
68sage
2020/07/23(木) 00:21:14.32ID:??? 60Dは2014年販売開始だよ
2020/07/23(木) 01:49:30.05ID:???
2020/07/23(木) 14:46:55.39ID:???
Fortigateはルータじゃなくてファイアウォールだからな
ご家庭だとルータとしての役割求められるから向いてないこともある
家庭用ルータとしてはNEC IXあたりがコスパいいんじゃないかね
NUCにpfSenseやVyOSもいいけど、日本で需要の多いv6plusは対応してないこと多いんだよね
ご家庭だとルータとしての役割求められるから向いてないこともある
家庭用ルータとしてはNEC IXあたりがコスパいいんじゃないかね
NUCにpfSenseやVyOSもいいけど、日本で需要の多いv6plusは対応してないこと多いんだよね
2020/07/23(木) 16:10:55.09ID:???
PPPoEも遅い。IPoEでもIPv6は遅い。
ゴミじゃんww
ゴミじゃんww
2020/07/23(木) 16:18:43.18ID:???
二桁なんてそんなもんだろ安いんだから
2020/07/23(木) 23:36:08.42ID:???
最近じゃ100F以上でないと要件に合わないわ
74anonymous@fusianasan
2020/07/25(土) 00:04:01.59ID:32NS3Jq6 ウォッチガード評価機借りたけど
設定わけわからんw
使ってる企業いるんかいな。
設定わけわからんw
使ってる企業いるんかいな。
75anonymous@fusianasan
2020/07/25(土) 12:20:51.21ID:Ro8Vgc3m 60dってpppoeの速度、家庭用より遅いんか。。。ヤマハのファイアウォールfwx120からリプレイスしようと思ってたけどやめるか。。。
76anonymous@fusianasan
2020/07/25(土) 12:39:16.04ID:Ro8Vgc3m http://www.nosense.jp/fg60d-throughput-pppoe/
60dでpppoeの実測値計った人いるみたいやね。
60d買ってしまったから5000円ドブに捨てちまったな。
60dでpppoeの実測値計った人いるみたいやね。
60d買ってしまったから5000円ドブに捨てちまったな。
77sage
2020/07/25(土) 12:50:45.07ID:??? PPPoEじゃ地域IP網のネックあるし
違う接続方式のルータ買えよ
違う接続方式のルータ買えよ
2020/07/25(土) 14:04:11.09ID:???
yahooだけ遅いわ
2020/07/25(土) 18:23:29.43ID:???
>>74
お客さん先にWatchGuard入れて運用していますが、なかなか良い感じですよ
お客さん先にWatchGuard入れて運用していますが、なかなか良い感じですよ
2020/07/25(土) 22:08:08.90ID:???
市販の無線ルーターをブリッジモードにして、pppoe接続をfortitateでしたらyahooとヨドバシだけ繋がりがめちゃくちゃ不安定で???だったけど、どうやらMTUが原因だったらしい。
dhcpオプションでMTUの値をセットしたら問題なくなった!ポリシーのutmが悪いのかずっと悩んでたけど全く関係なかったわ
dhcpオプションでMTUの値をセットしたら問題なくなった!ポリシーのutmが悪いのかずっと悩んでたけど全く関係なかったわ
2020/07/29(水) 22:52:21.99ID:???
SSL-VPNの接続手法について教えてください。
構成は、Fortigate200E/FortiOS6.4.1/FortiClient6.4です。
Win10端末よりSSL-VPN接続を試みると80%までは
進行するのですが、そこでエラーメッセージと共に切断されてしまいます。
同様の設定で別の機器Fortigate60D/FortiOS6.0.10への接続は可能ですので
基本的な設定に誤りはないのではないかと考えているのですが、80%時に切断される
原因か分からず困っています。
なにか考えられる点はありますか?
ちなみにWin10のバージョンをすぐ更新できる環境ではないため、
TSLv1.3は使用不可な環境です…
構成は、Fortigate200E/FortiOS6.4.1/FortiClient6.4です。
Win10端末よりSSL-VPN接続を試みると80%までは
進行するのですが、そこでエラーメッセージと共に切断されてしまいます。
同様の設定で別の機器Fortigate60D/FortiOS6.0.10への接続は可能ですので
基本的な設定に誤りはないのではないかと考えているのですが、80%時に切断される
原因か分からず困っています。
なにか考えられる点はありますか?
ちなみにWin10のバージョンをすぐ更新できる環境ではないため、
TSLv1.3は使用不可な環境です…
82anonymous@fusianasan
2020/07/30(木) 01:58:48.49ID:AdjVK7tS 肝心のエラーメッセージをなぜ貼らない
8381
2020/07/30(木) 21:58:21.14ID:??? お騒がせしました。自己解決しました。
GUIで無効化したつもりでいたホストチェックが設定上有効だったようで
CLIからホストチェック自体を削除したところ接続できるようになりました。
もっともWin10はホストチェックで許可はしていたのですが…
>82
FortiClientの80%時の切断メッセージです。
Unable to establish the VPN connection. The VPN server may be unreachable. (-14)
GUIで無効化したつもりでいたホストチェックが設定上有効だったようで
CLIからホストチェック自体を削除したところ接続できるようになりました。
もっともWin10はホストチェックで許可はしていたのですが…
>82
FortiClientの80%時の切断メッセージです。
Unable to establish the VPN connection. The VPN server may be unreachable. (-14)
2020/07/31(金) 01:54:04.90ID:???
VPNのトラブルシューティングの基本はサーバ側(今回だとFrotigate)のログ確認よ
クライアント側からだと良く分からん
クライアント側からだと良く分からん
85anonymous@fusianasan
2020/08/02(日) 09:17:04.29ID:Oy+JUfq1 マルウェア検知能力って、各UTMメーカーそんな変わらないレベルなのかな?
WatchGuardのCylance AIアンチウィルス凄そうだよね。
WatchGuardのCylance AIアンチウィルス凄そうだよね。
86anonymous@fusianasan
2020/08/06(木) 10:34:15.59ID:ka1cPpcf iPhone/iPad の VPN接続方式で
・タイプ:IKEv2
・ユーザ認証:証明書
でつないでる人いる?
「ユーザ認証:ユーザ名」は ナレッジがあるんだけど
「ユーザ認証:証明書」は ナレッジ含め 成功例が見当たらないんだよね
・タイプ:IKEv2
・ユーザ認証:証明書
でつないでる人いる?
「ユーザ認証:ユーザ名」は ナレッジがあるんだけど
「ユーザ認証:証明書」は ナレッジ含め 成功例が見当たらないんだよね
2020/08/06(木) 21:05:44.75ID:???
FortigateのVPNやめてSoftEtherでやってええか?
2020/08/07(金) 01:45:07.20ID:???
いいよ
89anonymous@fusianasan
2020/08/07(金) 08:24:33.33ID:BPGrN510 いいよん
2020/08/07(金) 12:41:52.11ID:???
いいぜ
2020/08/07(金) 14:26:39.38ID:???
うちは辞めたね。fortitoken使い始めた
2020/08/07(金) 19:31:02.09ID:???
VPN張ること自体ださいからクラウド移行中
93anonymous@fusianasan
2020/08/09(日) 11:24:12.00ID:A3uX7Trc 同一ネットワーク内に、UTM複数入れる時って
メーカーは、ばらけた方がセキュリティレベル上がるのかな?
同メーカーだと、シグネイチャも同じだし・・
メーカーは、ばらけた方がセキュリティレベル上がるのかな?
同メーカーだと、シグネイチャも同じだし・・
2020/08/09(日) 12:03:39.41ID:???
複数UTMの必要性がよくわからん?
UTMとエンドポイントセキュリティでは異なるメーカーにするのは一般的やと思うけど。
UTMとエンドポイントセキュリティでは異なるメーカーにするのは一般的やと思うけど。
2020/08/09(日) 22:20:07.69ID:???
FortiGateでHTTPSにIPSオンにするとパフォーマンスきつくなって結局使えないから、UTMとしては実用性が無い
残念です
残念です
96anonymous@fusianasan
2020/08/09(日) 22:24:11.09ID:+Z9XxEX2 セキュリティ対策ってのは結局のところ費用対効果が重要だからなー
検出率の向上がどれだけリスク低減に寄与するのか、管理コストや教育コストがどんだけ増加するのか
検出率は間違いなく上がるだろうけど、セキュリティレベルは下がることもあるかもね
検出率の向上がどれだけリスク低減に寄与するのか、管理コストや教育コストがどんだけ増加するのか
検出率は間違いなく上がるだろうけど、セキュリティレベルは下がることもあるかもね
2020/08/10(月) 02:44:21.11ID:???
2020/08/10(月) 11:41:44.61ID:???
>>97
300番台ですか
それだと他の機能とHTTPSとのバランス取れていない気がします
ASIC依存に偏りすぎな気がします
ユーザーがHTTPSのIPS掛かっていなくてもUTM導入してWebブラウジングが安全になったと
勘違いしているし、リセラーも敢えて説明しないのが現状ですよね
無料の証明書が普及してイキなりマルウエアを送り込んでくるサイトもHTTPS化して
厄介に夏てきている現状考えるとFortiも、もうそろそろHTTPSへの対応を、せめて100辺りから
利用できないと厳しいですね
HPPTS使い物にならないところ以外は使いやすいし売りやすいのですが、正直自信をもってUTMを導入したい
ユーザーさんへの説明が厳しいです
300番台ですか
それだと他の機能とHTTPSとのバランス取れていない気がします
ASIC依存に偏りすぎな気がします
ユーザーがHTTPSのIPS掛かっていなくてもUTM導入してWebブラウジングが安全になったと
勘違いしているし、リセラーも敢えて説明しないのが現状ですよね
無料の証明書が普及してイキなりマルウエアを送り込んでくるサイトもHTTPS化して
厄介に夏てきている現状考えるとFortiも、もうそろそろHTTPSへの対応を、せめて100辺りから
利用できないと厳しいですね
HPPTS使い物にならないところ以外は使いやすいし売りやすいのですが、正直自信をもってUTMを導入したい
ユーザーさんへの説明が厳しいです
2020/08/10(月) 11:48:01.45ID:???
>>97
バンドル版で100万オーバーで次年度からも年間60万円オーバーだと厳しいです
現実には100までのFortiが一番目にしますし、そのお客さんもUTM導入しているつもりのユーザーさんが
たくさん居られますから..........
想定ターゲットが私の会社と違うのでしょうが,300番台以降だと100人以下の企業では厳しいですね
バンドル版で100万オーバーで次年度からも年間60万円オーバーだと厳しいです
現実には100までのFortiが一番目にしますし、そのお客さんもUTM導入しているつもりのユーザーさんが
たくさん居られますから..........
想定ターゲットが私の会社と違うのでしょうが,300番台以降だと100人以下の企業では厳しいですね
2020/08/10(月) 13:29:06.06ID:???
企業ユーザーの全HTTPSトラフィックを復号・暗号して検査なんて無理っしょ。
エンドポイント側で対策でOKでしょ。
エンドポイント側で対策でOKでしょ。
2020/08/10(月) 13:47:13.21ID:???
102anonymous@fusianasan
2020/08/10(月) 15:57:36.42ID:BCwkkfUH HTTPSトラフィック検査のスループット目安がわからないのですが
200人規模だと、何ギガくらいスループットある機種なら無難なのでしょうか?
200人規模だと、何ギガくらいスループットある機種なら無難なのでしょうか?
2020/08/10(月) 16:04:44.66ID:???
>>101
FortiGate使いやすいから苦言です
Fortiバンザイではない書き込みはダメでしたか?
ASICから外れたHTTPS SSLオフロードを何とかASICの対応に入れてほしいし、そう思っている
ユーザーや納品業者は多いですよ、たぶん
100Fと同じ価格帯でSSLオフロード出せるのはWatchguardT70なら十分ですよ
まあユーザー数と設定によって速度はまちまちで、一つの答えは出ませんがね
FortiGateバンザイない書き込みですいません
FortiGate使いやすいから苦言です
Fortiバンザイではない書き込みはダメでしたか?
ASICから外れたHTTPS SSLオフロードを何とかASICの対応に入れてほしいし、そう思っている
ユーザーや納品業者は多いですよ、たぶん
100Fと同じ価格帯でSSLオフロード出せるのはWatchguardT70なら十分ですよ
まあユーザー数と設定によって速度はまちまちで、一つの答えは出ませんがね
FortiGateバンザイない書き込みですいません
2020/08/10(月) 16:11:13.01ID:???
2020/08/10(月) 16:11:24.37ID:???
>>101
MerakiやJuniperの様に、ナンチャッテHTTPS対応でユーザーを胡麻化そうと
しないFortiGateの方が良いと思うので、Asic対応何とかするべきだと思うので書き込んじゃいました
気を悪くされたなら御免なさい
北の電力会社のデータセンターや、公共施設のネットワーク機器にFortiGateあるもので
触るんですが、何処もHTTPSスルーで動いてますからね、仕方ないですが
MerakiやJuniperの様に、ナンチャッテHTTPS対応でユーザーを胡麻化そうと
しないFortiGateの方が良いと思うので、Asic対応何とかするべきだと思うので書き込んじゃいました
気を悪くされたなら御免なさい
北の電力会社のデータセンターや、公共施設のネットワーク機器にFortiGateあるもので
触るんですが、何処もHTTPSスルーで動いてますからね、仕方ないですが
2020/08/10(月) 16:21:10.60ID:???
>>102
凄く難しい
SSL解いた上で、何の機能をONにするのか明確に定めた上で、検証データ持ってるベンダに相談するしかない
俺が知ってる限りだと自社でしっかり検証してるのってSB C&Sとか
200人規模っていうところで、回線の帯域が1Gbps上限、上り下りあわせて2Gbpsしっかり出しとけばクレームにはならんだろう、って感じでサイジングすると、どうしても300E以上の機種になる
そんなには金出せないよって言うならNATと最低限のフィルタリングをするルータなりFWと組み合わせるとか
Office365とか主要クラウドトラフィックはブレイクアウトさせるとか工夫も必要になってくる
凄く難しい
SSL解いた上で、何の機能をONにするのか明確に定めた上で、検証データ持ってるベンダに相談するしかない
俺が知ってる限りだと自社でしっかり検証してるのってSB C&Sとか
200人規模っていうところで、回線の帯域が1Gbps上限、上り下りあわせて2Gbpsしっかり出しとけばクレームにはならんだろう、って感じでサイジングすると、どうしても300E以上の機種になる
そんなには金出せないよって言うならNATと最低限のフィルタリングをするルータなりFWと組み合わせるとか
Office365とか主要クラウドトラフィックはブレイクアウトさせるとか工夫も必要になってくる
107anonymous@fusianasan
2020/08/10(月) 20:39:46.93ID:BCwkkfUH HTTPS対応で使うなら、フルUTM機能使いたいよね。
2020/08/10(月) 21:23:17.00ID:???
>>104
それはFireWallとVPNですよね?
AV、IPS、UTMはT70が圧勝ですよ
AV,IPS、UTMで比べるとT70は200Eと良い勝負ですよ
FireWallとVPNの速度ほしいならYamahaで良いです
それはFireWallとVPNですよね?
AV、IPS、UTMはT70が圧勝ですよ
AV,IPS、UTMで比べるとT70は200Eと良い勝負ですよ
FireWallとVPNの速度ほしいならYamahaで良いです
2020/08/10(月) 21:45:30.11ID:???
>>108
そんなわけないじゃん
100F舐めすぎ
100回読み直して土下座してくれる?
ttps://www.fortinet.com/content/dam/fortinet/assets/data-sheets/ja_jp/FGT100F_DS.pdf
そんなわけないじゃん
100F舐めすぎ
100回読み直して土下座してくれる?
ttps://www.fortinet.com/content/dam/fortinet/assets/data-sheets/ja_jp/FGT100F_DS.pdf
2020/08/10(月) 21:48:40.60ID:???
2020/08/10(月) 21:59:18.09ID:???
>>109
Forti USからのWatchGuardとの対比資料ですが、Fortiの人間は基本FireWallとVPNで勝負なんで
UTMを購入するユーザーと納品する立場の人間の気持ちがわかっていない
Forti 100E 200E WG T70 M270
VPN 4000 9000 740 1600
FrreWall 7400 20000 4000 4900
AV 250 1200 1200 2100
UTM 2500 1200 1100 1600
IPS 500 2200 1500 2300
UTM導入する場合は、フルで機能ONにしたいんですよ
Asicの守備範囲以外は、良い数字が出なくて仕方ないので、何回も書いてますがHTTPSはAsicで対応してほしい
土下座とかうっとおしいから書き込まないです
FortiはフルでUTM掛けれないことで有名なんだから仕方ないでしょう?
Asicで速度出そうとしているFortiとIntelAtomで動作させているWatchGuardの設計思想でしょ?
受け入れないと仕方ない
仮想UTMはAsic使用できないからFortiは性能悲惨でしょう?
Forti USからのWatchGuardとの対比資料ですが、Fortiの人間は基本FireWallとVPNで勝負なんで
UTMを購入するユーザーと納品する立場の人間の気持ちがわかっていない
Forti 100E 200E WG T70 M270
VPN 4000 9000 740 1600
FrreWall 7400 20000 4000 4900
AV 250 1200 1200 2100
UTM 2500 1200 1100 1600
IPS 500 2200 1500 2300
UTM導入する場合は、フルで機能ONにしたいんですよ
Asicの守備範囲以外は、良い数字が出なくて仕方ないので、何回も書いてますがHTTPSはAsicで対応してほしい
土下座とかうっとおしいから書き込まないです
FortiはフルでUTM掛けれないことで有名なんだから仕方ないでしょう?
Asicで速度出そうとしているFortiとIntelAtomで動作させているWatchGuardの設計思想でしょ?
受け入れないと仕方ない
仮想UTMはAsic使用できないからFortiは性能悲惨でしょう?
2020/08/10(月) 22:05:37.38ID:???
>>111
Forti 100E 200E WG T70 M270
VPN 4000 9000 740 1600
FrreWall 7400 20000 4000 4900
AV 250 1200 1200 2100
UTM 250 1200 1100 1600
IPS 500 2200 1500 2300
ゼロ一つ多かったです
Forti 100E 200E WG T70 M270
VPN 4000 9000 740 1600
FrreWall 7400 20000 4000 4900
AV 250 1200 1200 2100
UTM 250 1200 1100 1600
IPS 500 2200 1500 2300
ゼロ一つ多かったです
2020/08/10(月) 22:18:11.64ID:???
2020/08/10(月) 22:24:45.35ID:???
>>113
UTM機能フルでオンにして使えますで大々的に宣伝すれば?
FortiはUTMの細かいオプションもチェック一つつけるだけでAsic対象から外れるから、事前に確認するのにフルでAsic対応なの?
HTTPSオンのお客さん見たことないですが
良く調べて法が良いよ
UTM機能フルでオンにして使えますで大々的に宣伝すれば?
FortiはUTMの細かいオプションもチェック一つつけるだけでAsic対象から外れるから、事前に確認するのにフルでAsic対応なの?
HTTPSオンのお客さん見たことないですが
良く調べて法が良いよ
2020/08/10(月) 22:35:29.62ID:???
116anonymous@fusianasan
2020/08/10(月) 23:08:59.88ID:BCwkkfUH 最近のwatchguardは評判イイよ。
安くてスループット番長だし。
中身は、ちゃんぽん詰め合わせUTMだけどw
安くてスループット番長だし。
中身は、ちゃんぽん詰め合わせUTMだけどw
2020/08/10(月) 23:17:58.09ID:???
>>116
Fortiダメだとは言っていないんですけどね
ブチ切れられてどうにもならないです
結構な頻度でAVエンジン等の入れ替わり激しくてSPAMエンジンのマーキングが変わったり等
ちょっとどうかなとと言う事もあります
UTMのパフォーマンスは確かに良いですよね
Fortiダメだとは言っていないんですけどね
ブチ切れられてどうにもならないです
結構な頻度でAVエンジン等の入れ替わり激しくてSPAMエンジンのマーキングが変わったり等
ちょっとどうかなとと言う事もあります
UTMのパフォーマンスは確かに良いですよね
2020/08/10(月) 23:30:11.97ID:???
はいどうぞ
ttps://blog.paloaltonetworks.com/2019/09/network-gartner-magic-quadrant-leader/
ttps://blog.paloaltonetworks.com/2019/09/network-gartner-magic-quadrant-leader/
2020/08/11(火) 15:46:33.53ID:???
常に俺様目線で聞く耳持たずでマウント取りたがる奴とは議論になんないよね
どんだけすごい技術者なのか知らんけど仕事では絶対に関わり合いたくないタイプ
どんだけすごい技術者なのか知らんけど仕事では絶対に関わり合いたくないタイプ
2020/08/11(火) 20:38:02.04ID:???
言ってること出鱈目だしね
ASIC対応のサービスでオプション一つチェック入れるとそのサービスのASIC動作から
ソフトウエア動作になることは現場でさゎっている人間は周知の事実なのに
何回、担当SEや営業二確認する事か
ASIC対応のサービスでオプション一つチェック入れるとそのサービスのASIC動作から
ソフトウエア動作になることは現場でさゎっている人間は周知の事実なのに
何回、担当SEや営業二確認する事か
2020/08/12(水) 01:17:24.34ID:???
>>120
安い機種しか触ったこと無いとそう感じるかもね
※実際は間違っていて単にCPUで回される処理に律速されてるだけ
CP積んでる機種以上はHTTPSの復号化と再暗号化はASICでやるよ
ttps://docs.fortinet.com/document/fortigate/6.0.0/hardware-acceleration/194109/cp4-capabilities
安い機種しか触ったこと無いとそう感じるかもね
※実際は間違っていて単にCPUで回される処理に律速されてるだけ
CP積んでる機種以上はHTTPSの復号化と再暗号化はASICでやるよ
ttps://docs.fortinet.com/document/fortigate/6.0.0/hardware-acceleration/194109/cp4-capabilities
2020/08/12(水) 07:54:22.02ID:???
横からすいませんが
>>120の人は、アンチウイルスや攻撃検出などのオプションを選択したらASICのアクセレーションから外れる時があると、書き込んでるよ?
私も営業の方からその話は聞いています
結構チェック入れても警告も無くASIC範囲を外れるとそのサービスごとソフト処理になるので注意点と言われた覚えがあります
その都度確認いただけたらと仰っていましたが
ローエンドだとHTTPSの複合化暗号化はASICで出来ないのですね?
参考までですが現行だとどのモデルから対応してますか?
安い機種しかと言われていますが、それもFORTIGATEですからね、そんな見下されても
客先では、その安い機種を一番よく見かけるよ?
横から申し訳ありません
>>120の人は、アンチウイルスや攻撃検出などのオプションを選択したらASICのアクセレーションから外れる時があると、書き込んでるよ?
私も営業の方からその話は聞いています
結構チェック入れても警告も無くASIC範囲を外れるとそのサービスごとソフト処理になるので注意点と言われた覚えがあります
その都度確認いただけたらと仰っていましたが
ローエンドだとHTTPSの複合化暗号化はASICで出来ないのですね?
参考までですが現行だとどのモデルから対応してますか?
安い機種しかと言われていますが、それもFORTIGATEですからね、そんな見下されても
客先では、その安い機種を一番よく見かけるよ?
横から申し訳ありません
2020/08/12(水) 10:00:57.43ID:???
2020/08/12(水) 18:52:50.16ID:???
>>122
全てかどうかは判らないけど40FはSSLインスペクションはASIC処理される
CPが独立搭載されてるのは200番台からだけどローエンドのSOCもCPを内包してるらしい
ttps://www.fortinet.com/jp/products/fortigate/fortiasic#soc4
全てかどうかは判らないけど40FはSSLインスペクションはASIC処理される
CPが独立搭載されてるのは200番台からだけどローエンドのSOCもCPを内包してるらしい
ttps://www.fortinet.com/jp/products/fortigate/fortiasic#soc4
125anonymous@fusianasan
2020/09/05(土) 15:55:51.24ID:xeBmSk3w SSLインスペクション有効時は、メモリ容量はあまり関係ないのでしょうか?
CPUのみ命!って感じかな?
CPUのみ命!って感じかな?
2020/09/08(火) 08:40:12.96ID:???
Androidスマホアプリの通信先など挙動を調べたいのですが、
Frotigateの証明書をインストールして、Deep-inspectionをかけると
アプリがエラー吐いて起動しない&正常に動作しないですね。
正規の証明書じゃないとだめなのでしょうか。
同じような悩みの方いらっしゃいますか?何か良い方法があれば教えていただきたいです。
Frotigateの証明書をインストールして、Deep-inspectionをかけると
アプリがエラー吐いて起動しない&正常に動作しないですね。
正規の証明書じゃないとだめなのでしょうか。
同じような悩みの方いらっしゃいますか?何か良い方法があれば教えていただきたいです。
127anonymous
2020/09/09(水) 23:48:59.15ID:??? セキュリティ面で証明書が公式のと一致するかチェックしてるアプリはそこそこある(Certificate Pinning)
また証明書の作り方次第でうまく行かない場合もある
また証明書の作り方次第でうまく行かない場合もある
2020/09/15(火) 09:05:57.32ID:???
40fのスペック見ると
50eどころか60eよりも上なんだけど
40fの方がお得なの?
50eどころか60eよりも上なんだけど
40fの方がお得なの?
2020/09/15(火) 12:20:19.22ID:???
fortigate のカタログスペックは当てになんなくね?
このスレでも60DはPPPoEとかIPv6とかあったし。
まぁ当てにならんから聞いてるんだろうけど。
このスレでも60DはPPPoEとかIPv6とかあったし。
まぁ当てにならんから聞いてるんだろうけど。
2020/09/15(火) 18:53:36.50ID:???
こんなバカッ速にはならないでしょう...,残念ですが
こんなこと書いてると、またヤヤコシイノに絡まれてた人見てるので、あれだけど
これまでもカタログスペックが全く出ないからね
こんなこと書いてると、またヤヤコシイノに絡まれてた人見てるので、あれだけど
これまでもカタログスペックが全く出ないからね
131128
2020/09/15(火) 19:36:23.84ID:??? そうか、出た時期やスペックより
値段や型番を当てにしたほうがいいのかな。
レスありがトン
値段や型番を当てにしたほうがいいのかな。
レスありがトン
132anonymous@fusianasan
2020/09/17(木) 20:56:41.34ID:mEP2zI91 IOSにforticlientと証明書いれてSSL-VPNしたい。
MAC無しでできますか?
APPにはでてこない。
MAC無しでできますか?
APPにはでてこない。
133132
2020/09/19(土) 00:46:00.84ID:j2u6tNov 事故解決
すくなくとも今は、Macがないとできないとわかった。
1000台位に入れてSSL-VPNしたかったけど無理だな。
すくなくとも今は、Macがないとできないとわかった。
1000台位に入れてSSL-VPNしたかったけど無理だな。
2020/09/19(土) 02:22:12.05ID:???
2020/09/23(水) 22:21:41.66ID:???
どこまで調べたのか知らないけど、
Apple iOSのFortiClientは、iTunesからFortiClientアプリに入れたクライアント証明書しか認識しないよ
形式もPKCS#12とかだったかな
拡張子もチェックしてたかもしれない
なので、メール添付とかから開いて認識させるのはできない
前に試した時はMDMからも展開できなさそうだった
なので、力作業頑張ってくれ
Apple iOSのFortiClientは、iTunesからFortiClientアプリに入れたクライアント証明書しか認識しないよ
形式もPKCS#12とかだったかな
拡張子もチェックしてたかもしれない
なので、メール添付とかから開いて認識させるのはできない
前に試した時はMDMからも展開できなさそうだった
なので、力作業頑張ってくれ
2020/09/23(水) 23:13:23.67ID:???
iOS使うような情弱には無理やろ
137132
2020/09/24(木) 05:36:52.80ID:9QElQwuJ2020/09/27(日) 09:21:54.09ID:???
Fortigateでipv6 over ipv4設定する場合、
DS Liteは対応可能だが、map-eは対応不可との認識で良いのかな?
DS Liteは対応可能だが、map-eは対応不可との認識で良いのかな?
2020/09/27(日) 09:22:23.23ID:???
ipv4 over ipv6の間違い
2020/09/28(月) 07:21:18.09ID:???
Windowsの証明書サービスでクライアント証明書発行してipadに入れてIPsec接続したが繋がらん(;´д`)
共有鍵ではつながる。
Fortigateには、鯖証明書とCAをいれたんだが。
共有鍵ではつながる。
Fortigateには、鯖証明書とCAをいれたんだが。
2020/09/29(火) 09:51:27.56ID:???
フレッツのひかり電話対応HGWの下にFortigateのwan1、wan2の両方接続してwan1はipv4のPPPoE、wan2はipoeのipv6プレフィックスを移譲してもらって、internalは固定のipv4と移譲してもらった64bitのipv6プレフィックスを割り当ててるつもりだが
internalの端末には
ipv6のアドレスがinternalのアドレスとwan側のアドレス両方割り当てられている。
ipv6わからん。
wan1とwan2を分けてるのは特に意味はなくはなんとなく。
internalの端末には
ipv6のアドレスがinternalのアドレスとwan側のアドレス両方割り当てられている。
ipv6わからん。
wan1とwan2を分けてるのは特に意味はなくはなんとなく。
142anonymous@fusianasan
2020/10/03(土) 16:15:39.58ID:WsoUEeGf >>140
windowsの証明書ストア間違ってない
windowsの証明書ストア間違ってない
2020/10/05(月) 13:59:43.05ID:???
FortiOS6.0ですが、fortigateのDNS server機能で
「システム設定DNSへ転送」を選択すると
特定ドメインだけ別DNSサーバーに転送するいわゆる条件付きフォワーダー機能が働かなくなる。
「システム設定DNSへ転送」ではなく、「再帰的」にすると条件付きフォワーダー機能は働く。
仕様?
自分で名前解決せずに基本はフォワードしつつ
特定ドメインは別DNSにフォワードしたいんですが。
「システム設定DNSへ転送」を選択すると
特定ドメインだけ別DNSサーバーに転送するいわゆる条件付きフォワーダー機能が働かなくなる。
「システム設定DNSへ転送」ではなく、「再帰的」にすると条件付きフォワーダー機能は働く。
仕様?
自分で名前解決せずに基本はフォワードしつつ
特定ドメインは別DNSにフォワードしたいんですが。
2020/10/10(土) 23:35:35.09ID:???
145anonymous@fusianasan
2020/10/15(木) 08:59:32.73ID:/gwNDsZa SSLインスペクション有効で使い物にならないって
具体的にどうなるのでしょうか?
ネット速度が1Mbpsくらいに落ちるとか?
具体的にどうなるのでしょうか?
ネット速度が1Mbpsくらいに落ちるとか?
2020/10/16(金) 11:39:09.18ID:???
>>138
公式資料に載っているのはMAP-Eだけ
https://docs.fortinet.com/document/fortigate/6.4.2/administration-guide/322815/map-e-support
しかもIPv4が固定じゃないと無理
というメーカーからの回答
公式資料に載っているのはMAP-Eだけ
https://docs.fortinet.com/document/fortigate/6.4.2/administration-guide/322815/map-e-support
しかもIPv4が固定じゃないと無理
というメーカーからの回答
2020/10/17(土) 15:23:19.44ID:???
>>144
ダメでしょw
ダメでしょw
2020/10/17(土) 21:35:31.72ID:???
>>146
バージョン6.4以上か〜。60Eが中古市場に出回るのを待つしかないか。
バージョン6.4以上か〜。60Eが中古市場に出回るのを待つしかないか。
2020/10/18(日) 00:07:34.29ID:???
>>148
60Eだと、やっても大して速度出ないよ
60Eだと、やっても大して速度出ないよ
2020/10/18(日) 12:04:14.09ID:???
>>149
市販のOCNバーチャルコネクト対応ルーターの方がスループット速いん?
市販のOCNバーチャルコネクト対応ルーターの方がスループット速いん?
2020/10/22(木) 23:51:32.66ID:???
>>150
多分ね
多分ね
2020/10/26(月) 19:03:40.10ID:???
一応、オフロードはされる
2020/10/27(火) 23:28:20.76ID:???
60EだとIPv6オフロードされなくない?
2020/10/28(水) 10:19:38.43ID:???
されるはずだけど
2020/10/30(金) 18:48:48.31ID:???
60D (SoC2) から 60E (SoC3)になってNP6lite相当のipv6オフロードされるようになったのね
すまん知らなかったわ
ttps://www.fortinet.com/content/dam/fortinet/assets/data-sheets/FortiGate_FortiWiFi_60E_Series.pdf
ttps://docs.fortinet.com/document/fortigate/6.0.0/hardware-acceleration/575471/network-processors-np7-np6-np6xlite-np6lite-and-np4
すまん知らなかったわ
ttps://www.fortinet.com/content/dam/fortinet/assets/data-sheets/FortiGate_FortiWiFi_60E_Series.pdf
ttps://docs.fortinet.com/document/fortigate/6.0.0/hardware-acceleration/575471/network-processors-np7-np6-np6xlite-np6lite-and-np4
156anonymous@fusianasan
2020/11/24(火) 23:00:17.95ID:A0EAmU4E よい子のみんなは、ちゃんとファームウェアをうpしてるよね
ttps://news.yahoo.co.jp/byline/ohmototakashi/20201124-00209286/
ttps://news.yahoo.co.jp/byline/ohmototakashi/20201124-00209286/
157anon
2020/11/25(水) 07:14:12.97ID:??? 無論、6.2系ですわよ
2020/11/27(金) 21:19:06.97ID:???
ipv6設定に詳しい奴おるか?
159anonymous@fusianasan
2020/12/02(水) 10:42:11.51ID:IFUMgA/k FortiOS 6.6 beta1がFNDNにリリースされたよー
2020/12/02(水) 19:34:07.53ID:???
6.4ですら何それ美味しいの?な代理店jp
2020/12/17(木) 02:19:03.39ID:???
もう6.6とか
ついていけないっす・・・
ついていけないっす・・・
2020/12/17(木) 09:18:38.50ID:???
金なくてFortigate60Dから更新できないワイ、低みの見物。
2020/12/18(金) 21:59:02.14ID:???
アップしたら、数時間後にWAN側からの通信が拒否される不具合が出て、
ロールバックせざるを得なかったでござる。
ロールバックせざるを得なかったでござる。
2020/12/18(金) 22:05:37.37ID:???
はいオマカンオマカン
2021/01/13(水) 03:54:22.49ID:???
2021/01/15(金) 12:07:44.83ID:???
中古で販売されているFortiGate機器について質問です。
代理店・販売店ユーザー登録してなくても、ライセンス残っているFortiGateは、ファームアップデート更新できますか?
代理店・販売店ユーザー登録してなくても、ライセンス残っているFortiGateは、ファームアップデート更新できますか?
2021/01/15(金) 12:22:26.52ID:???
ダッシュボードにアップデートできますって出るやつなら行けるんじゃね
個人で検証用ならともかく業務で使うならちゃんと代理店使った方がいい
個人で検証用ならともかく業務で使うならちゃんと代理店使った方がいい
168166です
2021/01/15(金) 12:56:39.57ID:??? >167
ありがとうございました。
また質問です。
ライセンス切れた全く同じ他の機器へもコピーしたいのですが、可能ですか?
Web管理画面より、USBメモリ等へファームファイルコピーしたりできますか?
ファーム以外のウイルスとかファイヤーウォールとかは使用しないので必要ありません。
ありがとうございました。
また質問です。
ライセンス切れた全く同じ他の機器へもコピーしたいのですが、可能ですか?
Web管理画面より、USBメモリ等へファームファイルコピーしたりできますか?
ファーム以外のウイルスとかファイヤーウォールとかは使用しないので必要ありません。
2021/01/15(金) 14:51:17.46ID:???
犯罪行為に加担したくないので無回答推奨
2021/01/15(金) 19:19:53.03ID:???
ライセンスってなんや?サポート契約か?
2021/01/15(金) 19:25:01.67ID:???
>>166
通常、代理店にユーザ登録しないとファームウェアは手に入らないはず。
中古でもライセンス有効期限内ならユーザ登録できるけど、有効期限切れたやつは扱ったことがないから知らない(ファームウェアが手元にあっても更新できないかもしれない。
通常、代理店にユーザ登録しないとファームウェアは手に入らないはず。
中古でもライセンス有効期限内ならユーザ登録できるけど、有効期限切れたやつは扱ったことがないから知らない(ファームウェアが手元にあっても更新できないかもしれない。
2021/01/15(金) 19:27:30.26ID:???
>>168
fortigateにファームウェアを書き出す機能はない(少なくとも知る限りでは、だけど
fortigateにファームウェアを書き出す機能はない(少なくとも知る限りでは、だけど
2021/01/15(金) 20:39:49.79ID:???
まぁファームなんぞ適当に拾って来て好きに入れたったらええねん。
174anonymous@fusianasan
2021/01/15(金) 21:50:01.15ID:s7eE2ADk 保守が残っていればオンラインアップデートは可能。
ファームウェアの書き出しはできない。
ライセンスのコピーは不可能。
というか、シリアル番号をオンラインでFortigate側のサーバに送信して、都度ライセンス情報を取得する方式だから、ライセンスというものがそもそも本体には保存されていない。
ファームウェアの書き出しはできない。
ライセンスのコピーは不可能。
というか、シリアル番号をオンラインでFortigate側のサーバに送信して、都度ライセンス情報を取得する方式だから、ライセンスというものがそもそも本体には保存されていない。
175anonymous@fusianasan
2021/01/15(金) 21:52:14.98ID:s7eE2ADk もちろん、ファームウェアイメージファイルが手元にあれば、ライセンスがなくても更新可能だが、協定的にOKであるかは分からない。
176166です
2021/01/15(金) 22:32:27.55ID:???177anonymous
2021/01/15(金) 22:39:36.78ID:??? ファームウェアを適当に引っ張って来ることに対する罪の意識が全くないのが驚き
やるなら他人に聞かないでこっそり自己責任でやれよ…
やるなら他人に聞かないでこっそり自己責任でやれよ…
2021/01/16(土) 08:50:15.37ID:???
ググれば出てくるみたいだが>>166が何をしたいのかがわからん
そもそもまだ実機持ってない様子か
零細企業で使うんなら、自称でもいいからライセンス更新しますって業者で買ってちゃんとしたほうがいいぞ
ここはサポートセンタではない
そもそもまだ実機持ってない様子か
零細企業で使うんなら、自称でもいいからライセンス更新しますって業者で買ってちゃんとしたほうがいいぞ
ここはサポートセンタではない
2021/01/17(日) 21:55:04.30ID:???
おいらは何がしたいか十分わかるよ
自分で金出して勉強する人は必死なんだよ
それくらい理解してやれよな
自分で金出して勉強する人は必死なんだよ
それくらい理解してやれよな
2021/01/18(月) 02:22:39.59ID:???
いや、金出そうとしてないって話なんだが
2021/01/20(水) 14:55:19.92ID:???
Upgrade Path Tool 使えます?
製品選択は出来るが、OSの選択が出来ない…。
製品選択は出来るが、OSの選択が出来ない…。
2021/01/20(水) 15:19:20.68ID:???
183anonymous@fusianasan
2021/01/20(水) 19:08:42.57ID:EMRVqkKb >>181
Firefoxで30秒ぐらい待てば表示される
Firefoxで30秒ぐらい待てば表示される
2021/01/20(水) 21:17:58.20ID:???
2021/01/21(木) 18:23:38.61ID:???
JPNE 「v6 プラス」固定 IP サービス利用時の. FortiGate 設定ガイド – Ver1.00
この設定ガイド作った人ちゃんと検証してるんかな?
CLIコマンドスペルミスもあるし、だいたいONUとHGWを同一で語ってるし、ひかり電話あり/なしで変わってくるとおもんだけど・・・
全然接続できないわ。
この設定ガイド作った人ちゃんと検証してるんかな?
CLIコマンドスペルミスもあるし、だいたいONUとHGWを同一で語ってるし、ひかり電話あり/なしで変わってくるとおもんだけど・・・
全然接続できないわ。
2021/01/21(木) 18:31:55.08ID:???
ひかり電話有り/なしでも基本はRAでプレフィックスもらうかと
DHCP-PDクライアントになるのは通常HGWだし、その配下のノードはHGWからRAでprefix払い出してもらうし
DHCP-PDクライアントになるのは通常HGWだし、その配下のノードはHGWからRAでprefix払い出してもらうし
2021/01/21(木) 19:10:38.04ID:???
直接DHCPv6-PDをCPEで受けたいって話じゃなければ、HGWの有無に関係なくCPEはRAでprefixもらうね
なのでCPEのIPv6設定は基本変わらない
https://www.atmarkit.co.jp/ait/articles/1904/22/news019.html
なのでCPEのIPv6設定は基本変わらない
https://www.atmarkit.co.jp/ait/articles/1904/22/news019.html
188185です
2021/01/21(木) 19:30:33.02ID:??? ひかり電話あり契約だけど、HGW使いたくないのでONU直下にFortigate接続しても、同じ設定でいいの?
2021/01/21(木) 19:38:48.67ID:???
2021/01/21(木) 19:43:35.80ID:???
ひかり電話ありで契約してたらNGN側はDHCPv6-PD設定になってる
その状態でHGW外してCPEをONUに直結したいならDHCPv6-PDクライアント設定にする必要があるけどRAのパターンしか対応してないかと
あと、IPoEは固定IPサービスのみ対応
その状態でHGW外してCPEをONUに直結したいならDHCPv6-PDクライアント設定にする必要があるけどRAのパターンしか対応してないかと
あと、IPoEは固定IPサービスのみ対応
191185です
2021/01/21(木) 20:04:57.24ID:??? YAMAHA RTXの場合は、RAとDHCPv6-PDの場合は設定が違うんだけど・・・
もう少しFortigate-60Fいじくって勉強してみます。
ありがとうございました。
もう少しFortigate-60Fいじくって勉強してみます。
ありがとうございました。
2021/01/21(木) 22:23:45.34ID:???
ipv6難し過ぎるわ〜
prefixをdelegationとか〜何言うてまんねん?wwwwwwww
って感じ🥺
prefixをdelegationとか〜何言うてまんねん?wwwwwwww
って感じ🥺
2021/01/24(日) 17:35:26.32ID:???
194anonymous@fusianasan
2021/01/24(日) 23:49:49.20ID:SsLZePyC IPv6決めたときにDNS配るのは俺の仕事じゃねえ!とか意地張った奴らのせいなんだよな
いっそ飛ばしてインターネットに特化したIPv7とか作って欲しいレベル
いっそ飛ばしてインターネットに特化したIPv7とか作って欲しいレベル
2021/01/25(月) 00:12:34.80ID:???
基本はRAでもらうIPv6プレフィックスもらう前提だよ > FortiGate
だから、ひかり電話契約の場合はHGW/ひかり電話対応ルータなりの下につないでRAでIPv6プレフィックスもらう
ひかり電話契約なしの場合はONUに直結してRAでIPv6プレフィックスもらう
ひかり電話契約してて、ひかり電話対応のHGWというかルータ外して(ひかり電話つぶして)
ONUに別のルータ直結って需要はあんまりないんじゃないかね
だから、ひかり電話契約の場合はHGW/ひかり電話対応ルータなりの下につないでRAでIPv6プレフィックスもらう
ひかり電話契約なしの場合はONUに直結してRAでIPv6プレフィックスもらう
ひかり電話契約してて、ひかり電話対応のHGWというかルータ外して(ひかり電話つぶして)
ONUに別のルータ直結って需要はあんまりないんじゃないかね
2021/01/25(月) 00:14:13.42ID:???
なんか変な文章になってた
「基本はRAでPv6プレフィックスもらう前提だよ > FortiGate」でした
「基本はRAでPv6プレフィックスもらう前提だよ > FortiGate」でした
197anonymous
2021/01/25(月) 02:23:08.20ID:??? ひかり電話契約してONUと直結したいって人はDHCP-PDで複数セグメント分のv6アドレスが欲しいんじゃないかな
IPv4ならVLANで複数セグメントに分けてるけどv6は単一セグメントって気分的に微妙じゃない?
IPv4ならVLANで複数セグメントに分けてるけどv6は単一セグメントって気分的に微妙じゃない?
2021/01/25(月) 02:28:42.53ID:???
ひかり電話ありの契約
ONU--<DHCPv6-PD(/56のprefix払い出し)>--HGW---<RAで/64のprefix払い出し>---CPE or PC
ひかり電話なしの契約
ONU--<RAで/64のprefix払い出し>---CPE or PC
くらいを知ってればいいと思う
>>197
そこまでわかって設計する人は多分ここで「繋がらない」とは言ってない気がする
ONU--<DHCPv6-PD(/56のprefix払い出し)>--HGW---<RAで/64のprefix払い出し>---CPE or PC
ひかり電話なしの契約
ONU--<RAで/64のprefix払い出し>---CPE or PC
くらいを知ってればいいと思う
>>197
そこまでわかって設計する人は多分ここで「繋がらない」とは言ってない気がする
199anonymous@fusianasan
2021/01/25(月) 09:19:20.50ID:voBwg2t/ すみません、過去の流れを読んでみたのですが、結論が出なかったのでご質問です。
FortiGateでv6プラス(IPoE v4 over v6)に対応できるのはFOS v6.4からなんでしょうか。
また、下記手順書にあるような固定IPプランでないと駄目という事でしょうか。
https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-ocn-ipoe-fixip.pdf
FortiGateでv6プラス(IPoE v4 over v6)に対応できるのはFOS v6.4からなんでしょうか。
また、下記手順書にあるような固定IPプランでないと駄目という事でしょうか。
https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-ocn-ipoe-fixip.pdf
2021/01/25(月) 09:39:39.57ID:???
>>199
その通りです
その通りです
2021/01/25(月) 13:20:32.92ID:???
流れで教えて。
NURO光(F660A/F600)でIPv6ってどうやれば…
NURO光(F660A/F600)でIPv6ってどうやれば…
202anonymous@fusianasan
2021/01/25(月) 18:42:45.58ID:voBwg2t/ >>200
ありがとうございます!スッキリしました。
ありがとうございます!スッキリしました。
2021/01/25(月) 19:36:19.76ID:???
FortigateでIPoEって皆企業ユースなの?
わざわざFortigateをフレッツのCPEにするユースケースがピンと来ない
わざわざFortigateをフレッツのCPEにするユースケースがピンと来ない
2021/01/25(月) 20:36:49.64ID:???
このスレは自宅用途のほうが多いんじゃないの?
2021/01/25(月) 20:59:11.73ID:???
家庭で使うレベルのFortiGateはPPPoEもよわよわだしIPv4overIPv6をやらせるとかスループット悪そう
これはもうルーターの下に透過モードで置いて使うものだと思って割り切ってる
これはもうルーターの下に透過モードで置いて使うものだと思って割り切ってる
206anonymous@fusianasan
2021/01/25(月) 21:45:58.66ID:JuThGp4z >>205
機種にもよるんでは?
テスト用にFortigate-60Eライセンス付きヤフオク中古買って最新のファームにできた。
がしかし、
https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-jpne-v6plus.pdf
説明通りやってみたがipv6さえも接続できない。もちろんipv4トンネルもできんわな。
機種にもよるんでは?
テスト用にFortigate-60Eライセンス付きヤフオク中古買って最新のファームにできた。
がしかし、
https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-jpne-v6plus.pdf
説明通りやってみたがipv6さえも接続できない。もちろんipv4トンネルもできんわな。
2021/01/25(月) 21:50:33.80ID:???
ipv6接続すら出来んのは流石に勉強が足りんやろ?
2021/01/25(月) 21:50:44.12ID:???
IPoEで繋がらないって人は固定IPサービスを契約した上で言ってるのかな
安いプラン(共有型)は繋がらないよ
安いプラン(共有型)は繋がらないよ
209206
2021/01/25(月) 22:20:14.33ID:JuThGp4z >>208
もちろん固定IP8個のサービスです。
もちろん固定IP8個のサービスです。
210206
2021/01/25(月) 22:21:35.76ID:JuThGp4z 勉強の問題ではないよ
pdfの解説がダメダメ
ドキュメントはやっぱりYAMAHAだよなあ
pdfの解説がダメダメ
ドキュメントはやっぱりYAMAHAだよなあ
2021/01/25(月) 22:23:23.10ID:???
IPv6の接続設定ができない時点で(ゲホゲホ)
2021/01/26(火) 01:46:47.98ID:???
v6のアドレスと言うかプレフィックス取得のための設定はCLIで2,3行程度なんだが
それがうまくいかないのは正直オマ環としか思えない
それがうまくいかないのは正直オマ環としか思えない
2021/01/26(火) 04:23:41.88ID:???
繋がんねーバージョンのファーム無かったっけ?
最新のは繋がったはずだが設定次第か
最新のは繋がったはずだが設定次第か
2021/01/26(火) 10:50:31.86ID:???
IPoE前提ならほぼ最新のものを使うしかないからIPv6のprefixが取得できないって問題は無いかと
215206です
2021/01/27(水) 20:02:33.13ID:??? ネットワークの知識と言うか、ハードの設定知識&コツが必要なんだよね。
YAMAHA CLIも苦労したが、今はもう慣れた。
アライドのコマンドは分かりやすい、unixライクでコメントもconfigに残せるし。
マニュアルなしでも感覚的にわかりやすかった最高の機器がSonicwallだった。最近は見る影もないけど。
で、Fortigateは売れている割には、Web設定ムズイね、一つ一つの機能が感覚的に全然わからん、マニュアル見ないと。今勉強中。
速度も値段の割にはショボいし。
何でこんなんが人気あるのか、さっぱりだ。
YAMAHA CLIも苦労したが、今はもう慣れた。
アライドのコマンドは分かりやすい、unixライクでコメントもconfigに残せるし。
マニュアルなしでも感覚的にわかりやすかった最高の機器がSonicwallだった。最近は見る影もないけど。
で、Fortigateは売れている割には、Web設定ムズイね、一つ一つの機能が感覚的に全然わからん、マニュアル見ないと。今勉強中。
速度も値段の割にはショボいし。
何でこんなんが人気あるのか、さっぱりだ。
2021/01/27(水) 23:03:30.38ID:???
どうしてって安いから人気あるんだよ
2021/01/28(木) 01:46:15.48ID:???
コスパはええよなコスパは
2021/01/28(木) 03:01:53.19ID:???
安さ以外ないわな
まともなUTMを使いたいんだったらPalo勧める
まともなUTMを使いたいんだったらPalo勧める
2021/01/28(木) 10:45:54.21ID:???
Fortigateをマニュアル見ないとわからんって…
220anonymous
2021/01/29(金) 14:21:55.70ID:??? ヤマハがUTM出すっていうから対抗して値下げしてくれないかなー
安価なUTMでそこそこ使えるってので売れてるけどヤマハのUTMの完成度高かったらローエンドモデルはわりかしやばいやろ
安価なUTMでそこそこ使えるってので売れてるけどヤマハのUTMの完成度高かったらローエンドモデルはわりかしやばいやろ
2021/01/29(金) 21:28:09.66ID:???
ヤマハのやつはCheckPointと協業らしいから、値段も機能も期待できないんじゃない?
222215 206です
2021/01/29(金) 22:05:47.27ID:??? >>217
なんでや?
YAMAHAの方がコストパフォーマンス最強
10年以上前のRTXでも無料でファーム更新できるし、サポートメール&電話も無料だ。
本体価格より高いライセンス料のFortigateが詐欺に見えてくる。
なんでや?
YAMAHAの方がコストパフォーマンス最強
10年以上前のRTXでも無料でファーム更新できるし、サポートメール&電話も無料だ。
本体価格より高いライセンス料のFortigateが詐欺に見えてくる。
2021/01/30(土) 05:50:46.62ID:???
UTM度外視でコスパを語られてもな
224anonymous@fusianasan
2021/01/30(土) 10:20:26.42ID:DmcvviCn FortiはPAよりずっと安上がりなんやで!!
2021/01/30(土) 14:47:12.29ID:???
PAはヤマハで親しんだ人には無理じゃね
ヤマハとフォーティが協業した方が中小のパソコンの先生情シス担当には向いてる気がするのに
ヤマハとフォーティが協業した方が中小のパソコンの先生情シス担当には向いてる気がするのに
2021/01/30(土) 19:40:48.76ID:???
先日、Fortigate-60F新品を初めて購入し初めていじくりました。シスコとYAMAHA RTXからの乗り換えです。
CLIコマンドでWANインターフェースにIPv6アドレスを設定したのですが、Web-GUI画面ではipv4しか表示されないのですが、故障ですか?
同様にIPv6ポリシーの作成もWeb-GUIで確認できません。
再起動してCLIのshowコマンドではちゃんと設定されています。
Fortigateってこんなにしょぼいのですか?
それともなんか他に見るところ間違っているのでしょうか?
CLIコマンドでWANインターフェースにIPv6アドレスを設定したのですが、Web-GUI画面ではipv4しか表示されないのですが、故障ですか?
同様にIPv6ポリシーの作成もWeb-GUIで確認できません。
再起動してCLIのshowコマンドではちゃんと設定されています。
Fortigateってこんなにしょぼいのですか?
それともなんか他に見るところ間違っているのでしょうか?
2021/01/30(土) 20:16:16.26ID:???
System > Feature Visibility>IPv6
2021/01/30(土) 20:39:20.27ID:???
ショボいのはお前の脳みそ
229anonymous@fusianasan
2021/01/31(日) 14:26:44.13ID:0mONG/cZ FOS古いんじゃね?
2021/01/31(日) 14:36:29.76ID:???
Fortigateがしょぼいのは否定は出来んが、
中小零細家庭向けには最高や!
中小零細家庭向けには最高や!
2021/01/31(日) 14:47:18.07ID:???
あのUIでしょぼいっていったらPaloaltoみたらcomitで発狂しちゃうんじゃね
FWX120/SRT100のフィルタ設定の方がしょぼいというか意味わかんなくなってくる
FWX120/SRT100のフィルタ設定の方がしょぼいというか意味わかんなくなってくる
2021/01/31(日) 21:09:37.13ID:???
fortigateもparoもSRXもSSGもケチをつけようと思ったらいくらでも出てくる
2021/02/02(火) 00:19:06.75ID:???
どのメーカの装置でも「しょぼい」って発言する人は目の前の機器を正しく設定できないから感情的になって言ってるようにみえる
「使い方がわからない/設定が難しい」→「装置がしょぼいせいだ(自分は悪くない)」みたいな
マニュアル読んだ上で「説明書いてないじゃん」って言う人は居ないし
「使い方がわからない/設定が難しい」→「装置がしょぼいせいだ(自分は悪くない)」みたいな
マニュアル読んだ上で「説明書いてないじゃん」って言う人は居ないし
234anonymous@fusianasan
2021/02/02(火) 02:32:37.30ID:WwfUKq3F 正直Fortigateに対抗が無い
性能も価格も機能も勝てるやつおらんやんけ
性能も価格も機能も勝てるやつおらんやんけ
235anonymous@fusianasan
2021/02/03(水) 13:38:16.40ID:9nNizuaK >マニュアル読んだ上で
最近のトレンドは、マニュアル読まなくても直感的にわかるようにするべきで、Fortigateはその点が抜けている。
ダメダメUTMの部類。
SonicWallやSophos系は最高です。
最近のトレンドは、マニュアル読まなくても直感的にわかるようにするべきで、Fortigateはその点が抜けている。
ダメダメUTMの部類。
SonicWallやSophos系は最高です。
2021/02/03(水) 13:43:53.97ID:???
まぁ細かな設定はCLI必要だったりするが、
ちなFortigateのCLIは好きになってきた。
Fortigate慣れてからCisco触ると、なんだこの糞CLIは?
昭和か?!と思ってしまう。
ちなFortigateのCLIは好きになってきた。
Fortigate慣れてからCisco触ると、なんだこの糞CLIは?
昭和か?!と思ってしまう。
2021/02/03(水) 14:20:25.17ID:???
CiscoでIOS、IOS-XE、XR、ASA、FPとかいろいろ触ってきた人だとGUIもCLIもシンプルに感じると思うけど
家庭用ブロードバンドルータくらいしか触ってない人がFortiGateをいきなり触ると難しいかもしれないね
どの製品だろうが触る人のスキルレベル次第で感想がコロコロ変わるってことなんだよね
家庭用ブロードバンドルータくらいしか触ってない人がFortiGateをいきなり触ると難しいかもしれないね
どの製品だろうが触る人のスキルレベル次第で感想がコロコロ変わるってことなんだよね
2021/02/03(水) 14:40:33.99ID:???
普段Forti,Paloいじってる身としては、確かにASAとかFPはわけわかめだったな。
Sophosは7年くらい前にUTMアーキテクトとか言うの取らされたけどこれもUI文化が違いすぎて苦労した覚えがある。
Sophosは7年くらい前にUTMアーキテクトとか言うの取らされたけどこれもUI文化が違いすぎて苦労した覚えがある。
2021/02/03(水) 16:09:57.13ID:???
>>235
その直感もその人のスキルと慣れによるんだよね
その直感もその人のスキルと慣れによるんだよね
2021/02/03(水) 16:21:21.12ID:???
iPhoneだってAndroidしか触ったことない人からしたらクソUIだよ
2021/02/03(水) 22:30:28.16ID:???
ひかり電話有りのipoe環境で
internalにprefix delegationしてInternal側の端末はipv6通信出来るようになってるんだけど、
fortigateのwan側にipv6グローバルIPを付与したいけどわからない。
fortigateからインターネットのipv6にping打つと送信元ipはinternalインターフェイスのipv6グローバルIPになってる。
internalにprefix delegationしてInternal側の端末はipv6通信出来るようになってるんだけど、
fortigateのwan側にipv6グローバルIPを付与したいけどわからない。
fortigateからインターネットのipv6にping打つと送信元ipはinternalインターフェイスのipv6グローバルIPになってる。
2021/02/03(水) 23:01:13.32ID:???
>>235
嫌ならFortigateをやめたらいい
嫌ならFortigateをやめたらいい
2021/02/03(水) 23:37:31.48ID:???
commitしないで反映されるのは嫌って人はいたな
2021/02/04(木) 00:08:37.32ID:???
っWorkspace Mode
245241
2021/02/04(木) 08:39:38.65ID:??? fortigateの状態確認したら/60プレフィックスまるごと委任されてんのね。
これはwan側に付与するグローバルアドレスが余ってないって事か?
これはwan側に付与するグローバルアドレスが余ってないって事か?
2021/02/04(木) 12:03:00.08ID:???
そもそもPDの動作を知らない?
247241
2021/02/04(木) 12:20:02.38ID:??? 全然詳しく知らん
PD委任元のHGWでPrefix Exclude設定とかして
プレフィックス全部委任しないように出来るんか?
みんなはFortigateとHGWの間のセグメントにグローバルIPv6を付与したい時はどうしてるんだ?
PD委任元のHGWでPrefix Exclude設定とかして
プレフィックス全部委任しないように出来るんか?
みんなはFortigateとHGWの間のセグメントにグローバルIPv6を付与したい時はどうしてるんだ?
2021/02/04(木) 12:32:32.08ID:???
一般的にはHGWがRA(/64)でLAN側にPrefix払い出すかと
だから、FortiGateはRAでIPv6アドレスを自動設定するようにすればいい
config system interface
edit wan1
config ipv6
set dhcp6-information-request enable
set autoconf enable
end
Prefixもらうだけならautoconfだけでいいかもだけど
だから、FortiGateはRAでIPv6アドレスを自動設定するようにすればいい
config system interface
edit wan1
config ipv6
set dhcp6-information-request enable
set autoconf enable
end
Prefixもらうだけならautoconfだけでいいかもだけど
249241
2021/02/04(木) 12:50:30.49ID:??? それはひかり電話有りでもですか?
自分はwan1のコンフィグは以下にしてます。
config ipv6
set ip6-allowaccess ping
set dhcp6-prefix-delegation enable
set autoconf enable
end
自分はwan1のコンフィグは以下にしてます。
config ipv6
set ip6-allowaccess ping
set dhcp6-prefix-delegation enable
set autoconf enable
end
2021/02/04(木) 13:05:54.58ID:???
2021/02/04(木) 13:40:52.37ID:???
ひかり電話が契約か機器構成か分からんが
家庭向けのひかり電話ルーターならPD要求には/60のPDを返す
PD外側はGLAふらずLLA使う
一般的とか普通とか決めつけずLAN内の構成でRAかPDか選ぶもんだ
家庭向けのひかり電話ルーターならPD要求には/60のPDを返す
PD外側はGLAふらずLLA使う
一般的とか普通とか決めつけずLAN内の構成でRAかPDか選ぶもんだ
252241
2021/02/04(木) 14:36:42.05ID:??? う〜む。自分の理解が怪しいので勉強せねばいかんが、
>>250の方法(PDじゃなくてRA)ってfortigateのwan側にIPv6グローバルが1個割り当てられる。
プリフィクスDelegationじゃないので、lan側には割り当てられない。
>>251の方法は自分がfortigateに設定している方法で/60プリフィクスをHGWからfortigateに委任される方法。
で自分はfortigateのlan側に委任されたプリフィクスのうち/64を1個割り当ててるが、wan側はリンクローカルアドレスになっている。(wan側がリンクローカルアドレスになるのはPDの仕様?)
自分はawsとipv6のVPNを張りたいのでwan側にもグローバルアドレスを割り当てたかったです。
>>250の方法(PDじゃなくてRA)ってfortigateのwan側にIPv6グローバルが1個割り当てられる。
プリフィクスDelegationじゃないので、lan側には割り当てられない。
>>251の方法は自分がfortigateに設定している方法で/60プリフィクスをHGWからfortigateに委任される方法。
で自分はfortigateのlan側に委任されたプリフィクスのうち/64を1個割り当ててるが、wan側はリンクローカルアドレスになっている。(wan側がリンクローカルアドレスになるのはPDの仕様?)
自分はawsとipv6のVPNを張りたいのでwan側にもグローバルアドレスを割り当てたかったです。
2021/02/04(木) 15:04:07.63ID:???
RAでLAN側にIPv6のアドレス割り当てたかったらnd-proxy使えばいいとおもう
https://haruka-note.hateblo.jp/entry/20200511_forti-ipv6
https://haruka-note.hateblo.jp/entry/20200511_forti-ipv6
2021/02/05(金) 08:11:24.99ID:???
2021/02/05(金) 09:07:29.41ID:???
LAN側アドレス指定すれゃいい
指定対向アドレスLAN側、トンネル終端LAN側が基本の形
VPNサーバなら裸で外に置かずルータ/FWの内側に立てて外からつつけるアドレスあれば割り当てる
それがルータに相乗りしてるだけ
ルータでやるから
WAN側アドレス、WAN側トンネル終端を選べる
対向からみたアドレスと、トンネル終端のインタフェースを別に選べる
NAT環境だとWAN側アドレスしか指定できないでWAN側アドレス指定/NAT,FW/LAN側トンネル終端になる
これのNAT,FWめんどくさがりVPNサーバを外に出したのがWAN側アドレス指定トンネル終端
先にv4のしがらみ忘れてv6のアドレッシング学ぶべし
指定対向アドレスLAN側、トンネル終端LAN側が基本の形
VPNサーバなら裸で外に置かずルータ/FWの内側に立てて外からつつけるアドレスあれば割り当てる
それがルータに相乗りしてるだけ
ルータでやるから
WAN側アドレス、WAN側トンネル終端を選べる
対向からみたアドレスと、トンネル終端のインタフェースを別に選べる
NAT環境だとWAN側アドレスしか指定できないでWAN側アドレス指定/NAT,FW/LAN側トンネル終端になる
これのNAT,FWめんどくさがりVPNサーバを外に出したのがWAN側アドレス指定トンネル終端
先にv4のしがらみ忘れてv6のアドレッシング学ぶべし
256241
2021/02/05(金) 12:34:23.60ID:??? 確かにipv6でVPN張るのが目的なのでLAN側グローバルIP使ってVPN張れば完了かもしれないですけど
wan → lanのFirewallポリシーでIKEとESP許可するのが(気分的になんとなく)嫌というのと、
このURL( https://www.seil.jp/blog/10.html )の内容が正しければHGWからPrefix Delegationを委任された構成でも、委任されたPrefix とは別のPrefix をwan側インターフェイスに割り当てる事が出来るはず。
出来るのであれば妥協せずにやりたいと言う気持ちの方が大きい。(ここからはVPN張るのが目的じゃなくなって来てますが。)
このスレでipv6 prefix delegationされててwan側にも普通にグローバルIP割り当て出来てるよ。って人いないですか?
wan → lanのFirewallポリシーでIKEとESP許可するのが(気分的になんとなく)嫌というのと、
このURL( https://www.seil.jp/blog/10.html )の内容が正しければHGWからPrefix Delegationを委任された構成でも、委任されたPrefix とは別のPrefix をwan側インターフェイスに割り当てる事が出来るはず。
出来るのであれば妥協せずにやりたいと言う気持ちの方が大きい。(ここからはVPN張るのが目的じゃなくなって来てますが。)
このスレでipv6 prefix delegationされててwan側にも普通にグローバルIP割り当て出来てるよ。って人いないですか?
2021/02/05(金) 23:43:08.69ID:???
2021/02/06(土) 04:41:38.87ID:???
PDはルータの上流側IFに割り当てるためのものではないので(RFC 3633のUpon the receipt of a valid Reply message...のところ)、
そっちはRAなりDHCPv6のIA_NAなりのひかり電話ルータが対応している方法で別途取得するよう設定してください
どうしても1個のPDで済ませたい人のためにPrefix Exclude Optionというのもあるが(RFC6603)、たぶんひかり電話HGWは喋ってくれない
そっちはRAなりDHCPv6のIA_NAなりのひかり電話ルータが対応している方法で別途取得するよう設定してください
どうしても1個のPDで済ませたい人のためにPrefix Exclude Optionというのもあるが(RFC6603)、たぶんひかり電話HGWは喋ってくれない
2021/02/06(土) 04:42:28.19ID:???
IPv6スレで返事しようとして間違えちったスマンコ
2021/02/06(土) 17:30:36.83ID:???
HGWからのRAってMフラグが1か0か知らんけど、
そもそもFortigateって、RAでPrefixを受けてもIPv6アドレス自動生成する?(Mフラグ0の場合)
スタティックで設定しないと出来なくね?
そもそもFortigateって、RAでPrefixを受けてもIPv6アドレス自動生成する?(Mフラグ0の場合)
スタティックで設定しないと出来なくね?
2021/02/06(土) 17:34:02.83ID:???
HGW配下はやったことないけど、ひかり電話なしプランのONU直結で/64でIPv6アドレス自動生成されるよ
設定間違ってるんじゃね?
設定間違ってるんじゃね?
2021/02/07(日) 04:15:55.87ID:???
>>257
お前は俺かw
遠隔地のACL機器入れるときに順番間違ったりするパテーンな。
最近もおいそれと遠隔地のACLをCLIでいじったりするのは神経すりへるよね。
うちもIPv6対応してるからファーム上げるのと併せてやろっかな…
お前は俺かw
遠隔地のACL機器入れるときに順番間違ったりするパテーンな。
最近もおいそれと遠隔地のACLをCLIでいじったりするのは神経すりへるよね。
うちもIPv6対応してるからファーム上げるのと併せてやろっかな…
2021/02/12(金) 22:22:44.52ID:???
OCNのバーチャルコネクトの対応ルーターにFortigate 50Eが入ってないのはなんでなん?
ファーム6.4.2でもあかんのん?
ファーム6.4.2でもあかんのん?
264anonymous@fusianasan
2021/02/13(土) 10:58:37.80ID:hsy/b2H6 OCN光フレッツの IPoE 固定IP1で
fortigate60EでIpsec VPN張りたいんですけど、
インターフェースのアドレスの所はどう入力したらいいでしょうか。。。
アドレッシングモードDHCPでアドレスだけ入力しても接続できなくて。。。
基本的な事ですみません。。。
宜しくお願い致します。
fortigate60EでIpsec VPN張りたいんですけど、
インターフェースのアドレスの所はどう入力したらいいでしょうか。。。
アドレッシングモードDHCPでアドレスだけ入力しても接続できなくて。。。
基本的な事ですみません。。。
宜しくお願い致します。
2021/02/13(土) 12:48:29.54ID:???
ipv6ならautoconfをenableにすれば
RAからSLAACで自動生成されるが、それが半永久的に固定なんかどうかは知らん。
RAからSLAACで自動生成されるが、それが半永久的に固定なんかどうかは知らん。
266263
2021/02/13(土) 17:24:05.00ID:??? 自決しました。(ヽ´ω`)
2021/02/14(日) 23:23:44.78ID:???
>>264
IPv4でのIPsec VPNってことかと思うけど、IPoEでIPv4アドレスが自動設定されたら
後は通常のIPsec設定と同じですよ
>インターフェースのアドレスの所はどう入力したらいいでしょうか。。。
IPsecの論理インターフェースにIPアドレス付与ってことでしょうか?
トンネルモードで使うのであればリンクモニタ的なこととかしないのであればIPアドレスの設定は不要です
IPv4でのIPsec VPNってことかと思うけど、IPoEでIPv4アドレスが自動設定されたら
後は通常のIPsec設定と同じですよ
>インターフェースのアドレスの所はどう入力したらいいでしょうか。。。
IPsecの論理インターフェースにIPアドレス付与ってことでしょうか?
トンネルモードで使うのであればリンクモニタ的なこととかしないのであればIPアドレスの設定は不要です
2021/02/15(月) 13:17:49.17ID:???
こんなネットワークがあるとして、
INTERNET
|
Fortigate 50E(v6.0.10)
LAN1(192.168.1.0/24) LAN2(20.0/24)
| |
| ルータA(192.168.20.254)
| [86.0/24]
| |
| プリンタ(192.168.86.201)
|
PC(192.168.1.2)
これ、ルータAネットワークからPCにはアクセスできるけど、
PCからルータA内のネットワークにアクセスできない。
どうルーティングすればいい?
スタティックルート
宛先:192.168.30.0/24
ゲートウェイアドレス:192.168.20.254
インターフェース:LAN2
でOK?
INTERNET
|
Fortigate 50E(v6.0.10)
LAN1(192.168.1.0/24) LAN2(20.0/24)
| |
| ルータA(192.168.20.254)
| [86.0/24]
| |
| プリンタ(192.168.86.201)
|
PC(192.168.1.2)
これ、ルータAネットワークからPCにはアクセスできるけど、
PCからルータA内のネットワークにアクセスできない。
どうルーティングすればいい?
スタティックルート
宛先:192.168.30.0/24
ゲートウェイアドレス:192.168.20.254
インターフェース:LAN2
でOK?
269268
2021/02/15(月) 13:21:34.53ID:??? 色々投稿失敗した…
FGのLAN1が1.0/24で
FGのLAN2が20.0/24
ルータAのネットワークは86.0/24
です
で、宛先は宛先:192.168.30.0/24 じゃなくて宛先:192.168.86.0/24
FGのLAN1が1.0/24で
FGのLAN2が20.0/24
ルータAのネットワークは86.0/24
です
で、宛先は宛先:192.168.30.0/24 じゃなくて宛先:192.168.86.0/24
2021/02/15(月) 13:39:00.85ID:???
それでいいけど、ここで聞くより
その設定を試したした方が早いでしょうよ
入れてるけど通らないのか?
ルーターAでNATしてる落ちか?
その設定を試したした方が早いでしょうよ
入れてるけど通らないのか?
ルーターAでNATしてる落ちか?
2021/02/15(月) 13:53:06.20ID:???
どうルーティングすればいいって、スタティックなりかけば良いんじゃないの?
それと、FWポリシー
それと、FWポリシー
272268
2021/02/15(月) 13:58:30.24ID:???2021/02/15(月) 14:21:09.02ID:???
>>206
当方も同じ状況でまったく繋がらない
このPDF文書の通りやってv6プラス固定IPサービス使用してる人いるんかいな?
それとも、この設定の前or後に何かやっておかなければならない設定とかあるのでしょうか?
当方も同じ状況でまったく繋がらない
このPDF文書の通りやってv6プラス固定IPサービス使用してる人いるんかいな?
それとも、この設定の前or後に何かやっておかなければならない設定とかあるのでしょうか?
2021/02/15(月) 14:45:17.42ID:???
2021/02/15(月) 16:54:12.86ID:???
>>272
NATしてるて…
スタティックルート言う以前の問題ですよ
ルーターAがどこのメーカーか判らんから
どの言葉使ってるか知らんけどポートフォワーディングとか
静的NATとか宛先NATみたいなものを使いなされ
これ以上はスレチだからここまでな
もっと勉強してくれ
NATしてるて…
スタティックルート言う以前の問題ですよ
ルーターAがどこのメーカーか判らんから
どの言葉使ってるか知らんけどポートフォワーディングとか
静的NATとか宛先NATみたいなものを使いなされ
これ以上はスレチだからここまでな
もっと勉強してくれ
2021/02/15(月) 18:20:09.04ID:???
IPv6アドレスの取得すらできないのであれば、他のIPoEルータ持ってきたところで繋がらないからなぁ
277anonymous@fusianasan
2021/02/15(月) 19:14:58.95ID:fFlqDs2y2021/02/15(月) 21:24:29.55ID:???
>>277
書き込むスレを間違ってるのでこっちでやってください
ネットワークに関する疑問・質問 Part39
https://mevius.5ch.net/test/read.cgi/hack/1612935664/
書き込むスレを間違ってるのでこっちでやってください
ネットワークに関する疑問・質問 Part39
https://mevius.5ch.net/test/read.cgi/hack/1612935664/
2021/02/20(土) 12:49:45.20ID:???
なこたぁないわ
ドンドン質問して、どんどん答えてあげよう!
ドンドン質問して、どんどん答えてあげよう!
2021/02/21(日) 00:38:55.86ID:???
質問するにしてもFortiGateと無関係の質問は遠慮してほしい
2021/02/21(日) 17:40:48.76ID:???
ネットワークの一般知識については、自習して欲しいとは思います。
2021/02/21(日) 21:59:22.54ID:???
まぁ、277はFortigateとルーターの切り分けしたくての質問なのでスレ違いではないでしょう。
2021/02/21(日) 23:31:00.40ID:???
まぁ、レス読んでいけばわかるよ > スレチ
2021/02/22(月) 01:10:30.33ID:???
描いてある構成の中のルータにNATがある時点で自宅内LANっぽい話だけど、そういった質問する人って自宅のLANをちょっと触った程度の経験くらいだから前提となる基礎知識が微妙なんだよね(IPv6が付与されないとかの人とかも同じく・・・)
正直FortiGateをどこまで使いこなせてるんだろとは思う
正直FortiGateをどこまで使いこなせてるんだろとは思う
2021/02/22(月) 02:37:08.85ID:???
ルーターAのDNAT設定してあるんならルーターAの192.168.20.254宛に開放したポート叩くだけなのに
それができてないって事はパソコンから叩くアドレスからして間違ってそうじゃん
FG挟まないでルーターAのWAN側にPC置いたときにちゃんと望む動作ができる事を確認してから
FGの設定が間違ってるかどうかを疑うのが筋じゃないです?
それができてないって事はパソコンから叩くアドレスからして間違ってそうじゃん
FG挟まないでルーターAのWAN側にPC置いたときにちゃんと望む動作ができる事を確認してから
FGの設定が間違ってるかどうかを疑うのが筋じゃないです?
2021/02/22(月) 02:53:39.82ID:???
トラシューやるならdebugコマンドでログ見るとかパケットキャプチャ機能もあっていろいろ方法があるのに
「動かない!」って人からそういう切り分けや解析をした話が出たこと無いんだよね
設定が難しいと思う人はバッファローあたりを使ったほうが良いと思う
「動かない!」って人からそういう切り分けや解析をした話が出たこと無いんだよね
設定が難しいと思う人はバッファローあたりを使ったほうが良いと思う
2021/02/22(月) 03:01:31.14ID:???
>>285
ほんとその通りで、初心者の人ほど設定/構成を簡素化して問題の切り分けを行うってことが出来ないんですよね
とりあえず色んなものつなげて、いざ試したら動きませんでした、さて何が悪いですか?ってのが多い
ほんとその通りで、初心者の人ほど設定/構成を簡素化して問題の切り分けを行うってことが出来ないんですよね
とりあえず色んなものつなげて、いざ試したら動きませんでした、さて何が悪いですか?ってのが多い
2021/02/22(月) 11:55:56.40ID:???
と、偉そうな事を言っているようだが、
このスレは難しい質問来たらまともに答えられる人はほぼいない。
このスレは難しい質問来たらまともに答えられる人はほぼいない。
2021/02/22(月) 11:59:39.30ID:???
普通のことだけどね、切り分けとか
2021/02/22(月) 12:06:45.98ID:???
基本的に高度な質問は来ないしね
「動きません」という投稿があって、切り分けを奨められてもその後レスが無くなるし
「動きません」という投稿があって、切り分けを奨められてもその後レスが無くなるし
2021/02/22(月) 12:09:24.31ID:???
このスレにはエスパーが少ない気はする
2021/02/22(月) 12:24:41.30ID:???
当たり前のことが偉そうに聞こえる人に対してはエスパーじゃないと無理だもんな
2021/02/22(月) 19:27:20.62ID:???
ポンコツは他人に説明する能力がなく
聞く最低限の躾けが成ってない
聞く最低限の躾けが成ってない
2021/02/22(月) 22:01:57.10ID:???
>>293
雑魚は喋るな
雑魚は喋るな
2021/02/23(火) 00:38:24.91ID:???
転職した先でFortigate初めて触ったんだが、
Quakeのマルチホストサーバ用の設定が(ちゃんと名前入りでポート通す設定)入ってんだが
これデフォなん?
Quakeのマルチホストサーバ用の設定が(ちゃんと名前入りでポート通す設定)入ってんだが
これデフォなん?
2021/02/23(火) 00:45:33.79ID:???
サービスオブジェクトのことを言ってるのであれば入っているかと
FWポリシー設定は別だけど
FWポリシー設定は別だけど
2021/02/23(火) 03:07:22.45ID:???
>>295
昔から入っていますよ
昔から入っていますよ
2021/02/26(金) 02:24:01.67ID:???
購入を検討してるんだけど、ここはやめとけな代理店ある?
2021/02/26(金) 11:57:16.20ID:???
日本の代理店はどこも💩
手続きが遅いから必ずライセンス切れ期間が発生する
数ヶ月遅れもザラ
やる気なし
手続きが遅いから必ずライセンス切れ期間が発生する
数ヶ月遅れもザラ
やる気なし
2021/02/26(金) 20:41:30.72ID:???
なんでFWポリシーでワイルドカード*使えないの??
2021/02/26(金) 21:06:04.66ID:???
何のワイルドカードのことなんかね
2021/02/26(金) 22:18:59.64ID:???
>>241
IPoEでちゃんとアドレスが割り振られているならば、wan側のi/fへipv6 アドレスは振られていると思いますよ
# diagnose ipv6 address list
で確認してみてください
icmpの送信元については、
# execute ping6-options interface <interface>
で、outgoing interface を指定すれば状況が変わるかもしれませんね
IPoEでちゃんとアドレスが割り振られているならば、wan側のi/fへipv6 アドレスは振られていると思いますよ
# diagnose ipv6 address list
で確認してみてください
icmpの送信元については、
# execute ping6-options interface <interface>
で、outgoing interface を指定すれば状況が変わるかもしれませんね
2021/02/27(土) 11:16:56.75ID:???
>>301
ホストのFQDNにワイルドカード使いたいんだよね。*.google.comみたいに。
ホストのFQDNにワイルドカード使いたいんだよね。*.google.comみたいに。
2021/02/27(土) 11:48:52.94ID:???
>>303
https://kb.fortinet.com/kb/documentLink.do?externalID=FD48524
6.2からip address をキャッシュする形で対応しています。
FW ポリシーはあくまで ip layerの機能なので、DNS の挙動に合わせて ip address をキャッシュする事で対応したんでしょうね
2021/02/27(土) 15:10:12.01ID:???
お前らの仲間入りがしたくて、オクでライセンス切れの60D落としだんだけど、
最新のファームを入手するには、なんか代理店とかと保守契約みたいの必要なの?
(現状のファームウェア バージョン v5.0,build0318)
ひとまずファーム更新して、勉強しようと思ったけど、このバージョンでも勉強になるのだろうか。
最新のファームを入手するには、なんか代理店とかと保守契約みたいの必要なの?
(現状のファームウェア バージョン v5.0,build0318)
ひとまずファーム更新して、勉強しようと思ったけど、このバージョンでも勉強になるのだろうか。
2021/02/27(土) 15:39:50.14ID:???
>>305
保守契約にfirmwareのupgrade権がついているので、切れてる場合は無理。
また60DはFortiOS 6.0.x までしか乗らない
現行のfirmwareでfirewallとしては使えるが、utm機能は利用できないと考えるのが良いかと
Cliに慣れたい、firewallとして使ってみたいってことなら使えるかと
documentはこちら
https://docs.fortinet.com/product/fortigate/5.0
保守契約にfirmwareのupgrade権がついているので、切れてる場合は無理。
また60DはFortiOS 6.0.x までしか乗らない
現行のfirmwareでfirewallとしては使えるが、utm機能は利用できないと考えるのが良いかと
Cliに慣れたい、firewallとして使ってみたいってことなら使えるかと
documentはこちら
https://docs.fortinet.com/product/fortigate/5.0
2021/02/27(土) 17:39:07.08ID:???
ちょっと触ってみたいくらいであればAWSマケプレのFreeトライアルとかでもいいかも
2021/02/28(日) 15:25:12.96ID:???
もうすぐ7.0が出るってよ
2021/02/28(日) 18:11:27.90ID:???
>>304
ありがと!バージョンアップからか…。
ありがと!バージョンアップからか…。
2021/02/28(日) 18:18:43.44ID:???
*.live.comのアドレスオブジェクトのこと?
んなもん家のv5.2にもあるがや
んなもん家のv5.2にもあるがや
2021/02/28(日) 18:21:06.18ID:???
2021/03/01(月) 00:16:00.65ID:???
うちはファームのアップグレード制限があって60Dから50eに切り替えたな
中古を1万で性能もほぼ落ちないし割と使い勝手いいからかなり助かってる
中古を1万で性能もほぼ落ちないし割と使い勝手いいからかなり助かってる
2021/03/01(月) 06:58:14.45ID:???
50Eは6.4対応してないからな〜。
60Eの値崩れ待ちだな。
60Eの値崩れ待ちだな。
2021/03/03(水) 12:14:43.13ID:???
2021/03/06(土) 10:16:05.71ID:???
まんじゅコスモスですが、なぜかtomcatが落ちてました
再起動したら復帰しました
Mar 5 03:51:16 localhost systemd: tomcat.service: main process exited, code=killed, status=9/KILL
Mar 5 03:51:16 localhost systemd: Unit tomcat.service entered failed state.
再起動したら復帰しました
Mar 5 03:51:16 localhost systemd: tomcat.service: main process exited, code=killed, status=9/KILL
Mar 5 03:51:16 localhost systemd: Unit tomcat.service entered failed state.
2021/03/06(土) 10:16:52.88ID:???
ぎゃあああああああああ
誤爆してる!!
FortiGate60Eのライセンス切れてるのはたまにヤフオクで3万台で出るようになったねえ
誤爆してる!!
FortiGate60Eのライセンス切れてるのはたまにヤフオクで3万台で出るようになったねえ
318anonymous@fusianasan
2021/03/19(金) 00:10:27.93ID:Eb06R8KS UTMをFWの上に設置って
おかしいのでしょうか?
おかしいのでしょうか?
2021/03/19(金) 08:18:10.42ID:???
ラックマウント位置の事かな?
2021/03/19(金) 09:32:54.39ID:???
>>318
何をしたいからに依るからなんともいえないですね
既存の構成を壊したくないからトランスペアレントで置くとかもあるでしょうし
FWがやってたことをFGでカバーできて、管理機器数を減らしたいという要望もあるなら
FWは無くていいかと思います
何をしたいからに依るからなんともいえないですね
既存の構成を壊したくないからトランスペアレントで置くとかもあるでしょうし
FWがやってたことをFGでカバーできて、管理機器数を減らしたいという要望もあるなら
FWは無くていいかと思います
2021/03/19(金) 23:42:10.12ID:???
>>319
草
草
2021/03/20(土) 00:23:55.11ID:???
訊くだけ訊いてレスはしない人多い
2021/03/20(土) 09:11:09.16ID:???
お前みたく24時間張り付いてるわけじゃないんだよな
2021/03/20(土) 10:46:39.59ID:???
逆ギレw
2021/03/21(日) 21:10:09.66ID:???
FortiGate100EがでかいからってONUとかルータの下にスチール棚に積み重ねられてた現場で交換したけど嫌だった
326anonymous@fusianasan
2021/03/31(水) 10:03:51.91ID:obo5y7fa FortiOS7.0がリリースされたね。
50Eは対象外だわ。
50Eは対象外だわ。
2021/03/31(水) 13:31:30.57ID:???
そもそ6.4が対象外だからね
328anonymous@fusianasan
2021/04/08(木) 19:45:26.34ID:o2NEQRkL わかる方がいれば教えて下さい。
60Fでforticlientを使用してfortiguardddnsでVPN接続をしていました。
OCNと契約していて法人回線から一般回線に契約変更したところ、ddnsでの接続ができなくなりました。
変更されたIPアドレス直打ちでは接続できるのですが、これは自動的に情報が変わるまで時間を要しているだけなのでしょうか?
60Fでforticlientを使用してfortiguardddnsでVPN接続をしていました。
OCNと契約していて法人回線から一般回線に契約変更したところ、ddnsでの接続ができなくなりました。
変更されたIPアドレス直打ちでは接続できるのですが、これは自動的に情報が変わるまで時間を要しているだけなのでしょうか?
2021/04/08(木) 20:42:41.62ID:???
ddnsで引いたIPアドレス見たらいいんじゃね?
2021/04/08(木) 22:03:44.56ID:???
https://docs.fortinet.com/document/fortigate/latest/administration-guide/685361/ddns
update-intervalで調整できるんじゃね
デフォルトは300秒らしいが
キャッシュサーバのレコードが更新されんとどうにもならんが
update-intervalで調整できるんじゃね
デフォルトは300秒らしいが
キャッシュサーバのレコードが更新されんとどうにもならんが
2021/04/08(木) 22:33:34.30ID:???
どんなに遅くても1時間で更新されてなかったら異常やろ。
ddnsレコードのTTLなんてせいぜい5分〜10分やろ
ddnsレコードのTTLなんてせいぜい5分〜10分やろ
332328
2021/04/09(金) 07:45:27.56ID:MZpKIl8X レスくださった方ありがとうございます。
DNS設定でfortiguardDDNSのドメインに表示されているIPアドレスと
nslookupで表示されるアドレスが異なっているのですが利用可とはなっています。
pppoeの認証IDとパスワードを変更してそのまま使っているので再起動させると利用不可になるのかもしれません。
ここからどのように確認できるか改めて調べてみます。
DNS設定でfortiguardDDNSのドメインに表示されているIPアドレスと
nslookupで表示されるアドレスが異なっているのですが利用可とはなっています。
pppoeの認証IDとパスワードを変更してそのまま使っているので再起動させると利用不可になるのかもしれません。
ここからどのように確認できるか改めて調べてみます。
333anonymous@fusianasan
2021/04/09(金) 11:54:40.61ID:NJDOk5WR https://kb.fortinet.com/kb/microsites/search.do?cmd=displayKC&docType=kc&externalId=FD41601
この辺参考に設定をし直してみてどうでしょうか。
この辺参考に設定をし直してみてどうでしょうか。
2021/04/10(土) 03:05:22.91ID:???
2021/04/10(土) 09:36:41.17ID:???
>>334
素人かな?
素人かな?
2021/04/10(土) 09:45:56.46ID:???
fortiddnsの応答早いと思うけどなぁ
2021/04/20(火) 08:30:46.95ID:???
いまForti60Fで検証してるけど>>328の現象出てるな
FOS:FortiGate-60F v6.4.5,build1828,210217 (GA)
FOS:FortiGate-60F v6.4.5,build1828,210217 (GA)
338337
2021/04/29(木) 08:39:11.63ID:??? 1日おいてもダメで再起動とかしてたらいつの間にか直ってた
339anonymous@fusianasan
2021/05/17(月) 22:44:26.72ID:UZxtPxn/ fortigate、ipoeの冗長構成に対応してる?
2021/05/18(火) 02:45:16.05ID:???
VDOM使えば2回線収容は可能
NGNのIPv6の接続仕様を調べればわかるかと
NGNのIPv6の接続仕様を調べればわかるかと
341anonymous@fusianasan
2021/05/18(火) 11:37:59.67ID:31PXHU0I sdwan使っても冗長化できるよん。
2021/05/18(火) 16:57:19.33ID:???
IPoEがIPv4 ovr IPv6のことを言っているのであればIPoE 2回線を同じVDOMには無理ですね
SDWAN関係なく
SDWAN関係なく
343anonymous@fusianasan
2021/05/20(木) 17:54:58.58ID:FVoUlb7l フレッツ網からアドレス払い出されないとかあるんだよなぁ
コールドスタンバイも冗長って判断ならば、
MACアドレス一緒にしたスタンバイ機つくればすんなりいくんかなぁ?
コールドスタンバイも冗長って判断ならば、
MACアドレス一緒にしたスタンバイ機つくればすんなりいくんかなぁ?
2021/05/21(金) 17:25:39.00ID:???
NGN2回線に同じDUIDでリクエスト出してどっちも通るん?
2021/05/25(火) 15:56:11.29ID:???
SSL-VPNでシステムにアクセスするとアクセス元IPがFortigateのIPになります。
実際のIPをシステムに伝える方法ありますか?
実際のIPをシステムに伝える方法ありますか?
2021/05/25(火) 18:28:01.18ID:???
ないんちゃう。知らんけど
2021/05/25(火) 18:56:48.44ID:???
fortiのsyslogをそのシステムに送ればいいんじゃない?
2021/05/26(水) 00:24:13.58ID:???
>>345
それはSSL-VPNのFirewallポリシーでソースNATしてるでしょ?
ソースNATしなかったとしてもSSL-VPNクライアントには別途用意してるアドレスプールからIP割り当てるんじゃなかったかな?SSL-VPNの設定は。
だからソースNATしなかったとしても接続元IPはクライアントの元のIPじゃなくてアドレスプールから割り当てたIPになる。
それはSSL-VPNのFirewallポリシーでソースNATしてるでしょ?
ソースNATしなかったとしてもSSL-VPNクライアントには別途用意してるアドレスプールからIP割り当てるんじゃなかったかな?SSL-VPNの設定は。
だからソースNATしなかったとしても接続元IPはクライアントの元のIPじゃなくてアドレスプールから割り当てたIPになる。
2021/05/26(水) 11:14:15.55ID:???
あーそうかぁ
そうですよね
残念
そうですよね
残念
2021/05/29(土) 04:35:47.86ID:???
すみません
FortiClient6.4.3使用中
Windowsログオン時のFortiSSLって、どう使うんですか?
アダプターの存在は確認
証明書の明示がないからSSL-VPNとは異なる?
IPsec-VPNのID パスワードでは開かず
昔のように、ログオン前にVPNを張りたいもので
FortiClient6.4.3使用中
Windowsログオン時のFortiSSLって、どう使うんですか?
アダプターの存在は確認
証明書の明示がないからSSL-VPNとは異なる?
IPsec-VPNのID パスワードでは開かず
昔のように、ログオン前にVPNを張りたいもので
2021/05/30(日) 02:30:14.61ID:???
>>350
それやるならFortiClient EMSが要るんじゃないかと
それやるならFortiClient EMSが要るんじゃないかと
2021/05/30(日) 16:42:11.69ID:???
>>350
FortiClient_6.4.3_Administration_Guideの53ページに書いてるやつ?
FortiClient_6.4.3_Administration_Guideの53ページに書いてるやつ?
353350
2021/06/03(木) 06:50:58.23ID:???354anonymous@fusianasan
2021/06/14(月) 23:21:59.70ID:L5Tg2m6s ※前置きとしてNWは正常に稼働しております。
IPoEの仕組みがイマイチ理解できなかったため質問させていただきます。
構成としては、OCNのIPoE契約(多分v6プラス、電話なし)でFGをONUに直結、IPv4overIPv6構成です。
質問1:vneトンネルに自動的に設定されるグローバルipv4はどこから取得しているのでしょうか。
質問2:vneトンネルに自動的に設定されるような設定はどの部分にあたるのでしょうか。
MAPーEを利用して払いだされているのかと思ったのですが、何か違うような気がして・・
〜以下設定例〜
#wan側IF
config system interface
edit "port10"
config ipv6
set dhcp6-information-request enable
set autoconf enable
set unique-autoconf-addr enable
end
#vne
config system interface
edit "vne.test"
set vdom "test"
set ip 130.1.2.3 255.255.255.255
set type tunnel
set interface "port10"
next
end
IPoEの仕組みがイマイチ理解できなかったため質問させていただきます。
構成としては、OCNのIPoE契約(多分v6プラス、電話なし)でFGをONUに直結、IPv4overIPv6構成です。
質問1:vneトンネルに自動的に設定されるグローバルipv4はどこから取得しているのでしょうか。
質問2:vneトンネルに自動的に設定されるような設定はどの部分にあたるのでしょうか。
MAPーEを利用して払いだされているのかと思ったのですが、何か違うような気がして・・
〜以下設定例〜
#wan側IF
config system interface
edit "port10"
config ipv6
set dhcp6-information-request enable
set autoconf enable
set unique-autoconf-addr enable
end
#vne
config system interface
edit "vne.test"
set vdom "test"
set ip 130.1.2.3 255.255.255.255
set type tunnel
set interface "port10"
next
end
355anonymous@fusianasan
2021/06/14(月) 23:34:52.74ID:L5Tg2m6s 勉強不足、MAP-EはIPv4 over IPv6トンネリングのことでした。
MAPルール配信サーバーてきなものが居るのね。
MAPルール配信サーバーてきなものが居るのね。
2021/06/17(木) 02:53:26.32ID:???
v6プラス(JPNE)とOCNのIPoEは別サービスですね、事業者が異なります
>MAPルール配信サーバーてきなものが居るのね
ですね
>MAPルール配信サーバーてきなものが居るのね
ですね
357anonymous@fusianasan
2021/06/17(木) 12:15:15.84ID:v+pjdfeZ みなさん回線速度ってどのサイトで計測してますか?
自分はみんそくです。1番速い結果が出るので。
他のサイトだと半分も出ないのでどれが正しいかわからなくなります。。
自分はみんそくです。1番速い結果が出るので。
他のサイトだと半分も出ないのでどれが正しいかわからなくなります。。
358anonymous@fusianasan
2021/06/19(土) 00:11:44.22ID:SAV1b8Hc おしえてください。。
ocnのIPoE固定1で、pcやandroidはv6通信を確立してweb見れるのに、iPhoneはv6アドレス取得できず、webも超遅いか見れないとこばっか。
どうして?
対処設定あります?
本当に困っています
ocnのIPoE固定1で、pcやandroidはv6通信を確立してweb見れるのに、iPhoneはv6アドレス取得できず、webも超遅いか見れないとこばっか。
どうして?
対処設定あります?
本当に困っています
2021/06/19(土) 02:00:50.93ID:???
IPoE固定1ってIPv4アドレスを固定で一つ割り当てるサービスなので、IPv6ネイティブの通信って話だったらocnのIPoE固定1ってのは関係ないです
IPv6ネイティブ通信がうまく行かないのであればnd-proxy、IPv6ファイアウォールポリシーの確認ですね
IPv6ネイティブ通信がうまく行かないのであればnd-proxy、IPv6ファイアウォールポリシーの確認ですね
360anonymous@fusianasan
2021/06/23(水) 13:09:33.15ID:WCpx/DJa 滅多にない構成だと思うけど共有
通常ポリシ n とバーチャルワイヤペアポリシ v を併用する構成のおはなし
vを通過したトラフィックがそのままvに戻らずに、nを通過・戻った後、vに戻るような通信をしたい場合、nを通過しようとした時点でパケットがドロップされます
その際はFortigate以外のL3でNATを掛けてFortigateにvとnの通信は別セッションであると認識させれば通信可能になりました
通常ポリシ n とバーチャルワイヤペアポリシ v を併用する構成のおはなし
vを通過したトラフィックがそのままvに戻らずに、nを通過・戻った後、vに戻るような通信をしたい場合、nを通過しようとした時点でパケットがドロップされます
その際はFortigate以外のL3でNATを掛けてFortigateにvとnの通信は別セッションであると認識させれば通信可能になりました
2021/07/13(火) 17:01:06.06ID:???
ちょっと聞かせてください。
機種:FG-40f
ファームウェア:v6.0.6 build6478(GA)
元々natモードで動かしていたのですが、上位にルータを置いたのでTPモードにして運用する予定です。モード変更しても基本的にnatモードに関わる所以外は変更されないとベンダーから回答があり、モード変更したのですが、webフィルタの設定が変わってしまいました。設定が変わった原因分かる方いらっしゃいますでしょうか。
機種:FG-40f
ファームウェア:v6.0.6 build6478(GA)
元々natモードで動かしていたのですが、上位にルータを置いたのでTPモードにして運用する予定です。モード変更しても基本的にnatモードに関わる所以外は変更されないとベンダーから回答があり、モード変更したのですが、webフィルタの設定が変わってしまいました。設定が変わった原因分かる方いらっしゃいますでしょうか。
2021/07/13(火) 17:09:46.11ID:???
>>361
ベンダーが間違ってるからベンダーに質問して
ベンダーが間違ってるからベンダーに質問して
2021/07/13(火) 18:00:24.21ID:???
>>361
webフィルタの設定がベンダーの言う「natモードに関わる所」にあたるんじゃね?
webフィルタの設定がベンダーの言う「natモードに関わる所」にあたるんじゃね?
2021/07/13(火) 19:47:06.54ID:???
変わる前の状態控えないで変えたの?
2021/07/13(火) 20:20:33.83ID:???
50Eのv6.2.8でTransixのAFTRとtunnel張ったらTXは増えるがRXのカウンタが0のまんまでうまくいかない。。。
2021/07/13(火) 21:36:04.68ID:???
>>365
MSSを1420にしてます?
MSSを1420にしてます?
2021/07/14(水) 17:49:15.83ID:???
>>366
v4のlanからtunnel deviceへのポリシーはMSS1420にしてるんですよねえ
v4のlanからtunnel deviceへのポリシーはMSS1420にしてるんですよねえ
2021/07/14(水) 19:17:22.73ID:???
2021/07/14(水) 21:48:15.24ID:???
>>368
東西のAFTRのアドレス間違えてただけだったゴメン
東西のAFTRのアドレス間違えてただけだったゴメン
2021/07/14(水) 23:18:55.78ID:???
>>369
(´∀`)b
(´∀`)b
2021/07/26(月) 00:32:06.74ID:???
60EにSSL−VPN接続した状態で、特定のサイトにだけ自前IPアドレスではなくWAN側アドレスでアクセスしたいんだけど、(検証中のためアクセスに会社のIP制限かけてる)どうすればいいのか教えて下さい。
今は着信:トンネルインターフェース、発信:wan、宛先:そのサイト、というポリシーを登録してみたんですがダメでした。
サイト間でIPSecVPN張るまでの一時的な対応なんですが…
今は着信:トンネルインターフェース、発信:wan、宛先:そのサイト、というポリシーを登録してみたんですがダメでした。
サイト間でIPSecVPN張るまでの一時的な対応なんですが…
2021/07/26(月) 01:02:26.53ID:???
>>371
>特定のサイトにだけ自前IPアドレスではなくWAN側アドレスでアクセスしたいんだけど
自前IPアドレスってのがよくわからないのと、WAN側アドレスってのFortiGate-60EのWAN側IPアドレスなのか、
それともSSL-VPN接続を行っているPC等があるサイトのWAN側IPアドレスなのか
文章だけだとどうしたいのかちょっとわからないですね
>特定のサイトにだけ自前IPアドレスではなくWAN側アドレスでアクセスしたいんだけど
自前IPアドレスってのがよくわからないのと、WAN側アドレスってのFortiGate-60EのWAN側IPアドレスなのか、
それともSSL-VPN接続を行っているPC等があるサイトのWAN側IPアドレスなのか
文章だけだとどうしたいのかちょっとわからないですね
2021/07/26(月) 01:11:46.02ID:???
SSL-VPNのスプリットトンネルで解決する話であればこのあたりじゃないですかね
SSL VPN split tunnel for remote user
https://docs.fortinet.com/document/fortigate/6.2.0/cookbook/307303/ssl-vpn-split-tunnel-for-remote-user
Technical Tip: SSL VPN tunnel mode: negating split tunneling Routing Address IPs
https://kb.fortinet.com/kb/documentLink.do?externalID=FD51118
SSL VPN split tunnel for remote user
https://docs.fortinet.com/document/fortigate/6.2.0/cookbook/307303/ssl-vpn-split-tunnel-for-remote-user
Technical Tip: SSL VPN tunnel mode: negating split tunneling Routing Address IPs
https://kb.fortinet.com/kb/documentLink.do?externalID=FD51118
2021/07/26(月) 08:06:06.27ID:???
>>371
SSLVPNの設定の
スプリットトンネルで特定のサイトのネットワークアドレスを対象に含めればOK
もちろんFirewall Policyでも
SSL-VPN→wanで宛先にルール作成(nat onで)して宛先に特定サイトのネットワークアドレス含めてね。
SSLVPNの設定の
スプリットトンネルで特定のサイトのネットワークアドレスを対象に含めればOK
もちろんFirewall Policyでも
SSL-VPN→wanで宛先にルール作成(nat onで)して宛先に特定サイトのネットワークアドレス含めてね。
2021/07/26(月) 08:22:04.97ID:???
2021/07/26(月) 10:07:56.84ID:???
2021/07/29(木) 01:57:02.52ID:???
初めてfortigate(FG-50E/6.2.9)触ってます。
管理アクセス(CLI/GUI)をloopbackインターフェースにしたいのですが上手く行きません。
loはOSPFで配下のL3SWに広告し、FG-50Eからloを送信元にL3SWのloにpingすると応答あるのですが、L3SWからだとFG-50Eは応答してくれず、L3SWにぶら下がるPCからも同様の状態。
FG-50Eのlo,L3SWと接続用インターフェースはicmp,https,sshは同じように許可設定をしています(しているつもりです)。
FG-50EのL3SWとの接続用インターフェースはicmpもhttpsも受けてくれます。
素人まずここ読め的なのでもヒント頂けると嬉しいす
管理アクセス(CLI/GUI)をloopbackインターフェースにしたいのですが上手く行きません。
loはOSPFで配下のL3SWに広告し、FG-50Eからloを送信元にL3SWのloにpingすると応答あるのですが、L3SWからだとFG-50Eは応答してくれず、L3SWにぶら下がるPCからも同様の状態。
FG-50Eのlo,L3SWと接続用インターフェースはicmp,https,sshは同じように許可設定をしています(しているつもりです)。
FG-50EのL3SWとの接続用インターフェースはicmpもhttpsも受けてくれます。
素人まずここ読め的なのでもヒント頂けると嬉しいす
2021/07/29(木) 02:31:01.19ID:???
>>377
着信インターフェース(,L3SWと接続用インターフェース)からLoopback宛のファイアウォールポリシーは設定されていますか?
着信インターフェース(,L3SWと接続用インターフェース)からLoopback宛のファイアウォールポリシーは設定されていますか?
2021/07/29(木) 10:18:48.76ID:???
ありがとうございます!
「IPv4ポリシー」で既存のNATルールと暗黙のdenyの間に明示的に許可入れることで通るようになりました。
interfaceでの受付許可だけでなくこちらも設定必要なのですね。次はRADIUS連携とVPNなど遊んでみます!
「IPv4ポリシー」で既存のNATルールと暗黙のdenyの間に明示的に許可入れることで通るようになりました。
interfaceでの受付許可だけでなくこちらも設定必要なのですね。次はRADIUS連携とVPNなど遊んでみます!
2021/07/30(金) 00:30:07.98ID:???
うまく行って良かったです!
2021/08/03(火) 22:12:32.02ID:???
361で質問させてもらった者です。放置しちゃっててすみません。何人か回答頂きましてありがとうございます。結局何回やってもモード変えるとほとんど設定変わる事がわかりました。。その後もベンダーに色々聞きながらボチボチやってます。
2021/08/05(木) 00:19:39.01ID:???
>>381
上位のルータの機能をFortiGateでカバーできるのであればNAT/ルートモードにして、上位ルータを外して
WAN回線(?)をFortiGateに直接収容してインスペクションやれば装置が少なくなって管理が楽かもしれません
構成を詳しくわかってないので想像で話してますが
上位のルータの機能をFortiGateでカバーできるのであればNAT/ルートモードにして、上位ルータを外して
WAN回線(?)をFortiGateに直接収容してインスペクションやれば装置が少なくなって管理が楽かもしれません
構成を詳しくわかってないので想像で話してますが
2021/08/18(水) 22:05:17.30ID:???
次の構成できているかたいますか?
・一台のFortigateをvdomで分割
・wan1とwan2を別vdomに割り当て
・それぞれ別の回線でOCN-IPoEて接続
私の環境では、wan2でしかvneトンネルが通信してくれなくて困っています。
・一台のFortigateをvdomで分割
・wan1とwan2を別vdomに割り当て
・それぞれ別の回線でOCN-IPoEて接続
私の環境では、wan2でしかvneトンネルが通信してくれなくて困っています。
2021/08/18(水) 23:33:49.51ID:???
同じようなところで悩んでます。
vdom:root(デフォルト)
vdom:wan1(作成したvdom)
vdom:wan2(作成したvdom)
とし、それぞれvne.wan1、vne.wan2を作成してipoe設定をしても固定のipv4アドレスは受け取れずでした。ちなみにvne.rootを作成して同一の設定をした場合は接続成功します。
rootじゃないとダメなのかな…
vdom:root(デフォルト)
vdom:wan1(作成したvdom)
vdom:wan2(作成したvdom)
とし、それぞれvne.wan1、vne.wan2を作成してipoe設定をしても固定のipv4アドレスは受け取れずでした。ちなみにvne.rootを作成して同一の設定をした場合は接続成功します。
rootじゃないとダメなのかな…
2021/08/19(木) 23:59:41.91ID:???
名前解決はroot vdomじゃないと出来ないので
2021/08/27(金) 20:08:13.56ID:???
Fortigate検討しています。40Fと50eとでは、処理スピードや帯域で違いがあるだけで、
中のIPS/IDSといった機能は同じとみていいのでしょうか?それほど通信速度を求めてはいないので、
50eでも十分であれば50eにしたいです
中のIPS/IDSといった機能は同じとみていいのでしょうか?それほど通信速度を求めてはいないので、
50eでも十分であれば50eにしたいです
2021/08/27(金) 22:14:48.10ID:???
過去ログ読んで解決しました、ごめんなさい。。。
2021/08/31(火) 23:25:56.91ID:???
どちらかを選ぶなら40Fでしょうね、50Eは6.2までしかOS出ませんので新しいことは試せませんし
2021/09/01(水) 12:17:06.04ID:???
FGでv6プラス(固定)にしたらLINEアプリだけ全く繋がらなくなり、パケット見てるとサーバーからSyn Ackだけは帰ってくるけどそのあとタイムアウト。
ポリシーでMSSを1420にしたら繋がるようになりました。なるほど、こういう事が起きるんですねー。
ポリシーでMSSを1420にしたら繋がるようになりました。なるほど、こういう事が起きるんですねー。
390anonymous@fusianasan
2021/09/03(金) 09:43:55.94ID:EBST6U6I 拠点A:PPPoE ipv4(グローバルIPv4:x.x.x.x) FGT6.2.9
拠点B: PoE (IPv4 over IPv6 DS Liteポート制限なし)NATポイントは拠点BのWANポート(グローバルIPv4:y.y.y.y) FGT6.2.9
上記の環境でIPv4同士でIPSec VPNをしようとしています。
以前は拠点BもPPPoEで
IPSECトンネルで通信できていました。
今回拠点BがPoE (IPv4 over IPv6)になってからIPSec VPNができなくなりました。
ログを見るとphase1は通っているように見えます。
必要なポリシーがあるのでしょうか?
拠点B: PoE (IPv4 over IPv6 DS Liteポート制限なし)NATポイントは拠点BのWANポート(グローバルIPv4:y.y.y.y) FGT6.2.9
上記の環境でIPv4同士でIPSec VPNをしようとしています。
以前は拠点BもPPPoEで
IPSECトンネルで通信できていました。
今回拠点BがPoE (IPv4 over IPv6)になってからIPSec VPNができなくなりました。
ログを見るとphase1は通っているように見えます。
必要なポリシーがあるのでしょうか?
391anonymous@fusianasan
2021/09/03(金) 18:45:30.43ID:N2HLb4P+ フリーランスに立ちはだかる「常駐」の壁。慣例を打ち壊し、
“テレワーク”案件3割→8割へと成長を遂げた「クラウドテック」の軌跡
https://prtimes.jp/story/detail/DBnPOktyljr
テレワークの一般化により、11月にはテレワーク可能案件83.7%へと増加。
2021年、フリーランスのトレンドは「移住&テレワーク」と予測
https://prtimes.jp/main/html/rd/p/000000045.000050142.html
リモートワーク求人専門サイト「プロリモート」がリニューアルオープン、業務委託契約の求職者と企業をマッチング
https://www.value-press.com/pressrelease/262778
1/3以上が採用につながる高マッチング率、リモートワーク×エンジニア・デザイナー専門の
人材紹介サービス「ReworkerAgent」正式リリース場所からも時間からも自由な働き方を実現!
https://www.nishinippon.co.jp/item/o/713384/
新潟県、移住してきたテレワーカー/フリーランスに最大50万円を支給
https://internet.watch.impress.co.jp/docs/news/1287094.html
茨城県日立市、県外からの「テレワーク移住者」に最大151万円の助成金
https://internet.watch.impress.co.jp/docs/news/1281120.html
長野市、市内に移転・事業所設置し、移住することで最大550万円の支援金を支給
https://internet.watch.impress.co.jp/docs/news/1274735.html
フリーランスが活用できる「最大1,000〜3,000万円・補助率50%〜75%」の
『ものづくり・商業・サービス補助金』とは?概要や条件を解説
https://freenance.net/media/money/4255/
『ReWorks(リワークス)』リモートワーク特化型転職サイトとして 3月5日 リニューアル
https://prtimes.jp/main/html/rd/p/000000051.000010457.html
“テレワーク”案件3割→8割へと成長を遂げた「クラウドテック」の軌跡
https://prtimes.jp/story/detail/DBnPOktyljr
テレワークの一般化により、11月にはテレワーク可能案件83.7%へと増加。
2021年、フリーランスのトレンドは「移住&テレワーク」と予測
https://prtimes.jp/main/html/rd/p/000000045.000050142.html
リモートワーク求人専門サイト「プロリモート」がリニューアルオープン、業務委託契約の求職者と企業をマッチング
https://www.value-press.com/pressrelease/262778
1/3以上が採用につながる高マッチング率、リモートワーク×エンジニア・デザイナー専門の
人材紹介サービス「ReworkerAgent」正式リリース場所からも時間からも自由な働き方を実現!
https://www.nishinippon.co.jp/item/o/713384/
新潟県、移住してきたテレワーカー/フリーランスに最大50万円を支給
https://internet.watch.impress.co.jp/docs/news/1287094.html
茨城県日立市、県外からの「テレワーク移住者」に最大151万円の助成金
https://internet.watch.impress.co.jp/docs/news/1281120.html
長野市、市内に移転・事業所設置し、移住することで最大550万円の支援金を支給
https://internet.watch.impress.co.jp/docs/news/1274735.html
フリーランスが活用できる「最大1,000〜3,000万円・補助率50%〜75%」の
『ものづくり・商業・サービス補助金』とは?概要や条件を解説
https://freenance.net/media/money/4255/
『ReWorks(リワークス)』リモートワーク特化型転職サイトとして 3月5日 リニューアル
https://prtimes.jp/main/html/rd/p/000000051.000010457.html
2021/09/03(金) 21:03:16.13ID:???
>>390
ねーよとうみてもyyyy
ねーよとうみてもyyyy
2021/09/09(木) 02:12:55.45ID:???
とうみても
2021/09/09(木) 08:10:07.56ID:???
暗号のようなアドバイスは高度すぎてわからん
2021/09/09(木) 08:20:41.83ID:???
ちょっと遊んでみようと中古でライセンスありのFortigate 50Eを買ってみた。
OS5.4からファームウェアアップデートしようとしたら…できない。
Available Firmware がOS6.0からしかなくて、OS5.*はオンラインでは
アップデートできないみたい…下調べが足りなかったわ
OS5.4からファームウェアアップデートしようとしたら…できない。
Available Firmware がOS6.0からしかなくて、OS5.*はオンラインでは
アップデートできないみたい…下調べが足りなかったわ
2021/09/09(木) 12:31:40.70ID:???
ライセンスあるならダウンロードサイトに入れると思うのだけど?
どこのベンダーが管理してるか調べる方法はあった気がする
どこのベンダーが管理してるか調べる方法はあった気がする
2021/09/09(木) 12:38:36.56ID:???
過去のメールさかのぼったらfortiのサポートにシリアル番号連絡して、サポートサイトに登録できない旨を質問してるっぽかった。
その返信に既に登録されていることとベンダーの名称が書かれてたのので、そこに連絡してベンダーのサポートサイトからファームをダウンロードしたと思う。
その返信に既に登録されていることとベンダーの名称が書かれてたのので、そこに連絡してベンダーのサポートサイトからファームをダウンロードしたと思う。
2021/09/09(木) 16:33:35.28ID:???
透過モードで繋いたpcがゲートウェイに対してのみ通信出来ません。他の同セグへは通信問題なし。外部からはこのPCにアクセス出来ます。wan/lanインターフェースを入れ替えても変わらずこのpcからのゲートウエイ宛は不可。また問題のpcはフォーティ介さないと問題なく通信可能。考えられる原因はなんでしょうか?ポリシーは双方向許可、ゲートウエイへの透過ログも乗ってきません。いらんオプション設定が影響しているのでしょうか?
2021/09/09(木) 17:38:34.46ID:???
ゲートウェイ宛は通信不可だが、
そのゲートウェイの先にある別のネットワークへの通信は出来ると言うことでしょうか?
ゲートウェイと通信出来いないと言うのは、
ping, http, telnet, ssh
など主だったプロトコル全てでしょうか?
そのゲートウェイの先にある別のネットワークへの通信は出来ると言うことでしょうか?
ゲートウェイと通信出来いないと言うのは、
ping, http, telnet, ssh
など主だったプロトコル全てでしょうか?
2021/09/09(木) 18:25:51.82ID:???
ありがとうございます
パソコンのゲートウエイ、すなわち同セグのルーターにのみ全ての通信ができません。不可思議な状況です。
パソコンのゲートウエイ、すなわち同セグのルーターにのみ全ての通信ができません。不可思議な状況です。
2021/09/10(金) 00:23:10.95ID:???
400の回答がズレておりました、状況はPCのゲートウェイ当てに疎通が取れない=ルーター越えの通信は全て不可になります。よろしくお願いします
2021/09/10(金) 06:30:48.91ID:???
arpでルーターのmacアドレスは取得出来てますか?
2021/09/10(金) 07:28:35.81ID:???
透過はトランスペアレントの事かな
Fortigateは外にでられるか?
ポリシーは双方向全て許可にしてみたか?
非対称ルーティングになっていないか?
まさかfortigateとルーターのIP被って無いよね?
Fortigateは外にでられるか?
ポリシーは双方向全て許可にしてみたか?
非対称ルーティングになっていないか?
まさかfortigateとルーターのIP被って無いよね?
2021/09/10(金) 14:48:12.12ID:???
402さん
arpはPC側もルーター側も正しく拾ってます
クリアしても正常に取得します
状況からブロードキャストは通ってる筈です
403さん
>透過はトランスペアレントの事かな
はい
>Fortigateは外にでられるか?
設計的には外に出る用途はありません
>ポリシーは双方向全て許可にしてみたか?
はい、許可ログonにしても乗ってきません、、
ログとりの為deny-allを作って違反ログonにしてもなにも来ません。多分ポリシーに落ちる前に何かしらの排他処理を食らってるようです。
>非対称ルーティングになっていないか?
現在直面している問題はパソコンのデフォルトゲートウエイ、すなわち同セグのアドレスにピンが通りませんのでルーティングは関係ありませんが、ルーターの先はごく単純なもので経路選択はありません。
>まさかfortigateとルーターのIP被って無いよね?
念のため確認しましたが大丈夫です
arpはPC側もルーター側も正しく拾ってます
クリアしても正常に取得します
状況からブロードキャストは通ってる筈です
403さん
>透過はトランスペアレントの事かな
はい
>Fortigateは外にでられるか?
設計的には外に出る用途はありません
>ポリシーは双方向全て許可にしてみたか?
はい、許可ログonにしても乗ってきません、、
ログとりの為deny-allを作って違反ログonにしてもなにも来ません。多分ポリシーに落ちる前に何かしらの排他処理を食らってるようです。
>非対称ルーティングになっていないか?
現在直面している問題はパソコンのデフォルトゲートウエイ、すなわち同セグのアドレスにピンが通りませんのでルーティングは関係ありませんが、ルーターの先はごく単純なもので経路選択はありません。
>まさかfortigateとルーターのIP被って無いよね?
念のため確認しましたが大丈夫です
2021/09/10(金) 15:42:35.26ID:???
403さん402さん
すみません、よくarpを見たところ、ゲートウエイが仮装マックでした、、、(ルーターも自分が構築したのにお恥ずかしい)
試しにasymroute enableにしたら無事通りました。
構成を見直す必要がありそうです。
助かりました、お恥ずかしい限りでございます
いた汚し失礼致しました
すみません、よくarpを見たところ、ゲートウエイが仮装マックでした、、、(ルーターも自分が構築したのにお恥ずかしい)
試しにasymroute enableにしたら無事通りました。
構成を見直す必要がありそうです。
助かりました、お恥ずかしい限りでございます
いた汚し失礼致しました
2021/09/10(金) 20:01:57.48ID:???
synパケットがfortigateを通ってなかったって事?
2021/09/11(土) 01:34:14.87ID:???
構成図とか無いと本人以外はエスパーするしか無い
2021/09/11(土) 10:42:44.86ID:???
asymroute enableにしたら通りましたって、それFortigateはずしたら通りました、みたいなもんやで
2021/09/11(土) 11:01:44.67ID:???
ワシにはトランスペアレントモードで同セグ通信が非対称になる状況が理解出来ん。
2021/09/11(土) 17:07:11.46ID:???
fortiやっちまったな
こりゃ売上激減するわ
こりゃ売上激減するわ
2021/09/11(土) 17:31:02.63ID:???
https://www.fortinet.com/jp/blog/psirt-blogs/malicious-actor-discloses-fortigate-ssl-vpn-credentials
この件かな、流石に今VPN張ってる奴は2FA使ってるだろうし拠点間はIPSECだろうから影響少ないんじゃない?
この件かな、流石に今VPN張ってる奴は2FA使ってるだろうし拠点間はIPSECだろうから影響少ないんじゃない?
413.
2021/09/11(土) 17:36:40.28ID:??? 値上げの話だろ
414anonymous@fusianasan
2021/09/12(日) 10:39:26.87ID:687dm6Yr2021/09/12(日) 12:26:44.46ID:???
416anonymous@fusianasan
2021/09/12(日) 23:32:51.82ID:592yu6OM すみません、レベルの低すぎる話なんですがわかる方いたらお願いします。
自宅がNURO光なんですが、FortiClientでVPN接続にはなるのですが、社内サーバへアクセスできません。
iPhoneテザリング経由だと可能なんですが
大塚商会に聞いてもご家庭によって環境が違いますので、と役に立たない回答しか帰ってきません。
出している情報が少なすぎると思いますが、宜しくお願い致します。
自宅がNURO光なんですが、FortiClientでVPN接続にはなるのですが、社内サーバへアクセスできません。
iPhoneテザリング経由だと可能なんですが
大塚商会に聞いてもご家庭によって環境が違いますので、と役に立たない回答しか帰ってきません。
出している情報が少なすぎると思いますが、宜しくお願い致します。
2021/09/13(月) 01:08:17.23ID:???
自宅のLANのネットワークアドレスと社内LANのネットワークアドレスが同じなのでは
2021/09/13(月) 01:23:44.43ID:???
せめて構成図、IPアドレス情報とかないとな
「あーじゃね?こーじゃね?」って適当にエスパーしてもらいたいのならいいけど
「あーじゃね?こーじゃね?」って適当にエスパーしてもらいたいのならいいけど
419anonymous@fusianasan
2021/09/13(月) 06:24:07.36ID:CcTfw1kv どの情報を出せばいいのかすら分からず…
2021/09/13(月) 14:23:18.90ID:???
>役に立たない回答しか帰ってきません。
その前に簡単な構成情報も出せないようじゃ、人のこと言えないんじゃないかな
その前に簡単な構成情報も出せないようじゃ、人のこと言えないんじゃないかな
2021/09/13(月) 21:16:26.18ID:???
その塩対応は大塚商会と保守契約してるのかすら怪しいな
2021/09/13(月) 21:29:20.50ID:???
アドレスレンジ重複確認のアドバイスが上で出てるけどガン無視してるしなぁ
2021/09/13(月) 22:28:51.95ID:???
>>415
言い出しっぺとして転がってたラズパイで実験したら問題なくIPSECで繋がった。もうライセンス買わんで良いかも。
言い出しっぺとして転がってたラズパイで実験したら問題なくIPSECで繋がった。もうライセンス買わんで良いかも。
424anonymous@fusianasan
2021/09/14(火) 00:30:27.33ID:P2QP+H+k >>417
ありがとうございます
無知過ぎてなんのこと言ってるのか分からず調べてました
会社のサーバーのアドレスが192.168.1.1だったのですが、プライマリIPアドレスというのが同じだったので168.2.1にビビりながら変えてみたら入れました
大塚商会とは保守契約結んでるんですが家庭によって違うので分かんないっすねとの回答が来るだけでした
ありがとうございました
スレ汚し失礼しました
ありがとうございます
無知過ぎてなんのこと言ってるのか分からず調べてました
会社のサーバーのアドレスが192.168.1.1だったのですが、プライマリIPアドレスというのが同じだったので168.2.1にビビりながら変えてみたら入れました
大塚商会とは保守契約結んでるんですが家庭によって違うので分かんないっすねとの回答が来るだけでした
ありがとうございました
スレ汚し失礼しました
2021/09/14(火) 02:48:58.83ID:???
たぶん誤解してるだろうけど保守契約で設定のやり方教えてくれは契約外だから
大塚商会からしたらただのクレーマーだよ
大塚商会からしたらただのクレーマーだよ
2021/09/14(火) 03:01:55.78ID:???
「解決しました」まで含めて作り話だろうね
2021/09/14(火) 08:27:02.28ID:???
うまく動きませんNGです構成は普通です詳しくないので難しいこと言って煙に巻かないでください本当に困ってるんですよ。みたいなのはどの業界でも結構見かける。
2021/09/14(火) 09:40:15.87ID:???
一部のipsシグネチャーをオフにしたい。
ipsセンサーで、一部のシグネチャーのチェックを外した後もフィルターに従い新らしいシグネチャーは追加され続ける認識であってますか。
ipsセンサーで、一部のシグネチャーのチェックを外した後もフィルターに従い新らしいシグネチャーは追加され続ける認識であってますか。
429anonymous@fusianasan
2021/09/14(火) 10:03:49.46ID:wU9ehGWV2021/09/14(火) 10:09:00.19ID:???
>>427
「車のエンジンがかからない」のコピペ的な「困ってる」しか言えない人いるし、それと同じ類だね
「車のエンジンがかからない」のコピペ的な「困ってる」しか言えない人いるし、それと同じ類だね
2021/09/14(火) 10:33:40.05ID:???
2021/09/14(火) 10:58:03.15ID:???
珍しく盛り上がっとるやんけw
2021/09/15(水) 16:30:24.75ID:???
たよれーるのFortiGateってどこから入れてるんだろう?MKI?
2021/09/15(水) 17:18:14.84ID:???
保守契約はscskだったよ
2021/09/15(水) 18:58:43.58ID:???
SCSKならまだ対応してくれそうだがな
2021/09/15(水) 23:20:42.69ID:???
SCSKは6.2ファーム公開がやけに遅かったり色々あった記憶
でも保守に技術サポートも入ってるから設定関連の質問も対応してくれる筈
ただ問い合わせ能力は問われるね、構成も目的もしっかり伝えられない奴はSIベンダーに頼んだ方がいいね
でも保守に技術サポートも入ってるから設定関連の質問も対応してくれる筈
ただ問い合わせ能力は問われるね、構成も目的もしっかり伝えられない奴はSIベンダーに頼んだ方がいいね
2021/09/16(木) 02:40:20.71ID:???
技術サポートのレベルが高いサプライヤはどこ?
個人的にSBC&Sは時間がかかりすぎる気がする。
ネットワールドとかどうなんだろう?
個人的にSBC&Sは時間がかかりすぎる気がする。
ネットワールドとかどうなんだろう?
2021/09/16(木) 03:15:52.30ID:???
無い
2021/09/16(木) 08:02:02.04ID:???
保守サイトの情報はctc-spが充実しとるな。
440anonymous@fusianasan
2021/09/16(木) 08:10:06.88ID:exhIy45E ヤフオクで買ったFortigateが保守期限内だったけど
ファームウェアのダウンロードも保守も断られたな。
どこも中古は保守受けないのかな。
ファームウェアのダウンロードも保守も断られたな。
どこも中古は保守受けないのかな。
2021/09/16(木) 09:54:37.22ID:???
そらそーよ
だから中古が安い
だから中古が安い
2021/09/18(土) 15:04:48.12ID:???
FortiClient6.43のSSL接続のRADIUSに、
Windows標準のNetworkPolicyServerって使えないの?
ただし、現在社内無線LANの802.1xで使用中
LDAPの連携かけてやろうとしたんだけど、
業者がNPSじゃできませんと言って、NetAttestを買わされた
本当にできないの?
FG100F 6.2.7
Windows標準のNetworkPolicyServerって使えないの?
ただし、現在社内無線LANの802.1xで使用中
LDAPの連携かけてやろうとしたんだけど、
業者がNPSじゃできませんと言って、NetAttestを買わされた
本当にできないの?
FG100F 6.2.7
2021/09/18(土) 15:12:34.05ID:???
2021/09/18(土) 15:14:45.08ID:???
ユーザ名とパスワードの問い合わせしてるだけなら普通にできるでしょ
445442
2021/09/18(土) 16:26:58.32ID:???2021/09/18(土) 16:44:29.05ID:???
パナかな?
2021/09/18(土) 17:54:18.29ID:???
>>442みたいな担当がいるところには関わりたくない
2021/09/18(土) 17:57:49.50ID:???
訊く前に試せばいいのにな
2021/09/18(土) 18:00:10.94ID:???
「仕様上できる」なんて言うもんならできなかったときにすげえギャーギャー騒ぐし
お前のお母さんじゃねえよ
お前のお母さんじゃねえよ
2021/09/18(土) 18:05:39.94ID:???
ITに関わってる人は多いけどほとんどの人は自分で調べられない&手を動かせない人たちばかりだからね
5chに質問書き込む前にその端末でググれば良いんだけど
5chに質問書き込む前にその端末でググれば良いんだけど
2021/09/18(土) 18:23:56.84ID:???
2021/09/18(土) 18:32:35.14ID:???
業者は確実に出来るもん提案するよね、出来ないと責任問題だからね
まずやってみるとかは検証機なら出来るけど実環境では厳しいよね
あとADはサーバ管理が杜撰だと問題起こることもあるし
対応出来ないベンダーが多いのも仕方なしな感じもある
まずやってみるとかは検証機なら出来るけど実環境では厳しいよね
あとADはサーバ管理が杜撰だと問題起こることもあるし
対応出来ないベンダーが多いのも仕方なしな感じもある
2021/09/18(土) 20:37:36.77ID:???
何でマニュアル読まないの?
2021/09/18(土) 20:38:20.81ID:???
受ける際に、うちでは実績無い、検証が必要で予算がかかります。
とかの話がされるならわかるけど、出来ませんで他製品を売るのは
わからない奴に売っちまえ的で非誠実な営業とは思うなー。
後でバレること考えないのかしら?
とかの話がされるならわかるけど、出来ませんで他製品を売るのは
わからない奴に売っちまえ的で非誠実な営業とは思うなー。
後でバレること考えないのかしら?
2021/09/19(日) 00:54:00.63ID:???
「NPSでSSL-VPNの認証は出来ません」って断言はしないと思うけどね
2021/09/19(日) 02:42:49.41ID:???
2021/09/19(日) 02:56:30.69ID:???
読み間違えてそう
2021/09/19(日) 09:28:19.46ID:???
SSL-VPNといえば侵入された可能性のある客に、ちゃんとパスワード変更促した?
2021/09/19(日) 09:45:47.83ID:???
そういう注意喚起は保守から連絡する
2021/09/19(日) 10:10:03.44ID:???
保守から連絡きたことなんて一度もないぞ
2021/09/19(日) 12:26:09.09ID:???
PSIRTすら見てないってどうなのよ。
2021/09/19(日) 13:06:48.97ID:???
ようするに、保守も誰も顧客に連絡してない。
463442
2021/09/19(日) 13:16:12.42ID:??? >>455
断言されたよ
IPsecでのVPN運用中だし、冗長化してない
上からは早急にの要求
皆様のように運用中の機械で検証やるほどの度胸は無い
お任せでNetAttestで運用すると障害発生で使えない
結局当方で100台ほどIPsecに戻す
それで、原因不明と放置され数か月
確かに英語に目がいかなかった自分は悪い
断言されたよ
IPsecでのVPN運用中だし、冗長化してない
上からは早急にの要求
皆様のように運用中の機械で検証やるほどの度胸は無い
お任せでNetAttestで運用すると障害発生で使えない
結局当方で100台ほどIPsecに戻す
それで、原因不明と放置され数か月
確かに英語に目がいかなかった自分は悪い
2021/09/19(日) 13:52:51.42ID:???
Radiusサーバでのユーザ名/パスワード認証くらいだったら他社装置間の接続でも問題は出にくいのに
そこをあえて「できません」って断言する業者だったら、なぜ出来ないのかくらいの技術的な会話ができる人がいればよかったのにね
技術的に不可能なのか、検証できる人員が居ない&サポートできないなのかは結局わからないまま
そこをあえて「できません」って断言する業者だったら、なぜ出来ないのかくらいの技術的な会話ができる人がいればよかったのにね
技術的に不可能なのか、検証できる人員が居ない&サポートできないなのかは結局わからないまま
2021/09/19(日) 16:15:50.74ID:???
全体の構成を確認してないのにできるできないとか知ったかぶりの素人が言いそうな話だな。
2021/09/19(日) 17:00:57.96ID:???
まだやってんのか?
2021/09/19(日) 17:14:18.53ID:???
その昔、できるできないの秘密というタイトルの児童書があってね
その中に出てくるデキッコナイスっていう外人が好きだったなあ
その中に出てくるデキッコナイスっていう外人が好きだったなあ
2021/09/19(日) 17:39:01.76ID:???
NPSは使用できませんって言われて信じる方も相当だな
2021/09/20(月) 08:26:54.42ID:???
それはソ○トンのサポートがクソってことじゃねぇか
2021/09/20(月) 11:09:31.48ID:???
ファイルゼンブ流出しちゃうからな
2021/09/20(月) 18:01:12.32ID:???
Fortigateを海外で買える安いところでおすすめはありますか?
ライセンス更新も必要ですので、安いだけでは困ります。
ライセンス更新も必要ですので、安いだけでは困ります。
2021/09/20(月) 18:06:42.07ID:???
国内で買えでFA
2021/09/20(月) 18:10:49.04ID:???
海外で購入されてた方もいらっしゃいますので不可です。
2021/09/20(月) 20:05:05.23ID:???
こちらにお問い合わせいただいてみてはいかがでしょうか
https://www.fortinet.com/partners/partner-program/find-a-partner.html
https://www.fortinet.com/partners/partner-program/find-a-partner.html
475anonymous@fusianasan
2021/09/20(月) 23:15:03.14ID:x9ZTeyuQ2021/09/20(月) 23:38:19.27ID:???
国によっては輸出規制とかありそう
2021/09/22(水) 13:39:50.75ID:???
マジ値上げはんぱねーんだけどなめてんのかって
2021/09/27(月) 20:51:41.86ID:???
YAMAHA 舐めてるのか。
RTXの新製品出せよ!
RTXの新製品出せよ!
2021/09/27(月) 21:29:25.59ID:???
YAMAHAヤマハブロードバンドルーターpp select 31
https://mevius.5ch.net/test/read.cgi/hard/1618238582/
ヤマハのスレすら探せない人がコンフィグできるのかね
https://mevius.5ch.net/test/read.cgi/hard/1618238582/
ヤマハのスレすら探せない人がコンフィグできるのかね
480anonymous
2021/09/30(木) 01:43:03.50ID:??? Fortigate40F届いた!さっそくプロキシモードにしてFortiオレオレ証明書をPCにインストール。
ディープパケットインスペクションにしています。でもたまにプライバシーが保護されていません画面がでてきます・・・
みなさんこういうこと普通にありますか?
https://imgur.com/a/UieLj7v
ディープパケットインスペクションにしています。でもたまにプライバシーが保護されていません画面がでてきます・・・
みなさんこういうこと普通にありますか?
https://imgur.com/a/UieLj7v
2021/09/30(木) 06:44:52.63ID:???
>>480
"信頼できるルート証明書"の所にインストールした?
"信頼できるルート証明書"の所にインストールした?
482anonymous
2021/09/30(木) 14:00:02.03ID:???2021/09/30(木) 19:40:14.90ID:???
ブラウザ変えても同じ事象になりますか?
484anonymous
2021/09/30(木) 22:23:17.95ID:??? Chrome使っていますが、Firefoxでも試してみたところ今のところ証明書エラー画面はなしでした。
でも不可思議なんですよね。導入して証明書をインストールしていたのに、何度も証明書エラーが出たりでなかったりで、
それが十数回起きてからエラーにならなくなるという
でも不可思議なんですよね。導入して証明書をインストールしていたのに、何度も証明書エラーが出たりでなかったりで、
それが十数回起きてからエラーにならなくなるという
2021/10/01(金) 13:57:05.11ID:???
なんか一部のhttps://サイト繋がらなくない?
2021/10/01(金) 14:53:59.39ID:???
2021/10/01(金) 16:01:32.30ID:???
488484
2021/10/02(土) 00:16:27.62ID:??? Fortiのオレオレ証明書の期限見てみました、2031年・・・
ベリサイン社とかのを購入して、そっちを使った方がいいのかな?
ちなみに今日は証明書のエラーはなかったですが、ERR_CONNECTION_RESETエラーが。
https://imgur.com/a/uMzGKTz
今のところChromeだけで確認してます
ベリサイン社とかのを購入して、そっちを使った方がいいのかな?
ちなみに今日は証明書のエラーはなかったですが、ERR_CONNECTION_RESETエラーが。
https://imgur.com/a/uMzGKTz
今のところChromeだけで確認してます
2021/10/02(土) 00:38:32.21ID:???
491487
2021/10/02(土) 02:16:12.35ID:??? >>489
その二つはあなたの問題とは関係ないので読む必要ありません。
Let's Encrypt から発行されたサーバ証明書を
Fortigate の certificate-inspection が信用しなくなったという問題で、
以前はつながっていたサイトが10月1日から見られなくなったという話です。
その二つはあなたの問題とは関係ないので読む必要ありません。
Let's Encrypt から発行されたサーバ証明書を
Fortigate の certificate-inspection が信用しなくなったという問題で、
以前はつながっていたサイトが10月1日から見られなくなったという話です。
2021/10/02(土) 02:20:41.20ID:???
deep-inspectionでも出ますね
2021/10/05(火) 02:41:03.14ID:???
>>467
遅レスだが地球に穴あけて反対側に行く話を思い出したw
遅レスだが地球に穴あけて反対側に行く話を思い出したw
2021/10/06(水) 08:50:27.31ID:???
IPSの挙動テストを評価版でしたいのだけど
"Web.Server.Password.Files.Access"
のシグネチャがない。
他にテストする方法ないだろうか?
"Web.Server.Password.Files.Access"
のシグネチャがない。
他にテストする方法ないだろうか?
495anonymous@fusianasan
2021/10/13(水) 20:32:45.99ID:mb7TIAK8 ddnsサーバって今障害が出てます?
ネットワーク - dns - fortiguard DDNS
をオンにすると、通常はサーバ欄にfortiddns.comなどが選べるはずなんですが、「DDNSサーバ情報をfortigurardサービスから取得できません」と表示され、サーバ欄が空欄となっています
ネットワーク - dns - fortiguard DDNS
をオンにすると、通常はサーバ欄にfortiddns.comなどが選べるはずなんですが、「DDNSサーバ情報をfortigurardサービスから取得できません」と表示され、サーバ欄が空欄となっています
496>>484
2021/10/15(金) 23:29:31.05ID:??? 証明書エラー、Foritgate40Fのファームを最新にしたら起こらなくなりました。
プロキシベースにしてcustom_deep_inspectionをONにするとニコニコ生放送・Youtubeが
見れなくなっていましたが、こちらは当該アドレスをSSLインスペクションから除外、で対応できました
プロキシベースにしてcustom_deep_inspectionをONにするとニコニコ生放送・Youtubeが
見れなくなっていましたが、こちらは当該アドレスをSSLインスペクションから除外、で対応できました
497>>496
2021/10/27(水) 00:34:38.44ID:??? Fortigate40Fの証明書問題、動画サイトはSSL除外で表示されるようになってましたが
他サイトでエラー画面が出てきていました。サポセンに相談してみたところ、
>期限切れのルートCAへのフォールバックを防ぐ
という対処を教えていただき、CLIで実行したところうまく行きました。
他サイトでエラー画面が出てきていました。サポセンに相談してみたところ、
>期限切れのルートCAへのフォールバックを防ぐ
という対処を教えていただき、CLIで実行したところうまく行きました。
498>>496
2021/10/27(水) 00:36:14.06ID:??? 公開されているブログだからいいのかな?
https://www.fortinet.com/jp/blog/psirt-blogs/fortinet-and-expiring-lets-encrypt-certificates
ここの人たちはみんな既に対策してると思いますが一応
https://www.fortinet.com/jp/blog/psirt-blogs/fortinet-and-expiring-lets-encrypt-certificates
ここの人たちはみんな既に対策してると思いますが一応
2021/10/27(水) 01:04:39.18ID:???
2021/10/31(日) 00:07:23.08ID:???
質問です。
fg50e、v6.29
wan1はマンションフリーインターネット向け
wan2は上位に固定ipを持つルータを配置し、ルータからdnatでwan2向けに転送しています。
wan2からforticlientにてssl-vpnを利用したいのですが、dgwがwan1に向いているため接続できず、一時的にdgwをwan2に向けることでvpnできることを確認しました。
dgwがwan1の状態で、wan2から来たグローバルipに対してはgwをwan2に向けたくポリシールートを利用しましたがうまく行きません。(以下切り分けのためまずは広めに設定しています)
※着信インターフェイスwan1、送信元アドレスall、宛先アドレスall、アクション転送先インターフェイスwan2
誤っている点、確認すべき点等あればアドバイスいただけますでしょうか。
fg50e、v6.29
wan1はマンションフリーインターネット向け
wan2は上位に固定ipを持つルータを配置し、ルータからdnatでwan2向けに転送しています。
wan2からforticlientにてssl-vpnを利用したいのですが、dgwがwan1に向いているため接続できず、一時的にdgwをwan2に向けることでvpnできることを確認しました。
dgwがwan1の状態で、wan2から来たグローバルipに対してはgwをwan2に向けたくポリシールートを利用しましたがうまく行きません。(以下切り分けのためまずは広めに設定しています)
※着信インターフェイスwan1、送信元アドレスall、宛先アドレスall、アクション転送先インターフェイスwan2
誤っている点、確認すべき点等あればアドバイスいただけますでしょうか。
2021/10/31(日) 04:47:41.91ID:???
>>500
デフォルトルート向けて動いた状態でデフォルトルート戻してスタティックルート書けば動きそうな気がするんだけど。
デフォルトルート向けて動いた状態でデフォルトルート戻してスタティックルート書けば動きそうな気がするんだけど。
2021/10/31(日) 09:26:49.71ID:???
ポリシールートで実現出来るんかなぁ?使ったことないから知らんけど無理な気がする。
wan2の上位のルーターで、wan2への通信をソースnapt(ipマスカレード)してやればFortigateは何もしなくて良くて一番簡単やが。
wan2の上位のルーターで、wan2への通信をソースnapt(ipマスカレード)してやればFortigateは何もしなくて良くて一番簡単やが。
2021/10/31(日) 09:28:02.17ID:???
そういうのはSDWANのfeature使うんじゃ
504anonymous
2021/10/31(日) 09:46:44.41ID:??? VDOMで別けてしまうのが簡単じゃない?
2021/10/31(日) 11:23:51.05ID:???
lan側は1個でもvdom別けれるんかのぅ?
2021/10/31(日) 12:37:30.53ID:???
ルータのlan側インターフェースでソースnaptする案で解決しました。
ポリシールートでは上手く行かない理由はいまいちわからずですが、、、
みなさま返信ありがとうございました!
>>502
なるほど、ソースipをローカルアドレスに置き換えて固定化するわけですね
ルータのlan側でnapt有効化するだけであっさり解決しました!
>>501
宛先が変動するグローバルipなのでスタティックルートを書くことができず、、、
wan2向けをdgwとしてwan1向けをポリシールートすれば可能であることは確認していましたが
メインのwan1側はできればポリシールートで書きたくないという気持ちがありました。
>>504
最終的にはVDOMでわけることを考えていましたが
経験がなくまずは今の構成での解決方法を考えていました
今後時間のあるときにVDOMにも挑戦します!
ポリシールートでは上手く行かない理由はいまいちわからずですが、、、
みなさま返信ありがとうございました!
>>502
なるほど、ソースipをローカルアドレスに置き換えて固定化するわけですね
ルータのlan側でnapt有効化するだけであっさり解決しました!
>>501
宛先が変動するグローバルipなのでスタティックルートを書くことができず、、、
wan2向けをdgwとしてwan1向けをポリシールートすれば可能であることは確認していましたが
メインのwan1側はできればポリシールートで書きたくないという気持ちがありました。
>>504
最終的にはVDOMでわけることを考えていましたが
経験がなくまずは今の構成での解決方法を考えていました
今後時間のあるときにVDOMにも挑戦します!
2021/11/03(水) 13:05:45.19ID:???
中古ライセンスありのFortiGate50Eを買って、多分初歩的なところで躓いています
どうかお知恵をお貸しください。バージョンFortiOS v6.2.9 build1234 (GA)です。
Explicit Proxy 機能を使おうと思い、プロキシーポリシーから新規作成で
New Proxy Policyを作ろうとしているのですが、必須項目のサービスのエントリ
選択画面で「エントリーなし」とでて、選べません。
エントリを新規作成(例:myproxy1)しても空欄のままです。
ただし、サービスの一覧で見ると上記で作成した新エントリmyproxy1は存在します。
なぜかプロキシーポリシーの新規作成のエントリ選択画面には表示されません。
本来、このエントリ選択で「Web Proxy」または自作の「myproxy1」が選べるはずだと
思うのですが、どこかで誤りがあるのでしょうか。
よろしくお願いいたします。
どうかお知恵をお貸しください。バージョンFortiOS v6.2.9 build1234 (GA)です。
Explicit Proxy 機能を使おうと思い、プロキシーポリシーから新規作成で
New Proxy Policyを作ろうとしているのですが、必須項目のサービスのエントリ
選択画面で「エントリーなし」とでて、選べません。
エントリを新規作成(例:myproxy1)しても空欄のままです。
ただし、サービスの一覧で見ると上記で作成した新エントリmyproxy1は存在します。
なぜかプロキシーポリシーの新規作成のエントリ選択画面には表示されません。
本来、このエントリ選択で「Web Proxy」または自作の「myproxy1」が選べるはずだと
思うのですが、どこかで誤りがあるのでしょうか。
よろしくお願いいたします。
2021/11/03(水) 13:38:02.08ID:???
すみません、自己解決しました。
サービスのエントリにFirewall/Explicit Proxyを選択するオプションがあり
最初からExplicit Proxyのためのサービスとして登録する必要がありました
初期状態ではすべてFirewallになっていたためエントリ画面に出ないだけでした
お騒がせして申し訳ないす
サービスのエントリにFirewall/Explicit Proxyを選択するオプションがあり
最初からExplicit Proxyのためのサービスとして登録する必要がありました
初期状態ではすべてFirewallになっていたためエントリ画面に出ないだけでした
お騒がせして申し訳ないす
2021/11/10(水) 16:04:19.20ID:???
510anonymous@fusianasan
2021/11/20(土) 11:49:20.17ID:fSgAFZMu FortiGateでtransixのDS-Lite使ってる方居ませんか?
ipv6トンネルのローカルアドレスを固定で設定すると、網側のメンテなどでプレフィックスが変わった時に追従出来ないと思うのですが、知見をお持ちの方がいらっしゃれば教えてください。
ipv6トンネルのローカルアドレスを固定で設定すると、網側のメンテなどでプレフィックスが変わった時に追従出来ないと思うのですが、知見をお持ちの方がいらっしゃれば教えてください。
2021/11/20(土) 12:55:42.09ID:???
Fortigateはガラパゴス規格に弱い
大人しくヤマハかNECのルータ置いとけ
大人しくヤマハかNECのルータ置いとけ
512anonymous@fusianasan
2021/11/20(土) 21:22:49.01ID:fSgAFZMu やっぱりそうですよねー
ヤマハが半導体の影響で入手できなく、模索してました。
ヤマハが半導体の影響で入手できなく、模索してました。
513anonymous@fusianasan
2021/11/20(土) 23:32:26.61ID:dpAs2h0g PPPoEもそうだけどセッション保持がしつこくて嫌になる
2021/11/22(月) 11:57:35.75ID:???
DS lite使うだけならset autoconf enableじゃあかんの?
2021/11/22(月) 15:18:47.84ID:???
https://tadaup.jp/loda/1122151306214218.jpg
つたない図でごめん
この構成でX.X.X.4宛にSSL-VPN接続が出来ていたのに突然接続できなくなっちゃったんだけど何か原因思いつきますか……?
だいぶエスパー頼みになっちゃうんだけど考えられる可能性をば……
つたない図でごめん
この構成でX.X.X.4宛にSSL-VPN接続が出来ていたのに突然接続できなくなっちゃったんだけど何か原因思いつきますか……?
だいぶエスパー頼みになっちゃうんだけど考えられる可能性をば……
2021/11/22(月) 15:29:05.32ID:???
すみません
クライアント側のエラー表示はこんな感じでした
Unable to establish the VPN connection. The VPN server may be unreachable. (-14)
クライアント側のエラー表示はこんな感じでした
Unable to establish the VPN connection. The VPN server may be unreachable. (-14)
517anonymous@fusianasan
2021/11/22(月) 17:29:56.57ID:SyGujHDe >>0514
IPv6アドレスが変わっても、絶対触らずにIPv4通信を継続させたい、という感じです。
IPv6アドレスが変わっても、絶対触らずにIPv4通信を継続させたい、という感じです。
518anonymous@fusianasan
2021/11/22(月) 17:32:31.15ID:SyGujHDe >>0516
VPNサーバーが応答なしってエラーなので、機器のサービスが落ちてるか経路上の問題では無いでしょうか。あと、ONUにはIPアドレス無いはず
VPNサーバーが応答なしってエラーなので、機器のサービスが落ちてるか経路上の問題では無いでしょうか。あと、ONUにはIPアドレス無いはず
2021/11/22(月) 23:05:46.10ID:???
2021/11/22(月) 23:30:02.52ID:???
そもそもグローバルIPは固定の契約なのか??
2021/11/23(火) 00:02:11.70ID:???
>>515
下の装置のipアドレス消し忘れてるぞ。特定しました。
下の装置のipアドレス消し忘れてるぞ。特定しました。
2021/11/23(火) 02:43:53.30ID:???
2021/11/23(火) 10:46:22.67ID:???
6.4.8 きてたんだねー
うちはアップデートした方が良さそう
うちはアップデートした方が良さそう
2021/11/23(火) 12:53:18.42ID:???
6.4.8でLets EncryptのクロスルートCAの問題も解消されてるみたいね
6.2系だと6.2.10で対応されてたみたいだけど
6.2系だと6.2.10で対応されてたみたいだけど
2021/11/23(火) 13:26:25.98ID:???
526anonymous@fusianasan
2021/11/23(火) 14:38:20.34ID:/oGzFb22 >>0525
すんません、変換ミスです
○設定
×絶対
切れるのはいいんですが、都度設定変更は避けたいという感じです。
すんません、変換ミスです
○設定
×絶対
切れるのはいいんですが、都度設定変更は避けたいという感じです。
2021/11/23(火) 14:58:51.89ID:???
528anonymous@fusianasan
2021/11/23(火) 21:36:18.09ID:qOHjJAMn >>0527
autoconf enableって、ipipトンネルのローカルipまで書き換えてくれるのですか?
autoconf enableって、ipipトンネルのローカルipまで書き換えてくれるのですか?
2021/11/24(水) 01:32:37.75ID:???
>>524
やっぱり6.4系の対応の方がまだだったよね・・・
やっぱり6.4系の対応の方がまだだったよね・・・
2021/11/25(木) 00:09:31.91ID:???
>>528
https://docs.fortinet.com/document/fortigate/6.4.8/cli-reference/7620/config-system-interface
set unique-autoconf-addr enable
IPv6 prefixが変わることはかなり稀だけど
https://docs.fortinet.com/document/fortigate/6.4.8/cli-reference/7620/config-system-interface
set unique-autoconf-addr enable
IPv6 prefixが変わることはかなり稀だけど
2021/11/26(金) 18:44:11.51ID:???
fortigateは半導体不足の影響はないですか?
2021/11/26(金) 18:53:36.61ID:???
この状況で影響ありませんって言えるIT機器ベンダがあるなら聞いてみたい
2021/11/28(日) 22:11:17.20ID:???
fortiAP,fortiSwitchのエントリーモデル系はもう納期未定と言われた。
2021/11/30(火) 23:21:26.65ID:???
>>531
ないアルヨ!
ないアルヨ!
2021/12/04(土) 05:29:52.55ID:???
5chへの書き込みに固定IPで出たくないから、プロキシで書いてるんだけど
最近プロキシ通してるだけで怒られる事多くなってきた
FortiでPPPoEかモデムでLTE終端、SD-WAN通して5ch.net宛だけそこ経由、
他はメインのルータに流そうかなと思うんだけど
1.SD-WANはライセンス切れてても使える
2.SD-WANは性能指標のFW機能の一部(notIPS,SSLインスペクション)に該当する
で合ってますでしょうか
最近プロキシ通してるだけで怒られる事多くなってきた
FortiでPPPoEかモデムでLTE終端、SD-WAN通して5ch.net宛だけそこ経由、
他はメインのルータに流そうかなと思うんだけど
1.SD-WANはライセンス切れてても使える
2.SD-WANは性能指標のFW機能の一部(notIPS,SSLインスペクション)に該当する
で合ってますでしょうか
2021/12/04(土) 16:01:55.06ID:???
ライセンス残っている60Eをオークションで購入して、初めてFortigateを触ります。
新しい機能を覚えたほうが良いと考え、FortiOS 7.0.2に更新しました。
CLIからトランスペアレントモードに変更して、管理IPv4アドレスを割り当て済みで、
IPv4のインターネットへの通信と、WebからFortigate管理画面へログインできています。
インターネット側のルーターはNEC IX2207で、OCN IPoE (IPv4動的アドレス契約)、
ひかり電話なし、ONU直結、IPv6とIPv4 MAP-Eによるインターネット接続はできています。
PCには、IX2207からIPv6アドレスが割り振られています。
ここに、Fortigate 60Eを入れて、WAN1をIX2201-GE2に、LAN1をPC側につなぎます。
すると、IPv6アドレスがPCに割り振られなくなりました。
Fortigateに、IPv6を使う、WANからLANへRA通知も通す、という設定が必要だと思いますが、
どこをいじればよいか、わかる方教えてください。
新しい機能を覚えたほうが良いと考え、FortiOS 7.0.2に更新しました。
CLIからトランスペアレントモードに変更して、管理IPv4アドレスを割り当て済みで、
IPv4のインターネットへの通信と、WebからFortigate管理画面へログインできています。
インターネット側のルーターはNEC IX2207で、OCN IPoE (IPv4動的アドレス契約)、
ひかり電話なし、ONU直結、IPv6とIPv4 MAP-Eによるインターネット接続はできています。
PCには、IX2207からIPv6アドレスが割り振られています。
ここに、Fortigate 60Eを入れて、WAN1をIX2201-GE2に、LAN1をPC側につなぎます。
すると、IPv6アドレスがPCに割り振られなくなりました。
Fortigateに、IPv6を使う、WANからLANへRA通知も通す、という設定が必要だと思いますが、
どこをいじればよいか、わかる方教えてください。
2021/12/04(土) 16:16:10.59ID:???
よく知らんけど、NECからFortigateにprefix delegationとやらでFortigateのlan側用のipv6セグメントを移譲してやらなアカンて事かな?
ipv6はムズいね。ワシには無理だ。
ipv6はムズいね。ワシには無理だ。
2021/12/04(土) 16:18:33.73ID:???
あ、光電話なしだからipv6プレフィックスは/64しかもらえないのか?
じゃぁprefix delegationじゃなくてfortigateでnd proxyしてやりゃいいのか?
じゃぁprefix delegationじゃなくてfortigateでnd proxyしてやりゃいいのか?
539536
2021/12/04(土) 16:42:18.23ID:??? >>538
NECのIXルーターの設定は、 ttps://jpn.nec.com/univerge/ix/Support/ipv6/OCN-VC/index.html
の、「設定例1 OCNバーチャルコネクト(動的IP)の設定 - IPv6 RA」を使ったのですが、
interface GigaEthernet1.0
ipv6 nd ra enable
ipv6 nd ra other-config-flag
とあるので、IXルーターがすでにNDプロキシ使っているようです。
YouTubeであきみちが、NDプロキシは1回しか使えないって言っていたので、ダメなのかなと。
NECのIXルーターの設定は、 ttps://jpn.nec.com/univerge/ix/Support/ipv6/OCN-VC/index.html
の、「設定例1 OCNバーチャルコネクト(動的IP)の設定 - IPv6 RA」を使ったのですが、
interface GigaEthernet1.0
ipv6 nd ra enable
ipv6 nd ra other-config-flag
とあるので、IXルーターがすでにNDプロキシ使っているようです。
YouTubeであきみちが、NDプロキシは1回しか使えないって言っていたので、ダメなのかなと。
2021/12/04(土) 16:48:15.52ID:???
ググれば腐るほど出てくると思うけど……
そこを見ても設定できないのか
そもそもIPoE用のトンネルも設定したか
NDプロキシは有効化してるか
ND通知をポリシーで許可してるかとか色々情報が足りん
そこを見ても設定できないのか
そもそもIPoE用のトンネルも設定したか
NDプロキシは有効化してるか
ND通知をポリシーで許可してるかとか色々情報が足りん
541536
2021/12/04(土) 17:33:08.77ID:??? ググっても「Fortigateをルーターとして使用+OCN MAP-E IPv4固定」ばかりで、
トランスペアレントモードで、すでに上位のルーターがND-Proxyとして動いている事例が
見つけられなかったのです。
MAP-E 動的IPなので、Fortigateをルーターとして使用しない前提で環境を作っています。
中古Fortigateなので故障したときは、L2SWとIXルーターを直結させて、
UTM機能はなくなるけれど、インターネット接続は維持できる環境を目指しています。
IPv6で、GoogleやMicrosoftのサービスとの通信速度が上がるので、
トランスペアレント+IPv6が必要です。
>ND通知をポリシーで許可
は探してみます。
NDプロキシ有効にして2段になっても、外部には迷惑はかけないだろうから、やってみます。
>そもそもIPoE用のトンネルも設定したか
は、わかっていないので、多分設定していません。
トランスペアレントモードで、すでに上位のルーターがND-Proxyとして動いている事例が
見つけられなかったのです。
MAP-E 動的IPなので、Fortigateをルーターとして使用しない前提で環境を作っています。
中古Fortigateなので故障したときは、L2SWとIXルーターを直結させて、
UTM機能はなくなるけれど、インターネット接続は維持できる環境を目指しています。
IPv6で、GoogleやMicrosoftのサービスとの通信速度が上がるので、
トランスペアレント+IPv6が必要です。
>ND通知をポリシーで許可
は探してみます。
NDプロキシ有効にして2段になっても、外部には迷惑はかけないだろうから、やってみます。
>そもそもIPoE用のトンネルも設定したか
は、わかっていないので、多分設定していません。
2021/12/04(土) 17:43:13.40ID:???
ライセンス切れのFortigateを使う神経が理解できんな
ファームウェアの更新できないし穴が開いたら開きっぱなしの危険物でしかない
そこらの市販WiFiルーターの方がマシ
頼むからやめてくれ
サポート終了したWindowsを使い続けるのは叩かれるのに碌にファームウェアも更新されないネットワーク機器を使い続けるのは叩かれないのは理解し難い
ファームウェアの更新できないし穴が開いたら開きっぱなしの危険物でしかない
そこらの市販WiFiルーターの方がマシ
頼むからやめてくれ
サポート終了したWindowsを使い続けるのは叩かれるのに碌にファームウェアも更新されないネットワーク機器を使い続けるのは叩かれないのは理解し難い
2021/12/04(土) 17:46:05.82ID:???
やめてくれも何もお前はどこの誰目線で話してんだよ(笑)
536の勝手だろうが
536の勝手だろうが
2021/12/04(土) 18:21:59.50ID:???
fortigate納期1年待ちってマジ?
545536
2021/12/04(土) 18:30:04.26ID:??? >>542
中古購入だけど、最初に書き込んだ通り、
ライセンス残っているものを選んだので、その批判は該当しません。
ライセンスが切れたらまた別の個体を探します。
そもそも、AntiVirusやWebFilterが使いたくて購入する製品なのに、
ライセンス切れの個体を使っていると思い込む人がいるのは、不思議ですね。
中古購入だけど、最初に書き込んだ通り、
ライセンス残っているものを選んだので、その批判は該当しません。
ライセンスが切れたらまた別の個体を探します。
そもそも、AntiVirusやWebFilterが使いたくて購入する製品なのに、
ライセンス切れの個体を使っていると思い込む人がいるのは、不思議ですね。
2021/12/04(土) 19:27:45.99ID:???
2021/12/04(土) 21:17:56.30ID:???
>>541
トランスペアレントで動かしてるなら、とりあえずIPv6のファイアウォールポリシー(ユニキャストとマルチキャスト)を許可するポリシー書いてみればいいかと
トランスペアレントで動かしてるなら、とりあえずIPv6のファイアウォールポリシー(ユニキャストとマルチキャスト)を許可するポリシー書いてみればいいかと
2021/12/04(土) 21:33:41.42ID:???
>>541
トランスペアレントモードじゃなくてバーチャルワイヤーペアではダメ?
ルーティングやIPv6配布等は上位ルータで、通信制御とUTMだけはインラインでFortigateが行う、という構成がとれるはず
トランスペアレントモードじゃなくてバーチャルワイヤーペアではダメ?
ルーティングやIPv6配布等は上位ルータで、通信制御とUTMだけはインラインでFortigateが行う、という構成がとれるはず
2021/12/04(土) 23:17:39.33ID:???
Fortigateの証明書でcustom_deep_inspectionしてるけど、いつも見れてるウェブサイトがなぜか急に
「証明書の問題があり、セキュリティ的に危ないです!」って出てくるときがある。何度かリロードすると
アクセスできるようになるんだけど、これって侵入されたりとかしてるのかな
「証明書の問題があり、セキュリティ的に危ないです!」って出てくるときがある。何度かリロードすると
アクセスできるようになるんだけど、これって侵入されたりとかしてるのかな
2021/12/05(日) 00:32:41.88ID:???
侵入wwwwwww
2021/12/05(日) 00:39:51.72ID:???
されてるかもしれないしされてないかもしれない
とりあえずウイルススキャンしよう
とりあえずウイルススキャンしよう
2021/12/05(日) 00:47:06.55ID:???
FortiGateいれてるのにログは見ないんかね
553>>549
2021/12/05(日) 01:31:04.42ID:???2021/12/05(日) 04:43:03.55ID:???
FortiGateの差し替えメッセージで出てる証明書エラーとかじゃないの?
そのFGを管理してる人に訊いたほうが良いかと
そのFGを管理してる人に訊いたほうが良いかと
555536
2021/12/05(日) 11:32:34.72ID:??? >>547
IPv6ファイアウォールポリシーですね。
ログインしているノートPCの解像度低くて、メニュー構成が頭に入らず迷子になっています。
WebGUIから設定できますか、CLIでのコマンド投入必須ですか。
初期化してCLIでトランスペアレント モードを有効にした後は、
標準ではすべてのパケットを通すようになっているかと思うのですが、
IPv6のユニキャストやマルチキャストを落とすようになっているのでしょうか。
大きい画面を外付けして、あとでIPv6許可のポリシーのやりかた、探してみます。
>>548
バーチャルワイヤー、初めて聞きました。今のところは、
VDOMもVLANも必要ないので、よさそうです。
トランスペアレントモードでのIPv6しばらくやってみてダメそうだったら、
バーチャルワイヤーを試してみます。
IPv6ファイアウォールポリシーですね。
ログインしているノートPCの解像度低くて、メニュー構成が頭に入らず迷子になっています。
WebGUIから設定できますか、CLIでのコマンド投入必須ですか。
初期化してCLIでトランスペアレント モードを有効にした後は、
標準ではすべてのパケットを通すようになっているかと思うのですが、
IPv6のユニキャストやマルチキャストを落とすようになっているのでしょうか。
大きい画面を外付けして、あとでIPv6許可のポリシーのやりかた、探してみます。
>>548
バーチャルワイヤー、初めて聞きました。今のところは、
VDOMもVLANも必要ないので、よさそうです。
トランスペアレントモードでのIPv6しばらくやってみてダメそうだったら、
バーチャルワイヤーを試してみます。
2021/12/05(日) 12:31:06.31ID:???
Certificate-inspectionでは、httpsのAnti-Virusができないことは確認できました。
ttps://www.eicar.org/?page_id=3950 からeicar.comをダウンロードすると、
Fortigateのブロック画面は出ずに、WindowsDefenderで検出されました。
逆に、Certificate-inspectionでも、httpならばAnti-Virusが使えることを示したいのですが、
httpで提供されているeicar.comが見つけられません。どなたかご存じないでしょうか。
ローカルにhttpサーバーを立ち上げて、DMZにおくしかないでしょうか。
今ほとんどのサイトがhttpsで提供されているので、deep-inspectionが必要だということを、
実例を見せて示したいです。
ttps://www.eicar.org/?page_id=3950 からeicar.comをダウンロードすると、
Fortigateのブロック画面は出ずに、WindowsDefenderで検出されました。
逆に、Certificate-inspectionでも、httpならばAnti-Virusが使えることを示したいのですが、
httpで提供されているeicar.comが見つけられません。どなたかご存じないでしょうか。
ローカルにhttpサーバーを立ち上げて、DMZにおくしかないでしょうか。
今ほとんどのサイトがhttpsで提供されているので、deep-inspectionが必要だということを、
実例を見せて示したいです。
2021/12/05(日) 13:03:32.19ID:???
>>555
Admin guideを読みましょう
https://docs.fortinet.com/product/fortigate/7.0
>標準ではすべてのパケットを通すようになっているかと思うのですが
いや、それだったらセキュリティ装置としての意味がないかと
ファイアウォールポリシー書いて無ければ全部落とすのがデフォルトです
Admin guideを読みましょう
https://docs.fortinet.com/product/fortigate/7.0
>標準ではすべてのパケットを通すようになっているかと思うのですが
いや、それだったらセキュリティ装置としての意味がないかと
ファイアウォールポリシー書いて無ければ全部落とすのがデフォルトです
2021/12/05(日) 14:12:26.13ID:???
>>555
https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-jpne-v6plus.pdf
ここの2-7以降読んでCLIで確認しなされ
画面小っちゃくてGUIじゃ見づらいならいい機会だしCLIで設定できるようになっとくのが便利
コンフィグみて何も無ければ暗黙で全部Denyしてるのは当然
>>557の言う通りホワイトリスト形式が基本なのは常識
https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-jpne-v6plus.pdf
ここの2-7以降読んでCLIで確認しなされ
画面小っちゃくてGUIじゃ見づらいならいい機会だしCLIで設定できるようになっとくのが便利
コンフィグみて何も無ければ暗黙で全部Denyしてるのは当然
>>557の言う通りホワイトリスト形式が基本なのは常識
2021/12/05(日) 14:36:24.25ID:???
>>556
現在から将来までの全従業員分の端末へ証明書のインストールもおまえがやってくれる料金込みで請け負ってる?
現在から将来までの全従業員分の端末へ証明書のインストールもおまえがやってくれる料金込みで請け負ってる?
2021/12/05(日) 15:07:59.05ID:???
そんなん知らんがな
手作業でてめぇでやれって話だろそんなんセキュリティ構築担当のする話ではないわ
手作業じゃ無理です〜ってならADでもなんでも使えそしてそれは別単価でのお話ですわ
手作業でてめぇでやれって話だろそんなんセキュリティ構築担当のする話ではないわ
手作業じゃ無理です〜ってならADでもなんでも使えそしてそれは別単価でのお話ですわ
561.
2021/12/05(日) 17:28:37.89ID:??? カスペルスキー eicar
でググれ
でググれ
2021/12/05(日) 18:46:20.33ID:???
2021/12/05(日) 19:52:56.37ID:???
>>562
Deep Inspection使う場合は普通はプライベートCA建てたり端末へのCA証明書インストールなどの構築/運用/作業が必要ですが、
そこは検討されていますかってことじゃないでしょうか
Deep Inspection使う場合は普通はプライベートCA建てたり端末へのCA証明書インストールなどの構築/運用/作業が必要ですが、
そこは検討されていますかってことじゃないでしょうか
2021/12/05(日) 21:28:01.42ID:???
そんな質問スルーでええやろ。
2021/12/05(日) 21:52:14.88ID:???
ビルトインの証明書でのdeep-inspectionの提案はしていないと思いたい
2021/12/06(月) 05:35:06.47ID:???
>>565
どうしてですか?
どうしてですか?
2021/12/06(月) 09:39:47.79ID:???
2021/12/06(月) 11:44:51.53ID:???
>>567
なるほどありがとうございます。
なるほどありがとうございます。
2021/12/06(月) 21:36:11.76ID:???
最近Deep-inspectionの話多いけど60Fで性能足りるの?
このスレの上の方だと300以上は要るとか言われてるよね
このスレの上の方だと300以上は要るとか言われてるよね
570anonymous@fusianasan
2021/12/07(火) 21:55:36.84ID:n+miFD4E2021/12/07(火) 22:31:56.06ID:???
セキュリティ構築たんとーさんはだいぶ呑気なもんだな。利便性や運用しらん!セキュリティ高いのが正義!そんな投げっぱな構築やってると顧客減るけど大丈夫?
UTMなんて一番最初に予算削られるとこですよ
UTMなんて一番最初に予算削られるとこですよ
2021/12/07(火) 22:35:35.91ID:???
2021/12/08(水) 00:12:41.66ID:???
今のご時世いの一番にコスト削減するのがUTM周りとか
そんな時代遅れか知恵遅れな顧客はこっちから願いさげですぅ〜
そんな時代遅れか知恵遅れな顧客はこっちから願いさげですぅ〜
2021/12/08(水) 00:14:19.38ID:???
>>570
プライベートCAなりで作ってFortiGateにインポートしたものならコンフィグとして残るのでレストアは可能ですが
ビルトインの方はS/N固有になるのでレストアできないですね
同機種のFortiGateが2台あればすぐ試せるかと思います
プライベートCAなりで作ってFortiGateにインポートしたものならコンフィグとして残るのでレストアは可能ですが
ビルトインの方はS/N固有になるのでレストアできないですね
同機種のFortiGateが2台あればすぐ試せるかと思います
2021/12/08(水) 08:21:02.46ID:???
プライベートCA建てた方がいいとは言われるけど、deep-inspection用の証明書はshow fullで秘密鍵ごと取れるから移せるよ。
2021/12/08(水) 09:22:49.17ID:???
FortigateのIPSテンプレートのhigh_securityってデフォルト状態で運用すると問題ある?
素人考えであれだけどハイセキュリティっていうくらいだからある程度安全性あるのかなって思うんだけど
素人考えであれだけどハイセキュリティっていうくらいだからある程度安全性あるのかなって思うんだけど
2021/12/08(水) 12:37:50.73ID:???
FortigateのUTM機能なんておもちゃレベルじゃないの?
2021/12/08(水) 13:35:44.11ID:???
具体的にどの辺がおもちゃレベルなんでしょうか?
2021/12/08(水) 13:43:10.48ID:???
餅は餅屋と言われるぐらいのおもちやレベル
2021/12/08(水) 13:47:42.89ID:???
Fortinetは餅屋では???
581anonymous@fusianasan
2021/12/08(水) 18:51:38.68ID:ZDOBlCwl2021/12/08(水) 21:43:27.15ID:???
中小企業でしか使われてないわな。fortigate
あとライセンス切れは家庭。
あとライセンス切れは家庭。
2021/12/08(水) 23:32:38.49ID:???
国によって違うけどね
2021/12/09(木) 00:02:22.44ID:???
結局どのあたりがどういう理由でおもちゃレベルなんでしょう??
2021/12/09(木) 00:23:40.39ID:???
それを言わないが、あるんだよと思わせたいパロアルトの思惑
2021/12/09(木) 01:02:40.78ID:???
ひと昔前に比べればだいぶ洗練されてきたけど
デカい案件ではやっぱりパロ使うわ
デカい案件ではやっぱりパロ使うわ
2021/12/11(土) 18:50:54.11ID:???
具体的な技術議論なんて出来ないなんちゃってエンジニアの吹き溜まり
2021/12/11(土) 21:09:35.51ID:???
FortiDDNSの挙動がよくわからん。
故障交換後に「取得可!!」ってなったと思ったのにだめとか
故障交換後に「取得可!!」ってなったと思ったのにだめとか
2021/12/12(日) 01:01:01.56ID:???
>>588
Technical Note: FortiDDNS registration on another device using same FQDN
https://community.fortinet.com/t5/FortiGate/Technical-Note-FortiDDNS-registration-on-another-device-using/ta-p/193328
Technical Note: FortiDDNS registration on another device using same FQDN
https://community.fortinet.com/t5/FortiGate/Technical-Note-FortiDDNS-registration-on-another-device-using/ta-p/193328
2021/12/12(日) 16:25:22.84ID:???
591536
2021/12/12(日) 17:23:18.80ID:???2021/12/12(日) 17:34:16.30ID:???
556です。
httpでもhttpsでも、eicarのあるURIは知れ渡っているので、
Edgeでのダウンロードは、Windows10クライアント側ででブロックされていました。
curlで試して、httpのブロックはうまくいきました。
ダウンロードすると、httpsはそのままzipがローカルに保存できるが、
httpはファイルダウンロードされずにCLIにBlockedのHTMLが表示されました。
あとで、自己署名証明書を入れて、deep-inspectionを有効にして、
curlでもhttpsのダウンロードが検出できるか、試してみます。
httpでもhttpsでも、eicarのあるURIは知れ渡っているので、
Edgeでのダウンロードは、Windows10クライアント側ででブロックされていました。
curlで試して、httpのブロックはうまくいきました。
ダウンロードすると、httpsはそのままzipがローカルに保存できるが、
httpはファイルダウンロードされずにCLIにBlockedのHTMLが表示されました。
あとで、自己署名証明書を入れて、deep-inspectionを有効にして、
curlでもhttpsのダウンロードが検出できるか、試してみます。
2021/12/12(日) 18:13:43.18ID:???
2021/12/12(日) 18:23:09.85ID:???
>>574-575
うちも、クライアントPCに都度CA証明書インストールでも大丈夫な規模ですが、
故障交換時に、再度CA証明書インストールを避けられるなら、避けたいです。
> deep-inspection用の証明書はshow fullで秘密鍵ごと取れる
から移せるとは、どのようにするのでしょうか。
ヒントをいただきたいです。
Openssl等を使って、現用の秘密鍵から自己署名証明書をつくって、取っておく。
代替のFortigateに書き込むと、クライアント側の証明書はそのまま利用できる、
というイメージでしょうか。
うちも、クライアントPCに都度CA証明書インストールでも大丈夫な規模ですが、
故障交換時に、再度CA証明書インストールを避けられるなら、避けたいです。
> deep-inspection用の証明書はshow fullで秘密鍵ごと取れる
から移せるとは、どのようにするのでしょうか。
ヒントをいただきたいです。
Openssl等を使って、現用の秘密鍵から自己署名証明書をつくって、取っておく。
代替のFortigateに書き込むと、クライアント側の証明書はそのまま利用できる、
というイメージでしょうか。
2021/12/12(日) 19:45:46.78ID:???
>>593
>Fortigateを明示的なhttp-proxyとして使えば、
>LAN側のTLS処理が無くなり、負荷が下がると思います。
>CA証明書も不要だけど、クライアントへのProxy設定は別途必要。
FortiGateとPC間がHTTPということであればPCがリクエスト出すときにHTTPでGET要求なりを出す必要があります(サイトのURLがHTTPの必要あり)
それと、HTTPで来たリクエストをFortiGateが受けてHTTPSでリクエストする機能は無かったように記憶しています
バーチャルサーバのSSLオフロードの逆みたいな感じですね(これもできなかったような記憶)
そしてプロキシとして使う場合はASICオフロードは効かないのでパフォーマンスも下がりますね
>Fortigateを明示的なhttp-proxyとして使えば、
>LAN側のTLS処理が無くなり、負荷が下がると思います。
>CA証明書も不要だけど、クライアントへのProxy設定は別途必要。
FortiGateとPC間がHTTPということであればPCがリクエスト出すときにHTTPでGET要求なりを出す必要があります(サイトのURLがHTTPの必要あり)
それと、HTTPで来たリクエストをFortiGateが受けてHTTPSでリクエストする機能は無かったように記憶しています
バーチャルサーバのSSLオフロードの逆みたいな感じですね(これもできなかったような記憶)
そしてプロキシとして使う場合はASICオフロードは効かないのでパフォーマンスも下がりますね
2021/12/13(月) 16:09:44.24ID:???
例えば5555 -> 80でフォワーディングする時って
ポリシーで許可するポートって5555でいいの?それともフォワーディングした後の80にするの?
ポリシーで許可するポートって5555でいいの?それともフォワーディングした後の80にするの?
2021/12/13(月) 20:13:33.61ID:???
試せばいいのでは?
598anonymous@fusianasan
2021/12/13(月) 21:25:19.71ID:m6rSBtT9 カタログのSSLスキャンのスループット凄いと思ったけど
これIPS有効のみの数値?
これIPS有効のみの数値?
2021/12/14(火) 20:53:54.59ID:???
>>596
後
後
2021/12/14(火) 21:27:02.56ID:???
>>599
ありがとう
ありがとう
2021/12/15(水) 13:24:46.12ID:???
さくらいんたのJPRS 990円 SSL証明書って問題なく使えますよね?
2021/12/15(水) 17:26:38.24ID:???
用途によるかと
2021/12/16(木) 15:01:24.19ID:???
7.02です。DoH有効にしてたら、定期的にネットが遮断されてFortigateの管理ページにもつながらなくなります。
偶然フリーズする直前にログインしてたら、メモリが足りないというようなことが表示されていたのですが、
DoHの機能はまだベータ提供ということなのでしょうか?
偶然フリーズする直前にログインしてたら、メモリが足りないというようなことが表示されていたのですが、
DoHの機能はまだベータ提供ということなのでしょうか?
2021/12/17(金) 04:12:46.97ID:???
SSL-VPNでプールアドレスを/24で設定してるんだけど
接続と切断を繰り返すとトンネルIPアドレスを受け取れませんってエラーでて接続できなくなるんですけどどうしてでしょうか??
Fortiを覗いてみる限り何故かセッションが切れずにずっと繋がったままになっててアドレスを握ってるみたいなんですけど
クライアントで接続切った時にセッションも同時に落とす(tunnel-downさせたい)設定とかって無いんでしょうか??
アイドルタイムアウト自体はデフォルトの5分にしてあります
接続と切断を繰り返すとトンネルIPアドレスを受け取れませんってエラーでて接続できなくなるんですけどどうしてでしょうか??
Fortiを覗いてみる限り何故かセッションが切れずにずっと繋がったままになっててアドレスを握ってるみたいなんですけど
クライアントで接続切った時にセッションも同時に落とす(tunnel-downさせたい)設定とかって無いんでしょうか??
アイドルタイムアウト自体はデフォルトの5分にしてあります
2021/12/17(金) 04:19:05.44ID:???
SSL-VPNで付与したIPアドレスをVPN接続切れても開放しないバグがあったようなので問い合わせ or バージョンアップしてみるといいかも
2021/12/17(金) 05:27:10.42ID:???
2021/12/17(金) 06:15:51.97ID:???
2021/12/17(金) 08:20:42.70ID:???
普通はリリースノートを読むと思う
2021/12/17(金) 09:13:42.63ID:???
それが見当たらないから聞いてるんですが^^;
2021/12/17(金) 11:39:08.55ID:???
ちゃんと読んでたら見つかるよ
がんばれ
がんばれ
2021/12/17(金) 13:50:34.86ID:???
2021/12/19(日) 03:54:09.59ID:???
>>611
試してみます。
試してみます。
2021/12/21(火) 06:04:09.27ID:???
2021/12/21(火) 16:30:00.65ID:???
>>613
別にひどくねぇよ
別にひどくねぇよ
2021/12/21(火) 17:46:26.55ID:???
ひどいよ
2021/12/22(水) 14:50:13.08ID:???
なんや?
2021/12/22(水) 15:20:00.82ID:???
>>611
一旦よくなったと思ったんですけどやっぱりダメでした
接続と切断を繰り返すうちに一ユーザだけで何十個もアドレス握っちゃってますね
枯渇した後も以前のセッションが残っていれば既存のセッションを切断して接続しますか?のダイアログがでるようにはなりましたけど新規ユーザはどうしようもないですね
酷いですねこれ(笑)
一旦よくなったと思ったんですけどやっぱりダメでした
接続と切断を繰り返すうちに一ユーザだけで何十個もアドレス握っちゃってますね
枯渇した後も以前のセッションが残っていれば既存のセッションを切断して接続しますか?のダイアログがでるようにはなりましたけど新規ユーザはどうしようもないですね
酷いですねこれ(笑)
2021/12/22(水) 16:45:55.51ID:???
2021/12/23(木) 11:23:43.58ID:???
2021/12/23(木) 23:26:42.17ID:???
うちもtokenと50E/SSL VPNつかってるけどそんな症状でないなぁ
2021/12/24(金) 02:56:44.36ID:???
情報共有どうもです
IPoEで繋げてるのがいかんのですかね……
アドレスプールにv6もいれた方がいいとかあったりします??
IPoEで繋げてるのがいかんのですかね……
アドレスプールにv6もいれた方がいいとかあったりします??
2021/12/24(金) 07:33:07.99ID:???
7.01か
6系ではどこもそんな症状無いなぁ
個人的にはそんなβテスター向けリリース使うからだと思うが…
6系ではどこもそんな症状無いなぁ
個人的にはそんなβテスター向けリリース使うからだと思うが…
2021/12/24(金) 09:26:17.89ID:???
2021/12/24(金) 09:34:58.11ID:???
625.
2021/12/24(金) 21:53:59.57ID:??? 1年毎にアップデート出るけどさー
テストしたんか?
って感じのが初期はアルアルだわ
known issueが育つまで
待って考えてるわw
テストしたんか?
って感じのが初期はアルアルだわ
known issueが育つまで
待って考えてるわw
626anonymous@fusianasan
2022/01/17(月) 21:58:28.05ID:4D5CD1yM 60Fでも、やっぱしpppoeは、遅いんやろか?
200Eでは、それなりにスピードでてる。
200EのCPUは、Celeron G1820 2.7GHz
200Eでは、それなりにスピードでてる。
200EのCPUは、Celeron G1820 2.7GHz
627anonymous@fusianasan
2022/01/17(月) 22:01:15.43ID:4D5CD1yM ちなみに100Dは、Atom D525 1.8GHz
だった
だった
2022/01/18(火) 01:11:01.48ID:???
50EだけどPPPoEで700Mbps出てるよ
もうこれ以上はフレッツ側が限界な気がするけど
700Mbps出てるときもCPU使用率50%くらいだったな
もうこれ以上はフレッツ側が限界な気がするけど
700Mbps出てるときもCPU使用率50%くらいだったな
629627
2022/01/18(火) 08:58:33.57ID:nwoV9p1/2022/01/21(金) 12:13:25.04ID:???
>>628
ちな、セキュリティ機能なしのポリシー利用でpppoeで700mでてcpu50パーってことですか?
ちな、セキュリティ機能なしのポリシー利用でpppoeで700mでてcpu50パーってことですか?
2022/01/21(金) 12:28:42.36ID:???
>>630
IPSとAppコントロール(モニタリングのみ)を有効にして700Mbps出た時にCPU50%
IPSとAppコントロール(モニタリングのみ)を有効にして700Mbps出た時にCPU50%
2022/02/07(月) 13:20:09.11ID:???
Windowsでhostsファイルイジる代わりに、Fortigateに設定することってできるの?
DNSエントリに登録すれば良さげだけど、DNSゾーンとかが分からない…
DNSエントリに登録すれば良さげだけど、DNSゾーンとかが分からない…
2022/02/07(月) 13:24:47.52ID:???
>>632
Workgroup運用でドメイン名がないんだけど、エントリにホスト名とIPアドレスを指定すると、FQDNにドメイン名が補完されちゃう。(とりあえずドメイン名はworkgroupにしてみた)
Workgroup運用でドメイン名がないんだけど、エントリにホスト名とIPアドレスを指定すると、FQDNにドメイン名が補完されちゃう。(とりあえずドメイン名はworkgroupにしてみた)
2022/02/07(月) 14:12:02.97ID:???
TLDがworkgroupのオレオレドメインで運用するなら
fortigateにDNSゾーン作って(fortigateがTLD管理出来るかは知らない。出来なければ適当にドットを1つ以上含むドメインに変更して)、
Windows側はTCPIP設定の詳細設定のDNSタブの検索DNSサフィックスに作ったDNSドメイン記載しとけば
名前解決時に補完(例えばping host1とコマンド打てば、host1.workgroupでDNS問い合わせ)してくれる。
fortigateにDNSゾーン作って(fortigateがTLD管理出来るかは知らない。出来なければ適当にドットを1つ以上含むドメインに変更して)、
Windows側はTCPIP設定の詳細設定のDNSタブの検索DNSサフィックスに作ったDNSドメイン記載しとけば
名前解決時に補完(例えばping host1とコマンド打てば、host1.workgroupでDNS問い合わせ)してくれる。
2022/02/11(金) 14:16:46.74ID:???
オリジナルの業務アプリケーションの通信記録を取るために、
簡単なカスタムアプリケーションシグネチャーを登録したいのですが、
「変更を保存できませんでした」と表示され登録できません。
Fortigate-60E FortiOS v7.0.4 build0301 (GA)
バーチャルワイヤーペアで通信を監視中、プロキシベース、SSL deep-inspection。
クライアントPCのWindows10のルート証明書にFortinet_CA_SSLを登録済みです。
ポリシー&オブジェクト > ファイアウォールバーチャルワイヤーペアポリシーで、
設定したセキュリティプロファイル APP Defaultを設定しました。
ログ&レポート > アプリケーションコントロール で、
宛先IPアドレス(ホスト名)と、アプリケーション名が見られる状態です。
ttps://help.fortinet.com/fortiproxy/11/Content/Admin%20Guides/FPX-AdminGuide/700_Security-Profiles/720_CustomSignatures.htm
を見て、カスタムアプリケーションシグネチャを登録しようとしているのですが、
「変更を保存できませんでした」と表示され登録できません。
簡単に
F-SBID (--name "Original_App" ; --service HTTP; )
としても、登録できないため、シグネチャの構文エラーではないと思われます。
どの辺をいじるとよいか、お分かりの方、よろしくお願いします。
簡単なカスタムアプリケーションシグネチャーを登録したいのですが、
「変更を保存できませんでした」と表示され登録できません。
Fortigate-60E FortiOS v7.0.4 build0301 (GA)
バーチャルワイヤーペアで通信を監視中、プロキシベース、SSL deep-inspection。
クライアントPCのWindows10のルート証明書にFortinet_CA_SSLを登録済みです。
ポリシー&オブジェクト > ファイアウォールバーチャルワイヤーペアポリシーで、
設定したセキュリティプロファイル APP Defaultを設定しました。
ログ&レポート > アプリケーションコントロール で、
宛先IPアドレス(ホスト名)と、アプリケーション名が見られる状態です。
ttps://help.fortinet.com/fortiproxy/11/Content/Admin%20Guides/FPX-AdminGuide/700_Security-Profiles/720_CustomSignatures.htm
を見て、カスタムアプリケーションシグネチャを登録しようとしているのですが、
「変更を保存できませんでした」と表示され登録できません。
簡単に
F-SBID (--name "Original_App" ; --service HTTP; )
としても、登録できないため、シグネチャの構文エラーではないと思われます。
どの辺をいじるとよいか、お分かりの方、よろしくお願いします。
2022/02/11(金) 19:54:06.29ID:???
forticlientを使用したipsec VPNで日本国内のみからの接続に制限したいのですがうまく行きません。
どなたか成功してますか?
どなたか成功してますか?
2022/02/11(金) 20:50:26.43ID:???
>>636
グローバルが一つだと外部に晒したipにポリシーを当てることができないので無理かも。
グローバルが複数なら、一つを外部インターフェースにもう一つをループバックにして、その間の通信に国内のipだけを透過ルーティングするポリシー書いて、ループバックに振ったグローバルでipsecを受けるみたいなことをする必要があったと思います。
グローバルが一つだと外部に晒したipにポリシーを当てることができないので無理かも。
グローバルが複数なら、一つを外部インターフェースにもう一つをループバックにして、その間の通信に国内のipだけを透過ルーティングするポリシー書いて、ループバックに振ったグローバルでipsecを受けるみたいなことをする必要があったと思います。
2022/02/11(金) 21:11:04.42ID:???
>>637
回答ありがとうございます。
こちらのサイトですね
https://milestone-of-se.nesuke.com/product/fortigate/secure-ipsec-vpn-config-sample/
私のの環境ではwan側はpppoeで取得したグローバルipを使用するのですがその場合は無理という事でしょうか?
回答ありがとうございます。
こちらのサイトですね
https://milestone-of-se.nesuke.com/product/fortigate/secure-ipsec-vpn-config-sample/
私のの環境ではwan側はpppoeで取得したグローバルipを使用するのですがその場合は無理という事でしょうか?
2022/02/11(金) 23:14:06.50ID:???
2022/02/12(土) 00:15:31.35ID:???
>>638
LoopbackとバーチャルIPの組み合わせでできる
LoopbackとバーチャルIPの組み合わせでできる
2022/02/12(土) 05:28:48.74ID:???
642anonymous@fusianasan
2022/02/12(土) 09:20:12.16ID:SVd28TV92022/02/12(土) 10:16:16.95ID:???
2022/02/12(土) 11:49:01.46ID:???
local in policyて自分で追加できるのか
いい情報貰った
いい情報貰った
646anonymous@fusianasan
2022/02/19(土) 03:00:36.10ID:Zudi2d7X もしどなたかわかる方いらっしゃれば教えて頂きますでしょうか
■スタティックルート
0.0.0.0/0 wan2
■バーチャルIP
wan1宛 ⇒ DMZ1宛
上記環境で、wan1宛に外から来た通信をwan2ではなくwan1に返す為に
以下設定を追加したのですが、上手くいきませんでした
■ポリシールート
着信インターフェース:DMZ1
宛先GW:wan1のGW
一方で以下設定を追加した場合は上手くいきました
■スタティックルート
"wan1に通信してきた外部のアドレス" "wan1のGW"
上記ポリシールートで通信がうまくいかないい理由はどんな事が考えられるでしょうか?
■スタティックルート
0.0.0.0/0 wan2
■バーチャルIP
wan1宛 ⇒ DMZ1宛
上記環境で、wan1宛に外から来た通信をwan2ではなくwan1に返す為に
以下設定を追加したのですが、上手くいきませんでした
■ポリシールート
着信インターフェース:DMZ1
宛先GW:wan1のGW
一方で以下設定を追加した場合は上手くいきました
■スタティックルート
"wan1に通信してきた外部のアドレス" "wan1のGW"
上記ポリシールートで通信がうまくいかないい理由はどんな事が考えられるでしょうか?
2022/02/19(土) 10:33:38.79ID:???
RPFチェックとかじゃないですかね
2022/02/19(土) 13:51:37.23ID:???
>>646
同じようなことをやろうとして苦労した記憶があります。
自分は結局pbrはあきらめて、
646の構成で言うwan1先にいるルータ側でnaptさせて、
外部ipをwan1の持つipと同セグ(直接接続ルートになるのでスタティックルートもPBRも記載不要になる)に変換させることで対応しました。
同じようなことをやろうとして苦労した記憶があります。
自分は結局pbrはあきらめて、
646の構成で言うwan1先にいるルータ側でnaptさせて、
外部ipをwan1の持つipと同セグ(直接接続ルートになるのでスタティックルートもPBRも記載不要になる)に変換させることで対応しました。
2022/02/19(土) 13:58:25.39ID:???
上記はwan1先にルータがいて自由にさわれることが前提の場合の話です。
また、ルーティング記載不要と書きましたがそれはwan1側の話でwan2側のdgwはもちろん必要です。
あと>>500で自分が似たような質問しているので
参考になるかは微妙ですがどうぞです。
また、ルーティング記載不要と書きましたがそれはwan1側の話でwan2側のdgwはもちろん必要です。
あと>>500で自分が似たような質問しているので
参考になるかは微妙ですがどうぞです。
2022/02/19(土) 16:20:21.71ID:???
ポリシルートを設定するときにはその宛先に対するルーティングテーブルがあることが必要ですがそこは大丈夫でしょうか
651anonymous
2022/02/19(土) 18:33:15.67ID:??? PBRするときはその先にルートがある必要があるから、WAN1とWAN2それぞれに
0.0.0.0/0があるように書いてAD値をWAN2が小さくなるように設定したうえで
PBRすると動くと思うよ。
0.0.0.0/0があるように書いてAD値をWAN2が小さくなるように設定したうえで
PBRすると動くと思うよ。
652anonymous@fusianasan
2022/02/19(土) 18:40:24.80ID:Zudi2d7X653anonymous@fusianasan
2022/02/19(土) 18:45:57.17ID:Zudi2d7X2022/02/19(土) 23:51:59.12ID:???
プライオリティのほうが良いです
ADだとベストパスが消えない限り次点のパスは有効にならないはずなんで
ADだとベストパスが消えない限り次点のパスは有効にならないはずなんで
2022/02/20(日) 07:16:31.03ID:???
自分ならwan1とwan2でvdom分けます。
そうすればwan1がpppoe=ダイナミックゲートウェイの場合でも問題なし。
今回はルータ渡しのようですが、pbrではダイナミックゲートウェイで書けなかった記憶が。
もちろんvdom間を適切に繋いであげる必要があります。
そうすればwan1がpppoe=ダイナミックゲートウェイの場合でも問題なし。
今回はルータ渡しのようですが、pbrではダイナミックゲートウェイで書けなかった記憶が。
もちろんvdom間を適切に繋いであげる必要があります。
656anonymous@fusianasan
2022/02/23(水) 17:02:09.13ID:X0QQHK08 FortiClientVPNでIPSEC接続時に、
クライアント証明書認証はできるのでしょうか。
(できればRadiusを使用したい)
FortiClientVPNには、クライアント証明書を指定する項目があるのですが、
FortiGateのIPSECの認証設定では、"事前共有鍵"か"シグネチャ"しか選択できないので、
もし、ご存じのかたがいらっしゃれば教えていただけないでしょうか。
クライアント証明書認証はできるのでしょうか。
(できればRadiusを使用したい)
FortiClientVPNには、クライアント証明書を指定する項目があるのですが、
FortiGateのIPSECの認証設定では、"事前共有鍵"か"シグネチャ"しか選択できないので、
もし、ご存じのかたがいらっしゃれば教えていただけないでしょうか。
2022/02/23(水) 18:22:16.10ID:???
658anonymous@fusianasan
2022/02/23(水) 22:42:07.58ID:0I80hVM+2022/02/24(木) 00:12:04.70ID:???
良かったです!
660anonymous@fusianasan
2022/02/24(木) 16:58:40.47ID:GXVHCnRd >657
ご回答ありがとうございます!
週末試してみます。
ご回答ありがとうございます!
週末試してみます。
2022/02/26(土) 13:39:55.49ID:???
すみません、fortigate詳しい方にお聞きしたいのですがDHCPv6-PDの再移譲って最新の60Fとかであれば出来ますかね?
フレッツ光ネクストのひかり電話有りの契約で上位WANルーターから/58でもらったprefixを
fortigateで受けて配下のコアスイッチに/60などで再移譲したいと考えています
同じような構成で出来ている等の情報ありましたら教えて頂けると助かります
フレッツ光ネクストのひかり電話有りの契約で上位WANルーターから/58でもらったprefixを
fortigateで受けて配下のコアスイッチに/60などで再移譲したいと考えています
同じような構成で出来ている等の情報ありましたら教えて頂けると助かります
2022/02/26(土) 16:10:03.97ID:???
このあたり見て試してみるとかでしょうか
https://docs.fortinet.com/document/fortigate/6.0.0/handbook/800956/dhcpv6
https://docs.fortinet.com/document/fortigate/6.0.0/handbook/800956/dhcpv6
2022/02/26(土) 18:44:12.65ID:???
情報ありがとうございます!
手元にまだ実機がないので届き次第上のURLを参考に設定してみます
手元にまだ実機がないので届き次第上のURLを参考に設定してみます
2022/02/27(日) 19:35:14.46ID:???
Fortigateでアルテリアのクロスパス使う方法知りませんか?どうも上手く接続出来なくて…
665anonymous@fusianasan
2022/02/27(日) 22:02:52.41ID:KJiUiy31 >>664
Fortigate 楽天ひかりで検索
Fortigate 楽天ひかりで検索
2022/02/28(月) 15:45:35.21ID:???
SSL-VPN WebモードでアドレスのIP部分をいじると
メニューに表示されてないものへもアクセスできてしまうのですが
特定ユーザーだけ
特定のアドレスのものへしかアクセスできないようにしたりは可能でしょうか。
参考になるドキュメントやサイトご存じであればおしえてください。
メニューに表示されてないものへもアクセスできてしまうのですが
特定ユーザーだけ
特定のアドレスのものへしかアクセスできないようにしたりは可能でしょうか。
参考になるドキュメントやサイトご存じであればおしえてください。
667anonymous
2022/02/28(月) 19:18:53.59ID:DDmEBu7f >>666
出来ないと思うよ
IPアドレスじゃなくてIDベースで制御するリモートアクセスとしてIAPって製品分野が出来上がってる
zscaler ZPA, akamai EAP, netskope NPA とかそのあたり
必須要件だったらそういうの検討してもいいかもね
出来ないと思うよ
IPアドレスじゃなくてIDベースで制御するリモートアクセスとしてIAPって製品分野が出来上がってる
zscaler ZPA, akamai EAP, netskope NPA とかそのあたり
必須要件だったらそういうの検討してもいいかもね
2022/02/28(月) 20:31:04.52ID:???
>>666
ポリシーを細かく分ければできないことはないはず
ポリシーを細かく分ければできないことはないはず
2022/03/01(火) 18:17:40.77ID:???
>>666
ユーザーグループ毎などでできるよ
ユーザーグループ毎などでできるよ
670anonymous@fusianasan
2022/03/03(木) 06:16:42.63ID:Fc/N3CGb トラフィックシェイパーについて、教えてください。
設定する事で、下限の帯域は確保しつつ、上限帯域に制限した通信が可能という認識で
間違いないでしょうか。
業務ネットワークと同じネットワーク内で、インスタライブ配信を実施してるんですが
ブロックノイズが出るのがどうしても気になって。
LAN⇔WANのポリシーにトラフィックシェイパー設定して、改善するもんでしょうか。
動画配信の為に、ネットワークを別にした方がいいのか、お知恵をお借りしたく。
回線はN○○PC系です。
プロバイダはIPv6非対応。
設定する事で、下限の帯域は確保しつつ、上限帯域に制限した通信が可能という認識で
間違いないでしょうか。
業務ネットワークと同じネットワーク内で、インスタライブ配信を実施してるんですが
ブロックノイズが出るのがどうしても気になって。
LAN⇔WANのポリシーにトラフィックシェイパー設定して、改善するもんでしょうか。
動画配信の為に、ネットワークを別にした方がいいのか、お知恵をお借りしたく。
回線はN○○PC系です。
プロバイダはIPv6非対応。
671anonymous
2022/03/03(木) 09:08:42.59ID:??? >>661
うちは60Eで出来てるよ。
ただPPPoEしゃべってるInterfaceでは定義はできるんだけど何をやっても動かず、
2ポートをONU側に接続して片方はPPPoE用、もう片方をDHCPv6-PD用として使ってる。
うちは60Eで出来てるよ。
ただPPPoEしゃべってるInterfaceでは定義はできるんだけど何をやっても動かず、
2ポートをONU側に接続して片方はPPPoE用、もう片方をDHCPv6-PD用として使ってる。
672anonymous@fusianasan
2022/03/04(金) 00:47:20.21ID:ogM+MYRV 普通にWANの増速した方が良いかもしれませんね
2022/03/04(金) 11:57:31.30ID:???
674anonymous@fusianasan
2022/03/04(金) 14:19:25.36ID:SAk9nX2K できるはずですが
2022/03/04(金) 22:37:33.56ID:???
>>672
670へのレスか?
670へのレスか?
2022/03/05(土) 03:10:53.51ID:???
>>670
構成がわからないからなんともいえませんがフルHDの動画であれば30Mbpsくらい常時確保できてれば問題ないんじゃないですかね
それが無理ならネットワーク分けるなりしたほうがいいように思えます
FTTHでIPoEだったら余裕そうだけど
構成がわからないからなんともいえませんがフルHDの動画であれば30Mbpsくらい常時確保できてれば問題ないんじゃないですかね
それが無理ならネットワーク分けるなりしたほうがいいように思えます
FTTHでIPoEだったら余裕そうだけど
2022/03/07(月) 12:43:14.94ID:???
678anonymous@fusianasan
2022/03/07(月) 22:56:45.57ID:EG7Il395 もし分かる方いらっしゃればご意見を頂けないでしょうか
teams、googleハングアウトのようなWeb会議を行った際に、
その通信がudp_flood判定をされて、パケットが大量にドロップされている事が
ログのアノマリを見て分かりました(多いと1日数百件のudp_floodログ)
とりあえずはIPv4 DoSポリシーにて、当該通信でのudp_floodに関するアクションを
モニタとする事で対応しているのですが、これはよく有る事象なのでしょうか?
または、Fortiの設定に問題が有るのでしょうか?
teams、googleハングアウトのようなWeb会議を行った際に、
その通信がudp_flood判定をされて、パケットが大量にドロップされている事が
ログのアノマリを見て分かりました(多いと1日数百件のudp_floodログ)
とりあえずはIPv4 DoSポリシーにて、当該通信でのudp_floodに関するアクションを
モニタとする事で対応しているのですが、これはよく有る事象なのでしょうか?
または、Fortiの設定に問題が有るのでしょうか?
2022/03/26(土) 13:26:05.50ID:???
運用でfortiにポリシー追加とかやってるんだけどfortiのスキルあると思われるようになるには何すれば良い?
fortiの資格とかもあるようだが何かマイナーで評価されなそうだし
fortiの資格とかもあるようだが何かマイナーで評価されなそうだし
2022/03/26(土) 15:43:15.60ID:???
コマンドラインで設定
2022/03/26(土) 19:19:08.59ID:???
2022/03/28(月) 08:51:30.71ID:???
terraformみたいなんで管理してIaCやってる感を出す
683anonymous@fusianasan
2022/03/28(月) 09:45:55.78ID:iCTxOPyH diag使いこなす。
2022/03/28(月) 21:14:13.00ID:???
2022/03/28(月) 21:15:17.92ID:???
それは逆にバカにされるのでは……
2022/03/28(月) 22:58:13.43ID:???
CLIも良いんだけどさ
Webで設定したら10分で終わるところをCLIで1時間以上掛かってると格好悪いぞ
Webで設定したら10分で終わるところをCLIで1時間以上掛かってると格好悪いぞ
2022/03/29(火) 22:23:16.94ID:???
食っていけるという意味でFWの将来性はどうなの
ゼロトラストとかいうのがFWやVPNは古いとうたってるみたいだが何が凄いのかよくわからん
各サーバ使う時に認証があるのは普通だろ
ゼロトラストとかいうのがFWやVPNは古いとうたってるみたいだが何が凄いのかよくわからん
各サーバ使う時に認証があるのは普通だろ
2022/03/30(水) 09:19:18.56ID:???
LAN内部は安全みたいに信頼できるとかできないに分けて考えず、ドコでも危険だから片っ端からUTM導入しておけば、有事の際にも言い訳たつって事だから…
2022/03/30(水) 15:51:34.82ID:???
>>688
僕は逆にUTMは減ってくるんじゃないかと思います。
LAN内部が安全ではないから全てのデータはクラウドにて管理するようになるかと思います。
オンプレ側はインターネットへの通信とクラウドへの通信さえあればいいように変わっていくのではないかと思います。
僕は逆にUTMは減ってくるんじゃないかと思います。
LAN内部が安全ではないから全てのデータはクラウドにて管理するようになるかと思います。
オンプレ側はインターネットへの通信とクラウドへの通信さえあればいいように変わっていくのではないかと思います。
2022/03/30(水) 20:20:39.51ID:???
そうしたらプロバイダは従量課金にするかもね
2022/04/01(金) 20:06:20.08ID:???
回線切れたら大騒ぎなのですがそれは
2022/04/02(土) 01:58:38.75ID:???
awsだってたまに止まるけど
まぁ仕方ないよねで済ましてる
こういうのでいいんだよ
まぁ仕方ないよねで済ましてる
こういうのでいいんだよ
693anonymous@fusianasan
2022/04/02(土) 17:47:40.01ID:GylSp1WA 確かにな。
日本人が細かすぎるんだよ。
日本人が細かすぎるんだよ。
694anonymous@fusianasan
2022/04/03(日) 00:43:13.91ID:w6EEjOtH >>689
ゼロトラスト売る側だけどこれが正解
FWやUTMで守っていたものは、今後は各PCやサーバ単位でEDR入れて守るようになる
データもオンプレに置くよりクラウドに置いて Azure AD で認証する方が安全
ゼロトラスト売る側だけどこれが正解
FWやUTMで守っていたものは、今後は各PCやサーバ単位でEDR入れて守るようになる
データもオンプレに置くよりクラウドに置いて Azure AD で認証する方が安全
2022/04/03(日) 10:29:42.73ID:???
>>694
情報系システムはそうなんだけど、基幹系は、、、ね?
情報系システムはそうなんだけど、基幹系は、、、ね?
696anonymous@fusianasan
2022/04/03(日) 19:44:41.49ID:w6EEjOtH >>695
時間の問題かなあって思ってる
銀行ですら勘定系をAzureに持ってって、お国もクラウドファースト言ってGSS持ってく算段してる時代だもの
Fortigate とかこの手のアプライアンス触って飯食ってる仕事の給料が下がることはあっても上がることはないよねー
時間の問題かなあって思ってる
銀行ですら勘定系をAzureに持ってって、お国もクラウドファースト言ってGSS持ってく算段してる時代だもの
Fortigate とかこの手のアプライアンス触って飯食ってる仕事の給料が下がることはあっても上がることはないよねー
2022/04/04(月) 12:59:44.10ID:???
それ以上はいけない
2022/04/04(月) 23:40:40.92ID:???
>>694
将来はそうなるとは思うんだけど…。
現状、EDR入らないネットワーク機器やら複合機とかIoT機器の脆弱性はどう防御できる筋書きでお話してるんかなぁ…。
そのへんがまず突っ込まれると思うんだけんど、どう詰めてますか?
恥ずかしい質問かもね。すまん
将来はそうなるとは思うんだけど…。
現状、EDR入らないネットワーク機器やら複合機とかIoT機器の脆弱性はどう防御できる筋書きでお話してるんかなぁ…。
そのへんがまず突っ込まれると思うんだけんど、どう詰めてますか?
恥ずかしい質問かもね。すまん
2022/04/05(火) 23:04:20.63ID:???
EDRって感染した後の挙動を止める事後対応じゃないのか?
なんかイマイチパッとしないように見えるけど進んでいる技術なのか?
なんかイマイチパッとしないように見えるけど進んでいる技術なのか?
2022/04/05(火) 23:10:57.80ID:???
挙動とかを監視してる分、従来のパターンファイルで引っ掛けるだけのアンチウイルスよりは進んでると言えるんじゃない?
701anonymous@fusianasan
2022/04/06(水) 00:18:22.94ID:4CdjqIvg >>698
凄く初歩的なところで言うと、アプライアンスでどうにかなるもんじゃなくて脆弱性守るのってパッチ当てるしかないからね
Fortigate の脆弱性守ってくれるのは誰?ってなるじゃん
まあ、そこら辺の機器だと基本は SIEM/SOAR の領域になるかね
凄く初歩的なところで言うと、アプライアンスでどうにかなるもんじゃなくて脆弱性守るのってパッチ当てるしかないからね
Fortigate の脆弱性守ってくれるのは誰?ってなるじゃん
まあ、そこら辺の機器だと基本は SIEM/SOAR の領域になるかね
2022/04/06(水) 00:21:11.24ID:???
>>698
IoTだとAWS IoT Device Defenderというクラウドの監視サービスがあるようです。
IoTだとAWS IoT Device Defenderというクラウドの監視サービスがあるようです。
2022/04/06(水) 19:39:15.28ID:???
>>701
そーゆーお話だとまだEDRだけは難しいのかなぁ
セキュリティ機器はパッチ適用は当然として。社内に転がってる全IoT機器をこまめにアップデートするのは多くの会社で現実的ではないしね。
UTMのIPSパターンファインで、いろんなIoT機器の脆弱性を突く通信があった場合検知してくれるしね
そーゆーお話だとまだEDRだけは難しいのかなぁ
セキュリティ機器はパッチ適用は当然として。社内に転がってる全IoT機器をこまめにアップデートするのは多くの会社で現実的ではないしね。
UTMのIPSパターンファインで、いろんなIoT機器の脆弱性を突く通信があった場合検知してくれるしね
2022/04/06(水) 20:25:46.17ID:???
>>699
ファイルそのものは検出しなくてもランサムウェアのプロセスを検知して暗号化実行をブロックしたりするかと > EDR
ファイルそのものは検出しなくてもランサムウェアのプロセスを検知して暗号化実行をブロックしたりするかと > EDR
705anonymous@fusianasan
2022/04/07(木) 19:17:13.66ID:kZDOJ/6x2022/04/07(木) 23:54:12.38ID:???
>>705
ゼロトラストだからじゃね
ゼロトラストだからじゃね
2022/04/08(金) 00:22:24.33ID:???
外から自由に突かれるって話はどこから出てきたんだろう・・・
708anonymous@fusianasan
2022/04/08(金) 01:06:18.92ID:M3VTMrgi2022/04/08(金) 01:11:48.14ID:???
要はUTM業者の飯の種としてはしばらく必要ってことでしょ
カメラとかのIoT機器はONU時点で別として社内LANには物理的に入らない設計の要求増えそう
複合機はインターネット出なくてもいいよなってなったり
カメラとかのIoT機器はONU時点で別として社内LANには物理的に入らない設計の要求増えそう
複合機はインターネット出なくてもいいよなってなったり
2022/04/08(金) 08:57:58.85ID:???
まず社内への人間の出入りを禁止しないと…
2022/04/08(金) 20:33:43.72ID:???
そもそも上司へのゼロトラストなんて何10年も前から実践している
2022/04/08(金) 20:43:31.83ID:???
>>711
Untrustじゃないのか
Untrustじゃないのか
2022/04/08(金) 21:54:34.23ID:???
httpsの通信が主流なのに、アンチウイルスできます!とか大爆笑。どうやってるんですかね?
2022/04/08(金) 22:42:28.86ID:???
2022/04/11(月) 19:49:05.13ID:???
>>713
これって常駐してるアンチUTMの人だから、ほっといた方がいい
これって常駐してるアンチUTMの人だから、ほっといた方がいい
716anonymous
2022/04/11(月) 23:36:27.07ID:??? UTM でわざわざアンチウィルスやる意味ってもう無いだろ
717anonymous@fusianasan
2022/04/27(水) 22:16:54.37ID:D+1xj+KI 初心者で恐縮なのですが、
以下のサイトのとおり、fortigate+楽天ひかり回線で、ipv4 over ipv6接続をしたいです。
機種選定でおすすめがあれば教えて頂けないでしょうか。(中古でコスパ良だと助かります)
https://naitwo2.hateblo.jp/entry/FortiGate-DS-Lite
以下のサイトのとおり、fortigate+楽天ひかり回線で、ipv4 over ipv6接続をしたいです。
機種選定でおすすめがあれば教えて頂けないでしょうか。(中古でコスパ良だと助かります)
https://naitwo2.hateblo.jp/entry/FortiGate-DS-Lite
2022/04/28(木) 16:58:20.24ID:???
性能の指標が無いと選べなくない?
OSを7系に上げなくて良ければ家庭用ならば50Eくらいで十分じゃないかな?
ライセンスが無いと普通はOS上げられないしシグネチャーも受け取れない
ちょっと高機能なルーターになっちゃいますが
OSを7系に上げなくて良ければ家庭用ならば50Eくらいで十分じゃないかな?
ライセンスが無いと普通はOS上げられないしシグネチャーも受け取れない
ちょっと高機能なルーターになっちゃいますが
2022/05/02(月) 18:43:04.40ID:???
6.4.9 でったんだねー
でも、6.4.8 が入ってるけど
6.4.9 への有効なアップグレードパスがあれへんってメッセージでとるわ
でも、6.4.8 が入ってるけど
6.4.9 への有効なアップグレードパスがあれへんってメッセージでとるわ
2022/05/03(火) 00:09:14.60ID:???
721anonymous@fusianasan
2022/05/03(火) 20:48:34.46ID:RqN1DD7p 以下サイトを参考に、
fortigate60E(ver7.0.2)を利用したDS-Liteのインターネット接続を構築しています。
https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-internet-multifeed-ipoe-fixed-ip_fos702.pdf
インターネットアクセス確認まではOKとなっているのですが、
iphone(×3台)が接続できない事象が発生しています。
他のwinPC端末や、google機器や、alexa機器などはインターネット接続が出来ているのですが...
iphoneの通信をパスする設定等で思いつくものはありますでしょうか。
fortigate60E(ver7.0.2)を利用したDS-Liteのインターネット接続を構築しています。
https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-internet-multifeed-ipoe-fixed-ip_fos702.pdf
インターネットアクセス確認まではOKとなっているのですが、
iphone(×3台)が接続できない事象が発生しています。
他のwinPC端末や、google機器や、alexa機器などはインターネット接続が出来ているのですが...
iphoneの通信をパスする設定等で思いつくものはありますでしょうか。
2022/05/04(水) 02:26:50.46ID:???
100Dです。通信量が増えるとダッシュボードのCPU使用率が1コアだけ100%に張り付くんですけど原因や調査方法がわかる方いますか?他の3コアは25%ぐらいで負荷が偏り過ぎてます。。
2022/05/04(水) 20:51:55.28ID:???
>>722
PCと同じような挙動なので特におかしくないんじゃないかな
PCと同じような挙動なので特におかしくないんじゃないかな
2022/05/04(水) 23:49:13.87ID:???
725anonymous@fusianasan
2022/05/05(木) 00:32:27.13ID:XFsuvO4w >>724
iphoneだけが、インターネットに接続出来ないという事象になります。
インターネットアクセスOK⇒windowsPCやAlexaやgoogle機器
インターネットアクセスNG⇒iphoneのみ
※構成
ONU⇔fortigate⇔無線AP⇔クライアント端末群
iphoneだけが、インターネットに接続出来ないという事象になります。
インターネットアクセスOK⇒windowsPCやAlexaやgoogle機器
インターネットアクセスNG⇒iphoneのみ
※構成
ONU⇔fortigate⇔無線AP⇔クライアント端末群
2022/05/05(木) 00:59:55.30ID:???
>>725
デバイスインベントリにiphoneはいるか?
いるのならiphoneをwifiに継いだ状態で他の機器(Windowsとか)には接続できるか?
そのiphoneのIPはポリシーに入っているか?
対象ポリシーのログは確認しているか?
他のポリシー(暗黙等)、UTMポリシーでDropしていないか?
それにiphone使ってないから何とも言えないけどPingとかlookup出来るアプリってないの?
ヒントがおおざっぱ過ぎてエスパーでないと回答に困るな。
デバイスインベントリにiphoneはいるか?
いるのならiphoneをwifiに継いだ状態で他の機器(Windowsとか)には接続できるか?
そのiphoneのIPはポリシーに入っているか?
対象ポリシーのログは確認しているか?
他のポリシー(暗黙等)、UTMポリシーでDropしていないか?
それにiphone使ってないから何とも言えないけどPingとかlookup出来るアプリってないの?
ヒントがおおざっぱ過ぎてエスパーでないと回答に困るな。
2022/05/05(木) 02:51:21.47ID:???
mssの設定はちゃんとしてる?
2022/05/05(木) 09:41:22.09ID:???
iCloud プライベートリレー とかそのへんかな。
うちのやつのログに何か記録されていたような覚えがあるが気にしてなかった。
うちのやつのログに何か記録されていたような覚えがあるが気にしてなかった。
2022/05/05(木) 12:24:24.03ID:???
プロキシモードとフローモードのどっちをみんな使っているの?
10MB以上検査出来ないならフローモードの方がマシだと思うんだがプロキシモードの最大値を変えてるのか?
10MB以上検査出来ないならフローモードの方がマシだと思うんだがプロキシモードの最大値を変えてるのか?
2022/05/06(金) 10:20:13.11ID:???
>>725
何一つ具体的になってなくて草
何一つ具体的になってなくて草
2022/05/06(金) 10:24:06.38ID:???
>>728
エスパーだと先に気になるのはMAC randomizationの方かな。
エスパーだと先に気になるのはMAC randomizationの方かな。
2022/05/06(金) 17:46:11.82ID:???
>>725
エスパーするとiPhoneが機内モードになってるんじゃないかな
エスパーするとiPhoneが機内モードになってるんじゃないかな
2022/05/06(金) 18:36:27.04ID:???
>>725
なんちゃってエスパーだけどiPhoneのアドレスを固定にすると直るんじゃないかな。
なんちゃってエスパーだけどiPhoneのアドレスを固定にすると直るんじゃないかな。
734anonymous@fusianasan
2022/05/07(土) 23:10:44.76ID:JOLGsOfK エスパーの皆さま情報不足ですいません。
iosの設定をいじったらインターネットに繋がるようになりました。ありがとうございました。
ただ、windowsはv6で接続出来ているのですが、
iphoneのみv4接続しかできない事象にハマりました。
iphoneのネットワークをみると、v6のアドレス(DNS含む)は貰えてるのですが、結局未解決です…
iosの設定をいじったらインターネットに繋がるようになりました。ありがとうございました。
ただ、windowsはv6で接続出来ているのですが、
iphoneのみv4接続しかできない事象にハマりました。
iphoneのネットワークをみると、v6のアドレス(DNS含む)は貰えてるのですが、結局未解決です…
735anonymous@fusianasan
2022/05/07(土) 23:26:13.66ID:JOLGsOfK そもそもiphoneからv6アドレスにpingが通らない…
2022/05/07(土) 23:29:22.15ID:???
ポリシー書いてないだけでは?
2022/05/07(土) 23:44:19.95ID:???
構成図も情報も殆どなくて困ってますって話しかしないなら解決はしなさそうだね
738anonymous@fusianasan
2022/05/08(日) 02:44:20.80ID:TWmG/BXr >>736
fortigateーAPーwin端末やiphone
AP接続ポート⇆WANポートは、
anyで許可ポリシー入れてます。
iphoneだけv6が見えないんですよね
再度ポリシー見直してみます。
fortigateーAPーwin端末やiphone
AP接続ポート⇆WANポートは、
anyで許可ポリシー入れてます。
iphoneだけv6が見えないんですよね
再度ポリシー見直してみます。
2022/05/08(日) 02:54:13.36ID:???
2022/05/08(日) 09:49:13.88ID:???
AP接続ポート、WANポート間がAnyってやばくねw
2022/05/09(月) 21:27:22.06ID:???
FWって1000個ぐらい拒否IPアドレス設定しても負荷大丈夫?
2022/05/09(月) 23:04:34.62ID:???
そんくらいじゃ問題ないけど良く来る所はマスクで締めた方が良いし、GioIPで閉めるのも考慮した方が良いと思う。
2022/05/09(月) 23:10:11.43ID:???
>>742
サンクス
サンクス
2022/05/11(水) 21:08:00.69ID:???
ライセンスの期限が25年1月までのものがあるんだが
同一モデルで今年ライセンス切れるやつがあって
期限長い方の権利でファーム取得して
期限切れのモデルに入れるとかできるのかな。
ファームに日付埋め込まれてて照合でダメって言われるやつかな?
同一モデルで今年ライセンス切れるやつがあって
期限長い方の権利でファーム取得して
期限切れのモデルに入れるとかできるのかな。
ファームに日付埋め込まれてて照合でダメって言われるやつかな?
2022/05/12(木) 00:31:42.60ID:???
>>744
ライセンス違反だけど入るし動く。
ライセンス違反だけど入るし動く。
2022/05/12(木) 10:12:17.12ID:???
ファーム(OS)の更新は可能
シグネチャーの更新やWebフィルタは利用不可だよ
シグネチャーの更新やWebフィルタは利用不可だよ
747新人君
2022/05/14(土) 04:20:13.54ID:/H9rvSVD エスパーの皆様
FortiGate transparent modeについて質問させて下さい。
transparent modeでは、L2として動作するのでルーティングは出来ない認識でいます。
そこで質問なのですが、transparent modeでもCLIでStatic route 設定可能なようなのですが、
transparent modeで、Static route の使い道が分からず・・
PC(192.168.1.1)から1.1.1.1に通信させたい場合、transparent modeで実現できるかをご教示頂きたく。
なお、PCに設定しているゲートウエイは、192.168.1.254で、PCにスタティックルート設定はなしが条件となります。
.1 .10 192.168.1.254/24
PC--------FG---------RT1
|
| 192.168.1.253/24
RT2
| 1.1.1.1/32
FortiGate transparent modeについて質問させて下さい。
transparent modeでは、L2として動作するのでルーティングは出来ない認識でいます。
そこで質問なのですが、transparent modeでもCLIでStatic route 設定可能なようなのですが、
transparent modeで、Static route の使い道が分からず・・
PC(192.168.1.1)から1.1.1.1に通信させたい場合、transparent modeで実現できるかをご教示頂きたく。
なお、PCに設定しているゲートウエイは、192.168.1.254で、PCにスタティックルート設定はなしが条件となります。
.1 .10 192.168.1.254/24
PC--------FG---------RT1
|
| 192.168.1.253/24
RT2
| 1.1.1.1/32
748新人君
2022/05/14(土) 04:21:52.53ID:/H9rvSVD すみません、構成図がずれてました・・・
.1 .254
PC--------FG---------RT1
|
| 192.168.1.253/24
RT2
| 1.1.1.1/32
.1 .254
PC--------FG---------RT1
|
| 192.168.1.253/24
RT2
| 1.1.1.1/32
749新人君
2022/05/14(土) 04:24:12.83ID:/H9rvSVD ずれちゃう・・・
RT1 192.168.1.254/24
RT2 192.168.1.253/24
RT2 1.1.1.1/32(loopback)
です。。連投すみません。
RT1 192.168.1.254/24
RT2 192.168.1.253/24
RT2 1.1.1.1/32(loopback)
です。。連投すみません。
2022/05/14(土) 08:29:39.03ID:???
Transparentモード使った事ないから知らんけど(じゃぁ答えるなって言われそうやけど)
普通に考えるとそれはFortigate自信がip通信する際に参照するルーティングテーブルじゃないの?
fortigateまたぐL2通信に関係無いやろ?
普通に考えるとそれはFortigate自信がip通信する際に参照するルーティングテーブルじゃないの?
fortigateまたぐL2通信に関係無いやろ?
2022/05/14(土) 10:02:38.43ID:???
管理用IPのルートだね
2022/05/14(土) 13:45:19.50ID:???
ルーター間が通信できていればポリシーが許していれば通信可能ですよ
FGTのルーティングは他の人が書いている様に管理用
普通の環境だとFGTがインターネットに出られないとシグネチャーが更新できないからデフォルトルートを設定するよ
FGTのルーティングは他の人が書いている様に管理用
普通の環境だとFGTがインターネットに出られないとシグネチャーが更新できないからデフォルトルートを設定するよ
753新人君
2022/05/14(土) 14:00:59.96ID:/H9rvSVD エスパーの皆様
有難うございます!
有難うございます!
2022/05/14(土) 14:18:08.37ID:???
必要な設定をなしが条件となりますって言われても…
エスパーの皆様って煽りもやめたほうがいいよ。
エスパーの皆様って煽りもやめたほうがいいよ。
755aho
2022/05/14(土) 14:44:27.47ID:??? NAT使えよNAT
2022/05/14(土) 19:57:41.86ID:???
>>747
他の方が回答出しちゃってますが
試しに構成を作ってみました。
RT1はFGTのWAN側でRT2はLAN側のポート接続ですよね?
RT1に1.1.1.1向けのルーティングがあれば繋がりますね。
また、FGTのルーティングをRT2向け、PCのデフォルトGWをFGTしてもPCから1.1.1.1繋がらないので、他の方がおっしゃってる通りFGTのルーティングはFGT本体の通信用ですね。
他の方が回答出しちゃってますが
試しに構成を作ってみました。
RT1はFGTのWAN側でRT2はLAN側のポート接続ですよね?
RT1に1.1.1.1向けのルーティングがあれば繋がりますね。
また、FGTのルーティングをRT2向け、PCのデフォルトGWをFGTしてもPCから1.1.1.1繋がらないので、他の方がおっしゃってる通りFGTのルーティングはFGT本体の通信用ですね。
757新人君から進化した
2022/05/20(金) 19:16:36.95ID:XkQ5QeX7 >>756
求めいていた回答です。
PCでFortigateをゲートウエイにしても1.1.1.1に繋がらないのですね。
トランスペアレントの場合、完全にFrotigate自身のルーティングであること、理解できました。
アザマス。
求めいていた回答です。
PCでFortigateをゲートウエイにしても1.1.1.1に繋がらないのですね。
トランスペアレントの場合、完全にFrotigate自身のルーティングであること、理解できました。
アザマス。
2022/05/22(日) 14:34:48.80ID:???
少し質問させたください。
少し特殊な環境での構成になるのですが、
WAN接続の無いfortigateのLANポート(192.168.0.1)に、
WAN接続のあるRT@(192.168.0.11)と、
同じくWAN接続のあるRTA(192.168.0.12)が接続されています。
fortigateのデフォルトルートはRT@に向いており、
fortigate自身のDNSやfortiguard等の通信を含め、全てRT@経由でWANに抜けて行きます。
そこまではいいのですが、
RTAではRTAのWAN(pppoe)に外部から着信したhttp,https,icmpのパケットを
静的NAPTでfortigate(192.168.0.1)に転送するように設定されています。
しかしこのままでは、fortigateは返信パケットをデフォルトルートに従いRT@(192.168.0.11)に送信してしまいます。
何とかしてfortigateから発信する一部のプロトコル、ポートを持った通信をデフォルトルート以外に転送することは可能でしょうか。
PBRで色々試してみましたが上手くいきません。
少し特殊な環境での構成になるのですが、
WAN接続の無いfortigateのLANポート(192.168.0.1)に、
WAN接続のあるRT@(192.168.0.11)と、
同じくWAN接続のあるRTA(192.168.0.12)が接続されています。
fortigateのデフォルトルートはRT@に向いており、
fortigate自身のDNSやfortiguard等の通信を含め、全てRT@経由でWANに抜けて行きます。
そこまではいいのですが、
RTAではRTAのWAN(pppoe)に外部から着信したhttp,https,icmpのパケットを
静的NAPTでfortigate(192.168.0.1)に転送するように設定されています。
しかしこのままでは、fortigateは返信パケットをデフォルトルートに従いRT@(192.168.0.11)に送信してしまいます。
何とかしてfortigateから発信する一部のプロトコル、ポートを持った通信をデフォルトルート以外に転送することは可能でしょうか。
PBRで色々試してみましたが上手くいきません。
2022/05/22(日) 16:39:49.99ID:???
>>758
vdomで分けるのはダメですか?
vdomで分けるのはダメですか?
2022/05/22(日) 17:53:44.26ID:???
761anonymous@fusianasan
2022/05/22(日) 18:51:49.18ID:iiGUU5Gm >>758
Fortigateというより一般的な戻りルートの問題なので
この場合RT①と②では一般的な静的NAPT(Fortigate LAN1に着信するパケットは送信元IPがグローバルIP)ではなく
Ciscoでいう双方向NAT(Fortigate LAN1に着信するパケットは送信元IPが192.168.0.11や12になる)を使うしかないと思います。
Fortigateというより一般的な戻りルートの問題なので
この場合RT①と②では一般的な静的NAPT(Fortigate LAN1に着信するパケットは送信元IPがグローバルIP)ではなく
Ciscoでいう双方向NAT(Fortigate LAN1に着信するパケットは送信元IPが192.168.0.11や12になる)を使うしかないと思います。
2022/05/22(日) 19:05:23.87ID:???
2022/05/22(日) 19:20:30.67ID:???
>>758
192.168.0.0にもう一個インターフェイスだしてSD-WANかな。
RT2のNAPT先をもう一つのインターフェイスにすれば多分RT2に帰ってくれる。
FortiManagerは触ったことないから知らん。
192.168.0.0にもう一個インターフェイスだしてSD-WANかな。
RT2のNAPT先をもう一つのインターフェイスにすれば多分RT2に帰ってくれる。
FortiManagerは触ったことないから知らん。
764anonymous@fusianasan
2022/05/22(日) 22:29:43.09ID:37JwvNHh 初心者ですがlonkmonitorについて質問です
https://docs.fortinet.com/document/fortigate/6.0.0/handbook/252877/remote-link-failover
上記構成で記載の設定+左のfortigateを高プライオリティ、overrideを設定した場合ですが、障害箇所が復旧しているかに関わらずpingserver-flip-timeout 分経過すれば切り戻ってしまう認識ですが、それを止める設定は何かあるでしょうか
flip-timeout が経過した際にプライマリ選定を行い、左がプライマリに戻ってしまうため通信断が起きるのを避けたいです。
https://docs.fortinet.com/document/fortigate/6.0.0/handbook/252877/remote-link-failover
上記構成で記載の設定+左のfortigateを高プライオリティ、overrideを設定した場合ですが、障害箇所が復旧しているかに関わらずpingserver-flip-timeout 分経過すれば切り戻ってしまう認識ですが、それを止める設定は何かあるでしょうか
flip-timeout が経過した際にプライマリ選定を行い、左がプライマリに戻ってしまうため通信断が起きるのを避けたいです。
765anonymous@fusianasan
2022/05/22(日) 23:05:13.57ID:iiGUU5Gm >>764
flip-timeoutを最大値2147483647min=4083年にしておけばとりあえず自動で切り戻らなくなるのでは。使ったことないけど。
切り戻したいタイミングで手動で1にして、切り戻してからまた最大値にする運用すれば目的に近いということで。。。
flip-timeoutを最大値2147483647min=4083年にしておけばとりあえず自動で切り戻らなくなるのでは。使ったことないけど。
切り戻したいタイミングで手動で1にして、切り戻してからまた最大値にする運用すれば目的に近いということで。。。
2022/05/23(月) 00:23:36.26ID:???
>>765
回答ありがとうございます。
時間長くすればその間は切り戻らないのはそうなのですが、復旧してるなら最短で切り戻したいということでして、、
あまり資料も見つからず、使われていない設定なのですかね
回答ありがとうございます。
時間長くすればその間は切り戻らないのはそうなのですが、復旧してるなら最短で切り戻したいということでして、、
あまり資料も見つからず、使われていない設定なのですかね
2022/05/23(月) 00:44:16.33ID:???
>>758
RT2から来る通信の送信元を絞れるなら対応可能
RT2から来る通信の送信元を絞れるなら対応可能
2022/05/23(月) 02:43:57.60ID:???
>>767
それって送信元のスタティック書くだけ?だったら、ここに質問しなくね?
それって送信元のスタティック書くだけ?だったら、ここに質問しなくね?
2022/05/23(月) 13:42:35.81ID:???
2022/05/24(火) 12:55:18.86ID:???
>>766
sdwanがあるし、linkmonあんま使われないと思う。お力になれずスマン
sdwanがあるし、linkmonあんま使われないと思う。お力になれずスマン
771anonymous@fusianasan
2022/05/25(水) 22:32:24.18ID:fsAGyccO linkmonitorがどうかに頭使うより
使わんように頭と金使う方がみんな幸せな気がする
使わんように頭と金使う方がみんな幸せな気がする
2022/05/26(木) 00:11:30.08ID:???
>>771
お金使うなら、誰でもできるだろ
お金使うなら、誰でもできるだろ
773anonymous@fusianasan
2022/05/26(木) 14:03:15.24ID:mnA+KO/f おっしゃる通りです
失礼しました
失礼しました
2022/05/27(金) 08:41:10.67ID:???
v6ブラスからのIPv6-RAをfortigateを介してLANに流しているはずなのだが、iPadだけIPv6で通信できない。IPv6グローバルアドレスは割り振られているのに…
MS-WindowsとAndroidはIPv6で通信できるのに…
iPadは何が気に入らないのだろう?
MS-WindowsとAndroidはIPv6で通信できるのに…
iPadは何が気に入らないのだろう?
2022/05/27(金) 11:48:33.41ID:???
プライベートWi-Fiアドレスとか
2022/05/29(日) 23:28:19.98ID:???
トラシューでログとか見れない人だったら、ぶっちゃけバッファローとか使ったほうがいいっすよ
2022/05/30(月) 01:28:58.10ID:???
2022/05/30(月) 09:20:25.65ID:???
そもそも質問なんかね
779anonymous@fusianasan
2022/05/30(月) 16:11:14.90ID:m0iFqttg >>774
これ抜けなく全部やってるかチェックしては。
https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-jpne-v6plus.pdf
v6 DNSかND Proxyあたりが怪しい気がするけど。
これ抜けなく全部やってるかチェックしては。
https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-jpne-v6plus.pdf
v6 DNSかND Proxyあたりが怪しい気がするけど。
2022/05/30(月) 23:10:45.52ID:???
ドキュメント読んだり、ログ見たり、パケットキャプチャ取って確認したりでやることはいろいろあるんだけど
ここで質問する人は一発で解決する答えを聞きに来てる感じだからそのあたりの解析作業をすることはほぼない
ここで質問する人は一発で解決する答えを聞きに来てる感じだからそのあたりの解析作業をすることはほぼない
2022/05/31(火) 09:27:33.00ID:???
質問自体が低レベルな奴は煽られるのが5ch
ここは煽られながら情報を得る所だ
ここは煽られながら情報を得る所だ
2022/06/02(木) 08:16:26.16ID:???
大原則、趣味で中古買ったなら自己解決が基本
仕事で納めるために買ったならサポートに聞くとかできるだろ、Fortiなら図研かSBだろ?
仕事で納めるために買ったならサポートに聞くとかできるだろ、Fortiなら図研かSBだろ?
783anonymous@fusianasan
2022/06/02(木) 12:30:43.05ID:9588vqFk 教えたがりがいるし、別にいいとおもうけど。ここで聞いたって。
784aho
2022/06/02(木) 19:43:37.95ID:??? v7.0行こうぜ
2022/06/02(木) 20:41:27.89ID:???
在庫なくね?
scskとか大手からは即入できるのかな
scskとか大手からは即入できるのかな
2022/06/03(金) 07:11:10.01ID:???
787774
2022/06/04(土) 05:05:12.64ID:??? みんなありがとう
時間が取れたので調べました
とりあえず以下の事象が判明したので、サポートへ投げてみました
1.iPad のみ、wan 側の IPv6 アドレス宛に ping を飛ばすと応答パケットが Fortigate 内で止まり internal 側へ送出されない
2.iPad に割り振られた IPv6 アドレスのみ Fortigate の route table に登録されていない
Windows と Android に割り振られたアドレスは、"diagnose ipv6 route list" コマンドで経路情報が表示される
https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-jpne-v6plus.pdf
については、設定しているつもり
ただ、config firewall policy の srcintf と dstintf は書式が違うはずで、internal->wan1しか許してはいけないのではないかな
時間が取れたので調べました
とりあえず以下の事象が判明したので、サポートへ投げてみました
1.iPad のみ、wan 側の IPv6 アドレス宛に ping を飛ばすと応答パケットが Fortigate 内で止まり internal 側へ送出されない
2.iPad に割り振られた IPv6 アドレスのみ Fortigate の route table に登録されていない
Windows と Android に割り振られたアドレスは、"diagnose ipv6 route list" コマンドで経路情報が表示される
https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-jpne-v6plus.pdf
については、設定しているつもり
ただ、config firewall policy の srcintf と dstintf は書式が違うはずで、internal->wan1しか許してはいけないのではないかな
788anonymous@fusianasan
2022/06/12(日) 09:06:01.36ID:/TrsoRsS サポートの回答はどうでしたか?
789774
2022/06/12(日) 10:50:18.69ID:??? バージョン7.2.0は上げすぎでサポートしないので、7.0.5に下げろとか
2022/06/13(月) 01:04:54.49ID:???
2022/06/15(水) 14:52:42.21ID:???
まだ日本の代理店サポートに期待してるの?
最新版には追従できず古いバージョンしかサポートできない連中だよ
最新版には追従できず古いバージョンしかサポートできない連中だよ
2022/06/15(水) 19:24:16.01ID:???
Fortiの最新版はバグ多いからな
v7.2系とか現状オープンベータ版みたいなもん
何で複数メジャーバージョンでアップデート出してるのか知らん無知が増えたな
v7.2系とか現状オープンベータ版みたいなもん
何で複数メジャーバージョンでアップデート出してるのか知らん無知が増えたな
2022/06/15(水) 20:48:55.32ID:???
開発したメーカーですらまともに対応出来ませんからww
2022/06/16(木) 00:04:43.41ID:???
2022/06/17(金) 12:24:19.17ID:???
保守無しでファーム手に入んないのかよ!
そう思うとメジャーバージョンアップすら無料のWindowsは神だな。
そう思うとメジャーバージョンアップすら無料のWindowsは神だな。
796sage
2022/06/17(金) 13:03:43.29ID:??? マルチVDOM環境でVDOM作って
配下のvdomでWebフィルタリングの詳細設定しようとすると
スタティックURLフィルタのところで
--------------------
無効なURLをブロック
URLフィルタ
FortiSandboxにより検知された悪意のあるURLをブロック
コンテンツフィルタ
--------------------
あるはずが
「URLフィルタ」と「コンテンツフィルタ」が表示されなくなるんだけどなんで?
FG50E
6.2.10 build1263 (GA)なんだけど
配下のvdomでWebフィルタリングの詳細設定しようとすると
スタティックURLフィルタのところで
--------------------
無効なURLをブロック
URLフィルタ
FortiSandboxにより検知された悪意のあるURLをブロック
コンテンツフィルタ
--------------------
あるはずが
「URLフィルタ」と「コンテンツフィルタ」が表示されなくなるんだけどなんで?
FG50E
6.2.10 build1263 (GA)なんだけど
2022/06/19(日) 11:40:48.80ID:???
>>796
CLIで確認したん?
CLIで確認したん?
798anonymous@fusianasan
2022/06/22(水) 22:32:03.85ID:gqCCrR07 ちょっと教えてほしい。
FortiGateでIPSEC-VPN冗長構成を検討している。
DC側は、ISP-A,ISP-Bの2回線。RT#1,RT#2はBGPしゃべってなくて、単純に回線収容してるだけ。
拠点側FGは、DC側FGのISP-A,ISP-Bグローバル向けのIPSECピアを2つ設定。(local idをメイン、バックアップで設定)
DC側FGは、拠点向けにset peertype oneで、メイン、バックアップを設定。
DC側FGは、フローティングスタティックを使って、通常時はデフォルトルートをISP-A、障害時はISP-Bとする。
ここまではいいんだけど、ここから先が疑問。
通常時、拠点FGから、ISP-BのグローバルIPに対してVPNトンネルを張りに来た際に、VPN応答はISP-A回線経由で返してしまうはず。
そこで、FortiGate自発パケットに対してローカルPBRが実装できれば解決できると思ったんだけど、実装できなそう・・・・
こういう構成の時って、どうやるのが好ましいのかな・・
まぁ、VPNトンネル張るだけだから、ISP-A経由で戻してもそこのバックボーン内で送信元ISP-BのIPが拒否されていなければ、
問題は発生しないとは思ってるけども。
[拠点FG]
||
[インターネット]
| |
| |
ISP-A ISP-B
| |
| |
RT#1 RT#2
| |
| |
wan1 wan2
[ DC側 FG]
FortiGateでIPSEC-VPN冗長構成を検討している。
DC側は、ISP-A,ISP-Bの2回線。RT#1,RT#2はBGPしゃべってなくて、単純に回線収容してるだけ。
拠点側FGは、DC側FGのISP-A,ISP-Bグローバル向けのIPSECピアを2つ設定。(local idをメイン、バックアップで設定)
DC側FGは、拠点向けにset peertype oneで、メイン、バックアップを設定。
DC側FGは、フローティングスタティックを使って、通常時はデフォルトルートをISP-A、障害時はISP-Bとする。
ここまではいいんだけど、ここから先が疑問。
通常時、拠点FGから、ISP-BのグローバルIPに対してVPNトンネルを張りに来た際に、VPN応答はISP-A回線経由で返してしまうはず。
そこで、FortiGate自発パケットに対してローカルPBRが実装できれば解決できると思ったんだけど、実装できなそう・・・・
こういう構成の時って、どうやるのが好ましいのかな・・
まぁ、VPNトンネル張るだけだから、ISP-A経由で戻してもそこのバックボーン内で送信元ISP-BのIPが拒否されていなければ、
問題は発生しないとは思ってるけども。
[拠点FG]
||
[インターネット]
| |
| |
ISP-A ISP-B
| |
| |
RT#1 RT#2
| |
| |
wan1 wan2
[ DC側 FG]
2022/06/22(水) 23:00:38.60ID:???
Router外してFGで直収すればいい
2022/06/22(水) 23:36:49.18ID:???
DC側FGで拠点側ISP-Bのグローバル宛ホストスートをwan2に指定する
2022/06/22(水) 23:50:22.73ID:???
>>798
検証はしてないから正確では無いかも知れんが
FortigateのIPSecピアは個別に出力インターフェースが設定出来るから
出力インターフェースごとにルーティングされると思われる
IPSecピアごとの出力インターフェース指定とか普通のルーターには無いし
VPN通信自体が使うIPSecピアの切り替えはSD-WANやらリンクモニターやらルーティングプロトコルやらを適当にやればどうにかなるはず
検証はしてないから正確では無いかも知れんが
FortigateのIPSecピアは個別に出力インターフェースが設定出来るから
出力インターフェースごとにルーティングされると思われる
IPSecピアごとの出力インターフェース指定とか普通のルーターには無いし
VPN通信自体が使うIPSecピアの切り替えはSD-WANやらリンクモニターやらルーティングプロトコルやらを適当にやればどうにかなるはず
2022/06/23(木) 00:00:33.12ID:???
通常は着信したインターフェースから返す仕様
なのでwan2に着信があったらwan2から返す
フローティングスタティックの設定が具体的にどうなってるかわかんないけど
wan2側もルーティングテーブルがないと
RPFチェックで落ちると思うのでそのあたりは要確認
なのでwan2に着信があったらwan2から返す
フローティングスタティックの設定が具体的にどうなってるかわかんないけど
wan2側もルーティングテーブルがないと
RPFチェックで落ちると思うのでそのあたりは要確認
803anonymous@fusianasan
2022/06/23(木) 08:11:57.77ID:oaTYYQXh ありがとう!
検証してみる!
検証してみる!
2022/06/23(木) 12:49:45.15ID:???
設定に困ったとき相談できる窓口があるサポート会社はどこ?
2022/06/23(木) 14:53:56.41ID:???
どこでも相談できるよ、金さえ払えば
2022/06/23(木) 18:41:10.34ID:???
>>804
保守に付いてくるよ
保守に付いてくるよ
2022/06/24(金) 12:33:22.14ID:???
2022/06/24(金) 15:55:36.01ID:???
話がかみ合ってないな
2022/06/24(金) 17:13:18.94ID:???
保守の意味ググれ
2022/06/24(金) 18:12:28.25ID:???
アホの極み
保守内容なんてそれぞれ違う
保守内容なんてそれぞれ違う
2022/06/24(金) 18:17:09.29ID:???
もしかしてファームのアップとか設定変更とか保守?
修理点検のみ?
いろんな捉え方あり?
それとも俺の思っている保守内容が世界共通?って人か?
修理点検のみ?
いろんな捉え方あり?
それとも俺の思っている保守内容が世界共通?って人か?
2022/06/24(金) 18:46:20.68ID:???
どこまで対応してもらえるのかは契約内容確認すればいいんじゃないでしょうか
2022/06/24(金) 19:03:31.25ID:???
保守の意味は辞書通りに決まってる
保守範疇は契約内容によって違う
当たり前だろ
これがごっちゃになってて話が通じてない
保守範疇は契約内容によって違う
当たり前だろ
これがごっちゃになってて話が通じてない
2022/06/24(金) 20:55:33.75ID:???
>>813
変なこと場遊びはせず普通に会話しろや
変なこと場遊びはせず普通に会話しろや
2022/06/24(金) 20:56:40.38ID:???
>>812
804に戻った気がするのは気のせいか?
804に戻った気がするのは気のせいか?
2022/06/24(金) 21:13:04.30ID:???
2022/06/24(金) 21:17:05.62ID:???
ソフトバンクはQA技術支援も含むって書いてあるけど、
費用浮かすために技術もないくせに自前で構築しようとして何とも行かなくなってメーカーサポートに設計紛いの質問するのはルール違反だと思う。
費用浮かすために技術もないくせに自前で構築しようとして何とも行かなくなってメーカーサポートに設計紛いの質問するのはルール違反だと思う。
2022/06/24(金) 22:14:28.87ID:???
正直メーカーに連絡するよりシステムベンダに依頼すべきじゃね
メーカーの営業経由でベンダー紹介してもらってもいいけどさ
メーカーの営業経由でベンダー紹介してもらってもいいけどさ
2022/06/25(土) 06:34:07.03ID:???
そのシステムベンダーですが、メーカーサポートに
技術的な質問してもたいした答えは返ってこない。
技術的な質問してもたいした答えは返ってこない。
2022/06/25(土) 08:23:35.10ID:???
ソフトバンクはやるのかな?
せめてコマンドマニュアルとか設定例くらいメーカーで普通に公開してほしいな(日本語で)
あと導入してもよいファームもサポート会社で違うのも面倒だわ
ファーム何使うのが良い?ってくらいの質問でも同じサポート会社でも答える時と答えない時あるし
柔軟に対応しているとも言えるが
でもここにかいている奴ら、保守と保守契約なんて言うのに
メーカーとパートナーと販売店とシステムベンダー区別してないのか?
メーカーは直接サポート契約しないからメーカーサポートと窓口持っているのは限られてるぞ
俺はメーカーの人と話したことはあるがサポートを依頼したことはないな(依頼しているのを目撃したことはある)
せめてコマンドマニュアルとか設定例くらいメーカーで普通に公開してほしいな(日本語で)
あと導入してもよいファームもサポート会社で違うのも面倒だわ
ファーム何使うのが良い?ってくらいの質問でも同じサポート会社でも答える時と答えない時あるし
柔軟に対応しているとも言えるが
でもここにかいている奴ら、保守と保守契約なんて言うのに
メーカーとパートナーと販売店とシステムベンダー区別してないのか?
メーカーは直接サポート契約しないからメーカーサポートと窓口持っているのは限られてるぞ
俺はメーカーの人と話したことはあるがサポートを依頼したことはないな(依頼しているのを目撃したことはある)
821,
2022/06/25(土) 09:40:59.83ID:??? いったいどこのワンオペ病院
逆ギレすんな
逆ギレすんな
2022/06/25(土) 09:54:30.76ID:???
聞けるところにはダメもとでも聞いてみるってのはいいと思うけどな
ただ、相手が答えやすい様な質問・状況は準備した方が良いとは思う。
・商談には関係ない別件の質問だけど、協業途中だから相手に無視させにくい状況で聞くとか
・アンサーを求めるんじゃなくて、気づいたことないですかね?っていうあくまでヒントをもらうとか
(材料準備したからやってくれ じゃなく ここんところどう切ったらいいですかね 的な)
結局ディストリビューターのバックエンジニアだって自分のやったことないのは
自社のサポートDBみたいなの調べるしかないし、それで見つかんなきゃ
ちょっとググって無さそうならシラネって言いたいだろうし
自分はファームバージョン選定の時は仕入れたディストリビューターの窓口に
「貴社がサポートが可能とする、推奨バージョンは何ですか?」ってメールで聞く。
なんか起こった時に巻き込みやすいかなって。
ただ、相手が答えやすい様な質問・状況は準備した方が良いとは思う。
・商談には関係ない別件の質問だけど、協業途中だから相手に無視させにくい状況で聞くとか
・アンサーを求めるんじゃなくて、気づいたことないですかね?っていうあくまでヒントをもらうとか
(材料準備したからやってくれ じゃなく ここんところどう切ったらいいですかね 的な)
結局ディストリビューターのバックエンジニアだって自分のやったことないのは
自社のサポートDBみたいなの調べるしかないし、それで見つかんなきゃ
ちょっとググって無さそうならシラネって言いたいだろうし
自分はファームバージョン選定の時は仕入れたディストリビューターの窓口に
「貴社がサポートが可能とする、推奨バージョンは何ですか?」ってメールで聞く。
なんか起こった時に巻き込みやすいかなって。
2022/06/25(土) 11:50:07.49ID:???
2022/06/26(日) 01:10:10.88ID:???
セキュリティベンダの推奨は基本は最新OS / 最新パッチだよ
それ以外答えようはない
それ以外答えようはない
2022/06/26(日) 01:42:52.08ID:???
>>824
技術質問の契約ない保守は、それだけだろうな
技術質問の契約ない保守は、それだけだろうな
2022/06/26(日) 06:37:00.41ID:???
日本のベンダーは自前で動作チェックしたものだけ公開してるから、メーカーの最新とは限らない。
それでわかるだろ。
それでわかるだろ。
2022/06/26(日) 09:10:13.94ID:???
>>787
iPhoneやiPad、MACアドレス固定にしてる?
iPhoneやiPad、MACアドレス固定にしてる?
2022/06/26(日) 15:00:59.71ID:???
2022/06/26(日) 19:03:20.17ID:???
>>824
どこがそんな回答してくれたのか知りたい
今契約しているところは指定バージョン以外を入れたら保守対象外と言われた
しかも指定バージョンが無茶苦茶古く6.2とか言うし
そんなんが最初なら乗り換えたいわ
どこが7.2とか7.4やってくれる?
どこがそんな回答してくれたのか知りたい
今契約しているところは指定バージョン以外を入れたら保守対象外と言われた
しかも指定バージョンが無茶苦茶古く6.2とか言うし
そんなんが最初なら乗り換えたいわ
どこが7.2とか7.4やってくれる?
2022/06/26(日) 19:55:14.57ID:???
2022/06/26(日) 19:59:23.52ID:???
>>830
ちなみに最新OSはメモリリークしたり機能バグする多いからほぼバグテスターのようなもん
7.2系なんかバグったら公式フォーラムでサポート依頼しながらバグ前提で使うもんだから普通の代理店はサポートとか期待しないわ
ちなみに最新OSはメモリリークしたり機能バグする多いからほぼバグテスターのようなもん
7.2系なんかバグったら公式フォーラムでサポート依頼しながらバグ前提で使うもんだから普通の代理店はサポートとか期待しないわ
832anonymous@fusianasan
2022/06/26(日) 20:08:17.90ID:d3w6xT8i 7.2はまだ怖いなー
自分の経験上だけど、Patch3以降ぐらいからじゃないかなー、導入奨められるのは。
中には、Patch5ぐらいじゃないと、怖いバージョンもあるかもだけど。
自分の経験上だけど、Patch3以降ぐらいからじゃないかなー、導入奨められるのは。
中には、Patch5ぐらいじゃないと、怖いバージョンもあるかもだけど。
2022/06/27(月) 06:46:07.63ID:???
834anonymous@fusianasan
2022/06/27(月) 14:34:02.69ID:5Y8wE/h6 上の方でFortiGate+どこかのAPを使ってiPhoneがIPv6で外に抜けないと言ってる人がいたけどウチでも同様になってる。
Windows PC2台とAndroid3台はIPv6で外に抜けるしIPv4もDS-Liteで使えてる。
ちなみにiPhoneでもIPv4はDS-Lite(IPv4 over IPv6)で使えてる。
環境は下記の通り。
・FortiGate 60E(7.0.6)ちなみに7.2.0でも同様だった。
・NTT西+朝日ネット(IPoE + DS-Lite)IP非固定
・iPhone SE2(15.5),iPhone XS(15.5),iPad mini2(12.5.5)
https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-internet-multifeed-ipoe-ds-lite_fos702.pdf
この辺のFortinetの資料はOCN IPoEのものやアルテリアのものも参考にしていて、WAN固定IPサービス部分を除き同じ事を実施済み。
iPhoneはIPv6アドレスを取得していて、PCとiPhone間でv6でのICMPは疎通OK
しかしiPhoneから外向けのv6アドレスにはping疎通NG
iPhoneやAndroidはinternal側の同一サブネットにいるためF/Wポリシーも同一。
ちなみにiPhoneでも下記設定を施したRTX1200配下からはv6アドレスで外に抜けていたし今戻してみてもちゃんとv6を使用できた。
https://network.yamaha.com/setting/router_firewall/flets/flets_other_service/ipv6_ipoe
FortiGate 60Eの何らかの設定が足らないか過剰なのか不明だけどFortiGate+iPhone(iOS)ならではの問題がありそうなのは確か。
Windows PC2台とAndroid3台はIPv6で外に抜けるしIPv4もDS-Liteで使えてる。
ちなみにiPhoneでもIPv4はDS-Lite(IPv4 over IPv6)で使えてる。
環境は下記の通り。
・FortiGate 60E(7.0.6)ちなみに7.2.0でも同様だった。
・NTT西+朝日ネット(IPoE + DS-Lite)IP非固定
・iPhone SE2(15.5),iPhone XS(15.5),iPad mini2(12.5.5)
https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-internet-multifeed-ipoe-ds-lite_fos702.pdf
この辺のFortinetの資料はOCN IPoEのものやアルテリアのものも参考にしていて、WAN固定IPサービス部分を除き同じ事を実施済み。
iPhoneはIPv6アドレスを取得していて、PCとiPhone間でv6でのICMPは疎通OK
しかしiPhoneから外向けのv6アドレスにはping疎通NG
iPhoneやAndroidはinternal側の同一サブネットにいるためF/Wポリシーも同一。
ちなみにiPhoneでも下記設定を施したRTX1200配下からはv6アドレスで外に抜けていたし今戻してみてもちゃんとv6を使用できた。
https://network.yamaha.com/setting/router_firewall/flets/flets_other_service/ipv6_ipoe
FortiGate 60Eの何らかの設定が足らないか過剰なのか不明だけどFortiGate+iPhone(iOS)ならではの問題がありそうなのは確か。
2022/06/27(月) 15:08:27.68ID:???
デバッグログ、パケットキャプチャみて調査するしかないんじゃないでしょうか
うちはiPhone13 miniで問題なくIPv6で繋がってます(7.0.6、test-ipv6で10/10)
nd-proxyとIPv6 firewall policyがあればいいはず
うちはiPhone13 miniで問題なくIPv6で繋がってます(7.0.6、test-ipv6で10/10)
nd-proxyとIPv6 firewall policyがあればいいはず
836834
2022/06/27(月) 16:26:19.56ID:5Y8wE/h6 >>835
ありがとうございます。
v6のポリシーは上記URLのPDFのものと同じなんですが足らないんですかね。。
その他関係ありそうなところで今設定してるのは下記くらいです。
FGT60E # show system nd-proxy
config system nd-proxy
set status enable
set member "wan1" "internal"
end
FGT60E # show system interface wan1
config system interface
edit "wan1"
set vdom "root"
set type physical
set role wan
set snmp-index 1
config ipv6
set ip6-allowaccess ping
set dhcp6-information-request enable
set autoconf enable
set unique-autoconf-addr enable
end
next
end
wan1がRAで取得したv6アドレスにinternalのPC,Androidからはping通るけど
iphoneからは通らないのがそもそもの問題な気がしてきた。
ありがとうございます。
v6のポリシーは上記URLのPDFのものと同じなんですが足らないんですかね。。
その他関係ありそうなところで今設定してるのは下記くらいです。
FGT60E # show system nd-proxy
config system nd-proxy
set status enable
set member "wan1" "internal"
end
FGT60E # show system interface wan1
config system interface
edit "wan1"
set vdom "root"
set type physical
set role wan
set snmp-index 1
config ipv6
set ip6-allowaccess ping
set dhcp6-information-request enable
set autoconf enable
set unique-autoconf-addr enable
end
next
end
wan1がRAで取得したv6アドレスにinternalのPC,Androidからはping通るけど
iphoneからは通らないのがそもそもの問題な気がしてきた。
837anonymous@fusianasan
2022/06/27(月) 17:31:09.77ID:6lJlu2iS 教えてください。
FortigateでSSL-VPNのサーバ証明書をFortigateのWebGUIのLetsEncryptから生成出来ると思います。
この証明書は3ヶ月で期限切れになりますが、自動更新は出来るのでしょうか?
同一ドメイン作成はできないようなので、自動更新ができない場合、一旦既存の証明書を削除して作り直しするしかなさそうですが。。
FortigateでSSL-VPNのサーバ証明書をFortigateのWebGUIのLetsEncryptから生成出来ると思います。
この証明書は3ヶ月で期限切れになりますが、自動更新は出来るのでしょうか?
同一ドメイン作成はできないようなので、自動更新ができない場合、一旦既存の証明書を削除して作り直しするしかなさそうですが。。
838834
2022/06/27(月) 19:45:32.49ID:5Y8wE/h6 分かった事はiPhoneからFortiGate 60Eのwan1のv6アドレスに一度pingを実行すれば、外にあるWebサーバのv6アドレス宛にもpingが届きHTTPアクセスもOKでv6アドレスがApacheのログに記録される。
しかし、iPhoneのWi-Fiを一度OFFにして再度ONにした後にiPhoneが新しいv6アドレスを取得するとまたping NGになる。
で、またFortiGate 60Eのwan1にpingを実行した後にはまた疎通OKになるというループ。
何かND-Proxyの動きがおかしいようなルートがおかしいような。
でもこんな動きするのiPhoneだけだしなぁ。
FortiGateに設定しているStatic routeはDS-Lite向けのipv4のvne.rootトンネル向けだけであり、ipv6のStatic routeは未設定。
でもFortiGate自身やiPhone以外は問題が出ていないという状況です。
しかし、iPhoneのWi-Fiを一度OFFにして再度ONにした後にiPhoneが新しいv6アドレスを取得するとまたping NGになる。
で、またFortiGate 60Eのwan1にpingを実行した後にはまた疎通OKになるというループ。
何かND-Proxyの動きがおかしいようなルートがおかしいような。
でもこんな動きするのiPhoneだけだしなぁ。
FortiGateに設定しているStatic routeはDS-Lite向けのipv4のvne.rootトンネル向けだけであり、ipv6のStatic routeは未設定。
でもFortiGate自身やiPhone以外は問題が出ていないという状況です。
2022/06/27(月) 20:04:37.79ID:???
プライベートアドレスにしていてMACアドレス変わったけどネイバーテーブルが更新されてないとかあるのかも
まわりの状況だけだと判断つかないので、デバッグログ取ったりパケットキャプチャ取ったりしてご自身でログを確認されることをおすすめします
まわりの状況だけだと判断つかないので、デバッグログ取ったりパケットキャプチャ取ったりしてご自身でログを確認されることをおすすめします
2022/06/27(月) 21:19:44.13ID:???
なんか無能ってログ見ないよなあ
2022/06/27(月) 21:38:54.66ID:???
>>838
騙されたと思ってiPhoneのWi-Fi設定のプライベートWi-FiアドレスをOFFにしてみるのだ
騙されたと思ってiPhoneのWi-Fi設定のプライベートWi-FiアドレスをOFFにしてみるのだ
842834
2022/06/28(火) 10:01:42.69ID:utqQV6JZ iPhoneのプライベートWi-FiをOFFった状態でも上記と全く同じ現象でした。
疎通NGの際のログには発信は数バイトあるけど着信は0バイトという現象。
キャプチャは取って中身見てみたけどAndroidとは違う流れになっている事は分かったもののもう少し時間かけて調べてみます。
疎通NGの際のログには発信は数バイトあるけど着信は0バイトという現象。
キャプチャは取って中身見てみたけどAndroidとは違う流れになっている事は分かったもののもう少し時間かけて調べてみます。
843837
2022/06/28(火) 11:31:29.63ID:Pi3bkKB42022/06/29(水) 10:16:11.25ID:???
>>837
ACMEの設定していれば自動更新されるのではないでしょうか。
https://docs.fortinet.com/document/fortigate/7.0.0/new-features/822087/acme-certificate-support
ACMEの設定していれば自動更新されるのではないでしょうか。
https://docs.fortinet.com/document/fortigate/7.0.0/new-features/822087/acme-certificate-support
845837
2022/06/29(水) 10:58:24.60ID:LzIvgFYO >>844
なるほど。
設定はコマンドでは無くGUIで設定しその時は証明署名・ドメイン(FQDN)、メールの入力だけで自動プロビジョニングが
開始されたのでACMEは意識してませんでしたが、たしかにconfig上では設定されてました。
ウィザードで設定すると勝手にWAN側ポートを認識しACMEポートとして設定されて、期間が近づいたら自動で更新される
ようになっているようですね。
ありがとうございます。
なるほど。
設定はコマンドでは無くGUIで設定しその時は証明署名・ドメイン(FQDN)、メールの入力だけで自動プロビジョニングが
開始されたのでACMEは意識してませんでしたが、たしかにconfig上では設定されてました。
ウィザードで設定すると勝手にWAN側ポートを認識しACMEポートとして設定されて、期間が近づいたら自動で更新される
ようになっているようですね。
ありがとうございます。
2022/07/03(日) 17:36:13.68ID:???
スレチで申し訳ないのですが、専用スレがなかったためこちらで訊かせてください。
接続はWindows機一台のみで、パロアルトのPA-200の中古を検討しているのですが、データシートを読むと
FWスループット100Mbps、脅威防御スループット50Mbps、新規セッション1000/sとありました。
Windows機は、ガッツリ帯域を食うようなことはしていません。
一台のみの接続台数であれば、この機種でまかなえるでしょうか?
接続はWindows機一台のみで、パロアルトのPA-200の中古を検討しているのですが、データシートを読むと
FWスループット100Mbps、脅威防御スループット50Mbps、新規セッション1000/sとありました。
Windows機は、ガッツリ帯域を食うようなことはしていません。
一台のみの接続台数であれば、この機種でまかなえるでしょうか?
847anonymous@fusianasan
2022/07/03(日) 20:21:32.89ID:bNEsXoAp >>846
パロの中古なんて買ってまともに動くの?保守なしアプデなしでしょ?
パロの中古なんて買ってまともに動くの?保守なしアプデなしでしょ?
2022/07/03(日) 20:58:14.45ID:???
>>847
ヤフオクを見るとコンスタントに売れてるんですよね…アプデについては、2022/6/25付でパッチはされてるようです。
ちなみにこれを狙っていました↓
https://page.auctions.yahoo.co.jp/jp/auction/o1055757960
ヤフオクを見るとコンスタントに売れてるんですよね…アプデについては、2022/6/25付でパッチはされてるようです。
ちなみにこれを狙っていました↓
https://page.auctions.yahoo.co.jp/jp/auction/o1055757960
2022/07/03(日) 20:59:07.02ID:???
FotiOSを7.0.5から7.0.6に上げると、explicit proxy経由で@Niftyメールなど一部のWebサイトにアクセスできなくなるな
障害報告上げようかと思ったけど、めんどくせ…
障害報告上げようかと思ったけど、めんどくせ…
2022/07/03(日) 21:22:40.90ID:???
2022/07/03(日) 21:30:23.92ID:???
>>850
そうなんですか…PC1台だけならそれほど重くならないはずと思っていたのですが、
厳しいかぁ。
ちなみに、GUIを動かすのが苦労するというのは設定が複雑すぎるということでしょうか?
Fortigateより煩雑なら選択肢から外した方がいいかもしれませんね
そうなんですか…PC1台だけならそれほど重くならないはずと思っていたのですが、
厳しいかぁ。
ちなみに、GUIを動かすのが苦労するというのは設定が複雑すぎるということでしょうか?
Fortigateより煩雑なら選択肢から外した方がいいかもしれませんね
2022/07/03(日) 22:35:10.53ID:???
2011年11月発売の機種でパフォーマンスも今の時代からすると低すぎる
無料でも要らないかな
無料でも要らないかな
2022/07/03(日) 22:44:14.02ID:???
それほど低機能なのに、ヤフオクに出したら13000円となると、やはり元の定価が非常に高いからなんでしょうね。
ありがとうございましたm(_ _ )m
ありがとうございましたm(_ _ )m
854anonymous@fusianasan
2022/07/06(水) 10:00:53.29ID:DAqWYIBs IPsecで冗長化か考えてた人はSD-WANメンバーにWANもVPNインターフェイスも突っ込んで
SD-WANポリシー書いてあげたら幸せになれるよ。
リンクモニターするためにVPNにアドレス振ってあげてね。ping許可も。
SD-WANポリシー書いてあげたら幸せになれるよ。
リンクモニターするためにVPNにアドレス振ってあげてね。ping許可も。
855兵隊。
2022/07/07(木) 19:16:23.58ID:KCvTdPqO FortiGateを最近業務で触り始めたんだけど、やれることが多くてどこから突っ込んで勉強したら
ええのや・・・
ちょうど話題に出てる,SD-WAN,IPSECやらをからめた構成で検証してみるのがよいですかね?
これ検証したらいい勉強になるぜ。 みたいなのがあれば、教えてほしい。
ええのや・・・
ちょうど話題に出てる,SD-WAN,IPSECやらをからめた構成で検証してみるのがよいですかね?
これ検証したらいい勉強になるぜ。 みたいなのがあれば、教えてほしい。
2022/07/07(木) 19:27:31.18ID:???
公式cookbook
2022/07/09(土) 15:17:35.50ID:???
英語読めないんで日本語でいいやつないですか?
2022/07/09(土) 16:15:32.48ID:???
fori社監修の本が出てるから、それがいいんじゃん。日本語だし。
2022/07/09(土) 18:35:28.08ID:???
古いのならば日本語版あるぞ
2022/07/17(日) 10:18:50.46ID:???
FG-50Eを6.2.10→6.2.11にGUIで上げたらGUI接続出来なくなった。
ssh出来るけど443は外から叩いてもcloseになってる
cliでrestore imageで6.2.10に戻しても状況変わらなかったんだけど思いつく事などあります?
ssh出来るけど443は外から叩いてもcloseになってる
cliでrestore imageで6.2.10に戻しても状況変わらなかったんだけど思いつく事などあります?
2022/07/17(日) 11:41:38.63ID:???
管理者接続のポート番号変わっちゃったとか?まぁ普通に考えたら有りえないんだけども。
2022/07/17(日) 17:47:24.72ID:???
わからんけどexecute factoryresetで初期化してみたら
863anonymous@fusianasan
2022/07/17(日) 21:02:32.80ID:bILzoiN3 リリースノートも見てみたけど、そんなバグものってないね。
てか、Frotiのリリースノートのいけてなさは半端ない。
トリガーとか書いてないから、どういう意味ですか? とか問い合わせきても、こっちも書いてある以上の
事は分からないんだけど。
https://docs.fortinet.com/document/fortigate/6.2.11/fortios-release-notes/236526/known-issues
てか、Frotiのリリースノートのいけてなさは半端ない。
トリガーとか書いてないから、どういう意味ですか? とか問い合わせきても、こっちも書いてある以上の
事は分からないんだけど。
https://docs.fortinet.com/document/fortigate/6.2.11/fortios-release-notes/236526/known-issues
2022/07/18(月) 00:53:34.14ID:???
>>860
コマンド叩けるなら接続インターフェースの管理のhttpsを開けたらいいのではないかな?
コマンド叩けるなら接続インターフェースの管理のhttpsを開けたらいいのではないかな?
865anonymous@fusianasan
2022/07/18(月) 04:38:27.06ID:fPxOjV2Q2022/07/18(月) 15:59:49.40ID:???
2022/07/18(月) 16:17:46.52ID:???
>>860
config system global
set admin-server-sert "”
になってない?ファームウェアをアップグレードしたときに指定されたいたものが外れていたときがあった
config system global
set admin-server-sert "”
になってない?ファームウェアをアップグレードしたときに指定されたいたものが外れていたときがあった
868p
2022/07/18(月) 18:03:41.63ID:??? ストレージ溢れるとかってバグだろw
最適化ってなんやねん
FortiGate 30E and 50E flash card space optimization
最適化ってなんやねん
FortiGate 30E and 50E flash card space optimization
2022/07/18(月) 23:34:13.43ID:???
ローカルストレージが小さいモデルの制限
2022/08/02(火) 21:39:40.47ID:???
>>866
普通に考えてもダメな時の前科多すぎるからなあ
普通に考えてもダメな時の前科多すぎるからなあ
2022/08/03(水) 08:53:10.73ID:???
バージョンダウンの時はConfigも元のバックアップに戻さないと確か正常復元の保証無いよね
今のGUIからのアップデートだと自動的にバックアップ取らされる仕組みだったと思うけれど無視して未保存だったら知らんが
今のGUIからのアップデートだと自動的にバックアップ取らされる仕組みだったと思うけれど無視して未保存だったら知らんが
872anonymous@fusianasan
2022/08/04(木) 14:33:27.01ID:RtL51HNy EメールフィルタでIMAPとPOP3だけ検証したいのですがいい方法ないでしょうか?
SMTP検証はサイト見つけたんですが…
Gmailのサーバで試したもののPOP3Sだったので検知せず。POPサーバ建てるしかないですかね…
SMTP検証はサイト見つけたんですが…
Gmailのサーバで試したもののPOP3Sだったので検知せず。POPサーバ建てるしかないですかね…
2022/08/04(木) 15:48:56.01ID:???
BJDとかでサクッとたてればいいんでは?
874anonymous@fusianasan
2022/08/04(木) 23:16:36.47ID:lY325otV >>873
ありがとうございます、BJDは使ったことないので試してみます!
ありがとうございます、BJDは使ったことないので試してみます!
2022/08/08(月) 09:12:47.58ID:???
akb?
2022/08/08(月) 15:08:27.10ID:???
黒くて大きい犬
2022/08/08(月) 23:34:23.58ID:???
Winproxyって名前だったけど同名のソフトあったから変えたんだよな
2022/08/10(水) 12:32:35.02ID:???
黒くて大きい股間
2022/08/10(水) 13:18:47.75ID:???
誰かFortiOS7.2.1をアップしてくれんやろかー
2022/08/10(水) 13:32:50.29ID:???
>>879
???
???
2022/08/10(水) 15:50:29.73ID:???
>>879
Fortinet様か代理店がアップしてくれているぞ
Fortinet様か代理店がアップしてくれているぞ
882anonymous@fusianasan
2022/08/22(月) 16:18:46.88ID:ipoiGtzg IPoE2回線でのSD-WAN構成について解説しているサイトや情報ご存じないですか?
少なくとも片方はVDOMで分けて設定が必要かと思いますが、SCSKに問い合わせても事例が無いので回答できないと言われまして...
少なくとも片方はVDOMで分けて設定が必要かと思いますが、SCSKに問い合わせても事例が無いので回答できないと言われまして...
2022/08/23(火) 16:39:12.84ID:???
あそこはわからないことが多いよ
他社が公開してくれている使い方でも自励がない、出来ないと言われたこともある
他社が公開してくれている使い方でも自励がない、出来ないと言われたこともある
2022/08/23(火) 16:43:43.76ID:???
書き忘れた
今聞いてるのはサボート窓口だよな?しつこく聞くと「修理対応とか動いていた設定が動かないときの窓口です。新規の設定はサポートしていません」と言われたこともある
購入した代理店?経由で営業に聞いてもらうと情報をもらえることもあった
fortigateはどこのサポートも同じかもしれないけどな
今聞いてるのはサボート窓口だよな?しつこく聞くと「修理対応とか動いていた設定が動かないときの窓口です。新規の設定はサポートしていません」と言われたこともある
購入した代理店?経由で営業に聞いてもらうと情報をもらえることもあった
fortigateはどこのサポートも同じかもしれないけどな
2022/08/23(火) 19:31:12.20ID:???
新規の設定は構築として請け負うものだからね
2022/08/23(火) 20:37:15.98ID:???
>>882
v6 のI/F 毎にVDOM 分けて、VDOM link で root vdomに繋げて
root VDOM から VDOM link 経由の v6 tunnel を作る
それぞれをsdwan でまとめる。って感じで多分いけるかと
v6 のI/F 毎にVDOM 分けて、VDOM link で root vdomに繋げて
root VDOM から VDOM link 経由の v6 tunnel を作る
それぞれをsdwan でまとめる。って感じで多分いけるかと
2022/08/23(火) 20:40:28.06ID:???
あ、tunnel はそれぞれのVDOM からになるのかな?
環境があるならまずやってみて欲しい
環境があるならまずやってみて欲しい
2022/08/23(火) 23:09:41.59ID:???
VDOMで分ける必要ある?
2022/08/24(水) 00:16:22.41ID:???
ipoeトンネルIFになるvne.rootがvdom1つにつき1つまでだからvdom分けは必須かと。
ただrootvdomじゃないと固定v4アドレスが降ってこなかった記憶があります。
vneトンネルがvdom単位で作成できれば可能性はあるかなぁ。
ただrootvdomじゃないと固定v4アドレスが降ってこなかった記憶があります。
vneトンネルがvdom単位で作成できれば可能性はあるかなぁ。
2022/08/24(水) 02:59:12.08ID:???
2022/08/24(水) 19:06:20.50ID:???
2022/08/24(水) 19:47:10.16ID:???
>>890
ファーム上がって直ってるよ
ファーム上がって直ってるよ
2022/08/24(水) 21:03:15.01ID:???
IPoEの意味も知らんぽいどしろうとの相手なんかできないだろ
文字通りIPがイーサに載ること
こんだけIPoE一色になるまえにL3,L2プロトコルが色々乱立覇権争いしてた頃
40年位前に特定の組み合わせを示すのにできた言葉
文字通りIPがイーサに載ること
こんだけIPoE一色になるまえにL3,L2プロトコルが色々乱立覇権争いしてた頃
40年位前に特定の組み合わせを示すのにできた言葉
894anonymous@fusianasan
2022/08/26(金) 04:57:09.97ID:Qsa9HB2X すみません、FortigateのVPNについて教えてください。
この度、外部からVPNで社内に接続する方法について検討しています。
その方法として、L2TP/IPsecを用いた接続(こちらの方がOS標準機能で実現可能なので望ましい)か
FortiClientを用いたIPsec接続のどちらかを考えています。
その際、認証アカウント単位でアクセス権と言いますかポリシー制御をかけたいのですが
見方が悪いのかそのような設定箇所が見当たりませんでした。
もしかして上記2つの接続方法では、認証アカウント単位での制御はできないのでしょうか?
初歩的な質問で申し訳ございませんが、ご教示いただけますと幸いです。
この度、外部からVPNで社内に接続する方法について検討しています。
その方法として、L2TP/IPsecを用いた接続(こちらの方がOS標準機能で実現可能なので望ましい)か
FortiClientを用いたIPsec接続のどちらかを考えています。
その際、認証アカウント単位でアクセス権と言いますかポリシー制御をかけたいのですが
見方が悪いのかそのような設定箇所が見当たりませんでした。
もしかして上記2つの接続方法では、認証アカウント単位での制御はできないのでしょうか?
初歩的な質問で申し訳ございませんが、ご教示いただけますと幸いです。
2022/08/26(金) 10:20:38.81ID:???
>>894
ユーザグループ毎にVPNを作成してVPNにIPv4ポリシー書けばできそうですね。
https://milestone-of-se.nesuke.com/product/fortigate/secure-ipsec-vpn-config-sample/
ユーザ単位(認証アカウント単位)にしたい場合、ユーザとユーザグループを1対1で設定する 事になりそうですが
規模によっては設定上の上限値を考慮しないと破綻するので購入前なら 代理店に問い合わせた方が良いかと。
ユーザグループ毎にVPNを作成してVPNにIPv4ポリシー書けばできそうですね。
https://milestone-of-se.nesuke.com/product/fortigate/secure-ipsec-vpn-config-sample/
ユーザ単位(認証アカウント単位)にしたい場合、ユーザとユーザグループを1対1で設定する 事になりそうですが
規模によっては設定上の上限値を考慮しないと破綻するので購入前なら 代理店に問い合わせた方が良いかと。
2022/08/26(金) 10:35:57.52ID:???
2022/08/26(金) 11:44:20.74ID:???
>>895
ありがとうございます。
ユーザーグループを分けて設定というのには目から鱗でした。
元々は社員のみが使うリモートワーク用にと思い発案したのですが、各システムベンダーの保守担当から
メンテナンス用にリモート環境が欲しいとの要望があったことを思い出し、この際一緒にやるかとの流れになりまして。
ただベンダーを信頼しているとはいえ、万が一の事故発生時に他社に対してもフリーアクセスな環境を
与えていたとなると問題になるなぁと怖くなり、なんとか制御する方法があればいいなと考えていた次第です。
当社で使用しているFortigate40Fはトランスペアレントモード(もちろんルーターからIPsecパススルーでFortigateに渡すつもりです)
で動作しているため、ご教示いただいたページの構成とは異なりますが、loopback云々は飛ばして
読み替えていけば実現できそうな気がしてきました。
グループ分けは社員用と各ベンダー用(2社)の計3グループに分けられそうなので、現実的な範囲でできそうです。
クライアントを別途インストールする必要がありますが、社員向けにはこれから具体的な話を進める予定ですので
少しだけ手間かかるよ、ぐらいの話で済みますし、ベンダーについてはクライアント使ってね!で大丈夫だと思います。
ありがとうございます。
ユーザーグループを分けて設定というのには目から鱗でした。
元々は社員のみが使うリモートワーク用にと思い発案したのですが、各システムベンダーの保守担当から
メンテナンス用にリモート環境が欲しいとの要望があったことを思い出し、この際一緒にやるかとの流れになりまして。
ただベンダーを信頼しているとはいえ、万が一の事故発生時に他社に対してもフリーアクセスな環境を
与えていたとなると問題になるなぁと怖くなり、なんとか制御する方法があればいいなと考えていた次第です。
当社で使用しているFortigate40Fはトランスペアレントモード(もちろんルーターからIPsecパススルーでFortigateに渡すつもりです)
で動作しているため、ご教示いただいたページの構成とは異なりますが、loopback云々は飛ばして
読み替えていけば実現できそうな気がしてきました。
グループ分けは社員用と各ベンダー用(2社)の計3グループに分けられそうなので、現実的な範囲でできそうです。
クライアントを別途インストールする必要がありますが、社員向けにはこれから具体的な話を進める予定ですので
少しだけ手間かかるよ、ぐらいの話で済みますし、ベンダーについてはクライアント使ってね!で大丈夫だと思います。
2022/08/26(金) 11:44:34.53ID:???
なお前職がFotigateを取り扱う職種(既知の通り雑魚クラスですが)で、2年前に現職に転職したのですが
代理店(設置導入業者)はメンテナンス費用を別途払ってるのに、前機種については5年間一度も点検や
ファーム更新の対応をしたことがなく、今回の40Fも全ての通信に対してアンチウイルス、webフィルタ(デフォルト)、IPS
を適用というただUTMを挟んでるだけのザル設定に20万請求されたり
今回の設定変更(社員のみの簡単な方)に30万とか言ってくるなど不信感しかないため、知識に乏しいのかあまり頼りたくなく
今回adminのパスワードを寄越せと依頼しまして自力解決を目指していましたが、こちらで知恵を拝借する形となり申し訳ございません。
なお最終的に出来上がったコンフィグは、業者にも渡す予定です。
すみません、後半はかなりグダグダにグチですね……金額もそれが相場なのかもしれませんし……
9月の中頃には設定変更を行う予定ですので、不要かもしれませんがまた結果等ご報告いたします。
この度は本当にありがとうございました。
代理店(設置導入業者)はメンテナンス費用を別途払ってるのに、前機種については5年間一度も点検や
ファーム更新の対応をしたことがなく、今回の40Fも全ての通信に対してアンチウイルス、webフィルタ(デフォルト)、IPS
を適用というただUTMを挟んでるだけのザル設定に20万請求されたり
今回の設定変更(社員のみの簡単な方)に30万とか言ってくるなど不信感しかないため、知識に乏しいのかあまり頼りたくなく
今回adminのパスワードを寄越せと依頼しまして自力解決を目指していましたが、こちらで知恵を拝借する形となり申し訳ございません。
なお最終的に出来上がったコンフィグは、業者にも渡す予定です。
すみません、後半はかなりグダグダにグチですね……金額もそれが相場なのかもしれませんし……
9月の中頃には設定変更を行う予定ですので、不要かもしれませんがまた結果等ご報告いたします。
この度は本当にありがとうございました。
2022/08/26(金) 12:53:06.05ID:???
2022/08/26(金) 13:00:14.62ID:???
どの程度の金額を希望なのかな?
1万とか2万でやってくれるところがあれば発注したい
1万とか2万でやってくれるところがあれば発注したい
2022/08/26(金) 13:27:57.00ID:???
知識が乏しいかもしれない業者に、自分で触ったコンフィグ渡して面倒見てもらえると思うのかい?
2022/08/26(金) 13:44:38.30ID:???
>>899
普通のL2TP/IPsec、あるいは普通にFortiClientを利用したIPsecなら、私のようなボンクラでも余裕で設定ぐらいはできました。
ただメンテナンスもお願いしている手前、業者に依頼したらそんな金額で……
それなら自分でやるわ!になった次第ですが、その後にユーザー別の制御をかけたいと思うようになって
一気にハードルが上がってしまいました。
上で紹介していただいた方法を思い付かなかった想像力、応用力がなかった自分の能力不足ですが……
まぁリスクや後からの微細な仕様変更への対応、人件費含めると、適正価格というのは一体どれぐらいなのかな?
と疑問に思ったりもします。
>>900
なもんで、適正がどれぐらいなのか判断つきにくいですが、私の肌感覚としてネットで軽く調べただけで多くの事例がヒットする
かつ複雑でもなんでもないそんな内容であれば5万もあれば十分かと思ったりします。←例えば簡単な方のL2TPとか
適正価格が本当に分からないですけどね。
>>901
一応、コンフィグ送ってくれてたら何かあった時は私が例えば死んだ後とかに対応する旨返答は頂いてますが
実際面倒見てくれるかは分からないですね。
そう考えると、企業にとってみたら30万(ユーザー制御になるともっと高額?)浮いたように見えるも
結果マイナスになるのかもしれません。
私の一方的なグチで皆様にも多大なる不快感を与えてしまってましたら本当に申し訳ございません。
普通のL2TP/IPsec、あるいは普通にFortiClientを利用したIPsecなら、私のようなボンクラでも余裕で設定ぐらいはできました。
ただメンテナンスもお願いしている手前、業者に依頼したらそんな金額で……
それなら自分でやるわ!になった次第ですが、その後にユーザー別の制御をかけたいと思うようになって
一気にハードルが上がってしまいました。
上で紹介していただいた方法を思い付かなかった想像力、応用力がなかった自分の能力不足ですが……
まぁリスクや後からの微細な仕様変更への対応、人件費含めると、適正価格というのは一体どれぐらいなのかな?
と疑問に思ったりもします。
>>900
なもんで、適正がどれぐらいなのか判断つきにくいですが、私の肌感覚としてネットで軽く調べただけで多くの事例がヒットする
かつ複雑でもなんでもないそんな内容であれば5万もあれば十分かと思ったりします。←例えば簡単な方のL2TPとか
適正価格が本当に分からないですけどね。
>>901
一応、コンフィグ送ってくれてたら何かあった時は私が例えば死んだ後とかに対応する旨返答は頂いてますが
実際面倒見てくれるかは分からないですね。
そう考えると、企業にとってみたら30万(ユーザー制御になるともっと高額?)浮いたように見えるも
結果マイナスになるのかもしれません。
私の一方的なグチで皆様にも多大なる不快感を与えてしまってましたら本当に申し訳ございません。
2022/08/26(金) 13:45:52.01ID:???
どんな契約か?だろ
オンサイト保守ならconfig渡しておけば故障時に設定入れてくれる
という業者もあった
標準サービスだと
点検やファームアップ作業はないだろうな
個別保守契約でもしないとやってくれないだろうな
とは思う
オンサイト保守ならconfig渡しておけば故障時に設定入れてくれる
という業者もあった
標準サービスだと
点検やファームアップ作業はないだろうな
個別保守契約でもしないとやってくれないだろうな
とは思う
2022/08/26(金) 14:53:32.19ID:???
とはいえ、管理者アカウントを人質に取ったままEOSまでファーム更新無しは流石にどうかと思うわ
2022/08/26(金) 19:13:06.27ID:???
すげーな
契約していない作業もやってくれるのか?
ぜひうちの設定もお願いしたい
契約していない作業もやってくれるのか?
ぜひうちの設定もお願いしたい
2022/08/26(金) 22:58:59.64ID:???
898に依頼すれば出し値5万でやってくれるのか
めんどくさいクソ客の依頼投げたいから連絡先教えてよ
めんどくさいクソ客の依頼投げたいから連絡先教えてよ
2022/08/27(土) 02:02:52.48ID:???
>>902
どういった想定作業の5万なのでしょうか?
不特定のグローバルアドレスからの外部接続を許可するのであればペネトレーションテストはしない想定ですか?
間違って穴が空いててもわかりません。
リモートアクセスのログは取らない想定ですか?
身に覚えないリモート接続があってもわかりません。
2要素認証はしない想定ですか?
ユーザーとIPSECのパスワードを知っている人が会社を辞めた場合、私物PCから接続できてしまいます。パスワードを変えるなり対応が必要です。
また、要件に無いのかもしれませんが、リモートで同時接続の負荷試験はしないのですか?
実際使ってみたら使いものにならないくらい通信が遅くなるかもしれません。
外部に穴を空けるのはそれなりにリスクのある作業だと思います。
リスクが取れるならご自身で設定されるのはありだと思いますが、ただ後々大変な事になっても自己責任になります。
どういった想定作業の5万なのでしょうか?
不特定のグローバルアドレスからの外部接続を許可するのであればペネトレーションテストはしない想定ですか?
間違って穴が空いててもわかりません。
リモートアクセスのログは取らない想定ですか?
身に覚えないリモート接続があってもわかりません。
2要素認証はしない想定ですか?
ユーザーとIPSECのパスワードを知っている人が会社を辞めた場合、私物PCから接続できてしまいます。パスワードを変えるなり対応が必要です。
また、要件に無いのかもしれませんが、リモートで同時接続の負荷試験はしないのですか?
実際使ってみたら使いものにならないくらい通信が遅くなるかもしれません。
外部に穴を空けるのはそれなりにリスクのある作業だと思います。
リスクが取れるならご自身で設定されるのはありだと思いますが、ただ後々大変な事になっても自己責任になります。
2022/08/27(土) 03:12:26.15ID:???
この手の話って基本的にお金で解決するんですよね
2022/08/27(土) 07:59:39.08ID:???
910anonymous@fusianasan
2022/08/27(土) 12:04:00.37ID:i1SbaeJx2022/08/27(土) 12:12:06.52ID:???
多少金払いが良くても手離れが悪い/ガラが悪い客は敬遠される
2022/08/28(日) 00:34:16.68ID:???
2022/08/28(日) 17:50:01.27ID:???
書いてるじゃん
ネットで事例があるような設定して5万だよ
肌感覚として間違いないよ
ネットで事例があるような設定して5万だよ
肌感覚として間違いないよ
2022/08/28(日) 20:57:33.90ID:???
まぁここはお金もらう側の業者も多いだろうしな
あれやこれやとリスクだのコストだの綺麗事抜かしてるけど
実際のところネット事例集そのまま丸パクリで何十万も金取る業者もいるからな
もちろんここの住人は都会でそれなりの規模の客先に出入りしている業者だと思うから価格に見合った仕事してるだろうけど
俺の住む鳥取市は、知ってるだけでもかなりいい加減な作業で費用だけは一流並みに請求する業者が少なくとも4社はある
あれやこれやとリスクだのコストだの綺麗事抜かしてるけど
実際のところネット事例集そのまま丸パクリで何十万も金取る業者もいるからな
もちろんここの住人は都会でそれなりの規模の客先に出入りしている業者だと思うから価格に見合った仕事してるだろうけど
俺の住む鳥取市は、知ってるだけでもかなりいい加減な作業で費用だけは一流並みに請求する業者が少なくとも4社はある
2022/08/28(日) 21:47:28.32ID:???
何でまともな業者に頼まないのか
2022/08/28(日) 22:56:15.48ID:???
IT業者のぐるなび的なクチコミサイトって有ったりする?
NDAに激しく抵触しそうだけど。
NDAに激しく抵触しそうだけど。
2022/08/28(日) 23:58:07.11ID:???
>>914
言いたいことは分かるよw
例えば例に挙げてゴメンだけど>>907とか、さぞ立派なこと言っているようで実は大したことがないw
間違って穴が?今回の話に合わせると、FortigateにIPsecの設定を施したら他にも釣られて関係ないポートが開いちゃうものなの?
リモートアクセスログなんて、普通Syslogで代用できるしwみんなもフルで取ってるでしょ?
2要素認証なんて、それこそいくらでも事例がヒットする内容なのに、さも特別感装いやがってw
あと退職した人?そいつのユーザーアカウント削除すれば良いだけだし、そもそも2要素認証していればなんの問題もない罠w
まあこんなもんよ
小難しい御託並べても、それはど素人になら通用する詭弁なことが多いよね
言いたいことは分かるよw
例えば例に挙げてゴメンだけど>>907とか、さぞ立派なこと言っているようで実は大したことがないw
間違って穴が?今回の話に合わせると、FortigateにIPsecの設定を施したら他にも釣られて関係ないポートが開いちゃうものなの?
リモートアクセスログなんて、普通Syslogで代用できるしwみんなもフルで取ってるでしょ?
2要素認証なんて、それこそいくらでも事例がヒットする内容なのに、さも特別感装いやがってw
あと退職した人?そいつのユーザーアカウント削除すれば良いだけだし、そもそも2要素認証していればなんの問題もない罠w
まあこんなもんよ
小難しい御託並べても、それはど素人になら通用する詭弁なことが多いよね
2022/08/29(月) 00:36:40.74ID:???
>>916
あそこの業者はボッタクリだ!とか、契約にないことは一切してくれない!とかの一方的な悪口コミを、NDAに抵触だ!と言われても困っちゃう。
あそこの業者はボッタクリだ!とか、契約にないことは一切してくれない!とかの一方的な悪口コミを、NDAに抵触だ!と言われても困っちゃう。
919895
2022/08/29(月) 01:59:51.66ID:??? 立場によって色々な意見はあるとは思いますが、ここ以外に日本語でFortinet製品の情報を日本語でやり取りできる
コミュニティみたいなものはあった方が良い気がしますね。
Fortinet Japanの中の人がここを見ているかわかりませんが、日本語が使えるコミュニティサイトを作るのは難しんですかね。
コミュニティみたいなものはあった方が良い気がしますね。
Fortinet Japanの中の人がここを見ているかわかりませんが、日本語が使えるコミュニティサイトを作るのは難しんですかね。
2022/08/29(月) 02:30:07.74ID:???
自分たちではやる気ないよ
各代理店?がやるくらいかな
各代理店?がやるくらいかな
921895
2022/08/29(月) 02:47:39.08ID:??? なるほど。
私は今となっては仕事では全く関係ないのですが、10数年前にFortinetには元々ciscoにいた人が多いと聞いていて
ciscoやVMwareのようにユーザの自助努力である程度解決できるようなKBなりコミュニティなりを醸成されていくものと
思っていましたが、認識違いでしたかね。
私は今となっては仕事では全く関係ないのですが、10数年前にFortinetには元々ciscoにいた人が多いと聞いていて
ciscoやVMwareのようにユーザの自助努力である程度解決できるようなKBなりコミュニティなりを醸成されていくものと
思っていましたが、認識違いでしたかね。
2022/08/29(月) 05:57:36.53ID:???
シスコがそういうコミュニティ発展できたのってほぼ一強だったからだし
2022/08/29(月) 23:18:39.33ID:???
適正価格って、請け負って儲けが出る価格じゃないのか?
config流するだけなら5万でも妥当かもしれんが動作保証なんてしてくれんけど。
config流するだけなら5万でも妥当かもしれんが動作保証なんてしてくれんけど。
2022/08/29(月) 23:36:58.84ID:???
自分で出来るようなことなら自分でやればいいだけなのに
何故か人にやってもらう話になってて金額云々の話になってるのが謎
何故か人にやってもらう話になってて金額云々の話になってるのが謎
2022/08/30(火) 07:21:57.99ID:???
世の中コンフィグ流すだけとかすら出来ない連中ばっかなんですよ……
コンフィグ流せたら上等よ……
コンフィグ流せたら上等よ……
2022/08/30(火) 08:40:00.28ID:???
この業界単価がどう?というのはあるだろうが
5万じゃ1日もかけられない
って所多いだろうな
実作業だけではなく、受注前の要件確認、見積から始まり各種の資料作成とフォロー
場合によっては事前検証
正直短時間度終わる仕事ってそれ以外のことが多くて受けたくないな
他の案件とからめてほしいわ
5万じゃ1日もかけられない
って所多いだろうな
実作業だけではなく、受注前の要件確認、見積から始まり各種の資料作成とフォロー
場合によっては事前検証
正直短時間度終わる仕事ってそれ以外のことが多くて受けたくないな
他の案件とからめてほしいわ
2022/08/31(水) 19:53:52.16ID:???
パラシとか手順書とか見ないのに要求されるの草
クラウドの手順書なんて納めた頃には変わってるw
クラウドの手順書なんて納めた頃には変わってるw
928anonymous@fusianasan
2022/08/31(水) 20:01:23.34ID:qhe8M1vb こっちでやるからちゃちゃっと教えてよ。手順書作ってくれればいいから。作業の予算ないんだよ。
2022/08/31(水) 20:36:59.70ID:???
資料を手順書と読んだのかな?
だとしたら仕事したことのない子供か?
社内手続だけでもかなり有るぞ
自分が作るの以外にもな
会社での仕事ってそんなもんさ
イヤなら趣味で絵やるんだよ
だとしたら仕事したことのない子供か?
社内手続だけでもかなり有るぞ
自分が作るの以外にもな
会社での仕事ってそんなもんさ
イヤなら趣味で絵やるんだよ
2022/09/01(木) 22:59:42.45ID:???
2022/09/02(金) 00:51:53.67ID:???
面白いと思って書き込んだんやろなぁ
932anonymous@fusianasan
2022/09/02(金) 08:28:20.11ID:DLjL82aX こいつ絶対仕事できない低脳だな
「コンソールにadminログイン」が分かる連中はそんな罠には引っかからない
本当に引っ掛けたいのなら、素人でも分かるようにシリアル接続ではなくwebログインの仕方詳細や
ブラウザ上からのコンソール起動方法を説明しないとダメだね
あと入力コマンド、これもキチンと書かないといけない
2.とか3.とか、素人はそのまま入力するぞ
「コンソールにadminログイン」が分かる連中はそんな罠には引っかからない
本当に引っ掛けたいのなら、素人でも分かるようにシリアル接続ではなくwebログインの仕方詳細や
ブラウザ上からのコンソール起動方法を説明しないとダメだね
あと入力コマンド、これもキチンと書かないといけない
2.とか3.とか、素人はそのまま入力するぞ
2022/09/02(金) 17:08:58.75ID:???
ネタにマジレス…?
2022/09/02(金) 18:31:24.43ID:???
ネタだとしたら寒すぎるので、敢えてマジレスした可能性
935anonymous@fusianasan
2022/09/03(土) 13:35:15.42ID:hACUfT7H Fortigate使いにくいからYAMAHAのルーターに変えようと思ったけど中古でも高いな
2022/09/03(土) 16:03:28.88ID:???
UTM機能は要らないってことかな?
ルーターとして使うだけなら、fortigateの方が設定楽だと思うけどなぁ
YAMAHAは行き帰り両方フィルター考慮しないといけないし…
各種VPNとか、事例集が多いのはYAMAHAだけどね
そこまでのスペックやIPoEが要らないのならRTX1200の中古オススメ
ルーターとして使うだけなら、fortigateの方が設定楽だと思うけどなぁ
YAMAHAは行き帰り両方フィルター考慮しないといけないし…
各種VPNとか、事例集が多いのはYAMAHAだけどね
そこまでのスペックやIPoEが要らないのならRTX1200の中古オススメ
2022/09/04(日) 01:36:07.62ID:???
もろもろのバグで使いにくいってのならわかる
設定が難しいって話なら?って感じ
設定が難しいって話なら?って感じ
2022/09/04(日) 11:23:35.13ID:???
ヤマハの利点はスクリプトで色々できることかな
Fortigateにスクリプトが実装されればと夢見てる
Fortigateにスクリプトが実装されればと夢見てる
939anonymous@fusianasan
2022/09/04(日) 13:43:30.51ID:hoBEDvGk Fortigateってファームウェアアップするとひきつがれないconfigとか
パフォーマンスに影響があったりと客先で使いづらくない?
YAMAHAも同じかなぁ。
パフォーマンスに影響があったりと客先で使いづらくない?
YAMAHAも同じかなぁ。
2022/09/06(火) 20:02:05.25ID:???
ちゃんとConfigは引き継ぐぞ
RTX1200は遅いから個人ならば830が良いよ
VPNはYAMAHAよりもSynologyのWifiルーターの方がSSL-VPNも使えて便利
RTX1200は遅いから個人ならば830が良いよ
VPNはYAMAHAよりもSynologyのWifiルーターの方がSSL-VPNも使えて便利
2022/09/07(水) 07:37:03.87ID:???
指定されたパスに従ってアップグレードしてないとか
2022/09/07(水) 09:46:05.29ID:???
RTX1200ですら遅いと言われる時代になったか…
まぁ確かに10年以上前の製品だし、これも時代の流れか
まぁ確かに10年以上前の製品だし、これも時代の流れか
943小心者
2022/09/10(土) 00:37:55.69ID:Vv/PT3Le お客さんからの問い合わせに対して、FORTINET DOCUMENTS LIBRARYに記載があるから、これは仕様と存じます。
って回答しても、本当に仕様なんですか? と聞き返されると、凄い不安になってしまいます。
皆さんも不安になりますでしょうか?
私が小心者なのでしょうかね。自信が無く、寝れない日が続いています。
って回答しても、本当に仕様なんですか? と聞き返されると、凄い不安になってしまいます。
皆さんも不安になりますでしょうか?
私が小心者なのでしょうかね。自信が無く、寝れない日が続いています。
944anonymous@fusianasan
2022/09/10(土) 13:00:49.52ID:h1Y8dg2a そういうときは、サポートに問い合わせて裏を取ればいいんだよ。
サポートが言ってますってのは常套手段。
サポートが間違えりゃ、サポートの責にできる。
サポートが言ってますってのは常套手段。
サポートが間違えりゃ、サポートの責にできる。
2022/09/10(土) 14:04:28.99ID:???
2022/09/10(土) 19:58:06.40ID:???
確かにIQ低そうだな
2022/09/11(日) 00:18:56.17ID:???
2022/09/11(日) 02:44:59.45ID:???
ドキュメントを根拠に仕様を説明しても疑われているという話で、検証して権威付けは無理があるのでは。
自分の不安感を取り除くために検証するのは悪くはないかもしれないけど、検証してドキュメント通りの動きに
なったから仕様と言われても検証する前からドキュメント通りの動きだし答えになっていないよね。
944のサポートに問い合わせて裏取りが最善に思えるけど、>>943はこんな所で聞かずに職場の上司や同僚に
相談すべき内容だと思うよ。
自分の不安感を取り除くために検証するのは悪くはないかもしれないけど、検証してドキュメント通りの動きに
なったから仕様と言われても検証する前からドキュメント通りの動きだし答えになっていないよね。
944のサポートに問い合わせて裏取りが最善に思えるけど、>>943はこんな所で聞かずに職場の上司や同僚に
相談すべき内容だと思うよ。
2022/09/11(日) 03:29:10.97ID:???
ドキュメントに記載があって動作もその通りならそういう仕様と言い切ってOKですよ
2022/09/11(日) 09:53:18.64ID:???
仕様がそうだから今のままではできません。なのでこうします
を考えるのがSEの仕事なのでは??
を考えるのがSEの仕事なのでは??
2022/09/11(日) 12:45:03.08ID:???
Public に公開してるドキュメントの通りの挙動をしてる状態で、「それは仕様通りの挙動ですか?」と問われたら、「大丈夫?」と心配するレベルですね。
具体的に気になってるところを聞いてみては?客の疑問は別のところにあるんじゃない?
その機能を使いたいが、今後変わったら困るとか。まぁ未来のことなんて誰も分からんから、このケースだとさらに困るけどね。
具体的に気になってるところを聞いてみては?客の疑問は別のところにあるんじゃない?
その機能を使いたいが、今後変わったら困るとか。まぁ未来のことなんて誰も分からんから、このケースだとさらに困るけどね。
2022/09/11(日) 13:24:03.17ID:???
953小心者
2022/09/11(日) 15:48:46.23ID:by8/bSNc 皆さん
色々とアドバイス頂きましてありがとうございます。
弊職はサポート側の業務もしており、
Fortinet社へ問い合わせすることも可能ではありますが、ドキュメントに記載があり、解釈が不安な点はラボでも検証をしてはいるのですが、自分で仕様だと言い切る自信を持てず悩んでおりました。
検証もしてはおりますので、もう少し自分に自信をもてるように、精進していこうと思います。
色々とアドバイス頂きましてありがとうございます。
弊職はサポート側の業務もしており、
Fortinet社へ問い合わせすることも可能ではありますが、ドキュメントに記載があり、解釈が不安な点はラボでも検証をしてはいるのですが、自分で仕様だと言い切る自信を持てず悩んでおりました。
検証もしてはおりますので、もう少し自分に自信をもてるように、精進していこうと思います。
954anonymous@fusianasan
2022/09/13(火) 01:20:17.61ID:a08vytbx upgrade pathのプルダウン何にも選べないんだけど俺だけ?
955anonymous@fusianasan
2022/09/13(火) 09:25:02.29ID:PKf+YU0a 今日開いたら直ってたわ
2022/09/16(金) 09:54:24.76ID:???
fortigateのトラフィックシェーピングって制度は結構いい加減なんですかね?
2022/09/16(金) 10:58:47.86ID:???
制度→精度
958anonymous@fusianasan
2022/09/16(金) 21:25:16.78ID:R0Le4TWH FGTのQOSはオマケみたいなものと捉えています。
ルータじゃなくて、しょせんFWですので。
なにを勘違いしてか、FGTでOQS実装されているからといって、Ciscoルータみたいにがっつり
使えると思われてしまうのが、しんどいですわ。
ルータじゃなくて、しょせんFWですので。
なにを勘違いしてか、FGTでOQS実装されているからといって、Ciscoルータみたいにがっつり
使えると思われてしまうのが、しんどいですわ。
2022/09/16(金) 23:36:34.50ID:???
FGTでQOSの精度を求められるって、どんな案件なんだ?モデル何入れるん?
2022/09/16(金) 23:54:55.91ID:???
QoSの精度とか求めるならCiscoの高いルータ(ASR1k以上とか?)使ってくださいですかね
2022/09/17(土) 04:31:17.69ID:???
細い閉域網を使うためにQoS云々って話はいまだにありますね
信頼性云々で閉域網が好まれることはあるけど、逼迫して特定のトラフィクだけ救えても
どのみち業務に支障がでるんですよね
ご家庭用でも10Gbpsが来てる時代にQoSって必要なんかなとは思います
信頼性云々で閉域網が好まれることはあるけど、逼迫して特定のトラフィクだけ救えても
どのみち業務に支障がでるんですよね
ご家庭用でも10Gbpsが来てる時代にQoSって必要なんかなとは思います
2022/09/17(土) 09:25:33.28ID:???
Fortigateはおまけ機能の詰め合わせで成ってる製品
2022/09/17(土) 09:44:50.31ID:???
使えない機能ならつけなくて結構
宣伝だけして使えませんって詐欺じゃん
宣伝だけして使えませんって詐欺じゃん
2022/09/17(土) 10:40:21.48ID:???
何千人もいるのにベストエフォート1Gbp一本しか引かないでいつも回線パンパンなんだけど、シェーピングすればうまくいくって信じ込んでうまくいかなくて精度が悪いフォーティのせいみたいなのは何度も見た
965anonymous@fusianasan
2022/09/17(土) 12:39:48.34ID:fU617t+t 法人だと回線を簡単には変えられないだろうから難しいよね
帯域保証になると値段が跳ね上がるしなぁ
帯域保証になると値段が跳ね上がるしなぁ
2022/09/17(土) 14:13:28.34ID:???
ベストエフォート1G一本しか引かないって見た事ないなぁ
そんな契約回線を複数企業で使うプランあると思えないし単体企業だったとしてもそんな1G回線が逼迫するほど色んなサービス引くかね、、、
そんな契約回線を複数企業で使うプランあると思えないし単体企業だったとしてもそんな1G回線が逼迫するほど色んなサービス引くかね、、、
2022/09/17(土) 14:56:10.23ID:???
ギャランティ100Mbpsで足りなくて困ってるからベストエフォート1Gbps敷設してそっちに逃がす的なのは時々聞くかな
そのギャランティ要らんやろ、とは思う
>>963
使えるけど利用者が高いルータと同等の精度を出せるって思ってるからな
大体、普通の通信って増減が都度あるから精度にこだわっても仕方ないんだけど
そのギャランティ要らんやろ、とは思う
>>963
使えるけど利用者が高いルータと同等の精度を出せるって思ってるからな
大体、普通の通信って増減が都度あるから精度にこだわっても仕方ないんだけど
968anonymous@fusianasan
2022/09/17(土) 22:46:40.19ID:d1nrEsN/ スループットの考え方について質問させてください。
例えばFGT-60Fなのですが、ファイアウォールスループット(1518 udp) 10Gbpsとデータシートに記載されてます。
60Fって、インターフェイスが1G×10ポート搭載であり、10Gのポートを搭載してないです。
この10Gbpsというのは、1G×10ポートでLAGを組んで測定してると推測してるのですが、考え方はあってますでしょうか?
また、上り・下りの両方合計で10Gbpsと理解しています。
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/ja_jp/fortinet-ProductMatrix.pdf
お客様環境でアップリンク(インターネット回線収容)を1G×1ポートで接続した場合は、Maxで1Gbpsしか出ないと理解しております。
(契約してる回線帯域が、仮に100Mbpsでしたら、MAX100Mbps)
例えばFGT-60Fなのですが、ファイアウォールスループット(1518 udp) 10Gbpsとデータシートに記載されてます。
60Fって、インターフェイスが1G×10ポート搭載であり、10Gのポートを搭載してないです。
この10Gbpsというのは、1G×10ポートでLAGを組んで測定してると推測してるのですが、考え方はあってますでしょうか?
また、上り・下りの両方合計で10Gbpsと理解しています。
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/ja_jp/fortinet-ProductMatrix.pdf
お客様環境でアップリンク(インターネット回線収容)を1G×1ポートで接続した場合は、Maxで1Gbpsしか出ないと理解しております。
(契約してる回線帯域が、仮に100Mbpsでしたら、MAX100Mbps)
2022/09/18(日) 00:26:10.96ID:???
LAGってリンクアグリゲーション?
リンクアグリゲーションじゃなくても
各ポートが10個の独立したゾーンであれば
それぞれのポート(ゾーン)間の通信の送信と受信を足して最大で10Gbpsまで出るスペックですよ。
ってことじゃないかなぁ?
その類のスペックは実運用にはほぼ参考にならんと思うけど。
リンクアグリゲーションじゃなくても
各ポートが10個の独立したゾーンであれば
それぞれのポート(ゾーン)間の通信の送信と受信を足して最大で10Gbpsまで出るスペックですよ。
ってことじゃないかなぁ?
その類のスペックは実運用にはほぼ参考にならんと思うけど。
2022/09/18(日) 01:32:52.72ID:???
ファイアーウォールの処理速度とインターフェースの転送速度は別物
2022/09/18(日) 04:15:45.89ID:???
なお実際は10Gbpsなんてただの理論値であって、精々その1/5ぐらい出れば良いぐらい
973anonymous@fusianasan
2022/09/19(月) 11:02:29.05ID:kT+wlHtt >969
ありがとうございます。
リンクアグリゲーションを想定していました。
データシートのスループット表記は、上り・下り合計で最大10Gbpsであると理解しました。
>970
ありがとうございます。理解できました。
ありがとうございます。
リンクアグリゲーションを想定していました。
データシートのスループット表記は、上り・下り合計で最大10Gbpsであると理解しました。
>970
ありがとうございます。理解できました。
974anonymous@fusianasan
2022/10/12(水) 23:04:05.00ID:Hk2ceGZN これは、大事かな。
Fortinet製FortiOS、FortiProxyおよびFortiSwitchManagerの認証バイパスの脆弱性(CVE-2022-40684)に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220025.html
Fortinet製FortiOS、FortiProxyおよびFortiSwitchManagerの認証バイパスの脆弱性(CVE-2022-40684)に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220025.html
2022/10/13(木) 00:33:38.00ID:???
外部に管理インターフェイスなんて公開しないから問題ないだろ?
社内にスーパーハッカーいるなら知らんけど。
社内にスーパーハッカーいるなら知らんけど。
976anonymous@fusianasan
2022/10/13(木) 02:28:14.96ID:g1xJxd/P 公開するつもりはなくとも公開していたとかはあるだろ。
デフォルトは、adminへのip制限はいってないでしょ。
デフォルトは、adminへのip制限はいってないでしょ。
2022/10/13(木) 07:10:42.82ID:???
>>976
そんな奴は今回の脆弱性無くても大問題だろww
そんな奴は今回の脆弱性無くても大問題だろww
978anonymous@fusianasan
2022/10/13(木) 12:34:21.67ID:Wf0pmq9R SSL-VPNで443 開けててバイパスされるとやだな。
2022/10/13(木) 14:20:02.46ID:???
>>978
SSL-VPNのhttpsページは管理インターフェースではないので今回の対象ではないよ
SSL-VPNのhttpsページは管理インターフェースではないので今回の対象ではないよ
980anonymous@fusianasan
2022/10/14(金) 21:30:15.21ID:FgCOEImN これ、うちでもざわついてるわ
FortiSwitchManager って、FortiSwitchとFortiManagerを間違えてるとおもったけど、
こんな製品あるんだね・・・・
おびっくり。
FortiSwitchManager って、FortiSwitchとFortiManagerを間違えてるとおもったけど、
こんな製品あるんだね・・・・
おびっくり。
2022/10/14(金) 23:55:24.04ID:???
>>977
どんな製品扱わせても大問題間違いなし
どんな製品扱わせても大問題間違いなし
982anonymous@fusianasan
2022/10/15(土) 19:00:51.12ID:JpUN4ttv SD-WANについて、相談です。
FortiGateは、デフォルトだと出力IFと入力IFが異なる非対称通信はDropしますが、
SD-WANゾーンで束ねているIFに関しても、同じ動作になるのでしょうかね。
SD-WANで収容しているIFがインターネット回線であれば、BGPの世界でISPごとに広報している
グローバルIPが違うので、出力/入力IFが異なるケースは基本ないと考えています。
しかし、広域イーサネットなどの回線を収容していて、対抗のFortiGate(DC側)からインターネットに
抜けさせている構成の場合は、DC側FortiGateのルーテイング次第で非対称にもなりえるので、
どうなるか、気になりました。
FortiGateは、デフォルトだと出力IFと入力IFが異なる非対称通信はDropしますが、
SD-WANゾーンで束ねているIFに関しても、同じ動作になるのでしょうかね。
SD-WANで収容しているIFがインターネット回線であれば、BGPの世界でISPごとに広報している
グローバルIPが違うので、出力/入力IFが異なるケースは基本ないと考えています。
しかし、広域イーサネットなどの回線を収容していて、対抗のFortiGate(DC側)からインターネットに
抜けさせている構成の場合は、DC側FortiGateのルーテイング次第で非対称にもなりえるので、
どうなるか、気になりました。
2022/10/15(土) 21:31:48.33ID:???
DC側Fortiのルーティングで非対称になってるんだったら非対称になるから落とされるだけの話では
相手側が非対称ルーティングに対する対策をしてないんだったらこっちからどうこうする事は出来ない気がするけど
対抗の問題であってこっちの通信に関しては非対称にはならないと思うよ
相手側が非対称ルーティングに対する対策をしてないんだったらこっちからどうこうする事は出来ない気がするけど
対抗の問題であってこっちの通信に関しては非対称にはならないと思うよ
984anonymous@fusianasan
2022/10/16(日) 22:02:56.32ID:oy5iP4vD 7.0 と7.2系は、7.0.8と7.2.2が出てるね。
985anonymous@fusianasan
2022/10/17(月) 19:07:42.69ID:nQ2oSCit986anonymous@fusianasan
2022/10/17(月) 23:02:15.30ID:i5w63i5Q タイムサーバーとNTP同期差せると1分遅れるてる。治らん
2022/10/18(火) 07:30:04.22ID:???
同期先のタイムサーバー変えてみたら?
988anonymous@fusianasan
2022/10/18(火) 07:46:49.08ID:CZXsLgVm 変えたけどだめ
2022/10/18(火) 20:49:51.39ID:???
コンソールでntp status 確認してちゃんと同期取れてるなら他にする事はないかなー
あとntpってズレを徐々にあわせてくからひょっとしたらしばらくほっとくとそのうち合うかもしれないと雑な回答してみる
あとntpってズレを徐々にあわせてくからひょっとしたらしばらくほっとくとそのうち合うかもしれないと雑な回答してみる
2022/10/19(水) 03:04:27.51ID:???
何をどう設定してどう確認したとか書かないからただの日記なんですよね
991anonymous@fusianasan
2022/10/20(木) 07:38:19.69ID:xbSuRwU4 すまぬ。
自然になおってた
機種 200E 2台と100F
いずれも 7.0.6
タイムサーバー fortinet
ntpサーバーとして機能
時刻同期間隔 60分
システム>設定 で表示される時刻
1分遅れ
なので
1.タイムサーバーをプロバイダにかえる
(同期間隔を1分にも変更)
→かわらず
2.時刻同期をやめてマニュアル設定に変更
し正しい時刻をいれる
→表示は1分遅れ変わらず。
3.コマンドで時刻設定
→システム>設定の表示は1分遅れかわらず。
時刻入力枠に正しい時刻が初期値で入っていた
2と3を何回か繰り返したが、変わらずあきらめ
2日後にみたら システム>設定
の表示は正しい時刻になってた。
自然になおってた
機種 200E 2台と100F
いずれも 7.0.6
タイムサーバー fortinet
ntpサーバーとして機能
時刻同期間隔 60分
システム>設定 で表示される時刻
1分遅れ
なので
1.タイムサーバーをプロバイダにかえる
(同期間隔を1分にも変更)
→かわらず
2.時刻同期をやめてマニュアル設定に変更
し正しい時刻をいれる
→表示は1分遅れ変わらず。
3.コマンドで時刻設定
→システム>設定の表示は1分遅れかわらず。
時刻入力枠に正しい時刻が初期値で入っていた
2と3を何回か繰り返したが、変わらずあきらめ
2日後にみたら システム>設定
の表示は正しい時刻になってた。
2022/11/01(火) 16:30:09.58ID:???
これとciscoUmbrellaとどっちがいいのか教えてください
というかそもそも比較する対象なのかどうかもよく分らんです
端末数10台程度の零細企業です
というかそもそも比較する対象なのかどうかもよく分らんです
端末数10台程度の零細企業です
2022/11/01(火) 19:46:41.30ID:???
バッファローのルーターで充分じゃね
2022/11/02(水) 00:05:24.65ID:???
というかそんな小規模とすら呼べないレベルのNWにCiscoのお高い企業向けNWサービスとかアプライアンス導入する意味が分からない
知識もない電気店の店員に騙されて高い商品かわされるジジババじゃないんだから
知識もない電気店の店員に騙されて高い商品かわされるジジババじゃないんだから
995名無し
2022/11/02(水) 01:37:36.77ID:??? 助成金使うのでは?
2022/11/02(水) 05:19:59.74ID:???
いやいや
大手の取引先からのセキュリティ監査に引っかかってUTMに準ずるものの設置を求められてるのです
これだけじゃなくてドキュメント類のの不備とか他にも指摘事項がてんこ盛りでてんやわんやです
「おたくの規模は関係ない」という認識で迫られてるので参ってます
大手の取引先からのセキュリティ監査に引っかかってUTMに準ずるものの設置を求められてるのです
これだけじゃなくてドキュメント類のの不備とか他にも指摘事項がてんこ盛りでてんやわんやです
「おたくの規模は関係ない」という認識で迫られてるので参ってます
2022/11/02(水) 06:49:16.48ID:???
そら規模は関係ないわな
どこの何使うかは費用との相談じゃない?
どこの何使うかは費用との相談じゃない?
2022/11/02(水) 07:40:34.58ID:???
>>996
そこそこ知識がある専任入れたほうがいいかもしれんね、fw入れるだけですまなそうだし。
そこそこ知識がある専任入れたほうがいいかもしれんね、fw入れるだけですまなそうだし。
2022/11/02(水) 09:20:04.27ID:???
当然のリテラシーを求められて参ってるだの困ってるだの言うレベルの相手と良く取引するなぁその相手先
1000sage
2022/11/02(水) 11:19:01.22ID:gyIIxYUe きちんと、選任の担当者を当てた方が良いでしょうね。
要件もわかりませんし。
要件に合わせた機器選定や設定投入などはお金がかかる話ですし、運用はそれとは別です。
その辺む含めた対策を要求されてるんだと思います
次スレ↓
https://mao.5ch.net/test/read.cgi/network/1667352872/
要件もわかりませんし。
要件に合わせた機器選定や設定投入などはお金がかかる話ですし、運用はそれとは別です。
その辺む含めた対策を要求されてるんだと思います
次スレ↓
https://mao.5ch.net/test/read.cgi/network/1667352872/
10011001
Over 1000Thread このスレッドは1000を超えました。
新しいスレッドを立ててください。
life time: 850日 10時間 20分 16秒
新しいスレッドを立ててください。
life time: 850日 10時間 20分 16秒
10021002
Over 1000Thread 5ちゃんねるの運営はプレミアム会員の皆さまに支えられています。
運営にご協力お願いいたします。
───────────────────
《プレミアム会員の主な特典》
★ 5ちゃんねる専用ブラウザからの広告除去
★ 5ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
───────────────────
会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。
▼ プレミアム会員登録はこちら ▼
https://premium.5ch.net/
▼ 浪人ログインはこちら ▼
https://login.5ch.net/login.php
運営にご協力お願いいたします。
───────────────────
《プレミアム会員の主な特典》
★ 5ちゃんねる専用ブラウザからの広告除去
★ 5ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
───────────────────
会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。
▼ プレミアム会員登録はこちら ▼
https://premium.5ch.net/
▼ 浪人ログインはこちら ▼
https://login.5ch.net/login.php
レス数が1000を超えています。これ以上書き込みはできません。