Fortigateについて語ろう5

**anonymous@fusianasan** · 2020/07/05(日) 00:58:45.94

FortiGateシリーズは、ネットワーク全体を総合的に保護するハードウェアベースの
ネットワーク・プロテクション・ゲートウェイ（NPG）です。
Fortinet社独自開発のABACASTM(Accelerated Behavior and Content Analysis System)
テクノロジと独自のASIC（FortiAsic）ベースアーキテクチャを採用した、次世代
ネットワークプロテクション・アプライアンスです。
ファイアウォール、不正侵入、VPN、トラフィックシェーピングなどネットワークレベル
のサービスに加え、ウィルスプロテクションやコンテンツフィルタリングなどの
アプリケーションレベルのサービス機能も搭載しており、効果的にネットワークを保護します。
FortiGateは、4種類のICSA認定取得をしています。
アンチウイルス、ファイアウォール、IPSec、IDS

セールスポイントは非常に魅力的ですばらしいのですが、
非常に個性的な製品ですので、皆さん助け合って安定稼働に努めましょう。

フォーティネットジャパン
http://www.fortinet.co.jp/
FortiProtect Center
http://www.fortinet.com/FortiProtectCenter/

質問する際には必ずFortiGateの機種、FortiOSのバージョン、ネットワーク構成・環境を報告してください。

**anonymous** · 2020/07/08(水) 09:44:46.31

前スレ>>998
（998レス目で質問する時点で知能が低そうだが）

50E（v5.4/v6.2）ですら
スタティックルートの設定数上限数は100だから

スタティックルートの設定数上限8というのが
何の機種/Verで何を根拠に言っているのか不明

もしECMPのアクティブ経路数のことを言ってるのだとしても
v4.x/v5.xはデフォルト10/最大10で
v6.xはデフォルト255/最大255

【v4.x / v5.x】
(settings) # set ecmp-max-paths (10 is default)

【v6.x】
　 (settings) # set ecmp-max-paths
　　ecmp-max-paths Enter an integer value from <1> to <255> (default = <255>).

**anonymous** · 2020/07/08(水) 09:45:51.66

[誤]　v4.x/v5.xはデフォルト10/最大10

[正]　v4.x/v5.xはデフォルト10/最大100

**anonymous@fusianasan** · 2020/07/08(水) 13:25:37.18

>>2
すまんね
50E 6.2.4 のGUIでipv4,6 それぞれで9個目いれるとエラーになるから
そうなのかと思いこんだだけでした
CLIで入れたら普通にはいったよ

**anonymous@fusianasan** · 2020/07/08(水) 13:27:38.70

>>4
入れようとしてたのは
config router static

**dog** · 2020/07/08(水) 21:51:04.24

v6.2どうよ？

**anonymous@fusianasan** · 2020/07/09(木) 15:31:45.12

SSL-VPNで接続したとき、
URLが /proxy/(セッションごとの8文字の文字列)/(vpn内のターゲットアドレス)
という感じになりますが
セッション毎の文字列がアドレスに入らないようにすることは可能でしょうか

**anonymous** · 2020/07/10(金) 23:57:24.91

Webフィルタリングやアプリケーション制御を設定すると
SSLインスペクションの有効化する必要があると出る

FQDNでのURLフィルタリングや
URLを元にしたアプリ種別の識別だけ（詳細アクションまでや制御は不要）
SSLインスペクションしなくても使える認識だけど
この場合はどう設定すれば良い？

**anonymous@fusianasan** · 2020/07/12(日) 14:58:35.48

https://licensecounter.jp/engineer-voice/blog/articles/20190529__vol4ipsecvpn.html
こちらを参考に拠点間VPNで、Lan <-> Lan は出来たのですが、特定のグローバルIPのみ
リモートからセンターのWANに流す方法がわかりません。
リモートから特定のサイトにアクセスしたときに、センター経由で接続させたいのです。

素人質問で申し訳ないのですが、教えて頂けないでしょうか。
Fortigate 50E、ファームウェア v6.2.4 を使用しています。

**anonymous@fusianasan** · 2020/07/13(月) 16:35:34.23

すみません、fortigateのipsec vpnのフェーズ1認証方式で、「シグネチャ」というのがありますが、これはどういった挙動となるのでしょうか。

**anonymous@fusianasan** · 2020/07/13(月) 16:41:19.00

>>10
すみません、解決しました。
デジタル署名方式のことですかね。
UTM等のシグネチャに頭がいっておりました。

**anonymous@fusianasan** · 2020/07/13(月) 16:57:08.18

ネットワークの勉強用にFGE50を入手しましたが、名前解決で躓いています。

FGE50の物理インターフェース設定を
LAN1：192.168.10.1(DHCP：10~250)
LAN2：192.168.20.1(DHCP：10~250)
として、ポート1にPC_A、ポート2にPC_Bを接続しました。
スタティックルート、IPv4ポリシーも設定し、PC_AからPC_B(逆も)へのipを指定したpingは通るのですが、
名前解決ができず、コンピュータ名でpingが通りません。

FG50EではDNSサーバの設定ができるようなのですが、
どのように設定すれば、異なるインターフェースの名前解決ができるように
なるでしょうか。
なお、FG50EもPCもDNS設定はデフォルトのFortiGuardサーバで、
GUIのDNSサーバ設定画面ではLAN1、LAN2ともにシステム設定DNSへ転送、
としています。

FortiGate 50E ファームは6.0.10です。

**anonymous@fusianasan** · 2020/07/13(月) 17:44:52.05

wan出れる？
ポリシーで許可してる？

**anonymous@fusianasan** · 2020/07/13(月) 19:06:04.03

そりゃプロバイダのDNS参照してて
レコードの無いじぶんのPCの名前解決なんぞ出来るわけないですよ。
自分でDNSサーバー建てないと。
Fortigate のDNSサーバー機能はどこまで出来るか知りませんがお勧めはしないです。

**anonymous@fusianasan** · 2020/07/13(月) 19:30:49.27

>>12
mDNS とか、LLMNRといったプロトコルがどういうネットワークで動くのか考えてみようか

**anonymous@fusianasan** · 2020/07/13(月) 21:19:33.85

>>15
ありがとう。調べてみます

**anonymous@fusianasan** · 2020/07/13(月) 21:46:45.72

L3（FortiGate）越えられるんか？

**dog** · 2020/07/13(月) 22:11:52.22

>>12
同セグメントでは無い為
NETBIOSで名前解決不可
FGのconfig→feature→DNS databaseを使う

**anonymous@fusianasan** · 2020/07/13(月) 23:58:39.49

ファーム上げたら特定のメーカーのコピー機のSSLの通信通らなくなったんだけど意味分からん
別メーカーも全部同じようなhttpsのサイト行ってるはずなんだけど
インスペクションルールかと思って全部ルール外しても通らないのが謎過ぎる

**anonymous** · 2020/07/14(火) 00:21:55.67

保守契約してるサポートに問い合わせしろよ無能カス

保守契約してない無能カスなら自己責任だから勝手になんとかしろ
もしくはファーム上げた無能の自分のせいなんだから
元のファームにダウングレードしろカス

**anonymous@fusianasan** · 2020/07/14(火) 06:53:47.40

なんか嫌なことでもあったの？

**anonymous@fusianasan** · 2020/07/14(火) 08:32:11.32

>>21
こーゆー20みたいなネット弁慶っていうか、専門板は精神疾患系の人多いよね。

**anonymous@fusianasan** · 2020/07/14(火) 08:49:39.11

FNDNのFreeプラン入ってるんだけど、評価用ライセンスって有料プラン契約しないともらえんの？

**anonymous@fusianasan** · 2020/07/14(火) 09:09:54.82

>>20 は煽り運転みたいなもんだから放っておくべし

**anonymous@fusianasan** · 2020/07/14(火) 11:06:17.03

>>19
6.0.4のリリースノートより
TLS1.2をデフォ値

**anonymous@fusianasan** · 2020/07/14(火) 12:51:39.22

HA組んでモニタポートに設定したIFがダウンしたときそのIFだけ2号機介して通信とか出来ないのかね

**anonymous** · 2020/07/14(火) 13:07:46.20

FortigateのActive/Active HA構成は
UTM処理をStandby機でオフロードするだけで
通信処理は必ずActive機だけ

↓ · 2020/07/14(火) 13:54:45.34

装置縮退したとき稼働系に全部寄って
性能不足に成りそうだな

**anonymous** · 2020/07/14(火) 14:21:15.84

>>28
Active/Active構成なら当たり前の前提

故障縮退中の時間より
正常動作中の時間の方がはるかに長いから
それでも十分に意味がある

故障縮退中の一両日は性能低下してスローダウンすることは
運用条件として客と合意する必要はあるけどな

**anonymous@fusianasan** · 2020/07/15(水) 06:44:53.19

>>25
マジでありがとう
海外ユーザーが勝手に管理画面からアップデートパス無視してファーム上げてて正直知らんって感じだった

**anonymous** · 2020/07/15(水) 07:44:57.91

ユーザーが管理画面入って勝手に触れるとか
どんだけ無能なネットワーク管理者だよ

**anonymous@fusianasan** · 2020/07/15(水) 14:10:20.64

>>31
納入時の保守内容に運用まで入れてねーんだよ

**anonymous@fusianasan** · 2020/07/15(水) 16:42:42.77

現在FortiGate60D(v6.0.6)を使ってるのですが、ゲームなどをダウンロードすると
CPU使用率が100%になってしまうのでFortiGate50Eに入れ替えようと思ってます。
下記のサイトで速度テストした際もCPU使用率が100%になります。
https://www.speedtest.net/

どなたかFortiGate50Eを使ってる人がいましたらCPU使用率がどのくらいになるか教えていただけないでしょうか。

**anonymous@fusianasan** · 2020/07/15(水) 18:15:50.77

速度低下が起きてないなら変えなくてもいいんじゃね？

**anonymous@fusianasan** · 2020/07/15(水) 18:35:52.93

>>33
PPPoEの設定をfortigate側でしてないです？
ルータですればCpuに余裕出るかも

**anko** · 2020/07/15(水) 19:04:09.13

>>34
同意。
60Dにv6ファームはWebUIが重いだよ

**anonymous** · 2020/07/15(水) 21:12:02.88

>>33
有効にするUTM機能と個々の詳細設定内容によって結果なんて全く変わるのに
何その頭が悪い無意味な質問？

**anonymous@fusianasan** · 2020/07/16(木) 07:02:04.68

>>33

PPPoE使ってる？60DでPPPoE接続だとCPU100%になるよ。

**anonymous@fusianasan** · 2020/07/16(木) 12:59:10.50

そういう返信が1番頭悪いな