Fortigateについて語ろう5
■ このスレッドは過去ログ倉庫に格納されています
FortiGateシリーズは、ネットワーク全体を総合的に保護するハードウェアベースの
ネットワーク・プロテクション・ゲートウェイ(NPG)です。
Fortinet社独自開発のABACASTM(Accelerated Behavior and Content Analysis System)
テクノロジと独自のASIC(FortiAsic)ベースアーキテクチャを採用した、次世代
ネットワークプロテクション・アプライアンスです。
ファイアウォール、不正侵入、VPN、トラフィックシェーピングなどネットワークレベル
のサービスに加え、ウィルスプロテクションやコンテンツフィルタリングなどの
アプリケーションレベルのサービス機能も搭載しており、効果的にネットワークを保護します。
FortiGateは、4種類のICSA認定取得をしています。
アンチウイルス、ファイアウォール、IPSec、IDS
セールスポイントは非常に魅力的ですばらしいのですが、
非常に個性的な製品ですので、皆さん助け合って安定稼働に努めましょう。
フォーティネットジャパン
http://www.fortinet.co.jp/
FortiProtect Center
http://www.fortinet.com/FortiProtectCenter/
質問する際には必ずFortiGateの機種、FortiOSのバージョン、 ネットワーク構成・環境を報告してください。 SSLインスペクション有効で使い物にならないって
具体的にどうなるのでしょうか?
ネット速度が1Mbpsくらいに落ちるとか? >>146
バージョン6.4以上か〜。60Eが中古市場に出回るのを待つしかないか。 >>148
60Eだと、やっても大して速度出ないよ >>149
市販のOCNバーチャルコネクト対応ルーターの方がスループット速いん? 60D (SoC2) から 60E (SoC3)になってNP6lite相当のipv6オフロードされるようになったのね
すまん知らなかったわ
ttps://www.fortinet.com/content/dam/fortinet/assets/data-sheets/FortiGate_FortiWiFi_60E_Series.pdf
ttps://docs.fortinet.com/document/fortigate/6.0.0/hardware-acceleration/575471/network-processors-np7-np6-np6xlite-np6lite-and-np4 よい子のみんなは、ちゃんとファームウェアをうpしてるよね
ttps://news.yahoo.co.jp/byline/ohmototakashi/20201124-00209286/ FortiOS 6.6 beta1がFNDNにリリースされたよー 金なくてFortigate60Dから更新できないワイ、低みの見物。 アップしたら、数時間後にWAN側からの通信が拒否される不具合が出て、
ロールバックせざるを得なかったでござる。 中古で販売されているFortiGate機器について質問です。
代理店・販売店ユーザー登録してなくても、ライセンス残っているFortiGateは、ファームアップデート更新できますか? ダッシュボードにアップデートできますって出るやつなら行けるんじゃね
個人で検証用ならともかく業務で使うならちゃんと代理店使った方がいい >167
ありがとうございました。
また質問です。
ライセンス切れた全く同じ他の機器へもコピーしたいのですが、可能ですか?
Web管理画面より、USBメモリ等へファームファイルコピーしたりできますか?
ファーム以外のウイルスとかファイヤーウォールとかは使用しないので必要ありません。 >>166
通常、代理店にユーザ登録しないとファームウェアは手に入らないはず。
中古でもライセンス有効期限内ならユーザ登録できるけど、有効期限切れたやつは扱ったことがないから知らない(ファームウェアが手元にあっても更新できないかもしれない。 >>168
fortigateにファームウェアを書き出す機能はない(少なくとも知る限りでは、だけど まぁファームなんぞ適当に拾って来て好きに入れたったらええねん。 保守が残っていればオンラインアップデートは可能。
ファームウェアの書き出しはできない。
ライセンスのコピーは不可能。
というか、シリアル番号をオンラインでFortigate側のサーバに送信して、都度ライセンス情報を取得する方式だから、ライセンスというものがそもそも本体には保存されていない。 もちろん、ファームウェアイメージファイルが手元にあれば、ライセンスがなくても更新可能だが、協定的にOKであるかは分からない。 皆様アドバイスどうもありがとうございます。
>>173
>>まぁファームなんぞ適当に拾って来て好きに入れたったらええねん。
結構出回っているもんなんですか? ファームウェアを適当に引っ張って来ることに対する罪の意識が全くないのが驚き
やるなら他人に聞かないでこっそり自己責任でやれよ… ググれば出てくるみたいだが>>166が何をしたいのかがわからん
そもそもまだ実機持ってない様子か
零細企業で使うんなら、自称でもいいからライセンス更新しますって業者で買ってちゃんとしたほうがいいぞ
ここはサポートセンタではない おいらは何がしたいか十分わかるよ
自分で金出して勉強する人は必死なんだよ
それくらい理解してやれよな Upgrade Path Tool 使えます?
製品選択は出来るが、OSの選択が出来ない…。 >>181
前から反応悪いことあったけど今は完全にだめっぽいね
Chrome,IE,Flash環境でも見れないっぽい
昔ながらのリリースノートみながら控えていく感じで・・・ >>181
Firefoxで30秒ぐらい待てば表示される >>182
ありがとうございます。
最近ずっと調子悪かったけど
何とか使えてたんですけどねぇ。
>>183
ありゃ、Firefoxいけました?
一応いろんなブラウザで数分
放置したりして試したつもり
でしたが、抜けてたかな?
また試してみます。
ありがとうございます。 JPNE 「v6 プラス」固定 IP サービス利用時の. FortiGate 設定ガイド – Ver1.00
この設定ガイド作った人ちゃんと検証してるんかな?
CLIコマンドスペルミスもあるし、だいたいONUとHGWを同一で語ってるし、ひかり電話あり/なしで変わってくるとおもんだけど・・・
全然接続できないわ。 ひかり電話有り/なしでも基本はRAでプレフィックスもらうかと
DHCP-PDクライアントになるのは通常HGWだし、その配下のノードはHGWからRAでprefix払い出してもらうし 直接DHCPv6-PDをCPEで受けたいって話じゃなければ、HGWの有無に関係なくCPEはRAでprefixもらうね
なのでCPEのIPv6設定は基本変わらない
https://www.atmarkit.co.jp/ait/articles/1904/22/news019.html ひかり電話あり契約だけど、HGW使いたくないのでONU直下にFortigate接続しても、同じ設定でいいの? ひかり電話ありで契約してたらNGN側はDHCPv6-PD設定になってる
その状態でHGW外してCPEをONUに直結したいならDHCPv6-PDクライアント設定にする必要があるけどRAのパターンしか対応してないかと
あと、IPoEは固定IPサービスのみ対応 YAMAHA RTXの場合は、RAとDHCPv6-PDの場合は設定が違うんだけど・・・
もう少しFortigate-60Fいじくって勉強してみます。
ありがとうございました。 ipv6難し過ぎるわ〜
prefixをdelegationとか〜何言うてまんねん?wwwwwwww
って感じ🥺 >>192
同じく。
分からないからDHCPにしちゃってるけど、やっぱり割り当てられてない IPv6決めたときにDNS配るのは俺の仕事じゃねえ!とか意地張った奴らのせいなんだよな
いっそ飛ばしてインターネットに特化したIPv7とか作って欲しいレベル 基本はRAでもらうIPv6プレフィックスもらう前提だよ > FortiGate
だから、ひかり電話契約の場合はHGW/ひかり電話対応ルータなりの下につないでRAでIPv6プレフィックスもらう
ひかり電話契約なしの場合はONUに直結してRAでIPv6プレフィックスもらう
ひかり電話契約してて、ひかり電話対応のHGWというかルータ外して(ひかり電話つぶして)
ONUに別のルータ直結って需要はあんまりないんじゃないかね なんか変な文章になってた
「基本はRAでPv6プレフィックスもらう前提だよ > FortiGate」でした ひかり電話契約してONUと直結したいって人はDHCP-PDで複数セグメント分のv6アドレスが欲しいんじゃないかな
IPv4ならVLANで複数セグメントに分けてるけどv6は単一セグメントって気分的に微妙じゃない? ひかり電話ありの契約
ONU--<DHCPv6-PD(/56のprefix払い出し)>--HGW---<RAで/64のprefix払い出し>---CPE or PC
ひかり電話なしの契約
ONU--<RAで/64のprefix払い出し>---CPE or PC
くらいを知ってればいいと思う
>>197
そこまでわかって設計する人は多分ここで「繋がらない」とは言ってない気がする すみません、過去の流れを読んでみたのですが、結論が出なかったのでご質問です。
FortiGateでv6プラス(IPoE v4 over v6)に対応できるのはFOS v6.4からなんでしょうか。
また、下記手順書にあるような固定IPプランでないと駄目という事でしょうか。
https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-ocn-ipoe-fixip.pdf 流れで教えて。
NURO光(F660A/F600)でIPv6ってどうやれば… >>200
ありがとうございます!スッキリしました。 FortigateでIPoEって皆企業ユースなの?
わざわざFortigateをフレッツのCPEにするユースケースがピンと来ない 家庭で使うレベルのFortiGateはPPPoEもよわよわだしIPv4overIPv6をやらせるとかスループット悪そう
これはもうルーターの下に透過モードで置いて使うものだと思って割り切ってる >>205
機種にもよるんでは?
テスト用にFortigate-60Eライセンス付きヤフオク中古買って最新のファームにできた。
がしかし、
https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-jpne-v6plus.pdf
説明通りやってみたがipv6さえも接続できない。もちろんipv4トンネルもできんわな。 ipv6接続すら出来んのは流石に勉強が足りんやろ? IPoEで繋がらないって人は固定IPサービスを契約した上で言ってるのかな
安いプラン(共有型)は繋がらないよ 勉強の問題ではないよ
pdfの解説がダメダメ
ドキュメントはやっぱりYAMAHAだよなあ IPv6の接続設定ができない時点で(ゲホゲホ) v6のアドレスと言うかプレフィックス取得のための設定はCLIで2,3行程度なんだが
それがうまくいかないのは正直オマ環としか思えない 繋がんねーバージョンのファーム無かったっけ?
最新のは繋がったはずだが設定次第か IPoE前提ならほぼ最新のものを使うしかないからIPv6のprefixが取得できないって問題は無いかと ネットワークの知識と言うか、ハードの設定知識&コツが必要なんだよね。
YAMAHA CLIも苦労したが、今はもう慣れた。
アライドのコマンドは分かりやすい、unixライクでコメントもconfigに残せるし。
マニュアルなしでも感覚的にわかりやすかった最高の機器がSonicwallだった。最近は見る影もないけど。
で、Fortigateは売れている割には、Web設定ムズイね、一つ一つの機能が感覚的に全然わからん、マニュアル見ないと。今勉強中。
速度も値段の割にはショボいし。
何でこんなんが人気あるのか、さっぱりだ。 安さ以外ないわな
まともなUTMを使いたいんだったらPalo勧める Fortigateをマニュアル見ないとわからんって… ヤマハがUTM出すっていうから対抗して値下げしてくれないかなー
安価なUTMでそこそこ使えるってので売れてるけどヤマハのUTMの完成度高かったらローエンドモデルはわりかしやばいやろ ヤマハのやつはCheckPointと協業らしいから、値段も機能も期待できないんじゃない? >>217
なんでや?
YAMAHAの方がコストパフォーマンス最強
10年以上前のRTXでも無料でファーム更新できるし、サポートメール&電話も無料だ。
本体価格より高いライセンス料のFortigateが詐欺に見えてくる。 PAはヤマハで親しんだ人には無理じゃね
ヤマハとフォーティが協業した方が中小のパソコンの先生情シス担当には向いてる気がするのに 先日、Fortigate-60F新品を初めて購入し初めていじくりました。シスコとYAMAHA RTXからの乗り換えです。
CLIコマンドでWANインターフェースにIPv6アドレスを設定したのですが、Web-GUI画面ではipv4しか表示されないのですが、故障ですか?
同様にIPv6ポリシーの作成もWeb-GUIで確認できません。
再起動してCLIのshowコマンドではちゃんと設定されています。
Fortigateってこんなにしょぼいのですか?
それともなんか他に見るところ間違っているのでしょうか? System > Feature Visibility>IPv6 Fortigateがしょぼいのは否定は出来んが、
中小零細家庭向けには最高や! あのUIでしょぼいっていったらPaloaltoみたらcomitで発狂しちゃうんじゃね
FWX120/SRT100のフィルタ設定の方がしょぼいというか意味わかんなくなってくる fortigateもparoもSRXもSSGもケチをつけようと思ったらいくらでも出てくる どのメーカの装置でも「しょぼい」って発言する人は目の前の機器を正しく設定できないから感情的になって言ってるようにみえる
「使い方がわからない/設定が難しい」→「装置がしょぼいせいだ(自分は悪くない)」みたいな
マニュアル読んだ上で「説明書いてないじゃん」って言う人は居ないし 正直Fortigateに対抗が無い
性能も価格も機能も勝てるやつおらんやんけ >マニュアル読んだ上で
最近のトレンドは、マニュアル読まなくても直感的にわかるようにするべきで、Fortigateはその点が抜けている。
ダメダメUTMの部類。
SonicWallやSophos系は最高です。 まぁ細かな設定はCLI必要だったりするが、
ちなFortigateのCLIは好きになってきた。
Fortigate慣れてからCisco触ると、なんだこの糞CLIは?
昭和か?!と思ってしまう。 CiscoでIOS、IOS-XE、XR、ASA、FPとかいろいろ触ってきた人だとGUIもCLIもシンプルに感じると思うけど
家庭用ブロードバンドルータくらいしか触ってない人がFortiGateをいきなり触ると難しいかもしれないね
どの製品だろうが触る人のスキルレベル次第で感想がコロコロ変わるってことなんだよね 普段Forti,Paloいじってる身としては、確かにASAとかFPはわけわかめだったな。
Sophosは7年くらい前にUTMアーキテクトとか言うの取らされたけどこれもUI文化が違いすぎて苦労した覚えがある。 >>235
その直感もその人のスキルと慣れによるんだよね iPhoneだってAndroidしか触ったことない人からしたらクソUIだよ ひかり電話有りのipoe環境で
internalにprefix delegationしてInternal側の端末はipv6通信出来るようになってるんだけど、
fortigateのwan側にipv6グローバルIPを付与したいけどわからない。
fortigateからインターネットのipv6にping打つと送信元ipはinternalインターフェイスのipv6グローバルIPになってる。 >>235
嫌ならFortigateをやめたらいい commitしないで反映されるのは嫌って人はいたな ■ このスレッドは過去ログ倉庫に格納されています