Fortigateについて語ろう5
■ このスレッドは過去ログ倉庫に格納されています
FortiGateシリーズは、ネットワーク全体を総合的に保護するハードウェアベースの ネットワーク・プロテクション・ゲートウェイ(NPG)です。 Fortinet社独自開発のABACASTM(Accelerated Behavior and Content Analysis System) テクノロジと独自のASIC(FortiAsic)ベースアーキテクチャを採用した、次世代 ネットワークプロテクション・アプライアンスです。 ファイアウォール、不正侵入、VPN、トラフィックシェーピングなどネットワークレベル のサービスに加え、ウィルスプロテクションやコンテンツフィルタリングなどの アプリケーションレベルのサービス機能も搭載しており、効果的にネットワークを保護します。 FortiGateは、4種類のICSA認定取得をしています。 アンチウイルス、ファイアウォール、IPSec、IDS セールスポイントは非常に魅力的ですばらしいのですが、 非常に個性的な製品ですので、皆さん助け合って安定稼働に努めましょう。 フォーティネットジャパン http://www.fortinet.co.jp/ FortiProtect Center http://www.fortinet.com/FortiProtectCenter/ 質問する際には必ずFortiGateの機種、FortiOSのバージョン、 ネットワーク構成・環境を報告してください。 流れで教えて。 NURO光(F660A/F600)でIPv6ってどうやれば… >>200 ありがとうございます!スッキリしました。 FortigateでIPoEって皆企業ユースなの? わざわざFortigateをフレッツのCPEにするユースケースがピンと来ない 家庭で使うレベルのFortiGateはPPPoEもよわよわだしIPv4overIPv6をやらせるとかスループット悪そう これはもうルーターの下に透過モードで置いて使うものだと思って割り切ってる >>205 機種にもよるんでは? テスト用にFortigate-60Eライセンス付きヤフオク中古買って最新のファームにできた。 がしかし、 https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-jpne-v6plus.pdf 説明通りやってみたがipv6さえも接続できない。もちろんipv4トンネルもできんわな。 ipv6接続すら出来んのは流石に勉強が足りんやろ? IPoEで繋がらないって人は固定IPサービスを契約した上で言ってるのかな 安いプラン(共有型)は繋がらないよ 勉強の問題ではないよ pdfの解説がダメダメ ドキュメントはやっぱりYAMAHAだよなあ IPv6の接続設定ができない時点で(ゲホゲホ) v6のアドレスと言うかプレフィックス取得のための設定はCLIで2,3行程度なんだが それがうまくいかないのは正直オマ環としか思えない 繋がんねーバージョンのファーム無かったっけ? 最新のは繋がったはずだが設定次第か IPoE前提ならほぼ最新のものを使うしかないからIPv6のprefixが取得できないって問題は無いかと ネットワークの知識と言うか、ハードの設定知識&コツが必要なんだよね。 YAMAHA CLIも苦労したが、今はもう慣れた。 アライドのコマンドは分かりやすい、unixライクでコメントもconfigに残せるし。 マニュアルなしでも感覚的にわかりやすかった最高の機器がSonicwallだった。最近は見る影もないけど。 で、Fortigateは売れている割には、Web設定ムズイね、一つ一つの機能が感覚的に全然わからん、マニュアル見ないと。今勉強中。 速度も値段の割にはショボいし。 何でこんなんが人気あるのか、さっぱりだ。 安さ以外ないわな まともなUTMを使いたいんだったらPalo勧める Fortigateをマニュアル見ないとわからんって… ヤマハがUTM出すっていうから対抗して値下げしてくれないかなー 安価なUTMでそこそこ使えるってので売れてるけどヤマハのUTMの完成度高かったらローエンドモデルはわりかしやばいやろ ヤマハのやつはCheckPointと協業らしいから、値段も機能も期待できないんじゃない? >>217 なんでや? YAMAHAの方がコストパフォーマンス最強 10年以上前のRTXでも無料でファーム更新できるし、サポートメール&電話も無料だ。 本体価格より高いライセンス料のFortigateが詐欺に見えてくる。 PAはヤマハで親しんだ人には無理じゃね ヤマハとフォーティが協業した方が中小のパソコンの先生情シス担当には向いてる気がするのに 先日、Fortigate-60F新品を初めて購入し初めていじくりました。シスコとYAMAHA RTXからの乗り換えです。 CLIコマンドでWANインターフェースにIPv6アドレスを設定したのですが、Web-GUI画面ではipv4しか表示されないのですが、故障ですか? 同様にIPv6ポリシーの作成もWeb-GUIで確認できません。 再起動してCLIのshowコマンドではちゃんと設定されています。 Fortigateってこんなにしょぼいのですか? それともなんか他に見るところ間違っているのでしょうか? System > Feature Visibility>IPv6 Fortigateがしょぼいのは否定は出来んが、 中小零細家庭向けには最高や! あのUIでしょぼいっていったらPaloaltoみたらcomitで発狂しちゃうんじゃね FWX120/SRT100のフィルタ設定の方がしょぼいというか意味わかんなくなってくる fortigateもparoもSRXもSSGもケチをつけようと思ったらいくらでも出てくる どのメーカの装置でも「しょぼい」って発言する人は目の前の機器を正しく設定できないから感情的になって言ってるようにみえる 「使い方がわからない/設定が難しい」→「装置がしょぼいせいだ(自分は悪くない)」みたいな マニュアル読んだ上で「説明書いてないじゃん」って言う人は居ないし 正直Fortigateに対抗が無い 性能も価格も機能も勝てるやつおらんやんけ >マニュアル読んだ上で 最近のトレンドは、マニュアル読まなくても直感的にわかるようにするべきで、Fortigateはその点が抜けている。 ダメダメUTMの部類。 SonicWallやSophos系は最高です。 まぁ細かな設定はCLI必要だったりするが、 ちなFortigateのCLIは好きになってきた。 Fortigate慣れてからCisco触ると、なんだこの糞CLIは? 昭和か?!と思ってしまう。 CiscoでIOS、IOS-XE、XR、ASA、FPとかいろいろ触ってきた人だとGUIもCLIもシンプルに感じると思うけど 家庭用ブロードバンドルータくらいしか触ってない人がFortiGateをいきなり触ると難しいかもしれないね どの製品だろうが触る人のスキルレベル次第で感想がコロコロ変わるってことなんだよね 普段Forti,Paloいじってる身としては、確かにASAとかFPはわけわかめだったな。 Sophosは7年くらい前にUTMアーキテクトとか言うの取らされたけどこれもUI文化が違いすぎて苦労した覚えがある。 >>235 その直感もその人のスキルと慣れによるんだよね iPhoneだってAndroidしか触ったことない人からしたらクソUIだよ ひかり電話有りのipoe環境で internalにprefix delegationしてInternal側の端末はipv6通信出来るようになってるんだけど、 fortigateのwan側にipv6グローバルIPを付与したいけどわからない。 fortigateからインターネットのipv6にping打つと送信元ipはinternalインターフェイスのipv6グローバルIPになってる。 >>235 嫌ならFortigateをやめたらいい commitしないで反映されるのは嫌って人はいたな fortigateの状態確認したら/60プレフィックスまるごと委任されてんのね。 これはwan側に付与するグローバルアドレスが余ってないって事か? 全然詳しく知らん PD委任元のHGWでPrefix Exclude設定とかして プレフィックス全部委任しないように出来るんか? みんなはFortigateとHGWの間のセグメントにグローバルIPv6を付与したい時はどうしてるんだ? 一般的にはHGWがRA(/64)でLAN側にPrefix払い出すかと だから、FortiGateはRAでIPv6アドレスを自動設定するようにすればいい config system interface edit wan1 config ipv6 set dhcp6-information-request enable set autoconf enable end Prefixもらうだけならautoconfだけでいいかもだけど それはひかり電話有りでもですか? 自分はwan1のコンフィグは以下にしてます。 config ipv6 set ip6-allowaccess ping set dhcp6-prefix-delegation enable set autoconf enable end >>249 >>185-200 あたりを読むといいんじゃないかな 普通はひかり電話だったらHGWがPD受けてLAN側にPAでプレフィックス払い出す で、FortiGateはそのRAでIPv6自動設定(PDは使わない) そもそもひかり電話契約しててHGW外したらひかり電話使えなくなるんじゃないのかな ひかり電話が契約か機器構成か分からんが 家庭向けのひかり電話ルーターならPD要求には/60のPDを返す PD外側はGLAふらずLLA使う 一般的とか普通とか決めつけずLAN内の構成でRAかPDか選ぶもんだ う〜む。自分の理解が怪しいので勉強せねばいかんが、 >>250 の方法(PDじゃなくてRA)ってfortigateのwan側にIPv6グローバルが1個割り当てられる。 プリフィクスDelegationじゃないので、lan側には割り当てられない。 >>251 の方法は自分がfortigateに設定している方法で/60プリフィクスをHGWからfortigateに委任される方法。 で自分はfortigateのlan側に委任されたプリフィクスのうち/64を1個割り当ててるが、wan側はリンクローカルアドレスになっている。(wan側がリンクローカルアドレスになるのはPDの仕様?) 自分はawsとipv6のVPNを張りたいのでwan側にもグローバルアドレスを割り当てたかったです。 >>236 おらCiscoで育ったからFGのCLIは比較的やりやすいと思うがなぁ 尚某楽器メーカーのACLは何度やっても慣れない…(´・ω・`) LAN側アドレス指定すれゃいい 指定対向アドレスLAN側、トンネル終端LAN側が基本の形 VPNサーバなら裸で外に置かずルータ/FWの内側に立てて外からつつけるアドレスあれば割り当てる それがルータに相乗りしてるだけ ルータでやるから WAN側アドレス、WAN側トンネル終端を選べる 対向からみたアドレスと、トンネル終端のインタフェースを別に選べる NAT環境だとWAN側アドレスしか指定できないでWAN側アドレス指定/NAT,FW/LAN側トンネル終端になる これのNAT,FWめんどくさがりVPNサーバを外に出したのがWAN側アドレス指定トンネル終端 先にv4のしがらみ忘れてv6のアドレッシング学ぶべし 確かにipv6でVPN張るのが目的なのでLAN側グローバルIP使ってVPN張れば完了かもしれないですけど wan → lanのFirewallポリシーでIKEとESP許可するのが(気分的になんとなく)嫌というのと、 このURL( https://www.seil.jp/blog/10.html )の内容が正しければHGWからPrefix Delegationを委任された構成でも、委任されたPrefix とは別のPrefix をwan側インターフェイスに割り当てる事が出来るはず。 出来るのであれば妥協せずにやりたいと言う気持ちの方が大きい。(ここからはVPN張るのが目的じゃなくなって来てますが。) このスレでipv6 prefix delegationされててwan側にも普通にグローバルIP割り当て出来てるよ。って人いないですか? >>254 TelnetでACL入れて自爆はみんなやるよな アライドがCiscoライクになって不便・・・ スレチだが PDはルータの上流側IFに割り当てるためのものではないので(RFC 3633のUpon the receipt of a valid Reply message...のところ)、 そっちはRAなりDHCPv6のIA_NAなりのひかり電話ルータが対応している方法で別途取得するよう設定してください どうしても1個のPDで済ませたい人のためにPrefix Exclude Optionというのもあるが(RFC6603)、たぶんひかり電話HGWは喋ってくれない IPv6スレで返事しようとして間違えちったスマンコ HGWからのRAってMフラグが1か0か知らんけど、 そもそもFortigateって、RAでPrefixを受けてもIPv6アドレス自動生成する?(Mフラグ0の場合) スタティックで設定しないと出来なくね? HGW配下はやったことないけど、ひかり電話なしプランのONU直結で/64でIPv6アドレス自動生成されるよ 設定間違ってるんじゃね? >>257 お前は俺かw 遠隔地のACL機器入れるときに順番間違ったりするパテーンな。 最近もおいそれと遠隔地のACLをCLIでいじったりするのは神経すりへるよね。 うちもIPv6対応してるからファーム上げるのと併せてやろっかな… OCNのバーチャルコネクトの対応ルーターにFortigate 50Eが入ってないのはなんでなん? ファーム6.4.2でもあかんのん? OCN光フレッツの IPoE 固定IP1で fortigate60EでIpsec VPN張りたいんですけど、 インターフェースのアドレスの所はどう入力したらいいでしょうか。。。 アドレッシングモードDHCPでアドレスだけ入力しても接続できなくて。。。 基本的な事ですみません。。。 宜しくお願い致します。 ipv6ならautoconfをenableにすれば RAからSLAACで自動生成されるが、それが半永久的に固定なんかどうかは知らん。 >>264 IPv4でのIPsec VPNってことかと思うけど、IPoEでIPv4アドレスが自動設定されたら 後は通常のIPsec設定と同じですよ >インターフェースのアドレスの所はどう入力したらいいでしょうか。。。 IPsecの論理インターフェースにIPアドレス付与ってことでしょうか? トンネルモードで使うのであればリンクモニタ的なこととかしないのであればIPアドレスの設定は不要です こんなネットワークがあるとして、 INTERNET | Fortigate 50E(v6.0.10) LAN1(192.168.1.0/24) LAN2(20.0/24) | | | ルータA(192.168.20.254) | [86.0/24] | | | プリンタ(192.168.86.201) | PC(192.168.1.2) これ、ルータAネットワークからPCにはアクセスできるけど、 PCからルータA内のネットワークにアクセスできない。 どうルーティングすればいい? スタティックルート 宛先:192.168.30.0/24 ゲートウェイアドレス:192.168.20.254 インターフェース:LAN2 でOK? 色々投稿失敗した… FGのLAN1が1.0/24で FGのLAN2が20.0/24 ルータAのネットワークは86.0/24 です で、宛先は宛先:192.168.30.0/24 じゃなくて宛先:192.168.86.0/24 それでいいけど、ここで聞くより その設定を試したした方が早いでしょうよ 入れてるけど通らないのか? ルーターAでNATしてる落ちか? どうルーティングすればいいって、スタティックなりかけば良いんじゃないの? それと、FWポリシー >>270 ありがとう。 試したけどダメでルータA側のサポートに問い合わせ前に念の為と思いまして。 ルータAではNATしてます。 >>206 当方も同じ状況でまったく繋がらない このPDF文書の通りやってv6プラス固定IPサービス使用してる人いるんかいな? それとも、この設定の前or後に何かやっておかなければならない設定とかあるのでしょうか? >>273 >>206 と同じってことはIPv6アドレスも設定されてないってことかな だったらまずはIPv6アドレスが付与されないとこのトラブルシュートからだね >>272 NATしてるて… スタティックルート言う以前の問題ですよ ルーターAがどこのメーカーか判らんから どの言葉使ってるか知らんけどポートフォワーディングとか 静的NATとか宛先NATみたいなものを使いなされ これ以上はスレチだからここまでな もっと勉強してくれ IPv6アドレスの取得すらできないのであれば、他のIPoEルータ持ってきたところで繋がらないからなぁ >>275 もちろんポート転送はしてる(検証のために1-65535)けどダメなので、 サポートに問い合わせるとともに一応の確認のために聞いてみたのです。 ちなルータはGoogle Wifiです。 なこたぁないわ ドンドン質問して、どんどん答えてあげよう! 質問するにしてもFortiGateと無関係の質問は遠慮してほしい ネットワークの一般知識については、自習して欲しいとは思います。 まぁ、277はFortigateとルーターの切り分けしたくての質問なのでスレ違いではないでしょう。 描いてある構成の中のルータにNATがある時点で自宅内LANっぽい話だけど、そういった質問する人って自宅のLANをちょっと触った程度の経験くらいだから前提となる基礎知識が微妙なんだよね(IPv6が付与されないとかの人とかも同じく・・・) 正直FortiGateをどこまで使いこなせてるんだろとは思う ルーターAのDNAT設定してあるんならルーターAの192.168.20.254宛に開放したポート叩くだけなのに それができてないって事はパソコンから叩くアドレスからして間違ってそうじゃん FG挟まないでルーターAのWAN側にPC置いたときにちゃんと望む動作ができる事を確認してから FGの設定が間違ってるかどうかを疑うのが筋じゃないです? トラシューやるならdebugコマンドでログ見るとかパケットキャプチャ機能もあっていろいろ方法があるのに 「動かない!」って人からそういう切り分けや解析をした話が出たこと無いんだよね 設定が難しいと思う人はバッファローあたりを使ったほうが良いと思う >>285 ほんとその通りで、初心者の人ほど設定/構成を簡素化して問題の切り分けを行うってことが出来ないんですよね とりあえず色んなものつなげて、いざ試したら動きませんでした、さて何が悪いですか?ってのが多い と、偉そうな事を言っているようだが、 このスレは難しい質問来たらまともに答えられる人はほぼいない。 基本的に高度な質問は来ないしね 「動きません」という投稿があって、切り分けを奨められてもその後レスが無くなるし 当たり前のことが偉そうに聞こえる人に対してはエスパーじゃないと無理だもんな ポンコツは他人に説明する能力がなく 聞く最低限の躾けが成ってない 転職した先でFortigate初めて触ったんだが、 Quakeのマルチホストサーバ用の設定が(ちゃんと名前入りでポート通す設定)入ってんだが これデフォなん? サービスオブジェクトのことを言ってるのであれば入っているかと FWポリシー設定は別だけど 購入を検討してるんだけど、ここはやめとけな代理店ある? 日本の代理店はどこも💩 手続きが遅いから必ずライセンス切れ期間が発生する 数ヶ月遅れもザラ やる気なし なんでFWポリシーでワイルドカード*使えないの?? ■ このスレッドは過去ログ倉庫に格納されています
read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる