Fortigateについて語ろう5

[492 anonymous@fusianasan 2021/10/02(土) 02:20:41.20 ID:???]

deep-inspectionでも出ますね

[493 anonymous@fusianasan 2021/10/05(火) 02:41:03.14 ID:???]

>>467
遅レスだが地球に穴あけて反対側に行く話を思い出したw

[494 anonymous@fusianasan 2021/10/06(水) 08:50:27.31 ID:???]

IPSの挙動テストを評価版でしたいのだけど
"Web.Server.Password.Files.Access"
のシグネチャがない。

他にテストする方法ないだろうか?

[495 anonymous@fusianasan 2021/10/13(水) 20:32:45.99 ID:mb7TIAK8]

ddnsサーバって今障害が出てます？
ネットワーク - dns - fortiguard DDNS
をオンにすると、通常はサーバ欄にfortiddns.comなどが選べるはずなんですが、「DDNSサーバ情報をfortigurardサービスから取得できません」と表示され、サーバ欄が空欄となっています

[496 >>484 2021/10/15(金) 23:29:31.05 ID:???]

証明書エラー、Foritgate40Fのファームを最新にしたら起こらなくなりました。
プロキシベースにしてcustom_deep_inspectionをONにするとニコニコ生放送・Youtubeが
見れなくなっていましたが、こちらは当該アドレスをSSLインスペクションから除外、で対応できました

[497 >>496 2021/10/27(水) 00:34:38.44 ID:???]

Fortigate40Fの証明書問題、動画サイトはSSL除外で表示されるようになってましたが
他サイトでエラー画面が出てきていました。サポセンに相談してみたところ、

＞期限切れのルートCAへのフォールバックを防ぐ
という対処を教えていただき、CLIで実行したところうまく行きました。

[498 >>496 2021/10/27(水) 00:36:14.06 ID:???]

公開されているブログだからいいのかな？
https://www.fortinet.com/jp/blog/psirt-blogs/fortinet-and-expiring-lets-encrypt-certificates

ここの人たちはみんな既に対策してると思いますが一応

[499 anonymous@fusianasan 2021/10/27(水) 01:04:39.18 ID:???]

>>498
そこを提示するのは問題ないと思う

原因についてはCA証明書のクロスサインについて別に調べて理解すると原因の問題について理解しやすかった
原因の理解なんてしなくても対処は出来るけどね

[500 anonymous@fusianasan 2021/10/31(日) 00:07:23.08 ID:???]

質問です。
fg50e、v6.29

wan1はマンションフリーインターネット向け
wan2は上位に固定ipを持つルータを配置し、ルータからdnatでwan2向けに転送しています。
wan2からforticlientにてssl-vpnを利用したいのですが、dgwがwan1に向いているため接続できず、一時的にdgwをwan2に向けることでvpnできることを確認しました。
dgwがwan1の状態で、wan2から来たグローバルipに対してはgwをwan2に向けたくポリシールートを利用しましたがうまく行きません。(以下切り分けのためまずは広めに設定しています)
※着信インターフェイスwan1、送信元アドレスall、宛先アドレスall、アクション転送先インターフェイスwan2
誤っている点、確認すべき点等あればアドバイスいただけますでしょうか。

[501 anonymous@fusianasan 2021/10/31(日) 04:47:41.91 ID:???]

>>500
デフォルトルート向けて動いた状態でデフォルトルート戻してスタティックルート書けば動きそうな気がするんだけど。

[502 anonymous@fusianasan 2021/10/31(日) 09:26:49.71 ID:???]

ポリシールートで実現出来るんかなぁ？使ったことないから知らんけど無理な気がする。
wan2の上位のルーターで、wan2への通信をソースnapt(ipマスカレード)してやればFortigateは何もしなくて良くて一番簡単やが。

[503 anonymous@fusianasan 2021/10/31(日) 09:28:02.17 ID:???]

そういうのはSDWANのfeature使うんじゃ

[504 anonymous 2021/10/31(日) 09:46:44.41 ID:???]

VDOMで別けてしまうのが簡単じゃない?

[505 anonymous@fusianasan 2021/10/31(日) 11:23:51.05 ID:???]

lan側は1個でもvdom別けれるんかのぅ？

[506 anonymous@fusianasan 2021/10/31(日) 12:37:30.53 ID:???]

ルータのlan側インターフェースでソースnaptする案で解決しました。
ポリシールートでは上手く行かない理由はいまいちわからずですが、、、
みなさま返信ありがとうございました！

>>502
なるほど、ソースipをローカルアドレスに置き換えて固定化するわけですね
ルータのlan側でnapt有効化するだけであっさり解決しました！

>>501
宛先が変動するグローバルipなのでスタティックルートを書くことができず、、、
wan2向けをdgwとしてwan1向けをポリシールートすれば可能であることは確認していましたが
メインのwan1側はできればポリシールートで書きたくないという気持ちがありました。

>>504
最終的にはVDOMでわけることを考えていましたが
経験がなくまずは今の構成での解決方法を考えていました
今後時間のあるときにVDOMにも挑戦します！

[507 anonymous@fusianasan 2021/11/03(水) 13:05:45.19 ID:???]

中古ライセンスありのFortiGate50Eを買って、多分初歩的なところで躓いています
どうかお知恵をお貸しください。バージョンFortiOS v6.2.9 build1234 (GA)です。

Explicit Proxy 機能を使おうと思い、プロキシーポリシーから新規作成で
New Proxy Policyを作ろうとしているのですが、必須項目のサービスのエントリ
選択画面で「エントリーなし」とでて、選べません。
エントリを新規作成（例:myproxy1）しても空欄のままです。

ただし、サービスの一覧で見ると上記で作成した新エントリmyproxy1は存在します。
なぜかプロキシーポリシーの新規作成のエントリ選択画面には表示されません。
本来、このエントリ選択で「Web Proxy」または自作の「myproxy1」が選べるはずだと
思うのですが、どこかで誤りがあるのでしょうか。

よろしくお願いいたします。

[508 anonymous@fusianasan 2021/11/03(水) 13:38:02.08 ID:???]

すみません、自己解決しました。
サービスのエントリにFirewall/Explicit Proxyを選択するオプションがあり
最初からExplicit Proxyのためのサービスとして登録する必要がありました
初期状態ではすべてFirewallになっていたためエントリ画面に出ないだけでした
お騒がせして申し訳ないす

[509 anonymous@fusianasan 2021/11/10(水) 16:04:19.20 ID:???]

>>143
む。これの現象出た。
ファームバージョンは6.0.12

[510 anonymous@fusianasan 2021/11/20(土) 11:49:20.17 ID:fSgAFZMu]

FortiGateでtransixのDS-Lite使ってる方居ませんか？
ipv6トンネルのローカルアドレスを固定で設定すると、網側のメンテなどでプレフィックスが変わった時に追従出来ないと思うのですが、知見をお持ちの方がいらっしゃれば教えてください。

[511 anonymous@fusianasan 2021/11/20(土) 12:55:42.09 ID:???]

Fortigateはガラパゴス規格に弱い
大人しくヤマハかNECのルータ置いとけ

[512 anonymous@fusianasan 2021/11/20(土) 21:22:49.01 ID:fSgAFZMu]

やっぱりそうですよねー
ヤマハが半導体の影響で入手できなく、模索してました。

[513 anonymous@fusianasan 2021/11/20(土) 23:32:26.61 ID:dpAs2h0g]

PPPoEもそうだけどセッション保持がしつこくて嫌になる

[514 anonymous@fusianasan 2021/11/22(月) 11:57:35.75 ID:???]

DS lite使うだけならset autoconf enableじゃあかんの？

[515 anonymous@fusianasan 2021/11/22(月) 15:18:47.84 ID:???]

https://tadaup.jp/loda/1122151306214218.jpg
つたない図でごめん
この構成でX.X.X.4宛にSSL-VPN接続が出来ていたのに突然接続できなくなっちゃったんだけど何か原因思いつきますか……？
だいぶエスパー頼みになっちゃうんだけど考えられる可能性をば……

[516 anonymous@fusianasan 2021/11/22(月) 15:29:05.32 ID:???]

すみません
クライアント側のエラー表示はこんな感じでした
Unable to establish the VPN connection. The VPN server may be unreachable. (-14)

[517 anonymous@fusianasan 2021/11/22(月) 17:29:56.57 ID:SyGujHDe]

>>0514
IPv6アドレスが変わっても、絶対触らずにIPv4通信を継続させたい、という感じです。

[518 anonymous@fusianasan 2021/11/22(月) 17:32:31.15 ID:SyGujHDe]

>>0516
VPNサーバーが応答なしってエラーなので、機器のサービスが落ちてるか経路上の問題では無いでしょうか。あと、ONUにはIPアドレス無いはず

[519 anonymous@fusianasan 2021/11/22(月) 23:05:46.10 ID:???]

>>518
ONUと書いてあるけどアルテリアとかのメディコンなんじゃね
それならこの構成も普通に出来る
その場合、単にネットワーク外れてるとかSSL-VPNルータの障害とかな気がする

[520 anonymous@fusianasan 2021/11/22(月) 23:30:02.52 ID:???]

そもそもグローバルIPは固定の契約なのか？？

[521 anonymous@fusianasan 2021/11/23(火) 00:02:11.70 ID:???]

>>515
下の装置のipアドレス消し忘れてるぞ。特定しました。

[522 anonymous@fusianasan 2021/11/23(火) 02:43:53.30 ID:???]

>>518
応答なしなのでやっぱりそうですかね……
一応X.X.X.6とX.X.X.5にはpingは届いてます。

>>519
すみません適当でそんな感じの構成だと思って下さい

>>520
固定です……

[523 anonymous@fusianasan 2021/11/23(火) 10:46:22.67 ID:???]

6.4.8 きてたんだねー

うちはアップデートした方が良さそう

[524 anonymous@fusianasan 2021/11/23(火) 12:53:18.42 ID:???]

6.4.8でLets EncryptのクロスルートCAの問題も解消されてるみたいね
6.2系だと6.2.10で対応されてたみたいだけど

[525 anonymous@fusianasan 2021/11/23(火) 13:26:25.98 ID:???]

>>517
ちょっと何を言ってるのかよく分からんけど素直に網側のpreferrd lifetimeに従うしか無いんじゃないの？
無瞬断で切替られると思ってる？？

[526 anonymous@fusianasan 2021/11/23(火) 14:38:20.34 ID:/oGzFb22]

>>0525
すんません、変換ミスです
○設定
×絶対
切れるのはいいんですが、都度設定変更は避けたいという感じです。

[527 anonymous@fusianasan 2021/11/23(火) 14:58:51.89 ID:???]

>>526
いや、だからset autoconf enableじゃダメなん？って言ってんだけど。

設定の意味とか挙動が分かってないのかな。。

[528 anonymous@fusianasan 2021/11/23(火) 21:36:18.09 ID:qOHjJAMn]

>>0527
autoconf enableって、ipipトンネルのローカルipまで書き換えてくれるのですか？

[529 anonymous@fusianasan 2021/11/24(水) 01:32:37.75 ID:???]

>>524
やっぱり6.4系の対応の方がまだだったよね・・・

[530 anonymous@fusianasan 2021/11/25(木) 00:09:31.91 ID:???]

>>528
https://docs.fortinet.com/document/fortigate/6.4.8/cli-reference/7620/config-system-interface

set unique-autoconf-addr enable

IPv6 prefixが変わることはかなり稀だけど

[531 anonymous@fusianasan 2021/11/26(金) 18:44:11.51 ID:???]

fortigateは半導体不足の影響はないですか？

[532 anonymous@fusianasan 2021/11/26(金) 18:53:36.61 ID:???]

この状況で影響ありませんって言えるIT機器ベンダがあるなら聞いてみたい

[533 anonymous@fusianasan 2021/11/28(日) 22:11:17.20 ID:???]

fortiAP，fortiSwitchのエントリーモデル系はもう納期未定と言われた。

[534 anonymous@fusianasan 2021/11/30(火) 23:21:26.65 ID:???]

>>531
ないアルヨ！

[535 anonymous@fusianasan 2021/12/04(土) 05:29:52.55 ID:???]

5chへの書き込みに固定IPで出たくないから、プロキシで書いてるんだけど
最近プロキシ通してるだけで怒られる事多くなってきた
FortiでPPPoEかモデムでLTE終端、SD-WAN通して5ch.net宛だけそこ経由、
他はメインのルータに流そうかなと思うんだけど
1.SD-WANはライセンス切れてても使える
2.SD-WANは性能指標のFW機能の一部（notIPS,SSLインスペクション）に該当する
で合ってますでしょうか

[536 anonymous@fusianasan 2021/12/04(土) 16:01:55.06 ID:???]

ライセンス残っている60Eをオークションで購入して、初めてFortigateを触ります。
新しい機能を覚えたほうが良いと考え、FortiOS 7.0.2に更新しました。
CLIからトランスペアレントモードに変更して、管理IPv4アドレスを割り当て済みで、
IPv4のインターネットへの通信と、WebからFortigate管理画面へログインできています。

インターネット側のルーターはNEC IX2207で、OCN IPoE (IPv4動的アドレス契約)、
ひかり電話なし、ONU直結、IPv6とIPv4 MAP-Eによるインターネット接続はできています。
PCには、IX2207からIPv6アドレスが割り振られています。

ここに、Fortigate 60Eを入れて、WAN1をIX2201-GE2に、LAN1をPC側につなぎます。
すると、IPv6アドレスがPCに割り振られなくなりました。
Fortigateに、IPv6を使う、WANからLANへRA通知も通す、という設定が必要だと思いますが、
どこをいじればよいか、わかる方教えてください。

[537 anonymous@fusianasan 2021/12/04(土) 16:16:10.59 ID:???]

よく知らんけど、NECからFortigateにprefix delegationとやらでFortigateのlan側用のipv6セグメントを移譲してやらなアカンて事かな？
ipv6はムズいね。ワシには無理だ。

[538 anonymous@fusianasan 2021/12/04(土) 16:18:33.73 ID:???]

あ、光電話なしだからipv6プレフィックスは/64しかもらえないのか？
じゃぁprefix delegationじゃなくてfortigateでnd proxyしてやりゃいいのか？

[539 536 2021/12/04(土) 16:42:18.23 ID:???]

>>538
NECのIXルーターの設定は、 ttps://jpn.nec.com/univerge/ix/Support/ipv6/OCN-VC/index.html
の、「設定例1　OCNバーチャルコネクト（動的IP）の設定 - IPv6 RA」を使ったのですが、
interface GigaEthernet1.0
ipv6 nd ra enable
ipv6 nd ra other-config-flag
とあるので、IXルーターがすでにNDプロキシ使っているようです。
YouTubeであきみちが、NDプロキシは1回しか使えないって言っていたので、ダメなのかなと。

[540 anonymous@fusianasan 2021/12/04(土) 16:48:15.52 ID:???]

ググれば腐るほど出てくると思うけど……
そこを見ても設定できないのか
そもそもIPoE用のトンネルも設定したか
NDプロキシは有効化してるか
ND通知をポリシーで許可してるかとか色々情報が足りん

[541 536 2021/12/04(土) 17:33:08.77 ID:???]

ググっても「Fortigateをルーターとして使用＋OCN MAP-E IPv4固定」ばかりで、
トランスペアレントモードで、すでに上位のルーターがND-Proxyとして動いている事例が
見つけられなかったのです。

MAP-E 動的IPなので、Fortigateをルーターとして使用しない前提で環境を作っています。
中古Fortigateなので故障したときは、L2SWとIXルーターを直結させて、
UTM機能はなくなるけれど、インターネット接続は維持できる環境を目指しています。
IPv6で、GoogleやMicrosoftのサービスとの通信速度が上がるので、
トランスペアレント＋IPv6が必要です。

＞ND通知をポリシーで許可
は探してみます。
NDプロキシ有効にして２段になっても、外部には迷惑はかけないだろうから、やってみます。

>そもそもIPoE用のトンネルも設定したか
は、わかっていないので、多分設定していません。

[542 anonymous@fusianasan 2021/12/04(土) 17:43:13.40 ID:???]

ライセンス切れのFortigateを使う神経が理解できんな
ファームウェアの更新できないし穴が開いたら開きっぱなしの危険物でしかない

そこらの市販WiFiルーターの方がマシ
頼むからやめてくれ

サポート終了したWindowsを使い続けるのは叩かれるのに碌にファームウェアも更新されないネットワーク機器を使い続けるのは叩かれないのは理解し難い

[543 anonymous@fusianasan 2021/12/04(土) 17:46:05.82 ID:???]

やめてくれも何もお前はどこの誰目線で話してんだよ(笑)
536の勝手だろうが

[544 anonymous@fusianasan 2021/12/04(土) 18:21:59.50 ID:???]

fortigate納期1年待ちってマジ？

[545 536 2021/12/04(土) 18:30:04.26 ID:???]

>>542
中古購入だけど、最初に書き込んだ通り、
ライセンス残っているものを選んだので、その批判は該当しません。
ライセンスが切れたらまた別の個体を探します。

そもそも、AntiVirusやWebFilterが使いたくて購入する製品なのに、
ライセンス切れの個体を使っていると思い込む人がいるのは、不思議ですね。

[546 anonymous@fusianasan 2021/12/04(土) 19:27:45.99 ID:???]

>>542
なんだ？あんたｗｗｗｗ
人にもの頼む態度じゃねーなｗｗｗ

[547 anonymous@fusianasan 2021/12/04(土) 21:17:56.30 ID:???]

>>541
トランスペアレントで動かしてるなら、とりあえずIPv6のファイアウォールポリシー（ユニキャストとマルチキャスト）を許可するポリシー書いてみればいいかと

[548 anonymous@fusianasan 2021/12/04(土) 21:33:41.42 ID:???]

>>541
トランスペアレントモードじゃなくてバーチャルワイヤーペアではダメ？
ルーティングやIPv6配布等は上位ルータで、通信制御とUTMだけはインラインでFortigateが行う、という構成がとれるはず

[549 anonymous@fusianasan 2021/12/04(土) 23:17:39.33 ID:???]

Fortigateの証明書でcustom_deep_inspectionしてるけど、いつも見れてるウェブサイトがなぜか急に
「証明書の問題があり、セキュリティ的に危ないです！」って出てくるときがある。何度かリロードすると
アクセスできるようになるんだけど、これって侵入されたりとかしてるのかな

[550 anonymous@fusianasan 2021/12/05(日) 00:32:41.88 ID:???]

侵入ｗｗｗｗｗｗｗ

[551 anonymous@fusianasan 2021/12/05(日) 00:39:51.72 ID:???]

されてるかもしれないしされてないかもしれない
とりあえずウイルススキャンしよう

[552 anonymous@fusianasan 2021/12/05(日) 00:47:06.55 ID:???]

FortiGateいれてるのにログは見ないんかね

[553 >>549 2021/12/05(日) 01:31:04.42 ID:???]

>>551
CylanceProtectは何も検知してないみたいです

>>552
証明書のエラーログってどこでみたらいいですか？証明書のエラーが出た時と、
そうでない時とで比較できたらいいんですが

[554 anonymous@fusianasan 2021/12/05(日) 04:43:03.55 ID:???]

FortiGateの差し替えメッセージで出てる証明書エラーとかじゃないの？
そのFGを管理してる人に訊いたほうが良いかと

[555 536 2021/12/05(日) 11:32:34.72 ID:???]

>>547
IPv6ファイアウォールポリシーですね。
ログインしているノートPCの解像度低くて、メニュー構成が頭に入らず迷子になっています。
WebGUIから設定できますか、CLIでのコマンド投入必須ですか。

初期化してCLIでトランスペアレント モードを有効にした後は、
標準ではすべてのパケットを通すようになっているかと思うのですが、
IPv6のユニキャストやマルチキャストを落とすようになっているのでしょうか。

大きい画面を外付けして、あとでIPv6許可のポリシーのやりかた、探してみます。

>>548
バーチャルワイヤー、初めて聞きました。今のところは、
VDOMもVLANも必要ないので、よさそうです。
トランスペアレントモードでのIPv6しばらくやってみてダメそうだったら、
バーチャルワイヤーを試してみます。

[556 anonymous@fusianasan 2021/12/05(日) 12:31:06.31 ID:???]

Certificate-inspectionでは、httpsのAnti-Virusができないことは確認できました。
ttps://www.eicar.org/?page_id=3950 からeicar.comをダウンロードすると、
Fortigateのブロック画面は出ずに、WindowsDefenderで検出されました。

逆に、Certificate-inspectionでも、httpならばAnti-Virusが使えることを示したいのですが、
httpで提供されているeicar.comが見つけられません。どなたかご存じないでしょうか。
ローカルにhttpサーバーを立ち上げて、DMZにおくしかないでしょうか。

今ほとんどのサイトがhttpsで提供されているので、deep-inspectionが必要だということを、
実例を見せて示したいです。

[557 anonymous@fusianasan 2021/12/05(日) 13:03:32.19 ID:???]

>>555
Admin guideを読みましょう
https://docs.fortinet.com/product/fortigate/7.0

>標準ではすべてのパケットを通すようになっているかと思うのですが

いや、それだったらセキュリティ装置としての意味がないかと
ファイアウォールポリシー書いて無ければ全部落とすのがデフォルトです

[558 anonymous@fusianasan 2021/12/05(日) 14:12:26.13 ID:???]

>>555
https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-jpne-v6plus.pdf
ここの2-7以降読んでCLIで確認しなされ
画面小っちゃくてGUIじゃ見づらいならいい機会だしCLIで設定できるようになっとくのが便利
コンフィグみて何も無ければ暗黙で全部Denyしてるのは当然
>>557の言う通りホワイトリスト形式が基本なのは常識

[559 anonymous@fusianasan 2021/12/05(日) 14:36:24.25 ID:???]

>>556
現在から将来までの全従業員分の端末へ証明書のインストールもおまえがやってくれる料金込みで請け負ってる？

[560 anonymous@fusianasan 2021/12/05(日) 15:07:59.05 ID:???]

そんなん知らんがな
手作業でてめぇでやれって話だろそんなんセキュリティ構築担当のする話ではないわ
手作業じゃ無理です〜ってならADでもなんでも使えそしてそれは別単価でのお話ですわ

[561 . 2021/12/05(日) 17:28:37.89 ID:???]

カスペルスキー　eicar
でググれ

[562 anonymous@fusianasan 2021/12/05(日) 18:46:20.33 ID:???]

>>561
ttp://www.virusanalyst.com/eicar.zip
が見つかった。ありがとう。

559は何言っているかよくわからない。

[563 anonymous@fusianasan 2021/12/05(日) 19:52:56.37 ID:???]

>>562
Deep Inspection使う場合は普通はプライベートCA建てたり端末へのCA証明書インストールなどの構築/運用/作業が必要ですが、
そこは検討されていますかってことじゃないでしょうか

[564 anonymous@fusianasan 2021/12/05(日) 21:28:01.42 ID:???]

そんな質問スルーでええやろ。

[565 anonymous@fusianasan 2021/12/05(日) 21:52:14.88 ID:???]

ビルトインの証明書でのdeep-inspectionの提案はしていないと思いたい

[566 anonymous@fusianasan 2021/12/06(月) 05:35:06.47 ID:???]

>>565
どうしてですか？

[567 anonymous@fusianasan 2021/12/06(月) 09:39:47.79 ID:???]

>>566
ビルトインの証明書はFortiGateのシリアル番号に紐付いていてコンフィグとして引き継げません
FortiGate交換時に端末へのCA証明書の再インストールが発生します

[568 anonymous@fusianasan 2021/12/06(月) 11:44:51.53 ID:???]

>>567
なるほどありがとうございます。

[569 anonymous@fusianasan 2021/12/06(月) 21:36:11.76 ID:???]

最近Deep-inspectionの話多いけど60Fで性能足りるの？
このスレの上の方だと300以上は要るとか言われてるよね

[570 anonymous@fusianasan 2021/12/07(火) 21:55:36.84 ID:n+miFD4E]

>>567
それほんとですか？
リストアで戻せばもとシリアルナンバーの自己証明書が戻る様な気がするけど

[571 anonymous@fusianasan 2021/12/07(火) 22:31:56.06 ID:???]

セキュリティ構築たんとーさんはだいぶ呑気なもんだな。利便性や運用しらん！セキュリティ高いのが正義！そんな投げっぱな構築やってると顧客減るけど大丈夫？

UTMなんて一番最初に予算削られるとこですよ

[572 anonymous@fusianasan 2021/12/07(火) 22:35:35.91 ID:???]

>>567
知らんかった〜。
お客さんにビルトインCAのままADで端末に配布しとるわ〜
ま、担当外れたからどうでもええわ〜。

[573 anonymous@fusianasan 2021/12/08(水) 00:12:41.66 ID:???]

今のご時世いの一番にコスト削減するのがUTM周りとか
そんな時代遅れか知恵遅れな顧客はこっちから願いさげですぅ〜

[574 anonymous@fusianasan 2021/12/08(水) 00:14:19.38 ID:???]

>>570
プライベートCAなりで作ってFortiGateにインポートしたものならコンフィグとして残るのでレストアは可能ですが
ビルトインの方はS/N固有になるのでレストアできないですね
同機種のFortiGateが2台あればすぐ試せるかと思います

[575 anonymous@fusianasan 2021/12/08(水) 08:21:02.46 ID:???]

プライベートCA建てた方がいいとは言われるけど、deep-inspection用の証明書はshow fullで秘密鍵ごと取れるから移せるよ。

[576 anonymous@fusianasan 2021/12/08(水) 09:22:49.17 ID:???]

FortigateのIPSテンプレートのhigh_securityってデフォルト状態で運用すると問題ある？
素人考えであれだけどハイセキュリティっていうくらいだからある程度安全性あるのかなって思うんだけど

[577 anonymous@fusianasan 2021/12/08(水) 12:37:50.73 ID:???]

FortigateのUTM機能なんておもちゃレベルじゃないの？

[578 anonymous@fusianasan 2021/12/08(水) 13:35:44.11 ID:???]

具体的にどの辺がおもちゃレベルなんでしょうか？

[579 anonymous@fusianasan 2021/12/08(水) 13:43:10.48 ID:???]

餅は餅屋と言われるぐらいのおもちやレベル

[580 anonymous@fusianasan 2021/12/08(水) 13:47:42.89 ID:???]

Fortinetは餅屋では？？？

[581 anonymous@fusianasan 2021/12/08(水) 18:51:38.68 ID:ZDOBlCwl]

>>574
やってみました。確かに引き継がないですね。
大変勉強になりました。

[582 anonymous@fusianasan 2021/12/08(水) 21:43:27.15 ID:???]

中小企業でしか使われてないわな。fortigate
あとライセンス切れは家庭。

[583 anonymous@fusianasan 2021/12/08(水) 23:32:38.49 ID:???]

国によって違うけどね

[584 anonymous@fusianasan 2021/12/09(木) 00:02:22.44 ID:???]

結局どのあたりがどういう理由でおもちゃレベルなんでしょう？？

[585 anonymous@fusianasan 2021/12/09(木) 00:23:40.39 ID:???]

それを言わないが、あるんだよと思わせたいパロアルトの思惑

[586 anonymous@fusianasan 2021/12/09(木) 01:02:40.78 ID:???]

ひと昔前に比べればだいぶ洗練されてきたけど
デカい案件ではやっぱりパロ使うわ

[587 anonymous@fusianasan 2021/12/11(土) 18:50:54.11 ID:???]

具体的な技術議論なんて出来ないなんちゃってエンジニアの吹き溜まり

[588 anonymous@fusianasan 2021/12/11(土) 21:09:35.51 ID:???]

FortiDDNSの挙動がよくわからん。
故障交換後に「取得可!!」ってなったと思ったのにだめとか

[589 anonymous@fusianasan 2021/12/12(日) 01:01:01.56 ID:???]

>>588
Technical Note: FortiDDNS registration on another device using same FQDN
https://community.fortinet.com/t5/FortiGate/Technical-Note-FortiDDNS-registration-on-another-device-using/ta-p/193328

[590 anonymous@fusianasan 2021/12/12(日) 16:25:22.84 ID:???]

>>589
おおおおおお
こんな技ちゃんとあるんだ。NetvolanteDNSよりも春香に親切じゃん

[591 536 2021/12/12(日) 17:23:18.80 ID:???]

>>557-558
初期設定で、IPv4でのWANへのアクセスは問題なかったので、
Default Allowかと思っていました。

実際は、SPIでLANからWANへの通信が登録されて、
帰りのパケットが許可されていたので、通信できていたようです。

WANからLANへのIPv6パケットは、明示で許可しないとダメですよね。

>>547
ひとまず、WANからLANへのIPv6をすべて許可する
プロファイルを一番上に追加したら、クライアントPCで
IPv6アドレスが取得できて、test-ipv6.comは8つOKでした。

これから、プロファイルなりポリシーなり、いろいろといじってみます。

[592 anonymous@fusianasan 2021/12/12(日) 17:34:16.30 ID:???]

556です。

httpでもhttpsでも、eicarのあるURIは知れ渡っているので、
Edgeでのダウンロードは、Windows10クライアント側ででブロックされていました。
curlで試して、httpのブロックはうまくいきました。

ダウンロードすると、httpsはそのままzipがローカルに保存できるが、
httpはファイルダウンロードされずにCLIにBlockedのHTMLが表示されました。

あとで、自己署名証明書を入れて、deep-inspectionを有効にして、
curlでもhttpsのダウンロードが検出できるか、試してみます。

[593 anonymous@fusianasan 2021/12/12(日) 18:13:43.18 ID:???]

556です。


>>563-568
Fortigateが交換されるたびに、
クライアントにCA証明書インストールしなおしで事足りる規模です。

>>572
ActiveDirectoryもいらない規模。

>>569
クライアントの台数と通信量によるでしょう。
少ない台数から、負荷を見ながら少しずつ増やしてみる予定です。

Fortigateを明示的なhttp-proxyとして使えば、
LAN側のTLS処理が無くなり、負荷が下がると思います。
CA証明書も不要だけど、クライアントへのProxy設定は別途必要。
（で、合っている？）

>>571 自己批判乙。

[594 anonymous@fusianasan 2021/12/12(日) 18:23:09.85 ID:???]

>>574-575
うちも、クライアントPCに都度CA証明書インストールでも大丈夫な規模ですが、
故障交換時に、再度CA証明書インストールを避けられるなら、避けたいです。

> deep-inspection用の証明書はshow fullで秘密鍵ごと取れる
から移せるとは、どのようにするのでしょうか。
ヒントをいただきたいです。

Openssl等を使って、現用の秘密鍵から自己署名証明書をつくって、取っておく。
代替のFortigateに書き込むと、クライアント側の証明書はそのまま利用できる、
というイメージでしょうか。

[595 anonymous@fusianasan 2021/12/12(日) 19:45:46.78 ID:???]

>>593
>Fortigateを明示的なhttp-proxyとして使えば、
>LAN側のTLS処理が無くなり、負荷が下がると思います。
>CA証明書も不要だけど、クライアントへのProxy設定は別途必要。

FortiGateとPC間がHTTPということであればPCがリクエスト出すときにHTTPでGET要求なりを出す必要があります（サイトのURLがHTTPの必要あり）
それと、HTTPで来たリクエストをFortiGateが受けてHTTPSでリクエストする機能は無かったように記憶しています
バーチャルサーバのSSLオフロードの逆みたいな感じですね（これもできなかったような記憶）
そしてプロキシとして使う場合はASICオフロードは効かないのでパフォーマンスも下がりますね

[596 anonymous@fusianasan 2021/12/13(月) 16:09:44.24 ID:???]

例えば5555 -> 80でフォワーディングする時って
ポリシーで許可するポートって5555でいいの？それともフォワーディングした後の80にするの？

[597 anonymous@fusianasan 2021/12/13(月) 20:13:33.61 ID:???]

試せばいいのでは？

[598 anonymous@fusianasan 2021/12/13(月) 21:25:19.71 ID:m6rSBtT9]

カタログのSSLスキャンのスループット凄いと思ったけど
これIPS有効のみの数値？

[599 anonymous@fusianasan 2021/12/14(火) 20:53:54.59 ID:???]

>>596
後

[600 anonymous@fusianasan 2021/12/14(火) 21:27:02.56 ID:???]

>>599
ありがとう

[601 anonymous@fusianasan 2021/12/15(水) 13:24:46.12 ID:???]

さくらいんたのJPRS 990円 SSL証明書って問題なく使えますよね?

[602 anonymous@fusianasan 2021/12/15(水) 17:26:38.24 ID:???]

用途によるかと

[603 anonymous@fusianasan 2021/12/16(木) 15:01:24.19 ID:???]

7.02です。DoH有効にしてたら、定期的にネットが遮断されてFortigateの管理ページにもつながらなくなります。
偶然フリーズする直前にログインしてたら、メモリが足りないというようなことが表示されていたのですが、
DoHの機能はまだベータ提供ということなのでしょうか？

[604 anonymous@fusianasan 2021/12/17(金) 04:12:46.97 ID:???]

SSL-VPNでプールアドレスを/24で設定してるんだけど
接続と切断を繰り返すとトンネルIPアドレスを受け取れませんってエラーでて接続できなくなるんですけどどうしてでしょうか？？

Fortiを覗いてみる限り何故かセッションが切れずにずっと繋がったままになっててアドレスを握ってるみたいなんですけど
クライアントで接続切った時にセッションも同時に落とす(tunnel-downさせたい)設定とかって無いんでしょうか？？
アイドルタイムアウト自体はデフォルトの5分にしてあります

[605 anonymous@fusianasan 2021/12/17(金) 04:19:05.44 ID:???]

SSL-VPNで付与したIPアドレスをVPN接続切れても開放しないバグがあったようなので問い合わせ or バージョンアップしてみるといいかも

[606 anonymous@fusianasan 2021/12/17(金) 05:27:10.42 ID:???]

>>605
ありがとうございます
バグなんですねこれ……結構致命的な気がしますけど……
OSのバージョンアップしてみます

[607 anonymous@fusianasan 2021/12/17(金) 06:15:51.97 ID:???]

>>605
かさねがさねすみません
そのバグについてのレポートみたいなのってどこかにあったりしますか？

[608 anonymous@fusianasan 2021/12/17(金) 08:20:42.70 ID:???]

普通はリリースノートを読むと思う

[609 anonymous@fusianasan 2021/12/17(金) 09:13:42.63 ID:???]

それが見当たらないから聞いてるんですが^^;

[610 anonymous@fusianasan 2021/12/17(金) 11:39:08.55 ID:???]

ちゃんと読んでたら見つかるよ
がんばれ

[611 anonymous@fusianasan 2021/12/17(金) 13:50:34.86 ID:???]

>>604
SSL-VPNポータル編集で以下チェック入れてもダメ？

ユーザを一度に単一のSSL-VPN接続に制限する

[612 anonymous@fusianasan 2021/12/19(日) 03:54:09.59 ID:???]

>>611
試してみます。

[613 anonymous@fusianasan 2021/12/21(火) 06:04:09.27 ID:???]

>>611
チェック入れた後再起動で上手くいきました、ありがとうございます。
別にチェック入れることに支障はないんですけど酷いですねこれ

[614 anonymous@fusianasan 2021/12/21(火) 16:30:00.65 ID:???]

>>613
別にひどくねぇよ

[615 anonymous@fusianasan 2021/12/21(火) 17:46:26.55 ID:???]

ひどいよ

[616 anonymous@fusianasan 2021/12/22(水) 14:50:13.08 ID:???]

なんや？

[617 anonymous@fusianasan 2021/12/22(水) 15:20:00.82 ID:???]

>>611
一旦よくなったと思ったんですけどやっぱりダメでした
接続と切断を繰り返すうちに一ユーザだけで何十個もアドレス握っちゃってますね
枯渇した後も以前のセッションが残っていれば既存のセッションを切断して接続しますか？のダイアログがでるようにはなりましたけど新規ユーザはどうしようもないですね

酷いですねこれ(笑)

[618 anonymous@fusianasan 2021/12/22(水) 16:45:55.51 ID:???]

>>617
家の（FortiOS7.03）で試してみたけどそんな症状が出ないなぁ
FortiOSとFortiClientのVersionって何使ってます？

[619 anonymous@fusianasan 2021/12/23(木) 11:23:43.58 ID:???]

>>618
7.01ですね
Clientは最新のものです

[620 anonymous@fusianasan 2021/12/23(木) 23:26:42.17 ID:???]

うちもtokenと50E/SSL VPNつかってるけどそんな症状でないなぁ

[621 anonymous@fusianasan 2021/12/24(金) 02:56:44.36 ID:???]

情報共有どうもです
IPoEで繋げてるのがいかんのですかね……
アドレスプールにv6もいれた方がいいとかあったりします？？

[622 anonymous@fusianasan 2021/12/24(金) 07:33:07.99 ID:???]

7.01か
6系ではどこもそんな症状無いなぁ
個人的にはそんなβテスター向けリリース使うからだと思うが…

[623 anonymous@fusianasan 2021/12/24(金) 09:26:17.89 ID:???]

>>622
Fortigateの最新バージョン系統はバグ多いよね
複数メジャーバージョンある場合は本番環境は安定バージョン選ぶよね

[624 anonymous@fusianasan 2021/12/24(金) 09:34:58.11 ID:???]

>>622
ありがとうございます
バージョンですかね……？取り敢えず最新にはあげてみます

[625 . 2021/12/24(金) 21:53:59.57 ID:???]

1年毎にアップデート出るけどさー
テストしたんか?
って感じのが初期はアルアルだわ
known issueが育つまで
待って考えてるわｗ

[626 anonymous@fusianasan 2022/01/17(月) 21:58:28.05 ID:4D5CD1yM]

60Fでも、やっぱしpppoeは、遅いんやろか？

200Eでは、それなりにスピードでてる。
200EのCPUは、Celeron G1820 2.7GHz

[627 anonymous@fusianasan 2022/01/17(月) 22:01:15.43 ID:4D5CD1yM]

ちなみに100Dは、Atom D525 1.8GHz
だった

[628 anonymous@fusianasan 2022/01/18(火) 01:11:01.48 ID:???]

50EだけどPPPoEで700Mbps出てるよ
もうこれ以上はフレッツ側が限界な気がするけど
700Mbps出てるときもCPU使用率50%くらいだったな

[629 627 2022/01/18(火) 08:58:33.57 ID:nwoV9p1/]

>>628
ありがとう。
スピードはでてるが、CPU負荷は高いですね。

[630 anonymous@fusianasan 2022/01/21(金) 12:13:25.04 ID:???]

>>628
ちな、セキュリティ機能なしのポリシー利用でpppoeで700mでてcpu50パーってことですか？

[631 anonymous@fusianasan 2022/01/21(金) 12:28:42.36 ID:???]

>>630
IPSとAppコントロール(モニタリングのみ)を有効にして700Mbps出た時にCPU50%

[632 anonymous@fusianasan 2022/02/07(月) 13:20:09.11 ID:???]

Windowsでhostsファイルイジる代わりに、Fortigateに設定することってできるの？
DNSエントリに登録すれば良さげだけど、DNSゾーンとかが分からない…

[633 anonymous@fusianasan 2022/02/07(月) 13:24:47.52 ID:???]

>>632
Workgroup運用でドメイン名がないんだけど、エントリにホスト名とIPアドレスを指定すると、FQDNにドメイン名が補完されちゃう。（とりあえずドメイン名はworkgroupにしてみた）

[634 anonymous@fusianasan 2022/02/07(月) 14:12:02.97 ID:???]

TLDがworkgroupのオレオレドメインで運用するなら
fortigateにDNSゾーン作って（fortigateがTLD管理出来るかは知らない。出来なければ適当にドットを1つ以上含むドメインに変更して）、
Windows側はTCPIP設定の詳細設定のDNSタブの検索DNSサフィックスに作ったDNSドメイン記載しとけば
名前解決時に補完（例えばping host1とコマンド打てば、host1.workgroupでDNS問い合わせ）してくれる。

[635 anonymous@fusianasan 2022/02/11(金) 14:16:46.74 ID:???]

オリジナルの業務アプリケーションの通信記録を取るために、
簡単なカスタムアプリケーションシグネチャーを登録したいのですが、
「変更を保存できませんでした」と表示され登録できません。
Fortigate-60E FortiOS v7.0.4 build0301 (GA)
バーチャルワイヤーペアで通信を監視中、プロキシベース、SSL deep-inspection。
クライアントPCのWindows10のルート証明書にFortinet_CA_SSLを登録済みです。

ポリシー＆オブジェクト ＞ ファイアウォールバーチャルワイヤーペアポリシーで、
設定したセキュリティプロファイル APP Defaultを設定しました。
ログ＆レポート ＞ アプリケーションコントロール で、
宛先IPアドレス(ホスト名)と、アプリケーション名が見られる状態です。
ttps://help.fortinet.com/fortiproxy/11/Content/Admin%20Guides/FPX-AdminGuide/700_Security-Profiles/720_CustomSignatures.htm
を見て、カスタムアプリケーションシグネチャを登録しようとしているのですが、
「変更を保存できませんでした」と表示され登録できません。

簡単に
F-SBID (--name "Original_App" ; --service HTTP; )
としても、登録できないため、シグネチャの構文エラーではないと思われます。
どの辺をいじるとよいか、お分かりの方、よろしくお願いします。

[636 anonymous@fusianasan 2022/02/11(金) 19:54:06.29 ID:???]

forticlientを使用したipsec VPNで日本国内のみからの接続に制限したいのですがうまく行きません。
どなたか成功してますか？

[637 anonymous@fusianasan 2022/02/11(金) 20:50:26.43 ID:???]

>>636
グローバルが一つだと外部に晒したipにポリシーを当てることができないので無理かも。
グローバルが複数なら、一つを外部インターフェースにもう一つをループバックにして、その間の通信に国内のipだけを透過ルーティングするポリシー書いて、ループバックに振ったグローバルでipsecを受けるみたいなことをする必要があったと思います。

[638 anonymous@fusianasan 2022/02/11(金) 21:11:04.42 ID:???]

>>637
回答ありがとうございます。
こちらのサイトですね

https://milestone-of-se.nesuke.com/product/fortigate/secure-ipsec-vpn-config-sample/

私のの環境ではwan側はpppoeで取得したグローバルipを使用するのですがその場合は無理という事でしょうか？

[639 anonymous@fusianasan 2022/02/11(金) 23:14:06.50 ID:???]

>>638
ip1個しか割り当てられないのはpppoeでもdhcpでも固定でもipsecではポリシーかけられないですね。
ssl-vpnならできるけどそれではダメですか？遅い？

[640 anonymous@fusianasan 2022/02/12(土) 00:15:31.35 ID:???]

>>638
LoopbackとバーチャルIPの組み合わせでできる

[641 anonymous@fusianasan 2022/02/12(土) 05:28:48.74 ID:???]

>>639
ipsecご要望でして・・・


>>640
バーチャルipにて内部に転送をかけるポリシーに日本ipのみみたいな感じでしょうか？

[642 anonymous@fusianasan 2022/02/12(土) 09:20:12.16 ID:SVd28TV9]

>>636
https://community.fortinet.com/t5/FortiGate/Technical-Tip-Restrict-VPN-access-to-certain-countries/ta-p/192328

[643 anonymous@fusianasan 2022/02/12(土) 10:16:16.95 ID:???]

>>642
なるほどこっちでもいけそうですね。
やってみます！
皆さんありがとう！

[644 anonymous@fusianasan 2022/02/12(土) 11:49:01.46 ID:???]

local in policyて自分で追加できるのか
いい情報貰った

[645 635 2022/02/17(木) 20:46:45.30 ID:???]

>>635
FortiOS v7.0.4 で、カスタムアプリケーションシグネチャーを登録、
どなたかできた方いませんか。

[646 anonymous@fusianasan 2022/02/19(土) 03:00:36.10 ID:Zudi2d7X]

もしどなたかわかる方いらっしゃれば教えて頂きますでしょうか

■スタティックルート
　0.0.0.0/0 wan2
■バーチャルIP
　wan1宛　⇒　DMZ1宛
上記環境で、wan1宛に外から来た通信をwan2ではなくwan1に返す為に
以下設定を追加したのですが、上手くいきませんでした
■ポリシールート
　着信インターフェース：DMZ1
　宛先GW：wan1のGW

一方で以下設定を追加した場合は上手くいきました
■スタティックルート
　"wan1に通信してきた外部のアドレス"　"wan1のGW"

上記ポリシールートで通信がうまくいかないい理由はどんな事が考えられるでしょうか？

[647 anonymous@fusianasan 2022/02/19(土) 10:33:38.79 ID:???]

RPFチェックとかじゃないですかね

[648 anonymous@fusianasan 2022/02/19(土) 13:51:37.23 ID:???]

>>646
同じようなことをやろうとして苦労した記憶があります。
自分は結局pbrはあきらめて、
646の構成で言うwan1先にいるルータ側でnaptさせて、
外部ipをwan1の持つipと同セグ(直接接続ルートになるのでスタティックルートもPBRも記載不要になる)に変換させることで対応しました。

[649 anonymous@fusianasan 2022/02/19(土) 13:58:25.39 ID:???]

上記はwan1先にルータがいて自由にさわれることが前提の場合の話です。
また、ルーティング記載不要と書きましたがそれはwan1側の話でwan2側のdgwはもちろん必要です。

あと>>500で自分が似たような質問しているので
参考になるかは微妙ですがどうぞです。

[650 anonymous@fusianasan 2022/02/19(土) 16:20:21.71 ID:???]

ポリシルートを設定するときにはその宛先に対するルーティングテーブルがあることが必要ですがそこは大丈夫でしょうか

[651 anonymous 2022/02/19(土) 18:33:15.67 ID:???]

PBRするときはその先にルートがある必要があるから、WAN1とWAN2それぞれに
0.0.0.0/0があるように書いてAD値をWAN2が小さくなるように設定したうえで
PBRすると動くと思うよ。

[652 anonymous@fusianasan 2022/02/19(土) 18:40:24.80 ID:Zudi2d7X]

回答くださった皆さんありがとうございます
教えて頂いた情報を参考に再度設定してみようと思います

>>647
RPFチェックという仕組みも有るんですね

>>648
>>649
wan1先ルータでのNAPTは盲点でした
ルータの設定変更について検討してみます
過去の質問回答も参考になりました

>>650
wan1宛のルーティングテーブル無いです…
ポリシールートだけでルーティングしてくれるものと勘違いしてました
wan1宛のデフォルトルートも作成して、プライオリティ値をwan2宛の
デフォルトルートよりも高くする事をまずは試してみたいと思います

[653 anonymous@fusianasan 2022/02/19(土) 18:45:57.17 ID:Zudi2d7X]

>>651
助言ありがとうございます
AD値で優劣をつける方法と
AD値は同じにして、プライオリティ値で優劣をつける方法では
どちらが良いとかありますでしょうか？

[654 anonymous@fusianasan 2022/02/19(土) 23:51:59.12 ID:???]

プライオリティのほうが良いです
ADだとベストパスが消えない限り次点のパスは有効にならないはずなんで

[655 anonymous@fusianasan 2022/02/20(日) 07:16:31.03 ID:???]

自分ならwan1とwan2でvdom分けます。
そうすればwan1がpppoe＝ダイナミックゲートウェイの場合でも問題なし。

今回はルータ渡しのようですが、pbrではダイナミックゲートウェイで書けなかった記憶が。

もちろんvdom間を適切に繋いであげる必要があります。

[656 anonymous@fusianasan 2022/02/23(水) 17:02:09.13 ID:X0QQHK08]

FortiClientVPNでIPSEC接続時に、
クライアント証明書認証はできるのでしょうか。
（できればRadiusを使用したい）

FortiClientVPNには、クライアント証明書を指定する項目があるのですが、
FortiGateのIPSECの認証設定では、"事前共有鍵"か"シグネチャ"しか選択できないので、
もし、ご存じのかたがいらっしゃれば教えていただけないでしょうか。

[657 anonymous@fusianasan 2022/02/23(水) 18:22:16.10 ID:???]

>>656
可能です
https://docs.fortinet.com/document/fortigate/6.4.8/administration-guide/443323/dialup-ipsec-vpn-with-certificate-authentication

[658 anonymous@fusianasan 2022/02/23(水) 22:42:07.58 ID:0I80hVM+]

>>654、655
他ご回答下さった皆さんありがとうございます
スタティックルート追加、プライオリティ値調整で無事行いたい事ができました

[659 anonymous@fusianasan 2022/02/24(木) 00:12:04.70 ID:???]

良かったです！

[660 anonymous@fusianasan 2022/02/24(木) 16:58:40.47 ID:GXVHCnRd]

>657
ご回答ありがとうございます！
週末試してみます。

[661 anonymous@fusianasan 2022/02/26(土) 13:39:55.49 ID:???]

すみません、fortigate詳しい方にお聞きしたいのですがDHCPv6-PDの再移譲って最新の60Fとかであれば出来ますかね？
フレッツ光ネクストのひかり電話有りの契約で上位WANルーターから/58でもらったprefixを
fortigateで受けて配下のコアスイッチに/60などで再移譲したいと考えています
同じような構成で出来ている等の情報ありましたら教えて頂けると助かります

[662 anonymous@fusianasan 2022/02/26(土) 16:10:03.97 ID:???]

このあたり見て試してみるとかでしょうか
https://docs.fortinet.com/document/fortigate/6.0.0/handbook/800956/dhcpv6

[663 anonymous@fusianasan 2022/02/26(土) 18:44:12.65 ID:???]

情報ありがとうございます！
手元にまだ実機がないので届き次第上のURLを参考に設定してみます

[664 anonymous@fusianasan 2022/02/27(日) 19:35:14.46 ID:???]

Fortigateでアルテリアのクロスパス使う方法知りませんか？どうも上手く接続出来なくて…

[665 anonymous@fusianasan 2022/02/27(日) 22:02:52.41 ID:KJiUiy31]

>>664
Fortigate 楽天ひかりで検索

[666 anonymous@fusianasan 2022/02/28(月) 15:45:35.21 ID:???]

SSL-VPN WebモードでアドレスのIP部分をいじると
メニューに表示されてないものへもアクセスできてしまうのですが
特定ユーザーだけ
特定のアドレスのものへしかアクセスできないようにしたりは可能でしょうか。
参考になるドキュメントやサイトご存じであればおしえてください。

[667 anonymous 2022/02/28(月) 19:18:53.59 ID:DDmEBu7f]

>>666
出来ないと思うよ
IPアドレスじゃなくてIDベースで制御するリモートアクセスとしてIAPって製品分野が出来上がってる
zscaler ZPA, akamai EAP, netskope NPA とかそのあたり
必須要件だったらそういうの検討してもいいかもね

[668 anonymous@fusianasan 2022/02/28(月) 20:31:04.52 ID:???]

>>666
ポリシーを細かく分ければできないことはないはず

[669 anonymous@fusianasan 2022/03/01(火) 18:17:40.77 ID:???]

>>666
ユーザーグループ毎などでできるよ

[670 anonymous@fusianasan 2022/03/03(木) 06:16:42.63 ID:Fc/N3CGb]

トラフィックシェイパーについて、教えてください。
設定する事で、下限の帯域は確保しつつ、上限帯域に制限した通信が可能という認識で
間違いないでしょうか。

業務ネットワークと同じネットワーク内で、インスタライブ配信を実施してるんですが
ブロックノイズが出るのがどうしても気になって。
LAN⇔WANのポリシーにトラフィックシェイパー設定して、改善するもんでしょうか。

動画配信の為に、ネットワークを別にした方がいいのか、お知恵をお借りしたく。

回線はN○○PC系です。
プロバイダはIPv6非対応。

[671 anonymous 2022/03/03(木) 09:08:42.59 ID:???]

>>661
うちは60Eで出来てるよ。
ただPPPoEしゃべってるInterfaceでは定義はできるんだけど何をやっても動かず、
2ポートをONU側に接続して片方はPPPoE用、もう片方をDHCPv6-PD用として使ってる。

[672 anonymous@fusianasan 2022/03/04(金) 00:47:20.21 ID:ogM+MYRV]

普通にWANの増速した方が良いかもしれませんね

[673 anonymous@fusianasan 2022/03/04(金) 11:57:31.30 ID:???]

>>671
動作情報ありがとうございます、
同じWANポートでPPPoEとの共存できないって事ですね…

[674 anonymous@fusianasan 2022/03/04(金) 14:19:25.36 ID:SAk9nX2K]

できるはずですが

[675 anonymous@fusianasan 2022/03/04(金) 22:37:33.56 ID:???]

>>672
670へのレスか？

[676 anonymous@fusianasan 2022/03/05(土) 03:10:53.51 ID:???]

>>670
構成がわからないからなんともいえませんがフルHDの動画であれば30Mbpsくらい常時確保できてれば問題ないんじゃないですかね
それが無理ならネットワーク分けるなりしたほうがいいように思えます
FTTHでIPoEだったら余裕そうだけど

[677 anonymous@fusianasan 2022/03/07(月) 12:43:14.94 ID:???]

>>676
670です。
ありがとうございます。
参考にします。

[678 anonymous@fusianasan 2022/03/07(月) 22:56:45.57 ID:EG7Il395]

もし分かる方いらっしゃればご意見を頂けないでしょうか
teams、googleハングアウトのようなWeb会議を行った際に、
その通信がudp_flood判定をされて、パケットが大量にドロップされている事が
ログのアノマリを見て分かりました（多いと1日数百件のudp_floodログ）

とりあえずはIPv4 DoSポリシーにて、当該通信でのudp_floodに関するアクションを
モニタとする事で対応しているのですが、これはよく有る事象なのでしょうか？
または、Fortiの設定に問題が有るのでしょうか？

[679 anonymous@fusianasan 2022/03/26(土) 13:26:05.50 ID:???]

運用でfortiにポリシー追加とかやってるんだけどfortiのスキルあると思われるようになるには何すれば良い？
fortiの資格とかもあるようだが何かマイナーで評価されなそうだし

[680 anonymous@fusianasan 2022/03/26(土) 15:43:15.60 ID:???]

コマンドラインで設定

[681 anonymous@fusianasan 2022/03/26(土) 19:19:08.59 ID:???]

>>680
最近コマンドラインじゃないと設定出来ない項目いじったので触っています。
getとshowの使い分けはわかるようになりました。

[682 anonymous@fusianasan 2022/03/28(月) 08:51:30.71 ID:???]

terraformみたいなんで管理してIaCやってる感を出す

[683 anonymous@fusianasan 2022/03/28(月) 09:45:55.78 ID:iCTxOPyH]

diag使いこなす。

[684 anonymous@fusianasan 2022/03/28(月) 21:14:13.00 ID:???]

>>679
fortiの資格がマイナーなら、forti自体もマイナーなんだと思うがな。

cliでwebフィルタのカテゴリ設定してたら、ある意味凄いと思う

[685 anonymous@fusianasan 2022/03/28(月) 21:15:17.92 ID:???]

それは逆にバカにされるのでは……

[686 anonymous@fusianasan 2022/03/28(月) 22:58:13.43 ID:???]

CLIも良いんだけどさ
Webで設定したら10分で終わるところをCLIで1時間以上掛かってると格好悪いぞ

[687 anonymous@fusianasan 2022/03/29(火) 22:23:16.94 ID:???]

食っていけるという意味でFWの将来性はどうなの

ゼロトラストとかいうのがFWやVPNは古いとうたってるみたいだが何が凄いのかよくわからん
各サーバ使う時に認証があるのは普通だろ

[688 anonymous@fusianasan 2022/03/30(水) 09:19:18.56 ID:???]

LAN内部は安全みたいに信頼できるとかできないに分けて考えず、ドコでも危険だから片っ端からUTM導入しておけば、有事の際にも言い訳たつって事だから…

[689 anonymous@fusianasan 2022/03/30(水) 15:51:34.82 ID:???]

>>688
僕は逆にUTMは減ってくるんじゃないかと思います。
LAN内部が安全ではないから全てのデータはクラウドにて管理するようになるかと思います。
オンプレ側はインターネットへの通信とクラウドへの通信さえあればいいように変わっていくのではないかと思います。

[690 anonymous@fusianasan 2022/03/30(水) 20:20:39.51 ID:???]

そうしたらプロバイダは従量課金にするかもね

[691 anonymous@fusianasan 2022/04/01(金) 20:06:20.08 ID:???]

回線切れたら大騒ぎなのですがそれは

[692 anonymous@fusianasan 2022/04/02(土) 01:58:38.75 ID:???]

awsだってたまに止まるけど
まぁ仕方ないよねで済ましてる
こういうのでいいんだよ

[693 anonymous@fusianasan 2022/04/02(土) 17:47:40.01 ID:GylSp1WA]

確かにな。
日本人が細かすぎるんだよ。

[694 anonymous@fusianasan 2022/04/03(日) 00:43:13.91 ID:w6EEjOtH]

>>689
ゼロトラスト売る側だけどこれが正解
FWやUTMで守っていたものは、今後は各PCやサーバ単位でEDR入れて守るようになる
データもオンプレに置くよりクラウドに置いて Azure AD で認証する方が安全

[695 anonymous@fusianasan 2022/04/03(日) 10:29:42.73 ID:???]

>>694
情報系システムはそうなんだけど、基幹系は、、、ね？

[696 anonymous@fusianasan 2022/04/03(日) 19:44:41.49 ID:w6EEjOtH]

>>695
時間の問題かなあって思ってる
銀行ですら勘定系をAzureに持ってって、お国もクラウドファースト言ってGSS持ってく算段してる時代だもの
Fortigate とかこの手のアプライアンス触って飯食ってる仕事の給料が下がることはあっても上がることはないよねー

[697 anonymous@fusianasan 2022/04/04(月) 12:59:44.10 ID:???]

それ以上はいけない

[698 anonymous@fusianasan 2022/04/04(月) 23:40:40.92 ID:???]

>>694
将来はそうなるとは思うんだけど…。

現状、EDR入らないネットワーク機器やら複合機とかIoT機器の脆弱性はどう防御できる筋書きでお話してるんかなぁ…。
そのへんがまず突っ込まれると思うんだけんど、どう詰めてますか？

恥ずかしい質問かもね。すまん

[699 anonymous@fusianasan 2022/04/05(火) 23:04:20.63 ID:???]

EDRって感染した後の挙動を止める事後対応じゃないのか？
なんかイマイチパッとしないように見えるけど進んでいる技術なのか？

[700 anonymous@fusianasan 2022/04/05(火) 23:10:57.80 ID:???]

挙動とかを監視してる分、従来のパターンファイルで引っ掛けるだけのアンチウイルスよりは進んでると言えるんじゃない？

[701 anonymous@fusianasan 2022/04/06(水) 00:18:22.94 ID:4CdjqIvg]

>>698
凄く初歩的なところで言うと、アプライアンスでどうにかなるもんじゃなくて脆弱性守るのってパッチ当てるしかないからね
Fortigate の脆弱性守ってくれるのは誰？ってなるじゃん
まあ、そこら辺の機器だと基本は SIEM/SOAR の領域になるかね

[702 anonymous@fusianasan 2022/04/06(水) 00:21:11.24 ID:???]

>>698
IoTだとAWS IoT Device Defenderというクラウドの監視サービスがあるようです。

[703 anonymous@fusianasan 2022/04/06(水) 19:39:15.28 ID:???]

>>701
そーゆーお話だとまだEDRだけは難しいのかなぁ

セキュリティ機器はパッチ適用は当然として。社内に転がってる全IoT機器をこまめにアップデートするのは多くの会社で現実的ではないしね。
UTMのIPSパターンファインで、いろんなIoT機器の脆弱性を突く通信があった場合検知してくれるしね

[704 anonymous@fusianasan 2022/04/06(水) 20:25:46.17 ID:???]

>>699
ファイルそのものは検出しなくてもランサムウェアのプロセスを検知して暗号化実行をブロックしたりするかと　＞　EDR

[705 anonymous@fusianasan 2022/04/07(木) 19:17:13.66 ID:kZDOJ/6x]

>>703
社内に転がってるIoT機器が外から自由に突かれるってどういうアーキテクチャなん？
根本から色々理解が浅い気がすんだが

[706 anonymous@fusianasan 2022/04/07(木) 23:54:12.38 ID:???]

>>705
ゼロトラストだからじゃね

[707 anonymous@fusianasan 2022/04/08(金) 00:22:24.33 ID:???]

外から自由に突かれるって話はどこから出てきたんだろう・・・

[708 anonymous@fusianasan 2022/04/08(金) 01:06:18.92 ID:M3VTMrgi]

>>706
ん？実装箇所がアプライアンスなのか組み込みLinuxのFirewallかはともかくとして、
ゼロトラストはわざわざ他所からの通信許可しておくことを推奨してるわけじゃないぞ

[709 anonymous@fusianasan 2022/04/08(金) 01:11:48.14 ID:???]

要はUTM業者の飯の種としてはしばらく必要ってことでしょ

カメラとかのIoT機器はONU時点で別として社内LANには物理的に入らない設計の要求増えそう
複合機はインターネット出なくてもいいよなってなったり

[710 anonymous@fusianasan 2022/04/08(金) 08:57:58.85 ID:???]

まず社内への人間の出入りを禁止しないと…

[711 anonymous@fusianasan 2022/04/08(金) 20:33:43.72 ID:???]

そもそも上司へのゼロトラストなんて何10年も前から実践している

[712 anonymous@fusianasan 2022/04/08(金) 20:43:31.83 ID:???]

>>711
Untrustじゃないのか

[713 anonymous@fusianasan 2022/04/08(金) 21:54:34.23 ID:???]

httpsの通信が主流なのに、アンチウイルスできます！とか大爆笑。どうやってるんですかね？

[714 anonymous@fusianasan 2022/04/08(金) 22:42:28.86 ID:???]

>>713
ディープインスペクションでhttpsでもアンチウイルスは効くだろ
パフォーマンスは知らん

[715 anonymous@fusianasan 2022/04/11(月) 19:49:05.13 ID:???]

>>713
これって常駐してるアンチUTMの人だから、ほっといた方がいい

[716 anonymous 2022/04/11(月) 23:36:27.07 ID:???]

UTM でわざわざアンチウィルスやる意味ってもう無いだろ

[717 anonymous@fusianasan 2022/04/27(水) 22:16:54.37 ID:D+1xj+KI]

初心者で恐縮なのですが、
以下のサイトのとおり、fortigate＋楽天ひかり回線で、ipv4 over ipv6接続をしたいです。
機種選定でおすすめがあれば教えて頂けないでしょうか。（中古でコスパ良だと助かります）
https://naitwo2.hateblo.jp/entry/FortiGate-DS-Lite

[718 anonymous@fusianasan 2022/04/28(木) 16:58:20.24 ID:???]

性能の指標が無いと選べなくない？
OSを7系に上げなくて良ければ家庭用ならば50Eくらいで十分じゃないかな？

ライセンスが無いと普通はOS上げられないしシグネチャーも受け取れない
ちょっと高機能なルーターになっちゃいますが

[719 anonymous@fusianasan 2022/05/02(月) 18:43:04.40 ID:???]

6.4.9 でったんだねー

でも、6.4.8 が入ってるけど
6.4.9 への有効なアップグレードパスがあれへんってメッセージでとるわ

[720 anonymous@fusianasan 2022/05/03(火) 00:09:14.60 ID:???]

>>719
中間パス無しで一回でアップグレード出来る場合もそう出る気がする

気になるならUpgrade Path Toolで調べれば確実だよ

[721 anonymous@fusianasan 2022/05/03(火) 20:48:34.46 ID:RqN1DD7p]

以下サイトを参考に、
fortigate60E(ver7.0.2)を利用したDS-Liteのインターネット接続を構築しています。

https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-internet-multifeed-ipoe-fixed-ip_fos702.pdf

インターネットアクセス確認まではOKとなっているのですが、
iphone(×3台)が接続できない事象が発生しています。
他のwinPC端末や、google機器や、alexa機器などはインターネット接続が出来ているのですが...
iphoneの通信をパスする設定等で思いつくものはありますでしょうか。

[722 anonymous@fusianasan 2022/05/04(水) 02:26:50.46 ID:???]

100Dです。通信量が増えるとダッシュボードのCPU使用率が1コアだけ100%に張り付くんですけど原因や調査方法がわかる方いますか？他の3コアは25%ぐらいで負荷が偏り過ぎてます。。

[723 anonymous@fusianasan 2022/05/04(水) 20:51:55.28 ID:???]

>>722
PCと同じような挙動なので特におかしくないんじゃないかな

[724 anonymous@fusianasan 2022/05/04(水) 23:49:13.87 ID:???]

>>721
OKとNGは具体的に書かないと誰もわからない

>>722
100Dは実コア2つだからただの使いすぎじゃない？

[725 anonymous@fusianasan 2022/05/05(木) 00:32:27.13 ID:XFsuvO4w]

>>724
iphoneだけが、インターネットに接続出来ないという事象になります。


インターネットアクセスOK⇒windowsPCやAlexaやgoogle機器

インターネットアクセスNG⇒iphoneのみ


※構成
ONU⇔fortigate⇔無線AP⇔クライアント端末群

[726 anonymous@fusianasan 2022/05/05(木) 00:59:55.30 ID:???]

>>725
デバイスインベントリにiphoneはいるか？
いるのならiphoneをwifiに継いだ状態で他の機器（Windowsとか）には接続できるか？
そのiphoneのIPはポリシーに入っているか？
対象ポリシーのログは確認しているか？
他のポリシー（暗黙等）、UTMポリシーでDropしていないか？

それにiphone使ってないから何とも言えないけどPingとかlookup出来るアプリってないの？

ヒントがおおざっぱ過ぎてエスパーでないと回答に困るな。

[727 anonymous@fusianasan 2022/05/05(木) 02:51:21.47 ID:???]

mssの設定はちゃんとしてる？

[728 anonymous@fusianasan 2022/05/05(木) 09:41:22.09 ID:???]

iCloud プライベートリレー とかそのへんかな。
うちのやつのログに何か記録されていたような覚えがあるが気にしてなかった。

[729 anonymous@fusianasan 2022/05/05(木) 12:24:24.03 ID:???]

プロキシモードとフローモードのどっちをみんな使っているの？
10MB以上検査出来ないならフローモードの方がマシだと思うんだがプロキシモードの最大値を変えてるのか？

[730 anonymous@fusianasan 2022/05/06(金) 10:20:13.11 ID:???]

>>725
何一つ具体的になってなくて草

[731 anonymous@fusianasan 2022/05/06(金) 10:24:06.38 ID:???]

>>728
エスパーだと先に気になるのはMAC randomizationの方かな。

[732 anonymous@fusianasan 2022/05/06(金) 17:46:11.82 ID:???]

>>725
エスパーするとiPhoneが機内モードになってるんじゃないかな

[733 anonymous@fusianasan 2022/05/06(金) 18:36:27.04 ID:???]

>>725
なんちゃってエスパーだけどiPhoneのアドレスを固定にすると直るんじゃないかな。

[734 anonymous@fusianasan 2022/05/07(土) 23:10:44.76 ID:JOLGsOfK]

エスパーの皆さま情報不足ですいません。
iosの設定をいじったらインターネットに繋がるようになりました。ありがとうございました。

ただ、windowsはv6で接続出来ているのですが、
iphoneのみv4接続しかできない事象にハマりました。

iphoneのネットワークをみると、v6のアドレス（DNS含む）は貰えてるのですが、結局未解決です…

[735 anonymous@fusianasan 2022/05/07(土) 23:26:13.66 ID:JOLGsOfK]

そもそもiphoneからv6アドレスにpingが通らない…

[736 anonymous@fusianasan 2022/05/07(土) 23:29:22.15 ID:???]

ポリシー書いてないだけでは？

[737 anonymous@fusianasan 2022/05/07(土) 23:44:19.95 ID:???]

構成図も情報も殆どなくて困ってますって話しかしないなら解決はしなさそうだね

[738 anonymous@fusianasan 2022/05/08(日) 02:44:20.80 ID:TWmG/BXr]

>>736
fortigateーAPーwin端末やiphone

AP接続ポート⇆WANポートは、
anyで許可ポリシー入れてます。
iphoneだけv6が見えないんですよね

再度ポリシー見直してみます。

[739 anonymous@fusianasan 2022/05/08(日) 02:54:13.36 ID:???]

>>734
無線APのせいじゃないの？
それにしてもほんっと情報出さないねｗ

[740 anonymous@fusianasan 2022/05/08(日) 09:49:13.88 ID:???]

AP接続ポート、WANポート間がAnyってやばくねｗ

[741 anonymous@fusianasan 2022/05/09(月) 21:27:22.06 ID:???]

FWって1000個ぐらい拒否IPアドレス設定しても負荷大丈夫？

[742 anonymous@fusianasan 2022/05/09(月) 23:04:34.62 ID:???]

そんくらいじゃ問題ないけど良く来る所はマスクで締めた方が良いし、GioIPで閉めるのも考慮した方が良いと思う。

[743 anonymous@fusianasan 2022/05/09(月) 23:10:11.43 ID:???]

>>742
サンクス

[744 anonymous@fusianasan 2022/05/11(水) 21:08:00.69 ID:???]

ライセンスの期限が25年1月までのものがあるんだが
同一モデルで今年ライセンス切れるやつがあって
期限長い方の権利でファーム取得して
期限切れのモデルに入れるとかできるのかな。
ファームに日付埋め込まれてて照合でダメって言われるやつかな?

[745 anonymous@fusianasan 2022/05/12(木) 00:31:42.60 ID:???]

>>744
ライセンス違反だけど入るし動く。

[746 anonymous@fusianasan 2022/05/12(木) 10:12:17.12 ID:???]

ファーム(OS)の更新は可能
シグネチャーの更新やWebフィルタは利用不可だよ

[747 新人君 2022/05/14(土) 04:20:13.54 ID:/H9rvSVD]

エスパーの皆様
FortiGate transparent modeについて質問させて下さい。
transparent modeでは、L2として動作するのでルーティングは出来ない認識でいます。

そこで質問なのですが、transparent modeでもCLIでStatic route 設定可能なようなのですが、
transparent modeで、Static route の使い道が分からず・・

PC(192.168.1.1)から1.1.1.1に通信させたい場合、transparent modeで実現できるかをご教示頂きたく。
なお、PCに設定しているゲートウエイは、192.168.1.254で、PCにスタティックルート設定はなしが条件となります。
.1 .10 192.168.1.254/24
PC--------FG---------RT1
|
| 192.168.1.253/24
RT2
| 1.1.1.1/32

[748 新人君 2022/05/14(土) 04:21:52.53 ID:/H9rvSVD]

すみません、構成図がずれてました・・・
.1 　　　　.254　　　　
PC--------FG---------RT1
　　　　　|
　　　　　| 192.168.1.253/24
　　　　　RT2
　　　　　| 1.1.1.1/32

[749 新人君 2022/05/14(土) 04:24:12.83 ID:/H9rvSVD]

ずれちゃう・・・
RT1　192.168.1.254/24
RT2　192.168.1.253/24
RT2　1.1.1.1/32(loopback)
です。。連投すみません。

[750 anonymous@fusianasan 2022/05/14(土) 08:29:39.03 ID:???]

Transparentモード使った事ないから知らんけど（じゃぁ答えるなって言われそうやけど）
普通に考えるとそれはFortigate自信がip通信する際に参照するルーティングテーブルじゃないの？

fortigateまたぐL2通信に関係無いやろ？

[751 anonymous@fusianasan 2022/05/14(土) 10:02:38.43 ID:???]

管理用IPのルートだね

[752 anonymous@fusianasan 2022/05/14(土) 13:45:19.50 ID:???]

ルーター間が通信できていればポリシーが許していれば通信可能ですよ

FGTのルーティングは他の人が書いている様に管理用
普通の環境だとFGTがインターネットに出られないとシグネチャーが更新できないからデフォルトルートを設定するよ

[753 新人君 2022/05/14(土) 14:00:59.96 ID:/H9rvSVD]

エスパーの皆様

有難うございます！

[754 anonymous@fusianasan 2022/05/14(土) 14:18:08.37 ID:???]

必要な設定をなしが条件となりますって言われても…
エスパーの皆様って煽りもやめたほうがいいよ。

[755 aho 2022/05/14(土) 14:44:27.47 ID:???]

NAT使えよNAT

[756 anonymous@fusianasan 2022/05/14(土) 19:57:41.86 ID:???]

>>747
他の方が回答出しちゃってますが
試しに構成を作ってみました。

RT1はFGTのWAN側でRT2はLAN側のポート接続ですよね？
RT1に1.1.1.1向けのルーティングがあれば繋がりますね。

また、FGTのルーティングをRT2向け、PCのデフォルトGWをFGTしてもPCから1.1.1.1繋がらないので、他の方がおっしゃってる通りFGTのルーティングはFGT本体の通信用ですね。

[757 新人君から進化した 2022/05/20(金) 19:16:36.95 ID:XkQ5QeX7]

>>756
求めいていた回答です。
PCでFortigateをゲートウエイにしても1.1.1.1に繋がらないのですね。

トランスペアレントの場合、完全にFrotigate自身のルーティングであること、理解できました。

ｱｻﾞﾏｽ。

[758 anonymous@fusianasan 2022/05/22(日) 14:34:48.80 ID:???]

少し質問させたください。

少し特殊な環境での構成になるのですが、
WAN接続の無いfortigateのLANポート(192.168.0.1)に、
WAN接続のあるRT�@(192.168.0.11)と、
同じくWAN接続のあるRT�A(192.168.0.12)が接続されています。

fortigateのデフォルトルートはRT�@に向いており、
fortigate自身のDNSやfortiguard等の通信を含め、全てRT�@経由でWANに抜けて行きます。
そこまではいいのですが、
RT�AではRT�AのWAN(pppoe)に外部から着信したhttp,https,icmpのパケットを
静的NAPTでfortigate(192.168.0.1)に転送するように設定されています。
しかしこのままでは、fortigateは返信パケットをデフォルトルートに従いRT�@(192.168.0.11)に送信してしまいます。

何とかしてfortigateから発信する一部のプロトコル、ポートを持った通信をデフォルトルート以外に転送することは可能でしょうか。

PBRで色々試してみましたが上手くいきません。

[759 anonymous@fusianasan 2022/05/22(日) 16:39:49.99 ID:???]

>>758
vdomで分けるのはダメですか？

[760 anonymous@fusianasan 2022/05/22(日) 17:53:44.26 ID:???]

>>758
SD-LAN？として、LAN側インターフェイスをsd-wanインターフェイスにぶちこんで。
sdwanルールで書くとかどーお？

[761 anonymous@fusianasan 2022/05/22(日) 18:51:49.18 ID:iiGUU5Gm]

>>758
Fortigateというより一般的な戻りルートの問題なので
この場合RT①と②では一般的な静的NAPT(Fortigate LAN1に着信するパケットは送信元IPがグローバルIP)ではなく
Ciscoでいう双方向NAT(Fortigate LAN1に着信するパケットは送信元IPが192.168.0.11や12になる)を使うしかないと思います。

[762 anonymous@fusianasan 2022/05/22(日) 19:05:23.87 ID:???]

回答ありがとうございます

>>759
FortiManagerに属してるのでVDOM使うと別途ライセンスがいるのです・・・

>>760
試してみましたがPBRと同様に設定したルール道理には動けませんでした。

>>761
たしかにNATを使ったほうが楽なのかもしれません。
動的NATか、逆側IPマスカレードで試してみます。

[763 anonymous@fusianasan 2022/05/22(日) 19:20:30.67 ID:???]

>>758
192.168.0.0にもう一個インターフェイスだしてSD-WANかな。
RT2のNAPT先をもう一つのインターフェイスにすれば多分RT2に帰ってくれる。
FortiManagerは触ったことないから知らん。

[764 anonymous@fusianasan 2022/05/22(日) 22:29:43.09 ID:37JwvNHh]

初心者ですがlonkmonitorについて質問です

https://docs.fortinet.com/document/fortigate/6.0.0/handbook/252877/remote-link-failover
上記構成で記載の設定+左のfortigateを高プライオリティ、overrideを設定した場合ですが、障害箇所が復旧しているかに関わらずpingserver-flip-timeout 分経過すれば切り戻ってしまう認識ですが、それを止める設定は何かあるでしょうか

flip-timeout が経過した際にプライマリ選定を行い、左がプライマリに戻ってしまうため通信断が起きるのを避けたいです。

[765 anonymous@fusianasan 2022/05/22(日) 23:05:13.57 ID:iiGUU5Gm]

>>764
flip-timeoutを最大値2147483647min=4083年にしておけばとりあえず自動で切り戻らなくなるのでは。使ったことないけど。

切り戻したいタイミングで手動で1にして、切り戻してからまた最大値にする運用すれば目的に近いということで。。。

[766 anonymous@fusianasan 2022/05/23(月) 00:23:36.26 ID:???]

>>765
回答ありがとうございます。
時間長くすればその間は切り戻らないのはそうなのですが、復旧してるなら最短で切り戻したいということでして、、

あまり資料も見つからず、使われていない設定なのですかね

[767 anonymous@fusianasan 2022/05/23(月) 00:44:16.33 ID:???]

>>758
RT2から来る通信の送信元を絞れるなら対応可能

[768 anonymous@fusianasan 2022/05/23(月) 02:43:57.60 ID:???]

>>767
それって送信元のスタティック書くだけ？だったら、ここに質問しなくね？

[769 anonymous@fusianasan 2022/05/23(月) 13:42:35.81 ID:???]

>>767
>>768

送信元が固定ならスタティックで何とかなったのですが、動的IPなので難しいです

一応、逆NAPTでRT�AのWANからくるfortigate宛のパケットの送信元をRT�AのLAN側IPに変換して一応解決しました。

ありがとうございます

[770 anonymous@fusianasan 2022/05/24(火) 12:55:18.86 ID:???]

>>766
sdwanがあるし、linkmonあんま使われないと思う。お力になれずスマン

[771 anonymous@fusianasan 2022/05/25(水) 22:32:24.18 ID:fsAGyccO]

linkmonitorがどうかに頭使うより
使わんように頭と金使う方がみんな幸せな気がする

[772 anonymous@fusianasan 2022/05/26(木) 00:11:30.08 ID:???]

>>771
お金使うなら、誰でもできるだろ

[773 anonymous@fusianasan 2022/05/26(木) 14:03:15.24 ID:mnA+KO/f]

おっしゃる通りです
失礼しました

[774 anonymous@fusianasan 2022/05/27(金) 08:41:10.67 ID:???]

v6ブラスからのIPv6-RAをfortigateを介してLANに流しているはずなのだが、iPadだけIPv6で通信できない。IPv6グローバルアドレスは割り振られているのに…
MS-WindowsとAndroidはIPv6で通信できるのに…

iPadは何が気に入らないのだろう？

[775 anonymous@fusianasan 2022/05/27(金) 11:48:33.41 ID:???]

プライベートWi-Fiアドレスとか

[776 anonymous@fusianasan 2022/05/29(日) 23:28:19.98 ID:???]

トラシューでログとか見れない人だったら、ぶっちゃけバッファローとか使ったほうがいいっすよ

[777 anonymous@fusianasan 2022/05/30(月) 01:28:58.10 ID:???]

>>776
解決案も出さない癖に、他機種をすすめるような煽りするのは病院おすすめする

>>774
ドロやあいぽんで可能ならば、ipad側v6の何らかじゃないかい？fortidocsやらで探って見つかんなきゃ、キャプチャしてみるしかないな

[778 anonymous@fusianasan 2022/05/30(月) 09:20:25.65 ID:???]

そもそも質問なんかね

[779 anonymous@fusianasan 2022/05/30(月) 16:11:14.90 ID:m0iFqttg]

>>774
これ抜けなく全部やってるかチェックしては。
https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-jpne-v6plus.pdf


v6 DNSかND Proxyあたりが怪しい気がするけど。

[780 anonymous@fusianasan 2022/05/30(月) 23:10:45.52 ID:???]

ドキュメント読んだり、ログ見たり、パケットキャプチャ取って確認したりでやることはいろいろあるんだけど
ここで質問する人は一発で解決する答えを聞きに来てる感じだからそのあたりの解析作業をすることはほぼない

[781 anonymous@fusianasan 2022/05/31(火) 09:27:33.00 ID:???]

質問自体が低レベルな奴は煽られるのが5ch
ここは煽られながら情報を得る所だ

[782 anonymous@fusianasan 2022/06/02(木) 08:16:26.16 ID:???]

大原則、趣味で中古買ったなら自己解決が基本
仕事で納めるために買ったならサポートに聞くとかできるだろ、Fortiなら図研かSBだろ？

[783 anonymous@fusianasan 2022/06/02(木) 12:30:43.05 ID:9588vqFk]

教えたがりがいるし、別にいいとおもうけど。ここで聞いたって。

[784 aho 2022/06/02(木) 19:43:37.95 ID:???]

v7.0行こうぜ

[785 anonymous@fusianasan 2022/06/02(木) 20:41:27.89 ID:???]

在庫なくね？
scskとか大手からは即入できるのかな

[786 anonymous@fusianasan 2022/06/03(金) 07:11:10.01 ID:???]

>>785
scskで40fなら納期2週間ほど。
80fまではそれなりに在庫ありました。
値上げすごいけど。

[787 774 2022/06/04(土) 05:05:12.64 ID:???]

みんなありがとう

時間が取れたので調べました
とりあえず以下の事象が判明したので、サポートへ投げてみました

１．iPad のみ、wan 側の IPv6 アドレス宛に ping を飛ばすと応答パケットが Fortigate 内で止まり internal 側へ送出されない
２．iPad に割り振られた IPv6 アドレスのみ Fortigate の route table に登録されていない
　　Windows と Android に割り振られたアドレスは、"diagnose ipv6 route list" コマンドで経路情報が表示される

https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-jpne-v6plus.pdf
については、設定しているつもり
ただ、config firewall policy の srcintf と dstintf は書式が違うはずで、internal->wan1しか許してはいけないのではないかな

[788 anonymous@fusianasan 2022/06/12(日) 09:06:01.36 ID:/TrsoRsS]

サポートの回答はどうでしたか？

[789 774 2022/06/12(日) 10:50:18.69 ID:???]

バージョン7.2.0は上げすぎでサポートしないので、7.0.5に下げろとか

[790 anonymous@fusianasan 2022/06/13(月) 01:04:54.49 ID:???]

>>783
解決のための相談に乗ってくれる人はいる
でも、相談者は調査方法じゃなくてダイレクトに答えがほしいだけだからね
調査しないとその答えが出ないですよってことを相談者はなかなか理解してくれない

[791 anonymous@fusianasan 2022/06/15(水) 14:52:42.21 ID:???]

まだ日本の代理店サポートに期待してるの？
最新版には追従できず古いバージョンしかサポートできない連中だよ

[792 anonymous@fusianasan 2022/06/15(水) 19:24:16.01 ID:???]

Fortiの最新版はバグ多いからな
v7.2系とか現状オープンベータ版みたいなもん
何で複数メジャーバージョンでアップデート出してるのか知らん無知が増えたな

[793 anonymous@fusianasan 2022/06/15(水) 20:48:55.32 ID:???]

開発したメーカーですらまともに対応出来ませんからｗｗ

[794 anonymous@fusianasan 2022/06/16(木) 00:04:43.41 ID:???]

>>793
メーカーですら対応出来ない問題も報告、解析してくれるコミュニティもあっての新ファームだしな
問題はメーカーに丸投げ的な考えの多そうな日本人向けではないけど

[795 anonymous@fusianasan 2022/06/17(金) 12:24:19.17 ID:???]

保守無しでファーム手に入んないのかよ！
そう思うとメジャーバージョンアップすら無料のWindowsは神だな。

[796 sage 2022/06/17(金) 13:03:43.29 ID:???]

マルチVDOM環境でVDOM作って
配下のvdomでWebフィルタリングの詳細設定しようとすると

スタティックURLフィルタのところで
--------------------
無効なURLをブロック
URLフィルタ
FortiSandboxにより検知された悪意のあるURLをブロック
コンテンツフィルタ
--------------------
あるはずが
「URLフィルタ」と「コンテンツフィルタ」が表示されなくなるんだけどなんで？
FG50E
6.2.10 build1263 (GA)なんだけど

[797 anonymous@fusianasan 2022/06/19(日) 11:40:48.80 ID:???]

>>796
CLIで確認したん？

[798 anonymous@fusianasan 2022/06/22(水) 22:32:03.85 ID:gqCCrR07]

ちょっと教えてほしい。
FortiGateでIPSEC-VPN冗長構成を検討している。

DC側は、ISP-A,ISP-Bの２回線。RT#1,RT#2はBGPしゃべってなくて、単純に回線収容してるだけ。
拠点側FGは、DC側FGのISP-A,ISP-Bグローバル向けのIPSECピアを２つ設定。(local idをメイン、バックアップで設定)
DC側FGは、拠点向けにset peertype oneで、メイン、バックアップを設定。
DC側FGは、フローティングスタティックを使って、通常時はデフォルトルートをISP-A、障害時はISP-Bとする。
ここまではいいんだけど、ここから先が疑問。

通常時、拠点FGから、ISP-BのグローバルIPに対してVPNトンネルを張りに来た際に、VPN応答はISP-A回線経由で返してしまうはず。
そこで、FortiGate自発パケットに対してローカルPBRが実装できれば解決できると思ったんだけど、実装できなそう・・・・

こういう構成の時って、どうやるのが好ましいのかな・・
まぁ、VPNトンネル張るだけだから、ISP-A経由で戻してもそこのバックボーン内で送信元ISP-BのIPが拒否されていなければ、
問題は発生しないとは思ってるけども。
[拠点FG]
||
[インターネット]
| 　 |
| 　|
ISP-A ISP-B
| 　 |
| 　 |
RT#1 RT#2
| 　 |
| 　|
wan1 wan2
[ DC側 FG]

[799 anonymous@fusianasan 2022/06/22(水) 23:00:38.60 ID:???]

Router外してFGで直収すればいい

[800 anonymous@fusianasan 2022/06/22(水) 23:36:49.18 ID:???]

DC側FGで拠点側ISP-Bのグローバル宛ホストスートをwan2に指定する

[801 anonymous@fusianasan 2022/06/22(水) 23:50:22.73 ID:???]

>>798
検証はしてないから正確では無いかも知れんが
FortigateのIPSecピアは個別に出力インターフェースが設定出来るから
出力インターフェースごとにルーティングされると思われる

IPSecピアごとの出力インターフェース指定とか普通のルーターには無いし

VPN通信自体が使うIPSecピアの切り替えはSD-WANやらリンクモニターやらルーティングプロトコルやらを適当にやればどうにかなるはず

[802 anonymous@fusianasan 2022/06/23(木) 00:00:33.12 ID:???]

通常は着信したインターフェースから返す仕様
なのでwan2に着信があったらwan2から返す
フローティングスタティックの設定が具体的にどうなってるかわかんないけど
wan2側もルーティングテーブルがないと
RPFチェックで落ちると思うのでそのあたりは要確認

[803 anonymous@fusianasan 2022/06/23(木) 08:11:57.77 ID:oaTYYQXh]

ありがとう！
検証してみる！

[804 anonymous@fusianasan 2022/06/23(木) 12:49:45.15 ID:???]

設定に困ったとき相談できる窓口があるサポート会社はどこ？

[805 anonymous@fusianasan 2022/06/23(木) 14:53:56.41 ID:???]

どこでも相談できるよ、金さえ払えば

[806 anonymous@fusianasan 2022/06/23(木) 18:41:10.34 ID:???]

>>804
保守に付いてくるよ

[807 anonymous@fusianasan 2022/06/24(金) 12:33:22.14 ID:???]

>>805
ほんと？
2社と契約しているが、障害対応は受けるが今から設定する内容の相談は営業窓口って言われるぞ
保守窓口で答えてくれることもあるが突っ込んだら営業へとなる

[808 anonymous@fusianasan 2022/06/24(金) 15:55:36.01 ID:???]

話がかみ合ってないな

[809 anonymous@fusianasan 2022/06/24(金) 17:13:18.94 ID:???]

保守の意味ググれ

[810 anonymous@fusianasan 2022/06/24(金) 18:12:28.25 ID:???]

アホの極み
保守内容なんてそれぞれ違う

[811 anonymous@fusianasan 2022/06/24(金) 18:17:09.29 ID:???]

もしかしてファームのアップとか設定変更とか保守？
修理点検のみ？
いろんな捉え方あり？
それとも俺の思っている保守内容が世界共通？って人か？

[812 anonymous@fusianasan 2022/06/24(金) 18:46:20.68 ID:???]

どこまで対応してもらえるのかは契約内容確認すればいいんじゃないでしょうか

[813 anonymous@fusianasan 2022/06/24(金) 19:03:31.25 ID:???]

保守の意味は辞書通りに決まってる
保守範疇は契約内容によって違う

当たり前だろ

これがごっちゃになってて話が通じてない

[814 anonymous@fusianasan 2022/06/24(金) 20:55:33.75 ID:???]

>>813
変なこと場遊びはせず普通に会話しろや

[815 anonymous@fusianasan 2022/06/24(金) 20:56:40.38 ID:???]

>>812
804に戻った気がするのは気のせいか？

[816 anonymous@fusianasan 2022/06/24(金) 21:13:04.30 ID:???]

>>804
導入時にできてたことがなにもしてないのにできなくなったのなら保守窓口。
新しいことをやるなら予算用意して営業に連絡。
金出さないやつが聞ける場所はこことヤフー知恵袋。

[817 anonymous@fusianasan 2022/06/24(金) 21:17:05.62 ID:???]

ソフトバンクはQA技術支援も含むって書いてあるけど、
費用浮かすために技術もないくせに自前で構築しようとして何とも行かなくなってメーカーサポートに設計紛いの質問するのはルール違反だと思う。

[818 anonymous@fusianasan 2022/06/24(金) 22:14:28.87 ID:???]

正直メーカーに連絡するよりシステムベンダに依頼すべきじゃね

メーカーの営業経由でベンダー紹介してもらってもいいけどさ

[819 anonymous@fusianasan 2022/06/25(土) 06:34:07.03 ID:???]

そのシステムベンダーですが、メーカーサポートに
技術的な質問してもたいした答えは返ってこない。

[820 anonymous@fusianasan 2022/06/25(土) 08:23:35.10 ID:???]

ソフトバンクはやるのかな？
せめてコマンドマニュアルとか設定例くらいメーカーで普通に公開してほしいな（日本語で）
あと導入してもよいファームもサポート会社で違うのも面倒だわ
ファーム何使うのが良い？ってくらいの質問でも同じサポート会社でも答える時と答えない時あるし
柔軟に対応しているとも言えるが

でもここにかいている奴ら、保守と保守契約なんて言うのに
メーカーとパートナーと販売店とシステムベンダー区別してないのか？
メーカーは直接サポート契約しないからメーカーサポートと窓口持っているのは限られてるぞ
俺はメーカーの人と話したことはあるがサポートを依頼したことはないな（依頼しているのを目撃したことはある）

[821 , 2022/06/25(土) 09:40:59.83 ID:???]

いったいどこのワンオペ病院
逆ギレすんな

[822 anonymous@fusianasan 2022/06/25(土) 09:54:30.76 ID:???]

聞けるところにはダメもとでも聞いてみるってのはいいと思うけどな

ただ、相手が答えやすい様な質問・状況は準備した方が良いとは思う。
・商談には関係ない別件の質問だけど、協業途中だから相手に無視させにくい状況で聞くとか
・アンサーを求めるんじゃなくて、気づいたことないですかね？っていうあくまでヒントをもらうとか
　（材料準備したからやってくれ　じゃなく　ここんところどう切ったらいいですかね　的な）
結局ディストリビューターのバックエンジニアだって自分のやったことないのは
自社のサポートDBみたいなの調べるしかないし、それで見つかんなきゃ
ちょっとググって無さそうならシラネって言いたいだろうし

自分はファームバージョン選定の時は仕入れたディストリビューターの窓口に
「貴社がサポートが可能とする、推奨バージョンは何ですか？」ってメールで聞く。
なんか起こった時に巻き込みやすいかなって。

[823 anonymous@fusianasan 2022/06/25(土) 11:50:07.49 ID:???]

>>822
ファーム同じようにメールで聞いたことあるよ
今新規ならこれって教えてくれるときもあれば
推奨は特に無いよと言われたこともある
相手次第だよな

[824 anonymous@fusianasan 2022/06/26(日) 01:10:10.88 ID:???]

セキュリティベンダの推奨は基本は最新OS / 最新パッチだよ
それ以外答えようはない

[825 anonymous@fusianasan 2022/06/26(日) 01:42:52.08 ID:???]

>>824
技術質問の契約ない保守は、それだけだろうな

[826 anonymous@fusianasan 2022/06/26(日) 06:37:00.41 ID:???]

日本のベンダーは自前で動作チェックしたものだけ公開してるから、メーカーの最新とは限らない。
それでわかるだろ。

[827 anonymous@fusianasan 2022/06/26(日) 09:10:13.94 ID:???]

>>787
iPhoneやiPad、MACアドレス固定にしてる？

[828 anonymous@fusianasan 2022/06/26(日) 15:00:59.71 ID:???]

>>824
枯れたメジャーバージョンの最新セキュリティアップデート版が推奨されるだろ
最新メジャーバージョンとかまともなセキュリティーベンダーなら推奨しない

[829 anonymous@fusianasan 2022/06/26(日) 19:03:20.17 ID:???]

>>824
どこがそんな回答してくれたのか知りたい
今契約しているところは指定バージョン以外を入れたら保守対象外と言われた
しかも指定バージョンが無茶苦茶古く6.2とか言うし
そんなんが最初なら乗り換えたいわ
どこが7.2とか7.4やってくれる？

[830 anonymous@fusianasan 2022/06/26(日) 19:55:14.57 ID:???]

>>829
さすがに6.2は古いな
自分の取引してる所の代理店は出荷が6.4系、サポートが6.2,6.4,7.0系になってるわ
7.0系も最近になって7.0.5あたりでサポートし出した感じ

[831 anonymous@fusianasan 2022/06/26(日) 19:59:23.52 ID:???]

>>830
ちなみに最新OSはメモリリークしたり機能バグする多いからほぼバグテスターのようなもん
7.2系なんかバグったら公式フォーラムでサポート依頼しながらバグ前提で使うもんだから普通の代理店はサポートとか期待しないわ

[832 anonymous@fusianasan 2022/06/26(日) 20:08:17.90 ID:d3w6xT8i]

7.2はまだ怖いなー
自分の経験上だけど、Patch3以降ぐらいからじゃないかなー、導入奨められるのは。
中には、Patch5ぐらいじゃないと、怖いバージョンもあるかもだけど。

[833 anonymous@fusianasan 2022/06/27(月) 06:46:07.63 ID:???]

>>829
6.2までのモデルもあるけどそれじゃなくてか？
それ以外だと6.2は標準サポート終了して延長サポート突入済み

[834 anonymous@fusianasan 2022/06/27(月) 14:34:02.69 ID:5Y8wE/h6]

上の方でFortiGate＋どこかのAPを使ってiPhoneがIPv6で外に抜けないと言ってる人がいたけどウチでも同様になってる。
Windows PC2台とAndroid3台はIPv6で外に抜けるしIPv4もDS-Liteで使えてる。
ちなみにiPhoneでもIPv4はDS-Lite（IPv4 over IPv6）で使えてる。

環境は下記の通り。
・FortiGate 60E（7.0.6）ちなみに7.2.0でも同様だった。
・NTT西＋朝日ネット（IPoE + DS-Lite）IP非固定
・iPhone SE2(15.5),iPhone XS(15.5),iPad mini2(12.5.5)

https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-internet-multifeed-ipoe-ds-lite_fos702.pdf
この辺のFortinetの資料はOCN IPoEのものやアルテリアのものも参考にしていて、WAN固定IPサービス部分を除き同じ事を実施済み。

iPhoneはIPv6アドレスを取得していて、PCとiPhone間でv6でのICMPは疎通OK
しかしiPhoneから外向けのv6アドレスにはping疎通NG

iPhoneやAndroidはinternal側の同一サブネットにいるためF/Wポリシーも同一。
ちなみにiPhoneでも下記設定を施したRTX1200配下からはv6アドレスで外に抜けていたし今戻してみてもちゃんとv6を使用できた。
https://network.yamaha.com/setting/router_firewall/flets/flets_other_service/ipv6_ipoe

FortiGate 60Eの何らかの設定が足らないか過剰なのか不明だけどFortiGate＋iPhone（iOS）ならではの問題がありそうなのは確か。

[835 anonymous@fusianasan 2022/06/27(月) 15:08:27.68 ID:???]

デバッグログ、パケットキャプチャみて調査するしかないんじゃないでしょうか
うちはiPhone13 miniで問題なくIPv6で繋がってます（7.0.6、test-ipv6で10/10）
nd-proxyとIPv6 firewall policyがあればいいはず

[836 834 2022/06/27(月) 16:26:19.56 ID:5Y8wE/h6]

>>835
ありがとうございます。

v6のポリシーは上記URLのPDFのものと同じなんですが足らないんですかね。。
その他関係ありそうなところで今設定してるのは下記くらいです。

FGT60E # show system nd-proxy
config system nd-proxy
set status enable
set member "wan1" "internal"
end

FGT60E # show system interface wan1
config system interface
edit "wan1"
set vdom "root"
set type physical
set role wan
set snmp-index 1
config ipv6
set ip6-allowaccess ping
set dhcp6-information-request enable
set autoconf enable
set unique-autoconf-addr enable
end
next
end

wan1がRAで取得したv6アドレスにinternalのPC,Androidからはping通るけど
iphoneからは通らないのがそもそもの問題な気がしてきた。

[837 anonymous@fusianasan 2022/06/27(月) 17:31:09.77 ID:6lJlu2iS]

教えてください。
FortigateでSSL-VPNのサーバ証明書をFortigateのWebGUIのLetsEncryptから生成出来ると思います。
この証明書は3ヶ月で期限切れになりますが、自動更新は出来るのでしょうか？
同一ドメイン作成はできないようなので、自動更新ができない場合、一旦既存の証明書を削除して作り直しするしかなさそうですが。。

[838 834 2022/06/27(月) 19:45:32.49 ID:5Y8wE/h6]

分かった事はiPhoneからFortiGate 60Eのwan1のv6アドレスに一度pingを実行すれば、外にあるWebサーバのv6アドレス宛にもpingが届きHTTPアクセスもOKでv6アドレスがApacheのログに記録される。
しかし、iPhoneのWi-Fiを一度OFFにして再度ONにした後にiPhoneが新しいv6アドレスを取得するとまたping NGになる。
で、またFortiGate 60Eのwan1にpingを実行した後にはまた疎通OKになるというループ。

何かND-Proxyの動きがおかしいようなルートがおかしいような。
でもこんな動きするのiPhoneだけだしなぁ。

FortiGateに設定しているStatic routeはDS-Lite向けのipv4のvne.rootトンネル向けだけであり、ipv6のStatic routeは未設定。
でもFortiGate自身やiPhone以外は問題が出ていないという状況です。

[839 anonymous@fusianasan 2022/06/27(月) 20:04:37.79 ID:???]

プライベートアドレスにしていてMACアドレス変わったけどネイバーテーブルが更新されてないとかあるのかも
まわりの状況だけだと判断つかないので、デバッグログ取ったりパケットキャプチャ取ったりしてご自身でログを確認されることをおすすめします

[840 anonymous@fusianasan 2022/06/27(月) 21:19:44.13 ID:???]

なんか無能ってログ見ないよなあ

[841 anonymous@fusianasan 2022/06/27(月) 21:38:54.66 ID:???]

>>838
騙されたと思ってiPhoneのWi-Fi設定のプライベートWi-FiアドレスをOFFにしてみるのだ

[842 834 2022/06/28(火) 10:01:42.69 ID:utqQV6JZ]

iPhoneのプライベートWi-FiをOFFった状態でも上記と全く同じ現象でした。
疎通NGの際のログには発信は数バイトあるけど着信は0バイトという現象。

キャプチャは取って中身見てみたけどAndroidとは違う流れになっている事は分かったもののもう少し時間かけて調べてみます。

[843 837 2022/06/28(火) 11:31:29.63 ID:Pi3bkKB4]

>>837
なんか今日見たら更新されてました。
勝手に自動更新になるんですかね。。

[844 anonymous@fusianasan 2022/06/29(水) 10:16:11.25 ID:???]

>>837
ACMEの設定していれば自動更新されるのではないでしょうか。

https://docs.fortinet.com/document/fortigate/7.0.0/new-features/822087/acme-certificate-support

[845 837 2022/06/29(水) 10:58:24.60 ID:LzIvgFYO]

>>844
なるほど。
設定はコマンドでは無くGUIで設定しその時は証明署名・ドメイン（FQDN）、メールの入力だけで自動プロビジョニングが
開始されたのでACMEは意識してませんでしたが、たしかにconfig上では設定されてました。
ウィザードで設定すると勝手にWAN側ポートを認識しACMEポートとして設定されて、期間が近づいたら自動で更新される
ようになっているようですね。
ありがとうございます。

[846 anonymous@fusianasan 2022/07/03(日) 17:36:13.68 ID:???]

スレチで申し訳ないのですが、専用スレがなかったためこちらで訊かせてください。
接続はWindows機一台のみで、パロアルトのPA-200の中古を検討しているのですが、データシートを読むと
FWスループット100Mbps、脅威防御スループット50Mbps、新規セッション1000/sとありました。

Windows機は、ガッツリ帯域を食うようなことはしていません。
一台のみの接続台数であれば、この機種でまかなえるでしょうか？

[847 anonymous@fusianasan 2022/07/03(日) 20:21:32.89 ID:bNEsXoAp]

>>846
パロの中古なんて買ってまともに動くの？保守なしアプデなしでしょ？

[848 anonymous@fusianasan 2022/07/03(日) 20:58:14.45 ID:???]

>>847
ヤフオクを見るとコンスタントに売れてるんですよね…アプデについては、2022/6/25付でパッチはされてるようです。
ちなみにこれを狙っていました↓
https://page.auctions.yahoo.co.jp/jp/auction/o1055757960

[849 anonymous@fusianasan 2022/07/03(日) 20:59:07.02 ID:???]

FotiOSを7.0.5から7.0.6に上げると、explicit proxy経由で@Niftyメールなど一部のWebサイトにアクセスできなくなるな

障害報告上げようかと思ったけど、めんどくせ…

[850 anonymous@fusianasan 2022/07/03(日) 21:22:40.90 ID:???]

>>848
高すぎる
200系はGUI動かすのすら苦労するし、今は検証用にしか使えない性能
ヤフオクで買うなら送料込みで3000円が限界

[851 anonymous@fusianasan 2022/07/03(日) 21:30:23.92 ID:???]

>>850
そうなんですか…PC1台だけならそれほど重くならないはずと思っていたのですが、
厳しいかぁ。

ちなみに、GUIを動かすのが苦労するというのは設定が複雑すぎるということでしょうか？
Fortigateより煩雑なら選択肢から外した方がいいかもしれませんね

[852 anonymous@fusianasan 2022/07/03(日) 22:35:10.53 ID:???]

2011年11月発売の機種でパフォーマンスも今の時代からすると低すぎる
無料でも要らないかな

[853 anonymous@fusianasan 2022/07/03(日) 22:44:14.02 ID:???]

それほど低機能なのに、ヤフオクに出したら13000円となると、やはり元の定価が非常に高いからなんでしょうね。
ありがとうございましたm(_ _ )m

[854 anonymous@fusianasan 2022/07/06(水) 10:00:53.29 ID:DAqWYIBs]

IPsecで冗長化か考えてた人はSD-WANメンバーにWANもVPNインターフェイスも突っ込んで
SD-WANポリシー書いてあげたら幸せになれるよ。
リンクモニターするためにVPNにアドレス振ってあげてね。ping許可も。

[855 兵隊。 2022/07/07(木) 19:16:23.58 ID:KCvTdPqO]

FortiGateを最近業務で触り始めたんだけど、やれることが多くてどこから突っ込んで勉強したら
ええのや・・・

ちょうど話題に出てる,SD-WAN,IPSECやらをからめた構成で検証してみるのがよいですかね？
これ検証したらいい勉強になるぜ。　みたいなのがあれば、教えてほしい。

[856 anonymous@fusianasan 2022/07/07(木) 19:27:31.18 ID:???]

公式cookbook

[857 anonymous@fusianasan 2022/07/09(土) 15:17:35.50 ID:???]

英語読めないんで日本語でいいやつないですか？

[858 anonymous@fusianasan 2022/07/09(土) 16:15:32.48 ID:???]

fori社監修の本が出てるから、それがいいんじゃん。日本語だし。

[859 anonymous@fusianasan 2022/07/09(土) 18:35:28.08 ID:???]

古いのならば日本語版あるぞ

[860 anonymous@fusianasan 2022/07/17(日) 10:18:50.46 ID:???]

FG-50Eを6.2.10→6.2.11にGUIで上げたらGUI接続出来なくなった。
ssh出来るけど443は外から叩いてもcloseになってる
cliでrestore imageで6.2.10に戻しても状況変わらなかったんだけど思いつく事などあります？

[861 anonymous@fusianasan 2022/07/17(日) 11:41:38.63 ID:???]

管理者接続のポート番号変わっちゃったとか？まぁ普通に考えたら有りえないんだけども。

[862 anonymous@fusianasan 2022/07/17(日) 17:47:24.72 ID:???]

わからんけどexecute factoryresetで初期化してみたら

[863 anonymous@fusianasan 2022/07/17(日) 21:02:32.80 ID:bILzoiN3]

リリースノートも見てみたけど、そんなバグものってないね。
てか、Frotiのリリースノートのいけてなさは半端ない。
トリガーとか書いてないから、どういう意味ですか？　とか問い合わせきても、こっちも書いてある以上の
事は分からないんだけど。

https://docs.fortinet.com/document/fortigate/6.2.11/fortios-release-notes/236526/known-issues

[864 anonymous@fusianasan 2022/07/18(月) 00:53:34.14 ID:???]

>>860
コマンド叩けるなら接続インターフェースの管理のhttpsを開けたらいいのではないかな？

[865 anonymous@fusianasan 2022/07/18(月) 04:38:27.06 ID:fPxOjV2Q]

>>860
コンフィグ取得してみてDIFFしたら違い出てないか？
結構変わっちゃうぞFortiは

[866 anonymous@fusianasan 2022/07/18(月) 15:59:49.40 ID:???]

>>860
普通に考えるとマイナーバージョンのファームウェアアップデートが原因とは考えにくい。

ほかの要素をあたるべき。
もちろん100%ないとは言い切れない。

[867 anonymous@fusianasan 2022/07/18(月) 16:17:46.52 ID:???]

>>860
config system global
set admin-server-sert "”
になってない？ファームウェアをアップグレードしたときに指定されたいたものが外れていたときがあった

[868 p 2022/07/18(月) 18:03:41.63 ID:???]

ストレージ溢れるとかってバグだろｗ
最適化ってなんやねん
FortiGate 30E and 50E flash card space optimization

[869 anonymous@fusianasan 2022/07/18(月) 23:34:13.43 ID:???]

ローカルストレージが小さいモデルの制限

[870 anonymous@fusianasan 2022/08/02(火) 21:39:40.47 ID:???]

>>866
普通に考えてもダメな時の前科多すぎるからなあ

[871 anonymous@fusianasan 2022/08/03(水) 08:53:10.73 ID:???]

バージョンダウンの時はConfigも元のバックアップに戻さないと確か正常復元の保証無いよね

今のGUIからのアップデートだと自動的にバックアップ取らされる仕組みだったと思うけれど無視して未保存だったら知らんが

[872 anonymous@fusianasan 2022/08/04(木) 14:33:27.01 ID:RtL51HNy]

EメールフィルタでIMAPとPOP3だけ検証したいのですがいい方法ないでしょうか？
SMTP検証はサイト見つけたんですが…
Gmailのサーバで試したもののPOP3Sだったので検知せず。POPサーバ建てるしかないですかね…

[873 anonymous@fusianasan 2022/08/04(木) 15:48:56.01 ID:???]

BJDとかでサクッとたてればいいんでは？

[874 anonymous@fusianasan 2022/08/04(木) 23:16:36.47 ID:lY325otV]

>>873
ありがとうございます、BJDは使ったことないので試してみます！

[875 anonymous@fusianasan 2022/08/08(月) 09:12:47.58 ID:???]

akb？

[876 anonymous@fusianasan 2022/08/08(月) 15:08:27.10 ID:???]

黒くて大きい犬

[877 anonymous@fusianasan 2022/08/08(月) 23:34:23.58 ID:???]

Winproxyって名前だったけど同名のソフトあったから変えたんだよな

[878 anonymous@fusianasan 2022/08/10(水) 12:32:35.02 ID:???]

黒くて大きい股間

[879 anonymous@fusianasan 2022/08/10(水) 13:18:47.75 ID:???]

誰かFortiOS7.2.1をアップしてくれんやろかー

[880 anonymous@fusianasan 2022/08/10(水) 13:32:50.29 ID:???]

>>879
？？？

[881 anonymous@fusianasan 2022/08/10(水) 15:50:29.73 ID:???]

>>879
Fortinet様か代理店がアップしてくれているぞ

[882 anonymous@fusianasan 2022/08/22(月) 16:18:46.88 ID:ipoiGtzg]

IPoE2回線でのSD-WAN構成について解説しているサイトや情報ご存じないですか？
少なくとも片方はVDOMで分けて設定が必要かと思いますが、SCSKに問い合わせても事例が無いので回答できないと言われまして...

[883 anonymous@fusianasan 2022/08/23(火) 16:39:12.84 ID:???]

あそこはわからないことが多いよ
他社が公開してくれている使い方でも自励がない、出来ないと言われたこともある

[884 anonymous@fusianasan 2022/08/23(火) 16:43:43.76 ID:???]

書き忘れた
今聞いてるのはサボート窓口だよな？しつこく聞くと「修理対応とか動いていた設定が動かないときの窓口です。新規の設定はサポートしていません」と言われたこともある
購入した代理店？経由で営業に聞いてもらうと情報をもらえることもあった
fortigateはどこのサポートも同じかもしれないけどな

[885 anonymous@fusianasan 2022/08/23(火) 19:31:12.20 ID:???]

新規の設定は構築として請け負うものだからね

[886 anonymous@fusianasan 2022/08/23(火) 20:37:15.98 ID:???]

>>882

v6 のI/F 毎にVDOM 分けて、VDOM link で root vdomに繋げて
root VDOM から　VDOM link 経由の v6 tunnel を作る

それぞれをsdwan でまとめる。って感じで多分いけるかと

[887 anonymous@fusianasan 2022/08/23(火) 20:40:28.06 ID:???]

あ、tunnel はそれぞれのVDOM からになるのかな？
環境があるならまずやってみて欲しい

[888 anonymous@fusianasan 2022/08/23(火) 23:09:41.59 ID:???]

VDOMで分ける必要ある?

[889 anonymous@fusianasan 2022/08/24(水) 00:16:22.41 ID:???]

ipoeトンネルIFになるvne.rootがvdom1つにつき1つまでだからvdom分けは必須かと。
ただrootvdomじゃないと固定v4アドレスが降ってこなかった記憶があります。
vneトンネルがvdom単位で作成できれば可能性はあるかなぁ。

[890 anonymous@fusianasan 2022/08/24(水) 02:59:12.08 ID:???]

過去レス見るとvdom単位のvneはダメっぽそうですね。
>>383
>>384

ファームが上がって出来るようになってる可能性があるかもしれませんが。

[891 anonymous@fusianasan 2022/08/24(水) 19:06:20.50 ID:???]

>>882
>>886の方法で可能かと

VDOM分ける理由はvne-tunnelがVDOMに一つなのと、RA/RSでIPv6 prefixもらうインターフェースはVDOMで一個にする必要があるためですね
RA/RSでIPv6 prefixをもらうと、そのインターフェースのnexthopのNGNエッジルータが自動でIPv6のデフォルトルートになるので、
同一のルーティングテーブルで2箇所からRA/RSでIPv6 prefixもらってしまうと、2つのIPv6デフォルトルートできてしまい
それらを明示的に使い分けるのが困難なためです

他メーカの製品でもそのあたりは同じかと

[892 anonymous@fusianasan 2022/08/24(水) 19:47:10.16 ID:???]

>>890
ファーム上がって直ってるよ

[893 anonymous@fusianasan 2022/08/24(水) 21:03:15.01 ID:???]

IPoEの意味も知らんぽいどしろうとの相手なんかできないだろ
文字通りIPがイーサに載ること
こんだけIPoE一色になるまえにL3,L2プロトコルが色々乱立覇権争いしてた頃
40年位前に特定の組み合わせを示すのにできた言葉

[894 anonymous@fusianasan 2022/08/26(金) 04:57:09.97 ID:Qsa9HB2X]

すみません、FortigateのVPNについて教えてください。
この度、外部からVPNで社内に接続する方法について検討しています。
その方法として、L2TP/IPsecを用いた接続(こちらの方がOS標準機能で実現可能なので望ましい)か
FortiClientを用いたIPsec接続のどちらかを考えています。
その際、認証アカウント単位でアクセス権と言いますかポリシー制御をかけたいのですが
見方が悪いのかそのような設定箇所が見当たりませんでした。
もしかして上記2つの接続方法では、認証アカウント単位での制御はできないのでしょうか？
初歩的な質問で申し訳ございませんが、ご教示いただけますと幸いです。

[895 anonymous@fusianasan 2022/08/26(金) 10:20:38.81 ID:???]

>>894
ユーザグループ毎にVPNを作成してVPNにIPv4ポリシー書けばできそうですね。

https://milestone-of-se.nesuke.com/product/fortigate/secure-ipsec-vpn-config-sample/

ユーザ単位（認証アカウント単位）にしたい場合、ユーザとユーザグループを1対1で設定する 事になりそうですが
規模によっては設定上の上限値を考慮しないと破綻するので購入前なら 代理店に問い合わせた方が良いかと。

[896 anonymous@fusianasan 2022/08/26(金) 10:35:57.52 ID:???]

>>885
それ言うと変更も構築で請け負う物だし
障害対応だって請け負うものだし
保守の対応範囲が明確に書ききれないだろうけどハード故障とファーム提供だと思って
後は担当者の気分と知識次第かな

[897 anonymous@fusianasan 2022/08/26(金) 11:44:20.74 ID:???]

>>895
ありがとうございます。
ユーザーグループを分けて設定というのには目から鱗でした。

元々は社員のみが使うリモートワーク用にと思い発案したのですが、各システムベンダーの保守担当から
メンテナンス用にリモート環境が欲しいとの要望があったことを思い出し、この際一緒にやるかとの流れになりまして。
ただベンダーを信頼しているとはいえ、万が一の事故発生時に他社に対してもフリーアクセスな環境を
与えていたとなると問題になるなぁと怖くなり、なんとか制御する方法があればいいなと考えていた次第です。

当社で使用しているFortigate40Fはトランスペアレントモード(もちろんルーターからIPsecパススルーでFortigateに渡すつもりです)
で動作しているため、ご教示いただいたページの構成とは異なりますが、loopback云々は飛ばして
読み替えていけば実現できそうな気がしてきました。
グループ分けは社員用と各ベンダー用(2社)の計3グループに分けられそうなので、現実的な範囲でできそうです。
クライアントを別途インストールする必要がありますが、社員向けにはこれから具体的な話を進める予定ですので
少しだけ手間かかるよ、ぐらいの話で済みますし、ベンダーについてはクライアント使ってね！で大丈夫だと思います。

[898 anonymous@fusianasan 2022/08/26(金) 11:44:34.53 ID:???]

なお前職がFotigateを取り扱う職種(既知の通り雑魚クラスですが)で、2年前に現職に転職したのですが
代理店(設置導入業者)はメンテナンス費用を別途払ってるのに、前機種については5年間一度も点検や
ファーム更新の対応をしたことがなく、今回の40Fも全ての通信に対してアンチウイルス、webフィルタ(デフォルト)、IPS
を適用というただUTMを挟んでるだけのザル設定に20万請求されたり
今回の設定変更(社員のみの簡単な方)に30万とか言ってくるなど不信感しかないため、知識に乏しいのかあまり頼りたくなく
今回adminのパスワードを寄越せと依頼しまして自力解決を目指していましたが、こちらで知恵を拝借する形となり申し訳ございません。
なお最終的に出来上がったコンフィグは、業者にも渡す予定です。
すみません、後半はかなりグダグダにグチですね……金額もそれが相場なのかもしれませんし……

9月の中頃には設定変更を行う予定ですので、不要かもしれませんがまた結果等ご報告いたします。
この度は本当にありがとうございました。

[899 anonymous@fusianasan 2022/08/26(金) 12:53:06.05 ID:???]

>>898
自力でできないのにそれを高いとうのは?
言いたいことはわかるけど

[900 anonymous@fusianasan 2022/08/26(金) 13:00:14.62 ID:???]

どの程度の金額を希望なのかな？
1万とか2万でやってくれるところがあれば発注したい

[901 anonymous@fusianasan 2022/08/26(金) 13:27:57.00 ID:???]

知識が乏しいかもしれない業者に、自分で触ったコンフィグ渡して面倒見てもらえると思うのかい？

[902 anonymous@fusianasan 2022/08/26(金) 13:44:38.30 ID:???]

>>899
普通のL2TP/IPsec、あるいは普通にFortiClientを利用したIPsecなら、私のようなボンクラでも余裕で設定ぐらいはできました。
ただメンテナンスもお願いしている手前、業者に依頼したらそんな金額で……
それなら自分でやるわ！になった次第ですが、その後にユーザー別の制御をかけたいと思うようになって
一気にハードルが上がってしまいました。
上で紹介していただいた方法を思い付かなかった想像力、応用力がなかった自分の能力不足ですが……

まぁリスクや後からの微細な仕様変更への対応、人件費含めると、適正価格というのは一体どれぐらいなのかな？
と疑問に思ったりもします。

>>900
なもんで、適正がどれぐらいなのか判断つきにくいですが、私の肌感覚としてネットで軽く調べただけで多くの事例がヒットする
かつ複雑でもなんでもないそんな内容であれば5万もあれば十分かと思ったりします。←例えば簡単な方のL2TPとか
適正価格が本当に分からないですけどね。

>>901
一応、コンフィグ送ってくれてたら何かあった時は私が例えば死んだ後とかに対応する旨返答は頂いてますが
実際面倒見てくれるかは分からないですね。
そう考えると、企業にとってみたら30万(ユーザー制御になるともっと高額？)浮いたように見えるも
結果マイナスになるのかもしれません。


私の一方的なグチで皆様にも多大なる不快感を与えてしまってましたら本当に申し訳ございません。

[903 anonymous@fusianasan 2022/08/26(金) 13:45:52.01 ID:???]

どんな契約か？だろ
オンサイト保守ならconfig渡しておけば故障時に設定入れてくれる
という業者もあった
標準サービスだと
点検やファームアップ作業はないだろうな
個別保守契約でもしないとやってくれないだろうな
とは思う

[904 anonymous@fusianasan 2022/08/26(金) 14:53:32.19 ID:???]

とはいえ、管理者アカウントを人質に取ったままEOSまでファーム更新無しは流石にどうかと思うわ

[905 anonymous@fusianasan 2022/08/26(金) 19:13:06.27 ID:???]

すげーな
契約していない作業もやってくれるのか？
ぜひうちの設定もお願いしたい

[906 anonymous@fusianasan 2022/08/26(金) 22:58:59.64 ID:???]

898に依頼すれば出し値5万でやってくれるのか
めんどくさいクソ客の依頼投げたいから連絡先教えてよ

[907 anonymous@fusianasan 2022/08/27(土) 02:02:52.48 ID:???]

>>902
どういった想定作業の５万なのでしょうか？


不特定のグローバルアドレスからの外部接続を許可するのであればペネトレーションテストはしない想定ですか？
間違って穴が空いててもわかりません。

リモートアクセスのログは取らない想定ですか？
身に覚えないリモート接続があってもわかりません。

2要素認証はしない想定ですか？
ユーザーとIPSECのパスワードを知っている人が会社を辞めた場合、私物PCから接続できてしまいます。パスワードを変えるなり対応が必要です。

また、要件に無いのかもしれませんが、リモートで同時接続の負荷試験はしないのですか？
実際使ってみたら使いものにならないくらい通信が遅くなるかもしれません。


外部に穴を空けるのはそれなりにリスクのある作業だと思います。

リスクが取れるならご自身で設定されるのはありだと思いますが、ただ後々大変な事になっても自己責任になります。

[908 anonymous@fusianasan 2022/08/27(土) 03:12:26.15 ID:???]

この手の話って基本的にお金で解決するんですよね

[909 anonymous@fusianasan 2022/08/27(土) 07:59:39.08 ID:???]

>>906
マジそれな。
これを5万でやってくれるなら起業すりゃ商売繁盛じゃね。
誰かさんのように、何言っても高ぇ高ぇしか言わない客多いからな（笑

[910 anonymous@fusianasan 2022/08/27(土) 12:04:00.37 ID:i1SbaeJx]

>>908
客に、金と時間かければ誰だって出来んだよ！って怒鳴られたわ。
まあ確かにそうだなと思ったけど。

[911 anonymous@fusianasan 2022/08/27(土) 12:12:06.52 ID:???]

多少金払いが良くても手離れが悪い/ガラが悪い客は敬遠される

[912 anonymous@fusianasan 2022/08/28(日) 00:34:16.68 ID:???]

>>910
「だったら、お金と時間かけてやってください」で終了なんですよね
そのセリフはお金を払わない人がよく言います

[913 anonymous@fusianasan 2022/08/28(日) 17:50:01.27 ID:???]

書いてるじゃん
ネットで事例があるような設定して5万だよ
肌感覚として間違いないよ

[914 anonymous@fusianasan 2022/08/28(日) 20:57:33.90 ID:???]

まぁここはお金もらう側の業者も多いだろうしな
あれやこれやとリスクだのコストだの綺麗事抜かしてるけど
実際のところネット事例集そのまま丸パクリで何十万も金取る業者もいるからな
もちろんここの住人は都会でそれなりの規模の客先に出入りしている業者だと思うから価格に見合った仕事してるだろうけど
俺の住む鳥取市は、知ってるだけでもかなりいい加減な作業で費用だけは一流並みに請求する業者が少なくとも4社はある

[915 anonymous@fusianasan 2022/08/28(日) 21:47:28.32 ID:???]

何でまともな業者に頼まないのか

[916 anonymous@fusianasan 2022/08/28(日) 22:56:15.48 ID:???]

IT業者のぐるなび的なクチコミサイトって有ったりする?
NDAに激しく抵触しそうだけど。

[917 anonymous@fusianasan 2022/08/28(日) 23:58:07.11 ID:???]

>>914
言いたいことは分かるよw
例えば例に挙げてゴメンだけど>>907とか、さぞ立派なこと言っているようで実は大したことがないw
間違って穴が？今回の話に合わせると、FortigateにIPsecの設定を施したら他にも釣られて関係ないポートが開いちゃうものなの？
リモートアクセスログなんて、普通Syslogで代用できるしwみんなもフルで取ってるでしょ？
2要素認証なんて、それこそいくらでも事例がヒットする内容なのに、さも特別感装いやがってw
あと退職した人？そいつのユーザーアカウント削除すれば良いだけだし、そもそも2要素認証していればなんの問題もない罠w
まあこんなもんよ
小難しい御託並べても、それはど素人になら通用する詭弁なことが多いよね

[918 anonymous@fusianasan 2022/08/29(月) 00:36:40.74 ID:???]

>>916
あそこの業者はボッタクリだ！とか、契約にないことは一切してくれない！とかの一方的な悪口コミを、NDAに抵触だ！と言われても困っちゃう。

[919 895 2022/08/29(月) 01:59:51.66 ID:???]

立場によって色々な意見はあるとは思いますが、ここ以外に日本語でFortinet製品の情報を日本語でやり取りできる
コミュニティみたいなものはあった方が良い気がしますね。

Fortinet Japanの中の人がここを見ているかわかりませんが、日本語が使えるコミュニティサイトを作るのは難しんですかね。

[920 anonymous@fusianasan 2022/08/29(月) 02:30:07.74 ID:???]

自分たちではやる気ないよ
各代理店？がやるくらいかな

[921 895 2022/08/29(月) 02:47:39.08 ID:???]

なるほど。
私は今となっては仕事では全く関係ないのですが、10数年前にFortinetには元々ciscoにいた人が多いと聞いていて
ciscoやVMwareのようにユーザの自助努力である程度解決できるようなKBなりコミュニティなりを醸成されていくものと
思っていましたが、認識違いでしたかね。

[922 anonymous@fusianasan 2022/08/29(月) 05:57:36.53 ID:???]

シスコがそういうコミュニティ発展できたのってほぼ一強だったからだし

[923 anonymous@fusianasan 2022/08/29(月) 23:18:39.33 ID:???]

適正価格って、請け負って儲けが出る価格じゃないのか？

config流するだけなら5万でも妥当かもしれんが動作保証なんてしてくれんけど。

[924 anonymous@fusianasan 2022/08/29(月) 23:36:58.84 ID:???]

自分で出来るようなことなら自分でやればいいだけなのに
何故か人にやってもらう話になってて金額云々の話になってるのが謎

[925 anonymous@fusianasan 2022/08/30(火) 07:21:57.99 ID:???]

世の中コンフィグ流すだけとかすら出来ない連中ばっかなんですよ……
コンフィグ流せたら上等よ……

[926 anonymous@fusianasan 2022/08/30(火) 08:40:00.28 ID:???]

この業界単価がどう？というのはあるだろうが
5万じゃ1日もかけられない
って所多いだろうな
実作業だけではなく、受注前の要件確認、見積から始まり各種の資料作成とフォロー
場合によっては事前検証
正直短時間度終わる仕事ってそれ以外のことが多くて受けたくないな
他の案件とからめてほしいわ

[927 anonymous@fusianasan 2022/08/31(水) 19:53:52.16 ID:???]

パラシとか手順書とか見ないのに要求されるの草
クラウドの手順書なんて納めた頃には変わってるw

[928 anonymous@fusianasan 2022/08/31(水) 20:01:23.34 ID:qhe8M1vb]

こっちでやるからちゃちゃっと教えてよ。手順書作ってくれればいいから。作業の予算ないんだよ。

[929 anonymous@fusianasan 2022/08/31(水) 20:36:59.70 ID:???]

資料を手順書と読んだのかな？
だとしたら仕事したことのない子供か？
社内手続だけでもかなり有るぞ
自分が作るの以外にもな
会社での仕事ってそんなもんさ
イヤなら趣味で絵やるんだよ

[930 anonymous@fusianasan 2022/09/01(木) 22:59:42.45 ID:???]

>>928
しょうがないから、書くけどこれだけだよー？

1. コンソールにadminログイン
2.execute factoryreset
3.y

意外と簡単にできるからやってごらんよ

[931 anonymous@fusianasan 2022/09/02(金) 00:51:53.67 ID:???]

面白いと思って書き込んだんやろなぁ

[932 anonymous@fusianasan 2022/09/02(金) 08:28:20.11 ID:DLjL82aX]

こいつ絶対仕事できない低脳だな

「コンソールにadminログイン」が分かる連中はそんな罠には引っかからない
本当に引っ掛けたいのなら、素人でも分かるようにシリアル接続ではなくwebログインの仕方詳細や
ブラウザ上からのコンソール起動方法を説明しないとダメだね
あと入力コマンド、これもキチンと書かないといけない
2.とか3.とか、素人はそのまま入力するぞ

[933 anonymous@fusianasan 2022/09/02(金) 17:08:58.75 ID:???]

ネタにマジレス…？

[934 anonymous@fusianasan 2022/09/02(金) 18:31:24.43 ID:???]

ネタだとしたら寒すぎるので、敢えてマジレスした可能性

[935 anonymous@fusianasan 2022/09/03(土) 13:35:15.42 ID:hACUfT7H]

Fortigate使いにくいからYAMAHAのルーターに変えようと思ったけど中古でも高いな

[936 anonymous@fusianasan 2022/09/03(土) 16:03:28.88 ID:???]

UTM機能は要らないってことかな？
ルーターとして使うだけなら、fortigateの方が設定楽だと思うけどなぁ
YAMAHAは行き帰り両方フィルター考慮しないといけないし…
各種VPNとか、事例集が多いのはYAMAHAだけどね
そこまでのスペックやIPoEが要らないのならRTX1200の中古オススメ

[937 anonymous@fusianasan 2022/09/04(日) 01:36:07.62 ID:???]

もろもろのバグで使いにくいってのならわかる
設定が難しいって話なら？って感じ

[938 anonymous@fusianasan 2022/09/04(日) 11:23:35.13 ID:???]

ヤマハの利点はスクリプトで色々できることかな
Fortigateにスクリプトが実装されればと夢見てる

[939 anonymous@fusianasan 2022/09/04(日) 13:43:30.51 ID:hoBEDvGk]

Fortigateってファームウェアアップするとひきつがれないconfigとか
パフォーマンスに影響があったりと客先で使いづらくない？
YAMAHAも同じかなぁ。

[940 anonymous@fusianasan 2022/09/06(火) 20:02:05.25 ID:???]

ちゃんとConfigは引き継ぐぞ
RTX1200は遅いから個人ならば830が良いよ
VPNはYAMAHAよりもSynologyのWifiルーターの方がSSL-VPNも使えて便利

[941 anonymous@fusianasan 2022/09/07(水) 07:37:03.87 ID:???]

指定されたパスに従ってアップグレードしてないとか

[942 anonymous@fusianasan 2022/09/07(水) 09:46:05.29 ID:???]

RTX1200ですら遅いと言われる時代になったか…
まぁ確かに10年以上前の製品だし、これも時代の流れか

[943 小心者 2022/09/10(土) 00:37:55.69 ID:Vv/PT3Le]

お客さんからの問い合わせに対して、FORTINET DOCUMENTS LIBRARYに記載があるから、これは仕様と存じます。　

って回答しても、本当に仕様なんですか？　と聞き返されると、凄い不安になってしまいます。
皆さんも不安になりますでしょうか？
私が小心者なのでしょうかね。自信が無く、寝れない日が続いています。

[944 anonymous@fusianasan 2022/09/10(土) 13:00:49.52 ID:h1Y8dg2a]

そういうときは、サポートに問い合わせて裏を取ればいいんだよ。
サポートが言ってますってのは常套手段。
サポートが間違えりゃ、サポートの責にできる。

[945 anonymous@fusianasan 2022/09/10(土) 14:04:28.99 ID:???]

>>943
技術者は小心者しゃねーと信用出来ねーよ。
本当に合ってるか何度も違う角度から検証すんだよ。
自信家はエンジニア辞めろ。
あ、IQ低いほど自信家らしいよ。

[946 anonymous@fusianasan 2022/09/10(土) 19:58:06.40 ID:???]

確かにIQ低そうだな

[947 anonymous@fusianasan 2022/09/11(日) 00:18:56.17 ID:???]

>>944
おまえ何もできん人間だな
メーカサポートが言ってました
なんて仕事で通用するなら、高校生バイトと一緒だろ

エンジニアなら自分で検証して確認したデータだすまでが仕事だろ

[948 anonymous@fusianasan 2022/09/11(日) 02:44:59.45 ID:???]

ドキュメントを根拠に仕様を説明しても疑われているという話で、検証して権威付けは無理があるのでは。

自分の不安感を取り除くために検証するのは悪くはないかもしれないけど、検証してドキュメント通りの動きに
なったから仕様と言われても検証する前からドキュメント通りの動きだし答えになっていないよね。

944のサポートに問い合わせて裏取りが最善に思えるけど、>>943はこんな所で聞かずに職場の上司や同僚に
相談すべき内容だと思うよ。

[949 anonymous@fusianasan 2022/09/11(日) 03:29:10.97 ID:???]

ドキュメントに記載があって動作もその通りならそういう仕様と言い切ってOKですよ

[950 anonymous@fusianasan 2022/09/11(日) 09:53:18.64 ID:???]

仕様がそうだから今のままではできません。なのでこうします

を考えるのがSEの仕事なのでは？？

[951 anonymous@fusianasan 2022/09/11(日) 12:45:03.08 ID:???]

Public に公開してるドキュメントの通りの挙動をしてる状態で、「それは仕様通りの挙動ですか？」と問われたら、「大丈夫？」と心配するレベルですね。

具体的に気になってるところを聞いてみては？客の疑問は別のところにあるんじゃない？

その機能を使いたいが、今後変わったら困るとか。まぁ未来のことなんて誰も分からんから、このケースだとさらに困るけどね。

[952 anonymous@fusianasan 2022/09/11(日) 13:24:03.17 ID:???]

>>943
信用されていないだけ？
過去のやり取りで信頼感０なんだろう

[953 小心者 2022/09/11(日) 15:48:46.23 ID:by8/bSNc]

皆さん
色々とアドバイス頂きましてありがとうございます。

弊職はサポート側の業務もしており、
Fortinet社へ問い合わせすることも可能ではありますが、ドキュメントに記載があり、解釈が不安な点はラボでも検証をしてはいるのですが、自分で仕様だと言い切る自信を持てず悩んでおりました。

検証もしてはおりますので、もう少し自分に自信をもてるように、精進していこうと思います。

[954 anonymous@fusianasan 2022/09/13(火) 01:20:17.61 ID:a08vytbx]

upgrade pathのプルダウン何にも選べないんだけど俺だけ？

[955 anonymous@fusianasan 2022/09/13(火) 09:25:02.29 ID:PKf+YU0a]

今日開いたら直ってたわ

[956 anonymous@fusianasan 2022/09/16(金) 09:54:24.76 ID:???]

fortigateのトラフィックシェーピングって制度は結構いい加減なんですかね？

[957 anonymous@fusianasan 2022/09/16(金) 10:58:47.86 ID:???]

制度→精度

[958 anonymous@fusianasan 2022/09/16(金) 21:25:16.78 ID:R0Le4TWH]

FGTのQOSはオマケみたいなものと捉えています。
ルータじゃなくて、しょせんFWですので。

なにを勘違いしてか、FGTでOQS実装されているからといって、Ciscoルータみたいにがっつり
使えると思われてしまうのが、しんどいですわ。

[959 anonymous@fusianasan 2022/09/16(金) 23:36:34.50 ID:???]

FGTでQOSの精度を求められるって、どんな案件なんだ？モデル何入れるん？

[960 anonymous@fusianasan 2022/09/16(金) 23:54:55.91 ID:???]

QoSの精度とか求めるならCiscoの高いルータ（ASR1k以上とか？）使ってくださいですかね

[961 anonymous@fusianasan 2022/09/17(土) 04:31:17.69 ID:???]

細い閉域網を使うためにQoS云々って話はいまだにありますね
信頼性云々で閉域網が好まれることはあるけど、逼迫して特定のトラフィクだけ救えても
どのみち業務に支障がでるんですよね
ご家庭用でも10Gbpsが来てる時代にQoSって必要なんかなとは思います

[962 anonymous@fusianasan 2022/09/17(土) 09:25:33.28 ID:???]

Fortigateはおまけ機能の詰め合わせで成ってる製品

[963 anonymous@fusianasan 2022/09/17(土) 09:44:50.31 ID:???]

使えない機能ならつけなくて結構
宣伝だけして使えませんって詐欺じゃん

[964 anonymous@fusianasan 2022/09/17(土) 10:40:21.48 ID:???]

何千人もいるのにベストエフォート1Gbp一本しか引かないでいつも回線パンパンなんだけど、シェーピングすればうまくいくって信じ込んでうまくいかなくて精度が悪いフォーティのせいみたいなのは何度も見た

[965 anonymous@fusianasan 2022/09/17(土) 12:39:48.34 ID:fU617t+t]

法人だと回線を簡単には変えられないだろうから難しいよね
帯域保証になると値段が跳ね上がるしなぁ

[966 anonymous@fusianasan 2022/09/17(土) 14:13:28.34 ID:???]

ベストエフォート1G一本しか引かないって見た事ないなぁ
そんな契約回線を複数企業で使うプランあると思えないし単体企業だったとしてもそんな1G回線が逼迫するほど色んなサービス引くかね、、、

[967 anonymous@fusianasan 2022/09/17(土) 14:56:10.23 ID:???]

ギャランティ100Mbpsで足りなくて困ってるからベストエフォート1Gbps敷設してそっちに逃がす的なのは時々聞くかな
そのギャランティ要らんやろ、とは思う

>>963
使えるけど利用者が高いルータと同等の精度を出せるって思ってるからな
大体、普通の通信って増減が都度あるから精度にこだわっても仕方ないんだけど

[968 anonymous@fusianasan 2022/09/17(土) 22:46:40.19 ID:d1nrEsN/]

スループットの考え方について質問させてください。

例えばFGT-60Fなのですが、ファイアウォールスループット（1518 udp) 10Gbpsとデータシートに記載されてます。

60Fって、インターフェイスが1G×10ポート搭載であり、10Gのポートを搭載してないです。
この10Gbpsというのは、1G×10ポートでLAGを組んで測定してると推測してるのですが、考え方はあってますでしょうか？
また、上り・下りの両方合計で10Gbpsと理解しています。

https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/ja_jp/fortinet-ProductMatrix.pdf

お客様環境でアップリンク(インターネット回線収容)を1G×1ポートで接続した場合は、Maxで1Gbpsしか出ないと理解しております。
(契約してる回線帯域が、仮に100Mbpsでしたら、MAX100Mbps)

[969 anonymous@fusianasan 2022/09/18(日) 00:26:10.96 ID:???]

LAGってリンクアグリゲーション？
リンクアグリゲーションじゃなくても
各ポートが10個の独立したゾーンであれば
それぞれのポート（ゾーン）間の通信の送信と受信を足して最大で10Gbpsまで出るスペックですよ。
ってことじゃないかなぁ？
その類のスペックは実運用にはほぼ参考にならんと思うけど。

[970 名無し 2022/09/18(日) 00:38:53.25 ID:???]

>>968
１ポートが1Gbpsなら、全二重通信すると2Gbps換算になるため５ポートかと思います。

[971 anonymous@fusianasan 2022/09/18(日) 01:32:52.72 ID:???]

ファイアーウォールの処理速度とインターフェースの転送速度は別物

[972 anonymous@fusianasan 2022/09/18(日) 04:15:45.89 ID:???]

なお実際は10Gbpsなんてただの理論値であって、精々その1/5ぐらい出れば良いぐらい

[973 anonymous@fusianasan 2022/09/19(月) 11:02:29.05 ID:kT+wlHtt]

>969
ありがとうございます。
リンクアグリゲーションを想定していました。
データシートのスループット表記は、上り・下り合計で最大10Gbpsであると理解しました。

>970
ありがとうございます。理解できました。

[974 anonymous@fusianasan 2022/10/12(水) 23:04:05.00 ID:Hk2ceGZN]

これは、大事かな。

Fortinet製FortiOS、FortiProxyおよびFortiSwitchManagerの認証バイパスの脆弱性（CVE-2022-40684）に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220025.html

[975 anonymous@fusianasan 2022/10/13(木) 00:33:38.00 ID:???]

外部に管理インターフェイスなんて公開しないから問題ないだろ？
社内にスーパーハッカーいるなら知らんけど。

[976 anonymous@fusianasan 2022/10/13(木) 02:28:14.96 ID:g1xJxd/P]

公開するつもりはなくとも公開していたとかはあるだろ。
デフォルトは、adminへのip制限はいってないでしょ。

[977 anonymous@fusianasan 2022/10/13(木) 07:10:42.82 ID:???]

>>976
そんな奴は今回の脆弱性無くても大問題だろｗｗ

[978 anonymous@fusianasan 2022/10/13(木) 12:34:21.67 ID:Wf0pmq9R]

SSL-VPNで443 開けててバイパスされるとやだな。

[979 anonymous@fusianasan 2022/10/13(木) 14:20:02.46 ID:???]

>>978
SSL-VPNのhttpsページは管理インターフェースではないので今回の対象ではないよ

[980 anonymous@fusianasan 2022/10/14(金) 21:30:15.21 ID:FgCOEImN]

これ、うちでもざわついてるわ
FortiSwitchManager って、FortiSwitchとFortiManagerを間違えてるとおもったけど、
こんな製品あるんだね・・・・　

おびっくり。

[981 anonymous@fusianasan 2022/10/14(金) 23:55:24.04 ID:???]

>>977
どんな製品扱わせても大問題間違いなし

[982 anonymous@fusianasan 2022/10/15(土) 19:00:51.12 ID:JpUN4ttv]

SD-WANについて、相談です。
FortiGateは、デフォルトだと出力IFと入力IFが異なる非対称通信はDropしますが、
SD-WANゾーンで束ねているIFに関しても、同じ動作になるのでしょうかね。

SD-WANで収容しているIFがインターネット回線であれば、BGPの世界でISPごとに広報している
グローバルIPが違うので、出力/入力IFが異なるケースは基本ないと考えています。

しかし、広域イーサネットなどの回線を収容していて、対抗のFortiGate(DC側)からインターネットに
抜けさせている構成の場合は、DC側FortiGateのルーテイング次第で非対称にもなりえるので、
どうなるか、気になりました。

[983 anonymous@fusianasan 2022/10/15(土) 21:31:48.33 ID:???]

DC側Fortiのルーティングで非対称になってるんだったら非対称になるから落とされるだけの話では
相手側が非対称ルーティングに対する対策をしてないんだったらこっちからどうこうする事は出来ない気がするけど
対抗の問題であってこっちの通信に関しては非対称にはならないと思うよ

[984 anonymous@fusianasan 2022/10/16(日) 22:02:56.32 ID:oy5iP4vD]

7.0 と7.2系は、7.0.8と7.2.2が出てるね。

[985 anonymous@fusianasan 2022/10/17(月) 19:07:42.69 ID:nQ2oSCit]

>>983
DC側のFGTはセッションテーブルみて、戻すので大丈夫でした！！
ありがとうございました！

[986 anonymous@fusianasan 2022/10/17(月) 23:02:15.30 ID:i5w63i5Q]

タイムサーバーとNTP同期差せると１分遅れるてる。治らん

[987 anonymous@fusianasan 2022/10/18(火) 07:30:04.22 ID:???]

同期先のタイムサーバー変えてみたら？

[988 anonymous@fusianasan 2022/10/18(火) 07:46:49.08 ID:CZXsLgVm]

変えたけどだめ

[989 anonymous@fusianasan 2022/10/18(火) 20:49:51.39 ID:???]

コンソールでntp status 確認してちゃんと同期取れてるなら他にする事はないかなー
あとntpってズレを徐々にあわせてくからひょっとしたらしばらくほっとくとそのうち合うかもしれないと雑な回答してみる

[990 anonymous@fusianasan 2022/10/19(水) 03:04:27.51 ID:???]

何をどう設定してどう確認したとか書かないからただの日記なんですよね

[991 anonymous@fusianasan 2022/10/20(木) 07:38:19.69 ID:xbSuRwU4]

すまぬ。
自然になおってた

機種　200E 2台と100F
いずれも　7.0.6
タイムサーバー　fortinet
ntpサーバーとして機能
時刻同期間隔　60分
システム＞設定　で表示される時刻
1分遅れ

なので

1.タイムサーバーをプロバイダにかえる
（同期間隔を1分にも変更）
→かわらず

2.時刻同期をやめてマニュアル設定に変更
し正しい時刻をいれる
→表示は1分遅れ変わらず。

3.コマンドで時刻設定
→システム＞設定の表示は1分遅れかわらず。

時刻入力枠に正しい時刻が初期値で入っていた
2と3を何回か繰り返したが、変わらずあきらめ

2日後にみたら　システム＞設定
の表示は正しい時刻になってた。

[992 anonymous@fusianasan 2022/11/01(火) 16:30:09.58 ID:???]

これとciscoUmbrellaとどっちがいいのか教えてください
というかそもそも比較する対象なのかどうかもよく分らんです
端末数10台程度の零細企業です

[993 anonymous@fusianasan 2022/11/01(火) 19:46:41.30 ID:???]

バッファローのルーターで充分じゃね

[994 anonymous@fusianasan 2022/11/02(水) 00:05:24.65 ID:???]

というかそんな小規模とすら呼べないレベルのNWにCiscoのお高い企業向けNWサービスとかアプライアンス導入する意味が分からない
知識もない電気店の店員に騙されて高い商品かわされるジジババじゃないんだから

[995 名無し 2022/11/02(水) 01:37:36.77 ID:???]

助成金使うのでは？

[996 anonymous@fusianasan 2022/11/02(水) 05:19:59.74 ID:???]

いやいや
大手の取引先からのセキュリティ監査に引っかかってUTMに準ずるものの設置を求められてるのです
これだけじゃなくてドキュメント類のの不備とか他にも指摘事項がてんこ盛りでてんやわんやです
「おたくの規模は関係ない」という認識で迫られてるので参ってます

[997 anonymous@fusianasan 2022/11/02(水) 06:49:16.48 ID:???]

そら規模は関係ないわな
どこの何使うかは費用との相談じゃない？

[998 anonymous@fusianasan 2022/11/02(水) 07:40:34.58 ID:???]

>>996
そこそこ知識がある専任入れたほうがいいかもしれんね、fw入れるだけですまなそうだし。

[999 anonymous@fusianasan 2022/11/02(水) 09:20:04.27 ID:???]

当然のリテラシーを求められて参ってるだの困ってるだの言うレベルの相手と良く取引するなぁその相手先

[1000 sage 2022/11/02(水) 11:19:01.22 ID:gyIIxYUe]

きちんと、選任の担当者を当てた方が良いでしょうね。
要件もわかりませんし。

要件に合わせた機器選定や設定投入などはお金がかかる話ですし、運用はそれとは別です。
その辺む含めた対策を要求されてるんだと思います


次スレ↓

https://mao.5ch.net/test/read.cgi/network/1667352872/