FortiGateシリーズは、ネットワーク全体を総合的に保護するハードウェアベースの
ネットワーク・プロテクション・ゲートウェイ(NPG)です。
Fortinet社独自開発のABACASTM(Accelerated Behavior and Content Analysis System)
テクノロジと独自のASIC(FortiAsic)ベースアーキテクチャを採用した、次世代
ネットワークプロテクション・アプライアンスです。
ファイアウォール、不正侵入、VPN、トラフィックシェーピングなどネットワークレベル
のサービスに加え、ウィルスプロテクションやコンテンツフィルタリングなどの
アプリケーションレベルのサービス機能も搭載しており、効果的にネットワークを保護します。
FortiGateは、4種類のICSA認定取得をしています。
アンチウイルス、ファイアウォール、IPSec、IDS
セールスポイントは非常に魅力的ですばらしいのですが、
非常に個性的な製品ですので、皆さん助け合って安定稼働に努めましょう。
フォーティネットジャパン
http://www.fortinet.co.jp/
FortiProtect Center
http://www.fortinet.com/FortiProtectCenter/
質問する際には必ずFortiGateの機種、FortiOSのバージョン、 ネットワーク構成・環境を報告してください。
探検
Fortigateについて語ろう5
■ このスレッドは過去ログ倉庫に格納されています
2020/07/05(日) 00:58:45.94ID:???
2021/12/07(火) 22:31:56.06ID:???
セキュリティ構築たんとーさんはだいぶ呑気なもんだな。利便性や運用しらん!セキュリティ高いのが正義!そんな投げっぱな構築やってると顧客減るけど大丈夫?
UTMなんて一番最初に予算削られるとこですよ
UTMなんて一番最初に予算削られるとこですよ
2021/12/07(火) 22:35:35.91ID:???
2021/12/08(水) 00:12:41.66ID:???
今のご時世いの一番にコスト削減するのがUTM周りとか
そんな時代遅れか知恵遅れな顧客はこっちから願いさげですぅ〜
そんな時代遅れか知恵遅れな顧客はこっちから願いさげですぅ〜
2021/12/08(水) 00:14:19.38ID:???
>>570
プライベートCAなりで作ってFortiGateにインポートしたものならコンフィグとして残るのでレストアは可能ですが
ビルトインの方はS/N固有になるのでレストアできないですね
同機種のFortiGateが2台あればすぐ試せるかと思います
プライベートCAなりで作ってFortiGateにインポートしたものならコンフィグとして残るのでレストアは可能ですが
ビルトインの方はS/N固有になるのでレストアできないですね
同機種のFortiGateが2台あればすぐ試せるかと思います
2021/12/08(水) 08:21:02.46ID:???
プライベートCA建てた方がいいとは言われるけど、deep-inspection用の証明書はshow fullで秘密鍵ごと取れるから移せるよ。
2021/12/08(水) 09:22:49.17ID:???
FortigateのIPSテンプレートのhigh_securityってデフォルト状態で運用すると問題ある?
素人考えであれだけどハイセキュリティっていうくらいだからある程度安全性あるのかなって思うんだけど
素人考えであれだけどハイセキュリティっていうくらいだからある程度安全性あるのかなって思うんだけど
2021/12/08(水) 12:37:50.73ID:???
FortigateのUTM機能なんておもちゃレベルじゃないの?
2021/12/08(水) 13:35:44.11ID:???
具体的にどの辺がおもちゃレベルなんでしょうか?
2021/12/08(水) 13:43:10.48ID:???
餅は餅屋と言われるぐらいのおもちやレベル
2021/12/08(水) 13:47:42.89ID:???
Fortinetは餅屋では???
581anonymous@fusianasan
2021/12/08(水) 18:51:38.68ID:ZDOBlCwl2021/12/08(水) 21:43:27.15ID:???
中小企業でしか使われてないわな。fortigate
あとライセンス切れは家庭。
あとライセンス切れは家庭。
2021/12/08(水) 23:32:38.49ID:???
国によって違うけどね
2021/12/09(木) 00:02:22.44ID:???
結局どのあたりがどういう理由でおもちゃレベルなんでしょう??
2021/12/09(木) 00:23:40.39ID:???
それを言わないが、あるんだよと思わせたいパロアルトの思惑
2021/12/09(木) 01:02:40.78ID:???
ひと昔前に比べればだいぶ洗練されてきたけど
デカい案件ではやっぱりパロ使うわ
デカい案件ではやっぱりパロ使うわ
2021/12/11(土) 18:50:54.11ID:???
具体的な技術議論なんて出来ないなんちゃってエンジニアの吹き溜まり
2021/12/11(土) 21:09:35.51ID:???
FortiDDNSの挙動がよくわからん。
故障交換後に「取得可!!」ってなったと思ったのにだめとか
故障交換後に「取得可!!」ってなったと思ったのにだめとか
2021/12/12(日) 01:01:01.56ID:???
>>588
Technical Note: FortiDDNS registration on another device using same FQDN
https://community.fortinet.com/t5/FortiGate/Technical-Note-FortiDDNS-registration-on-another-device-using/ta-p/193328
Technical Note: FortiDDNS registration on another device using same FQDN
https://community.fortinet.com/t5/FortiGate/Technical-Note-FortiDDNS-registration-on-another-device-using/ta-p/193328
2021/12/12(日) 16:25:22.84ID:???
591536
2021/12/12(日) 17:23:18.80ID:???2021/12/12(日) 17:34:16.30ID:???
556です。
httpでもhttpsでも、eicarのあるURIは知れ渡っているので、
Edgeでのダウンロードは、Windows10クライアント側ででブロックされていました。
curlで試して、httpのブロックはうまくいきました。
ダウンロードすると、httpsはそのままzipがローカルに保存できるが、
httpはファイルダウンロードされずにCLIにBlockedのHTMLが表示されました。
あとで、自己署名証明書を入れて、deep-inspectionを有効にして、
curlでもhttpsのダウンロードが検出できるか、試してみます。
httpでもhttpsでも、eicarのあるURIは知れ渡っているので、
Edgeでのダウンロードは、Windows10クライアント側ででブロックされていました。
curlで試して、httpのブロックはうまくいきました。
ダウンロードすると、httpsはそのままzipがローカルに保存できるが、
httpはファイルダウンロードされずにCLIにBlockedのHTMLが表示されました。
あとで、自己署名証明書を入れて、deep-inspectionを有効にして、
curlでもhttpsのダウンロードが検出できるか、試してみます。
2021/12/12(日) 18:13:43.18ID:???
2021/12/12(日) 18:23:09.85ID:???
>>574-575
うちも、クライアントPCに都度CA証明書インストールでも大丈夫な規模ですが、
故障交換時に、再度CA証明書インストールを避けられるなら、避けたいです。
> deep-inspection用の証明書はshow fullで秘密鍵ごと取れる
から移せるとは、どのようにするのでしょうか。
ヒントをいただきたいです。
Openssl等を使って、現用の秘密鍵から自己署名証明書をつくって、取っておく。
代替のFortigateに書き込むと、クライアント側の証明書はそのまま利用できる、
というイメージでしょうか。
うちも、クライアントPCに都度CA証明書インストールでも大丈夫な規模ですが、
故障交換時に、再度CA証明書インストールを避けられるなら、避けたいです。
> deep-inspection用の証明書はshow fullで秘密鍵ごと取れる
から移せるとは、どのようにするのでしょうか。
ヒントをいただきたいです。
Openssl等を使って、現用の秘密鍵から自己署名証明書をつくって、取っておく。
代替のFortigateに書き込むと、クライアント側の証明書はそのまま利用できる、
というイメージでしょうか。
2021/12/12(日) 19:45:46.78ID:???
>>593
>Fortigateを明示的なhttp-proxyとして使えば、
>LAN側のTLS処理が無くなり、負荷が下がると思います。
>CA証明書も不要だけど、クライアントへのProxy設定は別途必要。
FortiGateとPC間がHTTPということであればPCがリクエスト出すときにHTTPでGET要求なりを出す必要があります(サイトのURLがHTTPの必要あり)
それと、HTTPで来たリクエストをFortiGateが受けてHTTPSでリクエストする機能は無かったように記憶しています
バーチャルサーバのSSLオフロードの逆みたいな感じですね(これもできなかったような記憶)
そしてプロキシとして使う場合はASICオフロードは効かないのでパフォーマンスも下がりますね
>Fortigateを明示的なhttp-proxyとして使えば、
>LAN側のTLS処理が無くなり、負荷が下がると思います。
>CA証明書も不要だけど、クライアントへのProxy設定は別途必要。
FortiGateとPC間がHTTPということであればPCがリクエスト出すときにHTTPでGET要求なりを出す必要があります(サイトのURLがHTTPの必要あり)
それと、HTTPで来たリクエストをFortiGateが受けてHTTPSでリクエストする機能は無かったように記憶しています
バーチャルサーバのSSLオフロードの逆みたいな感じですね(これもできなかったような記憶)
そしてプロキシとして使う場合はASICオフロードは効かないのでパフォーマンスも下がりますね
2021/12/13(月) 16:09:44.24ID:???
例えば5555 -> 80でフォワーディングする時って
ポリシーで許可するポートって5555でいいの?それともフォワーディングした後の80にするの?
ポリシーで許可するポートって5555でいいの?それともフォワーディングした後の80にするの?
2021/12/13(月) 20:13:33.61ID:???
試せばいいのでは?
598anonymous@fusianasan
2021/12/13(月) 21:25:19.71ID:m6rSBtT9 カタログのSSLスキャンのスループット凄いと思ったけど
これIPS有効のみの数値?
これIPS有効のみの数値?
2021/12/14(火) 20:53:54.59ID:???
>>596
後
後
2021/12/14(火) 21:27:02.56ID:???
>>599
ありがとう
ありがとう
2021/12/15(水) 13:24:46.12ID:???
さくらいんたのJPRS 990円 SSL証明書って問題なく使えますよね?
2021/12/15(水) 17:26:38.24ID:???
用途によるかと
2021/12/16(木) 15:01:24.19ID:???
7.02です。DoH有効にしてたら、定期的にネットが遮断されてFortigateの管理ページにもつながらなくなります。
偶然フリーズする直前にログインしてたら、メモリが足りないというようなことが表示されていたのですが、
DoHの機能はまだベータ提供ということなのでしょうか?
偶然フリーズする直前にログインしてたら、メモリが足りないというようなことが表示されていたのですが、
DoHの機能はまだベータ提供ということなのでしょうか?
2021/12/17(金) 04:12:46.97ID:???
SSL-VPNでプールアドレスを/24で設定してるんだけど
接続と切断を繰り返すとトンネルIPアドレスを受け取れませんってエラーでて接続できなくなるんですけどどうしてでしょうか??
Fortiを覗いてみる限り何故かセッションが切れずにずっと繋がったままになっててアドレスを握ってるみたいなんですけど
クライアントで接続切った時にセッションも同時に落とす(tunnel-downさせたい)設定とかって無いんでしょうか??
アイドルタイムアウト自体はデフォルトの5分にしてあります
接続と切断を繰り返すとトンネルIPアドレスを受け取れませんってエラーでて接続できなくなるんですけどどうしてでしょうか??
Fortiを覗いてみる限り何故かセッションが切れずにずっと繋がったままになっててアドレスを握ってるみたいなんですけど
クライアントで接続切った時にセッションも同時に落とす(tunnel-downさせたい)設定とかって無いんでしょうか??
アイドルタイムアウト自体はデフォルトの5分にしてあります
2021/12/17(金) 04:19:05.44ID:???
SSL-VPNで付与したIPアドレスをVPN接続切れても開放しないバグがあったようなので問い合わせ or バージョンアップしてみるといいかも
2021/12/17(金) 05:27:10.42ID:???
2021/12/17(金) 06:15:51.97ID:???
2021/12/17(金) 08:20:42.70ID:???
普通はリリースノートを読むと思う
2021/12/17(金) 09:13:42.63ID:???
それが見当たらないから聞いてるんですが^^;
2021/12/17(金) 11:39:08.55ID:???
ちゃんと読んでたら見つかるよ
がんばれ
がんばれ
2021/12/17(金) 13:50:34.86ID:???
2021/12/19(日) 03:54:09.59ID:???
>>611
試してみます。
試してみます。
2021/12/21(火) 06:04:09.27ID:???
2021/12/21(火) 16:30:00.65ID:???
>>613
別にひどくねぇよ
別にひどくねぇよ
2021/12/21(火) 17:46:26.55ID:???
ひどいよ
2021/12/22(水) 14:50:13.08ID:???
なんや?
2021/12/22(水) 15:20:00.82ID:???
>>611
一旦よくなったと思ったんですけどやっぱりダメでした
接続と切断を繰り返すうちに一ユーザだけで何十個もアドレス握っちゃってますね
枯渇した後も以前のセッションが残っていれば既存のセッションを切断して接続しますか?のダイアログがでるようにはなりましたけど新規ユーザはどうしようもないですね
酷いですねこれ(笑)
一旦よくなったと思ったんですけどやっぱりダメでした
接続と切断を繰り返すうちに一ユーザだけで何十個もアドレス握っちゃってますね
枯渇した後も以前のセッションが残っていれば既存のセッションを切断して接続しますか?のダイアログがでるようにはなりましたけど新規ユーザはどうしようもないですね
酷いですねこれ(笑)
2021/12/22(水) 16:45:55.51ID:???
2021/12/23(木) 11:23:43.58ID:???
2021/12/23(木) 23:26:42.17ID:???
うちもtokenと50E/SSL VPNつかってるけどそんな症状でないなぁ
2021/12/24(金) 02:56:44.36ID:???
情報共有どうもです
IPoEで繋げてるのがいかんのですかね……
アドレスプールにv6もいれた方がいいとかあったりします??
IPoEで繋げてるのがいかんのですかね……
アドレスプールにv6もいれた方がいいとかあったりします??
2021/12/24(金) 07:33:07.99ID:???
7.01か
6系ではどこもそんな症状無いなぁ
個人的にはそんなβテスター向けリリース使うからだと思うが…
6系ではどこもそんな症状無いなぁ
個人的にはそんなβテスター向けリリース使うからだと思うが…
2021/12/24(金) 09:26:17.89ID:???
2021/12/24(金) 09:34:58.11ID:???
625.
2021/12/24(金) 21:53:59.57ID:??? 1年毎にアップデート出るけどさー
テストしたんか?
って感じのが初期はアルアルだわ
known issueが育つまで
待って考えてるわw
テストしたんか?
って感じのが初期はアルアルだわ
known issueが育つまで
待って考えてるわw
626anonymous@fusianasan
2022/01/17(月) 21:58:28.05ID:4D5CD1yM 60Fでも、やっぱしpppoeは、遅いんやろか?
200Eでは、それなりにスピードでてる。
200EのCPUは、Celeron G1820 2.7GHz
200Eでは、それなりにスピードでてる。
200EのCPUは、Celeron G1820 2.7GHz
627anonymous@fusianasan
2022/01/17(月) 22:01:15.43ID:4D5CD1yM ちなみに100Dは、Atom D525 1.8GHz
だった
だった
2022/01/18(火) 01:11:01.48ID:???
50EだけどPPPoEで700Mbps出てるよ
もうこれ以上はフレッツ側が限界な気がするけど
700Mbps出てるときもCPU使用率50%くらいだったな
もうこれ以上はフレッツ側が限界な気がするけど
700Mbps出てるときもCPU使用率50%くらいだったな
629627
2022/01/18(火) 08:58:33.57ID:nwoV9p1/2022/01/21(金) 12:13:25.04ID:???
>>628
ちな、セキュリティ機能なしのポリシー利用でpppoeで700mでてcpu50パーってことですか?
ちな、セキュリティ機能なしのポリシー利用でpppoeで700mでてcpu50パーってことですか?
2022/01/21(金) 12:28:42.36ID:???
>>630
IPSとAppコントロール(モニタリングのみ)を有効にして700Mbps出た時にCPU50%
IPSとAppコントロール(モニタリングのみ)を有効にして700Mbps出た時にCPU50%
2022/02/07(月) 13:20:09.11ID:???
Windowsでhostsファイルイジる代わりに、Fortigateに設定することってできるの?
DNSエントリに登録すれば良さげだけど、DNSゾーンとかが分からない…
DNSエントリに登録すれば良さげだけど、DNSゾーンとかが分からない…
2022/02/07(月) 13:24:47.52ID:???
>>632
Workgroup運用でドメイン名がないんだけど、エントリにホスト名とIPアドレスを指定すると、FQDNにドメイン名が補完されちゃう。(とりあえずドメイン名はworkgroupにしてみた)
Workgroup運用でドメイン名がないんだけど、エントリにホスト名とIPアドレスを指定すると、FQDNにドメイン名が補完されちゃう。(とりあえずドメイン名はworkgroupにしてみた)
2022/02/07(月) 14:12:02.97ID:???
TLDがworkgroupのオレオレドメインで運用するなら
fortigateにDNSゾーン作って(fortigateがTLD管理出来るかは知らない。出来なければ適当にドットを1つ以上含むドメインに変更して)、
Windows側はTCPIP設定の詳細設定のDNSタブの検索DNSサフィックスに作ったDNSドメイン記載しとけば
名前解決時に補完(例えばping host1とコマンド打てば、host1.workgroupでDNS問い合わせ)してくれる。
fortigateにDNSゾーン作って(fortigateがTLD管理出来るかは知らない。出来なければ適当にドットを1つ以上含むドメインに変更して)、
Windows側はTCPIP設定の詳細設定のDNSタブの検索DNSサフィックスに作ったDNSドメイン記載しとけば
名前解決時に補完(例えばping host1とコマンド打てば、host1.workgroupでDNS問い合わせ)してくれる。
2022/02/11(金) 14:16:46.74ID:???
オリジナルの業務アプリケーションの通信記録を取るために、
簡単なカスタムアプリケーションシグネチャーを登録したいのですが、
「変更を保存できませんでした」と表示され登録できません。
Fortigate-60E FortiOS v7.0.4 build0301 (GA)
バーチャルワイヤーペアで通信を監視中、プロキシベース、SSL deep-inspection。
クライアントPCのWindows10のルート証明書にFortinet_CA_SSLを登録済みです。
ポリシー&オブジェクト > ファイアウォールバーチャルワイヤーペアポリシーで、
設定したセキュリティプロファイル APP Defaultを設定しました。
ログ&レポート > アプリケーションコントロール で、
宛先IPアドレス(ホスト名)と、アプリケーション名が見られる状態です。
ttps://help.fortinet.com/fortiproxy/11/Content/Admin%20Guides/FPX-AdminGuide/700_Security-Profiles/720_CustomSignatures.htm
を見て、カスタムアプリケーションシグネチャを登録しようとしているのですが、
「変更を保存できませんでした」と表示され登録できません。
簡単に
F-SBID (--name "Original_App" ; --service HTTP; )
としても、登録できないため、シグネチャの構文エラーではないと思われます。
どの辺をいじるとよいか、お分かりの方、よろしくお願いします。
簡単なカスタムアプリケーションシグネチャーを登録したいのですが、
「変更を保存できませんでした」と表示され登録できません。
Fortigate-60E FortiOS v7.0.4 build0301 (GA)
バーチャルワイヤーペアで通信を監視中、プロキシベース、SSL deep-inspection。
クライアントPCのWindows10のルート証明書にFortinet_CA_SSLを登録済みです。
ポリシー&オブジェクト > ファイアウォールバーチャルワイヤーペアポリシーで、
設定したセキュリティプロファイル APP Defaultを設定しました。
ログ&レポート > アプリケーションコントロール で、
宛先IPアドレス(ホスト名)と、アプリケーション名が見られる状態です。
ttps://help.fortinet.com/fortiproxy/11/Content/Admin%20Guides/FPX-AdminGuide/700_Security-Profiles/720_CustomSignatures.htm
を見て、カスタムアプリケーションシグネチャを登録しようとしているのですが、
「変更を保存できませんでした」と表示され登録できません。
簡単に
F-SBID (--name "Original_App" ; --service HTTP; )
としても、登録できないため、シグネチャの構文エラーではないと思われます。
どの辺をいじるとよいか、お分かりの方、よろしくお願いします。
2022/02/11(金) 19:54:06.29ID:???
forticlientを使用したipsec VPNで日本国内のみからの接続に制限したいのですがうまく行きません。
どなたか成功してますか?
どなたか成功してますか?
2022/02/11(金) 20:50:26.43ID:???
>>636
グローバルが一つだと外部に晒したipにポリシーを当てることができないので無理かも。
グローバルが複数なら、一つを外部インターフェースにもう一つをループバックにして、その間の通信に国内のipだけを透過ルーティングするポリシー書いて、ループバックに振ったグローバルでipsecを受けるみたいなことをする必要があったと思います。
グローバルが一つだと外部に晒したipにポリシーを当てることができないので無理かも。
グローバルが複数なら、一つを外部インターフェースにもう一つをループバックにして、その間の通信に国内のipだけを透過ルーティングするポリシー書いて、ループバックに振ったグローバルでipsecを受けるみたいなことをする必要があったと思います。
2022/02/11(金) 21:11:04.42ID:???
>>637
回答ありがとうございます。
こちらのサイトですね
https://milestone-of-se.nesuke.com/product/fortigate/secure-ipsec-vpn-config-sample/
私のの環境ではwan側はpppoeで取得したグローバルipを使用するのですがその場合は無理という事でしょうか?
回答ありがとうございます。
こちらのサイトですね
https://milestone-of-se.nesuke.com/product/fortigate/secure-ipsec-vpn-config-sample/
私のの環境ではwan側はpppoeで取得したグローバルipを使用するのですがその場合は無理という事でしょうか?
2022/02/11(金) 23:14:06.50ID:???
2022/02/12(土) 00:15:31.35ID:???
>>638
LoopbackとバーチャルIPの組み合わせでできる
LoopbackとバーチャルIPの組み合わせでできる
2022/02/12(土) 05:28:48.74ID:???
642anonymous@fusianasan
2022/02/12(土) 09:20:12.16ID:SVd28TV92022/02/12(土) 10:16:16.95ID:???
2022/02/12(土) 11:49:01.46ID:???
local in policyて自分で追加できるのか
いい情報貰った
いい情報貰った
646anonymous@fusianasan
2022/02/19(土) 03:00:36.10ID:Zudi2d7X もしどなたかわかる方いらっしゃれば教えて頂きますでしょうか
■スタティックルート
0.0.0.0/0 wan2
■バーチャルIP
wan1宛 ⇒ DMZ1宛
上記環境で、wan1宛に外から来た通信をwan2ではなくwan1に返す為に
以下設定を追加したのですが、上手くいきませんでした
■ポリシールート
着信インターフェース:DMZ1
宛先GW:wan1のGW
一方で以下設定を追加した場合は上手くいきました
■スタティックルート
"wan1に通信してきた外部のアドレス" "wan1のGW"
上記ポリシールートで通信がうまくいかないい理由はどんな事が考えられるでしょうか?
■スタティックルート
0.0.0.0/0 wan2
■バーチャルIP
wan1宛 ⇒ DMZ1宛
上記環境で、wan1宛に外から来た通信をwan2ではなくwan1に返す為に
以下設定を追加したのですが、上手くいきませんでした
■ポリシールート
着信インターフェース:DMZ1
宛先GW:wan1のGW
一方で以下設定を追加した場合は上手くいきました
■スタティックルート
"wan1に通信してきた外部のアドレス" "wan1のGW"
上記ポリシールートで通信がうまくいかないい理由はどんな事が考えられるでしょうか?
2022/02/19(土) 10:33:38.79ID:???
RPFチェックとかじゃないですかね
2022/02/19(土) 13:51:37.23ID:???
>>646
同じようなことをやろうとして苦労した記憶があります。
自分は結局pbrはあきらめて、
646の構成で言うwan1先にいるルータ側でnaptさせて、
外部ipをwan1の持つipと同セグ(直接接続ルートになるのでスタティックルートもPBRも記載不要になる)に変換させることで対応しました。
同じようなことをやろうとして苦労した記憶があります。
自分は結局pbrはあきらめて、
646の構成で言うwan1先にいるルータ側でnaptさせて、
外部ipをwan1の持つipと同セグ(直接接続ルートになるのでスタティックルートもPBRも記載不要になる)に変換させることで対応しました。
2022/02/19(土) 13:58:25.39ID:???
上記はwan1先にルータがいて自由にさわれることが前提の場合の話です。
また、ルーティング記載不要と書きましたがそれはwan1側の話でwan2側のdgwはもちろん必要です。
あと>>500で自分が似たような質問しているので
参考になるかは微妙ですがどうぞです。
また、ルーティング記載不要と書きましたがそれはwan1側の話でwan2側のdgwはもちろん必要です。
あと>>500で自分が似たような質問しているので
参考になるかは微妙ですがどうぞです。
2022/02/19(土) 16:20:21.71ID:???
ポリシルートを設定するときにはその宛先に対するルーティングテーブルがあることが必要ですがそこは大丈夫でしょうか
651anonymous
2022/02/19(土) 18:33:15.67ID:??? PBRするときはその先にルートがある必要があるから、WAN1とWAN2それぞれに
0.0.0.0/0があるように書いてAD値をWAN2が小さくなるように設定したうえで
PBRすると動くと思うよ。
0.0.0.0/0があるように書いてAD値をWAN2が小さくなるように設定したうえで
PBRすると動くと思うよ。
652anonymous@fusianasan
2022/02/19(土) 18:40:24.80ID:Zudi2d7X653anonymous@fusianasan
2022/02/19(土) 18:45:57.17ID:Zudi2d7X2022/02/19(土) 23:51:59.12ID:???
プライオリティのほうが良いです
ADだとベストパスが消えない限り次点のパスは有効にならないはずなんで
ADだとベストパスが消えない限り次点のパスは有効にならないはずなんで
2022/02/20(日) 07:16:31.03ID:???
自分ならwan1とwan2でvdom分けます。
そうすればwan1がpppoe=ダイナミックゲートウェイの場合でも問題なし。
今回はルータ渡しのようですが、pbrではダイナミックゲートウェイで書けなかった記憶が。
もちろんvdom間を適切に繋いであげる必要があります。
そうすればwan1がpppoe=ダイナミックゲートウェイの場合でも問題なし。
今回はルータ渡しのようですが、pbrではダイナミックゲートウェイで書けなかった記憶が。
もちろんvdom間を適切に繋いであげる必要があります。
656anonymous@fusianasan
2022/02/23(水) 17:02:09.13ID:X0QQHK08 FortiClientVPNでIPSEC接続時に、
クライアント証明書認証はできるのでしょうか。
(できればRadiusを使用したい)
FortiClientVPNには、クライアント証明書を指定する項目があるのですが、
FortiGateのIPSECの認証設定では、"事前共有鍵"か"シグネチャ"しか選択できないので、
もし、ご存じのかたがいらっしゃれば教えていただけないでしょうか。
クライアント証明書認証はできるのでしょうか。
(できればRadiusを使用したい)
FortiClientVPNには、クライアント証明書を指定する項目があるのですが、
FortiGateのIPSECの認証設定では、"事前共有鍵"か"シグネチャ"しか選択できないので、
もし、ご存じのかたがいらっしゃれば教えていただけないでしょうか。
2022/02/23(水) 18:22:16.10ID:???
658anonymous@fusianasan
2022/02/23(水) 22:42:07.58ID:0I80hVM+2022/02/24(木) 00:12:04.70ID:???
良かったです!
660anonymous@fusianasan
2022/02/24(木) 16:58:40.47ID:GXVHCnRd >657
ご回答ありがとうございます!
週末試してみます。
ご回答ありがとうございます!
週末試してみます。
2022/02/26(土) 13:39:55.49ID:???
すみません、fortigate詳しい方にお聞きしたいのですがDHCPv6-PDの再移譲って最新の60Fとかであれば出来ますかね?
フレッツ光ネクストのひかり電話有りの契約で上位WANルーターから/58でもらったprefixを
fortigateで受けて配下のコアスイッチに/60などで再移譲したいと考えています
同じような構成で出来ている等の情報ありましたら教えて頂けると助かります
フレッツ光ネクストのひかり電話有りの契約で上位WANルーターから/58でもらったprefixを
fortigateで受けて配下のコアスイッチに/60などで再移譲したいと考えています
同じような構成で出来ている等の情報ありましたら教えて頂けると助かります
2022/02/26(土) 16:10:03.97ID:???
このあたり見て試してみるとかでしょうか
https://docs.fortinet.com/document/fortigate/6.0.0/handbook/800956/dhcpv6
https://docs.fortinet.com/document/fortigate/6.0.0/handbook/800956/dhcpv6
2022/02/26(土) 18:44:12.65ID:???
情報ありがとうございます!
手元にまだ実機がないので届き次第上のURLを参考に設定してみます
手元にまだ実機がないので届き次第上のURLを参考に設定してみます
2022/02/27(日) 19:35:14.46ID:???
Fortigateでアルテリアのクロスパス使う方法知りませんか?どうも上手く接続出来なくて…
665anonymous@fusianasan
2022/02/27(日) 22:02:52.41ID:KJiUiy31 >>664
Fortigate 楽天ひかりで検索
Fortigate 楽天ひかりで検索
2022/02/28(月) 15:45:35.21ID:???
SSL-VPN WebモードでアドレスのIP部分をいじると
メニューに表示されてないものへもアクセスできてしまうのですが
特定ユーザーだけ
特定のアドレスのものへしかアクセスできないようにしたりは可能でしょうか。
参考になるドキュメントやサイトご存じであればおしえてください。
メニューに表示されてないものへもアクセスできてしまうのですが
特定ユーザーだけ
特定のアドレスのものへしかアクセスできないようにしたりは可能でしょうか。
参考になるドキュメントやサイトご存じであればおしえてください。
667anonymous
2022/02/28(月) 19:18:53.59ID:DDmEBu7f >>666
出来ないと思うよ
IPアドレスじゃなくてIDベースで制御するリモートアクセスとしてIAPって製品分野が出来上がってる
zscaler ZPA, akamai EAP, netskope NPA とかそのあたり
必須要件だったらそういうの検討してもいいかもね
出来ないと思うよ
IPアドレスじゃなくてIDベースで制御するリモートアクセスとしてIAPって製品分野が出来上がってる
zscaler ZPA, akamai EAP, netskope NPA とかそのあたり
必須要件だったらそういうの検討してもいいかもね
2022/02/28(月) 20:31:04.52ID:???
>>666
ポリシーを細かく分ければできないことはないはず
ポリシーを細かく分ければできないことはないはず
2022/03/01(火) 18:17:40.77ID:???
>>666
ユーザーグループ毎などでできるよ
ユーザーグループ毎などでできるよ
670anonymous@fusianasan
2022/03/03(木) 06:16:42.63ID:Fc/N3CGb トラフィックシェイパーについて、教えてください。
設定する事で、下限の帯域は確保しつつ、上限帯域に制限した通信が可能という認識で
間違いないでしょうか。
業務ネットワークと同じネットワーク内で、インスタライブ配信を実施してるんですが
ブロックノイズが出るのがどうしても気になって。
LAN⇔WANのポリシーにトラフィックシェイパー設定して、改善するもんでしょうか。
動画配信の為に、ネットワークを別にした方がいいのか、お知恵をお借りしたく。
回線はN○○PC系です。
プロバイダはIPv6非対応。
設定する事で、下限の帯域は確保しつつ、上限帯域に制限した通信が可能という認識で
間違いないでしょうか。
業務ネットワークと同じネットワーク内で、インスタライブ配信を実施してるんですが
ブロックノイズが出るのがどうしても気になって。
LAN⇔WANのポリシーにトラフィックシェイパー設定して、改善するもんでしょうか。
動画配信の為に、ネットワークを別にした方がいいのか、お知恵をお借りしたく。
回線はN○○PC系です。
プロバイダはIPv6非対応。
■ このスレッドは過去ログ倉庫に格納されています
ニュース
- 中国でインフルエンザ様の未知のウイルス「HMPV」流行の懸念 [パンナ・コッタ★]
- 「なぜ売却したいのか」 USスチール買収で―トランプ次期米大統領 [蚤の市★]
- 【青森】「なんでこんなに除雪入らないのか」「頭にくる」今年1度も除雪が入らない生活道路も… 除雪に9,151件の苦情 ★2 [nita★]
- 【テレビ】中居正広が司会の7日放送『仰天ニュース』 日テレ「明日の放送は適切な対応をいたします」とコメント [冬月記者★]
- 中居正広「違約金10億円」の大誤算…番組もCMも続々中止で弱音「俺はもう芸能人をやめる」★2 [ヴァイヴァー★]
- ケンタッキー「食べ放題」期間限定で開催! [おっさん友の会★]
- 【実況】博衣こよりのえちえち朝くゆ🧪
- 【画像】バスガイドさん、みんな可愛すぎるwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwww [904880432]
- 共産党「党大会決定は行き詰まりを暴き、それを打開する希望ある政策を共産党が持つ事を打ち出した。それを実感したのが選挙の党首討論」 [932029429]
- 源田、妻の衛藤美彩に「弁護士と話して欲しい」と男らしくLINEで伝える
- 【画像】JK「こ、これ本当にお祓いなんですよね///」
- 【ジャンプW杯】高梨沙羅さん、スキー板の長さ違反で失格 [593776499]