X
トップページ通信技術
1002コメント341KB

Fortigateについて語ろう5

■ このスレッドは過去ログ倉庫に格納されています
0001anonymous@fusianasan
垢版 |
2020/07/05(日) 00:58:45.94ID:???
FortiGateシリーズは、ネットワーク全体を総合的に保護するハードウェアベースの
ネットワーク・プロテクション・ゲートウェイ(NPG)です。
Fortinet社独自開発のABACASTM(Accelerated Behavior and Content Analysis System)
テクノロジと独自のASIC(FortiAsic)ベースアーキテクチャを採用した、次世代
ネットワークプロテクション・アプライアンスです。
ファイアウォール、不正侵入、VPN、トラフィックシェーピングなどネットワークレベル
のサービスに加え、ウィルスプロテクションやコンテンツフィルタリングなどの
アプリケーションレベルのサービス機能も搭載しており、効果的にネットワークを保護します。
FortiGateは、4種類のICSA認定取得をしています。
アンチウイルス、ファイアウォール、IPSec、IDS

セールスポイントは非常に魅力的ですばらしいのですが、
非常に個性的な製品ですので、皆さん助け合って安定稼働に努めましょう。

フォーティネットジャパン
http://www.fortinet.co.jp/
FortiProtect Center
http://www.fortinet.com/FortiProtectCenter/

質問する際には必ずFortiGateの機種、FortiOSのバージョン、 ネットワーク構成・環境を報告してください。
0744anonymous@fusianasan
垢版 |
2022/05/11(水) 21:08:00.69ID:???
ライセンスの期限が25年1月までのものがあるんだが
同一モデルで今年ライセンス切れるやつがあって
期限長い方の権利でファーム取得して
期限切れのモデルに入れるとかできるのかな。
ファームに日付埋め込まれてて照合でダメって言われるやつかな?
0746anonymous@fusianasan
垢版 |
2022/05/12(木) 10:12:17.12ID:???
ファーム(OS)の更新は可能
シグネチャーの更新やWebフィルタは利用不可だよ
0747新人君
垢版 |
2022/05/14(土) 04:20:13.54ID:/H9rvSVD
エスパーの皆様
FortiGate transparent modeについて質問させて下さい。
transparent modeでは、L2として動作するのでルーティングは出来ない認識でいます。

そこで質問なのですが、transparent modeでもCLIでStatic route 設定可能なようなのですが、
transparent modeで、Static route の使い道が分からず・・

PC(192.168.1.1)から1.1.1.1に通信させたい場合、transparent modeで実現できるかをご教示頂きたく。
なお、PCに設定しているゲートウエイは、192.168.1.254で、PCにスタティックルート設定はなしが条件となります。
.1 .10 192.168.1.254/24
PC--------FG---------RT1
|
| 192.168.1.253/24
RT2
| 1.1.1.1/32
0748新人君
垢版 |
2022/05/14(土) 04:21:52.53ID:/H9rvSVD
すみません、構成図がずれてました・・・
.1     .254    
PC--------FG---------RT1
     |
     | 192.168.1.253/24
     RT2
     | 1.1.1.1/32
0749新人君
垢版 |
2022/05/14(土) 04:24:12.83ID:/H9rvSVD
ずれちゃう・・・
RT1 192.168.1.254/24
RT2 192.168.1.253/24
RT2 1.1.1.1/32(loopback)
です。。連投すみません。
0750anonymous@fusianasan
垢版 |
2022/05/14(土) 08:29:39.03ID:???
Transparentモード使った事ないから知らんけど(じゃぁ答えるなって言われそうやけど)
普通に考えるとそれはFortigate自信がip通信する際に参照するルーティングテーブルじゃないの?

fortigateまたぐL2通信に関係無いやろ?
0752anonymous@fusianasan
垢版 |
2022/05/14(土) 13:45:19.50ID:???
ルーター間が通信できていればポリシーが許していれば通信可能ですよ

FGTのルーティングは他の人が書いている様に管理用
普通の環境だとFGTがインターネットに出られないとシグネチャーが更新できないからデフォルトルートを設定するよ
0753新人君
垢版 |
2022/05/14(土) 14:00:59.96ID:/H9rvSVD
エスパーの皆様

有難うございます!
0754anonymous@fusianasan
垢版 |
2022/05/14(土) 14:18:08.37ID:???
必要な設定をなしが条件となりますって言われても…
エスパーの皆様って煽りもやめたほうがいいよ。
0755aho
垢版 |
2022/05/14(土) 14:44:27.47ID:???
NAT使えよNAT
0756anonymous@fusianasan
垢版 |
2022/05/14(土) 19:57:41.86ID:???
>>747
他の方が回答出しちゃってますが
試しに構成を作ってみました。

RT1はFGTのWAN側でRT2はLAN側のポート接続ですよね?
RT1に1.1.1.1向けのルーティングがあれば繋がりますね。

また、FGTのルーティングをRT2向け、PCのデフォルトGWをFGTしてもPCから1.1.1.1繋がらないので、他の方がおっしゃってる通りFGTのルーティングはFGT本体の通信用ですね。
0757新人君から進化した
垢版 |
2022/05/20(金) 19:16:36.95ID:XkQ5QeX7
>>756
求めいていた回答です。
PCでFortigateをゲートウエイにしても1.1.1.1に繋がらないのですね。

トランスペアレントの場合、完全にFrotigate自身のルーティングであること、理解できました。

アザマス。
0758anonymous@fusianasan
垢版 |
2022/05/22(日) 14:34:48.80ID:???
少し質問させたください。

少し特殊な環境での構成になるのですが、
WAN接続の無いfortigateのLANポート(192.168.0.1)に、
WAN接続のあるRT@(192.168.0.11)と、
同じくWAN接続のあるRTA(192.168.0.12)が接続されています。

fortigateのデフォルトルートはRT@に向いており、
fortigate自身のDNSやfortiguard等の通信を含め、全てRT@経由でWANに抜けて行きます。
そこまではいいのですが、
RTAではRTAのWAN(pppoe)に外部から着信したhttp,https,icmpのパケットを
静的NAPTでfortigate(192.168.0.1)に転送するように設定されています。
しかしこのままでは、fortigateは返信パケットをデフォルトルートに従いRT@(192.168.0.11)に送信してしまいます。

何とかしてfortigateから発信する一部のプロトコル、ポートを持った通信をデフォルトルート以外に転送することは可能でしょうか。

PBRで色々試してみましたが上手くいきません。
0760anonymous@fusianasan
垢版 |
2022/05/22(日) 17:53:44.26ID:???
>>758
SD-LAN?として、LAN側インターフェイスをsd-wanインターフェイスにぶちこんで。
sdwanルールで書くとかどーお?
0761anonymous@fusianasan
垢版 |
2022/05/22(日) 18:51:49.18ID:iiGUU5Gm
>>758
Fortigateというより一般的な戻りルートの問題なので
この場合RT①と②では一般的な静的NAPT(Fortigate LAN1に着信するパケットは送信元IPがグローバルIP)ではなく
Ciscoでいう双方向NAT(Fortigate LAN1に着信するパケットは送信元IPが192.168.0.11や12になる)を使うしかないと思います。
0762anonymous@fusianasan
垢版 |
2022/05/22(日) 19:05:23.87ID:???
回答ありがとうございます

>>759
FortiManagerに属してるのでVDOM使うと別途ライセンスがいるのです・・・

>>760
試してみましたがPBRと同様に設定したルール道理には動けませんでした。

>>761
たしかにNATを使ったほうが楽なのかもしれません。
動的NATか、逆側IPマスカレードで試してみます。
0763anonymous@fusianasan
垢版 |
2022/05/22(日) 19:20:30.67ID:???
>>758
192.168.0.0にもう一個インターフェイスだしてSD-WANかな。
RT2のNAPT先をもう一つのインターフェイスにすれば多分RT2に帰ってくれる。
FortiManagerは触ったことないから知らん。
0764anonymous@fusianasan
垢版 |
2022/05/22(日) 22:29:43.09ID:37JwvNHh
初心者ですがlonkmonitorについて質問です

https://docs.fortinet.com/document/fortigate/6.0.0/handbook/252877/remote-link-failover
上記構成で記載の設定+左のfortigateを高プライオリティ、overrideを設定した場合ですが、障害箇所が復旧しているかに関わらずpingserver-flip-timeout 分経過すれば切り戻ってしまう認識ですが、それを止める設定は何かあるでしょうか

flip-timeout が経過した際にプライマリ選定を行い、左がプライマリに戻ってしまうため通信断が起きるのを避けたいです。
0765anonymous@fusianasan
垢版 |
2022/05/22(日) 23:05:13.57ID:iiGUU5Gm
>>764
flip-timeoutを最大値2147483647min=4083年にしておけばとりあえず自動で切り戻らなくなるのでは。使ったことないけど。

切り戻したいタイミングで手動で1にして、切り戻してからまた最大値にする運用すれば目的に近いということで。。。
0766anonymous@fusianasan
垢版 |
2022/05/23(月) 00:23:36.26ID:???
>>765
回答ありがとうございます。
時間長くすればその間は切り戻らないのはそうなのですが、復旧してるなら最短で切り戻したいということでして、、

あまり資料も見つからず、使われていない設定なのですかね
0768anonymous@fusianasan
垢版 |
2022/05/23(月) 02:43:57.60ID:???
>>767
それって送信元のスタティック書くだけ?だったら、ここに質問しなくね?
0769anonymous@fusianasan
垢版 |
2022/05/23(月) 13:42:35.81ID:???
>>767
>>768

送信元が固定ならスタティックで何とかなったのですが、動的IPなので難しいです

一応、逆NAPTでRTAのWANからくるfortigate宛のパケットの送信元をRTAのLAN側IPに変換して一応解決しました。

ありがとうございます
0770anonymous@fusianasan
垢版 |
2022/05/24(火) 12:55:18.86ID:???
>>766
sdwanがあるし、linkmonあんま使われないと思う。お力になれずスマン
0771anonymous@fusianasan
垢版 |
2022/05/25(水) 22:32:24.18ID:fsAGyccO
linkmonitorがどうかに頭使うより
使わんように頭と金使う方がみんな幸せな気がする
0773anonymous@fusianasan
垢版 |
2022/05/26(木) 14:03:15.24ID:mnA+KO/f
おっしゃる通りです
失礼しました
0774anonymous@fusianasan
垢版 |
2022/05/27(金) 08:41:10.67ID:???
v6ブラスからのIPv6-RAをfortigateを介してLANに流しているはずなのだが、iPadだけIPv6で通信できない。IPv6グローバルアドレスは割り振られているのに…
MS-WindowsとAndroidはIPv6で通信できるのに…

iPadは何が気に入らないのだろう?
0776anonymous@fusianasan
垢版 |
2022/05/29(日) 23:28:19.98ID:???
トラシューでログとか見れない人だったら、ぶっちゃけバッファローとか使ったほうがいいっすよ
0777anonymous@fusianasan
垢版 |
2022/05/30(月) 01:28:58.10ID:???
>>776
解決案も出さない癖に、他機種をすすめるような煽りするのは病院おすすめする

>>774
ドロやあいぽんで可能ならば、ipad側v6の何らかじゃないかい?fortidocsやらで探って見つかんなきゃ、キャプチャしてみるしかないな
0780anonymous@fusianasan
垢版 |
2022/05/30(月) 23:10:45.52ID:???
ドキュメント読んだり、ログ見たり、パケットキャプチャ取って確認したりでやることはいろいろあるんだけど
ここで質問する人は一発で解決する答えを聞きに来てる感じだからそのあたりの解析作業をすることはほぼない
0781anonymous@fusianasan
垢版 |
2022/05/31(火) 09:27:33.00ID:???
質問自体が低レベルな奴は煽られるのが5ch
ここは煽られながら情報を得る所だ
0782anonymous@fusianasan
垢版 |
2022/06/02(木) 08:16:26.16ID:???
大原則、趣味で中古買ったなら自己解決が基本
仕事で納めるために買ったならサポートに聞くとかできるだろ、Fortiなら図研かSBだろ?
0783anonymous@fusianasan
垢版 |
2022/06/02(木) 12:30:43.05ID:9588vqFk
教えたがりがいるし、別にいいとおもうけど。ここで聞いたって。
0784aho
垢版 |
2022/06/02(木) 19:43:37.95ID:???
v7.0行こうぜ
0785anonymous@fusianasan
垢版 |
2022/06/02(木) 20:41:27.89ID:???
在庫なくね?
scskとか大手からは即入できるのかな
0786anonymous@fusianasan
垢版 |
2022/06/03(金) 07:11:10.01ID:???
>>785
scskで40fなら納期2週間ほど。
80fまではそれなりに在庫ありました。
値上げすごいけど。
0787774
垢版 |
2022/06/04(土) 05:05:12.64ID:???
みんなありがとう

時間が取れたので調べました
とりあえず以下の事象が判明したので、サポートへ投げてみました

1.iPad のみ、wan 側の IPv6 アドレス宛に ping を飛ばすと応答パケットが Fortigate 内で止まり internal 側へ送出されない
2.iPad に割り振られた IPv6 アドレスのみ Fortigate の route table に登録されていない
  Windows と Android に割り振られたアドレスは、"diagnose ipv6 route list" コマンドで経路情報が表示される

https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-jpne-v6plus.pdf
については、設定しているつもり
ただ、config firewall policy の srcintf と dstintf は書式が違うはずで、internal->wan1しか許してはいけないのではないかな
0788anonymous@fusianasan
垢版 |
2022/06/12(日) 09:06:01.36ID:/TrsoRsS
サポートの回答はどうでしたか?
0789774
垢版 |
2022/06/12(日) 10:50:18.69ID:???
バージョン7.2.0は上げすぎでサポートしないので、7.0.5に下げろとか
0790anonymous@fusianasan
垢版 |
2022/06/13(月) 01:04:54.49ID:???
>>783
解決のための相談に乗ってくれる人はいる
でも、相談者は調査方法じゃなくてダイレクトに答えがほしいだけだからね
調査しないとその答えが出ないですよってことを相談者はなかなか理解してくれない
0791anonymous@fusianasan
垢版 |
2022/06/15(水) 14:52:42.21ID:???
まだ日本の代理店サポートに期待してるの?
最新版には追従できず古いバージョンしかサポートできない連中だよ
0792anonymous@fusianasan
垢版 |
2022/06/15(水) 19:24:16.01ID:???
Fortiの最新版はバグ多いからな
v7.2系とか現状オープンベータ版みたいなもん
何で複数メジャーバージョンでアップデート出してるのか知らん無知が増えたな
0793anonymous@fusianasan
垢版 |
2022/06/15(水) 20:48:55.32ID:???
開発したメーカーですらまともに対応出来ませんからww
0794anonymous@fusianasan
垢版 |
2022/06/16(木) 00:04:43.41ID:???
>>793
メーカーですら対応出来ない問題も報告、解析してくれるコミュニティもあっての新ファームだしな
問題はメーカーに丸投げ的な考えの多そうな日本人向けではないけど
0795anonymous@fusianasan
垢版 |
2022/06/17(金) 12:24:19.17ID:???
保守無しでファーム手に入んないのかよ!
そう思うとメジャーバージョンアップすら無料のWindowsは神だな。
0796sage
垢版 |
2022/06/17(金) 13:03:43.29ID:???
マルチVDOM環境でVDOM作って
配下のvdomでWebフィルタリングの詳細設定しようとすると

スタティックURLフィルタのところで
--------------------
無効なURLをブロック
URLフィルタ
FortiSandboxにより検知された悪意のあるURLをブロック
コンテンツフィルタ
--------------------
あるはずが
「URLフィルタ」と「コンテンツフィルタ」が表示されなくなるんだけどなんで?
FG50E
6.2.10 build1263 (GA)なんだけど
0798anonymous@fusianasan
垢版 |
2022/06/22(水) 22:32:03.85ID:gqCCrR07
ちょっと教えてほしい。
FortiGateでIPSEC-VPN冗長構成を検討している。

DC側は、ISP-A,ISP-Bの2回線。RT#1,RT#2はBGPしゃべってなくて、単純に回線収容してるだけ。
拠点側FGは、DC側FGのISP-A,ISP-Bグローバル向けのIPSECピアを2つ設定。(local idをメイン、バックアップで設定)
DC側FGは、拠点向けにset peertype oneで、メイン、バックアップを設定。
DC側FGは、フローティングスタティックを使って、通常時はデフォルトルートをISP-A、障害時はISP-Bとする。
ここまではいいんだけど、ここから先が疑問。

通常時、拠点FGから、ISP-BのグローバルIPに対してVPNトンネルを張りに来た際に、VPN応答はISP-A回線経由で返してしまうはず。
そこで、FortiGate自発パケットに対してローカルPBRが実装できれば解決できると思ったんだけど、実装できなそう・・・・

こういう構成の時って、どうやるのが好ましいのかな・・
まぁ、VPNトンネル張るだけだから、ISP-A経由で戻してもそこのバックボーン内で送信元ISP-BのIPが拒否されていなければ、
問題は発生しないとは思ってるけども。
[拠点FG]
||
[インターネット]
|   |
|  |
ISP-A ISP-B
|   |
|   |
RT#1 RT#2
|   |
|  |
wan1 wan2
[ DC側 FG]
0800anonymous@fusianasan
垢版 |
2022/06/22(水) 23:36:49.18ID:???
DC側FGで拠点側ISP-Bのグローバル宛ホストスートをwan2に指定する
0801anonymous@fusianasan
垢版 |
2022/06/22(水) 23:50:22.73ID:???
>>798
検証はしてないから正確では無いかも知れんが
FortigateのIPSecピアは個別に出力インターフェースが設定出来るから
出力インターフェースごとにルーティングされると思われる

IPSecピアごとの出力インターフェース指定とか普通のルーターには無いし

VPN通信自体が使うIPSecピアの切り替えはSD-WANやらリンクモニターやらルーティングプロトコルやらを適当にやればどうにかなるはず
0802anonymous@fusianasan
垢版 |
2022/06/23(木) 00:00:33.12ID:???
通常は着信したインターフェースから返す仕様
なのでwan2に着信があったらwan2から返す
フローティングスタティックの設定が具体的にどうなってるかわかんないけど
wan2側もルーティングテーブルがないと
RPFチェックで落ちると思うのでそのあたりは要確認
0803anonymous@fusianasan
垢版 |
2022/06/23(木) 08:11:57.77ID:oaTYYQXh
ありがとう!
検証してみる!
0804anonymous@fusianasan
垢版 |
2022/06/23(木) 12:49:45.15ID:???
設定に困ったとき相談できる窓口があるサポート会社はどこ?
0807anonymous@fusianasan
垢版 |
2022/06/24(金) 12:33:22.14ID:???
>>805
ほんと?
2社と契約しているが、障害対応は受けるが今から設定する内容の相談は営業窓口って言われるぞ
保守窓口で答えてくれることもあるが突っ込んだら営業へとなる
0811anonymous@fusianasan
垢版 |
2022/06/24(金) 18:17:09.29ID:???
もしかしてファームのアップとか設定変更とか保守?
修理点検のみ?
いろんな捉え方あり?
それとも俺の思っている保守内容が世界共通?って人か?
0812anonymous@fusianasan
垢版 |
2022/06/24(金) 18:46:20.68ID:???
どこまで対応してもらえるのかは契約内容確認すればいいんじゃないでしょうか
0813anonymous@fusianasan
垢版 |
2022/06/24(金) 19:03:31.25ID:???
保守の意味は辞書通りに決まってる
保守範疇は契約内容によって違う

当たり前だろ

これがごっちゃになってて話が通じてない
0816anonymous@fusianasan
垢版 |
2022/06/24(金) 21:13:04.30ID:???
>>804
導入時にできてたことがなにもしてないのにできなくなったのなら保守窓口。
新しいことをやるなら予算用意して営業に連絡。
金出さないやつが聞ける場所はこことヤフー知恵袋。
0817anonymous@fusianasan
垢版 |
2022/06/24(金) 21:17:05.62ID:???
ソフトバンクはQA技術支援も含むって書いてあるけど、
費用浮かすために技術もないくせに自前で構築しようとして何とも行かなくなってメーカーサポートに設計紛いの質問するのはルール違反だと思う。
0818anonymous@fusianasan
垢版 |
2022/06/24(金) 22:14:28.87ID:???
正直メーカーに連絡するよりシステムベンダに依頼すべきじゃね

メーカーの営業経由でベンダー紹介してもらってもいいけどさ
0819anonymous@fusianasan
垢版 |
2022/06/25(土) 06:34:07.03ID:???
そのシステムベンダーですが、メーカーサポートに
技術的な質問してもたいした答えは返ってこない。
0820anonymous@fusianasan
垢版 |
2022/06/25(土) 08:23:35.10ID:???
ソフトバンクはやるのかな?
せめてコマンドマニュアルとか設定例くらいメーカーで普通に公開してほしいな(日本語で)
あと導入してもよいファームもサポート会社で違うのも面倒だわ
ファーム何使うのが良い?ってくらいの質問でも同じサポート会社でも答える時と答えない時あるし
柔軟に対応しているとも言えるが

でもここにかいている奴ら、保守と保守契約なんて言うのに
メーカーとパートナーと販売店とシステムベンダー区別してないのか?
メーカーは直接サポート契約しないからメーカーサポートと窓口持っているのは限られてるぞ
俺はメーカーの人と話したことはあるがサポートを依頼したことはないな(依頼しているのを目撃したことはある)
0821,
垢版 |
2022/06/25(土) 09:40:59.83ID:???
いったいどこのワンオペ病院
逆ギレすんな
0822anonymous@fusianasan
垢版 |
2022/06/25(土) 09:54:30.76ID:???
聞けるところにはダメもとでも聞いてみるってのはいいと思うけどな

ただ、相手が答えやすい様な質問・状況は準備した方が良いとは思う。
・商談には関係ない別件の質問だけど、協業途中だから相手に無視させにくい状況で聞くとか
・アンサーを求めるんじゃなくて、気づいたことないですかね?っていうあくまでヒントをもらうとか
 (材料準備したからやってくれ じゃなく ここんところどう切ったらいいですかね 的な)
結局ディストリビューターのバックエンジニアだって自分のやったことないのは
自社のサポートDBみたいなの調べるしかないし、それで見つかんなきゃ
ちょっとググって無さそうならシラネって言いたいだろうし

自分はファームバージョン選定の時は仕入れたディストリビューターの窓口に
「貴社がサポートが可能とする、推奨バージョンは何ですか?」ってメールで聞く。
なんか起こった時に巻き込みやすいかなって。
0823anonymous@fusianasan
垢版 |
2022/06/25(土) 11:50:07.49ID:???
>>822
ファーム同じようにメールで聞いたことあるよ
今新規ならこれって教えてくれるときもあれば
推奨は特に無いよと言われたこともある
相手次第だよな
0824anonymous@fusianasan
垢版 |
2022/06/26(日) 01:10:10.88ID:???
セキュリティベンダの推奨は基本は最新OS / 最新パッチだよ
それ以外答えようはない
0826anonymous@fusianasan
垢版 |
2022/06/26(日) 06:37:00.41ID:???
日本のベンダーは自前で動作チェックしたものだけ公開してるから、メーカーの最新とは限らない。
それでわかるだろ。
0828anonymous@fusianasan
垢版 |
2022/06/26(日) 15:00:59.71ID:???
>>824
枯れたメジャーバージョンの最新セキュリティアップデート版が推奨されるだろ
最新メジャーバージョンとかまともなセキュリティーベンダーなら推奨しない
0829anonymous@fusianasan
垢版 |
2022/06/26(日) 19:03:20.17ID:???
>>824
どこがそんな回答してくれたのか知りたい
今契約しているところは指定バージョン以外を入れたら保守対象外と言われた
しかも指定バージョンが無茶苦茶古く6.2とか言うし
そんなんが最初なら乗り換えたいわ
どこが7.2とか7.4やってくれる?
0830anonymous@fusianasan
垢版 |
2022/06/26(日) 19:55:14.57ID:???
>>829
さすがに6.2は古いな
自分の取引してる所の代理店は出荷が6.4系、サポートが6.2,6.4,7.0系になってるわ
7.0系も最近になって7.0.5あたりでサポートし出した感じ
0831anonymous@fusianasan
垢版 |
2022/06/26(日) 19:59:23.52ID:???
>>830
ちなみに最新OSはメモリリークしたり機能バグする多いからほぼバグテスターのようなもん
7.2系なんかバグったら公式フォーラムでサポート依頼しながらバグ前提で使うもんだから普通の代理店はサポートとか期待しないわ
0832anonymous@fusianasan
垢版 |
2022/06/26(日) 20:08:17.90ID:d3w6xT8i
7.2はまだ怖いなー
自分の経験上だけど、Patch3以降ぐらいからじゃないかなー、導入奨められるのは。
中には、Patch5ぐらいじゃないと、怖いバージョンもあるかもだけど。
0833anonymous@fusianasan
垢版 |
2022/06/27(月) 06:46:07.63ID:???
>>829
6.2までのモデルもあるけどそれじゃなくてか?
それ以外だと6.2は標準サポート終了して延長サポート突入済み
0834anonymous@fusianasan
垢版 |
2022/06/27(月) 14:34:02.69ID:5Y8wE/h6
上の方でFortiGate+どこかのAPを使ってiPhoneがIPv6で外に抜けないと言ってる人がいたけどウチでも同様になってる。
Windows PC2台とAndroid3台はIPv6で外に抜けるしIPv4もDS-Liteで使えてる。
ちなみにiPhoneでもIPv4はDS-Lite(IPv4 over IPv6)で使えてる。

環境は下記の通り。
・FortiGate 60E(7.0.6)ちなみに7.2.0でも同様だった。
・NTT西+朝日ネット(IPoE + DS-Lite)IP非固定
・iPhone SE2(15.5),iPhone XS(15.5),iPad mini2(12.5.5)

https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-internet-multifeed-ipoe-ds-lite_fos702.pdf
この辺のFortinetの資料はOCN IPoEのものやアルテリアのものも参考にしていて、WAN固定IPサービス部分を除き同じ事を実施済み。

iPhoneはIPv6アドレスを取得していて、PCとiPhone間でv6でのICMPは疎通OK
しかしiPhoneから外向けのv6アドレスにはping疎通NG

iPhoneやAndroidはinternal側の同一サブネットにいるためF/Wポリシーも同一。
ちなみにiPhoneでも下記設定を施したRTX1200配下からはv6アドレスで外に抜けていたし今戻してみてもちゃんとv6を使用できた。
https://network.yamaha.com/setting/router_firewall/flets/flets_other_service/ipv6_ipoe

FortiGate 60Eの何らかの設定が足らないか過剰なのか不明だけどFortiGate+iPhone(iOS)ならではの問題がありそうなのは確か。
0835anonymous@fusianasan
垢版 |
2022/06/27(月) 15:08:27.68ID:???
デバッグログ、パケットキャプチャみて調査するしかないんじゃないでしょうか
うちはiPhone13 miniで問題なくIPv6で繋がってます(7.0.6、test-ipv6で10/10)
nd-proxyとIPv6 firewall policyがあればいいはず
0836834
垢版 |
2022/06/27(月) 16:26:19.56ID:5Y8wE/h6
>>835
ありがとうございます。

v6のポリシーは上記URLのPDFのものと同じなんですが足らないんですかね。。
その他関係ありそうなところで今設定してるのは下記くらいです。

FGT60E # show system nd-proxy
config system nd-proxy
set status enable
set member "wan1" "internal"
end

FGT60E # show system interface wan1
config system interface
edit "wan1"
set vdom "root"
set type physical
set role wan
set snmp-index 1
config ipv6
set ip6-allowaccess ping
set dhcp6-information-request enable
set autoconf enable
set unique-autoconf-addr enable
end
next
end

wan1がRAで取得したv6アドレスにinternalのPC,Androidからはping通るけど
iphoneからは通らないのがそもそもの問題な気がしてきた。
0837anonymous@fusianasan
垢版 |
2022/06/27(月) 17:31:09.77ID:6lJlu2iS
教えてください。
FortigateでSSL-VPNのサーバ証明書をFortigateのWebGUIのLetsEncryptから生成出来ると思います。
この証明書は3ヶ月で期限切れになりますが、自動更新は出来るのでしょうか?
同一ドメイン作成はできないようなので、自動更新ができない場合、一旦既存の証明書を削除して作り直しするしかなさそうですが。。
0838834
垢版 |
2022/06/27(月) 19:45:32.49ID:5Y8wE/h6
分かった事はiPhoneからFortiGate 60Eのwan1のv6アドレスに一度pingを実行すれば、外にあるWebサーバのv6アドレス宛にもpingが届きHTTPアクセスもOKでv6アドレスがApacheのログに記録される。
しかし、iPhoneのWi-Fiを一度OFFにして再度ONにした後にiPhoneが新しいv6アドレスを取得するとまたping NGになる。
で、またFortiGate 60Eのwan1にpingを実行した後にはまた疎通OKになるというループ。

何かND-Proxyの動きがおかしいようなルートがおかしいような。
でもこんな動きするのiPhoneだけだしなぁ。

FortiGateに設定しているStatic routeはDS-Lite向けのipv4のvne.rootトンネル向けだけであり、ipv6のStatic routeは未設定。
でもFortiGate自身やiPhone以外は問題が出ていないという状況です。
0839anonymous@fusianasan
垢版 |
2022/06/27(月) 20:04:37.79ID:???
プライベートアドレスにしていてMACアドレス変わったけどネイバーテーブルが更新されてないとかあるのかも
まわりの状況だけだと判断つかないので、デバッグログ取ったりパケットキャプチャ取ったりしてご自身でログを確認されることをおすすめします
0841anonymous@fusianasan
垢版 |
2022/06/27(月) 21:38:54.66ID:???
>>838
騙されたと思ってiPhoneのWi-Fi設定のプライベートWi-FiアドレスをOFFにしてみるのだ
0842834
垢版 |
2022/06/28(火) 10:01:42.69ID:utqQV6JZ
iPhoneのプライベートWi-FiをOFFった状態でも上記と全く同じ現象でした。
疎通NGの際のログには発信は数バイトあるけど着信は0バイトという現象。

キャプチャは取って中身見てみたけどAndroidとは違う流れになっている事は分かったもののもう少し時間かけて調べてみます。
0843837
垢版 |
2022/06/28(火) 11:31:29.63ID:Pi3bkKB4
>>837
なんか今日見たら更新されてました。
勝手に自動更新になるんですかね。。
■ このスレッドは過去ログ倉庫に格納されています
ニューススポーツなんでも実況