Fortigateについて語ろう5
■ このスレッドは過去ログ倉庫に格納されています
FortiGateシリーズは、ネットワーク全体を総合的に保護するハードウェアベースの ネットワーク・プロテクション・ゲートウェイ(NPG)です。 Fortinet社独自開発のABACASTM(Accelerated Behavior and Content Analysis System) テクノロジと独自のASIC(FortiAsic)ベースアーキテクチャを採用した、次世代 ネットワークプロテクション・アプライアンスです。 ファイアウォール、不正侵入、VPN、トラフィックシェーピングなどネットワークレベル のサービスに加え、ウィルスプロテクションやコンテンツフィルタリングなどの アプリケーションレベルのサービス機能も搭載しており、効果的にネットワークを保護します。 FortiGateは、4種類のICSA認定取得をしています。 アンチウイルス、ファイアウォール、IPSec、IDS セールスポイントは非常に魅力的ですばらしいのですが、 非常に個性的な製品ですので、皆さん助け合って安定稼働に努めましょう。 フォーティネットジャパン http://www.fortinet.co.jp/ FortiProtect Center http://www.fortinet.com/FortiProtectCenter/ 質問する際には必ずFortiGateの機種、FortiOSのバージョン、 ネットワーク構成・環境を報告してください。 ライセンスの期限が25年1月までのものがあるんだが 同一モデルで今年ライセンス切れるやつがあって 期限長い方の権利でファーム取得して 期限切れのモデルに入れるとかできるのかな。 ファームに日付埋め込まれてて照合でダメって言われるやつかな? ファーム(OS)の更新は可能 シグネチャーの更新やWebフィルタは利用不可だよ エスパーの皆様 FortiGate transparent modeについて質問させて下さい。 transparent modeでは、L2として動作するのでルーティングは出来ない認識でいます。 そこで質問なのですが、transparent modeでもCLIでStatic route 設定可能なようなのですが、 transparent modeで、Static route の使い道が分からず・・ PC(192.168.1.1)から1.1.1.1に通信させたい場合、transparent modeで実現できるかをご教示頂きたく。 なお、PCに設定しているゲートウエイは、192.168.1.254で、PCにスタティックルート設定はなしが条件となります。 .1 .10 192.168.1.254/24 PC--------FG---------RT1 | | 192.168.1.253/24 RT2 | 1.1.1.1/32 すみません、構成図がずれてました・・・ .1 .254 PC--------FG---------RT1 | | 192.168.1.253/24 RT2 | 1.1.1.1/32 ずれちゃう・・・ RT1 192.168.1.254/24 RT2 192.168.1.253/24 RT2 1.1.1.1/32(loopback) です。。連投すみません。 Transparentモード使った事ないから知らんけど(じゃぁ答えるなって言われそうやけど) 普通に考えるとそれはFortigate自信がip通信する際に参照するルーティングテーブルじゃないの? fortigateまたぐL2通信に関係無いやろ? ルーター間が通信できていればポリシーが許していれば通信可能ですよ FGTのルーティングは他の人が書いている様に管理用 普通の環境だとFGTがインターネットに出られないとシグネチャーが更新できないからデフォルトルートを設定するよ 必要な設定をなしが条件となりますって言われても… エスパーの皆様って煽りもやめたほうがいいよ。 >>747 他の方が回答出しちゃってますが 試しに構成を作ってみました。 RT1はFGTのWAN側でRT2はLAN側のポート接続ですよね? RT1に1.1.1.1向けのルーティングがあれば繋がりますね。 また、FGTのルーティングをRT2向け、PCのデフォルトGWをFGTしてもPCから1.1.1.1繋がらないので、他の方がおっしゃってる通りFGTのルーティングはFGT本体の通信用ですね。 >>756 求めいていた回答です。 PCでFortigateをゲートウエイにしても1.1.1.1に繋がらないのですね。 トランスペアレントの場合、完全にFrotigate自身のルーティングであること、理解できました。 アザマス。 少し質問させたください。 少し特殊な環境での構成になるのですが、 WAN接続の無いfortigateのLANポート(192.168.0.1)に、 WAN接続のあるRT@(192.168.0.11)と、 同じくWAN接続のあるRTA(192.168.0.12)が接続されています。 fortigateのデフォルトルートはRT@に向いており、 fortigate自身のDNSやfortiguard等の通信を含め、全てRT@経由でWANに抜けて行きます。 そこまではいいのですが、 RTAではRTAのWAN(pppoe)に外部から着信したhttp,https,icmpのパケットを 静的NAPTでfortigate(192.168.0.1)に転送するように設定されています。 しかしこのままでは、fortigateは返信パケットをデフォルトルートに従いRT@(192.168.0.11)に送信してしまいます。 何とかしてfortigateから発信する一部のプロトコル、ポートを持った通信をデフォルトルート以外に転送することは可能でしょうか。 PBRで色々試してみましたが上手くいきません。 >>758 SD-LAN?として、LAN側インターフェイスをsd-wanインターフェイスにぶちこんで。 sdwanルールで書くとかどーお? >>758 Fortigateというより一般的な戻りルートの問題なので この場合RT①と②では一般的な静的NAPT(Fortigate LAN1に着信するパケットは送信元IPがグローバルIP)ではなく Ciscoでいう双方向NAT(Fortigate LAN1に着信するパケットは送信元IPが192.168.0.11や12になる)を使うしかないと思います。 回答ありがとうございます >>759 FortiManagerに属してるのでVDOM使うと別途ライセンスがいるのです・・・ >>760 試してみましたがPBRと同様に設定したルール道理には動けませんでした。 >>761 たしかにNATを使ったほうが楽なのかもしれません。 動的NATか、逆側IPマスカレードで試してみます。 >>758 192.168.0.0にもう一個インターフェイスだしてSD-WANかな。 RT2のNAPT先をもう一つのインターフェイスにすれば多分RT2に帰ってくれる。 FortiManagerは触ったことないから知らん。 初心者ですがlonkmonitorについて質問です https://docs.fortinet.com/document/fortigate/6.0.0/handbook/252877/remote-link-failover 上記構成で記載の設定+左のfortigateを高プライオリティ、overrideを設定した場合ですが、障害箇所が復旧しているかに関わらずpingserver-flip-timeout 分経過すれば切り戻ってしまう認識ですが、それを止める設定は何かあるでしょうか flip-timeout が経過した際にプライマリ選定を行い、左がプライマリに戻ってしまうため通信断が起きるのを避けたいです。 >>764 flip-timeoutを最大値2147483647min=4083年にしておけばとりあえず自動で切り戻らなくなるのでは。使ったことないけど。 切り戻したいタイミングで手動で1にして、切り戻してからまた最大値にする運用すれば目的に近いということで。。。 >>765 回答ありがとうございます。 時間長くすればその間は切り戻らないのはそうなのですが、復旧してるなら最短で切り戻したいということでして、、 あまり資料も見つからず、使われていない設定なのですかね >>758 RT2から来る通信の送信元を絞れるなら対応可能 >>767 それって送信元のスタティック書くだけ?だったら、ここに質問しなくね? >>767 >>768 送信元が固定ならスタティックで何とかなったのですが、動的IPなので難しいです 一応、逆NAPTでRTAのWANからくるfortigate宛のパケットの送信元をRTAのLAN側IPに変換して一応解決しました。 ありがとうございます >>766 sdwanがあるし、linkmonあんま使われないと思う。お力になれずスマン linkmonitorがどうかに頭使うより 使わんように頭と金使う方がみんな幸せな気がする v6ブラスからのIPv6-RAをfortigateを介してLANに流しているはずなのだが、iPadだけIPv6で通信できない。IPv6グローバルアドレスは割り振られているのに… MS-WindowsとAndroidはIPv6で通信できるのに… iPadは何が気に入らないのだろう? トラシューでログとか見れない人だったら、ぶっちゃけバッファローとか使ったほうがいいっすよ >>776 解決案も出さない癖に、他機種をすすめるような煽りするのは病院おすすめする >>774 ドロやあいぽんで可能ならば、ipad側v6の何らかじゃないかい?fortidocsやらで探って見つかんなきゃ、キャプチャしてみるしかないな ドキュメント読んだり、ログ見たり、パケットキャプチャ取って確認したりでやることはいろいろあるんだけど ここで質問する人は一発で解決する答えを聞きに来てる感じだからそのあたりの解析作業をすることはほぼない 質問自体が低レベルな奴は煽られるのが5ch ここは煽られながら情報を得る所だ 大原則、趣味で中古買ったなら自己解決が基本 仕事で納めるために買ったならサポートに聞くとかできるだろ、Fortiなら図研かSBだろ? 教えたがりがいるし、別にいいとおもうけど。ここで聞いたって。 在庫なくね? scskとか大手からは即入できるのかな >>785 scskで40fなら納期2週間ほど。 80fまではそれなりに在庫ありました。 値上げすごいけど。 みんなありがとう 時間が取れたので調べました とりあえず以下の事象が判明したので、サポートへ投げてみました 1.iPad のみ、wan 側の IPv6 アドレス宛に ping を飛ばすと応答パケットが Fortigate 内で止まり internal 側へ送出されない 2.iPad に割り振られた IPv6 アドレスのみ Fortigate の route table に登録されていない Windows と Android に割り振られたアドレスは、"diagnose ipv6 route list" コマンドで経路情報が表示される https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-jpne-v6plus.pdf については、設定しているつもり ただ、config firewall policy の srcintf と dstintf は書式が違うはずで、internal->wan1しか許してはいけないのではないかな バージョン7.2.0は上げすぎでサポートしないので、7.0.5に下げろとか >>783 解決のための相談に乗ってくれる人はいる でも、相談者は調査方法じゃなくてダイレクトに答えがほしいだけだからね 調査しないとその答えが出ないですよってことを相談者はなかなか理解してくれない まだ日本の代理店サポートに期待してるの? 最新版には追従できず古いバージョンしかサポートできない連中だよ Fortiの最新版はバグ多いからな v7.2系とか現状オープンベータ版みたいなもん 何で複数メジャーバージョンでアップデート出してるのか知らん無知が増えたな 開発したメーカーですらまともに対応出来ませんからww >>793 メーカーですら対応出来ない問題も報告、解析してくれるコミュニティもあっての新ファームだしな 問題はメーカーに丸投げ的な考えの多そうな日本人向けではないけど 保守無しでファーム手に入んないのかよ! そう思うとメジャーバージョンアップすら無料のWindowsは神だな。 マルチVDOM環境でVDOM作って 配下のvdomでWebフィルタリングの詳細設定しようとすると スタティックURLフィルタのところで -------------------- 無効なURLをブロック URLフィルタ FortiSandboxにより検知された悪意のあるURLをブロック コンテンツフィルタ -------------------- あるはずが 「URLフィルタ」と「コンテンツフィルタ」が表示されなくなるんだけどなんで? FG50E 6.2.10 build1263 (GA)なんだけど ちょっと教えてほしい。 FortiGateでIPSEC-VPN冗長構成を検討している。 DC側は、ISP-A,ISP-Bの2回線。RT#1,RT#2はBGPしゃべってなくて、単純に回線収容してるだけ。 拠点側FGは、DC側FGのISP-A,ISP-Bグローバル向けのIPSECピアを2つ設定。(local idをメイン、バックアップで設定) DC側FGは、拠点向けにset peertype oneで、メイン、バックアップを設定。 DC側FGは、フローティングスタティックを使って、通常時はデフォルトルートをISP-A、障害時はISP-Bとする。 ここまではいいんだけど、ここから先が疑問。 通常時、拠点FGから、ISP-BのグローバルIPに対してVPNトンネルを張りに来た際に、VPN応答はISP-A回線経由で返してしまうはず。 そこで、FortiGate自発パケットに対してローカルPBRが実装できれば解決できると思ったんだけど、実装できなそう・・・・ こういう構成の時って、どうやるのが好ましいのかな・・ まぁ、VPNトンネル張るだけだから、ISP-A経由で戻してもそこのバックボーン内で送信元ISP-BのIPが拒否されていなければ、 問題は発生しないとは思ってるけども。 [拠点FG] || [インターネット] | | | | ISP-A ISP-B | | | | RT#1 RT#2 | | | | wan1 wan2 [ DC側 FG] DC側FGで拠点側ISP-Bのグローバル宛ホストスートをwan2に指定する >>798 検証はしてないから正確では無いかも知れんが FortigateのIPSecピアは個別に出力インターフェースが設定出来るから 出力インターフェースごとにルーティングされると思われる IPSecピアごとの出力インターフェース指定とか普通のルーターには無いし VPN通信自体が使うIPSecピアの切り替えはSD-WANやらリンクモニターやらルーティングプロトコルやらを適当にやればどうにかなるはず 通常は着信したインターフェースから返す仕様 なのでwan2に着信があったらwan2から返す フローティングスタティックの設定が具体的にどうなってるかわかんないけど wan2側もルーティングテーブルがないと RPFチェックで落ちると思うのでそのあたりは要確認 設定に困ったとき相談できる窓口があるサポート会社はどこ? >>805 ほんと? 2社と契約しているが、障害対応は受けるが今から設定する内容の相談は営業窓口って言われるぞ 保守窓口で答えてくれることもあるが突っ込んだら営業へとなる もしかしてファームのアップとか設定変更とか保守? 修理点検のみ? いろんな捉え方あり? それとも俺の思っている保守内容が世界共通?って人か? どこまで対応してもらえるのかは契約内容確認すればいいんじゃないでしょうか 保守の意味は辞書通りに決まってる 保守範疇は契約内容によって違う 当たり前だろ これがごっちゃになってて話が通じてない >>812 804に戻った気がするのは気のせいか? >>804 導入時にできてたことがなにもしてないのにできなくなったのなら保守窓口。 新しいことをやるなら予算用意して営業に連絡。 金出さないやつが聞ける場所はこことヤフー知恵袋。 ソフトバンクはQA技術支援も含むって書いてあるけど、 費用浮かすために技術もないくせに自前で構築しようとして何とも行かなくなってメーカーサポートに設計紛いの質問するのはルール違反だと思う。 正直メーカーに連絡するよりシステムベンダに依頼すべきじゃね メーカーの営業経由でベンダー紹介してもらってもいいけどさ そのシステムベンダーですが、メーカーサポートに 技術的な質問してもたいした答えは返ってこない。 ソフトバンクはやるのかな? せめてコマンドマニュアルとか設定例くらいメーカーで普通に公開してほしいな(日本語で) あと導入してもよいファームもサポート会社で違うのも面倒だわ ファーム何使うのが良い?ってくらいの質問でも同じサポート会社でも答える時と答えない時あるし 柔軟に対応しているとも言えるが でもここにかいている奴ら、保守と保守契約なんて言うのに メーカーとパートナーと販売店とシステムベンダー区別してないのか? メーカーは直接サポート契約しないからメーカーサポートと窓口持っているのは限られてるぞ 俺はメーカーの人と話したことはあるがサポートを依頼したことはないな(依頼しているのを目撃したことはある) 聞けるところにはダメもとでも聞いてみるってのはいいと思うけどな ただ、相手が答えやすい様な質問・状況は準備した方が良いとは思う。 ・商談には関係ない別件の質問だけど、協業途中だから相手に無視させにくい状況で聞くとか ・アンサーを求めるんじゃなくて、気づいたことないですかね?っていうあくまでヒントをもらうとか (材料準備したからやってくれ じゃなく ここんところどう切ったらいいですかね 的な) 結局ディストリビューターのバックエンジニアだって自分のやったことないのは 自社のサポートDBみたいなの調べるしかないし、それで見つかんなきゃ ちょっとググって無さそうならシラネって言いたいだろうし 自分はファームバージョン選定の時は仕入れたディストリビューターの窓口に 「貴社がサポートが可能とする、推奨バージョンは何ですか?」ってメールで聞く。 なんか起こった時に巻き込みやすいかなって。 >>822 ファーム同じようにメールで聞いたことあるよ 今新規ならこれって教えてくれるときもあれば 推奨は特に無いよと言われたこともある 相手次第だよな セキュリティベンダの推奨は基本は最新OS / 最新パッチだよ それ以外答えようはない >>824 技術質問の契約ない保守は、それだけだろうな 日本のベンダーは自前で動作チェックしたものだけ公開してるから、メーカーの最新とは限らない。 それでわかるだろ。 >>787 iPhoneやiPad、MACアドレス固定にしてる? >>824 枯れたメジャーバージョンの最新セキュリティアップデート版が推奨されるだろ 最新メジャーバージョンとかまともなセキュリティーベンダーなら推奨しない >>824 どこがそんな回答してくれたのか知りたい 今契約しているところは指定バージョン以外を入れたら保守対象外と言われた しかも指定バージョンが無茶苦茶古く6.2とか言うし そんなんが最初なら乗り換えたいわ どこが7.2とか7.4やってくれる? >>829 さすがに6.2は古いな 自分の取引してる所の代理店は出荷が6.4系、サポートが6.2,6.4,7.0系になってるわ 7.0系も最近になって7.0.5あたりでサポートし出した感じ >>830 ちなみに最新OSはメモリリークしたり機能バグする多いからほぼバグテスターのようなもん 7.2系なんかバグったら公式フォーラムでサポート依頼しながらバグ前提で使うもんだから普通の代理店はサポートとか期待しないわ 7.2はまだ怖いなー 自分の経験上だけど、Patch3以降ぐらいからじゃないかなー、導入奨められるのは。 中には、Patch5ぐらいじゃないと、怖いバージョンもあるかもだけど。 >>829 6.2までのモデルもあるけどそれじゃなくてか? それ以外だと6.2は標準サポート終了して延長サポート突入済み 上の方でFortiGate+どこかのAPを使ってiPhoneがIPv6で外に抜けないと言ってる人がいたけどウチでも同様になってる。 Windows PC2台とAndroid3台はIPv6で外に抜けるしIPv4もDS-Liteで使えてる。 ちなみにiPhoneでもIPv4はDS-Lite(IPv4 over IPv6)で使えてる。 環境は下記の通り。 ・FortiGate 60E(7.0.6)ちなみに7.2.0でも同様だった。 ・NTT西+朝日ネット(IPoE + DS-Lite)IP非固定 ・iPhone SE2(15.5),iPhone XS(15.5),iPad mini2(12.5.5) https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-internet-multifeed-ipoe-ds-lite_fos702.pdf この辺のFortinetの資料はOCN IPoEのものやアルテリアのものも参考にしていて、WAN固定IPサービス部分を除き同じ事を実施済み。 iPhoneはIPv6アドレスを取得していて、PCとiPhone間でv6でのICMPは疎通OK しかしiPhoneから外向けのv6アドレスにはping疎通NG iPhoneやAndroidはinternal側の同一サブネットにいるためF/Wポリシーも同一。 ちなみにiPhoneでも下記設定を施したRTX1200配下からはv6アドレスで外に抜けていたし今戻してみてもちゃんとv6を使用できた。 https://network.yamaha.com/setting/router_firewall/flets/flets_other_service/ipv6_ipoe FortiGate 60Eの何らかの設定が足らないか過剰なのか不明だけどFortiGate+iPhone(iOS)ならではの問題がありそうなのは確か。 デバッグログ、パケットキャプチャみて調査するしかないんじゃないでしょうか うちはiPhone13 miniで問題なくIPv6で繋がってます(7.0.6、test-ipv6で10/10) nd-proxyとIPv6 firewall policyがあればいいはず >>835 ありがとうございます。 v6のポリシーは上記URLのPDFのものと同じなんですが足らないんですかね。。 その他関係ありそうなところで今設定してるのは下記くらいです。 FGT60E # show system nd-proxy config system nd-proxy set status enable set member "wan1" "internal" end FGT60E # show system interface wan1 config system interface edit "wan1" set vdom "root" set type physical set role wan set snmp-index 1 config ipv6 set ip6-allowaccess ping set dhcp6-information-request enable set autoconf enable set unique-autoconf-addr enable end next end wan1がRAで取得したv6アドレスにinternalのPC,Androidからはping通るけど iphoneからは通らないのがそもそもの問題な気がしてきた。 教えてください。 FortigateでSSL-VPNのサーバ証明書をFortigateのWebGUIのLetsEncryptから生成出来ると思います。 この証明書は3ヶ月で期限切れになりますが、自動更新は出来るのでしょうか? 同一ドメイン作成はできないようなので、自動更新ができない場合、一旦既存の証明書を削除して作り直しするしかなさそうですが。。 分かった事はiPhoneからFortiGate 60Eのwan1のv6アドレスに一度pingを実行すれば、外にあるWebサーバのv6アドレス宛にもpingが届きHTTPアクセスもOKでv6アドレスがApacheのログに記録される。 しかし、iPhoneのWi-Fiを一度OFFにして再度ONにした後にiPhoneが新しいv6アドレスを取得するとまたping NGになる。 で、またFortiGate 60Eのwan1にpingを実行した後にはまた疎通OKになるというループ。 何かND-Proxyの動きがおかしいようなルートがおかしいような。 でもこんな動きするのiPhoneだけだしなぁ。 FortiGateに設定しているStatic routeはDS-Lite向けのipv4のvne.rootトンネル向けだけであり、ipv6のStatic routeは未設定。 でもFortiGate自身やiPhone以外は問題が出ていないという状況です。 プライベートアドレスにしていてMACアドレス変わったけどネイバーテーブルが更新されてないとかあるのかも まわりの状況だけだと判断つかないので、デバッグログ取ったりパケットキャプチャ取ったりしてご自身でログを確認されることをおすすめします >>838 騙されたと思ってiPhoneのWi-Fi設定のプライベートWi-FiアドレスをOFFにしてみるのだ iPhoneのプライベートWi-FiをOFFった状態でも上記と全く同じ現象でした。 疎通NGの際のログには発信は数バイトあるけど着信は0バイトという現象。 キャプチャは取って中身見てみたけどAndroidとは違う流れになっている事は分かったもののもう少し時間かけて調べてみます。 >>837 なんか今日見たら更新されてました。 勝手に自動更新になるんですかね。。 ■ このスレッドは過去ログ倉庫に格納されています
read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる