FortiGateシリーズは、ネットワーク全体を総合的に保護するハードウェアベースの
ネットワーク・プロテクション・ゲートウェイ(NPG)です。
Fortinet社独自開発のABACASTM(Accelerated Behavior and Content Analysis System)
テクノロジと独自のASIC(FortiAsic)ベースアーキテクチャを採用した、次世代
ネットワークプロテクション・アプライアンスです。
ファイアウォール、不正侵入、VPN、トラフィックシェーピングなどネットワークレベル
のサービスに加え、ウィルスプロテクションやコンテンツフィルタリングなどの
アプリケーションレベルのサービス機能も搭載しており、効果的にネットワークを保護します。
FortiGateは、4種類のICSA認定取得をしています。
アンチウイルス、ファイアウォール、IPSec、IDS
セールスポイントは非常に魅力的ですばらしいのですが、
非常に個性的な製品ですので、皆さん助け合って安定稼働に努めましょう。
フォーティネットジャパン
http://www.fortinet.co.jp/
FortiProtect Center
http://www.fortinet.com/FortiProtectCenter/
質問する際には必ずFortiGateの機種、FortiOSのバージョン、 ネットワーク構成・環境を報告してください。
探検
Fortigateについて語ろう5
■ このスレッドは過去ログ倉庫に格納されています
2020/07/05(日) 00:58:45.94ID:???
2022/05/23(月) 00:44:16.33ID:???
>>758
RT2から来る通信の送信元を絞れるなら対応可能
RT2から来る通信の送信元を絞れるなら対応可能
2022/05/23(月) 02:43:57.60ID:???
>>767
それって送信元のスタティック書くだけ?だったら、ここに質問しなくね?
それって送信元のスタティック書くだけ?だったら、ここに質問しなくね?
2022/05/23(月) 13:42:35.81ID:???
2022/05/24(火) 12:55:18.86ID:???
>>766
sdwanがあるし、linkmonあんま使われないと思う。お力になれずスマン
sdwanがあるし、linkmonあんま使われないと思う。お力になれずスマン
771anonymous@fusianasan
2022/05/25(水) 22:32:24.18ID:fsAGyccO linkmonitorがどうかに頭使うより
使わんように頭と金使う方がみんな幸せな気がする
使わんように頭と金使う方がみんな幸せな気がする
2022/05/26(木) 00:11:30.08ID:???
>>771
お金使うなら、誰でもできるだろ
お金使うなら、誰でもできるだろ
773anonymous@fusianasan
2022/05/26(木) 14:03:15.24ID:mnA+KO/f おっしゃる通りです
失礼しました
失礼しました
2022/05/27(金) 08:41:10.67ID:???
v6ブラスからのIPv6-RAをfortigateを介してLANに流しているはずなのだが、iPadだけIPv6で通信できない。IPv6グローバルアドレスは割り振られているのに…
MS-WindowsとAndroidはIPv6で通信できるのに…
iPadは何が気に入らないのだろう?
MS-WindowsとAndroidはIPv6で通信できるのに…
iPadは何が気に入らないのだろう?
2022/05/27(金) 11:48:33.41ID:???
プライベートWi-Fiアドレスとか
2022/05/29(日) 23:28:19.98ID:???
トラシューでログとか見れない人だったら、ぶっちゃけバッファローとか使ったほうがいいっすよ
2022/05/30(月) 01:28:58.10ID:???
2022/05/30(月) 09:20:25.65ID:???
そもそも質問なんかね
779anonymous@fusianasan
2022/05/30(月) 16:11:14.90ID:m0iFqttg >>774
これ抜けなく全部やってるかチェックしては。
https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-jpne-v6plus.pdf
v6 DNSかND Proxyあたりが怪しい気がするけど。
これ抜けなく全部やってるかチェックしては。
https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-jpne-v6plus.pdf
v6 DNSかND Proxyあたりが怪しい気がするけど。
2022/05/30(月) 23:10:45.52ID:???
ドキュメント読んだり、ログ見たり、パケットキャプチャ取って確認したりでやることはいろいろあるんだけど
ここで質問する人は一発で解決する答えを聞きに来てる感じだからそのあたりの解析作業をすることはほぼない
ここで質問する人は一発で解決する答えを聞きに来てる感じだからそのあたりの解析作業をすることはほぼない
2022/05/31(火) 09:27:33.00ID:???
質問自体が低レベルな奴は煽られるのが5ch
ここは煽られながら情報を得る所だ
ここは煽られながら情報を得る所だ
2022/06/02(木) 08:16:26.16ID:???
大原則、趣味で中古買ったなら自己解決が基本
仕事で納めるために買ったならサポートに聞くとかできるだろ、Fortiなら図研かSBだろ?
仕事で納めるために買ったならサポートに聞くとかできるだろ、Fortiなら図研かSBだろ?
783anonymous@fusianasan
2022/06/02(木) 12:30:43.05ID:9588vqFk 教えたがりがいるし、別にいいとおもうけど。ここで聞いたって。
784aho
2022/06/02(木) 19:43:37.95ID:??? v7.0行こうぜ
2022/06/02(木) 20:41:27.89ID:???
在庫なくね?
scskとか大手からは即入できるのかな
scskとか大手からは即入できるのかな
2022/06/03(金) 07:11:10.01ID:???
787774
2022/06/04(土) 05:05:12.64ID:??? みんなありがとう
時間が取れたので調べました
とりあえず以下の事象が判明したので、サポートへ投げてみました
1.iPad のみ、wan 側の IPv6 アドレス宛に ping を飛ばすと応答パケットが Fortigate 内で止まり internal 側へ送出されない
2.iPad に割り振られた IPv6 アドレスのみ Fortigate の route table に登録されていない
Windows と Android に割り振られたアドレスは、"diagnose ipv6 route list" コマンドで経路情報が表示される
https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-jpne-v6plus.pdf
については、設定しているつもり
ただ、config firewall policy の srcintf と dstintf は書式が違うはずで、internal->wan1しか許してはいけないのではないかな
時間が取れたので調べました
とりあえず以下の事象が判明したので、サポートへ投げてみました
1.iPad のみ、wan 側の IPv6 アドレス宛に ping を飛ばすと応答パケットが Fortigate 内で止まり internal 側へ送出されない
2.iPad に割り振られた IPv6 アドレスのみ Fortigate の route table に登録されていない
Windows と Android に割り振られたアドレスは、"diagnose ipv6 route list" コマンドで経路情報が表示される
https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-jpne-v6plus.pdf
については、設定しているつもり
ただ、config firewall policy の srcintf と dstintf は書式が違うはずで、internal->wan1しか許してはいけないのではないかな
788anonymous@fusianasan
2022/06/12(日) 09:06:01.36ID:/TrsoRsS サポートの回答はどうでしたか?
789774
2022/06/12(日) 10:50:18.69ID:??? バージョン7.2.0は上げすぎでサポートしないので、7.0.5に下げろとか
2022/06/13(月) 01:04:54.49ID:???
2022/06/15(水) 14:52:42.21ID:???
まだ日本の代理店サポートに期待してるの?
最新版には追従できず古いバージョンしかサポートできない連中だよ
最新版には追従できず古いバージョンしかサポートできない連中だよ
2022/06/15(水) 19:24:16.01ID:???
Fortiの最新版はバグ多いからな
v7.2系とか現状オープンベータ版みたいなもん
何で複数メジャーバージョンでアップデート出してるのか知らん無知が増えたな
v7.2系とか現状オープンベータ版みたいなもん
何で複数メジャーバージョンでアップデート出してるのか知らん無知が増えたな
2022/06/15(水) 20:48:55.32ID:???
開発したメーカーですらまともに対応出来ませんからww
2022/06/16(木) 00:04:43.41ID:???
2022/06/17(金) 12:24:19.17ID:???
保守無しでファーム手に入んないのかよ!
そう思うとメジャーバージョンアップすら無料のWindowsは神だな。
そう思うとメジャーバージョンアップすら無料のWindowsは神だな。
796sage
2022/06/17(金) 13:03:43.29ID:??? マルチVDOM環境でVDOM作って
配下のvdomでWebフィルタリングの詳細設定しようとすると
スタティックURLフィルタのところで
--------------------
無効なURLをブロック
URLフィルタ
FortiSandboxにより検知された悪意のあるURLをブロック
コンテンツフィルタ
--------------------
あるはずが
「URLフィルタ」と「コンテンツフィルタ」が表示されなくなるんだけどなんで?
FG50E
6.2.10 build1263 (GA)なんだけど
配下のvdomでWebフィルタリングの詳細設定しようとすると
スタティックURLフィルタのところで
--------------------
無効なURLをブロック
URLフィルタ
FortiSandboxにより検知された悪意のあるURLをブロック
コンテンツフィルタ
--------------------
あるはずが
「URLフィルタ」と「コンテンツフィルタ」が表示されなくなるんだけどなんで?
FG50E
6.2.10 build1263 (GA)なんだけど
2022/06/19(日) 11:40:48.80ID:???
>>796
CLIで確認したん?
CLIで確認したん?
798anonymous@fusianasan
2022/06/22(水) 22:32:03.85ID:gqCCrR07 ちょっと教えてほしい。
FortiGateでIPSEC-VPN冗長構成を検討している。
DC側は、ISP-A,ISP-Bの2回線。RT#1,RT#2はBGPしゃべってなくて、単純に回線収容してるだけ。
拠点側FGは、DC側FGのISP-A,ISP-Bグローバル向けのIPSECピアを2つ設定。(local idをメイン、バックアップで設定)
DC側FGは、拠点向けにset peertype oneで、メイン、バックアップを設定。
DC側FGは、フローティングスタティックを使って、通常時はデフォルトルートをISP-A、障害時はISP-Bとする。
ここまではいいんだけど、ここから先が疑問。
通常時、拠点FGから、ISP-BのグローバルIPに対してVPNトンネルを張りに来た際に、VPN応答はISP-A回線経由で返してしまうはず。
そこで、FortiGate自発パケットに対してローカルPBRが実装できれば解決できると思ったんだけど、実装できなそう・・・・
こういう構成の時って、どうやるのが好ましいのかな・・
まぁ、VPNトンネル張るだけだから、ISP-A経由で戻してもそこのバックボーン内で送信元ISP-BのIPが拒否されていなければ、
問題は発生しないとは思ってるけども。
[拠点FG]
||
[インターネット]
| |
| |
ISP-A ISP-B
| |
| |
RT#1 RT#2
| |
| |
wan1 wan2
[ DC側 FG]
FortiGateでIPSEC-VPN冗長構成を検討している。
DC側は、ISP-A,ISP-Bの2回線。RT#1,RT#2はBGPしゃべってなくて、単純に回線収容してるだけ。
拠点側FGは、DC側FGのISP-A,ISP-Bグローバル向けのIPSECピアを2つ設定。(local idをメイン、バックアップで設定)
DC側FGは、拠点向けにset peertype oneで、メイン、バックアップを設定。
DC側FGは、フローティングスタティックを使って、通常時はデフォルトルートをISP-A、障害時はISP-Bとする。
ここまではいいんだけど、ここから先が疑問。
通常時、拠点FGから、ISP-BのグローバルIPに対してVPNトンネルを張りに来た際に、VPN応答はISP-A回線経由で返してしまうはず。
そこで、FortiGate自発パケットに対してローカルPBRが実装できれば解決できると思ったんだけど、実装できなそう・・・・
こういう構成の時って、どうやるのが好ましいのかな・・
まぁ、VPNトンネル張るだけだから、ISP-A経由で戻してもそこのバックボーン内で送信元ISP-BのIPが拒否されていなければ、
問題は発生しないとは思ってるけども。
[拠点FG]
||
[インターネット]
| |
| |
ISP-A ISP-B
| |
| |
RT#1 RT#2
| |
| |
wan1 wan2
[ DC側 FG]
2022/06/22(水) 23:00:38.60ID:???
Router外してFGで直収すればいい
2022/06/22(水) 23:36:49.18ID:???
DC側FGで拠点側ISP-Bのグローバル宛ホストスートをwan2に指定する
2022/06/22(水) 23:50:22.73ID:???
>>798
検証はしてないから正確では無いかも知れんが
FortigateのIPSecピアは個別に出力インターフェースが設定出来るから
出力インターフェースごとにルーティングされると思われる
IPSecピアごとの出力インターフェース指定とか普通のルーターには無いし
VPN通信自体が使うIPSecピアの切り替えはSD-WANやらリンクモニターやらルーティングプロトコルやらを適当にやればどうにかなるはず
検証はしてないから正確では無いかも知れんが
FortigateのIPSecピアは個別に出力インターフェースが設定出来るから
出力インターフェースごとにルーティングされると思われる
IPSecピアごとの出力インターフェース指定とか普通のルーターには無いし
VPN通信自体が使うIPSecピアの切り替えはSD-WANやらリンクモニターやらルーティングプロトコルやらを適当にやればどうにかなるはず
2022/06/23(木) 00:00:33.12ID:???
通常は着信したインターフェースから返す仕様
なのでwan2に着信があったらwan2から返す
フローティングスタティックの設定が具体的にどうなってるかわかんないけど
wan2側もルーティングテーブルがないと
RPFチェックで落ちると思うのでそのあたりは要確認
なのでwan2に着信があったらwan2から返す
フローティングスタティックの設定が具体的にどうなってるかわかんないけど
wan2側もルーティングテーブルがないと
RPFチェックで落ちると思うのでそのあたりは要確認
803anonymous@fusianasan
2022/06/23(木) 08:11:57.77ID:oaTYYQXh ありがとう!
検証してみる!
検証してみる!
2022/06/23(木) 12:49:45.15ID:???
設定に困ったとき相談できる窓口があるサポート会社はどこ?
2022/06/23(木) 14:53:56.41ID:???
どこでも相談できるよ、金さえ払えば
2022/06/23(木) 18:41:10.34ID:???
>>804
保守に付いてくるよ
保守に付いてくるよ
2022/06/24(金) 12:33:22.14ID:???
2022/06/24(金) 15:55:36.01ID:???
話がかみ合ってないな
2022/06/24(金) 17:13:18.94ID:???
保守の意味ググれ
2022/06/24(金) 18:12:28.25ID:???
アホの極み
保守内容なんてそれぞれ違う
保守内容なんてそれぞれ違う
2022/06/24(金) 18:17:09.29ID:???
もしかしてファームのアップとか設定変更とか保守?
修理点検のみ?
いろんな捉え方あり?
それとも俺の思っている保守内容が世界共通?って人か?
修理点検のみ?
いろんな捉え方あり?
それとも俺の思っている保守内容が世界共通?って人か?
2022/06/24(金) 18:46:20.68ID:???
どこまで対応してもらえるのかは契約内容確認すればいいんじゃないでしょうか
2022/06/24(金) 19:03:31.25ID:???
保守の意味は辞書通りに決まってる
保守範疇は契約内容によって違う
当たり前だろ
これがごっちゃになってて話が通じてない
保守範疇は契約内容によって違う
当たり前だろ
これがごっちゃになってて話が通じてない
2022/06/24(金) 20:55:33.75ID:???
>>813
変なこと場遊びはせず普通に会話しろや
変なこと場遊びはせず普通に会話しろや
2022/06/24(金) 20:56:40.38ID:???
>>812
804に戻った気がするのは気のせいか?
804に戻った気がするのは気のせいか?
2022/06/24(金) 21:13:04.30ID:???
2022/06/24(金) 21:17:05.62ID:???
ソフトバンクはQA技術支援も含むって書いてあるけど、
費用浮かすために技術もないくせに自前で構築しようとして何とも行かなくなってメーカーサポートに設計紛いの質問するのはルール違反だと思う。
費用浮かすために技術もないくせに自前で構築しようとして何とも行かなくなってメーカーサポートに設計紛いの質問するのはルール違反だと思う。
2022/06/24(金) 22:14:28.87ID:???
正直メーカーに連絡するよりシステムベンダに依頼すべきじゃね
メーカーの営業経由でベンダー紹介してもらってもいいけどさ
メーカーの営業経由でベンダー紹介してもらってもいいけどさ
2022/06/25(土) 06:34:07.03ID:???
そのシステムベンダーですが、メーカーサポートに
技術的な質問してもたいした答えは返ってこない。
技術的な質問してもたいした答えは返ってこない。
2022/06/25(土) 08:23:35.10ID:???
ソフトバンクはやるのかな?
せめてコマンドマニュアルとか設定例くらいメーカーで普通に公開してほしいな(日本語で)
あと導入してもよいファームもサポート会社で違うのも面倒だわ
ファーム何使うのが良い?ってくらいの質問でも同じサポート会社でも答える時と答えない時あるし
柔軟に対応しているとも言えるが
でもここにかいている奴ら、保守と保守契約なんて言うのに
メーカーとパートナーと販売店とシステムベンダー区別してないのか?
メーカーは直接サポート契約しないからメーカーサポートと窓口持っているのは限られてるぞ
俺はメーカーの人と話したことはあるがサポートを依頼したことはないな(依頼しているのを目撃したことはある)
せめてコマンドマニュアルとか設定例くらいメーカーで普通に公開してほしいな(日本語で)
あと導入してもよいファームもサポート会社で違うのも面倒だわ
ファーム何使うのが良い?ってくらいの質問でも同じサポート会社でも答える時と答えない時あるし
柔軟に対応しているとも言えるが
でもここにかいている奴ら、保守と保守契約なんて言うのに
メーカーとパートナーと販売店とシステムベンダー区別してないのか?
メーカーは直接サポート契約しないからメーカーサポートと窓口持っているのは限られてるぞ
俺はメーカーの人と話したことはあるがサポートを依頼したことはないな(依頼しているのを目撃したことはある)
821,
2022/06/25(土) 09:40:59.83ID:??? いったいどこのワンオペ病院
逆ギレすんな
逆ギレすんな
2022/06/25(土) 09:54:30.76ID:???
聞けるところにはダメもとでも聞いてみるってのはいいと思うけどな
ただ、相手が答えやすい様な質問・状況は準備した方が良いとは思う。
・商談には関係ない別件の質問だけど、協業途中だから相手に無視させにくい状況で聞くとか
・アンサーを求めるんじゃなくて、気づいたことないですかね?っていうあくまでヒントをもらうとか
(材料準備したからやってくれ じゃなく ここんところどう切ったらいいですかね 的な)
結局ディストリビューターのバックエンジニアだって自分のやったことないのは
自社のサポートDBみたいなの調べるしかないし、それで見つかんなきゃ
ちょっとググって無さそうならシラネって言いたいだろうし
自分はファームバージョン選定の時は仕入れたディストリビューターの窓口に
「貴社がサポートが可能とする、推奨バージョンは何ですか?」ってメールで聞く。
なんか起こった時に巻き込みやすいかなって。
ただ、相手が答えやすい様な質問・状況は準備した方が良いとは思う。
・商談には関係ない別件の質問だけど、協業途中だから相手に無視させにくい状況で聞くとか
・アンサーを求めるんじゃなくて、気づいたことないですかね?っていうあくまでヒントをもらうとか
(材料準備したからやってくれ じゃなく ここんところどう切ったらいいですかね 的な)
結局ディストリビューターのバックエンジニアだって自分のやったことないのは
自社のサポートDBみたいなの調べるしかないし、それで見つかんなきゃ
ちょっとググって無さそうならシラネって言いたいだろうし
自分はファームバージョン選定の時は仕入れたディストリビューターの窓口に
「貴社がサポートが可能とする、推奨バージョンは何ですか?」ってメールで聞く。
なんか起こった時に巻き込みやすいかなって。
2022/06/25(土) 11:50:07.49ID:???
2022/06/26(日) 01:10:10.88ID:???
セキュリティベンダの推奨は基本は最新OS / 最新パッチだよ
それ以外答えようはない
それ以外答えようはない
2022/06/26(日) 01:42:52.08ID:???
>>824
技術質問の契約ない保守は、それだけだろうな
技術質問の契約ない保守は、それだけだろうな
2022/06/26(日) 06:37:00.41ID:???
日本のベンダーは自前で動作チェックしたものだけ公開してるから、メーカーの最新とは限らない。
それでわかるだろ。
それでわかるだろ。
2022/06/26(日) 09:10:13.94ID:???
>>787
iPhoneやiPad、MACアドレス固定にしてる?
iPhoneやiPad、MACアドレス固定にしてる?
2022/06/26(日) 15:00:59.71ID:???
2022/06/26(日) 19:03:20.17ID:???
>>824
どこがそんな回答してくれたのか知りたい
今契約しているところは指定バージョン以外を入れたら保守対象外と言われた
しかも指定バージョンが無茶苦茶古く6.2とか言うし
そんなんが最初なら乗り換えたいわ
どこが7.2とか7.4やってくれる?
どこがそんな回答してくれたのか知りたい
今契約しているところは指定バージョン以外を入れたら保守対象外と言われた
しかも指定バージョンが無茶苦茶古く6.2とか言うし
そんなんが最初なら乗り換えたいわ
どこが7.2とか7.4やってくれる?
2022/06/26(日) 19:55:14.57ID:???
2022/06/26(日) 19:59:23.52ID:???
>>830
ちなみに最新OSはメモリリークしたり機能バグする多いからほぼバグテスターのようなもん
7.2系なんかバグったら公式フォーラムでサポート依頼しながらバグ前提で使うもんだから普通の代理店はサポートとか期待しないわ
ちなみに最新OSはメモリリークしたり機能バグする多いからほぼバグテスターのようなもん
7.2系なんかバグったら公式フォーラムでサポート依頼しながらバグ前提で使うもんだから普通の代理店はサポートとか期待しないわ
832anonymous@fusianasan
2022/06/26(日) 20:08:17.90ID:d3w6xT8i 7.2はまだ怖いなー
自分の経験上だけど、Patch3以降ぐらいからじゃないかなー、導入奨められるのは。
中には、Patch5ぐらいじゃないと、怖いバージョンもあるかもだけど。
自分の経験上だけど、Patch3以降ぐらいからじゃないかなー、導入奨められるのは。
中には、Patch5ぐらいじゃないと、怖いバージョンもあるかもだけど。
2022/06/27(月) 06:46:07.63ID:???
834anonymous@fusianasan
2022/06/27(月) 14:34:02.69ID:5Y8wE/h6 上の方でFortiGate+どこかのAPを使ってiPhoneがIPv6で外に抜けないと言ってる人がいたけどウチでも同様になってる。
Windows PC2台とAndroid3台はIPv6で外に抜けるしIPv4もDS-Liteで使えてる。
ちなみにiPhoneでもIPv4はDS-Lite(IPv4 over IPv6)で使えてる。
環境は下記の通り。
・FortiGate 60E(7.0.6)ちなみに7.2.0でも同様だった。
・NTT西+朝日ネット(IPoE + DS-Lite)IP非固定
・iPhone SE2(15.5),iPhone XS(15.5),iPad mini2(12.5.5)
https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-internet-multifeed-ipoe-ds-lite_fos702.pdf
この辺のFortinetの資料はOCN IPoEのものやアルテリアのものも参考にしていて、WAN固定IPサービス部分を除き同じ事を実施済み。
iPhoneはIPv6アドレスを取得していて、PCとiPhone間でv6でのICMPは疎通OK
しかしiPhoneから外向けのv6アドレスにはping疎通NG
iPhoneやAndroidはinternal側の同一サブネットにいるためF/Wポリシーも同一。
ちなみにiPhoneでも下記設定を施したRTX1200配下からはv6アドレスで外に抜けていたし今戻してみてもちゃんとv6を使用できた。
https://network.yamaha.com/setting/router_firewall/flets/flets_other_service/ipv6_ipoe
FortiGate 60Eの何らかの設定が足らないか過剰なのか不明だけどFortiGate+iPhone(iOS)ならではの問題がありそうなのは確か。
Windows PC2台とAndroid3台はIPv6で外に抜けるしIPv4もDS-Liteで使えてる。
ちなみにiPhoneでもIPv4はDS-Lite(IPv4 over IPv6)で使えてる。
環境は下記の通り。
・FortiGate 60E(7.0.6)ちなみに7.2.0でも同様だった。
・NTT西+朝日ネット(IPoE + DS-Lite)IP非固定
・iPhone SE2(15.5),iPhone XS(15.5),iPad mini2(12.5.5)
https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-internet-multifeed-ipoe-ds-lite_fos702.pdf
この辺のFortinetの資料はOCN IPoEのものやアルテリアのものも参考にしていて、WAN固定IPサービス部分を除き同じ事を実施済み。
iPhoneはIPv6アドレスを取得していて、PCとiPhone間でv6でのICMPは疎通OK
しかしiPhoneから外向けのv6アドレスにはping疎通NG
iPhoneやAndroidはinternal側の同一サブネットにいるためF/Wポリシーも同一。
ちなみにiPhoneでも下記設定を施したRTX1200配下からはv6アドレスで外に抜けていたし今戻してみてもちゃんとv6を使用できた。
https://network.yamaha.com/setting/router_firewall/flets/flets_other_service/ipv6_ipoe
FortiGate 60Eの何らかの設定が足らないか過剰なのか不明だけどFortiGate+iPhone(iOS)ならではの問題がありそうなのは確か。
2022/06/27(月) 15:08:27.68ID:???
デバッグログ、パケットキャプチャみて調査するしかないんじゃないでしょうか
うちはiPhone13 miniで問題なくIPv6で繋がってます(7.0.6、test-ipv6で10/10)
nd-proxyとIPv6 firewall policyがあればいいはず
うちはiPhone13 miniで問題なくIPv6で繋がってます(7.0.6、test-ipv6で10/10)
nd-proxyとIPv6 firewall policyがあればいいはず
836834
2022/06/27(月) 16:26:19.56ID:5Y8wE/h6 >>835
ありがとうございます。
v6のポリシーは上記URLのPDFのものと同じなんですが足らないんですかね。。
その他関係ありそうなところで今設定してるのは下記くらいです。
FGT60E # show system nd-proxy
config system nd-proxy
set status enable
set member "wan1" "internal"
end
FGT60E # show system interface wan1
config system interface
edit "wan1"
set vdom "root"
set type physical
set role wan
set snmp-index 1
config ipv6
set ip6-allowaccess ping
set dhcp6-information-request enable
set autoconf enable
set unique-autoconf-addr enable
end
next
end
wan1がRAで取得したv6アドレスにinternalのPC,Androidからはping通るけど
iphoneからは通らないのがそもそもの問題な気がしてきた。
ありがとうございます。
v6のポリシーは上記URLのPDFのものと同じなんですが足らないんですかね。。
その他関係ありそうなところで今設定してるのは下記くらいです。
FGT60E # show system nd-proxy
config system nd-proxy
set status enable
set member "wan1" "internal"
end
FGT60E # show system interface wan1
config system interface
edit "wan1"
set vdom "root"
set type physical
set role wan
set snmp-index 1
config ipv6
set ip6-allowaccess ping
set dhcp6-information-request enable
set autoconf enable
set unique-autoconf-addr enable
end
next
end
wan1がRAで取得したv6アドレスにinternalのPC,Androidからはping通るけど
iphoneからは通らないのがそもそもの問題な気がしてきた。
837anonymous@fusianasan
2022/06/27(月) 17:31:09.77ID:6lJlu2iS 教えてください。
FortigateでSSL-VPNのサーバ証明書をFortigateのWebGUIのLetsEncryptから生成出来ると思います。
この証明書は3ヶ月で期限切れになりますが、自動更新は出来るのでしょうか?
同一ドメイン作成はできないようなので、自動更新ができない場合、一旦既存の証明書を削除して作り直しするしかなさそうですが。。
FortigateでSSL-VPNのサーバ証明書をFortigateのWebGUIのLetsEncryptから生成出来ると思います。
この証明書は3ヶ月で期限切れになりますが、自動更新は出来るのでしょうか?
同一ドメイン作成はできないようなので、自動更新ができない場合、一旦既存の証明書を削除して作り直しするしかなさそうですが。。
838834
2022/06/27(月) 19:45:32.49ID:5Y8wE/h6 分かった事はiPhoneからFortiGate 60Eのwan1のv6アドレスに一度pingを実行すれば、外にあるWebサーバのv6アドレス宛にもpingが届きHTTPアクセスもOKでv6アドレスがApacheのログに記録される。
しかし、iPhoneのWi-Fiを一度OFFにして再度ONにした後にiPhoneが新しいv6アドレスを取得するとまたping NGになる。
で、またFortiGate 60Eのwan1にpingを実行した後にはまた疎通OKになるというループ。
何かND-Proxyの動きがおかしいようなルートがおかしいような。
でもこんな動きするのiPhoneだけだしなぁ。
FortiGateに設定しているStatic routeはDS-Lite向けのipv4のvne.rootトンネル向けだけであり、ipv6のStatic routeは未設定。
でもFortiGate自身やiPhone以外は問題が出ていないという状況です。
しかし、iPhoneのWi-Fiを一度OFFにして再度ONにした後にiPhoneが新しいv6アドレスを取得するとまたping NGになる。
で、またFortiGate 60Eのwan1にpingを実行した後にはまた疎通OKになるというループ。
何かND-Proxyの動きがおかしいようなルートがおかしいような。
でもこんな動きするのiPhoneだけだしなぁ。
FortiGateに設定しているStatic routeはDS-Lite向けのipv4のvne.rootトンネル向けだけであり、ipv6のStatic routeは未設定。
でもFortiGate自身やiPhone以外は問題が出ていないという状況です。
2022/06/27(月) 20:04:37.79ID:???
プライベートアドレスにしていてMACアドレス変わったけどネイバーテーブルが更新されてないとかあるのかも
まわりの状況だけだと判断つかないので、デバッグログ取ったりパケットキャプチャ取ったりしてご自身でログを確認されることをおすすめします
まわりの状況だけだと判断つかないので、デバッグログ取ったりパケットキャプチャ取ったりしてご自身でログを確認されることをおすすめします
2022/06/27(月) 21:19:44.13ID:???
なんか無能ってログ見ないよなあ
2022/06/27(月) 21:38:54.66ID:???
>>838
騙されたと思ってiPhoneのWi-Fi設定のプライベートWi-FiアドレスをOFFにしてみるのだ
騙されたと思ってiPhoneのWi-Fi設定のプライベートWi-FiアドレスをOFFにしてみるのだ
842834
2022/06/28(火) 10:01:42.69ID:utqQV6JZ iPhoneのプライベートWi-FiをOFFった状態でも上記と全く同じ現象でした。
疎通NGの際のログには発信は数バイトあるけど着信は0バイトという現象。
キャプチャは取って中身見てみたけどAndroidとは違う流れになっている事は分かったもののもう少し時間かけて調べてみます。
疎通NGの際のログには発信は数バイトあるけど着信は0バイトという現象。
キャプチャは取って中身見てみたけどAndroidとは違う流れになっている事は分かったもののもう少し時間かけて調べてみます。
843837
2022/06/28(火) 11:31:29.63ID:Pi3bkKB42022/06/29(水) 10:16:11.25ID:???
>>837
ACMEの設定していれば自動更新されるのではないでしょうか。
https://docs.fortinet.com/document/fortigate/7.0.0/new-features/822087/acme-certificate-support
ACMEの設定していれば自動更新されるのではないでしょうか。
https://docs.fortinet.com/document/fortigate/7.0.0/new-features/822087/acme-certificate-support
845837
2022/06/29(水) 10:58:24.60ID:LzIvgFYO >>844
なるほど。
設定はコマンドでは無くGUIで設定しその時は証明署名・ドメイン(FQDN)、メールの入力だけで自動プロビジョニングが
開始されたのでACMEは意識してませんでしたが、たしかにconfig上では設定されてました。
ウィザードで設定すると勝手にWAN側ポートを認識しACMEポートとして設定されて、期間が近づいたら自動で更新される
ようになっているようですね。
ありがとうございます。
なるほど。
設定はコマンドでは無くGUIで設定しその時は証明署名・ドメイン(FQDN)、メールの入力だけで自動プロビジョニングが
開始されたのでACMEは意識してませんでしたが、たしかにconfig上では設定されてました。
ウィザードで設定すると勝手にWAN側ポートを認識しACMEポートとして設定されて、期間が近づいたら自動で更新される
ようになっているようですね。
ありがとうございます。
2022/07/03(日) 17:36:13.68ID:???
スレチで申し訳ないのですが、専用スレがなかったためこちらで訊かせてください。
接続はWindows機一台のみで、パロアルトのPA-200の中古を検討しているのですが、データシートを読むと
FWスループット100Mbps、脅威防御スループット50Mbps、新規セッション1000/sとありました。
Windows機は、ガッツリ帯域を食うようなことはしていません。
一台のみの接続台数であれば、この機種でまかなえるでしょうか?
接続はWindows機一台のみで、パロアルトのPA-200の中古を検討しているのですが、データシートを読むと
FWスループット100Mbps、脅威防御スループット50Mbps、新規セッション1000/sとありました。
Windows機は、ガッツリ帯域を食うようなことはしていません。
一台のみの接続台数であれば、この機種でまかなえるでしょうか?
847anonymous@fusianasan
2022/07/03(日) 20:21:32.89ID:bNEsXoAp >>846
パロの中古なんて買ってまともに動くの?保守なしアプデなしでしょ?
パロの中古なんて買ってまともに動くの?保守なしアプデなしでしょ?
2022/07/03(日) 20:58:14.45ID:???
>>847
ヤフオクを見るとコンスタントに売れてるんですよね…アプデについては、2022/6/25付でパッチはされてるようです。
ちなみにこれを狙っていました↓
https://page.auctions.yahoo.co.jp/jp/auction/o1055757960
ヤフオクを見るとコンスタントに売れてるんですよね…アプデについては、2022/6/25付でパッチはされてるようです。
ちなみにこれを狙っていました↓
https://page.auctions.yahoo.co.jp/jp/auction/o1055757960
2022/07/03(日) 20:59:07.02ID:???
FotiOSを7.0.5から7.0.6に上げると、explicit proxy経由で@Niftyメールなど一部のWebサイトにアクセスできなくなるな
障害報告上げようかと思ったけど、めんどくせ…
障害報告上げようかと思ったけど、めんどくせ…
2022/07/03(日) 21:22:40.90ID:???
2022/07/03(日) 21:30:23.92ID:???
>>850
そうなんですか…PC1台だけならそれほど重くならないはずと思っていたのですが、
厳しいかぁ。
ちなみに、GUIを動かすのが苦労するというのは設定が複雑すぎるということでしょうか?
Fortigateより煩雑なら選択肢から外した方がいいかもしれませんね
そうなんですか…PC1台だけならそれほど重くならないはずと思っていたのですが、
厳しいかぁ。
ちなみに、GUIを動かすのが苦労するというのは設定が複雑すぎるということでしょうか?
Fortigateより煩雑なら選択肢から外した方がいいかもしれませんね
2022/07/03(日) 22:35:10.53ID:???
2011年11月発売の機種でパフォーマンスも今の時代からすると低すぎる
無料でも要らないかな
無料でも要らないかな
2022/07/03(日) 22:44:14.02ID:???
それほど低機能なのに、ヤフオクに出したら13000円となると、やはり元の定価が非常に高いからなんでしょうね。
ありがとうございましたm(_ _ )m
ありがとうございましたm(_ _ )m
854anonymous@fusianasan
2022/07/06(水) 10:00:53.29ID:DAqWYIBs IPsecで冗長化か考えてた人はSD-WANメンバーにWANもVPNインターフェイスも突っ込んで
SD-WANポリシー書いてあげたら幸せになれるよ。
リンクモニターするためにVPNにアドレス振ってあげてね。ping許可も。
SD-WANポリシー書いてあげたら幸せになれるよ。
リンクモニターするためにVPNにアドレス振ってあげてね。ping許可も。
855兵隊。
2022/07/07(木) 19:16:23.58ID:KCvTdPqO FortiGateを最近業務で触り始めたんだけど、やれることが多くてどこから突っ込んで勉強したら
ええのや・・・
ちょうど話題に出てる,SD-WAN,IPSECやらをからめた構成で検証してみるのがよいですかね?
これ検証したらいい勉強になるぜ。 みたいなのがあれば、教えてほしい。
ええのや・・・
ちょうど話題に出てる,SD-WAN,IPSECやらをからめた構成で検証してみるのがよいですかね?
これ検証したらいい勉強になるぜ。 みたいなのがあれば、教えてほしい。
2022/07/07(木) 19:27:31.18ID:???
公式cookbook
2022/07/09(土) 15:17:35.50ID:???
英語読めないんで日本語でいいやつないですか?
2022/07/09(土) 16:15:32.48ID:???
fori社監修の本が出てるから、それがいいんじゃん。日本語だし。
2022/07/09(土) 18:35:28.08ID:???
古いのならば日本語版あるぞ
2022/07/17(日) 10:18:50.46ID:???
FG-50Eを6.2.10→6.2.11にGUIで上げたらGUI接続出来なくなった。
ssh出来るけど443は外から叩いてもcloseになってる
cliでrestore imageで6.2.10に戻しても状況変わらなかったんだけど思いつく事などあります?
ssh出来るけど443は外から叩いてもcloseになってる
cliでrestore imageで6.2.10に戻しても状況変わらなかったんだけど思いつく事などあります?
2022/07/17(日) 11:41:38.63ID:???
管理者接続のポート番号変わっちゃったとか?まぁ普通に考えたら有りえないんだけども。
2022/07/17(日) 17:47:24.72ID:???
わからんけどexecute factoryresetで初期化してみたら
863anonymous@fusianasan
2022/07/17(日) 21:02:32.80ID:bILzoiN3 リリースノートも見てみたけど、そんなバグものってないね。
てか、Frotiのリリースノートのいけてなさは半端ない。
トリガーとか書いてないから、どういう意味ですか? とか問い合わせきても、こっちも書いてある以上の
事は分からないんだけど。
https://docs.fortinet.com/document/fortigate/6.2.11/fortios-release-notes/236526/known-issues
てか、Frotiのリリースノートのいけてなさは半端ない。
トリガーとか書いてないから、どういう意味ですか? とか問い合わせきても、こっちも書いてある以上の
事は分からないんだけど。
https://docs.fortinet.com/document/fortigate/6.2.11/fortios-release-notes/236526/known-issues
2022/07/18(月) 00:53:34.14ID:???
>>860
コマンド叩けるなら接続インターフェースの管理のhttpsを開けたらいいのではないかな?
コマンド叩けるなら接続インターフェースの管理のhttpsを開けたらいいのではないかな?
865anonymous@fusianasan
2022/07/18(月) 04:38:27.06ID:fPxOjV2Q2022/07/18(月) 15:59:49.40ID:???
■ このスレッドは過去ログ倉庫に格納されています
ニュース
- 「健全化は貧困化」「金配れ」財務省前、沿道埋め尽くす「解体デモ」 全国12カ所で開催 14日 ★2 [少考さん★]
- 「実は安倍さんの時も…」過去政権でも慣例化か 石破首相の商品券配布 [蚤の市★]
- 【ライバー殺害】「シャンパン代が…」「姉の彼氏が売掛けを残して…」 被害女性から連日の金の要求に容疑者は消費者金融から借金も★3 [シャチ★]
- 1時間弱”はだいたい何分? 「1時間15分くらい」「80分」令和世代の認識に村上信五絶句「えっ…」 [muffin★]
- 【話題】旧帝院卒の男性が思う高学歴のラインは旧帝・早慶 「田舎でも学校名を言って頭良さそうと伝わるのはこれくらい」 [ひぃぃ★]
- 【音楽】ドリカム・中村正人、新曲リリース日にランキング転落… 涙目で訴え「CD買って」「夢の1.5万枚まであと1.1万枚」 [冬月記者★]
- 【悲報】先生「残念ですが、修学旅行先がUSJから大阪万博になりました」生徒「絶対うそやー」「いややっ」 [616817505]
- あおちゃんぺ姫「最上あいは金を借りてたから自業自得? じゃあ、金が返ってこないのも自業自得じゃねーかwww」 [425744418]
- FJKになるー!質問ぼしゅー
- 【緊急】レスバに負けそうなんやが助けて
- 第2の最上あいを生まないために…高額投げ銭規制するべきでは? [677076729]
- 最上あいがどうやったら生き返るか本気で考えるスレ