>>787
iPhoneやiPad、MACアドレス固定にしてる?
Fortigateについて語ろう5
レス数が1000を超えています。これ以上書き込みはできません。
2022/06/26(日) 09:10:13.94ID:???
2022/06/26(日) 15:00:59.71ID:???
2022/06/26(日) 19:03:20.17ID:???
>>824
どこがそんな回答してくれたのか知りたい
今契約しているところは指定バージョン以外を入れたら保守対象外と言われた
しかも指定バージョンが無茶苦茶古く6.2とか言うし
そんなんが最初なら乗り換えたいわ
どこが7.2とか7.4やってくれる?
どこがそんな回答してくれたのか知りたい
今契約しているところは指定バージョン以外を入れたら保守対象外と言われた
しかも指定バージョンが無茶苦茶古く6.2とか言うし
そんなんが最初なら乗り換えたいわ
どこが7.2とか7.4やってくれる?
2022/06/26(日) 19:55:14.57ID:???
2022/06/26(日) 19:59:23.52ID:???
>>830
ちなみに最新OSはメモリリークしたり機能バグする多いからほぼバグテスターのようなもん
7.2系なんかバグったら公式フォーラムでサポート依頼しながらバグ前提で使うもんだから普通の代理店はサポートとか期待しないわ
ちなみに最新OSはメモリリークしたり機能バグする多いからほぼバグテスターのようなもん
7.2系なんかバグったら公式フォーラムでサポート依頼しながらバグ前提で使うもんだから普通の代理店はサポートとか期待しないわ
832anonymous@fusianasan
2022/06/26(日) 20:08:17.90ID:d3w6xT8i 7.2はまだ怖いなー
自分の経験上だけど、Patch3以降ぐらいからじゃないかなー、導入奨められるのは。
中には、Patch5ぐらいじゃないと、怖いバージョンもあるかもだけど。
自分の経験上だけど、Patch3以降ぐらいからじゃないかなー、導入奨められるのは。
中には、Patch5ぐらいじゃないと、怖いバージョンもあるかもだけど。
2022/06/27(月) 06:46:07.63ID:???
834anonymous@fusianasan
2022/06/27(月) 14:34:02.69ID:5Y8wE/h6 上の方でFortiGate+どこかのAPを使ってiPhoneがIPv6で外に抜けないと言ってる人がいたけどウチでも同様になってる。
Windows PC2台とAndroid3台はIPv6で外に抜けるしIPv4もDS-Liteで使えてる。
ちなみにiPhoneでもIPv4はDS-Lite(IPv4 over IPv6)で使えてる。
環境は下記の通り。
・FortiGate 60E(7.0.6)ちなみに7.2.0でも同様だった。
・NTT西+朝日ネット(IPoE + DS-Lite)IP非固定
・iPhone SE2(15.5),iPhone XS(15.5),iPad mini2(12.5.5)
https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-internet-multifeed-ipoe-ds-lite_fos702.pdf
この辺のFortinetの資料はOCN IPoEのものやアルテリアのものも参考にしていて、WAN固定IPサービス部分を除き同じ事を実施済み。
iPhoneはIPv6アドレスを取得していて、PCとiPhone間でv6でのICMPは疎通OK
しかしiPhoneから外向けのv6アドレスにはping疎通NG
iPhoneやAndroidはinternal側の同一サブネットにいるためF/Wポリシーも同一。
ちなみにiPhoneでも下記設定を施したRTX1200配下からはv6アドレスで外に抜けていたし今戻してみてもちゃんとv6を使用できた。
https://network.yamaha.com/setting/router_firewall/flets/flets_other_service/ipv6_ipoe
FortiGate 60Eの何らかの設定が足らないか過剰なのか不明だけどFortiGate+iPhone(iOS)ならではの問題がありそうなのは確か。
Windows PC2台とAndroid3台はIPv6で外に抜けるしIPv4もDS-Liteで使えてる。
ちなみにiPhoneでもIPv4はDS-Lite(IPv4 over IPv6)で使えてる。
環境は下記の通り。
・FortiGate 60E(7.0.6)ちなみに7.2.0でも同様だった。
・NTT西+朝日ネット(IPoE + DS-Lite)IP非固定
・iPhone SE2(15.5),iPhone XS(15.5),iPad mini2(12.5.5)
https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-internet-multifeed-ipoe-ds-lite_fos702.pdf
この辺のFortinetの資料はOCN IPoEのものやアルテリアのものも参考にしていて、WAN固定IPサービス部分を除き同じ事を実施済み。
iPhoneはIPv6アドレスを取得していて、PCとiPhone間でv6でのICMPは疎通OK
しかしiPhoneから外向けのv6アドレスにはping疎通NG
iPhoneやAndroidはinternal側の同一サブネットにいるためF/Wポリシーも同一。
ちなみにiPhoneでも下記設定を施したRTX1200配下からはv6アドレスで外に抜けていたし今戻してみてもちゃんとv6を使用できた。
https://network.yamaha.com/setting/router_firewall/flets/flets_other_service/ipv6_ipoe
FortiGate 60Eの何らかの設定が足らないか過剰なのか不明だけどFortiGate+iPhone(iOS)ならではの問題がありそうなのは確か。
2022/06/27(月) 15:08:27.68ID:???
デバッグログ、パケットキャプチャみて調査するしかないんじゃないでしょうか
うちはiPhone13 miniで問題なくIPv6で繋がってます(7.0.6、test-ipv6で10/10)
nd-proxyとIPv6 firewall policyがあればいいはず
うちはiPhone13 miniで問題なくIPv6で繋がってます(7.0.6、test-ipv6で10/10)
nd-proxyとIPv6 firewall policyがあればいいはず
836834
2022/06/27(月) 16:26:19.56ID:5Y8wE/h6 >>835
ありがとうございます。
v6のポリシーは上記URLのPDFのものと同じなんですが足らないんですかね。。
その他関係ありそうなところで今設定してるのは下記くらいです。
FGT60E # show system nd-proxy
config system nd-proxy
set status enable
set member "wan1" "internal"
end
FGT60E # show system interface wan1
config system interface
edit "wan1"
set vdom "root"
set type physical
set role wan
set snmp-index 1
config ipv6
set ip6-allowaccess ping
set dhcp6-information-request enable
set autoconf enable
set unique-autoconf-addr enable
end
next
end
wan1がRAで取得したv6アドレスにinternalのPC,Androidからはping通るけど
iphoneからは通らないのがそもそもの問題な気がしてきた。
ありがとうございます。
v6のポリシーは上記URLのPDFのものと同じなんですが足らないんですかね。。
その他関係ありそうなところで今設定してるのは下記くらいです。
FGT60E # show system nd-proxy
config system nd-proxy
set status enable
set member "wan1" "internal"
end
FGT60E # show system interface wan1
config system interface
edit "wan1"
set vdom "root"
set type physical
set role wan
set snmp-index 1
config ipv6
set ip6-allowaccess ping
set dhcp6-information-request enable
set autoconf enable
set unique-autoconf-addr enable
end
next
end
wan1がRAで取得したv6アドレスにinternalのPC,Androidからはping通るけど
iphoneからは通らないのがそもそもの問題な気がしてきた。
837anonymous@fusianasan
2022/06/27(月) 17:31:09.77ID:6lJlu2iS 教えてください。
FortigateでSSL-VPNのサーバ証明書をFortigateのWebGUIのLetsEncryptから生成出来ると思います。
この証明書は3ヶ月で期限切れになりますが、自動更新は出来るのでしょうか?
同一ドメイン作成はできないようなので、自動更新ができない場合、一旦既存の証明書を削除して作り直しするしかなさそうですが。。
FortigateでSSL-VPNのサーバ証明書をFortigateのWebGUIのLetsEncryptから生成出来ると思います。
この証明書は3ヶ月で期限切れになりますが、自動更新は出来るのでしょうか?
同一ドメイン作成はできないようなので、自動更新ができない場合、一旦既存の証明書を削除して作り直しするしかなさそうですが。。
838834
2022/06/27(月) 19:45:32.49ID:5Y8wE/h6 分かった事はiPhoneからFortiGate 60Eのwan1のv6アドレスに一度pingを実行すれば、外にあるWebサーバのv6アドレス宛にもpingが届きHTTPアクセスもOKでv6アドレスがApacheのログに記録される。
しかし、iPhoneのWi-Fiを一度OFFにして再度ONにした後にiPhoneが新しいv6アドレスを取得するとまたping NGになる。
で、またFortiGate 60Eのwan1にpingを実行した後にはまた疎通OKになるというループ。
何かND-Proxyの動きがおかしいようなルートがおかしいような。
でもこんな動きするのiPhoneだけだしなぁ。
FortiGateに設定しているStatic routeはDS-Lite向けのipv4のvne.rootトンネル向けだけであり、ipv6のStatic routeは未設定。
でもFortiGate自身やiPhone以外は問題が出ていないという状況です。
しかし、iPhoneのWi-Fiを一度OFFにして再度ONにした後にiPhoneが新しいv6アドレスを取得するとまたping NGになる。
で、またFortiGate 60Eのwan1にpingを実行した後にはまた疎通OKになるというループ。
何かND-Proxyの動きがおかしいようなルートがおかしいような。
でもこんな動きするのiPhoneだけだしなぁ。
FortiGateに設定しているStatic routeはDS-Lite向けのipv4のvne.rootトンネル向けだけであり、ipv6のStatic routeは未設定。
でもFortiGate自身やiPhone以外は問題が出ていないという状況です。
2022/06/27(月) 20:04:37.79ID:???
プライベートアドレスにしていてMACアドレス変わったけどネイバーテーブルが更新されてないとかあるのかも
まわりの状況だけだと判断つかないので、デバッグログ取ったりパケットキャプチャ取ったりしてご自身でログを確認されることをおすすめします
まわりの状況だけだと判断つかないので、デバッグログ取ったりパケットキャプチャ取ったりしてご自身でログを確認されることをおすすめします
2022/06/27(月) 21:19:44.13ID:???
なんか無能ってログ見ないよなあ
2022/06/27(月) 21:38:54.66ID:???
>>838
騙されたと思ってiPhoneのWi-Fi設定のプライベートWi-FiアドレスをOFFにしてみるのだ
騙されたと思ってiPhoneのWi-Fi設定のプライベートWi-FiアドレスをOFFにしてみるのだ
842834
2022/06/28(火) 10:01:42.69ID:utqQV6JZ iPhoneのプライベートWi-FiをOFFった状態でも上記と全く同じ現象でした。
疎通NGの際のログには発信は数バイトあるけど着信は0バイトという現象。
キャプチャは取って中身見てみたけどAndroidとは違う流れになっている事は分かったもののもう少し時間かけて調べてみます。
疎通NGの際のログには発信は数バイトあるけど着信は0バイトという現象。
キャプチャは取って中身見てみたけどAndroidとは違う流れになっている事は分かったもののもう少し時間かけて調べてみます。
843837
2022/06/28(火) 11:31:29.63ID:Pi3bkKB42022/06/29(水) 10:16:11.25ID:???
>>837
ACMEの設定していれば自動更新されるのではないでしょうか。
https://docs.fortinet.com/document/fortigate/7.0.0/new-features/822087/acme-certificate-support
ACMEの設定していれば自動更新されるのではないでしょうか。
https://docs.fortinet.com/document/fortigate/7.0.0/new-features/822087/acme-certificate-support
845837
2022/06/29(水) 10:58:24.60ID:LzIvgFYO >>844
なるほど。
設定はコマンドでは無くGUIで設定しその時は証明署名・ドメイン(FQDN)、メールの入力だけで自動プロビジョニングが
開始されたのでACMEは意識してませんでしたが、たしかにconfig上では設定されてました。
ウィザードで設定すると勝手にWAN側ポートを認識しACMEポートとして設定されて、期間が近づいたら自動で更新される
ようになっているようですね。
ありがとうございます。
なるほど。
設定はコマンドでは無くGUIで設定しその時は証明署名・ドメイン(FQDN)、メールの入力だけで自動プロビジョニングが
開始されたのでACMEは意識してませんでしたが、たしかにconfig上では設定されてました。
ウィザードで設定すると勝手にWAN側ポートを認識しACMEポートとして設定されて、期間が近づいたら自動で更新される
ようになっているようですね。
ありがとうございます。
2022/07/03(日) 17:36:13.68ID:???
スレチで申し訳ないのですが、専用スレがなかったためこちらで訊かせてください。
接続はWindows機一台のみで、パロアルトのPA-200の中古を検討しているのですが、データシートを読むと
FWスループット100Mbps、脅威防御スループット50Mbps、新規セッション1000/sとありました。
Windows機は、ガッツリ帯域を食うようなことはしていません。
一台のみの接続台数であれば、この機種でまかなえるでしょうか?
接続はWindows機一台のみで、パロアルトのPA-200の中古を検討しているのですが、データシートを読むと
FWスループット100Mbps、脅威防御スループット50Mbps、新規セッション1000/sとありました。
Windows機は、ガッツリ帯域を食うようなことはしていません。
一台のみの接続台数であれば、この機種でまかなえるでしょうか?
847anonymous@fusianasan
2022/07/03(日) 20:21:32.89ID:bNEsXoAp >>846
パロの中古なんて買ってまともに動くの?保守なしアプデなしでしょ?
パロの中古なんて買ってまともに動くの?保守なしアプデなしでしょ?
2022/07/03(日) 20:58:14.45ID:???
>>847
ヤフオクを見るとコンスタントに売れてるんですよね…アプデについては、2022/6/25付でパッチはされてるようです。
ちなみにこれを狙っていました↓
https://page.auctions.yahoo.co.jp/jp/auction/o1055757960
ヤフオクを見るとコンスタントに売れてるんですよね…アプデについては、2022/6/25付でパッチはされてるようです。
ちなみにこれを狙っていました↓
https://page.auctions.yahoo.co.jp/jp/auction/o1055757960
2022/07/03(日) 20:59:07.02ID:???
FotiOSを7.0.5から7.0.6に上げると、explicit proxy経由で@Niftyメールなど一部のWebサイトにアクセスできなくなるな
障害報告上げようかと思ったけど、めんどくせ…
障害報告上げようかと思ったけど、めんどくせ…
2022/07/03(日) 21:22:40.90ID:???
2022/07/03(日) 21:30:23.92ID:???
>>850
そうなんですか…PC1台だけならそれほど重くならないはずと思っていたのですが、
厳しいかぁ。
ちなみに、GUIを動かすのが苦労するというのは設定が複雑すぎるということでしょうか?
Fortigateより煩雑なら選択肢から外した方がいいかもしれませんね
そうなんですか…PC1台だけならそれほど重くならないはずと思っていたのですが、
厳しいかぁ。
ちなみに、GUIを動かすのが苦労するというのは設定が複雑すぎるということでしょうか?
Fortigateより煩雑なら選択肢から外した方がいいかもしれませんね
2022/07/03(日) 22:35:10.53ID:???
2011年11月発売の機種でパフォーマンスも今の時代からすると低すぎる
無料でも要らないかな
無料でも要らないかな
2022/07/03(日) 22:44:14.02ID:???
それほど低機能なのに、ヤフオクに出したら13000円となると、やはり元の定価が非常に高いからなんでしょうね。
ありがとうございましたm(_ _ )m
ありがとうございましたm(_ _ )m
854anonymous@fusianasan
2022/07/06(水) 10:00:53.29ID:DAqWYIBs IPsecで冗長化か考えてた人はSD-WANメンバーにWANもVPNインターフェイスも突っ込んで
SD-WANポリシー書いてあげたら幸せになれるよ。
リンクモニターするためにVPNにアドレス振ってあげてね。ping許可も。
SD-WANポリシー書いてあげたら幸せになれるよ。
リンクモニターするためにVPNにアドレス振ってあげてね。ping許可も。
855兵隊。
2022/07/07(木) 19:16:23.58ID:KCvTdPqO FortiGateを最近業務で触り始めたんだけど、やれることが多くてどこから突っ込んで勉強したら
ええのや・・・
ちょうど話題に出てる,SD-WAN,IPSECやらをからめた構成で検証してみるのがよいですかね?
これ検証したらいい勉強になるぜ。 みたいなのがあれば、教えてほしい。
ええのや・・・
ちょうど話題に出てる,SD-WAN,IPSECやらをからめた構成で検証してみるのがよいですかね?
これ検証したらいい勉強になるぜ。 みたいなのがあれば、教えてほしい。
2022/07/07(木) 19:27:31.18ID:???
公式cookbook
2022/07/09(土) 15:17:35.50ID:???
英語読めないんで日本語でいいやつないですか?
2022/07/09(土) 16:15:32.48ID:???
fori社監修の本が出てるから、それがいいんじゃん。日本語だし。
2022/07/09(土) 18:35:28.08ID:???
古いのならば日本語版あるぞ
2022/07/17(日) 10:18:50.46ID:???
FG-50Eを6.2.10→6.2.11にGUIで上げたらGUI接続出来なくなった。
ssh出来るけど443は外から叩いてもcloseになってる
cliでrestore imageで6.2.10に戻しても状況変わらなかったんだけど思いつく事などあります?
ssh出来るけど443は外から叩いてもcloseになってる
cliでrestore imageで6.2.10に戻しても状況変わらなかったんだけど思いつく事などあります?
2022/07/17(日) 11:41:38.63ID:???
管理者接続のポート番号変わっちゃったとか?まぁ普通に考えたら有りえないんだけども。
2022/07/17(日) 17:47:24.72ID:???
わからんけどexecute factoryresetで初期化してみたら
863anonymous@fusianasan
2022/07/17(日) 21:02:32.80ID:bILzoiN3 リリースノートも見てみたけど、そんなバグものってないね。
てか、Frotiのリリースノートのいけてなさは半端ない。
トリガーとか書いてないから、どういう意味ですか? とか問い合わせきても、こっちも書いてある以上の
事は分からないんだけど。
https://docs.fortinet.com/document/fortigate/6.2.11/fortios-release-notes/236526/known-issues
てか、Frotiのリリースノートのいけてなさは半端ない。
トリガーとか書いてないから、どういう意味ですか? とか問い合わせきても、こっちも書いてある以上の
事は分からないんだけど。
https://docs.fortinet.com/document/fortigate/6.2.11/fortios-release-notes/236526/known-issues
2022/07/18(月) 00:53:34.14ID:???
>>860
コマンド叩けるなら接続インターフェースの管理のhttpsを開けたらいいのではないかな?
コマンド叩けるなら接続インターフェースの管理のhttpsを開けたらいいのではないかな?
865anonymous@fusianasan
2022/07/18(月) 04:38:27.06ID:fPxOjV2Q2022/07/18(月) 15:59:49.40ID:???
2022/07/18(月) 16:17:46.52ID:???
>>860
config system global
set admin-server-sert "”
になってない?ファームウェアをアップグレードしたときに指定されたいたものが外れていたときがあった
config system global
set admin-server-sert "”
になってない?ファームウェアをアップグレードしたときに指定されたいたものが外れていたときがあった
868p
2022/07/18(月) 18:03:41.63ID:??? ストレージ溢れるとかってバグだろw
最適化ってなんやねん
FortiGate 30E and 50E flash card space optimization
最適化ってなんやねん
FortiGate 30E and 50E flash card space optimization
2022/07/18(月) 23:34:13.43ID:???
ローカルストレージが小さいモデルの制限
2022/08/02(火) 21:39:40.47ID:???
>>866
普通に考えてもダメな時の前科多すぎるからなあ
普通に考えてもダメな時の前科多すぎるからなあ
2022/08/03(水) 08:53:10.73ID:???
バージョンダウンの時はConfigも元のバックアップに戻さないと確か正常復元の保証無いよね
今のGUIからのアップデートだと自動的にバックアップ取らされる仕組みだったと思うけれど無視して未保存だったら知らんが
今のGUIからのアップデートだと自動的にバックアップ取らされる仕組みだったと思うけれど無視して未保存だったら知らんが
872anonymous@fusianasan
2022/08/04(木) 14:33:27.01ID:RtL51HNy EメールフィルタでIMAPとPOP3だけ検証したいのですがいい方法ないでしょうか?
SMTP検証はサイト見つけたんですが…
Gmailのサーバで試したもののPOP3Sだったので検知せず。POPサーバ建てるしかないですかね…
SMTP検証はサイト見つけたんですが…
Gmailのサーバで試したもののPOP3Sだったので検知せず。POPサーバ建てるしかないですかね…
2022/08/04(木) 15:48:56.01ID:???
BJDとかでサクッとたてればいいんでは?
874anonymous@fusianasan
2022/08/04(木) 23:16:36.47ID:lY325otV >>873
ありがとうございます、BJDは使ったことないので試してみます!
ありがとうございます、BJDは使ったことないので試してみます!
2022/08/08(月) 09:12:47.58ID:???
akb?
2022/08/08(月) 15:08:27.10ID:???
黒くて大きい犬
2022/08/08(月) 23:34:23.58ID:???
Winproxyって名前だったけど同名のソフトあったから変えたんだよな
2022/08/10(水) 12:32:35.02ID:???
黒くて大きい股間
2022/08/10(水) 13:18:47.75ID:???
誰かFortiOS7.2.1をアップしてくれんやろかー
2022/08/10(水) 13:32:50.29ID:???
>>879
???
???
2022/08/10(水) 15:50:29.73ID:???
>>879
Fortinet様か代理店がアップしてくれているぞ
Fortinet様か代理店がアップしてくれているぞ
882anonymous@fusianasan
2022/08/22(月) 16:18:46.88ID:ipoiGtzg IPoE2回線でのSD-WAN構成について解説しているサイトや情報ご存じないですか?
少なくとも片方はVDOMで分けて設定が必要かと思いますが、SCSKに問い合わせても事例が無いので回答できないと言われまして...
少なくとも片方はVDOMで分けて設定が必要かと思いますが、SCSKに問い合わせても事例が無いので回答できないと言われまして...
2022/08/23(火) 16:39:12.84ID:???
あそこはわからないことが多いよ
他社が公開してくれている使い方でも自励がない、出来ないと言われたこともある
他社が公開してくれている使い方でも自励がない、出来ないと言われたこともある
2022/08/23(火) 16:43:43.76ID:???
書き忘れた
今聞いてるのはサボート窓口だよな?しつこく聞くと「修理対応とか動いていた設定が動かないときの窓口です。新規の設定はサポートしていません」と言われたこともある
購入した代理店?経由で営業に聞いてもらうと情報をもらえることもあった
fortigateはどこのサポートも同じかもしれないけどな
今聞いてるのはサボート窓口だよな?しつこく聞くと「修理対応とか動いていた設定が動かないときの窓口です。新規の設定はサポートしていません」と言われたこともある
購入した代理店?経由で営業に聞いてもらうと情報をもらえることもあった
fortigateはどこのサポートも同じかもしれないけどな
2022/08/23(火) 19:31:12.20ID:???
新規の設定は構築として請け負うものだからね
2022/08/23(火) 20:37:15.98ID:???
>>882
v6 のI/F 毎にVDOM 分けて、VDOM link で root vdomに繋げて
root VDOM から VDOM link 経由の v6 tunnel を作る
それぞれをsdwan でまとめる。って感じで多分いけるかと
v6 のI/F 毎にVDOM 分けて、VDOM link で root vdomに繋げて
root VDOM から VDOM link 経由の v6 tunnel を作る
それぞれをsdwan でまとめる。って感じで多分いけるかと
2022/08/23(火) 20:40:28.06ID:???
あ、tunnel はそれぞれのVDOM からになるのかな?
環境があるならまずやってみて欲しい
環境があるならまずやってみて欲しい
2022/08/23(火) 23:09:41.59ID:???
VDOMで分ける必要ある?
2022/08/24(水) 00:16:22.41ID:???
ipoeトンネルIFになるvne.rootがvdom1つにつき1つまでだからvdom分けは必須かと。
ただrootvdomじゃないと固定v4アドレスが降ってこなかった記憶があります。
vneトンネルがvdom単位で作成できれば可能性はあるかなぁ。
ただrootvdomじゃないと固定v4アドレスが降ってこなかった記憶があります。
vneトンネルがvdom単位で作成できれば可能性はあるかなぁ。
2022/08/24(水) 02:59:12.08ID:???
2022/08/24(水) 19:06:20.50ID:???
2022/08/24(水) 19:47:10.16ID:???
>>890
ファーム上がって直ってるよ
ファーム上がって直ってるよ
2022/08/24(水) 21:03:15.01ID:???
IPoEの意味も知らんぽいどしろうとの相手なんかできないだろ
文字通りIPがイーサに載ること
こんだけIPoE一色になるまえにL3,L2プロトコルが色々乱立覇権争いしてた頃
40年位前に特定の組み合わせを示すのにできた言葉
文字通りIPがイーサに載ること
こんだけIPoE一色になるまえにL3,L2プロトコルが色々乱立覇権争いしてた頃
40年位前に特定の組み合わせを示すのにできた言葉
894anonymous@fusianasan
2022/08/26(金) 04:57:09.97ID:Qsa9HB2X すみません、FortigateのVPNについて教えてください。
この度、外部からVPNで社内に接続する方法について検討しています。
その方法として、L2TP/IPsecを用いた接続(こちらの方がOS標準機能で実現可能なので望ましい)か
FortiClientを用いたIPsec接続のどちらかを考えています。
その際、認証アカウント単位でアクセス権と言いますかポリシー制御をかけたいのですが
見方が悪いのかそのような設定箇所が見当たりませんでした。
もしかして上記2つの接続方法では、認証アカウント単位での制御はできないのでしょうか?
初歩的な質問で申し訳ございませんが、ご教示いただけますと幸いです。
この度、外部からVPNで社内に接続する方法について検討しています。
その方法として、L2TP/IPsecを用いた接続(こちらの方がOS標準機能で実現可能なので望ましい)か
FortiClientを用いたIPsec接続のどちらかを考えています。
その際、認証アカウント単位でアクセス権と言いますかポリシー制御をかけたいのですが
見方が悪いのかそのような設定箇所が見当たりませんでした。
もしかして上記2つの接続方法では、認証アカウント単位での制御はできないのでしょうか?
初歩的な質問で申し訳ございませんが、ご教示いただけますと幸いです。
2022/08/26(金) 10:20:38.81ID:???
>>894
ユーザグループ毎にVPNを作成してVPNにIPv4ポリシー書けばできそうですね。
https://milestone-of-se.nesuke.com/product/fortigate/secure-ipsec-vpn-config-sample/
ユーザ単位(認証アカウント単位)にしたい場合、ユーザとユーザグループを1対1で設定する 事になりそうですが
規模によっては設定上の上限値を考慮しないと破綻するので購入前なら 代理店に問い合わせた方が良いかと。
ユーザグループ毎にVPNを作成してVPNにIPv4ポリシー書けばできそうですね。
https://milestone-of-se.nesuke.com/product/fortigate/secure-ipsec-vpn-config-sample/
ユーザ単位(認証アカウント単位)にしたい場合、ユーザとユーザグループを1対1で設定する 事になりそうですが
規模によっては設定上の上限値を考慮しないと破綻するので購入前なら 代理店に問い合わせた方が良いかと。
2022/08/26(金) 10:35:57.52ID:???
2022/08/26(金) 11:44:20.74ID:???
>>895
ありがとうございます。
ユーザーグループを分けて設定というのには目から鱗でした。
元々は社員のみが使うリモートワーク用にと思い発案したのですが、各システムベンダーの保守担当から
メンテナンス用にリモート環境が欲しいとの要望があったことを思い出し、この際一緒にやるかとの流れになりまして。
ただベンダーを信頼しているとはいえ、万が一の事故発生時に他社に対してもフリーアクセスな環境を
与えていたとなると問題になるなぁと怖くなり、なんとか制御する方法があればいいなと考えていた次第です。
当社で使用しているFortigate40Fはトランスペアレントモード(もちろんルーターからIPsecパススルーでFortigateに渡すつもりです)
で動作しているため、ご教示いただいたページの構成とは異なりますが、loopback云々は飛ばして
読み替えていけば実現できそうな気がしてきました。
グループ分けは社員用と各ベンダー用(2社)の計3グループに分けられそうなので、現実的な範囲でできそうです。
クライアントを別途インストールする必要がありますが、社員向けにはこれから具体的な話を進める予定ですので
少しだけ手間かかるよ、ぐらいの話で済みますし、ベンダーについてはクライアント使ってね!で大丈夫だと思います。
ありがとうございます。
ユーザーグループを分けて設定というのには目から鱗でした。
元々は社員のみが使うリモートワーク用にと思い発案したのですが、各システムベンダーの保守担当から
メンテナンス用にリモート環境が欲しいとの要望があったことを思い出し、この際一緒にやるかとの流れになりまして。
ただベンダーを信頼しているとはいえ、万が一の事故発生時に他社に対してもフリーアクセスな環境を
与えていたとなると問題になるなぁと怖くなり、なんとか制御する方法があればいいなと考えていた次第です。
当社で使用しているFortigate40Fはトランスペアレントモード(もちろんルーターからIPsecパススルーでFortigateに渡すつもりです)
で動作しているため、ご教示いただいたページの構成とは異なりますが、loopback云々は飛ばして
読み替えていけば実現できそうな気がしてきました。
グループ分けは社員用と各ベンダー用(2社)の計3グループに分けられそうなので、現実的な範囲でできそうです。
クライアントを別途インストールする必要がありますが、社員向けにはこれから具体的な話を進める予定ですので
少しだけ手間かかるよ、ぐらいの話で済みますし、ベンダーについてはクライアント使ってね!で大丈夫だと思います。
2022/08/26(金) 11:44:34.53ID:???
なお前職がFotigateを取り扱う職種(既知の通り雑魚クラスですが)で、2年前に現職に転職したのですが
代理店(設置導入業者)はメンテナンス費用を別途払ってるのに、前機種については5年間一度も点検や
ファーム更新の対応をしたことがなく、今回の40Fも全ての通信に対してアンチウイルス、webフィルタ(デフォルト)、IPS
を適用というただUTMを挟んでるだけのザル設定に20万請求されたり
今回の設定変更(社員のみの簡単な方)に30万とか言ってくるなど不信感しかないため、知識に乏しいのかあまり頼りたくなく
今回adminのパスワードを寄越せと依頼しまして自力解決を目指していましたが、こちらで知恵を拝借する形となり申し訳ございません。
なお最終的に出来上がったコンフィグは、業者にも渡す予定です。
すみません、後半はかなりグダグダにグチですね……金額もそれが相場なのかもしれませんし……
9月の中頃には設定変更を行う予定ですので、不要かもしれませんがまた結果等ご報告いたします。
この度は本当にありがとうございました。
代理店(設置導入業者)はメンテナンス費用を別途払ってるのに、前機種については5年間一度も点検や
ファーム更新の対応をしたことがなく、今回の40Fも全ての通信に対してアンチウイルス、webフィルタ(デフォルト)、IPS
を適用というただUTMを挟んでるだけのザル設定に20万請求されたり
今回の設定変更(社員のみの簡単な方)に30万とか言ってくるなど不信感しかないため、知識に乏しいのかあまり頼りたくなく
今回adminのパスワードを寄越せと依頼しまして自力解決を目指していましたが、こちらで知恵を拝借する形となり申し訳ございません。
なお最終的に出来上がったコンフィグは、業者にも渡す予定です。
すみません、後半はかなりグダグダにグチですね……金額もそれが相場なのかもしれませんし……
9月の中頃には設定変更を行う予定ですので、不要かもしれませんがまた結果等ご報告いたします。
この度は本当にありがとうございました。
2022/08/26(金) 12:53:06.05ID:???
2022/08/26(金) 13:00:14.62ID:???
どの程度の金額を希望なのかな?
1万とか2万でやってくれるところがあれば発注したい
1万とか2万でやってくれるところがあれば発注したい
2022/08/26(金) 13:27:57.00ID:???
知識が乏しいかもしれない業者に、自分で触ったコンフィグ渡して面倒見てもらえると思うのかい?
2022/08/26(金) 13:44:38.30ID:???
>>899
普通のL2TP/IPsec、あるいは普通にFortiClientを利用したIPsecなら、私のようなボンクラでも余裕で設定ぐらいはできました。
ただメンテナンスもお願いしている手前、業者に依頼したらそんな金額で……
それなら自分でやるわ!になった次第ですが、その後にユーザー別の制御をかけたいと思うようになって
一気にハードルが上がってしまいました。
上で紹介していただいた方法を思い付かなかった想像力、応用力がなかった自分の能力不足ですが……
まぁリスクや後からの微細な仕様変更への対応、人件費含めると、適正価格というのは一体どれぐらいなのかな?
と疑問に思ったりもします。
>>900
なもんで、適正がどれぐらいなのか判断つきにくいですが、私の肌感覚としてネットで軽く調べただけで多くの事例がヒットする
かつ複雑でもなんでもないそんな内容であれば5万もあれば十分かと思ったりします。←例えば簡単な方のL2TPとか
適正価格が本当に分からないですけどね。
>>901
一応、コンフィグ送ってくれてたら何かあった時は私が例えば死んだ後とかに対応する旨返答は頂いてますが
実際面倒見てくれるかは分からないですね。
そう考えると、企業にとってみたら30万(ユーザー制御になるともっと高額?)浮いたように見えるも
結果マイナスになるのかもしれません。
私の一方的なグチで皆様にも多大なる不快感を与えてしまってましたら本当に申し訳ございません。
普通のL2TP/IPsec、あるいは普通にFortiClientを利用したIPsecなら、私のようなボンクラでも余裕で設定ぐらいはできました。
ただメンテナンスもお願いしている手前、業者に依頼したらそんな金額で……
それなら自分でやるわ!になった次第ですが、その後にユーザー別の制御をかけたいと思うようになって
一気にハードルが上がってしまいました。
上で紹介していただいた方法を思い付かなかった想像力、応用力がなかった自分の能力不足ですが……
まぁリスクや後からの微細な仕様変更への対応、人件費含めると、適正価格というのは一体どれぐらいなのかな?
と疑問に思ったりもします。
>>900
なもんで、適正がどれぐらいなのか判断つきにくいですが、私の肌感覚としてネットで軽く調べただけで多くの事例がヒットする
かつ複雑でもなんでもないそんな内容であれば5万もあれば十分かと思ったりします。←例えば簡単な方のL2TPとか
適正価格が本当に分からないですけどね。
>>901
一応、コンフィグ送ってくれてたら何かあった時は私が例えば死んだ後とかに対応する旨返答は頂いてますが
実際面倒見てくれるかは分からないですね。
そう考えると、企業にとってみたら30万(ユーザー制御になるともっと高額?)浮いたように見えるも
結果マイナスになるのかもしれません。
私の一方的なグチで皆様にも多大なる不快感を与えてしまってましたら本当に申し訳ございません。
2022/08/26(金) 13:45:52.01ID:???
どんな契約か?だろ
オンサイト保守ならconfig渡しておけば故障時に設定入れてくれる
という業者もあった
標準サービスだと
点検やファームアップ作業はないだろうな
個別保守契約でもしないとやってくれないだろうな
とは思う
オンサイト保守ならconfig渡しておけば故障時に設定入れてくれる
という業者もあった
標準サービスだと
点検やファームアップ作業はないだろうな
個別保守契約でもしないとやってくれないだろうな
とは思う
2022/08/26(金) 14:53:32.19ID:???
とはいえ、管理者アカウントを人質に取ったままEOSまでファーム更新無しは流石にどうかと思うわ
2022/08/26(金) 19:13:06.27ID:???
すげーな
契約していない作業もやってくれるのか?
ぜひうちの設定もお願いしたい
契約していない作業もやってくれるのか?
ぜひうちの設定もお願いしたい
2022/08/26(金) 22:58:59.64ID:???
898に依頼すれば出し値5万でやってくれるのか
めんどくさいクソ客の依頼投げたいから連絡先教えてよ
めんどくさいクソ客の依頼投げたいから連絡先教えてよ
2022/08/27(土) 02:02:52.48ID:???
>>902
どういった想定作業の5万なのでしょうか?
不特定のグローバルアドレスからの外部接続を許可するのであればペネトレーションテストはしない想定ですか?
間違って穴が空いててもわかりません。
リモートアクセスのログは取らない想定ですか?
身に覚えないリモート接続があってもわかりません。
2要素認証はしない想定ですか?
ユーザーとIPSECのパスワードを知っている人が会社を辞めた場合、私物PCから接続できてしまいます。パスワードを変えるなり対応が必要です。
また、要件に無いのかもしれませんが、リモートで同時接続の負荷試験はしないのですか?
実際使ってみたら使いものにならないくらい通信が遅くなるかもしれません。
外部に穴を空けるのはそれなりにリスクのある作業だと思います。
リスクが取れるならご自身で設定されるのはありだと思いますが、ただ後々大変な事になっても自己責任になります。
どういった想定作業の5万なのでしょうか?
不特定のグローバルアドレスからの外部接続を許可するのであればペネトレーションテストはしない想定ですか?
間違って穴が空いててもわかりません。
リモートアクセスのログは取らない想定ですか?
身に覚えないリモート接続があってもわかりません。
2要素認証はしない想定ですか?
ユーザーとIPSECのパスワードを知っている人が会社を辞めた場合、私物PCから接続できてしまいます。パスワードを変えるなり対応が必要です。
また、要件に無いのかもしれませんが、リモートで同時接続の負荷試験はしないのですか?
実際使ってみたら使いものにならないくらい通信が遅くなるかもしれません。
外部に穴を空けるのはそれなりにリスクのある作業だと思います。
リスクが取れるならご自身で設定されるのはありだと思いますが、ただ後々大変な事になっても自己責任になります。
2022/08/27(土) 03:12:26.15ID:???
この手の話って基本的にお金で解決するんですよね
2022/08/27(土) 07:59:39.08ID:???
910anonymous@fusianasan
2022/08/27(土) 12:04:00.37ID:i1SbaeJx2022/08/27(土) 12:12:06.52ID:???
多少金払いが良くても手離れが悪い/ガラが悪い客は敬遠される
2022/08/28(日) 00:34:16.68ID:???
2022/08/28(日) 17:50:01.27ID:???
書いてるじゃん
ネットで事例があるような設定して5万だよ
肌感覚として間違いないよ
ネットで事例があるような設定して5万だよ
肌感覚として間違いないよ
2022/08/28(日) 20:57:33.90ID:???
まぁここはお金もらう側の業者も多いだろうしな
あれやこれやとリスクだのコストだの綺麗事抜かしてるけど
実際のところネット事例集そのまま丸パクリで何十万も金取る業者もいるからな
もちろんここの住人は都会でそれなりの規模の客先に出入りしている業者だと思うから価格に見合った仕事してるだろうけど
俺の住む鳥取市は、知ってるだけでもかなりいい加減な作業で費用だけは一流並みに請求する業者が少なくとも4社はある
あれやこれやとリスクだのコストだの綺麗事抜かしてるけど
実際のところネット事例集そのまま丸パクリで何十万も金取る業者もいるからな
もちろんここの住人は都会でそれなりの規模の客先に出入りしている業者だと思うから価格に見合った仕事してるだろうけど
俺の住む鳥取市は、知ってるだけでもかなりいい加減な作業で費用だけは一流並みに請求する業者が少なくとも4社はある
2022/08/28(日) 21:47:28.32ID:???
何でまともな業者に頼まないのか
2022/08/28(日) 22:56:15.48ID:???
IT業者のぐるなび的なクチコミサイトって有ったりする?
NDAに激しく抵触しそうだけど。
NDAに激しく抵触しそうだけど。
2022/08/28(日) 23:58:07.11ID:???
>>914
言いたいことは分かるよw
例えば例に挙げてゴメンだけど>>907とか、さぞ立派なこと言っているようで実は大したことがないw
間違って穴が?今回の話に合わせると、FortigateにIPsecの設定を施したら他にも釣られて関係ないポートが開いちゃうものなの?
リモートアクセスログなんて、普通Syslogで代用できるしwみんなもフルで取ってるでしょ?
2要素認証なんて、それこそいくらでも事例がヒットする内容なのに、さも特別感装いやがってw
あと退職した人?そいつのユーザーアカウント削除すれば良いだけだし、そもそも2要素認証していればなんの問題もない罠w
まあこんなもんよ
小難しい御託並べても、それはど素人になら通用する詭弁なことが多いよね
言いたいことは分かるよw
例えば例に挙げてゴメンだけど>>907とか、さぞ立派なこと言っているようで実は大したことがないw
間違って穴が?今回の話に合わせると、FortigateにIPsecの設定を施したら他にも釣られて関係ないポートが開いちゃうものなの?
リモートアクセスログなんて、普通Syslogで代用できるしwみんなもフルで取ってるでしょ?
2要素認証なんて、それこそいくらでも事例がヒットする内容なのに、さも特別感装いやがってw
あと退職した人?そいつのユーザーアカウント削除すれば良いだけだし、そもそも2要素認証していればなんの問題もない罠w
まあこんなもんよ
小難しい御託並べても、それはど素人になら通用する詭弁なことが多いよね
2022/08/29(月) 00:36:40.74ID:???
>>916
あそこの業者はボッタクリだ!とか、契約にないことは一切してくれない!とかの一方的な悪口コミを、NDAに抵触だ!と言われても困っちゃう。
あそこの業者はボッタクリだ!とか、契約にないことは一切してくれない!とかの一方的な悪口コミを、NDAに抵触だ!と言われても困っちゃう。
919895
2022/08/29(月) 01:59:51.66ID:??? 立場によって色々な意見はあるとは思いますが、ここ以外に日本語でFortinet製品の情報を日本語でやり取りできる
コミュニティみたいなものはあった方が良い気がしますね。
Fortinet Japanの中の人がここを見ているかわかりませんが、日本語が使えるコミュニティサイトを作るのは難しんですかね。
コミュニティみたいなものはあった方が良い気がしますね。
Fortinet Japanの中の人がここを見ているかわかりませんが、日本語が使えるコミュニティサイトを作るのは難しんですかね。
2022/08/29(月) 02:30:07.74ID:???
自分たちではやる気ないよ
各代理店?がやるくらいかな
各代理店?がやるくらいかな
921895
2022/08/29(月) 02:47:39.08ID:??? なるほど。
私は今となっては仕事では全く関係ないのですが、10数年前にFortinetには元々ciscoにいた人が多いと聞いていて
ciscoやVMwareのようにユーザの自助努力である程度解決できるようなKBなりコミュニティなりを醸成されていくものと
思っていましたが、認識違いでしたかね。
私は今となっては仕事では全く関係ないのですが、10数年前にFortinetには元々ciscoにいた人が多いと聞いていて
ciscoやVMwareのようにユーザの自助努力である程度解決できるようなKBなりコミュニティなりを醸成されていくものと
思っていましたが、認識違いでしたかね。
2022/08/29(月) 05:57:36.53ID:???
シスコがそういうコミュニティ発展できたのってほぼ一強だったからだし
2022/08/29(月) 23:18:39.33ID:???
適正価格って、請け負って儲けが出る価格じゃないのか?
config流するだけなら5万でも妥当かもしれんが動作保証なんてしてくれんけど。
config流するだけなら5万でも妥当かもしれんが動作保証なんてしてくれんけど。
2022/08/29(月) 23:36:58.84ID:???
自分で出来るようなことなら自分でやればいいだけなのに
何故か人にやってもらう話になってて金額云々の話になってるのが謎
何故か人にやってもらう話になってて金額云々の話になってるのが謎
2022/08/30(火) 07:21:57.99ID:???
世の中コンフィグ流すだけとかすら出来ない連中ばっかなんですよ……
コンフィグ流せたら上等よ……
コンフィグ流せたら上等よ……
2022/08/30(火) 08:40:00.28ID:???
この業界単価がどう?というのはあるだろうが
5万じゃ1日もかけられない
って所多いだろうな
実作業だけではなく、受注前の要件確認、見積から始まり各種の資料作成とフォロー
場合によっては事前検証
正直短時間度終わる仕事ってそれ以外のことが多くて受けたくないな
他の案件とからめてほしいわ
5万じゃ1日もかけられない
って所多いだろうな
実作業だけではなく、受注前の要件確認、見積から始まり各種の資料作成とフォロー
場合によっては事前検証
正直短時間度終わる仕事ってそれ以外のことが多くて受けたくないな
他の案件とからめてほしいわ
2022/08/31(水) 19:53:52.16ID:???
パラシとか手順書とか見ないのに要求されるの草
クラウドの手順書なんて納めた頃には変わってるw
クラウドの手順書なんて納めた頃には変わってるw
928anonymous@fusianasan
2022/08/31(水) 20:01:23.34ID:qhe8M1vb こっちでやるからちゃちゃっと教えてよ。手順書作ってくれればいいから。作業の予算ないんだよ。
2022/08/31(水) 20:36:59.70ID:???
資料を手順書と読んだのかな?
だとしたら仕事したことのない子供か?
社内手続だけでもかなり有るぞ
自分が作るの以外にもな
会社での仕事ってそんなもんさ
イヤなら趣味で絵やるんだよ
だとしたら仕事したことのない子供か?
社内手続だけでもかなり有るぞ
自分が作るの以外にもな
会社での仕事ってそんなもんさ
イヤなら趣味で絵やるんだよ
2022/09/01(木) 22:59:42.45ID:???
2022/09/02(金) 00:51:53.67ID:???
面白いと思って書き込んだんやろなぁ
932anonymous@fusianasan
2022/09/02(金) 08:28:20.11ID:DLjL82aX こいつ絶対仕事できない低脳だな
「コンソールにadminログイン」が分かる連中はそんな罠には引っかからない
本当に引っ掛けたいのなら、素人でも分かるようにシリアル接続ではなくwebログインの仕方詳細や
ブラウザ上からのコンソール起動方法を説明しないとダメだね
あと入力コマンド、これもキチンと書かないといけない
2.とか3.とか、素人はそのまま入力するぞ
「コンソールにadminログイン」が分かる連中はそんな罠には引っかからない
本当に引っ掛けたいのなら、素人でも分かるようにシリアル接続ではなくwebログインの仕方詳細や
ブラウザ上からのコンソール起動方法を説明しないとダメだね
あと入力コマンド、これもキチンと書かないといけない
2.とか3.とか、素人はそのまま入力するぞ
2022/09/02(金) 17:08:58.75ID:???
ネタにマジレス…?
2022/09/02(金) 18:31:24.43ID:???
ネタだとしたら寒すぎるので、敢えてマジレスした可能性
935anonymous@fusianasan
2022/09/03(土) 13:35:15.42ID:hACUfT7H Fortigate使いにくいからYAMAHAのルーターに変えようと思ったけど中古でも高いな
2022/09/03(土) 16:03:28.88ID:???
UTM機能は要らないってことかな?
ルーターとして使うだけなら、fortigateの方が設定楽だと思うけどなぁ
YAMAHAは行き帰り両方フィルター考慮しないといけないし…
各種VPNとか、事例集が多いのはYAMAHAだけどね
そこまでのスペックやIPoEが要らないのならRTX1200の中古オススメ
ルーターとして使うだけなら、fortigateの方が設定楽だと思うけどなぁ
YAMAHAは行き帰り両方フィルター考慮しないといけないし…
各種VPNとか、事例集が多いのはYAMAHAだけどね
そこまでのスペックやIPoEが要らないのならRTX1200の中古オススメ
2022/09/04(日) 01:36:07.62ID:???
もろもろのバグで使いにくいってのならわかる
設定が難しいって話なら?って感じ
設定が難しいって話なら?って感じ
2022/09/04(日) 11:23:35.13ID:???
ヤマハの利点はスクリプトで色々できることかな
Fortigateにスクリプトが実装されればと夢見てる
Fortigateにスクリプトが実装されればと夢見てる
939anonymous@fusianasan
2022/09/04(日) 13:43:30.51ID:hoBEDvGk Fortigateってファームウェアアップするとひきつがれないconfigとか
パフォーマンスに影響があったりと客先で使いづらくない?
YAMAHAも同じかなぁ。
パフォーマンスに影響があったりと客先で使いづらくない?
YAMAHAも同じかなぁ。
2022/09/06(火) 20:02:05.25ID:???
ちゃんとConfigは引き継ぐぞ
RTX1200は遅いから個人ならば830が良いよ
VPNはYAMAHAよりもSynologyのWifiルーターの方がSSL-VPNも使えて便利
RTX1200は遅いから個人ならば830が良いよ
VPNはYAMAHAよりもSynologyのWifiルーターの方がSSL-VPNも使えて便利
2022/09/07(水) 07:37:03.87ID:???
指定されたパスに従ってアップグレードしてないとか
2022/09/07(水) 09:46:05.29ID:???
RTX1200ですら遅いと言われる時代になったか…
まぁ確かに10年以上前の製品だし、これも時代の流れか
まぁ確かに10年以上前の製品だし、これも時代の流れか
943小心者
2022/09/10(土) 00:37:55.69ID:Vv/PT3Le お客さんからの問い合わせに対して、FORTINET DOCUMENTS LIBRARYに記載があるから、これは仕様と存じます。
って回答しても、本当に仕様なんですか? と聞き返されると、凄い不安になってしまいます。
皆さんも不安になりますでしょうか?
私が小心者なのでしょうかね。自信が無く、寝れない日が続いています。
って回答しても、本当に仕様なんですか? と聞き返されると、凄い不安になってしまいます。
皆さんも不安になりますでしょうか?
私が小心者なのでしょうかね。自信が無く、寝れない日が続いています。
944anonymous@fusianasan
2022/09/10(土) 13:00:49.52ID:h1Y8dg2a そういうときは、サポートに問い合わせて裏を取ればいいんだよ。
サポートが言ってますってのは常套手段。
サポートが間違えりゃ、サポートの責にできる。
サポートが言ってますってのは常套手段。
サポートが間違えりゃ、サポートの責にできる。
2022/09/10(土) 14:04:28.99ID:???
2022/09/10(土) 19:58:06.40ID:???
確かにIQ低そうだな
2022/09/11(日) 00:18:56.17ID:???
2022/09/11(日) 02:44:59.45ID:???
ドキュメントを根拠に仕様を説明しても疑われているという話で、検証して権威付けは無理があるのでは。
自分の不安感を取り除くために検証するのは悪くはないかもしれないけど、検証してドキュメント通りの動きに
なったから仕様と言われても検証する前からドキュメント通りの動きだし答えになっていないよね。
944のサポートに問い合わせて裏取りが最善に思えるけど、>>943はこんな所で聞かずに職場の上司や同僚に
相談すべき内容だと思うよ。
自分の不安感を取り除くために検証するのは悪くはないかもしれないけど、検証してドキュメント通りの動きに
なったから仕様と言われても検証する前からドキュメント通りの動きだし答えになっていないよね。
944のサポートに問い合わせて裏取りが最善に思えるけど、>>943はこんな所で聞かずに職場の上司や同僚に
相談すべき内容だと思うよ。
2022/09/11(日) 03:29:10.97ID:???
ドキュメントに記載があって動作もその通りならそういう仕様と言い切ってOKですよ
2022/09/11(日) 09:53:18.64ID:???
仕様がそうだから今のままではできません。なのでこうします
を考えるのがSEの仕事なのでは??
を考えるのがSEの仕事なのでは??
2022/09/11(日) 12:45:03.08ID:???
Public に公開してるドキュメントの通りの挙動をしてる状態で、「それは仕様通りの挙動ですか?」と問われたら、「大丈夫?」と心配するレベルですね。
具体的に気になってるところを聞いてみては?客の疑問は別のところにあるんじゃない?
その機能を使いたいが、今後変わったら困るとか。まぁ未来のことなんて誰も分からんから、このケースだとさらに困るけどね。
具体的に気になってるところを聞いてみては?客の疑問は別のところにあるんじゃない?
その機能を使いたいが、今後変わったら困るとか。まぁ未来のことなんて誰も分からんから、このケースだとさらに困るけどね。
2022/09/11(日) 13:24:03.17ID:???
953小心者
2022/09/11(日) 15:48:46.23ID:by8/bSNc 皆さん
色々とアドバイス頂きましてありがとうございます。
弊職はサポート側の業務もしており、
Fortinet社へ問い合わせすることも可能ではありますが、ドキュメントに記載があり、解釈が不安な点はラボでも検証をしてはいるのですが、自分で仕様だと言い切る自信を持てず悩んでおりました。
検証もしてはおりますので、もう少し自分に自信をもてるように、精進していこうと思います。
色々とアドバイス頂きましてありがとうございます。
弊職はサポート側の業務もしており、
Fortinet社へ問い合わせすることも可能ではありますが、ドキュメントに記載があり、解釈が不安な点はラボでも検証をしてはいるのですが、自分で仕様だと言い切る自信を持てず悩んでおりました。
検証もしてはおりますので、もう少し自分に自信をもてるように、精進していこうと思います。
954anonymous@fusianasan
2022/09/13(火) 01:20:17.61ID:a08vytbx upgrade pathのプルダウン何にも選べないんだけど俺だけ?
955anonymous@fusianasan
2022/09/13(火) 09:25:02.29ID:PKf+YU0a 今日開いたら直ってたわ
2022/09/16(金) 09:54:24.76ID:???
fortigateのトラフィックシェーピングって制度は結構いい加減なんですかね?
2022/09/16(金) 10:58:47.86ID:???
制度→精度
958anonymous@fusianasan
2022/09/16(金) 21:25:16.78ID:R0Le4TWH FGTのQOSはオマケみたいなものと捉えています。
ルータじゃなくて、しょせんFWですので。
なにを勘違いしてか、FGTでOQS実装されているからといって、Ciscoルータみたいにがっつり
使えると思われてしまうのが、しんどいですわ。
ルータじゃなくて、しょせんFWですので。
なにを勘違いしてか、FGTでOQS実装されているからといって、Ciscoルータみたいにがっつり
使えると思われてしまうのが、しんどいですわ。
2022/09/16(金) 23:36:34.50ID:???
FGTでQOSの精度を求められるって、どんな案件なんだ?モデル何入れるん?
2022/09/16(金) 23:54:55.91ID:???
QoSの精度とか求めるならCiscoの高いルータ(ASR1k以上とか?)使ってくださいですかね
2022/09/17(土) 04:31:17.69ID:???
細い閉域網を使うためにQoS云々って話はいまだにありますね
信頼性云々で閉域網が好まれることはあるけど、逼迫して特定のトラフィクだけ救えても
どのみち業務に支障がでるんですよね
ご家庭用でも10Gbpsが来てる時代にQoSって必要なんかなとは思います
信頼性云々で閉域網が好まれることはあるけど、逼迫して特定のトラフィクだけ救えても
どのみち業務に支障がでるんですよね
ご家庭用でも10Gbpsが来てる時代にQoSって必要なんかなとは思います
2022/09/17(土) 09:25:33.28ID:???
Fortigateはおまけ機能の詰め合わせで成ってる製品
2022/09/17(土) 09:44:50.31ID:???
使えない機能ならつけなくて結構
宣伝だけして使えませんって詐欺じゃん
宣伝だけして使えませんって詐欺じゃん
2022/09/17(土) 10:40:21.48ID:???
何千人もいるのにベストエフォート1Gbp一本しか引かないでいつも回線パンパンなんだけど、シェーピングすればうまくいくって信じ込んでうまくいかなくて精度が悪いフォーティのせいみたいなのは何度も見た
965anonymous@fusianasan
2022/09/17(土) 12:39:48.34ID:fU617t+t 法人だと回線を簡単には変えられないだろうから難しいよね
帯域保証になると値段が跳ね上がるしなぁ
帯域保証になると値段が跳ね上がるしなぁ
2022/09/17(土) 14:13:28.34ID:???
ベストエフォート1G一本しか引かないって見た事ないなぁ
そんな契約回線を複数企業で使うプランあると思えないし単体企業だったとしてもそんな1G回線が逼迫するほど色んなサービス引くかね、、、
そんな契約回線を複数企業で使うプランあると思えないし単体企業だったとしてもそんな1G回線が逼迫するほど色んなサービス引くかね、、、
2022/09/17(土) 14:56:10.23ID:???
ギャランティ100Mbpsで足りなくて困ってるからベストエフォート1Gbps敷設してそっちに逃がす的なのは時々聞くかな
そのギャランティ要らんやろ、とは思う
>>963
使えるけど利用者が高いルータと同等の精度を出せるって思ってるからな
大体、普通の通信って増減が都度あるから精度にこだわっても仕方ないんだけど
そのギャランティ要らんやろ、とは思う
>>963
使えるけど利用者が高いルータと同等の精度を出せるって思ってるからな
大体、普通の通信って増減が都度あるから精度にこだわっても仕方ないんだけど
968anonymous@fusianasan
2022/09/17(土) 22:46:40.19ID:d1nrEsN/ スループットの考え方について質問させてください。
例えばFGT-60Fなのですが、ファイアウォールスループット(1518 udp) 10Gbpsとデータシートに記載されてます。
60Fって、インターフェイスが1G×10ポート搭載であり、10Gのポートを搭載してないです。
この10Gbpsというのは、1G×10ポートでLAGを組んで測定してると推測してるのですが、考え方はあってますでしょうか?
また、上り・下りの両方合計で10Gbpsと理解しています。
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/ja_jp/fortinet-ProductMatrix.pdf
お客様環境でアップリンク(インターネット回線収容)を1G×1ポートで接続した場合は、Maxで1Gbpsしか出ないと理解しております。
(契約してる回線帯域が、仮に100Mbpsでしたら、MAX100Mbps)
例えばFGT-60Fなのですが、ファイアウォールスループット(1518 udp) 10Gbpsとデータシートに記載されてます。
60Fって、インターフェイスが1G×10ポート搭載であり、10Gのポートを搭載してないです。
この10Gbpsというのは、1G×10ポートでLAGを組んで測定してると推測してるのですが、考え方はあってますでしょうか?
また、上り・下りの両方合計で10Gbpsと理解しています。
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/ja_jp/fortinet-ProductMatrix.pdf
お客様環境でアップリンク(インターネット回線収容)を1G×1ポートで接続した場合は、Maxで1Gbpsしか出ないと理解しております。
(契約してる回線帯域が、仮に100Mbpsでしたら、MAX100Mbps)
2022/09/18(日) 00:26:10.96ID:???
LAGってリンクアグリゲーション?
リンクアグリゲーションじゃなくても
各ポートが10個の独立したゾーンであれば
それぞれのポート(ゾーン)間の通信の送信と受信を足して最大で10Gbpsまで出るスペックですよ。
ってことじゃないかなぁ?
その類のスペックは実運用にはほぼ参考にならんと思うけど。
リンクアグリゲーションじゃなくても
各ポートが10個の独立したゾーンであれば
それぞれのポート(ゾーン)間の通信の送信と受信を足して最大で10Gbpsまで出るスペックですよ。
ってことじゃないかなぁ?
その類のスペックは実運用にはほぼ参考にならんと思うけど。
2022/09/18(日) 01:32:52.72ID:???
ファイアーウォールの処理速度とインターフェースの転送速度は別物
2022/09/18(日) 04:15:45.89ID:???
なお実際は10Gbpsなんてただの理論値であって、精々その1/5ぐらい出れば良いぐらい
973anonymous@fusianasan
2022/09/19(月) 11:02:29.05ID:kT+wlHtt >969
ありがとうございます。
リンクアグリゲーションを想定していました。
データシートのスループット表記は、上り・下り合計で最大10Gbpsであると理解しました。
>970
ありがとうございます。理解できました。
ありがとうございます。
リンクアグリゲーションを想定していました。
データシートのスループット表記は、上り・下り合計で最大10Gbpsであると理解しました。
>970
ありがとうございます。理解できました。
974anonymous@fusianasan
2022/10/12(水) 23:04:05.00ID:Hk2ceGZN これは、大事かな。
Fortinet製FortiOS、FortiProxyおよびFortiSwitchManagerの認証バイパスの脆弱性(CVE-2022-40684)に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220025.html
Fortinet製FortiOS、FortiProxyおよびFortiSwitchManagerの認証バイパスの脆弱性(CVE-2022-40684)に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220025.html
2022/10/13(木) 00:33:38.00ID:???
外部に管理インターフェイスなんて公開しないから問題ないだろ?
社内にスーパーハッカーいるなら知らんけど。
社内にスーパーハッカーいるなら知らんけど。
976anonymous@fusianasan
2022/10/13(木) 02:28:14.96ID:g1xJxd/P 公開するつもりはなくとも公開していたとかはあるだろ。
デフォルトは、adminへのip制限はいってないでしょ。
デフォルトは、adminへのip制限はいってないでしょ。
2022/10/13(木) 07:10:42.82ID:???
>>976
そんな奴は今回の脆弱性無くても大問題だろww
そんな奴は今回の脆弱性無くても大問題だろww
978anonymous@fusianasan
2022/10/13(木) 12:34:21.67ID:Wf0pmq9R SSL-VPNで443 開けててバイパスされるとやだな。
2022/10/13(木) 14:20:02.46ID:???
>>978
SSL-VPNのhttpsページは管理インターフェースではないので今回の対象ではないよ
SSL-VPNのhttpsページは管理インターフェースではないので今回の対象ではないよ
980anonymous@fusianasan
2022/10/14(金) 21:30:15.21ID:FgCOEImN これ、うちでもざわついてるわ
FortiSwitchManager って、FortiSwitchとFortiManagerを間違えてるとおもったけど、
こんな製品あるんだね・・・・
おびっくり。
FortiSwitchManager って、FortiSwitchとFortiManagerを間違えてるとおもったけど、
こんな製品あるんだね・・・・
おびっくり。
2022/10/14(金) 23:55:24.04ID:???
>>977
どんな製品扱わせても大問題間違いなし
どんな製品扱わせても大問題間違いなし
982anonymous@fusianasan
2022/10/15(土) 19:00:51.12ID:JpUN4ttv SD-WANについて、相談です。
FortiGateは、デフォルトだと出力IFと入力IFが異なる非対称通信はDropしますが、
SD-WANゾーンで束ねているIFに関しても、同じ動作になるのでしょうかね。
SD-WANで収容しているIFがインターネット回線であれば、BGPの世界でISPごとに広報している
グローバルIPが違うので、出力/入力IFが異なるケースは基本ないと考えています。
しかし、広域イーサネットなどの回線を収容していて、対抗のFortiGate(DC側)からインターネットに
抜けさせている構成の場合は、DC側FortiGateのルーテイング次第で非対称にもなりえるので、
どうなるか、気になりました。
FortiGateは、デフォルトだと出力IFと入力IFが異なる非対称通信はDropしますが、
SD-WANゾーンで束ねているIFに関しても、同じ動作になるのでしょうかね。
SD-WANで収容しているIFがインターネット回線であれば、BGPの世界でISPごとに広報している
グローバルIPが違うので、出力/入力IFが異なるケースは基本ないと考えています。
しかし、広域イーサネットなどの回線を収容していて、対抗のFortiGate(DC側)からインターネットに
抜けさせている構成の場合は、DC側FortiGateのルーテイング次第で非対称にもなりえるので、
どうなるか、気になりました。
2022/10/15(土) 21:31:48.33ID:???
DC側Fortiのルーティングで非対称になってるんだったら非対称になるから落とされるだけの話では
相手側が非対称ルーティングに対する対策をしてないんだったらこっちからどうこうする事は出来ない気がするけど
対抗の問題であってこっちの通信に関しては非対称にはならないと思うよ
相手側が非対称ルーティングに対する対策をしてないんだったらこっちからどうこうする事は出来ない気がするけど
対抗の問題であってこっちの通信に関しては非対称にはならないと思うよ
984anonymous@fusianasan
2022/10/16(日) 22:02:56.32ID:oy5iP4vD 7.0 と7.2系は、7.0.8と7.2.2が出てるね。
985anonymous@fusianasan
2022/10/17(月) 19:07:42.69ID:nQ2oSCit986anonymous@fusianasan
2022/10/17(月) 23:02:15.30ID:i5w63i5Q タイムサーバーとNTP同期差せると1分遅れるてる。治らん
2022/10/18(火) 07:30:04.22ID:???
同期先のタイムサーバー変えてみたら?
988anonymous@fusianasan
2022/10/18(火) 07:46:49.08ID:CZXsLgVm 変えたけどだめ
2022/10/18(火) 20:49:51.39ID:???
コンソールでntp status 確認してちゃんと同期取れてるなら他にする事はないかなー
あとntpってズレを徐々にあわせてくからひょっとしたらしばらくほっとくとそのうち合うかもしれないと雑な回答してみる
あとntpってズレを徐々にあわせてくからひょっとしたらしばらくほっとくとそのうち合うかもしれないと雑な回答してみる
2022/10/19(水) 03:04:27.51ID:???
何をどう設定してどう確認したとか書かないからただの日記なんですよね
991anonymous@fusianasan
2022/10/20(木) 07:38:19.69ID:xbSuRwU4 すまぬ。
自然になおってた
機種 200E 2台と100F
いずれも 7.0.6
タイムサーバー fortinet
ntpサーバーとして機能
時刻同期間隔 60分
システム>設定 で表示される時刻
1分遅れ
なので
1.タイムサーバーをプロバイダにかえる
(同期間隔を1分にも変更)
→かわらず
2.時刻同期をやめてマニュアル設定に変更
し正しい時刻をいれる
→表示は1分遅れ変わらず。
3.コマンドで時刻設定
→システム>設定の表示は1分遅れかわらず。
時刻入力枠に正しい時刻が初期値で入っていた
2と3を何回か繰り返したが、変わらずあきらめ
2日後にみたら システム>設定
の表示は正しい時刻になってた。
自然になおってた
機種 200E 2台と100F
いずれも 7.0.6
タイムサーバー fortinet
ntpサーバーとして機能
時刻同期間隔 60分
システム>設定 で表示される時刻
1分遅れ
なので
1.タイムサーバーをプロバイダにかえる
(同期間隔を1分にも変更)
→かわらず
2.時刻同期をやめてマニュアル設定に変更
し正しい時刻をいれる
→表示は1分遅れ変わらず。
3.コマンドで時刻設定
→システム>設定の表示は1分遅れかわらず。
時刻入力枠に正しい時刻が初期値で入っていた
2と3を何回か繰り返したが、変わらずあきらめ
2日後にみたら システム>設定
の表示は正しい時刻になってた。
2022/11/01(火) 16:30:09.58ID:???
これとciscoUmbrellaとどっちがいいのか教えてください
というかそもそも比較する対象なのかどうかもよく分らんです
端末数10台程度の零細企業です
というかそもそも比較する対象なのかどうかもよく分らんです
端末数10台程度の零細企業です
2022/11/01(火) 19:46:41.30ID:???
バッファローのルーターで充分じゃね
2022/11/02(水) 00:05:24.65ID:???
というかそんな小規模とすら呼べないレベルのNWにCiscoのお高い企業向けNWサービスとかアプライアンス導入する意味が分からない
知識もない電気店の店員に騙されて高い商品かわされるジジババじゃないんだから
知識もない電気店の店員に騙されて高い商品かわされるジジババじゃないんだから
995名無し
2022/11/02(水) 01:37:36.77ID:??? 助成金使うのでは?
2022/11/02(水) 05:19:59.74ID:???
いやいや
大手の取引先からのセキュリティ監査に引っかかってUTMに準ずるものの設置を求められてるのです
これだけじゃなくてドキュメント類のの不備とか他にも指摘事項がてんこ盛りでてんやわんやです
「おたくの規模は関係ない」という認識で迫られてるので参ってます
大手の取引先からのセキュリティ監査に引っかかってUTMに準ずるものの設置を求められてるのです
これだけじゃなくてドキュメント類のの不備とか他にも指摘事項がてんこ盛りでてんやわんやです
「おたくの規模は関係ない」という認識で迫られてるので参ってます
2022/11/02(水) 06:49:16.48ID:???
そら規模は関係ないわな
どこの何使うかは費用との相談じゃない?
どこの何使うかは費用との相談じゃない?
2022/11/02(水) 07:40:34.58ID:???
>>996
そこそこ知識がある専任入れたほうがいいかもしれんね、fw入れるだけですまなそうだし。
そこそこ知識がある専任入れたほうがいいかもしれんね、fw入れるだけですまなそうだし。
2022/11/02(水) 09:20:04.27ID:???
当然のリテラシーを求められて参ってるだの困ってるだの言うレベルの相手と良く取引するなぁその相手先
1000sage
2022/11/02(水) 11:19:01.22ID:gyIIxYUe きちんと、選任の担当者を当てた方が良いでしょうね。
要件もわかりませんし。
要件に合わせた機器選定や設定投入などはお金がかかる話ですし、運用はそれとは別です。
その辺む含めた対策を要求されてるんだと思います
次スレ↓
https://mao.5ch.net/test/read.cgi/network/1667352872/
要件もわかりませんし。
要件に合わせた機器選定や設定投入などはお金がかかる話ですし、運用はそれとは別です。
その辺む含めた対策を要求されてるんだと思います
次スレ↓
https://mao.5ch.net/test/read.cgi/network/1667352872/
10011001
Over 1000Thread このスレッドは1000を超えました。
新しいスレッドを立ててください。
life time: 850日 10時間 20分 16秒
新しいスレッドを立ててください。
life time: 850日 10時間 20分 16秒
10021002
Over 1000Thread 5ちゃんねるの運営はプレミアム会員の皆さまに支えられています。
運営にご協力お願いいたします。
───────────────────
《プレミアム会員の主な特典》
★ 5ちゃんねる専用ブラウザからの広告除去
★ 5ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
───────────────────
会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。
▼ プレミアム会員登録はこちら ▼
https://premium.5ch.net/
▼ 浪人ログインはこちら ▼
https://login.5ch.net/login.php
運営にご協力お願いいたします。
───────────────────
《プレミアム会員の主な特典》
★ 5ちゃんねる専用ブラウザからの広告除去
★ 5ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
───────────────────
会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。
▼ プレミアム会員登録はこちら ▼
https://premium.5ch.net/
▼ 浪人ログインはこちら ▼
https://login.5ch.net/login.php
レス数が1000を超えています。これ以上書き込みはできません。
ニュース
- 物価高騰でランチ事情が激変! 「ランチ1,000円時代」の終焉に私たちはどう向き合えばいいのか? [パンナ・コッタ★]
- 【万博】イギリス館“5000円アフタヌーンティー” 物議 スコーン1つに紅茶は紙コップにティーバッグ 大使館謝罪 ★2 [蚤の市★]
- 【社会】誰も知らない42歳の死…現役世代の孤独死 就職氷河期世代「自分もいつか一人ぼっちで死ぬんだ [七波羅探題★]
- タトゥー入った美人店員の調理映像拡散 ネットで議論 料理研究家リュウジ「味変わんねえし俺は行く」★2 [ネギうどん★]
- スマホのサブスク解約したはずが…「無駄払い」4年で10万円 「アプリ削除したのに…」 全国で相談も急増 [パンナ・コッタ★]
- カフェ運営の岸田メル、客に「臭い対策」念押し「体臭ケアしっかりやって。風呂入って。自分で気づいてないだけで周りは気になってる」 [muffin★]
- ▶ラミィのおっぱいすこすこスレ
- 中居正広、涙の訴え「守秘義務で言えないけど、暴力だけは断じて振るってない。これだけは信じてほしい」 [606757419]
- 【画像】「袖なしTシャツ」が今夏流行の兆しの予感。素肌にこれ一枚着たら80年代のアメリカの不良っぽくてかっこ良さそう [738130642]
- 嫌儲カクサン部「草津町長を被害者にしたいんだろ?令和になって草津町長の独裁体質が明るみに出てきてる。兵庫のパワハラのように」 [932029429]
- 【石破国際】 アメ公、返さないでくれと願うも、日本でわざと財布を落したら必ず戻ってくる [732912476]
- LGBT←まぁ分かる ノンバイナリー←なにこれ