Fortigateについて語ろう5
レス数が900を超えています。1000を超えると表示できなくなるよ。
FortiGateシリーズは、ネットワーク全体を総合的に保護するハードウェアベースの
ネットワーク・プロテクション・ゲートウェイ(NPG)です。
Fortinet社独自開発のABACASTM(Accelerated Behavior and Content Analysis System)
テクノロジと独自のASIC(FortiAsic)ベースアーキテクチャを採用した、次世代
ネットワークプロテクション・アプライアンスです。
ファイアウォール、不正侵入、VPN、トラフィックシェーピングなどネットワークレベル
のサービスに加え、ウィルスプロテクションやコンテンツフィルタリングなどの
アプリケーションレベルのサービス機能も搭載しており、効果的にネットワークを保護します。
FortiGateは、4種類のICSA認定取得をしています。
アンチウイルス、ファイアウォール、IPSec、IDS
セールスポイントは非常に魅力的ですばらしいのですが、
非常に個性的な製品ですので、皆さん助け合って安定稼働に努めましょう。
フォーティネットジャパン
http://www.fortinet.co.jp/
FortiProtect Center
http://www.fortinet.com/FortiProtectCenter/
質問する際には必ずFortiGateの機種、FortiOSのバージョン、 ネットワーク構成・環境を報告してください。 >>844
なるほど。
設定はコマンドでは無くGUIで設定しその時は証明署名・ドメイン(FQDN)、メールの入力だけで自動プロビジョニングが
開始されたのでACMEは意識してませんでしたが、たしかにconfig上では設定されてました。
ウィザードで設定すると勝手にWAN側ポートを認識しACMEポートとして設定されて、期間が近づいたら自動で更新される
ようになっているようですね。
ありがとうございます。 スレチで申し訳ないのですが、専用スレがなかったためこちらで訊かせてください。
接続はWindows機一台のみで、パロアルトのPA-200の中古を検討しているのですが、データシートを読むと
FWスループット100Mbps、脅威防御スループット50Mbps、新規セッション1000/sとありました。
Windows機は、ガッツリ帯域を食うようなことはしていません。
一台のみの接続台数であれば、この機種でまかなえるでしょうか? >>846
パロの中古なんて買ってまともに動くの?保守なしアプデなしでしょ? >>847
ヤフオクを見るとコンスタントに売れてるんですよね…アプデについては、2022/6/25付でパッチはされてるようです。
ちなみにこれを狙っていました↓
https://page.auctions.yahoo.co.jp/jp/auction/o1055757960 FotiOSを7.0.5から7.0.6に上げると、explicit proxy経由で@Niftyメールなど一部のWebサイトにアクセスできなくなるな
障害報告上げようかと思ったけど、めんどくせ… >>848
高すぎる
200系はGUI動かすのすら苦労するし、今は検証用にしか使えない性能
ヤフオクで買うなら送料込みで3000円が限界 >>850
そうなんですか…PC1台だけならそれほど重くならないはずと思っていたのですが、
厳しいかぁ。
ちなみに、GUIを動かすのが苦労するというのは設定が複雑すぎるということでしょうか?
Fortigateより煩雑なら選択肢から外した方がいいかもしれませんね 2011年11月発売の機種でパフォーマンスも今の時代からすると低すぎる
無料でも要らないかな それほど低機能なのに、ヤフオクに出したら13000円となると、やはり元の定価が非常に高いからなんでしょうね。
ありがとうございましたm(_ _ )m IPsecで冗長化か考えてた人はSD-WANメンバーにWANもVPNインターフェイスも突っ込んで
SD-WANポリシー書いてあげたら幸せになれるよ。
リンクモニターするためにVPNにアドレス振ってあげてね。ping許可も。 FortiGateを最近業務で触り始めたんだけど、やれることが多くてどこから突っ込んで勉強したら
ええのや・・・
ちょうど話題に出てる,SD-WAN,IPSECやらをからめた構成で検証してみるのがよいですかね?
これ検証したらいい勉強になるぜ。 みたいなのがあれば、教えてほしい。 fori社監修の本が出てるから、それがいいんじゃん。日本語だし。 FG-50Eを6.2.10→6.2.11にGUIで上げたらGUI接続出来なくなった。
ssh出来るけど443は外から叩いてもcloseになってる
cliでrestore imageで6.2.10に戻しても状況変わらなかったんだけど思いつく事などあります? 管理者接続のポート番号変わっちゃったとか?まぁ普通に考えたら有りえないんだけども。 わからんけどexecute factoryresetで初期化してみたら リリースノートも見てみたけど、そんなバグものってないね。
てか、Frotiのリリースノートのいけてなさは半端ない。
トリガーとか書いてないから、どういう意味ですか? とか問い合わせきても、こっちも書いてある以上の
事は分からないんだけど。
https://docs.fortinet.com/document/fortigate/6.2.11/fortios-release-notes/236526/known-issues >>860
コマンド叩けるなら接続インターフェースの管理のhttpsを開けたらいいのではないかな? >>860
コンフィグ取得してみてDIFFしたら違い出てないか?
結構変わっちゃうぞFortiは >>860
普通に考えるとマイナーバージョンのファームウェアアップデートが原因とは考えにくい。
ほかの要素をあたるべき。
もちろん100%ないとは言い切れない。 >>860
config system global
set admin-server-sert "”
になってない?ファームウェアをアップグレードしたときに指定されたいたものが外れていたときがあった ストレージ溢れるとかってバグだろw
最適化ってなんやねん
FortiGate 30E and 50E flash card space optimization >>866
普通に考えてもダメな時の前科多すぎるからなあ バージョンダウンの時はConfigも元のバックアップに戻さないと確か正常復元の保証無いよね
今のGUIからのアップデートだと自動的にバックアップ取らされる仕組みだったと思うけれど無視して未保存だったら知らんが EメールフィルタでIMAPとPOP3だけ検証したいのですがいい方法ないでしょうか?
SMTP検証はサイト見つけたんですが…
Gmailのサーバで試したもののPOP3Sだったので検知せず。POPサーバ建てるしかないですかね… >>873
ありがとうございます、BJDは使ったことないので試してみます! Winproxyって名前だったけど同名のソフトあったから変えたんだよな 誰かFortiOS7.2.1をアップしてくれんやろかー >>879
Fortinet様か代理店がアップしてくれているぞ IPoE2回線でのSD-WAN構成について解説しているサイトや情報ご存じないですか?
少なくとも片方はVDOMで分けて設定が必要かと思いますが、SCSKに問い合わせても事例が無いので回答できないと言われまして... あそこはわからないことが多いよ
他社が公開してくれている使い方でも自励がない、出来ないと言われたこともある 書き忘れた
今聞いてるのはサボート窓口だよな?しつこく聞くと「修理対応とか動いていた設定が動かないときの窓口です。新規の設定はサポートしていません」と言われたこともある
購入した代理店?経由で営業に聞いてもらうと情報をもらえることもあった
fortigateはどこのサポートも同じかもしれないけどな >>882
v6 のI/F 毎にVDOM 分けて、VDOM link で root vdomに繋げて
root VDOM から VDOM link 経由の v6 tunnel を作る
それぞれをsdwan でまとめる。って感じで多分いけるかと あ、tunnel はそれぞれのVDOM からになるのかな?
環境があるならまずやってみて欲しい ipoeトンネルIFになるvne.rootがvdom1つにつき1つまでだからvdom分けは必須かと。
ただrootvdomじゃないと固定v4アドレスが降ってこなかった記憶があります。
vneトンネルがvdom単位で作成できれば可能性はあるかなぁ。 過去レス見るとvdom単位のvneはダメっぽそうですね。
>>383
>>384
ファームが上がって出来るようになってる可能性があるかもしれませんが。 >>882
>>886の方法で可能かと
VDOM分ける理由はvne-tunnelがVDOMに一つなのと、RA/RSでIPv6 prefixもらうインターフェースはVDOMで一個にする必要があるためですね
RA/RSでIPv6 prefixをもらうと、そのインターフェースのnexthopのNGNエッジルータが自動でIPv6のデフォルトルートになるので、
同一のルーティングテーブルで2箇所からRA/RSでIPv6 prefixもらってしまうと、2つのIPv6デフォルトルートできてしまい
それらを明示的に使い分けるのが困難なためです
他メーカの製品でもそのあたりは同じかと IPoEの意味も知らんぽいどしろうとの相手なんかできないだろ
文字通りIPがイーサに載ること
こんだけIPoE一色になるまえにL3,L2プロトコルが色々乱立覇権争いしてた頃
40年位前に特定の組み合わせを示すのにできた言葉 すみません、FortigateのVPNについて教えてください。
この度、外部からVPNで社内に接続する方法について検討しています。
その方法として、L2TP/IPsecを用いた接続(こちらの方がOS標準機能で実現可能なので望ましい)か
FortiClientを用いたIPsec接続のどちらかを考えています。
その際、認証アカウント単位でアクセス権と言いますかポリシー制御をかけたいのですが
見方が悪いのかそのような設定箇所が見当たりませんでした。
もしかして上記2つの接続方法では、認証アカウント単位での制御はできないのでしょうか?
初歩的な質問で申し訳ございませんが、ご教示いただけますと幸いです。 >>894
ユーザグループ毎にVPNを作成してVPNにIPv4ポリシー書けばできそうですね。
https://milestone-of-se.nesuke.com/product/fortigate/secure-ipsec-vpn-config-sample/
ユーザ単位(認証アカウント単位)にしたい場合、ユーザとユーザグループを1対1で設定する 事になりそうですが
規模によっては設定上の上限値を考慮しないと破綻するので購入前なら 代理店に問い合わせた方が良いかと。 >>885
それ言うと変更も構築で請け負う物だし
障害対応だって請け負うものだし
保守の対応範囲が明確に書ききれないだろうけどハード故障とファーム提供だと思って
後は担当者の気分と知識次第かな >>895
ありがとうございます。
ユーザーグループを分けて設定というのには目から鱗でした。
元々は社員のみが使うリモートワーク用にと思い発案したのですが、各システムベンダーの保守担当から
メンテナンス用にリモート環境が欲しいとの要望があったことを思い出し、この際一緒にやるかとの流れになりまして。
ただベンダーを信頼しているとはいえ、万が一の事故発生時に他社に対してもフリーアクセスな環境を
与えていたとなると問題になるなぁと怖くなり、なんとか制御する方法があればいいなと考えていた次第です。
当社で使用しているFortigate40Fはトランスペアレントモード(もちろんルーターからIPsecパススルーでFortigateに渡すつもりです)
で動作しているため、ご教示いただいたページの構成とは異なりますが、loopback云々は飛ばして
読み替えていけば実現できそうな気がしてきました。
グループ分けは社員用と各ベンダー用(2社)の計3グループに分けられそうなので、現実的な範囲でできそうです。
クライアントを別途インストールする必要がありますが、社員向けにはこれから具体的な話を進める予定ですので
少しだけ手間かかるよ、ぐらいの話で済みますし、ベンダーについてはクライアント使ってね!で大丈夫だと思います。 なお前職がFotigateを取り扱う職種(既知の通り雑魚クラスですが)で、2年前に現職に転職したのですが
代理店(設置導入業者)はメンテナンス費用を別途払ってるのに、前機種については5年間一度も点検や
ファーム更新の対応をしたことがなく、今回の40Fも全ての通信に対してアンチウイルス、webフィルタ(デフォルト)、IPS
を適用というただUTMを挟んでるだけのザル設定に20万請求されたり
今回の設定変更(社員のみの簡単な方)に30万とか言ってくるなど不信感しかないため、知識に乏しいのかあまり頼りたくなく
今回adminのパスワードを寄越せと依頼しまして自力解決を目指していましたが、こちらで知恵を拝借する形となり申し訳ございません。
なお最終的に出来上がったコンフィグは、業者にも渡す予定です。
すみません、後半はかなりグダグダにグチですね……金額もそれが相場なのかもしれませんし……
9月の中頃には設定変更を行う予定ですので、不要かもしれませんがまた結果等ご報告いたします。
この度は本当にありがとうございました。 >>898
自力でできないのにそれを高いとうのは?
言いたいことはわかるけど どの程度の金額を希望なのかな?
1万とか2万でやってくれるところがあれば発注したい 知識が乏しいかもしれない業者に、自分で触ったコンフィグ渡して面倒見てもらえると思うのかい? >>899
普通のL2TP/IPsec、あるいは普通にFortiClientを利用したIPsecなら、私のようなボンクラでも余裕で設定ぐらいはできました。
ただメンテナンスもお願いしている手前、業者に依頼したらそんな金額で……
それなら自分でやるわ!になった次第ですが、その後にユーザー別の制御をかけたいと思うようになって
一気にハードルが上がってしまいました。
上で紹介していただいた方法を思い付かなかった想像力、応用力がなかった自分の能力不足ですが……
まぁリスクや後からの微細な仕様変更への対応、人件費含めると、適正価格というのは一体どれぐらいなのかな?
と疑問に思ったりもします。
>>900
なもんで、適正がどれぐらいなのか判断つきにくいですが、私の肌感覚としてネットで軽く調べただけで多くの事例がヒットする
かつ複雑でもなんでもないそんな内容であれば5万もあれば十分かと思ったりします。←例えば簡単な方のL2TPとか
適正価格が本当に分からないですけどね。
>>901
一応、コンフィグ送ってくれてたら何かあった時は私が例えば死んだ後とかに対応する旨返答は頂いてますが
実際面倒見てくれるかは分からないですね。
そう考えると、企業にとってみたら30万(ユーザー制御になるともっと高額?)浮いたように見えるも
結果マイナスになるのかもしれません。
私の一方的なグチで皆様にも多大なる不快感を与えてしまってましたら本当に申し訳ございません。 どんな契約か?だろ
オンサイト保守ならconfig渡しておけば故障時に設定入れてくれる
という業者もあった
標準サービスだと
点検やファームアップ作業はないだろうな
個別保守契約でもしないとやってくれないだろうな
とは思う とはいえ、管理者アカウントを人質に取ったままEOSまでファーム更新無しは流石にどうかと思うわ すげーな
契約していない作業もやってくれるのか?
ぜひうちの設定もお願いしたい 898に依頼すれば出し値5万でやってくれるのか
めんどくさいクソ客の依頼投げたいから連絡先教えてよ >>902
どういった想定作業の5万なのでしょうか?
不特定のグローバルアドレスからの外部接続を許可するのであればペネトレーションテストはしない想定ですか?
間違って穴が空いててもわかりません。
リモートアクセスのログは取らない想定ですか?
身に覚えないリモート接続があってもわかりません。
2要素認証はしない想定ですか?
ユーザーとIPSECのパスワードを知っている人が会社を辞めた場合、私物PCから接続できてしまいます。パスワードを変えるなり対応が必要です。
また、要件に無いのかもしれませんが、リモートで同時接続の負荷試験はしないのですか?
実際使ってみたら使いものにならないくらい通信が遅くなるかもしれません。
外部に穴を空けるのはそれなりにリスクのある作業だと思います。
リスクが取れるならご自身で設定されるのはありだと思いますが、ただ後々大変な事になっても自己責任になります。 >>906
マジそれな。
これを5万でやってくれるなら起業すりゃ商売繁盛じゃね。
誰かさんのように、何言っても高ぇ高ぇしか言わない客多いからな(笑 >>908
客に、金と時間かければ誰だって出来んだよ!って怒鳴られたわ。
まあ確かにそうだなと思ったけど。 多少金払いが良くても手離れが悪い/ガラが悪い客は敬遠される >>910
「だったら、お金と時間かけてやってください」で終了なんですよね
そのセリフはお金を払わない人がよく言います 書いてるじゃん
ネットで事例があるような設定して5万だよ
肌感覚として間違いないよ まぁここはお金もらう側の業者も多いだろうしな
あれやこれやとリスクだのコストだの綺麗事抜かしてるけど
実際のところネット事例集そのまま丸パクリで何十万も金取る業者もいるからな
もちろんここの住人は都会でそれなりの規模の客先に出入りしている業者だと思うから価格に見合った仕事してるだろうけど
俺の住む鳥取市は、知ってるだけでもかなりいい加減な作業で費用だけは一流並みに請求する業者が少なくとも4社はある IT業者のぐるなび的なクチコミサイトって有ったりする?
NDAに激しく抵触しそうだけど。 >>914
言いたいことは分かるよw
例えば例に挙げてゴメンだけど>>907とか、さぞ立派なこと言っているようで実は大したことがないw
間違って穴が?今回の話に合わせると、FortigateにIPsecの設定を施したら他にも釣られて関係ないポートが開いちゃうものなの?
リモートアクセスログなんて、普通Syslogで代用できるしwみんなもフルで取ってるでしょ?
2要素認証なんて、それこそいくらでも事例がヒットする内容なのに、さも特別感装いやがってw
あと退職した人?そいつのユーザーアカウント削除すれば良いだけだし、そもそも2要素認証していればなんの問題もない罠w
まあこんなもんよ
小難しい御託並べても、それはど素人になら通用する詭弁なことが多いよね >>916
あそこの業者はボッタクリだ!とか、契約にないことは一切してくれない!とかの一方的な悪口コミを、NDAに抵触だ!と言われても困っちゃう。 立場によって色々な意見はあるとは思いますが、ここ以外に日本語でFortinet製品の情報を日本語でやり取りできる
コミュニティみたいなものはあった方が良い気がしますね。
Fortinet Japanの中の人がここを見ているかわかりませんが、日本語が使えるコミュニティサイトを作るのは難しんですかね。 自分たちではやる気ないよ
各代理店?がやるくらいかな なるほど。
私は今となっては仕事では全く関係ないのですが、10数年前にFortinetには元々ciscoにいた人が多いと聞いていて
ciscoやVMwareのようにユーザの自助努力である程度解決できるようなKBなりコミュニティなりを醸成されていくものと
思っていましたが、認識違いでしたかね。 シスコがそういうコミュニティ発展できたのってほぼ一強だったからだし 適正価格って、請け負って儲けが出る価格じゃないのか?
config流するだけなら5万でも妥当かもしれんが動作保証なんてしてくれんけど。 自分で出来るようなことなら自分でやればいいだけなのに
何故か人にやってもらう話になってて金額云々の話になってるのが謎 世の中コンフィグ流すだけとかすら出来ない連中ばっかなんですよ……
コンフィグ流せたら上等よ…… この業界単価がどう?というのはあるだろうが
5万じゃ1日もかけられない
って所多いだろうな
実作業だけではなく、受注前の要件確認、見積から始まり各種の資料作成とフォロー
場合によっては事前検証
正直短時間度終わる仕事ってそれ以外のことが多くて受けたくないな
他の案件とからめてほしいわ パラシとか手順書とか見ないのに要求されるの草
クラウドの手順書なんて納めた頃には変わってるw こっちでやるからちゃちゃっと教えてよ。手順書作ってくれればいいから。作業の予算ないんだよ。 資料を手順書と読んだのかな?
だとしたら仕事したことのない子供か?
社内手続だけでもかなり有るぞ
自分が作るの以外にもな
会社での仕事ってそんなもんさ
イヤなら趣味で絵やるんだよ >>928
しょうがないから、書くけどこれだけだよー?
1. コンソールにadminログイン
2.execute factoryreset
3.y
意外と簡単にできるからやってごらんよ こいつ絶対仕事できない低脳だな
「コンソールにadminログイン」が分かる連中はそんな罠には引っかからない
本当に引っ掛けたいのなら、素人でも分かるようにシリアル接続ではなくwebログインの仕方詳細や
ブラウザ上からのコンソール起動方法を説明しないとダメだね
あと入力コマンド、これもキチンと書かないといけない
2.とか3.とか、素人はそのまま入力するぞ ネタだとしたら寒すぎるので、敢えてマジレスした可能性 Fortigate使いにくいからYAMAHAのルーターに変えようと思ったけど中古でも高いな UTM機能は要らないってことかな?
ルーターとして使うだけなら、fortigateの方が設定楽だと思うけどなぁ
YAMAHAは行き帰り両方フィルター考慮しないといけないし…
各種VPNとか、事例集が多いのはYAMAHAだけどね
そこまでのスペックやIPoEが要らないのならRTX1200の中古オススメ もろもろのバグで使いにくいってのならわかる
設定が難しいって話なら?って感じ ヤマハの利点はスクリプトで色々できることかな
Fortigateにスクリプトが実装されればと夢見てる Fortigateってファームウェアアップするとひきつがれないconfigとか
パフォーマンスに影響があったりと客先で使いづらくない?
YAMAHAも同じかなぁ。 ちゃんとConfigは引き継ぐぞ
RTX1200は遅いから個人ならば830が良いよ
VPNはYAMAHAよりもSynologyのWifiルーターの方がSSL-VPNも使えて便利 RTX1200ですら遅いと言われる時代になったか…
まぁ確かに10年以上前の製品だし、これも時代の流れか お客さんからの問い合わせに対して、FORTINET DOCUMENTS LIBRARYに記載があるから、これは仕様と存じます。
って回答しても、本当に仕様なんですか? と聞き返されると、凄い不安になってしまいます。
皆さんも不安になりますでしょうか?
私が小心者なのでしょうかね。自信が無く、寝れない日が続いています。 そういうときは、サポートに問い合わせて裏を取ればいいんだよ。
サポートが言ってますってのは常套手段。
サポートが間違えりゃ、サポートの責にできる。 レス数が900を超えています。1000を超えると表示できなくなるよ。