Fortigateについて語ろう6
FortiGateシリーズは、ネットワーク全体を総合的に保護するハードウェアベースの ネットワーク・プロテクション・ゲートウェイ(NPG)です。 Fortinet社独自開発のABACASTM(Accelerated Behavior and Content Analysis System) テクノロジと独自のASIC(FortiAsic)ベースアーキテクチャを採用した、次世代 ネットワークプロテクション・アプライアンスです。 ファイアウォール、不正侵入、VPN、トラフィックシェーピングなどネットワークレベル のサービスに加え、ウィルスプロテクションやコンテンツフィルタリングなどの アプリケーションレベルのサービス機能も搭載しており、効果的にネットワークを保護します。 FortiGateは、4種類のICSA認定取得をしています。 アンチウイルス、ファイアウォール、IPSec、IDS セールスポイントは非常に魅力的ですばらしいのですが、 非常に個性的な製品ですので、皆さん助け合って安定稼働に努めましょう。 フォーティネットジャパン http://www.fortinet.co.jp/ FortiProtect Center http://www.fortinet.com/FortiProtectCenter/ 質問する際には必ずFortiGateの機種、FortiOSのバージョン、 ネットワーク構成・環境を報告してください。 Fortigateについて語ろう5 https://mao.5ch.net/test/read.cgi/network/1593878325/ 流石に一般技術的な話とかマニュアル見ればわかる設定とかの話ではないな 例えばつい先日あった話だが某Ciscoの証明書期限切れによるOSイメージダウンロード検証不可の事象だって OSダウンロードでスタックしてる、証明書が原因らしいってのまではログでわかるかもしれないけど じゃあ何で証明書で認証できてないのとか実はMICとは別の物理的に焼き込まれた証明書でしたーとかCiscoのアナウンスが無いとわからない事だったし >>109 特殊なものは資料も公開されてないからベンダ側で対処するしかないし、ベンダ側でも開発が調べないとわからなかったりするね そういうのじゃなくて、受注していざ構築始めたら「実際に動かしたこと無いので設定よくわかりません」「一応設定してはみたけど期待どおりに動かないんです。なんでですか?」みたいなレベルの 業者様はちょっとご遠慮したいかなと思う 各ベンダ、製品ごとに装置の設定の仕方は異なるわけだから そういうのがわかるのもベンダ特有の技術になるんかなと思った ベンダごとの製品の特徴を知らないと構築どころかコンサルも無理なんだよなぁ メーカじゃないから、そんなのわからなくても僕SIerだから悪くないもん! って、主張するから子供と一緒と言われんじゃろ?わかる >>106 顧客の要望を聴き取って実現できるメーカの製品を選定/提案すると思ってましたが違うんですね 具体的な製品選定は誰がやるんでしょうね 素人で申し訳なくこんな質問して怒られるかもしれませんが 60Fを利用しているのですが、 スタティックルートやファイヤーウォールポリシーの宛先にインターネットデータベースを使うと応答速度が低下する現象はあったりしますでしょうか。 FortigateではASICにオフロード出来ると思いますが、ASICの負荷が高くなった場合は、 CPU処理になるのでしょうかね? 例えば、NTurboが100%になったら、オフロード出来ずCPU処理になるという考えで良いでしょうかね。 >>119 ご回答ありがとうございました! 助かりました! FortiGate 60E (7.2.1)でのIPv6について質問です。 フレッツ光ネクスト回線+朝日ネットのv6契約にて下記のURLを参考に設定済みで、 Windows10/11、Android12/13は正常に外部とv6通信ができています。 https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-asahinet-v6connect-ipip.pdf しかしiPhoneXS/SE2およびiPad mini4、macOS12/13だけ(要はApple製品)がv6で外部と通信できません。 v6アドレスおよびv6ゲートウェイアドレス、v6DNSアドレスをRAから取得済みなのに何故かvne-tunnel(v4 over v6)から外部に抜けます。 Apple製品のプライベートWi-FiをOFFにしたりMacbookで有線接続にしても同様でした。 ただ、FortiGateのwan1が取得しているグローバルv6アドレスに一度ping6コマンドを発すると、 その後は外部のv6サーバにping6が疎通するようになりv6のWebサーバなどにもアクセスできるようになります。 (test ipv6サイトでもOK判定になる) バグなのか上記のPDFでは設定が足らないのか、どなたか同じような環境でv6で抜けられている人いませんか? 7.2.4に上げてみたけど全く同じてすね。 FortiGateだとApple製品でv6できてる人いないんじゃないかなこれ。。 同じ環境でRTX1200だと問題無くv6使えるんですが他に色々便利だからFortiGateを使っていきたいなと。 してあったらごめんだけどセッションヘルパーで58ポート開けてあげて見てもダメかね? >>126 私はふつうに使えてますね。 iPhone / iPad / macOS それぞれ最新パッチ当て済 FOS は7.2.4 で、プロバイダは Asahinet の ipv6 サービス ちゃんとipv6テストサイトで、safari / Firefox / chrome / edge からipv6アドレスで接続出来ているのを確認できます IPv6 tunnel はご提示の手順の方法ではありませんが、ipv6 native でアクセスする分には関係ありませんので、関連性はないかと nd-proxyは有効にしてます。 session helperでプロトコル58は有効にしていませんが、設定しようにもポート番号指定が必須なので設定できず。 >>130 おお、もし良ければv6周りのconfigを教えてもらえませんか? 上のPDFで触れられてないものがあるでしょうか。 仰るとおりv6トンネルのds-lite部分は関係無いと思います。 InternalのmacOSやiPhoneからwan1のv6アドレスにping6するとv6ネイティブで外に通るようになるのがまた解せない。。 >131 Android や windows で通信できている、およびmacOS 側にもIPv6 アドレスが設定されているってことは、 普通のIPv6 設定は問題ないと思うので、macOSに関連するところなんじゃないかなーと思う。 どのIPを使って通信させるのかを判断するのはクライアントなので。 よくわからない状況だけど、ご要望の資料でしてない設定ということなので、ipv6 の delegated 設定と np proxy です Nd proxy はしてそうなので(IPが振られているので)。手順書は、ipv6 tunnel を使ってIPv4 通信をさせることが目的だから この辺の設定はしてないと思う。 ただ、IP振られてるなら通信できても良さそうだなぁとは思います。 蛇足ですがipv6 と ipv4 のポリシーは同じだったら分けたほうがいいと思う。 Ipv4 だとどうしてもNAT が必要になるので、ipv6 native でやりたいならnat 外したポリシーを作ったほうがいいかと思う。 下は、wan で IPv6 NDを受けて、lan へ委任する例(IPv6 のみ) (抜粋) config system interface edit "wan" config ipv6 set dhcp6-prefix-delegation enable set autoconf enable config dhcp6-iapd-list edit 1 set prefix-hint ::/60 next end end next end config system interface edit "lan" config ipv6 set ip6-mode delegated set dhcp6-information-request enable set ip6-send-adv enable set ip6-manage-flag enable set ip6-other-flag enable set ip6-upstream-interface "wan1" set ip6-delegated-prefix-iaid 1 set ip6-subnet ::/60 config ip6-prefix-list edit ::/60 next end config ip6-delegated-prefix-list edit 1 set upstream-interface "wan1" set subnet ::/60 set rdnss-service delegated end next end ありがとうございます。 v4とv6のFWポリシーは分けてます。 頂いた参考設定ですが、これはひかり電話有りのタイプですかね? 後出しになってしまい恐縮なんですがこちらひかり電話を解約したのでHGWの下のFGはRAでv6アドレスを取得してます。 随分前にwan1でdelegateする設定をしたんですがうまくいきませんでした。 帰ったらリトライしてみます。 >>136 はい。光電話タイプです。 anonymous@fusianasan リモートメンテ用に放置されてて侵入されるぐらいなら 自動アップデートがデフォルトでいいよねという FG社の優しさ 中古で買ったFortigate60Fのライセンス買いたいんだけども どうすればいいんだってばよ? 正規ルート外れた箱にライセンス売るとこは基本ないよ。 Fortigate60Fなんですがinternal1でフロー制御を有効にする場合は以下であってますか? config switch physical-port edit internal1 set flow-control both next end fortigateでv6プラス固定IPを利用しています。 この固定IPで他拠点とIPsec VPNは構築できるますか? バグだらけ不具合だらけで品質管理やってないだろ 何回問い合わせさせるのか IPsec VPNの設定で教えてください。 Windows10と11のOS標準VPNクライアントでL2TP/IPsecに接続させたいのですが、 このページを参考に設定をして、クライアントが接続できるところまで確認しています。 https://www.nedia.ne.jp/blog/tech/2021/03/02/17467 VPNクライアント→fortigateのLAN側へのアクセスは出来ていますが、 fortigateのLAN側→VPNクライアントへの通信がうまくいきません。 クライアント側へ遠隔でサポートするために、LAN側からRDPなどでつなぎたいのですが ポリシーの設定をどうすればよいのでしょう? 解説ページの真ん中のほうの、「ALAN→WANのポリシー」の部分で、NATをonにしているので、 クライアント側へ接続できないのだと思いますが、NATをoffにすると クライアント側からもfortigateのLAN側へ通信ができなくなってしまいます。 Windowsデフォルトの機能だからL2TP/IPsec使いたがる人はたまにいるけどFortiClientでも使っておいた方が無難かと ここで訊くってことはどのみち保守とか入ってないんだし FWポリシーで接続できるHP絞っているだけなんですが、ページはほぼ表示されつつもブラウザのタブバー部分だけ読み込みアイコンがやたら続くのは何故でしょうか 軽快で有名な阿部寛のHPはすぐ読み込み完了するのですが企業HPなどが大体この状態に陥ります FortiOSの末尾が数字で終わってたりアルファベットだったりする意味はなんですか? 7.4.6F 7.4.7M 7.0.5 のFやMや何もついてなかったり 解決しました。 Fが新機能含むバージョンで、Mが含まないバージョンでした。 >>151 >fortigateのLAN側→VPNクライアントへの通信がうまくいきません。 もっと具体的に書こう 回線のプラン名とプロバイダのプラン名と接続方式も念のため書こう >>154 ブラウザの開発者ツール/デベロッパーツールなどで確認しよう とうとうライセンスが無いとファイルをアップしてのファームアップもさせてくれなくなったな read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる