Fortigateについて語ろう6
FortiGateシリーズは、ネットワーク全体を総合的に保護するハードウェアベースの
ネットワーク・プロテクション・ゲートウェイ(NPG)です。
Fortinet社独自開発のABACASTM(Accelerated Behavior and Content Analysis System)
テクノロジと独自のASIC(FortiAsic)ベースアーキテクチャを採用した、次世代
ネットワークプロテクション・アプライアンスです。
ファイアウォール、不正侵入、VPN、トラフィックシェーピングなどネットワークレベル
のサービスに加え、ウィルスプロテクションやコンテンツフィルタリングなどの
アプリケーションレベルのサービス機能も搭載しており、効果的にネットワークを保護します。
FortiGateは、4種類のICSA認定取得をしています。
アンチウイルス、ファイアウォール、IPSec、IDS
セールスポイントは非常に魅力的ですばらしいのですが、
非常に個性的な製品ですので、皆さん助け合って安定稼働に努めましょう。
フォーティネットジャパン
http://www.fortinet.co.jp/
FortiProtect Center
http://www.fortinet.com/FortiProtectCenter/
質問する際には必ずFortiGateの機種、FortiOSのバージョン、 ネットワーク構成・環境を報告してください。
Fortigateについて語ろう5
https://mao.5ch.net/test/read.cgi/network/1593878325/ >>22
バージョン6.0系の修正が出る可能性あるみたいです。 >>28
認証なしでリモートからコマンド可能なので証明書は関係ないです。
しかも昔のバージョン5からなので致命的 >>32
言葉足らずだったわ
VPNを証明書認証でやればええんちゃう?って言いたかった
出来るのかしらんけど >>34
認証無しでも不正操作される問題に認証で対策するのか? SD-WAN機能触ってみたけどSD-WANとは名ばかりだな そもそもファイアウォール自体がSDと言えなくもない。 普通のSD-WANベンダ製品が売れてるって話もあんまり聞かない
ブレイクアウト需要は多いけど PaloaltoVM試用版って30日となっているけどいつから30日ですか?
インストールし直せば何度も使えますか? FortiGateで0% nice ってなっているんですけど、ここのniceはシステム以外の優先度の
低いプロセスで使っているCPU使用率を表示させているのでしょうか?
# get system performance status
CPU states: 0% user 0% system 0% nice 100% idle 0% iowait 0% irq 0% softirq nice値によって優先度が変わるというのは理解したように思えるのですが、
よく分からない。。。。 >>41
おそらくその認識かと思います。
公式見るとnice100%だけだとFortiGateの動作が停止してるようです。
https://docs.fortinet.com/document/fortigate/6.4.2/administration-guide/152469/troubleshooting-cpu-and-network-resources
Troubleshooting CPU and network resources
FortiGate has stopped working
If the FortiGate has stopped working, the first line of the output will look similar to this:
CPU states: 0% user 0% system 0% nice 100% idle >>46
idleの間違いですね。お恥ずかしい。
指摘ありがとうございます。 niceのパーセントが上がってる時って、ナイスじゃない事が
起きてるってことでOK?
優先度が何かしらで変わるって事は、優先度があがるようにCPU割り当ててる
感じか。 Fortinet JapanのSEさんって、めっちゃメール回答とか安心感ありますわ。
なんだろう、努力した時間の違いなのか?
ああいう、カッコいいSEになりたい。 保守対応に該当する問い合わせは保守契約(保守体制フロー)に基づいて代理店に問い合わせてもらうしか無い
これはどこのメーカーも基本的には同じ >>52
ほとんどのメーカーは直接やってるイメージ >>53
障害対応のチケットオープンとかエンドユーザが直接メーカとやるかね
代理店、SIerに払ってる保守費は一体どこに消えていくのか エンドユーザとメーカーで直接保守契約を結ぶことってダイレクトサポート(有償サポート)くらいかなぁ 例の病院のVPNでのランサムウェア被害って
使ってるの知ってて連絡の無い保守契約してる業者
イー加減にしろ 保守ベンダから連絡しないでしよう。
保守ベンダは、故障や技術サポートの窓口だから脆弱性情報は聞かれない限り、情報提供もしない。
構築ベンダにセキュリティサポート費用とか払って脆弱性情報貰うか、機器導入してる組織のセキュリティ担当かCERT担当がアンテナたて日々脆弱性情報集めるしかない。
と言っても、IPAのサイトかJPCERTのサイトか、メーカーサイト位しか確認しないけどね。 確認して対処できる人がいるならそもそもそんなことになってないねんな
ファルコンとかガチのハッカー雇ってるとこのサービス使えばええんや
じぇーくらーととかいううんちに頼るのは悪手 RSSとかでPSIRT情報来るからそういうのをIT/セキュリティ管理者は見ておかないといけないよねってだけの話なんだけど
全部丸投げしてるからねぇ 保守ベンダーだって普通に連絡取る所多いだろ
ここで連絡取れないとような所は切られるからな
但し、ベンダーとの関係が悪かったり担当者に問題があったりすると別だが
病院系はヤバい担当者も居ると聞くからどっちが問題かはわからん 影響のデカいセキュリティホールなんかは
メールで連絡してくれてもいいんしゃね?
とは思う。
ベストエフォートで。 fortiguard PSIRTアドバイザリを見ないの? >>68
Fortinet PSIRT notification mailで検索 情シスがそんなん見るかよ
インフラなんて業者任せや 複数拠点でipsecVPN(アグレッシブモード)を行う時の設定をしてみたけど、このサイトでいうB拠点とC拠点の通信ができない(pingが通らない)のは仕様なんだろうか
scskのサポート担当に尋ねたらハブアンドスポークでやってくれと言われたが…
私はできるか出来ないかを聞いたんだがなぁ
普通のciscoルータやアライドルータだとできるのに
https://tec-world.networld.co.jp/faq/show/10151 >>74
A拠点でB、C向けのIPSEC張れてるなら、B-C間ポリシーをA拠点に入れれば通信通りません? >>76
ポリシーもあるけどB,C拠点のIPSecVPN Phase2設定内の送信先アドレスに双方拠点のアドレス入れる必要もあるね
自分の組んだ環境だと拠点間通信も問題ないわ
A拠点もBとの接続設定の送信元アドレスにCのアドレスを含める必要はある >>76
>>77
レスありがとうございます
・A拠点にBC間のポリシー設定済み
・B拠点のポリシーに送信元C拠点のNWアドレスを設定 その逆も然り
・AにおけるAB間のIPsecのphase2の設定の送信元アドレスにC拠点のNWアドレス(AC間のIPsecの設定時に利用しているもの)の設定 BにおけるAB間のIPsecの設定の宛先アドレスにC拠点を設定してます (C拠点の場合も同様に設定してます)
時間があればwebGUIのスクショ載せます
納期近かったから、結局ハブアンドスポークで構築して納品したんですけど ちなみに同じ設定で、どこの拠点もグローバルIPが固定だと通信できちゃいました 同じようにメッシュ型じゃなくA拠点中心のスター型で
後出しになって素人丸出しだけれどFortigate60f ファーム7.2.3です fortigateのddns設定つかえば良かったかもしれんが、これはやってないです ddns使わずに動的グローバルアドレス間のIPSECは出来ないのでは? そうだよ震えろ
日本のIT業界なんてこのレベルのが設計構築してんだ >>81
片側が静的IPならIPSecアグレッシブモード使えば拠点側は動的IPでもDDNSは要らない
VPNセッション開始が拠点側からになるだけで通信自体はほぼ変わらん v7.2系使ってる時点でFortigate素人感漂うな
質問してるNetWorldはまだサポートしてないんだからまともな技術サポートを受ける権利が無くなるから本番環境で使うとかアカン >>84
81です。
B拠点(動的)-A拠点経由(静的)-C拠点(動的)なら仰る通りですが、B拠点(動的)--C拠点(動的)でIPSEC接続されたいように見えます。
>>86
サポートはscskみたいですね。
サポートも新しいバージョンはバグがある可能性が高い事は教えてくれないんですかね。 逆にCiscoやアライドでどうやったら出来たんだろう >>83
設定も切り分けも出来ない人が金取って設定してるとか怖すぎるよね
どこもそういった人しか居ないんだけどさ >「私はできるか出来ないかを聞いたんだがなぁ」
このくらいのことを構築担当してる業者が訊くとかほんと終わってるのと
理解してない人って整理されて無くて何言ってるかわかんない質問投げてくるから回答する方も大変なんだよね 動的IP-動的IPでのIPsecVPN接続は可能だけど、1から説明しないと行けなさそうな感じなんで
おとなしくハブ&スポークでやってって提案されたってとこかな S○SKの技術サポートって他社と比べてどんな感じなんでしょうか?
以前問い合わせしたときに技術レベルに疑問を感じることがあって… どこの業者も構築や設定差ボートはしません
故障時のサポートです
って言われた経験ある
そう言わんと設定をサポート二丸投げする奴らが居るんだろうな 「DDNS使えばいいですよ」って案内しても「DDNSってなんですか?」「どうやって設定するんですか?」ってくるのが見えてるからね >>93
なるほど。そうっぽいですよね。
>>95
まぁ丸投げはダメでしょうね。
ただ故障サポートって言い切るのも少し違う気します(笑 >>97 の 1つめは >>94 様宛でした。
失礼しました。 だいたいはお金(有償サポート or スキルのある人を雇う)で解決するんだよね まぁそもそも製品独特の設定方法だの仕様だのを外部の人間に把握してろってのがおかしな話なんだ
そんなのfortiだのciscoだのが自社で大規模な部隊持っとけって話だけど現実それが無理だからサポートがあるわけで SIerはそういったノウハウ/技術を提供することで顧客からお金をもらう体なんだけどね 顧客の要望を聴き取ってこういう設計のNWがありますよと提案し構築するのが仕事
ベンダー特有の技術を提供するわけではない >>103
製品の内部資料とか公開してんの?
それどこのメーカーよ?(笑) 提案してる装置の設定を顧客の代わりに行ったり構築支援したりするのでそういった「技術」は提供してると思うよ
なので扱ってるベンダの装置の設定をある程度理解しておく必要はあるかと
「特有の技術」ってのが装置の設定のことを指してないと良いんだけど 流石に一般技術的な話とかマニュアル見ればわかる設定とかの話ではないな
例えばつい先日あった話だが某Ciscoの証明書期限切れによるOSイメージダウンロード検証不可の事象だって
OSダウンロードでスタックしてる、証明書が原因らしいってのまではログでわかるかもしれないけど
じゃあ何で証明書で認証できてないのとか実はMICとは別の物理的に焼き込まれた証明書でしたーとかCiscoのアナウンスが無いとわからない事だったし >>109
特殊なものは資料も公開されてないからベンダ側で対処するしかないし、ベンダ側でも開発が調べないとわからなかったりするね
そういうのじゃなくて、受注していざ構築始めたら「実際に動かしたこと無いので設定よくわかりません」「一応設定してはみたけど期待どおりに動かないんです。なんでですか?」みたいなレベルの
業者様はちょっとご遠慮したいかなと思う 各ベンダ、製品ごとに装置の設定の仕方は異なるわけだから
そういうのがわかるのもベンダ特有の技術になるんかなと思った ベンダごとの製品の特徴を知らないと構築どころかコンサルも無理なんだよなぁ メーカじゃないから、そんなのわからなくても僕SIerだから悪くないもん!
って、主張するから子供と一緒と言われんじゃろ?わかる >>106
顧客の要望を聴き取って実現できるメーカの製品を選定/提案すると思ってましたが違うんですね
具体的な製品選定は誰がやるんでしょうね 素人で申し訳なくこんな質問して怒られるかもしれませんが
60Fを利用しているのですが、
スタティックルートやファイヤーウォールポリシーの宛先にインターネットデータベースを使うと応答速度が低下する現象はあったりしますでしょうか。 FortigateではASICにオフロード出来ると思いますが、ASICの負荷が高くなった場合は、
CPU処理になるのでしょうかね?
例えば、NTurboが100%になったら、オフロード出来ずCPU処理になるという考えで良いでしょうかね。 >>119
ご回答ありがとうございました!
助かりました! FortiGate 60E (7.2.1)でのIPv6について質問です。
フレッツ光ネクスト回線+朝日ネットのv6契約にて下記のURLを参考に設定済みで、
Windows10/11、Android12/13は正常に外部とv6通信ができています。
https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-asahinet-v6connect-ipip.pdf
しかしiPhoneXS/SE2およびiPad mini4、macOS12/13だけ(要はApple製品)がv6で外部と通信できません。
v6アドレスおよびv6ゲートウェイアドレス、v6DNSアドレスをRAから取得済みなのに何故かvne-tunnel(v4 over v6)から外部に抜けます。
Apple製品のプライベートWi-FiをOFFにしたりMacbookで有線接続にしても同様でした。
ただ、FortiGateのwan1が取得しているグローバルv6アドレスに一度ping6コマンドを発すると、
その後は外部のv6サーバにping6が疎通するようになりv6のWebサーバなどにもアクセスできるようになります。
(test ipv6サイトでもOK判定になる)
バグなのか上記のPDFでは設定が足らないのか、どなたか同じような環境でv6で抜けられている人いませんか? 7.2.4に上げてみたけど全く同じてすね。
FortiGateだとApple製品でv6できてる人いないんじゃないかなこれ。。
同じ環境でRTX1200だと問題無くv6使えるんですが他に色々便利だからFortiGateを使っていきたいなと。 してあったらごめんだけどセッションヘルパーで58ポート開けてあげて見てもダメかね?