X
トップページ通信技術
159コメント76KB
Fortigateについて語ろう6
0001anonymous@fusianasan
垢版 |
2022/11/02(水) 10:34:32.42ID:SrkPhshn
FortiGateシリーズは、ネットワーク全体を総合的に保護するハードウェアベースの
ネットワーク・プロテクション・ゲートウェイ(NPG)です。
Fortinet社独自開発のABACASTM(Accelerated Behavior and Content Analysis System)
テクノロジと独自のASIC(FortiAsic)ベースアーキテクチャを採用した、次世代
ネットワークプロテクション・アプライアンスです。
ファイアウォール、不正侵入、VPN、トラフィックシェーピングなどネットワークレベル
のサービスに加え、ウィルスプロテクションやコンテンツフィルタリングなどの
アプリケーションレベルのサービス機能も搭載しており、効果的にネットワークを保護します。
FortiGateは、4種類のICSA認定取得をしています。
アンチウイルス、ファイアウォール、IPSec、IDS

セールスポイントは非常に魅力的ですばらしいのですが、
非常に個性的な製品ですので、皆さん助け合って安定稼働に努めましょう。

フォーティネットジャパン
http://www.fortinet.co.jp/
FortiProtect Center
http://www.fortinet.com/FortiProtectCenter/

質問する際には必ずFortiGateの機種、FortiOSのバージョン、 ネットワーク構成・環境を報告してください。

Fortigateについて語ろう5
https://mao.5ch.net/test/read.cgi/network/1593878325/
0109anonymous@fusianasan
垢版 |
2023/02/05(日) 19:01:08.72ID:???
流石に一般技術的な話とかマニュアル見ればわかる設定とかの話ではないな
例えばつい先日あった話だが某Ciscoの証明書期限切れによるOSイメージダウンロード検証不可の事象だって
OSダウンロードでスタックしてる、証明書が原因らしいってのまではログでわかるかもしれないけど
じゃあ何で証明書で認証できてないのとか実はMICとは別の物理的に焼き込まれた証明書でしたーとかCiscoのアナウンスが無いとわからない事だったし
0110anonymous@fusianasan
垢版 |
2023/02/05(日) 19:10:41.22ID:???
>>109
特殊なものは資料も公開されてないからベンダ側で対処するしかないし、ベンダ側でも開発が調べないとわからなかったりするね
そういうのじゃなくて、受注していざ構築始めたら「実際に動かしたこと無いので設定よくわかりません」「一応設定してはみたけど期待どおりに動かないんです。なんでですか?」みたいなレベルの
業者様はちょっとご遠慮したいかなと思う
0112anonymous@fusianasan
垢版 |
2023/02/05(日) 21:51:41.13ID:???
各ベンダ、製品ごとに装置の設定の仕方は異なるわけだから
そういうのがわかるのもベンダ特有の技術になるんかなと思った
0113anonymous@fusianasan
垢版 |
2023/02/06(月) 01:18:29.83ID:???
ベンダごとの製品の特徴を知らないと構築どころかコンサルも無理なんだよなぁ
0114anonymous@fusianasan
垢版 |
2023/02/06(月) 02:13:34.09ID:???
メーカじゃないから、そんなのわからなくても僕SIerだから悪くないもん!

って、主張するから子供と一緒と言われんじゃろ?わかる
0116anonymous@fusianasan
垢版 |
2023/02/06(月) 03:20:12.14ID:???
>>106
顧客の要望を聴き取って実現できるメーカの製品を選定/提案すると思ってましたが違うんですね
具体的な製品選定は誰がやるんでしょうね
0117unknown
垢版 |
2023/02/06(月) 18:34:23.42ID:gU1PsVxN
美桜ちゃんはトランジスタグラマー
0118anonymous@fusianasan
垢版 |
2023/02/06(月) 22:08:56.04ID:???
素人で申し訳なくこんな質問して怒られるかもしれませんが

60Fを利用しているのですが、
スタティックルートやファイヤーウォールポリシーの宛先にインターネットデータベースを使うと応答速度が低下する現象はあったりしますでしょうか。
0119anonymous@fusianasan
垢版 |
2023/02/07(火) 00:03:43.59ID:???
設定に問題がなければそういったことはありません
0120anonymous@fusianasan
垢版 |
2023/02/07(火) 01:49:02.05ID:BlNyCmIb
FortigateではASICにオフロード出来ると思いますが、ASICの負荷が高くなった場合は、
CPU処理になるのでしょうかね?
例えば、NTurboが100%になったら、オフロード出来ずCPU処理になるという考えで良いでしょうかね。
0124anonymous@fusianasan
垢版 |
2023/02/17(金) 22:30:03.15ID:???
FortiGate 60E (7.2.1)でのIPv6について質問です。

フレッツ光ネクスト回線+朝日ネットのv6契約にて下記のURLを参考に設定済みで、
Windows10/11、Android12/13は正常に外部とv6通信ができています。
https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-asahinet-v6connect-ipip.pdf

しかしiPhoneXS/SE2およびiPad mini4、macOS12/13だけ(要はApple製品)がv6で外部と通信できません。
v6アドレスおよびv6ゲートウェイアドレス、v6DNSアドレスをRAから取得済みなのに何故かvne-tunnel(v4 over v6)から外部に抜けます。

Apple製品のプライベートWi-FiをOFFにしたりMacbookで有線接続にしても同様でした。

ただ、FortiGateのwan1が取得しているグローバルv6アドレスに一度ping6コマンドを発すると、
その後は外部のv6サーバにping6が疎通するようになりv6のWebサーバなどにもアクセスできるようになります。
(test ipv6サイトでもOK判定になる)

バグなのか上記のPDFでは設定が足らないのか、どなたか同じような環境でv6で抜けられている人いませんか?
0126124
垢版 |
2023/02/19(日) 12:11:48.73ID:???
7.2.4に上げてみたけど全く同じてすね。
FortiGateだとApple製品でv6できてる人いないんじゃないかなこれ。。

同じ環境でRTX1200だと問題無くv6使えるんですが他に色々便利だからFortiGateを使っていきたいなと。
0128anonymous@fusianasan
垢版 |
2023/02/19(日) 12:50:40.22ID:???
してあったらごめんだけどセッションヘルパーで58ポート開けてあげて見てもダメかね?
0130sage
垢版 |
2023/02/19(日) 14:35:10.18ID:zf2HIFvc
>>126

私はふつうに使えてますね。
iPhone / iPad / macOS それぞれ最新パッチ当て済

FOS は7.2.4 で、プロバイダは Asahinet の ipv6 サービス

ちゃんとipv6テストサイトで、safari / Firefox / chrome / edge からipv6アドレスで接続出来ているのを確認できます

IPv6 tunnel はご提示の手順の方法ではありませんが、ipv6 native でアクセスする分には関係ありませんので、関連性はないかと
0131124
垢版 |
2023/02/19(日) 16:23:12.64ID:???
nd-proxyは有効にしてます。
session helperでプロトコル58は有効にしていませんが、設定しようにもポート番号指定が必須なので設定できず。

>>130
おお、もし良ければv6周りのconfigを教えてもらえませんか?
上のPDFで触れられてないものがあるでしょうか。
仰るとおりv6トンネルのds-lite部分は関係無いと思います。

InternalのmacOSやiPhoneからwan1のv6アドレスにping6するとv6ネイティブで外に通るようになるのがまた解せない。。
0132sage
垢版 |
2023/02/19(日) 16:58:37.39ID:zf2HIFvc
>131

Android や windows で通信できている、およびmacOS 側にもIPv6 アドレスが設定されているってことは、
普通のIPv6 設定は問題ないと思うので、macOSに関連するところなんじゃないかなーと思う。
どのIPを使って通信させるのかを判断するのはクライアントなので。

よくわからない状況だけど、ご要望の資料でしてない設定ということなので、ipv6 の delegated 設定と np proxy です
Nd proxy はしてそうなので(IPが振られているので)。手順書は、ipv6 tunnel を使ってIPv4 通信をさせることが目的だから
この辺の設定はしてないと思う。

ただ、IP振られてるなら通信できても良さそうだなぁとは思います。

蛇足ですがipv6 と ipv4 のポリシーは同じだったら分けたほうがいいと思う。
Ipv4 だとどうしてもNAT が必要になるので、ipv6 native でやりたいならnat 外したポリシーを作ったほうがいいかと思う。

下は、wan で IPv6 NDを受けて、lan へ委任する例(IPv6 のみ)
0133sage
垢版 |
2023/02/19(日) 16:59:03.32ID:zf2HIFvc
(抜粋)
config system interface
edit "wan"
config ipv6
set dhcp6-prefix-delegation enable
set autoconf enable
config dhcp6-iapd-list
edit 1
set prefix-hint ::/60
next
end
end
next
end
0134sage
垢版 |
2023/02/19(日) 16:59:26.08ID:zf2HIFvc
config system interface
edit "lan"
config ipv6
set ip6-mode delegated
set dhcp6-information-request enable
set ip6-send-adv enable
set ip6-manage-flag enable
set ip6-other-flag enable
set ip6-upstream-interface "wan1"
set ip6-delegated-prefix-iaid 1
set ip6-subnet ::/60
config ip6-prefix-list
edit ::/60
next
end
config ip6-delegated-prefix-list
edit 1
set upstream-interface "wan1"
set subnet ::/60
set rdnss-service delegated
end
next
end
0135sage
垢版 |
2023/02/19(日) 16:59:44.23ID:zf2HIFvc
参考になれば
0136124
垢版 |
2023/02/19(日) 17:54:45.84ID:???
ありがとうございます。

v4とv6のFWポリシーは分けてます。

頂いた参考設定ですが、これはひかり電話有りのタイプですかね?
後出しになってしまい恐縮なんですがこちらひかり電話を解約したのでHGWの下のFGはRAでv6アドレスを取得してます。

随分前にwan1でdelegateする設定をしたんですがうまくいきませんでした。
帰ったらリトライしてみます。
0137sage
垢版 |
2023/02/19(日) 18:02:28.99ID:GbKCknDf
>>136
はい。光電話タイプです。

anonymous@fusianasan
0140anonymous@fusianasan
垢版 |
2023/12/27(水) 01:11:50.45ID:???
リモートメンテ用に放置されてて侵入されるぐらいなら
自動アップデートがデフォルトでいいよねという
FG社の優しさ
0141anonymous@fusianasan
垢版 |
2023/12/28(木) 17:54:23.43ID:???
中古で買ったFortigate60Fのライセンス買いたいんだけども
どうすればいいんだってばよ?
0142anonymous@fusianasan
垢版 |
2023/12/29(金) 00:02:49.28ID:???
正規ルート外れた箱にライセンス売るとこは基本ないよ。
0144anonymous@fusianasan
垢版 |
2023/12/31(日) 06:58:58.47ID:???
Fortigate60Fなんですがinternal1でフロー制御を有効にする場合は以下であってますか?
config switch physical-port
 edit internal1
  set flow-control both
 next
end
0146anonymous@fusianasan
垢版 |
2024/02/08(木) 22:17:26.27ID:GKB7uuIi
fortigateでv6プラス固定IPを利用しています。
この固定IPで他拠点とIPsec VPNは構築できるますか?
0147.
垢版 |
2024/02/09(金) 16:33:26.33ID:???
おい、ファーム自動更新してるかねイライラ
0148anonymous@fusianasan
垢版 |
2024/02/09(金) 23:21:54.67ID:???
バグだらけ不具合だらけで品質管理やってないだろ
何回問い合わせさせるのか
0149anonymous@fusianasan
垢版 |
2024/02/12(月) 09:21:50.44ID:7TYH3DtV
>>146
できるよん
0150anonymous@fusianasan
垢版 |
2024/02/16(金) 08:28:06.40ID:dS1zYM4K
>>146
できますよ。やっています。
0151anonymous@fusianasan
垢版 |
2024/03/17(日) 19:22:35.65ID:mSovpy3Z
IPsec VPNの設定で教えてください。

Windows10と11のOS標準VPNクライアントでL2TP/IPsecに接続させたいのですが、
このページを参考に設定をして、クライアントが接続できるところまで確認しています。
https://www.nedia.ne.jp/blog/tech/2021/03/02/17467

VPNクライアント→fortigateのLAN側へのアクセスは出来ていますが、
fortigateのLAN側→VPNクライアントへの通信がうまくいきません。

クライアント側へ遠隔でサポートするために、LAN側からRDPなどでつなぎたいのですが
ポリシーの設定をどうすればよいのでしょう?

解説ページの真ん中のほうの、「ALAN→WANのポリシー」の部分で、NATをonにしているので、
クライアント側へ接続できないのだと思いますが、NATをoffにすると
クライアント側からもfortigateのLAN側へ通信ができなくなってしまいます。
0153anonymous@fusianasan
垢版 |
2024/03/24(日) 02:40:09.43ID:???
Windowsデフォルトの機能だからL2TP/IPsec使いたがる人はたまにいるけどFortiClientでも使っておいた方が無難かと
ここで訊くってことはどのみち保守とか入ってないんだし
0154anonymous@fusianasan
垢版 |
2024/04/09(火) 00:32:20.26ID:???
FWポリシーで接続できるHP絞っているだけなんですが、ページはほぼ表示されつつもブラウザのタブバー部分だけ読み込みアイコンがやたら続くのは何故でしょうか
軽快で有名な阿部寛のHPはすぐ読み込み完了するのですが企業HPなどが大体この状態に陥ります
0155anonymous@fusianasan
垢版 |
2024/04/11(木) 17:45:25.25ID:9k9jvyiK
FortiOSの末尾が数字で終わってたりアルファベットだったりする意味はなんですか?

7.4.6F
7.4.7M
7.0.5

のFやMや何もついてなかったり
0156anonymous@fusianasan
垢版 |
2024/04/11(木) 18:39:17.42ID:9k9jvyiK
解決しました。
Fが新機能含むバージョンで、Mが含まないバージョンでした。
0158anonymous@fusianasan
垢版 |
2024/04/24(水) 16:44:35.31ID:???
>>151
>fortigateのLAN側→VPNクライアントへの通信がうまくいきません。
もっと具体的に書こう
回線のプラン名とプロバイダのプラン名と接続方式も念のため書こう
0159anonymous@fusianasan
垢版 |
2024/04/24(水) 16:45:33.79ID:???
>>154
ブラウザの開発者ツール/デベロッパーツールなどで確認しよう
新着レスの表示
レスを投稿する

ニューススポーツなんでも実況