Fortigateについて語ろう4

793 ：anonymous@fusianasan：2019/06/25(火) 23:12:03.04 ID:???.net

>>790
ルータと違ってセッション管理しちゃうから注意ね。
やたら無通信時間が長いアプリとかたまにあるし。

794 ：anonymous@fusianasan：2019/07/26(金) 15:45:01.64 ID:???.net

>>792
PPPoEとIPv6は実測値が面白いことになる機種も多い

795 ：anonymous@fusianasan：2019/07/30(火) 22:13:13.36 ID:???.net

https://i.imgur.com/dWYOCDj.jpg

796 ：anonymous@ sp49-98-163-26.msd.spmode.ne.jp：2019/07/31(水) 08:17:38.64 ID:AWyJ99xAZ

6.2.1まだかね。

797 ：anonymous@fusianasan：2019/08/01(木) 01:22:57.48 ID:txazrML8.net

個人だとどこでライセンス買うのがオススメ？

798 ：anonymous@fusianasan：2019/08/02(金) 20:46:10.82 ID:???.net

>>788 ありがとう
https://network-beginner.xyz/fortigate_and_rtx_ipsec-vpn
このサイトも参考にさせてもらって設定したらアグレッシブでのみ成功したけど
2拠点目繋げようとするどっちか1か所しか繋がらない
fortigateから見たリモート側のPeerIDは文字化けしてるしRTXでのPeerIDの指定方法もわからない
ここで行き止まりかな

799 ：anonymous@fusianasan：2019/08/02(金) 21:40:00.39 ID:???.net

ipsec ike local name を fqdnにしたら識別できて繋がった
スレ汚してすみませんでした

800 ：anonymous@fusianasan：2019/08/04(日) 02:36:05.93 ID:HfVtUV9B.net

自宅検証用にみんなどの機種使ってるの？

801 ：nanashi：2019/08/04(日) 07:24:53.54 ID:???.net

60Dだけどvxlanが微妙なんで60E欲しい

802 ：sage：2019/08/09(金) 11:01:04.34 ID:3woH7nMD.net

すいません、Forti初心者なのですがご存知の方教えてください。
FortiCloudのサブスクリプションライセンスの購入を考えているのですが、
登録できるデバイス数は無制限でしょうか。それとも登録したい台数分のサブスクリプションを購入しないとダメ？

803 ：anonymous@fusianasan：2019/08/19(月) 05:02:53.49 ID:hriGQZgT.net

>>801
何が微妙なの

804 ：nanashi：2019/08/19(月) 19:30:37.85 ID:???.net

>>803
60Eはconfig system vxlanがあるけど
60Dはipsecのset encap vxlanしかない。

805 ：anonymous@fusianasan：2019/08/21(水) 00:21:44.69 ID:???.net

Ver.6.0でアプリケーションコントロールのカスタムシグネチャーをhostで識別させたいんだけどうまく行かなくて夜も眠れない。
相手サイトでアプリケーション識別するカスタムシグネチャー分かる人いないですかね…

806 ：anonymous@fusianasan：2019/08/29(木) 08:48:52.49 ID:???.net

脆弱性でたからsslvpn使ってるとこは注意

807 ：anonymous@fusianasan：2019/08/29(木) 19:17:48.59 ID:???.net

正確には脆弱性自体は前からあったけど
エクスプロイトが公開されたから
攻撃実現性が増した感じだよね

808 ：anonymous@fusianasan：2019/09/01(日) 14:00:14.99 ID:???.net

FortiClientのiPhone, iPadアプリは
構成プロファイルで配ったクライアント証明書を認識しなくて
わざわざiTunesから仕込む必要あるから
SSL-VPNで数百端末展開するだけでも地獄っいうね...

809 ：anonymous@fusianasan：2019/09/26(木) 02:10:29.60 ID:???.net

>>802
FortiCloud自体はデバイス登録数は制限無いです
ログリテンションのサブスクリプションはFortiGateごとの購入が必要

810 ：anonymous@fusianasan：2019/09/28(土) 10:09:28.96 ID:???.net

10月半ばから一斉に本体を10%値上げだと
増税と合わせてだいぶアレになるな

811 ：anonymous@fusianasan：2019/10/03(木) 03:22:58.29 ID:???.net

nuro bizでの設定例がわかる方がいたら教えていただきたいです。
nuro bizのONUにfortigate 60Eを接続しているのですが、LAN1（標準固定IP）で外への接続ができません。
いろいろ調べてIPoEで接続するとの情報は得られたのですがfortigateでどのように設定すればいいのかがわかりません。
https://thorsten-on-tech.blog/2018/06/08/ipv6-with-prefix-delegation-on-fortigate/
こちらを参考にipv6をdhcpにしてみましたが、
diagnose ipv6 route list | grep wan1
で見るとipv6のアドレスが割り振られていないようです。
ONUのLAN2経由であれば外に出られます。
どうかよろしくお願いいたします。

812 ：nanasi：2019/10/16(水) 20:31:09.56 ID:???.net

Fortigateで作成したvlan10,20,30のすべてがタグVLANで、
これをLAN1,LAN2のアグリゲートで上位L3SWと接続できている。

LAN3には内部の独自セグメントのIPを割り当ててPCを「直接」接続している。
この状態だとPC側から投げたパケットは上位ルータに飛ばない
（ルーティングやフィルタの設定に異常はない）
ひょっとしてこういう接続はNGなの？

LAN3にもタグVLANを適用し、わざわざタグVLANに対応したL2SWを接続したうえで、
PCをL2SWに接続しないとダメ？

813 ：：2019/10/16(Wed) 21:59:04 ID:???.net

>>812
50Eの6.2ではできてる。

814 ：：2019/10/17(Thu) 09:50:29 ID:???.net

>>813
ありがとう。

815 ：anonymous@fusianasan：2019/10/17(木) 14:55:34.27 ID:5gwexqKi.net

最新ファームでは下位モデルのLAGに対応したんだね

816 ：anonymous@fusianasan：2019/11/05(火) 21:34:39.75 ID:???.net

vdomAにあるradiusサーバーを、vdomBから参照するにはどうしたらよいでしょうか
vdomAからは接続できているのですが、vdomBの「RADIUSサーバの編集」で接続テストすると「RADIUSサーバに接続できません」となります。

817 ：anonymous@fusianasan：2019/11/06(水) 13:57:01.48 ID:???.net

この機種かなりやばない？
Webからポリシー追加とかstatic route追加・削除してたんだけど、
static routeを追加したり削除した直後に数秒ほど飛んではいけない宛先にpingが飛んだりする。
設定反映のタイミングで設定がガバガバになることない？

818 ：anonymous@fusianasan：2019/11/06(水) 22:05:18.57 ID:???.net

ダメなら使うのやめとけ

819 ：anonymous@fusianasan：2019/11/07(木) 08:12:29.98 ID:???.net

>>818
質問に答えてない

820 ：anonymous：2019/11/07(木) 08:16:58.51 ID:???.net

どの機種、どのバージョンか書いてない時点で回答するに値しないクソ質問ですし
でそんなに気になるならパケットキャプチャとった上でメーカーに問い合わせろでFA

821 ：anonymous@fusianasan：2019/11/07(木) 19:46:18.19 ID:???.net

いや、そういう情報を共有するスレだろ

822 ：anonymous@fusianasan：2019/11/07(木) 19:59:03.04 ID:???.net

「やばない？」とか「設定がガバガバ」とかいう放言にマトモな対応を期待する方が馬鹿ｗ

823 ：anonymous@fusianasan：2019/11/07(木) 20:14:39.96 ID:???.net

前提となる環境が全く判らないので情報として価値がない

824 ：anonymous@fusianasan：2019/11/08(金) 09:44:09.73 ID:???.net

それじゃあ典型的な古参隔離スレじゃん
古参のフォーマットに合わせないと無視って、新規が入ってこないわけだわ

825 ：anonymous@fusianasan：2019/11/09(土) 13:50:36.14 ID:L0GkWdQC.net

FG60Eを6.2.0から6.2.2に上げようとしたらアップグレードパスがないとかで弾かれた
factoryresetしても駄目だったわ

826 ：anonymous@fusianasan：2019/11/10(日) 02:34:48.91 ID:???.net

>>825
うちもだわ。機種もバージョンも一緒。

827 ：anonymous@fusianasan：2019/11/13(水) 02:56:37.14 ID:???.net

60Fって60Eから相当能力上がってるね。3倍ぐらいは上。ただ、遅延は3μから4μになってる。サイトがメンテ中だからgoogleのキャッシュしか見れないけど。

で、6.2.0から6.2.1にまず上げないの？　バージョン飛ばすとアップグレードパス云々って言われるのは手続き上あることだと思うんだけど。

828 ：anonymous@fusianasan：2019/11/14(木) 08:09:23.99 ID:???.net

公式のアップグレードパスとして6.2.0 -> 6.2.2が案内されてるじゃん

829 ：anonymous@fusianasan：2019/11/18(月) 20:06:43.98 ID:???.net

>>816
ワイもいろいろ試したが出来んかった

830 ：anonymous@fusianasan：2019/11/24(日) 13:33:26.56 ID:???.net

トランスペアレントモード時のルーティングの設定ているんですか？
透過するだけだしいらないと思ってるんですが

831 ：anonymous@fusianasan：2019/11/24(日) 17:11:52.83 ID:???.net

機器自体がアップデートなりなんなりで通信するためのデフォルトゲートウェイが要るかどうかという話なら
運用ポリシーに照らして設定したらいいんでないかな

832 ：anonymous@fusianasan：2019/11/24(日) 22:32:32.84 ID:???.net

>>831
なるほど、機器がって事か
納得しました。
実在に流れる通信には関係ないって事ですね

833 ：anonymous@fusianasan：2019/11/29(金) 09:53:01.84 ID:???.net

FortiGateをリバースプロキシとして使えますか?

834 ：anonymous@fusianasan：2019/11/30(土) 11:32:02.52 ID:???.net

使えます

835 ：anonymous@fusianasan：2019/12/08(日) 13:43:11.00 ID:???.net

この手のネットワーク機器の付加価値機能って、使えるけど使っちゃいかんってコモンセンスだったけど今後はどやろね
SSLオフローダとしてはASICで非常に優秀なことは理解してるんだけど、
本当に思ったように振り分けできる？ログの出力フォーマットをパースしやすいように整えられる？とか色々考えちゃう

836 ：& ：2019/12/09(月) 13:09:43.05 ID:???.net

石橋３回叩かないと歩けないタイプ?
手に負う根性無いなら丸投げしようぜ

837 ：anonymous@fusianasan：2019/12/10(火) 15:40:08.47 ID:???.net

>>825
これ自己解決。
6.2.0の既知のバグだったわ。
一旦6.0.7に下げたら6.2.2に出来たわ。

838 ：anonymous@fusianasan：2019/12/13(金) 11:06:05.29 ID:???.net

>>836
ちょっと意味が分からん
Fortigateにリバプロさせるようなしょぼいシステム組みたくないって話なんだが理解できとるか？

839 ：anonymous@fusianasan：2019/12/13(金) 13:36:19.45 ID:???.net

SSL-VPN使うことにしました。
ありがとうございました。

840 ：anonymous@fusianasan：2019/12/13(金) 15:08:55.57 ID:???.net

×コモンセンス
○ケースバイケース

841 ：anonymous@fusianasan：2019/12/14(土) 10:12:33.30 ID:???.net

ケースバイケースってか予算が無かったりそもそも要件詰め忘れてたりの間に合わせだろ？
そんなん使う時点でエンジニアとしてどうよって思うわ

842 ：anonymous@fusianasan：2019/12/20(金) 19:26:35.33 ID:34e0ge6G.net

6.2.3リリース。
早速入れてみたが、ログイン画面文字化けするな。

843 ：anonymous@fusianasan：2019/12/20(金) 20:36:06.39 ID:???.net

ありゃ　うちもリリース間近の400Eで6.2.2入れてるんだけどどうしようかな

844 ：anonymous@fusianasan：2019/12/20(金) 22:40:08.71 ID:???.net

Fortinetに限らず、一般的に透過モードで設置した場合WAN側にあるPCとLAN側のPCって普通に通信できるものですか？
例えば共有フォルダが丸見えになりますか？

845 ：anonymous@fusianasan：2019/12/20(金) 23:24:30.85 ID:???.net

>>844
ポリシーによるとしか…

846 ：nanashi：2019/12/21(土) 06:27:49 ID:???.net

>>843
年末だし避けた方が・・・

847 ：anonymous@fusianasan：2019/12/22(日) 20:23:32.62 ID:???.net

>>845
ということは、透過モードのまま制限することは可能ではあるってことですかね？
インターネットのみ可能な来客用ネットワークをUTMの外側に作りたいのですが、UTMの設定はUTM設置業者にさせればいいでしょうか？

848 ：anonymous@fusianasan：2019/12/23(月) 00:49:31.48 ID:???.net

>>847
できるはできるけど要件だけ聞くとわざわざ透過モードで
設計する理由が分からない。
雰囲気的に業者に設計方針から依頼したほうが幸せになると
思うよ。

849 ：anonymous@fusianasan：2019/12/23(月) 08:11:41.77 ID:???.net

SSL-VPN を利用する際に
FQDNを使わず直接IPアドレスを使ったアクセスを
拒否することは可能ですか?

850 ：anonymous@fusianasan：2019/12/23(月) 08:26:40.94 ID:oIFvnOSy.net

>>849
勿論、httpのhostnameヘッダが入ってない場合を想定してるんだろうが、確か出来ないはず。
想定が違うなら、httpプロトコルの勉強した方がいい。

851 ：anonymous@fusianasan：2019/12/23(月) 16:37:49.34 ID:???.net

>>849
俺はダイナミックIP使って、頻繁にIPアドレスを変更している。

852 ：anonymous@fusianasan：2019/12/23(月) 19:55:52.76 ID:???.net

>>850
そうですか。残念です。

Internet explorer 11 だと SSL-VPN ポータルが表示されないのですが
どうすればよろしいでしょうか

853 ：nanashi：2019/12/24(火) 06:28:31.04 ID:???.net

>>849
俺はsrc IP絞った。

854 ：anonymous@fusianasan：2019/12/24(火) 08:08:40.27 ID:KB7IbA+5.net

>>852
最近のFortiOSはIEサポートしてないから大人しく対応ブラウザ使うべし。リリースノートに載ってるから。

855 ：anonymous@fusianasan：2020/01/07(火) 20:21:05.17 ID:???.net

自分でfortigateに証明書を入れず、FortiClientを使用してIPアドレス指定でSSL-VPNを繋いでいるのですが
この状態でも通信は暗号化はされるのでしょうか。
素人質問で申し訳ないです。

856 ：anonymous@fusianasan：2020/01/08(水) 08:22:52.92 ID:f6X7IK54.net

>>855
暗号化されてる。

857 ：anonymous@fusianasan：2020/01/09(木) 06:52:58.56 ID:???.net

>>856
ありがとうございます。

858 ：anonymous@fusianasan：2020/01/12(日) 12:27:55.97 ID:???.net

並行輸入品て日本国内のサポート受けることできますか

859 ：anonymous@fusianasan：2020/01/12(日) 13:35:10.26 ID:???.net

できますん

860 ：anonymous@fusianasan：2020/01/12(日) 16:50:18.53 ID:???.net

ですよねー

861 ：anonymous@fusianasan：2020/01/15(水) 08:11:33 ID:7zpQoq1k.net

6.4まだー？

862 ：855：2020/01/15(水) 12:30:29 ID:7zpQoq1k.net

>>861
6.3でした

863 ：anonymous@fusianasan：2020/03/03(火) 01:45:57.20 ID:???.net

6.3は出ない

864 ：anonymous@fusianasan：2020/03/04(水) 21:53:04.24 ID:???.net

30Eのforticare 1yr 8時間x5日とかの安いライセンスをebayから買って更新しようとしたら$200とか高いのしか売ってなかったけど、最近方針って変わったのでしょうか？
もっともebayは時々品切れになるから、待ってると復活したりしますが、値上げされると困ります。

firewall.comなら普通に安いのですが、こちらから買ったことがないので評判探してます。

865 ：anonymous@fusianasan：2020/03/05(Thu) 08:57:09 ID:???.net

家で使ってる50Eは本体も更新ライセンスもここで買ったけど特に問題は無かったよ https://www.avfirewalls.com/

866 ：anonymous@fusianasan：2020/03/06(金) 17:17:38 ID:???.net

100Dと60Eが同じ値段だったらみんなどっち買う？

867 ：anonymous@fusianasan：2020/03/06(金) 22:46:41 ID:???.net

どちらも買わずに吉原に行く

868 ：anonymous@fusianasan：2020/03/10(火) 04:26:04 ID:???.net

>865 レストン
其処でライセンス買ってみたけど、注文はキャンセルされました。
理由は、お前はウチから本体買ってないから登録されてない、からだそうです。

当然、fortinetには2台も登録済なんですけどね。

869 ：anonymous@fusianasan：2020/03/10(火) 11:34:23 ID:???.net

fortiはlicenceがクソ

870 ：anonymous@fusianasan：2020/03/10(火) 22:37:52 ID:???.net

米とかドイツの尼でもFC-10-0030E-311-02-12は品切れみたい。
なんかサービス体系変えてきそう。

ebayでJPY 18,774てのがあったけど、どうするか。ライセンス切れはまだ先だけど。

871 ：anonymous@fusianasan：2020/03/19(木) 10:48:43.53 ID:???.net

FTPで嵌っていて、どうにも解決できない為お聞きしたく。
#どういう訳かngワードに引っかかって、全文を書けないので
分割して書き込みます。

872 ：anonymous@fusianasan：2020/03/19(Thu) 10:52:03 ID:???.net

（続き）
現在FG60Eという機種が入っていて、NATで運用しています。
firewallの内側からFTP接続するのですが、接続は出来るものの、
ファイルアップロードでかなりの確率で失敗します。（続く）

873 ：anonymous@fusianasan：2020/03/19(Thu) 10:56:15 ID:???.net

（続き）
FTPサーバはAWSでvsftpdを使用しています。

highポートは、fortigate、EC2とも1024-65535全てを
開けて見ましたが結果は変わらず。

DMZからFTP接続すると問題なくファイル送受信出来るので
何か設定が間違ってると思うのですが、vsftp側の設定も含めて
ご教示頂ければ嬉しいです。

874 ：nanashi：2020/03/19(木) 19:40:08.77 ID:???.net

ftpはpassive mode?

875 ：anonymous@fusianasan：2020/03/19(木) 20:04:17.87 ID:???.net

>>874
そうです。

876 ：anonymous@fusianasan：2020/03/19(Thu) 23:30:15 ID:???.net

パッシブやめたら？

877 ：anonymous@fusianasan：2020/03/20(金) 00:15:20 ID:???.net

FTP でウイルス対策を有効にしていると REST コマンドを通してくれない。
https://kb.fortinet.com/kb/documentLink.do?externalID=10834

878 ：anonymous@fusianasan：2020/03/20(金) 00:35:59 ID:???.net

ありがとうございます。
連休明けに設定確認してみます。

879 ：anonymous@fusianasan：2020/03/31(火) 23:33:02 ID:vALh/NWB.net

質問なのですが。
LAN内の、FortiGateの真下などに
別メーカーのUTMを入れるセキュリティ強化は
企業ではあまりやらないのでしょうか？
UTM２段構えとか、より安全そうなイメージですが・・

880 ：anonymous@fusianasan：2020/03/31(火) 23:48:56 ID:???.net

イメージ。

881 ：anonymous：2020/04/01(水) 00:19:41.05 ID:???.net

ハイエンドな環境だと、パフォーマンス重視で用途で分ける場合があるのでは？
L4ACLはFortiで、サンドボックスはFireEyeにしたりとか

882 ：anonymous@fusianasan：2020/04/01(水) 00:58:08 ID:???.net

UTM2段で入れるくらいなら冗長構成取るんじゃないかな
UTM2段、且つ冗長構成を取るってブルジョワなユーザならともかく

883 ：anonymous@fusianasan：2020/04/01(水) 08:30:51 ID:e1ZJH4yg.net

別メーカー多段だと、シグネイチャベースのIPSやアンチウイルスなら
効果ありそうな気もするけど、どうなんだろうね?

884 ：anonymous@fusianasan：2020/04/01(水) 20:00:53.55 ID:???.net

金をどぶに捨てるくらいなら意味がある

885 ：anonymous@fusianasan：2020/04/01(水) 20:25:48.26 ID:???.net

多段UTMとか誤検知やらなんやらでトラシューが大変になる未来しか見えない

886 ：anonymous@fusianasan：2020/04/02(木) 15:23:51.57 ID:16WubaHP.net

当方は、
fortigate 60Fをルーターのみで利用、配下でfortigate 100eをトランスペアブリッジとセキュリティ検疫で利用してます。

887 ：anonymous@fusianasan：2020/04/02(Thu) 22:25:17 ID:???.net

ブラックリストで重ねる位ならホワイトリスト一重かな
ホワイトリストで重ねるなら効果あるだろうが設定が面倒くさいし
重ねるだけ可用性下がるが冗長構成にすれば金もかかる
ユーザーなり接続数ベースのライセンス形態と違って
FortiはHWベースなんで冗長組むと比例して高くつく

888 ：anonymous@fusianasan：2020/04/03(金) 04:39:52 ID:???.net

Forti以外でもHWを冗長構成で2個並べればその分の費用はかかると思うけどな

889 ：nanashi：2020/04/03(金) 07:49:14.54 ID:???.net

2台分のライセンスより1台分+HAライセンスの方が安いって話じゃない?

890 ：anonymous@fusianasan：2020/04/03(金) 16:47:05.73 ID:???.net

utmの管理者を翻弄するクラウド。

ホワイトリストもブラックリストもガンガン増える。

891 ：anonymous@fusianasan：2020/04/03(金) 22:41:50.27 ID:Z6w6y++G.net

今は、セグメントUTMとかLAN内に階層で置いてるよね？

892 ：anonymous@fusianasan：2020/04/04(土) 16:16:58.75 ID:???.net

同じ製品の型番のfortigateとfortiwifiってファームウェアのイメージ同地物使えるの？やっぱりだめ？

893 ：anonymous@fusianasan：2020/04/04(土) 17:07:42.06 ID:???.net

だめ

894 ：anonymous@fusianasan：2020/04/04(土) 19:12:00 ID:???.net

ありがとう。たすかりました。

895 ：anonymous@fusianasan：2020/04/06(月) 19:35:33.32 ID:6LoJytDx.net

fortigateのSSL-VPNでAD参加のために
DNSをADサーバー2台が先にくるように設定しているんですが
拠点内サーバーへのアクセスのためにWS01　192.168.0.254
みたいなのをFortigateのDNSとして登録して先にこさせることって可能でしょうか？
その場合、多分DNSリレーが必要だと思うんですけど、先に挟み込みができるのか
GUIいじってみましたけどよくわからず・・・。
機種は60Dと50Eです。

896 ：anonymous@fusianasan：2020/04/06(月) 20:51:52.11 ID:???.net

日本語で頼む

897 ：anonymous@fusianasan：2020/04/06(月) 22:55:50 ID:16mjvFmK.net

Fortigateのクラウドサンドボックスって
検査中のファイルをFortigateで止めとく事できるのでしょうか？
とりあえずは、クライアントに流れるのかな？

ソニックウォールのサンドボックスは検査完了まで
止められるみたいですが。

898 ：anonymous@fusianasan：2020/04/07(火) 01:52:55 ID:???.net

>>895
FGのDNS参照先として特定のサーバを登録したければ、ネットワーク＞DNSから設定可能です
SSL-VPNのAD参加の下りがわかりませんが、SSL-VPN接続してきたユーザに特定のDNSサーバのアドレスを
払い出すことは可能です。

>>897
クライアントに流れるはず
検査完了で止めておくとセッションタイムアウトになるし

899 ：anonymous@fusianasan：2020/04/07(火) 13:44:21.44 ID:???.net

>>877
結果報告が遅れて申し訳ない。ビンゴでした。
機能をオフにしたら、問題が解消されました。
情報をありがとうございました。

900 ：anonymous@fusianasan：2020/04/08(水) 03:38:11 ID:???.net

>>895
ADサーバー側のDNSサーバーにルートヒントぶち込んでフルサービスリゾルバの役割も担わせれば良い

901 ：891：2020/04/08(水) 11:49:44.84 ID:???.net

>>898
それは設定しています。ありがとうございます。
もともとADサーバー2つをリモートクライアントのDNSとして登録しています。
この構成だと、VPN越しにAD参加が可能なのです。

で、ぶっちゃけADサーバーにレコード登録すればいいだろってのはあるんですが

[クライアント]---[FG50E]--[ADサーバー]--[PublicDNS]
という流れでFGにはDNSをリレーしてもらうようにするとして
1.これでAD参加可能か？
２.FG独自で名前登録して、そのFGを置いているところでだけ使えるレコードとして
使えないか？

というところが聞きたいところです。

拠点内だとNetBiosで名前解決していたようなものがVPN越しだと
うまく動かず（そりゃそうですよね）
hostsの登録も難しいようなのでFGでなんとかできないかな？と。

902 ：889：2020/04/08(水) 11:50:40 ID:6Q+PU/sk.net

↑889です。専ブラ使わないとつらいですね。

903 ：unko：2020/04/08(水) 20:12:14.67 ID:???.net

>>901
DNS updateのフォワードはしない

904 ：anonymous@fusianasan：2020/04/09(木) 03:38:06.90 ID:???.net

誰か読解してくれ

905 ：anonymous@fusianasan：2020/04/09(木) 23:14:14.13 ID:/y6gbGOT.net

いまいちスループットの意味がわからないのですが
ベストエフォート100Mbps回線の、ネット接続用で使う場合は
ユーザー数が多くても、スループットはあまり気にする必要ないのでしょうか？

906 ：ocn：2020/04/11(土) 13:12:56.52 ID:???.net

90D ライセンス切れ品が転がっていたから、SSL-VPN FortiClientのGWとして設定した。
テレワーク急に始める企業には神のような機械だな。
50人登録したけど何人まで使えるんだろう。

907 ：NHK：2020/04/11(土) 15:55:08 ID:???.net

100D OS5.4 と FortiClientVPN6.2.4(これしか拾えない)で
自宅複数とIPsecVPNをはりたいのですが、
当然ながら相手は動的ＩＰ

識別の為のPeer IDは、どうやって作るのでしょうか？

908 ：anonymous@fusianasan：2020/04/11(土) 17:06:20.80 ID:???.net

FortiClientは一応ここからDL出来るかと
6.0.Xまでならセキュリティ機能（AVなど）は無料
https://forticlient.com/downloads

909 ：anonymous@fusianasan：2020/04/11(土) 17:14:36.14 ID:???.net

>>907
これのことですかね？

Configuring FortiClient - pre-shared key and peer ID
https://help.fortinet.com/fos50hlp/54/Content/FortiOS/fortigate-ipsecvpn-54/Phase_1/Authenticating_Remote_Peers_Clients.htm

910 ：anonymous@fusianasan：2020/04/11(土) 19:26:57 ID:???.net

数人しかいない別拠点ように40Fが欲しいんだが
日本だといつ頃かね

911 ：901：2020/04/13(月) 06:20:29.31 ID:???.net

>>908
>>909
どうも有難うございました

結果的には、拠点Fortiの様なPeer IDの設定は不要
枝番が出てFCとして、複数拠点の接続可能でした

数日前にはできなかったのですが、なんかミスってたんですね

912 ：903：2020/04/13(月) 09:58:25 ID:???.net

>>911
FortiClient使うときはIPアドレス不定でアクセスする場合が多いためアグレッシブモード使うから
ID設定はAnyが一般的かなと思います（されてる設定の通り）
>>907読んだとき、敢えてメインモード使いたいだろうなと思ってしまいました

913 ：anonymous@fusianasan：2020/04/13(月) 23:28:00.35 ID:3rujejxz.net

Fortiって、FWスループットだけの
見掛け倒しじゃない？

914 ：anonymous@fusianasan：2020/04/14(火) 00:18:12 ID:???.net

HWオフロードできる部分はASIC処理なので速い
CPU処理になる機能を使えばその分パフォーマンスは落ちるってだけですな
他メーカでも同じ話

915 ：anonymous@fusianasan：2020/04/14(火) 11:19:28 ID:TZ3n/cxj.net

>>903
そうですか。
DNSキャッシュサーバーとしての機能は持たないんですね。
FortigateってDNSは完全な中継しかしないんですね。

916 ：anonymous@fusianasan：2020/04/14(火) 12:15:46.98 ID:???.net

>>915
こういうのでよければ

FortiGate DNS server
https://docs.fortinet.com/document/fortigate/6.2.0/cookbook/960561/fortigate-dns-server

ローカルのレコードにないものについての問い合わせは
システムDNSサーバに問い合わせ

917 ：anonymous@fusianasan：2020/04/16(木) 13:17:45.10 ID:HsaRV7w+.net

60Fて、あの安さであの脅威スループットは凄くない？
ソニックウォールでも、同等スループット機種は倍はするよ。

918 ：anonymous@fusianasan：2020/04/17(金) 00:17:27 ID:???.net

ASIC搭載とはいえCPU使う機能であればスループットはそれなりに落ちる
でも、他ベンダもそれは一緒だから「あのデータシートは嘘だ」的な話はあまり聞かない

919 ：anonymous@fusianasan：2020/04/17(金) 16:56:24 ID:???.net

機器借りてテストしないとダメなのどこも一緒

920 ：anonymous@fusianasan：2020/04/18(土) 01:06:50.67 ID:???.net

どんな装置でも導入前にテストしようと考えるのが当たり前なんだよな
何も知らないまま選定して物だけ流してトラブって炎上とかみてて呆れる

921 ：anonymous@fusianasan：2020/04/19(日) 09:24:55.43 ID:VqDl5ZwJ.net

httpsまで保護するなら、同レンジの中では
60F　一択な気もする。

922 ：anonymous@fusianasan：2020/04/19(日) 17:44:08 ID:???.net

60Fは10Gbpsに対応しろとは言わないが、2.5か5には対応して欲しかったな。
中途半端すぎ。

923 ：anonymous@fusianasan：2020/04/19(日) 18:30:48 ID:???.net

パフォーマンスが出るからっつて小さいものに何でも付けてしまうと
マーケティングも何もあったもんじゃないしな

924 ：anonymous@fusianasan：2020/04/19(日) 18:44:24.31 ID:???.net

>>922
LACPで我慢しとけ

925 ：anonymous@fusianasan：2020/04/20(月) 12:30:38.45 ID:YzzJ0S8Z.net

質問になります。
拠点間のIPSec-VPNだとNATトラバーサルで使えるようですが
forticlientでも、NAT内側にあるFortiGateに
外からVPN接続可能なのでしょうか？

926 ：anonymous@fusianasan：2020/04/20(月) 14:21:43.66 ID:57z7k3It.net

>>916
これだとActive Directory参加は難しそうなので
悩ましいんですよね。
1番目にADサーバーを入れないとむずかしく。

>>925
NAT機器でSTATIC　NATでFortigateにポート転送してもらっていればできますけど
そうでなければ無理ですね。

927 ：anonymous@fusianasan：2020/04/23(Thu) 16:33:42 ID:ms0fyKzL.net

NATトラバーサルって謎だよね。
ポートフォワードしなくても、なぜか使える製品もあるし・・

928 ：無職のADHDが◯千万円分のビットコイン所持：2020/04/27(月) 14:36:42 ID:fXCs3MtT.net

>>1
東京三鷹の土井（剛）莉里子
https://i.imgur.com/pZ90Ptt.png


氏名■土井剛（莉里子）

生年月日■1994.3.7

前住所■〒181-0013 東京都三鷹市下連雀5丁目3 シティハイツ吉祥寺通り4階

性別■男（詐欺師のため、戸籍変更している可能性あり）

Twitter■@copy__writing　@kotobamemo_bot

疾患■性同一性障害（LGBT）、発達障害（ADHD）、アスペルガー症候群、統合失調症



●一方的に好意を寄せる男性から相手にされないと嫌がらせを繰り返す
●某大学病院の精神科隔離病棟にて強制入院
●骨が見えるほどのリストカット
●奇声をあげながら自室部屋のドアをナイフで突き刺す
●シティハイツ吉祥寺通り4階から飛び降り自殺
●性転換手術（金玉を取る）
●トラブル...嫌がらせ、ハッキング、乗っ取り、たかり、脅迫、殺害予告...etc
●去年から今年にかけてyoutuber同士のトラブルの仲介に入り某大手youtuberから複数回に渡り1億近い慰謝料をふんだくる
●自宅の吉祥寺にいられなくなり、大阪に潜伏中（警察からも逃げている）

929 ：anonymous@fusianasan：2020/05/07(Thu) 13:50:33 ID:???.net

NAT-Tは５００と４５００のポート使うかどうかの話じゃないの？

930 ：anonymous@fusianasan：2020/05/09(土) 07:52:02 ID:???.net

50EでDS-Liteの設定をし、LAN側の端末からは快適にインターネットに出られるようになったのですが、FortiGuardへの接続がうまく行きません。

931 ：anonymous@fusianasan：2020/05/09(土) 08:36:02 ID:???.net

これでいけるかもしらん
https://kb.fortinet.com/kb/documentLink.do?externalID=FD43725

932 ：anonymous@fusianasan：2020/05/09(土) 16:39:27 ID:???.net

>>931
これはやりました

933 ：ano：2020/05/09(土) 18:52:58 ID:???.net

CPE側にIPv4アドレスを持たないDS-LiteでIPv4によるVPNってできるの？

934 ：anonymous@fusianasan：2020/05/09(土) 20:27:31.36 ID:???.net

>>933
http://www.30boys.tokyo/asapu/web_diary/diary.cgi?mode=view&YMD=20180619

935 ：anonymous@fusianasan：2020/05/11(月) 10:47:41.23 ID:WUfLJwWv.net

リモートVPN用にipsecトンネルを複数つくると繋がらなくなるんだけど、
こういうもんなの？

936 ：anonymous@fusianasan：2020/05/11(月) 12:45:39.78 ID:qPoaS1T1.net

【告知】大阪で１番恥さらしな男！！これまで誰一人として語れなかった覚醒剤中毒者の泥沼の世界！！そして警察官、刑務官、裁判官のええ加減さを真実のみを赤裸々に語り最低中の最低の究極のゴキブリ男が恥を承知の上で書いた渾身の力作！！
ノンフィクション自叙伝！！
【ゴミと呼ばれて刑務所の中の落ちこぼれ】
中学2年の時に覚醒剤を覚え17歳から45歳まで【少年院1回、刑務所8回、合計20年】獄中生活を体験したが、ある女性との出逢いで生き方を180度変えて鉄の信念で覚醒剤を断ちきり見事に更生を果たした感動の奇跡の一冊！！
全国の書店&ネット通販でどうぞ！！

937 ：anonymous@fusianasan：2020/05/14(Thu) 09:17:30 ID:9Goq+aaG.net

LAN内のフロア毎に、透過型ブリッジモードで設置して
LAN内UTMにするって
利用方法おかしいのでしようか？

938 ：anonymous@fusianasan：2020/05/14(Thu) 11:29:28 ID:???.net

贅沢だなｗ
VDOMで切るわ

939 ：anonymous@fusianasan：2020/05/14(Thu) 13:17:34 ID:???.net

確かに贅沢だなw
VDOMも有りだけどPort01は1F、Port02は2Fとかに切るだけでも十分な気がしてきた。

940 ：anonymous@fusianasan：2020/05/14(木) 16:10:58.74 ID:???.net

forticare 8x5契約が切れそうなのですが、24x7の契約で継ぎ足すことはできたのでしょうか。
fortinet的には、本体買った当時から今までの分の24x7ライセンスも買え、と言いかねませんけど。

941 ：anonymous@fusianasan：2020/05/14(Thu) 18:55:48 ID:ZGOfY0UY.net

200Eってショートパケットの処理苦手ですか?

942 ：anonymous@fusianasan：2020/05/14(Thu) 23:30:11 ID:9Goq+aaG.net

Port01は1F、Port02は2Fとかだと
IPS有効の場合、LAN内ファイルサーバーとかの
利用速度めっちゃ落ちそうだよねw

943 ：anonymous@fusianasan：2020/05/15(金) 00:31:12.86 ID:???.net

そこは機種によるとしか言えないだろうね。
安くても最近出てるFシリーズとかはカタログスペックでワイヤスピード出てるし。

944 ：anonymous@fusianasan：2020/05/16(土) 15:52:18 ID:???.net

fortigateでNAPT（IPマスカレード）する時に変換後のSrcPortレンジの指定って出来ますか？

945 ：anonymous@fusianasan：2020/05/18(月) 12:48:48.97 ID:???.net

>>941
IPv4だったらASIC処理で得意 v6は微妙

946 ：anonymous@fusianasan：2020/05/18(月) 16:10:08 ID:???.net

Fortigate60DにSSL-VPNで接続してRDPでWindowsにログインしてそのWindowsでインターネットからダウロードすると
帯域逼迫かなんか知らんけどRDPがまともに通信出来ない。
利用者は自分1人。
ショボ過ぎへんか？
ちなみにトラヒックシェーパーでSSLVPNの10Mbps帯域保証設定しても変わらず。

947 ：anonymous@fusianasan：2020/05/18(月) 17:34:20.82 ID:???.net

60DのSSL-VPN処理能力の低さを甘く見ないで

948 ：オツム：2020/05/19(火) 18:50:34 ID:???.net

別の所のボトルネック

949 ：anonymous@fusianasan：2020/05/20(水) 11:16:08 ID:???.net

60dから50eに変えたが、グレード下がっても新しい方が処理早いな。SSL-VPNスループット測ってみるか…

950 ：anonymous@fusianasan：2020/05/23(土) 19:56:46 ID:???.net

>>945
ありがとう。IPv4は得意なんですね。
構成の問題な気がしてきました。

951 ：anonymous@fusianasan：2020/06/04(木) 20:36:47.66 ID:???.net

https://www.avfirewalls.com/ ここで40FオーダーしたらもうUS外で売れないんだわスマンネって言われた。
どこか平行輸入で帰る所って有ります?

952 ：anonymous@fusianasan：2020/06/06(土) 21:57:40.63 ID:???.net

今さらきがついたが
50Eって6.4いけないんだな

953 ：anonymous@fusianasan：2020/06/07(日) 11:41:33.53 ID:???.net

今100F触ってるけど、カタログスペックはすげー伸びてるな

954 ：anonymous@fusianasan：2020/06/07(日) 13:48:34.91 ID:???.net

FortiGateのカタログスペックって鵜呑みにしてええのん？
疑わしいんやが。

955 ：anonymous@fusianasan：2020/06/07(日) 21:23:46.33 ID:???.net

>>954
L4のパフォーマンスは信用してよい。
専用ASICでハードウェア処理するからそんなにブレない。
ただ頭いいことやらせようとするとね…それなりだよね…

956 ：anonymous@fusianasan：2020/06/08(月) 10:35:58.86 ID:???.net

gei-ipでのブロック使ってる人いる？
いたら、ipv6だとどうしてるか教えて欲しい

957 ：anonymous@fusianasan：2020/06/08(月) 22:40:58.50 ID:???.net

>>956
geo-ipです。

958 ：anonymous@fusianasan：2020/06/14(日) 11:46:31.01 ID:???.net

Captive Portal の認証でfacebookやgmail等のsocialなアカウントを利用した認証ってできますか？

959 ：anonymous@fusianasan：2020/06/16(火) 11:38:46.28 ID:???.net

945だけど
US Amazonで40F買えました。UTMライセンス3年つきで約12.7万円でした、参考までに。

960 ：anonymous@fusianasan：2020/06/16(火) 18:01:56.38 ID:???.net

金持ちやなぁ。
ワシには型落ち中古で1万円ぐらいの奴しか無理だわ

961 ：anonymous@fusianasan：2020/06/18(木) 07:10:22.91 ID:???.net

同じく中古の50Eを約1万で買った。ライセンスが約3年間が付いてたので、かなりお買い得だったと思う。

962 ：anonymous：2020/06/18(木) 09:23:47.08 ID:???.net

10万円かけて買って壊れたらどうすんやろ…
海外から買ってたら保守契約なんかもできないよね

963 ：anonymous@fusianasan：2020/06/18(木) 21:49:34.09 ID:8TXatml/.net

>>961
3年で1万はやすいね
それだけ安いと無意味にHAとか組みたくなりそう

964 ：anonymous@fusianasan：2020/06/19(金) 00:49:14 ID:???.net

自宅でHAは流石にいらんわｗｗ

965 ：anonymous@fusianasan：2020/06/19(金) 03:36:12.82 ID:???.net

HAはいらんがLAGの為に自宅用に50E買ったんや…

ポート数すくないけど、下にそれなりなまぁなんとかなるな。
回線冗長の為に楽天LTEとかで繋ぎたいのだけど、USBモデムで接続できない…

966 ：anonymous@fusianasan：2020/06/19(金) 03:37:33.64 ID:???.net

すまん。それなりなL2SWがあったら、ですな。逝ってきますorz

967 ：nanashi：2020/06/19(金) 06:45:31.19 ID:???.net

>>965
使えるモデル少ないけど使えるのあるぞ。
CLIで有効にしてみた？

968 ：anonymous@fusianasan：2020/06/20(土) 00:06:06.56 ID:???.net

>>967

持ってるLG-03は駄目だった。
使えるリストとかあれば是非教えてほしい

969 ：nanashi：2020/06/20(土) 14:25:37.43 ID:???.net

>>968
リストはメニューから見れる。らしい・・・
https://kb.fortinet.com/kb/documentLink.do?externalID=FD37269

リスト化されてるのはこんな感じ。
https://www.fortinetguru.com/2017/03/fortigate-modem-compatibility-matrix/

970 ：anonymous：2020/06/20(土) 14:53:10.54 ID:???.net

中古を買おうと思ってるんだけど
ライセンスが期限内で有効な状態なら
最新ファームウェアは
代理店のID/PWが無くてファイルでダウンロードできなくても
FortiGuard上からアップデートできるもの？

それともファームウェアは個別にダウンロードして入手して
機器に転送する必要がある？

971 ：ano：2020/06/20(土) 14:58:32.03 ID:???.net

自動update可能

972 ：unko：2020/06/20(土) 15:19:55 ID:???.net

FGT60C*** # diagnose sys modem query
USB status: Connected
manufacturer: Sierra Wireless, Incorporated
model: NI-760S

ダイアルアップ？使いみちが判らん行けそうだ
ttps://www.ncxx.co.jp/product/ni-760s

973 ：anonymous@fusianasan：2020/06/23(火) 08:10:06.51 ID:???.net

>>969
ありがとう、と言いたいところだけど3G…LTE対応してる筈なんだけどなぁ。

メーカーサポートサイトでユーザ登録してる所は大概見てるので、6.xの新機能としてLTEか5G対応してほしい所

974 ：nanashi：2020/06/23(火) 20:06:23.21 ID:???.net

>>973
表記上だけの問題じゃないかな。LTE対応してると思うよ。
設定コマンドにlteって入ってるし。
config system lte-modem

975 ：anonymous@fusianasan：2020/06/28(日) 11:09:53.10 ID:???.net

deep inspectionで使う証明書って
買ったやつは使えない？
もしくは使えるのは条件ある？

976 ：anonymous@fusianasan：2020/06/28(日) 12:26:58.40 ID:???.net

ん？公的証明書が使えるか？という質問？
設定した事無いけど使えないなんてことありえなくね？

977 ：sage：2020/06/28(日) 12:43:14.44 ID:P5zHD2Qd.net

>>976
買ったやつはクライアント証明書にはいるんだけど
deep inspectionのプロファイルで選択出来ない
選択できるのローカルCAのやつだけなんだよ
多分、自分がそもそも勘違いなんだとは思うんだが
FujiSSLみたいなとこで買ったやつが使いたい

978 ：sage：2020/06/28(日) 13:56:54.67 ID:P5zHD2Qd.net

>>977
誤　クライアント証明書
正　ローカル証明書

979 ：anonymous：2020/06/28(日) 14:19:17 ID:???.net

使えない
deep inspectionする機器が
deep inspectionしてますよと
利用者に明示するためのものだから
公的証明書なんか使えたら偽装になる

980 ：sage：2020/06/28(日) 16:33:30.58 ID:P5zHD2Qd.net

>>979
なるほど、そう言われてみるどこそうだよね
せめて証明書の名前とドメインを変えられれば良かったんだけど
ユーザーが見たときに自社のドメインの証明書なら
気にしないんだけど
fortinetでしかもコモンネームも乱数っぽく見えろから
説明しても気にする人いて

981 ：anonymous@fusianasan：2020/06/28(日) 20:22:49.01 ID:???.net

あぁ、そうかユーザーが接続してる第三者のドメインの証明書がいるのか。

982 ：anonymous@fusianasan：2020/07/02(木) 09:24:23.25 ID:???.net

50e じゃdeep inspectionきついかね？
試しにONにして楽天のトップページ行くだけでCPU跳ね上がるんだけど
60eならASICで余裕？

983 ：anonymous：2020/07/02(木) 19:06:45.39 ID:???.net

>>982
60Eは50Eの2倍強のSSLインスペクション性能

それで余裕かどうかは低能で頭が悪いお前次第

984 ：sage：2020/07/02(木) 19:38:07.06 ID:G1CYHhPR.net

そうなのね
低脳だからもう少し教えて欲しいんだけど
2倍はセッション数、パケット数
とかどこで考えるといいの？

カタログ見るとSSL inspectionのスループット
2倍も変わらないからわからくて

985 ：anonymous：2020/07/02(木) 19:58:37.00 ID:???.net

スループットであるベンダーのマルチプロトコルでの検証結果
信じるかどうかは低能で頭が悪いお前次第

986 ：sage：2020/07/02(木) 20:26:56.53 ID:G1CYHhPR.net

>>985
あんがと
参考に買い替え含めて検討してみるよ

987 ：anonymous@fusianasan：2020/07/02(木) 20:49:18.98 ID:???.net

40Fでdeep inspection設定して楽天に繋いでみたらCPU負荷が20%位になった、メモリは変わらず。
まぁエントリーモデルだからこんなもんだろね。

988 ：sage：2020/07/02(木) 23:39:32.23 ID:G1CYHhPR.net

>>987
Fシリーズでもか
SSL inspectionはやっぱ重いんだな

989 ：anonymous：2020/07/03(金) 00:07:11.56 ID:???.net

フォワードプロキシでdeep inspectionしている人って
使ってるクライアント全部にFGのルート証明書いれてたりするの？

990 ：anonymous@fusianasan：2020/07/03(金) 08:24:24.14 ID:???.net

>>989
パソコンは入れてるが、スマホ系はアプリがエラー出しまくるやつがあって使い物にならん。

991 ：anonymous：2020/07/03(金) 19:42:58.67 ID:???.net

>>990
なるほど・・・
Javaとかの独自の証明書ストアとかも考慮すると、かなり面倒だな

992 ：anonymous@fusianasan：2020/07/04(土) 07:29:03.24 ID:???.net

そうなると、Deep Inspectionはエンドポイントでやろうよってなるんだよね

993 ：anonymous@fusianasan：2020/07/04(土) 12:13:21.04 ID:???.net

SSLインスペクションは企業で利用しても
問題が出るサイトに関する問い合わせ対応と
除外運用がクソ面倒くさい

994 ：sage：2020/07/04(土) 13:09:47.68 ID:RHTNvAxp.net

>>993
でもやらなきゃ、やらないで
SSL通信で好き放題されるでしょ？

995 ：unko：2020/07/04(土) 13:21:22.07 ID:???.net

でクラウドSaaSに丸投げた

996 ：anonymous@fusianasan：2020/07/04(土) 13:51:45.12 ID:???.net

>>994
NWでなんとかする発想がもう限界

997 ：anonymous@fusianasan：2020/07/04(土) 16:13:02.59 ID:???.net

うちもZscalerに投げてるなー。

998 ：anonymous：2020/07/04(土) 18:06:41.40 ID:???.net

クラウドプロキシが一番ラクチン

999 ：anonymous@fusianasan：2020/07/04(土) 19:39:18.10 ID:???.net

エントリー、ミドルクラスだと、なんでもかんでも1台でやるのは無理だよなー。

1000 ：anonymous：2020/07/04(土) 19:47:13.84 ID:???.net

ハイエンドでも利用ユーザが5000人以上とかの大規模だと
　・SSL暗号
　・IPS
　・アンチウィルス
　・SSL複合
は別筐体でやるな

1001 ：anonymous@fusianasan：2020/07/05(日) 00:59:22.68 ID:???.net

とりあえず次スレ立てといた
https://mao.5ch.net/test/read.cgi/network/1593878325/

1002 ：anonymous@fusianasan：2020/07/05(日) 19:01:38.00 ID:???.net

>>1000
お金が、、、、
零細企業ほどリテラシー低くて
ゲートウェイでやりたいと思うのに

1003 ：unk：2020/07/05(日) 21:29:25.42 ID:???.net

貧乏なら可視化はあきらメロン
URLドメインフィルタで締め上げる

1004 ：anonymous@fusianasan：2020/07/08(水) 08:08:46.64 ID:???.net

スタティックルートの設定数上限8
って変更可能ですか？

1005 ：anonymous@fusianasan：2020/07/08(水) 09:11:04 ID:???.net

>>1004
https://docs.fortinet.com/max-value-table

1006 ：anonymous：2020/07/08(水) 09:44:55.57 ID:???.net

ume

1007 ：2ch.net投稿限界：Over 1000 Thread

2ch.netからのレス数が1000に到達しました。