2ちゃんねる スマホ用 ■掲示板に戻る■ 全部 1- 最新50    

Fortigateについて語ろう4

1 :anonymous@125.090.net5.hinocatv.ne.jp:2014/02/09(日) 17:15:56.81 ID:ubzEooBV.net
FortiGateシリーズは、ネットワーク全体を総合的に保護するハードウェアベースの
ネットワーク・プロテクション・ゲートウェイ(NPG)です。
Fortinet社独自開発のABACASTM(Accelerated Behavior and Content Analysis System)
テクノロジと独自のASIC(FortiAsic)ベースアーキテクチャを採用した、次世代
ネットワークプロテクション・アプライアンスです。
ファイアウォール、不正侵入、VPN、トラフィックシェーピングなどネットワークレベル
のサービスに加え、ウィルスプロテクションやコンテンツフィルタリングなどの
アプリケーションレベルのサービス機能も搭載しており、効果的にネットワークを保護します。
FortiGateは、4種類のICSA認定取得をしています。
アンチウイルス、ファイアウォール、IPSec、IDS

セールスポイントは非常に魅力的ですばらしいのですが、
非常に個性的な製品ですので、皆さん助け合って安定稼働に努めましょう。

フォーティネットジャパン
http://www.fortinet.co.jp/
FortiProtect Center
http://www.fortinet.com/FortiProtectCenter/

質問する際には必ずFortiGateの機種、FortiOSのバージョン、 ネットワーク構成・環境を報告してください。

744 :anonymous@fusianasan:2019/01/24(木) 09:35:47.68 ID:fiT5pQBZ.net
eoのインターネットオフィスを使ってるのですがFortigateで接続してる方いますか?
設定方法分かる方がおられれば教えてください。

営業担当から得られた情報は
@PPPOE シングルセッション デュアルスタック DHCPV6-PD
A基本的に一般向けサービスと接続方法は同じ

FortiOS5.6.7 で以下の設定では駄目でした。

config ipv6
set ip6-mode pppoe
set ip6-allowaccess ping
set dhcp6-prefix-delegation enable
set dhcp6-prefix-hint 2001:xxx:xx:xxx::/56
set autoconf enable
end

745 :anonymous@fusianasan:2019/01/24(木) 10:39:56.57 ID:fiT5pQBZ.net
↑言葉足らずです
eoのインターネットオフィス(法人向けサービス)でipv6通信をするための設定です。
pppoeにてipv4での通信はできており固定のipv4アドレスを1個貰っています。
そこにオプションでipv6サービスを申し込んだのですが、うまく設定ができません。

746 :anonymous@fusianasan:2019/01/24(木) 11:00:58.71 ID:???.net
DHCPV6-PDで ip6-mode pppoe ?

747 :anonymous@fusianasan:2019/01/24(木) 12:09:30.74 ID:fiT5pQBZ.net
参照したのは以下のページです
https://blah.cloud/networks/enabling-ipv6-dhcpv6-pd-pppoe-fortigate/

他にも以下を参考にしましたがダメでした。
https://yorickdowne.wordpress.com/2018/06/08/ipv6-with-prefix-delegation-on-fortigate/
config system interface
edit "wan1"
config ipv6
set ip6-mode dhcp
set ip6-allowaccess ping
set dhcp6-prefix-delegation enable
set dhcp6-prefix-hint ::/56
end
next
end

748 :anonymous@fusianasan:2019/01/24(木) 12:12:37.28 ID:fiT5pQBZ.net
NECのルータでの設定が以下だそうです
ppp profile ppp
authentication myname dual-user1
authentication password dual-user1 pas1
ipv6 dhcp client-profile dhcpv6-cl
option-request dns-servers
ia-pd subscriber FastEthernet1/0.0

interface FastEthernet0/0.1
encapsulation pppoe
auto-connect
ppp binding ppp
ip address ipcp
ip napt enable
ipv6 enable
ipv6 dhcp client dhcpv6-cl
no shutdown

749 :anonymous@fusianasan:2019/02/07(木) 22:54:32.88 ID:6hsvhmuA.net
すいません、どなたかお分かりでしたら教えてください。100eをつかっているのですが、GUI からキャプチャ回したとき、UDPが取得出来たり、出来なかったりします(ほとんどの場合取れない)。どうすれば取れるのでしょうか?

750 :anonymous@fusianasan:2019/02/07(木) 23:21:06.04 ID:???.net
ASIC処理されてるとか

751 :anonymous@fusianasan:2019/02/08(金) 07:15:33.65 ID:xMmWwejq.net
早々にありがとうございます!
調べてみたらそれっぽいですので、今日早速試してみます!

752 :anonymous@fusianasan:2019/02/15(金) 06:50:49.95 ID:???.net
fitbit.comkにあるダッシュボート内の記録ページが
エラーとなっているのですが、みなさんのところもそうですか?

753 :anonymous@fusianasan:2019/02/19(火) 08:06:19.30 ID:???.net
fortigateにciscoでいうNATのredundancyみたいな設定はないんですか?

754 :anonymous@fusianasan:2019/03/12(火) 13:28:17.21 ID:???.net
今会社で100D(5.4.3)使っててバージョンアップする予定なんですが、6.0の安定性ってどうですぁか?
6.0か5.6どっちにするか悩んでます

755 :unko:2019/03/12(火) 21:47:23.82 ID:???.net
畳と嫁はなんとやら

756 :anonymous@fusianasan:2019/03/24(日) 14:39:18.54 ID:???.net
教えてほしいのですが、現在60D OS5.2なのですが、
DHCPでMACで固定のIPを払い出す方法はあるでしょうか?
ロケーションの違う2箇所で使う場面があり端末側で固定は出来ないものの、
一箇所ではアドレスが決まっている方が便利な場面があるので
そう出来たらいいなぁという感じなのですが・・・

757 :anonymous@fusianasan:2019/03/24(日) 19:07:09.03 ID:???.net
>>756
そんな終息したものは捨てよう

http://help.fortinet.com/fos50hlp/52data/Content/FortiOS/fortiOS-HTML5-v2/Home.htm

758 :anonymous@fusianasan:2019/03/24(日) 19:58:59.62 ID:???.net
>>756

https://help.fortinet.com/cli/fos60hlp/60/Content/FortiOS/fortiOS-cli-ref/config/system/dhcp%20server+dhcp6%20server.htm
ここの

config ip-range
config reserved-address
を参考にすればいけるんじゃね?
5系も6系も変わらんじゃろ。

759 :anonymous@fusianasan:2019/03/24(日) 22:44:27.15 ID:???.net
>>758
ありがとう!
config reserved-address
edit 1
set-ip (IP)
set mac (MAC)
でいけました
レンジは多分レンジ外は指定できないのかなと思うのでもともとのレンジの中で
使われそうにない最終IPで設定して問題なしっぽいです

重ね重ねありがとう

760 :anonymous@fusianasan:2019/03/26(火) 22:05:35.47 ID:???.net
教えてください
ログをメモリにしてるんだけど高度って項目でディスクロギングってあるので
ディスクのクォータ設定でディスクロギング容量をフォーマットして
割り振りなりすればディスクでロギングって可能です?

761 :anonymous@fusianasan:2019/04/13(土) 09:43:16.48 ID:???.net
運用について相談です。
webフィルタを設定して運用しているのですが、最近はどこもかしこも、
ほぼ常時SSL化されているので、SSLインスペクションを有効にして
ドメイン単位でのフィルタをしています。(かなり巻き添え規制が発生しますが)

この方法以外に、この前韓国で話題になっていた、DNSフィルタ(Server Name Indication)という
方法もあると思いますが、Fortigateで使ってる方いますか?こちらもドメイン単位でしか規制できないですが。

DNSフィルタの場合、クライアントのDNSをFortigateに向けてやる必要があると思うのですが、
ドメイン(ActiveDirectory)環境の場合は、クライアントのDNS設定はドメインコントローラーへ向いていると思います。

こんな場合はDNSフィルターは無理なんですかね?

762 :anonymous:2019/04/13(土) 18:11:42.12 ID:???.net
よくわからないけど、ADの参照先をfortigateにすればいいんじゃないの?

763 :anonymous@fusianasan:2019/04/20(土) 06:11:18.66 ID:???.net
nat46ってどうやるんですか?
やったらnat変換後の送信元IP6アドレスはFGT自身のサーバ向けIFのアドレスになると思ってたんだけど、なりません。認識違いました?

764 :anonymous@fusianasan:2019/05/08(水) 15:22:40.46 ID:???.net
FortiGate40CをNURO光のONU直下に
トランスペアレント(透過)モードで設置しよう
と思って設定中ですが、インターネットに
繋がらなくて困っています。NATモード(ONU
との二重ルーター)だと問題なく繋がります。
NATモードの際のアドレスは
192.168.1.99/255.255.255.0 ゲートウェイは
192.168.1.1 となっています。トランスペアレ
ントの場合、これをどのように設定するのが
正解か、アドバイス頂けると有り難いです。
いろいろ試してみたのですが、上手くいかず、
お手上げ状態です。

765 :anonymous@fusianasan:2019/05/12(日) 23:20:57.89 ID:???.net
>>764
NURO光のONUがどういう仕様かわからん事にはどうにも

ONUがルータ機能持ってるタイプなんだっけ?

端末のデフォルトゲートウェイもONUなの?

766 :anonymous@fusianasan:2019/05/13(月) 22:22:40.79 ID:???.net
>>765
光回線はNURO、ONUはF660A、現在はファイヤーウォール機能オンにしていますが、Fortigateを透過型ファイヤーウォールに設定出来たら、ONUのファイヤーウォールはオフにする積りです。ゲートウェイはONUです。

767 :anonymous@fusianasan:2019/05/13(月) 22:28:42.56 ID:???.net
>>766
追加です。ONU(F660A)はルーター機能を持っていて、オフにすることが出来ないタイプです。

768 :anonymous@fusianasan:2019/05/18(土) 14:31:24.39 ID:???.net
>>766
まずどこまで通信が通ってどこまで戻ってるかは分かる?

例えば
ONU(ルータ機能付き)
↓@
FG40C
↓A
端末
だとして@のエリアを通過してONUまで通信が届いているか
ONUから端末まで戻れるか
この辺切り分けないとちょっと分からないな

トランスペアレントモードの場合はそもそも@Aともに同一セグメントとなるから
FW機能での何らかのカットが行われていない限りは
ルーティング上の問題にはならないはず

769 :anonymous@fusianasan:2019/05/19(日) 08:48:55.83 ID:???.net
>>768
コメント、有難うございます。
ONU(F660A)→Fortigate40c→端末(PC)と
繋いで40cをトランスペアレントに設定して
端末からpingを打つと40cには通りますが、
F660Aには通らず、インターネットに
繋らない状態です。40cをルーターに設定する
と問題なくインターネットに繋がります。
所謂、二重ルーター環境ですが、この環境下で
速度測定をしてみました。端末をF660Aに直結
した状態と40c経由にした状態(二重ルーター)を
比べると何れも下り:600メガ、上り:900メガで
殆ど差がなく、二重ルーター環境も選択肢かな
と思っているところです。

770 :anonymous@fusianasan:2019/05/21(火) 15:27:20.57 ID:???.net
>>769
二重ルータで問題がなければそれもありかと思うけど
そもそもトランスペアレントモードの場合は端末側の設定も
変えないといけない
単純にFGの設定を変えて対応してるだけってなら
端末はDHCPでIPもらう設定にしていてって事なのかなと
>>768の形でいうとトランスペアレントモードだと
@Aともに同一セグメントだけどNATモードだと違うセグメントになるので
端末のIPは変えないといけない
DHCPで貰うだけなら何ら問題ないけどね
そもそもFG通さずONUに端末を直差しして繋がるのか切り分けてみたら?

個人的にはセキュリティ面を考えてもトランスペアレントモードにする
メリットはあまりないと思うけどね
@を単なる通過するセグメントにするだけでもセキュリティ上は
そっちのが一段降りるので少し強くなるし

771 :anonymous@fusianasan:2019/05/21(火) 15:30:30.00 ID:???.net
あ、ONU直差しは通信できるのね
そういう意味ではFGがカットしてるとしか思えないってのは分かる気はするけど
ちょっと不思議な状態だな
ポリシーはそもそもちゃんと設定できてる?
セグメントが違ってしまうからポリシーをちゃんと見直さないといけない
全通しから通らないんだとちょっと不明だが

個人的にはNATモードよりは通常のルーティングモード?のがいいと思うけど

772 :fg:2019/05/21(火) 18:51:25.41 ID:NBvOu0S8.net
FortiGate-50EってCPUが Marvell Armada 385じゃん?
PPPoEをhardwareサポートしてるっぽい事書いてるけど50EだったらPPPoEのスループット出るのかな?
https://www.marvell.com/company/news/pressDetail.do?releaseID=7316

773 :fg:2019/05/22(水) 02:03:22.38 ID:D60CRriF.net
>>772
PPPoE + NAPT + IPS + DNSフィルタで90Mbps出たときにCPU使用率1ケタだった
50Eは神では

774 :anonymous@fusianasan:2019/05/22(水) 23:14:30.00 ID:???.net
ちょっとFortiのDNSの仕様がイマイチわからないので
教えてください

インタフェースIPをDNSとするようにDHCPに配らせて
その端末から通常通りにインターネットに関してはDNSリレーさせて通信させることは出来たのですが、
内部の端末についてるホスト名だけはちゃんと内部のIPに飛ばしたい
DNSデータベースに何かを設定したらいいんだろうけどどうすればいいのか
調べても出てこなかったのですがどう書けばいいのでしょう?

775 :anonymous@fusianasan:2019/06/05(水) 14:20:30.73 ID:???.net
>>773
まじかw
60Dだと80Mbpsで100%近くで張り付くから買い替えようかな

776 :anonymous@fusianasan:2019/06/08(土) 21:32:07.83 ID:???.net
>>775
その代わりFortiのSoC入ってないから注意ね

777 :fg:2019/06/10(月) 09:29:02.19 ID:cLDmkCLH.net
>>776
SoC入ってないからって困る事ある?
SoC1の60C、SoC2の60Dを持ってるけどウンコ過ぎて50Eが神に感じるんだけど
SoC3は性能いいの?
今度出るSoC4はめっちゃ性能良さそうだけど

778 :sage:2019/06/20(木) 22:17:44.28 ID:gC/PTqw9.net
FortiとYAMAHAでIPsec設定するとメインでもアグレッシブでも
IKEフェーズ1の時点でNGなんだけど組み合わせ悪いやつかね
ike Negotiate ISAKMP SA Error:〜: no SA proposal chosen ってなるわ

779 :anonymous:2019/06/21(金) 10:10:31.55 ID:???.net
>>778 相性はあるよ
回線でもあるしね

780 :anonymous@fusianasan:2019/06/21(金) 13:33:06.56 ID:???.net
IKEv2にしてみたら?
IKEv2のほうが接続可能性は高いぞ。

781 :anonymous@fusianasan:2019/06/22(土) 01:01:11.26 ID:???.net
>>779 運ゲーだね
>>780 IKEv2で2時間ほど頑張ってみたけどダメだった

あああああこんなにくやしいのは久しぶりだあああああ

782 ::2019/06/22(土) 06:27:58.97 ID:???.net
>>781
俺も検証したことあるけど、絶対無理だよ
古いファームにしないと繋がらない

783 :anonymous@fusianasan:2019/06/22(土) 08:54:50.89 ID:???.net
仮にVPNはれても、障害時の切り替わりで問題発生とかあるから恐ろしいぞい

784 :anonymous@fusianasan:2019/06/22(土) 11:31:31.12 ID:???.net
>>782
どのファームだめでどのファームならおkでした?
fortiとyamahaでipsecで繋いでる環境でfortiのバージョンアップ検討してますので参考にしたい

785 :anonymous@fusianasan:2019/06/22(土) 11:45:38.65 ID:???.net
異種機器間VPNだと、AWS VPCのForti向けサンプルコンフィグが糞だった
糞みたいなインデントの修正するだけで半日くらい潰れる

786 :...:2019/06/22(土) 21:35:03.22 ID:???.net
>>784
いや、もう諦めようよ・・・

https://kb.fortinet.com/kb/documentLink.do?externalID=13885

787 :anonymous@fusianasan:2019/06/24(月) 08:26:12.58 ID:???.net
>>786
あきらめるってなにを?
現状fortiとyamahaでipsec繋がってる環境で、fortiのファームアップ考えてて、古いファームにしないと無理っていう書き込みがあったから聞いただけなんだが

788 :anonymous@fusianasan:2019/06/24(月) 19:24:20.74 ID:???.net
ほれ。
FortiGate60D (Firmware 6.0.5)とRTX810で接続してやったよ。

ttp://www.nosense.jp/ipsec-fg60d-rtx810/

特に苦労するところはないけど。

789 :anonymous@fusianasan:2019/06/24(月) 21:03:13.61 ID:???.net
パッと検証してブログ記事作成するとかイケメンかよ

790 :anonymous@fusianasan:2019/06/25(火) 20:03:42.58 ID:???.net
これ、ヤマハとかよりスループット高いよね
UTM機能お金使わずに、ルーターとして使うのあり?

791 :anonymous@fusianasan:2019/06/25(火) 22:02:11.04 ID:???.net
モノによる

792 :anonymous@fusianasan:2019/06/25(火) 22:49:46.14 ID:???.net
実測値はどうだか

793 :anonymous@fusianasan:2019/06/25(火) 23:12:03.04 ID:???.net
>>790
ルータと違ってセッション管理しちゃうから注意ね。
やたら無通信時間が長いアプリとかたまにあるし。

196 KB
新着レスの表示

掲示板に戻る 全部 前100 次100 最新50
名前: E-mail (省略可) :

read.cgi ver 2014.07.20.01.SC 2014/07/20 D ★