Fortigateについて語ろう6
1 :anonymous@fusianasan :2022/11/02(水) 10:34:32.42 ID:SrkPhshn.net FortiGateシリーズは、ネットワーク全体を総合的に保護するハードウェアベースの ネットワーク・プロテクション・ゲートウェイ(NPG)です。 Fortinet社独自開発のABACASTM(Accelerated Behavior and Content Analysis System) テクノロジと独自のASIC(FortiAsic)ベースアーキテクチャを採用した、次世代 ネットワークプロテクション・アプライアンスです。 ファイアウォール、不正侵入、VPN、トラフィックシェーピングなどネットワークレベル のサービスに加え、ウィルスプロテクションやコンテンツフィルタリングなどの アプリケーションレベルのサービス機能も搭載しており、効果的にネットワークを保護します。 FortiGateは、4種類のICSA認定取得をしています。 アンチウイルス、ファイアウォール、IPSec、IDS セールスポイントは非常に魅力的ですばらしいのですが、 非常に個性的な製品ですので、皆さん助け合って安定稼働に努めましょう。 フォーティネットジャパン http://www.fortinet.co.jp/ FortiProtect Center http://www.fortinet.com/FortiProtectCenter/ 質問する際には必ずFortiGateの機種、FortiOSのバージョン、 ネットワーク構成・環境を報告してください。 Fortigateについて語ろう5 https://mao.5ch.net/test/read.cgi/network/1593878325/
2 :anonymous@fusianasan :2022/11/15(火) 04:54:13.01 ID:???.net アラートメールってSQLインジェクション検知とかDDos攻撃検知とかも知らせてくれるの?
3 :anonymous@fusianasan :2022/11/18(金) 16:02:05.55 ID:???.net PaloAlto PA-220の電源なし動作未確認を買いました。 PA-220が一台あったので電源アダプタをつなぎました。 背面のランプはつきました。でも、全面のPWRも何も、何も。 待てど暮せどランプも点かず…ジャンク品として流すことにしました (T_T)
4 :anonymous@fusianasan :2022/11/20(日) 04:18:48.09 ID:???.net >>2 よく思うんだけど、Dos攻撃知ってどーするの?サービス再開出来る手段とかある?
5 :名無し :2022/11/20(日) 11:36:13.87 ID:???.net Dosポリシーで落ちる前にしきい値で遮断するのでは? だだ、全ポリシー有効にしてログを出すようにするとアラートメールが止まらなくなる。
6 :名無し :2022/11/29(火) 11:59:58.49 ID:pKfmugSr.net FortiCloudの無償版提供もそろそろ部分的に終わる兆しがあるなぁ。 FortiOSも最新にすれば良い訳ではない。 そもそも定義体があがってなんぼだから。 なので、Upするとベース定義体のタイムスタンプがやばいのよね。 V7.2.x V7.0.xはその辺改善してるけど。
7 :anonymous@fusianasan :2022/11/29(火) 12:35:22.38 ID:???.net OSも定義も最新にしないと OSバグやセキュリティホールは定義では治らない
8 :名無し :2022/11/29(火) 13:53:25.99 ID:sK66+3I6.net >7 まぁいまだに5.4がいるわけですよ。 6.x系も多いけど。
9 :anonymous@fusianasan :2022/11/29(火) 15:38:13.59 ID:???.net ランサムウエアの餌食
10 :anonymous@fusianasan :2022/11/29(火) 20:52:43.22 ID:???.net 今安心なのは6.4と7だけだな セキュリティ対策製品で1部のセキュリティホールにしか対応できないバージョンに意味なし https://csps.hitachi-solutions.co.jp/fortinet/end_of_support.html
11 :anonymous@fusianasan :2022/12/01(木) 21:12:08.17 ID:WZRJF9Vx.net FortiSwitchのFortilinkが、いまいちしっくりこない。。。 なんだろう、スタンドアロンで動かせばいいんじゃないかと思ってしまう自分がいる。
12 :anonymous@fusianasan :2022/12/03(土) 12:17:07.49 ID:???.net 最新と言っても7.2系入れちゃう奴はバグに苦しんでも自業自得だと思う
13 :名無し :2022/12/03(土) 16:26:26.28 ID:???.net 最新のメジャーバージョンは、修正されるまでしばらくお試しですよね。
14 :anonymous@fusianasan :2022/12/04(日) 00:17:11.69 ID:???.net 心配しなくても日本の代理店は古くさいバージョンしかサポートしない
15 :. :2022/12/04(日) 07:53:32.66 ID:???.net 7.2でmaturity firmware levels入ったから メインツリーで実験すんのやめたw
16 :unknown :2022/12/13(火) 11:13:39.08 ID:ZR+35FWb.net おいおいおいおい?!!!!! cve-2022-42475
17 :anonymous@fusianasan :2022/12/13(火) 16:15:35.91 ID:???.net ―――こうしてForigateを使用している百数十社の会社の顧客データは盗まれ、 社長は株価ダウンを恐れて隠蔽をし、顧客データは全て密かに中◯に高値で独占売買され、 サイバー部隊の日本人対策用データベースに保存されていくのだった。おわり
18 :anonymous@fusianasan :2022/12/13(火) 19:57:10.44 ID:vChbwZz9.net 不具合多くね?
19 :anonymous@fusianasan :2022/12/14(水) 08:23:57.51 ID:???.net 公式でSSLVPN機能使ってなければ大丈夫ってアナウンスして欲しいな
20 :anonymous@fusianasan :2022/12/14(水) 08:40:12.99 ID:???.net 実は設定をoffにしてもポートが開いていて攻撃を受けるというオチだったりして
21 :anonymous@fusianasan :2022/12/14(水) 12:39:54.71 ID:9/kq+Y4d.net >>19 ソレは書き加えられた
22 :anonymous@fusianasan :2022/12/14(水) 14:19:04.86 ID:???.net 60Dは解決不能?
23 :anonymous@fusianasan :2022/12/14(水) 14:42:45.83 ID:???.net こんな危なっかしいVPNじゃなくてIPA純正のシン・テレワークシステムでも使っとけ
24 :anonymous@fusianasan :2022/12/14(水) 15:18:18.63 ID:???.net そだねー
25 :anonymous@fusianasan :2022/12/14(水) 15:19:35.88 ID:???.net ユーザー向けにFORTIGATEのSSLVPN使ってる会社は無いだろうけど 管理者とか保守会社がメンテナンス用とかバックアップ用とかで結構使ってたりするんだよな~
26 :anonymous@fusianasan :2022/12/14(水) 17:08:56.22 ID:???.net >>19 公式に対策としてDisable SSL-VPNとあるけど
27 :anonymous@fusianasan :2022/12/15(木) 12:33:01.94 ID:???.net >>26 接続元絞るだけじゃ駄目なのかな?
28 :anonymous@fusianasan :2022/12/15(木) 12:47:24.52 ID:???.net バグ情報見てないからしらんけどEAP-TLSみたいなんて出来ないん? それでダメならforti自体がアカンことになると思うんだけど
29 :名無し :2022/12/15(木) 13:08:59.30 ID:???.net >>22 バージョン6.0系の修正が出る可能性あるみたいです。
30 :名無し :2022/12/15(木) 13:29:20.53 ID:???.net CVE-2022-42475関連。参考まで SSL-VPNの無効化方法。 https://community.fortinet.com/t5/FortiGate/Technical-Tip-nbsp-How-to-disable-SSL-VPN-functionality-on/ta-p/230801 怪しいログの確認コマンド。 https://community.fortinet.com/t5/FortiGate/PSIRT-Note-FG-IR-22-398-FortiOS-heap-based-buffer-overflow-in/ta-p/239420 攻撃を受けたかファイルの確認方法。 作成されてると不味いやつ。 https://community.fortinet.com/t5/Support-Forum/FortiOS-6-2-9-list-files-in-filesystem-CVE-2022-42475-FG-IR-22/td-p/239477 https://community.fortinet.com/t5/Support-Forum/Checking-the-FortiGate-OS-Linux-file-system/td-p/239622
31 :anonymous@fusianasan :2022/12/16(金) 00:17:49.66 ID:???.net >>25 使ってるわヤバ
32 :名無し :2022/12/16(金) 15:47:17.49 ID:???.net >>28 認証なしでリモートからコマンド可能なので証明書は関係ないです。 しかも昔のバージョン5からなので致命的
33 :anonymous@fusianasan :2022/12/16(金) 19:05:33.28 ID:???.net 6.0.16出たね
34 :anonymous@fusianasan :2022/12/16(金) 19:44:29.80 ID:???.net >>32 言葉足らずだったわ VPNを証明書認証でやればええんちゃう?って言いたかった 出来るのかしらんけど
35 :anonymous@fusianasan :2022/12/16(金) 22:50:33.06 ID:???.net >>34 認証無しでも不正操作される問題に認証で対策するのか?
36 :anonymous@fusianasan :2022/12/17(土) 10:34:32.33 ID:???.net アクセス元制限では対応できないのだろうか?
37 :anonymous@fusianasan :2022/12/20(火) 15:21:00.94 ID:u2xeDD4I.net SD-WAN機能触ってみたけどSD-WANとは名ばかりだな
38 :anonymous@fusianasan :2022/12/20(火) 18:42:53.99 ID:???.net そもそもファイアウォール自体がSDと言えなくもない。
39 :anonymous@fusianasan :2022/12/21(水) 01:25:11.61 ID:???.net 普通のSD-WANベンダ製品が売れてるって話もあんまり聞かない ブレイクアウト需要は多いけど
40 :anonymous@fusianasan :2023/01/02(月) 01:04:21.52 ID:MBSuKMwo.net PaloaltoVM試用版って30日となっているけどいつから30日ですか? インストールし直せば何度も使えますか?
41 :anonymous@fusianasan :2023/01/04(水) 23:02:53.00 ID:9r7+8v3h.net FortiGateで0% nice ってなっているんですけど、ここのniceはシステム以外の優先度の 低いプロセスで使っているCPU使用率を表示させているのでしょうか? # get system performance status CPU states: 0% user 0% system 0% nice 100% idle 0% iowait 0% irq 0% softirq
42 :anonymous@fusianasan :2023/01/04(水) 23:27:26.09 ID:???.net https://scoutapm.com/blog/understanding-linuxs-cpu-stats-ja
43 :anonymous@fusianasan :2023/01/04(水) 23:46:20.69 ID:9r7+8v3h.net nice値によって優先度が変わるというのは理解したように思えるのですが、 よく分からない。。。。
44 :anonymous@fusianasan :2023/01/05(木) 00:08:14.71 ID:???.net 基本的に0%じゃないのかね
45 :名無し :2023/01/05(木) 08:44:22.78 ID:???.net >>41 おそらくその認識かと思います。 公式見るとnice100%だけだとFortiGateの動作が停止してるようです。 https://docs.fortinet.com/document/fortigate/6.4.2/administration-guide/152469/troubleshooting-cpu-and-network-resources Troubleshooting CPU and network resources FortiGate has stopped working If the FortiGate has stopped working, the first line of the output will look similar to this: CPU states: 0% user 0% system 0% nice 100% idle
46 :anonymous@fusianasan :2023/01/05(木) 09:11:32.92 ID:???.net idleが100%かと思いましたが
47 :anonymous@ 122-100-25-193m5.mineo.jp :2023/01/14(土) 17:35:41.20 ID:PBvWaqVGx JÅLだのANAだのテ□リストにテ□資金供給して,騷音に温室効果カ゛スにコ囗ナにとまき散らさせて, 氣候変動させて海水温上昇させてかつてない量の水蒸氣を発生させて,曰本どころか世界中で土砂崩れに洪水, 暴風,大雪.猛暑、干は゛つ,森林火災にと災害連發させて殺された人々の数は核爆弾の比し゛ゃない現実すら理解できす゛. 巻き添え根性丸出しで多くの住民の生命と財産を破壊するのもいい加減にしとけ>被爆者給付その他の利権団体被団協 てめえらか゛石炭火カ發電倍増させる以上にヰカレたテ□行為やってるクソ航空機に石油無駄に燃やさせて工ネ価格暴騰させてるせいて゛ 一部の賄賂癒着業者とともに國民の生命と財産を破壞することで利権倍増して私腹を肥やすテロリスト自民公明に 原發稼働による第ニのフクシマ被爆利権を作るロ実を与えてる現実を少しは理解しろやホ゛ケ 非人道的な兵器ってのは、地球破壊して災害連発させて核とは桁違いの生命と財産を破壊し続けてるクソ航空機のことをいうんた゛ハケ゛ 創価学會員は,何百萬人も殺傷して損害を与えて私腹を肥やし続けて逮捕者まで出てる世界最惡の殺人腐敗組織公明党を 池田センセ‐がロをきけて容認するとか本氣で思ってるとしたら侮辱にもほと゛があるぞ!https://i.imgur.com/hnli1ga.jpeg
48 :名無し :2023/01/05(木) 10:28:54.76 ID:???.net >>46 idleの間違いですね。お恥ずかしい。 指摘ありがとうございます。
49 :anonymous@fusianasan :2023/01/05(木) 15:35:11.82 ID:???.net niceじゃないす
50 :anonymous@fusianasan :2023/01/05(木) 18:23:09.26 ID:9jqhwvzr.net niceのパーセントが上がってる時って、ナイスじゃない事が 起きてるってことでOK? 優先度が何かしらで変わるって事は、優先度があがるようにCPU割り当ててる 感じか。
51 :anonymous@fusianasan :2023/01/06(金) 23:38:10.79 ID:kqpu8M8o.net Fortinet JapanのSEさんって、めっちゃメール回答とか安心感ありますわ。 なんだろう、努力した時間の違いなのか? ああいう、カッコいいSEになりたい。
52 :anonymous@fusianasan :2023/01/07(土) 13:13:36.01 ID:???.net 代理店に問い合わせろ という回答に安心感?
53 :anonymous@fusianasan :2023/01/07(土) 21:39:28.55 ID:???.net 保守対応に該当する問い合わせは保守契約(保守体制フロー)に基づいて代理店に問い合わせてもらうしか無い これはどこのメーカーも基本的には同じ
54 :anonymous@fusianasan :2023/01/07(土) 21:55:07.68 ID:???.net >>53 ほとんどのメーカーは直接やってるイメージ
55 :anonymous@fusianasan :2023/01/07(土) 22:06:49.55 ID:???.net >>54 障害対応のチケットオープンとかエンドユーザが直接メーカとやるかね 代理店、SIerに払ってる保守費は一体どこに消えていくのか
56 :anonymous@fusianasan :2023/01/07(土) 22:09:37.37 ID:???.net エンドユーザとメーカーで直接保守契約を結ぶことってダイレクトサポート(有償サポート)くらいかなぁ
57 :anonymous@fusianasan :2023/01/07(土) 22:20:32.48 ID:???.net >>54 どこのメーカー?
58 :anonymous@fusianasan :2023/01/08(日) 09:14:25.46 ID:???.net >>57 コンシューマー向けw
59 :anonymous@fusianasan :2023/01/08(日) 10:32:27.49 ID:???.net コンシューマ向けとかスレチもいいとこ
60 :anonymous@fusianasan :2023/01/08(日) 10:46:37.16 ID:???.net 視野が狭い
61 :hoge :2023/01/21(土) 16:08:28.85 ID:???.net 例の病院のVPNでのランサムウェア被害って 使ってるの知ってて連絡の無い保守契約してる業者 イー加減にしろ
62 :anonymous@fusianasan :2023/01/21(土) 16:20:26.29 ID:???.net 保守業者から?なんの連絡が来るの?
63 :anonymous@fusianasan :2023/01/21(土) 17:41:17.84 ID:???.net 保守ベンダから連絡しないでしよう。 保守ベンダは、故障や技術サポートの窓口だから脆弱性情報は聞かれない限り、情報提供もしない。 構築ベンダにセキュリティサポート費用とか払って脆弱性情報貰うか、機器導入してる組織のセキュリティ担当かCERT担当がアンテナたて日々脆弱性情報集めるしかない。 と言っても、IPAのサイトかJPCERTのサイトか、メーカーサイト位しか確認しないけどね。
64 :anonymous@fusianasan :2023/01/21(土) 20:34:31.78 ID:WH/kJP7o.net 確認して対処できる人がいるならそもそもそんなことになってないねんな ファルコンとかガチのハッカー雇ってるとこのサービス使えばええんや じぇーくらーととかいううんちに頼るのは悪手
65 :anonymous@fusianasan :2023/01/22(日) 05:35:26.36 ID:???.net test
66 :anonymous@fusianasan :2023/01/22(日) 05:39:18.27 ID:???.net RSSとかでPSIRT情報来るからそういうのをIT/セキュリティ管理者は見ておかないといけないよねってだけの話なんだけど 全部丸投げしてるからねぇ
67 :anonymous@fusianasan :2023/01/22(日) 08:12:49.84 ID:???.net 自分の仕事と契約内容がわかってないんだろう
68 :anonymous@fusianasan :2023/01/22(日) 10:30:40.09 ID:???.net 保守ベンダーだって普通に連絡取る所多いだろ ここで連絡取れないとような所は切られるからな 但し、ベンダーとの関係が悪かったり担当者に問題があったりすると別だが 病院系はヤバい担当者も居ると聞くからどっちが問題かはわからん
69 :anonymous@fusianasan :2023/01/22(日) 14:24:06.65 ID:???.net 影響のデカいセキュリティホールなんかは メールで連絡してくれてもいいんしゃね? とは思う。 ベストエフォートで。
70 :名無し :2023/01/22(日) 16:05:30.07 ID:???.net fortiguard PSIRTアドバイザリを見ないの?
71 :anonymous@fusianasan :2023/01/22(日) 17:44:44.89 ID:???.net >>69 Fortinet PSIRT notification mailで検索
72 :anonymous@fusianasan :2023/01/22(日) 19:41:09.20 ID:???.net 情シスがそんなん見るかよ インフラなんて業者任せや
73 :anonymous@fusianasan :2023/01/22(日) 19:51:36.38 ID:xesKpOmK.net あなた、怠惰ですねぇ
74 :anonymous@fusianasan :2023/01/22(日) 21:19:09.62 ID:???.net 騒ぐだけしかできない管理者様ばかり
75 :anonymous@fusianasan :2023/02/04(土) 02:26:02.33 ID:???.net 複数拠点でipsecVPN(アグレッシブモード)を行う時の設定をしてみたけど、このサイトでいうB拠点とC拠点の通信ができない(pingが通らない)のは仕様なんだろうか scskのサポート担当に尋ねたらハブアンドスポークでやってくれと言われたが… 私はできるか出来ないかを聞いたんだがなぁ 普通のciscoルータやアライドルータだとできるのに https://tec-world.networld.co.jp/faq/show/10151
76 :anonymous@fusianasan :2023/02/04(土) 02:58:23.63 ID:???.net debug flow取って調査すればいい
77 :名無し :2023/02/04(土) 07:26:06.90 ID:???.net >>75 A拠点でB、C向けのIPSEC張れてるなら、B-C間ポリシーをA拠点に入れれば通信通りません?
78 :anonymous@fusianasan :2023/02/04(土) 08:54:22.99 ID:???.net >>77 ポリシーもあるけどB,C拠点のIPSecVPN Phase2設定内の送信先アドレスに双方拠点のアドレス入れる必要もあるね 自分の組んだ環境だと拠点間通信も問題ないわ A拠点もBとの接続設定の送信元アドレスにCのアドレスを含める必要はある
79 :anonymous@fusianasan :2023/02/04(土) 09:57:16.45 ID:???.net >>77 >>78 レスありがとうございます ・A拠点にBC間のポリシー設定済み ・B拠点のポリシーに送信元C拠点のNWアドレスを設定 その逆も然り ・AにおけるAB間のIPsecのphase2の設定の送信元アドレスにC拠点のNWアドレス(AC間のIPsecの設定時に利用しているもの)の設定 BにおけるAB間のIPsecの設定の宛先アドレスにC拠点を設定してます (C拠点の場合も同様に設定してます) 時間があればwebGUIのスクショ載せます 納期近かったから、結局ハブアンドスポークで構築して納品したんですけど
80 :anonymous@fusianasan :2023/02/04(土) 10:00:45.21 ID:???.net ちなみに同じ設定で、どこの拠点もグローバルIPが固定だと通信できちゃいました 同じようにメッシュ型じゃなくA拠点中心のスター型で 後出しになって素人丸出しだけれどFortigate60f ファーム7.2.3です
81 :anonymous@fusianasan :2023/02/04(土) 10:03:02.18 ID:???.net fortigateのddns設定つかえば良かったかもしれんが、これはやってないです
82 :名無し :2023/02/04(土) 12:20:02.47 ID:???.net ddns使わずに動的グローバルアドレス間のIPSECは出来ないのでは?
83 :anonymous@fusianasan :2023/02/04(土) 13:28:37.63 ID:???.net 導入業者がコレかよ
84 :anonymous@fusianasan :2023/02/04(土) 13:29:50.66 ID:???.net そうだよ震えろ 日本のIT業界なんてこのレベルのが設計構築してんだ
85 :anonymous@fusianasan :2023/02/04(土) 17:03:00.13 ID:???.net >>82 片側が静的IPならIPSecアグレッシブモード使えば拠点側は動的IPでもDDNSは要らない VPNセッション開始が拠点側からになるだけで通信自体はほぼ変わらん
86 :anonymous@fusianasan :2023/02/04(土) 17:09:18.64 ID:???.net 動的グローバルアドレス間って書いてあるから
87 :anonymous@fusianasan :2023/02/04(土) 17:09:33.08 ID:???.net v7.2系使ってる時点でFortigate素人感漂うな 質問してるNetWorldはまだサポートしてないんだからまともな技術サポートを受ける権利が無くなるから本番環境で使うとかアカン
88 :名無し :2023/02/04(土) 17:59:29.07 ID:???.net >>85 81です。 B拠点(動的)-A拠点経由(静的)-C拠点(動的)なら仰る通りですが、B拠点(動的)--C拠点(動的)でIPSEC接続されたいように見えます。 >>87 サポートはscskみたいですね。 サポートも新しいバージョンはバグがある可能性が高い事は教えてくれないんですかね。
89 :anonymous@fusianasan :2023/02/04(土) 18:55:16.32 ID:???.net 逆にCiscoやアライドでどうやったら出来たんだろう
90 :anonymous@fusianasan :2023/02/04(土) 23:33:11.13 ID:???.net >>84 設定も切り分けも出来ない人が金取って設定してるとか怖すぎるよね どこもそういった人しか居ないんだけどさ
91 :anonymous@fusianasan :2023/02/04(土) 23:37:39.73 ID:???.net >「私はできるか出来ないかを聞いたんだがなぁ」 このくらいのことを構築担当してる業者が訊くとかほんと終わってるのと 理解してない人って整理されて無くて何言ってるかわかんない質問投げてくるから回答する方も大変なんだよね
92 :anonymous@fusianasan :2023/02/05(日) 00:27:10.79 ID:???.net >>75 おまえこの構築でおいくら貰ってんの?
93 :anonymous@fusianasan :2023/02/05(日) 01:28:47.95 ID:???.net 動的IP-動的IPでのIPsecVPN接続は可能だけど、1から説明しないと行けなさそうな感じなんで おとなしくハブ&スポークでやってって提案されたってとこかな
94 :anonymous@fusianasan :2023/02/05(日) 11:42:47.95 ID:UPYe4qDT.net S○SKの技術サポートって他社と比べてどんな感じなんでしょうか? 以前問い合わせしたときに技術レベルに疑問を感じることがあって…
95 :anonymous@fusianasan :2023/02/05(日) 11:51:37.37 ID:???.net >>94 このシリーズには弱い印象
96 :anonymous@fusianasan :2023/02/05(日) 12:11:02.24 ID:???.net どこの業者も構築や設定差ボートはしません 故障時のサポートです って言われた経験ある そう言わんと設定をサポート二丸投げする奴らが居るんだろうな
97 :anonymous@fusianasan :2023/02/05(日) 13:18:14.18 ID:???.net 「DDNS使えばいいですよ」って案内しても「DDNSってなんですか?」「どうやって設定するんですか?」ってくるのが見えてるからね
98 :anonymous@fusianasan :2023/02/05(日) 13:40:54.49 ID:UPYe4qDT.net >>94 なるほど。そうっぽいですよね。 >>96 まぁ丸投げはダメでしょうね。 ただ故障サポートって言い切るのも少し違う気します(笑
99 :anonymous@fusianasan :2023/02/05(日) 13:43:29.63 ID:UPYe4qDT.net >>98 の 1つめは >>95 様宛でした。 失礼しました。
100 :anonymous@fusianasan :2023/02/05(日) 16:43:17.04 ID:???.net プロフェッショナルサービス契約すれば
101 :anonymous@fusianasan :2023/02/05(日) 18:00:33.45 ID:???.net だいたいはお金(有償サポート or スキルのある人を雇う)で解決するんだよね
102 :anonymous@fusianasan :2023/02/05(日) 18:23:58.03 ID:???.net まぁそもそも製品独特の設定方法だの仕様だのを外部の人間に把握してろってのがおかしな話なんだ そんなのfortiだのciscoだのが自社で大規模な部隊持っとけって話だけど現実それが無理だからサポートがあるわけで
103 :anonymous@fusianasan :2023/02/05(日) 18:28:37.75 ID:???.net SIerはそういったノウハウ/技術を提供することで顧客からお金をもらう体なんだけどね
104 :anonymous@fusianasan :2023/02/05(日) 18:31:26.45 ID:???.net >>102 マニュアルとか読まなさそう
105 :anonymous@fusianasan :2023/02/05(日) 18:34:27.32 ID:???.net >>103 違うが
106 :anonymous@fusianasan :2023/02/05(日) 18:38:50.62 ID:???.net 構築はできないけど構築費用は貰います的な
107 :anonymous@fusianasan :2023/02/05(日) 18:41:16.40 ID:???.net 顧客の要望を聴き取ってこういう設計のNWがありますよと提案し構築するのが仕事 ベンダー特有の技術を提供するわけではない
108 :anonymous@fusianasan :2023/02/05(日) 18:48:50.88 ID:???.net >>104 製品の内部資料とか公開してんの? それどこのメーカーよ?(笑)
109 :anonymous@fusianasan :2023/02/05(日) 18:51:15.93 ID:???.net 提案してる装置の設定を顧客の代わりに行ったり構築支援したりするのでそういった「技術」は提供してると思うよ なので扱ってるベンダの装置の設定をある程度理解しておく必要はあるかと 「特有の技術」ってのが装置の設定のことを指してないと良いんだけど
110 :anonymous@fusianasan :2023/02/05(日) 19:01:08.72 ID:???.net 流石に一般技術的な話とかマニュアル見ればわかる設定とかの話ではないな 例えばつい先日あった話だが某Ciscoの証明書期限切れによるOSイメージダウンロード検証不可の事象だって OSダウンロードでスタックしてる、証明書が原因らしいってのまではログでわかるかもしれないけど じゃあ何で証明書で認証できてないのとか実はMICとは別の物理的に焼き込まれた証明書でしたーとかCiscoのアナウンスが無いとわからない事だったし
111 :anonymous@fusianasan :2023/02/05(日) 19:10:41.22 ID:???.net >>110 特殊なものは資料も公開されてないからベンダ側で対処するしかないし、ベンダ側でも開発が調べないとわからなかったりするね そういうのじゃなくて、受注していざ構築始めたら「実際に動かしたこと無いので設定よくわかりません」「一応設定してはみたけど期待どおりに動かないんです。なんでですか?」みたいなレベルの 業者様はちょっとご遠慮したいかなと思う
112 :anonymous@fusianasan :2023/02/05(日) 20:34:02.46 ID:???.net >>107 コンサルですか?
113 :anonymous@fusianasan :2023/02/05(日) 21:51:41.13 ID:???.net 各ベンダ、製品ごとに装置の設定の仕方は異なるわけだから そういうのがわかるのもベンダ特有の技術になるんかなと思った
114 :anonymous@fusianasan :2023/02/06(月) 01:18:29.83 ID:???.net ベンダごとの製品の特徴を知らないと構築どころかコンサルも無理なんだよなぁ
115 :anonymous@fusianasan :2023/02/06(月) 02:13:34.09 ID:???.net メーカじゃないから、そんなのわからなくても僕SIerだから悪くないもん! って、主張するから子供と一緒と言われんじゃろ?わかる
116 :anonymous@fusianasan :2023/02/06(月) 03:12:10.60 ID:???.net SIer様もBP様、SES様だったりで
117 :anonymous@fusianasan :2023/02/06(月) 03:20:12.14 ID:???.net >>107 顧客の要望を聴き取って実現できるメーカの製品を選定/提案すると思ってましたが違うんですね 具体的な製品選定は誰がやるんでしょうね
118 :unknown :2023/02/06(月) 18:34:23.42 ID:gU1PsVxN.net 美桜ちゃんはトランジスタグラマー
119 :anonymous@fusianasan :2023/02/06(月) 22:08:56.04 ID:???.net 素人で申し訳なくこんな質問して怒られるかもしれませんが 60Fを利用しているのですが、 スタティックルートやファイヤーウォールポリシーの宛先にインターネットデータベースを使うと応答速度が低下する現象はあったりしますでしょうか。
120 :anonymous@fusianasan :2023/02/07(火) 00:03:43.59 ID:???.net 設定に問題がなければそういったことはありません
121 :anonymous@fusianasan :2023/02/07(火) 01:49:02.05 ID:BlNyCmIb.net FortigateではASICにオフロード出来ると思いますが、ASICの負荷が高くなった場合は、 CPU処理になるのでしょうかね? 例えば、NTurboが100%になったら、オフロード出来ずCPU処理になるという考えで良いでしょうかね。
122 :anonymous@fusianasan :2023/02/07(火) 02:41:27.43 ID:???.net しないんじゃない?
123 :anonymous@fusianasan :2023/02/07(火) 07:45:48.67 ID:???.net >>120 ご回答ありがとうございました! 助かりました!
124 :anonymous@fusianasan :2023/02/08(水) 17:40:20.25 ID:???.net ほのぼの
125 :anonymous@fusianasan :2023/02/17(金) 22:30:03.15 ID:???.net FortiGate 60E (7.2.1)でのIPv6について質問です。 フレッツ光ネクスト回線+朝日ネットのv6契約にて下記のURLを参考に設定済みで、 Windows10/11、Android12/13は正常に外部とv6通信ができています。 https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-asahinet-v6connect-ipip.pdf しかしiPhoneXS/SE2およびiPad mini4、macOS12/13だけ(要はApple製品)がv6で外部と通信できません。 v6アドレスおよびv6ゲートウェイアドレス、v6DNSアドレスをRAから取得済みなのに何故かvne-tunnel(v4 over v6)から外部に抜けます。 Apple製品のプライベートWi-FiをOFFにしたりMacbookで有線接続にしても同様でした。 ただ、FortiGateのwan1が取得しているグローバルv6アドレスに一度ping6コマンドを発すると、 その後は外部のv6サーバにping6が疎通するようになりv6のWebサーバなどにもアクセスできるようになります。 (test ipv6サイトでもOK判定になる) バグなのか上記のPDFでは設定が足らないのか、どなたか同じような環境でv6で抜けられている人いませんか?
126 :anonymous@fusianasan :2023/02/18(土) 18:49:54.62 ID:???.net 7.2.4に上げてみてください
127 :124 :2023/02/19(日) 12:11:48.73 ID:???.net 7.2.4に上げてみたけど全く同じてすね。 FortiGateだとApple製品でv6できてる人いないんじゃないかなこれ。。 同じ環境でRTX1200だと問題無くv6使えるんですが他に色々便利だからFortiGateを使っていきたいなと。
128 :anonymous@fusianasan :2023/02/19(日) 12:32:00.98 ID:???.net NDPは有効にしてある?
129 :anonymous@fusianasan :2023/02/19(日) 12:50:40.22 ID:???.net してあったらごめんだけどセッションヘルパーで58ポート開けてあげて見てもダメかね?
130 :anonymous@fusianasan :2023/02/19(日) 12:51:42.60 ID:???.net ポートじゃないプロトコル
131 :sage :2023/02/19(日) 14:35:10.18 ID:zf2HIFvc.net >>127 私はふつうに使えてますね。 iPhone / iPad / macOS それぞれ最新パッチ当て済 FOS は7.2.4 で、プロバイダは Asahinet の ipv6 サービス ちゃんとipv6テストサイトで、safari / Firefox / chrome / edge からipv6アドレスで接続出来ているのを確認できます IPv6 tunnel はご提示の手順の方法ではありませんが、ipv6 native でアクセスする分には関係ありませんので、関連性はないかと
132 :124 :2023/02/19(日) 16:23:12.64 ID:???.net nd-proxyは有効にしてます。 session helperでプロトコル58は有効にしていませんが、設定しようにもポート番号指定が必須なので設定できず。 >>131 おお、もし良ければv6周りのconfigを教えてもらえませんか? 上のPDFで触れられてないものがあるでしょうか。 仰るとおりv6トンネルのds-lite部分は関係無いと思います。 InternalのmacOSやiPhoneからwan1のv6アドレスにping6するとv6ネイティブで外に通るようになるのがまた解せない。。
133 :sage :2023/02/19(日) 16:58:37.39 ID:zf2HIFvc.net >132 Android や windows で通信できている、およびmacOS 側にもIPv6 アドレスが設定されているってことは、 普通のIPv6 設定は問題ないと思うので、macOSに関連するところなんじゃないかなーと思う。 どのIPを使って通信させるのかを判断するのはクライアントなので。 よくわからない状況だけど、ご要望の資料でしてない設定ということなので、ipv6 の delegated 設定と np proxy です Nd proxy はしてそうなので(IPが振られているので)。手順書は、ipv6 tunnel を使ってIPv4 通信をさせることが目的だから この辺の設定はしてないと思う。 ただ、IP振られてるなら通信できても良さそうだなぁとは思います。 蛇足ですがipv6 と ipv4 のポリシーは同じだったら分けたほうがいいと思う。 Ipv4 だとどうしてもNAT が必要になるので、ipv6 native でやりたいならnat 外したポリシーを作ったほうがいいかと思う。 下は、wan で IPv6 NDを受けて、lan へ委任する例(IPv6 のみ)
134 :sage :2023/02/19(日) 16:59:03.32 ID:zf2HIFvc.net (抜粋) config system interface edit "wan" config ipv6 set dhcp6-prefix-delegation enable set autoconf enable config dhcp6-iapd-list edit 1 set prefix-hint ::/60 next end end next end
135 :sage :2023/02/19(日) 16:59:26.08 ID:zf2HIFvc.net config system interface edit "lan" config ipv6 set ip6-mode delegated set dhcp6-information-request enable set ip6-send-adv enable set ip6-manage-flag enable set ip6-other-flag enable set ip6-upstream-interface "wan1" set ip6-delegated-prefix-iaid 1 set ip6-subnet ::/60 config ip6-prefix-list edit ::/60 next end config ip6-delegated-prefix-list edit 1 set upstream-interface "wan1" set subnet ::/60 set rdnss-service delegated end next end
136 :sage :2023/02/19(日) 16:59:44.23 ID:zf2HIFvc.net 参考になれば
137 :124 :2023/02/19(日) 17:54:45.84 ID:???.net ありがとうございます。 v4とv6のFWポリシーは分けてます。 頂いた参考設定ですが、これはひかり電話有りのタイプですかね? 後出しになってしまい恐縮なんですがこちらひかり電話を解約したのでHGWの下のFGはRAでv6アドレスを取得してます。 随分前にwan1でdelegateする設定をしたんですがうまくいきませんでした。 帰ったらリトライしてみます。
138 :sage :2023/02/19(日) 18:02:28.99 ID:GbKCknDf.net >>137 はい。光電話タイプです。 自宅で動いてるコンフィグの抜粋です。(多少隠したほうがいいかなぁと、interface を wan1から wan に変えたら、upstream 側を編集し忘れて wan1 になってます.....悔しい) あとは….DNS server をfortigateで設定し、クライアントはそちらを参照する様にしています。
139 :anonymous@fusianasan :2023/02/19(日) 19:52:33.84 ID:???.net FortiGateも配下の端末もRAでprefix受け取るのなら、FortiGateにDHCPv6-PDの設定は要らないです
140 :anonymous@fusianasan :2023/02/19(日) 20:04:56.92 ID:???.net FortiGateが無い状態、例えば単純にブリッジさせる無線APをHGW配下につなげてapple製品でのIPv6アクセスがどうなるかの切り分けが必要かと
141 :124 :2023/02/19(日) 22:39:43.00 ID:???.net HGW(今やONU機能のみ)の配下にRTX1200を置いて下記URLの設定で使ってた時はApple製品達もv6で使えていたので回線とかHGWの問題では無さそうです。 ただ、その時はv4 over v6の設定をしてなかったのでその違いはありますが。 https://network.yamaha.com/setting/router_firewall/flets/flets_other_service/ipv6_ipoe ひかり電話が無いからか、internalのv6委譲設定でアップストリームとしてwan1を設定できないので教えて頂いた設定はできませんでした。 AndroidやWindowsは全く問題無くて全てのApple製品が同じようにv6で通らないのが謎すぎです。
142 :anonymous@fusianasan :2023/02/19(日) 23:11:14.69 ID:???.net 話は違うけどFortiVPNでWindowsだけうまく接続できてMACだと弾かれるっていう現象あったなぁ この辺の切り分け難しいんだよなぁ
143 :anonymous@fusianasan :2023/02/19(日) 23:54:48.27 ID:???.net 切り分けするしかないのとRAとDHCPv6-PDの設定は全然別なので、自分のとこの環境に合わせて設定しないと駄目かと とにかくv6関連設定ぶっこんだら動くってものじゃないし
144 :anonymous@fusianasan :2023/02/20(月) 03:28:11.53 ID:???.net 詳しく調査できないなら諦めてv4 onlyで使うしかないが体感的に速度の違いは全然わからないよ それとv6でアクセス出来なくて困ることって基本的に無いし
145 :anonymous@fusianasan :2023/02/20(月) 07:58:06.69 ID:YtsP25KF.net iPadでダンスする kameが見たいんや
146 :124 :2023/02/20(月) 11:39:53.84 ID:???.net Apple勢のv6通信の件、進展ありました。 結論から言うとうまくいきました。 ・これまでに分かっていたこと macOSやiPhoneから外部v6サーバにping6しても通らない しかし、一度wan1のRAで取得したv6アドレスにping6すると外部v6サーバに疎通OKになる ・確認できていた事 以前から疑っていたログの内容として、 v6送信パケットは数バイト送信されているが、受信が常に0バイトであった。 ・疑った事 もしや戻り(wan1からinternal)のルートが無い?と思いダメ元で下記を追加
147 :124 :2023/02/20(月) 11:40:32.37 ID:???.net FGT # config router static6 FGT (static6) # show config router static6 edit 1 set device "internal" next end FGT (static6) # show full config router static6 edit 1 set status enable set dst ::/0 set gateway :: set device "internal" set distance 10 set weight 0 set priority 1024 set comment '' set blackhole disable set dynamic-gateway disable set dstaddr '' set link-monitor-exempt disable set bfd disable next end
148 :124 :2023/02/20(月) 11:41:31.26 ID:???.net ・結果として macOSやiPhoneでこれまで通りv6アドレスを取得して今回は更に そのままv6で外に抜けられるようになりました。 何故Apple勢だけ戻りのstatic6 routeを追加しないといけなかったのか謎すぎるし、 macOSやWindowsで自動取得しているv6ゲートウェイアドレス(fe80::~)は同じなのに わざわざstatic6を追加しないといけないのかが解せませんが少しすっきり。 何となくFortiGateのRA方式によるバグな気もしますがもし私と同じような方がいたらstatic6の追加で直りそうです。 気になるのは、wan1→internalのrouteを追加してるのでセキュリティ的に大丈夫か?とは思いますが FWポリシーで特に開けてる訳じゃないので大丈夫ですよね。。
149 :anonymous@fusianasan :2023/02/20(月) 19:33:17.28 ID:???.net RAだったらND proxy、FWポリシー設定程度でいい https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-asahinet-v6connect-ipip.pdf バグじゃないと思うけどね うちじゃちゃんと動いてるし
150 :anonymous@fusianasan :2023/02/21(火) 20:37:01.56 ID:???.net Forigateの保守更新料が跳ね上がっててハゲるかと思った
151 :anonymous@fusianasan :2023/02/22(水) 00:07:38.92 ID:???.net >>150 新規購入もヤバいぐらい上がってるぜ 100Fとか3年前から倍近いぐらい高くなってる 円安とか半導体不足とか考えでも値上げしすぎで泣ける
152 :anonymous@fusianasan :2023/02/22(水) 05:55:22.23 ID:???.net 安さが売りでもあったのにこれじゃパロでいいじゃんアゼルバイジャン
153 :anonymous@fusianasan :2023/02/22(水) 07:36:31.06 ID:???.net パロは値上げ幅少ないのかな?
154 :anonymous@fusianasan :2023/02/22(水) 08:01:05.94 ID:SkjyL7MD.net ラインナップ多すぎ
155 :anonymous@fusianasan :2023/02/26(日) 06:07:18.14 ID:4EcN0EyZ.net 半導体不足はわかる。 機種変更じゃないんだ、保守更新だぜ。FORTINET ボリ過ぎじゃね?と思ったら、 >>150 で結論出てた。 ForriGate はいい製品だと思うんだが、Forti なんちゃらを連発してるせいで、 機能が削られて保守費だけ高くなってる気がする とはいえ、乗換え先がないんだよな
156 :anonymous@fusianasan :2023/02/26(日) 06:27:17.80 ID:4EcN0EyZ.net 中小企業で FortiGate 60E 今まで 1 台の「プラチナオンサイト障害対応」してたけど、 これ、1 年以上のライセンスありの中古を 2 台買って、HA 構成にした方がコスパいいよね
157 :anonymous@fusianasan :2023/02/27(月) 00:13:30.80 ID:???.net 価格はドル建てだし世界的なインフレだからどこも同じかな コストだけでみるのであればYAMAHAでも使ってれば良いんじゃないかとは思う
158 :anonymous@fusianasan :2023/02/27(月) 12:45:08.35 ID:???.net ヤマハとFortiじゃ目的が違いすぎないか?
159 :anonymous@fusianasan :2023/02/28(火) 03:23:24.74 ID:iAVeP8WE.net >>158 ですよね。用途に依りますが、YAMAHA でいいんなら Cisco 使うし、、 >>157 イニシャルが高くなるのはいいんだけど、ランニングが高くなるのは 説明し辛いです。 年々高くなるのはわかってるので、20% 上乗せ予算を申請してるのに、それ以上か、、 Forti に限らず、昨今のオンプレインフラ界隈って、イニシャル安くして、 ランニングを段々上げて利益上げてね?っていう疑惑も、、 >>152 ですよね、、Palo 製品にも見積り取りました
160 :anonymous@fusianasan :2023/02/28(火) 10:08:42.53 ID:???.net YAMAHAでいいならYAMAHAじゃないの? Ciscoの方が高いと思うし
161 :anonymous@fusianasan :2023/02/28(火) 14:22:40.53 ID:qLvngyyV.net IPv6のアドレスが不定なのでFQDNルーティングしようと思ったら、 どうもIPv4でしかFQDNルーティング使えないっぽい… IPv6でFQDNルーティングする方法か、いい回避策ないでしょうか? RTXならLUAスクリプトでルーティング書き換えとかできそうなんだけど…
162 :anonymous@fusianasan :2023/02/28(火) 23:40:45.45 ID:iAVeP8WE.net >>160 YAHAMA を dis ってる訳ではなくて、いい製品が多いとは思っています。 ただ、エンジニアのスキルセットにミスマッチがある感じです
163 :名無し :2023/03/01(水) 00:30:31.11 ID:???.net ヤマハのエンジニアをdisってるの? すごく感じ悪いです。
164 :anonymous@fusianasan :2023/03/01(水) 00:31:12.73 ID:???.net 扱えるのがCiscoオンリーの人は今でも多そうですしね
165 :anonymous@fusianasan :2023/03/01(水) 00:36:15.20 ID:???.net >>159 >Palo 製品にも見積り取りました 安かったですか?
166 :anonymous@fusianasan :2023/03/01(水) 01:00:37.41 ID:???.net 悪名高いOracleですら年4%~8%程度の値上げなのに、 保守更新料金前年比50%以上も上げてきよった。 こんなもんどうやって年間予算計画するんだよ。
167 :anonymous@fusianasan :2023/03/02(木) 02:05:07.21 ID:HB7UsDjA.net >>163 不快にさせてしまったのなら申し訳ないです。 >>164 の方が書かれているとおりで、今だに Cisco オンリーな人は多いです。 その中で、では次は、、となると、FortiGate になって、 あくまで見知っている限りですが、、結果的に Cisco + Forti となっているだけです。 >>165 書き方が悪く申し訳ございません。 >Palo 製品にも見積り取りました ではなくて、 >Palo 製品にも見積り依頼しました となります。 で、どちらも見積りが来ておりません、、 ベンダーがいうには「納期が確定できないので見積りできない」ということらしいです。 仕事しろ、、
168 :anonymous@fusianasan :2023/03/02(木) 02:14:18.09 ID:HB7UsDjA.net >>166 最近 Oracle 触ってないのでわからないのですが、 >悪名高いOracleですら年4%〜8%程度の値上げなのに、 でしたっけ? Oracle はもっと高い印象でしたが、それ以上となると Forti はさすがにボリ過ぎ、、 Forti は元々 20% くらい上乗せして来やがるので、 予算もその程度を見込んで申請していたのですが、まさかの 40 % 増 ※ 若干の違いはあるようです、、 予算付替えとかクソ面倒、、 to C でも to B でも使われているので、全国のインフラエンジニアが泣いている気がします、、
169 :anonymous@fusianasan :2023/03/02(木) 02:24:18.12 ID:???.net 間に代理店が入ってることを忘れないようにね
170 :anonymous@fusianasan :2023/03/02(木) 02:33:22.21 ID:???.net 高いならもっと安い他のメーカに変えるしかないんじゃないですかね 安くておすすめのものがあれば教えてほしいです
171 :anonymous@fusianasan :2023/03/02(木) 02:49:05.59 ID:HB7UsDjA.net >>169 意図を汲みかねているのですが、、 名ばかりじゃなくて、対応がしっかりしたベンダーを選択すべし、、ということですかね? それもまた、インフラエンジニアの能力と、、 直接の取引はないけど、ネットワールドさんお世話になっております。 いつも、ありがとうございます! ※ 他のベンダーが塩対応すぎるし、情報遅いのが問題、、
172 :anonymous@fusianasan :2023/03/02(木) 02:54:21.21 ID:???.net ベースの価格が上がると利幅を増やすために間に入ってる業者はそこからもっと上げてくるのは普通
173 :anonymous@fusianasan :2023/03/03(金) 08:56:22.55 ID:yfE3lVmh.net 保守更新も相見積取れるなら、別業者の見積取ったほうがいいで 某Sから取った保守見積が倍近くになって、別のとこ取ったら前年比1.4倍ぐらいだった
174 :anonymous@fusianasan :2023/03/03(金) 12:13:37.94 ID:???.net 元の価格からの値上げ分がそっくりそのまま業者の見積もりに反映されてるわけじゃないしね 業者によって為替の値がまちまちだったりするし(円安が続きそうだから高めにしとくか、とか)
175 :anonymous@fusianasan :2023/03/04(土) 18:53:56.43 ID:???.net fortigateって買った代理店以外でも保守更新できるん?
176 :anonymous@fusianasan :2023/03/16(木) 10:30:00.15 ID:gsfVAvWP.net Fortigate60でフレッツ光クロス繋いだとか繋げるとか話し有ったりしますか?
177 :anonymous@fusianasan :2023/03/18(土) 01:07:39.86 ID:???.net 漠然とした質問
178 :sage :2023/03/18(土) 19:00:31.10 ID:3Y3yoPYA.net そもそも60Eにも60Fにも10G I/Fがないよ https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/ja_jp/FGT60FDS.pdf
179 :anonymous@fusianasan :2023/03/18(土) 23:53:27.97 ID:???.net >>178 そいえば10GのWANインターフェースがあるのは200F以上だね 100FもFortilink用ポートは10Gだけど
180 :anonymous@fusianasan :2023/04/11(火) 19:53:42.49 ID:???.net FortigateでLDAPユーザ使ってる方いますか? バインドタイプ一般を選択して、 テストはPASSするのですが下記のURLで言う「DNをフェッチ」でエラーとなってしまいます。 https://tec-world.networld.co.jp/attachedFile/get/97df4c9a-3028-443f-82f8-7504b45c9bbb
181 :anonymous@fusianasan :2023/04/11(火) 19:55:30.38 ID:???.net 環境はFortigateVM 使用版です。
182 :anonymous@fusianasan :2023/04/11(火) 20:11:37.25 ID:???.net URLが古かったです。 識別名をブラウザしようとするとエラーになります。 でも識別名を手動入力した場合、ユーザクレデンシャルのテストは通ります。 https://tec-world.networld.co.jp/attachedFile/get/74288651-7ca6-4707-a73d-e1cbe8e2c1b6
183 :anonymous@fusianasan :2023/04/28(金) 05:45:17.86 ID:3jx4TCOu.net fortigateで既にあるポリシーを一番下から上に持っていく時はドラッグアンドドロップで頑張るしかないの?
184 :sage :2023/04/28(金) 11:36:26.96 ID:3MM+PzU1.net >>183 https://community.fortinet.com/t5/Support-Forum/Moving-Policies-up-or-down/m-p/159611 CLI が楽かと思います。
185 :anonymous@fusianasan :2023/04/28(金) 22:30:37.93 ID:3jx4TCOu.net >>184 ありがとうございました。 助かります。
186 :anonymous@fusianasan :2023/05/10(水) 22:19:39.53 ID:pQtbIAXB.net >>182 公式のドキュメントを参考にしてみてください https://docs.fortinet.com/document/fortigate/7.2.4/administration-guide/102264/configuring-an-ldap-server
187 :名無し :2023/06/13(火) 19:23:33.27 ID:???.net 脆弱性出過ぎ。 えげつない値上げもしてるし、どうなってんだ。
188 :anonymous@fusianasan :2023/06/14(水) 21:15:02.18 ID:???.net >>187 SSL-VPNの脆弱性を1年以内に2回とかあり得んよね
189 :anonymous@fusianasan :2023/06/14(水) 23:53:11.41 ID:???.net こんなに脆弱性の発表やファームアップが頻繁にあるUTMが他にあるだろうか。 それだけ売れてんだろうなぁ
190 :anonymous@fusianasan :2023/06/15(木) 03:21:05.44 ID:VEyYrxHM.net JuniperのSSGシリーズは最悪の糞だったな… 3分おきにリブートを繰り返すようになるhotfixリリースしてたぞ。
191 :anonymous@fusianasan :2023/06/15(木) 16:06:46.31 ID:4eKwdzWv.net SSGかわいくて好きだったなぁ
192 :anonymous@fusianasan :2023/06/16(金) 10:24:05.53 ID:1t5yiTjk.net 売るために機能盛りすぎて自爆してるイメージ。
193 :anonymous@fusianasan :2023/06/17(土) 18:04:53.24 ID:???.net 作り込みが色々と浅いのか特定環境だけ不可解な現象起きることがあるイメージ。 保守ベンダーに聞いても「ウチでは動くのでおま環です」みたいな。
194 :anonymous@fusianasan :2023/06/20(火) 14:16:51.11 ID:cMgfcOJA.net 初めまして。 教えて下さい。社内ADサーバ撤去することになって、fortigateでDNSサーバをやらせることになりました。 一部サーバが社内に残るので、ホスト名で名前解決できるようにしたいのですが、どのように設定したら良いのでしょうか?fortigateのDNSはGoogleを向いているので、クライアントはインターネットに出られる状態です。 よろしくお願いします。
195 :名無し :2023/06/20(火) 17:01:39.86 ID:???.net DNSデータベース機能?
196 :sage :2023/06/20(火) 17:30:29.12 ID:I8s4IbbR.net https://docs.fortinet.com/document/fortigate/7.4.0/administration-guide/960561/fortigate-dns-server この辺参考に試してみてはいかがでしょうか
197 :anonymous@fusianasan :2023/06/20(火) 22:43:07.76 ID:ZgTq5DGc.net ありがとうございます。本当にネットの情報が少なくて困っているので助かります。 明日DNSデータベース試してみますが、以前試した時にうまく動作しなかったんですよね… 基本インターフェースはシステム設定に転送しているので、そのせいかと思ってます。
198 :sage :2023/06/22(木) 21:15:53.69 ID:zsUB8mDY.net >>197 どのような構成なのかは良くわかりませんが、シンプルな構成であれば 特に問題はなく使えています。 実運用前に、最小構成でやりたいことができるのか確認してみると 良いかと思います。
199 :anonymous@fusianasan :2023/06/23(金) 18:02:04.31 ID:XrZ0/Ks5.net >>198 ありがとうございます。 FG配下にオンプレwinサーバ等のサーバがいます。それらのサーバ名を指定してアクセスする場合にDNSサーバが必要といった形になります。DNSデータベースを利用する場合のゾーンのドメイン名、DNSサーバのホスト名は何記載したら良いのでしょうか? 購入元のサポートからは教えてもらえなくて、本当に困ってます、、、
200 :sage :2023/06/24(土) 12:16:07.48 ID:hCcLzpwM.net >>199 まずドキュメントを紹介されているのですから、ドキュメントを読んで試してみてはと思います。 その上で、「こう動くと思うのだけど、異なる結果になる」と言う情報をパケットキャプチャなどの情報と共に相談いただければ、識者からの回答が得られるかもしません。 198 さんの機能やプロトコルについての理解度もわからないので、さすがに手取り足取りの指南は厳しいと思いますよ。
201 :anonymous@fusianasan :2023/07/05(水) 01:28:04.56 ID:OfNqcdcZ.net ipsec VPNで接続元を絞ることって出来ますか? 設定してる限りできなそうですけど
202 :名無し :2023/07/05(水) 20:01:58.28 ID:???.net >>201 グローバルなら出来ると思うけど。
203 :anonymous@fusianasan :2023/07/05(水) 21:29:12.90 ID:u/YhkDd9.net >>201 ttps://milestone-of-se.nesuke.com/product/fortigate/secure-ipsec-vpn-config-sample/ これ見て頑張れ ところでChMateからもJaneStyleから書き込めないのは俺環?
204 :anonymous@fusianasan :2023/07/08(土) 11:43:33.58 ID:???.net FortigateってMTUを明示的に指定するの常識だったりします?
205 :anonymous@fusianasan :2023/07/11(火) 09:34:46.96 ID:???.net どこのMTU?というのも変な確認か
206 :anonymous@fusianasan :2023/07/11(火) 14:34:21.71 ID:h1PXUrpm.net L3機器なら指定するほうが無難
207 :anonymous@fusianasan :2023/07/11(火) 14:34:23.73 ID:h1PXUrpm.net L3機器なら指定するほうが無難
208 :anonymous@fusianasan :2023/07/13(木) 10:50:56.51 ID:???.net gre張るとかアプリケーションサーバの前にあるLBやFWならともかくL3機器でMTUを態々明示的に設定するなんてあまり聞かないが どこがどう無難なんだ
209 :anonymous@fusianasan :2023/08/20(日) 07:46:04.45 ID:XeIjwe0K.net REVELATION/ IN THE SAME BOAT グラノード広島(granode hiroshima) 大和ハウス工業(daiwa house group) シーレックス(seerex) テイケイ西日本(teikei west japan) 裏社会(underworld) 広島県警察(hiroshima prefectural police) 公安警察(security police) 広島地方検察庁(hiroshima district public prosecutors office) 草津病院(kusatsu hospital) 岡田外科医院(okada surgical clinic)
210 :anonymous@fusianasan :2023/09/26(火) 12:03:06.13 ID:???.net 個人でFortigateを初めて導入する場合に、ヤフオクとかの複数年度ライセンス付きの安い物かって 何が出来て、何が出来ないか?確認するのは、お金の無駄ですか? 最近は、Fortigateの情報上げてるサイトも多くなって来たので、独学で使って見たいのです
211 :あの芋さん :2023/09/26(火) 12:27:54.39 ID:???.net いいと思う 少なくともおれはそうした
212 :anonymous@fusianasan :2023/09/26(火) 19:37:06.81 ID:???.net >>210 自分もそれで覚えた。 対向でVPNはったりするテストできるように二台あったほうが楽しめる。 仮想のfortiが無料で使えるから仮想基盤の環境が用意できるならそういうので覚えるのもよいかも。
213 :anonymous@fusianasan :2023/09/26(火) 20:15:11.17 ID:???.net >>211-212 返答有難う、早速ヤフオクで良さそうな物を購入してみます >仮想のfortiが無料で使えるから仮想基盤の環境が用意できるならそういうので覚えるのもよいかも。 これは、KVMやVMwareを動作させているサーバーがあればOKってことですか?
214 :anonymous@fusianasan :2023/09/26(火) 21:34:58.73 ID:???.net VM,前はかなり遊べたけど7.xなってだいぶ制限厳しくなってたような Forti全体的にエンプラ志向なってる気がする
215 :anonymous@fusianasan :2023/09/26(火) 21:40:52.68 ID:???.net >>212 >仮想のfortiが無料で使える これ詳しく バーチャルアプライアンス無料とか初耳猫耳
216 :anonymous@fusianasan :2023/09/27(水) 08:05:54.84 ID:???.net >>213 >>215 fortigate vm評価版とかでググれば情報でてくるよ。 6系は検証期間15日、7系は期限なくなったけど機能制限が増えたと思う。 ESXiでもhyper-vでも、 eve-ng上で動かせたから多分KVMでもいけるんじゃないかな。
217 :anonymous@fusianasan :2023/09/27(水) 08:58:40.95 ID:???.net >>216 教えてくれて有難う
218 :anonymous@fusianasan :2023/09/27(水) 22:54:05.47 ID:???.net Fortnite Fortinet 見間違える・・・
219 :anonymous@fusianasan :2023/09/28(木) 19:44:41.30 ID:???.net 眼科行けよ?
220 :anonymous@fusianasan :2023/09/28(木) 22:10:22.75 ID:???.net Fortigate 放置ゲート 見間違える・・・
221 :anonymous@fusianasan :2023/09/29(金) 23:13:04.05 ID:???.net >>212 型番はいくつがおすすめ?
222 :anonymous@fusianasan :2023/09/30(土) 06:48:33.93 ID:???.net 今なら60Eかな。まだ最新ファーム提供されてるっぽいし。
223 :anonymous@fusianasan :2023/11/09(木) 21:47:17.97 ID:???.net 中古で買った場合ってユーザー登録 というか前の所有者からの変更登録?できるのかな・・・
224 :anonymous@fusianasan :2023/11/14(火) 13:13:23.93 ID:???.net 入手したけど基本設定が分からん・・・UIクセ強すぎぃ
225 :anonymous@fusianasan :2023/11/14(火) 15:14:34.75 ID:???.net それは今まで何触ってたかによるな。 Fortiはレガシーなuiだと思うけど。
226 :anonymous@fusianasan :2023/11/16(木) 15:21:00.58 ID:???.net fortigateのECMPについて聞きたいのですが(デフォルトのソースベースの場合) 等コストのデフォルトルートが2つある状態では 最初のセッションはどのようにしてルートが決まるのでしょうか? また最初のセッションがデフォルトルートAに決まったとして 別のソースからのセッションが来た場合のベストパスの決定はどう判断しているのでしょうか?ラウンドロビン方式?
227 :anonymous@fusianasan :2023/11/16(木) 17:21:24.74 ID:???.net >>226 デフォルト設定なら送信元ipじゃないかな。 https://docs.fortinet.com/document/fortigate/6.2.15/cookbook/25967/equal-cost-multi-path
228 :anonymous@fusianasan :2023/11/16(木) 18:17:16.14 ID:???.net 答えになってねぇ 俺も知らんから答えらんないけど
229 :anonymous@fusianasan :2023/11/17(金) 13:49:50.63 ID:???.net >>224 CLIじゃないと設定できない項目もあるよ
230 :anonymous@fusianasan :2023/11/18(土) 00:56:25.24 ID:???.net Webフィルタプロファイルを2つ作って両方適用させることってできますか? 例えばこんな感じに Webフィルタプロファイル1つ目:FortiGuardカテゴリベースのフィルタ(ブロック) Webフィルタプロファイル2つ目:スタティックURLフィルタ(ブロック)
231 :anonymous@fusianasan :2023/11/18(土) 17:40:30.54 ID:???.net >>226 226です。 Traffic is divided equally between the interfaces. こう書いてあるので均等に分散かと。 答えになってますか?
232 :anonymous@fusianasan :2023/11/18(土) 18:25:10.09 ID:???.net >>230 プロファイルを分ける理由がわからないけど、同じプロファイルだとダメですか?
233 :anonymous@fusianasan :2023/11/19(日) 18:06:08.27 ID:???.net >>232 分けたいんです
234 :anonymous@fusianasan :2023/11/20(月) 12:57:09.19 ID:???.net >>233 無理かも。 Webレーティングオーバーライド設定も想定してるのとは違いますよね。
235 :anonymous@fusianasan :2023/11/23(木) 12:13:01.87 ID:???.net FWポリシーのログで許可は記録したくないんですがどこを設定すればいいですか? 拒否だけログ記録したいです
236 :anonymous@fusianasan :2023/11/23(木) 15:24:01.78 ID:???.net デフォが暗黙以外の明示拒否だけだったような あえて記録するようにしたんでは?
237 :anonymous@fusianasan :2023/11/23(木) 15:30:16.76 ID:???.net >>236 デフォルトで許可が記録されてしまうんです 拒否だけ記録する設定を知りたいです
238 :anonymous@fusianasan :2023/11/23(木) 19:38:03.01 ID:???.net 許可するポリシーの設定でログをoffにすれば良い
239 :anonymous@fusianasan :2023/11/23(木) 19:39:02.60 ID:???.net >>238 そこはオフにしてあります・・・
240 :anonymous@fusianasan :2023/11/23(木) 20:29:09.41 ID:???.net 面倒だろうがDneyポリシー作るしかないと思うぞそれ Dneyポリシーなんてほぼ作った事ないから許可トラフィックログも記録されるかは覚えがないが
241 :anonymous@fusianasan :2023/11/23(木) 20:34:56.26 ID:???.net >>240 言ってる意味が分かりません・・・
242 :anonymous@fusianasan :2023/11/23(木) 23:15:36.45 ID:???.net >>239 コマンドで 当該ポリシーのgetの出力貼ってみてよ。
243 :anonymous@fusianasan :2023/11/23(木) 23:45:13.33 ID:???.net >>242 特に変なところはないようですが・・・ set logtraffic disable
244 :anonymous@fusianasan :2023/11/24(金) 00:06:48.81 ID:???.net set logtraffic disableにして再起動したら許可は記録されなくなりました ・・・が、拒否も記録されなくなりました(涙
245 :anonymous@fusianasan :2023/11/24(金) 00:24:18.67 ID:???.net 知らんがな
246 :anonymous@fusianasan :2023/11/24(金) 01:07:05.96 ID:???.net Palo Altoの方がいいんだろうか
247 :anonymous@fusianasan :2023/11/24(金) 02:37:48.99 ID:???.net Fortiすら扱えない奴がパロ使えるわけねーだろハゲ
248 :anonymous@fusianasan :2023/11/24(金) 13:46:30.54 ID:???.net >>241 何がわからないの?
249 :anonymous@fusianasan :2023/11/25(土) 14:32:34.29 ID:???.net 何がわからないかわからないに決まってんだろヴォケ
250 :anonymous@fusianasan :2023/11/25(土) 14:47:32.84 ID:???.net 何がわからないかも分からない無能が偉そうな態度取ってんなよゴミクズ そんな奴がFW触ってるとか怖すぎるだろ
251 :anonymous@fusianasan :2023/11/25(土) 15:34:39.03 ID:???.net Denyなら分かるんですが Dneyは分からないです
252 :anonymous@fusianasan :2023/11/25(土) 15:45:24.27 ID:???.net 思い出したが先輩がDenyをデニーって発音しててワロタ
253 :anonymous@fusianasan :2023/11/25(土) 16:09:29.17 ID:???.net デニーズ勤務だったんでしょ
254 :anonymous@fusianasan :2023/11/25(土) 16:20:14.76 ID:???.net >>251 マジモンのアスペじゃんこわ
255 :248 :2023/11/25(土) 22:02:24.99 ID:???.net >>250 第三者の横槍って読み取れんかったか、すまんかったな。 ただ、FWの管理者の大半こんなもんやで?
256 :anonymous@fusianasan :2023/11/26(日) 00:47:38.28 ID:???.net ?何この人笑
257 :anonymous@fusianasan :2023/11/26(日) 18:39:35.02 ID:???.net >>251 教えて貰う立場なのに揚げ足取りか… それは教えてもらえんと思うよ
258 :anonymous@fusianasan :2023/11/26(日) 20:19:36.25 ID:???.net >>255 へー大抵のFW管理者って関係ないとこに横槍入れて茶々入れするゴミなんだな笑 開き直ってんなやキッショいわー
259 :anonymous@fusianasan :2023/11/26(日) 22:07:15.62 ID:???.net きっしょw
260 :anonymous@fusianasan :2023/11/26(日) 22:09:58.98 ID:???.net やはり底辺業界のレベルなんてこんなもんだな 幼稚な人間性の奴が多すぎる
261 :anonymous@fusianasan :2023/11/26(日) 22:12:42.37 ID:???.net >>257 Dneyポリシー追加しなくても、いつのまにか拒否だけ記録されるようになってました
262 :anonymous@fusianasan :2023/11/27(月) 02:59:39.83 ID:???.net 暗黙ポリシーのログと勘違いしてそ(笑)
263 :anonymous@fusianasan :2023/11/27(月) 18:41:58.45 ID:???.net >>262 ポリシー名が表示されているので勘違いではないと思います Fortigateスレってレベル低いの何でですかね・・・
264 :anonymous@fusianasan :2023/11/27(月) 19:58:40.51 ID:???.net 質問者のレベルに合わせて解答者のレベルも相応になるんやで
265 :anonymous@fusianasan :2023/11/27(月) 20:04:36.67 ID:???.net >>264 中高度な質問はレスが付きません
266 :anonymous@fusianasan :2023/11/27(月) 20:08:44.32 ID:???.net >>226 に誰も答えられないスレ
267 :anonymous@fusianasan :2023/11/27(月) 23:40:45.21 ID:???.net ここはど素人の質問にマウントとるスレだぞ。
268 :anonymous@fusianasan :2023/12/02(土) 12:18:05.34 ID:???.net ダメダメですね~
66 KB
新着レスの表示
掲示板に戻る
全部
前100
次100
最新50
read.cgi ver 2014.07.20.01.SC 2014/07/20 D ★
本文 スレッドタイトル 投稿者