2ちゃんねる スマホ用 ■掲示板に戻る■ 全部 1- 最新50    

Fortigateについて語ろう6

1 :anonymous@fusianasan:2022/11/02(水) 10:34:32.42 ID:SrkPhshn.net
FortiGateシリーズは、ネットワーク全体を総合的に保護するハードウェアベースの
ネットワーク・プロテクション・ゲートウェイ(NPG)です。
Fortinet社独自開発のABACASTM(Accelerated Behavior and Content Analysis System)
テクノロジと独自のASIC(FortiAsic)ベースアーキテクチャを採用した、次世代
ネットワークプロテクション・アプライアンスです。
ファイアウォール、不正侵入、VPN、トラフィックシェーピングなどネットワークレベル
のサービスに加え、ウィルスプロテクションやコンテンツフィルタリングなどの
アプリケーションレベルのサービス機能も搭載しており、効果的にネットワークを保護します。
FortiGateは、4種類のICSA認定取得をしています。
アンチウイルス、ファイアウォール、IPSec、IDS

セールスポイントは非常に魅力的ですばらしいのですが、
非常に個性的な製品ですので、皆さん助け合って安定稼働に努めましょう。

フォーティネットジャパン
http://www.fortinet.co.jp/
FortiProtect Center
http://www.fortinet.com/FortiProtectCenter/

質問する際には必ずFortiGateの機種、FortiOSのバージョン、 ネットワーク構成・環境を報告してください。

Fortigateについて語ろう5
https://mao.5ch.net/test/read.cgi/network/1593878325/

2 :anonymous@fusianasan:2022/11/15(火) 04:54:13.01 ID:???.net
アラートメールってSQLインジェクション検知とかDDos攻撃検知とかも知らせてくれるの?

3 :anonymous@fusianasan:2022/11/18(金) 16:02:05.55 ID:???.net
PaloAlto PA-220の電源なし動作未確認を買いました。
PA-220が一台あったので電源アダプタをつなぎました。
背面のランプはつきました。でも、全面のPWRも何も、何も。

待てど暮せどランプも点かず…ジャンク品として流すことにしました (T_T)

4 :anonymous@fusianasan:2022/11/20(日) 04:18:48.09 ID:???.net
>>2
よく思うんだけど、Dos攻撃知ってどーするの?サービス再開出来る手段とかある?

5 :名無し:2022/11/20(日) 11:36:13.87 ID:???.net
Dosポリシーで落ちる前にしきい値で遮断するのでは?
だだ、全ポリシー有効にしてログを出すようにするとアラートメールが止まらなくなる。

6 :名無し:2022/11/29(火) 11:59:58.49 ID:pKfmugSr.net
FortiCloudの無償版提供もそろそろ部分的に終わる兆しがあるなぁ。
FortiOSも最新にすれば良い訳ではない。
そもそも定義体があがってなんぼだから。
なので、Upするとベース定義体のタイムスタンプがやばいのよね。
V7.2.x V7.0.xはその辺改善してるけど。

7 :anonymous@fusianasan:2022/11/29(火) 12:35:22.38 ID:???.net
OSも定義も最新にしないと
OSバグやセキュリティホールは定義では治らない

8 :名無し:2022/11/29(火) 13:53:25.99 ID:sK66+3I6.net
>7
まぁいまだに5.4がいるわけですよ。
6.x系も多いけど。

9 :anonymous@fusianasan:2022/11/29(火) 15:38:13.59 ID:???.net
ランサムウエアの餌食

10 :anonymous@fusianasan:2022/11/29(火) 20:52:43.22 ID:???.net
今安心なのは6.4と7だけだな
セキュリティ対策製品で1部のセキュリティホールにしか対応できないバージョンに意味なし
https://csps.hitachi-solutions.co.jp/fortinet/end_of_support.html

11 :anonymous@fusianasan:2022/12/01(木) 21:12:08.17 ID:WZRJF9Vx.net
FortiSwitchのFortilinkが、いまいちしっくりこない。。。
なんだろう、スタンドアロンで動かせばいいんじゃないかと思ってしまう自分がいる。

12 :anonymous@fusianasan:2022/12/03(土) 12:17:07.49 ID:???.net
最新と言っても7.2系入れちゃう奴はバグに苦しんでも自業自得だと思う

13 :名無し:2022/12/03(土) 16:26:26.28 ID:???.net
最新のメジャーバージョンは、修正されるまでしばらくお試しですよね。

14 :anonymous@fusianasan:2022/12/04(日) 00:17:11.69 ID:???.net
心配しなくても日本の代理店は古くさいバージョンしかサポートしない

15 :.:2022/12/04(日) 07:53:32.66 ID:???.net
7.2でmaturity firmware levels入ったから
メインツリーで実験すんのやめたw

16 :unknown:2022/12/13(火) 11:13:39.08 ID:ZR+35FWb.net
おいおいおいおい?!!!!!
cve-2022-42475

17 :anonymous@fusianasan:2022/12/13(火) 16:15:35.91 ID:???.net
―――こうしてForigateを使用している百数十社の会社の顧客データは盗まれ、
社長は株価ダウンを恐れて隠蔽をし、顧客データは全て密かに中◯に高値で独占売買され、
サイバー部隊の日本人対策用データベースに保存されていくのだった。おわり

18 :anonymous@fusianasan:2022/12/13(火) 19:57:10.44 ID:vChbwZz9.net
不具合多くね?

19 :anonymous@fusianasan:2022/12/14(水) 08:23:57.51 ID:???.net
公式でSSLVPN機能使ってなければ大丈夫ってアナウンスして欲しいな

20 :anonymous@fusianasan:2022/12/14(水) 08:40:12.99 ID:???.net
実は設定をoffにしてもポートが開いていて攻撃を受けるというオチだったりして

21 :anonymous@fusianasan:2022/12/14(水) 12:39:54.71 ID:9/kq+Y4d.net
>>19
ソレは書き加えられた

22 :anonymous@fusianasan:2022/12/14(水) 14:19:04.86 ID:???.net
60Dは解決不能?

23 :anonymous@fusianasan:2022/12/14(水) 14:42:45.83 ID:???.net
こんな危なっかしいVPNじゃなくてIPA純正のシン・テレワークシステムでも使っとけ

24 :anonymous@fusianasan:2022/12/14(水) 15:18:18.63 ID:???.net
そだねー

25 :anonymous@fusianasan:2022/12/14(水) 15:19:35.88 ID:???.net
ユーザー向けにFORTIGATEのSSLVPN使ってる会社は無いだろうけど
管理者とか保守会社がメンテナンス用とかバックアップ用とかで結構使ってたりするんだよな~

26 :anonymous@fusianasan:2022/12/14(水) 17:08:56.22 ID:???.net
>>19
公式に対策としてDisable SSL-VPNとあるけど

27 :anonymous@fusianasan:2022/12/15(木) 12:33:01.94 ID:???.net
>>26
接続元絞るだけじゃ駄目なのかな?

28 :anonymous@fusianasan:2022/12/15(木) 12:47:24.52 ID:???.net
バグ情報見てないからしらんけどEAP-TLSみたいなんて出来ないん?
それでダメならforti自体がアカンことになると思うんだけど

29 :名無し:2022/12/15(木) 13:08:59.30 ID:???.net
>>22
バージョン6.0系の修正が出る可能性あるみたいです。

30 :名無し:2022/12/15(木) 13:29:20.53 ID:???.net
CVE-2022-42475関連。参考まで

SSL-VPNの無効化方法。
https://community.fortinet.com/t5/FortiGate/Technical-Tip-nbsp-How-to-disable-SSL-VPN-functionality-on/ta-p/230801

怪しいログの確認コマンド。
https://community.fortinet.com/t5/FortiGate/PSIRT-Note-FG-IR-22-398-FortiOS-heap-based-buffer-overflow-in/ta-p/239420


攻撃を受けたかファイルの確認方法。
作成されてると不味いやつ。
https://community.fortinet.com/t5/Support-Forum/FortiOS-6-2-9-list-files-in-filesystem-CVE-2022-42475-FG-IR-22/td-p/239477

https://community.fortinet.com/t5/Support-Forum/Checking-the-FortiGate-OS-Linux-file-system/td-p/239622

31 :anonymous@fusianasan:2022/12/16(金) 00:17:49.66 ID:???.net
>>25
使ってるわヤバ

32 :名無し:2022/12/16(金) 15:47:17.49 ID:???.net
>>28
認証なしでリモートからコマンド可能なので証明書は関係ないです。
しかも昔のバージョン5からなので致命的

33 :anonymous@fusianasan:2022/12/16(金) 19:05:33.28 ID:???.net
6.0.16出たね

34 :anonymous@fusianasan:2022/12/16(金) 19:44:29.80 ID:???.net
>>32
言葉足らずだったわ
VPNを証明書認証でやればええんちゃう?って言いたかった
出来るのかしらんけど

35 :anonymous@fusianasan:2022/12/16(金) 22:50:33.06 ID:???.net
>>34
認証無しでも不正操作される問題に認証で対策するのか?

36 :anonymous@fusianasan:2022/12/17(土) 10:34:32.33 ID:???.net
アクセス元制限では対応できないのだろうか?

37 :anonymous@fusianasan:2022/12/20(火) 15:21:00.94 ID:u2xeDD4I.net
SD-WAN機能触ってみたけどSD-WANとは名ばかりだな

38 :anonymous@fusianasan:2022/12/20(火) 18:42:53.99 ID:???.net
そもそもファイアウォール自体がSDと言えなくもない。

39 :anonymous@fusianasan:2022/12/21(水) 01:25:11.61 ID:???.net
普通のSD-WANベンダ製品が売れてるって話もあんまり聞かない
ブレイクアウト需要は多いけど

40 :anonymous@fusianasan:2023/01/02(月) 01:04:21.52 ID:MBSuKMwo.net
PaloaltoVM試用版って30日となっているけどいつから30日ですか?
インストールし直せば何度も使えますか?

41 :anonymous@fusianasan:2023/01/04(水) 23:02:53.00 ID:9r7+8v3h.net
FortiGateで0% nice ってなっているんですけど、ここのniceはシステム以外の優先度の
低いプロセスで使っているCPU使用率を表示させているのでしょうか?

# get system performance status
CPU states: 0% user 0% system 0% nice 100% idle 0% iowait 0% irq 0% softirq

42 :anonymous@fusianasan:2023/01/04(水) 23:27:26.09 ID:???.net
https://scoutapm.com/blog/understanding-linuxs-cpu-stats-ja

43 :anonymous@fusianasan:2023/01/04(水) 23:46:20.69 ID:9r7+8v3h.net
nice値によって優先度が変わるというのは理解したように思えるのですが、
よく分からない。。。。

44 :anonymous@fusianasan:2023/01/05(木) 00:08:14.71 ID:???.net
基本的に0%じゃないのかね

45 :名無し:2023/01/05(木) 08:44:22.78 ID:???.net
>>41
おそらくその認識かと思います。
公式見るとnice100%だけだとFortiGateの動作が停止してるようです。

https://docs.fortinet.com/document/fortigate/6.4.2/administration-guide/152469/troubleshooting-cpu-and-network-resources


Troubleshooting CPU and network resources
FortiGate has stopped working

If the FortiGate has stopped working, the first line of the output will look similar to this:

CPU states: 0% user 0% system 0% nice 100% idle

46 :anonymous@fusianasan:2023/01/05(木) 09:11:32.92 ID:???.net
idleが100%かと思いましたが

47 :anonymous@ 122-100-25-193m5.mineo.jp:2023/01/14(土) 17:35:41.20 ID:PBvWaqVGx
JÅLだのANAだのテ□リストにテ□資金供給して,騷音に温室効果カ゛スにコ囗ナにとまき散らさせて,
氣候変動させて海水温上昇させてかつてない量の水蒸氣を発生させて,曰本どころか世界中で土砂崩れに洪水,
暴風,大雪.猛暑、干は゛つ,森林火災にと災害連發させて殺された人々の数は核爆弾の比し゛ゃない現実すら理解できす゛.
巻き添え根性丸出しで多くの住民の生命と財産を破壊するのもいい加減にしとけ>被爆者給付その他の利権団体被団協
てめえらか゛石炭火カ發電倍増させる以上にヰカレたテ□行為やってるクソ航空機に石油無駄に燃やさせて工ネ価格暴騰させてるせいて゛
一部の賄賂癒着業者とともに國民の生命と財産を破壞することで利権倍増して私腹を肥やすテロリスト自民公明に
原發稼働による第ニのフクシマ被爆利権を作るロ実を与えてる現実を少しは理解しろやホ゛ケ
非人道的な兵器ってのは、地球破壊して災害連発させて核とは桁違いの生命と財産を破壊し続けてるクソ航空機のことをいうんた゛ハケ゛

創価学會員は,何百萬人も殺傷して損害を与えて私腹を肥やし続けて逮捕者まで出てる世界最惡の殺人腐敗組織公明党を
池田センセ‐がロをきけて容認するとか本氣で思ってるとしたら侮辱にもほと゛があるぞ!
https://i.imgur.com/hnli1ga.jpeg

48 :名無し:2023/01/05(木) 10:28:54.76 ID:???.net
>>46
idleの間違いですね。お恥ずかしい。
指摘ありがとうございます。

49 :anonymous@fusianasan:2023/01/05(木) 15:35:11.82 ID:???.net
niceじゃないす

50 :anonymous@fusianasan:2023/01/05(木) 18:23:09.26 ID:9jqhwvzr.net
niceのパーセントが上がってる時って、ナイスじゃない事が
起きてるってことでOK?
優先度が何かしらで変わるって事は、優先度があがるようにCPU割り当ててる
感じか。

51 :anonymous@fusianasan:2023/01/06(金) 23:38:10.79 ID:kqpu8M8o.net
Fortinet JapanのSEさんって、めっちゃメール回答とか安心感ありますわ。
なんだろう、努力した時間の違いなのか?
ああいう、カッコいいSEになりたい。

52 :anonymous@fusianasan:2023/01/07(土) 13:13:36.01 ID:???.net
代理店に問い合わせろ
という回答に安心感?

53 :anonymous@fusianasan:2023/01/07(土) 21:39:28.55 ID:???.net
保守対応に該当する問い合わせは保守契約(保守体制フロー)に基づいて代理店に問い合わせてもらうしか無い
これはどこのメーカーも基本的には同じ

54 :anonymous@fusianasan:2023/01/07(土) 21:55:07.68 ID:???.net
>>53
ほとんどのメーカーは直接やってるイメージ

55 :anonymous@fusianasan:2023/01/07(土) 22:06:49.55 ID:???.net
>>54
障害対応のチケットオープンとかエンドユーザが直接メーカとやるかね
代理店、SIerに払ってる保守費は一体どこに消えていくのか

56 :anonymous@fusianasan:2023/01/07(土) 22:09:37.37 ID:???.net
エンドユーザとメーカーで直接保守契約を結ぶことってダイレクトサポート(有償サポート)くらいかなぁ

57 :anonymous@fusianasan:2023/01/07(土) 22:20:32.48 ID:???.net
>>54
どこのメーカー?

58 :anonymous@fusianasan:2023/01/08(日) 09:14:25.46 ID:???.net
>>57
コンシューマー向けw

59 :anonymous@fusianasan:2023/01/08(日) 10:32:27.49 ID:???.net
コンシューマ向けとかスレチもいいとこ

60 :anonymous@fusianasan:2023/01/08(日) 10:46:37.16 ID:???.net
視野が狭い

61 :hoge:2023/01/21(土) 16:08:28.85 ID:???.net
例の病院のVPNでのランサムウェア被害って
使ってるの知ってて連絡の無い保守契約してる業者
イー加減にしろ

62 :anonymous@fusianasan:2023/01/21(土) 16:20:26.29 ID:???.net
保守業者から?なんの連絡が来るの?

63 :anonymous@fusianasan:2023/01/21(土) 17:41:17.84 ID:???.net
保守ベンダから連絡しないでしよう。
保守ベンダは、故障や技術サポートの窓口だから脆弱性情報は聞かれない限り、情報提供もしない。                
構築ベンダにセキュリティサポート費用とか払って脆弱性情報貰うか、機器導入してる組織のセキュリティ担当かCERT担当がアンテナたて日々脆弱性情報集めるしかない。         
                                             
と言っても、IPAのサイトかJPCERTのサイトか、メーカーサイト位しか確認しないけどね。

64 :anonymous@fusianasan:2023/01/21(土) 20:34:31.78 ID:WH/kJP7o.net
確認して対処できる人がいるならそもそもそんなことになってないねんな
ファルコンとかガチのハッカー雇ってるとこのサービス使えばええんや
じぇーくらーととかいううんちに頼るのは悪手

65 :anonymous@fusianasan:2023/01/22(日) 05:35:26.36 ID:???.net
test

66 :anonymous@fusianasan:2023/01/22(日) 05:39:18.27 ID:???.net
RSSとかでPSIRT情報来るからそういうのをIT/セキュリティ管理者は見ておかないといけないよねってだけの話なんだけど
全部丸投げしてるからねぇ

67 :anonymous@fusianasan:2023/01/22(日) 08:12:49.84 ID:???.net
自分の仕事と契約内容がわかってないんだろう

68 :anonymous@fusianasan:2023/01/22(日) 10:30:40.09 ID:???.net
保守ベンダーだって普通に連絡取る所多いだろ
ここで連絡取れないとような所は切られるからな
但し、ベンダーとの関係が悪かったり担当者に問題があったりすると別だが
病院系はヤバい担当者も居ると聞くからどっちが問題かはわからん

69 :anonymous@fusianasan:2023/01/22(日) 14:24:06.65 ID:???.net
影響のデカいセキュリティホールなんかは
メールで連絡してくれてもいいんしゃね?
とは思う。
ベストエフォートで。

70 :名無し:2023/01/22(日) 16:05:30.07 ID:???.net
fortiguard PSIRTアドバイザリを見ないの?

71 :anonymous@fusianasan:2023/01/22(日) 17:44:44.89 ID:???.net
>>69
Fortinet PSIRT notification mailで検索

72 :anonymous@fusianasan:2023/01/22(日) 19:41:09.20 ID:???.net
情シスがそんなん見るかよ
インフラなんて業者任せや

73 :anonymous@fusianasan:2023/01/22(日) 19:51:36.38 ID:xesKpOmK.net
あなた、怠惰ですねぇ

74 :anonymous@fusianasan:2023/01/22(日) 21:19:09.62 ID:???.net
騒ぐだけしかできない管理者様ばかり

75 :anonymous@fusianasan:2023/02/04(土) 02:26:02.33 ID:???.net
複数拠点でipsecVPN(アグレッシブモード)を行う時の設定をしてみたけど、このサイトでいうB拠点とC拠点の通信ができない(pingが通らない)のは仕様なんだろうか
scskのサポート担当に尋ねたらハブアンドスポークでやってくれと言われたが…
私はできるか出来ないかを聞いたんだがなぁ
普通のciscoルータやアライドルータだとできるのに
https://tec-world.networld.co.jp/faq/show/10151

76 :anonymous@fusianasan:2023/02/04(土) 02:58:23.63 ID:???.net
debug flow取って調査すればいい

77 :名無し:2023/02/04(土) 07:26:06.90 ID:???.net
>>75
A拠点でB、C向けのIPSEC張れてるなら、B-C間ポリシーをA拠点に入れれば通信通りません?

78 :anonymous@fusianasan:2023/02/04(土) 08:54:22.99 ID:???.net
>>77
ポリシーもあるけどB,C拠点のIPSecVPN Phase2設定内の送信先アドレスに双方拠点のアドレス入れる必要もあるね
自分の組んだ環境だと拠点間通信も問題ないわ
A拠点もBとの接続設定の送信元アドレスにCのアドレスを含める必要はある

79 :anonymous@fusianasan:2023/02/04(土) 09:57:16.45 ID:???.net
>>77
>>78
レスありがとうございます
・A拠点にBC間のポリシー設定済み
・B拠点のポリシーに送信元C拠点のNWアドレスを設定 その逆も然り
・AにおけるAB間のIPsecのphase2の設定の送信元アドレスにC拠点のNWアドレス(AC間のIPsecの設定時に利用しているもの)の設定 BにおけるAB間のIPsecの設定の宛先アドレスにC拠点を設定してます (C拠点の場合も同様に設定してます)

時間があればwebGUIのスクショ載せます

納期近かったから、結局ハブアンドスポークで構築して納品したんですけど

80 :anonymous@fusianasan:2023/02/04(土) 10:00:45.21 ID:???.net
ちなみに同じ設定で、どこの拠点もグローバルIPが固定だと通信できちゃいました 同じようにメッシュ型じゃなくA拠点中心のスター型で

後出しになって素人丸出しだけれどFortigate60f ファーム7.2.3です

81 :anonymous@fusianasan:2023/02/04(土) 10:03:02.18 ID:???.net
fortigateのddns設定つかえば良かったかもしれんが、これはやってないです

82 :名無し:2023/02/04(土) 12:20:02.47 ID:???.net
ddns使わずに動的グローバルアドレス間のIPSECは出来ないのでは?

83 :anonymous@fusianasan:2023/02/04(土) 13:28:37.63 ID:???.net
導入業者がコレかよ

84 :anonymous@fusianasan:2023/02/04(土) 13:29:50.66 ID:???.net
そうだよ震えろ
日本のIT業界なんてこのレベルのが設計構築してんだ

85 :anonymous@fusianasan:2023/02/04(土) 17:03:00.13 ID:???.net
>>82
片側が静的IPならIPSecアグレッシブモード使えば拠点側は動的IPでもDDNSは要らない
VPNセッション開始が拠点側からになるだけで通信自体はほぼ変わらん

86 :anonymous@fusianasan:2023/02/04(土) 17:09:18.64 ID:???.net
動的グローバルアドレス間って書いてあるから

87 :anonymous@fusianasan:2023/02/04(土) 17:09:33.08 ID:???.net
v7.2系使ってる時点でFortigate素人感漂うな
質問してるNetWorldはまだサポートしてないんだからまともな技術サポートを受ける権利が無くなるから本番環境で使うとかアカン

88 :名無し:2023/02/04(土) 17:59:29.07 ID:???.net
>>85

81です。
B拠点(動的)-A拠点経由(静的)-C拠点(動的)なら仰る通りですが、B拠点(動的)--C拠点(動的)でIPSEC接続されたいように見えます。


>>87
サポートはscskみたいですね。
サポートも新しいバージョンはバグがある可能性が高い事は教えてくれないんですかね。

89 :anonymous@fusianasan:2023/02/04(土) 18:55:16.32 ID:???.net
逆にCiscoやアライドでどうやったら出来たんだろう

90 :anonymous@fusianasan:2023/02/04(土) 23:33:11.13 ID:???.net
>>84
設定も切り分けも出来ない人が金取って設定してるとか怖すぎるよね
どこもそういった人しか居ないんだけどさ

91 :anonymous@fusianasan:2023/02/04(土) 23:37:39.73 ID:???.net
>「私はできるか出来ないかを聞いたんだがなぁ」

このくらいのことを構築担当してる業者が訊くとかほんと終わってるのと
理解してない人って整理されて無くて何言ってるかわかんない質問投げてくるから回答する方も大変なんだよね

92 :anonymous@fusianasan:2023/02/05(日) 00:27:10.79 ID:???.net
>>75
おまえこの構築でおいくら貰ってんの?

93 :anonymous@fusianasan:2023/02/05(日) 01:28:47.95 ID:???.net
動的IP-動的IPでのIPsecVPN接続は可能だけど、1から説明しないと行けなさそうな感じなんで
おとなしくハブ&スポークでやってって提案されたってとこかな

94 :anonymous@fusianasan:2023/02/05(日) 11:42:47.95 ID:UPYe4qDT.net
S○SKの技術サポートって他社と比べてどんな感じなんでしょうか?
以前問い合わせしたときに技術レベルに疑問を感じることがあって…

95 :anonymous@fusianasan:2023/02/05(日) 11:51:37.37 ID:???.net
>>94
このシリーズには弱い印象

96 :anonymous@fusianasan:2023/02/05(日) 12:11:02.24 ID:???.net
どこの業者も構築や設定差ボートはしません
故障時のサポートです
って言われた経験ある
そう言わんと設定をサポート二丸投げする奴らが居るんだろうな

97 :anonymous@fusianasan:2023/02/05(日) 13:18:14.18 ID:???.net
「DDNS使えばいいですよ」って案内しても「DDNSってなんですか?」「どうやって設定するんですか?」ってくるのが見えてるからね

98 :anonymous@fusianasan:2023/02/05(日) 13:40:54.49 ID:UPYe4qDT.net
>>94
なるほど。そうっぽいですよね。

>>96
まぁ丸投げはダメでしょうね。
ただ故障サポートって言い切るのも少し違う気します(笑

99 :anonymous@fusianasan:2023/02/05(日) 13:43:29.63 ID:UPYe4qDT.net
>>98 の 1つめは >>95 様宛でした。
失礼しました。

100 :anonymous@fusianasan:2023/02/05(日) 16:43:17.04 ID:???.net
プロフェッショナルサービス契約すれば

101 :anonymous@fusianasan:2023/02/05(日) 18:00:33.45 ID:???.net
だいたいはお金(有償サポート or スキルのある人を雇う)で解決するんだよね

102 :anonymous@fusianasan:2023/02/05(日) 18:23:58.03 ID:???.net
まぁそもそも製品独特の設定方法だの仕様だのを外部の人間に把握してろってのがおかしな話なんだ
そんなのfortiだのciscoだのが自社で大規模な部隊持っとけって話だけど現実それが無理だからサポートがあるわけで

103 :anonymous@fusianasan:2023/02/05(日) 18:28:37.75 ID:???.net
SIerはそういったノウハウ/技術を提供することで顧客からお金をもらう体なんだけどね

104 :anonymous@fusianasan:2023/02/05(日) 18:31:26.45 ID:???.net
>>102
マニュアルとか読まなさそう

105 :anonymous@fusianasan:2023/02/05(日) 18:34:27.32 ID:???.net
>>103
違うが

106 :anonymous@fusianasan:2023/02/05(日) 18:38:50.62 ID:???.net
構築はできないけど構築費用は貰います的な

107 :anonymous@fusianasan:2023/02/05(日) 18:41:16.40 ID:???.net
顧客の要望を聴き取ってこういう設計のNWがありますよと提案し構築するのが仕事
ベンダー特有の技術を提供するわけではない

108 :anonymous@fusianasan:2023/02/05(日) 18:48:50.88 ID:???.net
>>104
製品の内部資料とか公開してんの?
それどこのメーカーよ?(笑)

109 :anonymous@fusianasan:2023/02/05(日) 18:51:15.93 ID:???.net
提案してる装置の設定を顧客の代わりに行ったり構築支援したりするのでそういった「技術」は提供してると思うよ
なので扱ってるベンダの装置の設定をある程度理解しておく必要はあるかと
「特有の技術」ってのが装置の設定のことを指してないと良いんだけど

110 :anonymous@fusianasan:2023/02/05(日) 19:01:08.72 ID:???.net
流石に一般技術的な話とかマニュアル見ればわかる設定とかの話ではないな
例えばつい先日あった話だが某Ciscoの証明書期限切れによるOSイメージダウンロード検証不可の事象だって
OSダウンロードでスタックしてる、証明書が原因らしいってのまではログでわかるかもしれないけど
じゃあ何で証明書で認証できてないのとか実はMICとは別の物理的に焼き込まれた証明書でしたーとかCiscoのアナウンスが無いとわからない事だったし

111 :anonymous@fusianasan:2023/02/05(日) 19:10:41.22 ID:???.net
>>110
特殊なものは資料も公開されてないからベンダ側で対処するしかないし、ベンダ側でも開発が調べないとわからなかったりするね
そういうのじゃなくて、受注していざ構築始めたら「実際に動かしたこと無いので設定よくわかりません」「一応設定してはみたけど期待どおりに動かないんです。なんでですか?」みたいなレベルの
業者様はちょっとご遠慮したいかなと思う

112 :anonymous@fusianasan:2023/02/05(日) 20:34:02.46 ID:???.net
>>107
コンサルですか?

113 :anonymous@fusianasan:2023/02/05(日) 21:51:41.13 ID:???.net
各ベンダ、製品ごとに装置の設定の仕方は異なるわけだから
そういうのがわかるのもベンダ特有の技術になるんかなと思った

114 :anonymous@fusianasan:2023/02/06(月) 01:18:29.83 ID:???.net
ベンダごとの製品の特徴を知らないと構築どころかコンサルも無理なんだよなぁ

115 :anonymous@fusianasan:2023/02/06(月) 02:13:34.09 ID:???.net
メーカじゃないから、そんなのわからなくても僕SIerだから悪くないもん!

って、主張するから子供と一緒と言われんじゃろ?わかる

116 :anonymous@fusianasan:2023/02/06(月) 03:12:10.60 ID:???.net
SIer様もBP様、SES様だったりで

117 :anonymous@fusianasan:2023/02/06(月) 03:20:12.14 ID:???.net
>>107
顧客の要望を聴き取って実現できるメーカの製品を選定/提案すると思ってましたが違うんですね
具体的な製品選定は誰がやるんでしょうね

118 :unknown:2023/02/06(月) 18:34:23.42 ID:gU1PsVxN.net
美桜ちゃんはトランジスタグラマー

119 :anonymous@fusianasan:2023/02/06(月) 22:08:56.04 ID:???.net
素人で申し訳なくこんな質問して怒られるかもしれませんが

60Fを利用しているのですが、
スタティックルートやファイヤーウォールポリシーの宛先にインターネットデータベースを使うと応答速度が低下する現象はあったりしますでしょうか。

120 :anonymous@fusianasan:2023/02/07(火) 00:03:43.59 ID:???.net
設定に問題がなければそういったことはありません

121 :anonymous@fusianasan:2023/02/07(火) 01:49:02.05 ID:BlNyCmIb.net
FortigateではASICにオフロード出来ると思いますが、ASICの負荷が高くなった場合は、
CPU処理になるのでしょうかね?
例えば、NTurboが100%になったら、オフロード出来ずCPU処理になるという考えで良いでしょうかね。

122 :anonymous@fusianasan:2023/02/07(火) 02:41:27.43 ID:???.net
しないんじゃない?

123 :anonymous@fusianasan:2023/02/07(火) 07:45:48.67 ID:???.net
>>120
ご回答ありがとうございました!
助かりました!

124 :anonymous@fusianasan:2023/02/08(水) 17:40:20.25 ID:???.net
ほのぼの

125 :anonymous@fusianasan:2023/02/17(金) 22:30:03.15 ID:???.net
FortiGate 60E (7.2.1)でのIPv6について質問です。

フレッツ光ネクスト回線+朝日ネットのv6契約にて下記のURLを参考に設定済みで、
Windows10/11、Android12/13は正常に外部とv6通信ができています。
https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-asahinet-v6connect-ipip.pdf

しかしiPhoneXS/SE2およびiPad mini4、macOS12/13だけ(要はApple製品)がv6で外部と通信できません。
v6アドレスおよびv6ゲートウェイアドレス、v6DNSアドレスをRAから取得済みなのに何故かvne-tunnel(v4 over v6)から外部に抜けます。

Apple製品のプライベートWi-FiをOFFにしたりMacbookで有線接続にしても同様でした。

ただ、FortiGateのwan1が取得しているグローバルv6アドレスに一度ping6コマンドを発すると、
その後は外部のv6サーバにping6が疎通するようになりv6のWebサーバなどにもアクセスできるようになります。
(test ipv6サイトでもOK判定になる)

バグなのか上記のPDFでは設定が足らないのか、どなたか同じような環境でv6で抜けられている人いませんか?

126 :anonymous@fusianasan:2023/02/18(土) 18:49:54.62 ID:???.net
7.2.4に上げてみてください

127 :124:2023/02/19(日) 12:11:48.73 ID:???.net
7.2.4に上げてみたけど全く同じてすね。
FortiGateだとApple製品でv6できてる人いないんじゃないかなこれ。。

同じ環境でRTX1200だと問題無くv6使えるんですが他に色々便利だからFortiGateを使っていきたいなと。

128 :anonymous@fusianasan:2023/02/19(日) 12:32:00.98 ID:???.net
NDPは有効にしてある?

129 :anonymous@fusianasan:2023/02/19(日) 12:50:40.22 ID:???.net
してあったらごめんだけどセッションヘルパーで58ポート開けてあげて見てもダメかね?

130 :anonymous@fusianasan:2023/02/19(日) 12:51:42.60 ID:???.net
ポートじゃないプロトコル

131 :sage:2023/02/19(日) 14:35:10.18 ID:zf2HIFvc.net
>>127

私はふつうに使えてますね。
iPhone / iPad / macOS それぞれ最新パッチ当て済

FOS は7.2.4 で、プロバイダは Asahinet の ipv6 サービス

ちゃんとipv6テストサイトで、safari / Firefox / chrome / edge からipv6アドレスで接続出来ているのを確認できます

IPv6 tunnel はご提示の手順の方法ではありませんが、ipv6 native でアクセスする分には関係ありませんので、関連性はないかと

132 :124:2023/02/19(日) 16:23:12.64 ID:???.net
nd-proxyは有効にしてます。
session helperでプロトコル58は有効にしていませんが、設定しようにもポート番号指定が必須なので設定できず。

>>131
おお、もし良ければv6周りのconfigを教えてもらえませんか?
上のPDFで触れられてないものがあるでしょうか。
仰るとおりv6トンネルのds-lite部分は関係無いと思います。

InternalのmacOSやiPhoneからwan1のv6アドレスにping6するとv6ネイティブで外に通るようになるのがまた解せない。。

133 :sage:2023/02/19(日) 16:58:37.39 ID:zf2HIFvc.net
>132

Android や windows で通信できている、およびmacOS 側にもIPv6 アドレスが設定されているってことは、
普通のIPv6 設定は問題ないと思うので、macOSに関連するところなんじゃないかなーと思う。
どのIPを使って通信させるのかを判断するのはクライアントなので。

よくわからない状況だけど、ご要望の資料でしてない設定ということなので、ipv6 の delegated 設定と np proxy です
Nd proxy はしてそうなので(IPが振られているので)。手順書は、ipv6 tunnel を使ってIPv4 通信をさせることが目的だから
この辺の設定はしてないと思う。

ただ、IP振られてるなら通信できても良さそうだなぁとは思います。

蛇足ですがipv6 と ipv4 のポリシーは同じだったら分けたほうがいいと思う。
Ipv4 だとどうしてもNAT が必要になるので、ipv6 native でやりたいならnat 外したポリシーを作ったほうがいいかと思う。

下は、wan で IPv6 NDを受けて、lan へ委任する例(IPv6 のみ)

134 :sage:2023/02/19(日) 16:59:03.32 ID:zf2HIFvc.net
(抜粋)
config system interface
edit "wan"
config ipv6
set dhcp6-prefix-delegation enable
set autoconf enable
config dhcp6-iapd-list
edit 1
set prefix-hint ::/60
next
end
end
next
end

135 :sage:2023/02/19(日) 16:59:26.08 ID:zf2HIFvc.net
config system interface
edit "lan"
config ipv6
set ip6-mode delegated
set dhcp6-information-request enable
set ip6-send-adv enable
set ip6-manage-flag enable
set ip6-other-flag enable
set ip6-upstream-interface "wan1"
set ip6-delegated-prefix-iaid 1
set ip6-subnet ::/60
config ip6-prefix-list
edit ::/60
next
end
config ip6-delegated-prefix-list
edit 1
set upstream-interface "wan1"
set subnet ::/60
set rdnss-service delegated
end
next
end

136 :sage:2023/02/19(日) 16:59:44.23 ID:zf2HIFvc.net
参考になれば

137 :124:2023/02/19(日) 17:54:45.84 ID:???.net
ありがとうございます。

v4とv6のFWポリシーは分けてます。

頂いた参考設定ですが、これはひかり電話有りのタイプですかね?
後出しになってしまい恐縮なんですがこちらひかり電話を解約したのでHGWの下のFGはRAでv6アドレスを取得してます。

随分前にwan1でdelegateする設定をしたんですがうまくいきませんでした。
帰ったらリトライしてみます。

138 :sage:2023/02/19(日) 18:02:28.99 ID:GbKCknDf.net
>>137
はい。光電話タイプです。

自宅で動いてるコンフィグの抜粋です。(多少隠したほうがいいかなぁと、interface を wan1から wan に変えたら、upstream 側を編集し忘れて wan1 になってます.....悔しい)

あとは….DNS server をfortigateで設定し、クライアントはそちらを参照する様にしています。

139 :anonymous@fusianasan:2023/02/19(日) 19:52:33.84 ID:???.net
FortiGateも配下の端末もRAでprefix受け取るのなら、FortiGateにDHCPv6-PDの設定は要らないです

140 :anonymous@fusianasan:2023/02/19(日) 20:04:56.92 ID:???.net
FortiGateが無い状態、例えば単純にブリッジさせる無線APをHGW配下につなげてapple製品でのIPv6アクセスがどうなるかの切り分けが必要かと

141 :124:2023/02/19(日) 22:39:43.00 ID:???.net
HGW(今やONU機能のみ)の配下にRTX1200を置いて下記URLの設定で使ってた時はApple製品達もv6で使えていたので回線とかHGWの問題では無さそうです。
ただ、その時はv4 over v6の設定をしてなかったのでその違いはありますが。

https://network.yamaha.com/setting/router_firewall/flets/flets_other_service/ipv6_ipoe

ひかり電話が無いからか、internalのv6委譲設定でアップストリームとしてwan1を設定できないので教えて頂いた設定はできませんでした。

AndroidやWindowsは全く問題無くて全てのApple製品が同じようにv6で通らないのが謎すぎです。

142 :anonymous@fusianasan:2023/02/19(日) 23:11:14.69 ID:???.net
話は違うけどFortiVPNでWindowsだけうまく接続できてMACだと弾かれるっていう現象あったなぁ
この辺の切り分け難しいんだよなぁ

143 :anonymous@fusianasan:2023/02/19(日) 23:54:48.27 ID:???.net
切り分けするしかないのとRAとDHCPv6-PDの設定は全然別なので、自分のとこの環境に合わせて設定しないと駄目かと
とにかくv6関連設定ぶっこんだら動くってものじゃないし

144 :anonymous@fusianasan:2023/02/20(月) 03:28:11.53 ID:???.net
詳しく調査できないなら諦めてv4 onlyで使うしかないが体感的に速度の違いは全然わからないよ
それとv6でアクセス出来なくて困ることって基本的に無いし

145 :anonymous@fusianasan:2023/02/20(月) 07:58:06.69 ID:YtsP25KF.net
iPadでダンスする kameが見たいんや

146 :124:2023/02/20(月) 11:39:53.84 ID:???.net
Apple勢のv6通信の件、進展ありました。
結論から言うとうまくいきました。

・これまでに分かっていたこと
 macOSやiPhoneから外部v6サーバにping6しても通らない
 しかし、一度wan1のRAで取得したv6アドレスにping6すると外部v6サーバに疎通OKになる

・確認できていた事
 以前から疑っていたログの内容として、
 v6送信パケットは数バイト送信されているが、受信が常に0バイトであった。

・疑った事
 もしや戻り(wan1からinternal)のルートが無い?と思いダメ元で下記を追加

147 :124:2023/02/20(月) 11:40:32.37 ID:???.net
FGT # config router static6
FGT (static6) # show
config router static6
edit 1
set device "internal"
next
end

FGT (static6) # show full
config router static6
edit 1
set status enable
set dst ::/0
set gateway ::
set device "internal"
set distance 10
set weight 0
set priority 1024
set comment ''
set blackhole disable
set dynamic-gateway disable
set dstaddr ''
set link-monitor-exempt disable
set bfd disable
next
end

148 :124:2023/02/20(月) 11:41:31.26 ID:???.net
・結果として
 macOSやiPhoneでこれまで通りv6アドレスを取得して今回は更に
 そのままv6で外に抜けられるようになりました。

何故Apple勢だけ戻りのstatic6 routeを追加しないといけなかったのか謎すぎるし、
macOSやWindowsで自動取得しているv6ゲートウェイアドレス(fe80::~)は同じなのに
わざわざstatic6を追加しないといけないのかが解せませんが少しすっきり。

何となくFortiGateのRA方式によるバグな気もしますがもし私と同じような方がいたらstatic6の追加で直りそうです。

気になるのは、wan1→internalのrouteを追加してるのでセキュリティ的に大丈夫か?とは思いますが
FWポリシーで特に開けてる訳じゃないので大丈夫ですよね。。

149 :anonymous@fusianasan:2023/02/20(月) 19:33:17.28 ID:???.net
RAだったらND proxy、FWポリシー設定程度でいい
https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-asahinet-v6connect-ipip.pdf

バグじゃないと思うけどね
うちじゃちゃんと動いてるし

150 :anonymous@fusianasan:2023/02/21(火) 20:37:01.56 ID:???.net
Forigateの保守更新料が跳ね上がっててハゲるかと思った

151 :anonymous@fusianasan:2023/02/22(水) 00:07:38.92 ID:???.net
>>150
新規購入もヤバいぐらい上がってるぜ
100Fとか3年前から倍近いぐらい高くなってる
円安とか半導体不足とか考えでも値上げしすぎで泣ける

152 :anonymous@fusianasan:2023/02/22(水) 05:55:22.23 ID:???.net
安さが売りでもあったのにこれじゃパロでいいじゃんアゼルバイジャン

153 :anonymous@fusianasan:2023/02/22(水) 07:36:31.06 ID:???.net
パロは値上げ幅少ないのかな?

154 :anonymous@fusianasan:2023/02/22(水) 08:01:05.94 ID:SkjyL7MD.net
ラインナップ多すぎ

155 :anonymous@fusianasan:2023/02/26(日) 06:07:18.14 ID:4EcN0EyZ.net
半導体不足はわかる。
機種変更じゃないんだ、保守更新だぜ。FORTINET ボリ過ぎじゃね?と思ったら、
>>150
で結論出てた。

ForriGate はいい製品だと思うんだが、Forti なんちゃらを連発してるせいで、
機能が削られて保守費だけ高くなってる気がする

とはいえ、乗換え先がないんだよな

156 :anonymous@fusianasan:2023/02/26(日) 06:27:17.80 ID:4EcN0EyZ.net
中小企業で FortiGate 60E
今まで 1 台の「プラチナオンサイト障害対応」してたけど、
これ、1 年以上のライセンスありの中古を 2 台買って、HA 構成にした方がコスパいいよね

157 :anonymous@fusianasan:2023/02/27(月) 00:13:30.80 ID:???.net
価格はドル建てだし世界的なインフレだからどこも同じかな
コストだけでみるのであればYAMAHAでも使ってれば良いんじゃないかとは思う

158 :anonymous@fusianasan:2023/02/27(月) 12:45:08.35 ID:???.net
ヤマハとFortiじゃ目的が違いすぎないか?

159 :anonymous@fusianasan:2023/02/28(火) 03:23:24.74 ID:iAVeP8WE.net
>>158
ですよね。用途に依りますが、YAMAHA でいいんなら Cisco 使うし、、

>>157
イニシャルが高くなるのはいいんだけど、ランニングが高くなるのは
説明し辛いです。
年々高くなるのはわかってるので、20% 上乗せ予算を申請してるのに、それ以上か、、
Forti に限らず、昨今のオンプレインフラ界隈って、イニシャル安くして、
ランニングを段々上げて利益上げてね?っていう疑惑も、、

>>152
ですよね、、Palo 製品にも見積り取りました

160 :anonymous@fusianasan:2023/02/28(火) 10:08:42.53 ID:???.net
YAMAHAでいいならYAMAHAじゃないの?
Ciscoの方が高いと思うし

161 :anonymous@fusianasan:2023/02/28(火) 14:22:40.53 ID:qLvngyyV.net
IPv6のアドレスが不定なのでFQDNルーティングしようと思ったら、
どうもIPv4でしかFQDNルーティング使えないっぽい…

IPv6でFQDNルーティングする方法か、いい回避策ないでしょうか?
RTXならLUAスクリプトでルーティング書き換えとかできそうなんだけど…

162 :anonymous@fusianasan:2023/02/28(火) 23:40:45.45 ID:iAVeP8WE.net
>>160
YAHAMA を dis ってる訳ではなくて、いい製品が多いとは思っています。
ただ、エンジニアのスキルセットにミスマッチがある感じです

163 :名無し:2023/03/01(水) 00:30:31.11 ID:???.net
ヤマハのエンジニアをdisってるの?
すごく感じ悪いです。

164 :anonymous@fusianasan:2023/03/01(水) 00:31:12.73 ID:???.net
扱えるのがCiscoオンリーの人は今でも多そうですしね

165 :anonymous@fusianasan:2023/03/01(水) 00:36:15.20 ID:???.net
>>159
>Palo 製品にも見積り取りました

安かったですか?

166 :anonymous@fusianasan:2023/03/01(水) 01:00:37.41 ID:???.net
悪名高いOracleですら年4%~8%程度の値上げなのに、
保守更新料金前年比50%以上も上げてきよった。
こんなもんどうやって年間予算計画するんだよ。

167 :anonymous@fusianasan:2023/03/02(木) 02:05:07.21 ID:HB7UsDjA.net
>>163
不快にさせてしまったのなら申し訳ないです。
>>164
の方が書かれているとおりで、今だに Cisco オンリーな人は多いです。
その中で、では次は、、となると、FortiGate になって、
あくまで見知っている限りですが、、結果的に Cisco + Forti となっているだけです。

>>165
書き方が悪く申し訳ございません。
>Palo 製品にも見積り取りました
 ではなくて、
>Palo 製品にも見積り依頼しました
 となります。

で、どちらも見積りが来ておりません、、
ベンダーがいうには「納期が確定できないので見積りできない」ということらしいです。
仕事しろ、、

168 :anonymous@fusianasan:2023/03/02(木) 02:14:18.09 ID:HB7UsDjA.net
>>166
最近 Oracle 触ってないのでわからないのですが、

>悪名高いOracleですら年4%〜8%程度の値上げなのに、

でしたっけ?
Oracle はもっと高い印象でしたが、それ以上となると Forti はさすがにボリ過ぎ、、

Forti は元々 20% くらい上乗せして来やがるので、
予算もその程度を見込んで申請していたのですが、まさかの 40 % 増
※ 若干の違いはあるようです、、

予算付替えとかクソ面倒、、
to C でも to B でも使われているので、全国のインフラエンジニアが泣いている気がします、、

169 :anonymous@fusianasan:2023/03/02(木) 02:24:18.12 ID:???.net
間に代理店が入ってることを忘れないようにね

170 :anonymous@fusianasan:2023/03/02(木) 02:33:22.21 ID:???.net
高いならもっと安い他のメーカに変えるしかないんじゃないですかね
安くておすすめのものがあれば教えてほしいです

171 :anonymous@fusianasan:2023/03/02(木) 02:49:05.59 ID:HB7UsDjA.net
>>169
意図を汲みかねているのですが、、
名ばかりじゃなくて、対応がしっかりしたベンダーを選択すべし、、ということですかね?
それもまた、インフラエンジニアの能力と、、

直接の取引はないけど、ネットワールドさんお世話になっております。
いつも、ありがとうございます!
※ 他のベンダーが塩対応すぎるし、情報遅いのが問題、、

172 :anonymous@fusianasan:2023/03/02(木) 02:54:21.21 ID:???.net
ベースの価格が上がると利幅を増やすために間に入ってる業者はそこからもっと上げてくるのは普通

173 :anonymous@fusianasan:2023/03/03(金) 08:56:22.55 ID:yfE3lVmh.net
保守更新も相見積取れるなら、別業者の見積取ったほうがいいで
某Sから取った保守見積が倍近くになって、別のとこ取ったら前年比1.4倍ぐらいだった

174 :anonymous@fusianasan:2023/03/03(金) 12:13:37.94 ID:???.net
元の価格からの値上げ分がそっくりそのまま業者の見積もりに反映されてるわけじゃないしね
業者によって為替の値がまちまちだったりするし(円安が続きそうだから高めにしとくか、とか)

175 :anonymous@fusianasan:2023/03/04(土) 18:53:56.43 ID:???.net
fortigateって買った代理店以外でも保守更新できるん?

176 :anonymous@fusianasan:2023/03/16(木) 10:30:00.15 ID:gsfVAvWP.net
Fortigate60でフレッツ光クロス繋いだとか繋げるとか話し有ったりしますか?

177 :anonymous@fusianasan:2023/03/18(土) 01:07:39.86 ID:???.net
漠然とした質問

178 :sage:2023/03/18(土) 19:00:31.10 ID:3Y3yoPYA.net
そもそも60Eにも60Fにも10G I/Fがないよ

https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/ja_jp/FGT60FDS.pdf

179 :anonymous@fusianasan:2023/03/18(土) 23:53:27.97 ID:???.net
>>178
そいえば10GのWANインターフェースがあるのは200F以上だね
100FもFortilink用ポートは10Gだけど

180 :anonymous@fusianasan:2023/04/11(火) 19:53:42.49 ID:???.net
FortigateでLDAPユーザ使ってる方いますか?
バインドタイプ一般を選択して、
テストはPASSするのですが下記のURLで言う「DNをフェッチ」でエラーとなってしまいます。
https://tec-world.networld.co.jp/attachedFile/get/97df4c9a-3028-443f-82f8-7504b45c9bbb

181 :anonymous@fusianasan:2023/04/11(火) 19:55:30.38 ID:???.net
環境はFortigateVM 使用版です。

182 :anonymous@fusianasan:2023/04/11(火) 20:11:37.25 ID:???.net
URLが古かったです。
識別名をブラウザしようとするとエラーになります。
でも識別名を手動入力した場合、ユーザクレデンシャルのテストは通ります。
https://tec-world.networld.co.jp/attachedFile/get/74288651-7ca6-4707-a73d-e1cbe8e2c1b6

183 :anonymous@fusianasan:2023/04/28(金) 05:45:17.86 ID:3jx4TCOu.net
fortigateで既にあるポリシーを一番下から上に持っていく時はドラッグアンドドロップで頑張るしかないの?

184 :sage:2023/04/28(金) 11:36:26.96 ID:3MM+PzU1.net
>>183

https://community.fortinet.com/t5/Support-Forum/Moving-Policies-up-or-down/m-p/159611


CLI が楽かと思います。

185 :anonymous@fusianasan:2023/04/28(金) 22:30:37.93 ID:3jx4TCOu.net
>>184
ありがとうございました。
助かります。

186 :anonymous@fusianasan:2023/05/10(水) 22:19:39.53 ID:pQtbIAXB.net
>>182
公式のドキュメントを参考にしてみてください
https://docs.fortinet.com/document/fortigate/7.2.4/administration-guide/102264/configuring-an-ldap-server

187 :名無し:2023/06/13(火) 19:23:33.27 ID:???.net
脆弱性出過ぎ。
えげつない値上げもしてるし、どうなってんだ。

188 :anonymous@fusianasan:2023/06/14(水) 21:15:02.18 ID:???.net
>>187
SSL-VPNの脆弱性を1年以内に2回とかあり得んよね

189 :anonymous@fusianasan:2023/06/14(水) 23:53:11.41 ID:???.net
こんなに脆弱性の発表やファームアップが頻繁にあるUTMが他にあるだろうか。
それだけ売れてんだろうなぁ

190 :anonymous@fusianasan:2023/06/15(木) 03:21:05.44 ID:VEyYrxHM.net
JuniperのSSGシリーズは最悪の糞だったな…
3分おきにリブートを繰り返すようになるhotfixリリースしてたぞ。

191 :anonymous@fusianasan:2023/06/15(木) 16:06:46.31 ID:4eKwdzWv.net
SSGかわいくて好きだったなぁ

192 :anonymous@fusianasan:2023/06/16(金) 10:24:05.53 ID:1t5yiTjk.net
売るために機能盛りすぎて自爆してるイメージ。

193 :anonymous@fusianasan:2023/06/17(土) 18:04:53.24 ID:???.net
作り込みが色々と浅いのか特定環境だけ不可解な現象起きることがあるイメージ。
保守ベンダーに聞いても「ウチでは動くのでおま環です」みたいな。

194 :anonymous@fusianasan:2023/06/20(火) 14:16:51.11 ID:cMgfcOJA.net
初めまして。
教えて下さい。社内ADサーバ撤去することになって、fortigateでDNSサーバをやらせることになりました。
一部サーバが社内に残るので、ホスト名で名前解決できるようにしたいのですが、どのように設定したら良いのでしょうか?fortigateのDNSはGoogleを向いているので、クライアントはインターネットに出られる状態です。
よろしくお願いします。

195 :名無し:2023/06/20(火) 17:01:39.86 ID:???.net
DNSデータベース機能?

196 :sage:2023/06/20(火) 17:30:29.12 ID:I8s4IbbR.net
https://docs.fortinet.com/document/fortigate/7.4.0/administration-guide/960561/fortigate-dns-server

この辺参考に試してみてはいかがでしょうか

197 :anonymous@fusianasan:2023/06/20(火) 22:43:07.76 ID:ZgTq5DGc.net
ありがとうございます。本当にネットの情報が少なくて困っているので助かります。

明日DNSデータベース試してみますが、以前試した時にうまく動作しなかったんですよね…
基本インターフェースはシステム設定に転送しているので、そのせいかと思ってます。

198 :sage:2023/06/22(木) 21:15:53.69 ID:zsUB8mDY.net
>>197

どのような構成なのかは良くわかりませんが、シンプルな構成であれば
特に問題はなく使えています。
実運用前に、最小構成でやりたいことができるのか確認してみると
良いかと思います。

199 :anonymous@fusianasan:2023/06/23(金) 18:02:04.31 ID:XrZ0/Ks5.net
>>198
ありがとうございます。
FG配下にオンプレwinサーバ等のサーバがいます。それらのサーバ名を指定してアクセスする場合にDNSサーバが必要といった形になります。DNSデータベースを利用する場合のゾーンのドメイン名、DNSサーバのホスト名は何記載したら良いのでしょうか?

購入元のサポートからは教えてもらえなくて、本当に困ってます、、、

200 :sage:2023/06/24(土) 12:16:07.48 ID:hCcLzpwM.net
>>199
まずドキュメントを紹介されているのですから、ドキュメントを読んで試してみてはと思います。

その上で、「こう動くと思うのだけど、異なる結果になる」と言う情報をパケットキャプチャなどの情報と共に相談いただければ、識者からの回答が得られるかもしません。

198 さんの機能やプロトコルについての理解度もわからないので、さすがに手取り足取りの指南は厳しいと思いますよ。

201 :anonymous@fusianasan:2023/07/05(水) 01:28:04.56 ID:OfNqcdcZ.net
ipsec VPNで接続元を絞ることって出来ますか?
設定してる限りできなそうですけど

202 :名無し:2023/07/05(水) 20:01:58.28 ID:???.net
>>201
グローバルなら出来ると思うけど。

203 :anonymous@fusianasan:2023/07/05(水) 21:29:12.90 ID:u/YhkDd9.net
>>201
ttps://milestone-of-se.nesuke.com/product/fortigate/secure-ipsec-vpn-config-sample/
これ見て頑張れ
ところでChMateからもJaneStyleから書き込めないのは俺環?

204 :anonymous@fusianasan:2023/07/08(土) 11:43:33.58 ID:???.net
FortigateってMTUを明示的に指定するの常識だったりします?

205 :anonymous@fusianasan:2023/07/11(火) 09:34:46.96 ID:???.net
どこのMTU?というのも変な確認か

206 :anonymous@fusianasan:2023/07/11(火) 14:34:21.71 ID:h1PXUrpm.net
L3機器なら指定するほうが無難

207 :anonymous@fusianasan:2023/07/11(火) 14:34:23.73 ID:h1PXUrpm.net
L3機器なら指定するほうが無難

208 :anonymous@fusianasan:2023/07/13(木) 10:50:56.51 ID:???.net
gre張るとかアプリケーションサーバの前にあるLBやFWならともかくL3機器でMTUを態々明示的に設定するなんてあまり聞かないが
どこがどう無難なんだ

209 :anonymous@fusianasan:2023/08/20(日) 07:46:04.45 ID:XeIjwe0K.net
REVELATION/ IN THE SAME BOAT
グラノード広島(granode hiroshima)
大和ハウス工業(daiwa house group)
シーレックス(seerex)
テイケイ西日本(teikei west japan)
裏社会(underworld)
広島県警察(hiroshima prefectural police)
公安警察(security police)
広島地方検察庁(hiroshima district public prosecutors office)
草津病院(kusatsu hospital)
岡田外科医院(okada surgical clinic)

210 :anonymous@fusianasan:2023/09/26(火) 12:03:06.13 ID:???.net
個人でFortigateを初めて導入する場合に、ヤフオクとかの複数年度ライセンス付きの安い物かって
何が出来て、何が出来ないか?確認するのは、お金の無駄ですか?
最近は、Fortigateの情報上げてるサイトも多くなって来たので、独学で使って見たいのです

211 :あの芋さん:2023/09/26(火) 12:27:54.39 ID:???.net
いいと思う
少なくともおれはそうした

212 :anonymous@fusianasan:2023/09/26(火) 19:37:06.81 ID:???.net
>>210
自分もそれで覚えた。
対向でVPNはったりするテストできるように二台あったほうが楽しめる。
仮想のfortiが無料で使えるから仮想基盤の環境が用意できるならそういうので覚えるのもよいかも。

213 :anonymous@fusianasan:2023/09/26(火) 20:15:11.17 ID:???.net
>>211-212
返答有難う、早速ヤフオクで良さそうな物を購入してみます

>仮想のfortiが無料で使えるから仮想基盤の環境が用意できるならそういうので覚えるのもよいかも。
これは、KVMやVMwareを動作させているサーバーがあればOKってことですか?

214 :anonymous@fusianasan:2023/09/26(火) 21:34:58.73 ID:???.net
VM,前はかなり遊べたけど7.xなってだいぶ制限厳しくなってたような
Forti全体的にエンプラ志向なってる気がする

215 :anonymous@fusianasan:2023/09/26(火) 21:40:52.68 ID:???.net
>>212
>仮想のfortiが無料で使える
これ詳しく
バーチャルアプライアンス無料とか初耳猫耳

216 :anonymous@fusianasan:2023/09/27(水) 08:05:54.84 ID:???.net
>>213
>>215
fortigate vm評価版とかでググれば情報でてくるよ。
6系は検証期間15日、7系は期限なくなったけど機能制限が増えたと思う。
ESXiでもhyper-vでも、
eve-ng上で動かせたから多分KVMでもいけるんじゃないかな。

217 :anonymous@fusianasan:2023/09/27(水) 08:58:40.95 ID:???.net
>>216
教えてくれて有難う

218 :anonymous@fusianasan:2023/09/27(水) 22:54:05.47 ID:???.net
Fortnite
Fortinet
見間違える・・・

219 :anonymous@fusianasan:2023/09/28(木) 19:44:41.30 ID:???.net
眼科行けよ?

220 :anonymous@fusianasan:2023/09/28(木) 22:10:22.75 ID:???.net
Fortigate
放置ゲート
見間違える・・・

221 :anonymous@fusianasan:2023/09/29(金) 23:13:04.05 ID:???.net
>>212
型番はいくつがおすすめ?

222 :anonymous@fusianasan:2023/09/30(土) 06:48:33.93 ID:???.net
今なら60Eかな。まだ最新ファーム提供されてるっぽいし。

223 :anonymous@fusianasan:2023/11/09(木) 21:47:17.97 ID:???.net
中古で買った場合ってユーザー登録
というか前の所有者からの変更登録?できるのかな・・・

224 :anonymous@fusianasan:2023/11/14(火) 13:13:23.93 ID:???.net
入手したけど基本設定が分からん・・・UIクセ強すぎぃ

225 :anonymous@fusianasan:2023/11/14(火) 15:14:34.75 ID:???.net
それは今まで何触ってたかによるな。
Fortiはレガシーなuiだと思うけど。

226 :anonymous@fusianasan:2023/11/16(木) 15:21:00.58 ID:???.net
fortigateのECMPについて聞きたいのですが(デフォルトのソースベースの場合)

等コストのデフォルトルートが2つある状態では
最初のセッションはどのようにしてルートが決まるのでしょうか?
また最初のセッションがデフォルトルートAに決まったとして
別のソースからのセッションが来た場合のベストパスの決定はどう判断しているのでしょうか?ラウンドロビン方式?

227 :anonymous@fusianasan:2023/11/16(木) 17:21:24.74 ID:???.net
>>226
デフォルト設定なら送信元ipじゃないかな。

https://docs.fortinet.com/document/fortigate/6.2.15/cookbook/25967/equal-cost-multi-path

228 :anonymous@fusianasan:2023/11/16(木) 18:17:16.14 ID:???.net
答えになってねぇ
俺も知らんから答えらんないけど

229 :anonymous@fusianasan:2023/11/17(金) 13:49:50.63 ID:???.net
>>224
CLIじゃないと設定できない項目もあるよ

230 :anonymous@fusianasan:2023/11/18(土) 00:56:25.24 ID:???.net
Webフィルタプロファイルを2つ作って両方適用させることってできますか?
例えばこんな感じに
Webフィルタプロファイル1つ目:FortiGuardカテゴリベースのフィルタ(ブロック)
Webフィルタプロファイル2つ目:スタティックURLフィルタ(ブロック)

231 :anonymous@fusianasan:2023/11/18(土) 17:40:30.54 ID:???.net
>>226

226です。
Traffic is divided equally between the interfaces.
こう書いてあるので均等に分散かと。

答えになってますか?

232 :anonymous@fusianasan:2023/11/18(土) 18:25:10.09 ID:???.net
>>230

プロファイルを分ける理由がわからないけど、同じプロファイルだとダメですか?

233 :anonymous@fusianasan:2023/11/19(日) 18:06:08.27 ID:???.net
>>232
分けたいんです

234 :anonymous@fusianasan:2023/11/20(月) 12:57:09.19 ID:???.net
>>233

無理かも。

Webレーティングオーバーライド設定も想定してるのとは違いますよね。

235 :anonymous@fusianasan:2023/11/23(木) 12:13:01.87 ID:???.net
FWポリシーのログで許可は記録したくないんですがどこを設定すればいいですか?
拒否だけログ記録したいです

236 :anonymous@fusianasan:2023/11/23(木) 15:24:01.78 ID:???.net
デフォが暗黙以外の明示拒否だけだったような
あえて記録するようにしたんでは?

237 :anonymous@fusianasan:2023/11/23(木) 15:30:16.76 ID:???.net
>>236
デフォルトで許可が記録されてしまうんです
拒否だけ記録する設定を知りたいです

238 :anonymous@fusianasan:2023/11/23(木) 19:38:03.01 ID:???.net
許可するポリシーの設定でログをoffにすれば良い

239 :anonymous@fusianasan:2023/11/23(木) 19:39:02.60 ID:???.net
>>238
そこはオフにしてあります・・・

240 :anonymous@fusianasan:2023/11/23(木) 20:29:09.41 ID:???.net
面倒だろうがDneyポリシー作るしかないと思うぞそれ
Dneyポリシーなんてほぼ作った事ないから許可トラフィックログも記録されるかは覚えがないが

241 :anonymous@fusianasan:2023/11/23(木) 20:34:56.26 ID:???.net
>>240
言ってる意味が分かりません・・・

242 :anonymous@fusianasan:2023/11/23(木) 23:15:36.45 ID:???.net
>>239
コマンドで
当該ポリシーのgetの出力貼ってみてよ。

243 :anonymous@fusianasan:2023/11/23(木) 23:45:13.33 ID:???.net
>>242
特に変なところはないようですが・・・
set logtraffic disable

244 :anonymous@fusianasan:2023/11/24(金) 00:06:48.81 ID:???.net
set logtraffic disableにして再起動したら許可は記録されなくなりました
・・・が、拒否も記録されなくなりました(涙

245 :anonymous@fusianasan:2023/11/24(金) 00:24:18.67 ID:???.net
知らんがな

246 :anonymous@fusianasan:2023/11/24(金) 01:07:05.96 ID:???.net
Palo Altoの方がいいんだろうか

247 :anonymous@fusianasan:2023/11/24(金) 02:37:48.99 ID:???.net
Fortiすら扱えない奴がパロ使えるわけねーだろハゲ

248 :anonymous@fusianasan:2023/11/24(金) 13:46:30.54 ID:???.net
>>241
何がわからないの?

249 :anonymous@fusianasan:2023/11/25(土) 14:32:34.29 ID:???.net
何がわからないかわからないに決まってんだろヴォケ

250 :anonymous@fusianasan:2023/11/25(土) 14:47:32.84 ID:???.net
何がわからないかも分からない無能が偉そうな態度取ってんなよゴミクズ
そんな奴がFW触ってるとか怖すぎるだろ

251 :anonymous@fusianasan:2023/11/25(土) 15:34:39.03 ID:???.net
Denyなら分かるんですが
Dneyは分からないです

252 :anonymous@fusianasan:2023/11/25(土) 15:45:24.27 ID:???.net
思い出したが先輩がDenyをデニーって発音しててワロタ

253 :anonymous@fusianasan:2023/11/25(土) 16:09:29.17 ID:???.net
デニーズ勤務だったんでしょ

254 :anonymous@fusianasan:2023/11/25(土) 16:20:14.76 ID:???.net
>>251
マジモンのアスペじゃんこわ

255 :248:2023/11/25(土) 22:02:24.99 ID:???.net
>>250
第三者の横槍って読み取れんかったか、すまんかったな。
ただ、FWの管理者の大半こんなもんやで?

256 :anonymous@fusianasan:2023/11/26(日) 00:47:38.28 ID:???.net
?何この人笑

257 :anonymous@fusianasan:2023/11/26(日) 18:39:35.02 ID:???.net
>>251
教えて貰う立場なのに揚げ足取りか…
それは教えてもらえんと思うよ

258 :anonymous@fusianasan:2023/11/26(日) 20:19:36.25 ID:???.net
>>255
へー大抵のFW管理者って関係ないとこに横槍入れて茶々入れするゴミなんだな笑

開き直ってんなやキッショいわー

259 :anonymous@fusianasan:2023/11/26(日) 22:07:15.62 ID:???.net
きっしょw

260 :anonymous@fusianasan:2023/11/26(日) 22:09:58.98 ID:???.net
やはり底辺業界のレベルなんてこんなもんだな
幼稚な人間性の奴が多すぎる

261 :anonymous@fusianasan:2023/11/26(日) 22:12:42.37 ID:???.net
>>257
Dneyポリシー追加しなくても、いつのまにか拒否だけ記録されるようになってました

262 :anonymous@fusianasan:2023/11/27(月) 02:59:39.83 ID:???.net
暗黙ポリシーのログと勘違いしてそ(笑)

263 :anonymous@fusianasan:2023/11/27(月) 18:41:58.45 ID:???.net
>>262
ポリシー名が表示されているので勘違いではないと思います
Fortigateスレってレベル低いの何でですかね・・・

264 :anonymous@fusianasan:2023/11/27(月) 19:58:40.51 ID:???.net
質問者のレベルに合わせて解答者のレベルも相応になるんやで

265 :anonymous@fusianasan:2023/11/27(月) 20:04:36.67 ID:???.net
>>264
中高度な質問はレスが付きません

266 :anonymous@fusianasan:2023/11/27(月) 20:08:44.32 ID:???.net
>>226に誰も答えられないスレ

267 :anonymous@fusianasan:2023/11/27(月) 23:40:45.21 ID:???.net
ここはど素人の質問にマウントとるスレだぞ。

268 :anonymous@fusianasan:2023/12/02(土) 12:18:05.34 ID:???.net
ダメダメですね~

66 KB
新着レスの表示
掲示板に戻る 全部 前100 次100 最新50
名前: E-mail (省略可) :

read.cgi ver 2014.07.20.01.SC 2014/07/20 D ★