Fortigateについて語ろう5

1 ：anonymous@fusianasan：2020/07/05(日) 00:58:45 ID:???.net

FortiGateシリーズは、ネットワーク全体を総合的に保護するハードウェアベースの
ネットワーク・プロテクション・ゲートウェイ（NPG）です。
Fortinet社独自開発のABACASTM(Accelerated Behavior and Content Analysis System)
テクノロジと独自のASIC（FortiAsic）ベースアーキテクチャを採用した、次世代
ネットワークプロテクション・アプライアンスです。
ファイアウォール、不正侵入、VPN、トラフィックシェーピングなどネットワークレベル
のサービスに加え、ウィルスプロテクションやコンテンツフィルタリングなどの
アプリケーションレベルのサービス機能も搭載しており、効果的にネットワークを保護します。
FortiGateは、4種類のICSA認定取得をしています。
アンチウイルス、ファイアウォール、IPSec、IDS

セールスポイントは非常に魅力的ですばらしいのですが、
非常に個性的な製品ですので、皆さん助け合って安定稼働に努めましょう。

フォーティネットジャパン
http://www.fortinet.co.jp/
FortiProtect Center
http://www.fortinet.com/FortiProtectCenter/

質問する際には必ずFortiGateの機種、FortiOSのバージョン、 ネットワーク構成・環境を報告してください。

2 ：anonymous：2020/07/08(水) 09:44:46.31 ID:???.net

前スレ>>998
（998レス目で質問する時点で知能が低そうだが）

50E（v5.4/v6.2）ですら
スタティックルートの設定数上限数は100だから

スタティックルートの設定数上限8というのが
何の機種/Verで何を根拠に言っているのか不明


もしECMPのアクティブ経路数のことを言ってるのだとしても
v4.x/v5.xはデフォルト10/最大10で
v6.xはデフォルト255/最大255

【v4.x / v5.x】
(settings) # set ecmp-max-paths (10 is default)

【v6.x】
　 (settings) # set ecmp-max-paths
　　ecmp-max-paths Enter an integer value from <1> to <255> (default = <255>).

3 ：anonymous：2020/07/08(水) 09:45:51.66 ID:???.net

[誤]　v4.x/v5.xはデフォルト10/最大10

[正]　v4.x/v5.xはデフォルト10/最大100

4 ：anonymous@fusianasan：2020/07/08(水) 13:25:37.18 ID:???.net

>>2
すまんね
50E 6.2.4 のGUIでipv4,6 それぞれで9個目いれるとエラーになるから
そうなのかと思いこんだだけでした
CLIで入れたら普通にはいったよ

5 ：anonymous@fusianasan：2020/07/08(水) 13:27:38.70 ID:???.net

>>4
入れようとしてたのは
config router static

6 ：dog：2020/07/08(水) 21:51:04 ID:???.net

v6.2どうよ？

7 ：anonymous@fusianasan：2020/07/09(木) 15:31:45 ID:???.net

SSL-VPNで接続したとき、
URLが /proxy/(セッションごとの8文字の文字列)/(vpn内のターゲットアドレス)
という感じになりますが
セッション毎の文字列がアドレスに入らないようにすることは可能でしょうか

8 ：anonymous：2020/07/10(金) 23:57:24.91 ID:???.net

Webフィルタリングやアプリケーション制御を設定すると
SSLインスペクションの有効化する必要があると出る

FQDNでのURLフィルタリングや
URLを元にしたアプリ種別の識別だけ（詳細アクションまでや制御は不要）
SSLインスペクションしなくても使える認識だけど
この場合はどう設定すれば良い？

9 ：anonymous@fusianasan：2020/07/12(日) 14:58:35.48 ID:???.net

https://licensecounter.jp/engineer-voice/blog/articles/20190529__vol4ipsecvpn.html
こちらを参考に拠点間VPNで、Lan <-> Lan は出来たのですが、特定のグローバルIPのみ
リモートからセンターのWANに流す方法がわかりません。
リモートから特定のサイトにアクセスしたときに、センター経由で接続させたいのです。

素人質問で申し訳ないのですが、教えて頂けないでしょうか。
Fortigate 50E、ファームウェア v6.2.4 を使用しています。

10 ：anonymous@fusianasan：2020/07/13(月) 16:35:34 ID:oSmKuldJ.net

すみません、fortigateのipsec vpnのフェーズ1認証方式で、「シグネチャ」というのがありますが、これはどういった挙動となるのでしょうか。

11 ：anonymous@fusianasan：2020/07/13(月) 16:41:19 ID:oSmKuldJ.net

>>10
すみません、解決しました。
デジタル署名方式のことですかね。
UTM等のシグネチャに頭がいっておりました。

12 ：anonymous@fusianasan：2020/07/13(月) 16:57:08 ID:???.net

ネットワークの勉強用にFGE50を入手しましたが、名前解決で躓いています。

FGE50の物理インターフェース設定を
LAN1：192.168.10.1(DHCP：10~250)
LAN2：192.168.20.1(DHCP：10~250)
として、ポート1にPC_A、ポート2にPC_Bを接続しました。
スタティックルート、IPv4ポリシーも設定し、PC_AからPC_B(逆も)へのipを指定したpingは通るのですが、
名前解決ができず、コンピュータ名でpingが通りません。

FG50EではDNSサーバの設定ができるようなのですが、
どのように設定すれば、異なるインターフェースの名前解決ができるように
なるでしょうか。
なお、FG50EもPCもDNS設定はデフォルトのFortiGuardサーバで、
GUIのDNSサーバ設定画面ではLAN1、LAN2ともにシステム設定DNSへ転送、
としています。

FortiGate 50E ファームは6.0.10です。

13 ：anonymous@fusianasan：2020/07/13(月) 17:44:52.05 ID:hyhunuNR.net

wan出れる？
ポリシーで許可してる？

14 ：anonymous@fusianasan：2020/07/13(月) 19:06:04.03 ID:???.net

そりゃプロバイダのDNS参照してて
レコードの無いじぶんのPCの名前解決なんぞ出来るわけないですよ。
自分でDNSサーバー建てないと。
Fortigate のDNSサーバー機能はどこまで出来るか知りませんがお勧めはしないです。

15 ：anonymous@fusianasan：2020/07/13(月) 19:30:49.27 ID:???.net

>>12
mDNS とか、LLMNRといったプロトコルがどういうネットワークで動くのか考えてみようか

16 ：anonymous@fusianasan：2020/07/13(月) 21:19:33.85 ID:???.net

>>15
ありがとう。調べてみます

17 ：anonymous@fusianasan：2020/07/13(月) 21:46:45.72 ID:???.net

L3（FortiGate）越えられるんか？

18 ：dog：2020/07/13(月) 22:11:52.22 ID:???.net

>>12
同セグメントでは無い為
NETBIOSで名前解決不可
FGのconfig→feature→DNS databaseを使う

19 ：anonymous@fusianasan：2020/07/13(月) 23:58:39 ID:???.net

ファーム上げたら特定のメーカーのコピー機のSSLの通信通らなくなったんだけど意味分からん
別メーカーも全部同じようなhttpsのサイト行ってるはずなんだけど
インスペクションルールかと思って全部ルール外しても通らないのが謎過ぎる