■ このスレッドは過去ログ倉庫に格納されています
Fortigateについて語ろう5
- 1 :anonymous@fusianasan:2020/07/05(日) 00:58:45 ID:???.net
- FortiGateシリーズは、ネットワーク全体を総合的に保護するハードウェアベースの
ネットワーク・プロテクション・ゲートウェイ(NPG)です。
Fortinet社独自開発のABACASTM(Accelerated Behavior and Content Analysis System)
テクノロジと独自のASIC(FortiAsic)ベースアーキテクチャを採用した、次世代
ネットワークプロテクション・アプライアンスです。
ファイアウォール、不正侵入、VPN、トラフィックシェーピングなどネットワークレベル
のサービスに加え、ウィルスプロテクションやコンテンツフィルタリングなどの
アプリケーションレベルのサービス機能も搭載しており、効果的にネットワークを保護します。
FortiGateは、4種類のICSA認定取得をしています。
アンチウイルス、ファイアウォール、IPSec、IDS
セールスポイントは非常に魅力的ですばらしいのですが、
非常に個性的な製品ですので、皆さん助け合って安定稼働に努めましょう。
フォーティネットジャパン
http://www.fortinet.co.jp/
FortiProtect Center
http://www.fortinet.com/FortiProtectCenter/
質問する際には必ずFortiGateの機種、FortiOSのバージョン、 ネットワーク構成・環境を報告してください。
- 2 :anonymous:2020/07/08(水) 09:44:46.31 ID:???.net
- 前スレ>>998
(998レス目で質問する時点で知能が低そうだが)
50E(v5.4/v6.2)ですら
スタティックルートの設定数上限数は100だから
スタティックルートの設定数上限8というのが
何の機種/Verで何を根拠に言っているのか不明
もしECMPのアクティブ経路数のことを言ってるのだとしても
v4.x/v5.xはデフォルト10/最大10で
v6.xはデフォルト255/最大255
【v4.x / v5.x】
(settings) # set ecmp-max-paths (10 is default)
【v6.x】
(settings) # set ecmp-max-paths
ecmp-max-paths Enter an integer value from <1> to <255> (default = <255>).
- 3 :anonymous:2020/07/08(水) 09:45:51.66 ID:???.net
- [誤] v4.x/v5.xはデフォルト10/最大10
[正] v4.x/v5.xはデフォルト10/最大100
- 4 :anonymous@fusianasan:2020/07/08(水) 13:25:37.18 ID:???.net
- >>2
すまんね
50E 6.2.4 のGUIでipv4,6 それぞれで9個目いれるとエラーになるから
そうなのかと思いこんだだけでした
CLIで入れたら普通にはいったよ
- 5 :anonymous@fusianasan:2020/07/08(水) 13:27:38.70 ID:???.net
- >>4
入れようとしてたのは
config router static
- 6 :dog:2020/07/08(水) 21:51:04 ID:???.net
- v6.2どうよ?
- 7 :anonymous@fusianasan:2020/07/09(木) 15:31:45 ID:???.net
- SSL-VPNで接続したとき、
URLが /proxy/(セッションごとの8文字の文字列)/(vpn内のターゲットアドレス)
という感じになりますが
セッション毎の文字列がアドレスに入らないようにすることは可能でしょうか
- 8 :anonymous:2020/07/10(金) 23:57:24.91 ID:???.net
- Webフィルタリングやアプリケーション制御を設定すると
SSLインスペクションの有効化する必要があると出る
FQDNでのURLフィルタリングや
URLを元にしたアプリ種別の識別だけ(詳細アクションまでや制御は不要)
SSLインスペクションしなくても使える認識だけど
この場合はどう設定すれば良い?
- 9 :anonymous@fusianasan:2020/07/12(日) 14:58:35.48 ID:???.net
- https://licensecounter.jp/engineer-voice/blog/articles/20190529__vol4ipsecvpn.html
こちらを参考に拠点間VPNで、Lan <-> Lan は出来たのですが、特定のグローバルIPのみ
リモートからセンターのWANに流す方法がわかりません。
リモートから特定のサイトにアクセスしたときに、センター経由で接続させたいのです。
素人質問で申し訳ないのですが、教えて頂けないでしょうか。
Fortigate 50E、ファームウェア v6.2.4 を使用しています。
- 10 :anonymous@fusianasan:2020/07/13(月) 16:35:34 ID:oSmKuldJ.net
- すみません、fortigateのipsec vpnのフェーズ1認証方式で、「シグネチャ」というのがありますが、これはどういった挙動となるのでしょうか。
- 11 :anonymous@fusianasan:2020/07/13(月) 16:41:19 ID:oSmKuldJ.net
- >>10
すみません、解決しました。
デジタル署名方式のことですかね。
UTM等のシグネチャに頭がいっておりました。
- 12 :anonymous@fusianasan:2020/07/13(月) 16:57:08 ID:???.net
- ネットワークの勉強用にFGE50を入手しましたが、名前解決で躓いています。
FGE50の物理インターフェース設定を
LAN1:192.168.10.1(DHCP:10~250)
LAN2:192.168.20.1(DHCP:10~250)
として、ポート1にPC_A、ポート2にPC_Bを接続しました。
スタティックルート、IPv4ポリシーも設定し、PC_AからPC_B(逆も)へのipを指定したpingは通るのですが、
名前解決ができず、コンピュータ名でpingが通りません。
FG50EではDNSサーバの設定ができるようなのですが、
どのように設定すれば、異なるインターフェースの名前解決ができるように
なるでしょうか。
なお、FG50EもPCもDNS設定はデフォルトのFortiGuardサーバで、
GUIのDNSサーバ設定画面ではLAN1、LAN2ともにシステム設定DNSへ転送、
としています。
FortiGate 50E ファームは6.0.10です。
- 13 :anonymous@fusianasan:2020/07/13(月) 17:44:52.05 ID:hyhunuNR.net
- wan出れる?
ポリシーで許可してる?
- 14 :anonymous@fusianasan:2020/07/13(月) 19:06:04.03 ID:???.net
- そりゃプロバイダのDNS参照してて
レコードの無いじぶんのPCの名前解決なんぞ出来るわけないですよ。
自分でDNSサーバー建てないと。
Fortigate のDNSサーバー機能はどこまで出来るか知りませんがお勧めはしないです。
- 15 :anonymous@fusianasan:2020/07/13(月) 19:30:49.27 ID:???.net
- >>12
mDNS とか、LLMNRといったプロトコルがどういうネットワークで動くのか考えてみようか
- 16 :anonymous@fusianasan:2020/07/13(月) 21:19:33.85 ID:???.net
- >>15
ありがとう。調べてみます
- 17 :anonymous@fusianasan:2020/07/13(月) 21:46:45.72 ID:???.net
- L3(FortiGate)越えられるんか?
- 18 :dog:2020/07/13(月) 22:11:52.22 ID:???.net
- >>12
同セグメントでは無い為
NETBIOSで名前解決不可
FGのconfig→feature→DNS databaseを使う
- 19 :anonymous@fusianasan:2020/07/13(月) 23:58:39 ID:???.net
- ファーム上げたら特定のメーカーのコピー機のSSLの通信通らなくなったんだけど意味分からん
別メーカーも全部同じようなhttpsのサイト行ってるはずなんだけど
インスペクションルールかと思って全部ルール外しても通らないのが謎過ぎる
- 20 :anonymous:2020/07/14(火) 00:21:55 ID:???.net
- 保守契約してるサポートに問い合わせしろよ無能カス
保守契約してない無能カスなら自己責任だから勝手になんとかしろ
もしくはファーム上げた無能の自分のせいなんだから
元のファームにダウングレードしろカス
- 21 :anonymous@fusianasan:2020/07/14(火) 06:53:47.40 ID:???.net
- なんか嫌なことでもあったの?
- 22 :anonymous@fusianasan:2020/07/14(火) 08:32:11 ID:???.net
- >>21
こーゆー20みたいなネット弁慶っていうか、専門板は精神疾患系の人多いよね。
- 23 :anonymous@fusianasan:2020/07/14(火) 08:49:39 ID:nmdDBYwC.net
- FNDNのFreeプラン入ってるんだけど、評価用ライセンスって有料プラン契約しないともらえんの?
- 24 :anonymous@fusianasan:2020/07/14(火) 09:09:54.82 ID:???.net
- >>20 は煽り運転みたいなもんだから放っておくべし
- 25 :anonymous@fusianasan:2020/07/14(火) 11:06:17.03 ID:???.net
- >>19
6.0.4のリリースノートより
TLS1.2をデフォ値
- 26 :anonymous@fusianasan:2020/07/14(火) 12:51:39 ID:1wtwb3BX.net
- HA組んでモニタポートに設定したIFがダウンしたときそのIFだけ2号機介して通信とか出来ないのかね
- 27 :anonymous:2020/07/14(火) 13:07:46 ID:???.net
- FortigateのActive/Active HA構成は
UTM処理をStandby機でオフロードするだけで
通信処理は必ずActive機だけ
- 28 :↓:2020/07/14(火) 13:54:45.34 ID:???.net
- 装置縮退したとき稼働系に全部寄って
性能不足に成りそうだな
- 29 :anonymous:2020/07/14(火) 14:21:15.84 ID:???.net
- >>28
Active/Active構成なら当たり前の前提
故障縮退中の時間より
正常動作中の時間の方がはるかに長いから
それでも十分に意味がある
故障縮退中の一両日は性能低下してスローダウンすることは
運用条件として客と合意する必要はあるけどな
- 30 :anonymous@fusianasan:2020/07/15(水) 06:44:53.19 ID:???.net
- >>25
マジでありがとう
海外ユーザーが勝手に管理画面からアップデートパス無視してファーム上げてて正直知らんって感じだった
- 31 :anonymous:2020/07/15(水) 07:44:57.91 ID:???.net
- ユーザーが管理画面入って勝手に触れるとか
どんだけ無能なネットワーク管理者だよ
- 32 :anonymous@fusianasan:2020/07/15(水) 14:10:20.64 ID:???.net
- >>31
納入時の保守内容に運用まで入れてねーんだよ
- 33 :anonymous@fusianasan:2020/07/15(水) 16:42:42.77 ID:n0RD7BC8.net
- 現在FortiGate60D(v6.0.6)を使ってるのですが、ゲームなどをダウンロードすると
CPU使用率が100%になってしまうのでFortiGate50Eに入れ替えようと思ってます。
下記のサイトで速度テストした際もCPU使用率が100%になります。
https://www.speedtest.net/
どなたかFortiGate50Eを使ってる人がいましたらCPU使用率がどのくらいになるか教えていただけないでしょうか。
- 34 :anonymous@fusianasan:2020/07/15(水) 18:15:50.77 ID:???.net
- 速度低下が起きてないなら変えなくてもいいんじゃね?
- 35 :anonymous@fusianasan:2020/07/15(水) 18:35:52.93 ID:???.net
- >>33
PPPoEの設定をfortigate側でしてないです?
ルータですればCpuに余裕出るかも
- 36 :anko:2020/07/15(水) 19:04:09.13 ID:???.net
- >>34
同意。
60Dにv6ファームはWebUIが重いだよ
- 37 :anonymous:2020/07/15(水) 21:12:02.88 ID:???.net
- >>33
有効にするUTM機能と個々の詳細設定内容によって結果なんて全く変わるのに
何その頭が悪い無意味な質問?
- 38 :anonymous@fusianasan:2020/07/16(木) 07:02:04.68 ID:???.net
- >>33
PPPoE使ってる?60DでPPPoE接続だとCPU100%になるよ。
- 39 :anonymous@fusianasan:2020/07/16(木) 12:59:10.50 ID:SxOFZcPU.net
- そういう返信が1番頭悪いな
- 40 :anonymous:2020/07/16(木) 13:04:21.99 ID:???.net
- >>39
何その頭が悪い無意味な返信?
- 41 :anonymous@fusianasan:2020/07/16(木) 21:23:28.18 ID:???.net
- 確かに何の意味も無い返信してる奴って
どんな頭の構造してるんだろな。
- 42 :anonymous@fusianasan:2020/07/16(木) 21:57:48.82 ID:???.net
- 頭が本当に悪いから、頭が悪いって罵ることしかできない。
人に必要とされない寂しい人なのでそっとしておいて。
- 43 :anko:2020/07/17(金) 05:45:09.65 ID:???.net
- >>33のconfig晒せばいいんや
- 44 :anonymous:2020/07/17(金) 13:14:43.95 ID:???.net
- >>41,42
じゃあお前が>>33に回答してやれよ?
無価値で無能なゴミ人間じゃないなら(笑)
何その頭が悪い無意味なレスするくらいならさあ(笑)
- 45 :anonymous@fusianasan:2020/07/17(金) 13:50:22.83 ID:???.net
- なるほど、60DでPPPoE接続は糞遅いのか?しらんかった。家の構成がまさにそれだわ。
- 46 :anonymous@fusianasan:2020/07/17(金) 15:46:43.26 ID:???.net
- diag sys top でCPU負荷の高いデーモンを特定してみるのが一番簡単かと。
ipsengine
scanunitd
pppoed
スペック低いと上記が高い実績あり。
pppoedが高負荷なら買い替えも有りかな。
自分も過去にFortiWifi60D使ってた時にpppoedの負荷が高かったので50Eに買い替えました。
これはうろ覚えだけど50Eからはpppoeはソフトウエア処理からハードウエアアクセラレーションに変わった気がする。
んでこの間40Fに買い替えた際にipoeとpppoeデュアルセッションにしたけど、現状だとCPU負荷はssl deep-inspectionを設定しなければ10%越えないかも。
>>ゴミの人
こんなもんで良い?
- 47 :anonymous:2020/07/17(金) 15:54:47.09 ID:???.net
- >>46
遅えーよ無能カスのゴミ人間
>>33は特定できるようなスキルが無いから
頭悪い質問してきてるんだろ無能
>>33でも理解できて実行できるレベルに落として
丁寧に説明してやれよ無能
まず構成や設定の判断に必要な情報を
ヒアリングして確認するのが先だろ無能
> これはうろ覚えだけど50Eからはpppoeは
> ソフトウエア処理からハードウエアアクセラレーションに変わった気がする。
のソースを出せよ
バカのうろ覚えの妄言や思い込みじゃなくて
- 48 :anonymous:2020/07/17(金) 16:10:36.26 ID:???.net
- 無能>>46の変わりにソース貼ってやるよ
Reponse du support fortinet :
According to http://docs.fortinet.com/uploaded/files/2151/fortigate-hardware-accel-526.pdf page 74:
"NP4 session fast path requirements:
//...//
Layer2 type/length must be 0x0800 (IEEE 802.1q VLAN specification is supported); link aggregation between any network interfaces sharing the same network processor(s) may be used (IEEE 802.3ad specification is supported)"
0x0800 is Ethertype of IPv4 over Ethernet.
Point-to-Point Protocol over Ethernet (PPPoE) is a network protocol for encapsulating PPP frames inside Ethernet frames and has ethertype 0x8863 and 0x8864, meaning that it cannot be offloaded.
So all traffic hits CPU and throughput reached is much smaller due to CPU getting high when packets are handled by it (throughput values in the unit specifications are for offloaded traffic to NPU).
In order to have better transfer results you will have to migrate from PPPOE type of external connectivity or use a bigger unit.
Or, as you noted, you can use another unit in front of the FortiGate in bridge mode, to perform the PPPOE encapsulation.
解決策としてはPPPoE接続だけ別のルータを挟んでやらせる
(中古で数千円のCiscoやヤマハの古いルータでも可)
- 49 :anonymous@fusianasan:2020/07/17(金) 18:24:56.57 ID:fLO/NbTk.net
- 論破されてて草
- 50 :anonymous@fusianasan:2020/07/17(金) 21:18:15 ID:???.net
- 47と48は別人?
- 51 :anonymous@fusianasan:2020/07/17(金) 22:09:23 ID:???.net
- fortigate50eと安い市販の無線ルーターを接続して、dhcpとかはfortigateで無線の接続だけ無線ルーターにしたいんだけど出来ますかね?
fortiAP買わないといけない?
- 52 :anonymous@fusianasan:2020/07/17(金) 22:35:06.30 ID:???.net
- >>51
余裕でできる。
むしろ何故できないと思うのか不思議。
- 53 :anonymous@fusianasan:2020/07/18(土) 08:27:12.37 ID:???.net
- >>52
thx
- 54 :anonymous@fusianasan:2020/07/18(土) 12:13:34.42 ID:???.net
- >>38,48の内容に対して
なんの価値も無い内容じゃねーか>>47この無能ゴミ(失笑)
- 55 :anonymous@fusianasan:2020/07/20(月) 18:27:00.66 ID:h3bkBWCy.net
- IPアドレスフィルタリング機能が使いたいためだけにfortigate-80eを使っているんだけど実は無駄だったりする?
- 56 :anonymous@fusianasan:2020/07/20(月) 20:20:28.15 ID:???.net
- 釣りだろうけど、一応。
む・だ!
すっきりした?
総レス数 1001
274 KB
新着レスの表示
掲示板に戻る
全部
前100
次100
最新50
read.cgi ver.24052200