２ちゃんねる ■掲示板に戻る■ 全部 1- 最新50

■ このスレッドは過去ログ倉庫に格納されています

Fortigateについて語ろう5

188 ：185です：2021/01/21(木) 19:30:33.02 ID:???.net: ひかり電話あり契約だけど、HGW使いたくないのでONU直下にFortigate接続しても、同じ設定でいいの？
189 ：anonymous@fusianasan：2021/01/21(木) 19:38:48.67 ID:???.net: >>188
>>187のサイトを読もう
190 ：anonymous@fusianasan：2021/01/21(木) 19:43:35.80 ID:???.net: ひかり電話ありで契約してたらNGN側はDHCPv6-PD設定になってる
その状態でHGW外してCPEをONUに直結したいならDHCPv6-PDクライアント設定にする必要があるけどRAのパターンしか対応してないかと
あと、IPoEは固定IPサービスのみ対応
191 ：185です：2021/01/21(木) 20:04:57.24 ID:???.net: YAMAHA RTXの場合は、RAとDHCPv6-PDの場合は設定が違うんだけど・・・
もう少しFortigate-60Fいじくって勉強してみます。
ありがとうございました。
192 ：anonymous@fusianasan：2021/01/21(木) 22:23:45.34 ID:???.net: ipv6難し過ぎるわ～
prefixをdelegationとか～何言うてまんねん？ｗｗｗｗｗｗｗｗ
って感じ🥺
193 ：anonymous@fusianasan：2021/01/24(日) 17:35:26.32 ID:???.net: >>192
同じく。
分からないからDHCPにしちゃってるけど、やっぱり割り当てられてない
194 ：anonymous@fusianasan：2021/01/24(日) 23:49:49.20 ID:SsLZePyC.net: IPv6決めたときにDNS配るのは俺の仕事じゃねえ！とか意地張った奴らのせいなんだよな
いっそ飛ばしてインターネットに特化したIPv7とか作って欲しいレベル
195 ：anonymous@fusianasan：2021/01/25(月) 00:12:34.80 ID:???.net: 基本はRAでもらうIPv6プレフィックスもらう前提だよ　＞　FortiGate
だから、ひかり電話契約の場合はHGW/ひかり電話対応ルータなりの下につないでRAでIPv6プレフィックスもらう
ひかり電話契約なしの場合はONUに直結してRAでIPv6プレフィックスもらう

ひかり電話契約してて、ひかり電話対応のHGWというかルータ外して（ひかり電話つぶして）
ONUに別のルータ直結って需要はあんまりないんじゃないかね
196 ：anonymous@fusianasan：2021/01/25(月) 00:14:13.42 ID:???.net: なんか変な文章になってた
「基本はRAでPv6プレフィックスもらう前提だよ　＞　FortiGate」でした
197 ：anonymous：2021/01/25(月) 02:23:08.20 ID:???.net: ひかり電話契約してONUと直結したいって人はDHCP-PDで複数セグメント分のv6アドレスが欲しいんじゃないかな
IPv4ならVLANで複数セグメントに分けてるけどv6は単一セグメントって気分的に微妙じゃない？
198 ：anonymous@fusianasan：2021/01/25(月) 02:28:42.53 ID:???.net: ひかり電話ありの契約
ONU--<DHCPv6-PD(/56のprefix払い出し)>--HGW---<RAで/64のprefix払い出し>---CPE or PC
ひかり電話なしの契約
ONU--<RAで/64のprefix払い出し>---CPE or PC

くらいを知ってればいいと思う

>>197
そこまでわかって設計する人は多分ここで「繋がらない」とは言ってない気がする
199 ：anonymous@fusianasan：2021/01/25(月) 09:19:20.50 ID:voBwg2t/.net: すみません、過去の流れを読んでみたのですが、結論が出なかったのでご質問です。
FortiGateでv6プラス(IPoE v4 over v6)に対応できるのはFOS v6.4からなんでしょうか。
また、下記手順書にあるような固定IPプランでないと駄目という事でしょうか。
https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-ocn-ipoe-fixip.pdf
200 ：anonymous@fusianasan：2021/01/25(月) 09:39:39.57 ID:???.net: >>199
その通りです
201 ：anonymous@fusianasan：2021/01/25(月) 13:20:32.92 ID:???.net: 流れで教えて。
NURO光（F660A/F600）でIPv6ってどうやれば…
202 ：anonymous@fusianasan：2021/01/25(月) 18:42:45.58 ID:voBwg2t/.net: >>200
ありがとうございます！スッキリしました。
203 ：anonymous@fusianasan：2021/01/25(月) 19:36:19.76 ID:???.net: FortigateでIPoEって皆企業ユースなの？
わざわざFortigateをフレッツのCPEにするユースケースがピンと来ない
204 ：anonymous@fusianasan：2021/01/25(月) 20:36:49.64 ID:???.net: このスレは自宅用途のほうが多いんじゃないの？
205 ：anonymous@fusianasan：2021/01/25(月) 20:59:11.73 ID:???.net: 家庭で使うレベルのFortiGateはPPPoEもよわよわだしIPv4overIPv6をやらせるとかスループット悪そう
これはもうルーターの下に透過モードで置いて使うものだと思って割り切ってる
206 ：anonymous@fusianasan：2021/01/25(月) 21:45:58.66 ID:JuThGp4z.net: >>205
機種にもよるんでは？
テスト用にFortigate-60Eライセンス付きヤフオク中古買って最新のファームにできた。
がしかし、
https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-jpne-v6plus.pdf
説明通りやってみたがipv6さえも接続できない。もちろんipv4トンネルもできんわな。
207 ：anonymous@fusianasan：2021/01/25(月) 21:50:33.80 ID:???.net: ipv6接続すら出来んのは流石に勉強が足りんやろ？
208 ：anonymous@fusianasan：2021/01/25(月) 21:50:44.12 ID:???.net: IPoEで繋がらないって人は固定IPサービスを契約した上で言ってるのかな
安いプラン（共有型）は繋がらないよ
209 ：206：2021/01/25(月) 22:20:14.33 ID:JuThGp4z.net: >>208
もちろん固定IP8個のサービスです。
210 ：206：2021/01/25(月) 22:21:35.76 ID:JuThGp4z.net: 勉強の問題ではないよ
pdfの解説がダメダメ
ドキュメントはやっぱりYAMAHAだよなあ
211 ：anonymous@fusianasan：2021/01/25(月) 22:23:23.10 ID:???.net: IPv6の接続設定ができない時点で（ｹﾞﾎｹﾞﾎ）
212 ：anonymous@fusianasan：2021/01/26(火) 01:46:47.98 ID:???.net: v6のアドレスと言うかプレフィックス取得のための設定はCLIで2,3行程度なんだが
それがうまくいかないのは正直オマ環としか思えない
213 ：anonymous@fusianasan：2021/01/26(火) 04:23:41.88 ID:???.net: 繋がんねーバージョンのファーム無かったっけ？
最新のは繋がったはずだが設定次第か
214 ：anonymous@fusianasan：2021/01/26(火) 10:50:31.86 ID:???.net: IPoE前提ならほぼ最新のものを使うしかないからIPv6のprefixが取得できないって問題は無いかと
215 ：206です：2021/01/27(水) 20:02:33.13 ID:???.net: ネットワークの知識と言うか、ハードの設定知識＆コツが必要なんだよね。
YAMAHA CLIも苦労したが、今はもう慣れた。
アライドのコマンドは分かりやすい、unixライクでコメントもconfigに残せるし。
マニュアルなしでも感覚的にわかりやすかった最高の機器がSonicwallだった。最近は見る影もないけど。
で、Fortigateは売れている割には、Web設定ムズイね、一つ一つの機能が感覚的に全然わからん、マニュアル見ないと。今勉強中。
速度も値段の割にはショボいし。
何でこんなんが人気あるのか、さっぱりだ。
216 ：anonymous@fusianasan：2021/01/27(水) 23:03:30.38 ID:???.net: どうしてって安いから人気あるんだよ
217 ：anonymous@fusianasan：2021/01/28(木) 01:46:15.48 ID:???.net: コスパはええよなコスパは
218 ：anonymous@fusianasan：2021/01/28(木) 03:01:53.19 ID:???.net: 安さ以外ないわな
まともなUTMを使いたいんだったらPalo勧める
219 ：anonymous@fusianasan：2021/01/28(木) 10:45:54.21 ID:???.net: Fortigateをマニュアル見ないとわからんって…
220 ：anonymous：2021/01/29(金) 14:21:55.70 ID:???.net: ヤマハがUTM出すっていうから対抗して値下げしてくれないかなー
安価なUTMでそこそこ使えるってので売れてるけどヤマハのUTMの完成度高かったらローエンドモデルはわりかしやばいやろ
221 ：anonymous@fusianasan：2021/01/29(金) 21:28:09.66 ID:???.net: ヤマハのやつはCheckPointと協業らしいから、値段も機能も期待できないんじゃない?
222 ：215　206です：2021/01/29(金) 22:05:47.27 ID:???.net: >>217
なんでや？
YAMAHAの方がコストパフォーマンス最強
１０年以上前のRTXでも無料でファーム更新できるし、サポートメール＆電話も無料だ。
本体価格より高いライセンス料のFortigateが詐欺に見えてくる。
223 ：anonymous@fusianasan：2021/01/30(土) 05:50:46.62 ID:???.net: UTM度外視でコスパを語られてもな
224 ：anonymous@fusianasan：2021/01/30(土) 10:20:26.42 ID:DmcvviCn.net: FortiはPAよりずっと安上がりなんやで！！
225 ：anonymous@fusianasan：2021/01/30(土) 14:47:12.29 ID:???.net: PAはヤマハで親しんだ人には無理じゃね
ヤマハとフォーティが協業した方が中小のパソコンの先生情シス担当には向いてる気がするのに
226 ：anonymous@fusianasan：2021/01/30(土) 19:40:48.76 ID:???.net: 先日、Fortigate-60F新品を初めて購入し初めていじくりました。シスコとYAMAHA RTXからの乗り換えです。

CLIコマンドでWANインターフェースにIPv6アドレスを設定したのですが、Web-GUI画面ではipv4しか表示されないのですが、故障ですか？
同様にIPv6ポリシーの作成もWeb-GUIで確認できません。
再起動してCLIのshowコマンドではちゃんと設定されています。

Fortigateってこんなにしょぼいのですか？
それともなんか他に見るところ間違っているのでしょうか？
227 ：anonymous@fusianasan：2021/01/30(土) 20:16:16.26 ID:???.net: System > Feature Visibility>IPv6
228 ：anonymous@fusianasan：2021/01/30(土) 20:39:20.27 ID:???.net: ショボいのはお前の脳みそ
229 ：anonymous@fusianasan：2021/01/31(日) 14:26:44.13 ID:0mONG/cZ.net: FOS古いんじゃね？
230 ：anonymous@fusianasan：2021/01/31(日) 14:36:29.76 ID:???.net: Fortigateがしょぼいのは否定は出来んが、
中小零細家庭向けには最高や！
231 ：anonymous@fusianasan：2021/01/31(日) 14:47:18.07 ID:???.net: あのUIでしょぼいっていったらPaloaltoみたらcomitで発狂しちゃうんじゃね
FWX120/SRT100のフィルタ設定の方がしょぼいというか意味わかんなくなってくる
232 ：anonymous@fusianasan：2021/01/31(日) 21:09:37.13 ID:???.net: fortigateもparoもSRXもSSGもケチをつけようと思ったらいくらでも出てくる
233 ：anonymous@fusianasan：2021/02/02(火) 00:19:06.75 ID:???.net: どのメーカの装置でも「しょぼい」って発言する人は目の前の機器を正しく設定できないから感情的になって言ってるようにみえる
「使い方がわからない/設定が難しい」→「装置がしょぼいせいだ（自分は悪くない）」みたいな
マニュアル読んだ上で「説明書いてないじゃん」って言う人は居ないし
234 ：anonymous@fusianasan：2021/02/02(火) 02:32:37.30 ID:WwfUKq3F.net: 正直Fortigateに対抗が無い
性能も価格も機能も勝てるやつおらんやんけ
235 ：anonymous@fusianasan：2021/02/03(水) 13:38:16.40 ID:9nNizuaK.net: >マニュアル読んだ上で
最近のトレンドは、マニュアル読まなくても直感的にわかるようにするべきで、Fortigateはその点が抜けている。
ダメダメＵＴＭの部類。
SonicWallやSophos系は最高です。
236 ：anonymous@fusianasan：2021/02/03(水) 13:43:53.97 ID:???.net: まぁ細かな設定はCLI必要だったりするが、
ちなFortigateのCLIは好きになってきた。
Fortigate慣れてからCisco触ると、なんだこの糞CLIは？
昭和か？！と思ってしまう。
237 ：anonymous@fusianasan：2021/02/03(水) 14:20:25.17 ID:???.net: CiscoでIOS、IOS-XE、XR、ASA、FPとかいろいろ触ってきた人だとGUIもCLIもシンプルに感じると思うけど
家庭用ブロードバンドルータくらいしか触ってない人がFortiGateをいきなり触ると難しいかもしれないね
どの製品だろうが触る人のスキルレベル次第で感想がコロコロ変わるってことなんだよね
238 ：anonymous@fusianasan：2021/02/03(水) 14:40:33.99 ID:???.net: 普段Forti,Paloいじってる身としては、確かにASAとかFPはわけわかめだったな。
Sophosは7年くらい前にUTMアーキテクトとか言うの取らされたけどこれもUI文化が違いすぎて苦労した覚えがある。
239 ：anonymous@fusianasan：2021/02/03(水) 16:09:57.13 ID:???.net: >>235
その直感もその人のスキルと慣れによるんだよね
240 ：anonymous@fusianasan：2021/02/03(水) 16:21:21.12 ID:???.net: iPhoneだってAndroidしか触ったことない人からしたらクソUIだよ
241 ：anonymous@fusianasan：2021/02/03(水) 22:30:28.16 ID:???.net: ひかり電話有りのipoe環境で
internalにprefix delegationしてInternal側の端末はipv6通信出来るようになってるんだけど、
fortigateのwan側にipv6グローバルIPを付与したいけどわからない。
fortigateからインターネットのipv6にping打つと送信元ipはinternalインターフェイスのipv6グローバルIPになってる。
242 ：anonymous@fusianasan：2021/02/03(水) 23:01:13.32 ID:???.net: >>235
嫌ならFortigateをやめたらいい
243 ：anonymous@fusianasan：2021/02/03(水) 23:37:31.48 ID:???.net: commitしないで反映されるのは嫌って人はいたな
244 ：anonymous@fusianasan：2021/02/04(木) 00:08:37.32 ID:???.net: っWorkspace Mode
245 ：241：2021/02/04(木) 08:39:38.65 ID:???.net: fortigateの状態確認したら/60プレフィックスまるごと委任されてんのね。
これはwan側に付与するグローバルアドレスが余ってないって事か？
246 ：anonymous@fusianasan：2021/02/04(木) 12:03:00.08 ID:???.net: そもそもPDの動作を知らない？
247 ：241：2021/02/04(木) 12:20:02.38 ID:???.net: 全然詳しく知らん
PD委任元のHGWでPrefix Exclude設定とかして
プレフィックス全部委任しないように出来るんか？

みんなはFortigateとHGWの間のセグメントにグローバルIPv6を付与したい時はどうしてるんだ？
248 ：anonymous@fusianasan：2021/02/04(木) 12:32:32.08 ID:???.net: 一般的にはHGWがRA（/64）でLAN側にPrefix払い出すかと
だから、FortiGateはRAでIPv6アドレスを自動設定するようにすればいい

config system interface
edit wan1
config ipv6
set dhcp6-information-request enable
set autoconf enable
end

Prefixもらうだけならautoconfだけでいいかもだけど
249 ：241：2021/02/04(木) 12:50:30.49 ID:???.net: それはひかり電話有りでもですか？
自分はwan1のコンフィグは以下にしてます。
config ipv6
set ip6-allowaccess ping
set dhcp6-prefix-delegation enable
set autoconf enable
end
250 ：anonymous@fusianasan：2021/02/04(木) 13:05:54.58 ID:???.net: >>249
>>185-200あたりを読むといいんじゃないかな

普通はひかり電話だったらHGWがPD受けてLAN側にPAでプレフィックス払い出す
で、FortiGateはそのRAでIPv6自動設定（PDは使わない）
そもそもひかり電話契約しててHGW外したらひかり電話使えなくなるんじゃないのかな
251 ：anonymous@fusianasan：2021/02/04(木) 13:40:52.37 ID:???.net: ひかり電話が契約か機器構成か分からんが
家庭向けのひかり電話ルーターならPD要求には/60のPDを返す
PD外側はGLAふらずLLA使う

一般的とか普通とか決めつけずLAN内の構成でRAかPDか選ぶもんだ
252 ：241：2021/02/04(木) 14:36:42.05 ID:???.net: う～む。自分の理解が怪しいので勉強せねばいかんが、

>>250の方法（PDじゃなくてRA）ってfortigateのwan側にIPv6グローバルが1個割り当てられる。
プリフィクスDelegationじゃないので、lan側には割り当てられない。

>>251の方法は自分がfortigateに設定している方法で/60プリフィクスをHGWからfortigateに委任される方法。
で自分はfortigateのlan側に委任されたプリフィクスのうち/64を1個割り当ててるが、wan側はリンクローカルアドレスになっている。（wan側がリンクローカルアドレスになるのはPDの仕様？）
自分はawsとipv6のVPNを張りたいのでwan側にもグローバルアドレスを割り当てたかったです。
253 ：anonymous@fusianasan：2021/02/04(木) 15:04:07.63 ID:???.net: RAでLAN側にIPv6のアドレス割り当てたかったらnd-proxy使えばいいとおもう
https://haruka-note.hateblo.jp/entry/20200511_forti-ipv6
254 ：anonymous@fusianasan：2021/02/05(金) 08:11:24.99 ID:???.net: >>236
おらCiscoで育ったからFGのCLIは比較的やりやすいと思うがなぁ

尚某楽器メーカーのACLは何度やっても慣れない…(´・ω・`)
255 ：anonymous@fusianasan：2021/02/05(金) 09:07:29.41 ID:???.net: LAN側アドレス指定すれゃいい
指定対向アドレスLAN側、トンネル終端LAN側が基本の形
VPNサーバなら裸で外に置かずルータ/FWの内側に立てて外からつつけるアドレスあれば割り当てる
それがルータに相乗りしてるだけ

ルータでやるから
WAN側アドレス、WAN側トンネル終端を選べる
対向からみたアドレスと、トンネル終端のインタフェースを別に選べる　
NAT環境だとWAN側アドレスしか指定できないでWAN側アドレス指定/NAT,FW/LAN側トンネル終端になる
これのNAT,FWめんどくさがりVPNサーバを外に出したのがWAN側アドレス指定トンネル終端

先にv4のしがらみ忘れてv6のアドレッシング学ぶべし
256 ：241：2021/02/05(金) 12:34:23.60 ID:???.net: 確かにipv6でVPN張るのが目的なのでLAN側グローバルIP使ってVPN張れば完了かもしれないですけど
wan → lanのFirewallポリシーでIKEとESP許可するのが（気分的になんとなく）嫌というのと、
このURL（ https://www.seil.jp/blog/10.html ）の内容が正しければHGWからPrefix Delegationを委任された構成でも、委任されたPrefix とは別のPrefix をwan側インターフェイスに割り当てる事が出来るはず。
出来るのであれば妥協せずにやりたいと言う気持ちの方が大きい。（ここからはVPN張るのが目的じゃなくなって来てますが。）
このスレでipv6 prefix delegationされててwan側にも普通にグローバルIP割り当て出来てるよ。って人いないですか？
257 ：anonymous@fusianasan：2021/02/05(金) 23:43:08.69 ID:???.net: >>254
TelnetでACL入れて自爆はみんなやるよな
アライドがCiscoライクになって不便・・・
スレチだが
258 ：anonymous@fusianasan：2021/02/06(土) 04:41:38.87 ID:???.net: PDはルータの上流側IFに割り当てるためのものではないので(RFC 3633のUpon the receipt of a valid Reply message...のところ)、
そっちはRAなりDHCPv6のIA_NAなりのひかり電話ルータが対応している方法で別途取得するよう設定してください

どうしても1個のPDで済ませたい人のためにPrefix Exclude Optionというのもあるが(RFC6603)、たぶんひかり電話HGWは喋ってくれない
259 ：anonymous@fusianasan：2021/02/06(土) 04:42:28.19 ID:???.net: IPv6スレで返事しようとして間違えちったスマンコ
260 ：anonymous@fusianasan：2021/02/06(土) 17:30:36.83 ID:???.net: HGWからのRAってMフラグが１か０か知らんけど、
そもそもFortigateって、RAでPrefixを受けてもIPv6アドレス自動生成する？（Mフラグ0の場合）
スタティックで設定しないと出来なくね？
261 ：anonymous@fusianasan：2021/02/06(土) 17:34:02.83 ID:???.net: HGW配下はやったことないけど、ひかり電話なしプランのONU直結で/64でIPv6アドレス自動生成されるよ
設定間違ってるんじゃね？
262 ：anonymous@fusianasan：2021/02/07(日) 04:15:55.87 ID:???.net: >>257
お前は俺かw
遠隔地のACL機器入れるときに順番間違ったりするパテーンな。

最近もおいそれと遠隔地のACLをCLIでいじったりするのは神経すりへるよね。

うちもIPv6対応してるからファーム上げるのと併せてやろっかな…
263 ：anonymous@fusianasan：2021/02/12(金) 22:22:44.52 ID:???.net: OCNのバーチャルコネクトの対応ルーターにFortigate 50Eが入ってないのはなんでなん？
ファーム6.4.2でもあかんのん？
264 ：anonymous@fusianasan：2021/02/13(土) 10:58:37.80 ID:hsy/b2H6.net: OCN光フレッツの IPoE 固定IP1で
fortigate60EでIpsec VPN張りたいんですけど、
インターフェースのアドレスの所はどう入力したらいいでしょうか。。。
アドレッシングモードDHCPでアドレスだけ入力しても接続できなくて。。。
基本的な事ですみません。。。
宜しくお願い致します。
265 ：anonymous@fusianasan：2021/02/13(土) 12:48:29.54 ID:???.net: ipv6ならautoconfをenableにすれば
RAからSLAACで自動生成されるが、それが半永久的に固定なんかどうかは知らん。
266 ：263：2021/02/13(土) 17:24:05.00 ID:???.net: 自決しました。(ヽ´ω`)
267 ：anonymous@fusianasan：2021/02/14(日) 23:23:44.78 ID:???.net: >>264
IPv4でのIPsec VPNってことかと思うけど、IPoEでIPv4アドレスが自動設定されたら
後は通常のIPsec設定と同じですよ

>インターフェースのアドレスの所はどう入力したらいいでしょうか。。。
IPsecの論理インターフェースにIPアドレス付与ってことでしょうか？
トンネルモードで使うのであればリンクモニタ的なこととかしないのであればIPアドレスの設定は不要です
268 ：anonymous@fusianasan：2021/02/15(月) 13:17:49.17 ID:???.net: こんなネットワークがあるとして、

INTERNET
|
Fortigate 50E(v6.0.10)
LAN1(192.168.1.0/24) LAN2(20.0/24)
| |
| ルータA(192.168.20.254)
| [86.0/24]
| |
| プリンタ(192.168.86.201)
|
PC(192.168.1.2)

これ、ルータAネットワークからPCにはアクセスできるけど、
PCからルータA内のネットワークにアクセスできない。
どうルーティングすればいい？

スタティックルート
宛先：192.168.30.0/24
ゲートウェイアドレス：192.168.20.254
インターフェース：LAN2
でOK？
269 ：268：2021/02/15(月) 13:21:34.53 ID:???.net: 色々投稿失敗した…

FGのLAN1が1.0/24で
FGのLAN2が20.0/24
ルータAのネットワークは86.0/24
です

で、宛先は宛先：192.168.30.0/24　じゃなくて宛先：192.168.86.0/24
270 ：anonymous@fusianasan：2021/02/15(月) 13:39:00.85 ID:???.net: それでいいけど、ここで聞くより
その設定を試したした方が早いでしょうよ
入れてるけど通らないのか？
ルーターAでNATしてる落ちか？
271 ：anonymous@fusianasan：2021/02/15(月) 13:53:06.20 ID:???.net: どうルーティングすればいいって、スタティックなりかけば良いんじゃないの？
それと、FWポリシー
272 ：268：2021/02/15(月) 13:58:30.24 ID:???.net: >>270
ありがとう。
試したけどダメでルータA側のサポートに問い合わせ前に念の為と思いまして。

ルータAではNATしてます。
273 ：anonymous@fusianasan：2021/02/15(月) 14:21:09.02 ID:???.net: >>206
当方も同じ状況でまったく繋がらない
このPDF文書の通りやってv6プラス固定IPサービス使用してる人いるんかいな？
それとも、この設定の前or後に何かやっておかなければならない設定とかあるのでしょうか？
274 ：anonymous@fusianasan：2021/02/15(月) 14:45:17.42 ID:???.net: >>273
>>206と同じってことはIPv6アドレスも設定されてないってことかな
だったらまずはIPv6アドレスが付与されないとこのトラブルシュートからだね
275 ：anonymous@fusianasan：2021/02/15(月) 16:54:12.86 ID:???.net: >>272
NATしてるて…
スタティックルート言う以前の問題ですよ

ルーターAがどこのメーカーか判らんから
どの言葉使ってるか知らんけどポートフォワーディングとか
静的NATとか宛先NATみたいなものを使いなされ
これ以上はスレチだからここまでな
もっと勉強してくれ
276 ：anonymous@fusianasan：2021/02/15(月) 18:20:09.04 ID:???.net: IPv6アドレスの取得すらできないのであれば、他のIPoEルータ持ってきたところで繋がらないからなぁ
277 ：anonymous@fusianasan：2021/02/15(月) 19:14:58.95 ID:fFlqDs2y.net: >>275
もちろんポート転送はしてる（検証のために1-65535）けどダメなので、
サポートに問い合わせるとともに一応の確認のために聞いてみたのです。

ちなルータはGoogle Wifiです。
278 ：anonymous@fusianasan：2021/02/15(月) 21:24:29.55 ID:???.net: >>277
書き込むスレを間違ってるのでこっちでやってください

ネットワークに関する疑問・質問 Part39
https://mevius.5ch.net/test/read.cgi/hack/1612935664/
279 ：anonymous@fusianasan：2021/02/20(土) 12:49:45.20 ID:???.net: なこたぁないわ
ドンドン質問して、どんどん答えてあげよう！
280 ：anonymous@fusianasan：2021/02/21(日) 00:38:55.86 ID:???.net: 質問するにしてもFortiGateと無関係の質問は遠慮してほしい
281 ：anonymous@fusianasan：2021/02/21(日) 17:40:48.76 ID:???.net: ネットワークの一般知識については、自習して欲しいとは思います。
282 ：anonymous@fusianasan：2021/02/21(日) 21:59:22.54 ID:???.net: まぁ、277はFortigateとルーターの切り分けしたくての質問なのでスレ違いではないでしょう。
283 ：anonymous@fusianasan：2021/02/21(日) 23:31:00.40 ID:???.net: まぁ、レス読んでいけばわかるよ　＞スレチ
284 ：anonymous@fusianasan：2021/02/22(月) 01:10:30.33 ID:???.net: 描いてある構成の中のルータにNATがある時点で自宅内LANっぽい話だけど、そういった質問する人って自宅のLANをちょっと触った程度の経験くらいだから前提となる基礎知識が微妙なんだよね（IPv6が付与されないとかの人とかも同じく・・・）
正直FortiGateをどこまで使いこなせてるんだろとは思う
285 ：anonymous@fusianasan：2021/02/22(月) 02:37:08.85 ID:???.net: ルーターAのDNAT設定してあるんならルーターAの192.168.20.254宛に開放したポート叩くだけなのに
それができてないって事はパソコンから叩くアドレスからして間違ってそうじゃん
FG挟まないでルーターAのWAN側にPC置いたときにちゃんと望む動作ができる事を確認してから
FGの設定が間違ってるかどうかを疑うのが筋じゃないです？
286 ：anonymous@fusianasan：2021/02/22(月) 02:53:39.82 ID:???.net: トラシューやるならdebugコマンドでログ見るとかパケットキャプチャ機能もあっていろいろ方法があるのに
「動かない！」って人からそういう切り分けや解析をした話が出たこと無いんだよね
設定が難しいと思う人はバッファローあたりを使ったほうが良いと思う
287 ：anonymous@fusianasan：2021/02/22(月) 03:01:31.14 ID:???.net: >>285
ほんとその通りで、初心者の人ほど設定/構成を簡素化して問題の切り分けを行うってことが出来ないんですよね
とりあえず色んなものつなげて、いざ試したら動きませんでした、さて何が悪いですか？ってのが多い
288 ：anonymous@fusianasan：2021/02/22(月) 11:55:56.40 ID:???.net: と、偉そうな事を言っているようだが、
このスレは難しい質問来たらまともに答えられる人はほぼいない。
289 ：anonymous@fusianasan：2021/02/22(月) 11:59:39.30 ID:???.net: 普通のことだけどね、切り分けとか
290 ：anonymous@fusianasan：2021/02/22(月) 12:06:45.98 ID:???.net: 基本的に高度な質問は来ないしね
「動きません」という投稿があって、切り分けを奨められてもその後レスが無くなるし
291 ：anonymous@fusianasan：2021/02/22(月) 12:09:24.31 ID:???.net: このスレにはエスパーが少ない気はする
292 ：anonymous@fusianasan：2021/02/22(月) 12:24:41.30 ID:???.net: 当たり前のことが偉そうに聞こえる人に対してはエスパーじゃないと無理だもんな
293 ：anonymous@fusianasan：2021/02/22(月) 19:27:20.62 ID:???.net: ポンコツは他人に説明する能力がなく
聞く最低限の躾けが成ってない
294 ：anonymous@fusianasan：2021/02/22(月) 22:01:57.10 ID:???.net: >>293
雑魚は喋るな
295 ：anonymous@fusianasan：2021/02/23(火) 00:38:24.91 ID:???.net: 転職した先でFortigate初めて触ったんだが、
Quakeのマルチホストサーバ用の設定が(ちゃんと名前入りでポート通す設定)入ってんだが
これデフォなん？
296 ：anonymous@fusianasan：2021/02/23(火) 00:45:33.79 ID:???.net: サービスオブジェクトのことを言ってるのであれば入っているかと
FWポリシー設定は別だけど
297 ：anonymous@fusianasan：2021/02/23(火) 03:07:22.45 ID:???.net: >>295
昔から入っていますよ
298 ：anonymous@fusianasan：2021/02/26(金) 02:24:01.67 ID:???.net: 購入を検討してるんだけど、ここはやめとけな代理店ある？
299 ：anonymous@fusianasan：2021/02/26(金) 11:57:16.20 ID:???.net: 日本の代理店はどこも💩
手続きが遅いから必ずライセンス切れ期間が発生する
数ヶ月遅れもザラ
やる気なし
300 ：anonymous@fusianasan：2021/02/26(金) 20:41:30.72 ID:???.net: なんでFWポリシーでワイルドカード＊使えないの？？
301 ：anonymous@fusianasan：2021/02/26(金) 21:06:04.66 ID:???.net: 何のワイルドカードのことなんかね
302 ：anonymous@fusianasan：2021/02/26(金) 22:18:59.64 ID:???.net: >>241
IPoEでちゃんとアドレスが割り振られているならば、wan側のi/fへipv6 アドレスは振られていると思いますよ
# diagnose ipv6 address list
で確認してみてください

icmpの送信元については、
# execute ping6-options interface <interface>
で、outgoing interface を指定すれば状況が変わるかもしれませんね
303 ：anonymous@fusianasan：2021/02/27(土) 11:16:56.75 ID:???.net: >>301
ホストのFQDNにワイルドカード使いたいんだよね。＊.google.comみたいに。
304 ：anonymous@fusianasan：2021/02/27(土) 11:48:52.94 ID:???.net: 　
>>303

https://kb.fortinet.com/kb/documentLink.do?externalID=FD48524

6.2からip address をキャッシュする形で対応しています。

FW ポリシーはあくまで ip layerの機能なので、DNS の挙動に合わせて ip address をキャッシュする事で対応したんでしょうね
305 ：anonymous@fusianasan：2021/02/27(土) 15:10:12.01 ID:???.net: お前らの仲間入りがしたくて、オクでライセンス切れの60D落としだんだけど、
最新のファームを入手するには、なんか代理店とかと保守契約みたいの必要なの？
（現状のファームウェアバージョン　v5.0,build0318）

ひとまずファーム更新して、勉強しようと思ったけど、このバージョンでも勉強になるのだろうか。
306 ：anonymous@fusianasan：2021/02/27(土) 15:39:50.14 ID:???.net: >>305
保守契約にfirmwareのupgrade権がついているので、切れてる場合は無理。
また60DはFortiOS 6.0.x までしか乗らない

現行のfirmwareでfirewallとしては使えるが、utm機能は利用できないと考えるのが良いかと

Cliに慣れたい、firewallとして使ってみたいってことなら使えるかと
documentはこちら
https://docs.fortinet.com/product/fortigate/5.0
307 ：305：2021/02/27(土) 15:47:33.27 ID:???.net: >>306
親切にありがとー。
ひとまずこれで勉強してみるよ。

何かあったらまた質問させて下さい。
308 ：anonymous@fusianasan：2021/02/27(土) 17:39:07.08 ID:???.net: ちょっと触ってみたいくらいであればAWSマケプレのFreeトライアルとかでもいいかも
309 ：anonymous@fusianasan：2021/02/28(日) 15:25:12.96 ID:???.net: もうすぐ7.0が出るってよ
310 ：anonymous@fusianasan：2021/02/28(日) 18:11:27.90 ID:???.net: >>304
ありがと！バージョンアップからか…。
311 ：anonymous@fusianasan：2021/02/28(日) 18:18:43.44 ID:???.net: *.live.comのアドレスオブジェクトのこと？
んなもん家のv5.2にもあるがや
312 ：anonymous@fusianasan：2021/02/28(日) 18:21:06.18 ID:???.net: >>311
>>304のKBくらい見ようよ
313 ：anonymous@fusianasan：2021/03/01(月) 00:16:00.65 ID:???.net: うちはファームのアップグレード制限があって60Dから50eに切り替えたな

中古を１万で性能もほぼ落ちないし割と使い勝手いいからかなり助かってる
314 ：anonymous@fusianasan：2021/03/01(月) 06:58:14.45 ID:???.net: 50Eは6.4対応してないからな～。
60Eの値崩れ待ちだな。
315 ：anonymous@fusianasan：2021/03/03(水) 12:14:43.13 ID:???.net: >>314

確認したらまじだった…(´・ω・`)
検証で使うのにこれぐらい会社に買ってほしいよ
316 ：anonymous@fusianasan：2021/03/06(土) 10:16:05.71 ID:???.net: まんじゅコスモスですが、なぜかtomcatが落ちてました
再起動したら復帰しました
Mar 5 03:51:16 localhost systemd: tomcat.service: main process exited, code=killed, status=9/KILL
Mar 5 03:51:16 localhost systemd: Unit tomcat.service entered failed state.
317 ：anonymous@fusianasan：2021/03/06(土) 10:16:52.88 ID:???.net: ぎゃあああああああああ
誤爆してる！！

FortiGate60Eのライセンス切れてるのはたまにヤフオクで3万台で出るようになったねえ
318 ：anonymous@fusianasan：2021/03/19(金) 00:10:27.93 ID:Eb06R8KS.net: UTMをFWの上に設置って
おかしいのでしょうか？
319 ：anonymous@fusianasan：2021/03/19(金) 08:18:10.42 ID:???.net: ラックマウント位置の事かな？
320 ：anonymous@fusianasan：2021/03/19(金) 09:32:54.39 ID:???.net: >>318
何をしたいからに依るからなんともいえないですね
既存の構成を壊したくないからトランスペアレントで置くとかもあるでしょうし
FWがやってたことをFGでカバーできて、管理機器数を減らしたいという要望もあるなら
FWは無くていいかと思います
321 ：anonymous@fusianasan：2021/03/19(金) 23:42:10.12 ID:???.net: >>319
草
322 ：anonymous@fusianasan：2021/03/20(土) 00:23:55.11 ID:???.net: 訊くだけ訊いてレスはしない人多い
323 ：anonymous@fusianasan：2021/03/20(土) 09:11:09.16 ID:???.net: お前みたく24時間張り付いてるわけじゃないんだよな
324 ：anonymous@fusianasan：2021/03/20(土) 10:46:39.59 ID:???.net: 逆ギレｗ
325 ：anonymous@fusianasan：2021/03/21(日) 21:10:09.66 ID:???.net: FortiGate100EがでかいからってONUとかルータの下にスチール棚に積み重ねられてた現場で交換したけど嫌だった
326 ：anonymous@fusianasan：2021/03/31(水) 10:03:51.91 ID:obo5y7fa.net: FortiOS7.0がリリースされたね。
50Eは対象外だわ。
327 ：anonymous@fusianasan：2021/03/31(水) 13:31:30.57 ID:???.net: そもそ6.4が対象外だからね
328 ：anonymous@fusianasan：2021/04/08(木) 19:45:26.34 ID:o2NEQRkL.net: わかる方がいれば教えて下さい。
60Fでforticlientを使用してfortiguardddnsでVPN接続をしていました。
OCNと契約していて法人回線から一般回線に契約変更したところ、ddnsでの接続ができなくなりました。
変更されたIPアドレス直打ちでは接続できるのですが、これは自動的に情報が変わるまで時間を要しているだけなのでしょうか？
329 ：anonymous@fusianasan：2021/04/08(木) 20:42:41.62 ID:???.net: ddnsで引いたIPアドレス見たらいいんじゃね？
330 ：anonymous@fusianasan：2021/04/08(木) 22:03:44.56 ID:???.net: https://docs.fortinet.com/document/fortigate/latest/administration-guide/685361/ddns

update-intervalで調整できるんじゃね
デフォルトは300秒らしいが

キャッシュサーバのレコードが更新されんとどうにもならんが
331 ：anonymous@fusianasan：2021/04/08(木) 22:33:34.30 ID:???.net: どんなに遅くても1時間で更新されてなかったら異常やろ。
ddnsレコードのTTLなんてせいぜい5分～10分やろ
332 ：328：2021/04/09(金) 07:45:27.56 ID:MZpKIl8X.net: レスくださった方ありがとうございます。
DNS設定でfortiguardDDNSのドメインに表示されているIPアドレスと
nslookupで表示されるアドレスが異なっているのですが利用可とはなっています。
pppoeの認証IDとパスワードを変更してそのまま使っているので再起動させると利用不可になるのかもしれません。
ここからどのように確認できるか改めて調べてみます。
333 ：anonymous@fusianasan：2021/04/09(金) 11:54:40.61 ID:NJDOk5WR.net: https://kb.fortinet.com/kb/microsites/search.do?cmd=displayKC&docType=kc&externalId=FD41601
この辺参考に設定をし直してみてどうでしょうか。
334 ：anonymous@fusianasan：2021/04/10(土) 03:05:22.91 ID:???.net: >>331
https://www.nic.ad.jp/ja/newsletter/No51/0800.html
335 ：anonymous@fusianasan：2021/04/10(土) 09:36:41.17 ID:???.net: >>334
素人かな？
336 ：anonymous@fusianasan：2021/04/10(土) 09:45:56.46 ID:???.net: fortiddnsの応答早いと思うけどなぁ
337 ：anonymous@fusianasan：2021/04/20(火) 08:30:46.95 ID:???.net: いまForti60Fで検証してるけど>>328の現象出てるな
FOS:FortiGate-60F v6.4.5,build1828,210217 (GA)
338 ：337：2021/04/29(木) 08:39:11.63 ID:???.net: 1日おいてもダメで再起動とかしてたらいつの間にか直ってた
339 ：anonymous@fusianasan：2021/05/17(月) 22:44:26.72 ID:UZxtPxn/.net: fortigate、ipoeの冗長構成に対応してる？
340 ：anonymous@fusianasan：2021/05/18(火) 02:45:16.05 ID:???.net: VDOM使えば2回線収容は可能
NGNのIPv6の接続仕様を調べればわかるかと
341 ：anonymous@fusianasan：2021/05/18(火) 11:37:59.67 ID:31PXHU0I.net: sdwan使っても冗長化できるよん。
342 ：anonymous@fusianasan：2021/05/18(火) 16:57:19.33 ID:???.net: IPoEがIPv4 ovr IPv6のことを言っているのであればIPoE 2回線を同じVDOMには無理ですね
SDWAN関係なく
343 ：anonymous@fusianasan：2021/05/20(木) 17:54:58.58 ID:FVoUlb7l.net: フレッツ網からアドレス払い出されないとかあるんだよなぁ
コールドスタンバイも冗長って判断ならば、
MACアドレス一緒にしたスタンバイ機つくればすんなりいくんかなぁ？
344 ：anonymous@fusianasan：2021/05/21(金) 17:25:39.00 ID:???.net: NGN2回線に同じDUIDでリクエスト出してどっちも通るん?
345 ：anonymous@fusianasan：2021/05/25(火) 15:56:11.29 ID:???.net: SSL-VPNでシステムにアクセスするとアクセス元IPがFortigateのIPになります。
実際のIPをシステムに伝える方法ありますか？
346 ：anonymous@fusianasan：2021/05/25(火) 18:28:01.18 ID:???.net: ないんちゃう。知らんけど
347 ：anonymous@fusianasan：2021/05/25(火) 18:56:48.44 ID:???.net: fortiのsyslogをそのシステムに送ればいいんじゃない？
348 ：anonymous@fusianasan：2021/05/26(水) 00:24:13.58 ID:???.net: >>345
それはSSL-VPNのFirewallポリシーでソースNATしてるでしょ？

ソースNATしなかったとしてもSSL-VPNクライアントには別途用意してるアドレスプールからIP割り当てるんじゃなかったかな？SSL-VPNの設定は。
だからソースNATしなかったとしても接続元IPはクライアントの元のIPじゃなくてアドレスプールから割り当てたIPになる。
349 ：anonymous@fusianasan：2021/05/26(水) 11:14:15.55 ID:???.net: あーそうかぁ
そうですよね

残念
350 ：anonymous@fusianasan：2021/05/29(土) 04:35:47.86 ID:???.net: すみません
FortiClient6.4.3使用中

Windowsログオン時のFortiSSLって、どう使うんですか？
アダプターの存在は確認
証明書の明示がないからSSL-VPNとは異なる？
IPsec-VPNのID パスワードでは開かず

昔のように、ログオン前にVPNを張りたいもので　
351 ：anonymous@fusianasan：2021/05/30(日) 02:30:14.61 ID:???.net: >>350
それやるならFortiClient EMSが要るんじゃないかと
352 ：anonymous@fusianasan：2021/05/30(日) 16:42:11.69 ID:???.net: >>350
FortiClient_6.4.3_Administration_Guideの53ページに書いてるやつ？
353 ：350：2021/06/03(木) 06:50:58.23 ID:???.net: >>351 352
ご返事遅れてすみません。
おっしゃる通り、有償のようです

業者は、古いVerならできます
と言うけれど、再考します
どうもありがとうございます
354 ：anonymous@fusianasan：2021/06/14(月) 23:21:59.70 ID:L5Tg2m6s.net: ※前置きとしてNWは正常に稼働しております。
IPoEの仕組みがイマイチ理解できなかったため質問させていただきます。
構成としては、OCNのIPoE契約(多分v6プラス、電話なし)でFGをONUに直結、IPv4overIPv6構成です。

質問1：vneトンネルに自動的に設定されるグローバルipv4はどこから取得しているのでしょうか。
質問2：vneトンネルに自動的に設定されるような設定はどの部分にあたるのでしょうか。

MAPｰEを利用して払いだされているのかと思ったのですが、何か違うような気がして・・

～以下設定例～
#wan側IF
config system interface
edit "port10"
config ipv6
set dhcp6-information-request enable
set autoconf enable
set unique-autoconf-addr enable
end

#vne
config system interface
edit "vne.test"
set vdom "test"
set ip 130.1.2.3 255.255.255.255
set type tunnel
set interface "port10"
next
end
355 ：anonymous@fusianasan：2021/06/14(月) 23:34:52.74 ID:L5Tg2m6s.net: 勉強不足、MAP-EはIPv4 over IPv6トンネリングのことでした。
MAPルール配信サーバーてきなものが居るのね。
356 ：anonymous@fusianasan：2021/06/17(木) 02:53:26.32 ID:???.net: v6プラス（JPNE）とOCNのIPoEは別サービスですね、事業者が異なります

>MAPルール配信サーバーてきなものが居るのね
ですね
357 ：anonymous@fusianasan：2021/06/17(木) 12:15:15.84 ID:v+pjdfeZ.net: みなさん回線速度ってどのサイトで計測してますか？
自分はみんそくです。1番速い結果が出るので。
他のサイトだと半分も出ないのでどれが正しいかわからなくなります。。
358 ：anonymous@fusianasan：2021/06/19(土) 00:11:44.22 ID:SAV1b8Hc.net: おしえてください。。
ocnのIPoE固定1で、pcやandroidはv6通信を確立してweb見れるのに、iPhoneはv6アドレス取得できず、webも超遅いか見れないとこばっか。
どうして？
対処設定あります？
本当に困っています
359 ：anonymous@fusianasan：2021/06/19(土) 02:00:50.93 ID:???.net: IPoE固定1ってIPv4アドレスを固定で一つ割り当てるサービスなので、IPv6ネイティブの通信って話だったらocnのIPoE固定1ってのは関係ないです
IPv6ネイティブ通信がうまく行かないのであればnd-proxy、IPv6ファイアウォールポリシーの確認ですね
360 ：anonymous@fusianasan：2021/06/23(水) 13:09:33.15 ID:WCpx/DJa.net: 滅多にない構成だと思うけど共有
通常ポリシ n とバーチャルワイヤペアポリシ v を併用する構成のおはなし

vを通過したトラフィックがそのままvに戻らずに、nを通過・戻った後、vに戻るような通信をしたい場合、nを通過しようとした時点でパケットがドロップされます
その際はFortigate以外のL3でNATを掛けてFortigateにvとnの通信は別セッションであると認識させれば通信可能になりました
361 ：anonymous@fusianasan：2021/07/13(火) 17:01:06.06 ID:???.net: ちょっと聞かせてください。
機種：FG-40f
ファームウェア：v6.0.6 build6478(GA)
元々natモードで動かしていたのですが、上位にルータを置いたのでTPモードにして運用する予定です。モード変更しても基本的にnatモードに関わる所以外は変更されないとベンダーから回答があり、モード変更したのですが、webフィルタの設定が変わってしまいました。設定が変わった原因分かる方いらっしゃいますでしょうか。
362 ：anonymous@fusianasan：2021/07/13(火) 17:09:46.11 ID:???.net: >>361
ベンダーが間違ってるからベンダーに質問して
363 ：anonymous@fusianasan：2021/07/13(火) 18:00:24.21 ID:???.net: >>361
webフィルタの設定がベンダーの言う「natモードに関わる所」にあたるんじゃね？
364 ：anonymous@fusianasan：2021/07/13(火) 19:47:06.54 ID:???.net: 変わる前の状態控えないで変えたの？
365 ：anonymous@fusianasan：2021/07/13(火) 20:20:33.83 ID:???.net: 50Eのv6.2.8でTransixのAFTRとtunnel張ったらTXは増えるがRXのカウンタが0のまんまでうまくいかない。。。
366 ：anonymous@fusianasan：2021/07/13(火) 21:36:04.68 ID:???.net: >>365
MSSを1420にしてます？
367 ：anonymous@fusianasan：2021/07/14(水) 17:49:15.83 ID:???.net: >>366
v4のlanからtunnel deviceへのポリシーはMSS1420にしてるんですよねえ
368 ：anonymous@fusianasan：2021/07/14(水) 19:17:22.73 ID:???.net: >>367
これで行けると思うんですけどね
https://docs.fortinet.com/document/fortigate/6.2.3/cli-reference/71620/system-ipv6-tunnel
369 ：anonymous@fusianasan：2021/07/14(水) 21:48:15.24 ID:???.net: >>368
東西のAFTRのアドレス間違えてただけだったゴメン
370 ：anonymous@fusianasan：2021/07/14(水) 23:18:55.78 ID:???.net: >>369
(´∀｀)b
371 ：anonymous@fusianasan：2021/07/26(月) 00:32:06.74 ID:???.net: 60EにSSL−VPN接続した状態で、特定のサイトにだけ自前IPアドレスではなくWAN側アドレスでアクセスしたいんだけど、（検証中のためアクセスに会社のIP制限かけてる）どうすればいいのか教えて下さい。
今は着信:トンネルインターフェース、発信:wan、宛先:そのサイト、というポリシーを登録してみたんですがダメでした。
サイト間でIPSecVPN張るまでの一時的な対応なんですが…
372 ：anonymous@fusianasan：2021/07/26(月) 01:02:26.53 ID:???.net: >>371
＞特定のサイトにだけ自前IPアドレスではなくWAN側アドレスでアクセスしたいんだけど

自前IPアドレスってのがよくわからないのと、WAN側アドレスってのFortiGate-60EのWAN側IPアドレスなのか、
それともSSL-VPN接続を行っているPC等があるサイトのWAN側IPアドレスなのか
文章だけだとどうしたいのかちょっとわからないですね
373 ：anonymous@fusianasan：2021/07/26(月) 01:11:46.02 ID:???.net: SSL-VPNのスプリットトンネルで解決する話であればこのあたりじゃないですかね

SSL VPN split tunnel for remote user
https://docs.fortinet.com/document/fortigate/6.2.0/cookbook/307303/ssl-vpn-split-tunnel-for-remote-user

Technical Tip: SSL VPN tunnel mode: negating split tunneling Routing Address IPs
https://kb.fortinet.com/kb/documentLink.do?externalID=FD51118
374 ：anonymous@fusianasan：2021/07/26(月) 08:06:06.27 ID:???.net: >>371
SSLVPNの設定の
スプリットトンネルで特定のサイトのネットワークアドレスを対象に含めればOK
もちろんFirewall Policyでも
SSL-VPN→wanで宛先にルール作成（nat onで）して宛先に特定サイトのネットワークアドレス含めてね。
375 ：anonymous@fusianasan：2021/07/26(月) 08:22:04.97 ID:???.net: >>372
自前IPはSSL-VPNで接続した機器側のWAN側アドレスで、WAN側アドレスはfortigateのwan側アドレスのことでした。
確かに分かりづらかったですね。

>>374
>>373
ありがとうございます。
スプリットトンネル試してみます
376 ：anonymous@fusianasan：2021/07/26(月) 10:07:56.84 ID:???.net: >>373
>>374

スプリットトンネルのルーティング先にアクセス先のアドレスを追加したらできました！

ありがとうございました
377 ：anonymous@fusianasan：2021/07/29(木) 01:57:02.52 ID:???.net: 初めてfortigate(FG-50E/6.2.9)触ってます。
管理アクセス(CLI/GUI)をloopbackインターフェースにしたいのですが上手く行きません。
loはOSPFで配下のL3SWに広告し、FG-50Eからloを送信元にL3SWのloにpingすると応答あるのですが、L3SWからだとFG-50Eは応答してくれず、L3SWにぶら下がるPCからも同様の状態。
FG-50Eのlo,L3SWと接続用インターフェースはicmp,https,sshは同じように許可設定をしています(しているつもりです)。
FG-50EのL3SWとの接続用インターフェースはicmpもhttpsも受けてくれます。
素人まずここ読め的なのでもヒント頂けると嬉しいす
378 ：anonymous@fusianasan：2021/07/29(木) 02:31:01.19 ID:???.net: >>377
着信インターフェース（,L3SWと接続用インターフェース）からLoopback宛のファイアウォールポリシーは設定されていますか？
379 ：anonymous@fusianasan：2021/07/29(木) 10:18:48.76 ID:???.net: ありがとうございます！
「IPv4ポリシー」で既存のNATルールと暗黙のdenyの間に明示的に許可入れることで通るようになりました。
interfaceでの受付許可だけでなくこちらも設定必要なのですね。次はRADIUS連携とVPNなど遊んでみます！
380 ：anonymous@fusianasan：2021/07/30(金) 00:30:07.98 ID:???.net: うまく行って良かったです！
381 ：anonymous@fusianasan：2021/08/03(火) 22:12:32.02 ID:???.net: 361で質問させてもらった者です。放置しちゃっててすみません。何人か回答頂きましてありがとうございます。結局何回やってもモード変えるとほとんど設定変わる事がわかりました。。その後もベンダーに色々聞きながらボチボチやってます。
382 ：anonymous@fusianasan：2021/08/05(木) 00:19:39.01 ID:???.net: >>381
上位のルータの機能をFortiGateでカバーできるのであればNAT/ルートモードにして、上位ルータを外して
WAN回線（？）をFortiGateに直接収容してインスペクションやれば装置が少なくなって管理が楽かもしれません
構成を詳しくわかってないので想像で話してますが
383 ：anonymous@fusianasan：2021/08/18(水) 22:05:17.30 ID:???.net: 次の構成できているかたいますか？

・一台のFortigateをvdomで分割
・wan1とwan2を別vdomに割り当て
・それぞれ別の回線でOCN-IPoEて接続

私の環境では、wan2でしかvneトンネルが通信してくれなくて困っています。
384 ：anonymous@fusianasan：2021/08/18(水) 23:33:49.51 ID:???.net: 同じようなところで悩んでます。

vdom:root(デフォルト)
vdom:wan1(作成したvdom)
vdom:wan2(作成したvdom)
とし、それぞれvne.wan1、vne.wan2を作成してipoe設定をしても固定のipv4アドレスは受け取れずでした。ちなみにvne.rootを作成して同一の設定をした場合は接続成功します。
rootじゃないとダメなのかな…
385 ：anonymous@fusianasan：2021/08/19(木) 23:59:41.91 ID:???.net: 名前解決はroot vdomじゃないと出来ないので
386 ：anonymous@fusianasan：2021/08/27(金) 20:08:13.56 ID:???.net: Fortigate検討しています。40Fと50eとでは、処理スピードや帯域で違いがあるだけで、
中のIPS/IDSといった機能は同じとみていいのでしょうか？それほど通信速度を求めてはいないので、
50eでも十分であれば50eにしたいです
387 ：anonymous@fusianasan：2021/08/27(金) 22:14:48.10 ID:???.net: 過去ログ読んで解決しました、ごめんなさい。。。
388 ：anonymous@fusianasan：2021/08/31(火) 23:25:56.91 ID:???.net: どちらかを選ぶなら40Fでしょうね、50Eは6.2までしかOS出ませんので新しいことは試せませんし
389 ：anonymous@fusianasan：2021/09/01(水) 12:17:06.04 ID:???.net: FGでv6プラス(固定)にしたらLINEアプリだけ全く繋がらなくなり、パケット見てるとサーバーからSyn Ackだけは帰ってくるけどそのあとタイムアウト。
ポリシーでMSSを1420にしたら繋がるようになりました。なるほど、こういう事が起きるんですねー。
390 ：anonymous@fusianasan：2021/09/03(金) 09:43:55.94 ID:EBST6U6I.net: 拠点A：PPPoE ipv4(グローバルIPv4:x.x.x.x)　FGT6.2.9
拠点B： PoE （IPv4 over IPv6 DS Liteポート制限なし）NATポイントは拠点BのWANポート(グローバルIPv4:y.y.y.y)　FGT6.2.9

上記の環境でIPv4同士でIPSec VPNをしようとしています。
以前は拠点BもPPPoEで
IPSECトンネルで通信できていました。
今回拠点BがPoE （IPv4 over IPv6）になってからIPSec VPNができなくなりました。

ログを見るとphase1は通っているように見えます。
必要なポリシーがあるのでしょうか？
391 ：anonymous@fusianasan：2021/09/03(金) 18:45:30.43 ID:N2HLb4P+.net: フリーランスに立ちはだかる「常駐」の壁。慣例を打ち壊し、
“テレワーク”案件3割→8割へと成長を遂げた「クラウドテック」の軌跡
https://prtimes.jp/story/detail/DBnPOktyljr
テレワークの一般化により、11月にはテレワーク可能案件83.7%へと増加。
2021年、フリーランスのトレンドは「移住＆テレワーク」と予測
https://prtimes.jp/main/html/rd/p/000000045.000050142.html
リモートワーク求人専門サイト「プロリモート」がリニューアルオープン、業務委託契約の求職者と企業をマッチング
https://www.value-press.com/pressrelease/262778
1/3以上が採用につながる高マッチング率、リモートワーク×エンジニア・デザイナー専門の
人材紹介サービス「ReworkerAgent」正式リリース場所からも時間からも自由な働き方を実現！
https://www.nishinippon.co.jp/item/o/713384/
新潟県、移住してきたテレワーカー／フリーランスに最大50万円を支給
https://internet.watch.impress.co.jp/docs/news/1287094.html
茨城県日立市、県外からの「テレワーク移住者」に最大151万円の助成金
https://internet.watch.impress.co.jp/docs/news/1281120.html
長野市、市内に移転・事業所設置し、移住することで最大550万円の支援金を支給
https://internet.watch.impress.co.jp/docs/news/1274735.html
フリーランスが活用できる「最大1,000～3,000万円・補助率50%～75%」の
『ものづくり・商業・サービス補助金』とは？概要や条件を解説
https://freenance.net/media/money/4255/
『ReWorks（リワークス）』リモートワーク特化型転職サイトとして 3月5日リニューアル
https://prtimes.jp/main/html/rd/p/000000051.000010457.html
392 ：anonymous@fusianasan：2021/09/03(金) 21:03:16.13 ID:???.net: >>390
ねーよとうみてもyyyy
393 ：anonymous@fusianasan：2021/09/09(木) 02:12:55.45 ID:???.net: とうみても
394 ：anonymous@fusianasan：2021/09/09(木) 08:10:07.56 ID:???.net: 暗号のようなアドバイスは高度すぎてわからん
395 ：anonymous@fusianasan：2021/09/09(木) 08:20:41.83 ID:???.net: ちょっと遊んでみようと中古でライセンスありのFortigate 50Eを買ってみた。
OS5.4からファームウェアアップデートしようとしたら…できない。
Available Firmware がOS6.0からしかなくて、OS5.*はオンラインでは
アップデートできないみたい…下調べが足りなかったわ
396 ：anonymous@fusianasan：2021/09/09(木) 12:31:40.70 ID:???.net: ライセンスあるならダウンロードサイトに入れると思うのだけど？
どこのベンダーが管理してるか調べる方法はあった気がする
397 ：anonymous@fusianasan：2021/09/09(木) 12:38:36.56 ID:???.net: 過去のメールさかのぼったらfortiのサポートにシリアル番号連絡して、サポートサイトに登録できない旨を質問してるっぽかった。
その返信に既に登録されていることとベンダーの名称が書かれてたのので、そこに連絡してベンダーのサポートサイトからファームをダウンロードしたと思う。
398 ：anonymous@fusianasan：2021/09/09(木) 16:33:35.28 ID:???.net: 透過モードで繋いたpcがゲートウェイに対してのみ通信出来ません。他の同セグへは通信問題なし。外部からはこのPCにアクセス出来ます。wan/lanインターフェースを入れ替えても変わらずこのpcからのゲートウエイ宛は不可。また問題のpcはフォーティ介さないと問題なく通信可能。考えられる原因はなんでしょうか？ポリシーは双方向許可、ゲートウエイへの透過ログも乗ってきません。いらんオプション設定が影響しているのでしょうか？
399 ：anonymous@fusianasan：2021/09/09(木) 17:38:34.46 ID:???.net: ゲートウェイ宛は通信不可だが、
そのゲートウェイの先にある別のネットワークへの通信は出来ると言うことでしょうか？

ゲートウェイと通信出来いないと言うのは、
ping, http, telnet, ssh
など主だったプロトコル全てでしょうか？
400 ：anonymous@fusianasan：2021/09/09(木) 18:25:51.82 ID:???.net: ありがとうございます
パソコンのゲートウエイ、すなわち同セグのルーターにのみ全ての通信ができません。不可思議な状況です。
401 ：anonymous@fusianasan：2021/09/10(金) 00:23:10.95 ID:???.net: 400の回答がズレておりました、状況はPCのゲートウェイ当てに疎通が取れない＝ルーター越えの通信は全て不可になります。よろしくお願いします
402 ：anonymous@fusianasan：2021/09/10(金) 06:30:48.91 ID:???.net: arpでルーターのmacアドレスは取得出来てますか？
403 ：anonymous@fusianasan：2021/09/10(金) 07:28:35.81 ID:???.net: 透過はトランスペアレントの事かな
Fortigateは外にでられるか？
ポリシーは双方向全て許可にしてみたか？
非対称ルーティングになっていないか？
まさかfortigateとルーターのIP被って無いよね？
404 ：395：2021/09/10(金) 13:58:14.05 ID:???.net: >>396-397
アドバイスありがとう
おかげで無事ライセンス有効期限内にFirmwareアップデートできたわ
405 ：anonymous@fusianasan：2021/09/10(金) 14:48:12.12 ID:???.net: 402さん
arpはPC側もルーター側も正しく拾ってます
クリアしても正常に取得します
状況からブロードキャストは通ってる筈です

403さん
＞透過はトランスペアレントの事かな
はい
＞Fortigateは外にでられるか？
設計的には外に出る用途はありません
＞ポリシーは双方向全て許可にしてみたか？
はい、許可ログonにしても乗ってきません、、
ログとりの為deny-allを作って違反ログonにしてもなにも来ません。多分ポリシーに落ちる前に何かしらの排他処理を食らってるようです。
＞非対称ルーティングになっていないか？
現在直面している問題はパソコンのデフォルトゲートウエイ、すなわち同セグのアドレスにピンが通りませんのでルーティングは関係ありませんが、ルーターの先はごく単純なもので経路選択はありません。
＞まさかfortigateとルーターのIP被って無いよね？
念のため確認しましたが大丈夫です
406 ：anonymous@fusianasan：2021/09/10(金) 15:42:35.26 ID:???.net: 403さん402さん
すみません、よくarpを見たところ、ゲートウエイが仮装マックでした、、、(ルーターも自分が構築したのにお恥ずかしい)

試しにasymroute enableにしたら無事通りました。
構成を見直す必要がありそうです。

助かりました、お恥ずかしい限りでございます
いた汚し失礼致しました
407 ：anonymous@fusianasan：2021/09/10(金) 20:01:57.48 ID:???.net: synパケットがfortigateを通ってなかったって事？
408 ：anonymous@fusianasan：2021/09/11(土) 01:34:14.87 ID:???.net: 構成図とか無いと本人以外はエスパーするしか無い
409 ：anonymous@fusianasan：2021/09/11(土) 10:42:44.86 ID:???.net: asymroute enableにしたら通りましたって、それFortigateはずしたら通りました、みたいなもんやで
410 ：anonymous@fusianasan：2021/09/11(土) 11:01:44.67 ID:???.net: ワシにはトランスペアレントモードで同セグ通信が非対称になる状況が理解出来ん。
411 ：anonymous@fusianasan：2021/09/11(土) 17:07:11.46 ID:???.net: fortiやっちまったな
こりゃ売上激減するわ
412 ：anonymous@fusianasan：2021/09/11(土) 17:31:02.63 ID:???.net: https://www.fortinet.com/jp/blog/psirt-blogs/malicious-actor-discloses-fortigate-ssl-vpn-credentials
この件かな、流石に今VPN張ってる奴は2FA使ってるだろうし拠点間はIPSECだろうから影響少ないんじゃない?
413 ：.：2021/09/11(土) 17:36:40.28 ID:???.net: 値上げの話だろ
414 ：anonymous@fusianasan：2021/09/12(日) 10:39:26.87 ID:687dm6Yr.net: >>412
うち、まだ2FAじゃない。
コロナ不況で金がでない。利用者数がすくないのでダメ。
415 ：anonymous@fusianasan：2021/09/12(日) 12:26:44.46 ID:???.net: 予算にもよるけど
https://note.com/klayer123/n/nb50be95eadf9
これでRadius作ってFortigateと連携も有りかもね。
416 ：anonymous@fusianasan：2021/09/12(日) 23:32:51.82 ID:592yu6OM.net: すみません、レベルの低すぎる話なんですがわかる方いたらお願いします。
自宅がNURO光なんですが、FortiClientでVPN接続にはなるのですが、社内サーバへアクセスできません。
iPhoneテザリング経由だと可能なんですが
大塚商会に聞いてもご家庭によって環境が違いますので、と役に立たない回答しか帰ってきません。
出している情報が少なすぎると思いますが、宜しくお願い致します。
417 ：anonymous@fusianasan：2021/09/13(月) 01:08:17.23 ID:???.net: 自宅のLANのネットワークアドレスと社内LANのネットワークアドレスが同じなのでは
418 ：anonymous@fusianasan：2021/09/13(月) 01:23:44.43 ID:???.net: せめて構成図、IPアドレス情報とかないとな
「あーじゃね？こーじゃね？」って適当にエスパーしてもらいたいのならいいけど
419 ：anonymous@fusianasan：2021/09/13(月) 06:24:07.36 ID:CcTfw1kv.net: どの情報を出せばいいのかすら分からず…
420 ：anonymous@fusianasan：2021/09/13(月) 14:23:18.90 ID:???.net: >役に立たない回答しか帰ってきません。

その前に簡単な構成情報も出せないようじゃ、人のこと言えないんじゃないかな
421 ：anonymous@fusianasan：2021/09/13(月) 21:16:26.18 ID:???.net: その塩対応は大塚商会と保守契約してるのかすら怪しいな
422 ：anonymous@fusianasan：2021/09/13(月) 21:29:20.50 ID:???.net: アドレスレンジ重複確認のアドバイスが上で出てるけどガン無視してるしなぁ
423 ：anonymous@fusianasan：2021/09/13(月) 22:28:51.95 ID:???.net: >>415
言い出しっぺとして転がってたラズパイで実験したら問題なくIPSECで繋がった。もうライセンス買わんで良いかも。
424 ：anonymous@fusianasan：2021/09/14(火) 00:30:27.33 ID:P2QP+H+k.net: >>417
ありがとうございます
無知過ぎてなんのこと言ってるのか分からず調べてました
会社のサーバーのアドレスが192.168.1.1だったのですが、プライマリIPアドレスというのが同じだったので168.2.1にビビりながら変えてみたら入れました

大塚商会とは保守契約結んでるんですが家庭によって違うので分かんないっすねとの回答が来るだけでした
ありがとうございました
スレ汚し失礼しました
425 ：anonymous@fusianasan：2021/09/14(火) 02:48:58.83 ID:???.net: たぶん誤解してるだろうけど保守契約で設定のやり方教えてくれは契約外だから
大塚商会からしたらただのクレーマーだよ
426 ：anonymous@fusianasan：2021/09/14(火) 03:01:55.78 ID:???.net: 「解決しました」まで含めて作り話だろうね
427 ：anonymous@fusianasan：2021/09/14(火) 08:27:02.28 ID:???.net: うまく動きませんNGです構成は普通です詳しくないので難しいこと言って煙に巻かないでください本当に困ってるんですよ。みたいなのはどの業界でも結構見かける。
428 ：anonymous@fusianasan：2021/09/14(火) 09:40:15.87 ID:???.net: 一部のipsシグネチャーをオフにしたい。
ipsセンサーで、一部のシグネチャーのチェックを外した後もフィルターに従い新らしいシグネチャーは追加され続ける認識であってますか。
429 ：anonymous@fusianasan：2021/09/14(火) 10:03:49.46 ID:wU9ehGWV.net: >>425
今回の契約内容がテレワーク環境構築だったので教えてもらえるものと思ってましたが違ったんですね今後気をつけます

>>426
頭陰謀論者
430 ：anonymous@fusianasan：2021/09/14(火) 10:09:00.19 ID:???.net: >>427
「車のエンジンがかからない」のコピペ的な「困ってる」しか言えない人いるし、それと同じ類だね
431 ：anonymous@fusianasan：2021/09/14(火) 10:33:40.05 ID:???.net: >>427
ほんとそれ！構成図とかない、サーバはsi構築したベンダー任せだからわかりません。そんな案件で対処もしようがないのに「役立たず」と罵られる始末。

保守契約もないのに、何様なんだと思うは。
432 ：anonymous@fusianasan：2021/09/14(火) 10:58:03.15 ID:???.net: 珍しく盛り上がっとるやんけｗ
433 ：anonymous@fusianasan：2021/09/15(水) 16:30:24.75 ID:???.net: たよれーるのFortiGateってどこから入れてるんだろう？MKI？
434 ：anonymous@fusianasan：2021/09/15(水) 17:18:14.84 ID:???.net: 保守契約はscskだったよ
435 ：anonymous@fusianasan：2021/09/15(水) 18:58:43.58 ID:???.net: SCSKならまだ対応してくれそうだがな
436 ：anonymous@fusianasan：2021/09/15(水) 23:20:42.69 ID:???.net: SCSKは6.2ファーム公開がやけに遅かったり色々あった記憶
でも保守に技術サポートも入ってるから設定関連の質問も対応してくれる筈
ただ問い合わせ能力は問われるね、構成も目的もしっかり伝えられない奴はSIベンダーに頼んだ方がいいね
437 ：anonymous@fusianasan：2021/09/16(木) 02:40:20.71 ID:???.net: 技術サポートのレベルが高いサプライヤはどこ？

個人的にSBC&Sは時間がかかりすぎる気がする。
ネットワールドとかどうなんだろう？
438 ：anonymous@fusianasan：2021/09/16(木) 03:15:52.30 ID:???.net: 無い
439 ：anonymous@fusianasan：2021/09/16(木) 08:02:02.04 ID:???.net: 保守サイトの情報はctc-spが充実しとるな。
440 ：anonymous@fusianasan：2021/09/16(木) 08:10:06.88 ID:exhIy45E.net: ヤフオクで買ったFortigateが保守期限内だったけど
ファームウェアのダウンロードも保守も断られたな。
どこも中古は保守受けないのかな。
441 ：anonymous@fusianasan：2021/09/16(木) 09:54:37.22 ID:???.net: そらそーよ
だから中古が安い
442 ：anonymous@fusianasan：2021/09/18(土) 15:04:48.12 ID:???.net: FortiClient6.43のSSL接続のRADIUSに、
Windows標準のNetworkPolicyServerって使えないの？
ただし、現在社内無線LANの802.1ｘで使用中
ＬＤＡＰの連携かけてやろうとしたんだけど、
業者がＮＰＳじゃできませんと言って、NetAttestを買わされた
本当にできないの？
ＦＧ100F 6.2.7
443 ：anonymous@fusianasan：2021/09/18(土) 15:12:34.05 ID:???.net: これ見る限りはできそうじゃね?
https://inside.fortinet.com/doku.php?id=sslvpn_with_radius_using_active_directory_and_nps
444 ：anonymous@fusianasan：2021/09/18(土) 15:14:45.08 ID:???.net: ユーザ名とパスワードの問い合わせしてるだけなら普通にできるでしょ
445 ：442：2021/09/18(土) 16:26:58.32 ID:???.net: >>443
有難うございます
さて、これでこの会社切ることにします
名前さらしたいですが、後の事も有りますし
もう、このメーカーのカメラは全システム入れ替えます、
446 ：anonymous@fusianasan：2021/09/18(土) 16:44:29.05 ID:???.net: パナかな？
447 ：anonymous@fusianasan：2021/09/18(土) 17:54:18.29 ID:???.net: >>442みたいな担当がいるところには関わりたくない
448 ：anonymous@fusianasan：2021/09/18(土) 17:57:49.50 ID:???.net: 訊く前に試せばいいのにな
449 ：anonymous@fusianasan：2021/09/18(土) 18:00:10.94 ID:???.net: 「仕様上できる」なんて言うもんならできなかったときにすげえギャーギャー騒ぐし
お前のお母さんじゃねえよ
450 ：anonymous@fusianasan：2021/09/18(土) 18:05:39.94 ID:???.net: ITに関わってる人は多いけどほとんどの人は自分で調べられない＆手を動かせない人たちばかりだからね
5chに質問書き込む前にその端末でググれば良いんだけど
451 ：anonymous@fusianasan：2021/09/18(土) 18:23:56.84 ID:???.net: >>445
スレ違い。
そんな事はネットにも口にも出さなくて良い。
452 ：anonymous@fusianasan：2021/09/18(土) 18:32:35.14 ID:???.net: 業者は確実に出来るもん提案するよね、出来ないと責任問題だからね

まずやってみるとかは検証機なら出来るけど実環境では厳しいよね
あとADはサーバ管理が杜撰だと問題起こることもあるし
対応出来ないベンダーが多いのも仕方なしな感じもある
453 ：anonymous@fusianasan：2021/09/18(土) 20:37:36.77 ID:???.net: 何でマニュアル読まないの？
454 ：anonymous@fusianasan：2021/09/18(土) 20:38:20.81 ID:???.net: 受ける際に、うちでは実績無い、検証が必要で予算がかかります。
とかの話がされるならわかるけど、出来ませんで他製品を売るのは
わからない奴に売っちまえ的で非誠実な営業とは思うなー。
後でバレること考えないのかしら？
455 ：anonymous@fusianasan：2021/09/19(日) 00:54:00.63 ID:???.net: 「NPSでSSL-VPNの認証は出来ません」って断言はしないと思うけどね
456 ：anonymous@fusianasan：2021/09/19(日) 02:42:49.41 ID:???.net: >>454
おまえがそう思うなら、おまえの責任でやれば予算も浮くやん。仕様にかいてあるだろ？

責任もってやれない。
実機で検証もしない。

そんなやつは、金だけ置いて黙ってろよ。
457 ：anonymous@fusianasan：2021/09/19(日) 02:56:30.69 ID:???.net: 読み間違えてそう
458 ：anonymous@fusianasan：2021/09/19(日) 09:28:19.46 ID:???.net: SSL-VPNといえば侵入された可能性のある客に、ちゃんとパスワード変更促した？
459 ：anonymous@fusianasan：2021/09/19(日) 09:45:47.83 ID:???.net: そういう注意喚起は保守から連絡する
460 ：anonymous@fusianasan：2021/09/19(日) 10:10:03.44 ID:???.net: 保守から連絡きたことなんて一度もないぞ
461 ：anonymous@fusianasan：2021/09/19(日) 12:26:09.09 ID:???.net: PSIRTすら見てないってどうなのよ。
462 ：anonymous@fusianasan：2021/09/19(日) 13:06:48.97 ID:???.net: ようするに、保守も誰も顧客に連絡してない。
463 ：442：2021/09/19(日) 13:16:12.42 ID:???.net: >>455
断言されたよ

IPsecでのVPN運用中だし、冗長化してない
上からは早急にの要求
皆様のように運用中の機械で検証やるほどの度胸は無い
お任せでNetAttestで運用すると障害発生で使えない
結局当方で100台ほどIPsecに戻す
それで、原因不明と放置され数か月

確かに英語に目がいかなかった自分は悪い
464 ：anonymous@fusianasan：2021/09/19(日) 13:52:51.42 ID:???.net: Radiusサーバでのユーザ名/パスワード認証くらいだったら他社装置間の接続でも問題は出にくいのに
そこをあえて「できません」って断言する業者だったら、なぜ出来ないのかくらいの技術的な会話ができる人がいればよかったのにね
技術的に不可能なのか、検証できる人員が居ない＆サポートできないなのかは結局わからないまま
465 ：anonymous@fusianasan：2021/09/19(日) 16:15:50.74 ID:???.net: 全体の構成を確認してないのにできるできないとか知ったかぶりの素人が言いそうな話だな。
466 ：anonymous@fusianasan：2021/09/19(日) 17:00:57.96 ID:???.net: まだやってんのか？
467 ：anonymous@fusianasan：2021/09/19(日) 17:14:18.53 ID:???.net: その昔、できるできないの秘密というタイトルの児童書があってね
その中に出てくるデキッコナイスっていう外人が好きだったなあ
468 ：anonymous@fusianasan：2021/09/19(日) 17:39:01.76 ID:???.net: NPSは使用できませんって言われて信じる方も相当だな
469 ：anonymous@fusianasan：2021/09/20(月) 08:26:54.42 ID:???.net: それはソ○トンのサポートがクソってことじゃねぇか
470 ：anonymous@fusianasan：2021/09/20(月) 11:09:31.48 ID:???.net: ファイルゼンブ流出しちゃうからな
471 ：anonymous@fusianasan：2021/09/20(月) 18:01:12.32 ID:???.net: Fortigateを海外で買える安いところでおすすめはありますか？
ライセンス更新も必要ですので、安いだけでは困ります。
472 ：anonymous@fusianasan：2021/09/20(月) 18:06:42.07 ID:???.net: 国内で買えでFA
473 ：anonymous@fusianasan：2021/09/20(月) 18:10:49.04 ID:???.net: 海外で購入されてた方もいらっしゃいますので不可です。
474 ：anonymous@fusianasan：2021/09/20(月) 20:05:05.23 ID:???.net: こちらにお問い合わせいただいてみてはいかがでしょうか
https://www.fortinet.com/partners/partner-program/find-a-partner.html
475 ：anonymous@fusianasan：2021/09/20(月) 23:15:03.14 ID:x9ZTeyuQ.net: >>471
国内で買った方がいいぞ。
故障したとき、海外だと対応できないし出来たとしても時間かかるぞ。
476 ：anonymous@fusianasan：2021/09/20(月) 23:38:19.27 ID:???.net: 国によっては輸出規制とかありそう
477 ：anonymous@fusianasan：2021/09/22(水) 13:39:50.75 ID:???.net: マジ値上げはんぱねーんだけどなめてんのかって
478 ：anonymous@fusianasan：2021/09/27(月) 20:51:41.86 ID:???.net: YAMAHA 舐めてるのか。
RTXの新製品出せよ！
479 ：anonymous@fusianasan：2021/09/27(月) 21:29:25.59 ID:???.net: YAMAHAヤマハブロードバンドルーターpp select 31
https://mevius.5ch.net/test/read.cgi/hard/1618238582/

ヤマハのスレすら探せない人がコンフィグできるのかね
480 ：anonymous：2021/09/30(木) 01:43:03.50 ID:???.net: Fortigate40F届いた！さっそくプロキシモードにしてFortiオレオレ証明書をPCにインストール。
ディープパケットインスペクションにしています。でもたまにプライバシーが保護されていません画面がでてきます・・・

みなさんこういうこと普通にありますか？
https://imgur.com/a/UieLj7v
481 ：anonymous@fusianasan：2021/09/30(木) 06:44:52.63 ID:???.net: >>480
"信頼できるルート証明書"の所にインストールした?
482 ：anonymous：2021/09/30(木) 14:00:02.03 ID:???.net: >>480
ローカルコンピュータとユーザと二つインストール先がありましたが、念のため両方の、
"信頼できるルート証明書"の方にインストールしました。
483 ：anonymous@fusianasan：2021/09/30(木) 19:40:14.90 ID:???.net: ブラウザ変えても同じ事象になりますか？
484 ：anonymous：2021/09/30(木) 22:23:17.95 ID:???.net: Chrome使っていますが、Firefoxでも試してみたところ今のところ証明書エラー画面はなしでした。
でも不可思議なんですよね。導入して証明書をインストールしていたのに、何度も証明書エラーが出たりでなかったりで、
それが十数回起きてからエラーにならなくなるという
485 ：anonymous@fusianasan：2021/10/01(金) 13:57:05.11 ID:???.net: なんか一部のhttps://サイト繋がらなくない？
486 ：anonymous@fusianasan：2021/10/01(金) 14:53:59.39 ID:???.net: https://kb.fortinet.com/kb/documentLink.do?externalID=FD49028
487 ：anonymous@fusianasan：2021/10/01(金) 16:01:32.30 ID:???.net: https://www.reddit.com/r/fortinet/comments/pylie2/all_of_a_sudden_we_are_getting_ssl_certificate/
488 ：484：2021/10/02(土) 00:16:27.62 ID:???.net: Fortiのオレオレ証明書の期限見てみました、2031年・・・
ベリサイン社とかのを購入して、そっちを使った方がいいのかな？

ちなみに今日は証明書のエラーはなかったですが、ERR_CONNECTION_RESETエラーが。
https://imgur.com/a/uMzGKTz
今のところChromeだけで確認してます
489 ：484：2021/10/02(土) 00:18:27.55 ID:???.net: >>486 , >>487
ありがとう、明日ちゃんと読んでみる
490 ：anonymous@fusianasan：2021/10/02(土) 00:38:32.21 ID:???.net: >>488
FortiのSSLインスペクション用の証明書は外部から買えないよ
サイト名が*(全てのサイト)なんてサーバ証明書を発行する証明機関なんかないから
491 ：487：2021/10/02(土) 02:16:12.35 ID:???.net: >>489
その二つはあなたの問題とは関係ないので読む必要ありません。
Let's Encrypt から発行されたサーバ証明書を
Fortigate の certificate-inspection が信用しなくなったという問題で、
以前はつながっていたサイトが10月1日から見られなくなったという話です。
492 ：anonymous@fusianasan：2021/10/02(土) 02:20:41.20 ID:???.net: deep-inspectionでも出ますね
493 ：anonymous@fusianasan：2021/10/05(火) 02:41:03.14 ID:???.net: >>467
遅レスだが地球に穴あけて反対側に行く話を思い出したw
494 ：anonymous@fusianasan：2021/10/06(水) 08:50:27.31 ID:???.net: IPSの挙動テストを評価版でしたいのだけど
"Web.Server.Password.Files.Access"
のシグネチャがない。

他にテストする方法ないだろうか?
495 ：anonymous@fusianasan：2021/10/13(水) 20:32:45.99 ID:mb7TIAK8.net: ddnsサーバって今障害が出てます？
ネットワーク - dns - fortiguard DDNS
をオンにすると、通常はサーバ欄にfortiddns.comなどが選べるはずなんですが、「DDNSサーバ情報をfortigurardサービスから取得できません」と表示され、サーバ欄が空欄となっています
496 ：>>484：2021/10/15(金) 23:29:31.05 ID:???.net: 証明書エラー、Foritgate40Fのファームを最新にしたら起こらなくなりました。
プロキシベースにしてcustom_deep_inspectionをONにするとニコニコ生放送・Youtubeが
見れなくなっていましたが、こちらは当該アドレスをSSLインスペクションから除外、で対応できました
497 ：>>496：2021/10/27(水) 00:34:38.44 ID:???.net: Fortigate40Fの証明書問題、動画サイトはSSL除外で表示されるようになってましたが
他サイトでエラー画面が出てきていました。サポセンに相談してみたところ、

＞期限切れのルートCAへのフォールバックを防ぐ
という対処を教えていただき、CLIで実行したところうまく行きました。
498 ：>>496：2021/10/27(水) 00:36:14.06 ID:???.net: 公開されているブログだからいいのかな？
https://www.fortinet.com/jp/blog/psirt-blogs/fortinet-and-expiring-lets-encrypt-certificates

ここの人たちはみんな既に対策してると思いますが一応
499 ：anonymous@fusianasan：2021/10/27(水) 01:04:39.18 ID:???.net: >>498
そこを提示するのは問題ないと思う

原因についてはCA証明書のクロスサインについて別に調べて理解すると原因の問題について理解しやすかった
原因の理解なんてしなくても対処は出来るけどね
500 ：anonymous@fusianasan：2021/10/31(日) 00:07:23.08 ID:???.net: 質問です。
fg50e、v6.29

wan1はマンションフリーインターネット向け
wan2は上位に固定ipを持つルータを配置し、ルータからdnatでwan2向けに転送しています。
wan2からforticlientにてssl-vpnを利用したいのですが、dgwがwan1に向いているため接続できず、一時的にdgwをwan2に向けることでvpnできることを確認しました。
dgwがwan1の状態で、wan2から来たグローバルipに対してはgwをwan2に向けたくポリシールートを利用しましたがうまく行きません。(以下切り分けのためまずは広めに設定しています)
※着信インターフェイスwan1、送信元アドレスall、宛先アドレスall、アクション転送先インターフェイスwan2
誤っている点、確認すべき点等あればアドバイスいただけますでしょうか。
501 ：anonymous@fusianasan：2021/10/31(日) 04:47:41.91 ID:???.net: >>500
デフォルトルート向けて動いた状態でデフォルトルート戻してスタティックルート書けば動きそうな気がするんだけど。
502 ：anonymous@fusianasan：2021/10/31(日) 09:26:49.71 ID:???.net: ポリシールートで実現出来るんかなぁ？使ったことないから知らんけど無理な気がする。
wan2の上位のルーターで、wan2への通信をソースnapt(ipマスカレード)してやればFortigateは何もしなくて良くて一番簡単やが。
503 ：anonymous@fusianasan：2021/10/31(日) 09:28:02.17 ID:???.net: そういうのはSDWANのfeature使うんじゃ
504 ：anonymous：2021/10/31(日) 09:46:44.41 ID:???.net: VDOMで別けてしまうのが簡単じゃない?
505 ：anonymous@fusianasan：2021/10/31(日) 11:23:51.05 ID:???.net: lan側は1個でもvdom別けれるんかのぅ？
506 ：anonymous@fusianasan：2021/10/31(日) 12:37:30.53 ID:???.net: ルータのlan側インターフェースでソースnaptする案で解決しました。
ポリシールートでは上手く行かない理由はいまいちわからずですが、、、
みなさま返信ありがとうございました！

>>502
なるほど、ソースipをローカルアドレスに置き換えて固定化するわけですね
ルータのlan側でnapt有効化するだけであっさり解決しました！

>>501
宛先が変動するグローバルipなのでスタティックルートを書くことができず、、、
wan2向けをdgwとしてwan1向けをポリシールートすれば可能であることは確認していましたが
メインのwan1側はできればポリシールートで書きたくないという気持ちがありました。

>>504
最終的にはVDOMでわけることを考えていましたが
経験がなくまずは今の構成での解決方法を考えていました
今後時間のあるときにVDOMにも挑戦します！
507 ：anonymous@fusianasan：2021/11/03(水) 13:05:45.19 ID:???.net: 中古ライセンスありのFortiGate50Eを買って、多分初歩的なところで躓いています
どうかお知恵をお貸しください。バージョンFortiOS v6.2.9 build1234 (GA)です。

Explicit Proxy 機能を使おうと思い、プロキシーポリシーから新規作成で
New Proxy Policyを作ろうとしているのですが、必須項目のサービスのエントリ
選択画面で「エントリーなし」とでて、選べません。
エントリを新規作成（例:myproxy1）しても空欄のままです。

ただし、サービスの一覧で見ると上記で作成した新エントリmyproxy1は存在します。
なぜかプロキシーポリシーの新規作成のエントリ選択画面には表示されません。
本来、このエントリ選択で「Web Proxy」または自作の「myproxy1」が選べるはずだと
思うのですが、どこかで誤りがあるのでしょうか。

よろしくお願いいたします。
508 ：anonymous@fusianasan：2021/11/03(水) 13:38:02.08 ID:???.net: すみません、自己解決しました。
サービスのエントリにFirewall/Explicit Proxyを選択するオプションがあり
最初からExplicit Proxyのためのサービスとして登録する必要がありました
初期状態ではすべてFirewallになっていたためエントリ画面に出ないだけでした
お騒がせして申し訳ないす
509 ：anonymous@fusianasan：2021/11/10(水) 16:04:19.20 ID:???.net: >>143
む。これの現象出た。
ファームバージョンは6.0.12
510 ：anonymous@fusianasan：2021/11/20(土) 11:49:20.17 ID:fSgAFZMu.net: FortiGateでtransixのDS-Lite使ってる方居ませんか？
ipv6トンネルのローカルアドレスを固定で設定すると、網側のメンテなどでプレフィックスが変わった時に追従出来ないと思うのですが、知見をお持ちの方がいらっしゃれば教えてください。
511 ：anonymous@fusianasan：2021/11/20(土) 12:55:42.09 ID:???.net: Fortigateはガラパゴス規格に弱い
大人しくヤマハかNECのルータ置いとけ
512 ：anonymous@fusianasan：2021/11/20(土) 21:22:49.01 ID:fSgAFZMu.net: やっぱりそうですよねー
ヤマハが半導体の影響で入手できなく、模索してました。
513 ：anonymous@fusianasan：2021/11/20(土) 23:32:26.61 ID:dpAs2h0g.net: PPPoEもそうだけどセッション保持がしつこくて嫌になる
514 ：anonymous@fusianasan：2021/11/22(月) 11:57:35.75 ID:???.net: DS lite使うだけならset autoconf enableじゃあかんの？
515 ：anonymous@fusianasan：2021/11/22(月) 15:18:47.84 ID:???.net: https://tadaup.jp/loda/1122151306214218.jpg
つたない図でごめん
この構成でX.X.X.4宛にSSL-VPN接続が出来ていたのに突然接続できなくなっちゃったんだけど何か原因思いつきますか……？
だいぶエスパー頼みになっちゃうんだけど考えられる可能性をば……
516 ：anonymous@fusianasan：2021/11/22(月) 15:29:05.32 ID:???.net: すみません
クライアント側のエラー表示はこんな感じでした
Unable to establish the VPN connection. The VPN server may be unreachable. (-14)
517 ：anonymous@fusianasan：2021/11/22(月) 17:29:56.57 ID:SyGujHDe.net: >>0514
IPv6アドレスが変わっても、絶対触らずにIPv4通信を継続させたい、という感じです。
518 ：anonymous@fusianasan：2021/11/22(月) 17:32:31.15 ID:SyGujHDe.net: >>0516
VPNサーバーが応答なしってエラーなので、機器のサービスが落ちてるか経路上の問題では無いでしょうか。あと、ONUにはIPアドレス無いはず
519 ：anonymous@fusianasan：2021/11/22(月) 23:05:46.10 ID:???.net: >>518
ONUと書いてあるけどアルテリアとかのメディコンなんじゃね
それならこの構成も普通に出来る
その場合、単にネットワーク外れてるとかSSL-VPNルータの障害とかな気がする
520 ：anonymous@fusianasan：2021/11/22(月) 23:30:02.52 ID:???.net: そもそもグローバルIPは固定の契約なのか？？
521 ：anonymous@fusianasan：2021/11/23(火) 00:02:11.70 ID:???.net: >>515
下の装置のipアドレス消し忘れてるぞ。特定しました。
522 ：anonymous@fusianasan：2021/11/23(火) 02:43:53.30 ID:???.net: >>518
応答なしなのでやっぱりそうですかね……
一応X.X.X.6とX.X.X.5にはpingは届いてます。

>>519
すみません適当でそんな感じの構成だと思って下さい

>>520
固定です……
523 ：anonymous@fusianasan：2021/11/23(火) 10:46:22.67 ID:???.net: 6.4.8 きてたんだねー

うちはアップデートした方が良さそう
524 ：anonymous@fusianasan：2021/11/23(火) 12:53:18.42 ID:???.net: 6.4.8でLets EncryptのクロスルートCAの問題も解消されてるみたいね
6.2系だと6.2.10で対応されてたみたいだけど
525 ：anonymous@fusianasan：2021/11/23(火) 13:26:25.98 ID:???.net: >>517
ちょっと何を言ってるのかよく分からんけど素直に網側のpreferrd lifetimeに従うしか無いんじゃないの？
無瞬断で切替られると思ってる？？
526 ：anonymous@fusianasan：2021/11/23(火) 14:38:20.34 ID:/oGzFb22.net: >>0525
すんません、変換ミスです
○設定
×絶対
切れるのはいいんですが、都度設定変更は避けたいという感じです。
527 ：anonymous@fusianasan：2021/11/23(火) 14:58:51.89 ID:???.net: >>526
いや、だからset autoconf enableじゃダメなん？って言ってんだけど。

設定の意味とか挙動が分かってないのかな。。
528 ：anonymous@fusianasan：2021/11/23(火) 21:36:18.09 ID:qOHjJAMn.net: >>0527
autoconf enableって、ipipトンネルのローカルipまで書き換えてくれるのですか？
529 ：anonymous@fusianasan：2021/11/24(水) 01:32:37.75 ID:???.net: >>524
やっぱり6.4系の対応の方がまだだったよね・・・
530 ：anonymous@fusianasan：2021/11/25(木) 00:09:31.91 ID:???.net: >>528
https://docs.fortinet.com/document/fortigate/6.4.8/cli-reference/7620/config-system-interface

set unique-autoconf-addr enable

IPv6 prefixが変わることはかなり稀だけど
531 ：anonymous@fusianasan：2021/11/26(金) 18:44:11.51 ID:???.net: fortigateは半導体不足の影響はないですか？
532 ：anonymous@fusianasan：2021/11/26(金) 18:53:36.61 ID:???.net: この状況で影響ありませんって言えるIT機器ベンダがあるなら聞いてみたい
533 ：anonymous@fusianasan：2021/11/28(日) 22:11:17.20 ID:???.net: fortiAP，fortiSwitchのエントリーモデル系はもう納期未定と言われた。
534 ：anonymous@fusianasan：2021/11/30(火) 23:21:26.65 ID:???.net: >>531
ないアルヨ！
535 ：anonymous@fusianasan：2021/12/04(土) 05:29:52.55 ID:???.net: 5chへの書き込みに固定IPで出たくないから、プロキシで書いてるんだけど
最近プロキシ通してるだけで怒られる事多くなってきた
FortiでPPPoEかモデムでLTE終端、SD-WAN通して5ch.net宛だけそこ経由、
他はメインのルータに流そうかなと思うんだけど
1.SD-WANはライセンス切れてても使える
2.SD-WANは性能指標のFW機能の一部（notIPS,SSLインスペクション）に該当する
で合ってますでしょうか
536 ：anonymous@fusianasan：2021/12/04(土) 16:01:55.06 ID:???.net: ライセンス残っている60Eをオークションで購入して、初めてFortigateを触ります。
新しい機能を覚えたほうが良いと考え、FortiOS 7.0.2に更新しました。
CLIからトランスペアレントモードに変更して、管理IPv4アドレスを割り当て済みで、
IPv4のインターネットへの通信と、WebからFortigate管理画面へログインできています。

インターネット側のルーターはNEC IX2207で、OCN IPoE (IPv4動的アドレス契約)、
ひかり電話なし、ONU直結、IPv6とIPv4 MAP-Eによるインターネット接続はできています。
PCには、IX2207からIPv6アドレスが割り振られています。

ここに、Fortigate 60Eを入れて、WAN1をIX2201-GE2に、LAN1をPC側につなぎます。
すると、IPv6アドレスがPCに割り振られなくなりました。
Fortigateに、IPv6を使う、WANからLANへRA通知も通す、という設定が必要だと思いますが、
どこをいじればよいか、わかる方教えてください。
537 ：anonymous@fusianasan：2021/12/04(土) 16:16:10.59 ID:???.net: よく知らんけど、NECからFortigateにprefix delegationとやらでFortigateのlan側用のipv6セグメントを移譲してやらなアカンて事かな？
ipv6はムズいね。ワシには無理だ。
538 ：anonymous@fusianasan：2021/12/04(土) 16:18:33.73 ID:???.net: あ、光電話なしだからipv6プレフィックスは/64しかもらえないのか？
じゃぁprefix delegationじゃなくてfortigateでnd proxyしてやりゃいいのか？
539 ：536：2021/12/04(土) 16:42:18.23 ID:???.net: >>538
NECのIXルーターの設定は、 ttps://jpn.nec.com/univerge/ix/Support/ipv6/OCN-VC/index.html
の、「設定例1　OCNバーチャルコネクト（動的IP）の設定 - IPv6 RA」を使ったのですが、
interface GigaEthernet1.0
ipv6 nd ra enable
ipv6 nd ra other-config-flag
とあるので、IXルーターがすでにNDプロキシ使っているようです。
YouTubeであきみちが、NDプロキシは1回しか使えないって言っていたので、ダメなのかなと。
540 ：anonymous@fusianasan：2021/12/04(土) 16:48:15.52 ID:???.net: ググれば腐るほど出てくると思うけど……
そこを見ても設定できないのか
そもそもIPoE用のトンネルも設定したか
NDプロキシは有効化してるか
ND通知をポリシーで許可してるかとか色々情報が足りん
541 ：536：2021/12/04(土) 17:33:08.77 ID:???.net: ググっても「Fortigateをルーターとして使用＋OCN MAP-E IPv4固定」ばかりで、
トランスペアレントモードで、すでに上位のルーターがND-Proxyとして動いている事例が
見つけられなかったのです。

MAP-E 動的IPなので、Fortigateをルーターとして使用しない前提で環境を作っています。
中古Fortigateなので故障したときは、L2SWとIXルーターを直結させて、
UTM機能はなくなるけれど、インターネット接続は維持できる環境を目指しています。
IPv6で、GoogleやMicrosoftのサービスとの通信速度が上がるので、
トランスペアレント＋IPv6が必要です。

＞ND通知をポリシーで許可
は探してみます。
NDプロキシ有効にして２段になっても、外部には迷惑はかけないだろうから、やってみます。

>そもそもIPoE用のトンネルも設定したか
は、わかっていないので、多分設定していません。
542 ：anonymous@fusianasan：2021/12/04(土) 17:43:13.40 ID:???.net: ライセンス切れのFortigateを使う神経が理解できんな
ファームウェアの更新できないし穴が開いたら開きっぱなしの危険物でしかない

そこらの市販WiFiルーターの方がマシ
頼むからやめてくれ

サポート終了したWindowsを使い続けるのは叩かれるのに碌にファームウェアも更新されないネットワーク機器を使い続けるのは叩かれないのは理解し難い
543 ：anonymous@fusianasan：2021/12/04(土) 17:46:05.82 ID:???.net: やめてくれも何もお前はどこの誰目線で話してんだよ(笑)
536の勝手だろうが
544 ：anonymous@fusianasan：2021/12/04(土) 18:21:59.50 ID:???.net: fortigate納期1年待ちってマジ？
545 ：536：2021/12/04(土) 18:30:04.26 ID:???.net: >>542
中古購入だけど、最初に書き込んだ通り、
ライセンス残っているものを選んだので、その批判は該当しません。
ライセンスが切れたらまた別の個体を探します。

そもそも、AntiVirusやWebFilterが使いたくて購入する製品なのに、
ライセンス切れの個体を使っていると思い込む人がいるのは、不思議ですね。
546 ：anonymous@fusianasan：2021/12/04(土) 19:27:45.99 ID:???.net: >>542
なんだ？あんたｗｗｗｗ
人にもの頼む態度じゃねーなｗｗｗ
547 ：anonymous@fusianasan：2021/12/04(土) 21:17:56.30 ID:???.net: >>541
トランスペアレントで動かしてるなら、とりあえずIPv6のファイアウォールポリシー（ユニキャストとマルチキャスト）を許可するポリシー書いてみればいいかと
548 ：anonymous@fusianasan：2021/12/04(土) 21:33:41.42 ID:???.net: >>541
トランスペアレントモードじゃなくてバーチャルワイヤーペアではダメ？
ルーティングやIPv6配布等は上位ルータで、通信制御とUTMだけはインラインでFortigateが行う、という構成がとれるはず
549 ：anonymous@fusianasan：2021/12/04(土) 23:17:39.33 ID:???.net: Fortigateの証明書でcustom_deep_inspectionしてるけど、いつも見れてるウェブサイトがなぜか急に
「証明書の問題があり、セキュリティ的に危ないです！」って出てくるときがある。何度かリロードすると
アクセスできるようになるんだけど、これって侵入されたりとかしてるのかな
550 ：anonymous@fusianasan：2021/12/05(日) 00:32:41.88 ID:???.net: 侵入ｗｗｗｗｗｗｗ
551 ：anonymous@fusianasan：2021/12/05(日) 00:39:51.72 ID:???.net: されてるかもしれないしされてないかもしれない
とりあえずウイルススキャンしよう
552 ：anonymous@fusianasan：2021/12/05(日) 00:47:06.55 ID:???.net: FortiGateいれてるのにログは見ないんかね
553 ：>>549：2021/12/05(日) 01:31:04.42 ID:???.net: >>551
CylanceProtectは何も検知してないみたいです

>>552
証明書のエラーログってどこでみたらいいですか？証明書のエラーが出た時と、
そうでない時とで比較できたらいいんですが
554 ：anonymous@fusianasan：2021/12/05(日) 04:43:03.55 ID:???.net: FortiGateの差し替えメッセージで出てる証明書エラーとかじゃないの？
そのFGを管理してる人に訊いたほうが良いかと
555 ：536：2021/12/05(日) 11:32:34.72 ID:???.net: >>547
IPv6ファイアウォールポリシーですね。
ログインしているノートPCの解像度低くて、メニュー構成が頭に入らず迷子になっています。
WebGUIから設定できますか、CLIでのコマンド投入必須ですか。

初期化してCLIでトランスペアレントモードを有効にした後は、
標準ではすべてのパケットを通すようになっているかと思うのですが、
IPv6のユニキャストやマルチキャストを落とすようになっているのでしょうか。

大きい画面を外付けして、あとでIPv6許可のポリシーのやりかた、探してみます。

>>548
バーチャルワイヤー、初めて聞きました。今のところは、
VDOMもVLANも必要ないので、よさそうです。
トランスペアレントモードでのIPv6しばらくやってみてダメそうだったら、
バーチャルワイヤーを試してみます。
556 ：anonymous@fusianasan：2021/12/05(日) 12:31:06.31 ID:???.net: Certificate-inspectionでは、httpsのAnti-Virusができないことは確認できました。
ttps://www.eicar.org/?page_id=3950 からeicar.comをダウンロードすると、
Fortigateのブロック画面は出ずに、WindowsDefenderで検出されました。

逆に、Certificate-inspectionでも、httpならばAnti-Virusが使えることを示したいのですが、
httpで提供されているeicar.comが見つけられません。どなたかご存じないでしょうか。
ローカルにhttpサーバーを立ち上げて、DMZにおくしかないでしょうか。

今ほとんどのサイトがhttpsで提供されているので、deep-inspectionが必要だということを、
実例を見せて示したいです。
557 ：anonymous@fusianasan：2021/12/05(日) 13:03:32.19 ID:???.net: >>555
Admin guideを読みましょう
https://docs.fortinet.com/product/fortigate/7.0

>標準ではすべてのパケットを通すようになっているかと思うのですが

いや、それだったらセキュリティ装置としての意味がないかと
ファイアウォールポリシー書いて無ければ全部落とすのがデフォルトです
558 ：anonymous@fusianasan：2021/12/05(日) 14:12:26.13 ID:???.net: >>555
https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-jpne-v6plus.pdf
ここの2-7以降読んでCLIで確認しなされ
画面小っちゃくてGUIじゃ見づらいならいい機会だしCLIで設定できるようになっとくのが便利
コンフィグみて何も無ければ暗黙で全部Denyしてるのは当然
>>557の言う通りホワイトリスト形式が基本なのは常識
559 ：anonymous@fusianasan：2021/12/05(日) 14:36:24.25 ID:???.net: >>556
現在から将来までの全従業員分の端末へ証明書のインストールもおまえがやってくれる料金込みで請け負ってる？
560 ：anonymous@fusianasan：2021/12/05(日) 15:07:59.05 ID:???.net: そんなん知らんがな
手作業でてめぇでやれって話だろそんなんセキュリティ構築担当のする話ではないわ
手作業じゃ無理です～ってならADでもなんでも使えそしてそれは別単価でのお話ですわ
561 ：.：2021/12/05(日) 17:28:37.89 ID:???.net: カスペルスキー　eicar
でググれ
562 ：anonymous@fusianasan：2021/12/05(日) 18:46:20.33 ID:???.net: >>561
ttp://www.virusanalyst.com/eicar.zip
が見つかった。ありがとう。

559は何言っているかよくわからない。
563 ：anonymous@fusianasan：2021/12/05(日) 19:52:56.37 ID:???.net: >>562
Deep Inspection使う場合は普通はプライベートCA建てたり端末へのCA証明書インストールなどの構築/運用/作業が必要ですが、
そこは検討されていますかってことじゃないでしょうか
564 ：anonymous@fusianasan：2021/12/05(日) 21:28:01.42 ID:???.net: そんな質問スルーでええやろ。
565 ：anonymous@fusianasan：2021/12/05(日) 21:52:14.88 ID:???.net: ビルトインの証明書でのdeep-inspectionの提案はしていないと思いたい
566 ：anonymous@fusianasan：2021/12/06(月) 05:35:06.47 ID:???.net: >>565
どうしてですか？
567 ：anonymous@fusianasan：2021/12/06(月) 09:39:47.79 ID:???.net: >>566
ビルトインの証明書はFortiGateのシリアル番号に紐付いていてコンフィグとして引き継げません
FortiGate交換時に端末へのCA証明書の再インストールが発生します
568 ：anonymous@fusianasan：2021/12/06(月) 11:44:51.53 ID:???.net: >>567
なるほどありがとうございます。
569 ：anonymous@fusianasan：2021/12/06(月) 21:36:11.76 ID:???.net: 最近Deep-inspectionの話多いけど60Fで性能足りるの？
このスレの上の方だと300以上は要るとか言われてるよね
570 ：anonymous@fusianasan：2021/12/07(火) 21:55:36.84 ID:n+miFD4E.net: >>567
それほんとですか？
リストアで戻せばもとシリアルナンバーの自己証明書が戻る様な気がするけど
571 ：anonymous@fusianasan：2021/12/07(火) 22:31:56.06 ID:???.net: セキュリティ構築たんとーさんはだいぶ呑気なもんだな。利便性や運用しらん！セキュリティ高いのが正義！そんな投げっぱな構築やってると顧客減るけど大丈夫？

UTMなんて一番最初に予算削られるとこですよ
572 ：anonymous@fusianasan：2021/12/07(火) 22:35:35.91 ID:???.net: >>567
知らんかった～。
お客さんにビルトインCAのままADで端末に配布しとるわ～
ま、担当外れたからどうでもええわ～。
573 ：anonymous@fusianasan：2021/12/08(水) 00:12:41.66 ID:???.net: 今のご時世いの一番にコスト削減するのがUTM周りとか
そんな時代遅れか知恵遅れな顧客はこっちから願いさげですぅ～
574 ：anonymous@fusianasan：2021/12/08(水) 00:14:19.38 ID:???.net: >>570
プライベートCAなりで作ってFortiGateにインポートしたものならコンフィグとして残るのでレストアは可能ですが
ビルトインの方はS/N固有になるのでレストアできないですね
同機種のFortiGateが2台あればすぐ試せるかと思います
575 ：anonymous@fusianasan：2021/12/08(水) 08:21:02.46 ID:???.net: プライベートCA建てた方がいいとは言われるけど、deep-inspection用の証明書はshow fullで秘密鍵ごと取れるから移せるよ。
576 ：anonymous@fusianasan：2021/12/08(水) 09:22:49.17 ID:???.net: FortigateのIPSテンプレートのhigh_securityってデフォルト状態で運用すると問題ある？
素人考えであれだけどハイセキュリティっていうくらいだからある程度安全性あるのかなって思うんだけど
577 ：anonymous@fusianasan：2021/12/08(水) 12:37:50.73 ID:???.net: FortigateのUTM機能なんておもちゃレベルじゃないの？
578 ：anonymous@fusianasan：2021/12/08(水) 13:35:44.11 ID:???.net: 具体的にどの辺がおもちゃレベルなんでしょうか？
579 ：anonymous@fusianasan：2021/12/08(水) 13:43:10.48 ID:???.net: 餅は餅屋と言われるぐらいのおもちやレベル
580 ：anonymous@fusianasan：2021/12/08(水) 13:47:42.89 ID:???.net: Fortinetは餅屋では？？？
581 ：anonymous@fusianasan：2021/12/08(水) 18:51:38.68 ID:ZDOBlCwl.net: >>574
やってみました。確かに引き継がないですね。
大変勉強になりました。
582 ：anonymous@fusianasan：2021/12/08(水) 21:43:27.15 ID:???.net: 中小企業でしか使われてないわな。fortigate
あとライセンス切れは家庭。
583 ：anonymous@fusianasan：2021/12/08(水) 23:32:38.49 ID:???.net: 国によって違うけどね
584 ：anonymous@fusianasan：2021/12/09(木) 00:02:22.44 ID:???.net: 結局どのあたりがどういう理由でおもちゃレベルなんでしょう？？
585 ：anonymous@fusianasan：2021/12/09(木) 00:23:40.39 ID:???.net: それを言わないが、あるんだよと思わせたいパロアルトの思惑
586 ：anonymous@fusianasan：2021/12/09(木) 01:02:40.78 ID:???.net: ひと昔前に比べればだいぶ洗練されてきたけど
デカい案件ではやっぱりパロ使うわ
587 ：anonymous@fusianasan：2021/12/11(土) 18:50:54.11 ID:???.net: 具体的な技術議論なんて出来ないなんちゃってエンジニアの吹き溜まり
588 ：anonymous@fusianasan：2021/12/11(土) 21:09:35.51 ID:???.net: FortiDDNSの挙動がよくわからん。
故障交換後に「取得可!!」ってなったと思ったのにだめとか
589 ：anonymous@fusianasan：2021/12/12(日) 01:01:01.56 ID:???.net: >>588
Technical Note: FortiDDNS registration on another device using same FQDN
https://community.fortinet.com/t5/FortiGate/Technical-Note-FortiDDNS-registration-on-another-device-using/ta-p/193328
590 ：anonymous@fusianasan：2021/12/12(日) 16:25:22.84 ID:???.net: >>589
おおおおおお
こんな技ちゃんとあるんだ。NetvolanteDNSよりも春香に親切じゃん
591 ：536：2021/12/12(日) 17:23:18.80 ID:???.net: >>557-558
初期設定で、IPv4でのWANへのアクセスは問題なかったので、
Default Allowかと思っていました。

実際は、SPIでLANからWANへの通信が登録されて、
帰りのパケットが許可されていたので、通信できていたようです。

WANからLANへのIPv6パケットは、明示で許可しないとダメですよね。

>>547
ひとまず、WANからLANへのIPv6をすべて許可する
プロファイルを一番上に追加したら、クライアントPCで
IPv6アドレスが取得できて、test-ipv6.comは8つOKでした。

これから、プロファイルなりポリシーなり、いろいろといじってみます。
592 ：anonymous@fusianasan：2021/12/12(日) 17:34:16.30 ID:???.net: 556です。

httpでもhttpsでも、eicarのあるURIは知れ渡っているので、
Edgeでのダウンロードは、Windows10クライアント側ででブロックされていました。
curlで試して、httpのブロックはうまくいきました。

ダウンロードすると、httpsはそのままzipがローカルに保存できるが、
httpはファイルダウンロードされずにCLIにBlockedのHTMLが表示されました。

あとで、自己署名証明書を入れて、deep-inspectionを有効にして、
curlでもhttpsのダウンロードが検出できるか、試してみます。
593 ：anonymous@fusianasan：2021/12/12(日) 18:13:43.18 ID:???.net: 556です。

>>563-568
Fortigateが交換されるたびに、
クライアントにCA証明書インストールしなおしで事足りる規模です。

>>572
ActiveDirectoryもいらない規模。

>>569
クライアントの台数と通信量によるでしょう。
少ない台数から、負荷を見ながら少しずつ増やしてみる予定です。

Fortigateを明示的なhttp-proxyとして使えば、
LAN側のTLS処理が無くなり、負荷が下がると思います。
CA証明書も不要だけど、クライアントへのProxy設定は別途必要。
（で、合っている？）

>>571 自己批判乙。
594 ：anonymous@fusianasan：2021/12/12(日) 18:23:09.85 ID:???.net: >>574-575
うちも、クライアントPCに都度CA証明書インストールでも大丈夫な規模ですが、
故障交換時に、再度CA証明書インストールを避けられるなら、避けたいです。

> deep-inspection用の証明書はshow fullで秘密鍵ごと取れる
から移せるとは、どのようにするのでしょうか。
ヒントをいただきたいです。

Openssl等を使って、現用の秘密鍵から自己署名証明書をつくって、取っておく。
代替のFortigateに書き込むと、クライアント側の証明書はそのまま利用できる、
というイメージでしょうか。
595 ：anonymous@fusianasan：2021/12/12(日) 19:45:46.78 ID:???.net: >>593
>Fortigateを明示的なhttp-proxyとして使えば、
>LAN側のTLS処理が無くなり、負荷が下がると思います。
>CA証明書も不要だけど、クライアントへのProxy設定は別途必要。

FortiGateとPC間がHTTPということであればPCがリクエスト出すときにHTTPでGET要求なりを出す必要があります（サイトのURLがHTTPの必要あり）
それと、HTTPで来たリクエストをFortiGateが受けてHTTPSでリクエストする機能は無かったように記憶しています
バーチャルサーバのSSLオフロードの逆みたいな感じですね（これもできなかったような記憶）
そしてプロキシとして使う場合はASICオフロードは効かないのでパフォーマンスも下がりますね
596 ：anonymous@fusianasan：2021/12/13(月) 16:09:44.24 ID:???.net: 例えば5555 -> 80でフォワーディングする時って
ポリシーで許可するポートって5555でいいの？それともフォワーディングした後の80にするの？
597 ：anonymous@fusianasan：2021/12/13(月) 20:13:33.61 ID:???.net: 試せばいいのでは？
598 ：anonymous@fusianasan：2021/12/13(月) 21:25:19.71 ID:m6rSBtT9.net: カタログのSSLスキャンのスループット凄いと思ったけど
これIPS有効のみの数値？
599 ：anonymous@fusianasan：2021/12/14(火) 20:53:54.59 ID:???.net: >>596
後
600 ：anonymous@fusianasan：2021/12/14(火) 21:27:02.56 ID:???.net: >>599
ありがとう
601 ：anonymous@fusianasan：2021/12/15(水) 13:24:46.12 ID:???.net: さくらいんたのJPRS 990円 SSL証明書って問題なく使えますよね?
602 ：anonymous@fusianasan：2021/12/15(水) 17:26:38.24 ID:???.net: 用途によるかと
603 ：anonymous@fusianasan：2021/12/16(木) 15:01:24.19 ID:???.net: 7.02です。DoH有効にしてたら、定期的にネットが遮断されてFortigateの管理ページにもつながらなくなります。
偶然フリーズする直前にログインしてたら、メモリが足りないというようなことが表示されていたのですが、
DoHの機能はまだベータ提供ということなのでしょうか？
604 ：anonymous@fusianasan：2021/12/17(金) 04:12:46.97 ID:???.net: SSL-VPNでプールアドレスを/24で設定してるんだけど
接続と切断を繰り返すとトンネルIPアドレスを受け取れませんってエラーでて接続できなくなるんですけどどうしてでしょうか？？

Fortiを覗いてみる限り何故かセッションが切れずにずっと繋がったままになっててアドレスを握ってるみたいなんですけど
クライアントで接続切った時にセッションも同時に落とす(tunnel-downさせたい)設定とかって無いんでしょうか？？
アイドルタイムアウト自体はデフォルトの5分にしてあります
605 ：anonymous@fusianasan：2021/12/17(金) 04:19:05.44 ID:???.net: SSL-VPNで付与したIPアドレスをVPN接続切れても開放しないバグがあったようなので問い合わせ or バージョンアップしてみるといいかも
606 ：anonymous@fusianasan：2021/12/17(金) 05:27:10.42 ID:???.net: >>605
ありがとうございます
バグなんですねこれ……結構致命的な気がしますけど……
OSのバージョンアップしてみます
607 ：anonymous@fusianasan：2021/12/17(金) 06:15:51.97 ID:???.net: >>605
かさねがさねすみません
そのバグについてのレポートみたいなのってどこかにあったりしますか？
608 ：anonymous@fusianasan：2021/12/17(金) 08:20:42.70 ID:???.net: 普通はリリースノートを読むと思う
609 ：anonymous@fusianasan：2021/12/17(金) 09:13:42.63 ID:???.net: それが見当たらないから聞いてるんですが^^;
610 ：anonymous@fusianasan：2021/12/17(金) 11:39:08.55 ID:???.net: ちゃんと読んでたら見つかるよ
がんばれ
611 ：anonymous@fusianasan：2021/12/17(金) 13:50:34.86 ID:???.net: >>604
SSL-VPNポータル編集で以下チェック入れてもダメ？

ユーザを一度に単一のSSL-VPN接続に制限する
612 ：anonymous@fusianasan：2021/12/19(日) 03:54:09.59 ID:???.net: >>611
試してみます。
613 ：anonymous@fusianasan：2021/12/21(火) 06:04:09.27 ID:???.net: >>611
チェック入れた後再起動で上手くいきました、ありがとうございます。
別にチェック入れることに支障はないんですけど酷いですねこれ
614 ：anonymous@fusianasan：2021/12/21(火) 16:30:00.65 ID:???.net: >>613
別にひどくねぇよ
615 ：anonymous@fusianasan：2021/12/21(火) 17:46:26.55 ID:???.net: ひどいよ
616 ：anonymous@fusianasan：2021/12/22(水) 14:50:13.08 ID:???.net: なんや？
617 ：anonymous@fusianasan：2021/12/22(水) 15:20:00.82 ID:???.net: >>611
一旦よくなったと思ったんですけどやっぱりダメでした
接続と切断を繰り返すうちに一ユーザだけで何十個もアドレス握っちゃってますね
枯渇した後も以前のセッションが残っていれば既存のセッションを切断して接続しますか？のダイアログがでるようにはなりましたけど新規ユーザはどうしようもないですね

酷いですねこれ(笑)
618 ：anonymous@fusianasan：2021/12/22(水) 16:45:55.51 ID:???.net: >>617
家の（FortiOS7.03）で試してみたけどそんな症状が出ないなぁ
FortiOSとFortiClientのVersionって何使ってます？
619 ：anonymous@fusianasan：2021/12/23(木) 11:23:43.58 ID:???.net: >>618
7.01ですね
Clientは最新のものです
620 ：anonymous@fusianasan：2021/12/23(木) 23:26:42.17 ID:???.net: うちもtokenと50E/SSL VPNつかってるけどそんな症状でないなぁ
621 ：anonymous@fusianasan：2021/12/24(金) 02:56:44.36 ID:???.net: 情報共有どうもです
IPoEで繋げてるのがいかんのですかね……
アドレスプールにv6もいれた方がいいとかあったりします？？
622 ：anonymous@fusianasan：2021/12/24(金) 07:33:07.99 ID:???.net: 7.01か
6系ではどこもそんな症状無いなぁ
個人的にはそんなβテスター向けリリース使うからだと思うが…
623 ：anonymous@fusianasan：2021/12/24(金) 09:26:17.89 ID:???.net: >>622
Fortigateの最新バージョン系統はバグ多いよね
複数メジャーバージョンある場合は本番環境は安定バージョン選ぶよね
624 ：anonymous@fusianasan：2021/12/24(金) 09:34:58.11 ID:???.net: >>622
ありがとうございます
バージョンですかね……？取り敢えず最新にはあげてみます
625 ：.：2021/12/24(金) 21:53:59.57 ID:???.net: 1年毎にアップデート出るけどさー
テストしたんか?
って感じのが初期はアルアルだわ
known issueが育つまで
待って考えてるわｗ
626 ：anonymous@fusianasan：2022/01/17(月) 21:58:28.05 ID:4D5CD1yM.net: 60Fでも、やっぱしpppoeは、遅いんやろか？

200Eでは、それなりにスピードでてる。
200EのCPUは、Celeron G1820 2.7GHz
627 ：anonymous@fusianasan：2022/01/17(月) 22:01:15.43 ID:4D5CD1yM.net: ちなみに100Dは、Atom D525 1.8GHz
だった
628 ：anonymous@fusianasan：2022/01/18(火) 01:11:01.48 ID:???.net: 50EだけどPPPoEで700Mbps出てるよ
もうこれ以上はフレッツ側が限界な気がするけど
700Mbps出てるときもCPU使用率50%くらいだったな
629 ：627：2022/01/18(火) 08:58:33.57 ID:nwoV9p1/.net: >>628
ありがとう。
スピードはでてるが、CPU負荷は高いですね。
630 ：anonymous@fusianasan：2022/01/21(金) 12:13:25.04 ID:???.net: >>628
ちな、セキュリティ機能なしのポリシー利用でpppoeで700mでてcpu50パーってことですか？
631 ：anonymous@fusianasan：2022/01/21(金) 12:28:42.36 ID:???.net: >>630
IPSとAppコントロール(モニタリングのみ)を有効にして700Mbps出た時にCPU50%
632 ：anonymous@fusianasan：2022/02/07(月) 13:20:09.11 ID:???.net: Windowsでhostsファイルイジる代わりに、Fortigateに設定することってできるの？
DNSエントリに登録すれば良さげだけど、DNSゾーンとかが分からない…
633 ：anonymous@fusianasan：2022/02/07(月) 13:24:47.52 ID:???.net: >>632
Workgroup運用でドメイン名がないんだけど、エントリにホスト名とIPアドレスを指定すると、FQDNにドメイン名が補完されちゃう。（とりあえずドメイン名はworkgroupにしてみた）
634 ：anonymous@fusianasan：2022/02/07(月) 14:12:02.97 ID:???.net: TLDがworkgroupのオレオレドメインで運用するなら
fortigateにDNSゾーン作って（fortigateがTLD管理出来るかは知らない。出来なければ適当にドットを1つ以上含むドメインに変更して）、
Windows側はTCPIP設定の詳細設定のDNSタブの検索DNSサフィックスに作ったDNSドメイン記載しとけば
名前解決時に補完（例えばping host1とコマンド打てば、host1.workgroupでDNS問い合わせ）してくれる。
635 ：anonymous@fusianasan：2022/02/11(金) 14:16:46.74 ID:???.net: オリジナルの業務アプリケーションの通信記録を取るために、
簡単なカスタムアプリケーションシグネチャーを登録したいのですが、
「変更を保存できませんでした」と表示され登録できません。
Fortigate-60E FortiOS v7.0.4 build0301 (GA)
バーチャルワイヤーペアで通信を監視中、プロキシベース、SSL deep-inspection。
クライアントPCのWindows10のルート証明書にFortinet_CA_SSLを登録済みです。

ポリシー＆オブジェクト＞ファイアウォールバーチャルワイヤーペアポリシーで、
設定したセキュリティプロファイル APP Defaultを設定しました。
ログ＆レポート＞アプリケーションコントロールで、
宛先IPアドレス(ホスト名)と、アプリケーション名が見られる状態です。
ttps://help.fortinet.com/fortiproxy/11/Content/Admin%20Guides/FPX-AdminGuide/700_Security-Profiles/720_CustomSignatures.htm
を見て、カスタムアプリケーションシグネチャを登録しようとしているのですが、
「変更を保存できませんでした」と表示され登録できません。

簡単に
F-SBID (--name "Original_App" ; --service HTTP; )
としても、登録できないため、シグネチャの構文エラーではないと思われます。
どの辺をいじるとよいか、お分かりの方、よろしくお願いします。
636 ：anonymous@fusianasan：2022/02/11(金) 19:54:06.29 ID:???.net: forticlientを使用したipsec VPNで日本国内のみからの接続に制限したいのですがうまく行きません。
どなたか成功してますか？
637 ：anonymous@fusianasan：2022/02/11(金) 20:50:26.43 ID:???.net: >>636
グローバルが一つだと外部に晒したipにポリシーを当てることができないので無理かも。
グローバルが複数なら、一つを外部インターフェースにもう一つをループバックにして、その間の通信に国内のipだけを透過ルーティングするポリシー書いて、ループバックに振ったグローバルでipsecを受けるみたいなことをする必要があったと思います。
638 ：anonymous@fusianasan：2022/02/11(金) 21:11:04.42 ID:???.net: >>637
回答ありがとうございます。
こちらのサイトですね

https://milestone-of-se.nesuke.com/product/fortigate/secure-ipsec-vpn-config-sample/

私のの環境ではwan側はpppoeで取得したグローバルipを使用するのですがその場合は無理という事でしょうか？
639 ：anonymous@fusianasan：2022/02/11(金) 23:14:06.50 ID:???.net: >>638
ip1個しか割り当てられないのはpppoeでもdhcpでも固定でもipsecではポリシーかけられないですね。
ssl-vpnならできるけどそれではダメですか？遅い？
640 ：anonymous@fusianasan：2022/02/12(土) 00:15:31.35 ID:???.net: >>638
LoopbackとバーチャルIPの組み合わせでできる
641 ：anonymous@fusianasan：2022/02/12(土) 05:28:48.74 ID:???.net: >>639
ipsecご要望でして・・・

>>640
バーチャルipにて内部に転送をかけるポリシーに日本ipのみみたいな感じでしょうか？
642 ：anonymous@fusianasan：2022/02/12(土) 09:20:12.16 ID:SVd28TV9.net: >>636
https://community.fortinet.com/t5/FortiGate/Technical-Tip-Restrict-VPN-access-to-certain-countries/ta-p/192328
643 ：anonymous@fusianasan：2022/02/12(土) 10:16:16.95 ID:???.net: >>642
なるほどこっちでもいけそうですね。
やってみます！
皆さんありがとう！
644 ：anonymous@fusianasan：2022/02/12(土) 11:49:01.46 ID:???.net: local in policyて自分で追加できるのか
いい情報貰った
645 ：635：2022/02/17(木) 20:46:45.30 ID:???.net: >>635
FortiOS v7.0.4 で、カスタムアプリケーションシグネチャーを登録、
どなたかできた方いませんか。
646 ：anonymous@fusianasan：2022/02/19(土) 03:00:36.10 ID:Zudi2d7X.net: もしどなたかわかる方いらっしゃれば教えて頂きますでしょうか

■スタティックルート
　0.0.0.0/0 wan2
■バーチャルIP
　wan1宛　⇒　DMZ1宛
上記環境で、wan1宛に外から来た通信をwan2ではなくwan1に返す為に
以下設定を追加したのですが、上手くいきませんでした
■ポリシールート
　着信インターフェース：DMZ1
　宛先GW：wan1のGW

一方で以下設定を追加した場合は上手くいきました
■スタティックルート
　"wan1に通信してきた外部のアドレス"　"wan1のGW"

上記ポリシールートで通信がうまくいかないい理由はどんな事が考えられるでしょうか？
647 ：anonymous@fusianasan：2022/02/19(土) 10:33:38.79 ID:???.net: RPFチェックとかじゃないですかね
648 ：anonymous@fusianasan：2022/02/19(土) 13:51:37.23 ID:???.net: >>646
同じようなことをやろうとして苦労した記憶があります。
自分は結局pbrはあきらめて、
646の構成で言うwan1先にいるルータ側でnaptさせて、
外部ipをwan1の持つipと同セグ(直接接続ルートになるのでスタティックルートもPBRも記載不要になる)に変換させることで対応しました。
649 ：anonymous@fusianasan：2022/02/19(土) 13:58:25.39 ID:???.net: 上記はwan1先にルータがいて自由にさわれることが前提の場合の話です。
また、ルーティング記載不要と書きましたがそれはwan1側の話でwan2側のdgwはもちろん必要です。

あと>>500で自分が似たような質問しているので
参考になるかは微妙ですがどうぞです。
650 ：anonymous@fusianasan：2022/02/19(土) 16:20:21.71 ID:???.net: ポリシルートを設定するときにはその宛先に対するルーティングテーブルがあることが必要ですがそこは大丈夫でしょうか
651 ：anonymous：2022/02/19(土) 18:33:15.67 ID:???.net: PBRするときはその先にルートがある必要があるから、WAN1とWAN2それぞれに
0.0.0.0/0があるように書いてAD値をWAN2が小さくなるように設定したうえで
PBRすると動くと思うよ。
652 ：anonymous@fusianasan：2022/02/19(土) 18:40:24.80 ID:Zudi2d7X.net: 回答くださった皆さんありがとうございます
教えて頂いた情報を参考に再度設定してみようと思います

>>647
RPFチェックという仕組みも有るんですね

>>648
>>649
wan1先ルータでのNAPTは盲点でした
ルータの設定変更について検討してみます
過去の質問回答も参考になりました

>>650
wan1宛のルーティングテーブル無いです…
ポリシールートだけでルーティングしてくれるものと勘違いしてました
wan1宛のデフォルトルートも作成して、プライオリティ値をwan2宛の
デフォルトルートよりも高くする事をまずは試してみたいと思います
653 ：anonymous@fusianasan：2022/02/19(土) 18:45:57.17 ID:Zudi2d7X.net: >>651
助言ありがとうございます
AD値で優劣をつける方法と
AD値は同じにして、プライオリティ値で優劣をつける方法では
どちらが良いとかありますでしょうか？
654 ：anonymous@fusianasan：2022/02/19(土) 23:51:59.12 ID:???.net: プライオリティのほうが良いです
ADだとベストパスが消えない限り次点のパスは有効にならないはずなんで
655 ：anonymous@fusianasan：2022/02/20(日) 07:16:31.03 ID:???.net: 自分ならwan1とwan2でvdom分けます。
そうすればwan1がpppoe＝ダイナミックゲートウェイの場合でも問題なし。

今回はルータ渡しのようですが、pbrではダイナミックゲートウェイで書けなかった記憶が。

もちろんvdom間を適切に繋いであげる必要があります。
656 ：anonymous@fusianasan：2022/02/23(水) 17:02:09.13 ID:X0QQHK08.net: FortiClientVPNでIPSEC接続時に、
クライアント証明書認証はできるのでしょうか。
（できればRadiusを使用したい）

FortiClientVPNには、クライアント証明書を指定する項目があるのですが、
FortiGateのIPSECの認証設定では、"事前共有鍵"か"シグネチャ"しか選択できないので、
もし、ご存じのかたがいらっしゃれば教えていただけないでしょうか。
657 ：anonymous@fusianasan：2022/02/23(水) 18:22:16.10 ID:???.net: >>656
可能です
https://docs.fortinet.com/document/fortigate/6.4.8/administration-guide/443323/dialup-ipsec-vpn-with-certificate-authentication
658 ：anonymous@fusianasan：2022/02/23(水) 22:42:07.58 ID:0I80hVM+.net: >>654、655
他ご回答下さった皆さんありがとうございます
スタティックルート追加、プライオリティ値調整で無事行いたい事ができました
659 ：anonymous@fusianasan：2022/02/24(木) 00:12:04.70 ID:???.net: 良かったです！
660 ：anonymous@fusianasan：2022/02/24(木) 16:58:40.47 ID:GXVHCnRd.net: >657
ご回答ありがとうございます！
週末試してみます。
661 ：anonymous@fusianasan：2022/02/26(土) 13:39:55.49 ID:???.net: すみません、fortigate詳しい方にお聞きしたいのですがDHCPv6-PDの再移譲って最新の60Fとかであれば出来ますかね？
フレッツ光ネクストのひかり電話有りの契約で上位WANルーターから/58でもらったprefixを
fortigateで受けて配下のコアスイッチに/60などで再移譲したいと考えています
同じような構成で出来ている等の情報ありましたら教えて頂けると助かります
662 ：anonymous@fusianasan：2022/02/26(土) 16:10:03.97 ID:???.net: このあたり見て試してみるとかでしょうか
https://docs.fortinet.com/document/fortigate/6.0.0/handbook/800956/dhcpv6
663 ：anonymous@fusianasan：2022/02/26(土) 18:44:12.65 ID:???.net: 情報ありがとうございます！
手元にまだ実機がないので届き次第上のURLを参考に設定してみます
664 ：anonymous@fusianasan：2022/02/27(日) 19:35:14.46 ID:???.net: Fortigateでアルテリアのクロスパス使う方法知りませんか？どうも上手く接続出来なくて…
665 ：anonymous@fusianasan：2022/02/27(日) 22:02:52.41 ID:KJiUiy31.net: >>664
Fortigate 楽天ひかりで検索
666 ：anonymous@fusianasan：2022/02/28(月) 15:45:35.21 ID:???.net: SSL-VPN WebモードでアドレスのIP部分をいじると
メニューに表示されてないものへもアクセスできてしまうのですが
特定ユーザーだけ
特定のアドレスのものへしかアクセスできないようにしたりは可能でしょうか。
参考になるドキュメントやサイトご存じであればおしえてください。
667 ：anonymous：2022/02/28(月) 19:18:53.59 ID:DDmEBu7f.net: >>666
出来ないと思うよ
IPアドレスじゃなくてIDベースで制御するリモートアクセスとしてIAPって製品分野が出来上がってる
zscaler ZPA, akamai EAP, netskope NPA とかそのあたり
必須要件だったらそういうの検討してもいいかもね
668 ：anonymous@fusianasan：2022/02/28(月) 20:31:04.52 ID:???.net: >>666
ポリシーを細かく分ければできないことはないはず
669 ：anonymous@fusianasan：2022/03/01(火) 18:17:40.77 ID:???.net: >>666
ユーザーグループ毎などでできるよ
670 ：anonymous@fusianasan：2022/03/03(木) 06:16:42.63 ID:Fc/N3CGb.net: トラフィックシェイパーについて、教えてください。
設定する事で、下限の帯域は確保しつつ、上限帯域に制限した通信が可能という認識で
間違いないでしょうか。

業務ネットワークと同じネットワーク内で、インスタライブ配信を実施してるんですが
ブロックノイズが出るのがどうしても気になって。
LAN⇔WANのポリシーにトラフィックシェイパー設定して、改善するもんでしょうか。

動画配信の為に、ネットワークを別にした方がいいのか、お知恵をお借りしたく。

回線はN○○PC系です。
プロバイダはIPv6非対応。
671 ：anonymous：2022/03/03(木) 09:08:42.59 ID:???.net: >>661
うちは60Eで出来てるよ。
ただPPPoEしゃべってるInterfaceでは定義はできるんだけど何をやっても動かず、
2ポートをONU側に接続して片方はPPPoE用、もう片方をDHCPv6-PD用として使ってる。
672 ：anonymous@fusianasan：2022/03/04(金) 00:47:20.21 ID:ogM+MYRV.net: 普通にWANの増速した方が良いかもしれませんね
673 ：anonymous@fusianasan：2022/03/04(金) 11:57:31.30 ID:???.net: >>671
動作情報ありがとうございます、
同じWANポートでPPPoEとの共存できないって事ですね…
674 ：anonymous@fusianasan：2022/03/04(金) 14:19:25.36 ID:SAk9nX2K.net: できるはずですが
675 ：anonymous@fusianasan：2022/03/04(金) 22:37:33.56 ID:???.net: >>672
670へのレスか？
676 ：anonymous@fusianasan：2022/03/05(土) 03:10:53.51 ID:???.net: >>670
構成がわからないからなんともいえませんがフルHDの動画であれば30Mbpsくらい常時確保できてれば問題ないんじゃないですかね
それが無理ならネットワーク分けるなりしたほうがいいように思えます
FTTHでIPoEだったら余裕そうだけど
677 ：anonymous@fusianasan：2022/03/07(月) 12:43:14.94 ID:???.net: >>676
670です。
ありがとうございます。
参考にします。
678 ：anonymous@fusianasan：2022/03/07(月) 22:56:45.57 ID:EG7Il395.net: もし分かる方いらっしゃればご意見を頂けないでしょうか
teams、googleハングアウトのようなWeb会議を行った際に、
その通信がudp_flood判定をされて、パケットが大量にドロップされている事が
ログのアノマリを見て分かりました（多いと1日数百件のudp_floodログ）

とりあえずはIPv4 DoSポリシーにて、当該通信でのudp_floodに関するアクションを
モニタとする事で対応しているのですが、これはよく有る事象なのでしょうか？
または、Fortiの設定に問題が有るのでしょうか？
679 ：anonymous@fusianasan：2022/03/26(土) 13:26:05.50 ID:???.net: 運用でfortiにポリシー追加とかやってるんだけどfortiのスキルあると思われるようになるには何すれば良い？
fortiの資格とかもあるようだが何かマイナーで評価されなそうだし
680 ：anonymous@fusianasan：2022/03/26(土) 15:43:15.60 ID:???.net: コマンドラインで設定
681 ：anonymous@fusianasan：2022/03/26(土) 19:19:08.59 ID:???.net: >>680
最近コマンドラインじゃないと設定出来ない項目いじったので触っています。
getとshowの使い分けはわかるようになりました。
682 ：anonymous@fusianasan：2022/03/28(月) 08:51:30.71 ID:???.net: terraformみたいなんで管理してIaCやってる感を出す
683 ：anonymous@fusianasan：2022/03/28(月) 09:45:55.78 ID:iCTxOPyH.net: diag使いこなす。
684 ：anonymous@fusianasan：2022/03/28(月) 21:14:13.00 ID:???.net: >>679
fortiの資格がマイナーなら、forti自体もマイナーなんだと思うがな。

cliでwebフィルタのカテゴリ設定してたら、ある意味凄いと思う
685 ：anonymous@fusianasan：2022/03/28(月) 21:15:17.92 ID:???.net: それは逆にバカにされるのでは……
686 ：anonymous@fusianasan：2022/03/28(月) 22:58:13.43 ID:???.net: CLIも良いんだけどさ
Webで設定したら10分で終わるところをCLIで1時間以上掛かってると格好悪いぞ
687 ：anonymous@fusianasan：2022/03/29(火) 22:23:16.94 ID:???.net: 食っていけるという意味でFWの将来性はどうなの

ゼロトラストとかいうのがFWやVPNは古いとうたってるみたいだが何が凄いのかよくわからん
各サーバ使う時に認証があるのは普通だろ
688 ：anonymous@fusianasan：2022/03/30(水) 09:19:18.56 ID:???.net: LAN内部は安全みたいに信頼できるとかできないに分けて考えず、ドコでも危険だから片っ端からUTM導入しておけば、有事の際にも言い訳たつって事だから…
689 ：anonymous@fusianasan：2022/03/30(水) 15:51:34.82 ID:???.net: >>688
僕は逆にUTMは減ってくるんじゃないかと思います。
LAN内部が安全ではないから全てのデータはクラウドにて管理するようになるかと思います。
オンプレ側はインターネットへの通信とクラウドへの通信さえあればいいように変わっていくのではないかと思います。
690 ：anonymous@fusianasan：2022/03/30(水) 20:20:39.51 ID:???.net: そうしたらプロバイダは従量課金にするかもね
691 ：anonymous@fusianasan：2022/04/01(金) 20:06:20.08 ID:???.net: 回線切れたら大騒ぎなのですがそれは
692 ：anonymous@fusianasan：2022/04/02(土) 01:58:38.75 ID:???.net: awsだってたまに止まるけど
まぁ仕方ないよねで済ましてる
こういうのでいいんだよ
693 ：anonymous@fusianasan：2022/04/02(土) 17:47:40.01 ID:GylSp1WA.net: 確かにな。
日本人が細かすぎるんだよ。
694 ：anonymous@fusianasan：2022/04/03(日) 00:43:13.91 ID:w6EEjOtH.net: >>689
ゼロトラスト売る側だけどこれが正解
FWやUTMで守っていたものは、今後は各PCやサーバ単位でEDR入れて守るようになる
データもオンプレに置くよりクラウドに置いて Azure AD で認証する方が安全
695 ：anonymous@fusianasan：2022/04/03(日) 10:29:42.73 ID:???.net: >>694
情報系システムはそうなんだけど、基幹系は、、、ね？
696 ：anonymous@fusianasan：2022/04/03(日) 19:44:41.49 ID:w6EEjOtH.net: >>695
時間の問題かなあって思ってる
銀行ですら勘定系をAzureに持ってって、お国もクラウドファースト言ってGSS持ってく算段してる時代だもの
Fortigate とかこの手のアプライアンス触って飯食ってる仕事の給料が下がることはあっても上がることはないよねー
697 ：anonymous@fusianasan：2022/04/04(月) 12:59:44.10 ID:???.net: それ以上はいけない
698 ：anonymous@fusianasan：2022/04/04(月) 23:40:40.92 ID:???.net: >>694
将来はそうなるとは思うんだけど…。

現状、EDR入らないネットワーク機器やら複合機とかIoT機器の脆弱性はどう防御できる筋書きでお話してるんかなぁ…。
そのへんがまず突っ込まれると思うんだけんど、どう詰めてますか？

恥ずかしい質問かもね。すまん
699 ：anonymous@fusianasan：2022/04/05(火) 23:04:20.63 ID:???.net: EDRって感染した後の挙動を止める事後対応じゃないのか？
なんかイマイチパッとしないように見えるけど進んでいる技術なのか？
700 ：anonymous@fusianasan：2022/04/05(火) 23:10:57.80 ID:???.net: 挙動とかを監視してる分、従来のパターンファイルで引っ掛けるだけのアンチウイルスよりは進んでると言えるんじゃない？
701 ：anonymous@fusianasan：2022/04/06(水) 00:18:22.94 ID:4CdjqIvg.net: >>698
凄く初歩的なところで言うと、アプライアンスでどうにかなるもんじゃなくて脆弱性守るのってパッチ当てるしかないからね
Fortigate の脆弱性守ってくれるのは誰？ってなるじゃん
まあ、そこら辺の機器だと基本は SIEM/SOAR の領域になるかね
702 ：anonymous@fusianasan：2022/04/06(水) 00:21:11.24 ID:???.net: >>698
IoTだとAWS IoT Device Defenderというクラウドの監視サービスがあるようです。
703 ：anonymous@fusianasan：2022/04/06(水) 19:39:15.28 ID:???.net: >>701
そーゆーお話だとまだEDRだけは難しいのかなぁ

セキュリティ機器はパッチ適用は当然として。社内に転がってる全IoT機器をこまめにアップデートするのは多くの会社で現実的ではないしね。
UTMのIPSパターンファインで、いろんなIoT機器の脆弱性を突く通信があった場合検知してくれるしね
704 ：anonymous@fusianasan：2022/04/06(水) 20:25:46.17 ID:???.net: >>699
ファイルそのものは検出しなくてもランサムウェアのプロセスを検知して暗号化実行をブロックしたりするかと　＞　EDR
705 ：anonymous@fusianasan：2022/04/07(木) 19:17:13.66 ID:kZDOJ/6x.net: >>703
社内に転がってるIoT機器が外から自由に突かれるってどういうアーキテクチャなん？
根本から色々理解が浅い気がすんだが
706 ：anonymous@fusianasan：2022/04/07(木) 23:54:12.38 ID:???.net: >>705
ゼロトラストだからじゃね
707 ：anonymous@fusianasan：2022/04/08(金) 00:22:24.33 ID:???.net: 外から自由に突かれるって話はどこから出てきたんだろう・・・
708 ：anonymous@fusianasan：2022/04/08(金) 01:06:18.92 ID:M3VTMrgi.net: >>706
ん？実装箇所がアプライアンスなのか組み込みLinuxのFirewallかはともかくとして、
ゼロトラストはわざわざ他所からの通信許可しておくことを推奨してるわけじゃないぞ
709 ：anonymous@fusianasan：2022/04/08(金) 01:11:48.14 ID:???.net: 要はUTM業者の飯の種としてはしばらく必要ってことでしょ

カメラとかのIoT機器はONU時点で別として社内LANには物理的に入らない設計の要求増えそう
複合機はインターネット出なくてもいいよなってなったり
710 ：anonymous@fusianasan：2022/04/08(金) 08:57:58.85 ID:???.net: まず社内への人間の出入りを禁止しないと…
711 ：anonymous@fusianasan：2022/04/08(金) 20:33:43.72 ID:???.net: そもそも上司へのゼロトラストなんて何10年も前から実践している
712 ：anonymous@fusianasan：2022/04/08(金) 20:43:31.83 ID:???.net: >>711
Untrustじゃないのか
713 ：anonymous@fusianasan：2022/04/08(金) 21:54:34.23 ID:???.net: httpsの通信が主流なのに、アンチウイルスできます！とか大爆笑。どうやってるんですかね？
714 ：anonymous@fusianasan：2022/04/08(金) 22:42:28.86 ID:???.net: >>713
ディープインスペクションでhttpsでもアンチウイルスは効くだろ
パフォーマンスは知らん
715 ：anonymous@fusianasan：2022/04/11(月) 19:49:05.13 ID:???.net: >>713
これって常駐してるアンチUTMの人だから、ほっといた方がいい
716 ：anonymous：2022/04/11(月) 23:36:27.07 ID:???.net: UTM でわざわざアンチウィルスやる意味ってもう無いだろ
717 ：anonymous@fusianasan：2022/04/27(水) 22:16:54.37 ID:D+1xj+KI.net: 初心者で恐縮なのですが、
以下のサイトのとおり、fortigate＋楽天ひかり回線で、ipv4 over ipv6接続をしたいです。
機種選定でおすすめがあれば教えて頂けないでしょうか。（中古でコスパ良だと助かります）
https://naitwo2.hateblo.jp/entry/FortiGate-DS-Lite
718 ：anonymous@fusianasan：2022/04/28(木) 16:58:20.24 ID:???.net: 性能の指標が無いと選べなくない？
OSを7系に上げなくて良ければ家庭用ならば50Eくらいで十分じゃないかな？

ライセンスが無いと普通はOS上げられないしシグネチャーも受け取れない
ちょっと高機能なルーターになっちゃいますが
719 ：anonymous@fusianasan：2022/05/02(月) 18:43:04.40 ID:???.net: 6.4.9 でったんだねー

でも、6.4.8 が入ってるけど
6.4.9 への有効なアップグレードパスがあれへんってメッセージでとるわ
720 ：anonymous@fusianasan：2022/05/03(火) 00:09:14.60 ID:???.net: >>719
中間パス無しで一回でアップグレード出来る場合もそう出る気がする

気になるならUpgrade Path Toolで調べれば確実だよ
721 ：anonymous@fusianasan：2022/05/03(火) 20:48:34.46 ID:RqN1DD7p.net: 以下サイトを参考に、
fortigate60E(ver7.0.2)を利用したDS-Liteのインターネット接続を構築しています。

https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-internet-multifeed-ipoe-fixed-ip_fos702.pdf

インターネットアクセス確認まではOKとなっているのですが、
iphone(×3台)が接続できない事象が発生しています。
他のwinPC端末や、google機器や、alexa機器などはインターネット接続が出来ているのですが...
iphoneの通信をパスする設定等で思いつくものはありますでしょうか。
722 ：anonymous@fusianasan：2022/05/04(水) 02:26:50.46 ID:???.net: 100Dです。通信量が増えるとダッシュボードのCPU使用率が1コアだけ100%に張り付くんですけど原因や調査方法がわかる方いますか？他の3コアは25%ぐらいで負荷が偏り過ぎてます。。
723 ：anonymous@fusianasan：2022/05/04(水) 20:51:55.28 ID:???.net: >>722
PCと同じような挙動なので特におかしくないんじゃないかな
724 ：anonymous@fusianasan：2022/05/04(水) 23:49:13 ID:???.net: >>721
OKとNGは具体的に書かないと誰もわからない

>>722
100Dは実コア2つだからただの使いすぎじゃない？
725 ：anonymous@fusianasan：2022/05/05(木) 00:32:27.13 ID:XFsuvO4w.net: >>724
iphoneだけが、インターネットに接続出来ないという事象になります。

インターネットアクセスOK⇒windowsPCやAlexaやgoogle機器

インターネットアクセスNG⇒iphoneのみ

※構成
ONU⇔fortigate⇔無線AP⇔クライアント端末群
726 ：anonymous@fusianasan：2022/05/05(木) 00:59:55.30 ID:???.net: >>725
デバイスインベントリにiphoneはいるか？
いるのならiphoneをwifiに継いだ状態で他の機器（Windowsとか）には接続できるか？
そのiphoneのIPはポリシーに入っているか？
対象ポリシーのログは確認しているか？
他のポリシー（暗黙等）、UTMポリシーでDropしていないか？

それにiphone使ってないから何とも言えないけどPingとかlookup出来るアプリってないの？

ヒントがおおざっぱ過ぎてエスパーでないと回答に困るな。
727 ：anonymous@fusianasan：2022/05/05(木) 02:51:21.47 ID:???.net: mssの設定はちゃんとしてる？
728 ：anonymous@fusianasan：2022/05/05(木) 09:41:22.09 ID:???.net: iCloud プライベートリレーとかそのへんかな。
うちのやつのログに何か記録されていたような覚えがあるが気にしてなかった。
729 ：anonymous@fusianasan：2022/05/05(木) 12:24:24.03 ID:???.net: プロキシモードとフローモードのどっちをみんな使っているの？
10MB以上検査出来ないならフローモードの方がマシだと思うんだがプロキシモードの最大値を変えてるのか？
730 ：anonymous@fusianasan：2022/05/06(金) 10:20:13.11 ID:???.net: >>725
何一つ具体的になってなくて草
731 ：anonymous@fusianasan：2022/05/06(金) 10:24:06.38 ID:???.net: >>728
エスパーだと先に気になるのはMAC randomizationの方かな。
732 ：anonymous@fusianasan：2022/05/06(金) 17:46:11.82 ID:???.net: >>725
エスパーするとiPhoneが機内モードになってるんじゃないかな
733 ：anonymous@fusianasan：2022/05/06(金) 18:36:27.04 ID:???.net: >>725
なんちゃってエスパーだけどiPhoneのアドレスを固定にすると直るんじゃないかな。
734 ：anonymous@fusianasan：2022/05/07(土) 23:10:44.76 ID:JOLGsOfK.net: エスパーの皆さま情報不足ですいません。
iosの設定をいじったらインターネットに繋がるようになりました。ありがとうございました。

ただ、windowsはv6で接続出来ているのですが、
iphoneのみv4接続しかできない事象にハマりました。

iphoneのネットワークをみると、v6のアドレス（DNS含む）は貰えてるのですが、結局未解決です…
735 ：anonymous@fusianasan：2022/05/07(土) 23:26:13.66 ID:JOLGsOfK.net: そもそもiphoneからv6アドレスにpingが通らない…
736 ：anonymous@fusianasan：2022/05/07(土) 23:29:22.15 ID:???.net: ポリシー書いてないだけでは？
737 ：anonymous@fusianasan：2022/05/07(土) 23:44:19.95 ID:???.net: 構成図も情報も殆どなくて困ってますって話しかしないなら解決はしなさそうだね
738 ：anonymous@fusianasan：2022/05/08(日) 02:44:20.80 ID:TWmG/BXr.net: >>736
fortigateーAPーwin端末やiphone

AP接続ポート⇆WANポートは、
anyで許可ポリシー入れてます。
iphoneだけv6が見えないんですよね

再度ポリシー見直してみます。
739 ：anonymous@fusianasan：2022/05/08(日) 02:54:13.36 ID:???.net: >>734
無線APのせいじゃないの？
それにしてもほんっと情報出さないねｗ
740 ：anonymous@fusianasan：2022/05/08(日) 09:49:13.88 ID:???.net: AP接続ポート、WANポート間がAnyってやばくねｗ
741 ：anonymous@fusianasan：2022/05/09(月) 21:27:22.06 ID:???.net: FWって1000個ぐらい拒否IPアドレス設定しても負荷大丈夫？
742 ：anonymous@fusianasan：2022/05/09(月) 23:04:34.62 ID:???.net: そんくらいじゃ問題ないけど良く来る所はマスクで締めた方が良いし、GioIPで閉めるのも考慮した方が良いと思う。
743 ：anonymous@fusianasan：2022/05/09(月) 23:10:11.43 ID:???.net: >>742
サンクス
744 ：anonymous@fusianasan：2022/05/11(水) 21:08:00.69 ID:???.net: ライセンスの期限が25年1月までのものがあるんだが
同一モデルで今年ライセンス切れるやつがあって
期限長い方の権利でファーム取得して
期限切れのモデルに入れるとかできるのかな。
ファームに日付埋め込まれてて照合でダメって言われるやつかな?
745 ：anonymous@fusianasan：2022/05/12(木) 00:31:42.60 ID:???.net: >>744
ライセンス違反だけど入るし動く。
746 ：anonymous@fusianasan：2022/05/12(木) 10:12:17.12 ID:???.net: ファーム(OS)の更新は可能
シグネチャーの更新やWebフィルタは利用不可だよ
747 ：新人君：2022/05/14(土) 04:20:13.54 ID:/H9rvSVD.net: エスパーの皆様
FortiGate transparent modeについて質問させて下さい。
transparent modeでは、L2として動作するのでルーティングは出来ない認識でいます。

そこで質問なのですが、transparent modeでもCLIでStatic route 設定可能なようなのですが、
transparent modeで、Static route の使い道が分からず・・

PC(192.168.1.1)から1.1.1.1に通信させたい場合、transparent modeで実現できるかをご教示頂きたく。
なお、PCに設定しているゲートウエイは、192.168.1.254で、PCにスタティックルート設定はなしが条件となります。
.1 .10 192.168.1.254/24
PC--------FG---------RT1
|
| 192.168.1.253/24
RT2
| 1.1.1.1/32
748 ：新人君：2022/05/14(土) 04:21:52.53 ID:/H9rvSVD.net: すみません、構成図がずれてました・・・
.1 　　　　.254　　　　
PC--------FG---------RT1
　　　　　|
　　　　　| 192.168.1.253/24
　　　　　RT2
　　　　　| 1.1.1.1/32
749 ：新人君：2022/05/14(土) 04:24:12.83 ID:/H9rvSVD.net: ずれちゃう・・・
RT1　192.168.1.254/24
RT2　192.168.1.253/24
RT2　1.1.1.1/32(loopback)
です。。連投すみません。
750 ：anonymous@fusianasan：2022/05/14(土) 08:29:39.03 ID:???.net: Transparentモード使った事ないから知らんけど（じゃぁ答えるなって言われそうやけど）
普通に考えるとそれはFortigate自信がip通信する際に参照するルーティングテーブルじゃないの？

fortigateまたぐL2通信に関係無いやろ？
751 ：anonymous@fusianasan：2022/05/14(土) 10:02:38.43 ID:???.net: 管理用IPのルートだね
752 ：anonymous@fusianasan：2022/05/14(土) 13:45:19.50 ID:???.net: ルーター間が通信できていればポリシーが許していれば通信可能ですよ

FGTのルーティングは他の人が書いている様に管理用
普通の環境だとFGTがインターネットに出られないとシグネチャーが更新できないからデフォルトルートを設定するよ
753 ：新人君：2022/05/14(土) 14:00:59.96 ID:/H9rvSVD.net: エスパーの皆様

有難うございます！
754 ：anonymous@fusianasan：2022/05/14(土) 14:18:08.37 ID:???.net: 必要な設定をなしが条件となりますって言われても…
エスパーの皆様って煽りもやめたほうがいいよ。
755 ：aho：2022/05/14(土) 14:44:27.47 ID:???.net: NAT使えよNAT
756 ：anonymous@fusianasan：2022/05/14(土) 19:57:41.86 ID:???.net: >>747
他の方が回答出しちゃってますが
試しに構成を作ってみました。

RT1はFGTのWAN側でRT2はLAN側のポート接続ですよね？
RT1に1.1.1.1向けのルーティングがあれば繋がりますね。

また、FGTのルーティングをRT2向け、PCのデフォルトGWをFGTしてもPCから1.1.1.1繋がらないので、他の方がおっしゃってる通りFGTのルーティングはFGT本体の通信用ですね。
757 ：新人君から進化した：2022/05/20(金) 19:16:36 ID:XkQ5QeX7.net: >>756
求めいていた回答です。
PCでFortigateをゲートウエイにしても1.1.1.1に繋がらないのですね。

トランスペアレントの場合、完全にFrotigate自身のルーティングであること、理解できました。

ｱｻﾞﾏｽ。
758 ：anonymous@fusianasan：2022/05/22(日) 14:34:48.80 ID:???.net: 少し質問させたください。

少し特殊な環境での構成になるのですが、
WAN接続の無いfortigateのLANポート(192.168.0.1)に、
WAN接続のあるRT①(192.168.0.11)と、
同じくWAN接続のあるRT②(192.168.0.12)が接続されています。

fortigateのデフォルトルートはRT①に向いており、
fortigate自身のDNSやfortiguard等の通信を含め、全てRT①経由でWANに抜けて行きます。
そこまではいいのですが、
RT②ではRT②のWAN(pppoe)に外部から着信したhttp,https,icmpのパケットを
静的NAPTでfortigate(192.168.0.1)に転送するように設定されています。
しかしこのままでは、fortigateは返信パケットをデフォルトルートに従いRT①(192.168.0.11)に送信してしまいます。

何とかしてfortigateから発信する一部のプロトコル、ポートを持った通信をデフォルトルート以外に転送することは可能でしょうか。

PBRで色々試してみましたが上手くいきません。
759 ：anonymous@fusianasan：2022/05/22(日) 16:39:49 ID:???.net: >>758
vdomで分けるのはダメですか？
760 ：anonymous@fusianasan：2022/05/22(日) 17:53:44.26 ID:???.net: >>758
SD-LAN？として、LAN側インターフェイスをsd-wanインターフェイスにぶちこんで。
sdwanルールで書くとかどーお？
761 ：anonymous@fusianasan：2022/05/22(日) 18:51:49.18 ID:iiGUU5Gm.net: >>758
Fortigateというより一般的な戻りルートの問題なので
この場合RT①と②では一般的な静的NAPT(Fortigate LAN1に着信するパケットは送信元IPがグローバルIP)ではなく
Ciscoでいう双方向NAT(Fortigate LAN1に着信するパケットは送信元IPが192.168.0.11や12になる)を使うしかないと思います。
762 ：anonymous@fusianasan：2022/05/22(日) 19:05:23.87 ID:???.net: 回答ありがとうございます

>>759
FortiManagerに属してるのでVDOM使うと別途ライセンスがいるのです・・・

>>760
試してみましたがPBRと同様に設定したルール道理には動けませんでした。

>>761
たしかにNATを使ったほうが楽なのかもしれません。
動的NATか、逆側IPマスカレードで試してみます。
763 ：anonymous@fusianasan：2022/05/22(日) 19:20:30.67 ID:???.net: >>758
192.168.0.0にもう一個インターフェイスだしてSD-WANかな。
RT2のNAPT先をもう一つのインターフェイスにすれば多分RT2に帰ってくれる。
FortiManagerは触ったことないから知らん。
764 ：anonymous@fusianasan：2022/05/22(日) 22:29:43.09 ID:37JwvNHh.net: 初心者ですがlonkmonitorについて質問です

https://docs.fortinet.com/document/fortigate/6.0.0/handbook/252877/remote-link-failover
上記構成で記載の設定+左のfortigateを高プライオリティ、overrideを設定した場合ですが、障害箇所が復旧しているかに関わらずpingserver-flip-timeout 分経過すれば切り戻ってしまう認識ですが、それを止める設定は何かあるでしょうか

flip-timeout が経過した際にプライマリ選定を行い、左がプライマリに戻ってしまうため通信断が起きるのを避けたいです。
765 ：anonymous@fusianasan：2022/05/22(日) 23:05:13.57 ID:iiGUU5Gm.net: >>764
flip-timeoutを最大値2147483647min=4083年にしておけばとりあえず自動で切り戻らなくなるのでは。使ったことないけど。

切り戻したいタイミングで手動で1にして、切り戻してからまた最大値にする運用すれば目的に近いということで。。。
766 ：anonymous@fusianasan：2022/05/23(月) 00:23:36.26 ID:???.net: >>765
回答ありがとうございます。
時間長くすればその間は切り戻らないのはそうなのですが、復旧してるなら最短で切り戻したいということでして、、

あまり資料も見つからず、使われていない設定なのですかね
767 ：anonymous@fusianasan：2022/05/23(月) 00:44:16.33 ID:???.net: >>758
RT2から来る通信の送信元を絞れるなら対応可能
768 ：anonymous@fusianasan：2022/05/23(月) 02:43:57.60 ID:???.net: >>767
それって送信元のスタティック書くだけ？だったら、ここに質問しなくね？
769 ：anonymous@fusianasan：2022/05/23(月) 13:42:35.81 ID:???.net: >>767
>>768

送信元が固定ならスタティックで何とかなったのですが、動的IPなので難しいです

一応、逆NAPTでRT②のWANからくるfortigate宛のパケットの送信元をRT②のLAN側IPに変換して一応解決しました。

ありがとうございます
770 ：anonymous@fusianasan：2022/05/24(火) 12:55:18.86 ID:???.net: >>766
sdwanがあるし、linkmonあんま使われないと思う。お力になれずスマン
771 ：anonymous@fusianasan：2022/05/25(水) 22:32:24.18 ID:fsAGyccO.net: linkmonitorがどうかに頭使うより
使わんように頭と金使う方がみんな幸せな気がする
772 ：anonymous@fusianasan：2022/05/26(木) 00:11:30.08 ID:???.net: >>771
お金使うなら、誰でもできるだろ
773 ：anonymous@fusianasan：2022/05/26(木) 14:03:15.24 ID:mnA+KO/f.net: おっしゃる通りです
失礼しました
774 ：anonymous@fusianasan：2022/05/27(金) 08:41:10.67 ID:???.net: v6ブラスからのIPv6-RAをfortigateを介してLANに流しているはずなのだが、iPadだけIPv6で通信できない。IPv6グローバルアドレスは割り振られているのに…
MS-WindowsとAndroidはIPv6で通信できるのに…

iPadは何が気に入らないのだろう？
775 ：anonymous@fusianasan：2022/05/27(金) 11:48:33.41 ID:???.net: プライベートWi-Fiアドレスとか
776 ：anonymous@fusianasan：2022/05/29(日) 23:28:19.98 ID:???.net: トラシューでログとか見れない人だったら、ぶっちゃけバッファローとか使ったほうがいいっすよ
777 ：anonymous@fusianasan：2022/05/30(月) 01:28:58.10 ID:???.net: >>776
解決案も出さない癖に、他機種をすすめるような煽りするのは病院おすすめする

>>774
ドロやあいぽんで可能ならば、ipad側v6の何らかじゃないかい？fortidocsやらで探って見つかんなきゃ、キャプチャしてみるしかないな
778 ：anonymous@fusianasan：2022/05/30(月) 09:20:25.65 ID:???.net: そもそも質問なんかね
779 ：anonymous@fusianasan：2022/05/30(月) 16:11:14.90 ID:m0iFqttg.net: >>774
これ抜けなく全部やってるかチェックしては。
https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-jpne-v6plus.pdf

v6 DNSかND Proxyあたりが怪しい気がするけど。
780 ：anonymous@fusianasan：2022/05/30(月) 23:10:45.52 ID:???.net: ドキュメント読んだり、ログ見たり、パケットキャプチャ取って確認したりでやることはいろいろあるんだけど
ここで質問する人は一発で解決する答えを聞きに来てる感じだからそのあたりの解析作業をすることはほぼない
781 ：anonymous@fusianasan：2022/05/31(火) 09:27:33.00 ID:???.net: 質問自体が低レベルな奴は煽られるのが5ch
ここは煽られながら情報を得る所だ
782 ：anonymous@fusianasan：2022/06/02(木) 08:16:26.16 ID:???.net: 大原則、趣味で中古買ったなら自己解決が基本
仕事で納めるために買ったならサポートに聞くとかできるだろ、Fortiなら図研かSBだろ？
783 ：anonymous@fusianasan：2022/06/02(木) 12:30:43.05 ID:9588vqFk.net: 教えたがりがいるし、別にいいとおもうけど。ここで聞いたって。
784 ：aho：2022/06/02(木) 19:43:37.95 ID:???.net: v7.0行こうぜ
785 ：anonymous@fusianasan：2022/06/02(木) 20:41:27.89 ID:???.net: 在庫なくね？
scskとか大手からは即入できるのかな
786 ：anonymous@fusianasan：2022/06/03(金) 07:11:10.01 ID:???.net: >>785
scskで40fなら納期2週間ほど。
80fまではそれなりに在庫ありました。
値上げすごいけど。
787 ：774：2022/06/04(土) 05:05:12.64 ID:???.net: みんなありがとう

時間が取れたので調べました
とりあえず以下の事象が判明したので、サポートへ投げてみました

１．iPad のみ、wan 側の IPv6 アドレス宛に ping を飛ばすと応答パケットが Fortigate 内で止まり internal 側へ送出されない
２．iPad に割り振られた IPv6 アドレスのみ Fortigate の route table に登録されていない
　　Windows と Android に割り振られたアドレスは、"diagnose ipv6 route list" コマンドで経路情報が表示される

https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-jpne-v6plus.pdf
については、設定しているつもり
ただ、config firewall policy の srcintf と dstintf は書式が違うはずで、internal->wan1しか許してはいけないのではないかな
788 ：anonymous@fusianasan：2022/06/12(日) 09:06:01.36 ID:/TrsoRsS.net: サポートの回答はどうでしたか？
789 ：774：2022/06/12(日) 10:50:18.69 ID:???.net: バージョン7.2.0は上げすぎでサポートしないので、7.0.5に下げろとか
790 ：anonymous@fusianasan：2022/06/13(月) 01:04:54.49 ID:???.net: >>783
解決のための相談に乗ってくれる人はいる
でも、相談者は調査方法じゃなくてダイレクトに答えがほしいだけだからね
調査しないとその答えが出ないですよってことを相談者はなかなか理解してくれない
791 ：anonymous@fusianasan：2022/06/15(水) 14:52:42.21 ID:???.net: まだ日本の代理店サポートに期待してるの？
最新版には追従できず古いバージョンしかサポートできない連中だよ
792 ：anonymous@fusianasan：2022/06/15(水) 19:24:16.01 ID:???.net: Fortiの最新版はバグ多いからな
v7.2系とか現状オープンベータ版みたいなもん
何で複数メジャーバージョンでアップデート出してるのか知らん無知が増えたな
793 ：anonymous@fusianasan：2022/06/15(水) 20:48:55.32 ID:???.net: 開発したメーカーですらまともに対応出来ませんからｗｗ
794 ：anonymous@fusianasan：2022/06/16(木) 00:04:43.41 ID:???.net: >>793
メーカーですら対応出来ない問題も報告、解析してくれるコミュニティもあっての新ファームだしな
問題はメーカーに丸投げ的な考えの多そうな日本人向けではないけど
795 ：anonymous@fusianasan：2022/06/17(金) 12:24:19.17 ID:???.net: 保守無しでファーム手に入んないのかよ！
そう思うとメジャーバージョンアップすら無料のWindowsは神だな。
796 ：sage：2022/06/17(金) 13:03:43.29 ID:???.net: マルチVDOM環境でVDOM作って
配下のvdomでWebフィルタリングの詳細設定しようとすると

スタティックURLフィルタのところで
--------------------
無効なURLをブロック
URLフィルタ
FortiSandboxにより検知された悪意のあるURLをブロック
コンテンツフィルタ
--------------------
あるはずが
「URLフィルタ」と「コンテンツフィルタ」が表示されなくなるんだけどなんで？
FG50E
6.2.10 build1263 (GA)なんだけど
797 ：anonymous@fusianasan：2022/06/19(日) 11:40:48.80 ID:???.net: >>796
CLIで確認したん？
798 ：anonymous@fusianasan：2022/06/22(水) 22:32:03.85 ID:gqCCrR07.net: ちょっと教えてほしい。
FortiGateでIPSEC-VPN冗長構成を検討している。

DC側は、ISP-A,ISP-Bの２回線。RT#1,RT#2はBGPしゃべってなくて、単純に回線収容してるだけ。
拠点側FGは、DC側FGのISP-A,ISP-Bグローバル向けのIPSECピアを２つ設定。(local idをメイン、バックアップで設定)
DC側FGは、拠点向けにset peertype oneで、メイン、バックアップを設定。
DC側FGは、フローティングスタティックを使って、通常時はデフォルトルートをISP-A、障害時はISP-Bとする。
ここまではいいんだけど、ここから先が疑問。

通常時、拠点FGから、ISP-BのグローバルIPに対してVPNトンネルを張りに来た際に、VPN応答はISP-A回線経由で返してしまうはず。
そこで、FortiGate自発パケットに対してローカルPBRが実装できれば解決できると思ったんだけど、実装できなそう・・・・

こういう構成の時って、どうやるのが好ましいのかな・・
まぁ、VPNトンネル張るだけだから、ISP-A経由で戻してもそこのバックボーン内で送信元ISP-BのIPが拒否されていなければ、
問題は発生しないとは思ってるけども。
[拠点FG]
||
[インターネット]
| 　 |
| 　|
ISP-A ISP-B
| 　 |
| 　 |
RT#1 RT#2
| 　 |
| 　|
wan1 wan2
[ DC側 FG]
799 ：anonymous@fusianasan：2022/06/22(水) 23:00:38.60 ID:???.net: Router外してFGで直収すればいい
800 ：anonymous@fusianasan：2022/06/22(水) 23:36:49.18 ID:???.net: DC側FGで拠点側ISP-Bのグローバル宛ホストスートをwan2に指定する
801 ：anonymous@fusianasan：2022/06/22(水) 23:50:22.73 ID:???.net: >>798
検証はしてないから正確では無いかも知れんが
FortigateのIPSecピアは個別に出力インターフェースが設定出来るから
出力インターフェースごとにルーティングされると思われる

IPSecピアごとの出力インターフェース指定とか普通のルーターには無いし

VPN通信自体が使うIPSecピアの切り替えはSD-WANやらリンクモニターやらルーティングプロトコルやらを適当にやればどうにかなるはず
802 ：anonymous@fusianasan：2022/06/23(木) 00:00:33.12 ID:???.net: 通常は着信したインターフェースから返す仕様
なのでwan2に着信があったらwan2から返す
フローティングスタティックの設定が具体的にどうなってるかわかんないけど
wan2側もルーティングテーブルがないと
RPFチェックで落ちると思うのでそのあたりは要確認
803 ：anonymous@fusianasan：2022/06/23(木) 08:11:57.77 ID:oaTYYQXh.net: ありがとう！
検証してみる！
804 ：anonymous@fusianasan：2022/06/23(木) 12:49:45.15 ID:???.net: 設定に困ったとき相談できる窓口があるサポート会社はどこ？
805 ：anonymous@fusianasan：2022/06/23(木) 14:53:56.41 ID:???.net: どこでも相談できるよ、金さえ払えば
806 ：anonymous@fusianasan：2022/06/23(木) 18:41:10.34 ID:???.net: >>804
保守に付いてくるよ
807 ：anonymous@fusianasan：2022/06/24(金) 12:33:22.14 ID:???.net: >>805
ほんと？
2社と契約しているが、障害対応は受けるが今から設定する内容の相談は営業窓口って言われるぞ
保守窓口で答えてくれることもあるが突っ込んだら営業へとなる
808 ：anonymous@fusianasan：2022/06/24(金) 15:55:36.01 ID:???.net: 話がかみ合ってないな
809 ：anonymous@fusianasan：2022/06/24(金) 17:13:18.94 ID:???.net: 保守の意味ググれ
810 ：anonymous@fusianasan：2022/06/24(金) 18:12:28.25 ID:???.net: アホの極み
保守内容なんてそれぞれ違う
811 ：anonymous@fusianasan：2022/06/24(金) 18:17:09.29 ID:???.net: もしかしてファームのアップとか設定変更とか保守？
修理点検のみ？
いろんな捉え方あり？
それとも俺の思っている保守内容が世界共通？って人か？
812 ：anonymous@fusianasan：2022/06/24(金) 18:46:20.68 ID:???.net: どこまで対応してもらえるのかは契約内容確認すればいいんじゃないでしょうか
813 ：anonymous@fusianasan：2022/06/24(金) 19:03:31.25 ID:???.net: 保守の意味は辞書通りに決まってる
保守範疇は契約内容によって違う

当たり前だろ

これがごっちゃになってて話が通じてない
814 ：anonymous@fusianasan：2022/06/24(金) 20:55:33.75 ID:???.net: >>813
変なこと場遊びはせず普通に会話しろや
815 ：anonymous@fusianasan：2022/06/24(金) 20:56:40.38 ID:???.net: >>812
804に戻った気がするのは気のせいか？
816 ：anonymous@fusianasan：2022/06/24(金) 21:13:04.30 ID:???.net: >>804
導入時にできてたことがなにもしてないのにできなくなったのなら保守窓口。
新しいことをやるなら予算用意して営業に連絡。
金出さないやつが聞ける場所はこことヤフー知恵袋。
817 ：anonymous@fusianasan：2022/06/24(金) 21:17:05.62 ID:???.net: ソフトバンクはQA技術支援も含むって書いてあるけど、
費用浮かすために技術もないくせに自前で構築しようとして何とも行かなくなってメーカーサポートに設計紛いの質問するのはルール違反だと思う。
818 ：anonymous@fusianasan：2022/06/24(金) 22:14:28.87 ID:???.net: 正直メーカーに連絡するよりシステムベンダに依頼すべきじゃね

メーカーの営業経由でベンダー紹介してもらってもいいけどさ
819 ：anonymous@fusianasan：2022/06/25(土) 06:34:07.03 ID:???.net: そのシステムベンダーですが、メーカーサポートに
技術的な質問してもたいした答えは返ってこない。
820 ：anonymous@fusianasan：2022/06/25(土) 08:23:35.10 ID:???.net: ソフトバンクはやるのかな？
せめてコマンドマニュアルとか設定例くらいメーカーで普通に公開してほしいな（日本語で）
あと導入してもよいファームもサポート会社で違うのも面倒だわ
ファーム何使うのが良い？ってくらいの質問でも同じサポート会社でも答える時と答えない時あるし
柔軟に対応しているとも言えるが

でもここにかいている奴ら、保守と保守契約なんて言うのに
メーカーとパートナーと販売店とシステムベンダー区別してないのか？
メーカーは直接サポート契約しないからメーカーサポートと窓口持っているのは限られてるぞ
俺はメーカーの人と話したことはあるがサポートを依頼したことはないな（依頼しているのを目撃したことはある）
821 ：,：2022/06/25(土) 09:40:59.83 ID:???.net: いったいどこのワンオペ病院
逆ギレすんな
822 ：anonymous@fusianasan：2022/06/25(土) 09:54:30.76 ID:???.net: 聞けるところにはダメもとでも聞いてみるってのはいいと思うけどな

ただ、相手が答えやすい様な質問・状況は準備した方が良いとは思う。
・商談には関係ない別件の質問だけど、協業途中だから相手に無視させにくい状況で聞くとか
・アンサーを求めるんじゃなくて、気づいたことないですかね？っていうあくまでヒントをもらうとか
　（材料準備したからやってくれ　じゃなく　ここんところどう切ったらいいですかね　的な）
結局ディストリビューターのバックエンジニアだって自分のやったことないのは
自社のサポートDBみたいなの調べるしかないし、それで見つかんなきゃ
ちょっとググって無さそうならシラネって言いたいだろうし

自分はファームバージョン選定の時は仕入れたディストリビューターの窓口に
「貴社がサポートが可能とする、推奨バージョンは何ですか？」ってメールで聞く。
なんか起こった時に巻き込みやすいかなって。
823 ：anonymous@fusianasan：2022/06/25(土) 11:50:07.49 ID:???.net: >>822
ファーム同じようにメールで聞いたことあるよ
今新規ならこれって教えてくれるときもあれば
推奨は特に無いよと言われたこともある
相手次第だよな
824 ：anonymous@fusianasan：2022/06/26(日) 01:10:10.88 ID:???.net: セキュリティベンダの推奨は基本は最新OS / 最新パッチだよ
それ以外答えようはない
825 ：anonymous@fusianasan：2022/06/26(日) 01:42:52.08 ID:???.net: >>824
技術質問の契約ない保守は、それだけだろうな
826 ：anonymous@fusianasan：2022/06/26(日) 06:37:00.41 ID:???.net: 日本のベンダーは自前で動作チェックしたものだけ公開してるから、メーカーの最新とは限らない。
それでわかるだろ。
827 ：anonymous@fusianasan：2022/06/26(日) 09:10:13.94 ID:???.net: >>787
iPhoneやiPad、MACアドレス固定にしてる？
828 ：anonymous@fusianasan：2022/06/26(日) 15:00:59.71 ID:???.net: >>824
枯れたメジャーバージョンの最新セキュリティアップデート版が推奨されるだろ
最新メジャーバージョンとかまともなセキュリティーベンダーなら推奨しない
829 ：anonymous@fusianasan：2022/06/26(日) 19:03:20.17 ID:???.net: >>824
どこがそんな回答してくれたのか知りたい
今契約しているところは指定バージョン以外を入れたら保守対象外と言われた
しかも指定バージョンが無茶苦茶古く6.2とか言うし
そんなんが最初なら乗り換えたいわ
どこが7.2とか7.4やってくれる？
830 ：anonymous@fusianasan：2022/06/26(日) 19:55:14.57 ID:???.net: >>829
さすがに6.2は古いな
自分の取引してる所の代理店は出荷が6.4系、サポートが6.2,6.4,7.0系になってるわ
7.0系も最近になって7.0.5あたりでサポートし出した感じ
831 ：anonymous@fusianasan：2022/06/26(日) 19:59:23.52 ID:???.net: >>830
ちなみに最新OSはメモリリークしたり機能バグする多いからほぼバグテスターのようなもん
7.2系なんかバグったら公式フォーラムでサポート依頼しながらバグ前提で使うもんだから普通の代理店はサポートとか期待しないわ
832 ：anonymous@fusianasan：2022/06/26(日) 20:08:17.90 ID:d3w6xT8i.net: 7.2はまだ怖いなー
自分の経験上だけど、Patch3以降ぐらいからじゃないかなー、導入奨められるのは。
中には、Patch5ぐらいじゃないと、怖いバージョンもあるかもだけど。
833 ：anonymous@fusianasan：2022/06/27(月) 06:46:07.63 ID:???.net: >>829
6.2までのモデルもあるけどそれじゃなくてか？
それ以外だと6.2は標準サポート終了して延長サポート突入済み
834 ：anonymous@fusianasan：2022/06/27(月) 14:34:02.69 ID:5Y8wE/h6.net: 上の方でFortiGate＋どこかのAPを使ってiPhoneがIPv6で外に抜けないと言ってる人がいたけどウチでも同様になってる。
Windows PC2台とAndroid3台はIPv6で外に抜けるしIPv4もDS-Liteで使えてる。
ちなみにiPhoneでもIPv4はDS-Lite（IPv4 over IPv6）で使えてる。

環境は下記の通り。
・FortiGate 60E（7.0.6）ちなみに7.2.0でも同様だった。
・NTT西＋朝日ネット（IPoE + DS-Lite）IP非固定
・iPhone SE2(15.5),iPhone XS(15.5),iPad mini2(12.5.5)

https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-internet-multifeed-ipoe-ds-lite_fos702.pdf
この辺のFortinetの資料はOCN IPoEのものやアルテリアのものも参考にしていて、WAN固定IPサービス部分を除き同じ事を実施済み。

iPhoneはIPv6アドレスを取得していて、PCとiPhone間でv6でのICMPは疎通OK
しかしiPhoneから外向けのv6アドレスにはping疎通NG

iPhoneやAndroidはinternal側の同一サブネットにいるためF/Wポリシーも同一。
ちなみにiPhoneでも下記設定を施したRTX1200配下からはv6アドレスで外に抜けていたし今戻してみてもちゃんとv6を使用できた。
https://network.yamaha.com/setting/router_firewall/flets/flets_other_service/ipv6_ipoe

FortiGate 60Eの何らかの設定が足らないか過剰なのか不明だけどFortiGate＋iPhone（iOS）ならではの問題がありそうなのは確か。
835 ：anonymous@fusianasan：2022/06/27(月) 15:08:27.68 ID:???.net: デバッグログ、パケットキャプチャみて調査するしかないんじゃないでしょうか
うちはiPhone13 miniで問題なくIPv6で繋がってます（7.0.6、test-ipv6で10/10）
nd-proxyとIPv6 firewall policyがあればいいはず
836 ：834：2022/06/27(月) 16:26:19.56 ID:5Y8wE/h6.net: >>835
ありがとうございます。

v6のポリシーは上記URLのPDFのものと同じなんですが足らないんですかね。。
その他関係ありそうなところで今設定してるのは下記くらいです。

FGT60E # show system nd-proxy
config system nd-proxy
set status enable
set member "wan1" "internal"
end

FGT60E # show system interface wan1
config system interface
edit "wan1"
set vdom "root"
set type physical
set role wan
set snmp-index 1
config ipv6
set ip6-allowaccess ping
set dhcp6-information-request enable
set autoconf enable
set unique-autoconf-addr enable
end
next
end

wan1がRAで取得したv6アドレスにinternalのPC,Androidからはping通るけど
iphoneからは通らないのがそもそもの問題な気がしてきた。
837 ：anonymous@fusianasan：2022/06/27(月) 17:31:09.77 ID:6lJlu2iS.net: 教えてください。
FortigateでSSL-VPNのサーバ証明書をFortigateのWebGUIのLetsEncryptから生成出来ると思います。
この証明書は3ヶ月で期限切れになりますが、自動更新は出来るのでしょうか？
同一ドメイン作成はできないようなので、自動更新ができない場合、一旦既存の証明書を削除して作り直しするしかなさそうですが。。
838 ：834：2022/06/27(月) 19:45:32.49 ID:5Y8wE/h6.net: 分かった事はiPhoneからFortiGate 60Eのwan1のv6アドレスに一度pingを実行すれば、外にあるWebサーバのv6アドレス宛にもpingが届きHTTPアクセスもOKでv6アドレスがApacheのログに記録される。
しかし、iPhoneのWi-Fiを一度OFFにして再度ONにした後にiPhoneが新しいv6アドレスを取得するとまたping NGになる。
で、またFortiGate 60Eのwan1にpingを実行した後にはまた疎通OKになるというループ。

何かND-Proxyの動きがおかしいようなルートがおかしいような。
でもこんな動きするのiPhoneだけだしなぁ。

FortiGateに設定しているStatic routeはDS-Lite向けのipv4のvne.rootトンネル向けだけであり、ipv6のStatic routeは未設定。
でもFortiGate自身やiPhone以外は問題が出ていないという状況です。
839 ：anonymous@fusianasan：2022/06/27(月) 20:04:37.79 ID:???.net: プライベートアドレスにしていてMACアドレス変わったけどネイバーテーブルが更新されてないとかあるのかも
まわりの状況だけだと判断つかないので、デバッグログ取ったりパケットキャプチャ取ったりしてご自身でログを確認されることをおすすめします
840 ：anonymous@fusianasan：2022/06/27(月) 21:19:44.13 ID:???.net: なんか無能ってログ見ないよなあ
841 ：anonymous@fusianasan：2022/06/27(月) 21:38:54.66 ID:???.net: >>838
騙されたと思ってiPhoneのWi-Fi設定のプライベートWi-FiアドレスをOFFにしてみるのだ
842 ：834：2022/06/28(火) 10:01:42.69 ID:utqQV6JZ.net: iPhoneのプライベートWi-FiをOFFった状態でも上記と全く同じ現象でした。
疎通NGの際のログには発信は数バイトあるけど着信は0バイトという現象。

キャプチャは取って中身見てみたけどAndroidとは違う流れになっている事は分かったもののもう少し時間かけて調べてみます。
843 ：837：2022/06/28(火) 11:31:29.63 ID:Pi3bkKB4.net: >>837
なんか今日見たら更新されてました。
勝手に自動更新になるんですかね。。
844 ：anonymous@fusianasan：2022/06/29(水) 10:16:11.25 ID:???.net: >>837
ACMEの設定していれば自動更新されるのではないでしょうか。

https://docs.fortinet.com/document/fortigate/7.0.0/new-features/822087/acme-certificate-support
845 ：837：2022/06/29(水) 10:58:24.60 ID:LzIvgFYO.net: >>844
なるほど。
設定はコマンドでは無くGUIで設定しその時は証明署名・ドメイン（FQDN）、メールの入力だけで自動プロビジョニングが
開始されたのでACMEは意識してませんでしたが、たしかにconfig上では設定されてました。
ウィザードで設定すると勝手にWAN側ポートを認識しACMEポートとして設定されて、期間が近づいたら自動で更新される
ようになっているようですね。
ありがとうございます。
846 ：anonymous@fusianasan：2022/07/03(日) 17:36:13.68 ID:???.net: スレチで申し訳ないのですが、専用スレがなかったためこちらで訊かせてください。
接続はWindows機一台のみで、パロアルトのPA-200の中古を検討しているのですが、データシートを読むと
FWスループット100Mbps、脅威防御スループット50Mbps、新規セッション1000/sとありました。

Windows機は、ガッツリ帯域を食うようなことはしていません。
一台のみの接続台数であれば、この機種でまかなえるでしょうか？
847 ：anonymous@fusianasan：2022/07/03(日) 20:21:32.89 ID:bNEsXoAp.net: >>846
パロの中古なんて買ってまともに動くの？保守なしアプデなしでしょ？
848 ：anonymous@fusianasan：2022/07/03(日) 20:58:14.45 ID:???.net: >>847
ヤフオクを見るとコンスタントに売れてるんですよね…アプデについては、2022/6/25付でパッチはされてるようです。
ちなみにこれを狙っていました↓
https://page.auctions.yahoo.co.jp/jp/auction/o1055757960
849 ：anonymous@fusianasan：2022/07/03(日) 20:59:07.02 ID:???.net: FotiOSを7.0.5から7.0.6に上げると、explicit proxy経由で@Niftyメールなど一部のWebサイトにアクセスできなくなるな

障害報告上げようかと思ったけど、めんどくせ…
850 ：anonymous@fusianasan：2022/07/03(日) 21:22:40.90 ID:???.net: >>848
高すぎる
200系はGUI動かすのすら苦労するし、今は検証用にしか使えない性能
ヤフオクで買うなら送料込みで3000円が限界
851 ：anonymous@fusianasan：2022/07/03(日) 21:30:23.92 ID:???.net: >>850
そうなんですか…PC1台だけならそれほど重くならないはずと思っていたのですが、
厳しいかぁ。

ちなみに、GUIを動かすのが苦労するというのは設定が複雑すぎるということでしょうか？
Fortigateより煩雑なら選択肢から外した方がいいかもしれませんね
852 ：anonymous@fusianasan：2022/07/03(日) 22:35:10.53 ID:???.net: 2011年11月発売の機種でパフォーマンスも今の時代からすると低すぎる
無料でも要らないかな
853 ：anonymous@fusianasan：2022/07/03(日) 22:44:14.02 ID:???.net: それほど低機能なのに、ヤフオクに出したら13000円となると、やはり元の定価が非常に高いからなんでしょうね。
ありがとうございましたm(_ _ )m
854 ：anonymous@fusianasan：2022/07/06(水) 10:00:53.29 ID:DAqWYIBs.net: IPsecで冗長化か考えてた人はSD-WANメンバーにWANもVPNインターフェイスも突っ込んで
SD-WANポリシー書いてあげたら幸せになれるよ。
リンクモニターするためにVPNにアドレス振ってあげてね。ping許可も。
855 ：兵隊。：2022/07/07(木) 19:16:23.58 ID:KCvTdPqO.net: FortiGateを最近業務で触り始めたんだけど、やれることが多くてどこから突っ込んで勉強したら
ええのや・・・

ちょうど話題に出てる,SD-WAN,IPSECやらをからめた構成で検証してみるのがよいですかね？
これ検証したらいい勉強になるぜ。　みたいなのがあれば、教えてほしい。
856 ：anonymous@fusianasan：2022/07/07(木) 19:27:31.18 ID:???.net: 公式cookbook
857 ：anonymous@fusianasan：2022/07/09(土) 15:17:35.50 ID:???.net: 英語読めないんで日本語でいいやつないですか？
858 ：anonymous@fusianasan：2022/07/09(土) 16:15:32.48 ID:???.net: fori社監修の本が出てるから、それがいいんじゃん。日本語だし。
859 ：anonymous@fusianasan：2022/07/09(土) 18:35:28 ID:???.net: 古いのならば日本語版あるぞ
860 ：anonymous@fusianasan：2022/07/17(日) 10:18:50.46 ID:???.net: FG-50Eを6.2.10→6.2.11にGUIで上げたらGUI接続出来なくなった。
ssh出来るけど443は外から叩いてもcloseになってる
cliでrestore imageで6.2.10に戻しても状況変わらなかったんだけど思いつく事などあります？
861 ：anonymous@fusianasan：2022/07/17(日) 11:41:38 ID:???.net: 管理者接続のポート番号変わっちゃったとか？まぁ普通に考えたら有りえないんだけども。
862 ：anonymous@fusianasan：2022/07/17(日) 17:47:24.72 ID:???.net: わからんけどexecute factoryresetで初期化してみたら
863 ：anonymous@fusianasan：2022/07/17(日) 21:02:32.80 ID:bILzoiN3.net: リリースノートも見てみたけど、そんなバグものってないね。
てか、Frotiのリリースノートのいけてなさは半端ない。
トリガーとか書いてないから、どういう意味ですか？　とか問い合わせきても、こっちも書いてある以上の
事は分からないんだけど。

https://docs.fortinet.com/document/fortigate/6.2.11/fortios-release-notes/236526/known-issues
864 ：anonymous@fusianasan：2022/07/18(月) 00:53:34.14 ID:???.net: >>860
コマンド叩けるなら接続インターフェースの管理のhttpsを開けたらいいのではないかな？
865 ：anonymous@fusianasan：2022/07/18(月) 04:38:27.06 ID:fPxOjV2Q.net: >>860
コンフィグ取得してみてDIFFしたら違い出てないか？
結構変わっちゃうぞFortiは
866 ：anonymous@fusianasan：2022/07/18(月) 15:59:49.40 ID:???.net: >>860
普通に考えるとマイナーバージョンのファームウェアアップデートが原因とは考えにくい。

ほかの要素をあたるべき。
もちろん100%ないとは言い切れない。
867 ：anonymous@fusianasan：2022/07/18(月) 16:17:46.52 ID:???.net: >>860
config system global
set admin-server-sert "”
になってない？ファームウェアをアップグレードしたときに指定されたいたものが外れていたときがあった
868 ：p：2022/07/18(月) 18:03:41.63 ID:???.net: ストレージ溢れるとかってバグだろｗ
最適化ってなんやねん
FortiGate 30E and 50E flash card space optimization
869 ：anonymous@fusianasan：2022/07/18(月) 23:34:13.43 ID:???.net: ローカルストレージが小さいモデルの制限
870 ：anonymous@fusianasan：2022/08/02(火) 21:39:40.47 ID:???.net: >>866
普通に考えてもダメな時の前科多すぎるからなあ
871 ：anonymous@fusianasan：2022/08/03(水) 08:53:10.73 ID:???.net: バージョンダウンの時はConfigも元のバックアップに戻さないと確か正常復元の保証無いよね

今のGUIからのアップデートだと自動的にバックアップ取らされる仕組みだったと思うけれど無視して未保存だったら知らんが
872 ：anonymous@fusianasan：2022/08/04(木) 14:33:27.01 ID:RtL51HNy.net: EメールフィルタでIMAPとPOP3だけ検証したいのですがいい方法ないでしょうか？
SMTP検証はサイト見つけたんですが…
Gmailのサーバで試したもののPOP3Sだったので検知せず。POPサーバ建てるしかないですかね…
873 ：anonymous@fusianasan：2022/08/04(木) 15:48:56.01 ID:???.net: BJDとかでサクッとたてればいいんでは？
874 ：anonymous@fusianasan：2022/08/04(木) 23:16:36.47 ID:lY325otV.net: >>873
ありがとうございます、BJDは使ったことないので試してみます！
875 ：anonymous@fusianasan：2022/08/08(月) 09:12:47.58 ID:???.net: akb？
876 ：anonymous@fusianasan：2022/08/08(月) 15:08:27 ID:???.net: 黒くて大きい犬
877 ：anonymous@fusianasan：2022/08/08(月) 23:34:23.58 ID:???.net: Winproxyって名前だったけど同名のソフトあったから変えたんだよな
878 ：anonymous@fusianasan：2022/08/10(水) 12:32:35.02 ID:???.net: 黒くて大きい股間
879 ：anonymous@fusianasan：2022/08/10(水) 13:18:47.75 ID:???.net: 誰かFortiOS7.2.1をアップしてくれんやろかー
880 ：anonymous@fusianasan：2022/08/10(水) 13:32:50.29 ID:???.net: >>879
？？？
881 ：anonymous@fusianasan：2022/08/10(水) 15:50:29.73 ID:???.net: >>879
Fortinet様か代理店がアップしてくれているぞ
882 ：anonymous@fusianasan：2022/08/22(月) 16:18:46.88 ID:ipoiGtzg.net: IPoE2回線でのSD-WAN構成について解説しているサイトや情報ご存じないですか？
少なくとも片方はVDOMで分けて設定が必要かと思いますが、SCSKに問い合わせても事例が無いので回答できないと言われまして...
883 ：anonymous@fusianasan：2022/08/23(火) 16:39:12.84 ID:???.net: あそこはわからないことが多いよ
他社が公開してくれている使い方でも自励がない、出来ないと言われたこともある
884 ：anonymous@fusianasan：2022/08/23(火) 16:43:43.76 ID:???.net: 書き忘れた
今聞いてるのはサボート窓口だよな？しつこく聞くと「修理対応とか動いていた設定が動かないときの窓口です。新規の設定はサポートしていません」と言われたこともある
購入した代理店？経由で営業に聞いてもらうと情報をもらえることもあった
fortigateはどこのサポートも同じかもしれないけどな
885 ：anonymous@fusianasan：2022/08/23(火) 19:31:12.20 ID:???.net: 新規の設定は構築として請け負うものだからね
886 ：anonymous@fusianasan：2022/08/23(火) 20:37:15.98 ID:???.net: >>882

v6 のI/F 毎にVDOM 分けて、VDOM link で root vdomに繋げて
root VDOM から　VDOM link 経由の v6 tunnel を作る

それぞれをsdwan でまとめる。って感じで多分いけるかと
887 ：anonymous@fusianasan：2022/08/23(火) 20:40:28.06 ID:???.net: あ、tunnel はそれぞれのVDOM からになるのかな？
環境があるならまずやってみて欲しい
888 ：anonymous@fusianasan：2022/08/23(火) 23:09:41.59 ID:???.net: VDOMで分ける必要ある?
889 ：anonymous@fusianasan：2022/08/24(水) 00:16:22.41 ID:???.net: ipoeトンネルIFになるvne.rootがvdom1つにつき1つまでだからvdom分けは必須かと。
ただrootvdomじゃないと固定v4アドレスが降ってこなかった記憶があります。
vneトンネルがvdom単位で作成できれば可能性はあるかなぁ。
890 ：anonymous@fusianasan：2022/08/24(水) 02:59:12.08 ID:???.net: 過去レス見るとvdom単位のvneはダメっぽそうですね。
>>383
>>384

ファームが上がって出来るようになってる可能性があるかもしれませんが。
891 ：anonymous@fusianasan：2022/08/24(水) 19:06:20.50 ID:???.net: >>882
>>886の方法で可能かと

VDOM分ける理由はvne-tunnelがVDOMに一つなのと、RA/RSでIPv6 prefixもらうインターフェースはVDOMで一個にする必要があるためですね
RA/RSでIPv6 prefixをもらうと、そのインターフェースのnexthopのNGNエッジルータが自動でIPv6のデフォルトルートになるので、
同一のルーティングテーブルで2箇所からRA/RSでIPv6 prefixもらってしまうと、2つのIPv6デフォルトルートできてしまい
それらを明示的に使い分けるのが困難なためです

他メーカの製品でもそのあたりは同じかと
892 ：anonymous@fusianasan：2022/08/24(水) 19:47:10.16 ID:???.net: >>890
ファーム上がって直ってるよ
893 ：anonymous@fusianasan：2022/08/24(水) 21:03:15.01 ID:???.net: IPoEの意味も知らんぽいどしろうとの相手なんかできないだろ
文字通りIPがイーサに載ること
こんだけIPoE一色になるまえにL3,L2プロトコルが色々乱立覇権争いしてた頃
40年位前に特定の組み合わせを示すのにできた言葉
894 ：anonymous@fusianasan：2022/08/26(金) 04:57:09.97 ID:Qsa9HB2X.net: すみません、FortigateのVPNについて教えてください。
この度、外部からVPNで社内に接続する方法について検討しています。
その方法として、L2TP/IPsecを用いた接続(こちらの方がOS標準機能で実現可能なので望ましい)か
FortiClientを用いたIPsec接続のどちらかを考えています。
その際、認証アカウント単位でアクセス権と言いますかポリシー制御をかけたいのですが
見方が悪いのかそのような設定箇所が見当たりませんでした。
もしかして上記2つの接続方法では、認証アカウント単位での制御はできないのでしょうか？
初歩的な質問で申し訳ございませんが、ご教示いただけますと幸いです。
895 ：anonymous@fusianasan：2022/08/26(金) 10:20:38.81 ID:???.net: >>894
ユーザグループ毎にVPNを作成してVPNにIPv4ポリシー書けばできそうですね。

https://milestone-of-se.nesuke.com/product/fortigate/secure-ipsec-vpn-config-sample/

ユーザ単位（認証アカウント単位）にしたい場合、ユーザとユーザグループを1対1で設定する事になりそうですが
規模によっては設定上の上限値を考慮しないと破綻するので購入前なら代理店に問い合わせた方が良いかと。
896 ：anonymous@fusianasan：2022/08/26(金) 10:35:57.52 ID:???.net: >>885
それ言うと変更も構築で請け負う物だし
障害対応だって請け負うものだし
保守の対応範囲が明確に書ききれないだろうけどハード故障とファーム提供だと思って
後は担当者の気分と知識次第かな
897 ：anonymous@fusianasan：2022/08/26(金) 11:44:20.74 ID:???.net: >>895
ありがとうございます。
ユーザーグループを分けて設定というのには目から鱗でした。

元々は社員のみが使うリモートワーク用にと思い発案したのですが、各システムベンダーの保守担当から
メンテナンス用にリモート環境が欲しいとの要望があったことを思い出し、この際一緒にやるかとの流れになりまして。
ただベンダーを信頼しているとはいえ、万が一の事故発生時に他社に対してもフリーアクセスな環境を
与えていたとなると問題になるなぁと怖くなり、なんとか制御する方法があればいいなと考えていた次第です。

当社で使用しているFortigate40Fはトランスペアレントモード(もちろんルーターからIPsecパススルーでFortigateに渡すつもりです)
で動作しているため、ご教示いただいたページの構成とは異なりますが、loopback云々は飛ばして
読み替えていけば実現できそうな気がしてきました。
グループ分けは社員用と各ベンダー用(2社)の計3グループに分けられそうなので、現実的な範囲でできそうです。
クライアントを別途インストールする必要がありますが、社員向けにはこれから具体的な話を進める予定ですので
少しだけ手間かかるよ、ぐらいの話で済みますし、ベンダーについてはクライアント使ってね！で大丈夫だと思います。
898 ：anonymous@fusianasan：2022/08/26(金) 11:44:34.53 ID:???.net: なお前職がFotigateを取り扱う職種(既知の通り雑魚クラスですが)で、2年前に現職に転職したのですが
代理店(設置導入業者)はメンテナンス費用を別途払ってるのに、前機種については5年間一度も点検や
ファーム更新の対応をしたことがなく、今回の40Fも全ての通信に対してアンチウイルス、webフィルタ(デフォルト)、IPS
を適用というただUTMを挟んでるだけのザル設定に20万請求されたり
今回の設定変更(社員のみの簡単な方)に30万とか言ってくるなど不信感しかないため、知識に乏しいのかあまり頼りたくなく
今回adminのパスワードを寄越せと依頼しまして自力解決を目指していましたが、こちらで知恵を拝借する形となり申し訳ございません。
なお最終的に出来上がったコンフィグは、業者にも渡す予定です。
すみません、後半はかなりグダグダにグチですね……金額もそれが相場なのかもしれませんし……

9月の中頃には設定変更を行う予定ですので、不要かもしれませんがまた結果等ご報告いたします。
この度は本当にありがとうございました。
899 ：anonymous@fusianasan：2022/08/26(金) 12:53:06.05 ID:???.net: >>898
自力でできないのにそれを高いとうのは?
言いたいことはわかるけど
900 ：anonymous@fusianasan：2022/08/26(金) 13:00:14.62 ID:???.net: どの程度の金額を希望なのかな？
1万とか2万でやってくれるところがあれば発注したい
901 ：anonymous@fusianasan：2022/08/26(金) 13:27:57.00 ID:???.net: 知識が乏しいかもしれない業者に、自分で触ったコンフィグ渡して面倒見てもらえると思うのかい？
902 ：anonymous@fusianasan：2022/08/26(金) 13:44:38.30 ID:???.net: >>899
普通のL2TP/IPsec、あるいは普通にFortiClientを利用したIPsecなら、私のようなボンクラでも余裕で設定ぐらいはできました。
ただメンテナンスもお願いしている手前、業者に依頼したらそんな金額で……
それなら自分でやるわ！になった次第ですが、その後にユーザー別の制御をかけたいと思うようになって
一気にハードルが上がってしまいました。
上で紹介していただいた方法を思い付かなかった想像力、応用力がなかった自分の能力不足ですが……

まぁリスクや後からの微細な仕様変更への対応、人件費含めると、適正価格というのは一体どれぐらいなのかな？
と疑問に思ったりもします。

>>900
なもんで、適正がどれぐらいなのか判断つきにくいですが、私の肌感覚としてネットで軽く調べただけで多くの事例がヒットする
かつ複雑でもなんでもないそんな内容であれば5万もあれば十分かと思ったりします。←例えば簡単な方のL2TPとか
適正価格が本当に分からないですけどね。

>>901
一応、コンフィグ送ってくれてたら何かあった時は私が例えば死んだ後とかに対応する旨返答は頂いてますが
実際面倒見てくれるかは分からないですね。
そう考えると、企業にとってみたら30万(ユーザー制御になるともっと高額？)浮いたように見えるも
結果マイナスになるのかもしれません。

私の一方的なグチで皆様にも多大なる不快感を与えてしまってましたら本当に申し訳ございません。
903 ：anonymous@fusianasan：2022/08/26(金) 13:45:52.01 ID:???.net: どんな契約か？だろ
オンサイト保守ならconfig渡しておけば故障時に設定入れてくれる
という業者もあった
標準サービスだと
点検やファームアップ作業はないだろうな
個別保守契約でもしないとやってくれないだろうな
とは思う
904 ：anonymous@fusianasan：2022/08/26(金) 14:53:32.19 ID:???.net: とはいえ、管理者アカウントを人質に取ったままEOSまでファーム更新無しは流石にどうかと思うわ
905 ：anonymous@fusianasan：[ここ壊れてます] .net: すげーな
契約していない作業もやってくれるのか？
ぜひうちの設定もお願いしたい
906 ：anonymous@fusianasan：2022/08/26(金) 22:58:59.64 ID:???.net: 898に依頼すれば出し値5万でやってくれるのか
めんどくさいクソ客の依頼投げたいから連絡先教えてよ
907 ：anonymous@fusianasan：2022/08/27(土) 02:02:52.48 ID:???.net: >>902
どういった想定作業の５万なのでしょうか？

不特定のグローバルアドレスからの外部接続を許可するのであればペネトレーションテストはしない想定ですか？
間違って穴が空いててもわかりません。

リモートアクセスのログは取らない想定ですか？
身に覚えないリモート接続があってもわかりません。

2要素認証はしない想定ですか？
ユーザーとIPSECのパスワードを知っている人が会社を辞めた場合、私物PCから接続できてしまいます。パスワードを変えるなり対応が必要です。

また、要件に無いのかもしれませんが、リモートで同時接続の負荷試験はしないのですか？
実際使ってみたら使いものにならないくらい通信が遅くなるかもしれません。

外部に穴を空けるのはそれなりにリスクのある作業だと思います。

リスクが取れるならご自身で設定されるのはありだと思いますが、ただ後々大変な事になっても自己責任になります。
908 ：anonymous@fusianasan：2022/08/27(土) 03:12:26.15 ID:???.net: この手の話って基本的にお金で解決するんですよね
909 ：anonymous@fusianasan：2022/08/27(土) 07:59:39.08 ID:???.net: >>906
マジそれな。
これを5万でやってくれるなら起業すりゃ商売繁盛じゃね。
誰かさんのように、何言っても高ぇ高ぇしか言わない客多いからな（笑
910 ：anonymous@fusianasan：[ここ壊れてます] .net: >>908
客に、金と時間かければ誰だって出来んだよ！って怒鳴られたわ。
まあ確かにそうだなと思ったけど。
911 ：anonymous@fusianasan：[ここ壊れてます] .net: 多少金払いが良くても手離れが悪い/ガラが悪い客は敬遠される
912 ：anonymous@fusianasan：2022/08/28(日) 00:34:16.68 ID:???.net: >>910
「だったら、お金と時間かけてやってください」で終了なんですよね
そのセリフはお金を払わない人がよく言います
913 ：anonymous@fusianasan：2022/08/28(日) 17:50:01.27 ID:???.net: 書いてるじゃん
ネットで事例があるような設定して5万だよ
肌感覚として間違いないよ
914 ：anonymous@fusianasan：[ここ壊れてます] .net: まぁここはお金もらう側の業者も多いだろうしな
あれやこれやとリスクだのコストだの綺麗事抜かしてるけど
実際のところネット事例集そのまま丸パクリで何十万も金取る業者もいるからな
もちろんここの住人は都会でそれなりの規模の客先に出入りしている業者だと思うから価格に見合った仕事してるだろうけど
俺の住む鳥取市は、知ってるだけでもかなりいい加減な作業で費用だけは一流並みに請求する業者が少なくとも4社はある
915 ：anonymous@fusianasan：2022/08/28(日) 21:47:28.32 ID:???.net: 何でまともな業者に頼まないのか
916 ：anonymous@fusianasan：2022/08/28(日) 22:56:15.48 ID:???.net: IT業者のぐるなび的なクチコミサイトって有ったりする?
NDAに激しく抵触しそうだけど。
917 ：anonymous@fusianasan：[ここ壊れてます] .net: >>914
言いたいことは分かるよw
例えば例に挙げてゴメンだけど>>907とか、さぞ立派なこと言っているようで実は大したことがないw
間違って穴が？今回の話に合わせると、FortigateにIPsecの設定を施したら他にも釣られて関係ないポートが開いちゃうものなの？
リモートアクセスログなんて、普通Syslogで代用できるしwみんなもフルで取ってるでしょ？
2要素認証なんて、それこそいくらでも事例がヒットする内容なのに、さも特別感装いやがってw
あと退職した人？そいつのユーザーアカウント削除すれば良いだけだし、そもそも2要素認証していればなんの問題もない罠w
まあこんなもんよ
小難しい御託並べても、それはど素人になら通用する詭弁なことが多いよね
918 ：anonymous@fusianasan：2022/08/29(月) 00:36:40.74 ID:???.net: >>916
あそこの業者はボッタクリだ！とか、契約にないことは一切してくれない！とかの一方的な悪口コミを、NDAに抵触だ！と言われても困っちゃう。
919 ：895：2022/08/29(月) 01:59:51.66 ID:???.net: 立場によって色々な意見はあるとは思いますが、ここ以外に日本語でFortinet製品の情報を日本語でやり取りできる
コミュニティみたいなものはあった方が良い気がしますね。

Fortinet Japanの中の人がここを見ているかわかりませんが、日本語が使えるコミュニティサイトを作るのは難しんですかね。
920 ：anonymous@fusianasan：2022/08/29(月) 02:30:07.74 ID:???.net: 自分たちではやる気ないよ
各代理店？がやるくらいかな
921 ：895：2022/08/29(月) 02:47:39.08 ID:???.net: なるほど。
私は今となっては仕事では全く関係ないのですが、10数年前にFortinetには元々ciscoにいた人が多いと聞いていて
ciscoやVMwareのようにユーザの自助努力である程度解決できるようなKBなりコミュニティなりを醸成されていくものと
思っていましたが、認識違いでしたかね。
922 ：anonymous@fusianasan：2022/08/29(月) 05:57:36.53 ID:???.net: シスコがそういうコミュニティ発展できたのってほぼ一強だったからだし
923 ：anonymous@fusianasan：2022/08/29(月) 23:18:39.33 ID:???.net: 適正価格って、請け負って儲けが出る価格じゃないのか？

config流するだけなら5万でも妥当かもしれんが動作保証なんてしてくれんけど。
924 ：anonymous@fusianasan：2022/08/29(月) 23:36:58.84 ID:???.net: 自分で出来るようなことなら自分でやればいいだけなのに
何故か人にやってもらう話になってて金額云々の話になってるのが謎
925 ：anonymous@fusianasan：2022/08/30(火) 07:21:57.99 ID:???.net: 世の中コンフィグ流すだけとかすら出来ない連中ばっかなんですよ……
コンフィグ流せたら上等よ……
926 ：anonymous@fusianasan：2022/08/30(火) 08:40:00.28 ID:???.net: この業界単価がどう？というのはあるだろうが
5万じゃ1日もかけられない
って所多いだろうな
実作業だけではなく、受注前の要件確認、見積から始まり各種の資料作成とフォロー
場合によっては事前検証
正直短時間度終わる仕事ってそれ以外のことが多くて受けたくないな
他の案件とからめてほしいわ
927 ：anonymous@fusianasan：2022/08/31(水) 19:53:52.16 ID:???.net: パラシとか手順書とか見ないのに要求されるの草
クラウドの手順書なんて納めた頃には変わってるw
928 ：anonymous@fusianasan：2022/08/31(水) 20:01:23.34 ID:qhe8M1vb.net: こっちでやるからちゃちゃっと教えてよ。手順書作ってくれればいいから。作業の予算ないんだよ。
929 ：anonymous@fusianasan：2022/08/31(水) 20:36:59.70 ID:???.net: 資料を手順書と読んだのかな？
だとしたら仕事したことのない子供か？
社内手続だけでもかなり有るぞ
自分が作るの以外にもな
会社での仕事ってそんなもんさ
イヤなら趣味で絵やるんだよ
930 ：anonymous@fusianasan：2022/09/01(木) 22:59:42.45 ID:???.net: >>928
しょうがないから、書くけどこれだけだよー？

1. コンソールにadminログイン
2.execute factoryreset
3.y

意外と簡単にできるからやってごらんよ
931 ：anonymous@fusianasan：2022/09/02(金) 00:51:53.67 ID:???.net: 面白いと思って書き込んだんやろなぁ
932 ：anonymous@fusianasan：2022/09/02(金) 08:28:20.11 ID:DLjL82aX.net: こいつ絶対仕事できない低脳だな

「コンソールにadminログイン」が分かる連中はそんな罠には引っかからない
本当に引っ掛けたいのなら、素人でも分かるようにシリアル接続ではなくwebログインの仕方詳細や
ブラウザ上からのコンソール起動方法を説明しないとダメだね
あと入力コマンド、これもキチンと書かないといけない
2.とか3.とか、素人はそのまま入力するぞ
933 ：anonymous@fusianasan：[ここ壊れてます] .net: ネタにマジレス…？
934 ：anonymous@fusianasan：2022/09/02(金) 18:31:24.43 ID:???.net: ネタだとしたら寒すぎるので、敢えてマジレスした可能性
935 ：anonymous@fusianasan：2022/09/03(土) 13:35:15.42 ID:hACUfT7H.net: Fortigate使いにくいからYAMAHAのルーターに変えようと思ったけど中古でも高いな
936 ：anonymous@fusianasan：2022/09/03(土) 16:03:28.88 ID:???.net: UTM機能は要らないってことかな？
ルーターとして使うだけなら、fortigateの方が設定楽だと思うけどなぁ
YAMAHAは行き帰り両方フィルター考慮しないといけないし…
各種VPNとか、事例集が多いのはYAMAHAだけどね
そこまでのスペックやIPoEが要らないのならRTX1200の中古オススメ
937 ：anonymous@fusianasan：2022/09/04(日) 01:36:07.62 ID:???.net: もろもろのバグで使いにくいってのならわかる
設定が難しいって話なら？って感じ
938 ：anonymous@fusianasan：[ここ壊れてます] .net: ヤマハの利点はスクリプトで色々できることかな
Fortigateにスクリプトが実装されればと夢見てる
939 ：anonymous@fusianasan：2022/09/04(日) 13:43:30.51 ID:hoBEDvGk.net: Fortigateってファームウェアアップするとひきつがれないconfigとか
パフォーマンスに影響があったりと客先で使いづらくない？
YAMAHAも同じかなぁ。
940 ：anonymous@fusianasan：2022/09/06(火) 20:02:05.25 ID:???.net: ちゃんとConfigは引き継ぐぞ
RTX1200は遅いから個人ならば830が良いよ
VPNはYAMAHAよりもSynologyのWifiルーターの方がSSL-VPNも使えて便利
941 ：anonymous@fusianasan：2022/09/07(水) 07:37:03.87 ID:???.net: 指定されたパスに従ってアップグレードしてないとか
942 ：anonymous@fusianasan：2022/09/07(水) 09:46:05.29 ID:???.net: RTX1200ですら遅いと言われる時代になったか…
まぁ確かに10年以上前の製品だし、これも時代の流れか
943 ：小心者：[ここ壊れてます] .net: お客さんからの問い合わせに対して、FORTINET DOCUMENTS LIBRARYに記載があるから、これは仕様と存じます。　

って回答しても、本当に仕様なんですか？　と聞き返されると、凄い不安になってしまいます。
皆さんも不安になりますでしょうか？
私が小心者なのでしょうかね。自信が無く、寝れない日が続いています。
944 ：anonymous@fusianasan：2022/09/10(土) 13:00:49.52 ID:h1Y8dg2a.net: そういうときは、サポートに問い合わせて裏を取ればいいんだよ。
サポートが言ってますってのは常套手段。
サポートが間違えりゃ、サポートの責にできる。
945 ：anonymous@fusianasan：2022/09/10(土) 14:04:28.99 ID:???.net: >>943
技術者は小心者しゃねーと信用出来ねーよ。
本当に合ってるか何度も違う角度から検証すんだよ。
自信家はエンジニア辞めろ。
あ、IQ低いほど自信家らしいよ。
946 ：anonymous@fusianasan：2022/09/10(土) 19:58:06.40 ID:???.net: 確かにIQ低そうだな
947 ：anonymous@fusianasan：[ここ壊れてます] .net: >>944
おまえ何もできん人間だな
メーカサポートが言ってました
なんて仕事で通用するなら、高校生バイトと一緒だろ

エンジニアなら自分で検証して確認したデータだすまでが仕事だろ
948 ：anonymous@fusianasan：2022/09/11(日) 02:44:59.45 ID:???.net: ドキュメントを根拠に仕様を説明しても疑われているという話で、検証して権威付けは無理があるのでは。

自分の不安感を取り除くために検証するのは悪くはないかもしれないけど、検証してドキュメント通りの動きに
なったから仕様と言われても検証する前からドキュメント通りの動きだし答えになっていないよね。

944のサポートに問い合わせて裏取りが最善に思えるけど、>>943はこんな所で聞かずに職場の上司や同僚に
相談すべき内容だと思うよ。
949 ：anonymous@fusianasan：[ここ壊れてます] .net: ドキュメントに記載があって動作もその通りならそういう仕様と言い切ってOKですよ
950 ：anonymous@fusianasan：[ここ壊れてます] .net: 仕様がそうだから今のままではできません。なのでこうします

を考えるのがSEの仕事なのでは？？
951 ：anonymous@fusianasan：2022/09/11(日) 12:45:03.08 ID:???.net: Public に公開してるドキュメントの通りの挙動をしてる状態で、「それは仕様通りの挙動ですか？」と問われたら、「大丈夫？」と心配するレベルですね。

具体的に気になってるところを聞いてみては？客の疑問は別のところにあるんじゃない？

その機能を使いたいが、今後変わったら困るとか。まぁ未来のことなんて誰も分からんから、このケースだとさらに困るけどね。
952 ：anonymous@fusianasan：2022/09/11(日) 13:24:03.17 ID:???.net: >>943
信用されていないだけ？
過去のやり取りで信頼感０なんだろう
953 ：小心者：2022/09/11(日) 15:48:46.23 ID:by8/bSNc.net: 皆さん
色々とアドバイス頂きましてありがとうございます。

弊職はサポート側の業務もしており、
Fortinet社へ問い合わせすることも可能ではありますが、ドキュメントに記載があり、解釈が不安な点はラボでも検証をしてはいるのですが、自分で仕様だと言い切る自信を持てず悩んでおりました。

検証もしてはおりますので、もう少し自分に自信をもてるように、精進していこうと思います。
954 ：anonymous@fusianasan：2022/09/13(火) 01:20:17.61 ID:a08vytbx.net: upgrade pathのプルダウン何にも選べないんだけど俺だけ？
955 ：anonymous@fusianasan：2022/09/13(火) 09:25:02.29 ID:PKf+YU0a.net: 今日開いたら直ってたわ
956 ：anonymous@fusianasan：2022/09/16(金) 09:54:24.76 ID:???.net: fortigateのトラフィックシェーピングって制度は結構いい加減なんですかね？
957 ：anonymous@fusianasan：2022/09/16(金) 10:58:47.86 ID:???.net: 制度→精度
958 ：anonymous@fusianasan：2022/09/16(金) 21:25:16.78 ID:R0Le4TWH.net: FGTのQOSはオマケみたいなものと捉えています。
ルータじゃなくて、しょせんFWですので。

なにを勘違いしてか、FGTでOQS実装されているからといって、Ciscoルータみたいにがっつり
使えると思われてしまうのが、しんどいですわ。
959 ：anonymous@fusianasan：2022/09/16(金) 23:36:34.50 ID:???.net: FGTでQOSの精度を求められるって、どんな案件なんだ？モデル何入れるん？
960 ：anonymous@fusianasan：[ここ壊れてます] .net: QoSの精度とか求めるならCiscoの高いルータ（ASR1k以上とか？）使ってくださいですかね
961 ：anonymous@fusianasan：2022/09/17(土) 04:31:17.69 ID:???.net: 細い閉域網を使うためにQoS云々って話はいまだにありますね
信頼性云々で閉域網が好まれることはあるけど、逼迫して特定のトラフィクだけ救えても
どのみち業務に支障がでるんですよね
ご家庭用でも10Gbpsが来てる時代にQoSって必要なんかなとは思います
962 ：anonymous@fusianasan：2022/09/17(土) 09:25:33.28 ID:???.net: Fortigateはおまけ機能の詰め合わせで成ってる製品
963 ：anonymous@fusianasan：2022/09/17(土) 09:44:50.31 ID:???.net: 使えない機能ならつけなくて結構
宣伝だけして使えませんって詐欺じゃん
964 ：anonymous@fusianasan：2022/09/17(土) 10:40:21.48 ID:???.net: 何千人もいるのにベストエフォート1Gbp一本しか引かないでいつも回線パンパンなんだけど、シェーピングすればうまくいくって信じ込んでうまくいかなくて精度が悪いフォーティのせいみたいなのは何度も見た
965 ：anonymous@fusianasan：2022/09/17(土) 12:39:48.34 ID:fU617t+t.net: 法人だと回線を簡単には変えられないだろうから難しいよね
帯域保証になると値段が跳ね上がるしなぁ
966 ：anonymous@fusianasan：[ここ壊れてます] .net: ベストエフォート1G一本しか引かないって見た事ないなぁ
そんな契約回線を複数企業で使うプランあると思えないし単体企業だったとしてもそんな1G回線が逼迫するほど色んなサービス引くかね、、、
967 ：anonymous@fusianasan：2022/09/17(土) 14:56:10.23 ID:???.net: ギャランティ100Mbpsで足りなくて困ってるからベストエフォート1Gbps敷設してそっちに逃がす的なのは時々聞くかな
そのギャランティ要らんやろ、とは思う

>>963
使えるけど利用者が高いルータと同等の精度を出せるって思ってるからな
大体、普通の通信って増減が都度あるから精度にこだわっても仕方ないんだけど
968 ：anonymous@fusianasan：2022/09/17(土) 22:46:40.19 ID:d1nrEsN/.net: スループットの考え方について質問させてください。

例えばFGT-60Fなのですが、ファイアウォールスループット（1518 udp) 10Gbpsとデータシートに記載されてます。

60Fって、インターフェイスが1G×10ポート搭載であり、10Gのポートを搭載してないです。
この10Gbpsというのは、1G×10ポートでLAGを組んで測定してると推測してるのですが、考え方はあってますでしょうか？
また、上り・下りの両方合計で10Gbpsと理解しています。

https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/ja_jp/fortinet-ProductMatrix.pdf

お客様環境でアップリンク(インターネット回線収容)を1G×1ポートで接続した場合は、Maxで1Gbpsしか出ないと理解しております。
(契約してる回線帯域が、仮に100Mbpsでしたら、MAX100Mbps)
969 ：anonymous@fusianasan：2022/09/18(日) 00:26:10.96 ID:???.net: LAGってリンクアグリゲーション？
リンクアグリゲーションじゃなくても
各ポートが10個の独立したゾーンであれば
それぞれのポート（ゾーン）間の通信の送信と受信を足して最大で10Gbpsまで出るスペックですよ。
ってことじゃないかなぁ？
その類のスペックは実運用にはほぼ参考にならんと思うけど。
970 ：名無し：2022/09/18(日) 00:38:53.25 ID:???.net: >>968
１ポートが1Gbpsなら、全二重通信すると2Gbps換算になるため５ポートかと思います。
971 ：anonymous@fusianasan：2022/09/18(日) 01:32:52.72 ID:???.net: ファイアーウォールの処理速度とインターフェースの転送速度は別物
972 ：anonymous@fusianasan：2022/09/18(日) 04:15:45.89 ID:???.net: なお実際は10Gbpsなんてただの理論値であって、精々その1/5ぐらい出れば良いぐらい
973 ：anonymous@fusianasan：2022/09/19(月) 11:02:29.05 ID:kT+wlHtt.net: >969
ありがとうございます。
リンクアグリゲーションを想定していました。
データシートのスループット表記は、上り・下り合計で最大10Gbpsであると理解しました。

>970
ありがとうございます。理解できました。
974 ：anonymous@fusianasan：2022/10/12(水) 23:04:05.00 ID:Hk2ceGZN.net: これは、大事かな。

Fortinet製FortiOS、FortiProxyおよびFortiSwitchManagerの認証バイパスの脆弱性（CVE-2022-40684）に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220025.html
975 ：anonymous@fusianasan：2022/10/13(木) 00:33:38.00 ID:???.net: 外部に管理インターフェイスなんて公開しないから問題ないだろ？
社内にスーパーハッカーいるなら知らんけど。
976 ：anonymous@fusianasan：2022/10/13(木) 02:28:14.96 ID:g1xJxd/P.net: 公開するつもりはなくとも公開していたとかはあるだろ。
デフォルトは、adminへのip制限はいってないでしょ。
977 ：anonymous@fusianasan：2022/10/13(木) 07:10:42.82 ID:???.net: >>976
そんな奴は今回の脆弱性無くても大問題だろｗｗ
978 ：anonymous@fusianasan：2022/10/13(木) 12:34:21.67 ID:Wf0pmq9R.net: SSL-VPNで443 開けててバイパスされるとやだな。
979 ：anonymous@fusianasan：2022/10/13(木) 14:20:02.46 ID:???.net: >>978
SSL-VPNのhttpsページは管理インターフェースではないので今回の対象ではないよ
980 ：anonymous@fusianasan：2022/10/14(金) 21:30:15.21 ID:FgCOEImN.net: これ、うちでもざわついてるわ
FortiSwitchManager って、FortiSwitchとFortiManagerを間違えてるとおもったけど、
こんな製品あるんだね・・・・　

おびっくり。
981 ：anonymous@fusianasan：2022/10/14(金) 23:55:24.04 ID:???.net: >>977
どんな製品扱わせても大問題間違いなし
982 ：anonymous@fusianasan：2022/10/15(土) 19:00:51.12 ID:JpUN4ttv.net: SD-WANについて、相談です。
FortiGateは、デフォルトだと出力IFと入力IFが異なる非対称通信はDropしますが、
SD-WANゾーンで束ねているIFに関しても、同じ動作になるのでしょうかね。

SD-WANで収容しているIFがインターネット回線であれば、BGPの世界でISPごとに広報している
グローバルIPが違うので、出力/入力IFが異なるケースは基本ないと考えています。

しかし、広域イーサネットなどの回線を収容していて、対抗のFortiGate(DC側)からインターネットに
抜けさせている構成の場合は、DC側FortiGateのルーテイング次第で非対称にもなりえるので、
どうなるか、気になりました。
983 ：anonymous@fusianasan：2022/10/15(土) 21:31:48.33 ID:???.net: DC側Fortiのルーティングで非対称になってるんだったら非対称になるから落とされるだけの話では
相手側が非対称ルーティングに対する対策をしてないんだったらこっちからどうこうする事は出来ない気がするけど
対抗の問題であってこっちの通信に関しては非対称にはならないと思うよ
984 ：anonymous@fusianasan：2022/10/16(日) 22:02:56.32 ID:oy5iP4vD.net: 7.0 と7.2系は、7.0.8と7.2.2が出てるね。
985 ：anonymous@fusianasan：2022/10/17(月) 19:07:42.69 ID:nQ2oSCit.net: >>983
DC側のFGTはセッションテーブルみて、戻すので大丈夫でした！！
ありがとうございました！
986 ：anonymous@fusianasan：2022/10/17(月) 23:02:15.30 ID:i5w63i5Q.net: タイムサーバーとNTP同期差せると１分遅れるてる。治らん
987 ：anonymous@fusianasan：2022/10/18(火) 07:30:04.22 ID:???.net: 同期先のタイムサーバー変えてみたら？
988 ：anonymous@fusianasan：2022/10/18(火) 07:46:49.08 ID:CZXsLgVm.net: 変えたけどだめ
989 ：anonymous@fusianasan：2022/10/18(火) 20:49:51.39 ID:???.net: コンソールでntp status 確認してちゃんと同期取れてるなら他にする事はないかなー
あとntpってズレを徐々にあわせてくからひょっとしたらしばらくほっとくとそのうち合うかもしれないと雑な回答してみる
990 ：anonymous@fusianasan：2022/10/19(水) 03:04:27.51 ID:???.net: 何をどう設定してどう確認したとか書かないからただの日記なんですよね
991 ：anonymous@fusianasan：2022/10/20(木) 07:38:19.69 ID:xbSuRwU4.net: すまぬ。
自然になおってた

機種　200E 2台と100F
いずれも　7.0.6
タイムサーバー　fortinet
ntpサーバーとして機能
時刻同期間隔　60分
システム＞設定　で表示される時刻
1分遅れ

なので

1.タイムサーバーをプロバイダにかえる
（同期間隔を1分にも変更）
→かわらず

2.時刻同期をやめてマニュアル設定に変更
し正しい時刻をいれる
→表示は1分遅れ変わらず。

3.コマンドで時刻設定
→システム＞設定の表示は1分遅れかわらず。

時刻入力枠に正しい時刻が初期値で入っていた
2と3を何回か繰り返したが、変わらずあきらめ

2日後にみたら　システム＞設定
の表示は正しい時刻になってた。
992 ：anonymous@fusianasan：2022/11/01(火) 16:30:09.58 ID:???.net: これとciscoUmbrellaとどっちがいいのか教えてください
というかそもそも比較する対象なのかどうかもよく分らんです
端末数10台程度の零細企業です
993 ：anonymous@fusianasan：2022/11/01(火) 19:46:41.30 ID:???.net: バッファローのルーターで充分じゃね
994 ：anonymous@fusianasan：2022/11/02(水) 00:05:24.65 ID:???.net: というかそんな小規模とすら呼べないレベルのNWにCiscoのお高い企業向けNWサービスとかアプライアンス導入する意味が分からない
知識もない電気店の店員に騙されて高い商品かわされるジジババじゃないんだから
995 ：名無し：2022/11/02(水) 01:37:36.77 ID:???.net: 助成金使うのでは？
996 ：anonymous@fusianasan：2022/11/02(水) 05:19:59.74 ID:???.net: いやいや
大手の取引先からのセキュリティ監査に引っかかってUTMに準ずるものの設置を求められてるのです
これだけじゃなくてドキュメント類のの不備とか他にも指摘事項がてんこ盛りでてんやわんやです
「おたくの規模は関係ない」という認識で迫られてるので参ってます
997 ：anonymous@fusianasan：2022/11/02(水) 06:49:16.48 ID:???.net: そら規模は関係ないわな
どこの何使うかは費用との相談じゃない？
998 ：anonymous@fusianasan：2022/11/02(水) 07:40:34.58 ID:???.net: >>996
そこそこ知識がある専任入れたほうがいいかもしれんね、fw入れるだけですまなそうだし。
999 ：anonymous@fusianasan：2022/11/02(水) 09:20:04.27 ID:???.net: 当然のリテラシーを求められて参ってるだの困ってるだの言うレベルの相手と良く取引するなぁその相手先
1000 ：sage：2022/11/02(水) 11:19:01.22 ID:gyIIxYUe.net: きちんと、選任の担当者を当てた方が良いでしょうね。
要件もわかりませんし。

要件に合わせた機器選定や設定投入などはお金がかかる話ですし、運用はそれとは別です。
その辺む含めた対策を要求されてるんだと思います

次スレ↓

https://mao.5ch.net/test/read.cgi/network/1667352872/
1001 ：2ch.net投稿限界：Over 1000 Thread: 2ch.netからのレス数が1000に到達しました。

総レス数 1001
274 KB

掲示板に戻る全部前100 次100 最新50

read.cgi ver.24052200