Fortigateについて語ろう5

1 ：anonymous@fusianasan：2020/07/05(日) 00:58:45 ID:???.net

FortiGateシリーズは、ネットワーク全体を総合的に保護するハードウェアベースの
ネットワーク・プロテクション・ゲートウェイ（NPG）です。
Fortinet社独自開発のABACASTM(Accelerated Behavior and Content Analysis System)
テクノロジと独自のASIC（FortiAsic）ベースアーキテクチャを採用した、次世代
ネットワークプロテクション・アプライアンスです。
ファイアウォール、不正侵入、VPN、トラフィックシェーピングなどネットワークレベル
のサービスに加え、ウィルスプロテクションやコンテンツフィルタリングなどの
アプリケーションレベルのサービス機能も搭載しており、効果的にネットワークを保護します。
FortiGateは、4種類のICSA認定取得をしています。
アンチウイルス、ファイアウォール、IPSec、IDS

セールスポイントは非常に魅力的ですばらしいのですが、
非常に個性的な製品ですので、皆さん助け合って安定稼働に努めましょう。

フォーティネットジャパン
http://www.fortinet.co.jp/
FortiProtect Center
http://www.fortinet.com/FortiProtectCenter/

質問する際には必ずFortiGateの機種、FortiOSのバージョン、 ネットワーク構成・環境を報告してください。

400 ：anonymous@fusianasan：2021/09/09(木) 18:25:51.82 ID:???.net

ありがとうございます
パソコンのゲートウエイ、すなわち同セグのルーターにのみ全ての通信ができません。不可思議な状況です。

401 ：anonymous@fusianasan：2021/09/10(金) 00:23:10.95 ID:???.net

400の回答がズレておりました、状況はPCのゲートウェイ当てに疎通が取れない＝ルーター越えの通信は全て不可になります。よろしくお願いします

402 ：anonymous@fusianasan：2021/09/10(金) 06:30:48.91 ID:???.net

arpでルーターのmacアドレスは取得出来てますか？

403 ：anonymous@fusianasan：2021/09/10(金) 07:28:35.81 ID:???.net

透過はトランスペアレントの事かな
Fortigateは外にでられるか？
ポリシーは双方向全て許可にしてみたか？
非対称ルーティングになっていないか？
まさかfortigateとルーターのIP被って無いよね？

404 ：395：2021/09/10(金) 13:58:14.05 ID:???.net

>>396-397
アドバイスありがとう
おかげで無事ライセンス有効期限内にFirmwareアップデートできたわ

405 ：anonymous@fusianasan：2021/09/10(金) 14:48:12.12 ID:???.net

402さん
arpはPC側もルーター側も正しく拾ってます
クリアしても正常に取得します
状況からブロードキャストは通ってる筈です

403さん
＞透過はトランスペアレントの事かな
はい
＞Fortigateは外にでられるか？
設計的には外に出る用途はありません
＞ポリシーは双方向全て許可にしてみたか？
はい、許可ログonにしても乗ってきません、、
ログとりの為deny-allを作って違反ログonにしてもなにも来ません。多分ポリシーに落ちる前に何かしらの排他処理を食らってるようです。
＞非対称ルーティングになっていないか？
現在直面している問題はパソコンのデフォルトゲートウエイ、すなわち同セグのアドレスにピンが通りませんのでルーティングは関係ありませんが、ルーターの先はごく単純なもので経路選択はありません。
＞まさかfortigateとルーターのIP被って無いよね？
念のため確認しましたが大丈夫です

406 ：anonymous@fusianasan：2021/09/10(金) 15:42:35.26 ID:???.net

403さん402さん
すみません、よくarpを見たところ、ゲートウエイが仮装マックでした、、、(ルーターも自分が構築したのにお恥ずかしい)

試しにasymroute enableにしたら無事通りました。
構成を見直す必要がありそうです。

助かりました、お恥ずかしい限りでございます
いた汚し失礼致しました

407 ：anonymous@fusianasan：2021/09/10(金) 20:01:57.48 ID:???.net

synパケットがfortigateを通ってなかったって事？

408 ：anonymous@fusianasan：2021/09/11(土) 01:34:14.87 ID:???.net

構成図とか無いと本人以外はエスパーするしか無い

409 ：anonymous@fusianasan：2021/09/11(土) 10:42:44.86 ID:???.net

asymroute enableにしたら通りましたって、それFortigateはずしたら通りました、みたいなもんやで

410 ：anonymous@fusianasan：2021/09/11(土) 11:01:44.67 ID:???.net

ワシにはトランスペアレントモードで同セグ通信が非対称になる状況が理解出来ん。

411 ：anonymous@fusianasan：2021/09/11(土) 17:07:11.46 ID:???.net

fortiやっちまったな
こりゃ売上激減するわ

412 ：anonymous@fusianasan：2021/09/11(土) 17:31:02.63 ID:???.net

https://www.fortinet.com/jp/blog/psirt-blogs/malicious-actor-discloses-fortigate-ssl-vpn-credentials
この件かな、流石に今VPN張ってる奴は2FA使ってるだろうし拠点間はIPSECだろうから影響少ないんじゃない?

413 ：.：2021/09/11(土) 17:36:40.28 ID:???.net

値上げの話だろ

414 ：anonymous@fusianasan：2021/09/12(日) 10:39:26.87 ID:687dm6Yr.net

>>412
うち、まだ2FAじゃない。
コロナ不況で金がでない。利用者数がすくないのでダメ。

415 ：anonymous@fusianasan：2021/09/12(日) 12:26:44.46 ID:???.net

予算にもよるけど
https://note.com/klayer123/n/nb50be95eadf9
これでRadius作ってFortigateと連携も有りかもね。

416 ：anonymous@fusianasan：2021/09/12(日) 23:32:51.82 ID:592yu6OM.net

すみません、レベルの低すぎる話なんですがわかる方いたらお願いします。
自宅がNURO光なんですが、FortiClientでVPN接続にはなるのですが、社内サーバへアクセスできません。
iPhoneテザリング経由だと可能なんですが
大塚商会に聞いてもご家庭によって環境が違いますので、と役に立たない回答しか帰ってきません。
出している情報が少なすぎると思いますが、宜しくお願い致します。

417 ：anonymous@fusianasan：2021/09/13(月) 01:08:17.23 ID:???.net

自宅のLANのネットワークアドレスと社内LANのネットワークアドレスが同じなのでは

418 ：anonymous@fusianasan：2021/09/13(月) 01:23:44.43 ID:???.net

せめて構成図、IPアドレス情報とかないとな
「あーじゃね？こーじゃね？」って適当にエスパーしてもらいたいのならいいけど

419 ：anonymous@fusianasan：2021/09/13(月) 06:24:07.36 ID:CcTfw1kv.net

どの情報を出せばいいのかすら分からず…

420 ：anonymous@fusianasan：2021/09/13(月) 14:23:18.90 ID:???.net

>役に立たない回答しか帰ってきません。

その前に簡単な構成情報も出せないようじゃ、人のこと言えないんじゃないかな

421 ：anonymous@fusianasan：2021/09/13(月) 21:16:26.18 ID:???.net

その塩対応は大塚商会と保守契約してるのかすら怪しいな

422 ：anonymous@fusianasan：2021/09/13(月) 21:29:20.50 ID:???.net

アドレスレンジ重複確認のアドバイスが上で出てるけどガン無視してるしなぁ

423 ：anonymous@fusianasan：2021/09/13(月) 22:28:51.95 ID:???.net

>>415
言い出しっぺとして転がってたラズパイで実験したら問題なくIPSECで繋がった。もうライセンス買わんで良いかも。

424 ：anonymous@fusianasan：2021/09/14(火) 00:30:27.33 ID:P2QP+H+k.net

>>417
ありがとうございます
無知過ぎてなんのこと言ってるのか分からず調べてました
会社のサーバーのアドレスが192.168.1.1だったのですが、プライマリIPアドレスというのが同じだったので168.2.1にビビりながら変えてみたら入れました

大塚商会とは保守契約結んでるんですが家庭によって違うので分かんないっすねとの回答が来るだけでした
ありがとうございました
スレ汚し失礼しました

425 ：anonymous@fusianasan：2021/09/14(火) 02:48:58.83 ID:???.net

たぶん誤解してるだろうけど保守契約で設定のやり方教えてくれは契約外だから
大塚商会からしたらただのクレーマーだよ

426 ：anonymous@fusianasan：2021/09/14(火) 03:01:55.78 ID:???.net

「解決しました」まで含めて作り話だろうね

427 ：anonymous@fusianasan：2021/09/14(火) 08:27:02.28 ID:???.net

うまく動きませんNGです構成は普通です詳しくないので難しいこと言って煙に巻かないでください本当に困ってるんですよ。みたいなのはどの業界でも結構見かける。

428 ：anonymous@fusianasan：2021/09/14(火) 09:40:15.87 ID:???.net

一部のipsシグネチャーをオフにしたい。
ipsセンサーで、一部のシグネチャーのチェックを外した後もフィルターに従い新らしいシグネチャーは追加され続ける認識であってますか。

429 ：anonymous@fusianasan：2021/09/14(火) 10:03:49.46 ID:wU9ehGWV.net

>>425
今回の契約内容がテレワーク環境構築だったので教えてもらえるものと思ってましたが違ったんですね今後気をつけます

>>426
頭陰謀論者

430 ：anonymous@fusianasan：2021/09/14(火) 10:09:00.19 ID:???.net

>>427
「車のエンジンがかからない」のコピペ的な「困ってる」しか言えない人いるし、それと同じ類だね

431 ：anonymous@fusianasan：2021/09/14(火) 10:33:40.05 ID:???.net

>>427
ほんとそれ！構成図とかない、サーバはsi構築したベンダー任せだからわかりません。そんな案件で対処もしようがないのに「役立たず」と罵られる始末。

保守契約もないのに、何様なんだと思うは。

432 ：anonymous@fusianasan：2021/09/14(火) 10:58:03.15 ID:???.net

珍しく盛り上がっとるやんけｗ

433 ：anonymous@fusianasan：2021/09/15(水) 16:30:24.75 ID:???.net

たよれーるのFortiGateってどこから入れてるんだろう？MKI？

434 ：anonymous@fusianasan：2021/09/15(水) 17:18:14.84 ID:???.net

保守契約はscskだったよ

435 ：anonymous@fusianasan：2021/09/15(水) 18:58:43.58 ID:???.net

SCSKならまだ対応してくれそうだがな

436 ：anonymous@fusianasan：2021/09/15(水) 23:20:42.69 ID:???.net

SCSKは6.2ファーム公開がやけに遅かったり色々あった記憶
でも保守に技術サポートも入ってるから設定関連の質問も対応してくれる筈
ただ問い合わせ能力は問われるね、構成も目的もしっかり伝えられない奴はSIベンダーに頼んだ方がいいね

437 ：anonymous@fusianasan：2021/09/16(木) 02:40:20.71 ID:???.net

技術サポートのレベルが高いサプライヤはどこ？

個人的にSBC&Sは時間がかかりすぎる気がする。
ネットワールドとかどうなんだろう？

438 ：anonymous@fusianasan：2021/09/16(木) 03:15:52.30 ID:???.net

無い

439 ：anonymous@fusianasan：2021/09/16(木) 08:02:02.04 ID:???.net

保守サイトの情報はctc-spが充実しとるな。

440 ：anonymous@fusianasan：2021/09/16(木) 08:10:06.88 ID:exhIy45E.net

ヤフオクで買ったFortigateが保守期限内だったけど
ファームウェアのダウンロードも保守も断られたな。
どこも中古は保守受けないのかな。

441 ：anonymous@fusianasan：2021/09/16(木) 09:54:37.22 ID:???.net

そらそーよ
だから中古が安い

442 ：anonymous@fusianasan：2021/09/18(土) 15:04:48.12 ID:???.net

FortiClient6.43のSSL接続のRADIUSに、
Windows標準のNetworkPolicyServerって使えないの？
ただし、現在社内無線LANの802.1ｘで使用中
ＬＤＡＰの連携かけてやろうとしたんだけど、
業者がＮＰＳじゃできませんと言って、NetAttestを買わされた
本当にできないの？
ＦＧ100F 6.2.7

443 ：anonymous@fusianasan：2021/09/18(土) 15:12:34.05 ID:???.net

これ見る限りはできそうじゃね?
https://inside.fortinet.com/doku.php?id=sslvpn_with_radius_using_active_directory_and_nps

444 ：anonymous@fusianasan：2021/09/18(土) 15:14:45.08 ID:???.net

ユーザ名とパスワードの問い合わせしてるだけなら普通にできるでしょ

445 ：442：2021/09/18(土) 16:26:58.32 ID:???.net

>>443
有難うございます
さて、これでこの会社切ることにします
名前さらしたいですが、後の事も有りますし
もう、このメーカーのカメラは全システム入れ替えます、

446 ：anonymous@fusianasan：2021/09/18(土) 16:44:29.05 ID:???.net

パナかな？

447 ：anonymous@fusianasan：2021/09/18(土) 17:54:18.29 ID:???.net

>>442みたいな担当がいるところには関わりたくない

448 ：anonymous@fusianasan：2021/09/18(土) 17:57:49.50 ID:???.net

訊く前に試せばいいのにな

449 ：anonymous@fusianasan：2021/09/18(土) 18:00:10.94 ID:???.net

「仕様上できる」なんて言うもんならできなかったときにすげえギャーギャー騒ぐし
お前のお母さんじゃねえよ

450 ：anonymous@fusianasan：2021/09/18(土) 18:05:39.94 ID:???.net

ITに関わってる人は多いけどほとんどの人は自分で調べられない＆手を動かせない人たちばかりだからね
5chに質問書き込む前にその端末でググれば良いんだけど

451 ：anonymous@fusianasan：2021/09/18(土) 18:23:56.84 ID:???.net

>>445
スレ違い。
そんな事はネットにも口にも出さなくて良い。

452 ：anonymous@fusianasan：2021/09/18(土) 18:32:35.14 ID:???.net

業者は確実に出来るもん提案するよね、出来ないと責任問題だからね

まずやってみるとかは検証機なら出来るけど実環境では厳しいよね
あとADはサーバ管理が杜撰だと問題起こることもあるし
対応出来ないベンダーが多いのも仕方なしな感じもある

453 ：anonymous@fusianasan：2021/09/18(土) 20:37:36.77 ID:???.net

何でマニュアル読まないの？

454 ：anonymous@fusianasan：2021/09/18(土) 20:38:20.81 ID:???.net

受ける際に、うちでは実績無い、検証が必要で予算がかかります。
とかの話がされるならわかるけど、出来ませんで他製品を売るのは
わからない奴に売っちまえ的で非誠実な営業とは思うなー。
後でバレること考えないのかしら？

455 ：anonymous@fusianasan：2021/09/19(日) 00:54:00.63 ID:???.net

「NPSでSSL-VPNの認証は出来ません」って断言はしないと思うけどね

456 ：anonymous@fusianasan：2021/09/19(日) 02:42:49.41 ID:???.net

>>454
おまえがそう思うなら、おまえの責任でやれば予算も浮くやん。仕様にかいてあるだろ？

責任もってやれない。
実機で検証もしない。

そんなやつは、金だけ置いて黙ってろよ。

457 ：anonymous@fusianasan：2021/09/19(日) 02:56:30.69 ID:???.net

読み間違えてそう

458 ：anonymous@fusianasan：2021/09/19(日) 09:28:19.46 ID:???.net

SSL-VPNといえば侵入された可能性のある客に、ちゃんとパスワード変更促した？

459 ：anonymous@fusianasan：2021/09/19(日) 09:45:47.83 ID:???.net

そういう注意喚起は保守から連絡する

460 ：anonymous@fusianasan：2021/09/19(日) 10:10:03.44 ID:???.net

保守から連絡きたことなんて一度もないぞ

461 ：anonymous@fusianasan：2021/09/19(日) 12:26:09.09 ID:???.net

PSIRTすら見てないってどうなのよ。

462 ：anonymous@fusianasan：2021/09/19(日) 13:06:48.97 ID:???.net

ようするに、保守も誰も顧客に連絡してない。

463 ：442：2021/09/19(日) 13:16:12.42 ID:???.net

>>455
断言されたよ

IPsecでのVPN運用中だし、冗長化してない
上からは早急にの要求
皆様のように運用中の機械で検証やるほどの度胸は無い
お任せでNetAttestで運用すると障害発生で使えない
結局当方で100台ほどIPsecに戻す
それで、原因不明と放置され数か月

確かに英語に目がいかなかった自分は悪い

464 ：anonymous@fusianasan：2021/09/19(日) 13:52:51.42 ID:???.net

Radiusサーバでのユーザ名/パスワード認証くらいだったら他社装置間の接続でも問題は出にくいのに
そこをあえて「できません」って断言する業者だったら、なぜ出来ないのかくらいの技術的な会話ができる人がいればよかったのにね
技術的に不可能なのか、検証できる人員が居ない＆サポートできないなのかは結局わからないまま

465 ：anonymous@fusianasan：2021/09/19(日) 16:15:50.74 ID:???.net

全体の構成を確認してないのにできるできないとか知ったかぶりの素人が言いそうな話だな。

466 ：anonymous@fusianasan：2021/09/19(日) 17:00:57.96 ID:???.net

まだやってんのか？

467 ：anonymous@fusianasan：2021/09/19(日) 17:14:18.53 ID:???.net

その昔、できるできないの秘密というタイトルの児童書があってね
その中に出てくるデキッコナイスっていう外人が好きだったなあ

468 ：anonymous@fusianasan：2021/09/19(日) 17:39:01.76 ID:???.net

NPSは使用できませんって言われて信じる方も相当だな

469 ：anonymous@fusianasan：2021/09/20(月) 08:26:54.42 ID:???.net

それはソ○トンのサポートがクソってことじゃねぇか

470 ：anonymous@fusianasan：2021/09/20(月) 11:09:31.48 ID:???.net

ファイルゼンブ流出しちゃうからな

471 ：anonymous@fusianasan：2021/09/20(月) 18:01:12.32 ID:???.net

Fortigateを海外で買える安いところでおすすめはありますか？
ライセンス更新も必要ですので、安いだけでは困ります。

472 ：anonymous@fusianasan：2021/09/20(月) 18:06:42.07 ID:???.net

国内で買えでFA

473 ：anonymous@fusianasan：2021/09/20(月) 18:10:49.04 ID:???.net

海外で購入されてた方もいらっしゃいますので不可です。

474 ：anonymous@fusianasan：2021/09/20(月) 20:05:05.23 ID:???.net

こちらにお問い合わせいただいてみてはいかがでしょうか
https://www.fortinet.com/partners/partner-program/find-a-partner.html

475 ：anonymous@fusianasan：2021/09/20(月) 23:15:03.14 ID:x9ZTeyuQ.net

>>471
国内で買った方がいいぞ。
故障したとき、海外だと対応できないし出来たとしても時間かかるぞ。

476 ：anonymous@fusianasan：2021/09/20(月) 23:38:19.27 ID:???.net

国によっては輸出規制とかありそう

477 ：anonymous@fusianasan：2021/09/22(水) 13:39:50.75 ID:???.net

マジ値上げはんぱねーんだけどなめてんのかって

478 ：anonymous@fusianasan：2021/09/27(月) 20:51:41.86 ID:???.net

YAMAHA 舐めてるのか。
RTXの新製品出せよ！

479 ：anonymous@fusianasan：2021/09/27(月) 21:29:25.59 ID:???.net

YAMAHAヤマハブロードバンドルーターpp select 31
https://mevius.5ch.net/test/read.cgi/hard/1618238582/

ヤマハのスレすら探せない人がコンフィグできるのかね

480 ：anonymous：2021/09/30(木) 01:43:03.50 ID:???.net

Fortigate40F届いた！さっそくプロキシモードにしてFortiオレオレ証明書をPCにインストール。
ディープパケットインスペクションにしています。でもたまにプライバシーが保護されていません画面がでてきます・・・

みなさんこういうこと普通にありますか？
https://imgur.com/a/UieLj7v

481 ：anonymous@fusianasan：2021/09/30(木) 06:44:52.63 ID:???.net

>>480
"信頼できるルート証明書"の所にインストールした?

482 ：anonymous：2021/09/30(木) 14:00:02.03 ID:???.net

>>480
ローカルコンピュータとユーザと二つインストール先がありましたが、念のため両方の、
"信頼できるルート証明書"の方にインストールしました。

483 ：anonymous@fusianasan：2021/09/30(木) 19:40:14.90 ID:???.net

ブラウザ変えても同じ事象になりますか？

484 ：anonymous：2021/09/30(木) 22:23:17.95 ID:???.net

Chrome使っていますが、Firefoxでも試してみたところ今のところ証明書エラー画面はなしでした。
でも不可思議なんですよね。導入して証明書をインストールしていたのに、何度も証明書エラーが出たりでなかったりで、
それが十数回起きてからエラーにならなくなるという

485 ：anonymous@fusianasan：2021/10/01(金) 13:57:05.11 ID:???.net

なんか一部のhttps://サイト繋がらなくない？

486 ：anonymous@fusianasan：2021/10/01(金) 14:53:59.39 ID:???.net

https://kb.fortinet.com/kb/documentLink.do?externalID=FD49028

487 ：anonymous@fusianasan：2021/10/01(金) 16:01:32.30 ID:???.net

https://www.reddit.com/r/fortinet/comments/pylie2/all_of_a_sudden_we_are_getting_ssl_certificate/

488 ：484：2021/10/02(土) 00:16:27.62 ID:???.net

Fortiのオレオレ証明書の期限見てみました、2031年・・・
ベリサイン社とかのを購入して、そっちを使った方がいいのかな？

ちなみに今日は証明書のエラーはなかったですが、ERR_CONNECTION_RESETエラーが。
https://imgur.com/a/uMzGKTz
今のところChromeだけで確認してます

489 ：484：2021/10/02(土) 00:18:27.55 ID:???.net

>>486 , >>487
ありがとう、明日ちゃんと読んでみる

490 ：anonymous@fusianasan：2021/10/02(土) 00:38:32.21 ID:???.net

>>488
FortiのSSLインスペクション用の証明書は外部から買えないよ
サイト名が*(全てのサイト)なんてサーバ証明書を発行する証明機関なんかないから

491 ：487：2021/10/02(土) 02:16:12.35 ID:???.net

>>489
その二つはあなたの問題とは関係ないので読む必要ありません。
Let's Encrypt から発行されたサーバ証明書を
Fortigate の certificate-inspection が信用しなくなったという問題で、
以前はつながっていたサイトが10月1日から見られなくなったという話です。

492 ：anonymous@fusianasan：2021/10/02(土) 02:20:41.20 ID:???.net

deep-inspectionでも出ますね

493 ：anonymous@fusianasan：2021/10/05(火) 02:41:03.14 ID:???.net

>>467
遅レスだが地球に穴あけて反対側に行く話を思い出したw

494 ：anonymous@fusianasan：2021/10/06(水) 08:50:27.31 ID:???.net

IPSの挙動テストを評価版でしたいのだけど
"Web.Server.Password.Files.Access"
のシグネチャがない。

他にテストする方法ないだろうか?

495 ：anonymous@fusianasan：2021/10/13(水) 20:32:45.99 ID:mb7TIAK8.net

ddnsサーバって今障害が出てます？
ネットワーク - dns - fortiguard DDNS
をオンにすると、通常はサーバ欄にfortiddns.comなどが選べるはずなんですが、「DDNSサーバ情報をfortigurardサービスから取得できません」と表示され、サーバ欄が空欄となっています

496 ：>>484：2021/10/15(金) 23:29:31.05 ID:???.net

証明書エラー、Foritgate40Fのファームを最新にしたら起こらなくなりました。
プロキシベースにしてcustom_deep_inspectionをONにするとニコニコ生放送・Youtubeが
見れなくなっていましたが、こちらは当該アドレスをSSLインスペクションから除外、で対応できました

497 ：>>496：2021/10/27(水) 00:34:38.44 ID:???.net

Fortigate40Fの証明書問題、動画サイトはSSL除外で表示されるようになってましたが
他サイトでエラー画面が出てきていました。サポセンに相談してみたところ、

＞期限切れのルートCAへのフォールバックを防ぐ
という対処を教えていただき、CLIで実行したところうまく行きました。

498 ：>>496：2021/10/27(水) 00:36:14.06 ID:???.net

公開されているブログだからいいのかな？
https://www.fortinet.com/jp/blog/psirt-blogs/fortinet-and-expiring-lets-encrypt-certificates

ここの人たちはみんな既に対策してると思いますが一応

499 ：anonymous@fusianasan：2021/10/27(水) 01:04:39.18 ID:???.net

>>498
そこを提示するのは問題ないと思う

原因についてはCA証明書のクロスサインについて別に調べて理解すると原因の問題について理解しやすかった
原因の理解なんてしなくても対処は出来るけどね

500 ：anonymous@fusianasan：2021/10/31(日) 00:07:23.08 ID:???.net

質問です。
fg50e、v6.29

wan1はマンションフリーインターネット向け
wan2は上位に固定ipを持つルータを配置し、ルータからdnatでwan2向けに転送しています。
wan2からforticlientにてssl-vpnを利用したいのですが、dgwがwan1に向いているため接続できず、一時的にdgwをwan2に向けることでvpnできることを確認しました。
dgwがwan1の状態で、wan2から来たグローバルipに対してはgwをwan2に向けたくポリシールートを利用しましたがうまく行きません。(以下切り分けのためまずは広めに設定しています)
※着信インターフェイスwan1、送信元アドレスall、宛先アドレスall、アクション転送先インターフェイスwan2
誤っている点、確認すべき点等あればアドバイスいただけますでしょうか。