２ちゃんねる ■掲示板に戻る■ 全部 1- 最新50

■ このスレッドは過去ログ倉庫に格納されています

Fortigateについて語ろう5

526 ：anonymous@fusianasan：2021/11/23(火) 14:38:20.34 ID:/oGzFb22.net: >>0525
すんません、変換ミスです
○設定
×絶対
切れるのはいいんですが、都度設定変更は避けたいという感じです。
527 ：anonymous@fusianasan：2021/11/23(火) 14:58:51.89 ID:???.net: >>526
いや、だからset autoconf enableじゃダメなん？って言ってんだけど。

設定の意味とか挙動が分かってないのかな。。
528 ：anonymous@fusianasan：2021/11/23(火) 21:36:18.09 ID:qOHjJAMn.net: >>0527
autoconf enableって、ipipトンネルのローカルipまで書き換えてくれるのですか？
529 ：anonymous@fusianasan：2021/11/24(水) 01:32:37.75 ID:???.net: >>524
やっぱり6.4系の対応の方がまだだったよね・・・
530 ：anonymous@fusianasan：2021/11/25(木) 00:09:31.91 ID:???.net: >>528
https://docs.fortinet.com/document/fortigate/6.4.8/cli-reference/7620/config-system-interface

set unique-autoconf-addr enable

IPv6 prefixが変わることはかなり稀だけど
531 ：anonymous@fusianasan：2021/11/26(金) 18:44:11.51 ID:???.net: fortigateは半導体不足の影響はないですか？
532 ：anonymous@fusianasan：2021/11/26(金) 18:53:36.61 ID:???.net: この状況で影響ありませんって言えるIT機器ベンダがあるなら聞いてみたい
533 ：anonymous@fusianasan：2021/11/28(日) 22:11:17.20 ID:???.net: fortiAP，fortiSwitchのエントリーモデル系はもう納期未定と言われた。
534 ：anonymous@fusianasan：2021/11/30(火) 23:21:26.65 ID:???.net: >>531
ないアルヨ！
535 ：anonymous@fusianasan：2021/12/04(土) 05:29:52.55 ID:???.net: 5chへの書き込みに固定IPで出たくないから、プロキシで書いてるんだけど
最近プロキシ通してるだけで怒られる事多くなってきた
FortiでPPPoEかモデムでLTE終端、SD-WAN通して5ch.net宛だけそこ経由、
他はメインのルータに流そうかなと思うんだけど
1.SD-WANはライセンス切れてても使える
2.SD-WANは性能指標のFW機能の一部（notIPS,SSLインスペクション）に該当する
で合ってますでしょうか
536 ：anonymous@fusianasan：2021/12/04(土) 16:01:55.06 ID:???.net: ライセンス残っている60Eをオークションで購入して、初めてFortigateを触ります。
新しい機能を覚えたほうが良いと考え、FortiOS 7.0.2に更新しました。
CLIからトランスペアレントモードに変更して、管理IPv4アドレスを割り当て済みで、
IPv4のインターネットへの通信と、WebからFortigate管理画面へログインできています。

インターネット側のルーターはNEC IX2207で、OCN IPoE (IPv4動的アドレス契約)、
ひかり電話なし、ONU直結、IPv6とIPv4 MAP-Eによるインターネット接続はできています。
PCには、IX2207からIPv6アドレスが割り振られています。

ここに、Fortigate 60Eを入れて、WAN1をIX2201-GE2に、LAN1をPC側につなぎます。
すると、IPv6アドレスがPCに割り振られなくなりました。
Fortigateに、IPv6を使う、WANからLANへRA通知も通す、という設定が必要だと思いますが、
どこをいじればよいか、わかる方教えてください。
537 ：anonymous@fusianasan：2021/12/04(土) 16:16:10.59 ID:???.net: よく知らんけど、NECからFortigateにprefix delegationとやらでFortigateのlan側用のipv6セグメントを移譲してやらなアカンて事かな？
ipv6はムズいね。ワシには無理だ。
538 ：anonymous@fusianasan：2021/12/04(土) 16:18:33.73 ID:???.net: あ、光電話なしだからipv6プレフィックスは/64しかもらえないのか？
じゃぁprefix delegationじゃなくてfortigateでnd proxyしてやりゃいいのか？
539 ：536：2021/12/04(土) 16:42:18.23 ID:???.net: >>538
NECのIXルーターの設定は、 ttps://jpn.nec.com/univerge/ix/Support/ipv6/OCN-VC/index.html
の、「設定例1　OCNバーチャルコネクト（動的IP）の設定 - IPv6 RA」を使ったのですが、
interface GigaEthernet1.0
ipv6 nd ra enable
ipv6 nd ra other-config-flag
とあるので、IXルーターがすでにNDプロキシ使っているようです。
YouTubeであきみちが、NDプロキシは1回しか使えないって言っていたので、ダメなのかなと。
540 ：anonymous@fusianasan：2021/12/04(土) 16:48:15.52 ID:???.net: ググれば腐るほど出てくると思うけど……
そこを見ても設定できないのか
そもそもIPoE用のトンネルも設定したか
NDプロキシは有効化してるか
ND通知をポリシーで許可してるかとか色々情報が足りん
541 ：536：2021/12/04(土) 17:33:08.77 ID:???.net: ググっても「Fortigateをルーターとして使用＋OCN MAP-E IPv4固定」ばかりで、
トランスペアレントモードで、すでに上位のルーターがND-Proxyとして動いている事例が
見つけられなかったのです。

MAP-E 動的IPなので、Fortigateをルーターとして使用しない前提で環境を作っています。
中古Fortigateなので故障したときは、L2SWとIXルーターを直結させて、
UTM機能はなくなるけれど、インターネット接続は維持できる環境を目指しています。
IPv6で、GoogleやMicrosoftのサービスとの通信速度が上がるので、
トランスペアレント＋IPv6が必要です。

＞ND通知をポリシーで許可
は探してみます。
NDプロキシ有効にして２段になっても、外部には迷惑はかけないだろうから、やってみます。

>そもそもIPoE用のトンネルも設定したか
は、わかっていないので、多分設定していません。
542 ：anonymous@fusianasan：2021/12/04(土) 17:43:13.40 ID:???.net: ライセンス切れのFortigateを使う神経が理解できんな
ファームウェアの更新できないし穴が開いたら開きっぱなしの危険物でしかない

そこらの市販WiFiルーターの方がマシ
頼むからやめてくれ

サポート終了したWindowsを使い続けるのは叩かれるのに碌にファームウェアも更新されないネットワーク機器を使い続けるのは叩かれないのは理解し難い
543 ：anonymous@fusianasan：2021/12/04(土) 17:46:05.82 ID:???.net: やめてくれも何もお前はどこの誰目線で話してんだよ(笑)
536の勝手だろうが
544 ：anonymous@fusianasan：2021/12/04(土) 18:21:59.50 ID:???.net: fortigate納期1年待ちってマジ？
545 ：536：2021/12/04(土) 18:30:04.26 ID:???.net: >>542
中古購入だけど、最初に書き込んだ通り、
ライセンス残っているものを選んだので、その批判は該当しません。
ライセンスが切れたらまた別の個体を探します。

そもそも、AntiVirusやWebFilterが使いたくて購入する製品なのに、
ライセンス切れの個体を使っていると思い込む人がいるのは、不思議ですね。
546 ：anonymous@fusianasan：2021/12/04(土) 19:27:45.99 ID:???.net: >>542
なんだ？あんたｗｗｗｗ
人にもの頼む態度じゃねーなｗｗｗ
547 ：anonymous@fusianasan：2021/12/04(土) 21:17:56.30 ID:???.net: >>541
トランスペアレントで動かしてるなら、とりあえずIPv6のファイアウォールポリシー（ユニキャストとマルチキャスト）を許可するポリシー書いてみればいいかと
548 ：anonymous@fusianasan：2021/12/04(土) 21:33:41.42 ID:???.net: >>541
トランスペアレントモードじゃなくてバーチャルワイヤーペアではダメ？
ルーティングやIPv6配布等は上位ルータで、通信制御とUTMだけはインラインでFortigateが行う、という構成がとれるはず
549 ：anonymous@fusianasan：2021/12/04(土) 23:17:39.33 ID:???.net: Fortigateの証明書でcustom_deep_inspectionしてるけど、いつも見れてるウェブサイトがなぜか急に
「証明書の問題があり、セキュリティ的に危ないです！」って出てくるときがある。何度かリロードすると
アクセスできるようになるんだけど、これって侵入されたりとかしてるのかな
550 ：anonymous@fusianasan：2021/12/05(日) 00:32:41.88 ID:???.net: 侵入ｗｗｗｗｗｗｗ
551 ：anonymous@fusianasan：2021/12/05(日) 00:39:51.72 ID:???.net: されてるかもしれないしされてないかもしれない
とりあえずウイルススキャンしよう
552 ：anonymous@fusianasan：2021/12/05(日) 00:47:06.55 ID:???.net: FortiGateいれてるのにログは見ないんかね
553 ：>>549：2021/12/05(日) 01:31:04.42 ID:???.net: >>551
CylanceProtectは何も検知してないみたいです

>>552
証明書のエラーログってどこでみたらいいですか？証明書のエラーが出た時と、
そうでない時とで比較できたらいいんですが
554 ：anonymous@fusianasan：2021/12/05(日) 04:43:03.55 ID:???.net: FortiGateの差し替えメッセージで出てる証明書エラーとかじゃないの？
そのFGを管理してる人に訊いたほうが良いかと
555 ：536：2021/12/05(日) 11:32:34.72 ID:???.net: >>547
IPv6ファイアウォールポリシーですね。
ログインしているノートPCの解像度低くて、メニュー構成が頭に入らず迷子になっています。
WebGUIから設定できますか、CLIでのコマンド投入必須ですか。

初期化してCLIでトランスペアレントモードを有効にした後は、
標準ではすべてのパケットを通すようになっているかと思うのですが、
IPv6のユニキャストやマルチキャストを落とすようになっているのでしょうか。

大きい画面を外付けして、あとでIPv6許可のポリシーのやりかた、探してみます。

>>548
バーチャルワイヤー、初めて聞きました。今のところは、
VDOMもVLANも必要ないので、よさそうです。
トランスペアレントモードでのIPv6しばらくやってみてダメそうだったら、
バーチャルワイヤーを試してみます。
556 ：anonymous@fusianasan：2021/12/05(日) 12:31:06.31 ID:???.net: Certificate-inspectionでは、httpsのAnti-Virusができないことは確認できました。
ttps://www.eicar.org/?page_id=3950 からeicar.comをダウンロードすると、
Fortigateのブロック画面は出ずに、WindowsDefenderで検出されました。

逆に、Certificate-inspectionでも、httpならばAnti-Virusが使えることを示したいのですが、
httpで提供されているeicar.comが見つけられません。どなたかご存じないでしょうか。
ローカルにhttpサーバーを立ち上げて、DMZにおくしかないでしょうか。

今ほとんどのサイトがhttpsで提供されているので、deep-inspectionが必要だということを、
実例を見せて示したいです。
557 ：anonymous@fusianasan：2021/12/05(日) 13:03:32.19 ID:???.net: >>555
Admin guideを読みましょう
https://docs.fortinet.com/product/fortigate/7.0

>標準ではすべてのパケットを通すようになっているかと思うのですが

いや、それだったらセキュリティ装置としての意味がないかと
ファイアウォールポリシー書いて無ければ全部落とすのがデフォルトです
558 ：anonymous@fusianasan：2021/12/05(日) 14:12:26.13 ID:???.net: >>555
https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-jpne-v6plus.pdf
ここの2-7以降読んでCLIで確認しなされ
画面小っちゃくてGUIじゃ見づらいならいい機会だしCLIで設定できるようになっとくのが便利
コンフィグみて何も無ければ暗黙で全部Denyしてるのは当然
>>557の言う通りホワイトリスト形式が基本なのは常識
559 ：anonymous@fusianasan：2021/12/05(日) 14:36:24.25 ID:???.net: >>556
現在から将来までの全従業員分の端末へ証明書のインストールもおまえがやってくれる料金込みで請け負ってる？
560 ：anonymous@fusianasan：2021/12/05(日) 15:07:59.05 ID:???.net: そんなん知らんがな
手作業でてめぇでやれって話だろそんなんセキュリティ構築担当のする話ではないわ
手作業じゃ無理です～ってならADでもなんでも使えそしてそれは別単価でのお話ですわ
561 ：.：2021/12/05(日) 17:28:37.89 ID:???.net: カスペルスキー　eicar
でググれ
562 ：anonymous@fusianasan：2021/12/05(日) 18:46:20.33 ID:???.net: >>561
ttp://www.virusanalyst.com/eicar.zip
が見つかった。ありがとう。

559は何言っているかよくわからない。
563 ：anonymous@fusianasan：2021/12/05(日) 19:52:56.37 ID:???.net: >>562
Deep Inspection使う場合は普通はプライベートCA建てたり端末へのCA証明書インストールなどの構築/運用/作業が必要ですが、
そこは検討されていますかってことじゃないでしょうか
564 ：anonymous@fusianasan：2021/12/05(日) 21:28:01.42 ID:???.net: そんな質問スルーでええやろ。
565 ：anonymous@fusianasan：2021/12/05(日) 21:52:14.88 ID:???.net: ビルトインの証明書でのdeep-inspectionの提案はしていないと思いたい
566 ：anonymous@fusianasan：2021/12/06(月) 05:35:06.47 ID:???.net: >>565
どうしてですか？
567 ：anonymous@fusianasan：2021/12/06(月) 09:39:47.79 ID:???.net: >>566
ビルトインの証明書はFortiGateのシリアル番号に紐付いていてコンフィグとして引き継げません
FortiGate交換時に端末へのCA証明書の再インストールが発生します
568 ：anonymous@fusianasan：2021/12/06(月) 11:44:51.53 ID:???.net: >>567
なるほどありがとうございます。
569 ：anonymous@fusianasan：2021/12/06(月) 21:36:11.76 ID:???.net: 最近Deep-inspectionの話多いけど60Fで性能足りるの？
このスレの上の方だと300以上は要るとか言われてるよね
570 ：anonymous@fusianasan：2021/12/07(火) 21:55:36.84 ID:n+miFD4E.net: >>567
それほんとですか？
リストアで戻せばもとシリアルナンバーの自己証明書が戻る様な気がするけど
571 ：anonymous@fusianasan：2021/12/07(火) 22:31:56.06 ID:???.net: セキュリティ構築たんとーさんはだいぶ呑気なもんだな。利便性や運用しらん！セキュリティ高いのが正義！そんな投げっぱな構築やってると顧客減るけど大丈夫？

UTMなんて一番最初に予算削られるとこですよ
572 ：anonymous@fusianasan：2021/12/07(火) 22:35:35.91 ID:???.net: >>567
知らんかった～。
お客さんにビルトインCAのままADで端末に配布しとるわ～
ま、担当外れたからどうでもええわ～。
573 ：anonymous@fusianasan：2021/12/08(水) 00:12:41.66 ID:???.net: 今のご時世いの一番にコスト削減するのがUTM周りとか
そんな時代遅れか知恵遅れな顧客はこっちから願いさげですぅ～
574 ：anonymous@fusianasan：2021/12/08(水) 00:14:19.38 ID:???.net: >>570
プライベートCAなりで作ってFortiGateにインポートしたものならコンフィグとして残るのでレストアは可能ですが
ビルトインの方はS/N固有になるのでレストアできないですね
同機種のFortiGateが2台あればすぐ試せるかと思います
575 ：anonymous@fusianasan：2021/12/08(水) 08:21:02.46 ID:???.net: プライベートCA建てた方がいいとは言われるけど、deep-inspection用の証明書はshow fullで秘密鍵ごと取れるから移せるよ。
576 ：anonymous@fusianasan：2021/12/08(水) 09:22:49.17 ID:???.net: FortigateのIPSテンプレートのhigh_securityってデフォルト状態で運用すると問題ある？
素人考えであれだけどハイセキュリティっていうくらいだからある程度安全性あるのかなって思うんだけど
577 ：anonymous@fusianasan：2021/12/08(水) 12:37:50.73 ID:???.net: FortigateのUTM機能なんておもちゃレベルじゃないの？
578 ：anonymous@fusianasan：2021/12/08(水) 13:35:44.11 ID:???.net: 具体的にどの辺がおもちゃレベルなんでしょうか？
579 ：anonymous@fusianasan：2021/12/08(水) 13:43:10.48 ID:???.net: 餅は餅屋と言われるぐらいのおもちやレベル
580 ：anonymous@fusianasan：2021/12/08(水) 13:47:42.89 ID:???.net: Fortinetは餅屋では？？？
581 ：anonymous@fusianasan：2021/12/08(水) 18:51:38.68 ID:ZDOBlCwl.net: >>574
やってみました。確かに引き継がないですね。
大変勉強になりました。
582 ：anonymous@fusianasan：2021/12/08(水) 21:43:27.15 ID:???.net: 中小企業でしか使われてないわな。fortigate
あとライセンス切れは家庭。
583 ：anonymous@fusianasan：2021/12/08(水) 23:32:38.49 ID:???.net: 国によって違うけどね
584 ：anonymous@fusianasan：2021/12/09(木) 00:02:22.44 ID:???.net: 結局どのあたりがどういう理由でおもちゃレベルなんでしょう？？
585 ：anonymous@fusianasan：2021/12/09(木) 00:23:40.39 ID:???.net: それを言わないが、あるんだよと思わせたいパロアルトの思惑
586 ：anonymous@fusianasan：2021/12/09(木) 01:02:40.78 ID:???.net: ひと昔前に比べればだいぶ洗練されてきたけど
デカい案件ではやっぱりパロ使うわ
587 ：anonymous@fusianasan：2021/12/11(土) 18:50:54.11 ID:???.net: 具体的な技術議論なんて出来ないなんちゃってエンジニアの吹き溜まり
588 ：anonymous@fusianasan：2021/12/11(土) 21:09:35.51 ID:???.net: FortiDDNSの挙動がよくわからん。
故障交換後に「取得可!!」ってなったと思ったのにだめとか
589 ：anonymous@fusianasan：2021/12/12(日) 01:01:01.56 ID:???.net: >>588
Technical Note: FortiDDNS registration on another device using same FQDN
https://community.fortinet.com/t5/FortiGate/Technical-Note-FortiDDNS-registration-on-another-device-using/ta-p/193328
590 ：anonymous@fusianasan：2021/12/12(日) 16:25:22.84 ID:???.net: >>589
おおおおおお
こんな技ちゃんとあるんだ。NetvolanteDNSよりも春香に親切じゃん
591 ：536：2021/12/12(日) 17:23:18.80 ID:???.net: >>557-558
初期設定で、IPv4でのWANへのアクセスは問題なかったので、
Default Allowかと思っていました。

実際は、SPIでLANからWANへの通信が登録されて、
帰りのパケットが許可されていたので、通信できていたようです。

WANからLANへのIPv6パケットは、明示で許可しないとダメですよね。

>>547
ひとまず、WANからLANへのIPv6をすべて許可する
プロファイルを一番上に追加したら、クライアントPCで
IPv6アドレスが取得できて、test-ipv6.comは8つOKでした。

これから、プロファイルなりポリシーなり、いろいろといじってみます。
592 ：anonymous@fusianasan：2021/12/12(日) 17:34:16.30 ID:???.net: 556です。

httpでもhttpsでも、eicarのあるURIは知れ渡っているので、
Edgeでのダウンロードは、Windows10クライアント側ででブロックされていました。
curlで試して、httpのブロックはうまくいきました。

ダウンロードすると、httpsはそのままzipがローカルに保存できるが、
httpはファイルダウンロードされずにCLIにBlockedのHTMLが表示されました。

あとで、自己署名証明書を入れて、deep-inspectionを有効にして、
curlでもhttpsのダウンロードが検出できるか、試してみます。
593 ：anonymous@fusianasan：2021/12/12(日) 18:13:43.18 ID:???.net: 556です。

>>563-568
Fortigateが交換されるたびに、
クライアントにCA証明書インストールしなおしで事足りる規模です。

>>572
ActiveDirectoryもいらない規模。

>>569
クライアントの台数と通信量によるでしょう。
少ない台数から、負荷を見ながら少しずつ増やしてみる予定です。

Fortigateを明示的なhttp-proxyとして使えば、
LAN側のTLS処理が無くなり、負荷が下がると思います。
CA証明書も不要だけど、クライアントへのProxy設定は別途必要。
（で、合っている？）

>>571 自己批判乙。
594 ：anonymous@fusianasan：2021/12/12(日) 18:23:09.85 ID:???.net: >>574-575
うちも、クライアントPCに都度CA証明書インストールでも大丈夫な規模ですが、
故障交換時に、再度CA証明書インストールを避けられるなら、避けたいです。

> deep-inspection用の証明書はshow fullで秘密鍵ごと取れる
から移せるとは、どのようにするのでしょうか。
ヒントをいただきたいです。

Openssl等を使って、現用の秘密鍵から自己署名証明書をつくって、取っておく。
代替のFortigateに書き込むと、クライアント側の証明書はそのまま利用できる、
というイメージでしょうか。
595 ：anonymous@fusianasan：2021/12/12(日) 19:45:46.78 ID:???.net: >>593
>Fortigateを明示的なhttp-proxyとして使えば、
>LAN側のTLS処理が無くなり、負荷が下がると思います。
>CA証明書も不要だけど、クライアントへのProxy設定は別途必要。

FortiGateとPC間がHTTPということであればPCがリクエスト出すときにHTTPでGET要求なりを出す必要があります（サイトのURLがHTTPの必要あり）
それと、HTTPで来たリクエストをFortiGateが受けてHTTPSでリクエストする機能は無かったように記憶しています
バーチャルサーバのSSLオフロードの逆みたいな感じですね（これもできなかったような記憶）
そしてプロキシとして使う場合はASICオフロードは効かないのでパフォーマンスも下がりますね
596 ：anonymous@fusianasan：2021/12/13(月) 16:09:44.24 ID:???.net: 例えば5555 -> 80でフォワーディングする時って
ポリシーで許可するポートって5555でいいの？それともフォワーディングした後の80にするの？
597 ：anonymous@fusianasan：2021/12/13(月) 20:13:33.61 ID:???.net: 試せばいいのでは？
598 ：anonymous@fusianasan：2021/12/13(月) 21:25:19.71 ID:m6rSBtT9.net: カタログのSSLスキャンのスループット凄いと思ったけど
これIPS有効のみの数値？
599 ：anonymous@fusianasan：2021/12/14(火) 20:53:54.59 ID:???.net: >>596
後
600 ：anonymous@fusianasan：2021/12/14(火) 21:27:02.56 ID:???.net: >>599
ありがとう
601 ：anonymous@fusianasan：2021/12/15(水) 13:24:46.12 ID:???.net: さくらいんたのJPRS 990円 SSL証明書って問題なく使えますよね?
602 ：anonymous@fusianasan：2021/12/15(水) 17:26:38.24 ID:???.net: 用途によるかと
603 ：anonymous@fusianasan：2021/12/16(木) 15:01:24.19 ID:???.net: 7.02です。DoH有効にしてたら、定期的にネットが遮断されてFortigateの管理ページにもつながらなくなります。
偶然フリーズする直前にログインしてたら、メモリが足りないというようなことが表示されていたのですが、
DoHの機能はまだベータ提供ということなのでしょうか？
604 ：anonymous@fusianasan：2021/12/17(金) 04:12:46.97 ID:???.net: SSL-VPNでプールアドレスを/24で設定してるんだけど
接続と切断を繰り返すとトンネルIPアドレスを受け取れませんってエラーでて接続できなくなるんですけどどうしてでしょうか？？

Fortiを覗いてみる限り何故かセッションが切れずにずっと繋がったままになっててアドレスを握ってるみたいなんですけど
クライアントで接続切った時にセッションも同時に落とす(tunnel-downさせたい)設定とかって無いんでしょうか？？
アイドルタイムアウト自体はデフォルトの5分にしてあります
605 ：anonymous@fusianasan：2021/12/17(金) 04:19:05.44 ID:???.net: SSL-VPNで付与したIPアドレスをVPN接続切れても開放しないバグがあったようなので問い合わせ or バージョンアップしてみるといいかも
606 ：anonymous@fusianasan：2021/12/17(金) 05:27:10.42 ID:???.net: >>605
ありがとうございます
バグなんですねこれ……結構致命的な気がしますけど……
OSのバージョンアップしてみます
607 ：anonymous@fusianasan：2021/12/17(金) 06:15:51.97 ID:???.net: >>605
かさねがさねすみません
そのバグについてのレポートみたいなのってどこかにあったりしますか？
608 ：anonymous@fusianasan：2021/12/17(金) 08:20:42.70 ID:???.net: 普通はリリースノートを読むと思う
609 ：anonymous@fusianasan：2021/12/17(金) 09:13:42.63 ID:???.net: それが見当たらないから聞いてるんですが^^;
610 ：anonymous@fusianasan：2021/12/17(金) 11:39:08.55 ID:???.net: ちゃんと読んでたら見つかるよ
がんばれ
611 ：anonymous@fusianasan：2021/12/17(金) 13:50:34.86 ID:???.net: >>604
SSL-VPNポータル編集で以下チェック入れてもダメ？

ユーザを一度に単一のSSL-VPN接続に制限する
612 ：anonymous@fusianasan：2021/12/19(日) 03:54:09.59 ID:???.net: >>611
試してみます。
613 ：anonymous@fusianasan：2021/12/21(火) 06:04:09.27 ID:???.net: >>611
チェック入れた後再起動で上手くいきました、ありがとうございます。
別にチェック入れることに支障はないんですけど酷いですねこれ
614 ：anonymous@fusianasan：2021/12/21(火) 16:30:00.65 ID:???.net: >>613
別にひどくねぇよ
615 ：anonymous@fusianasan：2021/12/21(火) 17:46:26.55 ID:???.net: ひどいよ
616 ：anonymous@fusianasan：2021/12/22(水) 14:50:13.08 ID:???.net: なんや？
617 ：anonymous@fusianasan：2021/12/22(水) 15:20:00.82 ID:???.net: >>611
一旦よくなったと思ったんですけどやっぱりダメでした
接続と切断を繰り返すうちに一ユーザだけで何十個もアドレス握っちゃってますね
枯渇した後も以前のセッションが残っていれば既存のセッションを切断して接続しますか？のダイアログがでるようにはなりましたけど新規ユーザはどうしようもないですね

酷いですねこれ(笑)
618 ：anonymous@fusianasan：2021/12/22(水) 16:45:55.51 ID:???.net: >>617
家の（FortiOS7.03）で試してみたけどそんな症状が出ないなぁ
FortiOSとFortiClientのVersionって何使ってます？
619 ：anonymous@fusianasan：2021/12/23(木) 11:23:43.58 ID:???.net: >>618
7.01ですね
Clientは最新のものです
620 ：anonymous@fusianasan：2021/12/23(木) 23:26:42.17 ID:???.net: うちもtokenと50E/SSL VPNつかってるけどそんな症状でないなぁ
621 ：anonymous@fusianasan：2021/12/24(金) 02:56:44.36 ID:???.net: 情報共有どうもです
IPoEで繋げてるのがいかんのですかね……
アドレスプールにv6もいれた方がいいとかあったりします？？
622 ：anonymous@fusianasan：2021/12/24(金) 07:33:07.99 ID:???.net: 7.01か
6系ではどこもそんな症状無いなぁ
個人的にはそんなβテスター向けリリース使うからだと思うが…
623 ：anonymous@fusianasan：2021/12/24(金) 09:26:17.89 ID:???.net: >>622
Fortigateの最新バージョン系統はバグ多いよね
複数メジャーバージョンある場合は本番環境は安定バージョン選ぶよね
624 ：anonymous@fusianasan：2021/12/24(金) 09:34:58.11 ID:???.net: >>622
ありがとうございます
バージョンですかね……？取り敢えず最新にはあげてみます
625 ：.：2021/12/24(金) 21:53:59.57 ID:???.net: 1年毎にアップデート出るけどさー
テストしたんか?
って感じのが初期はアルアルだわ
known issueが育つまで
待って考えてるわｗ
626 ：anonymous@fusianasan：2022/01/17(月) 21:58:28.05 ID:4D5CD1yM.net: 60Fでも、やっぱしpppoeは、遅いんやろか？

200Eでは、それなりにスピードでてる。
200EのCPUは、Celeron G1820 2.7GHz
627 ：anonymous@fusianasan：2022/01/17(月) 22:01:15.43 ID:4D5CD1yM.net: ちなみに100Dは、Atom D525 1.8GHz
だった
628 ：anonymous@fusianasan：2022/01/18(火) 01:11:01.48 ID:???.net: 50EだけどPPPoEで700Mbps出てるよ
もうこれ以上はフレッツ側が限界な気がするけど
700Mbps出てるときもCPU使用率50%くらいだったな
629 ：627：2022/01/18(火) 08:58:33.57 ID:nwoV9p1/.net: >>628
ありがとう。
スピードはでてるが、CPU負荷は高いですね。
630 ：anonymous@fusianasan：2022/01/21(金) 12:13:25.04 ID:???.net: >>628
ちな、セキュリティ機能なしのポリシー利用でpppoeで700mでてcpu50パーってことですか？
631 ：anonymous@fusianasan：2022/01/21(金) 12:28:42.36 ID:???.net: >>630
IPSとAppコントロール(モニタリングのみ)を有効にして700Mbps出た時にCPU50%
632 ：anonymous@fusianasan：2022/02/07(月) 13:20:09.11 ID:???.net: Windowsでhostsファイルイジる代わりに、Fortigateに設定することってできるの？
DNSエントリに登録すれば良さげだけど、DNSゾーンとかが分からない…
633 ：anonymous@fusianasan：2022/02/07(月) 13:24:47.52 ID:???.net: >>632
Workgroup運用でドメイン名がないんだけど、エントリにホスト名とIPアドレスを指定すると、FQDNにドメイン名が補完されちゃう。（とりあえずドメイン名はworkgroupにしてみた）
634 ：anonymous@fusianasan：2022/02/07(月) 14:12:02.97 ID:???.net: TLDがworkgroupのオレオレドメインで運用するなら
fortigateにDNSゾーン作って（fortigateがTLD管理出来るかは知らない。出来なければ適当にドットを1つ以上含むドメインに変更して）、
Windows側はTCPIP設定の詳細設定のDNSタブの検索DNSサフィックスに作ったDNSドメイン記載しとけば
名前解決時に補完（例えばping host1とコマンド打てば、host1.workgroupでDNS問い合わせ）してくれる。
635 ：anonymous@fusianasan：2022/02/11(金) 14:16:46.74 ID:???.net: オリジナルの業務アプリケーションの通信記録を取るために、
簡単なカスタムアプリケーションシグネチャーを登録したいのですが、
「変更を保存できませんでした」と表示され登録できません。
Fortigate-60E FortiOS v7.0.4 build0301 (GA)
バーチャルワイヤーペアで通信を監視中、プロキシベース、SSL deep-inspection。
クライアントPCのWindows10のルート証明書にFortinet_CA_SSLを登録済みです。

ポリシー＆オブジェクト＞ファイアウォールバーチャルワイヤーペアポリシーで、
設定したセキュリティプロファイル APP Defaultを設定しました。
ログ＆レポート＞アプリケーションコントロールで、
宛先IPアドレス(ホスト名)と、アプリケーション名が見られる状態です。
ttps://help.fortinet.com/fortiproxy/11/Content/Admin%20Guides/FPX-AdminGuide/700_Security-Profiles/720_CustomSignatures.htm
を見て、カスタムアプリケーションシグネチャを登録しようとしているのですが、
「変更を保存できませんでした」と表示され登録できません。

簡単に
F-SBID (--name "Original_App" ; --service HTTP; )
としても、登録できないため、シグネチャの構文エラーではないと思われます。
どの辺をいじるとよいか、お分かりの方、よろしくお願いします。
636 ：anonymous@fusianasan：2022/02/11(金) 19:54:06.29 ID:???.net: forticlientを使用したipsec VPNで日本国内のみからの接続に制限したいのですがうまく行きません。
どなたか成功してますか？
637 ：anonymous@fusianasan：2022/02/11(金) 20:50:26.43 ID:???.net: >>636
グローバルが一つだと外部に晒したipにポリシーを当てることができないので無理かも。
グローバルが複数なら、一つを外部インターフェースにもう一つをループバックにして、その間の通信に国内のipだけを透過ルーティングするポリシー書いて、ループバックに振ったグローバルでipsecを受けるみたいなことをする必要があったと思います。
638 ：anonymous@fusianasan：2022/02/11(金) 21:11:04.42 ID:???.net: >>637
回答ありがとうございます。
こちらのサイトですね

https://milestone-of-se.nesuke.com/product/fortigate/secure-ipsec-vpn-config-sample/

私のの環境ではwan側はpppoeで取得したグローバルipを使用するのですがその場合は無理という事でしょうか？
639 ：anonymous@fusianasan：2022/02/11(金) 23:14:06.50 ID:???.net: >>638
ip1個しか割り当てられないのはpppoeでもdhcpでも固定でもipsecではポリシーかけられないですね。
ssl-vpnならできるけどそれではダメですか？遅い？
640 ：anonymous@fusianasan：2022/02/12(土) 00:15:31.35 ID:???.net: >>638
LoopbackとバーチャルIPの組み合わせでできる
641 ：anonymous@fusianasan：2022/02/12(土) 05:28:48.74 ID:???.net: >>639
ipsecご要望でして・・・

>>640
バーチャルipにて内部に転送をかけるポリシーに日本ipのみみたいな感じでしょうか？
642 ：anonymous@fusianasan：2022/02/12(土) 09:20:12.16 ID:SVd28TV9.net: >>636
https://community.fortinet.com/t5/FortiGate/Technical-Tip-Restrict-VPN-access-to-certain-countries/ta-p/192328
643 ：anonymous@fusianasan：2022/02/12(土) 10:16:16.95 ID:???.net: >>642
なるほどこっちでもいけそうですね。
やってみます！
皆さんありがとう！
644 ：anonymous@fusianasan：2022/02/12(土) 11:49:01.46 ID:???.net: local in policyて自分で追加できるのか
いい情報貰った
645 ：635：2022/02/17(木) 20:46:45.30 ID:???.net: >>635
FortiOS v7.0.4 で、カスタムアプリケーションシグネチャーを登録、
どなたかできた方いませんか。
646 ：anonymous@fusianasan：2022/02/19(土) 03:00:36.10 ID:Zudi2d7X.net: もしどなたかわかる方いらっしゃれば教えて頂きますでしょうか

■スタティックルート
　0.0.0.0/0 wan2
■バーチャルIP
　wan1宛　⇒　DMZ1宛
上記環境で、wan1宛に外から来た通信をwan2ではなくwan1に返す為に
以下設定を追加したのですが、上手くいきませんでした
■ポリシールート
　着信インターフェース：DMZ1
　宛先GW：wan1のGW

一方で以下設定を追加した場合は上手くいきました
■スタティックルート
　"wan1に通信してきた外部のアドレス"　"wan1のGW"

上記ポリシールートで通信がうまくいかないい理由はどんな事が考えられるでしょうか？
647 ：anonymous@fusianasan：2022/02/19(土) 10:33:38.79 ID:???.net: RPFチェックとかじゃないですかね
648 ：anonymous@fusianasan：2022/02/19(土) 13:51:37.23 ID:???.net: >>646
同じようなことをやろうとして苦労した記憶があります。
自分は結局pbrはあきらめて、
646の構成で言うwan1先にいるルータ側でnaptさせて、
外部ipをwan1の持つipと同セグ(直接接続ルートになるのでスタティックルートもPBRも記載不要になる)に変換させることで対応しました。
649 ：anonymous@fusianasan：2022/02/19(土) 13:58:25.39 ID:???.net: 上記はwan1先にルータがいて自由にさわれることが前提の場合の話です。
また、ルーティング記載不要と書きましたがそれはwan1側の話でwan2側のdgwはもちろん必要です。

あと>>500で自分が似たような質問しているので
参考になるかは微妙ですがどうぞです。
650 ：anonymous@fusianasan：2022/02/19(土) 16:20:21.71 ID:???.net: ポリシルートを設定するときにはその宛先に対するルーティングテーブルがあることが必要ですがそこは大丈夫でしょうか
651 ：anonymous：2022/02/19(土) 18:33:15.67 ID:???.net: PBRするときはその先にルートがある必要があるから、WAN1とWAN2それぞれに
0.0.0.0/0があるように書いてAD値をWAN2が小さくなるように設定したうえで
PBRすると動くと思うよ。
652 ：anonymous@fusianasan：2022/02/19(土) 18:40:24.80 ID:Zudi2d7X.net: 回答くださった皆さんありがとうございます
教えて頂いた情報を参考に再度設定してみようと思います

>>647
RPFチェックという仕組みも有るんですね

>>648
>>649
wan1先ルータでのNAPTは盲点でした
ルータの設定変更について検討してみます
過去の質問回答も参考になりました

>>650
wan1宛のルーティングテーブル無いです…
ポリシールートだけでルーティングしてくれるものと勘違いしてました
wan1宛のデフォルトルートも作成して、プライオリティ値をwan2宛の
デフォルトルートよりも高くする事をまずは試してみたいと思います
653 ：anonymous@fusianasan：2022/02/19(土) 18:45:57.17 ID:Zudi2d7X.net: >>651
助言ありがとうございます
AD値で優劣をつける方法と
AD値は同じにして、プライオリティ値で優劣をつける方法では
どちらが良いとかありますでしょうか？
654 ：anonymous@fusianasan：2022/02/19(土) 23:51:59.12 ID:???.net: プライオリティのほうが良いです
ADだとベストパスが消えない限り次点のパスは有効にならないはずなんで
655 ：anonymous@fusianasan：2022/02/20(日) 07:16:31.03 ID:???.net: 自分ならwan1とwan2でvdom分けます。
そうすればwan1がpppoe＝ダイナミックゲートウェイの場合でも問題なし。

今回はルータ渡しのようですが、pbrではダイナミックゲートウェイで書けなかった記憶が。

もちろんvdom間を適切に繋いであげる必要があります。
656 ：anonymous@fusianasan：2022/02/23(水) 17:02:09.13 ID:X0QQHK08.net: FortiClientVPNでIPSEC接続時に、
クライアント証明書認証はできるのでしょうか。
（できればRadiusを使用したい）

FortiClientVPNには、クライアント証明書を指定する項目があるのですが、
FortiGateのIPSECの認証設定では、"事前共有鍵"か"シグネチャ"しか選択できないので、
もし、ご存じのかたがいらっしゃれば教えていただけないでしょうか。
657 ：anonymous@fusianasan：2022/02/23(水) 18:22:16.10 ID:???.net: >>656
可能です
https://docs.fortinet.com/document/fortigate/6.4.8/administration-guide/443323/dialup-ipsec-vpn-with-certificate-authentication
658 ：anonymous@fusianasan：2022/02/23(水) 22:42:07.58 ID:0I80hVM+.net: >>654、655
他ご回答下さった皆さんありがとうございます
スタティックルート追加、プライオリティ値調整で無事行いたい事ができました
659 ：anonymous@fusianasan：2022/02/24(木) 00:12:04.70 ID:???.net: 良かったです！
660 ：anonymous@fusianasan：2022/02/24(木) 16:58:40.47 ID:GXVHCnRd.net: >657
ご回答ありがとうございます！
週末試してみます。
661 ：anonymous@fusianasan：2022/02/26(土) 13:39:55.49 ID:???.net: すみません、fortigate詳しい方にお聞きしたいのですがDHCPv6-PDの再移譲って最新の60Fとかであれば出来ますかね？
フレッツ光ネクストのひかり電話有りの契約で上位WANルーターから/58でもらったprefixを
fortigateで受けて配下のコアスイッチに/60などで再移譲したいと考えています
同じような構成で出来ている等の情報ありましたら教えて頂けると助かります
662 ：anonymous@fusianasan：2022/02/26(土) 16:10:03.97 ID:???.net: このあたり見て試してみるとかでしょうか
https://docs.fortinet.com/document/fortigate/6.0.0/handbook/800956/dhcpv6
663 ：anonymous@fusianasan：2022/02/26(土) 18:44:12.65 ID:???.net: 情報ありがとうございます！
手元にまだ実機がないので届き次第上のURLを参考に設定してみます
664 ：anonymous@fusianasan：2022/02/27(日) 19:35:14.46 ID:???.net: Fortigateでアルテリアのクロスパス使う方法知りませんか？どうも上手く接続出来なくて…
665 ：anonymous@fusianasan：2022/02/27(日) 22:02:52.41 ID:KJiUiy31.net: >>664
Fortigate 楽天ひかりで検索
666 ：anonymous@fusianasan：2022/02/28(月) 15:45:35.21 ID:???.net: SSL-VPN WebモードでアドレスのIP部分をいじると
メニューに表示されてないものへもアクセスできてしまうのですが
特定ユーザーだけ
特定のアドレスのものへしかアクセスできないようにしたりは可能でしょうか。
参考になるドキュメントやサイトご存じであればおしえてください。
667 ：anonymous：2022/02/28(月) 19:18:53.59 ID:DDmEBu7f.net: >>666
出来ないと思うよ
IPアドレスじゃなくてIDベースで制御するリモートアクセスとしてIAPって製品分野が出来上がってる
zscaler ZPA, akamai EAP, netskope NPA とかそのあたり
必須要件だったらそういうの検討してもいいかもね
668 ：anonymous@fusianasan：2022/02/28(月) 20:31:04.52 ID:???.net: >>666
ポリシーを細かく分ければできないことはないはず
669 ：anonymous@fusianasan：2022/03/01(火) 18:17:40.77 ID:???.net: >>666
ユーザーグループ毎などでできるよ
670 ：anonymous@fusianasan：2022/03/03(木) 06:16:42.63 ID:Fc/N3CGb.net: トラフィックシェイパーについて、教えてください。
設定する事で、下限の帯域は確保しつつ、上限帯域に制限した通信が可能という認識で
間違いないでしょうか。

業務ネットワークと同じネットワーク内で、インスタライブ配信を実施してるんですが
ブロックノイズが出るのがどうしても気になって。
LAN⇔WANのポリシーにトラフィックシェイパー設定して、改善するもんでしょうか。

動画配信の為に、ネットワークを別にした方がいいのか、お知恵をお借りしたく。

回線はN○○PC系です。
プロバイダはIPv6非対応。
671 ：anonymous：2022/03/03(木) 09:08:42.59 ID:???.net: >>661
うちは60Eで出来てるよ。
ただPPPoEしゃべってるInterfaceでは定義はできるんだけど何をやっても動かず、
2ポートをONU側に接続して片方はPPPoE用、もう片方をDHCPv6-PD用として使ってる。
672 ：anonymous@fusianasan：2022/03/04(金) 00:47:20.21 ID:ogM+MYRV.net: 普通にWANの増速した方が良いかもしれませんね
673 ：anonymous@fusianasan：2022/03/04(金) 11:57:31.30 ID:???.net: >>671
動作情報ありがとうございます、
同じWANポートでPPPoEとの共存できないって事ですね…
674 ：anonymous@fusianasan：2022/03/04(金) 14:19:25.36 ID:SAk9nX2K.net: できるはずですが
675 ：anonymous@fusianasan：2022/03/04(金) 22:37:33.56 ID:???.net: >>672
670へのレスか？
676 ：anonymous@fusianasan：2022/03/05(土) 03:10:53.51 ID:???.net: >>670
構成がわからないからなんともいえませんがフルHDの動画であれば30Mbpsくらい常時確保できてれば問題ないんじゃないですかね
それが無理ならネットワーク分けるなりしたほうがいいように思えます
FTTHでIPoEだったら余裕そうだけど
677 ：anonymous@fusianasan：2022/03/07(月) 12:43:14.94 ID:???.net: >>676
670です。
ありがとうございます。
参考にします。
678 ：anonymous@fusianasan：2022/03/07(月) 22:56:45.57 ID:EG7Il395.net: もし分かる方いらっしゃればご意見を頂けないでしょうか
teams、googleハングアウトのようなWeb会議を行った際に、
その通信がudp_flood判定をされて、パケットが大量にドロップされている事が
ログのアノマリを見て分かりました（多いと1日数百件のudp_floodログ）

とりあえずはIPv4 DoSポリシーにて、当該通信でのudp_floodに関するアクションを
モニタとする事で対応しているのですが、これはよく有る事象なのでしょうか？
または、Fortiの設定に問題が有るのでしょうか？
679 ：anonymous@fusianasan：2022/03/26(土) 13:26:05.50 ID:???.net: 運用でfortiにポリシー追加とかやってるんだけどfortiのスキルあると思われるようになるには何すれば良い？
fortiの資格とかもあるようだが何かマイナーで評価されなそうだし
680 ：anonymous@fusianasan：2022/03/26(土) 15:43:15.60 ID:???.net: コマンドラインで設定
681 ：anonymous@fusianasan：2022/03/26(土) 19:19:08.59 ID:???.net: >>680
最近コマンドラインじゃないと設定出来ない項目いじったので触っています。
getとshowの使い分けはわかるようになりました。
682 ：anonymous@fusianasan：2022/03/28(月) 08:51:30.71 ID:???.net: terraformみたいなんで管理してIaCやってる感を出す
683 ：anonymous@fusianasan：2022/03/28(月) 09:45:55.78 ID:iCTxOPyH.net: diag使いこなす。
684 ：anonymous@fusianasan：2022/03/28(月) 21:14:13.00 ID:???.net: >>679
fortiの資格がマイナーなら、forti自体もマイナーなんだと思うがな。

cliでwebフィルタのカテゴリ設定してたら、ある意味凄いと思う
685 ：anonymous@fusianasan：2022/03/28(月) 21:15:17.92 ID:???.net: それは逆にバカにされるのでは……
686 ：anonymous@fusianasan：2022/03/28(月) 22:58:13.43 ID:???.net: CLIも良いんだけどさ
Webで設定したら10分で終わるところをCLIで1時間以上掛かってると格好悪いぞ
687 ：anonymous@fusianasan：2022/03/29(火) 22:23:16.94 ID:???.net: 食っていけるという意味でFWの将来性はどうなの

ゼロトラストとかいうのがFWやVPNは古いとうたってるみたいだが何が凄いのかよくわからん
各サーバ使う時に認証があるのは普通だろ
688 ：anonymous@fusianasan：2022/03/30(水) 09:19:18.56 ID:???.net: LAN内部は安全みたいに信頼できるとかできないに分けて考えず、ドコでも危険だから片っ端からUTM導入しておけば、有事の際にも言い訳たつって事だから…
689 ：anonymous@fusianasan：2022/03/30(水) 15:51:34.82 ID:???.net: >>688
僕は逆にUTMは減ってくるんじゃないかと思います。
LAN内部が安全ではないから全てのデータはクラウドにて管理するようになるかと思います。
オンプレ側はインターネットへの通信とクラウドへの通信さえあればいいように変わっていくのではないかと思います。
690 ：anonymous@fusianasan：2022/03/30(水) 20:20:39.51 ID:???.net: そうしたらプロバイダは従量課金にするかもね
691 ：anonymous@fusianasan：2022/04/01(金) 20:06:20.08 ID:???.net: 回線切れたら大騒ぎなのですがそれは
692 ：anonymous@fusianasan：2022/04/02(土) 01:58:38.75 ID:???.net: awsだってたまに止まるけど
まぁ仕方ないよねで済ましてる
こういうのでいいんだよ
693 ：anonymous@fusianasan：2022/04/02(土) 17:47:40.01 ID:GylSp1WA.net: 確かにな。
日本人が細かすぎるんだよ。
694 ：anonymous@fusianasan：2022/04/03(日) 00:43:13.91 ID:w6EEjOtH.net: >>689
ゼロトラスト売る側だけどこれが正解
FWやUTMで守っていたものは、今後は各PCやサーバ単位でEDR入れて守るようになる
データもオンプレに置くよりクラウドに置いて Azure AD で認証する方が安全
695 ：anonymous@fusianasan：2022/04/03(日) 10:29:42.73 ID:???.net: >>694
情報系システムはそうなんだけど、基幹系は、、、ね？
696 ：anonymous@fusianasan：2022/04/03(日) 19:44:41.49 ID:w6EEjOtH.net: >>695
時間の問題かなあって思ってる
銀行ですら勘定系をAzureに持ってって、お国もクラウドファースト言ってGSS持ってく算段してる時代だもの
Fortigate とかこの手のアプライアンス触って飯食ってる仕事の給料が下がることはあっても上がることはないよねー
697 ：anonymous@fusianasan：2022/04/04(月) 12:59:44.10 ID:???.net: それ以上はいけない
698 ：anonymous@fusianasan：2022/04/04(月) 23:40:40.92 ID:???.net: >>694
将来はそうなるとは思うんだけど…。

現状、EDR入らないネットワーク機器やら複合機とかIoT機器の脆弱性はどう防御できる筋書きでお話してるんかなぁ…。
そのへんがまず突っ込まれると思うんだけんど、どう詰めてますか？

恥ずかしい質問かもね。すまん
699 ：anonymous@fusianasan：2022/04/05(火) 23:04:20.63 ID:???.net: EDRって感染した後の挙動を止める事後対応じゃないのか？
なんかイマイチパッとしないように見えるけど進んでいる技術なのか？
700 ：anonymous@fusianasan：2022/04/05(火) 23:10:57.80 ID:???.net: 挙動とかを監視してる分、従来のパターンファイルで引っ掛けるだけのアンチウイルスよりは進んでると言えるんじゃない？
701 ：anonymous@fusianasan：2022/04/06(水) 00:18:22.94 ID:4CdjqIvg.net: >>698
凄く初歩的なところで言うと、アプライアンスでどうにかなるもんじゃなくて脆弱性守るのってパッチ当てるしかないからね
Fortigate の脆弱性守ってくれるのは誰？ってなるじゃん
まあ、そこら辺の機器だと基本は SIEM/SOAR の領域になるかね
702 ：anonymous@fusianasan：2022/04/06(水) 00:21:11.24 ID:???.net: >>698
IoTだとAWS IoT Device Defenderというクラウドの監視サービスがあるようです。
703 ：anonymous@fusianasan：2022/04/06(水) 19:39:15.28 ID:???.net: >>701
そーゆーお話だとまだEDRだけは難しいのかなぁ

セキュリティ機器はパッチ適用は当然として。社内に転がってる全IoT機器をこまめにアップデートするのは多くの会社で現実的ではないしね。
UTMのIPSパターンファインで、いろんなIoT機器の脆弱性を突く通信があった場合検知してくれるしね
704 ：anonymous@fusianasan：2022/04/06(水) 20:25:46.17 ID:???.net: >>699
ファイルそのものは検出しなくてもランサムウェアのプロセスを検知して暗号化実行をブロックしたりするかと　＞　EDR
705 ：anonymous@fusianasan：2022/04/07(木) 19:17:13.66 ID:kZDOJ/6x.net: >>703
社内に転がってるIoT機器が外から自由に突かれるってどういうアーキテクチャなん？
根本から色々理解が浅い気がすんだが
706 ：anonymous@fusianasan：2022/04/07(木) 23:54:12.38 ID:???.net: >>705
ゼロトラストだからじゃね
707 ：anonymous@fusianasan：2022/04/08(金) 00:22:24.33 ID:???.net: 外から自由に突かれるって話はどこから出てきたんだろう・・・
708 ：anonymous@fusianasan：2022/04/08(金) 01:06:18.92 ID:M3VTMrgi.net: >>706
ん？実装箇所がアプライアンスなのか組み込みLinuxのFirewallかはともかくとして、
ゼロトラストはわざわざ他所からの通信許可しておくことを推奨してるわけじゃないぞ
709 ：anonymous@fusianasan：2022/04/08(金) 01:11:48.14 ID:???.net: 要はUTM業者の飯の種としてはしばらく必要ってことでしょ

カメラとかのIoT機器はONU時点で別として社内LANには物理的に入らない設計の要求増えそう
複合機はインターネット出なくてもいいよなってなったり
710 ：anonymous@fusianasan：2022/04/08(金) 08:57:58.85 ID:???.net: まず社内への人間の出入りを禁止しないと…
711 ：anonymous@fusianasan：2022/04/08(金) 20:33:43.72 ID:???.net: そもそも上司へのゼロトラストなんて何10年も前から実践している
712 ：anonymous@fusianasan：2022/04/08(金) 20:43:31.83 ID:???.net: >>711
Untrustじゃないのか
713 ：anonymous@fusianasan：2022/04/08(金) 21:54:34.23 ID:???.net: httpsの通信が主流なのに、アンチウイルスできます！とか大爆笑。どうやってるんですかね？
714 ：anonymous@fusianasan：2022/04/08(金) 22:42:28.86 ID:???.net: >>713
ディープインスペクションでhttpsでもアンチウイルスは効くだろ
パフォーマンスは知らん
715 ：anonymous@fusianasan：2022/04/11(月) 19:49:05.13 ID:???.net: >>713
これって常駐してるアンチUTMの人だから、ほっといた方がいい
716 ：anonymous：2022/04/11(月) 23:36:27.07 ID:???.net: UTM でわざわざアンチウィルスやる意味ってもう無いだろ
717 ：anonymous@fusianasan：2022/04/27(水) 22:16:54.37 ID:D+1xj+KI.net: 初心者で恐縮なのですが、
以下のサイトのとおり、fortigate＋楽天ひかり回線で、ipv4 over ipv6接続をしたいです。
機種選定でおすすめがあれば教えて頂けないでしょうか。（中古でコスパ良だと助かります）
https://naitwo2.hateblo.jp/entry/FortiGate-DS-Lite
718 ：anonymous@fusianasan：2022/04/28(木) 16:58:20.24 ID:???.net: 性能の指標が無いと選べなくない？
OSを7系に上げなくて良ければ家庭用ならば50Eくらいで十分じゃないかな？

ライセンスが無いと普通はOS上げられないしシグネチャーも受け取れない
ちょっと高機能なルーターになっちゃいますが
719 ：anonymous@fusianasan：2022/05/02(月) 18:43:04.40 ID:???.net: 6.4.9 でったんだねー

でも、6.4.8 が入ってるけど
6.4.9 への有効なアップグレードパスがあれへんってメッセージでとるわ
720 ：anonymous@fusianasan：2022/05/03(火) 00:09:14.60 ID:???.net: >>719
中間パス無しで一回でアップグレード出来る場合もそう出る気がする

気になるならUpgrade Path Toolで調べれば確実だよ
721 ：anonymous@fusianasan：2022/05/03(火) 20:48:34.46 ID:RqN1DD7p.net: 以下サイトを参考に、
fortigate60E(ver7.0.2)を利用したDS-Liteのインターネット接続を構築しています。

https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-internet-multifeed-ipoe-fixed-ip_fos702.pdf

インターネットアクセス確認まではOKとなっているのですが、
iphone(×3台)が接続できない事象が発生しています。
他のwinPC端末や、google機器や、alexa機器などはインターネット接続が出来ているのですが...
iphoneの通信をパスする設定等で思いつくものはありますでしょうか。
722 ：anonymous@fusianasan：2022/05/04(水) 02:26:50.46 ID:???.net: 100Dです。通信量が増えるとダッシュボードのCPU使用率が1コアだけ100%に張り付くんですけど原因や調査方法がわかる方いますか？他の3コアは25%ぐらいで負荷が偏り過ぎてます。。
723 ：anonymous@fusianasan：2022/05/04(水) 20:51:55.28 ID:???.net: >>722
PCと同じような挙動なので特におかしくないんじゃないかな
724 ：anonymous@fusianasan：2022/05/04(水) 23:49:13 ID:???.net: >>721
OKとNGは具体的に書かないと誰もわからない

>>722
100Dは実コア2つだからただの使いすぎじゃない？
725 ：anonymous@fusianasan：2022/05/05(木) 00:32:27.13 ID:XFsuvO4w.net: >>724
iphoneだけが、インターネットに接続出来ないという事象になります。

インターネットアクセスOK⇒windowsPCやAlexaやgoogle機器

インターネットアクセスNG⇒iphoneのみ

※構成
ONU⇔fortigate⇔無線AP⇔クライアント端末群
726 ：anonymous@fusianasan：2022/05/05(木) 00:59:55.30 ID:???.net: >>725
デバイスインベントリにiphoneはいるか？
いるのならiphoneをwifiに継いだ状態で他の機器（Windowsとか）には接続できるか？
そのiphoneのIPはポリシーに入っているか？
対象ポリシーのログは確認しているか？
他のポリシー（暗黙等）、UTMポリシーでDropしていないか？

それにiphone使ってないから何とも言えないけどPingとかlookup出来るアプリってないの？

ヒントがおおざっぱ過ぎてエスパーでないと回答に困るな。
727 ：anonymous@fusianasan：2022/05/05(木) 02:51:21.47 ID:???.net: mssの設定はちゃんとしてる？
728 ：anonymous@fusianasan：2022/05/05(木) 09:41:22.09 ID:???.net: iCloud プライベートリレーとかそのへんかな。
うちのやつのログに何か記録されていたような覚えがあるが気にしてなかった。
729 ：anonymous@fusianasan：2022/05/05(木) 12:24:24.03 ID:???.net: プロキシモードとフローモードのどっちをみんな使っているの？
10MB以上検査出来ないならフローモードの方がマシだと思うんだがプロキシモードの最大値を変えてるのか？
730 ：anonymous@fusianasan：2022/05/06(金) 10:20:13.11 ID:???.net: >>725
何一つ具体的になってなくて草
731 ：anonymous@fusianasan：2022/05/06(金) 10:24:06.38 ID:???.net: >>728
エスパーだと先に気になるのはMAC randomizationの方かな。
732 ：anonymous@fusianasan：2022/05/06(金) 17:46:11.82 ID:???.net: >>725
エスパーするとiPhoneが機内モードになってるんじゃないかな
733 ：anonymous@fusianasan：2022/05/06(金) 18:36:27.04 ID:???.net: >>725
なんちゃってエスパーだけどiPhoneのアドレスを固定にすると直るんじゃないかな。
734 ：anonymous@fusianasan：2022/05/07(土) 23:10:44.76 ID:JOLGsOfK.net: エスパーの皆さま情報不足ですいません。
iosの設定をいじったらインターネットに繋がるようになりました。ありがとうございました。

ただ、windowsはv6で接続出来ているのですが、
iphoneのみv4接続しかできない事象にハマりました。

iphoneのネットワークをみると、v6のアドレス（DNS含む）は貰えてるのですが、結局未解決です…
735 ：anonymous@fusianasan：2022/05/07(土) 23:26:13.66 ID:JOLGsOfK.net: そもそもiphoneからv6アドレスにpingが通らない…
736 ：anonymous@fusianasan：2022/05/07(土) 23:29:22.15 ID:???.net: ポリシー書いてないだけでは？
737 ：anonymous@fusianasan：2022/05/07(土) 23:44:19.95 ID:???.net: 構成図も情報も殆どなくて困ってますって話しかしないなら解決はしなさそうだね
738 ：anonymous@fusianasan：2022/05/08(日) 02:44:20.80 ID:TWmG/BXr.net: >>736
fortigateーAPーwin端末やiphone

AP接続ポート⇆WANポートは、
anyで許可ポリシー入れてます。
iphoneだけv6が見えないんですよね

再度ポリシー見直してみます。
739 ：anonymous@fusianasan：2022/05/08(日) 02:54:13.36 ID:???.net: >>734
無線APのせいじゃないの？
それにしてもほんっと情報出さないねｗ
740 ：anonymous@fusianasan：2022/05/08(日) 09:49:13.88 ID:???.net: AP接続ポート、WANポート間がAnyってやばくねｗ
741 ：anonymous@fusianasan：2022/05/09(月) 21:27:22.06 ID:???.net: FWって1000個ぐらい拒否IPアドレス設定しても負荷大丈夫？
742 ：anonymous@fusianasan：2022/05/09(月) 23:04:34.62 ID:???.net: そんくらいじゃ問題ないけど良く来る所はマスクで締めた方が良いし、GioIPで閉めるのも考慮した方が良いと思う。
743 ：anonymous@fusianasan：2022/05/09(月) 23:10:11.43 ID:???.net: >>742
サンクス
744 ：anonymous@fusianasan：2022/05/11(水) 21:08:00.69 ID:???.net: ライセンスの期限が25年1月までのものがあるんだが
同一モデルで今年ライセンス切れるやつがあって
期限長い方の権利でファーム取得して
期限切れのモデルに入れるとかできるのかな。
ファームに日付埋め込まれてて照合でダメって言われるやつかな?
745 ：anonymous@fusianasan：2022/05/12(木) 00:31:42.60 ID:???.net: >>744
ライセンス違反だけど入るし動く。
746 ：anonymous@fusianasan：2022/05/12(木) 10:12:17.12 ID:???.net: ファーム(OS)の更新は可能
シグネチャーの更新やWebフィルタは利用不可だよ
747 ：新人君：2022/05/14(土) 04:20:13.54 ID:/H9rvSVD.net: エスパーの皆様
FortiGate transparent modeについて質問させて下さい。
transparent modeでは、L2として動作するのでルーティングは出来ない認識でいます。

そこで質問なのですが、transparent modeでもCLIでStatic route 設定可能なようなのですが、
transparent modeで、Static route の使い道が分からず・・

PC(192.168.1.1)から1.1.1.1に通信させたい場合、transparent modeで実現できるかをご教示頂きたく。
なお、PCに設定しているゲートウエイは、192.168.1.254で、PCにスタティックルート設定はなしが条件となります。
.1 .10 192.168.1.254/24
PC--------FG---------RT1
|
| 192.168.1.253/24
RT2
| 1.1.1.1/32
748 ：新人君：2022/05/14(土) 04:21:52.53 ID:/H9rvSVD.net: すみません、構成図がずれてました・・・
.1 　　　　.254　　　　
PC--------FG---------RT1
　　　　　|
　　　　　| 192.168.1.253/24
　　　　　RT2
　　　　　| 1.1.1.1/32
749 ：新人君：2022/05/14(土) 04:24:12.83 ID:/H9rvSVD.net: ずれちゃう・・・
RT1　192.168.1.254/24
RT2　192.168.1.253/24
RT2　1.1.1.1/32(loopback)
です。。連投すみません。
750 ：anonymous@fusianasan：2022/05/14(土) 08:29:39.03 ID:???.net: Transparentモード使った事ないから知らんけど（じゃぁ答えるなって言われそうやけど）
普通に考えるとそれはFortigate自信がip通信する際に参照するルーティングテーブルじゃないの？

fortigateまたぐL2通信に関係無いやろ？
751 ：anonymous@fusianasan：2022/05/14(土) 10:02:38.43 ID:???.net: 管理用IPのルートだね
752 ：anonymous@fusianasan：2022/05/14(土) 13:45:19.50 ID:???.net: ルーター間が通信できていればポリシーが許していれば通信可能ですよ

FGTのルーティングは他の人が書いている様に管理用
普通の環境だとFGTがインターネットに出られないとシグネチャーが更新できないからデフォルトルートを設定するよ
753 ：新人君：2022/05/14(土) 14:00:59.96 ID:/H9rvSVD.net: エスパーの皆様

有難うございます！
754 ：anonymous@fusianasan：2022/05/14(土) 14:18:08.37 ID:???.net: 必要な設定をなしが条件となりますって言われても…
エスパーの皆様って煽りもやめたほうがいいよ。
755 ：aho：2022/05/14(土) 14:44:27.47 ID:???.net: NAT使えよNAT
756 ：anonymous@fusianasan：2022/05/14(土) 19:57:41.86 ID:???.net: >>747
他の方が回答出しちゃってますが
試しに構成を作ってみました。

RT1はFGTのWAN側でRT2はLAN側のポート接続ですよね？
RT1に1.1.1.1向けのルーティングがあれば繋がりますね。

また、FGTのルーティングをRT2向け、PCのデフォルトGWをFGTしてもPCから1.1.1.1繋がらないので、他の方がおっしゃってる通りFGTのルーティングはFGT本体の通信用ですね。
757 ：新人君から進化した：2022/05/20(金) 19:16:36 ID:XkQ5QeX7.net: >>756
求めいていた回答です。
PCでFortigateをゲートウエイにしても1.1.1.1に繋がらないのですね。

トランスペアレントの場合、完全にFrotigate自身のルーティングであること、理解できました。

ｱｻﾞﾏｽ。
758 ：anonymous@fusianasan：2022/05/22(日) 14:34:48.80 ID:???.net: 少し質問させたください。

少し特殊な環境での構成になるのですが、
WAN接続の無いfortigateのLANポート(192.168.0.1)に、
WAN接続のあるRT①(192.168.0.11)と、
同じくWAN接続のあるRT②(192.168.0.12)が接続されています。

fortigateのデフォルトルートはRT①に向いており、
fortigate自身のDNSやfortiguard等の通信を含め、全てRT①経由でWANに抜けて行きます。
そこまではいいのですが、
RT②ではRT②のWAN(pppoe)に外部から着信したhttp,https,icmpのパケットを
静的NAPTでfortigate(192.168.0.1)に転送するように設定されています。
しかしこのままでは、fortigateは返信パケットをデフォルトルートに従いRT①(192.168.0.11)に送信してしまいます。

何とかしてfortigateから発信する一部のプロトコル、ポートを持った通信をデフォルトルート以外に転送することは可能でしょうか。

PBRで色々試してみましたが上手くいきません。
759 ：anonymous@fusianasan：2022/05/22(日) 16:39:49 ID:???.net: >>758
vdomで分けるのはダメですか？
760 ：anonymous@fusianasan：2022/05/22(日) 17:53:44.26 ID:???.net: >>758
SD-LAN？として、LAN側インターフェイスをsd-wanインターフェイスにぶちこんで。
sdwanルールで書くとかどーお？
761 ：anonymous@fusianasan：2022/05/22(日) 18:51:49.18 ID:iiGUU5Gm.net: >>758
Fortigateというより一般的な戻りルートの問題なので
この場合RT①と②では一般的な静的NAPT(Fortigate LAN1に着信するパケットは送信元IPがグローバルIP)ではなく
Ciscoでいう双方向NAT(Fortigate LAN1に着信するパケットは送信元IPが192.168.0.11や12になる)を使うしかないと思います。
762 ：anonymous@fusianasan：2022/05/22(日) 19:05:23.87 ID:???.net: 回答ありがとうございます

>>759
FortiManagerに属してるのでVDOM使うと別途ライセンスがいるのです・・・

>>760
試してみましたがPBRと同様に設定したルール道理には動けませんでした。

>>761
たしかにNATを使ったほうが楽なのかもしれません。
動的NATか、逆側IPマスカレードで試してみます。
763 ：anonymous@fusianasan：2022/05/22(日) 19:20:30.67 ID:???.net: >>758
192.168.0.0にもう一個インターフェイスだしてSD-WANかな。
RT2のNAPT先をもう一つのインターフェイスにすれば多分RT2に帰ってくれる。
FortiManagerは触ったことないから知らん。
764 ：anonymous@fusianasan：2022/05/22(日) 22:29:43.09 ID:37JwvNHh.net: 初心者ですがlonkmonitorについて質問です

https://docs.fortinet.com/document/fortigate/6.0.0/handbook/252877/remote-link-failover
上記構成で記載の設定+左のfortigateを高プライオリティ、overrideを設定した場合ですが、障害箇所が復旧しているかに関わらずpingserver-flip-timeout 分経過すれば切り戻ってしまう認識ですが、それを止める設定は何かあるでしょうか

flip-timeout が経過した際にプライマリ選定を行い、左がプライマリに戻ってしまうため通信断が起きるのを避けたいです。
765 ：anonymous@fusianasan：2022/05/22(日) 23:05:13.57 ID:iiGUU5Gm.net: >>764
flip-timeoutを最大値2147483647min=4083年にしておけばとりあえず自動で切り戻らなくなるのでは。使ったことないけど。

切り戻したいタイミングで手動で1にして、切り戻してからまた最大値にする運用すれば目的に近いということで。。。
766 ：anonymous@fusianasan：2022/05/23(月) 00:23:36.26 ID:???.net: >>765
回答ありがとうございます。
時間長くすればその間は切り戻らないのはそうなのですが、復旧してるなら最短で切り戻したいということでして、、

あまり資料も見つからず、使われていない設定なのですかね
767 ：anonymous@fusianasan：2022/05/23(月) 00:44:16.33 ID:???.net: >>758
RT2から来る通信の送信元を絞れるなら対応可能
768 ：anonymous@fusianasan：2022/05/23(月) 02:43:57.60 ID:???.net: >>767
それって送信元のスタティック書くだけ？だったら、ここに質問しなくね？
769 ：anonymous@fusianasan：2022/05/23(月) 13:42:35.81 ID:???.net: >>767
>>768

送信元が固定ならスタティックで何とかなったのですが、動的IPなので難しいです

一応、逆NAPTでRT②のWANからくるfortigate宛のパケットの送信元をRT②のLAN側IPに変換して一応解決しました。

ありがとうございます
770 ：anonymous@fusianasan：2022/05/24(火) 12:55:18.86 ID:???.net: >>766
sdwanがあるし、linkmonあんま使われないと思う。お力になれずスマン
771 ：anonymous@fusianasan：2022/05/25(水) 22:32:24.18 ID:fsAGyccO.net: linkmonitorがどうかに頭使うより
使わんように頭と金使う方がみんな幸せな気がする
772 ：anonymous@fusianasan：2022/05/26(木) 00:11:30.08 ID:???.net: >>771
お金使うなら、誰でもできるだろ
773 ：anonymous@fusianasan：2022/05/26(木) 14:03:15.24 ID:mnA+KO/f.net: おっしゃる通りです
失礼しました
774 ：anonymous@fusianasan：2022/05/27(金) 08:41:10.67 ID:???.net: v6ブラスからのIPv6-RAをfortigateを介してLANに流しているはずなのだが、iPadだけIPv6で通信できない。IPv6グローバルアドレスは割り振られているのに…
MS-WindowsとAndroidはIPv6で通信できるのに…

iPadは何が気に入らないのだろう？
775 ：anonymous@fusianasan：2022/05/27(金) 11:48:33.41 ID:???.net: プライベートWi-Fiアドレスとか
776 ：anonymous@fusianasan：2022/05/29(日) 23:28:19.98 ID:???.net: トラシューでログとか見れない人だったら、ぶっちゃけバッファローとか使ったほうがいいっすよ
777 ：anonymous@fusianasan：2022/05/30(月) 01:28:58.10 ID:???.net: >>776
解決案も出さない癖に、他機種をすすめるような煽りするのは病院おすすめする

>>774
ドロやあいぽんで可能ならば、ipad側v6の何らかじゃないかい？fortidocsやらで探って見つかんなきゃ、キャプチャしてみるしかないな
778 ：anonymous@fusianasan：2022/05/30(月) 09:20:25.65 ID:???.net: そもそも質問なんかね
779 ：anonymous@fusianasan：2022/05/30(月) 16:11:14.90 ID:m0iFqttg.net: >>774
これ抜けなく全部やってるかチェックしては。
https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-jpne-v6plus.pdf

v6 DNSかND Proxyあたりが怪しい気がするけど。
780 ：anonymous@fusianasan：2022/05/30(月) 23:10:45.52 ID:???.net: ドキュメント読んだり、ログ見たり、パケットキャプチャ取って確認したりでやることはいろいろあるんだけど
ここで質問する人は一発で解決する答えを聞きに来てる感じだからそのあたりの解析作業をすることはほぼない
781 ：anonymous@fusianasan：2022/05/31(火) 09:27:33.00 ID:???.net: 質問自体が低レベルな奴は煽られるのが5ch
ここは煽られながら情報を得る所だ
782 ：anonymous@fusianasan：2022/06/02(木) 08:16:26.16 ID:???.net: 大原則、趣味で中古買ったなら自己解決が基本
仕事で納めるために買ったならサポートに聞くとかできるだろ、Fortiなら図研かSBだろ？
783 ：anonymous@fusianasan：2022/06/02(木) 12:30:43.05 ID:9588vqFk.net: 教えたがりがいるし、別にいいとおもうけど。ここで聞いたって。
784 ：aho：2022/06/02(木) 19:43:37.95 ID:???.net: v7.0行こうぜ
785 ：anonymous@fusianasan：2022/06/02(木) 20:41:27.89 ID:???.net: 在庫なくね？
scskとか大手からは即入できるのかな
786 ：anonymous@fusianasan：2022/06/03(金) 07:11:10.01 ID:???.net: >>785
scskで40fなら納期2週間ほど。
80fまではそれなりに在庫ありました。
値上げすごいけど。
787 ：774：2022/06/04(土) 05:05:12.64 ID:???.net: みんなありがとう

時間が取れたので調べました
とりあえず以下の事象が判明したので、サポートへ投げてみました

１．iPad のみ、wan 側の IPv6 アドレス宛に ping を飛ばすと応答パケットが Fortigate 内で止まり internal 側へ送出されない
２．iPad に割り振られた IPv6 アドレスのみ Fortigate の route table に登録されていない
　　Windows と Android に割り振られたアドレスは、"diagnose ipv6 route list" コマンドで経路情報が表示される

https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-jpne-v6plus.pdf
については、設定しているつもり
ただ、config firewall policy の srcintf と dstintf は書式が違うはずで、internal->wan1しか許してはいけないのではないかな
788 ：anonymous@fusianasan：2022/06/12(日) 09:06:01.36 ID:/TrsoRsS.net: サポートの回答はどうでしたか？
789 ：774：2022/06/12(日) 10:50:18.69 ID:???.net: バージョン7.2.0は上げすぎでサポートしないので、7.0.5に下げろとか
790 ：anonymous@fusianasan：2022/06/13(月) 01:04:54.49 ID:???.net: >>783
解決のための相談に乗ってくれる人はいる
でも、相談者は調査方法じゃなくてダイレクトに答えがほしいだけだからね
調査しないとその答えが出ないですよってことを相談者はなかなか理解してくれない
791 ：anonymous@fusianasan：2022/06/15(水) 14:52:42.21 ID:???.net: まだ日本の代理店サポートに期待してるの？
最新版には追従できず古いバージョンしかサポートできない連中だよ
792 ：anonymous@fusianasan：2022/06/15(水) 19:24:16.01 ID:???.net: Fortiの最新版はバグ多いからな
v7.2系とか現状オープンベータ版みたいなもん
何で複数メジャーバージョンでアップデート出してるのか知らん無知が増えたな
793 ：anonymous@fusianasan：2022/06/15(水) 20:48:55.32 ID:???.net: 開発したメーカーですらまともに対応出来ませんからｗｗ
794 ：anonymous@fusianasan：2022/06/16(木) 00:04:43.41 ID:???.net: >>793
メーカーですら対応出来ない問題も報告、解析してくれるコミュニティもあっての新ファームだしな
問題はメーカーに丸投げ的な考えの多そうな日本人向けではないけど
795 ：anonymous@fusianasan：2022/06/17(金) 12:24:19.17 ID:???.net: 保守無しでファーム手に入んないのかよ！
そう思うとメジャーバージョンアップすら無料のWindowsは神だな。
796 ：sage：2022/06/17(金) 13:03:43.29 ID:???.net: マルチVDOM環境でVDOM作って
配下のvdomでWebフィルタリングの詳細設定しようとすると

スタティックURLフィルタのところで
--------------------
無効なURLをブロック
URLフィルタ
FortiSandboxにより検知された悪意のあるURLをブロック
コンテンツフィルタ
--------------------
あるはずが
「URLフィルタ」と「コンテンツフィルタ」が表示されなくなるんだけどなんで？
FG50E
6.2.10 build1263 (GA)なんだけど
797 ：anonymous@fusianasan：2022/06/19(日) 11:40:48.80 ID:???.net: >>796
CLIで確認したん？
798 ：anonymous@fusianasan：2022/06/22(水) 22:32:03.85 ID:gqCCrR07.net: ちょっと教えてほしい。
FortiGateでIPSEC-VPN冗長構成を検討している。

DC側は、ISP-A,ISP-Bの２回線。RT#1,RT#2はBGPしゃべってなくて、単純に回線収容してるだけ。
拠点側FGは、DC側FGのISP-A,ISP-Bグローバル向けのIPSECピアを２つ設定。(local idをメイン、バックアップで設定)
DC側FGは、拠点向けにset peertype oneで、メイン、バックアップを設定。
DC側FGは、フローティングスタティックを使って、通常時はデフォルトルートをISP-A、障害時はISP-Bとする。
ここまではいいんだけど、ここから先が疑問。

通常時、拠点FGから、ISP-BのグローバルIPに対してVPNトンネルを張りに来た際に、VPN応答はISP-A回線経由で返してしまうはず。
そこで、FortiGate自発パケットに対してローカルPBRが実装できれば解決できると思ったんだけど、実装できなそう・・・・

こういう構成の時って、どうやるのが好ましいのかな・・
まぁ、VPNトンネル張るだけだから、ISP-A経由で戻してもそこのバックボーン内で送信元ISP-BのIPが拒否されていなければ、
問題は発生しないとは思ってるけども。
[拠点FG]
||
[インターネット]
| 　 |
| 　|
ISP-A ISP-B
| 　 |
| 　 |
RT#1 RT#2
| 　 |
| 　|
wan1 wan2
[ DC側 FG]
799 ：anonymous@fusianasan：2022/06/22(水) 23:00:38.60 ID:???.net: Router外してFGで直収すればいい
800 ：anonymous@fusianasan：2022/06/22(水) 23:36:49.18 ID:???.net: DC側FGで拠点側ISP-Bのグローバル宛ホストスートをwan2に指定する
801 ：anonymous@fusianasan：2022/06/22(水) 23:50:22.73 ID:???.net: >>798
検証はしてないから正確では無いかも知れんが
FortigateのIPSecピアは個別に出力インターフェースが設定出来るから
出力インターフェースごとにルーティングされると思われる

IPSecピアごとの出力インターフェース指定とか普通のルーターには無いし

VPN通信自体が使うIPSecピアの切り替えはSD-WANやらリンクモニターやらルーティングプロトコルやらを適当にやればどうにかなるはず
802 ：anonymous@fusianasan：2022/06/23(木) 00:00:33.12 ID:???.net: 通常は着信したインターフェースから返す仕様
なのでwan2に着信があったらwan2から返す
フローティングスタティックの設定が具体的にどうなってるかわかんないけど
wan2側もルーティングテーブルがないと
RPFチェックで落ちると思うのでそのあたりは要確認
803 ：anonymous@fusianasan：2022/06/23(木) 08:11:57.77 ID:oaTYYQXh.net: ありがとう！
検証してみる！
804 ：anonymous@fusianasan：2022/06/23(木) 12:49:45.15 ID:???.net: 設定に困ったとき相談できる窓口があるサポート会社はどこ？
805 ：anonymous@fusianasan：2022/06/23(木) 14:53:56.41 ID:???.net: どこでも相談できるよ、金さえ払えば
806 ：anonymous@fusianasan：2022/06/23(木) 18:41:10.34 ID:???.net: >>804
保守に付いてくるよ
807 ：anonymous@fusianasan：2022/06/24(金) 12:33:22.14 ID:???.net: >>805
ほんと？
2社と契約しているが、障害対応は受けるが今から設定する内容の相談は営業窓口って言われるぞ
保守窓口で答えてくれることもあるが突っ込んだら営業へとなる
808 ：anonymous@fusianasan：2022/06/24(金) 15:55:36.01 ID:???.net: 話がかみ合ってないな
809 ：anonymous@fusianasan：2022/06/24(金) 17:13:18.94 ID:???.net: 保守の意味ググれ
810 ：anonymous@fusianasan：2022/06/24(金) 18:12:28.25 ID:???.net: アホの極み
保守内容なんてそれぞれ違う
811 ：anonymous@fusianasan：2022/06/24(金) 18:17:09.29 ID:???.net: もしかしてファームのアップとか設定変更とか保守？
修理点検のみ？
いろんな捉え方あり？
それとも俺の思っている保守内容が世界共通？って人か？
812 ：anonymous@fusianasan：2022/06/24(金) 18:46:20.68 ID:???.net: どこまで対応してもらえるのかは契約内容確認すればいいんじゃないでしょうか
813 ：anonymous@fusianasan：2022/06/24(金) 19:03:31.25 ID:???.net: 保守の意味は辞書通りに決まってる
保守範疇は契約内容によって違う

当たり前だろ

これがごっちゃになってて話が通じてない
814 ：anonymous@fusianasan：2022/06/24(金) 20:55:33.75 ID:???.net: >>813
変なこと場遊びはせず普通に会話しろや
815 ：anonymous@fusianasan：2022/06/24(金) 20:56:40.38 ID:???.net: >>812
804に戻った気がするのは気のせいか？
816 ：anonymous@fusianasan：2022/06/24(金) 21:13:04.30 ID:???.net: >>804
導入時にできてたことがなにもしてないのにできなくなったのなら保守窓口。
新しいことをやるなら予算用意して営業に連絡。
金出さないやつが聞ける場所はこことヤフー知恵袋。
817 ：anonymous@fusianasan：2022/06/24(金) 21:17:05.62 ID:???.net: ソフトバンクはQA技術支援も含むって書いてあるけど、
費用浮かすために技術もないくせに自前で構築しようとして何とも行かなくなってメーカーサポートに設計紛いの質問するのはルール違反だと思う。
818 ：anonymous@fusianasan：2022/06/24(金) 22:14:28.87 ID:???.net: 正直メーカーに連絡するよりシステムベンダに依頼すべきじゃね

メーカーの営業経由でベンダー紹介してもらってもいいけどさ
819 ：anonymous@fusianasan：2022/06/25(土) 06:34:07.03 ID:???.net: そのシステムベンダーですが、メーカーサポートに
技術的な質問してもたいした答えは返ってこない。
820 ：anonymous@fusianasan：2022/06/25(土) 08:23:35.10 ID:???.net: ソフトバンクはやるのかな？
せめてコマンドマニュアルとか設定例くらいメーカーで普通に公開してほしいな（日本語で）
あと導入してもよいファームもサポート会社で違うのも面倒だわ
ファーム何使うのが良い？ってくらいの質問でも同じサポート会社でも答える時と答えない時あるし
柔軟に対応しているとも言えるが

でもここにかいている奴ら、保守と保守契約なんて言うのに
メーカーとパートナーと販売店とシステムベンダー区別してないのか？
メーカーは直接サポート契約しないからメーカーサポートと窓口持っているのは限られてるぞ
俺はメーカーの人と話したことはあるがサポートを依頼したことはないな（依頼しているのを目撃したことはある）
821 ：,：2022/06/25(土) 09:40:59.83 ID:???.net: いったいどこのワンオペ病院
逆ギレすんな
822 ：anonymous@fusianasan：2022/06/25(土) 09:54:30.76 ID:???.net: 聞けるところにはダメもとでも聞いてみるってのはいいと思うけどな

ただ、相手が答えやすい様な質問・状況は準備した方が良いとは思う。
・商談には関係ない別件の質問だけど、協業途中だから相手に無視させにくい状況で聞くとか
・アンサーを求めるんじゃなくて、気づいたことないですかね？っていうあくまでヒントをもらうとか
　（材料準備したからやってくれ　じゃなく　ここんところどう切ったらいいですかね　的な）
結局ディストリビューターのバックエンジニアだって自分のやったことないのは
自社のサポートDBみたいなの調べるしかないし、それで見つかんなきゃ
ちょっとググって無さそうならシラネって言いたいだろうし

自分はファームバージョン選定の時は仕入れたディストリビューターの窓口に
「貴社がサポートが可能とする、推奨バージョンは何ですか？」ってメールで聞く。
なんか起こった時に巻き込みやすいかなって。
823 ：anonymous@fusianasan：2022/06/25(土) 11:50:07.49 ID:???.net: >>822
ファーム同じようにメールで聞いたことあるよ
今新規ならこれって教えてくれるときもあれば
推奨は特に無いよと言われたこともある
相手次第だよな
824 ：anonymous@fusianasan：2022/06/26(日) 01:10:10.88 ID:???.net: セキュリティベンダの推奨は基本は最新OS / 最新パッチだよ
それ以外答えようはない
825 ：anonymous@fusianasan：2022/06/26(日) 01:42:52.08 ID:???.net: >>824
技術質問の契約ない保守は、それだけだろうな
826 ：anonymous@fusianasan：2022/06/26(日) 06:37:00.41 ID:???.net: 日本のベンダーは自前で動作チェックしたものだけ公開してるから、メーカーの最新とは限らない。
それでわかるだろ。
827 ：anonymous@fusianasan：2022/06/26(日) 09:10:13.94 ID:???.net: >>787
iPhoneやiPad、MACアドレス固定にしてる？
828 ：anonymous@fusianasan：2022/06/26(日) 15:00:59.71 ID:???.net: >>824
枯れたメジャーバージョンの最新セキュリティアップデート版が推奨されるだろ
最新メジャーバージョンとかまともなセキュリティーベンダーなら推奨しない
829 ：anonymous@fusianasan：2022/06/26(日) 19:03:20.17 ID:???.net: >>824
どこがそんな回答してくれたのか知りたい
今契約しているところは指定バージョン以外を入れたら保守対象外と言われた
しかも指定バージョンが無茶苦茶古く6.2とか言うし
そんなんが最初なら乗り換えたいわ
どこが7.2とか7.4やってくれる？
830 ：anonymous@fusianasan：2022/06/26(日) 19:55:14.57 ID:???.net: >>829
さすがに6.2は古いな
自分の取引してる所の代理店は出荷が6.4系、サポートが6.2,6.4,7.0系になってるわ
7.0系も最近になって7.0.5あたりでサポートし出した感じ
831 ：anonymous@fusianasan：2022/06/26(日) 19:59:23.52 ID:???.net: >>830
ちなみに最新OSはメモリリークしたり機能バグする多いからほぼバグテスターのようなもん
7.2系なんかバグったら公式フォーラムでサポート依頼しながらバグ前提で使うもんだから普通の代理店はサポートとか期待しないわ
832 ：anonymous@fusianasan：2022/06/26(日) 20:08:17.90 ID:d3w6xT8i.net: 7.2はまだ怖いなー
自分の経験上だけど、Patch3以降ぐらいからじゃないかなー、導入奨められるのは。
中には、Patch5ぐらいじゃないと、怖いバージョンもあるかもだけど。
833 ：anonymous@fusianasan：2022/06/27(月) 06:46:07.63 ID:???.net: >>829
6.2までのモデルもあるけどそれじゃなくてか？
それ以外だと6.2は標準サポート終了して延長サポート突入済み
834 ：anonymous@fusianasan：2022/06/27(月) 14:34:02.69 ID:5Y8wE/h6.net: 上の方でFortiGate＋どこかのAPを使ってiPhoneがIPv6で外に抜けないと言ってる人がいたけどウチでも同様になってる。
Windows PC2台とAndroid3台はIPv6で外に抜けるしIPv4もDS-Liteで使えてる。
ちなみにiPhoneでもIPv4はDS-Lite（IPv4 over IPv6）で使えてる。

環境は下記の通り。
・FortiGate 60E（7.0.6）ちなみに7.2.0でも同様だった。
・NTT西＋朝日ネット（IPoE + DS-Lite）IP非固定
・iPhone SE2(15.5),iPhone XS(15.5),iPad mini2(12.5.5)

https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-internet-multifeed-ipoe-ds-lite_fos702.pdf
この辺のFortinetの資料はOCN IPoEのものやアルテリアのものも参考にしていて、WAN固定IPサービス部分を除き同じ事を実施済み。

iPhoneはIPv6アドレスを取得していて、PCとiPhone間でv6でのICMPは疎通OK
しかしiPhoneから外向けのv6アドレスにはping疎通NG

iPhoneやAndroidはinternal側の同一サブネットにいるためF/Wポリシーも同一。
ちなみにiPhoneでも下記設定を施したRTX1200配下からはv6アドレスで外に抜けていたし今戻してみてもちゃんとv6を使用できた。
https://network.yamaha.com/setting/router_firewall/flets/flets_other_service/ipv6_ipoe

FortiGate 60Eの何らかの設定が足らないか過剰なのか不明だけどFortiGate＋iPhone（iOS）ならではの問題がありそうなのは確か。
835 ：anonymous@fusianasan：2022/06/27(月) 15:08:27.68 ID:???.net: デバッグログ、パケットキャプチャみて調査するしかないんじゃないでしょうか
うちはiPhone13 miniで問題なくIPv6で繋がってます（7.0.6、test-ipv6で10/10）
nd-proxyとIPv6 firewall policyがあればいいはず
836 ：834：2022/06/27(月) 16:26:19.56 ID:5Y8wE/h6.net: >>835
ありがとうございます。

v6のポリシーは上記URLのPDFのものと同じなんですが足らないんですかね。。
その他関係ありそうなところで今設定してるのは下記くらいです。

FGT60E # show system nd-proxy
config system nd-proxy
set status enable
set member "wan1" "internal"
end

FGT60E # show system interface wan1
config system interface
edit "wan1"
set vdom "root"
set type physical
set role wan
set snmp-index 1
config ipv6
set ip6-allowaccess ping
set dhcp6-information-request enable
set autoconf enable
set unique-autoconf-addr enable
end
next
end

wan1がRAで取得したv6アドレスにinternalのPC,Androidからはping通るけど
iphoneからは通らないのがそもそもの問題な気がしてきた。
837 ：anonymous@fusianasan：2022/06/27(月) 17:31:09.77 ID:6lJlu2iS.net: 教えてください。
FortigateでSSL-VPNのサーバ証明書をFortigateのWebGUIのLetsEncryptから生成出来ると思います。
この証明書は3ヶ月で期限切れになりますが、自動更新は出来るのでしょうか？
同一ドメイン作成はできないようなので、自動更新ができない場合、一旦既存の証明書を削除して作り直しするしかなさそうですが。。
838 ：834：2022/06/27(月) 19:45:32.49 ID:5Y8wE/h6.net: 分かった事はiPhoneからFortiGate 60Eのwan1のv6アドレスに一度pingを実行すれば、外にあるWebサーバのv6アドレス宛にもpingが届きHTTPアクセスもOKでv6アドレスがApacheのログに記録される。
しかし、iPhoneのWi-Fiを一度OFFにして再度ONにした後にiPhoneが新しいv6アドレスを取得するとまたping NGになる。
で、またFortiGate 60Eのwan1にpingを実行した後にはまた疎通OKになるというループ。

何かND-Proxyの動きがおかしいようなルートがおかしいような。
でもこんな動きするのiPhoneだけだしなぁ。

FortiGateに設定しているStatic routeはDS-Lite向けのipv4のvne.rootトンネル向けだけであり、ipv6のStatic routeは未設定。
でもFortiGate自身やiPhone以外は問題が出ていないという状況です。
839 ：anonymous@fusianasan：2022/06/27(月) 20:04:37.79 ID:???.net: プライベートアドレスにしていてMACアドレス変わったけどネイバーテーブルが更新されてないとかあるのかも
まわりの状況だけだと判断つかないので、デバッグログ取ったりパケットキャプチャ取ったりしてご自身でログを確認されることをおすすめします
840 ：anonymous@fusianasan：2022/06/27(月) 21:19:44.13 ID:???.net: なんか無能ってログ見ないよなあ
841 ：anonymous@fusianasan：2022/06/27(月) 21:38:54.66 ID:???.net: >>838
騙されたと思ってiPhoneのWi-Fi設定のプライベートWi-FiアドレスをOFFにしてみるのだ
842 ：834：2022/06/28(火) 10:01:42.69 ID:utqQV6JZ.net: iPhoneのプライベートWi-FiをOFFった状態でも上記と全く同じ現象でした。
疎通NGの際のログには発信は数バイトあるけど着信は0バイトという現象。

キャプチャは取って中身見てみたけどAndroidとは違う流れになっている事は分かったもののもう少し時間かけて調べてみます。
843 ：837：2022/06/28(火) 11:31:29.63 ID:Pi3bkKB4.net: >>837
なんか今日見たら更新されてました。
勝手に自動更新になるんですかね。。
844 ：anonymous@fusianasan：2022/06/29(水) 10:16:11.25 ID:???.net: >>837
ACMEの設定していれば自動更新されるのではないでしょうか。

https://docs.fortinet.com/document/fortigate/7.0.0/new-features/822087/acme-certificate-support
845 ：837：2022/06/29(水) 10:58:24.60 ID:LzIvgFYO.net: >>844
なるほど。
設定はコマンドでは無くGUIで設定しその時は証明署名・ドメイン（FQDN）、メールの入力だけで自動プロビジョニングが
開始されたのでACMEは意識してませんでしたが、たしかにconfig上では設定されてました。
ウィザードで設定すると勝手にWAN側ポートを認識しACMEポートとして設定されて、期間が近づいたら自動で更新される
ようになっているようですね。
ありがとうございます。
846 ：anonymous@fusianasan：2022/07/03(日) 17:36:13.68 ID:???.net: スレチで申し訳ないのですが、専用スレがなかったためこちらで訊かせてください。
接続はWindows機一台のみで、パロアルトのPA-200の中古を検討しているのですが、データシートを読むと
FWスループット100Mbps、脅威防御スループット50Mbps、新規セッション1000/sとありました。

Windows機は、ガッツリ帯域を食うようなことはしていません。
一台のみの接続台数であれば、この機種でまかなえるでしょうか？
847 ：anonymous@fusianasan：2022/07/03(日) 20:21:32.89 ID:bNEsXoAp.net: >>846
パロの中古なんて買ってまともに動くの？保守なしアプデなしでしょ？
848 ：anonymous@fusianasan：2022/07/03(日) 20:58:14.45 ID:???.net: >>847
ヤフオクを見るとコンスタントに売れてるんですよね…アプデについては、2022/6/25付でパッチはされてるようです。
ちなみにこれを狙っていました↓
https://page.auctions.yahoo.co.jp/jp/auction/o1055757960
849 ：anonymous@fusianasan：2022/07/03(日) 20:59:07.02 ID:???.net: FotiOSを7.0.5から7.0.6に上げると、explicit proxy経由で@Niftyメールなど一部のWebサイトにアクセスできなくなるな

障害報告上げようかと思ったけど、めんどくせ…
850 ：anonymous@fusianasan：2022/07/03(日) 21:22:40.90 ID:???.net: >>848
高すぎる
200系はGUI動かすのすら苦労するし、今は検証用にしか使えない性能
ヤフオクで買うなら送料込みで3000円が限界
851 ：anonymous@fusianasan：2022/07/03(日) 21:30:23.92 ID:???.net: >>850
そうなんですか…PC1台だけならそれほど重くならないはずと思っていたのですが、
厳しいかぁ。

ちなみに、GUIを動かすのが苦労するというのは設定が複雑すぎるということでしょうか？
Fortigateより煩雑なら選択肢から外した方がいいかもしれませんね
852 ：anonymous@fusianasan：2022/07/03(日) 22:35:10.53 ID:???.net: 2011年11月発売の機種でパフォーマンスも今の時代からすると低すぎる
無料でも要らないかな
853 ：anonymous@fusianasan：2022/07/03(日) 22:44:14.02 ID:???.net: それほど低機能なのに、ヤフオクに出したら13000円となると、やはり元の定価が非常に高いからなんでしょうね。
ありがとうございましたm(_ _ )m
854 ：anonymous@fusianasan：2022/07/06(水) 10:00:53.29 ID:DAqWYIBs.net: IPsecで冗長化か考えてた人はSD-WANメンバーにWANもVPNインターフェイスも突っ込んで
SD-WANポリシー書いてあげたら幸せになれるよ。
リンクモニターするためにVPNにアドレス振ってあげてね。ping許可も。
855 ：兵隊。：2022/07/07(木) 19:16:23.58 ID:KCvTdPqO.net: FortiGateを最近業務で触り始めたんだけど、やれることが多くてどこから突っ込んで勉強したら
ええのや・・・

ちょうど話題に出てる,SD-WAN,IPSECやらをからめた構成で検証してみるのがよいですかね？
これ検証したらいい勉強になるぜ。　みたいなのがあれば、教えてほしい。
856 ：anonymous@fusianasan：2022/07/07(木) 19:27:31.18 ID:???.net: 公式cookbook
857 ：anonymous@fusianasan：2022/07/09(土) 15:17:35.50 ID:???.net: 英語読めないんで日本語でいいやつないですか？
858 ：anonymous@fusianasan：2022/07/09(土) 16:15:32.48 ID:???.net: fori社監修の本が出てるから、それがいいんじゃん。日本語だし。
859 ：anonymous@fusianasan：2022/07/09(土) 18:35:28 ID:???.net: 古いのならば日本語版あるぞ
860 ：anonymous@fusianasan：2022/07/17(日) 10:18:50.46 ID:???.net: FG-50Eを6.2.10→6.2.11にGUIで上げたらGUI接続出来なくなった。
ssh出来るけど443は外から叩いてもcloseになってる
cliでrestore imageで6.2.10に戻しても状況変わらなかったんだけど思いつく事などあります？
861 ：anonymous@fusianasan：2022/07/17(日) 11:41:38 ID:???.net: 管理者接続のポート番号変わっちゃったとか？まぁ普通に考えたら有りえないんだけども。
862 ：anonymous@fusianasan：2022/07/17(日) 17:47:24.72 ID:???.net: わからんけどexecute factoryresetで初期化してみたら
863 ：anonymous@fusianasan：2022/07/17(日) 21:02:32.80 ID:bILzoiN3.net: リリースノートも見てみたけど、そんなバグものってないね。
てか、Frotiのリリースノートのいけてなさは半端ない。
トリガーとか書いてないから、どういう意味ですか？　とか問い合わせきても、こっちも書いてある以上の
事は分からないんだけど。

https://docs.fortinet.com/document/fortigate/6.2.11/fortios-release-notes/236526/known-issues
864 ：anonymous@fusianasan：2022/07/18(月) 00:53:34.14 ID:???.net: >>860
コマンド叩けるなら接続インターフェースの管理のhttpsを開けたらいいのではないかな？
865 ：anonymous@fusianasan：2022/07/18(月) 04:38:27.06 ID:fPxOjV2Q.net: >>860
コンフィグ取得してみてDIFFしたら違い出てないか？
結構変わっちゃうぞFortiは
866 ：anonymous@fusianasan：2022/07/18(月) 15:59:49.40 ID:???.net: >>860
普通に考えるとマイナーバージョンのファームウェアアップデートが原因とは考えにくい。

ほかの要素をあたるべき。
もちろん100%ないとは言い切れない。
867 ：anonymous@fusianasan：2022/07/18(月) 16:17:46.52 ID:???.net: >>860
config system global
set admin-server-sert "”
になってない？ファームウェアをアップグレードしたときに指定されたいたものが外れていたときがあった
868 ：p：2022/07/18(月) 18:03:41.63 ID:???.net: ストレージ溢れるとかってバグだろｗ
最適化ってなんやねん
FortiGate 30E and 50E flash card space optimization
869 ：anonymous@fusianasan：2022/07/18(月) 23:34:13.43 ID:???.net: ローカルストレージが小さいモデルの制限
870 ：anonymous@fusianasan：2022/08/02(火) 21:39:40.47 ID:???.net: >>866
普通に考えてもダメな時の前科多すぎるからなあ
871 ：anonymous@fusianasan：2022/08/03(水) 08:53:10.73 ID:???.net: バージョンダウンの時はConfigも元のバックアップに戻さないと確か正常復元の保証無いよね

今のGUIからのアップデートだと自動的にバックアップ取らされる仕組みだったと思うけれど無視して未保存だったら知らんが
872 ：anonymous@fusianasan：2022/08/04(木) 14:33:27.01 ID:RtL51HNy.net: EメールフィルタでIMAPとPOP3だけ検証したいのですがいい方法ないでしょうか？
SMTP検証はサイト見つけたんですが…
Gmailのサーバで試したもののPOP3Sだったので検知せず。POPサーバ建てるしかないですかね…
873 ：anonymous@fusianasan：2022/08/04(木) 15:48:56.01 ID:???.net: BJDとかでサクッとたてればいいんでは？
874 ：anonymous@fusianasan：2022/08/04(木) 23:16:36.47 ID:lY325otV.net: >>873
ありがとうございます、BJDは使ったことないので試してみます！
875 ：anonymous@fusianasan：2022/08/08(月) 09:12:47.58 ID:???.net: akb？
876 ：anonymous@fusianasan：2022/08/08(月) 15:08:27 ID:???.net: 黒くて大きい犬
877 ：anonymous@fusianasan：2022/08/08(月) 23:34:23.58 ID:???.net: Winproxyって名前だったけど同名のソフトあったから変えたんだよな
878 ：anonymous@fusianasan：2022/08/10(水) 12:32:35.02 ID:???.net: 黒くて大きい股間
879 ：anonymous@fusianasan：2022/08/10(水) 13:18:47.75 ID:???.net: 誰かFortiOS7.2.1をアップしてくれんやろかー
880 ：anonymous@fusianasan：2022/08/10(水) 13:32:50.29 ID:???.net: >>879
？？？
881 ：anonymous@fusianasan：2022/08/10(水) 15:50:29.73 ID:???.net: >>879
Fortinet様か代理店がアップしてくれているぞ
882 ：anonymous@fusianasan：2022/08/22(月) 16:18:46.88 ID:ipoiGtzg.net: IPoE2回線でのSD-WAN構成について解説しているサイトや情報ご存じないですか？
少なくとも片方はVDOMで分けて設定が必要かと思いますが、SCSKに問い合わせても事例が無いので回答できないと言われまして...
883 ：anonymous@fusianasan：2022/08/23(火) 16:39:12.84 ID:???.net: あそこはわからないことが多いよ
他社が公開してくれている使い方でも自励がない、出来ないと言われたこともある
884 ：anonymous@fusianasan：2022/08/23(火) 16:43:43.76 ID:???.net: 書き忘れた
今聞いてるのはサボート窓口だよな？しつこく聞くと「修理対応とか動いていた設定が動かないときの窓口です。新規の設定はサポートしていません」と言われたこともある
購入した代理店？経由で営業に聞いてもらうと情報をもらえることもあった
fortigateはどこのサポートも同じかもしれないけどな
885 ：anonymous@fusianasan：2022/08/23(火) 19:31:12.20 ID:???.net: 新規の設定は構築として請け負うものだからね
886 ：anonymous@fusianasan：2022/08/23(火) 20:37:15.98 ID:???.net: >>882

v6 のI/F 毎にVDOM 分けて、VDOM link で root vdomに繋げて
root VDOM から　VDOM link 経由の v6 tunnel を作る

それぞれをsdwan でまとめる。って感じで多分いけるかと
887 ：anonymous@fusianasan：2022/08/23(火) 20:40:28.06 ID:???.net: あ、tunnel はそれぞれのVDOM からになるのかな？
環境があるならまずやってみて欲しい
888 ：anonymous@fusianasan：2022/08/23(火) 23:09:41.59 ID:???.net: VDOMで分ける必要ある?
889 ：anonymous@fusianasan：2022/08/24(水) 00:16:22.41 ID:???.net: ipoeトンネルIFになるvne.rootがvdom1つにつき1つまでだからvdom分けは必須かと。
ただrootvdomじゃないと固定v4アドレスが降ってこなかった記憶があります。
vneトンネルがvdom単位で作成できれば可能性はあるかなぁ。
890 ：anonymous@fusianasan：2022/08/24(水) 02:59:12.08 ID:???.net: 過去レス見るとvdom単位のvneはダメっぽそうですね。
>>383
>>384

ファームが上がって出来るようになってる可能性があるかもしれませんが。
891 ：anonymous@fusianasan：2022/08/24(水) 19:06:20.50 ID:???.net: >>882
>>886の方法で可能かと

VDOM分ける理由はvne-tunnelがVDOMに一つなのと、RA/RSでIPv6 prefixもらうインターフェースはVDOMで一個にする必要があるためですね
RA/RSでIPv6 prefixをもらうと、そのインターフェースのnexthopのNGNエッジルータが自動でIPv6のデフォルトルートになるので、
同一のルーティングテーブルで2箇所からRA/RSでIPv6 prefixもらってしまうと、2つのIPv6デフォルトルートできてしまい
それらを明示的に使い分けるのが困難なためです

他メーカの製品でもそのあたりは同じかと
892 ：anonymous@fusianasan：2022/08/24(水) 19:47:10.16 ID:???.net: >>890
ファーム上がって直ってるよ
893 ：anonymous@fusianasan：2022/08/24(水) 21:03:15.01 ID:???.net: IPoEの意味も知らんぽいどしろうとの相手なんかできないだろ
文字通りIPがイーサに載ること
こんだけIPoE一色になるまえにL3,L2プロトコルが色々乱立覇権争いしてた頃
40年位前に特定の組み合わせを示すのにできた言葉
894 ：anonymous@fusianasan：2022/08/26(金) 04:57:09.97 ID:Qsa9HB2X.net: すみません、FortigateのVPNについて教えてください。
この度、外部からVPNで社内に接続する方法について検討しています。
その方法として、L2TP/IPsecを用いた接続(こちらの方がOS標準機能で実現可能なので望ましい)か
FortiClientを用いたIPsec接続のどちらかを考えています。
その際、認証アカウント単位でアクセス権と言いますかポリシー制御をかけたいのですが
見方が悪いのかそのような設定箇所が見当たりませんでした。
もしかして上記2つの接続方法では、認証アカウント単位での制御はできないのでしょうか？
初歩的な質問で申し訳ございませんが、ご教示いただけますと幸いです。
895 ：anonymous@fusianasan：2022/08/26(金) 10:20:38.81 ID:???.net: >>894
ユーザグループ毎にVPNを作成してVPNにIPv4ポリシー書けばできそうですね。

https://milestone-of-se.nesuke.com/product/fortigate/secure-ipsec-vpn-config-sample/

ユーザ単位（認証アカウント単位）にしたい場合、ユーザとユーザグループを1対1で設定する事になりそうですが
規模によっては設定上の上限値を考慮しないと破綻するので購入前なら代理店に問い合わせた方が良いかと。
896 ：anonymous@fusianasan：2022/08/26(金) 10:35:57.52 ID:???.net: >>885
それ言うと変更も構築で請け負う物だし
障害対応だって請け負うものだし
保守の対応範囲が明確に書ききれないだろうけどハード故障とファーム提供だと思って
後は担当者の気分と知識次第かな
897 ：anonymous@fusianasan：2022/08/26(金) 11:44:20.74 ID:???.net: >>895
ありがとうございます。
ユーザーグループを分けて設定というのには目から鱗でした。

元々は社員のみが使うリモートワーク用にと思い発案したのですが、各システムベンダーの保守担当から
メンテナンス用にリモート環境が欲しいとの要望があったことを思い出し、この際一緒にやるかとの流れになりまして。
ただベンダーを信頼しているとはいえ、万が一の事故発生時に他社に対してもフリーアクセスな環境を
与えていたとなると問題になるなぁと怖くなり、なんとか制御する方法があればいいなと考えていた次第です。

当社で使用しているFortigate40Fはトランスペアレントモード(もちろんルーターからIPsecパススルーでFortigateに渡すつもりです)
で動作しているため、ご教示いただいたページの構成とは異なりますが、loopback云々は飛ばして
読み替えていけば実現できそうな気がしてきました。
グループ分けは社員用と各ベンダー用(2社)の計3グループに分けられそうなので、現実的な範囲でできそうです。
クライアントを別途インストールする必要がありますが、社員向けにはこれから具体的な話を進める予定ですので
少しだけ手間かかるよ、ぐらいの話で済みますし、ベンダーについてはクライアント使ってね！で大丈夫だと思います。
898 ：anonymous@fusianasan：2022/08/26(金) 11:44:34.53 ID:???.net: なお前職がFotigateを取り扱う職種(既知の通り雑魚クラスですが)で、2年前に現職に転職したのですが
代理店(設置導入業者)はメンテナンス費用を別途払ってるのに、前機種については5年間一度も点検や
ファーム更新の対応をしたことがなく、今回の40Fも全ての通信に対してアンチウイルス、webフィルタ(デフォルト)、IPS
を適用というただUTMを挟んでるだけのザル設定に20万請求されたり
今回の設定変更(社員のみの簡単な方)に30万とか言ってくるなど不信感しかないため、知識に乏しいのかあまり頼りたくなく
今回adminのパスワードを寄越せと依頼しまして自力解決を目指していましたが、こちらで知恵を拝借する形となり申し訳ございません。
なお最終的に出来上がったコンフィグは、業者にも渡す予定です。
すみません、後半はかなりグダグダにグチですね……金額もそれが相場なのかもしれませんし……

9月の中頃には設定変更を行う予定ですので、不要かもしれませんがまた結果等ご報告いたします。
この度は本当にありがとうございました。
899 ：anonymous@fusianasan：2022/08/26(金) 12:53:06.05 ID:???.net: >>898
自力でできないのにそれを高いとうのは?
言いたいことはわかるけど
900 ：anonymous@fusianasan：2022/08/26(金) 13:00:14.62 ID:???.net: どの程度の金額を希望なのかな？
1万とか2万でやってくれるところがあれば発注したい
901 ：anonymous@fusianasan：2022/08/26(金) 13:27:57.00 ID:???.net: 知識が乏しいかもしれない業者に、自分で触ったコンフィグ渡して面倒見てもらえると思うのかい？
902 ：anonymous@fusianasan：2022/08/26(金) 13:44:38.30 ID:???.net: >>899
普通のL2TP/IPsec、あるいは普通にFortiClientを利用したIPsecなら、私のようなボンクラでも余裕で設定ぐらいはできました。
ただメンテナンスもお願いしている手前、業者に依頼したらそんな金額で……
それなら自分でやるわ！になった次第ですが、その後にユーザー別の制御をかけたいと思うようになって
一気にハードルが上がってしまいました。
上で紹介していただいた方法を思い付かなかった想像力、応用力がなかった自分の能力不足ですが……

まぁリスクや後からの微細な仕様変更への対応、人件費含めると、適正価格というのは一体どれぐらいなのかな？
と疑問に思ったりもします。

>>900
なもんで、適正がどれぐらいなのか判断つきにくいですが、私の肌感覚としてネットで軽く調べただけで多くの事例がヒットする
かつ複雑でもなんでもないそんな内容であれば5万もあれば十分かと思ったりします。←例えば簡単な方のL2TPとか
適正価格が本当に分からないですけどね。

>>901
一応、コンフィグ送ってくれてたら何かあった時は私が例えば死んだ後とかに対応する旨返答は頂いてますが
実際面倒見てくれるかは分からないですね。
そう考えると、企業にとってみたら30万(ユーザー制御になるともっと高額？)浮いたように見えるも
結果マイナスになるのかもしれません。

私の一方的なグチで皆様にも多大なる不快感を与えてしまってましたら本当に申し訳ございません。
903 ：anonymous@fusianasan：2022/08/26(金) 13:45:52.01 ID:???.net: どんな契約か？だろ
オンサイト保守ならconfig渡しておけば故障時に設定入れてくれる
という業者もあった
標準サービスだと
点検やファームアップ作業はないだろうな
個別保守契約でもしないとやってくれないだろうな
とは思う
904 ：anonymous@fusianasan：2022/08/26(金) 14:53:32.19 ID:???.net: とはいえ、管理者アカウントを人質に取ったままEOSまでファーム更新無しは流石にどうかと思うわ
905 ：anonymous@fusianasan：[ここ壊れてます] .net: すげーな
契約していない作業もやってくれるのか？
ぜひうちの設定もお願いしたい
906 ：anonymous@fusianasan：2022/08/26(金) 22:58:59.64 ID:???.net: 898に依頼すれば出し値5万でやってくれるのか
めんどくさいクソ客の依頼投げたいから連絡先教えてよ
907 ：anonymous@fusianasan：2022/08/27(土) 02:02:52.48 ID:???.net: >>902
どういった想定作業の５万なのでしょうか？

不特定のグローバルアドレスからの外部接続を許可するのであればペネトレーションテストはしない想定ですか？
間違って穴が空いててもわかりません。

リモートアクセスのログは取らない想定ですか？
身に覚えないリモート接続があってもわかりません。

2要素認証はしない想定ですか？
ユーザーとIPSECのパスワードを知っている人が会社を辞めた場合、私物PCから接続できてしまいます。パスワードを変えるなり対応が必要です。

また、要件に無いのかもしれませんが、リモートで同時接続の負荷試験はしないのですか？
実際使ってみたら使いものにならないくらい通信が遅くなるかもしれません。

外部に穴を空けるのはそれなりにリスクのある作業だと思います。

リスクが取れるならご自身で設定されるのはありだと思いますが、ただ後々大変な事になっても自己責任になります。
908 ：anonymous@fusianasan：2022/08/27(土) 03:12:26.15 ID:???.net: この手の話って基本的にお金で解決するんですよね
909 ：anonymous@fusianasan：2022/08/27(土) 07:59:39.08 ID:???.net: >>906
マジそれな。
これを5万でやってくれるなら起業すりゃ商売繁盛じゃね。
誰かさんのように、何言っても高ぇ高ぇしか言わない客多いからな（笑
910 ：anonymous@fusianasan：[ここ壊れてます] .net: >>908
客に、金と時間かければ誰だって出来んだよ！って怒鳴られたわ。
まあ確かにそうだなと思ったけど。
911 ：anonymous@fusianasan：[ここ壊れてます] .net: 多少金払いが良くても手離れが悪い/ガラが悪い客は敬遠される
912 ：anonymous@fusianasan：2022/08/28(日) 00:34:16.68 ID:???.net: >>910
「だったら、お金と時間かけてやってください」で終了なんですよね
そのセリフはお金を払わない人がよく言います
913 ：anonymous@fusianasan：2022/08/28(日) 17:50:01.27 ID:???.net: 書いてるじゃん
ネットで事例があるような設定して5万だよ
肌感覚として間違いないよ
914 ：anonymous@fusianasan：[ここ壊れてます] .net: まぁここはお金もらう側の業者も多いだろうしな
あれやこれやとリスクだのコストだの綺麗事抜かしてるけど
実際のところネット事例集そのまま丸パクリで何十万も金取る業者もいるからな
もちろんここの住人は都会でそれなりの規模の客先に出入りしている業者だと思うから価格に見合った仕事してるだろうけど
俺の住む鳥取市は、知ってるだけでもかなりいい加減な作業で費用だけは一流並みに請求する業者が少なくとも4社はある
915 ：anonymous@fusianasan：2022/08/28(日) 21:47:28.32 ID:???.net: 何でまともな業者に頼まないのか
916 ：anonymous@fusianasan：2022/08/28(日) 22:56:15.48 ID:???.net: IT業者のぐるなび的なクチコミサイトって有ったりする?
NDAに激しく抵触しそうだけど。
917 ：anonymous@fusianasan：[ここ壊れてます] .net: >>914
言いたいことは分かるよw
例えば例に挙げてゴメンだけど>>907とか、さぞ立派なこと言っているようで実は大したことがないw
間違って穴が？今回の話に合わせると、FortigateにIPsecの設定を施したら他にも釣られて関係ないポートが開いちゃうものなの？
リモートアクセスログなんて、普通Syslogで代用できるしwみんなもフルで取ってるでしょ？
2要素認証なんて、それこそいくらでも事例がヒットする内容なのに、さも特別感装いやがってw
あと退職した人？そいつのユーザーアカウント削除すれば良いだけだし、そもそも2要素認証していればなんの問題もない罠w
まあこんなもんよ
小難しい御託並べても、それはど素人になら通用する詭弁なことが多いよね
918 ：anonymous@fusianasan：2022/08/29(月) 00:36:40.74 ID:???.net: >>916
あそこの業者はボッタクリだ！とか、契約にないことは一切してくれない！とかの一方的な悪口コミを、NDAに抵触だ！と言われても困っちゃう。
919 ：895：2022/08/29(月) 01:59:51.66 ID:???.net: 立場によって色々な意見はあるとは思いますが、ここ以外に日本語でFortinet製品の情報を日本語でやり取りできる
コミュニティみたいなものはあった方が良い気がしますね。

Fortinet Japanの中の人がここを見ているかわかりませんが、日本語が使えるコミュニティサイトを作るのは難しんですかね。
920 ：anonymous@fusianasan：2022/08/29(月) 02:30:07.74 ID:???.net: 自分たちではやる気ないよ
各代理店？がやるくらいかな
921 ：895：2022/08/29(月) 02:47:39.08 ID:???.net: なるほど。
私は今となっては仕事では全く関係ないのですが、10数年前にFortinetには元々ciscoにいた人が多いと聞いていて
ciscoやVMwareのようにユーザの自助努力である程度解決できるようなKBなりコミュニティなりを醸成されていくものと
思っていましたが、認識違いでしたかね。
922 ：anonymous@fusianasan：2022/08/29(月) 05:57:36.53 ID:???.net: シスコがそういうコミュニティ発展できたのってほぼ一強だったからだし
923 ：anonymous@fusianasan：2022/08/29(月) 23:18:39.33 ID:???.net: 適正価格って、請け負って儲けが出る価格じゃないのか？

config流するだけなら5万でも妥当かもしれんが動作保証なんてしてくれんけど。
924 ：anonymous@fusianasan：2022/08/29(月) 23:36:58.84 ID:???.net: 自分で出来るようなことなら自分でやればいいだけなのに
何故か人にやってもらう話になってて金額云々の話になってるのが謎
925 ：anonymous@fusianasan：2022/08/30(火) 07:21:57.99 ID:???.net: 世の中コンフィグ流すだけとかすら出来ない連中ばっかなんですよ……
コンフィグ流せたら上等よ……
926 ：anonymous@fusianasan：2022/08/30(火) 08:40:00.28 ID:???.net: この業界単価がどう？というのはあるだろうが
5万じゃ1日もかけられない
って所多いだろうな
実作業だけではなく、受注前の要件確認、見積から始まり各種の資料作成とフォロー
場合によっては事前検証
正直短時間度終わる仕事ってそれ以外のことが多くて受けたくないな
他の案件とからめてほしいわ
927 ：anonymous@fusianasan：2022/08/31(水) 19:53:52.16 ID:???.net: パラシとか手順書とか見ないのに要求されるの草
クラウドの手順書なんて納めた頃には変わってるw
928 ：anonymous@fusianasan：2022/08/31(水) 20:01:23.34 ID:qhe8M1vb.net: こっちでやるからちゃちゃっと教えてよ。手順書作ってくれればいいから。作業の予算ないんだよ。
929 ：anonymous@fusianasan：2022/08/31(水) 20:36:59.70 ID:???.net: 資料を手順書と読んだのかな？
だとしたら仕事したことのない子供か？
社内手続だけでもかなり有るぞ
自分が作るの以外にもな
会社での仕事ってそんなもんさ
イヤなら趣味で絵やるんだよ
930 ：anonymous@fusianasan：2022/09/01(木) 22:59:42.45 ID:???.net: >>928
しょうがないから、書くけどこれだけだよー？

1. コンソールにadminログイン
2.execute factoryreset
3.y

意外と簡単にできるからやってごらんよ
931 ：anonymous@fusianasan：2022/09/02(金) 00:51:53.67 ID:???.net: 面白いと思って書き込んだんやろなぁ
932 ：anonymous@fusianasan：2022/09/02(金) 08:28:20.11 ID:DLjL82aX.net: こいつ絶対仕事できない低脳だな

「コンソールにadminログイン」が分かる連中はそんな罠には引っかからない
本当に引っ掛けたいのなら、素人でも分かるようにシリアル接続ではなくwebログインの仕方詳細や
ブラウザ上からのコンソール起動方法を説明しないとダメだね
あと入力コマンド、これもキチンと書かないといけない
2.とか3.とか、素人はそのまま入力するぞ
933 ：anonymous@fusianasan：[ここ壊れてます] .net: ネタにマジレス…？
934 ：anonymous@fusianasan：2022/09/02(金) 18:31:24.43 ID:???.net: ネタだとしたら寒すぎるので、敢えてマジレスした可能性
935 ：anonymous@fusianasan：2022/09/03(土) 13:35:15.42 ID:hACUfT7H.net: Fortigate使いにくいからYAMAHAのルーターに変えようと思ったけど中古でも高いな
936 ：anonymous@fusianasan：2022/09/03(土) 16:03:28.88 ID:???.net: UTM機能は要らないってことかな？
ルーターとして使うだけなら、fortigateの方が設定楽だと思うけどなぁ
YAMAHAは行き帰り両方フィルター考慮しないといけないし…
各種VPNとか、事例集が多いのはYAMAHAだけどね
そこまでのスペックやIPoEが要らないのならRTX1200の中古オススメ
937 ：anonymous@fusianasan：2022/09/04(日) 01:36:07.62 ID:???.net: もろもろのバグで使いにくいってのならわかる
設定が難しいって話なら？って感じ
938 ：anonymous@fusianasan：[ここ壊れてます] .net: ヤマハの利点はスクリプトで色々できることかな
Fortigateにスクリプトが実装されればと夢見てる
939 ：anonymous@fusianasan：2022/09/04(日) 13:43:30.51 ID:hoBEDvGk.net: Fortigateってファームウェアアップするとひきつがれないconfigとか
パフォーマンスに影響があったりと客先で使いづらくない？
YAMAHAも同じかなぁ。
940 ：anonymous@fusianasan：2022/09/06(火) 20:02:05.25 ID:???.net: ちゃんとConfigは引き継ぐぞ
RTX1200は遅いから個人ならば830が良いよ
VPNはYAMAHAよりもSynologyのWifiルーターの方がSSL-VPNも使えて便利
941 ：anonymous@fusianasan：2022/09/07(水) 07:37:03.87 ID:???.net: 指定されたパスに従ってアップグレードしてないとか
942 ：anonymous@fusianasan：2022/09/07(水) 09:46:05.29 ID:???.net: RTX1200ですら遅いと言われる時代になったか…
まぁ確かに10年以上前の製品だし、これも時代の流れか
943 ：小心者：[ここ壊れてます] .net: お客さんからの問い合わせに対して、FORTINET DOCUMENTS LIBRARYに記載があるから、これは仕様と存じます。　

って回答しても、本当に仕様なんですか？　と聞き返されると、凄い不安になってしまいます。
皆さんも不安になりますでしょうか？
私が小心者なのでしょうかね。自信が無く、寝れない日が続いています。
944 ：anonymous@fusianasan：2022/09/10(土) 13:00:49.52 ID:h1Y8dg2a.net: そういうときは、サポートに問い合わせて裏を取ればいいんだよ。
サポートが言ってますってのは常套手段。
サポートが間違えりゃ、サポートの責にできる。
945 ：anonymous@fusianasan：2022/09/10(土) 14:04:28.99 ID:???.net: >>943
技術者は小心者しゃねーと信用出来ねーよ。
本当に合ってるか何度も違う角度から検証すんだよ。
自信家はエンジニア辞めろ。
あ、IQ低いほど自信家らしいよ。
946 ：anonymous@fusianasan：2022/09/10(土) 19:58:06.40 ID:???.net: 確かにIQ低そうだな
947 ：anonymous@fusianasan：[ここ壊れてます] .net: >>944
おまえ何もできん人間だな
メーカサポートが言ってました
なんて仕事で通用するなら、高校生バイトと一緒だろ

エンジニアなら自分で検証して確認したデータだすまでが仕事だろ
948 ：anonymous@fusianasan：2022/09/11(日) 02:44:59.45 ID:???.net: ドキュメントを根拠に仕様を説明しても疑われているという話で、検証して権威付けは無理があるのでは。

自分の不安感を取り除くために検証するのは悪くはないかもしれないけど、検証してドキュメント通りの動きに
なったから仕様と言われても検証する前からドキュメント通りの動きだし答えになっていないよね。

944のサポートに問い合わせて裏取りが最善に思えるけど、>>943はこんな所で聞かずに職場の上司や同僚に
相談すべき内容だと思うよ。
949 ：anonymous@fusianasan：[ここ壊れてます] .net: ドキュメントに記載があって動作もその通りならそういう仕様と言い切ってOKですよ
950 ：anonymous@fusianasan：[ここ壊れてます] .net: 仕様がそうだから今のままではできません。なのでこうします

を考えるのがSEの仕事なのでは？？
951 ：anonymous@fusianasan：2022/09/11(日) 12:45:03.08 ID:???.net: Public に公開してるドキュメントの通りの挙動をしてる状態で、「それは仕様通りの挙動ですか？」と問われたら、「大丈夫？」と心配するレベルですね。

具体的に気になってるところを聞いてみては？客の疑問は別のところにあるんじゃない？

その機能を使いたいが、今後変わったら困るとか。まぁ未来のことなんて誰も分からんから、このケースだとさらに困るけどね。
952 ：anonymous@fusianasan：2022/09/11(日) 13:24:03.17 ID:???.net: >>943
信用されていないだけ？
過去のやり取りで信頼感０なんだろう
953 ：小心者：2022/09/11(日) 15:48:46.23 ID:by8/bSNc.net: 皆さん
色々とアドバイス頂きましてありがとうございます。

弊職はサポート側の業務もしており、
Fortinet社へ問い合わせすることも可能ではありますが、ドキュメントに記載があり、解釈が不安な点はラボでも検証をしてはいるのですが、自分で仕様だと言い切る自信を持てず悩んでおりました。

検証もしてはおりますので、もう少し自分に自信をもてるように、精進していこうと思います。
954 ：anonymous@fusianasan：2022/09/13(火) 01:20:17.61 ID:a08vytbx.net: upgrade pathのプルダウン何にも選べないんだけど俺だけ？
955 ：anonymous@fusianasan：2022/09/13(火) 09:25:02.29 ID:PKf+YU0a.net: 今日開いたら直ってたわ
956 ：anonymous@fusianasan：2022/09/16(金) 09:54:24.76 ID:???.net: fortigateのトラフィックシェーピングって制度は結構いい加減なんですかね？
957 ：anonymous@fusianasan：2022/09/16(金) 10:58:47.86 ID:???.net: 制度→精度
958 ：anonymous@fusianasan：2022/09/16(金) 21:25:16.78 ID:R0Le4TWH.net: FGTのQOSはオマケみたいなものと捉えています。
ルータじゃなくて、しょせんFWですので。

なにを勘違いしてか、FGTでOQS実装されているからといって、Ciscoルータみたいにがっつり
使えると思われてしまうのが、しんどいですわ。
959 ：anonymous@fusianasan：2022/09/16(金) 23:36:34.50 ID:???.net: FGTでQOSの精度を求められるって、どんな案件なんだ？モデル何入れるん？
960 ：anonymous@fusianasan：[ここ壊れてます] .net: QoSの精度とか求めるならCiscoの高いルータ（ASR1k以上とか？）使ってくださいですかね
961 ：anonymous@fusianasan：2022/09/17(土) 04:31:17.69 ID:???.net: 細い閉域網を使うためにQoS云々って話はいまだにありますね
信頼性云々で閉域網が好まれることはあるけど、逼迫して特定のトラフィクだけ救えても
どのみち業務に支障がでるんですよね
ご家庭用でも10Gbpsが来てる時代にQoSって必要なんかなとは思います
962 ：anonymous@fusianasan：2022/09/17(土) 09:25:33.28 ID:???.net: Fortigateはおまけ機能の詰め合わせで成ってる製品
963 ：anonymous@fusianasan：2022/09/17(土) 09:44:50.31 ID:???.net: 使えない機能ならつけなくて結構
宣伝だけして使えませんって詐欺じゃん
964 ：anonymous@fusianasan：2022/09/17(土) 10:40:21.48 ID:???.net: 何千人もいるのにベストエフォート1Gbp一本しか引かないでいつも回線パンパンなんだけど、シェーピングすればうまくいくって信じ込んでうまくいかなくて精度が悪いフォーティのせいみたいなのは何度も見た
965 ：anonymous@fusianasan：2022/09/17(土) 12:39:48.34 ID:fU617t+t.net: 法人だと回線を簡単には変えられないだろうから難しいよね
帯域保証になると値段が跳ね上がるしなぁ
966 ：anonymous@fusianasan：[ここ壊れてます] .net: ベストエフォート1G一本しか引かないって見た事ないなぁ
そんな契約回線を複数企業で使うプランあると思えないし単体企業だったとしてもそんな1G回線が逼迫するほど色んなサービス引くかね、、、
967 ：anonymous@fusianasan：2022/09/17(土) 14:56:10.23 ID:???.net: ギャランティ100Mbpsで足りなくて困ってるからベストエフォート1Gbps敷設してそっちに逃がす的なのは時々聞くかな
そのギャランティ要らんやろ、とは思う

>>963
使えるけど利用者が高いルータと同等の精度を出せるって思ってるからな
大体、普通の通信って増減が都度あるから精度にこだわっても仕方ないんだけど
968 ：anonymous@fusianasan：2022/09/17(土) 22:46:40.19 ID:d1nrEsN/.net: スループットの考え方について質問させてください。

例えばFGT-60Fなのですが、ファイアウォールスループット（1518 udp) 10Gbpsとデータシートに記載されてます。

60Fって、インターフェイスが1G×10ポート搭載であり、10Gのポートを搭載してないです。
この10Gbpsというのは、1G×10ポートでLAGを組んで測定してると推測してるのですが、考え方はあってますでしょうか？
また、上り・下りの両方合計で10Gbpsと理解しています。

https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/ja_jp/fortinet-ProductMatrix.pdf

お客様環境でアップリンク(インターネット回線収容)を1G×1ポートで接続した場合は、Maxで1Gbpsしか出ないと理解しております。
(契約してる回線帯域が、仮に100Mbpsでしたら、MAX100Mbps)
969 ：anonymous@fusianasan：2022/09/18(日) 00:26:10.96 ID:???.net: LAGってリンクアグリゲーション？
リンクアグリゲーションじゃなくても
各ポートが10個の独立したゾーンであれば
それぞれのポート（ゾーン）間の通信の送信と受信を足して最大で10Gbpsまで出るスペックですよ。
ってことじゃないかなぁ？
その類のスペックは実運用にはほぼ参考にならんと思うけど。
970 ：名無し：2022/09/18(日) 00:38:53.25 ID:???.net: >>968
１ポートが1Gbpsなら、全二重通信すると2Gbps換算になるため５ポートかと思います。
971 ：anonymous@fusianasan：2022/09/18(日) 01:32:52.72 ID:???.net: ファイアーウォールの処理速度とインターフェースの転送速度は別物
972 ：anonymous@fusianasan：2022/09/18(日) 04:15:45.89 ID:???.net: なお実際は10Gbpsなんてただの理論値であって、精々その1/5ぐらい出れば良いぐらい
973 ：anonymous@fusianasan：2022/09/19(月) 11:02:29.05 ID:kT+wlHtt.net: >969
ありがとうございます。
リンクアグリゲーションを想定していました。
データシートのスループット表記は、上り・下り合計で最大10Gbpsであると理解しました。

>970
ありがとうございます。理解できました。
974 ：anonymous@fusianasan：2022/10/12(水) 23:04:05.00 ID:Hk2ceGZN.net: これは、大事かな。

Fortinet製FortiOS、FortiProxyおよびFortiSwitchManagerの認証バイパスの脆弱性（CVE-2022-40684）に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220025.html
975 ：anonymous@fusianasan：2022/10/13(木) 00:33:38.00 ID:???.net: 外部に管理インターフェイスなんて公開しないから問題ないだろ？
社内にスーパーハッカーいるなら知らんけど。
976 ：anonymous@fusianasan：2022/10/13(木) 02:28:14.96 ID:g1xJxd/P.net: 公開するつもりはなくとも公開していたとかはあるだろ。
デフォルトは、adminへのip制限はいってないでしょ。
977 ：anonymous@fusianasan：2022/10/13(木) 07:10:42.82 ID:???.net: >>976
そんな奴は今回の脆弱性無くても大問題だろｗｗ
978 ：anonymous@fusianasan：2022/10/13(木) 12:34:21.67 ID:Wf0pmq9R.net: SSL-VPNで443 開けててバイパスされるとやだな。
979 ：anonymous@fusianasan：2022/10/13(木) 14:20:02.46 ID:???.net: >>978
SSL-VPNのhttpsページは管理インターフェースではないので今回の対象ではないよ
980 ：anonymous@fusianasan：2022/10/14(金) 21:30:15.21 ID:FgCOEImN.net: これ、うちでもざわついてるわ
FortiSwitchManager って、FortiSwitchとFortiManagerを間違えてるとおもったけど、
こんな製品あるんだね・・・・　

おびっくり。
981 ：anonymous@fusianasan：2022/10/14(金) 23:55:24.04 ID:???.net: >>977
どんな製品扱わせても大問題間違いなし
982 ：anonymous@fusianasan：2022/10/15(土) 19:00:51.12 ID:JpUN4ttv.net: SD-WANについて、相談です。
FortiGateは、デフォルトだと出力IFと入力IFが異なる非対称通信はDropしますが、
SD-WANゾーンで束ねているIFに関しても、同じ動作になるのでしょうかね。

SD-WANで収容しているIFがインターネット回線であれば、BGPの世界でISPごとに広報している
グローバルIPが違うので、出力/入力IFが異なるケースは基本ないと考えています。

しかし、広域イーサネットなどの回線を収容していて、対抗のFortiGate(DC側)からインターネットに
抜けさせている構成の場合は、DC側FortiGateのルーテイング次第で非対称にもなりえるので、
どうなるか、気になりました。
983 ：anonymous@fusianasan：2022/10/15(土) 21:31:48.33 ID:???.net: DC側Fortiのルーティングで非対称になってるんだったら非対称になるから落とされるだけの話では
相手側が非対称ルーティングに対する対策をしてないんだったらこっちからどうこうする事は出来ない気がするけど
対抗の問題であってこっちの通信に関しては非対称にはならないと思うよ
984 ：anonymous@fusianasan：2022/10/16(日) 22:02:56.32 ID:oy5iP4vD.net: 7.0 と7.2系は、7.0.8と7.2.2が出てるね。
985 ：anonymous@fusianasan：2022/10/17(月) 19:07:42.69 ID:nQ2oSCit.net: >>983
DC側のFGTはセッションテーブルみて、戻すので大丈夫でした！！
ありがとうございました！
986 ：anonymous@fusianasan：2022/10/17(月) 23:02:15.30 ID:i5w63i5Q.net: タイムサーバーとNTP同期差せると１分遅れるてる。治らん
987 ：anonymous@fusianasan：2022/10/18(火) 07:30:04.22 ID:???.net: 同期先のタイムサーバー変えてみたら？
988 ：anonymous@fusianasan：2022/10/18(火) 07:46:49.08 ID:CZXsLgVm.net: 変えたけどだめ
989 ：anonymous@fusianasan：2022/10/18(火) 20:49:51.39 ID:???.net: コンソールでntp status 確認してちゃんと同期取れてるなら他にする事はないかなー
あとntpってズレを徐々にあわせてくからひょっとしたらしばらくほっとくとそのうち合うかもしれないと雑な回答してみる
990 ：anonymous@fusianasan：2022/10/19(水) 03:04:27.51 ID:???.net: 何をどう設定してどう確認したとか書かないからただの日記なんですよね
991 ：anonymous@fusianasan：2022/10/20(木) 07:38:19.69 ID:xbSuRwU4.net: すまぬ。
自然になおってた

機種　200E 2台と100F
いずれも　7.0.6
タイムサーバー　fortinet
ntpサーバーとして機能
時刻同期間隔　60分
システム＞設定　で表示される時刻
1分遅れ

なので

1.タイムサーバーをプロバイダにかえる
（同期間隔を1分にも変更）
→かわらず

2.時刻同期をやめてマニュアル設定に変更
し正しい時刻をいれる
→表示は1分遅れ変わらず。

3.コマンドで時刻設定
→システム＞設定の表示は1分遅れかわらず。

時刻入力枠に正しい時刻が初期値で入っていた
2と3を何回か繰り返したが、変わらずあきらめ

2日後にみたら　システム＞設定
の表示は正しい時刻になってた。
992 ：anonymous@fusianasan：2022/11/01(火) 16:30:09.58 ID:???.net: これとciscoUmbrellaとどっちがいいのか教えてください
というかそもそも比較する対象なのかどうかもよく分らんです
端末数10台程度の零細企業です
993 ：anonymous@fusianasan：2022/11/01(火) 19:46:41.30 ID:???.net: バッファローのルーターで充分じゃね
994 ：anonymous@fusianasan：2022/11/02(水) 00:05:24.65 ID:???.net: というかそんな小規模とすら呼べないレベルのNWにCiscoのお高い企業向けNWサービスとかアプライアンス導入する意味が分からない
知識もない電気店の店員に騙されて高い商品かわされるジジババじゃないんだから
995 ：名無し：2022/11/02(水) 01:37:36.77 ID:???.net: 助成金使うのでは？
996 ：anonymous@fusianasan：2022/11/02(水) 05:19:59.74 ID:???.net: いやいや
大手の取引先からのセキュリティ監査に引っかかってUTMに準ずるものの設置を求められてるのです
これだけじゃなくてドキュメント類のの不備とか他にも指摘事項がてんこ盛りでてんやわんやです
「おたくの規模は関係ない」という認識で迫られてるので参ってます
997 ：anonymous@fusianasan：2022/11/02(水) 06:49:16.48 ID:???.net: そら規模は関係ないわな
どこの何使うかは費用との相談じゃない？
998 ：anonymous@fusianasan：2022/11/02(水) 07:40:34.58 ID:???.net: >>996
そこそこ知識がある専任入れたほうがいいかもしれんね、fw入れるだけですまなそうだし。
999 ：anonymous@fusianasan：2022/11/02(水) 09:20:04.27 ID:???.net: 当然のリテラシーを求められて参ってるだの困ってるだの言うレベルの相手と良く取引するなぁその相手先
1000 ：sage：2022/11/02(水) 11:19:01.22 ID:gyIIxYUe.net: きちんと、選任の担当者を当てた方が良いでしょうね。
要件もわかりませんし。

要件に合わせた機器選定や設定投入などはお金がかかる話ですし、運用はそれとは別です。
その辺む含めた対策を要求されてるんだと思います

次スレ↓

https://mao.5ch.net/test/read.cgi/network/1667352872/
1001 ：2ch.net投稿限界：Over 1000 Thread: 2ch.netからのレス数が1000に到達しました。

総レス数 1001
274 KB

掲示板に戻る全部前100 次100 最新50

read.cgi ver.24052200