■ このスレッドは過去ログ倉庫に格納されています
Fortigateについて語ろう5
- 1 :anonymous@fusianasan:2020/07/05(日) 00:58:45 ID:???.net
- FortiGateシリーズは、ネットワーク全体を総合的に保護するハードウェアベースの
ネットワーク・プロテクション・ゲートウェイ(NPG)です。
Fortinet社独自開発のABACASTM(Accelerated Behavior and Content Analysis System)
テクノロジと独自のASIC(FortiAsic)ベースアーキテクチャを採用した、次世代
ネットワークプロテクション・アプライアンスです。
ファイアウォール、不正侵入、VPN、トラフィックシェーピングなどネットワークレベル
のサービスに加え、ウィルスプロテクションやコンテンツフィルタリングなどの
アプリケーションレベルのサービス機能も搭載しており、効果的にネットワークを保護します。
FortiGateは、4種類のICSA認定取得をしています。
アンチウイルス、ファイアウォール、IPSec、IDS
セールスポイントは非常に魅力的ですばらしいのですが、
非常に個性的な製品ですので、皆さん助け合って安定稼働に努めましょう。
フォーティネットジャパン
http://www.fortinet.co.jp/
FortiProtect Center
http://www.fortinet.com/FortiProtectCenter/
質問する際には必ずFortiGateの機種、FortiOSのバージョン、 ネットワーク構成・環境を報告してください。
- 743 :anonymous@fusianasan:2022/05/09(月) 23:10:11.43 ID:???.net
- >>742
サンクス
- 744 :anonymous@fusianasan:2022/05/11(水) 21:08:00.69 ID:???.net
- ライセンスの期限が25年1月までのものがあるんだが
同一モデルで今年ライセンス切れるやつがあって
期限長い方の権利でファーム取得して
期限切れのモデルに入れるとかできるのかな。
ファームに日付埋め込まれてて照合でダメって言われるやつかな?
- 745 :anonymous@fusianasan:2022/05/12(木) 00:31:42.60 ID:???.net
- >>744
ライセンス違反だけど入るし動く。
- 746 :anonymous@fusianasan:2022/05/12(木) 10:12:17.12 ID:???.net
- ファーム(OS)の更新は可能
シグネチャーの更新やWebフィルタは利用不可だよ
- 747 :新人君:2022/05/14(土) 04:20:13.54 ID:/H9rvSVD.net
- エスパーの皆様
FortiGate transparent modeについて質問させて下さい。
transparent modeでは、L2として動作するのでルーティングは出来ない認識でいます。
そこで質問なのですが、transparent modeでもCLIでStatic route 設定可能なようなのですが、
transparent modeで、Static route の使い道が分からず・・
PC(192.168.1.1)から1.1.1.1に通信させたい場合、transparent modeで実現できるかをご教示頂きたく。
なお、PCに設定しているゲートウエイは、192.168.1.254で、PCにスタティックルート設定はなしが条件となります。
.1 .10 192.168.1.254/24
PC--------FG---------RT1
|
| 192.168.1.253/24
RT2
| 1.1.1.1/32
- 748 :新人君:2022/05/14(土) 04:21:52.53 ID:/H9rvSVD.net
- すみません、構成図がずれてました・・・
.1 .254
PC--------FG---------RT1
|
| 192.168.1.253/24
RT2
| 1.1.1.1/32
- 749 :新人君:2022/05/14(土) 04:24:12.83 ID:/H9rvSVD.net
- ずれちゃう・・・
RT1 192.168.1.254/24
RT2 192.168.1.253/24
RT2 1.1.1.1/32(loopback)
です。。連投すみません。
- 750 :anonymous@fusianasan:2022/05/14(土) 08:29:39.03 ID:???.net
- Transparentモード使った事ないから知らんけど(じゃぁ答えるなって言われそうやけど)
普通に考えるとそれはFortigate自信がip通信する際に参照するルーティングテーブルじゃないの?
fortigateまたぐL2通信に関係無いやろ?
- 751 :anonymous@fusianasan:2022/05/14(土) 10:02:38.43 ID:???.net
- 管理用IPのルートだね
- 752 :anonymous@fusianasan:2022/05/14(土) 13:45:19.50 ID:???.net
- ルーター間が通信できていればポリシーが許していれば通信可能ですよ
FGTのルーティングは他の人が書いている様に管理用
普通の環境だとFGTがインターネットに出られないとシグネチャーが更新できないからデフォルトルートを設定するよ
- 753 :新人君:2022/05/14(土) 14:00:59.96 ID:/H9rvSVD.net
- エスパーの皆様
有難うございます!
- 754 :anonymous@fusianasan:2022/05/14(土) 14:18:08.37 ID:???.net
- 必要な設定をなしが条件となりますって言われても…
エスパーの皆様って煽りもやめたほうがいいよ。
- 755 :aho:2022/05/14(土) 14:44:27.47 ID:???.net
- NAT使えよNAT
- 756 :anonymous@fusianasan:2022/05/14(土) 19:57:41.86 ID:???.net
- >>747
他の方が回答出しちゃってますが
試しに構成を作ってみました。
RT1はFGTのWAN側でRT2はLAN側のポート接続ですよね?
RT1に1.1.1.1向けのルーティングがあれば繋がりますね。
また、FGTのルーティングをRT2向け、PCのデフォルトGWをFGTしてもPCから1.1.1.1繋がらないので、他の方がおっしゃってる通りFGTのルーティングはFGT本体の通信用ですね。
- 757 :新人君から進化した:2022/05/20(金) 19:16:36 ID:XkQ5QeX7.net
- >>756
求めいていた回答です。
PCでFortigateをゲートウエイにしても1.1.1.1に繋がらないのですね。
トランスペアレントの場合、完全にFrotigate自身のルーティングであること、理解できました。
アザマス。
- 758 :anonymous@fusianasan:2022/05/22(日) 14:34:48.80 ID:???.net
- 少し質問させたください。
少し特殊な環境での構成になるのですが、
WAN接続の無いfortigateのLANポート(192.168.0.1)に、
WAN接続のあるRT@(192.168.0.11)と、
同じくWAN接続のあるRTA(192.168.0.12)が接続されています。
fortigateのデフォルトルートはRT@に向いており、
fortigate自身のDNSやfortiguard等の通信を含め、全てRT@経由でWANに抜けて行きます。
そこまではいいのですが、
RTAではRTAのWAN(pppoe)に外部から着信したhttp,https,icmpのパケットを
静的NAPTでfortigate(192.168.0.1)に転送するように設定されています。
しかしこのままでは、fortigateは返信パケットをデフォルトルートに従いRT@(192.168.0.11)に送信してしまいます。
何とかしてfortigateから発信する一部のプロトコル、ポートを持った通信をデフォルトルート以外に転送することは可能でしょうか。
PBRで色々試してみましたが上手くいきません。
- 759 :anonymous@fusianasan:2022/05/22(日) 16:39:49 ID:???.net
- >>758
vdomで分けるのはダメですか?
- 760 :anonymous@fusianasan:2022/05/22(日) 17:53:44.26 ID:???.net
- >>758
SD-LAN?として、LAN側インターフェイスをsd-wanインターフェイスにぶちこんで。
sdwanルールで書くとかどーお?
- 761 :anonymous@fusianasan:2022/05/22(日) 18:51:49.18 ID:iiGUU5Gm.net
- >>758
Fortigateというより一般的な戻りルートの問題なので
この場合RT①と②では一般的な静的NAPT(Fortigate LAN1に着信するパケットは送信元IPがグローバルIP)ではなく
Ciscoでいう双方向NAT(Fortigate LAN1に着信するパケットは送信元IPが192.168.0.11や12になる)を使うしかないと思います。
- 762 :anonymous@fusianasan:2022/05/22(日) 19:05:23.87 ID:???.net
- 回答ありがとうございます
>>759
FortiManagerに属してるのでVDOM使うと別途ライセンスがいるのです・・・
>>760
試してみましたがPBRと同様に設定したルール道理には動けませんでした。
>>761
たしかにNATを使ったほうが楽なのかもしれません。
動的NATか、逆側IPマスカレードで試してみます。
- 763 :anonymous@fusianasan:2022/05/22(日) 19:20:30.67 ID:???.net
- >>758
192.168.0.0にもう一個インターフェイスだしてSD-WANかな。
RT2のNAPT先をもう一つのインターフェイスにすれば多分RT2に帰ってくれる。
FortiManagerは触ったことないから知らん。
- 764 :anonymous@fusianasan:2022/05/22(日) 22:29:43.09 ID:37JwvNHh.net
- 初心者ですがlonkmonitorについて質問です
https://docs.fortinet.com/document/fortigate/6.0.0/handbook/252877/remote-link-failover
上記構成で記載の設定+左のfortigateを高プライオリティ、overrideを設定した場合ですが、障害箇所が復旧しているかに関わらずpingserver-flip-timeout 分経過すれば切り戻ってしまう認識ですが、それを止める設定は何かあるでしょうか
flip-timeout が経過した際にプライマリ選定を行い、左がプライマリに戻ってしまうため通信断が起きるのを避けたいです。
- 765 :anonymous@fusianasan:2022/05/22(日) 23:05:13.57 ID:iiGUU5Gm.net
- >>764
flip-timeoutを最大値2147483647min=4083年にしておけばとりあえず自動で切り戻らなくなるのでは。使ったことないけど。
切り戻したいタイミングで手動で1にして、切り戻してからまた最大値にする運用すれば目的に近いということで。。。
- 766 :anonymous@fusianasan:2022/05/23(月) 00:23:36.26 ID:???.net
- >>765
回答ありがとうございます。
時間長くすればその間は切り戻らないのはそうなのですが、復旧してるなら最短で切り戻したいということでして、、
あまり資料も見つからず、使われていない設定なのですかね
- 767 :anonymous@fusianasan:2022/05/23(月) 00:44:16.33 ID:???.net
- >>758
RT2から来る通信の送信元を絞れるなら対応可能
- 768 :anonymous@fusianasan:2022/05/23(月) 02:43:57.60 ID:???.net
- >>767
それって送信元のスタティック書くだけ?だったら、ここに質問しなくね?
- 769 :anonymous@fusianasan:2022/05/23(月) 13:42:35.81 ID:???.net
- >>767
>>768
送信元が固定ならスタティックで何とかなったのですが、動的IPなので難しいです
一応、逆NAPTでRTAのWANからくるfortigate宛のパケットの送信元をRTAのLAN側IPに変換して一応解決しました。
ありがとうございます
- 770 :anonymous@fusianasan:2022/05/24(火) 12:55:18.86 ID:???.net
- >>766
sdwanがあるし、linkmonあんま使われないと思う。お力になれずスマン
- 771 :anonymous@fusianasan:2022/05/25(水) 22:32:24.18 ID:fsAGyccO.net
- linkmonitorがどうかに頭使うより
使わんように頭と金使う方がみんな幸せな気がする
- 772 :anonymous@fusianasan:2022/05/26(木) 00:11:30.08 ID:???.net
- >>771
お金使うなら、誰でもできるだろ
- 773 :anonymous@fusianasan:2022/05/26(木) 14:03:15.24 ID:mnA+KO/f.net
- おっしゃる通りです
失礼しました
- 774 :anonymous@fusianasan:2022/05/27(金) 08:41:10.67 ID:???.net
- v6ブラスからのIPv6-RAをfortigateを介してLANに流しているはずなのだが、iPadだけIPv6で通信できない。IPv6グローバルアドレスは割り振られているのに…
MS-WindowsとAndroidはIPv6で通信できるのに…
iPadは何が気に入らないのだろう?
- 775 :anonymous@fusianasan:2022/05/27(金) 11:48:33.41 ID:???.net
- プライベートWi-Fiアドレスとか
- 776 :anonymous@fusianasan:2022/05/29(日) 23:28:19.98 ID:???.net
- トラシューでログとか見れない人だったら、ぶっちゃけバッファローとか使ったほうがいいっすよ
- 777 :anonymous@fusianasan:2022/05/30(月) 01:28:58.10 ID:???.net
- >>776
解決案も出さない癖に、他機種をすすめるような煽りするのは病院おすすめする
>>774
ドロやあいぽんで可能ならば、ipad側v6の何らかじゃないかい?fortidocsやらで探って見つかんなきゃ、キャプチャしてみるしかないな
- 778 :anonymous@fusianasan:2022/05/30(月) 09:20:25.65 ID:???.net
- そもそも質問なんかね
- 779 :anonymous@fusianasan:2022/05/30(月) 16:11:14.90 ID:m0iFqttg.net
- >>774
これ抜けなく全部やってるかチェックしては。
https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-jpne-v6plus.pdf
v6 DNSかND Proxyあたりが怪しい気がするけど。
- 780 :anonymous@fusianasan:2022/05/30(月) 23:10:45.52 ID:???.net
- ドキュメント読んだり、ログ見たり、パケットキャプチャ取って確認したりでやることはいろいろあるんだけど
ここで質問する人は一発で解決する答えを聞きに来てる感じだからそのあたりの解析作業をすることはほぼない
- 781 :anonymous@fusianasan:2022/05/31(火) 09:27:33.00 ID:???.net
- 質問自体が低レベルな奴は煽られるのが5ch
ここは煽られながら情報を得る所だ
- 782 :anonymous@fusianasan:2022/06/02(木) 08:16:26.16 ID:???.net
- 大原則、趣味で中古買ったなら自己解決が基本
仕事で納めるために買ったならサポートに聞くとかできるだろ、Fortiなら図研かSBだろ?
- 783 :anonymous@fusianasan:2022/06/02(木) 12:30:43.05 ID:9588vqFk.net
- 教えたがりがいるし、別にいいとおもうけど。ここで聞いたって。
- 784 :aho:2022/06/02(木) 19:43:37.95 ID:???.net
- v7.0行こうぜ
- 785 :anonymous@fusianasan:2022/06/02(木) 20:41:27.89 ID:???.net
- 在庫なくね?
scskとか大手からは即入できるのかな
- 786 :anonymous@fusianasan:2022/06/03(金) 07:11:10.01 ID:???.net
- >>785
scskで40fなら納期2週間ほど。
80fまではそれなりに在庫ありました。
値上げすごいけど。
- 787 :774:2022/06/04(土) 05:05:12.64 ID:???.net
- みんなありがとう
時間が取れたので調べました
とりあえず以下の事象が判明したので、サポートへ投げてみました
1.iPad のみ、wan 側の IPv6 アドレス宛に ping を飛ばすと応答パケットが Fortigate 内で止まり internal 側へ送出されない
2.iPad に割り振られた IPv6 アドレスのみ Fortigate の route table に登録されていない
Windows と Android に割り振られたアドレスは、"diagnose ipv6 route list" コマンドで経路情報が表示される
https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-jpne-v6plus.pdf
については、設定しているつもり
ただ、config firewall policy の srcintf と dstintf は書式が違うはずで、internal->wan1しか許してはいけないのではないかな
- 788 :anonymous@fusianasan:2022/06/12(日) 09:06:01.36 ID:/TrsoRsS.net
- サポートの回答はどうでしたか?
- 789 :774:2022/06/12(日) 10:50:18.69 ID:???.net
- バージョン7.2.0は上げすぎでサポートしないので、7.0.5に下げろとか
- 790 :anonymous@fusianasan:2022/06/13(月) 01:04:54.49 ID:???.net
- >>783
解決のための相談に乗ってくれる人はいる
でも、相談者は調査方法じゃなくてダイレクトに答えがほしいだけだからね
調査しないとその答えが出ないですよってことを相談者はなかなか理解してくれない
- 791 :anonymous@fusianasan:2022/06/15(水) 14:52:42.21 ID:???.net
- まだ日本の代理店サポートに期待してるの?
最新版には追従できず古いバージョンしかサポートできない連中だよ
- 792 :anonymous@fusianasan:2022/06/15(水) 19:24:16.01 ID:???.net
- Fortiの最新版はバグ多いからな
v7.2系とか現状オープンベータ版みたいなもん
何で複数メジャーバージョンでアップデート出してるのか知らん無知が増えたな
- 793 :anonymous@fusianasan:2022/06/15(水) 20:48:55.32 ID:???.net
- 開発したメーカーですらまともに対応出来ませんからww
- 794 :anonymous@fusianasan:2022/06/16(木) 00:04:43.41 ID:???.net
- >>793
メーカーですら対応出来ない問題も報告、解析してくれるコミュニティもあっての新ファームだしな
問題はメーカーに丸投げ的な考えの多そうな日本人向けではないけど
- 795 :anonymous@fusianasan:2022/06/17(金) 12:24:19.17 ID:???.net
- 保守無しでファーム手に入んないのかよ!
そう思うとメジャーバージョンアップすら無料のWindowsは神だな。
- 796 :sage:2022/06/17(金) 13:03:43.29 ID:???.net
- マルチVDOM環境でVDOM作って
配下のvdomでWebフィルタリングの詳細設定しようとすると
スタティックURLフィルタのところで
--------------------
無効なURLをブロック
URLフィルタ
FortiSandboxにより検知された悪意のあるURLをブロック
コンテンツフィルタ
--------------------
あるはずが
「URLフィルタ」と「コンテンツフィルタ」が表示されなくなるんだけどなんで?
FG50E
6.2.10 build1263 (GA)なんだけど
- 797 :anonymous@fusianasan:2022/06/19(日) 11:40:48.80 ID:???.net
- >>796
CLIで確認したん?
- 798 :anonymous@fusianasan:2022/06/22(水) 22:32:03.85 ID:gqCCrR07.net
- ちょっと教えてほしい。
FortiGateでIPSEC-VPN冗長構成を検討している。
DC側は、ISP-A,ISP-Bの2回線。RT#1,RT#2はBGPしゃべってなくて、単純に回線収容してるだけ。
拠点側FGは、DC側FGのISP-A,ISP-Bグローバル向けのIPSECピアを2つ設定。(local idをメイン、バックアップで設定)
DC側FGは、拠点向けにset peertype oneで、メイン、バックアップを設定。
DC側FGは、フローティングスタティックを使って、通常時はデフォルトルートをISP-A、障害時はISP-Bとする。
ここまではいいんだけど、ここから先が疑問。
通常時、拠点FGから、ISP-BのグローバルIPに対してVPNトンネルを張りに来た際に、VPN応答はISP-A回線経由で返してしまうはず。
そこで、FortiGate自発パケットに対してローカルPBRが実装できれば解決できると思ったんだけど、実装できなそう・・・・
こういう構成の時って、どうやるのが好ましいのかな・・
まぁ、VPNトンネル張るだけだから、ISP-A経由で戻してもそこのバックボーン内で送信元ISP-BのIPが拒否されていなければ、
問題は発生しないとは思ってるけども。
[拠点FG]
||
[インターネット]
| |
| |
ISP-A ISP-B
| |
| |
RT#1 RT#2
| |
| |
wan1 wan2
[ DC側 FG]
- 799 :anonymous@fusianasan:2022/06/22(水) 23:00:38.60 ID:???.net
- Router外してFGで直収すればいい
- 800 :anonymous@fusianasan:2022/06/22(水) 23:36:49.18 ID:???.net
- DC側FGで拠点側ISP-Bのグローバル宛ホストスートをwan2に指定する
- 801 :anonymous@fusianasan:2022/06/22(水) 23:50:22.73 ID:???.net
- >>798
検証はしてないから正確では無いかも知れんが
FortigateのIPSecピアは個別に出力インターフェースが設定出来るから
出力インターフェースごとにルーティングされると思われる
IPSecピアごとの出力インターフェース指定とか普通のルーターには無いし
VPN通信自体が使うIPSecピアの切り替えはSD-WANやらリンクモニターやらルーティングプロトコルやらを適当にやればどうにかなるはず
- 802 :anonymous@fusianasan:2022/06/23(木) 00:00:33.12 ID:???.net
- 通常は着信したインターフェースから返す仕様
なのでwan2に着信があったらwan2から返す
フローティングスタティックの設定が具体的にどうなってるかわかんないけど
wan2側もルーティングテーブルがないと
RPFチェックで落ちると思うのでそのあたりは要確認
- 803 :anonymous@fusianasan:2022/06/23(木) 08:11:57.77 ID:oaTYYQXh.net
- ありがとう!
検証してみる!
- 804 :anonymous@fusianasan:2022/06/23(木) 12:49:45.15 ID:???.net
- 設定に困ったとき相談できる窓口があるサポート会社はどこ?
- 805 :anonymous@fusianasan:2022/06/23(木) 14:53:56.41 ID:???.net
- どこでも相談できるよ、金さえ払えば
- 806 :anonymous@fusianasan:2022/06/23(木) 18:41:10.34 ID:???.net
- >>804
保守に付いてくるよ
- 807 :anonymous@fusianasan:2022/06/24(金) 12:33:22.14 ID:???.net
- >>805
ほんと?
2社と契約しているが、障害対応は受けるが今から設定する内容の相談は営業窓口って言われるぞ
保守窓口で答えてくれることもあるが突っ込んだら営業へとなる
- 808 :anonymous@fusianasan:2022/06/24(金) 15:55:36.01 ID:???.net
- 話がかみ合ってないな
- 809 :anonymous@fusianasan:2022/06/24(金) 17:13:18.94 ID:???.net
- 保守の意味ググれ
- 810 :anonymous@fusianasan:2022/06/24(金) 18:12:28.25 ID:???.net
- アホの極み
保守内容なんてそれぞれ違う
- 811 :anonymous@fusianasan:2022/06/24(金) 18:17:09.29 ID:???.net
- もしかしてファームのアップとか設定変更とか保守?
修理点検のみ?
いろんな捉え方あり?
それとも俺の思っている保守内容が世界共通?って人か?
- 812 :anonymous@fusianasan:2022/06/24(金) 18:46:20.68 ID:???.net
- どこまで対応してもらえるのかは契約内容確認すればいいんじゃないでしょうか
- 813 :anonymous@fusianasan:2022/06/24(金) 19:03:31.25 ID:???.net
- 保守の意味は辞書通りに決まってる
保守範疇は契約内容によって違う
当たり前だろ
これがごっちゃになってて話が通じてない
- 814 :anonymous@fusianasan:2022/06/24(金) 20:55:33.75 ID:???.net
- >>813
変なこと場遊びはせず普通に会話しろや
- 815 :anonymous@fusianasan:2022/06/24(金) 20:56:40.38 ID:???.net
- >>812
804に戻った気がするのは気のせいか?
- 816 :anonymous@fusianasan:2022/06/24(金) 21:13:04.30 ID:???.net
- >>804
導入時にできてたことがなにもしてないのにできなくなったのなら保守窓口。
新しいことをやるなら予算用意して営業に連絡。
金出さないやつが聞ける場所はこことヤフー知恵袋。
- 817 :anonymous@fusianasan:2022/06/24(金) 21:17:05.62 ID:???.net
- ソフトバンクはQA技術支援も含むって書いてあるけど、
費用浮かすために技術もないくせに自前で構築しようとして何とも行かなくなってメーカーサポートに設計紛いの質問するのはルール違反だと思う。
- 818 :anonymous@fusianasan:2022/06/24(金) 22:14:28.87 ID:???.net
- 正直メーカーに連絡するよりシステムベンダに依頼すべきじゃね
メーカーの営業経由でベンダー紹介してもらってもいいけどさ
- 819 :anonymous@fusianasan:2022/06/25(土) 06:34:07.03 ID:???.net
- そのシステムベンダーですが、メーカーサポートに
技術的な質問してもたいした答えは返ってこない。
- 820 :anonymous@fusianasan:2022/06/25(土) 08:23:35.10 ID:???.net
- ソフトバンクはやるのかな?
せめてコマンドマニュアルとか設定例くらいメーカーで普通に公開してほしいな(日本語で)
あと導入してもよいファームもサポート会社で違うのも面倒だわ
ファーム何使うのが良い?ってくらいの質問でも同じサポート会社でも答える時と答えない時あるし
柔軟に対応しているとも言えるが
でもここにかいている奴ら、保守と保守契約なんて言うのに
メーカーとパートナーと販売店とシステムベンダー区別してないのか?
メーカーは直接サポート契約しないからメーカーサポートと窓口持っているのは限られてるぞ
俺はメーカーの人と話したことはあるがサポートを依頼したことはないな(依頼しているのを目撃したことはある)
- 821 :,:2022/06/25(土) 09:40:59.83 ID:???.net
- いったいどこのワンオペ病院
逆ギレすんな
- 822 :anonymous@fusianasan:2022/06/25(土) 09:54:30.76 ID:???.net
- 聞けるところにはダメもとでも聞いてみるってのはいいと思うけどな
ただ、相手が答えやすい様な質問・状況は準備した方が良いとは思う。
・商談には関係ない別件の質問だけど、協業途中だから相手に無視させにくい状況で聞くとか
・アンサーを求めるんじゃなくて、気づいたことないですかね?っていうあくまでヒントをもらうとか
(材料準備したからやってくれ じゃなく ここんところどう切ったらいいですかね 的な)
結局ディストリビューターのバックエンジニアだって自分のやったことないのは
自社のサポートDBみたいなの調べるしかないし、それで見つかんなきゃ
ちょっとググって無さそうならシラネって言いたいだろうし
自分はファームバージョン選定の時は仕入れたディストリビューターの窓口に
「貴社がサポートが可能とする、推奨バージョンは何ですか?」ってメールで聞く。
なんか起こった時に巻き込みやすいかなって。
- 823 :anonymous@fusianasan:2022/06/25(土) 11:50:07.49 ID:???.net
- >>822
ファーム同じようにメールで聞いたことあるよ
今新規ならこれって教えてくれるときもあれば
推奨は特に無いよと言われたこともある
相手次第だよな
- 824 :anonymous@fusianasan:2022/06/26(日) 01:10:10.88 ID:???.net
- セキュリティベンダの推奨は基本は最新OS / 最新パッチだよ
それ以外答えようはない
- 825 :anonymous@fusianasan:2022/06/26(日) 01:42:52.08 ID:???.net
- >>824
技術質問の契約ない保守は、それだけだろうな
- 826 :anonymous@fusianasan:2022/06/26(日) 06:37:00.41 ID:???.net
- 日本のベンダーは自前で動作チェックしたものだけ公開してるから、メーカーの最新とは限らない。
それでわかるだろ。
- 827 :anonymous@fusianasan:2022/06/26(日) 09:10:13.94 ID:???.net
- >>787
iPhoneやiPad、MACアドレス固定にしてる?
- 828 :anonymous@fusianasan:2022/06/26(日) 15:00:59.71 ID:???.net
- >>824
枯れたメジャーバージョンの最新セキュリティアップデート版が推奨されるだろ
最新メジャーバージョンとかまともなセキュリティーベンダーなら推奨しない
- 829 :anonymous@fusianasan:2022/06/26(日) 19:03:20.17 ID:???.net
- >>824
どこがそんな回答してくれたのか知りたい
今契約しているところは指定バージョン以外を入れたら保守対象外と言われた
しかも指定バージョンが無茶苦茶古く6.2とか言うし
そんなんが最初なら乗り換えたいわ
どこが7.2とか7.4やってくれる?
- 830 :anonymous@fusianasan:2022/06/26(日) 19:55:14.57 ID:???.net
- >>829
さすがに6.2は古いな
自分の取引してる所の代理店は出荷が6.4系、サポートが6.2,6.4,7.0系になってるわ
7.0系も最近になって7.0.5あたりでサポートし出した感じ
- 831 :anonymous@fusianasan:2022/06/26(日) 19:59:23.52 ID:???.net
- >>830
ちなみに最新OSはメモリリークしたり機能バグする多いからほぼバグテスターのようなもん
7.2系なんかバグったら公式フォーラムでサポート依頼しながらバグ前提で使うもんだから普通の代理店はサポートとか期待しないわ
- 832 :anonymous@fusianasan:2022/06/26(日) 20:08:17.90 ID:d3w6xT8i.net
- 7.2はまだ怖いなー
自分の経験上だけど、Patch3以降ぐらいからじゃないかなー、導入奨められるのは。
中には、Patch5ぐらいじゃないと、怖いバージョンもあるかもだけど。
- 833 :anonymous@fusianasan:2022/06/27(月) 06:46:07.63 ID:???.net
- >>829
6.2までのモデルもあるけどそれじゃなくてか?
それ以外だと6.2は標準サポート終了して延長サポート突入済み
- 834 :anonymous@fusianasan:2022/06/27(月) 14:34:02.69 ID:5Y8wE/h6.net
- 上の方でFortiGate+どこかのAPを使ってiPhoneがIPv6で外に抜けないと言ってる人がいたけどウチでも同様になってる。
Windows PC2台とAndroid3台はIPv6で外に抜けるしIPv4もDS-Liteで使えてる。
ちなみにiPhoneでもIPv4はDS-Lite(IPv4 over IPv6)で使えてる。
環境は下記の通り。
・FortiGate 60E(7.0.6)ちなみに7.2.0でも同様だった。
・NTT西+朝日ネット(IPoE + DS-Lite)IP非固定
・iPhone SE2(15.5),iPhone XS(15.5),iPad mini2(12.5.5)
https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-internet-multifeed-ipoe-ds-lite_fos702.pdf
この辺のFortinetの資料はOCN IPoEのものやアルテリアのものも参考にしていて、WAN固定IPサービス部分を除き同じ事を実施済み。
iPhoneはIPv6アドレスを取得していて、PCとiPhone間でv6でのICMPは疎通OK
しかしiPhoneから外向けのv6アドレスにはping疎通NG
iPhoneやAndroidはinternal側の同一サブネットにいるためF/Wポリシーも同一。
ちなみにiPhoneでも下記設定を施したRTX1200配下からはv6アドレスで外に抜けていたし今戻してみてもちゃんとv6を使用できた。
https://network.yamaha.com/setting/router_firewall/flets/flets_other_service/ipv6_ipoe
FortiGate 60Eの何らかの設定が足らないか過剰なのか不明だけどFortiGate+iPhone(iOS)ならではの問題がありそうなのは確か。
- 835 :anonymous@fusianasan:2022/06/27(月) 15:08:27.68 ID:???.net
- デバッグログ、パケットキャプチャみて調査するしかないんじゃないでしょうか
うちはiPhone13 miniで問題なくIPv6で繋がってます(7.0.6、test-ipv6で10/10)
nd-proxyとIPv6 firewall policyがあればいいはず
- 836 :834:2022/06/27(月) 16:26:19.56 ID:5Y8wE/h6.net
- >>835
ありがとうございます。
v6のポリシーは上記URLのPDFのものと同じなんですが足らないんですかね。。
その他関係ありそうなところで今設定してるのは下記くらいです。
FGT60E # show system nd-proxy
config system nd-proxy
set status enable
set member "wan1" "internal"
end
FGT60E # show system interface wan1
config system interface
edit "wan1"
set vdom "root"
set type physical
set role wan
set snmp-index 1
config ipv6
set ip6-allowaccess ping
set dhcp6-information-request enable
set autoconf enable
set unique-autoconf-addr enable
end
next
end
wan1がRAで取得したv6アドレスにinternalのPC,Androidからはping通るけど
iphoneからは通らないのがそもそもの問題な気がしてきた。
- 837 :anonymous@fusianasan:2022/06/27(月) 17:31:09.77 ID:6lJlu2iS.net
- 教えてください。
FortigateでSSL-VPNのサーバ証明書をFortigateのWebGUIのLetsEncryptから生成出来ると思います。
この証明書は3ヶ月で期限切れになりますが、自動更新は出来るのでしょうか?
同一ドメイン作成はできないようなので、自動更新ができない場合、一旦既存の証明書を削除して作り直しするしかなさそうですが。。
- 838 :834:2022/06/27(月) 19:45:32.49 ID:5Y8wE/h6.net
- 分かった事はiPhoneからFortiGate 60Eのwan1のv6アドレスに一度pingを実行すれば、外にあるWebサーバのv6アドレス宛にもpingが届きHTTPアクセスもOKでv6アドレスがApacheのログに記録される。
しかし、iPhoneのWi-Fiを一度OFFにして再度ONにした後にiPhoneが新しいv6アドレスを取得するとまたping NGになる。
で、またFortiGate 60Eのwan1にpingを実行した後にはまた疎通OKになるというループ。
何かND-Proxyの動きがおかしいようなルートがおかしいような。
でもこんな動きするのiPhoneだけだしなぁ。
FortiGateに設定しているStatic routeはDS-Lite向けのipv4のvne.rootトンネル向けだけであり、ipv6のStatic routeは未設定。
でもFortiGate自身やiPhone以外は問題が出ていないという状況です。
- 839 :anonymous@fusianasan:2022/06/27(月) 20:04:37.79 ID:???.net
- プライベートアドレスにしていてMACアドレス変わったけどネイバーテーブルが更新されてないとかあるのかも
まわりの状況だけだと判断つかないので、デバッグログ取ったりパケットキャプチャ取ったりしてご自身でログを確認されることをおすすめします
- 840 :anonymous@fusianasan:2022/06/27(月) 21:19:44.13 ID:???.net
- なんか無能ってログ見ないよなあ
- 841 :anonymous@fusianasan:2022/06/27(月) 21:38:54.66 ID:???.net
- >>838
騙されたと思ってiPhoneのWi-Fi設定のプライベートWi-FiアドレスをOFFにしてみるのだ
- 842 :834:2022/06/28(火) 10:01:42.69 ID:utqQV6JZ.net
- iPhoneのプライベートWi-FiをOFFった状態でも上記と全く同じ現象でした。
疎通NGの際のログには発信は数バイトあるけど着信は0バイトという現象。
キャプチャは取って中身見てみたけどAndroidとは違う流れになっている事は分かったもののもう少し時間かけて調べてみます。
総レス数 1001
274 KB
新着レスの表示
掲示板に戻る
全部
前100
次100
最新50
read.cgi ver.24052200