Fortigateについて語ろう5

1 ：anonymous@fusianasan：2020/07/05(日) 00:58:45 ID:???.net

FortiGateシリーズは、ネットワーク全体を総合的に保護するハードウェアベースの
ネットワーク・プロテクション・ゲートウェイ（NPG）です。
Fortinet社独自開発のABACASTM(Accelerated Behavior and Content Analysis System)
テクノロジと独自のASIC（FortiAsic）ベースアーキテクチャを採用した、次世代
ネットワークプロテクション・アプライアンスです。
ファイアウォール、不正侵入、VPN、トラフィックシェーピングなどネットワークレベル
のサービスに加え、ウィルスプロテクションやコンテンツフィルタリングなどの
アプリケーションレベルのサービス機能も搭載しており、効果的にネットワークを保護します。
FortiGateは、4種類のICSA認定取得をしています。
アンチウイルス、ファイアウォール、IPSec、IDS

セールスポイントは非常に魅力的ですばらしいのですが、
非常に個性的な製品ですので、皆さん助け合って安定稼働に努めましょう。

フォーティネットジャパン
http://www.fortinet.co.jp/
FortiProtect Center
http://www.fortinet.com/FortiProtectCenter/

質問する際には必ずFortiGateの機種、FortiOSのバージョン、 ネットワーク構成・環境を報告してください。

827 ：anonymous@fusianasan：2022/06/26(日) 09:10:13.94 ID:???.net

>>787
iPhoneやiPad、MACアドレス固定にしてる？

828 ：anonymous@fusianasan：2022/06/26(日) 15:00:59.71 ID:???.net

>>824
枯れたメジャーバージョンの最新セキュリティアップデート版が推奨されるだろ
最新メジャーバージョンとかまともなセキュリティーベンダーなら推奨しない

829 ：anonymous@fusianasan：2022/06/26(日) 19:03:20.17 ID:???.net

>>824
どこがそんな回答してくれたのか知りたい
今契約しているところは指定バージョン以外を入れたら保守対象外と言われた
しかも指定バージョンが無茶苦茶古く6.2とか言うし
そんなんが最初なら乗り換えたいわ
どこが7.2とか7.4やってくれる？

830 ：anonymous@fusianasan：2022/06/26(日) 19:55:14.57 ID:???.net

>>829
さすがに6.2は古いな
自分の取引してる所の代理店は出荷が6.4系、サポートが6.2,6.4,7.0系になってるわ
7.0系も最近になって7.0.5あたりでサポートし出した感じ

831 ：anonymous@fusianasan：2022/06/26(日) 19:59:23.52 ID:???.net

>>830
ちなみに最新OSはメモリリークしたり機能バグする多いからほぼバグテスターのようなもん
7.2系なんかバグったら公式フォーラムでサポート依頼しながらバグ前提で使うもんだから普通の代理店はサポートとか期待しないわ

832 ：anonymous@fusianasan：2022/06/26(日) 20:08:17.90 ID:d3w6xT8i.net

7.2はまだ怖いなー
自分の経験上だけど、Patch3以降ぐらいからじゃないかなー、導入奨められるのは。
中には、Patch5ぐらいじゃないと、怖いバージョンもあるかもだけど。

833 ：anonymous@fusianasan：2022/06/27(月) 06:46:07.63 ID:???.net

>>829
6.2までのモデルもあるけどそれじゃなくてか？
それ以外だと6.2は標準サポート終了して延長サポート突入済み

834 ：anonymous@fusianasan：2022/06/27(月) 14:34:02.69 ID:5Y8wE/h6.net

上の方でFortiGate＋どこかのAPを使ってiPhoneがIPv6で外に抜けないと言ってる人がいたけどウチでも同様になってる。
Windows PC2台とAndroid3台はIPv6で外に抜けるしIPv4もDS-Liteで使えてる。
ちなみにiPhoneでもIPv4はDS-Lite（IPv4 over IPv6）で使えてる。

環境は下記の通り。
・FortiGate 60E（7.0.6）ちなみに7.2.0でも同様だった。
・NTT西＋朝日ネット（IPoE + DS-Lite）IP非固定
・iPhone SE2(15.5),iPhone XS(15.5),iPad mini2(12.5.5)

https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-internet-multifeed-ipoe-ds-lite_fos702.pdf
この辺のFortinetの資料はOCN IPoEのものやアルテリアのものも参考にしていて、WAN固定IPサービス部分を除き同じ事を実施済み。

iPhoneはIPv6アドレスを取得していて、PCとiPhone間でv6でのICMPは疎通OK
しかしiPhoneから外向けのv6アドレスにはping疎通NG

iPhoneやAndroidはinternal側の同一サブネットにいるためF/Wポリシーも同一。
ちなみにiPhoneでも下記設定を施したRTX1200配下からはv6アドレスで外に抜けていたし今戻してみてもちゃんとv6を使用できた。
https://network.yamaha.com/setting/router_firewall/flets/flets_other_service/ipv6_ipoe

FortiGate 60Eの何らかの設定が足らないか過剰なのか不明だけどFortiGate＋iPhone（iOS）ならではの問題がありそうなのは確か。

835 ：anonymous@fusianasan：2022/06/27(月) 15:08:27.68 ID:???.net

デバッグログ、パケットキャプチャみて調査するしかないんじゃないでしょうか
うちはiPhone13 miniで問題なくIPv6で繋がってます（7.0.6、test-ipv6で10/10）
nd-proxyとIPv6 firewall policyがあればいいはず

836 ：834：2022/06/27(月) 16:26:19.56 ID:5Y8wE/h6.net

>>835
ありがとうございます。

v6のポリシーは上記URLのPDFのものと同じなんですが足らないんですかね。。
その他関係ありそうなところで今設定してるのは下記くらいです。

FGT60E # show system nd-proxy
config system nd-proxy
set status enable
set member "wan1" "internal"
end

FGT60E # show system interface wan1
config system interface
edit "wan1"
set vdom "root"
set type physical
set role wan
set snmp-index 1
config ipv6
set ip6-allowaccess ping
set dhcp6-information-request enable
set autoconf enable
set unique-autoconf-addr enable
end
next
end

wan1がRAで取得したv6アドレスにinternalのPC,Androidからはping通るけど
iphoneからは通らないのがそもそもの問題な気がしてきた。

837 ：anonymous@fusianasan：2022/06/27(月) 17:31:09.77 ID:6lJlu2iS.net

教えてください。
FortigateでSSL-VPNのサーバ証明書をFortigateのWebGUIのLetsEncryptから生成出来ると思います。
この証明書は3ヶ月で期限切れになりますが、自動更新は出来るのでしょうか？
同一ドメイン作成はできないようなので、自動更新ができない場合、一旦既存の証明書を削除して作り直しするしかなさそうですが。。

838 ：834：2022/06/27(月) 19:45:32.49 ID:5Y8wE/h6.net

分かった事はiPhoneからFortiGate 60Eのwan1のv6アドレスに一度pingを実行すれば、外にあるWebサーバのv6アドレス宛にもpingが届きHTTPアクセスもOKでv6アドレスがApacheのログに記録される。
しかし、iPhoneのWi-Fiを一度OFFにして再度ONにした後にiPhoneが新しいv6アドレスを取得するとまたping NGになる。
で、またFortiGate 60Eのwan1にpingを実行した後にはまた疎通OKになるというループ。

何かND-Proxyの動きがおかしいようなルートがおかしいような。
でもこんな動きするのiPhoneだけだしなぁ。

FortiGateに設定しているStatic routeはDS-Lite向けのipv4のvne.rootトンネル向けだけであり、ipv6のStatic routeは未設定。
でもFortiGate自身やiPhone以外は問題が出ていないという状況です。

839 ：anonymous@fusianasan：2022/06/27(月) 20:04:37.79 ID:???.net

プライベートアドレスにしていてMACアドレス変わったけどネイバーテーブルが更新されてないとかあるのかも
まわりの状況だけだと判断つかないので、デバッグログ取ったりパケットキャプチャ取ったりしてご自身でログを確認されることをおすすめします

840 ：anonymous@fusianasan：2022/06/27(月) 21:19:44.13 ID:???.net

なんか無能ってログ見ないよなあ

841 ：anonymous@fusianasan：2022/06/27(月) 21:38:54.66 ID:???.net

>>838
騙されたと思ってiPhoneのWi-Fi設定のプライベートWi-FiアドレスをOFFにしてみるのだ

842 ：834：2022/06/28(火) 10:01:42.69 ID:utqQV6JZ.net

iPhoneのプライベートWi-FiをOFFった状態でも上記と全く同じ現象でした。
疎通NGの際のログには発信は数バイトあるけど着信は0バイトという現象。

キャプチャは取って中身見てみたけどAndroidとは違う流れになっている事は分かったもののもう少し時間かけて調べてみます。

843 ：837：2022/06/28(火) 11:31:29.63 ID:Pi3bkKB4.net

>>837
なんか今日見たら更新されてました。
勝手に自動更新になるんですかね。。

844 ：anonymous@fusianasan：2022/06/29(水) 10:16:11.25 ID:???.net

>>837
ACMEの設定していれば自動更新されるのではないでしょうか。

https://docs.fortinet.com/document/fortigate/7.0.0/new-features/822087/acme-certificate-support

845 ：837：2022/06/29(水) 10:58:24.60 ID:LzIvgFYO.net

>>844
なるほど。
設定はコマンドでは無くGUIで設定しその時は証明署名・ドメイン（FQDN）、メールの入力だけで自動プロビジョニングが
開始されたのでACMEは意識してませんでしたが、たしかにconfig上では設定されてました。
ウィザードで設定すると勝手にWAN側ポートを認識しACMEポートとして設定されて、期間が近づいたら自動で更新される
ようになっているようですね。
ありがとうございます。

846 ：anonymous@fusianasan：2022/07/03(日) 17:36:13.68 ID:???.net

スレチで申し訳ないのですが、専用スレがなかったためこちらで訊かせてください。
接続はWindows機一台のみで、パロアルトのPA-200の中古を検討しているのですが、データシートを読むと
FWスループット100Mbps、脅威防御スループット50Mbps、新規セッション1000/sとありました。

Windows機は、ガッツリ帯域を食うようなことはしていません。
一台のみの接続台数であれば、この機種でまかなえるでしょうか？

847 ：anonymous@fusianasan：2022/07/03(日) 20:21:32.89 ID:bNEsXoAp.net

>>846
パロの中古なんて買ってまともに動くの？保守なしアプデなしでしょ？

848 ：anonymous@fusianasan：2022/07/03(日) 20:58:14.45 ID:???.net

>>847
ヤフオクを見るとコンスタントに売れてるんですよね…アプデについては、2022/6/25付でパッチはされてるようです。
ちなみにこれを狙っていました↓
https://page.auctions.yahoo.co.jp/jp/auction/o1055757960

849 ：anonymous@fusianasan：2022/07/03(日) 20:59:07.02 ID:???.net

FotiOSを7.0.5から7.0.6に上げると、explicit proxy経由で@Niftyメールなど一部のWebサイトにアクセスできなくなるな

障害報告上げようかと思ったけど、めんどくせ…

850 ：anonymous@fusianasan：2022/07/03(日) 21:22:40.90 ID:???.net

>>848
高すぎる
200系はGUI動かすのすら苦労するし、今は検証用にしか使えない性能
ヤフオクで買うなら送料込みで3000円が限界

851 ：anonymous@fusianasan：2022/07/03(日) 21:30:23.92 ID:???.net

>>850
そうなんですか…PC1台だけならそれほど重くならないはずと思っていたのですが、
厳しいかぁ。

ちなみに、GUIを動かすのが苦労するというのは設定が複雑すぎるということでしょうか？
Fortigateより煩雑なら選択肢から外した方がいいかもしれませんね

852 ：anonymous@fusianasan：2022/07/03(日) 22:35:10.53 ID:???.net

2011年11月発売の機種でパフォーマンスも今の時代からすると低すぎる
無料でも要らないかな

853 ：anonymous@fusianasan：2022/07/03(日) 22:44:14.02 ID:???.net

それほど低機能なのに、ヤフオクに出したら13000円となると、やはり元の定価が非常に高いからなんでしょうね。
ありがとうございましたm(_ _ )m

854 ：anonymous@fusianasan：2022/07/06(水) 10:00:53.29 ID:DAqWYIBs.net

IPsecで冗長化か考えてた人はSD-WANメンバーにWANもVPNインターフェイスも突っ込んで
SD-WANポリシー書いてあげたら幸せになれるよ。
リンクモニターするためにVPNにアドレス振ってあげてね。ping許可も。

855 ：兵隊。：2022/07/07(木) 19:16:23.58 ID:KCvTdPqO.net

FortiGateを最近業務で触り始めたんだけど、やれることが多くてどこから突っ込んで勉強したら
ええのや・・・

ちょうど話題に出てる,SD-WAN,IPSECやらをからめた構成で検証してみるのがよいですかね？
これ検証したらいい勉強になるぜ。　みたいなのがあれば、教えてほしい。

856 ：anonymous@fusianasan：2022/07/07(木) 19:27:31.18 ID:???.net

公式cookbook

857 ：anonymous@fusianasan：2022/07/09(土) 15:17:35.50 ID:???.net

英語読めないんで日本語でいいやつないですか？

858 ：anonymous@fusianasan：2022/07/09(土) 16:15:32.48 ID:???.net

fori社監修の本が出てるから、それがいいんじゃん。日本語だし。

859 ：anonymous@fusianasan：2022/07/09(土) 18:35:28 ID:???.net

古いのならば日本語版あるぞ

860 ：anonymous@fusianasan：2022/07/17(日) 10:18:50.46 ID:???.net

FG-50Eを6.2.10→6.2.11にGUIで上げたらGUI接続出来なくなった。
ssh出来るけど443は外から叩いてもcloseになってる
cliでrestore imageで6.2.10に戻しても状況変わらなかったんだけど思いつく事などあります？

861 ：anonymous@fusianasan：2022/07/17(日) 11:41:38 ID:???.net

管理者接続のポート番号変わっちゃったとか？まぁ普通に考えたら有りえないんだけども。

862 ：anonymous@fusianasan：2022/07/17(日) 17:47:24.72 ID:???.net

わからんけどexecute factoryresetで初期化してみたら

863 ：anonymous@fusianasan：2022/07/17(日) 21:02:32.80 ID:bILzoiN3.net

リリースノートも見てみたけど、そんなバグものってないね。
てか、Frotiのリリースノートのいけてなさは半端ない。
トリガーとか書いてないから、どういう意味ですか？　とか問い合わせきても、こっちも書いてある以上の
事は分からないんだけど。

https://docs.fortinet.com/document/fortigate/6.2.11/fortios-release-notes/236526/known-issues

864 ：anonymous@fusianasan：2022/07/18(月) 00:53:34.14 ID:???.net

>>860
コマンド叩けるなら接続インターフェースの管理のhttpsを開けたらいいのではないかな？

865 ：anonymous@fusianasan：2022/07/18(月) 04:38:27.06 ID:fPxOjV2Q.net

>>860
コンフィグ取得してみてDIFFしたら違い出てないか？
結構変わっちゃうぞFortiは

866 ：anonymous@fusianasan：2022/07/18(月) 15:59:49.40 ID:???.net

>>860
普通に考えるとマイナーバージョンのファームウェアアップデートが原因とは考えにくい。

ほかの要素をあたるべき。
もちろん100%ないとは言い切れない。

867 ：anonymous@fusianasan：2022/07/18(月) 16:17:46.52 ID:???.net

>>860
config system global
set admin-server-sert "”
になってない？ファームウェアをアップグレードしたときに指定されたいたものが外れていたときがあった

868 ：p：2022/07/18(月) 18:03:41.63 ID:???.net

ストレージ溢れるとかってバグだろｗ
最適化ってなんやねん
FortiGate 30E and 50E flash card space optimization

869 ：anonymous@fusianasan：2022/07/18(月) 23:34:13.43 ID:???.net

ローカルストレージが小さいモデルの制限

870 ：anonymous@fusianasan：2022/08/02(火) 21:39:40.47 ID:???.net

>>866
普通に考えてもダメな時の前科多すぎるからなあ

871 ：anonymous@fusianasan：2022/08/03(水) 08:53:10.73 ID:???.net

バージョンダウンの時はConfigも元のバックアップに戻さないと確か正常復元の保証無いよね

今のGUIからのアップデートだと自動的にバックアップ取らされる仕組みだったと思うけれど無視して未保存だったら知らんが

872 ：anonymous@fusianasan：2022/08/04(木) 14:33:27.01 ID:RtL51HNy.net

EメールフィルタでIMAPとPOP3だけ検証したいのですがいい方法ないでしょうか？
SMTP検証はサイト見つけたんですが…
Gmailのサーバで試したもののPOP3Sだったので検知せず。POPサーバ建てるしかないですかね…

873 ：anonymous@fusianasan：2022/08/04(木) 15:48:56.01 ID:???.net

BJDとかでサクッとたてればいいんでは？

874 ：anonymous@fusianasan：2022/08/04(木) 23:16:36.47 ID:lY325otV.net

>>873
ありがとうございます、BJDは使ったことないので試してみます！

875 ：anonymous@fusianasan：2022/08/08(月) 09:12:47.58 ID:???.net

akb？

876 ：anonymous@fusianasan：2022/08/08(月) 15:08:27 ID:???.net

黒くて大きい犬

877 ：anonymous@fusianasan：2022/08/08(月) 23:34:23.58 ID:???.net

Winproxyって名前だったけど同名のソフトあったから変えたんだよな

878 ：anonymous@fusianasan：2022/08/10(水) 12:32:35.02 ID:???.net

黒くて大きい股間

879 ：anonymous@fusianasan：2022/08/10(水) 13:18:47.75 ID:???.net

誰かFortiOS7.2.1をアップしてくれんやろかー

880 ：anonymous@fusianasan：2022/08/10(水) 13:32:50.29 ID:???.net

>>879
？？？

881 ：anonymous@fusianasan：2022/08/10(水) 15:50:29.73 ID:???.net

>>879
Fortinet様か代理店がアップしてくれているぞ

882 ：anonymous@fusianasan：2022/08/22(月) 16:18:46.88 ID:ipoiGtzg.net

IPoE2回線でのSD-WAN構成について解説しているサイトや情報ご存じないですか？
少なくとも片方はVDOMで分けて設定が必要かと思いますが、SCSKに問い合わせても事例が無いので回答できないと言われまして...

883 ：anonymous@fusianasan：2022/08/23(火) 16:39:12.84 ID:???.net

あそこはわからないことが多いよ
他社が公開してくれている使い方でも自励がない、出来ないと言われたこともある

884 ：anonymous@fusianasan：2022/08/23(火) 16:43:43.76 ID:???.net

書き忘れた
今聞いてるのはサボート窓口だよな？しつこく聞くと「修理対応とか動いていた設定が動かないときの窓口です。新規の設定はサポートしていません」と言われたこともある
購入した代理店？経由で営業に聞いてもらうと情報をもらえることもあった
fortigateはどこのサポートも同じかもしれないけどな

885 ：anonymous@fusianasan：2022/08/23(火) 19:31:12.20 ID:???.net

新規の設定は構築として請け負うものだからね

886 ：anonymous@fusianasan：2022/08/23(火) 20:37:15.98 ID:???.net

>>882

v6 のI/F 毎にVDOM 分けて、VDOM link で root vdomに繋げて
root VDOM から　VDOM link 経由の v6 tunnel を作る

それぞれをsdwan でまとめる。って感じで多分いけるかと

887 ：anonymous@fusianasan：2022/08/23(火) 20:40:28.06 ID:???.net

あ、tunnel はそれぞれのVDOM からになるのかな？
環境があるならまずやってみて欲しい

888 ：anonymous@fusianasan：2022/08/23(火) 23:09:41.59 ID:???.net

VDOMで分ける必要ある?

889 ：anonymous@fusianasan：2022/08/24(水) 00:16:22.41 ID:???.net

ipoeトンネルIFになるvne.rootがvdom1つにつき1つまでだからvdom分けは必須かと。
ただrootvdomじゃないと固定v4アドレスが降ってこなかった記憶があります。
vneトンネルがvdom単位で作成できれば可能性はあるかなぁ。

890 ：anonymous@fusianasan：2022/08/24(水) 02:59:12.08 ID:???.net

過去レス見るとvdom単位のvneはダメっぽそうですね。
>>383
>>384

ファームが上がって出来るようになってる可能性があるかもしれませんが。

891 ：anonymous@fusianasan：2022/08/24(水) 19:06:20.50 ID:???.net

>>882
>>886の方法で可能かと

VDOM分ける理由はvne-tunnelがVDOMに一つなのと、RA/RSでIPv6 prefixもらうインターフェースはVDOMで一個にする必要があるためですね
RA/RSでIPv6 prefixをもらうと、そのインターフェースのnexthopのNGNエッジルータが自動でIPv6のデフォルトルートになるので、
同一のルーティングテーブルで2箇所からRA/RSでIPv6 prefixもらってしまうと、2つのIPv6デフォルトルートできてしまい
それらを明示的に使い分けるのが困難なためです

他メーカの製品でもそのあたりは同じかと

892 ：anonymous@fusianasan：2022/08/24(水) 19:47:10.16 ID:???.net

>>890
ファーム上がって直ってるよ

893 ：anonymous@fusianasan：2022/08/24(水) 21:03:15.01 ID:???.net

IPoEの意味も知らんぽいどしろうとの相手なんかできないだろ
文字通りIPがイーサに載ること
こんだけIPoE一色になるまえにL3,L2プロトコルが色々乱立覇権争いしてた頃
40年位前に特定の組み合わせを示すのにできた言葉

894 ：anonymous@fusianasan：2022/08/26(金) 04:57:09.97 ID:Qsa9HB2X.net

すみません、FortigateのVPNについて教えてください。
この度、外部からVPNで社内に接続する方法について検討しています。
その方法として、L2TP/IPsecを用いた接続(こちらの方がOS標準機能で実現可能なので望ましい)か
FortiClientを用いたIPsec接続のどちらかを考えています。
その際、認証アカウント単位でアクセス権と言いますかポリシー制御をかけたいのですが
見方が悪いのかそのような設定箇所が見当たりませんでした。
もしかして上記2つの接続方法では、認証アカウント単位での制御はできないのでしょうか？
初歩的な質問で申し訳ございませんが、ご教示いただけますと幸いです。

895 ：anonymous@fusianasan：2022/08/26(金) 10:20:38.81 ID:???.net

>>894
ユーザグループ毎にVPNを作成してVPNにIPv4ポリシー書けばできそうですね。

https://milestone-of-se.nesuke.com/product/fortigate/secure-ipsec-vpn-config-sample/

ユーザ単位（認証アカウント単位）にしたい場合、ユーザとユーザグループを1対1で設定する 事になりそうですが
規模によっては設定上の上限値を考慮しないと破綻するので購入前なら 代理店に問い合わせた方が良いかと。

896 ：anonymous@fusianasan：2022/08/26(金) 10:35:57.52 ID:???.net

>>885
それ言うと変更も構築で請け負う物だし
障害対応だって請け負うものだし
保守の対応範囲が明確に書ききれないだろうけどハード故障とファーム提供だと思って
後は担当者の気分と知識次第かな

897 ：anonymous@fusianasan：2022/08/26(金) 11:44:20.74 ID:???.net

>>895
ありがとうございます。
ユーザーグループを分けて設定というのには目から鱗でした。

元々は社員のみが使うリモートワーク用にと思い発案したのですが、各システムベンダーの保守担当から
メンテナンス用にリモート環境が欲しいとの要望があったことを思い出し、この際一緒にやるかとの流れになりまして。
ただベンダーを信頼しているとはいえ、万が一の事故発生時に他社に対してもフリーアクセスな環境を
与えていたとなると問題になるなぁと怖くなり、なんとか制御する方法があればいいなと考えていた次第です。

当社で使用しているFortigate40Fはトランスペアレントモード(もちろんルーターからIPsecパススルーでFortigateに渡すつもりです)
で動作しているため、ご教示いただいたページの構成とは異なりますが、loopback云々は飛ばして
読み替えていけば実現できそうな気がしてきました。
グループ分けは社員用と各ベンダー用(2社)の計3グループに分けられそうなので、現実的な範囲でできそうです。
クライアントを別途インストールする必要がありますが、社員向けにはこれから具体的な話を進める予定ですので
少しだけ手間かかるよ、ぐらいの話で済みますし、ベンダーについてはクライアント使ってね！で大丈夫だと思います。

898 ：anonymous@fusianasan：2022/08/26(金) 11:44:34.53 ID:???.net

なお前職がFotigateを取り扱う職種(既知の通り雑魚クラスですが)で、2年前に現職に転職したのですが
代理店(設置導入業者)はメンテナンス費用を別途払ってるのに、前機種については5年間一度も点検や
ファーム更新の対応をしたことがなく、今回の40Fも全ての通信に対してアンチウイルス、webフィルタ(デフォルト)、IPS
を適用というただUTMを挟んでるだけのザル設定に20万請求されたり
今回の設定変更(社員のみの簡単な方)に30万とか言ってくるなど不信感しかないため、知識に乏しいのかあまり頼りたくなく
今回adminのパスワードを寄越せと依頼しまして自力解決を目指していましたが、こちらで知恵を拝借する形となり申し訳ございません。
なお最終的に出来上がったコンフィグは、業者にも渡す予定です。
すみません、後半はかなりグダグダにグチですね……金額もそれが相場なのかもしれませんし……

9月の中頃には設定変更を行う予定ですので、不要かもしれませんがまた結果等ご報告いたします。
この度は本当にありがとうございました。

899 ：anonymous@fusianasan：2022/08/26(金) 12:53:06.05 ID:???.net

>>898
自力でできないのにそれを高いとうのは?
言いたいことはわかるけど

900 ：anonymous@fusianasan：2022/08/26(金) 13:00:14.62 ID:???.net

どの程度の金額を希望なのかな？
1万とか2万でやってくれるところがあれば発注したい

901 ：anonymous@fusianasan：2022/08/26(金) 13:27:57.00 ID:???.net

知識が乏しいかもしれない業者に、自分で触ったコンフィグ渡して面倒見てもらえると思うのかい？

902 ：anonymous@fusianasan：2022/08/26(金) 13:44:38.30 ID:???.net

>>899
普通のL2TP/IPsec、あるいは普通にFortiClientを利用したIPsecなら、私のようなボンクラでも余裕で設定ぐらいはできました。
ただメンテナンスもお願いしている手前、業者に依頼したらそんな金額で……
それなら自分でやるわ！になった次第ですが、その後にユーザー別の制御をかけたいと思うようになって
一気にハードルが上がってしまいました。
上で紹介していただいた方法を思い付かなかった想像力、応用力がなかった自分の能力不足ですが……

まぁリスクや後からの微細な仕様変更への対応、人件費含めると、適正価格というのは一体どれぐらいなのかな？
と疑問に思ったりもします。

>>900
なもんで、適正がどれぐらいなのか判断つきにくいですが、私の肌感覚としてネットで軽く調べただけで多くの事例がヒットする
かつ複雑でもなんでもないそんな内容であれば5万もあれば十分かと思ったりします。←例えば簡単な方のL2TPとか
適正価格が本当に分からないですけどね。

>>901
一応、コンフィグ送ってくれてたら何かあった時は私が例えば死んだ後とかに対応する旨返答は頂いてますが
実際面倒見てくれるかは分からないですね。
そう考えると、企業にとってみたら30万(ユーザー制御になるともっと高額？)浮いたように見えるも
結果マイナスになるのかもしれません。


私の一方的なグチで皆様にも多大なる不快感を与えてしまってましたら本当に申し訳ございません。

903 ：anonymous@fusianasan：2022/08/26(金) 13:45:52.01 ID:???.net

どんな契約か？だろ
オンサイト保守ならconfig渡しておけば故障時に設定入れてくれる
という業者もあった
標準サービスだと
点検やファームアップ作業はないだろうな
個別保守契約でもしないとやってくれないだろうな
とは思う

904 ：anonymous@fusianasan：2022/08/26(金) 14:53:32.19 ID:???.net

とはいえ、管理者アカウントを人質に取ったままEOSまでファーム更新無しは流石にどうかと思うわ

905 ：anonymous@fusianasan：[ここ壊れてます] .net

すげーな
契約していない作業もやってくれるのか？
ぜひうちの設定もお願いしたい

906 ：anonymous@fusianasan：2022/08/26(金) 22:58:59.64 ID:???.net

898に依頼すれば出し値5万でやってくれるのか
めんどくさいクソ客の依頼投げたいから連絡先教えてよ

907 ：anonymous@fusianasan：2022/08/27(土) 02:02:52.48 ID:???.net

>>902
どういった想定作業の５万なのでしょうか？


不特定のグローバルアドレスからの外部接続を許可するのであればペネトレーションテストはしない想定ですか？
間違って穴が空いててもわかりません。

リモートアクセスのログは取らない想定ですか？
身に覚えないリモート接続があってもわかりません。

2要素認証はしない想定ですか？
ユーザーとIPSECのパスワードを知っている人が会社を辞めた場合、私物PCから接続できてしまいます。パスワードを変えるなり対応が必要です。

また、要件に無いのかもしれませんが、リモートで同時接続の負荷試験はしないのですか？
実際使ってみたら使いものにならないくらい通信が遅くなるかもしれません。


外部に穴を空けるのはそれなりにリスクのある作業だと思います。

リスクが取れるならご自身で設定されるのはありだと思いますが、ただ後々大変な事になっても自己責任になります。

908 ：anonymous@fusianasan：2022/08/27(土) 03:12:26.15 ID:???.net

この手の話って基本的にお金で解決するんですよね

909 ：anonymous@fusianasan：2022/08/27(土) 07:59:39.08 ID:???.net

>>906
マジそれな。
これを5万でやってくれるなら起業すりゃ商売繁盛じゃね。
誰かさんのように、何言っても高ぇ高ぇしか言わない客多いからな（笑

910 ：anonymous@fusianasan：[ここ壊れてます] .net

>>908
客に、金と時間かければ誰だって出来んだよ！って怒鳴られたわ。
まあ確かにそうだなと思ったけど。

911 ：anonymous@fusianasan：[ここ壊れてます] .net

多少金払いが良くても手離れが悪い/ガラが悪い客は敬遠される

912 ：anonymous@fusianasan：2022/08/28(日) 00:34:16.68 ID:???.net

>>910
「だったら、お金と時間かけてやってください」で終了なんですよね
そのセリフはお金を払わない人がよく言います

913 ：anonymous@fusianasan：2022/08/28(日) 17:50:01.27 ID:???.net

書いてるじゃん
ネットで事例があるような設定して5万だよ
肌感覚として間違いないよ

914 ：anonymous@fusianasan：[ここ壊れてます] .net

まぁここはお金もらう側の業者も多いだろうしな
あれやこれやとリスクだのコストだの綺麗事抜かしてるけど
実際のところネット事例集そのまま丸パクリで何十万も金取る業者もいるからな
もちろんここの住人は都会でそれなりの規模の客先に出入りしている業者だと思うから価格に見合った仕事してるだろうけど
俺の住む鳥取市は、知ってるだけでもかなりいい加減な作業で費用だけは一流並みに請求する業者が少なくとも4社はある

915 ：anonymous@fusianasan：2022/08/28(日) 21:47:28.32 ID:???.net

何でまともな業者に頼まないのか

916 ：anonymous@fusianasan：2022/08/28(日) 22:56:15.48 ID:???.net

IT業者のぐるなび的なクチコミサイトって有ったりする?
NDAに激しく抵触しそうだけど。

917 ：anonymous@fusianasan：[ここ壊れてます] .net

>>914
言いたいことは分かるよw
例えば例に挙げてゴメンだけど>>907とか、さぞ立派なこと言っているようで実は大したことがないw
間違って穴が？今回の話に合わせると、FortigateにIPsecの設定を施したら他にも釣られて関係ないポートが開いちゃうものなの？
リモートアクセスログなんて、普通Syslogで代用できるしwみんなもフルで取ってるでしょ？
2要素認証なんて、それこそいくらでも事例がヒットする内容なのに、さも特別感装いやがってw
あと退職した人？そいつのユーザーアカウント削除すれば良いだけだし、そもそも2要素認証していればなんの問題もない罠w
まあこんなもんよ
小難しい御託並べても、それはど素人になら通用する詭弁なことが多いよね

918 ：anonymous@fusianasan：2022/08/29(月) 00:36:40.74 ID:???.net

>>916
あそこの業者はボッタクリだ！とか、契約にないことは一切してくれない！とかの一方的な悪口コミを、NDAに抵触だ！と言われても困っちゃう。

919 ：895：2022/08/29(月) 01:59:51.66 ID:???.net

立場によって色々な意見はあるとは思いますが、ここ以外に日本語でFortinet製品の情報を日本語でやり取りできる
コミュニティみたいなものはあった方が良い気がしますね。

Fortinet Japanの中の人がここを見ているかわかりませんが、日本語が使えるコミュニティサイトを作るのは難しんですかね。

920 ：anonymous@fusianasan：2022/08/29(月) 02:30:07.74 ID:???.net

自分たちではやる気ないよ
各代理店？がやるくらいかな

921 ：895：2022/08/29(月) 02:47:39.08 ID:???.net

なるほど。
私は今となっては仕事では全く関係ないのですが、10数年前にFortinetには元々ciscoにいた人が多いと聞いていて
ciscoやVMwareのようにユーザの自助努力である程度解決できるようなKBなりコミュニティなりを醸成されていくものと
思っていましたが、認識違いでしたかね。

922 ：anonymous@fusianasan：2022/08/29(月) 05:57:36.53 ID:???.net

シスコがそういうコミュニティ発展できたのってほぼ一強だったからだし

923 ：anonymous@fusianasan：2022/08/29(月) 23:18:39.33 ID:???.net

適正価格って、請け負って儲けが出る価格じゃないのか？

config流するだけなら5万でも妥当かもしれんが動作保証なんてしてくれんけど。

924 ：anonymous@fusianasan：2022/08/29(月) 23:36:58.84 ID:???.net

自分で出来るようなことなら自分でやればいいだけなのに
何故か人にやってもらう話になってて金額云々の話になってるのが謎

925 ：anonymous@fusianasan：2022/08/30(火) 07:21:57.99 ID:???.net

世の中コンフィグ流すだけとかすら出来ない連中ばっかなんですよ……
コンフィグ流せたら上等よ……

926 ：anonymous@fusianasan：2022/08/30(火) 08:40:00.28 ID:???.net

この業界単価がどう？というのはあるだろうが
5万じゃ1日もかけられない
って所多いだろうな
実作業だけではなく、受注前の要件確認、見積から始まり各種の資料作成とフォロー
場合によっては事前検証
正直短時間度終わる仕事ってそれ以外のことが多くて受けたくないな
他の案件とからめてほしいわ

927 ：anonymous@fusianasan：2022/08/31(水) 19:53:52.16 ID:???.net

パラシとか手順書とか見ないのに要求されるの草
クラウドの手順書なんて納めた頃には変わってるw