Fortigateについて語ろう4
: [] 2014/02/09(日) 17:15:56.81:ubzEooBV FortiGateシリーズは、ネットワーク全体を総合的に保護するハードウェアベースの ネットワーク・プロテクション・ゲートウェイ(NPG)です。 Fortinet社独自開発のABACASTM(Accelerated Behavior and Content Analysis System) テクノロジと独自のASIC(FortiAsic)ベースアーキテクチャを採用した、次世代 ネットワークプロテクション・アプライアンスです。 ファイアウォール、不正侵入、VPN、トラフィックシェーピングなどネットワークレベル のサービスに加え、ウィルスプロテクションやコンテンツフィルタリングなどの アプリケーションレベルのサービス機能も搭載しており、効果的にネットワークを保護します。 FortiGateは、4種類のICSA認定取得をしています。 アンチウイルス、ファイアウォール、IPSec、IDS セールスポイントは非常に魅力的ですばらしいのですが、 非常に個性的な製品ですので、皆さん助け合って安定稼働に努めましょう。 フォーティネットジャパン ttp://jump.5ch.net/?http://www.fortinet.co.jp/ FortiProtect Center ttp://jump.5ch.net/?http://www.fortinet.com/FortiProtectCenter/ 質問する際には必ずFortiGateの機種、FortiOSのバージョン、 ネットワーク構成・環境を報告してください。 : [] 2014/02/11(火) 07:23:53.09:fv82H2YH NetscreenがScreenOS打ち切りでこっちに流れ着いた : [sage] 2014/02/21(金) 16:32:55.51ID:??? forti一台でsnatとdnatかますダブルnatできる? : [sage] 2014/03/23(日) 12:32:47.78ID:??? ftpにあがってるfirmは大丈夫なんだろうか・・・ : [] 2014/03/30(日) 14:12:54.40:xl1JNa0n 前スレはいずこに・・・ : [] 2014/04/21(月) 13:47:52.92:noWTN9gV netscreenとfortigateどっちがいいの? : [sage] 2014/04/25(金) 20:05:03.84ID:??? 80Cを中央に置いて、WANポート側に、192.168.100.0/24のネットワーク、 Internal側に192.168.0.0/24を設定。 双方向、permit_allにして、WAN側から、internal側にあるドメコンに参加させようとしたら、 ミスったwww 切替失敗、最悪な1日だった…orz : [sage] 2014/04/26(土) 00:06:51.99ID:??? NATのチェック外し忘れた? : [sage] 2014/04/26(土) 00:16:49.65ID:??? NATの問題ですかね? 基本NATは使わず、ルーティング処理させているのですが… ドメインに参加できたり、できなかったりのPCが多発www pingは双方向、必ず返ってくるので、上位レイヤかなぁ、と考えたり、 permit_allだから、それは関係ないだろうと、関係あれば、どのPCも参加できないだろう?と考えたり…です : [sage] 2014/04/26(土) 00:32:05.63ID:??? あっ、NATのチェックは外してないです…orz 両セグメントがダイレクトコネクトだから、 自動的にルーティング処理になると思っていました…orz ttp://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1155273516 : [sage] 2014/05/04(日) 08:39:12.41ID:??? 60Cが安かったから買っちゃった どうやってOS手に入れようかな : [sage] 2014/05/05(月) 00:38:44.43ID:??? なんか適当にネットから落としてくれば・・・ ftp fortigate firmwareでぐぐると出てくるよ。 使えるかどうかは知らんけど。 : [sage] 2014/05/05(月) 05:42:08.34ID:??? 最悪その方向で サポートに入れれば入りたいですね : [sage] 2014/05/19(月) 15:19:01.91ID:??? 注文していた60Cが届いた 2週間で到着 FWが5.00 MR6だ 使い古しだとか言ってたのに どっちにしてもバージョンアップしないと Heartbleed対策完了しないからなあ : [sage] 2014/05/31(土) 20:46:57.08ID:??? MR6じゃないよ。パッチ6な。 5.0MR2のGAがもうすぐリリース。 : [] 2014/06/16(月) 23:08:34.82:3kOP5ZrB fortigate60-cの電源アダプタを探しています。 純正でなくても代替できるアダプターないでしょうか : [sage] 2014/07/01(火) 23:57:07.00ID:??? 60無印か買ったった。 : [] 2014/07/11(金) 15:24:49.44:mFqZHs1t Forti ASICが凄すぎて 俺のPCルータが嫉妬中・・・orz 60CのRAM 1G モデルほすぃ! : [sage] 2014/07/12(土) 09:09:20.94ID:??? 検証機として40Cを2台買ってもらった 時間ができたらNGN網内折り返しのIPv6トンネルと、ISP経由のIPv4トンネルで冗長組んでみる : [] 2014/07/13(日) 14:11:33.71:wOTt8WbL 安いFWアプライアンスをホームルータ代わりに使うのは鉄板だな FortiやJuniperの旧netscreenとか : [sage] 2014/08/07(木) 11:25:29.49ID:??? サポート入ってないからとりあえず練習機として弄ってる 情報あり 輸入したときについてきたACアダプタ パーツナンバー検索してきたら出てきた original AC Adapter For FSP FSP036 RAB 12V 3A 36W 9NA0361612 AD036RAB FTN3-in Laptop Adapter from Electronics on Aliexpress.com ttp://www.aliexpress.com/item/original-AC-Adapter-For-FSP-FSP036-RAB-12V-3A-36W-9NA0361612-AD036RAB-FTN3/1724479260.html : [sage] 2014/08/09(土) 00:51:26.77ID:??? これまでSSG使ってたが、勉強がてら80Cを手に入れて使ってみた。 netscreenでのscreenがIDSとIPSに分かれてるのね。 基本DBお任せでって感じなのか。。。 にしても、IDSの設定がCLIでしか出来ない上に、なんだ、この超絶わかりにくいCLIは・・・ : [sage] 2014/08/09(土) 20:46:31.06ID:??? あ…ありのまま 今 起こった事を話すぜ! Fortigate80Cをヤフオクで買ったら、2018年まで有効なライセンスがフルで入っていた… 何を言ってるのかわからねーと思うが(ry : [sage] 2014/08/09(土) 22:31:01.68ID:??? しかもバージョン変わるとコマンド変わったりするんだぜ? : [sage] 2014/08/10(日) 08:58:32.06ID:??? よくあるよ。俺も60c買ったら2017だったし。 : [sage] 2014/08/18(月) 13:28:27.72ID:??? 会社で30Dいれようか悩んでるのだけど、何故60並みのカタログスペックで 下位機種扱いなんでしょうか。 教えてエロイ人! : [sage] 2014/08/25(月) 16:54:51.16ID:??? いいなあ、オクで落とした場合、代理店名が基本的には不明だろうから、 保守契約が移管できないらしい。数年分最初からついてる状態なら、 その分まるまる得したようなものだね。 : [] 2014/09/08(月) 03:46:10.66:tQwUm7qe 80CはUNKNOWN問題とか7GB問題とかあるのでしてー : [] 2014/09/15(月) 11:51:08.29:qGqVXOGK Fortiは自分は今まで800台くらい セキュリティ アプライアンス入れてきたけど、一回も障害がない。 営業だけど、イイ感じだ。 みんなの意見は? : [sage] 2014/09/16(火) 21:40:54.05ID:??? でも障害ないと障害対応の保守費で儲けられないじゃない。いいの? 通年保守費は置いといて。営業としてそこのとこどうなの? fortiは構成上困ったことになって仮想機能で切り抜けることができたので 助かりました。いまどき仮想なんてどこの奴もあるけど 改めて仮想機能は便利だと思った : [] 2014/09/19(金) 00:09:08.27:0qCfay7M 障害が無いのは障害が無いような使い方しかしてないからじゃ? : [sage] 2014/12/07(日) 04:09:37.14ID:??? FW付ルータとして使うとうーんとなるときが結構ある WANーLANの設定に癖がある 内部FW単体として使うと問題ない : [sage] 2014/12/15(月) 22:40:10.58ID:??? 調査不足のまま90D導入して難儀してる LACPや冗長インタフェース作れるのは100D以上だけなんだな : [] 2014/12/18(木) 23:34:48.03:xVNPbcIT 質問です。 マニュアル見ながらVPN組めるぐらいの素人に毛が生えたぐらいのレベルで UTMの設定もマニュアル見て何とかなるレベルに仕上げることできます? : [sage] 2014/12/19(金) 17:39:16.91ID:??? まずはやってみなよ 自分への投資だ 金かけたくなければ先にOpenWRTでも触ってみたら? : [anonymous] 2014/12/19(金) 19:08:02.37ID:??? ん~俺もFGは最近使い始めたんだが、 ScreenOSから移ってきたんで、正直良く分からん、特に使い方がw VPNを組めるかどうかより、 TCP/IPとEtherを理解できるかどうかじゃない?そこが分かれば、 後は使い方だけな気がする。 中古80C使ってるけど、たまにコンサバモードに入って、むーんって思ってたら、 丁度、80CのGeneration2品を発見したので、速攻ポチった。 FortiOS 5以降だと、内蔵Flashのlog diskは使えないが、とりあえずメモリー倍になったので、 コンサバモードに落ちることなくなって、いやっほー<今w ちなみにライセンスは2017/12まで残ってた。 : [sage] 2014/12/19(金) 23:18:24.86ID:??? シグネチャタイプのIPSを設定するだけなら、単にポリシーでチェックボックス一つ入れるだけ AVもほぼ同様 : [sage] 2014/12/21(日) 09:43:44.73ID:??? では、何とかなりそうなのかな。 今はv6でVPN環境は出来上がってて、IPS・AVの導入を考えているとこ。 一度貸し出しで試してみるサンクス。 : [sage] 2014/12/27(土) 09:13:03.00ID:??? FortiGuard.com | CVE-2014-8730 "Poodle for TLS" vulnerability ttp://jump.5ch.net/?http://www.fortiguard.com/advisory/CVE-2014-8730--Poodle-for-TLS--vulnerability/ の対策でvirtual-server-hardware-acceleration持ってる機種って何か分かる? 60Cと200Bは持ってなかった 現行のDとかは持ってんのかな 300Dは持ってそうだけど しかし、 うちのサポートは使えないなあ : [sage] 2014/12/27(土) 14:49:54.23ID:??? US公式のリファレンスマニュアルの下に、機種と使える機能のマトリクス表がある SSL Offloadingの有無を調べるよろし : [sage] 2014/12/28(日) 02:21:01.32ID:??? ありがとう Feature/Platform Matrixってやつね とりあえず4.3ではない?機能なのね ていうかなんでうちのサポートは4.3も対象って言ってきたんだろう 調べないで言ってきてるなあ 5.0以上のFortiOSで60Cは無理で200Bは出来ると 200Bはアップグレードしたら防ぐ必要があるのか まあ、次の更改まで止めらんねーとか 訳わからないこと言ってるからアップグレードはやらなそうだな 200Bは昔は8万ぐらいで中古が輸入できたんだがもう無理だしなあ 80Cでも出来るのか でもライセンスがなあ オークションで起動ログでVer5書いてるやつ探すわ : [sage] 2014/12/28(日) 02:38:00.34ID:??? 80Cのヤフオク見たがVer4しかないなあorz ま、いっか UTM買っても個人で使う分にはルータにしかならんしな : [sage] 2014/12/28(日) 09:40:35.51ID:??? そうとも言い切れないかもしれない デバイス自身の管理画面へのログインもSSL/TLSを使う以上、SSLアクセラレータが使えない機種でもPOODLEに該当するって意味かもね : [sage] 2014/12/28(日) 10:09:07.53ID:??? だからワークアラウンドなのかね FortiOSもファームウェアがアップグレードしやすければいいんだけどなあ : [] 2015/02/01(日) 14:45:05.53:8yrFCH15 FortiOSのバージョン違い(4.x <=> 5.x)でIPSec VPNをされた方は、いらっしゃいませんか? 機種交換で数週間、この組み合わせで使用しようかと思ってるんですが 3.x <=> 4.x の時は、目立った問題はなかった覚えが有ります : [sage] 2015/02/01(日) 20:31:24.33ID:??? 大した設定してないけどやってるよ。 認証は事前共有鍵。 : [sage] 2015/02/01(日) 21:01:28.05ID:??? ありがとうございます 出入り業者は、異バージョンだと駄目だから・・・と言ってますが やってみます というか、出入り業者切ったほうが良さそうかな? 3台しかクライアントの無い場所に30Dを入れようかと言ったら、 一次代理店が30Dは止めておけと言ったから入れられないとか 確かに30Dのサポート体制は落ちるみたいですが 未輸入だった20Cでも良いレベルなんですがね : [sage] 2015/02/02(月) 22:54:04.78ID:??? 何これ、買ったけどマニュアルも何もないじゃん、どうすんのこれ・・・orz : [sage] 2015/02/05(木) 18:09:07.23ID:??? わかる人がいたら教えてほしいです。 Fortigate600CでトランスペアレントのHA(A-P)構成 アンチウイルスのセキュリティプロファイルを二つ作成したとする。 それぞれをA、Bというルール名と仮定。 Aはフローベースのモニタ Bはフローベースのブロック とした場合 Aのセキュリティプロファイルが適用されているところに、 Bのセキュリティプロファイルへ変更した場合即時に反映されないでeicar素通りしちゃいます… 長文すんません。 : [sage] 2015/03/19(木) 00:17:47.15ID:??? 「FG-60D-US」を個人で購入しようと思うのだけど、 Q1:ベース製品だけの購入は可能?この場合、HW故障の保証は? Q2:○○保守[e.g.平日先出しセンドバック保守] と Forticare の違いは? Q3:FortiOSの更新をする場合、Forticareが必要になる? わかる人がいたら助けてください(> <) : [sage] 2015/03/21(土) 08:55:09.56ID:??? 1.可能。ただし、保証は別 2.ごめん、そこはなんとなくしか分からん 3.代理店の保証が必要 日本でForticareに入るっけ? 保証形態はCiscoと似てるんじゃないかな? 代理店経由でFortiから保証貰って運用する Fottiの場合、OSも代理店経由でしか手に入んないけど アメリカ輸入品を日本の代理店で保証はつけられる 一応 : [sage] 2015/03/21(土) 10:54:09.46ID:??? ありがとうございました。 Forticareはネット通販等でも買えるようですね。 本体はAmazon.com辺りでは買えなかったので、 輸入できないと思ってましたが、個人輸入的なところですかね。 : [sage] 2015/07/08(水) 07:35:27.71ID:??? 30Dだけど、2、3ヶ月に一度ぐらいCPU100%になっててネットに繋がらなくなる。 同じような人いませんか? : [] 2015/07/20(月) 23:10:46.18:sYZSeL18 それだけじゃなんとも 30DはCPU弱いから、そういうこともあるかもね程度のことしか言えない 事象発生時にtop叩けば何か分かるかもね : [sage] 2015/07/21(火) 13:30:17.14ID:??? fortigate60Cv4.0でvipでソースipレンジにwanインターフェイス(pppoe動的ip)を割り当てたいのですがどうしたら良いでしょうか 動的ipでvipでフォワーディングするにはその都度変動ipに変更しないと行けないですか? : [sage] 2015/07/21(火) 14:39:04.91ID:??? 何かおかしなこと言ってる気がする 多分一般的な動的IPアドレス環境でサーバ公開したいってことだよね? 出来ないわけないだろと思うんだけど手元にある検証機にFortiOS4.0入れるのまんどい : [sage] 2015/07/21(火) 15:05:47.32ID:??? >多分一般的な動的IPアドレス環境でサーバ公開したいってことだよね? ですです 今のとこvipにpppoeで取ってきたグローバルIPを当てて公開しているのですが、再起動時などにIPが変わってしまったらまた設定し直さないといけないので、それをどうにか設定し直さずに運用できないかなと : [sage] 2015/07/21(火) 15:12:21.38ID:??? VIPじゃなくてstatic natで書くとか VIPのexternalに0.0.0.0指定するとか何か方法あるんじゃないかな cookbookかhabdbook調べてみな : [sage] 2015/07/21(火) 15:18:20.97ID:??? ありがとうございます! : [sage] 2015/07/22(水) 10:48:56.78ID:??? FWのポリシーでサービスでallだけを選択しても全部通らない? ping通らないなぁと思ってall icmpを追加したら通ったけど allにはall icmpとかall tcpとかall udpは含まれないということでしょうか? OSは5.2.3。4の頃はなんか全部通ってた気がする。 : [sage] 2015/07/22(水) 11:02:36.94ID:??? 自己解決? バージョン微妙に違うけどこの辺かなぁ。 ttp://jump.5ch.net/?http://kb.fortinet.com/kb/documentLink.do?externalID=FD36247 : [sage] 2015/07/25(土) 22:01:43.97ID:??? 解決しとらんってか英語苦手すぎるだろ : [sage] 2015/07/25(土) 23:23:39.40ID:??? 英語が苦手なのは否定しないが結局はコレだった。 5.2.2を経由してると5.2.3でもそのままだった。 : [sage] 2015/07/25(土) 23:54:30.21ID:??? 全く内容読めてないだろ ICMPに何の関わりもない記事じゃん 別個に許可しなければICMP通らないのは知ってる限りでも5.0で既に仕様だった : [sage] 2015/07/26(日) 02:24:59.18ID:??? 横からすまんが 5.0ではサービスオブジェクト"ALL"はIPすべてを指してた。 5.2.2で"ALL"にプロトコル番号6が指定された。 "ALL_TCP"というサービスオブジェクトがあるのに、 "ALL"でIPの6が設定されているのは明らかにバグだわ。 英語読めてないのはの方な。 : [] 2015/07/30(木) 23:27:46.53:c8FIuKPX すみません、トラブルでハマっていて困っています。 Fortigate 60Cで、最新のファーム5.2.3 にあげたら (ファイル名 FGT_60C-v5-build0670-FORTINET.out) それまで出来ていた、ブラウザからGUIでのアクセスが出来なくなってしまいました。 configにはちゃんと「set allowaccess ping http https ssh」としているのですが なぜでしょうか。PCからfortigateへのpingは帰ってきますので、物理生涯ではなさそうなのですが。 こんなトラブルで残業です・・・お助けください。 : [sage] 2015/07/30(木) 23:46:24.74ID:??? ブラウザのVerが対応してないんじゃないの? : [] 2015/07/30(木) 23:55:08.09:FebMsmfd バーチャルIPとインターフェースのIPが一緒で、pingやら管理画面へのアクセスが通らなくなったことはあった。けど、それは違いそうだな…。 : [sage] 2015/07/31(金) 09:41:19.33ID:??? 困ったときはFirefox : [sage] 2015/07/31(金) 10:19:08.19ID:??? 最新版でアクセス出来ないのは原因不明で、ファームを古いものにお落としたらちゃんとアクセスが出来るのです・・・。 IE11なのですが、IEは問題が多いのですかね。クロームで試してみます。 : [sage] 2015/07/31(金) 10:28:03.46ID:??? Firefox無視かよ! : [sage] 2015/07/31(金) 10:30:50.56ID:??? 自分は5.2系の不具合と認識してる。 100D/200Dでも頻繁に起きてる : [sage] 2015/07/31(金) 10:35:52.20ID:??? そいや5.2.3のWebUIなんかやたら遅かったりするね 筐体が白くなってから随分マシになたっと思ったけど相変わらずぶれるなあ : [] 2015/07/31(金) 17:41:34.29:ioXq0lZ3 サンクス 今度なったら試してみます。 : [] 2015/08/04(火) 20:10:55.63:PmsTDojw 今まで色々FW扱ってきたけど、これが一番設定しやすいね。 150人規模の会社だと、200Dくらいを入れた方がいいのかしら? 担当者は予算がないので100Dで、と言われてるけど。 : [sage] 2015/08/07(金) 07:24:24.43ID:??? 使う機能によるが発売時期が古い100Dは避けたい : [sage] 2015/08/07(金) 22:17:21.34ID:??? 用途次第では 90D>100D : [] 2015/08/13(木) 12:50:04.42:dwDP1OHY 40C使ってるけど5.2に上げたらメモリが90%近くに張り付くんで4に戻した。 こんなもん? : [] 2015/08/27(木) 17:43:44.24:zjr4QgiP 60cなのですが、vipの設定最大数っていくつになるか誰かわかりますか? 仕様からじゃよくわからなかったもので。 : [] 2015/09/01(火) 17:12:39.12:4MNn4tnA /:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::ヽ /:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::://ヽ:::::::::::::::| l:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::// ヽ::::::::::::::l l:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::/:::「'ヽ:::::::::::// ヽ:::::::::::| |::::::::::::::::::::::::::::::::::::::::::::::::::::::::::ノl:::ノ l:::::::/ ヽ::::::::| ノ:::::::::::::::::::::::::::::::::::::::::::::::::::::/ ゙゙ ノ:::/ ,,;;;;;;,, ,,,,ヽ:::::l ):::::::::::::::::::::::::::::::::::::::::::::::/ ノ/ __,'''i: ('''__):::l )::::::::::::::::::::::::::::::::::::::::::::::::::/  ̄ ̄ン:. :「 ̄`ヾ 1:::::::::::::::::::::::「 `┤l:::::::::::::::::l  ̄ , ヽ ̄ l `l:::::::::::::::::::::ヽ :l li:::::::::::::/ /#12288; `l | <ヴッ!!! ヽ::::::::::::::::::::::\_」 lヽ::::/ !:-●,__ ノ / ノ:::::::::::::::::::::::::::ノ | l `゙゙ ,,;;;;;;;;;;;;;;;;;;;;, /ヽ ,/ ヽ::::::::::::::::::::::( l l::::::::.. /.:''/エ ̄_ソ / `ヽ ヽ:::::::::::::::ヽ | l:::::::::::... /::// ̄ ̄_ソ / \ ヽ:::::::\| l::::::::::::::::... / :::.ゝ` ̄ ̄/ / ヽ ヽ:::l l:::::::::::::::::::..  ̄ ̄;;'' / ヽ l l;;;;;;:::::::::::::::.....;;;;............;;;;;;''ノ l l l '''''''''''''''''''''''''''''''''''''' ̄l | | ttp://jump.5ch.net/?http://y2u.be/z2qK2lhk9O0 : [sage] 2015/09/03(木) 16:13:07.26ID:??? なにがと~る~、もりがと~る、ボ~、ボ~、ボ~、ボ~、ボ~、ボ~、 ボ~、ボ~、ボ~、ボ~、ボ~、ボ~、ボ~、ボ~、ボア~ル ttp://jump.5ch.net/?https://www.facebook.com/tour.mori : [sage] 2015/09/03(木) 23:20:29.89ID:??? なんとっ、Fortigateの書籍出てたのでポチった : [sage] 2015/09/04(金) 12:28:05.42ID:??? 前の書籍からだいぶ開いたねぇ。 WAN最適化あたりが入ってればよかったのに。 : [sage] 2015/09/23(水) 08:19:02.40ID:??? 書籍に書いていないということはどういうことかわかるだろ? : [sage] 2015/09/25(金) 17:16:03.96ID:??? すみません、ここで聞いていいのかわからないんですが 先日リコーの営業にFG-60Dバンドル版+リコーの設定やハード保守を それぞれ5年で約60万(本体+ライセンスで約40万、保守5年で25万から割引) というのを勧められ (内容はたぶんこれ↓と同じだと思います) ttp://jump.5ch.net/?https://www.ricoh.co.jp/itkeeper/gateway/service.html 経理担当がマイナンバーの扱い怖いし導入してほしいという流れからの 自社の規模や業態的にオーバースペックか調べてと上司に頼まれたんですが、 自力では各モデル及びライセンス内容の違いが判断できませんでした : [sage] 2015/09/25(金) 17:16:50.51ID:??? お聞きしたいのは、下に書いた条件でFG-60Dは妥当なのかどうかと 設定やハード的な保守を依頼するほど扱いの難しい機器なのかという点です 説明書+上に出てた書籍などで調べられる程度の知識で大丈夫そうなら リコー保守は不要かなと思ってます 規模と業態としては、常時ネット接続してるPCは8台で もちろんセキュリティソフトは入ってます 業務上ネット使用は給与振込み時のネットバンキングと調べごとくらいで 取引会社からの特別な企業秘密などは扱ってません ちなみに従業員のネット閲覧はとくに制限はありません 説明不足はあると思うのですが、アドバイス頂けると助かります : [sage] 2015/09/25(金) 23:06:05.91ID:??? たけぇ! : [sage] 2015/09/26(土) 06:15:33.45ID:??? ライセンス内容(Full IPSのみ とか)保守内容が解らないと価格の返事は出来ないよ オーバースペックかどうかは、総接続台数が解らない 30D なら30台 60D なら60台 が目安 但し速度は変わるけど : [sage] 2015/09/26(土) 15:53:10.87ID:??? UTM使うなら60Dだと20台が限度だと思う。 その下の40Cだと5台くらいが限度だから、機種選定は妥当だと思う : [sage] 2015/09/26(土) 16:46:30.82ID:??? セキュリティ対策って設定して終わりじゃないから 設定だけしてもらってもあんま意味ないかと。 保守も故障対応とかアップデート程度っぽいし。 : [sage] 2015/09/27(日) 22:17:14.99ID:??? 85です 色々アドバイスありがとうございます! 機種として60Dは妥当な感じでしょうか すぐ決めなくてはというわけではないので 業態的に合ってるかと設定や保守の依頼については 上に出てた本を読んでもう一度考えてみようと思います : [sage] 2015/09/28(月) 09:47:16.58ID:??? 最近こぞってリコーを初め複合機屋がFortiに手出してる。 UTM多機能、トランスペアレントで挟み込むだけだから導入が楽、 テンプレ設定でばらまけるから内容を理解してないレベルの事務機屋にも販売させることができる。 価格設定は我々中小SIerから見たら羨ましいレベルのぼったくり、さすが大手の看板使うと違うなぁと思います。 もし他に出入り業者が居たら相談したらもっと安く済むかもしれないし、 注意して欲しいのはFortiはあくまで対策の1つと考え、これで万全!と過信はしない方が良いかなと思います。 : [sage] 2015/09/28(月) 09:51:51.70ID:??? 連続で失礼、 セキュリティ設定の変更なら管理画面も日本語GUIだし難しくはないと思う、 というかWebフィルタやDLP使わないならほとんど設定変更もないと思うけど。 初期状態からの設定は自分ではしない方が良いかと思います。 あと導入するならハードウェア保守はケチらない方がいいです、壊れやすいものではないけど 万が一壊れたら笑い話にもならないので。 : [sage] 2015/10/01(木) 05:03:38.95ID:??? すんません 自宅から書き込み 会社のISPが遅すぎて Forti(OS 5.x)のVPNから、フレッツVPNへの変更を思案中 Fortiだけで、フレッツVPNされているところ、有りますか? フレッツVPNはRTX使わないと と業者に言われて : [sage] 2015/10/02(金) 16:00:49.99ID:??? 単純にトンネル機能だけ使うならRTXのほうが信頼性はあるわな 別にPPPoEしゃべれてトンネル機能持ってるならなんでもいい : [sage] 2015/10/02(金) 17:39:45.91ID:??? なんでだろ? うちはRTX1200or1100で問題おきてないけどな : [sage] 2015/10/07(水) 21:23:43.73ID:??? VDOMでいけるよ : [] 2015/10/10(土) 14:30:59.58:RgQZ62OV フレッツ回線でispとフレッツvpnワイド使うなら、hub噛ませてwan1とwan2に接続して両方使えば良いかも。 pppoeのマルチセッションは出来なかったするからfortiだと。vdom使うのは負荷がたかいし。 フレッツvpnワイドだとネットワークは超えれないから、内部でvpnかけるといいかも? 今ならrtxよりcisco startの方が安くてオススメ : [sage] 2015/10/17(土) 09:29:04.55ID:??? くっそー30Dまた固まってる定期レポートこねー おそらくウィルすチェックの定義ファイル更新だろうけど、 これってスケジュールで更新時間何とかできたっけ? うちはNECのIXルータでフレッツ光ネクストのIPv6でVPNやってる。 接待頼んだ数社のベンダには全部断れたから自分でやったけど。w : [sage] 2015/10/17(土) 17:23:11.38ID:??? いろいろ、教えていただき有難うございます 我ながら情報不足だと反省 従来、FortigateのVPN機能で各拠点を接続 リース期間が切れたので、総入れ替え 内訳は、200D 90D 30D で、その際NTT Bフレッツから光ネクストファミリー 1Gタイプに切り替え ISPがO●Nと言う地雷 当然のごとく夜間は遅くて使えない状態 30Dのせいで、98氏の案もダメ (90DもVDOMは不可) 切り替え直後なので、追加のハード申請もしにくい状況です トホホ : [sage] 2015/10/17(土) 19:08:21.63ID:??? ISPだけ変えれば良いんじゃないの : [sage] 2015/10/22(木) 21:02:41.11ID:??? 全拠点ISPとフレッツVPNの2セッションってことかな 30Dの拠点だけインターネットもVPN経由にしてしまう荒業も・・・・ただでさえ遅いのに激ヤバですかね 30Dは置いといて単純に2セッション収容するだけなら別にVDOMはいらないんでは? 2ポート分PPPoEに割り当ててルーティングだけで済むよね? : [sage] 2015/10/29(木) 01:32:17.42ID:??? 隠しコマンドでなんとかかんとか : [sage] 2015/10/29(木) 22:22:03.77ID:??? 速度なら、NTTCOMのArcstar系サービスにするか、 他社の同系統サービスにするか : [sage] 2015/10/30(金) 22:13:19.80ID:??? 家庭用ルータでAtermWG1800HP使ってたけど有線クソだからFortiGate-60Dに乗り換えた Fortiアニキたちよろしく! : [] 2015/10/30(金) 22:14:53.18:dLey78C8 ホスト名出てしまったwww これを機にセキュリティ勉強しなおします : [] 2015/11/03(火) 18:48:33.31:ILkTn/GO べつにホスト名出たところでNTTがしゃべらなければだれにもわからんだろ あと2chはともかく世の中にはIP公開掲示板が多いし : [sage] 2015/11/12(木) 15:11:40.60ID:??? 会社から書き込んで会社バレする場合もあるで : [sage] 2015/12/01(火) 22:11:58.49ID:??? ちょいと教えてください。 5.2.3に上げたら、GUI上からUSBモデムの項目消えたんだけど、 40C特有の問題?それとも全面的に消されちゃったの? デモ環境でUSB使いたかったんだけどなぁ。 : [sage] 2015/12/03(木) 18:57:18.35ID:??? 始めて30DさわったんだけどDNSサーバ機能ないのな、キャッシュ機能も 普通にあると思ってたからびびるわ最近のファームもそうだけど細かいとこで仕様かえすぎでうざいわ最近 : [sage] 2015/12/05(土) 13:10:16.33ID:??? あるよ インターフェースのとこで設定する : [] 2015/12/06(日) 18:24:44.84:FEUVbeAA 内部DNS用に個別にAレコード登録できますか? 家庭で使うにはあると便利なんだけど : [sage] 2015/12/07(月) 14:25:31.03ID:??? ええ~まじで・・・・ インターフェイスのとこも探したんだけどな、見逃していたのかな もしよければなんてコマンドか教えてください : [sage] 2015/12/09(水) 01:16:34.19ID:??? FortiOS(firmware)の4.0系と5.0系って 利用面で大きな違いありますか? 漠然としたものになりますけど 4.0 MRxで十分、とか 5.0以上にしておくべきとかはありますか? 利用規模は小規模でクリティカルなことはしませんが、必要十分、なのかできれば上げるべきか、が分からずで : [sage] 2015/12/09(水) 01:38:45.14ID:??? 可能な限り上げるといいんじゃないかな。 上げている方が何かと便利だしね。 : [] 2015/12/09(水) 14:27:10.39:yhazYTNN 5.2からHA構成でPPPoE対応とか書いてあるので、確かめたんですがちょっと良くわかりません。 HSからの抜粋 DHCP/PPPoE機能使用時に冗長化構成を組むことは可能ですか。 FortiOS5.2よりDHCP機能及びPPPoE機能を使用時の冗長化構成をサポートしています。 100D F/W5.2.4 HA構成でインタフェースにPPPoEのチェックあり。 500D F/W5.2.4 HA構成でインタフェースにPPPoEのチェック無し。DHCPは有 500Dは中級だからPPPoEとか使用しない想定なんですかね。 : [sage] 2015/12/09(水) 14:46:13.98ID:??? 5.2系ならフィーチャーでDNSデータベースをONにすると出来ると思います。 ネットワーク>DNSサーバでゾーン作成後にインタフェースでサービスを有効 : [sage] 2015/12/09(水) 18:25:47.14ID:??? ありがとう。 30DにはGUIのフィーチャーにも、config system globalだったかsettingだったかのgui-にも DNSデータベースがないのですよ。 : [sage] 2015/12/09(水) 20:26:01.77ID:??? データシート見るとDNS Database supportは60Dからだね : [sage] 2015/12/10(木) 01:37:41.26ID:??? fortigate 60cをPPPoEルーターとして使うにあたって注意した方が良いこととかありますか? ハマりやすいところなどあれば教えてください GUIでwizard使ってまともに繋がらないみたいな話も聞いたので不安です : [sage] 2015/12/10(木) 08:33:56.96ID:??? 特に無いよ 普通に接続できるという感じしか記憶にないけど、fgのやすい奴はよく壊れるイメージ。特に中にフラッシュかssd積んでる機器で、ディスクロギングしてると駄目っぽい。 どこからかその機能が使えなくなったのは、ディスク破損が多発してるからじゃないかな。 : [sage] 2015/12/10(木) 08:35:44.81ID:??? 一転補足だけど、fortiOS古いとメモリリークやcpu100%やらで悩むよ。 : [sage] 2015/12/10(木) 15:23:33.34ID:??? まぁ、そうなんだけどそれでもDNSキャッシュサーバはあるって話だったので・・ : [sage] 2015/12/10(木) 16:43:39.24ID:??? 60Cだと出てくるDNS Databaseが 30Dでは出てこないって話? いちおう60Cだとこういう手順だね 見つけにくい位置にあるけど30Dだと出ないんかな ttp://jump.5ch.net/?http://network-cisco.seesaa.net/s/article/393477605.html : [sage] 2015/12/11(金) 00:01:48.08ID:??? ありがとうございます ディスクロギングがデフォルトオフになったのはv5か5.2あたりからみたいですね とりあえず購入してみます : [sage] 2015/12/14(月) 14:09:59.62ID:??? そうでござる、無いのでござる で、の言う通りスペックシートには30Dと40DにはDNS Database機能が無い ただはあると言ってるので、なんか裏技でもあるんかなと もう引き渡しちゃったから試しようもないのですけどね : [sage] 2015/12/17(木) 22:27:46.76ID:??? 4.0はもうメンテされないから VPNとかに使うなら辞めたほうがいい UTMとしても4はもうすぐサポートなくなると思うよ : [] 2015/12/24(木) 10:51:39.09:cn1OpBxi FortiClientからVPN経由でLANのPCをWOLで立ち上げる方法が分かりません。。。 一応ファイアウォールのポリシーはVPN→Internalは全てのサービスを許可しているのですが、うまくいきません。 マジックパケットはユニキャストでもブロードキャストでもどっちでもいいです。 Ciscoだとできたんだけどなぁ : [] 2015/12/25(金) 00:08:58.16:NuQuYAJT すいません自己解決しました スタティックなarpを書いてなかっただけだった… : [] 2016/01/10(日) 13:35:47.84:iE57cn5B 自宅用にFortiGate-60cを中古で買ったら2019年までFortiGerdのサブスクリプションついててワロタ Internalをswitchで動かしてて、Internalポートに接続してる機器同士でjumboFrame透過させたかったからMTU9000にしたら、インターネット抜けが20Mbpsくらい落ちたもんでMTU元に戻した そしてMTU戻した後もInternal同士でjumboFrame透過出来た switch動作有能ですな : [sage] 2016/01/11(月) 02:43:25.54ID:??? それって、むしろポンコツじゃん : [] 2016/01/11(月) 12:19:36.39:aw0baTv0 そうとも言う : [sage] 2016/01/15(金) 07:30:43.49ID:??? FortiCloudのキーって筐体にシールで貼ってあるけど、あれってシール以外に書いてないんですかね? いや、もうラックにマウントしちゃったので見ようと思うと大変なんですよw : [sage] 2016/01/15(金) 17:44:59.02ID:??? ラックタイプならディスク持ってるだろうしFortiCloudなんていらなくない? : [sage] 2016/01/16(土) 07:57:27.40ID:??? 皆さんバックドアを有効活用してらっしゃる。 : [sage] 2016/01/16(土) 12:34:30.66ID:??? 4系OSのForti買ってやってみたけど簡単に入れるな : [sage] 2016/01/16(土) 13:28:13.58ID:??? ファーム最新にしたらレポートの中no dataになっちまった 海外製はやっぱよーわからん : [sage] 2016/01/16(土) 13:30:31.79ID:??? ファーム最新にしたらレポートの中no dataになっちまった 海外製はやっぱよーわからん : [sage] 2016/01/23(土) 19:28:00.68ID:??? fortiを他のFWのDMZに置いてVPN装置として公開したいんだけど VPN接続しにくるincomingインタフェースとlocalインターフェースが 同じポートでも通信って問題なくできるもんなの? : [sage] 2016/01/24(日) 16:45:16.00ID:??? 検証してないけど、できないと無理だよな : [sage] 2016/01/24(日) 16:53:25.34ID:??? ssl.rootからWAN1への通信を許可するポリシーを書けば行けるんじゃない? : [sage] 2016/01/24(日) 21:50:24.99ID:??? ssl.rootかぁ、なんか見るサイトによって VPNポリシーの作り方が違って解らんなぁ 明日試してみますぞ : [sage] 2016/01/25(月) 14:50:11.36ID:??? 他のFWのポリシーは (A)WAN->DMZにHTTPS (B)DMZ->LANにVPNで許可するトラフィック Fortiのポリシーは (C)SSL.ROOT->WAN1 または (D)SSL.ROOT->LAN どっちのパターンでもやったことあるけど(昔のバージョンだけど・・) 素直にFortiを2本足にして(A)(D)でやった方が苦労しなくて済んだ気がする : [sage] 2016/01/25(月) 19:25:34.37ID:??? ssl.root >> wan1で出来たよ、ありがとう : [] 2016/02/01(月) 11:20:01.74:OaoSZvfP 国内ベンダでFortiOS5.4.0提供はじめた所ってある? : [sage] 2016/02/04(木) 15:17:42.00ID:??? 知ってる限りでは無いかな : [sage] 2016/02/05(金) 22:11:04.70ID:??? Fortigate自身もrecomemdedにしてないから、当分ないやろ : [sage] 2016/03/04(金) 00:49:00.55ID:??? fortigate200Dで質問です。 ポートにそれぞれアドレスをふってお互いにポリシーを書いて通信(Ping)させましたが、ポートのインターフェイスの設定をDHCPにして自動取得したpcしか通信できないです。何か設定足らないでしょうか? ポリシーはすべてallにしています。 : [sage] 2016/03/04(金) 10:56:29.75ID:??? PCの設定が足りないんじゃね。 : [sage] 2016/03/07(月) 15:11:53.94ID:??? Windowsファイアウォールがはじいてるとかゲートウェイ間違ってるとかじゃないの 業者さんに設定お願いした方がよさそうだね : [] 2016/03/13(日) 14:54:45.57:cS2AEw0Q フロー(ディープブロー)とプロキシの差がいまいち・・・。フローでもeicarをwebダウンロードしようとすると、ページ書き換えるよね? プロキシ動作じゃなくてもできるもんなの? あと、聞いた話、5.4.0がばぐばぐで、5.4.1は今の予定では6月とからし。 : [] 2016/03/18(金) 21:10:43.11:VWTaZNCm 60Dですが、Wifi経由で接続してきたPCは問題ないのに、 Androidスマホ、タブレット、iPad、iPhoneに限ってインターネットに出られません。 なにか気を付けなければいけない設定はありますか? : [] 2016/03/19(土) 16:31:04.99:0puRukOO 自己レスになりますが、 DHCPモニタで一覧したときに、ホスト情報に「VCI」が含まれていない端末が60Dを通過出来ない様子。 依然対応方法はわからずです。 : [] 2016/03/23(水) 17:33:59.00:uILK4vx1 Fortigate100D(固定ip)とSi-R G100(動的IP)をipsecで接続したことのある人はいないだろうか… : [] 2016/03/24(木) 07:53:01.09:gwDiH94k どんどん新しいFortiOSリリースするのを悪いとまでは言わないけど、 既存のOSを安定化させて欲しい。 リリース前に基本動作の確認をしっかりやって欲しいな。 誰と競争してるのか知らんけど、自分の製品の土台をしっかり作り上げて欲しいです。 : [sage] 2016/03/24(木) 10:36:38.53ID:??? FortiGateとScreenOS、YAMAHAあとなんだっけ忘れたけど繋いだことある YAMAHAとSi-Rも繋いだことあるけどFortiとSi-Rはないな 多分、徹底的にプロポーザル合わせれば行ける雰囲気だけど 確かFortiOS5.2から対向が動的IPだとルーティングべ―スIPsecできないクソ仕様になった 詳細は覚えてないけどもポリシーベースじゃないと無理だと思った方がいい ほんそれ GUIやら細かい仕様やらコロコロ変え過ぎ、SSL-VPNとかUTM使う分には問題なさそうだけど SIerとしては価格含めてまともな競合製品があったらFortigateなんて速攻捨ててる 一応今色々新しいの検証はしているが・・・。 : [] 2016/03/24(木) 22:07:17.70:Ji2sB+0K そんな仕様があったのは(なったのは?)知らなかったデス… まぁ、無理とわかっていても単純に無理ですってのは納得はしてくれないと思うんで、試せるだけ試して無理ですって方向に持って行きたいと思います。 だから異機種間のVPNって嫌なんだ… : [sage] 2016/03/28(月) 03:02:29.53ID:??? なんじゃそのクソ仕様はと思ったけど、冷静に考えたら当たり前の仕様だよな。理由が分からないならこの仕事やめた方が良い。 : [sage] 2016/03/28(月) 09:36:38.52ID:??? 今までたいていの機械で出来てきたことだと思うけど ルーティングベースNGでポリシーベースはOKが当たり前ってどういう理由で? : [sage] 2016/03/28(月) 23:56:48.79ID:??? 60Dでハマってます。 拠点aに60Dを新規設置しました。拠点a.拠点b.拠点cはルータでvpnトンネルを張っています。 拠点bと拠点cのインターネットの通信は一旦拠点aの60Dを通って外に出て行きます。 拠点aは問題ないのですが、拠点b、拠点cはインターネット使用した場合httpのみかなり表示が遅くなります。なのでGoogleは問題ないですがヤフーはかなり表示がら遅くなります。60Dのポリシー、UTM機能を切っても駄目でした。 メーカーに問い合わせたんですがありえない事象だと言われました… なにかご教授いただきたいです。 : [sage] 2016/03/29(火) 01:17:03.88ID:??? mtu : [sage] 2016/04/01(金) 15:57:03.09ID:??? 全二重になってないとか・・・ : [] 2016/04/11(月) 21:06:21.35:2cJgMOLF 60D でアンチウィルスのプロファイルが新規作成できない・・・・ ライセンスがないからとか? それとも CLI で何かを有効化する必要があるのか? : [] 2016/04/12(火) 00:32:40.10:P+L53mqX フューチャーで複数プロファイルのやつ有効にしてる? : [sage] 2016/04/12(火) 00:52:51.80ID:??? HA構成したときに、スイッチポートをモニタポートにすることってできますか? : [] 2016/04/12(火) 18:46:05.99:0IqTtozZ [拡散希望!] 参考になりそうなURL送っておきます 電磁波による拷問と性犯罪 ttp://jump.5ch.net/?http://denjiha.main.jp/higai/archives/category/%E6%9C%AA%E5%88%86%E9%A1%9E 公共問題市民調査委員会 ttp://jump.5ch.net/?http://masaru-kunimoto.com/ この方たちは集団訴訟の会を立ち上げてマスコミに記事にしてもらう事を目的に集団訴訟を被害者でしようという試みを持っている方達です 訴訟は50人集めてしようという事なのですが50人で訴訟をすると記事に書けるそうです 記事には原発問題を取り上げてテク犯被害を受ける様になった大沼安史さんらが取り上げて下さるそうです 大沼安史さんがテク犯に遭っているという記事 ttp://jump.5ch.net/?http://ameblo.jp/hilooooooooooooo/entry-11526674165.html 大沼安史の個人新聞 ttp://jump.5ch.net/?http://onuma.cocolog-nifty.com/blog1/4/index.html この方たちは電話相談等も受け付けている様で電話番号を載せている方達は電話かけ放題の契約をしていますのでこちらから電話して本人にかけ直してくれと頼むとかけ直してくれます 音声送信被害等を受けている「電磁波による拷問と性犯罪」の記事の水上さんは年金暮らしなので時間には余裕があるそうで被害内容の話等を聞いてくださると思います もう一人の電磁波犯罪には遭っていない国本さんという方は電磁波犯罪をしっかり理解されている方で年金暮らしの方なので長電話も大丈夫です 大沼さんはこちらのページからメールを受け付けておられる様です ttp://jump.5ch.net/?http://onuma.cocolog-nifty.com/about.html 電話をかけたい場合は人によってはメールで電話番号を訊くと教えてくれると思います この文章を見られた方は全文コピーをしてできるだけ多くの知り合いの被害者の方等にメールを送るなり被害者ブログに書き込むなりしていただければ大変有難いです もし大勢の方に送る事が出来なければまだこの文章に触れていない知り合いの被害者に少しでも全文コピーで送っていただけるとその方が次の何人かの方に繋いで頂ける場合があり結果として大勢の方に見て頂く事が出来るはずです ご協力よろしくお願い致します 👀 Rock54: Caution(BBR-MD5:f70dfdc711a7c6ae6accccb939f27fbf) : [sage] 2016/04/12(火) 23:08:48.56ID:??? MTU1438 : [sage] 2016/04/13(水) 08:35:22.24ID:??? お客さんところのHA構成のFortgate200Bをファームウェアのアップデートした 1アップグレードに20分取ってたら5分ぐらいで終わっちゃってちょっと驚いた 検証用に購入した1台放出しようかな 200Bは5.4台にできないし、 マスター側のスイッチポートは色々できたと思う : [sage] 2016/04/15(金) 22:55:26.57ID:??? FortiExplorerでUSB MGMTに繋げると PCとFortigateはIPアドレスなくても通信できるのでしょうか? : [sage] 2016/04/19(火) 08:14:59.00ID:??? 設定が出来るって意味なら出来るよ : [sage] 2016/04/23(土) 22:47:54.08ID:??? 4.0MR3でHA(Act-Passive)構成した時にDevicePriority同じ値にしないと 2台のFortigateのHBIF接続した時に片方が落ちるんだけど Act-Passiveの時はDevicePriority揃えないとダメとかある? : [sage] 2016/04/24(日) 15:22:33.04ID:??? FortiGate ファーム 5.2.3 Forti AP ファーム 5.2 ブリッジモード接続で、SSIDステルスの設定は出来ないのでしょうか? : [sage] 2016/04/27(水) 10:19:59.50ID:??? 4.0MR3台のコンフィグみたけど同じになってるな 揃えるべきかも : [] 2016/05/23(月) 00:35:55.13:PhVD+yka 怪奇現象が発生しており、お知恵を拝借したく書き込ませていただきました。 <やりたいこと> ・Forigate 300Dを2台でHA構成 ・社内の2つのネットワークの間に設置する ・もともとはルータ1台が置いてあって、ファイウォールに置き換える (IPは同じものを使用。) ・AV機能のみ稼動 <今の状態> 2つのネットワークのうち、片方にFTPサーバ(1)があり、5分間隔くらいで、 もう片方のサーバ(2)から、ルータを経由して、ファイルのアップロードを行っている。 <発生していること> ・ルータからファイアウォールに切り替えた後、最初は問題なくFTP通信している。 ・数時間経つと、突然サーバ(2)が、FTPサーバ(1)を見失い、通信できなくなる ・2回切り替えを行ったが、1回目は4時間、2回目は2時間くらいで、通信できなくなる。 (再現性あり) ・ルータに構成を戻すと、最初は同じく見失ったままだが、1時間くらいすると復旧する。 ・ファイアウォールでパケットキャプチャ確認しても、サーバ(2)側のポートに該当パケットの通過なし。 サポートに問い合わせても、原因不明とのことで、お手上げ状態です。 「この辺が怪しんじゃね?」というのでもあったら、アドバイスいただけると助かります。 : [sage] 2016/05/23(月) 17:00:51.69ID:??? 正直サポートがお手上げだとどうしようもなさそうだけど L2レベルから疑ってみたらどうかな。 スイッチングHUBのMACテーブルとかサーバーのarpとか・・・ : [sage] 2016/05/24(火) 05:46:26.09ID:??? HAをやめてみる : [sage] 2016/05/26(木) 21:05:37.03ID:??? 両系アクティブの事象に似てる気がする シングルで動かしてみて上手くいったらa-pで動作見たら? : [sage] 2016/05/26(木) 23:57:55.20ID:??? AV止めて状況確認してみな。 : [sage] 2016/07/11(月) 17:38:14.74ID:??? HAて必要ですか? : [] 2016/07/11(月) 19:42:03.11:RCl2efvk FortiOS 5.2.8アップデートがWebGUIに出てるのにいざアップデートしようとしたらダウンロードで失敗する 正常にアップデートできた兄貴いる? : [sage] 2016/07/11(月) 21:10:27.39ID:??? HAしたいけどUTMライセンス2本はつらい : [sage] 2016/07/15(金) 16:55:38.28ID:??? 200D なんで、DMZがSPFなの? : [sage] 2016/07/22(金) 00:42:41.73ID:??? INTの定義なんて自由にやれるんだし、RJ-45のポート使えばいいんじゃない? Fortiはあそこからのアップグレード成功するほうが珍しい 代理店なり保守契約結んでるところからDLしてアップグレードするよろし : [sage] 2016/08/04(木) 17:00:19.63ID:??? HAのアクアクとリンクアグリの違いがわからねぇよ : [sage] 2016/08/05(金) 21:00:17.11ID:??? もう見てないと思うけど、サポートしているハードでも透過モードの時はDNSサーバの項目は表示されないみたい : [] 2016/08/09(火) 21:21:18.91:MzxXHG4H なぜかポート開放できん DMZのインターフェースではできてるのに なんでやろ? : [sage] 2016/08/11(木) 15:02:44.07ID:??? 初期化してコンフィグリストアしてみな : [] 2016/08/12(金) 06:36:17.48:66Gyl2iX fortigateのVMライセンスで運用するのは、 何かデメリットとかあるのでしょうか? 適当に増設出来るKVMクラウド基盤に載せるんで、 マシンスペックが足りないという事は絶対無いんですが、 皆物理マシン買ってるみたいで、避けられてる理由でも あるのかなと勘繰ってしまう… : [sage] 2016/08/12(金) 19:27:36.82ID:??? 同じ処理能力出そうとすると実機より高くつく ってかASICじゃないから遅い : [sage] 2016/09/02(金) 14:36:03.66ID:??? 200Dと60D発注した。 支店に60D置くんだ。 : [sage] 2016/09/03(土) 20:35:42.95ID:??? AHやESPなとIPプロトコルをポートフォワードするのとって可能ですか? GUIみてるのですが、TCPとかUDPはあるのにIPがない… forti配下のCiscoにVPNを処理させたいのです : [sage] 2016/09/04(日) 10:29:40.51ID:??? ポートフォワードの意味を勘違いしているような気がする : [sage] 2016/09/04(日) 10:43:39.30ID:??? すいません。この場合はNATと表現すべきですかね… : [sage] 2016/09/04(日) 23:43:40.91ID:??? 君の知識だったら金払ってプロにお願いした方が良いね。 : [sage] 2016/09/05(月) 09:15:56.22ID:??? ポート番号がなきゃ変換できないよ。 : [sage] 2016/09/13(火) 18:44:45.10ID:??? 勉強のために60Dをオクしようかと思ってるんだけど 契約切れてると制限されてる機能とかってありますかね? : [sage] 2016/09/13(火) 22:50:27.76ID:??? パターンファイルの更新とかファームのアップデートとか。 : [sage] 2016/09/13(火) 23:12:09.45ID:??? ありがとうございます 評価や勉強としては十分な感じですね : [sage] 2016/09/14(水) 11:37:27.79ID:??? 会社でのUTM導入を考えてスペックとにらめっこしてます 90Dいいなー、と思ったのですが、アンチウィルスのスループットが フローで65Mbps/プロキシで35Mbpsと書かれてますけど アンチウィルス機能をオンにするとそんなに遅くなりますか? UTM導入は初経験なので、そこまで遅くなるのか実感が無いです : [sage] 2016/09/14(水) 12:33:39.95ID:??? UTMは単純捜査じゃないからASICとか効かないし どこもそんなもん : [sage] 2016/09/14(水) 13:03:24.15ID:??? そんなもんですかー 実効速度がフローでも50Mbpsになりそうですけど もう一段高い100Dを検討しようかな… : [sage] 2016/09/14(水) 14:24:32.96ID:??? Sophosとかで評価版のソフトがあるから空きPCとかに入れて試してみたら? UTMの感覚は掴めると思う : [sage] 2016/09/14(水) 14:44:35.58ID:??? このスレの趣旨と反してしまうかもだけど、面白い製品を紹介してくれて助かります PCをUTMとして使えないのかとも考えていたので、これは是非試してみたい : [sage] 2016/09/14(水) 17:05:05.23ID:??? 支社に60D.本社に200Dを想定して、回線使わず接続テストしてるんだ 支社からは外に出ず、本社経由で出てるっぽいけど、支社のPCからTracertすると、本社から外のgatewayのIPの前に200DのMGMTのIPが見える なんだこりゃ 60Dと200Dの間には、インターネットの代わりにルーターを置いてる : [sage] 2016/09/15(木) 02:24:10.39ID:??? tracerouteはどのIPアドレスで返さなきゃいけないというような決まりはないじゃん。 だからそれは仕様なんだよ(藁 : [sage] 2016/09/15(木) 06:08:07.53ID:??? 200D自身ってことですか 納得 : [sage] 2016/09/15(木) 14:42:39.74ID:??? 5.2からNAT64使えるみたいだけど使ってる人いる? スループットどれくらいでるのか知りたい : [sage] 2016/09/16(金) 09:53:14.14ID:??? IPsecだと思うけど、トンネルにIPふってないなら、そうなるかもね : [sage] 2016/09/16(金) 16:42:47.32ID:??? ここは勉強になるわ : [sage] 2016/09/26(月) 10:10:46.33ID:??? 100dで質問です。 新しいセグメント追加のためvlan追加したいのです。 すべて使用のポートを倫理で切っている為、元のvlanを切って新たに作る流れになると思いますがその場合、その切ったvlanは通信断等発生するでしょうか? : [sage] 2016/09/28(水) 02:14:42.65ID:??? もう少し具体的に書いてくれ。何がやりたいのかよくわからない : [sage] 2016/09/28(水) 06:10:00.61ID:??? 倫理で切るって、ポリシーってことですか? vlan切ったら、通信も斷かな 人のいない時に試してみたら? : [sage] 2016/10/02(日) 18:23:21.20ID:??? 論理かと思えば倫理wwww : [sage] 2016/10/07(金) 19:07:24.34ID:??? ASICがきかない?きくよ。 どのチップが入ってるかはモデルで 変わってくるから確認してください。 エントリーモデルクラスだとsoc ある程度ミッドレンジになってくると CP、NPが入ってるからパフォーマンス があがってくる。 : [sage] 2016/10/08(土) 11:10:00.47ID:??? ポリシーのセクションビューができない デフォの暗黙のanyがあるから? : [sage] 2016/10/09(日) 19:29:59.66ID:??? ポリシーのコンフィグ貼ってみな : [sage] 2016/10/10(月) 15:26:18.30ID:??? すみません。 解決しました。 申し訳ない。 : [sage] 2016/10/16(日) 10:56:29.74ID:??? 一部のGoogleサービスのみ利用を許可する制限を掛けたくて、 FortiGateの導入を検討しています(60D or 50E)。 規模的には60Dでも十分かと思ったのですが、NGFWスループットが 23Mbpsと低いのが気になっています。 ※アプリケーションコントロール機能での制御を考えているため。 逆に、50EはNGFWスループットが220Mbpsと60Dより高く、 その他のスループットも60Dより高いのですが、ファイアウォール レイテンシが180マイクロs(60Dは4マイクロs)と大きいのが 気になります。 NGFWスループットとファイアウォールレイテンシの間には、相反する関係があるのでしょうか? ※NGFW関連の機能を無効にしていても。 また、50Eの180マイクロsというレイテンシは、一般的なWeb閲覧や Web会議のような使い方であれば、十分な値なのでしょうか? : [sage] 2016/10/16(日) 12:14:54.96ID:??? 50E チャレンジャーだな : [sage] 2016/10/17(月) 17:18:32.01ID:??? そなの?うち50人ぐらいの製造業だけど30D使ってるよ どうせアンチウィルスでスループットそんなに出ないでしょ? : [sage] 2016/10/17(月) 18:52:42.23ID:??? Eシリーズは5.4系だからじゃね : [sage] 2016/10/17(月) 21:45:12.67ID:??? どのクラスからが、新のFortigate? : [sage] 2016/10/17(月) 22:18:39.39ID:??? 300D : [sage] 2016/10/18(火) 00:42:51.33ID:??? ネットで調べても、取り扱っているサイトが少ないように 思うのですが、あまり実績のない機器なのでしょうか? 5.4系はまだ安定していないのでしょうか? : [sage] 2016/10/18(火) 01:54:11.16ID:??? 一般には5.2系が安定版ってされてる とりあえずFortiはサイジング含めて選定難しめの機器だから販社に検証機借りて試験導入する事を勧めるわ : [sage] 2016/10/19(水) 19:42:43.36ID:??? 5.4サポートしてる販社ってどこよ? : [sage] 2016/10/19(水) 23:15:26.31ID:??? ありがとうございます。 試験機での検証を考えたいと思います。 : [sage] 2016/10/20(木) 19:23:54.80ID:??? FG300Dの導入を検討してて、相見積もりでウォッチガードの金額聞いたら安すぎてびっくり スループットとかいいのになんで安いんだろ : [sage] 2016/10/21(金) 01:25:30.41ID:??? 本当に300Dが必要? : [sage] 2016/10/21(金) 10:08:37.77ID:??? 俺も昨日ウォッチガードってのを見つけて値段調べてたら本当に安かった ネットで調べてたら情報まったく出てこなくてびびったけどw : [sage] 2016/10/21(金) 10:58:28.06ID:??? 昔アキバのOTTO(PC-server1)で扱ってたことあったけどな>ウォッチガード : [sage] 2016/10/21(金) 11:31:28.63ID:??? 赤いやつってイメージしかない。 昔のは中身PCだったな。 : [sage] 2016/10/21(金) 11:38:50.48ID:??? winNTが入ってて酷い代物だった : [sage] 2016/10/21(金) 11:49:52.13ID:??? ウォッチガードって今でも管理用PC用意しなきゃいけないの? : [sage] 2016/10/26(水) 21:29:41.26ID:??? 100dで質問した者です。 すいません、自分でもなんかへんな文章で申し訳ない LANインターフェイスとして12ポートを物理できっています。それを半分の6ポートを今の物理グループより削除して新たにインターフェイスグループを作成しLANを2つにしたいのです。 今のLANには一本だけでL3が繋がっており半分のポートをグループから削除しても問題ないとフォーティーより回答あったので削除実行したらネットワークが止まりました。慌ててすぐコンフィグを戻して復旧しましたが原因がよくわかりません。 LAN側pcよりpingを打っていましたがL3までは通っておりました。 fotiとL3間の通信が取れていないようで、ポリシーか物理インターフェイスを変更した為Macアドレス変化したのかのどちらかと思っているのですがどうでしょうか? 物理インターフェイスを分けるとMacアドレスって変化するでしょうか? あとはポリシーを新たに分けたインターフェイスで適用し直しでしょうか? : [sage] 2016/10/26(水) 22:32:22.56ID:??? 5.2系5.2.3以前のだとハードウェアスイッチのメンバー編集すると不具合起こす : [sage] 2016/10/26(水) 23:01:32.79ID:??? まじですか、、確認してみます。 その場合はやはり新たにポリシーの設定し直しですかね : [sage] 2016/10/27(木) 00:31:56.83ID:??? 再起動で直る。 てかファームウェア上げような? : [sage] 2016/10/27(木) 05:29:58.14ID:??? そんなに古くなかったような気がしますが確認してみます。 ありがとうございます。 ちなみに5.2系5.2.3以前とありますが5.0系も対象でしょうか? : [sage] 2016/10/29(土) 11:35:17.42ID:??? 細かいこと聞いても、答えられないよ 自分で試しなよ : [sage] 2016/10/29(土) 11:53:49.02ID:??? 忘れてた。 5.0系はハードウェアスイッチの機能に制約が多くて、そのせいか不具合が少なかった。 たぶん5.0系は大丈夫だけど、メンバーの編集の自由度が低かった気がする : [sage] 2016/10/29(土) 14:58:30.29ID:??? 5.0系は初期化しないとスイッチの構成変更できなかったような : [sage] 2016/10/29(土) 16:45:17.81ID:??? お前らさっさと5.2にあげろよ : [sage] 2016/10/30(日) 13:24:54.49ID:??? 5.4はチャレンジャー 5,2は常識人 5,0は⁇ : [] 2016/10/31(月) 11:16:27.62:faqPh1nW 5.4のGUIはもうネタの領域だわ・・ : [sage] 2016/11/10(木) 23:48:13.20ID:??? webフィルタの設定で教えていただきたいのですが、 www.yahoo.co.jpとyahoo.co.jpは許可とし、img.yahoo.co.jpなどのwww以外の文字列は禁止したい場合 正規表現でブロックをすれば良いと思うのですが、下記の記述でうまくいきません。 ^(?!.*www).*(?=[0-9a-z]).*$\.yahoo\.co\.jp 設定教えていただけませんか。 : [sage] 2016/11/12(土) 12:34:31.47ID:??? 正規表現じゃなくてそのまま2つ書けばできないの? : [sage] 2016/11/12(土) 22:17:49.38ID:??? バージョンいくつ?正確にな! : [sage] 2016/11/14(月) 12:56:39.70ID:??? エスケープ怪しい 正規表現チェッカーサイトなりでマッチするか確認してみたら? : [sage] 2016/11/15(火) 06:58:49.68ID:??? なるべく1行ですませたいと考えました。 v5.4.1 build5447 です。機器は60Dです。 : [sage] 2016/11/15(火) 20:58:11.49ID:??? 5.4.2出たけどまだまだ不具合多い。 リリースノートの既知の不具合がてんこ盛りw 出荷時から5.4.1? : [sage] 2016/11/15(火) 23:43:08.70ID:??? 出荷時は5.2系統以前でした。最近5.4に変えたのですが、かなり変わりました。 動作も前とすこし違うような気がします。 : [sage] 2016/11/16(水) 10:07:04.47ID:??? 悪い事言わないから5.2系にもどした方がいいよ 5.4にしかない機能をどうしても使いたいとかあるの? : [sage] 2016/11/16(水) 15:08:39.34ID:??? 5.2に戻せるんですか! : [sage] 2016/11/16(水) 22:58:20.26ID:??? チャレンジャーやのぉ。機器モデルと使ってる機能晒してくれよ。 : [] 2016/11/18(金) 00:09:59.98:cn1LZVYy fortigateでwebのブロック等の制限ではなく、閲覧履歴のみをを取りたいのですが可能ですか? : [sage] 2016/11/18(金) 00:17:20.36ID:??? 全部のカテゴリをモニターで登録しとけばいいよ : [sage] 2016/11/18(金) 07:41:54.36ID:??? やってみます ありがとうございました : [sage] 2016/11/18(金) 20:29:01.44ID:??? できました …が、当然ですがユーザが意図して開いたページと広告とかの勝手にコネクション張る系がごちゃまぜでよく分かりませんでした… 正解はブラウザとユーザ本人のみぞ知るってことですかね 個人的な興味なので満足しました あんまり嫁さんの閲覧履歴とか見ても不幸な事態に陥りそうなのでオフります ありがとうございました : [sage] 2016/11/18(金) 22:11:25.75ID:??? あんたの嫁さんにPacketBlackHoleとミラーリング用のスイッチをプレゼントして セットアップまでしてやろうか : [sage] 2016/11/19(土) 02:41:30.62ID:??? wwwwwww : [sage] 2016/11/20(日) 02:39:08.16ID:??? それって暗号化された通信も復号化できるの? : [sage] 2016/11/20(日) 14:03:20.99ID:??? 実装的にmitmproxyと考察してる人は居るね メインのWebUIの方は、BackTrackにも含まれてるXplicoの独自カスタマイズだと思う 何れにしても目新しいソリューションでは無いはずだよ : [sage] 2016/11/21(月) 23:06:56.55ID:??? 50bから50dへの入れ替えって、コンフィグバックアップからリストアで、移行できるもん? fortigate以外は触ったことあるんだけど、今回初めて触ることに。 : [sage] 2016/11/21(月) 23:07:21.94ID:??? 移行先は50dじゃなくて50eだった。 : [sage] 2016/11/22(火) 01:30:08.63ID:??? 機器が違ってもバージョンが一緒ならインタフェース以外の設定は流し込めるよ ただFortiはインタフェースに紐付けてポリシーを書くから新しい機器に合わせて流し込む前に修正する必要があるね あと50bは5.4.xのFotiOSに対応してないので、50eと同じバージョンに揃える事はできません なのでコンフィグ移行は無理です : [sage] 2016/11/22(火) 01:43:54.19ID:??? ありがとう、やっぱりバージョン違いがネックかぁ。 別の人が特に資料も残さず書いたコンフィグを移行しなくちゃいけなくなったから、これは時間かけても勉強しながら手入力するよ。 : [sage] 2016/11/22(火) 14:07:59.22ID:??? SCSKの出荷バージョンが5.4.1になっとる : [sage] 2016/11/22(火) 23:00:35.85ID:??? 50Eってオチじゃねーの? : [sage] 2016/11/24(木) 11:57:48.74ID:??? 60D : [sage] 2016/11/24(木) 20:47:07.23ID:??? 90F : [] 2016/12/01(木) 00:15:27.80:+Aj6gCEf Ping通ってるのにNTP上手くいかんのなんでやろ? : [sage] 2016/12/01(木) 06:53:31.58ID:??? 相手のNTPサーバーが動いてないとかICMPは通ってるけどUDPが通っていないとか。 : [sage] 2016/12/01(木) 16:40:19.13ID:??? ポリシーでNTP通せば、行くでしょ FGからNTPして、他からリスン? : [sage] 2016/12/02(金) 19:45:27.81ID:??? 60Dでスループット計測してます。 LAN → WAN Any 許可の UTM 全オフのポリシーで 一世代前の家庭用ルータより 200Mbp 近く速度が落ちた。 カタログスペックでは圧勝しているはずが、なぜこんなに速度でないのか謎です。 ポリシー自体には適用していなくても、ライセンス入りだと裏で動いて 実通信にも影響でるんでしょか? 試しに Web フィルタを適用すると更に速度が落ちるので関係ないか。。 : [sage] 2016/12/02(金) 20:25:26.96ID:??? 一世代前の家庭用ルーターの方がそのレギュレーションだと高速、でいいじゃん。 : [sage] 2016/12/02(金) 20:40:26.05ID:??? それ以外にも試してて、ジュニパーのSRX220と比較しても遅いのよ。 SRX220の方がクラスが上だけど、単純にFWスループットなら60Dの方が出るのかと思ったのだけどね。 : [sage] 2016/12/03(土) 10:31:30.65ID:??? どんな回線で、どれくらいの転送速度ですか? : [sage] 2016/12/03(土) 12:20:27.83ID:??? 一世代前の家庭用ルーターで200Bps出るって凄くない? : [sage] 2016/12/03(土) 12:21:29.96ID:??? 200Mbps : [sage] 2016/12/03(土) 12:21:37.91ID:??? じゃあそもそも60Dが遅いということで。 : [sage] 2016/12/03(土) 12:44:45.97ID:??? Juniperオタクの荒らしやったんか まんまと乗ってもた : [sage] 2016/12/03(土) 13:47:54.90ID:??? いや、全然荒らすつもりもなければオタクでもないよ。 ジュニパーの方もUTM有効にすれば同等かそれ以下に落ちるから、 Fortiの方もUTMが動いててこれだけスループット悪いんだと思っているんだけどね。 GUI上で考えられるUTM、ログは全部オフにしたけど大きくは変わらず。 あとはCLIでなんかないか調べてるところ。 : [sage] 2016/12/03(土) 14:11:48.73ID:??? >279 に答えて頂けますか? : [sage] 2016/12/03(土) 14:13:27.49ID:??? 間違った >278 : [sage] 2016/12/03(土) 21:33:36.30ID:??? 家庭用なら 500Mbps、60D が 300Mbps です。 ちなみに別時間帯、何種類かの方法で何度も計測していますが、だいたい差は同じぐらいです。 なんとなくわかったのが、PPPoE を使っていない WAN2 配下のサーバと計測すると他機器を上回る十分な速度がでました。 セッション情報みると WAN2 は FortiAsic が機能しているけど WAN1 の場合は全セッション機能しておらず。 切れそうな UTM は全部切ってるけど、やっぱりどこかで動いてるのかなと。 (回線については問題ではないことはわかったので省略します) : [sage] 2016/12/04(日) 07:13:37.00ID:??? MTUあたりじゃね。 : [] 2016/12/04(日) 10:00:30.24:0qnCdoX2 mtu/mssは設定済みです(全機器共有) : [sage] 2016/12/04(日) 10:41:51.86ID:??? fortios 5.2 pppoe asic でぐぐると 同様な症状が ひょっとしたらPPPoEだとASICが効いていないの かも? ちなみにバージョンは? : [] 2016/12/04(日) 12:47:35.23:xJ0gs5He 情報ありがとう。 まさしく5.2系で、5.2.8でダメだったので最近でた5.2.10にアップグレードしたけど変わらずでした。 仕様なら諦めるしかないけど、5.2特有ならバグかな。。 5.4には他の面で支障が出てくるから上げたくないし、もうちょっと調べてみます。 : [sage] 2016/12/04(日) 13:05:16.58ID:??? 本家のスレッド読み進めていくとどうやらPPPoEの フレームタイプはオフロードされないみたい。 CPUが非力な下位モデルでは厳しいかも。 前にPPPoE用のルータ置いてFortigateはブリッジモードで 使いしかないのかも。 : [sage] 2016/12/04(日) 13:58:22.34ID:??? このスレの皆さんは、凄いね。 : [] 2016/12/04(日) 14:02:36.32:d4UjM8pv ありがとう、こちらでもスレッド確認しました。 容量5GB、500ファイル程度の圧縮データを流すと CPU 使用率が一気に 100 % にもなるんで、 ASIC 効いてないのは間違いなさそうです。 で、PPPoE でなければ CPU 使用率も問題なし。 このラインの製品使うとこなら、わざわざ上位にルータ置くことも少ないし この辺りは仕様に書いといて欲しいなあ。(基本 UTM ありきの製品とはいえ。) : [sage] 2016/12/04(日) 14:16:11.74ID:??? でもこの手のモデルは、PPPoEが多いと思うけどなぁ : [sage] 2016/12/05(月) 15:47:43.27ID:??? PPPoE の時、ASIC は効きません。 ハンドブックを読んでみよう。 : [sage] 2016/12/08(木) 17:07:58.60ID:??? ASICが効かないと、そんなに遅いんですか! : [sage] 2016/12/08(木) 21:01:11.97ID:??? 各種PCUNIXでもPPPoEをカーネルモードで処理しないと速度でないしナ。 : [sage] 2016/12/10(土) 14:37:52.30ID:??? 200Dだけど、スループット800Mbps出てても、ポリシーでサービスをallからhttpにするだけで、半分以下になった こんなもんなんすか! : [sage] 2016/12/10(土) 21:56:20.11ID:??? 結果だけ言われてもどーしようもねーよバーカ! : [sage] 2016/12/10(土) 22:41:17.10ID:??? gigabitの線があるなら箱もgigabit性能欲しいよね。 : [sage] 2016/12/11(日) 02:07:34.82ID:??? 結果だけで十分と思うが : [sage] 2016/12/11(日) 02:24:50.08ID:??? 計測方法くらい書けよ : [sage] 2016/12/11(日) 06:38:36.72ID:??? ギガの性能についてはUTMやPPPoEは切り離して検討すべき話かな? そもそもCPU依存機能は計測しにくい。 xeon詰んでる機種あたりでやっとリソースへの不満が大分減る。主観ですが。。。 そろそろ国内でもE型番が出てくるらしく2桁型番のスペックへの不満は それなりに改善されるんじゃないか。 : [sage] 2016/12/11(日) 12:35:05.22ID:??? ポリシーのサービスをallからhttpに変えるだけで、そんなパフォーマンスが落ちるのかって話だよ 経験のない奴は黙ってて : [sage] 2016/12/11(日) 13:56:51.32ID:??? UTMの機能はともかく、PPPoEぐらいは楽々捌いてくれないとね。 : [sage] 2016/12/11(日) 14:25:41.19ID:??? だったら構成ぐらい書けよバーカ!その程度でSE名乗ってんじゃねーよ! : [sage] 2016/12/11(日) 15:35:48.16ID:??? いいこといったwwww : [] 2016/12/13(火) 23:54:45.58:W0E2kPSJ Fortigateは、VIPに対するあくせすで、Port443は、サーバAに、Port80はサーバBにみたいに、 プロコルごとに振り分け先を変えることはできないのですか? vip をたとえば、 vip1 10.1.1.1--->192.168.1.1 vip2 10.1.1.1--->192.168.10.1 と定義しようとすると、重複アドレスエラーになるのですが。 (NAT元のアドレスが同じだとduplicateになります) : [sage] 2016/12/14(水) 18:23:02.03ID:??? 200Dなんですが、トランスペアレントモードでHA構成組んだ事ある方いますか? 障害時からの切り戻りがなんか不安定で、やるタイミングか状況かでうまくいったりいかなかったりします。 やっぱルータモードの方がいいんでしょうか? バージョンは5.2.9です : [sage] 2016/12/14(水) 18:46:14.03ID:??? バーチャルIPの設定の中にポートフォワードのチェックボックスあるじゃん 転送先をip:ポートじゃなくてipだけにしたいとか言うならしらん : [] 2016/12/16(金) 00:58:52.05:V9pnO+Cw ありがとうございます。 その設定で下記ができるですか? 443,80 10.1.1.1 443 --------------->VIP------------>192.168.1.1 | 80 +------------->192.168.0.1 : [] 2016/12/16(金) 01:00:15.02:V9pnO+Cw ありがとうございます。 その設定で下記ができるですか? 443,80 10.1.1.1 443 --------------->VIP------------>192.168.1.1 | 80 +------------->192.168.0.1 : [] 2016/12/16(金) 01:02:09.67:V9pnO+Cw ※だめですね。ずれて絵が描けません。 ありがとうございます。 その設定で下記ができるですか? 443,80 10.1.1.1 443 --------------->VIP------------>192.168.1.1 | 80 +------------->192.168.0.1 : [sage] 2016/12/16(金) 16:41:46.41ID:??? 問題無いと思うけど、試してみたら? : [] 2016/12/18(日) 14:44:05.06:OBrbZfc4 実は運用で使い始めていて試せなかったため、質問させて頂いたのですが、 運用時間外で試行することができ、ポートフォーワーディングとペアで設定 すると、同じNAT元VIPでもduplicateしないことを確認できました。 ありがとうございました。 : [sage] 2016/12/28(水) 15:35:10.04ID:??? 5.4.2で DNS Filter あてたポリシーからアクセスすると、 ブラウザが一度名前を引けずにタイムアウトする。 少し待ってアクセスすると問題ない。 5.4.3いれても変わらないんだけど同じ症状の人いるかな? : [sage] 2016/12/29(木) 07:40:21.06ID:??? DMZにあるサーバにinternalから、VIPは出来るけど、サーバからWANへ出て行けません。VIPを無効にすると出て行けます。 いい手はないでしょうか。 : [sage] 2017/01/02(月) 14:23:04.29ID:??? だれか助けて。 VPNのためにFortiClientをPCにインストールしてたが ある時にインターネットができなくなった(昨年12月頃)。 OSはWindws10。 で、WEBからまた新しいFortiClientをインストールしようとしたが ttp://jump.5ch.net/?https://www.fortinet.com/support-and-training/support/product-downloads.html 今まではすぐにダウンロードできたが今度はメールアドレスなど細かい個人情報を 聞いてきた。これってなんで変わったの?それともおかしなサイトをオレが見てる? で、適当に情報を入力して、FortiClientをダウンロードしてインストールすると なんと勝手にアンチウイルスソフトまでインストールさせられた。前は インストールしないのを選べた。それでFortiClientアンチウイルスがWin10の Defenderとバッティングして、Defenderをオンにできない。 みんなどうしてるの?Defenderをオンにしたいんだけど。辛いわ。 : [sage] 2017/01/02(月) 20:37:21.78ID:??? ttp://jump.5ch.net/?http://www.forticlient.com/#download こっちのインストーラでvpn only選べる。 : [sage] 2017/01/02(月) 22:33:04.85ID:??? なんでダウンロードサイトが2つもあるんだよ?w とにかく、神様ありがとう。 : [sage] 2017/01/02(月) 23:19:02.08ID:??? 今のforticlientを一度アンインストールして、 vpn onlyのインストーラーで再インストールすればよいと 思うが、そもそも今のforticlientをアンイストールできない。 下記のエラーが出てアンイストールできない。 どうすればいいの?なんなんだろうこれ? forticlient cannot be modified or removed while it is registered to a remote management server : [sage] 2017/01/02(月) 23:40:37.00ID:??? たぶんfortigateにクライアントが登録されてるんじゃね。 forticlientのコンソール開いてファイル→登録解除。 でどうかな。 : [sage] 2017/01/03(火) 18:43:24.66ID:??? FortiViewの送信元(またはすべてのセッション)にデバイスっていう項目があるけど、これを表示する方法はありますか? WinやiOSで試しても出てこないのでOS依存ではなさそう。 ハンドブック読んでも書いてなく、DHCPサーバ予約設定のDiscriptionに文字列入れてみたけど表示されずで用途も使い方もわかりません。 : [sage] 2017/01/03(火) 22:06:12.31ID:??? ユーザ&デバイスのデバイス定義を設定してみるとか。 : [sage] 2017/01/03(火) 22:22:21.35ID:??? ポリシーの送信元デバイスタイプをとりあえずAll にすればデバイス検出が有効化される。 IP address is in same subnet as the othersのエラーが出た場合は 下記コマンドをcliで config system settings set allow-subnet-overlap enable end : [sage] 2017/01/04(水) 10:35:29.25ID:??? VIPを無効にすると出て行けるなら、犯人は恐らくSNAT : [sage] 2017/01/06(金) 14:21:57.64ID:??? ありがとう。 いま確認中です。 : [sage] 2017/01/07(土) 11:33:22.25ID:??? ipsecで見覚えのないアドレスから接続しようとしていたので このアドレスに対してdenyのポリシーを作りたいのですが 入力インターフェースWAN1 出力インターフェースANY で作ればいいのでしょうか。 : [sage] 2017/01/07(土) 23:46:53.86ID:??? local-in-policy だね。 CLIからのみ、設定可能。 : [sage] 2017/01/08(日) 07:30:18.24ID:??? ありがとうございます。 : [sage] 2017/01/10(火) 13:34:35.56ID:??? 5.4で質問です。 ntpサーバとの同期をしたく、CLIからサーバのアドレスいれてもエラーがでて投入できません。 5.4以前のバージョンではインターフェイスの設定があったと思いますがそれがなくなっていました。 他に設定する項目ありましたでしょうか? : [sage] 2017/01/10(火) 22:28:41.12ID:??? どんなエラーをだしてるのかね。タイプをcustomにしてないとか言うオチじゃないよね。 : [sage] 2017/01/10(火) 23:29:04.94ID:??? カスタムにはしましたが駄目でした。 カスタムにはすれば即時反映なんですよね? 一旦セーブするとかあるんでしょうか? 因みにエラーは下記です。 UTM (ntp) # set source-ip 192.168.10.203 192.168.10.203 is not valid source ip. node_check_object fail! for source-ip 192.168.10.203 value parse error before '192.168.10.203 ' : [sage] 2017/01/11(水) 21:31:20.26ID:??? 5.4にするメリットが不明なんだが、結構あげる人いるんだなあ。 : [sage] 2017/01/12(木) 12:23:49.63ID:??? source-ipってNTPにアクセスするインターフェースのアクセス元IPではなかったか : [sage] 2017/01/12(木) 13:06:28.74ID:??? 素直に、バージョンダウンしたら? : [sage] 2017/01/13(金) 22:56:16.39ID:??? おっしゃる通りでした。 インターフェイスのアドレスを入れるとソースipは入力できましたがntpサーバアドレスを入力するとかコマンドが見当たりません。エンドで抜けようとするとntpサーバのアドレスが不明みたいなエラーがでます。。。 : [sage] 2017/01/14(土) 20:00:23.49ID:??? ググれ。 : [sage] 2017/01/14(土) 22:21:37.93ID:??? Fortigateってどことサポート契約するのが良い? たしか、メーカーの直接サポートはなくて、販売会社?との契約だよね? そうなると、単なる売ってるだけの所から、技術が強いところまで色々ありそう 設定とか迷ったときに、安心して問合せが出来る所はどこだろう? : [sage] 2017/01/14(土) 22:40:11.52ID:??? SCSKとかCTCじゃないかな やっぱ大手じゃないとサポートレベルが低い : [sage] 2017/01/19(木) 21:14:42.50ID:??? 検討してるモデルはどのへんだい? : [sage] 2017/01/22(日) 09:58:41.59ID:??? 60D買ったけど、5.2.5だった よかった : [sage] 2017/01/24(火) 17:47:49.62ID:??? ローエンドならEシリーズになるからそっちの方を今後かうべし : [sage] 2017/01/26(木) 06:02:06.19ID:??? 一年以上経たないとEは買わないな : [sage] 2017/01/30(月) 09:13:21.45ID:??? 最近めっちゃ多い標準攻撃メールだけどみんなのとこもfortiスルーしてる? 思ったより高性能って訳でもないのかなー : [sage] 2017/01/30(月) 16:05:23.82ID:??? せめて件名書いてもらえないと : [] 2017/01/30(月) 17:11:55.41:O/N/FUXB 標準じゃなくて標的型な? : [sage] 2017/01/30(月) 22:19:24.19ID:??? コスパが売りのfortigateだと思います… : [sage] 2017/01/31(火) 06:41:10.44ID:??? でも値上げしたのが残念。 : [sage] 2017/01/31(火) 09:34:33.29ID:??? その程度のものなのか 最近ゼロックスのビートにするか悩んでる : [sage] 2017/02/05(日) 13:32:36.91ID:??? 60C使ってるけど最初のダッシュボードが全部表示されるのにめちゃくちゃ時間かかるね。 : [sage] 2017/02/05(日) 14:32:07.08ID:??? 今60Cの事、言われても : [sage] 2017/02/06(月) 19:19:37.27ID:??? FortiAnalyzerって基本保守契約がなくても使えますか? ヤフオクとかで中古を買ってもログの閲覧などできるでしょうか。 : [] 2017/02/06(月) 21:07:42.69:eahxlMTH 先週始めてFortigateを触りました。 Fortigate-50Eをトランスペアレントモードにしたいのですが、 GUIに[変更]のリンクが出ないし、CLIでset opmode transparentも使えません…。 もしかして、50Eはトランスペアレントモードをサポートしてないのでしょうか…。 : [sage] 2017/02/07(火) 16:14:39.48ID:??? そんな事ないと思うけど : [sage] 2017/02/07(火) 16:15:36.65ID:??? Eはやる気もないので、ゴメンな : [sage] 2017/02/09(木) 11:54:26.69ID:??? このスレ的にはcheckpointってどう? : [sage] 2017/02/09(木) 19:41:31.68ID:??? 過去の遺物 : [sage] 2017/02/10(金) 11:37:10.20ID:??? それ後継機器でも一緒。開くのに時間かかるからイライラする。 : [sage] 2017/02/10(金) 21:48:02.84ID:??? 仮想上アプライアンスでかんばってるけど IronportとNSXがアンチウイルスベンダーと絡んで何かやってるみたいだから 風前の灯かもな。 : [sage] 2017/02/10(金) 22:13:18.73ID:??? 何が? : [sage] 2017/02/10(金) 23:21:55.86ID:??? 仮想アプライアンスってたくさんあるな : [sage] 2017/02/11(土) 12:26:11.63ID:??? LDAP認証で、対Windows AD ユーザー登録まで、AD参照でできるけど、 実際の認証ができない。 administratorで接続してもダメなんだよね シングルサインオンはやってません。 : [] 2017/02/12(日) 09:41:47.13:QmdDlEZk AD情報を参照できてるってことはconfig user ldapの設定には問題がなさそうだけど、「ユーザー登録まで、AD参照」ってどういう意味? 普通は、 (1)config user ldapを設定 (2)config user groupでFortiGate上にグループとAD上のグループと紐付け (3)上記(2)で作ったグループをconfig system adminやVPNで利用する って設定の流れだと思うが。 : [sage] 2017/02/12(日) 13:54:39.65ID:??? ありがとうございます。 ForticlientからIPsecVPN remoteで認証しようとしてます。ローカルユーザーはOKです。 XauthをPAPやCHAPで試してもダメでした。 LDAPサーバー設定のユーザーで違うパスワードを入れてテストするとNGなので、認証してるように思うんですけどね。 : [sage] 2017/02/12(日) 16:04:38.77ID:??? コモンネーム識別子のところ cn とかにしてない? sAMAccountName になっているか確認してみ。 : [sage] 2017/02/12(日) 16:14:24.82ID:??? やってるんすよ : [sage] 2017/02/12(日) 16:30:11.92ID:??? CLIで diagnose test authserver ldap <LDAP server_name> <username> <password> で該当ユーザーを確認して正常ならIPSECアクセス許可しているLDAPのとろこの 見直しやポリシー見直しかな。 ちなみに5.4系はバグバグなので検証したことがないw 5.2系ならうちでは正常に認証している。 : [sage] 2017/02/12(日) 16:38:18.46ID:??? 追加説明 ユーザーのVPN許可グループにLDAPのVPN許可グループを 追加してうちでは認証させてます。 ADにVPNユーザーグループ作ってその中に許可ユーザーを入れてます。 ちなみにadministratorはテスト後は正常にアクセス確認後は外してます。 : [] 2017/02/13(月) 00:49:26.79:odJfUpaF AD側のユーザーに問題は? [次回ログオン時にパスワード変更が必要]にチェック入れてて一度もパスワード変更してないと認証通らないよ。 : [sage] 2017/02/14(火) 18:37:16.79ID:??? SSL-VPNでやってるけど LDAPサーバの設定で コモンネーム: sAMAccountName 識別名: dc=hoge,dc=local バインドタイプ: レギュラー ユーザDN: cn=administrator,cn=users,dc=hoge,dc=local セキュアな接続: オフ ユーザグループはサーバ選んでLDAPグループクエリで参照して選んで これだけでいけているなうちは ver5.0.12だけど・・・・ : [sage] 2017/02/15(水) 16:17:51.86ID:??? 皆さんありがとうございます CLIから、diagnose .... でldapテストしてみると、failが返ってきます チョット手詰まりですね もう一度、見直してみます : [] 2017/02/20(月) 19:51:35.97:fqeJQfkJ わかる方教えてください。 100DをFW兼SSL-VPNゲートウェイ装置としてかんがえています。 ただ、トランスペアレントモードで使うことは可能でしょうか? インターネット固定IP一個でインターネット側には、拠点間接続用のVPNルータがおり、ポートフォワードで100Dにきます。 DMZ上にSSL-VPNで使わせたいサーバを置きます。 : [sage] 2017/02/21(火) 09:44:59.36ID:??? ムリ。ポートフォワードできるならNATモードでいいんじゃ : [] 2017/02/21(火) 11:04:12.53:xASt1qkR ありがとうございます。 無理なのですね。 NATモードだとアドレスの関係が複雑になるので、さけたかったんですがよく考えます。 : [sage] 2017/02/25(土) 20:24:04.92ID:??? 60Cでdmzポートからvipでinternalへの通信てできないのかな wan1,wan2だとvipでできたんだけど : [sage] 2017/02/27(月) 19:06:38.60ID:??? 出来たらおかしいだろ VIPの定義に使ってるの外向けIPなんだし : [sage] 2017/02/28(火) 12:30:42.35ID:??? 以前LDAPがうまくいかなかったです。解決しましたので報告致します。 コモンネーム: sAMAccountName の設定で、先頭に半角スペースが入っていました>_< 情けない~ : [sage] 2017/02/28(火) 18:38:28.28ID:??? 乙ですた。 はまるときはそんなもんw : [sage] 2017/03/01(水) 09:15:52.56ID:??? わろたww お疲れさま! : [sage] 2017/03/01(水) 17:19:08.54ID:??? どういこと? dmzポートをonuに繋いでfg60cからpppoeでグローバルip取得 vipでグローバルipとinternalのip紐付け ポリシーを適切に設定してるけどvip機能してないように見える 同じようにwan1またはwan2をonuに繋いでfg60cからpppoeでグローバルip取得 vipでグローバルipとinternalのip紐付け ポリシーを適切に設定するとちゃんとルーティングしてる わからん… : [sage] 2017/03/02(木) 16:23:56.10ID:??? なぜ、dmzに回線を繋ぐんですか? : [sage] 2017/03/03(金) 15:43:29.21ID:??? そこが空いてたから… : [sage] 2017/03/03(金) 18:42:14.07ID:??? 正直動作は変わんないんだからWANとかDMZとかわけわからん名前 付けずに通し番号振った上でバスやチップとの接続状態を全公開 してほしい。 : [sage] 2017/03/04(土) 02:46:25.57ID:??? 違いがあったから書いてるんだけど dmzって60Cについてるポートの名前だよwan1,wan2も : [sage] 2017/03/04(土) 11:28:28.84ID:??? wan,dmz以外の普通のポートはどうなん?試した? : [sage] 2017/03/04(土) 17:57:10.76ID:??? テキストのコンフィグ見たら違いとかないの? ステータスが拾える拾えないとか多少の違いはあるけど、動作としては 原則どのポート使っても設定合ってれば違いないと思うけど。 : [sage] 2017/03/05(日) 12:33:47.31ID:??? wanとかdmzとか決まってる方が、やり易いじゃん。テプラて貼るの不細工だし : [sage] 2017/03/06(月) 22:31:46.78ID:??? その用途通りにポートを配置できるうちはいいんさ。 極端な話WAN側にLANをささなきゃならなくなった場合にすげえ困る(エ・ω・`) : [] 2017/03/06(月) 23:28:08.72:pQ3PdflA ポートが足りなくなるって状況がわからんのだが タグVLANじゃダメなん? : [] 2017/03/07(火) 00:42:02.66:EdxIgt9X ttp://jump.5ch.net/?https://goo.gl/ZRULYX これが原因だったんですね。。 納得。 : [sage] 2017/03/07(火) 02:22:17.00ID:??? んー ポートが足りる足りないじゃなしに、デフォで付いてるI/F名と実態が ずれちゃった場合に却って紛らわしいのがやだなーと。 LANとWANて区切りじゃなく、どっちもLANだけど目的が違うネットワークとの 間に挟むとか。 : [sage] 2017/03/07(火) 14:46:50.40ID:??? 普通、wanなんて2つdmzは1つでいいと思うけどな : [sage] 2017/03/08(水) 16:39:34.60ID:??? 一般的な用途で使う分にはWANとDMZ、LANでいいんだろうけど ローカルのファイアウォールでも使ったりするんだよ。 俺もそういうときにWANとかDMZとか決めうちされた名前が気になるな : [sage] 2017/03/08(水) 17:25:16.53ID:??? 経験上ではどのポートでもVIP普通に使えたな 60Dでもやったことあるようなないような 100D以上の機種では確実に何度かやっている はず : [sage] 2017/03/08(水) 19:19:58.94ID:??? LAN同士繋ぐならWAN,DMZ使わずどちらもLANポート使えばいいんじゃね NPを二つ以上搭載してるモデルだとポートとの対応気にする必要あるけど、 100Dなら一つのNPに全ポート繋がってるでしょ : [sage] 2017/03/08(水) 20:04:39.94ID:??? いや、その、100Dはアホの子だからNP積んでないと思うよ(エ・ω・`) 200DはNP4 Lite積んでるから差別化したんかな… FWスループットだけでみるとSoC積んでる2桁型番に負けてるしね : [sage] 2017/03/08(水) 21:24:52.55ID:??? 100E 200E出たな 100Eは変わらずNP積んでないけど公称スペックはだだ上がりしとる : [sage] 2017/03/08(水) 22:28:23.48ID:??? いま100Eのデータシート見たらNPも含んだSoCを積むことになったのね 2桁型番の最上位みたいな扱いと考えていいんかな : [sage] 2017/03/08(水) 23:05:03.45ID:??? 多分そんな感じ 扱ったことある人は分かるだろうけど、SoCモデルって苦手な処理させると パフォーマンスだだ下がって一気にCPU100%張り付いてしばらく戻らないからサイジング本当に難しい 予算あるなら出来れば200E以上でいきたいよね : [sage] 2017/03/09(木) 09:20:19.82ID:??? E使うためにいずれ5.4のあのGUIに慣れる必要があるんだな・・・ : [sage] 2017/03/09(木) 21:21:31.31ID:??? そんな5.4のGUIだめか? メニューが整理されてていいと思うけどな バグは別問題な : [sage] 2017/03/09(木) 21:30:23.04ID:??? 後継機に変えてスペックアップしてるはずがConserve modeに落ちたりとか 2桁型番には良い思い出がないな… 100DはAtomみたいだしARMに移っても処理能力的に問題ないと判断したのかね : [sage] 2017/03/10(金) 00:24:35.27ID:??? 4月から5.6出すっていう ttp://ascii.jp/elem/000/001/448/1448435/ : [sage] 2017/03/10(金) 01:16:18.53ID:??? もう5.6とかはやくないか : [sage] 2017/03/10(金) 09:38:22.21ID:??? すまん、単に好みの問題なのかもしれない 見た目よくしてもブラウザ依存度が強くなりそうなUIは苦手なんだ : [sage] 2017/03/10(金) 11:42:39.24ID:??? ブラウザに依存しないweb uiってなんだ?いまだにIE使ってるとか? 端末の解像度に依存しにくくなったし、いいと思うけどね : [sage] 2017/03/10(金) 12:08:47.33ID:??? w3mで操作が出来るのがお望みか : [sage] 2017/03/10(金) 13:16:09.59ID:??? IEだとあからさまに画面遷移が遅くてびっくりする : [sage] 2017/03/10(金) 20:19:22.64ID:??? fortigate配下の人が社内システムアクセスのためにIE使う事があったとしても管理者がweb-ui操作にもIE使ってるんだとすると残念だね… : [sage] 2017/03/10(金) 22:41:20.60ID:??? Win10になっちゃえばEdgeで超快適になったりするのかな : [sage] 2017/03/10(金) 23:52:49.51ID:??? みんな、まさかのFirefoxなのか? それとも情報抜かれるかビクビクのChromeか? : [sage] 2017/03/11(土) 12:09:00.74ID:??? 当然、火狐 : [sage] 2017/03/12(日) 14:26:40.77ID:??? それがいいかも : [sage] 2017/03/13(月) 16:19:47.30ID:??? 個人的にはFireFoxなんだけど IEしか入ってないPCでしかさわれない環境に出くわしたり、 客がIEでさわろうとして「なんか変」って電話かかってきたり何度か面倒に遭遇したんだ まぁでもFGTだけの話じゃないしわがままだったな、すまんすまん : [sage] 2017/03/13(月) 21:24:08.73ID:??? 一般に広めようと思えば、IEで使えないってダメだろ : [sage] 2017/03/13(月) 21:38:49.41ID:??? 今IEにフォーカスしてるベンダのせきゅりてぃー、ってダメだろ : [sage] 2017/03/13(月) 22:02:18.06ID:??? インターネットに繋がってない作業用端末でIEのみとかあるんじゃないの WSUSとAV更新用のサーバはローカルアクセス出来る前提だけど : [sage] 2017/03/13(月) 22:06:02.41ID:??? 作業用端末ならターゲットの要求するソフトぐらい入れてやれよ的な。 : [sage] 2017/03/13(月) 22:24:07.67ID:??? Proxy設定がOS定義と切り離せない時点でクソ : [sage] 2017/03/14(火) 07:36:49.23ID:??? そういう意味で言うと自前の証明書ストア持ってるFirefoxさんがいいのか? ブラウザ自体の出来が悪くて糞重いけど : [sage] 2017/03/14(火) 08:30:14.23ID:??? 大量に証明書配りたいときとかWindowsのストア参照してくれたほうが グループポリシーで撒けていいんじゃないの : [sage] 2017/03/14(火) 21:27:50.10ID:??? どうせレジストリ撒けばすむんだろうからどっちでもいいんじゃね。 : [sage] 2017/03/15(水) 05:29:15.98ID:??? それを言ったら : [] 2017/03/19(日) 13:52:39.00:SWHrzx3Q Fortigete100DでSSL-VPNやるんでいじくってる。 ローカルユーザのパスワードポリシーに期間はあるけど最低文字数とか複雑さとかが見当たらない。 ヤッパリないんですよね? ないことにちょっと驚き : [sage] 2017/03/19(日) 14:20:40.59ID:??? OSは、5.4.4です。 : [sage] 2017/03/19(日) 15:47:37.91ID:??? L2SWが余っていて、それを使うかFortigateのLANポートで済ますか検討してるんだけど、 Fortigateのスイッチング容量が書いてる資料ってある? ルーティングを行わずLANポート間で通信する場合、ハードウェア処理になるか知りたいんだが。 : [sage] 2017/03/20(月) 07:08:03.69ID:??? 話だけ聞いてると 素直にL2SW使えば良いじゃん と、思ってしまうが : [sage] 2017/03/20(月) 12:57:42.08ID:??? それだとLANからWAN側に出ていく通信に関しては L2SWとFortigate間の1本のLANケーブルでやることになるんで、 そこがボトルネックになりかねないのでは? だからFortigateのLANポート間の通信がハードウェア処理で、 かつスイッチング容量が十分であればFortigateのポートを使いたいんだけど それに関しての資料が見当たらない。 : [sage] 2017/03/20(月) 13:51:43.74ID:??? そんなに通信あるなら内部経由だろうが、ケーブル経由だろうがボトルネックになるだろ : [sage] 2017/03/20(月) 14:10:44.17ID:??? まあ確かに、そもそもWAN側も1Gbpsの一本で繋がってるだけだしな。 もともと知りたかったスイッチング容量はなさそうなんで諦める。 電気代の無駄だしポートが足りてるうちはFortigateの空きを使うわ。 : [sage] 2017/03/20(月) 16:38:25.04ID:??? スネークテストで ttp://jump.5ch.net/?https://goo.gl/images/6Ghk83 やったことないし、よく分かってないけど(^_^;) : [sage] 2017/03/20(月) 18:39:45.24ID:??? モデルと設定によります。 : [sage] 2017/03/20(月) 19:27:19.87ID:??? 各ポートがNP直結してるモデルだとNPの性能によるんじゃね : [sage] 2017/03/20(月) 22:15:04.45ID:??? ありがとう、自分もやったことないけど、真剣に調べる気になったらコレやってみます。 そこんとこが知りたいけど、データシートみたいなのないね。 : [sage] 2017/03/20(月) 23:16:47.30ID:??? 資料欲しいなら代理店に聞けばいいだろ 保守入ってんだろ : [sage] 2017/03/21(火) 21:28:10.49ID:??? つーかここ最近のFortinetの保守ライセンスの体系変更ちょっとエグくないか 保守更新ちょっと忘れたらアウトとか怖すぎるわ : [sage] 2017/03/22(水) 20:15:24.07ID:??? アウト? 契約更新できなくなる訳じゃないし、そんな変更あったっけ? : [sage] 2017/03/22(水) 22:07:45.29ID:??? そのまさかで一度保守切らせると契約更新できなくなるって聞いたけど俺の聞き間違え? : [sage] 2017/03/22(水) 23:06:32.21ID:??? 確か切れてた時の分も払えば契約できるよ 詳しくは代理店に聞け : [sage] 2017/03/23(木) 14:34:01.28ID:??? 100Dにおいて、社内LANに接続する前にwebフィルタサーバをおいているのですが、 このwebフィルタサーバ以外のIPアドレス通信を遮断する設定が記載されている ようなホームページがありましたら教えていただけないでしょうか。 どうも無断で個人PCを接続されている節があるもので・・・・ : [sage] 2017/03/23(木) 14:44:14.79ID:??? ふつーはwebフィルターがproxyとして動いてるとおもうので、 Webフィルターだけ80/tcp (設計によっては443/tcpも)とおして、 残りはrejectすれぱいいんじゃね。 : [sage] 2017/03/23(木) 23:00:02.49ID:??? 基本設計まずい匂いがプンプンする オーソドックスな3層設計にして、DMZにプロキシを設置、 TrustゾーンからWANへのHTTP/HTTPSを許可するpolicy消しちゃえ MTA社内で建ててるなら一切のInternetへの直接接続を禁止することも出来るんじゃね : [sage] 2017/03/24(金) 09:07:20.46ID:??? ありがとうございます。 fotigate側で受けている発信元がwebフィルタサーバ以外のアドレスも あったので、webフィルタを経由していないPCがあるのかと思い無断接続を 疑いました。webフィルタを経由しないで来られるとだめなのかなと思いまして。 ありがとうござます。 零細企業なもので独学しながら管理しているものですから、教えて戴いた 内容が半分以上理解が・・・orz導入だけは、大塚商会に頼んだので どういう構造になっているやらorz 教えていただいた内容をググって勉強してみます、ありがとうございます。 : [sage] 2017/04/01(土) 16:42:08.25ID:??? 5.6がでたぞー : [sage] 2017/04/07(金) 12:26:28.20ID:??? エンドポイントセキュリティーとしてFortiClientはどうなんでしょ 皆さん使われてます? : [sage] 2017/04/08(土) 12:46:04.95ID:??? 試しにバージョンアップしてみたらOS起動しなくなった。おそろしや : [sage] 2017/04/08(土) 15:38:14.45ID:??? 自宅でバンドル版使ってる時にVPN Client用途だかで入れたけど アダルトサイトのカテゴリフェルタリングとか余計なもの入っててウザかった気がする これ入れると競合してるAVソフトが無効になるから よく分からんFortiClientを動かしてる方が不安が大きかった気がする 数年前に導入しててアンインストールするまで放置してたユーザとしての感想だから当てにならんだろうけど : [sage] 2017/04/11(火) 11:24:05.52ID:??? Forti Cloudって、使いかっていい? : [sage] 2017/04/11(火) 18:54:56.16ID:??? 今年の6月で5.2もEOESって言われても5.4や5.6なんかにする勇気はない : [sage] 2017/04/11(火) 22:04:44.36ID:??? バグに当たろうが脆弱性にひっかろうが、own riskだと言える人は古いバージョン使ってどうぞ : [sage] 2017/04/12(水) 13:08:31.90ID:??? まだ推奨バージョン自体が5.2なのにサポート終了とか言われてもどうすりゃいいのよ?って事だよ! : [sage] 2017/04/12(水) 21:18:23.28ID:??? 誰が推奨しているバージョンなの? : [sage] 2017/04/12(水) 22:08:06.01ID:??? 代理店だろ : [sage] 2017/04/12(水) 22:37:05.03ID:??? そもそも5.4が動かない古いモデル使ってるとかだったりして。どこだか知らんけど、サポート終了せまってるのに推奨にしてるような代理店は… : [sage] 2017/04/13(木) 06:01:15.36ID:??? あのなあ、推奨してるのはfortinet社自身だからな? そもそも5.4以降しか動かないEモデル以外の現行モデルすべての話しだ。 : [sage] 2017/04/13(木) 06:09:01.06ID:??? こんなことダッシュボードのシステム情報見てる奴なら誰でも知っている事だろうに。 ろくに使ってない奴ばかりだな。 : [sage] 2017/04/13(木) 13:03:01.45ID:??? 5.2では表記がRecommendedだね、未だにそこへ5.4.xが表示されないのかな? ただ、5.4.x,5.6.xではこの表記は無くなったよ。 結局のところは の言う通りかな。 今は VPN機能のみかフルバージョンにするかインストール時に選べる。 : [sage] 2017/04/13(木) 19:46:50.93ID:??? 5.4は潜在バグ山盛りまもなく終息 5.6が安定するまで5.2推奨 : [sage] 2017/04/14(金) 21:25:52.01ID:??? 潜在してるバグをご存知な 様が推奨バージョンを5.2となされたぞー! お前ら今すぐダウングレードしろー!! : [] 2017/04/15(土) 03:54:11.29:Q0blebjP FortiのバグなんてJuniperのSSGに較べたらかわいいもんだよ。 : [sage] 2017/04/15(土) 20:08:15.41ID:??? SSGの安定感に適うものなし。 Fortinet 社が惰性で更新してないだけだろ。 2世代前のOSを積極的に推すはずがない。 : [sage] 2017/04/15(土) 21:38:51.67ID:??? ヤフオク見てると40Cが安いんですが、 性能的にはどうなんでしょう? 自宅でpppoe+FWとして使いたいのですが速度でますかね? 回線はフレッツ光のギガです。 ルールはinsideからの通信(戻り含む)のみ許可といった感じです。 : [] 2017/04/16(日) 20:43:51.38:mK4jb5Qz クッソ遅いから40Cはやめておいた方が良い。 : [sage] 2017/04/17(月) 07:41:25.23ID:??? ありがとうございます。 値段なりってことですね。。 : [sage] 2017/04/18(火) 04:24:09.04ID:??? 40Cは中古流通で単価100円~500円。今見たけどヤフオクのはちょっと高い。 速度はそもそも200Mbpsまでの製品だ、PPPoEを使う場合はもっと落ちる。奈落まで落ちる。 市販の一般向けルーターでPPPoEを処理する前提なら40Cで良いと思うよ。UTMを使うのは論外で。 PPPoEを併用してギガ出したいならせめて300D。200Dでもぎりぎりいけるかも知れない。 FW用途ということなので、100Dは論外。90D/60DでもPPPoE併用だとちときつい。 ギガを期待するなら、PPPoE受け用の市販ルーター+FG60Cが現実的な解かと。 長文すまん。 : [sage] 2017/04/18(火) 11:30:26.79ID:??? utmもpppoeもしゃぶれないなんて forti使う意味がまっわくわからないじゃないかw : [sage] 2017/04/18(火) 17:47:44.05ID:??? でもPPPoEはハードウェア支援ないんだろ? だったら別の箱でやらせたほうがいいんじゃないかね。 なんつうかNPが勿体ない。 : [sage] 2017/04/18(火) 20:26:55.71ID:??? FWだろ?NGFW/UTMでもルーターでも無いよな UTMでギガ越えってカタログ値ですら300Dからか。 : [sage] 2017/04/18(火) 20:50:16.68ID:??? エンタープライズなネットワークだとfortigateはFW専用機として設置することが多いよね FWとして見れば頭一つ抜けて安くて速い : [sage] 2017/04/18(火) 21:45:19.89ID:??? PPPoEとかって、そんなに思い処理なのか? 数千円のルータでも出来るのに : [sage] 2017/04/18(火) 23:34:35.51ID:??? 重くはないけど非力なSoCがまともに演算しちゃうと遅い FWとして始まったOSだから小規模CPEとしての機能は弱いとこある : [sage] 2017/04/19(水) 04:18:18.81ID:??? その数千円の製品は、日本のPPPoE事情向けに専用カスタムされたチップを積んでるんだよ。 ベースチップはわりと多機能なんだけど、その辺りを犠牲にしてね。 業務用各社が見えるところにスループットをあまり書いていない辺りで察してあげてくれ。 : [sage] 2017/04/19(水) 09:48:14.12ID:??? FLETSはIPv6-IPoE使える感じになって来た : [sage] 2017/04/19(水) 17:59:46.04ID:??? 試しにLAN上にPPPoEサーバ作ってテストしてみたけど 単純にPPPoE+NATでFGT60Dが160Mbps程度、RTX1210が180Mbps程度だった どっちもDHCP+NATの場合は900Mbps超えている : [sage] 2017/04/19(水) 18:13:12.07ID:??? うちのLinuxのPPPoEサーバが低速なだけの可能性はあるがな! : [sage] 2017/04/19(水) 18:18:13.39ID:??? ごめんやっぱPPPoEサーバが低速な可能性が高いので忘れてください : [sage] 2017/04/19(水) 18:44:34.96ID:??? rp-pppoeをカーネルモードにしてやりなおした RTX1210は900Mbps程度、FGT60Dは170Mbps程度 スレ汚しすまんかった : [sage] 2017/04/19(水) 20:10:52.05ID:??? 自宅運用中の60D(5.4.4)はBNRでこんなもん。回線はOCNでPPPoE+NAT。 1.NTTPC(WebARENA)1: 175.99Mbps (22.00MB/sec) 2.NTTPC(WebARENA)2: 197.86Mbps (24.73MB/sec) 推定転送速度: 197.86Mbps (24.73MB/sec) : [sage] 2017/04/20(木) 20:56:30.61ID:??? 数千円のバッファロー以下です。 本当にありがとうございました。 : [sage] 2017/04/20(木) 23:02:34.16ID:??? anony君がいみじくも踏んでいる通り、 ユーザーモードのPPPoEは重い。 : [sage] 2017/04/20(木) 23:03:22.68ID:??? 俺も自宅で60Dつかってたけど自作ルータに乗り換えた : [sage] 2017/04/23(日) 11:07:50.15ID:??? 60Dてそんなにダメかな? UTM無しなら、結構使えると思うけど : [sage] 2017/04/23(日) 11:24:40.48ID:??? UTM無しでわざわざFG使う意味があまりない。 : [sage] 2017/04/23(日) 12:34:49.74ID:??? そうなの? 勉強になったわ : [sage] 2017/04/24(月) 09:38:02.98ID:??? むしろL4のFWとして使うのが一番コスパいいんじゃないの : [sage] 2017/04/24(月) 17:44:15.67ID:??? GUIでポリシーいじれて手ごろな機械って今おすすめある? : [sage] 2017/04/24(月) 20:36:17.70ID:??? 60DはUTM諸々かけたら20Mbps程度?が公開された製品スペックなんだが 数千円のバッファローと比べて何を期待したいか教えてくれ 手頃=値段の理解でいいならsophosのUTMが個人利用に限りライセンス無料発行 : [sage] 2017/04/24(月) 20:46:06.83ID:??? みたいな用途がいいんじゃないかなーHA構成も簡単だし? : [sage] 2017/04/24(月) 21:00:27.68ID:??? 個人で使うには評価用というか仕事で触ってる人が適当に触りたいから、という用途が 一番じゃないのかな。 先にも書かれてるように単なるPPPoE+NAT箱として使うだったら バッファローのほうがいいよ。 あとゲートウェイ型のUTM箱で手軽で速度以外はまとも、という切り口でも FGになりそうだな。 : [sage] 2017/04/25(火) 21:09:57.57ID:??? 家の100mbps DHCPな環境では40Cが大活躍してるぞよ FW、VPN、AV、URLフィルタを使ってる AVはフローベースだがSSLを復号化してないからザルなんだろうけど : [sage] 2017/04/26(水) 00:29:27.85ID:??? フローベースはSSL複合化してなくてもザルなモード : [sage] 2017/04/26(水) 08:23:18.61ID:??? 小規模事務所内に90D置きたいのですが、動作音というか、ファンの音うるさいですか? : [sage] 2017/04/26(水) 08:55:35.75ID:??? まぁまぁ音出してた気がする。 3mも離れたらさほど気にならない程度だったような・・・人によるだろうけど : [sage] 2017/04/26(水) 12:41:47.65ID:??? SSL-VPNの認証をLDAP(Windows AD)でやってます。ADサーバーからのパスワード変更要求に対して、ポータル画面で出来ないんですが、いい方法はないでしょうか? : [sage] 2017/04/26(水) 14:44:00.32ID:??? CLIでやってみます ろくに調べもせず、書き込んでごめんちゃい : [sage] 2017/04/27(木) 01:08:08.27ID:??? 90Dはファンレスだったような : [] 2017/04/27(木) 01:24:59.07:SRHPHw/b ディープインスペクション使ってる人いる? 常時SSL時代に向けて今機能検証しているんだけど、OS提供の証明書ストアを用いないHTTPクライアントへの対策ってどうしてる? 無数に存在するHTTPクライアントをそれぞれ検証するとか非現実的だし、なんか良い方法知っている人がいたら教えておくれ。 : [sage] 2017/04/27(木) 13:05:13.18ID:??? 証明書エラー気にしないなら別にって感じ : [] 2017/04/27(木) 16:08:44.43:w/itqC8D fortigate購入前のものですが、DLPは基本ライセンス外で、 オプションを購入する必要がありますか? ライセンス関係が、いまいち、よくわからないです。 : [sage] 2017/04/28(金) 10:35:39.63ID:??? 必要だよ。 購入元に必要ライセンス確認したほうがいい : [] 2017/04/28(金) 12:01:38.42:a+eUpWrD ありがとうございます。 連絡します。 : [] 2017/04/28(金) 12:19:44.98:GW68iCWx .497 ありがとうございます。ファンレスかどうかカタログではわからなかったので・・・ うちも検証中です。古い機種(80C)だと処理がもたつく感じ。 機種に入ってるCA証明書をクライアントに配布するのはドメイン環境+windowsなら可能ですが タブレット・スマホなどは手動対応いりそうなので、大量にあるのでどうしようかと。 また常時SSLのサイトが増えてきたので、webフィルタや経路のウイルススキャン、ログ取りなどを考えると 今後必須になってくるのでしょう。 : [] 2017/04/28(金) 12:23:32.42:GW68iCWx 証明書エラーは、素人が見るととんでもないことが起こってる、とすぐ連絡してくるので 都度の対応が大変な予感がします。 また、エラーを無視して進めるとwindows+IE11だと、レイアウトが崩れるサイトがあります。 これはfortigate側の問題なのでしょうか。 : [] 2017/04/28(金) 14:17:51.38:4HdU5QJ3 スマホやタブレットはまだマシな方だと思うよ。 Androidでの証明書展開はよくわからんけど、iOSの方は構成プロファイルとそのインストール手順を用意すれば最悪何とかなる。 気掛かりなのはアプライアンス装置とかwget・curl等の CUIタイプのHTTPクライアントとかかな。 社内SEやってると常時SSL時代とか嫌がらせにしか思えなくなる。 : [sage] 2017/04/29(土) 14:18:43.06ID:??? 証明書エラーが出ても、暗号化はされてるんですよね : [] 2017/04/29(土) 20:50:19.49:eRXCfJ4y されてるが、本来のサイトの証明書ではなく、fortigateの証明書になるのでエラーが出る。 ディープインスペクション使うと、Android7.0でPlayストアに繋がらなかったり、 マクドナルドのアプリで画像だけが表示されないなど、こちらの環境では不具合多数。 : [sage] 2017/05/05(金) 15:49:28.02ID:??? TorからのアクセスをブロックするってWebフィルタ機能の標準フィルタで出来る? 内部からTorをブロックする場合はアプリケーションコントロールにあるけど ていうかTor使って攻撃すんなよなあ まあ悪用されるソフトだけどさ : [sage] 2017/05/05(金) 17:11:27.90ID:??? Torって内部からのセッション使って通信するんではないの? : [sage] 2017/05/08(月) 02:14:28.63ID:??? そのへんはスマホ側の実装の影響なので、明示proxyでDIに逃げるしかないかな、今のところ。 Torを止めるのはAPPでいけるけど、Torの終端からアタックっぽいモノといわれるとIPSじゃない? 後、DLPはライセンス必要?いらなくない? : [] 2017/05/11(木) 23:14:48.57:N+aQz0+R a : [sage] 2017/05/13(土) 17:41:47.42ID:??? IPSは通信速度をかなり犠牲にするからやりたくない派 : [sage] 2017/05/14(日) 08:42:56.30ID:??? 何のためのFortigateなのよ : [sage] 2017/05/14(日) 10:40:09.43ID:??? お客様のシステムでエンドユーザーの閲覧ランキングがあるんだけど 一部のエンドユーザーがTor経由で不正に大量の閲覧をTor経由で実施してるんだよね それを止めたいらしい エンドユーザー特定できてんだからそのエンドユーザー追い出せばいいんだけど まあ施設系のシステムもお客様管理してるから 施設管理とWebサービス担当で調整つけられないからインフラ的にやれってさ 閲覧ランキングの仕様が糞なんだけど直さないって言ってるんだよな 集計方法に画像のアクセスも一緒にしちゃってるから 外部サービスと集計とお客様で実装した集計システムと差分が出てんのになあ まあエンドユーザーはそんなこと知らんだろうけど 内部は簡単なんだけどね : [] 2017/05/14(日) 22:32:29.91:a5SVuKdR グループポリシーやセキュリティ対策ソフトでexeの実行をブロックできないん? : [sage] 2017/05/15(月) 21:36:35.15ID:??? 外部からのアクセスの集計なのでちょっと違う 内部からだったら簡単なんだけどね : [sage] 2017/05/18(木) 07:57:05.03ID:??? 40Cのファームどっかに上がってない? : [sage] 2017/05/18(木) 14:57:44.06ID:??? セキュリティデバイス扱うスレでそういうのは勘弁してくれ : [sage] 2017/05/18(木) 20:02:46.47ID:??? ベンダーのサイトに上がってるな : [sage] 2017/05/18(木) 21:02:00.45ID:??? IPSなしでファイアウォールとWebフィルタだけあればいいっていう要件も多いけどなあ。 : [] 2017/05/18(木) 21:06:26.37:zjNJ9t28 サービス証書見直せよ。 ちゃんとURLとかIDが記載されてるぞ。 : [sage] 2017/05/18(木) 22:44:30.76ID:??? IPS使うのは中規模ネットワークだけよね : [sage] 2017/05/27(土) 21:22:45.46ID:??? tls decryptしなきゃ見せ掛けポリシー違反な 通信が入り込む : [sage] 2017/05/28(日) 20:14:53.77ID:??? ? : [sage] 2017/05/31(水) 10:51:16.61ID:??? ヤフオクで20年まで保証ありとか売ってるんだな : [sage] 2017/05/31(水) 14:49:35.00ID:??? 価格が上がるといいね^^ : [sage] 2017/06/02(金) 16:34:03.18ID:??? サーバー公開してなかったり固定IPはVPNでしか利用してなかったりするとIPSは不要かな? でも、それならUTMじゃなくてもいい気もするけど : [sage] 2017/06/09(金) 22:34:11.91ID:??? クライアントソフトウェアの脆弱性に対する定義もあるからなんとも 小規模ネットワークは予算の都合からIPSは使えないし、 大規模ネットワークはFortigateにFWだけやらせてIPSは別途Macafeeとかって構成が多い : [] 2017/06/13(火) 13:37:04.04:TGMoKDIJ Windows2008R2サーバADにLDAPSで認証しています。 「次回ログオン時パスワードの変更が必要」のチェックを入れたユーザーは、SSLVPNのログイン画面で新しいパスワードが設定できるのですが、30日経って有効期限が切れたユーザーは、新しいパスワードを入力してもエラーになります。 FortiGateのLDAP設定、セキュアな接続「LDAPS」で証明書は無しです。 ファームはv5.2.5build701です。何方かヒントをお願い致します。 : [sage] 2017/06/13(火) 23:51:59.48ID:??? そりゃ、新しいパスワードをいきなり入れても・・・・ : [] 2017/06/14(水) 07:54:45.84:OhMzSYyw いきなりじゃなくて、新しいパスワードを2回入れてもエラーになるってことでしょ : [sage] 2017/06/14(水) 15:49:56.70ID:??? こいつ通すとメールの送受信がエラーになるようになった 大丈夫かこれ? : [sage] 2017/06/14(水) 19:12:55.06ID:??? こいつて誰? : [sage] 2017/06/14(水) 23:55:48.33ID:??? 5.4.5来たね。検証するか : [] 2017/06/16(金) 15:17:03.97:I5aMn8O0 80Cってかなり古いのに、保守の終了時期未定なんだね : [sage] 2017/06/17(土) 10:26:42.37ID:??? かなり売れたからじゃないの 俺はそれを毎日のように撤去して歩いてる : [sage] 2017/06/17(土) 10:41:09.22ID:??? 80Cを毎日のように設置している日々もあったのですね。 : [sage] 2017/06/17(土) 15:24:41.54ID:??? 80Cは新ファームが出ても平気で何も問題なく動いてたからなー。 40Cとか60C60Dは不具合出まくった : [sage] 2017/06/17(土) 23:23:46.66ID:??? feってのがね : [sage] 2017/06/18(日) 10:05:03.08ID:??? v6リンクローカルアドレスの最初みたいで気になる? : [sage] 2017/06/19(月) 11:15:55.76ID:??? サンクス ある程度はエンドポイントに任せていいってことか ルータでパケットフィルタとIDS動作させて、 安いForti入れてたけど効果が疑問で外すか悩んでたけどもう外す方向で決めた : [] 2017/07/03(月) 21:06:49.50:R58wSWKs 社内プロキシサーバーとゲートウェイの間に挟んでUTMとして使うって一般的でしょうか? : [sage] 2017/07/04(火) 22:47:26.71ID:??? ゲートウェイがインターネットゲートウェイを指すなら一般的 クライアントのインターネット通信はプロキシに向けさせて、プロキシからインターネット向けの通信をUTMで管理する : [sage] 2017/07/14(金) 15:34:09.21ID:??? FW挟んでるのにプロキシサーバ使う意味ってそんなにある? : [sage] 2017/07/15(土) 01:44:43.95ID:??? FWはIPアドレスでしかログとれないけど プロキシならURLでログ取れる。 接続先がバーチャルホストやCDNの場合、 ログがIPアドレスだけでは困ることがある。 : [sage] 2017/07/15(土) 01:47:00.14ID:??? プロキシというよりwebフィルタというかi-filterのためかな : [sage] 2017/07/15(土) 21:31:07.99ID:??? Fortigateには全部の機能あるだろ? : [sage] 2017/07/17(月) 09:10:18.19ID:??? 全て網羅してるわけじゃ無いからな ASAで出来るのにFortiじゃ出来ない事はいっぱいある : [sage] 2017/07/17(月) 12:26:49.87ID:??? 例えば? : [sage] 2017/07/17(月) 23:24:37.52ID:??? fortiのwebフィルタは国内で使おうとするとガバガバ 俺がテストした時はDMMのエロ動画見れた(笑) : [sage] 2017/07/17(月) 23:31:42.44ID:??? このあたりはPaloaltoの方が優秀なのか : [sage] 2017/07/18(火) 01:15:17.81ID:??? ざっくりとした話ばかりでようわからんなw : [] 2017/07/18(火) 12:59:08.18:Hwehtdo7 てかDMM動画ってSSLじゃないの? SSLインスペクションはちゃんと有効化していたのか? : [sage] 2017/07/18(火) 13:44:13.59ID:??? sslでもどこに繋ぐに行くかはわかるだろ : [] 2017/07/18(火) 14:06:37.57:Hwehtdo7 SSLではURLは暗号化されてるよ。 何のためにcertificate-inspectionがあると思ってるん? : [sage] 2017/07/18(火) 16:35:32.97ID:??? 証明書使って暗号化された後は見えないけど、証明書自体は見えるから CN≒FQDNまでは見えるよ *使われててもまあドメインまではなんとか : [sage] 2017/07/26(水) 20:45:45.81ID:??? 5.6にしてしばらく使ってるけど、今のところ問題なし。 5.4がイマイチだった分警戒してたけど、意外と安定してるかも。 : [sage] 2017/08/01(火) 17:18:49.96ID:??? 50EのスペックはDシリーズと比べてなんであんなに桁違いに良いの? : [sage] 2017/08/01(火) 17:50:23.80ID:??? SoCの世代が違うからじゃ? というか、Dシリーズが遅すぎた、とも言えるけど。 D系ってC系チップのクロックちょっと上げただけの物だったよーな? : [sage] 2017/08/01(火) 19:20:56.52ID:??? ファイアウォールスループットなんて倍になってるもんな。1.5 Gbps > 3.0Gbps 今更だけど、ファイアウォールスループットって、本体が同時に処理できる最大処理容量っていう意味であってる? : [sage] 2017/08/02(水) 17:36:45.48ID:??? なるほど… オレはその理解 : [sage] 2017/08/07(月) 20:36:42.35ID:??? ダッシュボードのセッションにあるSPUって何? : [sage] 2017/08/08(火) 09:58:36.88ID:??? NPUで処理されてるセッションの数(割合)だっけ?確か。 : [sage] 2017/08/08(火) 21:03:29.06ID:??? これ競合ってあるの? どこもこれ持ってくる : [sage] 2017/08/08(火) 23:09:59.73ID:??? パロアルトだのjuniperだのあるだろ : [sage] 2017/08/11(金) 09:51:15.04ID:??? 問題は価格とGUIの作り込みだよね 専任の管理者を配置できない中小企業~SOHOで運用できるレベルで ワールドワイドで実績がある機種ってFortigateくらいじゃないかな PAは機能と性能は良いけど設定は結構複雑、 SRXもJunOSでお手軽とは言いにくい : [sage] 2017/08/13(日) 11:38:59.35ID:??? HTTPSでログインするときのブラウザ証明書警告、消すにはFGに証明書インストールするしか方法ない? : [sage] 2017/08/13(日) 18:04:55.98ID:??? ブラウザとかOSに証明書インストールすればいいんじゃね : [sage] 2017/08/17(木) 01:01:39.98ID:??? 一応FGの既存証明書を全部インストールしてみたんだけど、だめっぽい。 : [sage] 2017/08/17(木) 16:28:09.75ID:??? Fortiが使ったCA証明書入れないとだめだろ : [sage] 2017/08/21(月) 11:53:34.37ID:??? 2年ぐらい使ったけど、うちでは透過モードの保険的な使い道しかないな このウィルスチェックはほぼ役に立たないと思う : [sage] 2017/08/21(月) 14:10:15.12ID:??? そこがPaloaltoとの違いだよねー : [sage] 2017/08/21(月) 21:26:17.88ID:??? 情シスな人からしたらPalo altoの方が幸せになれる インフラエンジニアならFortigate : [sage] 2017/08/21(月) 21:27:32.55ID:??? どっちにしても両機種扱えるようにしとけよ : [sage] 2017/08/21(月) 22:00:56.25ID:??? fortigateのアンチウイルスが特段良いとも思わんが、パロがfortigateより良いとも思わんけどな : [sage] 2017/08/21(月) 22:59:28.30ID:??? 5.6のFortiview、Forti自身のローカルトラフィック見れなくなってるやんけ。 5.2では設定変更すれば見れたのに。 : [sage] 2017/08/21(月) 23:38:41.30ID:??? 情シスとインフラで何が違うの? : [sage] 2017/08/22(火) 01:29:35.70ID:??? 情シスの立場なら運用性が高いPaloが インフラ屋からすると、(簡単なので)手離れがいいForti ってことでは? : [sage] 2017/08/22(火) 21:47:06.41ID:??? じゃあFortiの勝ち目はないということか。 : [sage] 2017/08/22(火) 21:51:53.14ID:??? Fortiの方が安い。。 : [sage] 2017/08/22(火) 21:57:00.62ID:??? palo高杉 : [sage] 2017/08/22(火) 22:09:01.67ID:??? 運用する奴に選ばせて運用する奴に金を出させる、みたいな。 : [sage] 2017/08/22(火) 23:46:26.52ID:??? そもそも、情シスとインフラ屋ってなんだ?? : [sage] 2017/08/23(水) 09:35:45.48ID:??? 情シスはただのユーザさん インフラエンジニアは技術売って食ってる人 : [sage] 2017/08/27(日) 23:34:56.31ID:??? Fortiwifi-30Dのデザインがかわいくて好きなのですが、個人で本体だけ購入できないでしょうか? : [sage] 2017/08/28(月) 00:20:28.44ID:??? 中古でも買え : [sage] 2017/08/28(月) 10:21:53.29ID:??? 米amazonなら買えるんじゃない? E世代はちっこくても結構パワーあっていいね : [sage] 2017/08/30(水) 09:34:07.39ID:??? 楽天で買えるんじゃね? ttp://jump.5ch.net/?https://search.rakuten.co.jp/search/mall/Fortiwifi%EF%BC%8D30D/ 会社で使うのを楽天で買ってライセンス更新の時にソフトバンクに移管したわ 最初からちゃんとした代理店で買えばよかった 多分もう使うことないと思うけど : [sage] 2017/08/31(木) 00:04:36.66ID:??? ありがとうございます。 アンテナは折っちゃいそうで怖くて、 Eシリーズ、アンテナ内蔵のデザイン、ラインナップして欲しかったなぁ。 : [sage] 2017/09/02(土) 11:54:53.47ID:??? Ver5.6.1で、5分毎にシステムイベントに出力されるリソース情報(System performance statistics)の出力間隔を変更したいんだけど、 もしかして変更不可能?無効にすることはできたけど、間隔は設定する項目が見当たらなかった。 : [sage] 2017/09/04(月) 10:18:36.93ID:??? config system global sys-perf-log-interval x end : [sage] 2017/09/04(月) 23:29:36.18ID:??? ありがとう!できました。 : [sage] 2017/09/05(火) 20:32:03.38ID:??? ディープインスペクションONにするとYahooウォレットの明細ページが表示できないね。バグかな? : [sage] 2017/09/06(水) 18:21:19.76ID:??? 誤検知っぽいね。 問題ないページを除外するように申告するページなかったっけ? : [sage] 2017/09/26(火) 20:23:46.44ID:??? 60D買いました、ネットへの接続全てをExpressVPN経由のみにして、他への/からのパケットは全て破棄する みたいな設定ってできないかな? : [sage] 2017/10/01(日) 13:12:37.23ID:??? 実家と自宅のsite-to-siteのIPSec VPNを格安で実現したいんだが、 Fortigate 60Dあたりでやるとどのくらいスループットが出るのだろうか。 UTMは不要です。 : [sage] 2017/10/01(日) 17:45:17.74ID:??? FG60D(5.5)の/24からASA5505(9.1)の/32を二個へipsecでVPN貼りたいんですが (仕事場の機器なので細かいverが今確認できません) ASAのACLを二行で src:172.16.0.1/32 dst:192.168.1.0/24 src:172.16.1.1/32 dst:192.168.1.0/24 FGにはPh2ifのスピードセレクタで src:192.168.1.0/24 dst:172.16.0.1/32,172.16.1.1/32(アドレスグループ) のようにすると、一つは張れるんですが、一つしか張れません 張れない方は延々phase2のエラーを吐いています phase2のセレクタを2つにわけて作ってもダメでした。 他に書き方とかあるでしょうか? : [sage] 2017/10/01(日) 18:46:17.49ID:??? PPPoEさえFGに処理させなければFG側の処理落ちは 気にしないでよいレベルだと思う。 : [sage] 2017/10/01(日) 19:21:18.32ID:??? PPPoEの環境じゃないので、買って試してみます。 15,000円くらいで500Mbps以上でるなら、安い! : [sage] 2017/10/01(日) 20:24:12.84ID:??? 回線側で500Mbps以上出るキャリアってどんなのよ? : [sage] 2017/10/01(日) 21:43:05.68ID:??? 実家側はフレッツ光ネクスト ギガファミリー・スマートタイプで、 ダウン、アップ共に600Mbps以上でます。 : [sage] 2017/10/02(月) 19:54:15.97ID:??? すげーな うちは50Mbpsしか出ない 500Mも出る地域あるなんてうらやましい : [sage] 2017/10/04(水) 10:35:15.74ID:??? TCPならrrtに依存 : [sage] 2017/10/04(水) 22:19:26.68ID:??? プロバイダーとか接続方式の問題かも? : [] 2017/10/06(金) 10:27:28.78:Q45TcnDo 日本よりUSの方がEoL長いのはなぜ? アメリカ第一主義? : [sage] 2017/10/06(金) 10:35:01.74ID:??? 代理店の問題だろ : [sage] 2017/10/22(日) 19:16:05.38ID:??? FortiOS5.6の提供始めた国内ベンダーってある? : [sage] 2017/10/22(日) 21:12:51.35ID:??? 国内にベンダーがあったのか・・・・ どこ? : [sage] 2017/10/22(日) 21:36:05.91ID:??? ネットワールド、CTC、SCSK、NVC、図研ネットウエイブetc いっぱいあるで SCSKが国内販売台数No1だったはず : [sage] 2017/10/23(月) 21:44:21.90ID:??? 販売店は多いけど・・・・・ サポート体制は・・・・・・・ 良いところを知らない 量販店で買っても一緒だわ : [sage] 2017/10/24(火) 08:48:04.77ID:??? 個人利用なら代理店とか使わないでebayで買うのがおすすめ。 : [] 2017/10/25(水) 22:53:15.21:M3OCozO1 Softbankは5.6のPatch2を10/6から提供してるね。 : [sage] 2017/10/26(木) 20:38:30.44ID:??? 5.6.2を試したけど、ダッシュボードからコンフィグの保存が出来なくなってた 多分どこか別のところにあるんだろうけど、ここが変わるかーって感じ 1ポートで複数PPPoEをサポートするようになったの嬉しい : [sage] 2017/10/26(木) 23:04:24.80ID:??? 右上のユーザー名→Configuration→Backup : [sage] 2017/10/27(金) 21:15:24.93ID:??? 30Eは平均消費電力が13Wなのか。SSG5も殆ど負荷がないのに熱い。 : [sage] 2017/10/27(金) 21:17:26.71ID:??? SRX300もアイドルでも熱いし、ファンレスは熱持つよ : [] 2017/10/28(土) 14:16:43.03:YFouUIij FG40Cの発熱はゴム足着けてる粘着剤が溶けるレベルだよ : [] 2017/10/29(日) 20:57:24.93:rnH3DOBO FG40cはどこかで壊れたかと思うぐらい熱くなったとか書いてあったね。 機能は違うけどIx2501とか筐体が冷たい位。 OSがBSDベースだとどうしてもパワーのあるCPUじゃないと動かんのかな。 : [] 2017/11/06(月) 22:06:08.98:24aID/8S 常時SSL化時代に向けてSSLインスペクションがどうにか使えないかと試行錯誤しているけど、 OS標準の証明書ストアを使わずSSL通信を行う行儀の悪いアプリが多すぎて挫折しそう。 まずはMacで検証しているけど、メジャーどこだとKindle、Dropbox、Google Backup and Sync、iTunes StoreはWiresharkで証明書警告出て通信できない。 OneDriveは問題なし。 SSLインスペクションの例外にすべてのアドレスを登録すれば問題は解決するけど、 いちいちWiresharkで超時間掛けて調べ上げないと行けないから企業での運用は現実的とは言い難いな- てかAkamaiとかのCDN使われてると例外アドレス追加は無理ゲーだった。 : [sage] 2017/11/06(月) 22:38:09.44ID:??? 周り見てる感じ、基本的にiOSで個別にアプリをリリースしてる系のサービスは軒並み アウトだと思ったほうがよさげ。 やっぱり元々の仕組みに無理があるんだよね… そんなわけで各社最近はもっぱらエンドポイント側に精を出してるね。 : [sage] 2017/11/30(木) 20:23:34.13ID:??? SSLは専用サーバが必要でクレカサイトぐらいしかなかった みたいな話ももう通じなくなってくんだろうな。 : [sage] 2017/12/11(月) 21:47:32.65ID:??? 5.6に上げたらAVのログ出力設定なくなったんだけど、もしかして設定できなくなった? : [sage] 2017/12/12(火) 22:55:16.80ID:??? エッチなのはいけないと思います! : [sage] 2017/12/13(水) 14:08:40.58ID:??? FG-90Dで勉強中なんですが FGでPPPOE接続するとルータ接続するよりスループットが1/3くらいに落ちるんです。 気になるのでもう一台で試したけどやはり同じ・・・ PPPOE接続はFGではしないほうがいいんでしょうか PPPOE down 300Mbps up 260Mbps Rooter down 800Mbps up 750Mbps : [sage] 2017/12/13(水) 14:26:04.12ID:??? あたりの話題で、PPPoEはASIC効かないって : [sage] 2017/12/13(水) 14:50:39.32ID:??? ありがとうございます。 前に出てた話題だったのですね おかげでスッキリしました : [sage] 2017/12/13(水) 21:24:46.53ID:??? PPPoEにはBuffalo? : [sage] 2017/12/15(金) 12:40:20.47ID:??? PPPとかNAPTとか噛ませたスループットはどのへんが早いのかね ciscoブランチ>ヤマハ・NECブランチ>Buffaloなど家庭用 みたいなイメージなんだがどうだろ : [sage] 2017/12/15(金) 12:41:04.11ID:??? 記号の使い方逆だった < : [sage] 2017/12/15(金) 17:05:57.97ID:??? そもそもルータとL7見れるファイアウォールだと役割違うからな… ルータとFGを多段にしてPPPは外に出すのが正しい姿な気がする。 : [sage] 2017/12/21(木) 22:50:19.54ID:??? NEC IX Atermの方はうんこ : [] 2017/12/28(木) 05:51:27.81:qH5jGHED 誰でも簡単にネットで稼げる方法など 参考までに、 ⇒ 『加藤のセセエイウノノ』 というサイトで見ることができるらしいです。 グーグル検索⇒『加藤のセセエイウノノ』 HNGFTWYRHB : [] 2018/01/15(月) 15:38:43.06:7Deg60PX Fortigateのシステム性能として、SSL-VPNスループットの記載があると思いますが、これはSSL-VPNを利用している環境だと、ファイアウォールスループットがこの値まで落ちますよ。という認識で良いのでしょうか? : [] 2018/01/25(木) 11:20:20.53:iBb8quc8 割り込みすまん。 うちで導入しているFortiGate OS5.4のポリシーが急に全部消えたんだわ。 履歴で「ポリシー パージ」って出てて、ログにある利用者にパージするコマンド打ったって 聞いたが「そんなことはしてない」って言われたんだが、なにかほかに原因ってある? : [] 2018/01/25(木) 11:24:55.11:iBb8quc8 の機種は300D : [sage] 2018/01/25(木) 13:23:28.64ID:??? 300Dにあるかどうかわからんけど、GUIのウィザード使うときれいに全部消えるね : [] 2018/01/25(木) 14:02:01.94:iBb8quc8 確認したら「ウィザード」あったわ。 本人にも確認したらそれ触ったみたい。 教えてくれてありがとう。 質問ついでで悪いんだけど、ウィザードって消せるの? 調べても、そんな感じの記述なくて : [] 2018/01/25(木) 14:03:22.44:iBb8quc8 「ウィザード消せるか」の意味は画面上から消せるのかって意味で。 言葉足らずでごめん : [sage] 2018/01/25(木) 14:38:37.98ID:??? 消せないっぽい。 config system globalとかでgui関連のコマンドを探してみたんだけど、ウィザード消すのは見つけられんかった : [sage] 2018/01/25(木) 15:00:19.77ID:??? そうなのか。 教えてくれてありがとうね。 policy消えた原因が分かって助かったよ。 : [sage] 2018/01/25(木) 20:04:07.74ID:??? そんな罠があるのか。知らんかった。 ここはためになるインターネットですね。 それ以上のスループットは出ないよということなので、認識の通りかと : [sage] 2018/01/28(日) 21:57:20.64ID:??? Fortigate シリーズの SSL-VPN のスループットって AES128 と SHA256 以外の組み合わせでも同じスループットでますか? : [sage] 2018/01/28(日) 22:01:29.88ID:??? 消すのとはちょっと違うけど、新しいバージョンだとウィザード無くなってるよ : [sage] 2018/02/03(土) 12:01:36.22ID:??? 今後の保守を考えFortigate-60Eの購入を前提に、、 希望する構成が可能なのか?、色々ネット検索で調べてる途中でこのスレ見つけました。 このスレ全部見ましたが、 1.中古のFortigate-60D(ライセンス契約が残っている物)を中古購入して、 FortiOS5.2を入れる、又は入っている物を買う+保守契約は別途結ぶの方が安定性が良いのでしょうか? 家族経営の小さな事業規模です。 接続PCは、全部で6~8台(内1台は、VPNを利用した外部から必要な時のみ接続)、常時稼働は3~4台+ネットワークプリンタ2台です。 ポートベースVLAN+トランスペアレントモードを利用して2セグメント構成を検討しています。 WAN→IX2215→192.168.1.0/27→WAN1(Fortigate-60EorD)LAN1.2→LACP(192.168.1.0/27)→L2SW→PC →192.168.2.0/27→WAN2(Fortigate-60EorD)LAN3.4→LACP(192.168.2.0/27)→LSSW→PC ※インターネットやVPN等の接続はIX2215に任せて、FortigateにはUTM機能を担って貰うつもりです。 トランスペアレントモードでは、LAN側がL3SWでは無くL2SWになるとの事なので、 2.Fortigate-60のLAN側にLACP組めるのか? 3.WAN1と2で別セグメントを入れ、出口側の指定LANポートとの間にリンクを張ること等で、 指定 WAN→指定LANポート間の経路が確保できるのか? 4.LANポート側へWANで入ってきたセグメンとをそのまま伝達できるのか? 長文で申し訳ありませんが、 1~4について回答出来る人いらっしゃいましたら、レスお願いします。 : [sage] 2018/02/03(土) 12:05:49.45ID:??? 構成の部分が上手く記載出来なかったので、再度その部分のみUPします。 WAN→IX2215→192.168.1.0/27→WAN1(Fortigate-60EorD)LAN1.2.3→LACP(192.168.1.0/27)→L2SW→PC →192.168.2.0/27→WAN2(Fortigate-60EorD)LAN4.5.6→LACP(192.168.2.0/27)→LSSW→PC : [] 2018/02/03(土) 16:27:57.85:tNUJMhqH LACPはFG-100以上からだよ : [sage] 2018/02/03(土) 18:34:34.10ID:??? レス有難うございます。 Forti OS 5.6には、リングアグリケーションについて機種指定は記載がなかったのですが、 FortiOS 5.6 Feature/Platform Matrixに100DorE以降のみと確かに書いてありました。 上記構成のLACP部分は諦めますが、それ以外の部分の構成は指定出来るのでしょうか? : [sage] 2018/02/03(土) 19:18:58.10ID:??? 60EでVDOM使えばトランスペアレントの仮想FWでお望みのことができそうな気がする サポートとかも考えると60Eで最新Verにでもしといた方がいいと思うけど : [] 2018/02/05(月) 00:53:27.66:7DdGganj 5.2は2017/6にサポート終了してるし、5.4も2018/12までなのに何で今さら5.2? 保守契約を結ぶつもりなら60Eを新品で買って5.6を使うのが最善だと思うけど FortiGateは販社を通して申請して保守会社と保守契約を結んだり、UTMライセンスを購入する必要があるから、契約更新をするつもりがあるなら新品以外の選択肢はないよ あとe-trendとかの格安で売ってるとこは保守契約結べないというか、保守サービスを売ってないから注意 : [sage] 2018/02/05(月) 07:28:42.37ID:??? もしかして皆さん、日本代理店経由で買ってるの?ebayとかで買ったほうが安いし直接保守契約結べるのに。 : [sage] 2018/02/05(月) 09:56:10.10ID:??? 個人で買ってるならともかく企業で利用してんなら代理店経由だろ : [] 2018/02/05(月) 20:26:00.52:SVnxYmLL fgshop じゃ駄目なの? : [sage] 2018/02/05(月) 21:00:23.04ID:??? 自分は www.avfirewalls.com でfw60Cとfg50E買ったよ。ダイマだなこりゃw : [sage] 2018/02/05(月) 21:04:07.48ID:??? まあ中の人でもない限りはそこまで直マというわけでも。 : [sage] 2018/02/05(月) 21:21:31.54ID:??? 個人購入する時は、そこで買って保守契約結んでる : [] 2018/02/05(月) 22:18:10.04:cWGRwlkT 【有賀さつき(52)小林麻央(34)黒木奈々(32)】 世界教師 マイトLーヤ「早死には原発事故の隠蔽のせい」 ttp://rosie.5ch.net/test/read.cgi/liveplus/1517828233/l50 : [sage] 2018/02/15(木) 16:59:26.02ID:??? Fortigate 600C v5.4.4 の SSL-VPN の Web App (SSH、ファイル共有) ですがメニューから選んで接続しようとすると、ブラウザの画面が真っ白になり いくら待っても うんともすんとも言わなくなりました。 Win7、8.1、10各種、Java8 update161、Firefox 52.0 や Firefox 56、IE11 などの 環境です。 Win7、Java7、Firefox 47.0 32bit版 なんて古い環境のクライアントPCを引っ張 り出して試したところ、画面中央に黒い枠が出てターミナル接続ができます。 やっぱりクライアントの環境が(自動更新などで)変わってしまったせいでしょう か? なぜ使えなくなってしまったのか、が原因が分からず困ってます。 どこそこに類似事例が載っていた等、なにかヒントないでしょうか? : [sage] 2018/02/16(金) 13:12:27.18ID:??? サポートに聞かないの?保守無いの? : [sage] 2018/02/19(月) 15:53:29.78ID:??? 聞いたけど 「クライアントの環境の問題かもしれないので切り分けてください」って回答しか来ない : [sage] 2018/02/19(月) 16:25:49.99ID:??? 最初からクライアント側の問題って分かってるじゃない : [sage] 2018/02/19(月) 16:58:58.30ID:??? 5.4.6より前だとSSL-VPNポータルにXSSの脆弱性有るから5.4.8に上げちゃえば良いんでね。ついでに治るかもよw : [sage] 2018/02/21(水) 09:50:41.81ID:??? だからその原因と対処方法はどうしたらいいですか? って質問しても、 その回答が「切り分けてください」 しか返ってこないので困ってるわけなのですが 保守会社で「検証済みリリース可」ってなってるバージョンしか提供してもらえないんですよね それも客側のアップデートじゃなくて「検証含めてSE作業依頼してください(有償)」なので・・・ : [sage] 2018/02/21(水) 14:14:11.05ID:??? だって他のPCで使えるならクライアントの問題じゃん : [sage] 2018/02/22(木) 06:08:30.81ID:??? クライアントリカバリすりゃいいじゃない : [sage] 2018/02/22(木) 07:28:53.14ID:??? 証明書まわりじゃないの。 取り消し確認とか失効確認とか外してみたら? : [sage] 2018/02/22(木) 11:00:42.30ID:??? 保守会社が明らかに怠慢なので以下を参考にデバックログ取って 送りつけて調査依頼だすよろし。 ttp://jump.5ch.net/?http://cookbook.fortinet.com/ssl-vpn-troubleshooting/ : [sage] 2018/02/22(木) 19:55:06.65ID:??? ☆ 日本の、改憲を行いましょう。現在、衆議員と参議院の 両院で、改憲議員が3分の2を超えております。 『憲法改正国民投票法』、でググってみてください。国会の発議は すでに可能です。平和は勝ち取るものです。お願い致します。☆☆ : [sage] 2018/03/02(金) 15:05:58.88ID:??? ご存知であれば教えてください。 SSL-VPNでブラウザー接続した場合に外側へのpingが届かないのですが 対応方法あるでしょうか? イントラネットページ内から外部へのリンクページに飛べません。 トンネルモードで入るしかないのでしょうか : [sage] 2018/03/02(金) 20:31:53.91ID:??? インターネットへのアクセスを許可するファイヤーウォールのルールの 発信元として定義されているIPアドレスの範囲(クライアントネットワーク)に SSL-VPN のLAN側IPアドレスって含まれてますよね? (そんな理由じゃないとは思いつつ) : [sage] 2018/03/03(土) 11:43:57.55ID:??? ウィザードで設定しただけだと ポリシーでSSL-VPN I/F -> internalだけだったのですが SSL-VPN I/F -> Wanが必要だったようでした。 すごく初歩的な内容ですいませんでした : [sage] 2018/03/08(木) 23:03:06.23ID:??? トランスペアレントモードについて教えてください。 クライアント(192.168.0.11) ルーター(192.168.0.1) ※クライアントのデフォルトゲートウェイ の構成があったとして、ここにfortigateをトランスペアレントモードで組み込む場合 どのように配線と設定すればよいのですか?イメージがよくわかりませんので教えてください。 トランスペアレントモードでは、fortigateにはIPアドレスを割り当てないのですが 勝手にクライアントとルーターの間に入って通信を監視してくれるというイメージでしょうか? それともクライアントに何か設定変更がいるのでしょうか? クライアントのLAN配線をルーターのポートに直結せずに、fortigateに刺して運用するということでしょうか? : [sage] 2018/03/08(木) 23:12:15.65ID:??? イメージがわかないならトラペアは止めた方がよいのでは? : [sage] 2018/03/10(土) 02:08:08.55ID:??? どの型番のどのOS導入するか知らんけど、基本は変わらないだろう。 ttps://www.fortinet.co.jp/doc/FortiGate-Cookbook50_p139.pdf : [sage] 2018/03/13(火) 09:22:08.19ID:??? 年末の v5.2.13,build762 でパフォーマンス良くなった気がする まだ戦わせられるな・・・ : [] 2018/03/18(日) 07:39:31.52:Qmxr5Hm6 v5.2系からv5.6系までアップデートした方います? 特に不具合とかありませんか? : [] 2018/03/21(水) 22:30:36.67:PZLg8jR/ 知らんな : [sage] 2018/03/23(金) 22:21:34.43ID:??? ああ : [sage] 2018/03/29(木) 23:03:45.01ID:??? なんでフルモデルチェンジレベルで変えるんだろうな ファイナルファンタジーの開発チームかよ : [sage] 2018/03/30(金) 16:22:59.46ID:??? 6.0系リリースされたから入れてみたけど 見た目はあんまり変わらんのね。 : [sage] 2018/04/08(日) 01:57:14.86ID:??? 30eですが安かったので輸入しました。実家へ配送したので今は試せません。 giga対応のfwとして頑張って貰うつもりで、うまくいけばssg5と交代させます。 どうやらipadではfortimanagerを使って管理できるようですが、lite版があるようです。 フル版とlite版では何が違うのでしょうか。 : [sage] 2018/04/23(月) 09:47:40.42ID:??? daily report はどうやったら止められるのでしょうか? ちな3月で保守契約終わって更新してません。 : [sage] 2018/04/23(月) 10:15:46.80ID:??? 保守更新して代理店に聞いてください : [sage] 2018/04/23(月) 19:52:44.68ID:??? 個人的に集団凌辱があまり好きではないので オーロラの前二作は見ていないのだが(評価は高いみたいだが) 今回のはやはりいいな、もうちょっと風呂で絡んでほしかったけど ただ、またまたハメ撮りだけど…、ま、オーロラだしね 温泉物=ハメ撮り、って固定観念なんとかならんのかね 別に二人っきり体で別カメあってもええやん : [sage] 2018/04/23(月) 21:15:23.31ID:??? すげー誤爆だなw : [] 2018/05/21(月) 18:15:24.05:WI69FONG ユニークで個性的な嘘みたいに金の生る木を作れる方法 興味がある人はどうぞ グーグルで検索するといいかも『ネットで稼ぐ方法 モニアレフヌノ』 5BZKL : [sage] 2018/05/23(水) 21:43:32.23ID:??? IPSとかアプリケーションフィルタって、感覚的に使用率どれぐらい? 自分の知る限り、誤検知とか通信遅延のデメリットの方が大きくて使ってるところ殆ど知らないんだが。 : [sage] 2018/05/23(水) 23:16:24.86ID:??? IPSあたりはSOCへ運用投げないと死ぬと思う。 あとFortigateにL4以上のことやらすなら最初から 脅威保護スループットとかしか見ないで サイジングすれば 裏切られ感は少ないと思う。 L4スループットがベースじゃなく、あれはHWオフロード した結果だから。 : [sage] 2018/05/24(木) 22:34:31.31ID:??? ありがとう、やっぱりそんな感じか。 デスクトップモデルでまともに機能全部使おうもんなら、あっという間に CPU100パーで無事死亡するし、他所ではどうなのか気になったので。 : [sage] 2018/05/26(土) 08:12:52.91ID:??? なんでどこもこればっか提案してくんの? : [sage] 2018/05/26(土) 09:27:43.05ID:??? パロっても使いこなせないだろ FWX120のOEM提案してくるとこもあるよ : [sage] 2018/05/26(土) 09:57:30.69ID:??? SRXでもいいぞ! : [sage] 2018/05/27(日) 22:36:19.92ID:??? 今日サーバーメンテのついでにfortigate 100dのファームウェアを5.2.13 build 762へアップグレードしたんだけど、その後5.6へアップグレードしたら再起動後に見事に死んだよ 急いでコンソール繋いで電源OFF/ONしてリストアかけて事なきを得たけど滝汗だったw 識者らに教えてもらいたいのだけれど、Fortigate 100D(に限らないと思うけど)ファームウェアアップグレードはcurrent で使用してるファームウェアbuildからリリースされてる一つ上のbuildへしかアップグレードできない(しちゃいけない)んですかね? : [sage] 2018/05/28(月) 00:15:28.16ID:??? アップグレードパスに従わずにやれるのか? Webからポチッとなはやったことないんだが 5.6は5.4経由しないとダメだった気が : [sage] 2018/05/28(月) 00:30:15.23ID:??? ttps://gold.nvc.co.jp/document/fortinet/OS/fgt/information/FortiOS_ver.5.0_MR6_Patch_3_Informations.pdf こんなんとか : [sage] 2018/05/28(月) 00:30:34.39ID:??? そうそう、web管理画面からポチっとなです なんとなくそんな気がしてたんだけど、やっぱり5.2→5.4→5.6のステップでやらないとだめなんですかね? アップグレードパスというのが何を意味してるのかよくわからないけれどcuiでも同じ様なステップでアップグレードするもんなんですか? : [sage] 2018/05/28(月) 00:33:36.18ID:??? おー、理解しましたありがとうございますw ちゃんとドキュメントを確認するべきでしたありがとうございます : [sage] 2018/05/29(火) 12:50:19.12ID:??? WAN LLBってどこの例を見ても 2回線の例しかないけど、3回線以上ってできないの? : [] 2018/05/30(水) 07:29:04.07:uEOpoX7l アップグレードパスは守った方がいいのでは。 コンフィグ変換を手堅くさせるためにも、 なにかサポートが必要になった時のためにも。 メーカーのページに書いてありますよ。 v5.2.a → v5.4.b → v5.4.c → v5.6.d → v5.6.e のように、途中で細かなverupを経て 最新にする。みたいな流れが多いです。 v5.xのところが変わる時はログディスクを初期化した方がいい など、お作法があることもあるので、 リリースノートなどを確認しましょう : [sage] 2018/05/30(水) 09:44:54.03ID:??? おお、ログディスク初期化は気になっていたんですが実施したほうがいいのですね 前回失敗コイてまだターゲットのverまでアップグレードできていないので、次回はアップグレードパスに従って進めようと思います ありがとうございます : [] 2018/05/30(水) 12:02:09.08:aUguvRbf 細かくバージョンを上げるごとにコンフィグを 取得しておき、 都度比較するといいですよ。 。。結構変わるんだなってw 仕様変更である機能が無効になったり、もういろいろです。 ログの形式も少しずつ変わっていくので、 集計したり統計を取ってる時は気をつけた方がいいですね。 : [sage] 2018/05/31(木) 04:04:18.30ID:??? 30eを買って遊んでるんですが、NGFWなし、アンチウイルス無しで一人で使ってる割にはスループットがssg5によりもたつく気がします。入れたポリシーもssg5よか少ないはずなんですが。 こんな物なんでしょうか。60e位に変えるべきですかね? : [sage] 2018/06/06(水) 20:45:03.38ID:??? pppoe喋らせると遅い : [sage] 2018/06/07(木) 22:59:17.46ID:??? UTMはルータではない : [sage] 2018/06/08(金) 20:26:47.05ID:??? FG60Dの5.6で検証してます、 FTPサーバをPASVモードでvirtualip越で公開したいんですが、 port21での接続ができたあと、dataセッションがport書換が原因でつながらない様なんですが、 policyはwanのanyからVIP宛てに、ftp、Get、Putと1024から65535のportを設定しました。 : [sage] 2018/06/09(土) 11:01:39.03ID:??? session-helper : [sage] 2018/07/13(金) 16:03:54.02ID:??? ウイルスメールが届いた時に送信者に自動的に送られるアラートメールって送らないようにする事って出来ますでしょうか? web管理画面で文面は変更できるようなんですが、送信しないようにする設定が見つかりません。 ご存じの方いましたら教えて頂けませんでしょうか? : [sage] 2018/07/20(金) 12:16:22.90ID:??? 会社(中小規模)で導入することに決まったんだが 複合機屋から来た見積もりが60E(Enterprise Protection相当)で5年95万・・・ やっぱ日本ってぼったくりだわ・・・、個人なら輸入するんだがなぁ : [sage] 2018/07/21(土) 10:48:41.85ID:??? の人件費のほうがぼったくりみたいなもんだろ。 : [sage] 2018/07/21(土) 11:37:53.37ID:??? 気にするだけ無駄やぞ askが儲かるようなもんだ : [sage] 2018/07/26(木) 09:41:10.62ID:??? execute telnet した時、 接続先に改行コードとして 0x0a を送出してるらしいのだけど 0x0d にしか反応しない機材がある。 送出する改行コード変える方法は無いかしら… : [sage] 2018/08/12(日) 00:55:13.98ID:??? 代わりにその仕事を5年で95万でやってくれる人を雇えば済むんじゃね? : [sage] 2018/08/14(火) 10:16:22.84ID:??? 60eの底面に有る蓋って何の拡張用でしょうか。 マニュアルを漁っても説明がありません。 : [sage] 2018/08/14(火) 12:07:05.65ID:??? 別売りのラックマウンキットの方に、 底面に取り付けるマグネット式のプレートならあった気がするけど 60E単体の底面に蓋なんてあったっけか : [sage] 2018/08/14(火) 13:29:54.64ID:??? 今pcが無いので、そのものの写真を出せませんが、以下が底面の写真です。 ttp://jump.5ch.net/?https://goo.gl/images/sFe2NF フラッシュを焚いたようでわかりにくいですが、シリアル番号の左隣に縦長で3.5x10cmぐらいの蓋があり、上側が1箇所ねじ止めされてます。 ssg5のsodimmのスロットぽいですが、やや長細いですね。 開ける事は出来るでしょうが、自分のは買ったばかりの未登録で、開封検知なんかされると厄介なので取り敢えず正体を知りたかったのです。 fortigateのマニュアル類には記載がなく、検索してもほぼヒットしませんので。 : [sage] 2018/08/14(火) 14:15:40.18ID:??? 61Eとかwifiで使ってるのかも? : [sage] 2018/08/14(火) 14:54:28.49ID:??? ハードウェアに関するマニュアルを幾つか漁って見ましたが、60Eも61Eも一緒に纏められているようで、この蓋に関する記載は見つけていません。 ただ、61EならばLTE用のsimを搭載できるのかもしれませんね。 : [sage] 2018/08/14(火) 16:24:14.25ID:??? 60Dで6.0.2にしたら何か1日1回くらい落ちるように・・・ とりあえず6.0.1に戻して様子見。 : [sage] 2018/08/14(火) 19:25:56.73ID:??? 6.0.2のログを記載してくれよー それじゃただの独り言じゃん : [] 2018/08/14(火) 19:47:30.87:GR4vVG8W 【ロシア国防省】 日本が、地震に偽装して、核実験 ttp://rio2016.5ch.net/test/read.cgi/lifeline/1533983438/l50 : [sage] 2018/08/14(火) 20:57:17.53ID:??? ログなしでブチっと落ちてる。 デバッグまではかけてない。 : [sage] 2018/08/15(水) 03:31:45.00ID:??? fortiexplorer proって使ってる人がいますか?fortiexploler自体はtouch IDが使えて手軽ですが、ほぼモニタしか出来ず、2400円払ってアップグレードする価値があるかどうか知りたいのです。 ipadからlan経由でwebにログインするとCLIが漢字変換モードで始まり、英数モードに簡単に切り替え出来ない為、ほんの数行configを入力するだけで大手間です。これが簡単になると助かるのですけど。 : [sage] 2018/10/01(月) 22:11:52.13ID:??? 俺の方の60Dはコンソールに Internal errorからのKernel panicのログ出して再起動してた 検証中に何回か落ちたときの一回分しかログ取れてないけど : [sage] 2018/10/06(土) 08:24:55.76ID:??? FortiOS 6.02でIe11だとログイン後真っ白になってしまうんですが 設定でなんとかならないでしょうか EgdeやChromeでは開けるんだけど : [sage] 2018/10/06(土) 11:34:09.68ID:??? うちも困ってるが、非対応だからどうしようもないみたい。 : [] 2018/10/06(土) 16:16:15.47:p1ZYmtbX うちも60Dで同じになったんだけど、その時はICMP通信してました。2回落ちて、そのどちらも。 : [sage] 2018/10/07(日) 23:07:22.76ID:??? MS曰く「IEは腐った牛乳 史上最高最速のブラウザーEdgeをおすすめします」 : [sage] 2018/10/07(日) 23:33:22.45ID:??? 腐った牛乳って自ら貶したのはIE6では : [sage] 2018/10/09(火) 22:37:25.96ID:??? FortiOSの各バージョンのPDF見てたら IE11のサポートは5.4.5までなんですね 社内システムがIE11以外で問題でるんで SslVpn使うならこのバージョンにするしかないでしょうか : [sage] 2018/10/10(水) 06:58:48.61ID:??? そんなサポート使うかね? べつに動かなくなる訳じゃなくて保証しないだけじゃなくて? : [sage] 2018/10/10(水) 22:55:35.44ID:??? ブラウザのサポートバージョンなんて気にしないけどな。 推奨環境くらいのニュアンス。 そりゃあまりに古いIEなんかだと本当に動かなかったりしそうだが。 : [sage] 2018/10/11(木) 08:02:37.54ID:??? firefoxで普通に動いてる。 safariつかipad用のsafariだとCLIがまともに動作しない。 : [sage] 2018/10/19(金) 17:50:43.29ID:??? 私たち日本人の、日本国憲法を改正しましょう。 総ム省の、『憲法改正國民投票法』、でググって みてください。拡散も含め、お願い致します。 : [sage] 2018/11/24(土) 00:38:25.10ID:??? 60シリーズって温度センサーついてないのか。 : [sage] 2018/12/02(日) 19:44:58.18ID:??? ドキュメントに載ってるKnow Issuesを Bug Trackerで検索かけるとヒットしないのあって困る そもそもBug Tracker自体の情報量が少ないからあってもなくても似たようなもんだが : [sage] 2018/12/07(金) 11:19:27.18ID:??? 60dでsslvpnポータルって10件が上限みたいだけど、上限値ってどっかで設定変更できるの? : [sage] 2018/12/08(土) 08:34:43.57ID:??? 適当なバージョンのMaximum Values Tableを見ると、60Dは10が上限みたいだね ユーザ情報をローカル管理するならそれの上限も見た方がいい 常時接続数以上は使わないけど、ユーザ数は全社員登録するとかいったら溢れるし あと、AD(LDAP)連携を複数設定するのら それの上限値も少ないから確認した方がいいと思う 証明書のCRLをLDAPで取ってきたりすると、さらにLDAPの設定数が増える : [] 2018/12/30(日) 10:02:53.88:eSsWwWD8 60Dを6.0.3に上げた時、何回かリブートしないとFortiGuardにつながらなかった : [sage] 2018/12/31(月) 23:31:19.35ID:??? コンフィグ引き継げないからじゃん。 : [] 2019/01/24(木) 09:35:47.68:fiT5pQBZ eoのインターネットオフィスを使ってるのですがFortigateで接続してる方いますか? 設定方法分かる方がおられれば教えてください。 営業担当から得られた情報は ①PPPOE シングルセッション デュアルスタック DHCPV6-PD ②基本的に一般向けサービスと接続方法は同じ FortiOS5.6.7 で以下の設定では駄目でした。 config ipv6 set ip6-mode pppoe set ip6-allowaccess ping set dhcp6-prefix-delegation enable set dhcp6-prefix-hint 2001:xxx:xx:xxx::/56 set autoconf enable end : [] 2019/01/24(木) 10:39:56.57:fiT5pQBZ ↑言葉足らずです eoのインターネットオフィス(法人向けサービス)でipv6通信をするための設定です。 pppoeにてipv4での通信はできており固定のipv4アドレスを1個貰っています。 そこにオプションでipv6サービスを申し込んだのですが、うまく設定ができません。 : [sage] 2019/01/24(木) 11:00:58.71ID:??? DHCPV6-PDで ip6-mode pppoe ? : [] 2019/01/24(木) 12:09:30.74:fiT5pQBZ 参照したのは以下のページです ttp://jump.5ch.net/?https://blah.cloud/networks/enabling-ipv6-dhcpv6-pd-pppoe-fortigate/ 他にも以下を参考にしましたがダメでした。 ttp://jump.5ch.net/?https://yorickdowne.wordpress.com/2018/06/08/ipv6-with-prefix-delegation-on-fortigate/ config system interface edit "wan1" config ipv6 set ip6-mode dhcp set ip6-allowaccess ping set dhcp6-prefix-delegation enable set dhcp6-prefix-hint ::/56 end next end : [] 2019/01/24(木) 12:12:37.28:fiT5pQBZ NECのルータでの設定が以下だそうです ppp profile ppp authentication myname dual-user1 authentication password dual-user1 pas1 ipv6 dhcp client-profile dhcpv6-cl option-request dns-servers ia-pd subscriber FastEthernet1/0.0 interface FastEthernet0/0.1 encapsulation pppoe auto-connect ppp binding ppp ip address ipcp ip napt enable ipv6 enable ipv6 dhcp client dhcpv6-cl no shutdown : [] 2019/02/07(木) 22:54:32.88:6hsvhmuA すいません、どなたかお分かりでしたら教えてください。100eをつかっているのですが、GUI からキャプチャ回したとき、UDPが取得出来たり、出来なかったりします(ほとんどの場合取れない)。どうすれば取れるのでしょうか? : [sage] 2019/02/07(木) 23:21:06.04ID:??? ASIC処理されてるとか : [] 2019/02/08(金) 07:15:33.65:xMmWwejq 早々にありがとうございます! 調べてみたらそれっぽいですので、今日早速試してみます! : [sage] 2019/02/15(金) 06:50:49.95ID:??? fitbit.comkにあるダッシュボート内の記録ページが エラーとなっているのですが、みなさんのところもそうですか? : [sage] 2019/02/19(火) 08:06:19.30ID:??? fortigateにciscoでいうNATのredundancyみたいな設定はないんですか? : [sage] 2019/03/12(火) 13:28:17.21ID:??? 今会社で100D(5.4.3)使っててバージョンアップする予定なんですが、6.0の安定性ってどうですぁか? 6.0か5.6どっちにするか悩んでます : [sage] 2019/03/12(火) 21:47:23.82ID:??? 畳と嫁はなんとやら : [sage] 2019/03/24(日) 14:39:18.54ID:??? 教えてほしいのですが、現在60D OS5.2なのですが、 DHCPでMACで固定のIPを払い出す方法はあるでしょうか? ロケーションの違う2箇所で使う場面があり端末側で固定は出来ないものの、 一箇所ではアドレスが決まっている方が便利な場面があるので そう出来たらいいなぁという感じなのですが・・・ : [sage] 2019/03/24(日) 19:07:09.03ID:??? そんな終息したものは捨てよう ttp://jump.5ch.net/?http://help.fortinet.com/fos50hlp/52data/Content/FortiOS/fortiOS-HTML5-v2/Home.htm : [sage] 2019/03/24(日) 19:58:59.62ID:??? ttp://jump.5ch.net/?https://help.fortinet.com/cli/fos60hlp/60/Content/FortiOS/fortiOS-cli-ref/config/system/dhcp%20server+dhcp6%20server.htm ここの config ip-range config reserved-address を参考にすればいけるんじゃね? 5系も6系も変わらんじゃろ。 : [sage] 2019/03/24(日) 22:44:27.15ID:??? ありがとう! config reserved-address edit 1 set-ip (IP) set mac (MAC) でいけました レンジは多分レンジ外は指定できないのかなと思うのでもともとのレンジの中で 使われそうにない最終IPで設定して問題なしっぽいです 重ね重ねありがとう : [sage] 2019/03/26(火) 22:05:35.47ID:??? 教えてください ログをメモリにしてるんだけど高度って項目でディスクロギングってあるので ディスクのクォータ設定でディスクロギング容量をフォーマットして 割り振りなりすればディスクでロギングって可能です? : [sage] 2019/04/13(土) 09:43:16.48ID:??? 運用について相談です。 webフィルタを設定して運用しているのですが、最近はどこもかしこも、 ほぼ常時SSL化されているので、SSLインスペクションを有効にして ドメイン単位でのフィルタをしています。(かなり巻き添え規制が発生しますが) この方法以外に、この前韓国で話題になっていた、DNSフィルタ(Server Name Indication)という 方法もあると思いますが、Fortigateで使ってる方いますか?こちらもドメイン単位でしか規制できないですが。 DNSフィルタの場合、クライアントのDNSをFortigateに向けてやる必要があると思うのですが、 ドメイン(ActiveDirectory)環境の場合は、クライアントのDNS設定はドメインコントローラーへ向いていると思います。 こんな場合はDNSフィルターは無理なんですかね? : [sage] 2019/04/13(土) 18:11:42.12ID:??? よくわからないけど、ADの参照先をfortigateにすればいいんじゃないの? : [sage] 2019/04/20(土) 06:11:18.66ID:??? nat46ってどうやるんですか? やったらnat変換後の送信元IP6アドレスはFGT自身のサーバ向けIFのアドレスになると思ってたんだけど、なりません。認識違いました? : [sage] 2019/05/08(水) 15:22:40.46ID:??? FortiGate40CをNURO光のONU直下に トランスペアレント(透過)モードで設置しよう と思って設定中ですが、インターネットに 繋がらなくて困っています。NATモード(ONU との二重ルーター)だと問題なく繋がります。 NATモードの際のアドレスは 192.168.1.99/255.255.255.0 ゲートウェイは 192.168.1.1 となっています。トランスペアレ ントの場合、これをどのように設定するのが 正解か、アドバイス頂けると有り難いです。 いろいろ試してみたのですが、上手くいかず、 お手上げ状態です。 : [sage] 2019/05/12(日) 23:20:57.89ID:??? NURO光のONUがどういう仕様かわからん事にはどうにも ONUがルータ機能持ってるタイプなんだっけ? 端末のデフォルトゲートウェイもONUなの? : [sage] 2019/05/13(月) 22:22:40.79ID:??? 光回線はNURO、ONUはF660A、現在はファイヤーウォール機能オンにしていますが、Fortigateを透過型ファイヤーウォールに設定出来たら、ONUのファイヤーウォールはオフにする積りです。ゲートウェイはONUです。 : [sage] 2019/05/13(月) 22:28:42.56ID:??? 追加です。ONU(F660A)はルーター機能を持っていて、オフにすることが出来ないタイプです。 : [sage] 2019/05/18(土) 14:31:24.39ID:??? まずどこまで通信が通ってどこまで戻ってるかは分かる? 例えば ONU(ルータ機能付き) ↓① FG40C ↓② 端末 だとして①のエリアを通過してONUまで通信が届いているか ONUから端末まで戻れるか この辺切り分けないとちょっと分からないな トランスペアレントモードの場合はそもそも①②ともに同一セグメントとなるから FW機能での何らかのカットが行われていない限りは ルーティング上の問題にはならないはず : [sage] 2019/05/19(日) 08:48:55.83ID:??? コメント、有難うございます。 ONU(F660A)→Fortigate40c→端末(PC)と 繋いで40cをトランスペアレントに設定して 端末からpingを打つと40cには通りますが、 F660Aには通らず、インターネットに 繋らない状態です。40cをルーターに設定する と問題なくインターネットに繋がります。 所謂、二重ルーター環境ですが、この環境下で 速度測定をしてみました。端末をF660Aに直結 した状態と40c経由にした状態(二重ルーター)を 比べると何れも下り:600メガ、上り:900メガで 殆ど差がなく、二重ルーター環境も選択肢かな と思っているところです。 : [sage] 2019/05/21(火) 15:27:20.57ID:??? 二重ルータで問題がなければそれもありかと思うけど そもそもトランスペアレントモードの場合は端末側の設定も 変えないといけない 単純にFGの設定を変えて対応してるだけってなら 端末はDHCPでIPもらう設定にしていてって事なのかなと の形でいうとトランスペアレントモードだと ①②ともに同一セグメントだけどNATモードだと違うセグメントになるので 端末のIPは変えないといけない DHCPで貰うだけなら何ら問題ないけどね そもそもFG通さずONUに端末を直差しして繋がるのか切り分けてみたら? 個人的にはセキュリティ面を考えてもトランスペアレントモードにする メリットはあまりないと思うけどね ①を単なる通過するセグメントにするだけでもセキュリティ上は そっちのが一段降りるので少し強くなるし : [sage] 2019/05/21(火) 15:30:30.00ID:??? あ、ONU直差しは通信できるのね そういう意味ではFGがカットしてるとしか思えないってのは分かる気はするけど ちょっと不思議な状態だな ポリシーはそもそもちゃんと設定できてる? セグメントが違ってしまうからポリシーをちゃんと見直さないといけない 全通しから通らないんだとちょっと不明だが 個人的にはNATモードよりは通常のルーティングモード?のがいいと思うけど : [] 2019/05/21(火) 18:51:25.41:NBvOu0S8 FortiGate-50EってCPUが Marvell Armada 385じゃん? PPPoEをhardwareサポートしてるっぽい事書いてるけど50EだったらPPPoEのスループット出るのかな? ttp://jump.5ch.net/?https://www.marvell.com/company/news/pressDetail.do?releaseID=7316 : [] 2019/05/22(水) 02:03:22.38:D60CRriF PPPoE + NAPT + IPS + DNSフィルタで90Mbps出たときにCPU使用率1ケタだった 50Eは神では : [sage] 2019/05/22(水) 23:14:30.00ID:??? ちょっとFortiのDNSの仕様がイマイチわからないので 教えてください インタフェースIPをDNSとするようにDHCPに配らせて その端末から通常通りにインターネットに関してはDNSリレーさせて通信させることは出来たのですが、 内部の端末についてるホスト名だけはちゃんと内部のIPに飛ばしたい DNSデータベースに何かを設定したらいいんだろうけどどうすればいいのか 調べても出てこなかったのですがどう書けばいいのでしょう? : [sage] 2019/06/05(水) 14:20:30.73ID:??? まじかw 60Dだと80Mbpsで100%近くで張り付くから買い替えようかな : [sage] 2019/06/08(土) 21:32:07.83ID:??? その代わりFortiのSoC入ってないから注意ね : [] 2019/06/10(月) 09:29:02.19:cLDmkCLH SoC入ってないからって困る事ある? SoC1の60C、SoC2の60Dを持ってるけどウンコ過ぎて50Eが神に感じるんだけど SoC3は性能いいの? 今度出るSoC4はめっちゃ性能良さそうだけど : [] 2019/06/20(木) 22:17:44.28:gC/PTqw9 FortiとYAMAHAでIPsec設定するとメインでもアグレッシブでも IKEフェーズ1の時点でNGなんだけど組み合わせ悪いやつかね ike Negotiate ISAKMP SA Error:~: no SA proposal chosen ってなるわ : [sage] 2019/06/21(金) 10:10:31.55ID:??? 相性はあるよ 回線でもあるしね : [sage] 2019/06/21(金) 13:33:06.56ID:??? IKEv2にしてみたら? IKEv2のほうが接続可能性は高いぞ。 : [sage] 2019/06/22(土) 01:01:11.26ID:??? 運ゲーだね IKEv2で2時間ほど頑張ってみたけどダメだった あああああこんなにくやしいのは久しぶりだあああああ : [sage] 2019/06/22(土) 06:27:58.97ID:??? 俺も検証したことあるけど、絶対無理だよ 古いファームにしないと繋がらない : [sage] 2019/06/22(土) 08:54:50.89ID:??? 仮にVPNはれても、障害時の切り替わりで問題発生とかあるから恐ろしいぞい : [sage] 2019/06/22(土) 11:31:31.12ID:??? どのファームだめでどのファームならおkでした? fortiとyamahaでipsecで繋いでる環境でfortiのバージョンアップ検討してますので参考にしたい : [sage] 2019/06/22(土) 11:45:38.65ID:??? 異種機器間VPNだと、AWS VPCのForti向けサンプルコンフィグが糞だった 糞みたいなインデントの修正するだけで半日くらい潰れる : [sage] 2019/06/22(土) 21:35:03.22ID:??? いや、もう諦めようよ・・・ ttp://jump.5ch.net/?https://kb.fortinet.com/kb/documentLink.do?externalID=13885 : [sage] 2019/06/24(月) 08:26:12.58ID:??? あきらめるってなにを? 現状fortiとyamahaでipsec繋がってる環境で、fortiのファームアップ考えてて、古いファームにしないと無理っていう書き込みがあったから聞いただけなんだが : [sage] 2019/06/24(月) 19:24:20.74ID:??? ほれ。 FortiGate60D (Firmware 6.0.5)とRTX810で接続してやったよ。 ttp://www.nosense.jp/ipsec-fg60d-rtx810/ 特に苦労するところはないけど。 : [sage] 2019/06/24(月) 21:03:13.61ID:??? パッと検証してブログ記事作成するとかイケメンかよ : [sage] 2019/06/25(火) 20:03:42.58ID:??? これ、ヤマハとかよりスループット高いよね UTM機能お金使わずに、ルーターとして使うのあり? : [sage] 2019/06/25(火) 22:02:11.04ID:??? モノによる : [sage] 2019/06/25(火) 22:49:46.14ID:??? 実測値はどうだか : [sage] 2019/06/25(火) 23:12:03.04ID:??? ルータと違ってセッション管理しちゃうから注意ね。 やたら無通信時間が長いアプリとかたまにあるし。 : [sage] 2019/07/26(金) 15:45:01.64ID:??? PPPoEとIPv6は実測値が面白いことになる機種も多い : [sage] 2019/07/30(火) 22:13:13.36ID:??? ttps://i.imgur.com/dWYOCDj.jpg : [] 2019/08/01(木) 01:22:57.48:txazrML8 個人だとどこでライセンス買うのがオススメ? : [sage] 2019/08/02(金) 20:46:10.82ID:??? ありがとう ttp://jump.5ch.net/?https://network-beginner.xyz/fortigate_and_rtx_ipsec-vpn このサイトも参考にさせてもらって設定したらアグレッシブでのみ成功したけど 2拠点目繋げようとするどっちか1か所しか繋がらない fortigateから見たリモート側のPeerIDは文字化けしてるしRTXでのPeerIDの指定方法もわからない ここで行き止まりかな : [sage] 2019/08/02(金) 21:40:00.39ID:??? ipsec ike local name を fqdnにしたら識別できて繋がった スレ汚してすみませんでした : [] 2019/08/04(日) 02:36:05.93:HfVtUV9B 自宅検証用にみんなどの機種使ってるの? : [sage] 2019/08/04(日) 07:24:53.54ID:??? 60Dだけどvxlanが微妙なんで60E欲しい : [] 2019/08/09(金) 11:01:04.34:3woH7nMD すいません、Forti初心者なのですがご存知の方教えてください。 FortiCloudのサブスクリプションライセンスの購入を考えているのですが、 登録できるデバイス数は無制限でしょうか。それとも登録したい台数分のサブスクリプションを購入しないとダメ? : [] 2019/08/19(月) 05:02:53.49:hriGQZgT 何が微妙なの : [sage] 2019/08/19(月) 19:30:37.85ID:??? 60Eはconfig system vxlanがあるけど 60Dはipsecのset encap vxlanしかない。 : [sage] 2019/08/21(水) 00:21:44.69ID:??? Ver.6.0でアプリケーションコントロールのカスタムシグネチャーをhostで識別させたいんだけどうまく行かなくて夜も眠れない。 相手サイトでアプリケーション識別するカスタムシグネチャー分かる人いないですかね… : [sage] 2019/08/29(木) 08:48:52.49ID:??? 脆弱性でたからsslvpn使ってるとこは注意 : [sage] 2019/08/29(木) 19:17:48.59ID:??? 正確には脆弱性自体は前からあったけど エクスプロイトが公開されたから 攻撃実現性が増した感じだよね : [sage] 2019/09/01(日) 14:00:14.99ID:??? FortiClientのiPhone, iPadアプリは 構成プロファイルで配ったクライアント証明書を認識しなくて わざわざiTunesから仕込む必要あるから SSL-VPNで数百端末展開するだけでも地獄っいうね... : [sage] 2019/09/26(木) 02:10:29.60ID:??? FortiCloud自体はデバイス登録数は制限無いです ログリテンションのサブスクリプションはFortiGateごとの購入が必要 : [sage] 2019/09/28(土) 10:09:28.96ID:??? 10月半ばから一斉に本体を10%値上げだと 増税と合わせてだいぶアレになるな : [sage] 2019/10/03(木) 03:22:58.29ID:??? nuro bizでの設定例がわかる方がいたら教えていただきたいです。 nuro bizのONUにfortigate 60Eを接続しているのですが、LAN1(標準固定IP)で外への接続ができません。 いろいろ調べてIPoEで接続するとの情報は得られたのですがfortigateでどのように設定すればいいのかがわかりません。 ttp://jump.5ch.net/?https://thorsten-on-tech.blog/2018/06/08/ipv6-with-prefix-delegation-on-fortigate/ こちらを参考にipv6をdhcpにしてみましたが、 diagnose ipv6 route list | grep wan1 で見るとipv6のアドレスが割り振られていないようです。 ONUのLAN2経由であれば外に出られます。 どうかよろしくお願いいたします。 : [sage] 2019/10/16(水) 20:31:09.56ID:??? Fortigateで作成したvlan10,20,30のすべてがタグVLANで、 これをLAN1,LAN2のアグリゲートで上位L3SWと接続できている。 LAN3には内部の独自セグメントのIPを割り当ててPCを「直接」接続している。 この状態だとPC側から投げたパケットは上位ルータに飛ばない (ルーティングやフィルタの設定に異常はない) ひょっとしてこういう接続はNGなの? LAN3にもタグVLANを適用し、わざわざタグVLANに対応したL2SWを接続したうえで、 PCをL2SWに接続しないとダメ? : [sage] 2019/10/16(水) 21:59:04.97ID:??? 50Eの6.2ではできてる。 : [sage] 2019/10/17(木) 09:50:29.10ID:??? ありがとう。 : [] 2019/10/17(木) 14:55:34.27:5gwexqKi 最新ファームでは下位モデルのLAGに対応したんだね : [sage] 2019/11/05(火) 21:34:39.75ID:??? vdomAにあるradiusサーバーを、vdomBから参照するにはどうしたらよいでしょうか vdomAからは接続できているのですが、vdomBの「RADIUSサーバの編集」で接続テストすると「RADIUSサーバに接続できません」となります。 : [sage] 2019/11/06(水) 13:57:01.48ID:??? この機種かなりやばない? Webからポリシー追加とかstatic route追加・削除してたんだけど、 static routeを追加したり削除した直後に数秒ほど飛んではいけない宛先にpingが飛んだりする。 設定反映のタイミングで設定がガバガバになることない? : [sage] 2019/11/06(水) 22:05:18.57ID:??? ダメなら使うのやめとけ : [sage] 2019/11/07(木) 08:12:29.98ID:??? 質問に答えてない : [sage] 2019/11/07(木) 08:16:58.51ID:??? どの機種、どのバージョンか書いてない時点で回答するに値しないクソ質問ですし でそんなに気になるならパケットキャプチャとった上でメーカーに問い合わせろでFA : [sage] 2019/11/07(木) 19:46:18.19ID:??? いや、そういう情報を共有するスレだろ : [sage] 2019/11/07(木) 19:59:03.04ID:??? 「やばない?」とか「設定がガバガバ」とかいう放言にマトモな対応を期待する方が馬鹿w : [sage] 2019/11/07(木) 20:14:39.96ID:??? 前提となる環境が全く判らないので情報として価値がない : [sage] 2019/11/08(金) 09:44:09.73ID:??? それじゃあ典型的な古参隔離スレじゃん 古参のフォーマットに合わせないと無視って、新規が入ってこないわけだわ : [] 2019/11/09(土) 13:50:36.14:L0GkWdQC FG60Eを6.2.0から6.2.2に上げようとしたらアップグレードパスがないとかで弾かれた factoryresetしても駄目だったわ : [sage] 2019/11/10(日) 02:34:48.91ID:??? うちもだわ。機種もバージョンも一緒。 : [sage] 2019/11/13(水) 02:56:37.14ID:??? 60Fって60Eから相当能力上がってるね。3倍ぐらいは上。ただ、遅延は3μから4μになってる。サイトがメンテ中だからgoogleのキャッシュしか見れないけど。 で、6.2.0から6.2.1にまず上げないの? バージョン飛ばすとアップグレードパス云々って言われるのは手続き上あることだと思うんだけど。 : [sage] 2019/11/14(木) 08:09:23.99ID:??? 公式のアップグレードパスとして6.2.0 -> 6.2.2が案内されてるじゃん : [sage] 2019/11/18(月) 20:06:43.98ID:??? ワイもいろいろ試したが出来んかった : [sage] 2019/11/24(日) 13:33:26.56ID:??? トランスペアレントモード時のルーティングの設定ているんですか? 透過するだけだしいらないと思ってるんですが : [sage] 2019/11/24(日) 17:11:52.83ID:??? 機器自体がアップデートなりなんなりで通信するためのデフォルトゲートウェイが要るかどうかという話なら 運用ポリシーに照らして設定したらいいんでないかな : [sage] 2019/11/24(日) 22:32:32.84ID:??? なるほど、機器がって事か 納得しました。 実在に流れる通信には関係ないって事ですね : [sage] 2019/11/29(金) 09:53:01.84ID:??? FortiGateをリバースプロキシとして使えますか? : [sage] 2019/11/30(土) 11:32:02.52ID:??? 使えます : [sage] 2019/12/08(日) 13:43:11.00ID:??? この手のネットワーク機器の付加価値機能って、使えるけど使っちゃいかんってコモンセンスだったけど今後はどやろね SSLオフローダとしてはASICで非常に優秀なことは理解してるんだけど、 本当に思ったように振り分けできる?ログの出力フォーマットをパースしやすいように整えられる?とか色々考えちゃう : [sage] 2019/12/09(月) 13:09:43.05ID:??? 石橋3回叩かないと歩けないタイプ? 手に負う根性無いなら丸投げしようぜ : [sage] 2019/12/10(火) 15:40:08.47ID:??? これ自己解決。 6.2.0の既知のバグだったわ。 一旦6.0.7に下げたら6.2.2に出来たわ。 : [sage] 2019/12/13(金) 11:06:05.29ID:??? ちょっと意味が分からん Fortigateにリバプロさせるようなしょぼいシステム組みたくないって話なんだが理解できとるか? : [sage] 2019/12/13(金) 13:36:19.45ID:??? SSL-VPN使うことにしました。 ありがとうございました。 : [sage] 2019/12/13(金) 15:08:55.57ID:??? ラコモンセンス ○ケースバイケース : [sage] 2019/12/14(土) 10:12:33.30ID:??? ケースバイケースってか予算が無かったりそもそも要件詰め忘れてたりの間に合わせだろ? そんなん使う時点でエンジニアとしてどうよって思うわ : [] 2019/12/20(金) 19:26:35.33:34e0ge6G 6.2.3リリース。 早速入れてみたが、ログイン画面文字化けするな。 : [sage] 2019/12/20(金) 20:36:06.39ID:??? ありゃ うちもリリース間近の400Eで6.2.2入れてるんだけどどうしようかな : [sage] 2019/12/20(金) 22:40:08.71ID:??? Fortinetに限らず、一般的に透過モードで設置した場合WAN側にあるPCとLAN側のPCって普通に通信できるものですか? 例えば共有フォルダが丸見えになりますか? : [sage] 2019/12/20(金) 23:24:30.85ID:??? ポリシーによるとしか… : [sage] 2019/12/21(土) 06:27:49.16ID:??? 年末だし避けた方が・・・ : [sage] 2019/12/22(日) 20:23:32.62ID:??? ということは、透過モードのまま制限することは可能ではあるってことですかね? インターネットのみ可能な来客用ネットワークをUTMの外側に作りたいのですが、UTMの設定はUTM設置業者にさせればいいでしょうか? : [sage] 2019/12/23(月) 00:49:31.48ID:??? できるはできるけど要件だけ聞くとわざわざ透過モードで 設計する理由が分からない。 雰囲気的に業者に設計方針から依頼したほうが幸せになると 思うよ。 : [sage] 2019/12/23(月) 08:11:41.77ID:??? SSL-VPN を利用する際に FQDNを使わず直接IPアドレスを使ったアクセスを 拒否することは可能ですか? : [] 2019/12/23(月) 08:26:40.94:oIFvnOSy 勿論、httpのhostnameヘッダが入ってない場合を想定してるんだろうが、確か出来ないはず。 想定が違うなら、httpプロトコルの勉強した方がいい。 : [sage] 2019/12/23(月) 16:37:49.34ID:??? 俺はダイナミックIP使って、頻繁にIPアドレスを変更している。 : [sage] 2019/12/23(月) 19:55:52.76ID:??? そうですか。残念です。 Internet explorer 11 だと SSL-VPN ポータルが表示されないのですが どうすればよろしいでしょうか : [sage] 2019/12/24(火) 06:28:31.04ID:??? 俺はsrc IP絞った。 : [] 2019/12/24(火) 08:08:40.27:KB7IbA+5 最近のFortiOSはIEサポートしてないから大人しく対応ブラウザ使うべし。リリースノートに載ってるから。 : [sage] 2020/01/07(火) 20:21:05.17ID:??? 自分でfortigateに証明書を入れず、FortiClientを使用してIPアドレス指定でSSL-VPNを繋いでいるのですが この状態でも通信は暗号化はされるのでしょうか。 素人質問で申し訳ないです。 : [] 2020/01/08(水) 08:22:52.92:f6X7IK54 暗号化されてる。 : [sage] 2020/01/09(木) 06:52:58.56ID:??? ありがとうございます。 : [sage] 2020/01/12(日) 12:27:55.97ID:??? 並行輸入品て日本国内のサポート受けることできますか : [sage] 2020/01/12(日) 13:35:10.26ID:??? できますん : [sage] 2020/01/12(日) 16:50:18.53ID:??? ですよねー : [] 2020/01/15(水) 08:11:33.31:7zpQoq1k 6.4まだー? : [] 2020/01/15(水) 12:30:29.48:7zpQoq1k 6.3でした : [sage] 2020/03/03(火) 01:45:57.20ID:??? 6.3は出ない : [sage] 2020/03/04(水) 21:53:04.24ID:??? 30Eのforticare 1yr 8時間x5日とかの安いライセンスをebayから買って更新しようとしたら$200とか高いのしか売ってなかったけど、最近方針って変わったのでしょうか? もっともebayは時々品切れになるから、待ってると復活したりしますが、値上げされると困ります。 firewall.comなら普通に安いのですが、こちらから買ったことがないので評判探してます。 : [sage] 2020/03/05(木) 08:57:09.61ID:??? 家で使ってる50Eは本体も更新ライセンスもここで買ったけど特に問題は無かったよ ttp://jump.5ch.net/?https://www.avfirewalls.com/ : [sage] 2020/03/06(金) 17:17:38.70ID:??? 100Dと60Eが同じ値段だったらみんなどっち買う? : [sage] 2020/03/06(金) 22:46:41.95ID:??? どちらも買わずに吉原に行く : [sage] 2020/03/10(火) 04:26:04.38ID:??? >859 レストン 其処でライセンス買ってみたけど、注文はキャンセルされました。 理由は、お前はウチから本体買ってないから登録されてない、からだそうです。 当然、fortinetには2台も登録済なんですけどね。 : [sage] 2020/03/10(火) 11:34:23.00ID:??? fortiはlicenceがクソ : [sage] 2020/03/10(火) 22:37:52.33ID:??? 米とかドイツの尼でもFC-10-0030E-311-02-12は品切れみたい。 なんかサービス体系変えてきそう。 ebayでJPY 18,774てのがあったけど、どうするか。ライセンス切れはまだ先だけど。 : [sage] 2020/03/19(木) 10:48:43.53ID:??? FTPで嵌っていて、どうにも解決できない為お聞きしたく。 #どういう訳かngワードに引っかかって、全文を書けないので 分割して書き込みます。 : [sage] 2020/03/19(木) 10:52:03.55ID:??? (続き) 現在FG60Eという機種が入っていて、NATで運用しています。 firewallの内側からFTP接続するのですが、接続は出来るものの、 ファイルアップロードでかなりの確率で失敗します。(続く) : [sage] 2020/03/19(木) 10:56:15.74ID:??? (続き) FTPサーバはAWSでvsftpdを使用しています。 highポートは、fortigate、EC2とも1024-65535全てを 開けて見ましたが結果は変わらず。 DMZからFTP接続すると問題なくファイル送受信出来るので 何か設定が間違ってると思うのですが、vsftp側の設定も含めて ご教示頂ければ嬉しいです。 : [sage] 2020/03/19(木) 19:40:08.77ID:??? ftpはpassive mode? : [sage] 2020/03/19(木) 20:04:17.87ID:??? そうです。 : [sage] 2020/03/19(木) 23:30:15.07ID:??? パッシブやめたら? : [sage] 2020/03/20(金) 00:15:20.65ID:??? FTP でウイルス対策を有効にしていると REST コマンドを通してくれない。 ttp://jump.5ch.net/?https://kb.fortinet.com/kb/documentLink.do?externalID=10834 : [sage] 2020/03/20(金) 00:35:59.98ID:??? ありがとうございます。 連休明けに設定確認してみます。 : [] 2020/03/31(火) 23:33:02.49:vALh/NWB 質問なのですが。 LAN内の、FortiGateの真下などに 別メーカーのUTMを入れるセキュリティ強化は 企業ではあまりやらないのでしょうか? UTM2段構えとか、より安全そうなイメージですが・・ : [sage] 2020/03/31(火) 23:48:56.00ID:??? イメージ。 : [sage] 2020/04/01(水) 00:19:41.05ID:??? ハイエンドな環境だと、パフォーマンス重視で用途で分ける場合があるのでは? L4ACLはFortiで、サンドボックスはFireEyeにしたりとか : [sage] 2020/04/01(水) 00:58:08.29ID:??? UTM2段で入れるくらいなら冗長構成取るんじゃないかな UTM2段、且つ冗長構成を取るってブルジョワなユーザならともかく : [] 2020/04/01(水) 08:30:51.95:e1ZJH4yg 別メーカー多段だと、シグネイチャベースのIPSやアンチウイルスなら 効果ありそうな気もするけど、どうなんだろうね? : [sage] 2020/04/01(水) 20:00:53.55ID:??? 金をどぶに捨てるくらいなら意味がある : [sage] 2020/04/01(水) 20:25:48.26ID:??? 多段UTMとか誤検知やらなんやらでトラシューが大変になる未来しか見えない : [] 2020/04/02(木) 15:23:51.57:16WubaHP 当方は、 fortigate 60Fをルーターのみで利用、配下でfortigate 100eをトランスペアブリッジとセキュリティ検疫で利用してます。 : [sage] 2020/04/02(木) 22:25:17.09ID:??? ブラックリストで重ねる位ならホワイトリスト一重かな ホワイトリストで重ねるなら効果あるだろうが設定が面倒くさいし 重ねるだけ可用性下がるが冗長構成にすれば金もかかる ユーザーなり接続数ベースのライセンス形態と違って FortiはHWベースなんで冗長組むと比例して高くつく : [sage] 2020/04/03(金) 04:39:52.34ID:??? Forti以外でもHWを冗長構成で2個並べればその分の費用はかかると思うけどな : [sage] 2020/04/03(金) 07:49:14.54ID:??? 2台分のライセンスより1台分+HAライセンスの方が安いって話じゃない? : [sage] 2020/04/03(金) 16:47:05.73ID:??? utmの管理者を翻弄するクラウド。 ホワイトリストもブラックリストもガンガン増える。 : [] 2020/04/03(金) 22:41:50.27:Z6w6y++G 今は、セグメントUTMとかLAN内に階層で置いてるよね? : [sage] 2020/04/04(土) 16:16:58.75ID:??? 同じ製品の型番のfortigateとfortiwifiってファームウェアのイメージ同地物使えるの?やっぱりだめ? : [sage] 2020/04/04(土) 17:07:42.06ID:??? だめ : [sage] 2020/04/04(土) 19:12:00.80ID:??? ありがとう。たすかりました。 : [] 2020/04/06(月) 19:35:33.32:6LoJytDx fortigateのSSL-VPNでAD参加のために DNSをADサーバー2台が先にくるように設定しているんですが 拠点内サーバーへのアクセスのためにWS01 192.168.0.254 みたいなのをFortigateのDNSとして登録して先にこさせることって可能でしょうか? その場合、多分DNSリレーが必要だと思うんですけど、先に挟み込みができるのか GUIいじってみましたけどよくわからず・・・。 機種は60Dと50Eです。 : [sage] 2020/04/06(月) 20:51:52.11ID:??? 日本語で頼む : [] 2020/04/06(月) 22:55:50.07:16mjvFmK Fortigateのクラウドサンドボックスって 検査中のファイルをFortigateで止めとく事できるのでしょうか? とりあえずは、クライアントに流れるのかな? ソニックウォールのサンドボックスは検査完了まで 止められるみたいですが。 : [sage] 2020/04/07(火) 01:52:55.04ID:??? FGのDNS参照先として特定のサーバを登録したければ、ネットワーク>DNSから設定可能です SSL-VPNのAD参加の下りがわかりませんが、SSL-VPN接続してきたユーザに特定のDNSサーバのアドレスを 払い出すことは可能です。 クライアントに流れるはず 検査完了で止めておくとセッションタイムアウトになるし : [sage] 2020/04/07(火) 13:44:21.44ID:??? 結果報告が遅れて申し訳ない。ビンゴでした。 機能をオフにしたら、問題が解消されました。 情報をありがとうございました。 : [sage] 2020/04/08(水) 03:38:11.01ID:??? ADサーバー側のDNSサーバーにルートヒントぶち込んでフルサービスリゾルバの役割も担わせれば良い : [sage] 2020/04/08(水) 11:49:44.84ID:??? それは設定しています。ありがとうございます。 もともとADサーバー2つをリモートクライアントのDNSとして登録しています。 この構成だと、VPN越しにAD参加が可能なのです。 で、ぶっちゃけADサーバーにレコード登録すればいいだろってのはあるんですが [クライアント]---[FG50E]--[ADサーバー]--[PublicDNS] という流れでFGにはDNSをリレーしてもらうようにするとして 1.これでAD参加可能か? 2.FG独自で名前登録して、そのFGを置いているところでだけ使えるレコードとして 使えないか? というところが聞きたいところです。 拠点内だとNetBiosで名前解決していたようなものがVPN越しだと うまく動かず(そりゃそうですよね) hostsの登録も難しいようなのでFGでなんとかできないかな?と。 : [] 2020/04/08(水) 11:50:40.11:6Q+PU/sk ↑889です。専ブラ使わないとつらいですね。 : [sage] 2020/04/08(水) 20:12:14.67ID:??? DNS updateのフォワードはしない : [sage] 2020/04/09(木) 03:38:06.90ID:??? 誰か読解してくれ : [] 2020/04/09(木) 23:14:14.13:/y6gbGOT いまいちスループットの意味がわからないのですが ベストエフォート100Mbps回線の、ネット接続用で使う場合は ユーザー数が多くても、スループットはあまり気にする必要ないのでしょうか? : [sage] 2020/04/11(土) 13:12:56.52ID:??? 90D ライセンス切れ品が転がっていたから、SSL-VPN FortiClientのGWとして設定した。 テレワーク急に始める企業には神のような機械だな。 50人登録したけど何人まで使えるんだろう。
凡例:
レス番
100 (赤) → 2つ以上レスが付いている
100 (紫) → 1つ以上レスが付いている
名前
名無しさん (青) → sage のレス
名無しさん (緑) → age のレス
ID
ID:xxxxxxx (赤) → 発言が3つ以上のID
ID:xxxxxxx (青) → 発言が2つ以上のID
このページは2ch勢いランキング が作成したアーカイブです。削除についてはこちら 。