Fortigateについて語ろう6

FortiGateシリーズは、ネットワーク全体を総合的に保護するハードウェアベースの
ネットワーク・プロテクション・ゲートウェイ（NPG）です。
Fortinet社独自開発のABACASTM(Accelerated Behavior and Content Analysis System)
テクノロジと独自のASIC（FortiAsic）ベースアーキテクチャを採用した、次世代
ネットワークプロテクション・アプライアンスです。
ファイアウォール、不正侵入、VPN、トラフィックシェーピングなどネットワークレベル
のサービスに加え、ウィルスプロテクションやコンテンツフィルタリングなどの
アプリケーションレベルのサービス機能も搭載しており、効果的にネットワークを保護します。
FortiGateは、4種類のICSA認定取得をしています。
アンチウイルス、ファイアウォール、IPSec、IDS

セールスポイントは非常に魅力的ですばらしいのですが、
非常に個性的な製品ですので、皆さん助け合って安定稼働に努めましょう。

フォーティネットジャパン
http://www.fortinet.co.jp/
FortiProtect Center
http://www.fortinet.com/FortiProtectCenter/

質問する際には必ずFortiGateの機種、FortiOSのバージョン、 ネットワーク構成・環境を報告してください。

Fortigateについて語ろう5
https://mao.5ch.net/test/read.cgi/network/1593878325/

アラートメールってSQLインジェクション検知とかDDos攻撃検知とかも知らせてくれるの？

PaloAlto PA-220の電源なし動作未確認を買いました。
PA-220が一台あったので電源アダプタをつなぎました。
背面のランプはつきました。でも、全面のPWRも何も、何も。

待てど暮せどランプも点かず…ジャンク品として流すことにしました (T_T)

>>2
よく思うんだけど、Dos攻撃知ってどーするの？サービス再開出来る手段とかある？

Dosポリシーで落ちる前にしきい値で遮断するのでは？
だだ、全ポリシー有効にしてログを出すようにするとアラートメールが止まらなくなる。

FortiCloudの無償版提供もそろそろ部分的に終わる兆しがあるなぁ。
FortiOSも最新にすれば良い訳ではない。
そもそも定義体があがってなんぼだから。
なので、Upするとベース定義体のﾀｲﾑｽﾀﾝﾌﾟがやばいのよね。
V7.2.x V7.0.xはその辺改善してるけど。

OSも定義も最新にしないと
OSバグやセキュリティホールは定義では治らない

>7
まぁいまだに5.4がいるわけですよ。
6.x系も多いけど。

ランサムウエアの餌食

今安心なのは6.4と7だけだな
セキュリティ対策製品で1部のセキュリティホールにしか対応できないバージョンに意味なし
https://csps.hitachi-solutions.co.jp/fortinet/end_of_support.html

FortiSwitchのFortilinkが、いまいちしっくりこない。。。
なんだろう、スタンドアロンで動かせばいいんじゃないかと思ってしまう自分がいる。

最新と言っても7.2系入れちゃう奴はバグに苦しんでも自業自得だと思う

最新のメジャーバージョンは、修正されるまでしばらくお試しですよね。

心配しなくても日本の代理店は古くさいバージョンしかサポートしない

7.2でmaturity firmware levels入ったから
メインツリーで実験すんのやめたｗ

おいおいおいおい?!!!!!
cve-2022-42475

―――こうしてForigateを使用している百数十社の会社の顧客データは盗まれ、
社長は株価ダウンを恐れて隠蔽をし、顧客データは全て密かに中◯に高値で独占売買され、
サイバー部隊の日本人対策用データベースに保存されていくのだった。おわり

不具合多くね？

公式でSSLVPN機能使ってなければ大丈夫ってアナウンスして欲しいな

実は設定をoffにしてもポートが開いていて攻撃を受けるというオチだったりして

>>19
ソレは書き加えられた

60Dは解決不能？

こんな危なっかしいVPNじゃなくてIPA純正のシン・テレワークシステムでも使っとけ

そだねー

ユーザー向けにFORTIGATEのSSLVPN使ってる会社は無いだろうけど
管理者とか保守会社がメンテナンス用とかバックアップ用とかで結構使ってたりするんだよな～

>>19
公式に対策としてDisable SSL-VPNとあるけど

>>26
接続元絞るだけじゃ駄目なのかな？

バグ情報見てないからしらんけどEAP-TLSみたいなんて出来ないん？
それでダメならforti自体がアカンことになると思うんだけど

>>22
バージョン6.0系の修正が出る可能性あるみたいです。

CVE-2022-42475関連。参考まで

SSL-VPNの無効化方法。
https://community.fortinet.com/t5/FortiGate/Technical-Tip-nbsp-How-to-disable-SSL-VPN-functionality-on/ta-p/230801

怪しいログの確認コマンド。
https://community.fortinet.com/t5/FortiGate/PSIRT-Note-FG-IR-22-398-FortiOS-heap-based-buffer-overflow-in/ta-p/239420


攻撃を受けたかファイルの確認方法。
作成されてると不味いやつ。
https://community.fortinet.com/t5/Support-Forum/FortiOS-6-2-9-list-files-in-filesystem-CVE-2022-42475-FG-IR-22/td-p/239477

https://community.fortinet.com/t5/Support-Forum/Checking-the-FortiGate-OS-Linux-file-system/td-p/239622

>>25
使ってるわヤバ

>>28
認証なしでリモートからコマンド可能なので証明書は関係ないです。
しかも昔のバージョン5からなので致命的

6.0.16出たね

>>32
言葉足らずだったわ
VPNを証明書認証でやればええんちゃう？って言いたかった
出来るのかしらんけど

>>34
認証無しでも不正操作される問題に認証で対策するのか？

アクセス元制限では対応できないのだろうか？

SD-WAN機能触ってみたけどSD-WANとは名ばかりだな

そもそもファイアウォール自体がSDと言えなくもない。

普通のSD-WANベンダ製品が売れてるって話もあんまり聞かない
ブレイクアウト需要は多いけど

PaloaltoVM試用版って30日となっているけどいつから30日ですか？
インストールし直せば何度も使えますか？

FortiGateで0% nice ってなっているんですけど、ここのniceはシステム以外の優先度の
低いプロセスで使っているCPU使用率を表示させているのでしょうか？

# get system performance status
CPU states: 0% user 0% system 0% nice 100% idle 0% iowait 0% irq 0% softirq

https://scoutapm.com/blog/understanding-linuxs-cpu-stats-ja

nice値によって優先度が変わるというのは理解したように思えるのですが、
よく分からない。。。。

基本的に0%じゃないのかね

>>41
おそらくその認識かと思います。
公式見るとnice100％だけだとFortiGateの動作が停止してるようです。

https://docs.fortinet.com/document/fortigate/6.4.2/administration-guide/152469/troubleshooting-cpu-and-network-resources


Troubleshooting CPU and network resources
FortiGate has stopped working

If the FortiGate has stopped working, the first line of the output will look similar to this:

CPU states: 0% user 0% system 0% nice 100% idle

idleが100%かと思いましたが

>>46
idleの間違いですね。お恥ずかしい。
指摘ありがとうございます。

niceじゃないす

niceのパーセントが上がってる時って、ナイスじゃない事が
起きてるってことでOK？
優先度が何かしらで変わるって事は、優先度があがるようにCPU割り当ててる
感じか。

Fortinet JapanのSEさんって、めっちゃメール回答とか安心感ありますわ。
なんだろう、努力した時間の違いなのか？
ああいう、カッコいいSEになりたい。

代理店に問い合わせろ
という回答に安心感？

保守対応に該当する問い合わせは保守契約（保守体制フロー）に基づいて代理店に問い合わせてもらうしか無い
これはどこのメーカーも基本的には同じ

>>52
ほとんどのメーカーは直接やってるイメージ

>>53
障害対応のチケットオープンとかエンドユーザが直接メーカとやるかね
代理店、SIerに払ってる保守費は一体どこに消えていくのか

エンドユーザとメーカーで直接保守契約を結ぶことってダイレクトサポート（有償サポート）くらいかなぁ

>>53
どこのメーカー？

>>56
コンシューマー向けw

コンシューマ向けとかスレチもいいとこ

視野が狭い

例の病院のVPNでのランサムウェア被害って
使ってるの知ってて連絡の無い保守契約してる業者
イー加減にしろ

保守業者から？なんの連絡が来るの？

確認して対処できる人がいるならそもそもそんなことになってないねんな
ファルコンとかガチのハッカー雇ってるとこのサービス使えばええんや
じぇーくらーととかいううんちに頼るのは悪手

test

RSSとかでPSIRT情報来るからそういうのをIT/セキュリティ管理者は見ておかないといけないよねってだけの話なんだけど
全部丸投げしてるからねぇ

自分の仕事と契約内容がわかってないんだろう

保守ベンダーだって普通に連絡取る所多いだろ
ここで連絡取れないとような所は切られるからな
但し、ベンダーとの関係が悪かったり担当者に問題があったりすると別だが
病院系はヤバい担当者も居ると聞くからどっちが問題かはわからん

影響のデカいセキュリティホールなんかは
メールで連絡してくれてもいいんしゃね？
とは思う。
ベストエフォートで。

fortiguard PSIRTアドバイザリを見ないの？

>>68
Fortinet PSIRT notification mailで検索

情シスがそんなん見るかよ
インフラなんて業者任せや

あなた、怠惰ですねぇ

騒ぐだけしかできない管理者様ばかり

複数拠点でipsecVPN（アグレッシブモード）を行う時の設定をしてみたけど、このサイトでいうB拠点とC拠点の通信ができない（pingが通らない）のは仕様なんだろうか
scskのサポート担当に尋ねたらハブアンドスポークでやってくれと言われたが…
私はできるか出来ないかを聞いたんだがなぁ
普通のciscoルータやアライドルータだとできるのに
https://tec-world.networld.co.jp/faq/show/10151

debug flow取って調査すればいい

>>74
A拠点でB、C向けのIPSEC張れてるなら、B-C間ポリシーをA拠点に入れれば通信通りません？

>>76
ポリシーもあるけどB,C拠点のIPSecVPN Phase2設定内の送信先アドレスに双方拠点のアドレス入れる必要もあるね
自分の組んだ環境だと拠点間通信も問題ないわ
A拠点もBとの接続設定の送信元アドレスにCのアドレスを含める必要はある

>>76
>>77
レスありがとうございます
・A拠点にBC間のポリシー設定済み
・B拠点のポリシーに送信元C拠点のNWアドレスを設定 その逆も然り
・AにおけるAB間のIPsecのphase2の設定の送信元アドレスにC拠点のNWアドレス（AC間のIPsecの設定時に利用しているもの）の設定 BにおけるAB間のIPsecの設定の宛先アドレスにC拠点を設定してます （C拠点の場合も同様に設定してます）

時間があればwebGUIのスクショ載せます

納期近かったから、結局ハブアンドスポークで構築して納品したんですけど

ちなみに同じ設定で、どこの拠点もグローバルIPが固定だと通信できちゃいました 同じようにメッシュ型じゃなくA拠点中心のスター型で

後出しになって素人丸出しだけれどFortigate60f ファーム7.2.3です

fortigateのddns設定つかえば良かったかもしれんが、これはやってないです

ddns使わずに動的グローバルアドレス間のIPSECは出来ないのでは？

導入業者がコレかよ

そうだよ震えろ
日本のIT業界なんてこのレベルのが設計構築してんだ

>>81
片側が静的IPならIPSecアグレッシブモード使えば拠点側は動的IPでもDDNSは要らない
VPNセッション開始が拠点側からになるだけで通信自体はほぼ変わらん

動的グローバルアドレス間って書いてあるから

v7.2系使ってる時点でFortigate素人感漂うな
質問してるNetWorldはまだサポートしてないんだからまともな技術サポートを受ける権利が無くなるから本番環境で使うとかアカン

>>84

81です。
B拠点(動的)-A拠点経由(静的)-C拠点(動的)なら仰る通りですが、B拠点(動的)--C拠点(動的)でIPSEC接続されたいように見えます。


>>86
サポートはscskみたいですね。
サポートも新しいバージョンはバグがある可能性が高い事は教えてくれないんですかね。

逆にCiscoやアライドでどうやったら出来たんだろう

>>83
設定も切り分けも出来ない人が金取って設定してるとか怖すぎるよね
どこもそういった人しか居ないんだけどさ

>「私はできるか出来ないかを聞いたんだがなぁ」

このくらいのことを構築担当してる業者が訊くとかほんと終わってるのと
理解してない人って整理されて無くて何言ってるかわかんない質問投げてくるから回答する方も大変なんだよね

>>74
おまえこの構築でおいくら貰ってんの？

動的IP-動的IPでのIPsecVPN接続は可能だけど、1から説明しないと行けなさそうな感じなんで
おとなしくハブ＆スポークでやってって提案されたってとこかな

S○SKの技術サポートって他社と比べてどんな感じなんでしょうか？
以前問い合わせしたときに技術レベルに疑問を感じることがあって…

>>93
このシリーズには弱い印象

どこの業者も構築や設定差ボートはしません
故障時のサポートです
って言われた経験ある
そう言わんと設定をサポート二丸投げする奴らが居るんだろうな

「DDNS使えばいいですよ」って案内しても「DDNSってなんですか？」「どうやって設定するんですか？」ってくるのが見えてるからね

>>93
なるほど。そうっぽいですよね。

>>95
まぁ丸投げはダメでしょうね。
ただ故障サポートって言い切るのも少し違う気します(笑

>>97 の 1つめは >>94 様宛でした。
失礼しました。

プロフェッショナルサービス契約すれば

だいたいはお金（有償サポート or スキルのある人を雇う）で解決するんだよね

まぁそもそも製品独特の設定方法だの仕様だのを外部の人間に把握してろってのがおかしな話なんだ
そんなのfortiだのciscoだのが自社で大規模な部隊持っとけって話だけど現実それが無理だからサポートがあるわけで

SIerはそういったノウハウ/技術を提供することで顧客からお金をもらう体なんだけどね

>>101
マニュアルとか読まなさそう

>>102
違うが

構築はできないけど構築費用は貰います的な

顧客の要望を聴き取ってこういう設計のNWがありますよと提案し構築するのが仕事
ベンダー特有の技術を提供するわけではない

>>103
製品の内部資料とか公開してんの？
それどこのメーカーよ？(笑)

提案してる装置の設定を顧客の代わりに行ったり構築支援したりするのでそういった「技術」は提供してると思うよ
なので扱ってるベンダの装置の設定をある程度理解しておく必要はあるかと
「特有の技術」ってのが装置の設定のことを指してないと良いんだけど

流石に一般技術的な話とかマニュアル見ればわかる設定とかの話ではないな
例えばつい先日あった話だが某Ciscoの証明書期限切れによるOSイメージダウンロード検証不可の事象だって
OSダウンロードでスタックしてる、証明書が原因らしいってのまではログでわかるかもしれないけど
じゃあ何で証明書で認証できてないのとか実はMICとは別の物理的に焼き込まれた証明書でしたーとかCiscoのアナウンスが無いとわからない事だったし

>>109
特殊なものは資料も公開されてないからベンダ側で対処するしかないし、ベンダ側でも開発が調べないとわからなかったりするね
そういうのじゃなくて、受注していざ構築始めたら「実際に動かしたこと無いので設定よくわかりません」「一応設定してはみたけど期待どおりに動かないんです。なんでですか？」みたいなレベルの
業者様はちょっとご遠慮したいかなと思う

>>106
コンサルですか？

各ベンダ、製品ごとに装置の設定の仕方は異なるわけだから
そういうのがわかるのもベンダ特有の技術になるんかなと思った

ベンダごとの製品の特徴を知らないと構築どころかコンサルも無理なんだよなぁ

メーカじゃないから、そんなのわからなくても僕SIerだから悪くないもん！

って、主張するから子供と一緒と言われんじゃろ？わかる

SIer様もBP様、SES様だったりで

>>106
顧客の要望を聴き取って実現できるメーカの製品を選定/提案すると思ってましたが違うんですね
具体的な製品選定は誰がやるんでしょうね

美桜ちゃんはトランジスタグラマー

素人で申し訳なくこんな質問して怒られるかもしれませんが

60Fを利用しているのですが、
スタティックルートやファイヤーウォールポリシーの宛先にインターネットデータベースを使うと応答速度が低下する現象はあったりしますでしょうか。

設定に問題がなければそういったことはありません

FortigateではASICにオフロード出来ると思いますが、ASICの負荷が高くなった場合は、
CPU処理になるのでしょうかね？
例えば、NTurboが100%になったら、オフロード出来ずCPU処理になるという考えで良いでしょうかね。

しないんじゃない？

>>119
ご回答ありがとうございました！
助かりました！

ほのぼの

FortiGate 60E (7.2.1)でのIPv6について質問です。

フレッツ光ネクスト回線＋朝日ネットのv6契約にて下記のURLを参考に設定済みで、
Windows10/11、Android12/13は正常に外部とv6通信ができています。
https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-asahinet-v6connect-ipip.pdf

しかしiPhoneXS/SE2およびiPad mini4、macOS12/13だけ（要はApple製品）がv6で外部と通信できません。
v6アドレスおよびv6ゲートウェイアドレス、v6DNSアドレスをRAから取得済みなのに何故かvne-tunnel（v4 over v6）から外部に抜けます。

Apple製品のプライベートWi-FiをOFFにしたりMacbookで有線接続にしても同様でした。

ただ、FortiGateのwan1が取得しているグローバルv6アドレスに一度ping6コマンドを発すると、
その後は外部のv6サーバにping6が疎通するようになりv6のWebサーバなどにもアクセスできるようになります。
（test ipv6サイトでもOK判定になる）

バグなのか上記のPDFでは設定が足らないのか、どなたか同じような環境でv6で抜けられている人いませんか？

7.2.4に上げてみてください

7.2.4に上げてみたけど全く同じてすね。
FortiGateだとApple製品でv6できてる人いないんじゃないかなこれ。。

同じ環境でRTX1200だと問題無くv6使えるんですが他に色々便利だからFortiGateを使っていきたいなと。

NDPは有効にしてある？

してあったらごめんだけどセッションヘルパーで58ポート開けてあげて見てもダメかね？

ポートじゃないプロトコル

>>126

私はふつうに使えてますね。
iPhone / iPad / macOS それぞれ最新パッチ当て済

FOS は7.2.4 で、プロバイダは　Asahinet の ipv6 サービス

ちゃんとipv6テストサイトで、safari / Firefox / chrome / edge からipv6アドレスで接続出来ているのを確認できます

IPv6 tunnel はご提示の手順の方法ではありませんが、ipv6 native でアクセスする分には関係ありませんので、関連性はないかと

nd-proxyは有効にしてます。
session helperでプロトコル58は有効にしていませんが、設定しようにもポート番号指定が必須なので設定できず。

>>130
おお、もし良ければv6周りのconfigを教えてもらえませんか？
上のPDFで触れられてないものがあるでしょうか。
仰るとおりv6トンネルのds-lite部分は関係無いと思います。

InternalのmacOSやiPhoneからwan1のv6アドレスにping6するとv6ネイティブで外に通るようになるのがまた解せない。。

>131

Android や windows で通信できている、およびmacOS 側にもIPv6 アドレスが設定されているってことは、
普通のIPv6 設定は問題ないと思うので、macOSに関連するところなんじゃないかなーと思う。
どのIPを使って通信させるのかを判断するのはクライアントなので。

よくわからない状況だけど、ご要望の資料でしてない設定ということなので、ipv6 の delegated 設定と np proxy です
Nd proxy はしてそうなので(IPが振られているので)。手順書は、ipv6 tunnel を使ってIPv4 通信をさせることが目的だから
この辺の設定はしてないと思う。

ただ、IP振られてるなら通信できても良さそうだなぁとは思います。

蛇足ですがipv6 と ipv4 のポリシーは同じだったら分けたほうがいいと思う。
Ipv4 だとどうしてもNAT が必要になるので、ipv6 native でやりたいならnat 外したポリシーを作ったほうがいいかと思う。

下は、wan で IPv6 NDを受けて、lan へ委任する例（IPv6 のみ）

（抜粋）
config system interface
edit "wan"
config ipv6
set dhcp6-prefix-delegation enable
set autoconf enable
config dhcp6-iapd-list
edit 1
set prefix-hint ::/60
next
end
end
next
end

config system interface
edit "lan"
config ipv6
set ip6-mode delegated
set dhcp6-information-request enable
set ip6-send-adv enable
set ip6-manage-flag enable
set ip6-other-flag enable
set ip6-upstream-interface "wan1"
set ip6-delegated-prefix-iaid 1
set ip6-subnet ::/60
config ip6-prefix-list
edit ::/60
next
end
config ip6-delegated-prefix-list
edit 1
set upstream-interface "wan1"
set subnet ::/60
set rdnss-service delegated
end
next
end

参考になれば

ありがとうございます。

v4とv6のFWポリシーは分けてます。

頂いた参考設定ですが、これはひかり電話有りのタイプですかね？
後出しになってしまい恐縮なんですがこちらひかり電話を解約したのでHGWの下のFGはRAでv6アドレスを取得してます。

随分前にwan1でdelegateする設定をしたんですがうまくいきませんでした。
帰ったらリトライしてみます。

>>136
はい。光電話タイプです。

anonymous@fusianasan

FortiOS v7.4.2 build2571

自動アップデート機能って便利ですか？

リモートメンテ用に放置されてて侵入されるぐらいなら
自動アップデートがデフォルトでいいよねという
FG社の優しさ

中古で買ったFortigate60Fのライセンス買いたいんだけども
どうすればいいんだってばよ？

正規ルート外れた箱にライセンス売るとこは基本ないよ。

つまり今ある期限切れたら終わり？

Fortigateによる広告ブロックで快適age

fortigateでv6プラス固定IPを利用しています。
この固定IPで他拠点とIPsec VPNは構築できるますか？

おい、ファーム自動更新してるかねｲﾗｲﾗ

バグだらけ不具合だらけで品質管理やってないだろ
何回問い合わせさせるのか

>>146
できるよん

>>146
できますよ。やっています。

IPsec VPNの設定で教えてください。

Windows10と11のOS標準VPNクライアントでL2TP/IPsecに接続させたいのですが、
このページを参考に設定をして、クライアントが接続できるところまで確認しています。
https://www.nedia.ne.jp/blog/tech/2021/03/02/17467

VPNクライアント→fortigateのLAN側へのアクセスは出来ていますが、
fortigateのLAN側→VPNクライアントへの通信がうまくいきません。

クライアント側へ遠隔でサポートするために、LAN側からRDPなどでつなぎたいのですが
ポリシーの設定をどうすればよいのでしょう?

解説ページの真ん中のほうの、「�ALAN→WANのポリシー」の部分で、NATをonにしているので、
クライアント側へ接続できないのだと思いますが、NATをoffにすると
クライアント側からもfortigateのLAN側へ通信ができなくなってしまいます。

接続に使ってるIPが間違ってるんだろ

Windowsデフォルトの機能だからL2TP/IPsec使いたがる人はたまにいるけどFortiClientでも使っておいた方が無難かと
ここで訊くってことはどのみち保守とか入ってないんだし

FWポリシーで接続できるHP絞っているだけなんですが、ページはほぼ表示されつつもブラウザのタブバー部分だけ読み込みアイコンがやたら続くのは何故でしょうか
軽快で有名な阿部寛のHPはすぐ読み込み完了するのですが企業HPなどが大体この状態に陥ります

FortiOSの末尾が数字で終わってたりアルファベットだったりする意味はなんですか？

7.4.6F
7.4.7M
7.0.5

のFやMや何もついてなかったり

解決しました。
Fが新機能含むバージョンで、Mが含まないバージョンでした。

ブラウザのデバッグツールで確認

>>151
>fortigateのLAN側→VPNクライアントへの通信がうまくいきません。
もっと具体的に書こう
回線のプラン名とプロバイダのプラン名と接続方式も念のため書こう

>>154
ブラウザの開発者ツール/デベロッパーツールなどで確認しよう

とうとうライセンスが無いとファイルをアップしてのファームアップもさせてくれなくなったな

あと2年は戦えるﾋｬｯﾊｰ

ヤフオクで中古購入した場合、ライセンス購入はどこで行えば良いのでしょうか？
個人利用です

50Eのライセンス切れててもOpenWrt化は妨害されない？
問題ないならライセンス切れをポチろうかと

最新firm焼かれてるとダメ
fortiosですらダウングレード不可

FG50Eは6.2までしか出てないからファームウェアのアップロード更新時のライセンスチェックないよ

7系焼けないのか
ハコの余生に最適やんけ

なんでこのスレ賑わい無いの？

https://www.partian.co/download

設定ミスった？

ちなみに 60E 7.2.8 は代理店からもらったやつと同じだったわ

バグあり

7.6にした

中古で買ったんだけど、一週間ぐらい使ってたらLAN側からアクセス出来なくなった
LANからのPINGも通らないし再起動しても点灯はしてるけど反応なし
放置してたらPING通ってブラウザからアクセスだきたけどこれって壊れてるの買っちゃたのかな？

下記を調べてみる

クラッシュログ確認
diagnose debug crashlog read

メモリ負荷でコンサーブモードになってないか確認
diagnose hardware sysinfo conserve

それで問題なさそうならバグありのバージョンか壊れてるのかも。

7.6がポンコツだから7.5.5に戻した

ipかぶり
透過モード誤設定
端末でfgのmac見てりゃわかるんじゃ

>>173
サンクス調べてみる

ip被ってるならpingの当たりあるはずだけど
無反応だし一週間動いてかそれはないと思う

バグあった

>>172
>放置してたら
放置ゲート

ゴミゲート

>>173
diagnose debug crashlog readで調べてみたら
"Kernel enters memory conserve mode"が出てた
でもこれ対応方法どうしたらいいのか、また発生するし再起動じゃ繋がらなかったし

使ってるバージョンにバグがないかリリースノートを確認

それっぽいバグが無ければ負荷がかりそうなUTMとかの設定を止めてみる

OSバージョン7.4から7.2に下げたらメモリ使用20％下がったらそれで様子みてみる

7.4.4とかハズレっぽいよね
保守切れハコの締め出しとか相まって
エンバグしてそうなタイミング

60Fで7.6.0にしてWebコンソール開くとhttpdのCPU使用率が25%くらいのまま下がらない
んー、マンダム

欠陥品

内部から外部へのVPN接続を止める方法はないですか?

カテゴリフィルタを使用してるのですが、GoogleVPNやMcAfeeなどのセキュリティソフト付属のVPNを使用されるとカテゴリフィルタをくぐり抜けてしまいます。
従量制環境なので必要のない通信をブロックしたいのですが

vpnに使ってる60Eを6.4からバージョンアップすることになったけど行き先は7.4でいい？

いいよ

さんくす

7.6はまだやめとけ不具合がある
事実おれは7.4.5に戻した

60Eは良いですか？

このアンチウィルスって本当に効いてんのかなぁ
会社で入れたけどまったくひっかかってない

>>192
eicarでテストした？
設定ミスってんじゃない？

>>192
全く役に立たないよ

Fortigateは広告ブロックに最適（）

広告は通過し放題

フィルタ設定するに決まってんだろ間抜け

設定？ｗ

境界知能ですか？ｗ

https素通しなんだろ

アンチウイルス以前に
URLフィルタギチギチに絞め上げろ

締まりが悪い

ライセンス無しで入るのはどのバージョンまでなの？

バージョン8

放置ゲートってバグ多いよね
セキュリティ製品としてどうなのよ

ゴミです

完全にクソ
性能も悪い

単純ACL箱としてなら

7.4.6と7.6.1が出てた

予算不足で来年度からサポートに入れないんですが
ファーム最新版へのバージョンアップは出来るんでしょうか？

>>210

7.4以降は無理

https://docs.fortinet.com/document/fortigate/7.4.0/new-features/299518/prevent-fortigates-with-an-expired-support-contract-from-upgrading-to-a-major-or-minor-firmware-release

ありがとう
Higher patch buildへは更新出来るんですね
とりあえず一年それでお茶を濁して再来年の予算を工面するか転職先を見つけるかします

こんな程度も払えん会社はすぐに捨てるべき

FGを捨てよう

>>212
サポート期限切れてて再度延長するとき過去さかのぼって期限切れ日からの延長が必要だったかと思う。

半年分でいいみたい
https://www.scsk.jp/sp/fortinet/faq/

固定IP回線のFG-60Fの7.2.11に対して、iPhone15のiOS18.2でdocoomo5GからiOS native IPsecでVPN接続しようとするとphase2が確立できず、セッション張れないんですが、
5g系のモバイルネットワークで張れるんでしょうか？
iPhoneのネットワークを4Gに限定してもダメで、SSL-VPNは問題なく張ることができます。
あとiPhone11のdocomo4Gからはipsecで問題なくつながります。
Fortigateのフォーラムとか漁ってるんですが5gネットワークに関する内容見つけられず困っています。

なんで5Gが問題だと思ってんの？

Apple製品ならcisco vpnの方が相性が良い

>>217
iOS18.xのバグだったハズ

forti普段触らないから最近知ったんだけど、reverse shaperってどういう原理で実現してるの？インバウンドの帯域制御できる仕組みがよく分からん
わざと遅延させてTCPの輻輳制御使ってるのかとも思ったけど、それじゃUDP通信で使えないよな

>>220
iOS18.3.2にアップデートされたら接続できるようになりました！

>>222
GJ!

fortigate120G（7.4.5）て質問です。
KDDIのフレキシブルインターネット？10gていう回線なんですがうまくいかなくて
webにも情報が殆どなく・・・
一応ipoeのサービスでipv4 over ipv6でipv4は使用できそうなんです。
ipv6はDHCP-PDの設定で付与されてそうなんですがトンネルがうまく確立してないようでRXがまったく動いてません。
KDDIの回線情報にはトンネルipv4の固定アドレス、KDDIのルーターの方のipv6アドレス、インターフェイID、v6用アップデートURLが記載されています。
何か一手間たらないんですかね？
バージョン下げた方がいいかな？

>>224
このスレ放置ゲートだから、ちゃんと情報書かないと回答来ないと思うよ・・・
ちなみにあなたは素人さん？（嫌味とかじゃなくて）

質問
・KDDIのそのサービスの動作保証ルータの一覧に120Gは記載されてる？
・KDDIのそのサービスのIPoEの種類は？（MAP-EとかX'PASSとか）
・120Gの起動から接続完了〜通信開始までのログにエラーの類の記録は？
・RXとは？（質問時は下手に省略して書かないこと）
・他のルータRTX1300とかでは動作する？

訂正
誤：・KDDIのそのサービスのIPoEの種類は？（MAP-EとかX'PASSとか）
正：・KDDIのそのサービスのIPoEの種類は？（MAP-EとかDS-Liteとか）

まぁ単純にこの部分の設定が不足してるんだと思う
＞KDDIの回線情報にはトンネルipv4の固定アドレス、KDDIのルーターの方のipv6アドレス、インターフェイID、v6用アップデートURLが記載されています。

>>225
RXは受信じゃないかな。
diagnose ipv6 ipv6-tunnel listコマンド打って受信パケットが上がってないんだと思う。

>>224
diagnose ipv6 address listでwan側のipv6アドレスは取れてます？

どうせこういう質問者は二度と現れない

現れるかもしれないだろ

>>224
KDDIのフレキシブルインターネットてのがわからないけど
10Gbps回線て光クロスか?
そうだとするとONU直結では繋がらないぜ
HGWレンタルしないとな

なんでONU直結だと繋がらないの？
FortigateでIPoE接続（MAP-EやDS-Lite）出来るよ？
IPv4固定IPプランでも

>>230
ほらな
現れないだろ？

>>233
早漏すぎる

すいません、ご回答ありがとうございます、、、
WAN側はipv6取れてます。
ご指摘のMAPE等の接続方式の記載は一切ないのです。
普通確かにあると思うのですが・・・
ipアドレス等の記載のみです。
エラー内容は対抗先からのネゴシエートがないっぽい内容のエラーでした。
RXはトンネル内の受信パケット値でそれがまったくない状態です。
今現状はipv6はdhcp-pd、トンネルはDS rightの設定にしてます。

動作保証ルーターの情報はないようてず。
別の方がNEC.IXルーターで試しましたがやはりipv6では通信てきているようですがipv4で通信できないようです。ipv4 over ipv6トンネルがやはり確率していないぽい？

KDDIフレキシブルインターネットという名称らしく回線は選べるようでフレッツタイプを契約しているようです。
10g回線になるようです。
とにかく情報がない感じです。

検索したら法人向けのサービスって出てくるから営業に聞けばいいのでは

>>235
もしかしてNTTの人？

ほらな
質問ガン無視だろ
こういう奴はダメなんだよ

>>235
vneトンネルのモードってds-liteじゃなくて固定ipではダメ？

config system vne-tunnel
set mode fixed-ip

Fortinetにサンプルあるじゃん
https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-internet-multifeed-ipoe-fixed-ip_fos702.pdf

>>235
configにもこういうタイポしてんだろ
>DS right

キャリアではないですよ

営業には問い合わせしてもらう予定です。

>>241
こちらも試したのですがダメでした。

>>242
こちらの設定ではipv6がとれないです

こいつちょいちょいレス無視しててうぜえな
情報も出さないし

営業さんに聞くみたいだからもういいのかも。
情報出さなさ過ぎてエスパーしかできないし。

>>240
>>246
くやちいねｗ

ルーターもセットのサービスなんじゃねーの

>>248
ろくに知識もないのに売るべからず

なんでこんな情報ない回線契約すんだろね
普通にどっかのIPOEで十分はやいだろうに

>>251
KDDI系列の会社とかじゃない？

212ですが4月から転職することになりました
アドバイスいただいた皆様ありがとうございます
一人情シスだったので今後どうなるか判りませんが
引き継ぎ資料はきちんと作ったので後任は頑張って欲しい

また来世

229ですがクビになりました
当面は失業保険を使って生きていきます

>>255
229はおれだ
嘘つきは泥棒の始まりだぞ

>>256
既に255はお前を盗んだ後さ

90Gのファン音知ってる人教えてくれ
普通のご家庭に置いて我慢できる範囲？

俺は30Eでもクソうるさくて苦痛だった

うちの40Dがファンレスだから90Gに変えたらうるさいのかなぁと
とは言え10Gbps処理出来ないと交換する意味が…

60E、上げられるだけ上げてみたけど、7.4で終わりなんだね

90G客先に設置したことがある
音は覚えていないくらいだから大したことないかも

他の音にまぎれてたとかはなく？

小型ファンだから家庭で使うなら間違いなくうるさく感じる
鈍感な人なら話は別だが

>>263
そう言われてみればそれなりにうるさいマシン室だったかも

書き込みテスト

NECの10gルータの爆音に比べればマシ

RTX1300みたいにファン交換で静かになるならなぁ

うーん、この…

https://rocket-boys.co.jp/security-measures-lab/fortigate-zero-day-exploit-dark-web-sale/
FortiGateのゼロデイ脆弱性がダークウェブで販売か。
売っているようですが、どうでしょうか。

ダークウェブを直接見るのが良いでしょうね

FortiLinkがオフラインのままになってるんだが…

中古で買ったFortigateがライセンス切れちゃう
どうしたらいいの

個人で購入できる代理店に確認

個人で購入できる代理店名を詳しく

海外でファームウェアダウンロードできるサイトあるよ

日本で正規の流通を外れたFGの保守やライセンスを更新する方法はないよ。認定中古みたいな仕組みがないとこは全部同じのはずだけどな。

ライセンス移管できればワンチャンいけそうだけど。
https://www.fgshop.jp/fgshop-ky/fortigatelicense/

ライセンスなどいらん！

ライセンス無くてもファーム落ちてる

パロアルトも同じ感じ？

はい

最近のバージョンはライセンスがないとOS更新できないだろ。

更新などいらん！

VPNなど脆弱性ありまくり機能使わなければ更新し無くともいい気がする

Fortigateのライセンス料金を悪い払う代わりにミニPCを買ってOPNsenseを入れるといいよ

そうします

Fortigateのライセンス料金を払う代わりにOpenWrt入れるといいよ
50Eとか数機種に限られるけど

>>288
60Fは？

アホか

>>290
コミュ障

>>289
https://openwrt.org/toh/start

>>292
60Fは？

>>293
コミュ障害児

>>294
60Fは？

ライセンス切れた50EにOpenWrt入れた
なかなか良いな
OpenWrtはFRRやBIRDを追加できるしルータとしてかなり使えそう

50Eとかゴミじゃね

廃物を再利用できるって話だろ

>>297
ゴミはお前

>>299
何当たり前のことを言ってるんだ？馬鹿なのか？

ゴミが喋ったｗｗｗ

7.4.9ｷﾀｰ!

ライセンス切れたのにWebフィルターが機能してる
なぜなのか

ダウンロードした古い定義ファイルでフィルタが動いてるかと。
初期化すると消える

スタティックURLフィルタってライセンス切れてても使えるのか

なーんだ
ライセンス切れて使えなくなるのは
カテゴリベースのフィルタで
スタティックURLフィルタは使えるんじゃん

アップデータがないだけで動かなくなったらそれは製品じゃないよ

>>307
ライセンスって機能を使える期間であって
定義をダウンロードできる期間ではないのでは？

Fortigateに直接有線LANで接続しているPCがあるんだけど
DHCP取得に10秒くらい時間がかかるんだけど原因分かる人いたら教えて

10秒？

Windows11だったらDHCPのせい
固定IPにすればいい

WAN1(192.168.11.1/24)からinternal1(192.168.22.1/24)へPINGを打っても反応がないです
逆に
internal1(192.168.22.1/24)からWAN1(192.168.11.1/24)へPINGを打つと反応があります

原因分かれば教えてください

解決しました
静的ルートが間違っていました

>>310-311
インターフェースがVLANだと遅かった
ソフトウェアスイッチにしたらちょっと早くなったけどまだ遅い
internal*にしたら速くなった

ttps://csps.hitachi-solutions.co.jp/fortinet/data/info_20250905.pdf

サポートないならos強制アップデートwww
これは逆に嬉しいのでは？

嬉しくなくて草

嬉しすぎて草

みんなHAぐらい組んでるよねｶﾞｸﾌﾞﾙ

余裕で組んでる

自宅だけど4台でHAしてる（嘘

検証用の筐体が勝手に最新版に？
や、やめてくれ

古いの入れればァ？

タイプリストにハードウェアスイッチが表示されないの助けて

60Fから80Fに買い換えていい？

はい

ファームウェアアップデートくらいライセンス無しでも更新させろやｈｇ

>>326
お金がないならヤマハにすればいいじゃない

7.4.11にした

>>326
糞だよなぁ…

>>326
購入価格が上がってもいい？

>>329
TFTPで更新したら制限なかった
>>330
３倍でおk

60Fから80Fにすると速くなる？

3倍速くなる

本体が赤く塗られてんの？

はい

ツノの伸びてる

いつの間にかFortiOS 8.0出てたんだね

いろいろイジってたら30Eのファーム飛ばしてしまった

>>338
コンソールケーブルあれば復旧できるで

>>339
ファームがなくて戻せないんだ

アラビア文字のサイトかロシア語のサイトに落ちてる

>>339
詳細バージョン*.*.*いくつに戻したいの？
ライセンスは当然のように無いの？

>>342
5.4.1に戻したいんです
ライセンスは切れてます

>>343
コンソール接続して電源入れて止まるまでのログ全部見せてクレメンス
MACアドレスとかシリアルとかは*に置き換えてくれてOK

>>344
会社の30Eなので月曜日になりますがよろしくお願いいたします

なんかすげえ脆弱性出したらしいじゃん

フォーティーブリード