Network×Network目次

スポンサードリンク

Fortigate CLI routing table

Fortigateでコマンドラインから
ルーティングテーブルを確認する方法!!

ネクストホップというものはいつになっても
気になります。

[Fortigate Routing確認]
Fortigate#get router info routing-table all
Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP
O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default

S* 0.0.0.0/0 [10/0] via 192.168.1.254, wan1
C 10.1.100.0/24 is directly connected, port1
C 10.2.200.0/24 is directly connected, port2
S 10.10.1.1/32 [10/0] via 10.10.3.1, wan1

こんな感じで表示されます。
allではなくstatic, connectedやプロトコルを
指定して表示させることもできます!!

以上。
TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | Fortigate | このブログの読者になる | 更新情報をチェックする

Fortigate CLI traceroute

Fortigateのコマンドラインからtracerouteを実行!

[Fortigate CLI traceroute]
fortigate#execute traceroute 192.168.1.1
traceroute to 192.168.1.1(192.168.1.1), 32 hops max, 84 byte packets
1 10.100.100.254 0.797 ms 0.828 ms 2.170 ms
2 172.16.10.100 2.321 ms 0.415 ms 0.196 ms
3 172.16.10.1 3.311 ms 1.234 ms 2.232 ms
4 192.168.1.1 5.234 ms 8.297 ms 2.333 ms
fortigate#

こんな感じで表示されます。
PINGやtracerouteは非常に便利なコマンドなので
必ず覚えておきましょう!!

ちなみにtracerouteとtracertは正確には違います。

TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | Fortigate | このブログの読者になる | 更新情報をチェックする

Fortigate CLI ntp コマンド

Fortigate100DにてコマンドでNTP設定

[NTPサーバ指定設定]
Fortigate#config system ntp
Fortigate(ntp)#set ntpsync enable
Fortigate(ntp)#set type custom
Fortigate(ntp)#config ntpserver
Fortigate(ntpserver)#edit 1
Fortigate(1)#set server "131.107.1.10"
Fortigate(1)#end
Fortigate(ntp)#set interface "port2"
Fortigate(ntp)#end
Fortigate#

これでNTPクライアントとして動作します。
port2から131.107.1.10(アメリカNIST)へ時間を
デフォルトの1分間隔で確認しに行きます。
設定が正常にされているか確認しましょう。

[NTPサーバ設定確認]
Fortigate#config system ntp
Fortigate(ntp)#show
config system ntp
set ntpsync enable
set type custom
set syncinterval 60
config ntpserver
edit 1
set server "131.107.1.10"
next
end
set server-mode enable
set interface "port2"
end
Fortigate(ntp)#

NTPが有効になっているかどうかは以下でも確認できます。
NTP確認その1
Fortigate#get system ntp
ntpsync : enable
type : custom
syncinterval : 60
ntpserver:
== [ 1 ]
id: 1
source-ip : 0.0.0.0
server-mode : enable
interface:
== [ port2 ]
interface-name: port2

NTP確認その2
Fortigate#show system ntp
config system ntp
set ntpsync enable
set type custom
set syncinterval 60
config ntpserver
edit 1
set server "131.107.1.10"
next
end
set server-mode enable
set interface "port2"
end
Fortigate#

問題なく設定されていますね。
次は正常にNTPアップデートできているか
確認してみましょう。

[NTP同期確認]
Fortigate#diagnose sys ntp status
server (time-nw.nist.gov) 131.107.1.10 -- Clock is synchronized
server-version=4, stratum=1
reference time is ********.* -- UTC Mon Oct 12 00:00:00 2017
clock offset is -*.****** sec, root delay is 0 msec
root dispersion is 0 msec, peer dispersion is 10 msec

こんな感じで確認できます。
障害が発生したときなどログを見る上でも時間は
かなり重要になってきます。必ず時計は合わせておきましょう!!

TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | Fortigate | このブログの読者になる | 更新情報をチェックする

Fortigateとは

FortigateとはFortinet社が販売している
ファイアウォールである。

これ一台あれば大概のセキュリティ対策はできてしまう
非常に便利な優れものなのである!!

SSL-VPN冗長化UTM機能SSLオフロード
もちろんファイアウォールとしての基本的な機能や
ルーティングとオールマイティな力を発揮してくれる。

PPPoEなどの設定も可能なのでインターネットに接続する
最前線に設置して魑魅魍魎の世界から社内ネットワークを
がっちりと守ってもらいましょう!!

ここまで色んな設定ができるってことはさぞお高いんでしょう!?
と思う方も多いかもしれませんが意外とお安いんです。
もちろん個人的に家に導入を考えているのであれば多少高く
感じるかもしれません。そんな人いるのか??
ちなみに俺もフォーティゲートは持ってません。。。
人気商品だから中古でも出回らないんだよな〜

会社でセキュリティを強化するために導入するのであれば
FG60Dの10万(1年保守料込)は破格ではないでしょうか。
お勧めはもちろん100D以上の機種です。

CLIからしか設定できない機能もありますが
代替はGUIから設定可能なのである程度の知識が
あれば導入は可能だと思います。
無理だった場合は業者に依頼するか勉強しましょう!!

ってことで最近ファイアウォールを導入するときは
いの一番でFortigateをお薦めしております。
TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | TrackBack(0) | Fortigate | このブログの読者になる | 更新情報をチェックする

Fortigate セッションピックアップ HA構成時に同期されるセッション情報

FortigateでHAを組んでる時にセッション情報を
スタンバイ機に引き継ぎたい場合は設定が必要である。

■GUIから設定
システム>設定>HA>クラスタ設定
[セッションピックアップを有効にする]にチェック入れる

セッションピックアップを有効にしてもすべてのセッション情報が
引き継がれるわけではないので注意が必要です。

同期されるセッション
・TCPセッション情報
・IPsec VPNセッション情報

同期されないセッション
・UDPセッション情報
・マルチキャストセッション情報
・ICMP
・SSL VPNセッション情報

■CLIから設定
config system ha
set session-pickup enable
end

以上。
TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | TrackBack(0) | Fortigate | このブログの読者になる | 更新情報をチェックする

Forticlient 接続できない

お客さま先でFortigate60Dをリプレース。
特に問題なく終わろうとしてた矢先に「VPNが繋がりません」
って言われた。

自分のPCをWiFiに接続してVPN接続。
あれ!?普通に繋がるぞ。

調べてみるとすぐにわかった。。
お客さま環境ではどうやら接続に古いFortiClientを
使用してるようだ。

今回リプレースしたFortigateは5.4と新しい。

[接続OK]
FortiClient5.4 ⇒ FortigateOS5.4
FortiClient5.4 ⇒ FortigateOS4.0

[接続NG]
FortiClient4.0 ⇒ FortigateOS5.4

新しいFortiClientからだと古いFortigateOSに
接続することは可能でした。
まー何にせよ最新バージョンを使いなさいってことね。

FortiClientダウンロード
http://www.forticlient.com/#download
TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | TrackBack(0) | Fortigate | このブログの読者になる | 更新情報をチェックする

Fortigate config error log

Fortigateのファームウェアをアップデートすると大概
下記のようなエラーが表示されている。

The config file may contain errors,
Please see details by the command 'diagnose debug config-error-log read'

GUIでアップデートすると特に問題なくアップデートが
終了してるように見えるのだがコンソールを接続しながら
アップデートすると表示される。

[コンフィグエラー確認]
Fortigate#diagnose debug config-error-log read
>>> "next" @ root.firewall.policy.13:failed command (error 1)
>>> "set" "gui-location" "disk" @ root.log.setting:command parse error (error -61)

上はポリシーのエラーのようである。
どうやらSSL-VPNの設定は見直しが必要なようである。

下はローカルディスクがログ取得先になっていたので
エラーになっている。最近のFortigateはログ取得先が
メモリとなるためである。

とりあえずファームウェアのアップデートは成功してる
のだがチョコチョコ変更はあるようである。。。
TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | TrackBack(0) | Fortigate | このブログの読者になる | 更新情報をチェックする

FortiOS 5.4

久しぶりにFortigateを触ってみた。
こんだけ機能ついててこの値段だと流通するわけだ。
ってことで早速コンソールケーブルを接続してログイン。

FortiOS Firmware
あれっ!?なんか色が緑色になってる!!
なんじゃこりゃー

FortiOS Firmware
基本的にDashboardは変わっていないが
やはり色が気になる。。。

FortiOS Firmware
ポリシーも緑。時代が変われば色も変わるんだな。

FortiOS Firmware
とりあえずFortiOSのダウングレードを実施。
簡単にできました〜

TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | TrackBack(0) | Fortigate | このブログの読者になる | 更新情報をチェックする

Fortigate MTU Size 変更

FortigateのMTUサイズをCLIから変更。
これは知ってて損ない。
ってかこういう設定はやっぱりCLIからしか出来ないのね。
GUIからも変更できるようにして〜笑

ちなみにFortigateのデフォルトMTUサイズは1500。
設定はインターフェースに対して行います。

[MTUサイズ変更(WAN1)]
1.TeraTerm接続
2.MTUサイズ確認
FG # config system interface
FG (interface) # edit wan1
FG (wan1) # show
config system interface
edit "wan1"
set vdom "root"
set ip 1.1.1.1 255.255.255.255
set type physical
set snmp-index 3
next
end
FG (wan1) #
※何も記載がないのでデフォルトの1500となっている。

3.MTUサイズ変更
FG # config system interface
FG (interface) # edit wan1
FG (wan1) # set mtu-override enable
FG (wan1) # set mtu 1454
FG (wan1) # end
FG #

4.MTUサイズ変更後確認
FG # config system interface
FG (interface) # edit wan1
FG (wan1) # show
config system interface
edit "wan1"
set vdom "root"
set ip 1.1.1.1 255.255.255.255
set type physical
set snmp-index 3
set mtu-override enable
set mtu 1454
next
end
FG (wan1) #

これで変わりました!
よかった。よかった。。

TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | TrackBack(0) | Fortigate | このブログの読者になる | 更新情報をチェックする

Fortigate CLI 稼働時間

Fortigateの稼働時間を調べるCLIコマンド。

1.TeraTerm接続
2.稼働時間確認
FG # get system performance status
CPU states: 0% user 0% system 0% nice 100% idle
CPU0 states: 0% user 0% system 0% nice 100% idle
Memory states: 20% used
Average network usage: 0 kbps in 1 minute, 0 kbps in 10 minutes, 0 kbps in 30 minutes
Average sessions: 1 sessions in 1 minute, 0 sessions in 10 minutes, 1 sessions in 30 minutes
Average session setup rate: 0 sessions per second in last 1 minute, 0 sessions per second in last 10 minutes, 0 sessions per second in last 30 minutes
Virus caught: 0 total in 1 minute
IPS attacks blocked: 0 total in 1 minute
Uptime: 0 days, 0 hours, 37 minutes

FG #

これで起動時間も確認できます。
たまーに知りたくなります(笑)
TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | TrackBack(0) | Fortigate | このブログの読者になる | 更新情報をチェックする
ビットコイン取引高日本一の仮想通貨取引所 coincheck bitcoin


ブログパーツ
login

無料レンタル
login