Network×Network目次

スポンサードリンク

Fortigate セッションピックアップ HA構成時に同期されるセッション情報

FortigateでHAを組んでる時にセッション情報を
スタンバイ機に引き継ぎたい場合は設定が必要である。

■GUIから設定
システム>設定>HA>クラスタ設定
[セッションピックアップを有効にする]にチェック入れる

セッションピックアップを有効にしてもすべてのセッション情報が
引き継がれるわけではないので注意が必要です。

同期されるセッション
・TCPセッション情報
・IPsec VPNセッション情報

同期されないセッション
・UDPセッション情報
・マルチキャストセッション情報
・ICMP
・SSL VPNセッション情報

■CLIから設定
config system ha
set session-pickup enable
end

以上。
TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | TrackBack(0) | Fortigate | このブログの読者になる | 更新情報をチェックする

Forticlient 接続できない

お客さま先でFortigate60Dをリプレース。
特に問題なく終わろうとしてた矢先に「VPNが繋がりません」
って言われた。

自分のPCをWiFiに接続してVPN接続。
あれ!?普通に繋がるぞ。

調べてみるとすぐにわかった。。
お客さま環境ではどうやら接続に古いFortiClientを
使用してるようだ。

今回リプレースしたFortigateは5.4と新しい。

[接続OK]
FortiClient5.4 ⇒ FortigateOS5.4
FortiClient5.4 ⇒ FortigateOS4.0

[接続NG]
FortiClient4.0 ⇒ FortigateOS5.4

新しいFortiClientからだと古いFortigateOSに
接続することは可能でした。
まー何にせよ最新バージョンを使いなさいってことね。

FortiClientダウンロード
http://www.forticlient.com/#download
TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | TrackBack(0) | Fortigate | このブログの読者になる | 更新情報をチェックする

Fortigate config error log

Fortigateのファームウェアをアップデートすると大概
下記のようなエラーが表示されている。

The config file may contain errors,
Please see details by the command 'diagnose debug config-error-log read'

GUIでアップデートすると特に問題なくアップデートが
終了してるように見えるのだがコンソールを接続しながら
アップデートすると表示される。

[コンフィグエラー確認]
Fortigate#diagnose debug config-error-log read
>>> "next" @ root.firewall.policy.13:failed command (error 1)
>>> "set" "gui-location" "disk" @ root.log.setting:command parse error (error -61)

上はポリシーのエラーのようである。
どうやらSSL-VPNの設定は見直しが必要なようである。

下はローカルディスクがログ取得先になっていたので
エラーになっている。最近のFortigateはログ取得先が
メモリとなるためである。

とりあえずファームウェアのアップデートは成功してる
のだがチョコチョコ変更はあるようである。。。
TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | TrackBack(0) | Fortigate | このブログの読者になる | 更新情報をチェックする

FortiOS 5.4

久しぶりにFortigateを触ってみた。
こんだけ機能ついててこの値段だと流通するわけだ。
ってことで早速コンソールケーブルを接続してログイン。

FortiOS Firmware
あれっ!?なんか色が緑色になってる!!
なんじゃこりゃー

FortiOS Firmware
基本的にDashboardは変わっていないが
やはり色が気になる。。。

FortiOS Firmware
ポリシーも緑。時代が変われば色も変わるんだな。

FortiOS Firmware
とりあえずFortiOSのダウングレードを実施。
簡単にできました〜

TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | TrackBack(0) | Fortigate | このブログの読者になる | 更新情報をチェックする

Fortigate MTU Size 変更

FortigateのMTUサイズをCLIから変更。
これは知ってて損ない。
ってかこういう設定はやっぱりCLIからしか出来ないのね。
GUIからも変更できるようにして〜笑

ちなみにFortigateのデフォルトMTUサイズは1500。
設定はインターフェースに対して行います。

[MTUサイズ変更(WAN1)]
1.TeraTerm接続
2.MTUサイズ確認
FG # config system interface
FG (interface) # edit wan1
FG (wan1) # show
config system interface
edit "wan1"
set vdom "root"
set ip 1.1.1.1 255.255.255.255
set type physical
set snmp-index 3
next
end
FG (wan1) #
※何も記載がないのでデフォルトの1500となっている。

3.MTUサイズ変更
FG # config system interface
FG (interface) # edit wan1
FG (wan1) # set mtu-override enable
FG (wan1) # set mtu 1454
FG (wan1) # end
FG #

4.MTUサイズ変更後確認
FG # config system interface
FG (interface) # edit wan1
FG (wan1) # show
config system interface
edit "wan1"
set vdom "root"
set ip 1.1.1.1 255.255.255.255
set type physical
set snmp-index 3
set mtu-override enable
set mtu 1454
next
end
FG (wan1) #

これで変わりました!
よかった。よかった。。

TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | TrackBack(0) | Fortigate | このブログの読者になる | 更新情報をチェックする

Fortigate CLI 稼働時間

Fortigateの稼働時間を調べるCLIコマンド。

1.TeraTerm接続
2.稼働時間確認
FG # get system performance status
CPU states: 0% user 0% system 0% nice 100% idle
CPU0 states: 0% user 0% system 0% nice 100% idle
Memory states: 20% used
Average network usage: 0 kbps in 1 minute, 0 kbps in 10 minutes, 0 kbps in 30 minutes
Average sessions: 1 sessions in 1 minute, 0 sessions in 10 minutes, 1 sessions in 30 minutes
Average session setup rate: 0 sessions per second in last 1 minute, 0 sessions per second in last 10 minutes, 0 sessions per second in last 30 minutes
Virus caught: 0 total in 1 minute
IPS attacks blocked: 0 total in 1 minute
Uptime: 0 days, 0 hours, 37 minutes

FG #

これで起動時間も確認できます。
たまーに知りたくなります(笑)
TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | TrackBack(0) | Fortigate | このブログの読者になる | 更新情報をチェックする

Fortigate CLI syslog 設定

Fortigateでログの保存先にお困りの方が多いのでは
ないでしょうか!?

Fortigateログを有効にする方法

最近の仕様ではハードディスク保存は推奨されていない。
メモリだとすぐにログが消えていってしまう。
FortiCloudは登録すれば無料で使用できるが容量は限られている。
となると自分でSYSLOGサーバーをたてるのが一番かな。
ってことで設定することにした。

[SYSLOG設定方法]
1.TeraTerm起動
syslogの設定はGUIで出来ないのでCLIで設定します。

2.syslog確認
FG # config log syslogd setting
FG (setting) # show
※最初は何も表示されない

3.syslog設定
FG # config log syslogd setting
FG (setting) # set status enable
FG (setting) # set server 192.168.1.11
FG (setting) # end
FG #

4.syslog設定後確認
FG # config log syslogd setting
FG (setting) # show
config log syslogd setting
set status enable
set server "192.168.1.11"
end
FG (setting) #

これでsyslogサーバー(192.168.1.11)にログを飛ばす
ことができます。障害が起きても安心ですね〜



TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | TrackBack(0) | Fortigate | このブログの読者になる | 更新情報をチェックする

Fortigate スタティックルート

FortigateのWAN1とWAN2を同時に使用する方法。
WAN1はインターネットへ接続→デフォルトGW
WAN2は拠点へ接続→スタティックルート
Fortigate スタティックルート

拠点BのFortigateBはデフォルトゲートウェイ(出口が一つだけ)に
なっているので特に設定上問題はない。

拠点AのFortigateAはインターネット(WAN1)と
拠点B(WAN2)に繋がるのでルーティングを設定しましょう。

通常インターネットに接続する出口をデフォルトゲートウェイに設定します。
なので拠点Bへ接続する出口はスタティックルートで設定。

[FortigateA]
1.スタティックルート追加
ルータ>スタティック>スタティックルート>Create New
Fortigate スタティックルート

2.スタティックルート設定
宛先IP/マスク:10.1.2.0/255.255.255.0
デバイス:wan2
ゲートウェイ:192.168.1.1
Administrative Distance:10(default)
プライオリティ:0
OK
Fortigate スタティックルート

3.スタティックルート確認
追加でスタティックルートが表示されてます。
Fortigate スタティックルート

PPPoEで接続されたWAN1は自動的にデフォルトゲートウェイになります。
TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | TrackBack(0) | Fortigate | このブログの読者になる | 更新情報をチェックする

Fortigate FortiOS Upgrade Paths

Fortigateのファームウェアアップデートパスとなります。
ちゃんとベンダーが推奨してる方法を実施してFortiOSの
アップデートを行いましょう!!
Fortigate FortiOS Upgrade Paths

古いファームウェアほど多くのFortiOSファームウェア
アップデートパスを踏む必要があるのでちゃんと
Fortinetクックブックで確認しましょう!

Supported Upgrade Paths – FortiOS

Supported Upgrade Paths – FortiOS Upgrading to 5.4



TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | TrackBack(0) | Fortigate | このブログの読者になる | 更新情報をチェックする

Fortigate NAPT IPマスカレード

一般的にLAN側からWAN側(インターネット)へ通信を
行うときはNAPT(IPマスカレード)設定を行います。

これはWAN側のグローバルIPアドレス1つに対してLAN側の多くの
プライベートIPアドレスを割り当てるための設定となります。

[設定]
1.ポリシー作成
ポリシー&オブジェクト>ポリシー>IPv4
入力インターフェース:internal1
送信元アドレス:all ←セキュリティを気にするなら範囲を指定
出力インターフェース:wan1
宛先:all ←wan側はどこでも見れるようにall
スケジュール:always
サービス:ALL
アクション:ACCEPT
ファイアウォール/ネットワークオプション
NAT有効 ON
OK
Fortigate napt ipマスカレード
※NAT有効がNAPT(IPマスカレード)設定となります!!

Fortigate napt ipマスカレード
緑のチェックで有効と入ってるのでNAPT(IPマスカレード)が
有効になっております。

これでインターネットサーフィンもスイスイですね☆
TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | TrackBack(0) | Fortigate | このブログの読者になる | 更新情報をチェックする

ブログパーツ
login

無料レンタル
login