「Fortinet FortiGate」カテゴリーアーカイブ

【雑記】書きたかったこと。出来事。買ったものとか(2023年2月中旬〜7月中旬)

ども。こんばんは。

気づけば7月も半ば、猛暑ですね。。

溜まりに溜まった雑記です。

■マウスピースを入れる布(2023/02/18)

アクセサリーの保存・プレゼント用ポーチ ベロア調巾着袋 Lサイズ 黒×5枚セット/包装 ラッピング

Amazonで¥820。

Gottsuの付属のポーチ?の紐が切れてしまったので購入。
こういう袋ってなんていう商品なんだろう?と思ったらジュエリーケースとかアクセサリーポーチとかで検索したらいいみたい。

まぁまぁいい感じ。

■龍が如く 維新! 極(2023/02/27)

Amazonで¥6,291。

まだ途中までしかプレイしてない・・・。

■新しいマウスピース(2023/03/04)

詳しくは↓こちら

サックス練習 – 54 – 新しいマウスピースと音質改善への取り組み

■テンセグリティが体験できるブロック(2023/03/04)

ZHGONG 組み立てブロック玩具を構築する反重力デバイス、クリエイティブ・テンセグリティ彫刻小説物理学のバランスDIYおもちゃのレンガKinderrätsel 6歳以上でご利用ください,グレー (Color : Gray)

Amazonで¥639。

ブロックになってて組み立て式。

取説見ながら作れば普通に組み立てはできるけどちょっと建付けが悪い気もする。

しかし不思議だなぁ。実際触っても不思議。

■ベルポーチ(2023/03/05)

PROTEC A312 アルトサックス用ベルinポーチ

Amazonで¥2,200。

マウスピースも2つになったし、やっぱり荷物が増えたらこれしかない缶ぁということで買いました。

ネックも入るっぽいですが、とりあえずマウスピースを2つ入れてます。まだ余裕ありそう。

ここにモノを突っ込むのはどうなんやろうと思いつつ、やっぱり便利ですね。

■法事で大阪へ(2023/03/15)

ちょっと大阪いってきました。

■電動エアダスター(2023/03/29)

楽天ポイントが余ってたので購入。

エアダスター 電動 充電式 電動エアダスター 強力 エコ 3段階風量調整 LEDライト付 ガス不使用 環境にやさしい ノズル付き エアーダスター ブロアー 小型 不燃性 エアスプレー キーボード PC 掃除 プラモデル

楽天で¥7,980。※全てポイント払い。

うーん、箱シンプル。

中身は本体とUSB Type Cケーブル(Type A to C)とノズル。

おしりのフィルターが掃除できるように取り外せる。かなりホコリが溜まる。

まぁ、ポイントでも溜まってない限り買わないかなぁ。と思いつつ、充電すれば無限に使えるので意外と利用頻度高いですね。
サックスのメンテにも使ってます。

■ドラえもんの温度・湿度計(2023/03/29)

【送料無料】 温湿度計 おしゃれ ドラえもん I’m Doraemon アナログ 温度計 温湿計 置き 掛け 兼用 風邪対策 ウィルス対策 熱中症対策 湿度計 観葉植物 小型 スリム コンパクト ミニ 便利グッズ インテリア雑貨 おしゃれ シンプル 健康管理 プレゼント 新生活 ギフト

楽天で¥2,200。※全てポイント払い。

ひとつ上の電動エアダスターと一緒にポイントで購入。

かわいい。オフィスの暑い寒い騒動に終止符を打つために購入。

■消費電力が見えるUSB Type-Cケーブル(2本目)(2023/03/31)

Mcdodo Type C Type Cケーブル 出力スクリーン表示 USB Cケーブル 1.2m 100W PD急速充電 高速データ転送 E-Markerスマートチップ搭載 アルミ合金外装 高耐久ナイロン編み typec usbケーブル MacBook iPad Air/Pro Galaxy Xperia Androidなど機種 その他のUSB-C機器対応 型番CA-1100 ブラック

Amazonで¥1,699。

過去にかったやつが壊れたので買い替え。

なんやかんや見えるのは便利だなぁ。

前回のやつとの違いはちょっと高級感がでた?くらい?

■大阪行ってきた(2023/04/05)

ちょいと仕事で大阪へ。
ホテル高すぎてビビった。

■digital dream labs vector 2.0(2023/04/11)

正直いつ注文したのかも忘れていたのが届いた…

とりあえず適当にセットアップして。あと技適ないんで、技適未取得機器を用いた実験等の特例制度に届け出を行っております。
やり方は完全に忘れましたが、マイナンバーカードがあればすぐできるし、申請ではなくて届け出なのですぐに利用開始できます。

動かしている様子はこんな感じ。

ちなみにESCAPE PODっていうDDLのサーバがなくても手元のRaspberry Piでサーバを動作させるライセンスも買ってるんだけど、全然登録うまく行かないしDDLサポートからの連絡も全然帰ってこないしで正直今はただの置物に…。

■ファンフィルター(2023/04/14)

SilverStone PCファンフィルター140mm(マグネット付き) SST-FF144B

Amazonで¥1,210。

後輩がESXi用にと、以前購入したものと同一構成のDH470を貸してくれたのでそれ用に。

■小型VGAモニターがついに壊れた(2023/04/12)

ある意味伝説の?小型モニターに謎の線が入るようになってしまった。まだまだ使いたいんだけど…。

参考:俺はVGAを少し甘く見ていたのかもしれない ― 小型モバイルディスプレイ購入

■ヘッドホンかけるやつ(2023/04/14)

サンワサプライ 回転式ヘッドホンフック PDA-STN18BK

Amazonで¥1,245。

これは会社用。かなり便利。

■新しいFortiGateとCatalyst(2023/04/17、23)

FortiGate 60Eのライセンスが切れたのと、10G対応のいい感じのCatalystがあったのでヤフオクで購入。

FortiGate 60F ライセンス 2025年4月まで
→¥45,000。安い!

Cisco Catalyst WS-3650-48PD-S
→¥26.000。10GアップリンクのうえPoEもついてこの値段は激アツ。

このブログ書いてる時点でまだ未着手っていうorz

それから、このCatalyst 3650は電源コードがちょっと特殊なので、日本ACコード JIS8303-C15/12A 2.5M PSEを買いました。

楽天で、¥1,848。普通の電源コードに比べてちょっと形状が違います。

■リプレイス用のLANケーブル一式(2023/04/24)

リプレイスするぞー!ってことでケーブル購入。

サンワサプライ LANケーブル CAT6A より線 10Gbps/500MHz ギガビット イーサネットケーブル ツメ折れ防止 RJ45コネクタ (0.5m) ブラック KB-T6AY-005BK

Amazonで¥455(3本購入)。

エレコム LANケーブル CAT6A 2m 爪折れ防止コネクタ cat6a対応 やわらか ブラック LD-GPAYC/BK2

Amazonで¥891(10本購入)。

エレコム LANケーブル CAT6A 1m 爪折れ防止コネクタ cat6a対応 やわらか ブラック LD-GPAYC/BK1

Amazonで¥800(10本購入)。

 

 

 

■10G SFP+トランシーバー(2023/04/24)

10GBase-T SFP+モジュール, 10G T, 10Gカッパー, RJ-45 SFP+ CAT.6a, 最大30m, 光トランシーバ, Cisco SFP-10G-T-S、Meraki、Netgear、Ubiquiti UF-RJ45-10G、Mikrotik、D-Link、Supermicro、TP-Linkなど互換

Amazonで¥9,200。

※まだ使ってないのでCatalyst 3650で動くかは不明です。多分最悪「service unsupported-transceiver 」的なコマンドいれたら動くはず。

■リードケース(2023/04/24)

D’Addario WoodWinds ダダリオ リードガード アルトサックス&クラリネット用 4枚収納可能 Reed Guard DRGRD4ACBK ブラック 【国内正規品】
販売: アマゾンジャパン合同会社

Amazonで¥1,211。

知人の家にYAMAHA YAS-380を置かせてもらう事になったのでそれ用に。

これはまた湿気で加水分解してベタベタになりそうな素材だなぁ。

■Core i5 + 32GBメモリのミニPC(2023/04/24)

MINISFORUM Venus Series NAB5ミニPC 第12世代 Core i5-12450H 32GB 512GB PCIe4.0 SSD 小型pc Windows 11 Pro コンパクトPC インテル UHD Graphics 2x2500Mbps LAN HDMI×2 /USB-C×2 4K@60Hz クワッドディスプレイ出力 小型デスクトップパソコン

Amazonで¥68,883。

いい加減Sandy Bridgeで動いているML110 G5を退役させないと思い、主にvCenter用に購入。

ちっちゃい。

やはりACアダプタは大きめ。

本体はまじで小さい。

2.5Gbpsが2個ついてるのもポイント。

ワンタッチでトップカバーが開く。

メンテナンス性はかなりいい。

標準でWindows 11も入ってる親切設計。

BIOSはちょっと古めかしい。

そしてまぁ普通にESXiを入れるとこうなります。
これは12世代Intel CoreシリーズとESXiの相性というか、PコアとEコアが存在することに起因する問題ですね。

なんかゴニョゴニョやって起動。

あと、これに搭載されているNICはESXi 8.0以降はCommunity Dirver入れなくても良くなったので、ついでにvCenter含めて全体的に8.0にしました。

7.0から8.0も昔ながらに、一回テンポラリな仮想マシンが出来上がってバージョンアップされる感じ。

とりあえずいろいろやった気がするけど動いてる。詳細は失念…。

■2023年GWの振り返り

●海行ってきた!(2023/04/29)

風が強くてあんまり遊べなかった。

●実家に帰省(2023/05/02-05)

珍しく長めに。祖母の法事やらお墓参りやら。

■昔から使っているDNSサーバをv2v(2023/05/09)

参考:ちっちゃいPCもらったよ!

2012年から使ってるDNSサーバやらなんやらをv2vして仮想マシン化。これも11年動いてたとかなかなか。

■あいみょんのライブBlu-ray(2023/05/17)

AIMYON TOUR 2022 “ま・あ・る” IN PIA ARENA MM [通常盤 Blu-ray] (特典なし) [Blu-ray]

Amazonで¥5,154。

ちょうどこれを見ながらブログ書いてます。

■クラファンでかったINKPLATE 2(2023/05/25)

3色表示可能な電子ペーパーを搭載したArduino互換ボード「Inkplate 2」

なんで購入したかも忘れた…。

kickstartarでEARLY BIRD: Inkplate 2 board + enclosureで37ドルだったと思う。

なんかに使おう。

■ネックストラップ(2023/06/04)

いつもAmazonで安いやつを買ってるけど今回は久々に?正規品。

ヨドバシカメラで¥1,350。

■新しいリガチャ!(2023/06/09)

買いました。

ロブナーです。
Gottsu Metal HL 2018はアルト用は合わないため、テナー用のスリムを。
MEYER 5MM用には、アルト用を買いました。

それぞれクロサワウインドで¥4,301。

これは別記事で書きたい…。

■新宿御苑前に行ってきた(2023/6/10)

言の葉の庭Wのモデルになった場所。

■サックスを落としてHigh F#キーをやらかす(2023/06/10)

やらかしました(´;ω;`)ブワッ

その後リペアにだしましたorz
今回は完全に自分の過失なので有償のリペアでしたが、このキー部分だけで済んだ(タンポ触らなくてよかった)ので、¥2,200でした。

■ブルーレイプレーヤー(2023/06/22)

パナソニック ブルーレイプレーヤー フルHDアップコンバート対応 ブラック DMP-BD90

Amazonで¥9,136。

これが噂の箱に直接伝票貼って送られてくるやつか…。

なぜ今更こんなものを買ったかというと…。
最近ちょっと落語にハマっていまして、会社の大先輩よりお借りしたこれを、寝室で寝ながら見るために買いました。

■短いHDMIケーブル(2023/06/22)

エレコム HDMI ケーブル 30cm 4K×2K対応 スーパースリム 環境に配慮した簡易パッケージ ブラック ECDH-HD14SS03BK

Amazonで¥699。

ひとつ上のBDプレイヤーに使うために。短くて安いという理由で購入。

■加熱式たばこ「Ploom X」を買う(2023/06/29)

過去iQOSやgloを買ったことがありますが、なんかまた買ってしまいました。

参考:iQOSはじめました
参考:glo(グロー)はじめました

またすぐやめそうだけど、キャンペーンで本体が¥980(Club JTで送料無料)で、さらに無料のスティックのサンプル券ももらったのでつい。

無駄にBluetoothがついてるけど、常時ペアリングではなく手動操作が必要。もうちょっとこれ便利に使えたらいいのに。

■Unihertz Titan Pocketのバックパネルが取れたのでアロンアルファでくっつけた(2023/06/29)

4月くらい?からこんな感じで後ろのパネル(バックパネル?リアパネル?)が浮いてきてまして。

どんどん外れてきたので思い切って外してみました。
お前ボンドでくっついとったんかーい!んで右側が端っこまでつボンドついとらんやんけ!

ということで、強引にアロンアルファでくっつけ直しました。失敗しました。まぁいいや。

■充電ステーション(2023/07/12)

UGREEN DigiNest Cube 65W PD 充電器 7ポート USB-C 電源タップ キューブ型 AC1250W 【USB-C×2 USB-A×2 AC差込口×3 GaN III (窒化ガリウム) 搭載 1.8m電源コード 一括スイッチ/アース/シャッター付き マルチ保護システム PSE技術基準適合】 充電ステーション テーブルタップ MacBook/Steam Deck/Switch/iPad/iPhone/Xperia/AQUOS/Galaxy/Pixel 各種機器対応 OAタップ/常時家電 卓上USB家電対応 CD268

Amazonで¥5,586。
※プライムデーセール

 

■ダンヒルの名刺入れ(2023/07/12)

[ダンヒル] 名刺入れ プレーン メンズ ブラック [並行輸入品]

Amazonで¥9,600くらい(たぶん)。
※プライムデーセール

2016年にかった名刺入れが破れてしまったので買い替え。

自分の名刺が取り出しやすくてすごい気に入ってたけど、流石に真ん中がガッツリ破れたので買い替え。

おお、こういうブランドのやつ初めて買った。

まぁわかってはいたけど、自分の名刺は取り出しにくい…。

■Ploom xのケース(2023/07/12)

ploom x 対応 ケース プルームエックス プルームX 収納ケース Ploom X 完全保護 まとめて収納 カラビナ付き ヒートステック キャリーケース 電子タバコケース 耐衝撃 指紋防止 おしゃれ 簡単に取り出し ケースをつけたまま充電可 持ち運び便利 男性 メンズ 女性 レディース ギフト 新型アイコスケース (カラー1)

Amazonで¥1,780。

ついつい買ってしまった。これはプライムデーのセールではなかったけど。

■SwitchBot ハブ2(2023/07/17)

SwitchBot スマートリモコン ハブ2 赤外線家電を管理 スマートホーム Alexa スイッチボット 学習リモコン 温湿度計機能付き 光センサー付き リモートボタン スケジュール シーンで家電一括操作 遠隔操作 節電·省エネ Google Home IFTTT Siri SmartThingsに対応 Hub2

Amazonで¥7,380。
プライムデーで買ったのにこれだけめちゃくちゃ届くの遅かった。

このハブ2は、温度計とハブがセットになっています。

いい感じ。ってか今日は本当に暑い。

あとは置き場所は考えないとだけど、とりあえずアプリいれてペアリングしてWiFi繋いで、アカウント作って、適当にリビングのシーリングライトやエアコンを登録。
無事動きました。

あとはAlexaとの連携とかぼちぼちやろうかな。
これで外からでもエアコンが操作できるぞー。

ふぅ。いっぱい書いた。
暑いですので皆様健康には十分ご注意ください。

ではでは。またの機会に。

【雑記】書きたかったこと。出来事。買ったものとか(2021年4月、5月)

ども。こんばんは。

雑記です。

■新しいマイク(2021/04/04)

こちらでの記事で。
サックス練習 – 40 – 新しいマイク!

■たこ焼き器(2021/04/26)

岩鋳 Iwachu たこ焼23穴 IH対応 黒焼付 南部鉄器 24025

¥4,177。

これでたこパしました。美味しく焼けて満足。

■サックスのおもちゃ?(2021/04/26)

後輩の子供にプレゼント。

BONTEMPI ボンテンピ シルバーサックスフォン 8keys 42cm (324331) 楽器 アルトサックス おもちゃ 知育玩具 子供 3歳 プレゼント

¥2,860。

もうちょっとで3歳になるくらいの子供でも音は出せるみたいです。キーは押しっぱなしにしないと音が出ない模様。開放音はない。
音色はピアニカ?ハーモニカ?的な感じ。
4キーと8キーがあり、今回は8キーを購入しました。
半音階は出ないので、ドレミファソラシドだけ1オクターブのみです。
これで楽器が好きになってくれたら嬉しいな。
もうちょっと大きくなったら本物買おうね。

■プラズマクラスター交換ユニット(2021/04/28)

年明け位からずっとユニット交換ランプが点滅していていい加減に変えないとと思って購入。
今日現在まだ交換していません・・・。

【純正品】 シャープ プラズマクラスターイオンイオン発生ユニット IZ-C90M

一個¥2,417。うちの加湿器は、SHARPの加湿空気清浄器KI-GS50。

■ゲーミングヘッドセット(2021/05/28)

Logicool G ロジクール G ゲーミングヘッドセット G533 PS5 PS4 PC Switch Xbox ワイヤレス Dolby 7.1ch usb ノイズキャンセリング 折り畳み式 マイク付き 軽量 15時間バッテリー 国内正規品

¥10,500。

色々あってちょっとゲームでもするかってことで購入。

特にこだわりはなく、ワイヤレスで遅延が少なそうなのを選択。
Bluetooth接続のものでもいいんだけど、低遅延なapt-X LLに対応したいい感じのがなかったので、独自ワイヤレス式のこいつを選択。

2017年の製品なので、充電がMicro-USB orz
Micro-USBはもう増やさないぞ!と決めてたけどまぁしゃーない。。。

PS4でも使えるけど、2chステレオでしか使えないので注意!
ワイヤレスサラウンドヘッドホンに関してはこちらの記事で。

【超絶妥協】2020年サラウンドヘッドホン選び

なにも考えずにPCに接続した様子。
PCはWindows 10 21H1。ASRockのDesk Mini A300

普通に音も出るしマイクも使えるけど、ステレオになっている。

Logicool G Hubっていうソフトをインストールする。

インストールして再起動すると、7.1chになる。

あと、G Hub側でもサラウンドをオンにしないとだめかな?

このG Hubは若干不安定だけど、よくできていて、ゲームを認識できるみたいで、ゲームごとにサラウンドの設定などが自動で切り替えられます。

Apex Legendsをインストールしてみましたが、ちゃんと認識しました。
Apex Legends起動時はサラウンドかつサラウンドモードをFPSに切り替わるようにしています。

ちなみに、今回のプレイ環境はDeskMini A300で、Ryzen 5 3400Gを載せており、GPUは内蔵のRadeon RX Vega 11です。

1920だと流石に厳しいですが、解像度を落とせば、Apex Legendsでもギリギリ30fpsくらい出ました。最初の降下シーンは結構きついですが・・・。

■ケーブルの長いUSB3.0ハブ(2021/05/28)

エレコム USBハブ U3H-FC04BBK 【超小型・軽量設計】 USB3.0 Aポート×4 ケーブル1.5m ブラック MacBook/Surface/Chromebook他 ノートPC対応

¥1.799。

DeskMiniをダイニングに置いてるんですが、リビングだとワイヤレスキーボードやマウスが届かないんですよね。。
※体ひねってダイニングの方に向けば届かなくもないですがとぎれとぎれです。普段は基本リモートデスクトップで操作するので困らないんですけど、流石にゲームするにはちょっとなーということで。

距離的には2mもないくらいなのですが、壁があるのがだめなようで、見通しできる場所までレシーバを延長するためにケーブルの長いハブを購入しました。

以前、USB Typeのハブを購入しており、そいつを延長でもいいのですが、USB Type-Cのメスは規格違反なので。。。売ってますけどね。

リビングまで引っ張り出せたので、受信環境が超絶向上しました。

■激安のBluetooth 5.0アダプタ(ドングル)(2021/05/28)

Bluetoothアダプタ 5.0 【TELEC認証済(認証番号:217-204183)】 Bluetoothアダプター Bluetooth USBアダプタ 【低遅延 無線 小型 ドングル 最大通信距離20m Ver5.0 apt-X対応 EDR/LE対応(省電力)】Windows 7/8/8.1/10(32/64bit) 対応 Mac非対応 (Bluetooth 5.0)

¥1,090。

ノリで買いました。レビューもそこそこで、とにかく安い。(さらに安いのもありましたが、現実的に使えるレベルだとこれが一番無難そう。)

ドライバーのダウンロード元がDropboxっていうなかなかのはっちゃけぶり。
※後になって8cm CD-ROMが入ってることに気づきました。

無骨なデザイン。シンプルイズベスト。

とりあえず、挿せば普通につかえました。
まぁ、チップはRealtekのが入ってますからね。

で、特にドライバは意識せず、LogicoolのM336をつないで使ってました。

Amazonのレビューを改めてみていると、ドライバを入れないと対応するBluetoothプロファイルが少ないらしい?という話があり、入れてみることにしました。
※AmazonのレビューをみててCDが同梱されてることに気づきました。。。

でまぁ、ドライバなんでDropboxのほうが新しいかな?と思いCDは放置して、Dropboxからダウンロードしました。

URLはこちら。(パッケージに記載の通り)
5.zipって。。。

https://www.dropbox.com/s/vcvemz9rwr711rl/5.zip

よかった。ちゃんとRealtekだ。

インストールしても、デバイスマネージャーの表記とかは変わってない気がしますね。ちゃんとドライバのバージョンとか控えとけばよかった。
あと、インストール後ペアリング済みだったM336が繋がらなくなったぽいので再度ペアリングしました。

うーん、まぁ、いいや。あんまり気にしないでおこう。

まぁそんな感じです。


以下、今後書こうと思っているネタのメモ。

・FortiGateでWANインタフェースで公開するサーバ用のVirtual IPのインターフェース設定を間違ってanyにしてたら、WAN以外のインターフェースから出ていくときも、Global IPアドレスにNATされて参った話。まぁVIP作り直しで解決するけど。

・2枚のNICでチーミング(ボンディング)してたら、片方のNICが認識されなくなったんだけど、もう一枚のNICはせっかく生きてるのに、いかれた方のNICが時折100Mbpsでリンクアップするもんだから、Catalyst側のether channelで、ミスマッチが起きてせっかく生きてるの方のNICをsuspendしやがって、結局全断した話。

OSが認識しなくなったNIC:100Mbps
いけてるNIC:1000Mbps

なぜイケてる方をsuspendしやがる・・・。

・ラズパイが起動しなくなった。4ヶ月ぶり、2回目。
PCに繋げば読み込めるのにbootできない。起動後緑LED点灯しっぱなし。ちなみにRaspberry PI 3 Mobdel B。
イメージ焼き直したら普通に起動した。
Pi 3 Bは、ネットワークブートはだめっぽいけど、USB bootは行けそうなのでUSBに変えるかなぁ。まぁ古いしそろそろSDカードは限界だろうなあ。

SDカード買い換えるなら、いっそPi 4の8GBのやつに買い換えようかなぁと思うけど、まぁ別に特段用途ないしなぁっていう感じ。

・kusanagiをyum updateしたら、

–> 依存性解決を終了しました。
エラー: パッケージ: kusanagi-php7-7.4.20-1.noarch (kusanagi)
要求: libonig.so.105()(64bit)
問題を回避するために –skip-broken を用いることができます。
これらを試行できます: rpm -Va –nofiles –nodigest

こうなって、こうやったら

# yum update –enablerepo=remi

エラー: パッケージ: php-pecl-zip-1.19.2-1.el7.remi.5.4.x86_64 (remi)
要求: php(api) = 20100412-64
削除中: kusanagi-php7-7.3.28-1.noarch (@kusanagi)
php(api) = 7.3.28
次のものにより更新された: : kusanagi-php7-7.4.20-1.noarch (kusanagi)
php(api) = 7.4.20
インストール: php-common-5.6.30-1.el7.remi.x86_64 (@remi-php56)
php(api) = 20131106-64
利用可能: kusanagi-php7-7.2.13-1.noarch (kusanagi)
php(api) = 7.2.13
利用可能: kusanagi-php7-7.3.0-2.noarch (kusanagi)
php(api) = 7.3.0
利用可能: kusanagi-php7-7.3.1-1.noarch (kusanagi)
php(api) = 7.3.1
利用可能: kusanagi-php7-7.3.2-1.noarch (kusanagi)
php(api) = 7.3.2
利用可能: kusanagi-php7-7.3.3-1.noarch (kusanagi)
php(api) = 7.3.3
利用可能: kusanagi-php7-7.3.4-1.noarch (kusanagi)
php(api) = 7.3.4
利用可能: kusanagi-php7-7.3.5-1.noarch (kusanagi)
php(api) = 7.3.5
利用可能: kusanagi-php7-7.3.6-1.noarch (kusanagi)
php(api) = 7.3.6
利用可能: kusanagi-php7-7.3.7-1.noarch (kusanagi)
php(api) = 7.3.7
利用可能: kusanagi-php7-7.3.8-1.noarch (kusanagi)
php(api) = 7.3.8
利用可能: kusanagi-php7-7.3.8-2.noarch (kusanagi)
php(api) = 7.3.8
利用可能: kusanagi-php7-7.3.8-3.noarch (kusanagi)
php(api) = 7.3.8
利用可能: kusanagi-php7-7.3.9-1.noarch (kusanagi)
php(api) = 7.3.9
利用可能: kusanagi-php7-7.3.9-2.noarch (kusanagi)
php(api) = 7.3.9
利用可能: kusanagi-php7-7.3.10-1.noarch (kusanagi)
php(api) = 7.3.10
利用可能: kusanagi-php7-7.3.11-1.noarch (kusanagi)
php(api) = 7.3.11
利用可能: kusanagi-php7-7.3.12-1.noarch (kusanagi)
php(api) = 7.3.12
利用可能: kusanagi-php7-7.3.12-2.noarch (kusanagi)
php(api) = 7.3.12
利用可能: kusanagi-php7-7.3.13-1.noarch (kusanagi)
php(api) = 7.3.13
利用可能: kusanagi-php7-7.3.14-1.noarch (kusanagi)
php(api) = 7.3.14
利用可能: kusanagi-php7-7.3.14-2.noarch (kusanagi)
php(api) = 7.3.14
利用可能: kusanagi-php7-7.3.15-1.noarch (kusanagi)
php(api) = 7.3.15
利用可能: kusanagi-php7-7.3.16-1.noarch (kusanagi)
php(api) = 7.3.16
利用可能: kusanagi-php7-7.3.17-1.noarch (kusanagi)
php(api) = 7.3.17
利用可能: kusanagi-php7-7.3.17-2.noarch (kusanagi)
php(api) = 7.3.17
利用可能: kusanagi-php7-7.3.18-1.noarch (kusanagi)
php(api) = 7.3.18
利用可能: kusanagi-php7-7.3.19-1.noarch (kusanagi)
php(api) = 7.3.19
利用可能: kusanagi-php7-7.3.20-1.noarch (kusanagi)
php(api) = 7.3.20
利用可能: kusanagi-php7-7.3.21-1.noarch (kusanagi)
php(api) = 7.3.21
利用可能: kusanagi-php7-7.3.22-1.noarch (kusanagi)
php(api) = 7.3.22
利用可能: kusanagi-php7-7.3.23-1.noarch (kusanagi)
php(api) = 7.3.23
利用可能: kusanagi-php7-7.3.24-1.noarch (kusanagi)
php(api) = 7.3.24
利用可能: kusanagi-php7-7.3.25-1.noarch (kusanagi)
php(api) = 7.3.25
利用可能: kusanagi-php7-7.3.26-1.noarch (kusanagi)
php(api) = 7.3.26
利用可能: kusanagi-php7-7.3.27-1.noarch (kusanagi)
php(api) = 7.3.27
利用可能: kusanagi-php7-7.4.19-1.noarch (kusanagi)
php(api) = 7.4.19
利用可能: php-common-5.4.16-48.el7.x86_64 (base)
php(api) = 20100412-64
利用可能: php-common-5.4.45-18.el7.remi.x86_64 (remi)
php(api) = 20100412-64
利用可能: kusanagi-php7-7.0-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.2-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.2-2.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.4-2.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.5-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.6-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.7-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.8-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.9-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.9-2.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.10-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.10-2.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.11-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.12-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.13-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.14-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.15-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.16-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.16-2.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.17-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.18-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.19-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.20-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.21-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.23-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.2.3-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.2.4-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.2.5-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.2.6-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.2.6-2.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.2.7-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.2.8-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.2.8-2.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.2.9-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.2.10-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.2.11-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.2.11-2.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.2.12-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.3.0-1.noarch (kusanagi)
見つかりません
エラー: パッケージ: php-pecl-zip-1.19.2-1.el7.remi.5.4.x86_64 (remi)
要求: php(zend-abi) = 20100525-64
削除中: kusanagi-php7-7.3.28-1.noarch (@kusanagi)
php(zend-abi) = 20131226-64
次のものにより更新された: : kusanagi-php7-7.4.20-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
インストール: php-common-5.6.30-1.el7.remi.x86_64 (@remi-php56)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.2.13-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.0-2.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.1-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.2-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.3-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.4-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.5-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.6-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.7-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.8-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.8-2.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.8-3.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.9-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.9-2.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.10-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.11-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.12-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.12-2.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.13-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.14-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.14-2.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.15-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.16-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.17-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.17-2.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.18-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.19-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.20-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.21-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.22-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.23-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.24-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.25-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.26-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.27-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.4.19-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: php-common-5.4.16-48.el7.x86_64 (base)
php(zend-abi) = 20100525-64
利用可能: php-common-5.4.45-18.el7.remi.x86_64 (remi)
php(zend-abi) = 20100525-64
利用可能: kusanagi-php7-7.0-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.2-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.2-2.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.4-2.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.5-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.6-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.7-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.8-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.9-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.9-2.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.10-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.10-2.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.11-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.12-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.13-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.14-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.15-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.16-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.16-2.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.17-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.18-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.19-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.20-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.21-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.23-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.2.3-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.2.4-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.2.5-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.2.6-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.2.6-2.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.2.7-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.2.8-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.2.8-2.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.2.9-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.2.10-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.2.11-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.2.11-2.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.2.12-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.3.0-1.noarch (kusanagi)
見つかりません
問題を回避するために –skip-broken を用いることができます。
これらを試行できます: rpm -Va –nofiles –nodigest

こうしたらいけた。

# yum update –enablerepo=remi,remi-php56

そして、ノリでphp7に移行するため、kusnagi php7してhash -rしたら

このサイトで重大なエラーが発生しました。

になった。話。kusnagi php-fpmで切り戻したけど、なんかのプラグインがphp7で動かない臭いので要調査してphp7への再移行する。

以下参考。

KUSANAGIモジュール更新情報

ではでは。またの機会に。

Enterprise Mobility + Security E3ではじめるゼロトラスト入門 – 7 – FortiGate のSSL-VPNをSSOにする

ども。こんばんは。

今回は、FortiGateのSSL-VPN接続(Webモード)をAzure ADを使ったSSO(シングル・サインオン)で実装します。

基本このあたりのチュートリアル通りです。

チュートリアル:Azure Active Directory シングル サインオン (SSO) と FortiGate SSL VPN の統合

Configuring SAML SSO login for SSL VPN web mode with Azure AD acting as SAML IdP

先にハマった?ポイントを・・・。

FortiGate SSL-VPNのSSOはSP-Initiatedのため、FortiGate側からフローを開始することで認証が行われます。(前回行ったAWSはIdp-Initiatedなため、Idp(Azure AD)からフローを開始します。)

完成形がこちらの画面ですが、「Single Sign-On」のボタンを表示させるためには、SAMLの設定をするだけではだめで、実際に「SSL-VPN」インターフェースから、LAN側等へのポリシーを設定し、そのポリシーの送信元にSAMLユーザを含むグループを指定する必要があります。。。

これを知らなくて、Single Sign-Onボタンを表示させるのにめちゃくちゃ時間かかりましたが、ここさえ把握しておけば設定はかんたんです。

■Azure ADの準備

まずは、エンタープライズアプリケーションにFortiGate SSL VPNを追加します。
※FortinetのドキュメントだとNon Galleryになっていますが、今は存在するようです。

アプリケーションにユーザを割り当てます。

シングルサインオンの設定からSAMLを選択します。

例にのっとって、識別子(エンティティID)、応答URL、サイオンURL、ログアウトURLを設定します。

次に、「ユーザー属性とクレーム 」を設定します。
※ここで指定した属性をFortiGateが受け取ってユーザ名などを処理するイメージです。デフォルトで「name」 があるのでこれでユーザ名使えるのかなと思ったのですがうまく行かなかったので、下記のようにusernameを追加しています。この”username”はFortiGate側にも設定します。

冒頭で記載したMicrosoftのチュートリアルでは、グループについても追加していますが、グループの追加はグレーアウトして押せなくかったので、やっていません・・・。

 

続いて、SAML署名証明書から、証明書(Base64)をダウンロードします。

■FortiGateの設定

ここからFortiGateの設定をします。
今回FortiGateはForiGate 60E、FortiOSは6.2.5で、VDOM環境です。

まずは、先程ダウンロードした証明書をインポートします。
証明書(Certificates)のGUIが標準では表示されていないので、まずは、そこから設定します。

Global VDOMの[System]->[Feature Visibility]から、Certificatesを有効します。

対象のVDOMに移動して、証明書をImportします。

インポートした証明書の名前を覚えておきます。
※画面では、「REMOTE_Cert_1」 です。

続いてコマンドラインで以下の設定を導入します。

idp-entity-id 、idp-single-sign-on-url、idp-single-logout-url は、Azure ADの画面からコピペします。
なお、idp-single-logout-url には「?(クエッションマーク、はてなマーク)」が入っています。

FortiGateにCLIで?を入力する場合は「Ctrl+v」のあとに「?」を入力すれば、コマンド候補の代わりに「?」が入力できます。

「set user-name “username”」のusernameは、Azure ADのユーザ属性に自分で追加した名前です。

config user saml
    edit "azure"
        set entity-id "https://[FortiGateのFQDN]/remote/saml/metadata"
        set single-sign-on-url "[FortiGateのFQDN]/remote/saml/login"
        set single-logout-url "https://[FortiGateのFQDN]/remote/saml/logout"
        set idp-entity-id "https://sts.windows.net/xxxx/"
        set idp-single-sign-on-url "https://login.microsoftonline.com/xxxx/saml2"
        set idp-single-logout-url "https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0"
        set idp-cert "REMOTE_Cert_1"
        set user-name "username"
        set group-name "group"
    next
end

作成したユーザをグループに入れます。
※グループに突っ込まないと、そもそもポリシーで利用できません。
Microsoftのチュートリアルでは、さらにmatchをつかって、Group-IDで絞り込んでいますが、今回はそこまでやっていません。

config user group
    edit "SSLVPN_from_AzureAD"
        set member "azure"
    next
end

最後にポリシーに適用します。
※ポリシーに設定して、初めてログイン画面にSingle Sing-onボタンが表示されます。

■テスト

今回はSP-Initiatedなので、FortiGateの画面から行きます。

おお。できた。

ちなみに、パーソナルブックマークとか作ってもちゃんと保存されます。

設定は、ユーザ名「xx@xxx.xx#SAML設定名」としてconfigに保存されるようです。

あと、FortiClientもSAML Logonというのができそうなのですが、どうもこれは、有償版?か6.4の機能っぽい?

こんなふうにできるはず?

https://sites.google.com/frellsen.se/kimfrellsen/fortinet-ssl-vpn-with-okta-mfa-using-saml?authuser=0

 

今回はSSL-VPNに関してSSOを設定しましたが、管理画面もできるようなので、今後は管理画面もSSO対応を検討したいと思います。

【バックナンバー】

ではでは。またの機会に。

FortiGateで特定のイベントだけSYSLOGに出力する

FortiOS 6.2.4 6.2.5で動作確認ずみ。

FortiGateからSYSLOGでログを飛ばす際にWebfilter(URLフィルタ)のログだけ出したいような場合のフィルターの書き方を見つけたのでメモ。

以下の例は2番目のsyslogサーバ(syslogd2)のでwebfilterだけを飛ばす場合。

set forward-traffic enable(デフォルトでenable)のままでもトラフィックログは飛んでこなかった。

ちなみにlogidでフィルタしてもいいのだけど、webfilterだけでいいとかの場合は、↓のほうが楽な気がする。

一応blockもallowも飛んできました。

# show log syslogd2 filter 
config log syslogd2 filter
set filter “webfilter-level(information)”
end

その他filterで使えるもの

Please input the logid list or level (or both) as filters.

[logid(…)] [traffic-level(…)] [event-level(…)] [virus-level(…)] [webfilter-level(…)] [ips-level(…)] [emailfilter-level(…)] [anomaly-level(…)] [voip-level(…)] [dlp-level(…)] [app-ctrl-level(…)] [waf-level(…)] [dns-level(…)] [ssh-level(…)] [ssl-level(…)] [cifs-level(…)] [file-filter-level(…)]

See the following 2 examples.

example 1

set filter “logid(40704,32042)”

example 2

set filter “event-level(information)”

The available levels are as the following:

emergency,alert,critical,error,warning,notice,information,debug

昔は、webfilterとかipsとかの単位でかんたんにenable/disableできたような・・・。

FortiOS 6.2.5が出ていた

リリースノート

https://docs.fortinet.com/document/fortigate/6.2.5/fortios-release-notes/760203

我が家では以下の問題が解決

みんな大好き!MTUのコーナー
→なぜかMTUを手動で調整しないとPS4がPSNにサインインできない。

なぜかiPadのFacebookアプリが記事の読み込みができない。

特にそれらしいresoved issueはなさそうだけど、多分MTU周りの修正が入っていると思われますね。

みんな大好き!MTUのコーナー

ども。こんばんは。

MTUの話です。

職場ではネットワークのトラブルを聞きつける度に「MTUが大っきいんじゃない?」と詳しく聞く前に口にしますが、たまに当たるから馬鹿にできないんですよね。しかもMTU(MSS)周りって気づきにくいことが多いので、とりあえずどんなトラブルでもMTUを疑うようにしています。
※もちろん切り分けはOSI参照モデルの物理層から順番に!

【関連】
くどいほどにMSSとかMTUの話

FortiGateをリプレイスしまして、何故かPS4がPlaystation Networkにサインインできないという事象が発生しました。

ネットワーク診断をやってみると、インターネット接続は成功するのにPlaystation Netowrkだけ失敗する状況です。

PS4は、固定IPアドレスのInterlink回線から、Virtual IPでスタティックNATをしています。
SD-WAN Rulesで、出口はPPPoEにしてるんですけどねー。

FortiGate リプレイス前は、こんなトラブルなかったのですが、MTUを1454に設定したら直りました。

FortiGate側のPPPoE Status ReportはMTU 1454をちゃんとひろってるのになー。なんでPS4側で調整しないとだめなんだろ。

もしかして、SD-WANインターフェース関連・・・?なのか・・・?

FortiOS 6.2の問題なのかSD-WAN利用時の問題なのかは不明です・・・。

以下おまけです。IPoE(OCNバーチャルコネクト)側はどうなってるのかmacOSで調べてみました。macOSでDFを有効にしたMTUの調査用Pingコマンドはこんな感じです。

# ping -D -s 1432 8.8.8.8 -c 1
PING 8.8.8.8 (8.8.8.8): 1432 data bytes
76 bytes from 8.8.8.8: icmp_seq=0 ttl=53 time=56.544 ms
wrong total length 96 instead of 1460

— 8.8.8.8 ping statistics —
1 packets transmitted, 1 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 56.544/56.544/56.544/0.000 ms

1432(MTU 1460)が最大です。IPv6でカプセル化してるしこんなもん?なのかな?

念の為、インターリンク回線に収容しているLinuxでもチェックしました。

# ping -c 1 -s 1426 -M do 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 1426(1454) bytes of data.
76 bytes from 8.8.8.8: icmp_seq=1 ttl=54 (truncated)

— 8.8.8.8 ping statistics —
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 5.724/5.724/5.724/0.000 ms

想定通り、MTU 1454(1426にICMPヘッダとIPヘッダを加えた値)ですね。

ブラウザでお手軽に調べるのは以下のサイトが便利です。

http://www.speedguide.net/analyzer.php

ではでは。またの機会に。

FortiGate 90D(FortiOS 6.0)からFortiGate 50E(FortiOS 6.2)へのリプレース完了。

ども。こんにちは。

GWを満喫するため、FortiGateをリプレースしました。

DSC_0024

だいぶ前に購入していたFortiGate 50Eにリプレースしました。
2019年の年末にリプレースする予定だったのですが、仮想基盤を吹き飛ばしたりするトラブルがあって先延ばしにしていました・・・。

リプレース前:FortiGate 90D FortiOS v6.0.9 build0335 (GA)
リプレース後:FortiGate 50E FortiOS v6.2.3 build1066 (GA)

今回のポイントを簡単にご紹介します。

■Fortinet OneからFortiCloud(FortiGate Cloud)への変更/アカウント切り替え

購入時の状態は、とある代理店さんのアカウントでFortinet ONEとやらに登録されていました。おそらく多数の台数を展開するには便利なしくみなのでしょうがこのままと自前のFortiCloudのアカウントへログのアップロードなどができません。

アクティベーションの画面で「FortinetONE」ではなく、「FortiGate Cloud Multi-Tenancy」に変更します。

ことのとき「Email」にもともと入っていた代理店さんのメールアドレスが残ったままなので、一見入力できないように見えるのですが上書きすることができます。

これでアカウントの切り替えができます。
ただ、これをやっても、FortiCare Supportのところは代理店さんのメールアドレスのままです。

■NFGWモードをやめた

今回は、やめました。もしかしたら6.2で改善されているかもしれませんがトラウマなのです。Profile-basedにしました。

参考:FortiOS 5.6のNGFWとDNSフィルタの使えなさがやばい

NGFWモードをPolicy-basedからProfile-basedに変更したので、NAT設定の移し替えが多少面倒です。ポリシーベースだと、Central NATを使うことになりますが、Profile-basedにすると従来どおり各ポリシーでNATの有無を設定することになります。

■SD-WANを設定して2本の回線を収容

今回FortiGate 50Eには合計3本の回線が収容されました。

簡単ですがこんな感じです。(draw.ioで描きました。)

固定8IPアドレスが付与されるInterlink回線、通常の動的IPのPPPoE回線、IPoE回線(※)の3回線を2つのVDOMに収容し、Interlink回線とIPoE回線でSD-WAN(旧WANリンクロードバランス/WAN冗長化)を設定しています。
※MAP-Eを利用するため別途ルータを利用。
参考:OCNバーチャルコネクトでIPoE + IPv4 over IPv6接続 – 2 –

今までは、スマートフォンなどの帯域を多く消費する機器は、Poliicy Base Rouringで送信元IPアドレスをもとに、VDOMリンクに渡して出口を変えるということをしていましたが、随分スッキリしました。

VDOMを複数またぐこともなくなったので、パフォーマンスも向上したようです。

なお、今回は回線のバランシングはせず、原則IPoE回線とし、AWSへの接続など固定IPで制限をかけている宛先等について、SD-WAN Rulesで制御しています。

SD-WANの設定はこんな感じ。
IPoE回線のコストを低くして寄せています。

この設定だけでは片寄できないようです。
というのも、デフォルトのSD-WAN Rulesの設定で送信元IPアドレスベースでバランシングされてしまいます。

このため、以下の様なルールを設定しました。

このルールを作ってあげるとImplicitが効かなくなり、コストの低いIPoE側を常に利用するようになります。
もし個別でどちらかの回線だけを使いたい場合は、StrategyでManualを選択します。

たぶん。

■FortiClientが無償で収容できなくなった

FortiOS 6.0までは、10台分のFortiClinentのライセンスが付いていましたが、なくなってしまったようです。残念。

SB C&Sさんの技術ブログに詳細が記載してありました。

FortiClient 6.2 Update

テレメトリー機能も、AVも使えなくなってしまいました。。。

以下、C&Sさんのサイトからの引用です。

■ VPNクライアント機能
Win/MAC/iOS/Android共に無償で利用可能

【ATTENTION!】 FortiClient 6.2移行、VPNクライアントは独立しFortiClient VPNとなります。FortiClient 6.0からアップグレードは出来ないため新しくFortiClient VPNのインストールが必要です。(※FortiOS6.2.1ではFortiClient 6.2でIP-sec/SSL-VPN接続することが可能です)

■ FortiClient向け アンチウイルス/Webフィルター機能
【ATTENTION!】 FortiClient 6.2以降有償利用となります。利用する場合にはFortiClient Security Fabric Agentライセンスが必須です。

■FortiClient Telemetry機能
【ATTENTION!】 無償利用可能な10ライセンスが廃止。FortiClient 6.2以降は全て有償利用となります。FortiClient Telemetry機能にはFortigateとFortiClientとが連携し動作する機能が該当します。OS6.0までFortiClient Telemetryのライセンスを購入していなくても(一応)使えていた「Security Fabricの脆弱性端末の可視化」や「エンドポイントの隔離機能」などは今後FortiClient Security Fabric AgentライセンスをFortiGateに適用した段階で利用することが可能となります。FortiClient 6.0にてFortiClient Telemetryライセンスをお持ちの場合、FortiClient 6.2では別ライセンス(FortiClient Security Fabric Agentライセンス)の再購入が必要になります。

■FortiOS 6.2に関する諸々

FortiOS 6.2 メモ(随時更新したい・・・)に追記したいと思いますが気づいた点はこんなところです。

NGFW ModeはProfile-basedでの確認です。

  • ポリシーごとにInspection ModeでFlow-based/Proxy-basedが選べるようになっており、VDOMごとのInspection Modeがなくなった。
  • アンチウイルス(Anti Virus)のScan ModeがなくなってFull/Quickがなくなったぽい。
    cliではset scan mode legacyが用意されている
    それぞれのモードの違いっぽいのが以下のドキュメントに記載があったけど、これであってるのかな?

    Inspection mode differences for antivirus

  • 5.6あたり?から見当たらんくなってたプロトコルオプション(Protocol Option)が復活。
  • 何故かデフォルトのCertificate-inspectionで、FULL SSL inspectionになる動きがあった。たまたま・・・か?
    しょうがないので自分でプロファイルを作った。
  • Virtual IPでインターネットから公開するNATをした場合の内部発通信について、VIPと同じインターフェースから出すにはSD-WAN Rulesに設定が必要。これをしないと、SD-WANのほうが勝ってしまい、VIPのDNATと自発の通信でグローバルIPアドレスがずれてしまう。

■配線が汚い

毎度毎度思いますが、相変わらず汚いですね。

ではでは。またの機会に。

久々にフレッツネタ – サービス情報サイト(NGN IPv4)にFortiGateで接続する

ども。こんばんは。

別にFortiGateあんまり関係ないのですが・・・。

ちょっと最近混雑する時間帯のOCNの速度が全然出ないのでDS-Liteにでも手を出そうかなと思っていろいろ調べています。

ただ、OCNのIPoE方式は、我が家にはまだ対応していない模様。

OCN IPv6インターネット接続機能(IPoE) 今後の提供予定について

どうやら、「2017年7月24日以前にOCN 光をご利用開始したお客さま、2017年8月31日以前にOCN for ドコモ光をご利用開始したお客さま、2018年6月14日以前にOCN 光 with フレッツをご利用開始したお客さま」はまだ未対応らしい?です。

うーん。InterlinkのZOOT Nativeにでも契約してやろうかな。。。

さて、DS-LiteというかIPoE?を使ってVNEから出ていくためには、フレッツ・v6オプションとやらに申し込む必要があるらしい。

電話で申し込むと¥1,000かかるみたいですが、サービス情報サイト(旧称フレッツスクエア)からの申込みは無料らしい。
※ちなみにIPoEを申し込むときについでにv6オプションも申し込めるらしいです。

で、久々にサービス情報サイトでも覗いてみようかとつないでみます。

フレッツ 光ネクスト、フレッツ 光ライトプラス、フレッツ 光ライトご利用の方はNGNの方のIPv4かIPv6のサービス情報サイトにつなぐみたいですね。

なお、過去記事で引っ越し当時にはつないでいたみたいですが、SRXからFortiGateに変えたタイミングでなんか諦めていたっぽいです。理由は覚えてないですがつながっていないPPPoEインターフェースが残ってました。。

過去記事:NTT東日本フレッツ関連のメモ

とりあえずこれ見ればOKです。

ルーター等をご利用のお客さま

PPPoEを一本追加して、以下のページ記載のアドレス宛のルーティングをPPPoEに流します。
※本記事作成段階では、123.107.190.0/24と220.210.194.0/25。

https://flets.com/customer/next/square/faq/faq_routing.html

*.v4flets-east.jp関係の名前解決を以下のDNSサーバに向けます。
※本記事作成段階では、123.107.190.5と123.107.190.6

https://flets.com/customer/next/square/faq/faq_dns.html

うちの場合は内部のDNSサーバでゾーンを作ってFowardしています。こんな感じ。

        zone "v4flets-east.jp" {
                type forward;
                forward only;
                forwarders {
                        123.107.190.5;123.107.190.6;
                };
        };

ちなみに、これ設定したところ、以下のようなエラーがでて名前解決ができませんでした・・・

error (broken trust chain) resolving ‘www.v4flets-east.jp/A/IN’: 123.107.190.5#53

よくわからんので、DNSSECをまるっと無効にして逃げました。
DNSSEC一回ちゃんと勉強しよう・・・。

んで、まぁ結局アクセスできました。

久々にみたわー。

結果、v6オプションは申込済みでした。
よく覚えてないのですが、引越し前にNTT西日本で申し込んでたので、そのまま東でも申し込んでたのかなぁ。セッションプラスも契約してたみたい。
※セッションプラス申し込まないと同時2セッションなので、うちの場合サービスサイト用のPPPoEは接続できません。(すでにOCNとInterlinkにPPPoEを張っているため)

ではでは。またの機会に。

FortiGate 50E購入

ども。こんばんは。

つい先日、60Dを4台ほど買ったばかりですが、、、やっぱりFortiOS 6.2を使いたいので、FortiGate 50Eを購入しました。

ヤフオクで¥12,000で購入(送料別)。

なんと、ライセンスが2022年11月まで残っている代物です。
これは安い。

とりあえず、FortiOS 5.4が入っていたのでガツンとFortiOS v6.2.2 build1010 (GA)までアップデートして一旦初期化(execute factoryreset)してIPアドレス振って、ハードウェアスイッチを吹き飛ばしてVDOMを設定しました。

50EはVDOM 5つまでなのね・・・。

90Dからどんなふうにリプレースしようかな。
SD-WAN機能とかいろいろ組み込みたいなぁ。

以下FortiGuardの画面。

ちょっと気になったのですが、FortiCareのところっていつも「Confidential」だったと思うんですが、今回は一次代理店さんのメールアドレスが入ってますね。

正直一次代理店で働いたことないのでここの仕組みはよくわかっていません。。。

 

以前購入した90D(というか今まで買ったFortiGateすべて)はこんな感じです。

年末年始リプレース楽しみだー!

ではでは。またの機会に。