「Fortinet FortiGate」カテゴリーアーカイブ

コアスイッチ逝く

ども。こんばんは。

昨日3連休の最終日に、掃除と新しいNASの物理的な載せ替えのため、全機器停止してメタルラックから取り外しました。

そしたら、

コアのL3(Catalyst 3750G)が起動しなくなりました(`;ω;´)

うぉーーー。これはまずい。ひじょーにまずい。

コンセントを挿しても、LEDが光るどころか、ファンも回らない、まぁ要するに通電しない状態に。

ちょいちょいreloadはしていたけど、電源停止って5年ぶりくらいじゃなかろうか。。。時々コールドスタートしないとだめですねえ。

しかしこれはもう直すとかそんな次元じゃねぇ。

ここまでのNW屋の経験と少ない知識と僅かな知恵を振り絞って全力で最低限の縮退運用まで復旧しました。

幸い、ネットギアのGS108が余っており、こいつは802.1QのタグVLANに対応しているので、急遽引っ張り出して、久々に思い出しながら設定しました。
相変わらずVLANに癖があるもの、自分のブログを読み返しながら比較的さくっと設定できました。

今回コアスイッチなので、全部に影響があるのですが、特に何がまずいかというと、以下3箇所がトランク接続なんですよね。

・無線AP-L3間
・FortiGate-L3間
・リビングのハブ-L3間(リビングのハブの先に更にトランクでArubaのAPがいる)

なんとか、必要最小限のVLANをトランクでそれぞれに渡すことができましたが、IP-SANとして使っているセグメントは物理ポートが足りないため諦めて、仮想サーバとQNAPは一部直結です。
※VMWareでもチーミングしていて、QNAPはBondingですが、2本直結するといまいち動作が不安定だったので、一本だけつないでいます。なとかリンクアップして通信はできているみたい。

また、基本的に我が家のサーバは、LACP等でリンク冗長しています。幸い、対向がLACP等に対応していなくても、一本ずつでなんとかリンクアップしてくれたので、サーバ/NAS側は設定変更なしで乗り切れました。

ただ、どうしてもポートが足りず、一部FortiGateの余りポートをハードウェアスイッチ化して単なるスイッチとして凌いでいます。

よくよく見ると、FortiGateから出たケーブルがFortiGateに戻っていっています。背に腹は代えられず。。ポート余っててよかった。。

以下諦めたこと。

・Bonding/Teamingは諦めた
※設定自体は変えなくても一本だけでリンクアップした。LACPが功を奏したのかな。GS108はそもそもLACPなんて対応してないので、サーバ側が諦めたのかなー。
・ReadyNASはポート数が足りず孤立
・FortiGateをうまく通過できない電話機-PBX間のSIPは諦め(通常L3でルーティングしています。)
・一部セグメントのDHCPサーバはCatalystが兼ねていたのでFortiGateで代用

とりあえず、ヤフオクで後継機器を入札中です。また進展あれば更新したいと思います。

いやぁやばい。ギリギリで稼働しているので、これは本当にやばい。

いろんなものをクラウドに移行しておいて本当に良かった。

ではでは。またの機会に。

FortiOS v6.0.5 build0268 (GA)が出ていた

ども。こんばんは。

出てますねー。

上げました。最近比較的アップデートに失敗しないし、起動後のディスクチェックやれ!っていうのも出なくなりましたね。

 

リリースノート:

https://docs.fortinet.com/document/fortigate/6.0.5/FortiOS%20Release%20Notes/760203/introduction

これまだknown issueなの?さっさとなおしてくだいませー。
もはやバグのレベルなのか?という気がする。

Bug ID Description
435951 Traffic keeps going through the DENY NGFW policy configured with URL category.

 

6.2がもう出てるけど、うちの90Dには入らないし、本気でそろそろ50Eあたりに買い換えないと。

ではでは。またの機会に。

【FortiGate】うっかり忘れたPhase-1のPre-Shared keyを見つける方法【6.0確認済み】

ども。こんばんは。

小ネタです。

誰かの役に立てば。

  1. 普通にFortiGateのGUIにログインする
  2. VDOM環境の場合は、該当のVDOMに切り替える(GUIで)
  3. 同じブラウザで以下のURLにアクセスする
    https://[FortiGateのIPアドレス:ポート]/api/v2/cmdb/vpn.ipsec/phase1-interface?plain-text-password=1
  4. JSONで結果が帰ってくるので該当のP1の「psksecret」を探す
  5. 以上!

ね。簡単でしょ?

ちなみにミソは「plain-text-password=1」です。これをつけないと「 “ENC XXXX”」になってしまいます。
リファレンスには「plain-text-password=1」のってないっぽいんですよね。

参考:Pre-shared Key | Fortinet Technical Discussion Forums

 

普通にリストアする分には困らないけど、FortiGateから別の機器にリプレースするときとかに使えるかな。
※たまーにありますね。「すいませんPre-Shared Keyなんでしたっけ・・・」って、そんなこと客に聞けるかよ!っていう状況。

ちなみに、2019年4月10日現在でFortiOS 6.0.4でも確認済みです。
未確認ですが、FortiOS 5.2.3以降くらいなら使えると思います。

FortiGateのAPIってあんまり意識してなかったなぁ。これを機になんか作ってみようかなぁ。

↑と思って、ドキュメントライブラリ(https://docs.fortinet.com/)探してたら・・・

随分画面変わってる!、し、FortiOS 6.2出とるやないかい!

うちに来てないぞ―

ん?

【リリースノート】
https://docs.fortinet.com/document/fortigate/6.2.0/fortios-release-notes/760203/introduction-and-supported-models

FortiOS 6.2.0 supports the following models.

FortiGate FG-30E, FG-30E_3G4G_INTL, FG-30E_3G4G_NAM, FG-50E, FG‑51E, FG-52E, FG-60E, FG-60E-POE, FG-61E, FG‑80D, FG-80E, FG-80E-POE, FG-81E, FG-81E-POE, FG-90E, FG-92D, FG-100D, FG-100E, FG-100EF, FG-101E, FG-140D, FG-140D-POE, FG-140E, FG-140E-POE, FG-200E, FG-201E, FG‑300D, FG-300E, FG-301E, FG‑400D, FG‑400E, FG‑401E, FG‑500D, FG‑500E, FG-501E, FG-600D, FG-600E, FG-601E, FG-800D, FG‑900D, FG-1000D, FG‑1200D, FG-1500D, FG-1500DT, FG-2000E, FG-2500E, FG-3000D, FG-3100D, FG‑3200D, FG-3700D, FG-3800D, FG‑3810D, FG-3815D, FG-5001D, FG-3960E, FG‑3980E, FG-5001E, FG-5001E1

 

あちゃー。60D、90D、200Dあたり外れたか・・・。
100Dはまだ行けるのね。さすが100D。

そして新機能が・・・・。Split-Task VDOMってなんだそれ・・・。

https://docs.fortinet.com/document/fortigate/6.2.0/new-features/519101/expanding-fabric-family

まだライセンス残ってるけど、6.2入らないのはやだなぁ。
もったいないけどさっさとEシリーズにリプレースしますかねえ。

ではでは。またの機会に。

検索:FortiGate pre-shared key recovery p1 pshase1 ipsec vpn psk forget secret 

2018-2019年末年始振り返り、最近のこと、ブログ15年目。他。

ども。こんばんは。

すっかり年も明けて、気づけば成人の日も終わってしまいました。
1/11でこのブログも15年目に入りました。なんだかんだ続くもんですね。

では、ちょっと最近のことを書きたいと思います。

■風邪でダウン(2018/12/17-18)

風邪でダウンしました。
インフルエンザではなかったようです。

■鈴木みのりファーストアルバムが届く(2018/12/18)

【1stアルバム『見る前に飛べ!』みのり隊オリジナルセット】です!
ファンクラブ限定でリストバンド付き!やっぱりCrosswalkいいわー。

■加湿空気清浄機導入(2018/12/23、2018/12/29)

散々悩んで購入しました。
というのも、先般の風邪も乾燥が原因じゃないか?ということで・・・。

で、とりあえず加湿機だけを買うか、加湿空気清浄機を買うかいろいろ悩みました。
Amazonのクリスマス?年末?セールで、シャープのプラズマクラスターの加湿空気清浄機の型落ちが安いようだったので、せっかくならと、シャープの加湿空気清浄機に絞っていろいろ比較して購入しました。

シャープの加湿空気清浄機は、大きくKIシリーズとKCシリーズにがあります。
KCシリーズはプラズマクラスター7000を搭載、KIシリーズは一つ上の機種でプラズマクラスター25000を搭載します。
※本当は除湿もできる除加湿空気清浄機(KC-HD70の1機種のみ)も検討したのですが、値段が4万円ほどと割高で、サイズも大きいようなので諦めました。

んで、その後のアルファベットで製造年、数字でサイズ(対応する部屋の広さ)になっています。

今回購入したのは、KI-GS50というモデルの黒色です。

以下開封〜使い捨てプレフィルター取り付けの様子。

使い捨てプレフィルターって両面テープでくっつけるのですが、これちょっとダサいよね。。



KIシリーズで、Gなので、2016年モデルのプラズマクラスター25000搭載モデルという感じです。
※2017年モデルならKI-HS50、2018年モデルならKI-JS50という感じです。Hの次はIじゃなくてJに飛んだみたいですね。

同じ2016年モデルで、KC-G50がAmazonで¥17,800ととてもお買い得だったのですが、あえてひとつ上の機種のKI-GS50を¥21,800で購入しました。

以下KI-GS50とKC-G50の比較。
http://www.sharp.co.jp/support/air_purifier/lineup/kigs50_kcg50_spec.html
http://www.sharp.co.jp/kuusei/lineup/2016.html
ポイントにしたのは、KIにはホコリセンサーがついていることと、大きさがスリムなこと、プラズマクラスター25000が搭載さていることです。

で、実は罠があって、プラズマクラスター25000は、1日24時間運転だと約2年でユニット(¥3,000くらい)交換が必要ですorz
プラズマクラスター7000には必要無いようです。。。なので、本体も割高な上にランニングコストも高い方を選んでしまいました・・・が満足です。

レビューという程でも無いのですが、使った感想を。
・本気だすとうるさい。おまかせ運転だと温度にわわせて湿度を調整してくれます。
室温24℃だと、湿度33%くらいにしようと頑張るのですが、湿度が1%減るだけで、全力運転になります。。。。
全力で回ると掃除機ばりにうるさいです。
夜は照明を消すと勝手に静かに運転してくれるので、夜中も回してますがそこは大丈夫でした。
※まぁ一応心配だったので先に1台だけ買って、夜中試して問題ないかを確認して買い足しました。

・加湿力は・・・正直550ml/hですが、これって前述の通り、全開フルパワーなので、正直どうなんでしょう。。。あんまりガンガン加湿してくれてる感じはしないです。けど、確実に湿度は上がってるかなぁというくらいですね。

・湿度の表示がちょっとずれる?実際の湿度より低い気がします。(センサーの場所のせいかな?)
温度は割と手元の温度計とあってますが、例えば手元の湿度計で40%あるのに、表示上は33%くらいだったりします。

・給水タンクの強度が不安・・・。取っ手がちょっと安いっぽいです。。水の量はうちの大きさだと問題ないかな。あんまり広い家ではないし。

結論、夜中中エアコンの暖房をつけっぱなしにしても、朝方喉が痛いことは無くなりました。

■恒例の年末年始振り返り(2018/12/28-2019/1/6)

毎年グダグダな年末年始の振り返りです。


・12/28 有給休暇。通院、ヨドバシカメラで空気清浄機用の延長コードなどを購入

・12/29 特に何もせず、2台目の加湿空気清浄機の設置とか、グランツーリスモとか。

・12/30 サックスの練習納め

・12/31 大掃除、ガキ使を最後まで見る

エアコンのフィルターも頑張った。


・1/1 新年会
今年は冷凍おせちを頼みました!日テレポシュレの和洋中おせち3人前(¥12,100(送料込み))です。
サイズも4人で食べるのにちょうどよく、美味しかったです。


・1/2 ダウン

・1/3 ゴロゴロとAmazon Primeで映画を見る

・1/4 有給休暇。廃人。

・1/5 EWIの練習をしたりした。

・1/6 PSYCHO-PASSを新編集版〜2期〜劇場版の順で全部みた。

〜仕事始め〜

・1/12-14 物語シリーズをdアニメストアで全部みた。

・1/14 結局Kindle Unlimitedは解約(キャンペーンで3ヶ月¥299だった。)

 ■FortiOS v6.0.4 build0231が出ていたので更新(2019/1/20)

更新しました。
以下リリースノート

http://help.fortinet.com/fos-rn/6-0-4/Content/FOS_RN/0200_Introduction.htm

久々に問題なくアップデートできて一安心。

known issueにとんでもない一言ありますね。これもうNGFWモードやめようかな。

Bug ID

Description

435951

Traffic keeps going through the DENY NGFW policy configured with URL category.

Bug ID

Description

480003

FortiGuard category does not work in NGFW mode policy.

 

まぁそんな感じの年末年始でした。

以下、とりとめのないことをつらつらと。

実はまだサックスの練習始めをまだしていないのです。。
なんか、成人の日の三連休もグダグダとしてしまい、今週もグダグダと・・・。

なんか最近週末に全然元気が出ないですねー。
それと、最近寝起きに腰がめちゃくちゃ痛いんです。

パニック障害の方も良くなりつつあるのですが、まだ完治には時間がかかりそうです。

 

そういや、WordPress 5.0のエディタが鬼のように使いにくいので、結局Classic Editorなるプラグインを入れてしまいました。。

ではでは。またの機会に。

【雑記】書きたかったこと。出来事。買ったものとか(2018年9月、10月分)

ども。こんばんは。

またまたまた雑記です。


 

■ついにCisco IP Phoneが動く(2018/09/23)

ずいぶんかかりましたが、やっと動きました。

別記事でいろいろ書きたい気持ちはあるのですが要点だけ・・・・

【環境】

電話機:Cisco IP Phone 7961G 
バージョン:9.4(2)SR3 (sip.9-4-2SR3-1)
リリース:14-FEB-2017
コール制御:SIP

SIPサーバ:FreePBX
FreePBXバージョン:6.12.65-27
Asteriskバージョン(core show version Version):
Asterisk 13.3.2 built by mockbuild @ jenkins2.schmoozecom.net on a x86_64 running Linux on 2015-04-09 00:37:16 UTC

ハマったポイント:とにかくREGISTERしても401 unauthorizedが大量に出てしまう。

結論:9系からどうやらUDPでのSIPが動かないらしいので以下の対応を行う。

・CHAN SIPを使う。TCPで。なぜかPJSIPだとだめっぽい。もうこれはわからん。
→TCPの有効化は[Settings]->[Asterisk SIP Settings]->[Chan SIP]に移動し、”Other SIP Settings”に手書きで、「tcpenable」=「yes」と設定する。

・参考

Cannot register Cisco 7942 to Asterisk

I’ve run into this problem before, and what I discovered is that Cisco dropped SIP UDP support in v9… only SIP TCP support…

see here for more discussion, and how to make v9 SIP TCP work with Asterisk 1.6.2.13+

-Ric

 

■macOSを10.14 Mojaveにアップデートした(2018/09/30)

ダークテーマがなかなか格好いいです。

■時計がやっと修理から帰ってきた(2018/10/06)

やっと帰ってきました。(取りに行くのが遅くなっただけですが・・・)

修理代は¥4,500(税抜き)でした。結局ベルトは保証外のため、ベルトまるごと交換という感じです。

 

■バッグインバッグを買う(2018/10/10)

買ってみました。

(バッグスマート) BAGSMART ガジェットケース PC周辺機器 収納 ケーブル類整理用品  ¥1.920

今はだいぶ昔の週刊アスキーの付録のガジェットケース?にまとめていて、これはこれで便利なのですが、

こういう別れてるタイプもいいかなーと。

 

入れた感じはきれいなのですが、さっと取り出してさっとしまう、という点においてちょっと手間がかかりますね。。。

 

■いろんなポイントカードをGoogle Payに集約してみた(2018/10/12)

はじめました。

とりあえずTポイントとかマツキヨとかを集約しました。

TポイントはYahooでログイン、その他は、バーコードをスキャンする感じです。

ゆくゆくSuicaとEdyなども統合したいのですが、まだまだ残高の引っ越しなどはアプリ経由でやる必要がありそうで、もうちょっとネイティブ?に統合されない限り待ちですかね。

テレビコマーシャルのようにいちいち財布からポイントカードを探さなくて良くなったは大きいです。

 

■BLUE GIANT全巻、BLUE GIANT SUPREME既刊5巻まで一気読み。(2018/10/14-2018/10/16)

kindle版で購入。

主人公の青年が世界一のジャズプレーヤーを目指すというお話。
ちなみに主人公はセルマーのテナーサックスを使っています。

『BLUE GIANT』は、石塚真一による日本の漫画。ジャズを題材とした作品で、『ビッグコミック』にて2013年10号から2016年17号まで連載された。同誌2016年18号からは『BLUE GIANT SUPREME』とタイトルを改め、舞台をドイツに移しての続編が連載されている。(ウィキペディアより)

これ超面白いです!続きが気になりますね。

音がないはずなのに音が聞こえるような不思議な漫画です。

 

■Kindle Unlimitedが3ヶ月 ¥299なので試してみた(2018/10/20)

お試し中です。

うーん。うーん。意外と。。うーん。

Prime Readingで最近クレヨンしんちゃんが読めるのですが、3巻までしか無料ではなく、Unlimitedだったらもしや?と思いましたが一緒でした。。。

うーん。多分3ヶ月後覚えてたら解約かな。。

参考:“Kindle Unlimited”が3カ月で299円! Amazonがプライム会員向けキャンペーンを実施中

 

■FortiOS 6.0.3が出ていたのでアップデートした(2018/10/19)
 

相変わらず一回ではうまくいかないし、また再起動後にディスクチェックしろといわれました。。。

以下リリースノート。

https://docs.fortinet.com/d/fortigate-fortios-6.0.3-release-notes

バグ修正メインですかね。しかしいっぱいなおってるなー。

 

■携帯の充電器が壊れたので買い替えた(2018/10/20)

HTC U11と一緒に購入した「Typec共通ACアダプタ01」の1つが壊れました。

接続するとスマフォ側は認識するっぽい?(バッテリー切れの表示は消える)のですが、いかんせん1%も充電が進みません。。

しょうがないのでauショップで買ってきました。

¥2,970なり。

ちょっと割高なのですが、ケーブル一体型で意外と気に入っています。

まぁ一応純正?といえば純正だし・・・。

■2018楽器フェアにいってきた(2018/10/21)

久々のお出かけネタ。

別記事にアップしました。

2018楽器フェアに行ってきました

こちらは別記事で後ほどアップしたいと思います。


 

お、今回はあんまり内容がなかったですね。。。

季節もすっかり秋めいてきましたね。

寒暖差にやられたのか、ちょっと風邪気味です。

ではでは。またの機会に。

【雑記】書きたかったこと。出来事。買ったものとか(2018年8月分)

ども。こんばんは。

またまた書きたいことが溜まっているのですが、全然かけてません。。。

1ヶ月分まとめ書きます。

 

■新しいスイッチ(2018/08/03)

Catalyst WS-C3560CPD-8PT-Sを買いました。

ヤフオクで、¥22,000(税抜き)で落札。
T ポイントを¥5,900分使って購入しました。

なんと、PoEで受電もできて給電もできるスグレモノ。
※給電能力が低くて、あとあとえらい目にorz

一通りファームウェアなんかを上げて、(Cisco,comでダウンロードできた)すでに利用中。

利用目的は次の項目で!

Switch Ports Model                     SW Version            SW Image                 
—— —– —–                     ———-            ———-               
*    1 10    WS-C3560CPD-8PT-S         15.2(2)E8             C3560c405ex-UNIVERSALK9-M

■新しいAP(2018/08/03) 

モノ自体は、結構前に入手していました。(平たく言えば頂き物)。Aruba 303H。

どうせならPoEで動かしたいなーということで、PoEスイッチを物色していました。
上述の3560を買ったので構築しました。

うちにはAmazon Fire TV StickとかFireTVとか、Echo dotとかAmazonデバイスがいくつかありますが、Amazonデバイスは5GHzを利用する場合、W52の36, 40, 44, 48の4チャンネルにしか対応していないという問題があります。

参考:Fire TV Stick (New モデル)

で、しょうがなくCisco WAP150を48Ch固定で利用していましたが、それもいまいちだなーということで、Amazon系デバイスのみを収容する48Ch固定APとしてArubaを使うことにしました。

構築も終わって、一応WPAエンタープライズまで設定終わってRADIUS認証もバッチリになっています。

構築中のいろいろなことを書きたいのですが・・・・まだかけていません。。。

特にハマることなくGUIポチポチで構築できました。

こんなことを書こうかと。

・仮想コントローラー機能が便利
・VLANの当て方
・SSIDの作り方
・RADIUS認証
・謎のステーションがつながってくる
・別セグから管理接続がでいない!?
・RADIUSは仮想コントローラをProxyとして、SYSLOGは本体から。

 

■WAP150とmacOS Xの組み合わせで12時間で認証が切れ再認証できない問題に気づいた(2018/08/04)

気づいた。なんでやろう・・・・。

12時間後にepolを受信したら、そっからしばらく繋がらなくなります。macOSだけ。。。

12時間でdeauthされた後、再接続にもたつく、というかmacOS側で無線のoff/onとかしないとだめっぽい。

■久々NASのファームウェア更新(2018/08/05)

なんと、Chromeのセキュリティ機能のせいか、SSL/TLS関係の問題?で、QNAPの管理画面に接続できなくなりました。。。

NET::ERR_CERT_INVALID

そして、ReadyNASもChromeだと管理画面がロードできません。。。

ということでしばらくFireFoxでそれぞれ管理しないとだめです。原因調査中。

バージョンアップ後は

QNAP:4.2.6(Build 20180711)
ReadyNAS:6.9.3

そして、QNAPは8本のディスクのうち3本でSMART警告がorz

■電話(IP Phone)に手を出してしまう(2018/08/07)

Cisco IP Phone 7961G

ヤフオクにて¥3,780で購入。

これが曲者でAsterisk(FreePBX)でつなごうとしていますが、1ヶ月たっても動いていません。。。

これも、上述の3560につないだ・・・のですが、なんとC3560CPD-8PT-Sは、給電能力が恐ろしく低い!

以下Ciscoのサイトより。

これ、Arubaを1台つなぐと、Class 4なので15.4Wが割り当てられ残りは0になってしまう。。。

アップリンクがUPOEの場合で、補助電源を使うと23.8Wまで給電できるようですが、それにしても・・・

ということで、まず3560でcdp(cdp run)を走らせて、IP Phoneが通知してくる消費電力を調べて見たところ、6.3W(cdp走らせる前はclass2で7W扱い)あれあばいいことがわかり、残りをArubaに全振り・・・。
※no cdp runをおまじないのように入れてましたが、こういうところで効いて来るんですね。昔のおまじないは全部見直したほうがいいなぁ。

Aruba 303hはカタログ(↓)だと最大9.7W消費のようですが、

15.4w-6.3w=9.1w

・・・たりねー。。けど、禁断の「power inline consumption 9100」をArubaのポートに実行。。。
これで9.1Wに制限されるはず。。

 

・・・動いた!

※絶対やらないほうがいいです。最悪機器が故障するかもしれません。Catalystのコマンド投入時時にも警告メッセージもでます。

#show power inline

Available:15.4(w)  Used:15.4(w)  Remaining:0.0(w)
Interface Admin  Oper       Power   Device              Class Max

                            (Watts)                            
——— —— ———- ——- ——————- —– —-
Gi0/1     auto   off        0.0     n/a                 n/a   30.0
Gi0/2     auto   on         9.1     Ieee PD             4     30.0
Gi0/3     auto   on         6.3     IP Phone 7961       2     30.0
Gi0/4     auto   off        0.0     n/a                 n/a   30.0
Gi0/5     auto   off        0.0     n/a                 n/a   30.0
Gi0/6     auto   off        0.0     n/a                 n/a   30.0
Gi0/7     auto   off        0.0     n/a                 n/a   30.0
Gi0/8     auto   off        0.0     n/a                 n/a   30.0

#sh power inline consumption
Interface  Consumption      Admin             
           Configured    Consumption (Watts) 
———- ———–  ——————-   
Gi0/1          NO                 0.0
Gi0/2         YES                 9.1
Gi0/3         YES                 6.3
Gi0/4          NO                 0.0
Gi0/5          NO                 0.0
Gi0/6          NO                 0.0
Gi0/7          NO                 0.0
Gi0/8          NO                 0.0

 

電源周りが落ち着いて?やっとIP Phoneの設定。

これがまだ執筆中段階でも全然うまくいってません。

ここまでやったこと

・DHCPでtftpサーバを配る(←ここでもやや苦戦。結局オプションは150で。FreePBXはtftpサーバが標準で動いている。)
・SIPファームウェアに書き換え(←だいぶ苦戦。zipは展開してからtftpに置きましょう)
・SIPレジスト用にconfig作成(←ここでつまる)

わかっていること

・SEP<MAC>.cnf.xmlファイルを読み込むらしいのでこれを作る。
・**#**という再起動方法。時間短縮ならAlternate TFTPをYes/No切り替えだけでconfig読みに行く。(ロックされてる場合は**#で解除。)

・PJSIPだとレスポンス401(unauthorized)まみれになる。これはなんかNAT関連の設定っぽい?

Cisco 7940 registration problem RESOLVED

・CHANSIPなら行けそう。実際Asteriskまでは言ってるぽいが、例えば内線300にかけようとすると「3」をプッシュした瞬間にSIPのINVITEが送られてしまう。あと、どのみちRegistできてないので、Ring Groupに入れてても電話ならない。

■コアの3750のIOSを上げた(2018/08/14)

フラッシュの容量が15Mしかなくて参った。けど、普通にdeleteして更新したら行けた。

あと、この日停電した。(大雨で瞬断)

Switch Ports ModelSW VersionSW Image
—— —– ————————-
*1 24WS-C3750G-24T12.2(55)SE12C3750-IPSERVICESK9-M

■FortiGateのsslvpndが暴走していた(2018/08/14)

sslvpndのCPU使用率が高騰し100%近くに。。。

英語でいうとHigh CPU Usageできなやつですね。

とりあえずOSごと再起動。使用率が上る前にそういえばWebベースのSSL-VPNつかったかも。

これ後述のFortiOS 6.0.2で修正されたバグっぽい?

※もちろん誰もつないでいない状態であることはMonitor->SSL-VPNで確認済み。

 

■肩こり対策にマッサージャーを買ってみた(2018/08/21)

Naipo 首マッサージャー ネック・ショルダーマッサージ 器 ヒーター付き 首・肩・腰・背中・太もも 肩こり

Amazonで¥6,280なり。

うーん。まぁまぁですね。

レビューにもありましたが、これ電熱ヒーター?が付いていますが、電源入れるとONになります。この時期は要らないので毎回Offにしないとだめです。

あと思ったより手がだるい。

効果はそこそこ?

■熱出した。(2018/08/23-8/26)

久々に熱出して寝込みました。

38度ちょっとの熱が丸二日。。今も咳が残ってます。

このデタラメな風邪の治し方がいつまで通用するんだろう。。。

■マクロスΔ 劇場版(2018/08/27)

劇場版 マクロスΔ 激情のワルキューレ (特装限定版) (購入者ライブイベント抽選申込券付) [Blu-ray]

Amazonで¥7,252なり。

これはなかなか良かった!

 

■時計が壊れた(2018/08/28)

 ディーゼルのスマートウオッチ(DZT2004)のベルトが壊れましたorz

参考:スマートウォッチデビューした

ベルトのコマが壊れてしまいました。

ヨドバシの時計修理に持っていたのですが、購入時の余ったコマでは直らないそうで、8/31に購入店まで持っていきましたが、預かり修理とのこと。。。最悪ベルト全部交換らしい。。。

結果は1週間ほどかかるらしい・・・。

■FortiOS 6.0.2が出ていたのでバージョンアップした。(2018/08/30)

リリースノートざっと見た感じバグ修正メイン?

https://docs.fortinet.com/d/fortios-6.0.2-release-notes

上に書いたSSL-VPNのCPU使用率が異常に上がる不具合が直ったぽい。

 

■新しい折り畳み傘(2018/08/30)

先日のゲリラ豪雨でついに10年以上愛用した折り畳み傘に止めが刺されてしまいました。

以下壊れた傘。わかりにくいですが、骨が一本完膚なきまでに折れました。

社会人になってすぐに買った傘で何度救われたことやら・・・。長い間お疲れ様でした。

で、新しいやつを。

Knirpsかtotesで悩みましたが、今回はKnirpsにしました。

Knirps 折りたたみ傘 ワンタッチ自動開閉 耐久性強化 【正規輸入品】 T.220 MediumDuomaticSafety Black KNT220-1000

Amazonで、¥7,238なり。

大きさ、重さのバランスがよく、自動開閉のモデルです。が、カバンにギリギリ収まらなかったorz

 

 

■サックスがメンテナンスから帰ってきた!&新しいリード購入(2018/08/31)

帰ってきたというか取りに行ったのですが。

バランス調整とタンポの清掃に出していました。

購入後5年以内ということで無償でやっていただきました!

約1ヶ月ぶりに吹いてみましたが、確実に吹きやすくなってる!

あと、リードも新しいのを買いました。新しいと言っても、前と同じWood Stoneの3 1/2です。

クロサワ楽器さんで¥2,332でした。前回Amazonで買ったのより安い!

前回購入分は、1本だめにしてしまったのと、残念ながらどうしても音がうまく出ない、いわゆるハズレが1つあったので、約1年で3つを使いまわした感じですね。

来週から1つ開封してローテに加えようと思います。

ついでにリードケースの保湿剤?バイタライザー?を交換。

参考:サックス練習 – 19 –

■パソコンがぶっ壊れた(2018/08/31)

ディスク障害っぽい音がしてるなーと思って、ちょっと触ったら電源すら入らなくなりました(T_T)

 

これはもともとTV録画サーバで、2010年ごろから使っていますね。

ボロいはずだorz

新しいマシン

まいったな~。データは惜しくないのいですが、録画サーバを再構築するのがしんどい。。。

最近はREGZAで全部録画してるしもういいかな・・・・。

■ドメイン更新@3年(2018/9/2)

先程更新しました。1年で¥1,280。最長9年まで更新できたっぽいですが、とりあえず3年で。

いつまでこのブログが続くかな・・・。

 

 

8月も終わって、そろそろ秋ですね。まだ台風が来ているみたいですが。。。

ではでは、またの機会に。

 

 

 

FortiGate Eシリーズ(60E/100Eなど)でGUIにログがでない場合

ども。こんばんは。

ハマりました。

FortiGateはEシリーズから、x1シリーズにはディスク(例:61E/101Eなど)が搭載され、60Eや100Eなどでは、ディスクがありません。

で、メモリロギングを有効にしてもGUIにトラフィックログ(転送トラフィック)が全然出ません。。。

いろいろ、set log memory settings statusをdisableにしたりenableにしたりいろいろしましたが、全然改善せず。。

結論から言うと、ログの重大度(Severity)をInformation(情報)以上に変える必要があります。

# config log memory filter
(filter) # set severity information
(filter) # end

以下のサイトが参考になります。

Configure in-Memory logging on Low-end Fortigate without hardisk

ちなみにVPNイベント(IKEのログなど)も、この設定を入れると今までのように出るようになります。

確認バージョン:FortiOS 5.6.4

ではでは。またの機会に。

FortiOS 5.6.4 build 1575が出ていた

ども。こんばんは。

でてますね。

https://docs.fortinet.com/uploaded/files/4389/fortios-v5.6.4-release-notes.pdf

これ、なんとなくですが、FortiOS 6.0の時のリリースノートでの注意事項に似ていますね。ダウングレードしたときに保持される項目とかとか。もしかして、中身ほぼ6.0だったりして・・・。

っとおもったら、前までは5.6.3から6.0へのパスはない!という表示でしたが、こんな感じに変わってますね。
やっぱり6.0にするための中間用って感じなんですかねー。

 

ちなみにFortiCloudにはまだきてませんね。
※そういやこないだまで90Dはサポート外って表示だった気がする・・・けど、対応したのかな?

 

早速アップデート!と行きたいのですが、以下のようなエラーでアップデートに失敗しますねー。

Image Upgrade Failed

再起動しても駄目ですね。

なんだろう。。。

bootパーティション2個とも埋まってたら駄目とかあるのかなー。まさかねー。
そういえば以前のバージョンだとファームウェア更新のときにbootデバイスのフォーマットってのが合った気がしますね。

特にディスクが足りないってこともないしなぁ。
ForiNetから落としたファイルが壊れてるのかなぁ。
ログにも全然でないしなぁ。。。

xxx (global) # diagnose sys flash list

Partition  Image                                     TotalSize(KB)  Used(KB)  Use%  Active
1          FGT90D-5.06-FW-build1486-170816                  253871     48593   19%  No    
2          FGT90D-5.06-FW-build1547-171204                  253871     50467   20%  Yes   
3          ETDB-58.00134                                   1388840     21980    2%  No    

Image build at Dec  4 2017 20:58:29 for b1547

xxx (global) # diagnose hardware deviceinfo disk

Disk SSD             ref: 255  29.8GiB    type: SSD [ATA Mini PCIeDOM 1ME] dev: /dev/sda
  partition ref:   1  29.3GiB,  28.6GiB free  mounted: Y  label: LOGUSEDX263AA934 dev: /dev/sda1 start: 63

Disk SYSTEM(boot)    ref:       1.9GiB    type: USB [FORTINET 61_V030910_002] dev: /dev/sdb
  partition ref:     247.0MiB, 200.0MiB free  mounted: N  label:  dev: /dev/sdb1(boot) start: 0
  partition ref:     247.0MiB, 198.0MiB free  mounted: Y  label:  dev: /dev/sdb2(boot) start: 0
  partition ref:  19   1.3GiB,   1.3GiB free  mounted: Y  label:  dev: /dev/sdb3 start: 0

Total available disks: 2

Max SSD disks: 1  Available storage disks: 1

一旦今日は終わりですね。

ではでは。またの機会に。

FortiOS 6.0.0が出ていた

ども。こんばんは。

知らぬ間に出ていました。

まだ上げてないけどまとめ。

Introducing FortiOS™ 6.0

主な新機能??(What’s New – Key Featuresより)

Multi-path intelligence for SD-WAN
Asset tagging
FortiCASB integration
Multi-cloud support with SDN connectors
FortiClient Support For Linux
New FortiGuard services
Indicator of compromise (IOC) quarantine and IP ban
FortiMail and FortiWeb feature enhancements
Administrator-defined automation
Automated security audits and expanded audit rules

リリースノート

https://docs.fortinet.com/d/fortios-6.0.0-release-notes

リリースノートザーッと呼んで見ての確認事項とか気になるところ。

・FortiGuard Security Rating Serviceってなんだ?
・ファクトリー証明書がデフォルトで2048bitになるっぽい。バージョンアップしたら証明書やられる?
・GUI上はなんかアップグレードパスが見つからないとか書いてるが大丈夫か。

・5.6.1か5,6,2以外からアップデートする場合は4433ポートをSSL-vpnとかから外さないといけないっぽい。うちは5.6.2だけど、そもそも4433って何かですでに使われてたか確認。
・5.6.3以降からのアップデートでゾーンに物理インターフェースが含まれてると吹っ飛ぶ・・・?
原文:Upgrading from 5.6.3 or later removes all of the members of a zone if the zone contains a physical interface and at least one of that physical interface’s VLAN interfaces.
デフォルトのTLSバージョンが1.1以上になった
・上げた後にリストアするとほぼ設定が戻らないっぽい。※まぁこれはいつも通り念のため上げる前に取得したバックアップを戻せばいいかな。
戻るのは以下の設定・・・ってポリシー戻らんやないかい!

operation mode
interface IP/management IP
static route table
DNS settings
VDOM parameters/settings
admin user account
session helpers
system access profiles

・VDOMのショートネーム、ロングネームってなんぞや。ダウングレードまでには最大11文字に短くする必要がある?前からそんな仕様あったっけ。
・どのバージョンからかは知らぬがResolved Issue多すぎじゃね。。。
・このKnown issue大丈夫か・・・?

451348 Flow AV SSL traffic EICAR detection failure
435951 Traffic keeps going through the DENY NGFW policy configured with URL category.
→・・・あ。これKnown Issueやったんか・・・。ざけんなNGFW!!!

そんなところか。Known Issue結構あるなー。

まぁそんなところですね。今日は上げません。

ではでは。またの機会に。

 

FortiOS 5.6のNGFWとDNSフィルタの使えなさがやばい

はい。やばいです。

先日も書きましたが、下手にアプリケーションでポリシーを書くとえらい目にあります。

このvideoとaudioのポリシー、SMTPまで引っ掛けてました。。。。

あと、DNSフィルタですが、これも酷い。。。

なんかmoneyforwardにつながらないと思ってたら、FortiGateのせいだった。。。

なんかね、名前解決できるはずなのに、エラーと判断した上にRedirectしやがった。(デフォルトではFortiNetのDNSにリダイレクトされる。)

なので、もう一旦無効にしましたよ。

以前のようにポリシーのプロファイルとしてURLフィルタが当てられないので、地味に困る。

結局またall->all->allで、URLカテゴリ指定したポリシー作ってもいろんなものが吸い寄せられるんだろうなあ。

うーん。これはNFGW機能OFFにして旧来通りのポリシーベースにしようかなぁ。。

ではでは。またの機会に。