「Fortinet FortiGate」カテゴリーアーカイブ

FortiGateで特定のイベントだけSYSLOGに出力する

FortiOS 6.2.4 6.2.5で動作確認ずみ。

FortiGateからSYSLOGでログを飛ばす際にWebfilter(URLフィルタ)のログだけ出したいような場合のフィルターの書き方を見つけたのでメモ。

以下の例は2番目のsyslogサーバ(syslogd2)のでwebfilterだけを飛ばす場合。

set forward-traffic enable(デフォルトでenable)のままでもトラフィックログは飛んでこなかった。

ちなみにlogidでフィルタしてもいいのだけど、webfilterだけでいいとかの場合は、↓のほうが楽な気がする。

一応blockもallowも飛んできました。

# show log syslogd2 filter 
config log syslogd2 filter
set filter “webfilter-level(information)”
end

その他filterで使えるもの

Please input the logid list or level (or both) as filters.

[logid(…)] [traffic-level(…)] [event-level(…)] [virus-level(…)] [webfilter-level(…)] [ips-level(…)] [emailfilter-level(…)] [anomaly-level(…)] [voip-level(…)] [dlp-level(…)] [app-ctrl-level(…)] [waf-level(…)] [dns-level(…)] [ssh-level(…)] [ssl-level(…)] [cifs-level(…)] [file-filter-level(…)]

See the following 2 examples.

example 1

set filter “logid(40704,32042)”

example 2

set filter “event-level(information)”

The available levels are as the following:

emergency,alert,critical,error,warning,notice,information,debug

昔は、webfilterとかipsとかの単位でかんたんにenable/disableできたような・・・。

FortiOS 6.2.5が出ていた

リリースノート

https://docs.fortinet.com/document/fortigate/6.2.5/fortios-release-notes/760203

我が家では以下の問題が解決

みんな大好き!MTUのコーナー
→なぜかMTUを手動で調整しないとPS4がPSNにサインインできない。

なぜかiPadのFacebookアプリが記事の読み込みができない。

特にそれらしいresoved issueはなさそうだけど、多分MTU周りの修正が入っていると思われますね。

みんな大好き!MTUのコーナー

ども。こんばんは。

MTUの話です。

職場ではネットワークのトラブルを聞きつける度に「MTUが大っきいんじゃない?」と詳しく聞く前に口にしますが、たまに当たるから馬鹿にできないんですよね。しかもMTU(MSS)周りって気づきにくいことが多いので、とりあえずどんなトラブルでもMTUを疑うようにしています。
※もちろん切り分けはOSI参照モデルの物理層から順番に!

【関連】
くどいほどにMSSとかMTUの話

FortiGateをリプレイスしまして、何故かPS4がPlaystation Networkにサインインできないという事象が発生しました。

ネットワーク診断をやってみると、インターネット接続は成功するのにPlaystation Netowrkだけ失敗する状況です。

PS4は、固定IPアドレスのInterlink回線から、Virtual IPでスタティックNATをしています。
SD-WAN Rulesで、出口はPPPoEにしてるんですけどねー。

FortiGate リプレイス前は、こんなトラブルなかったのですが、MTUを1454に設定したら直りました。

FortiGate側のPPPoE Status ReportはMTU 1454をちゃんとひろってるのになー。なんでPS4側で調整しないとだめなんだろ。

もしかして、SD-WANインターフェース関連・・・?なのか・・・?

FortiOS 6.2の問題なのかSD-WAN利用時の問題なのかは不明です・・・。

以下おまけです。IPoE(OCNバーチャルコネクト)側はどうなってるのかmacOSで調べてみました。macOSでDFを有効にしたMTUの調査用Pingコマンドはこんな感じです。

# ping -D -s 1432 8.8.8.8 -c 1
PING 8.8.8.8 (8.8.8.8): 1432 data bytes
76 bytes from 8.8.8.8: icmp_seq=0 ttl=53 time=56.544 ms
wrong total length 96 instead of 1460

— 8.8.8.8 ping statistics —
1 packets transmitted, 1 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 56.544/56.544/56.544/0.000 ms

1432(MTU 1460)が最大です。IPv6でカプセル化してるしこんなもん?なのかな?

念の為、インターリンク回線に収容しているLinuxでもチェックしました。

# ping -c 1 -s 1426 -M do 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 1426(1454) bytes of data.
76 bytes from 8.8.8.8: icmp_seq=1 ttl=54 (truncated)

— 8.8.8.8 ping statistics —
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 5.724/5.724/5.724/0.000 ms

想定通り、MTU 1454(1426にICMPヘッダとIPヘッダを加えた値)ですね。

ブラウザでお手軽に調べるのは以下のサイトが便利です。

http://www.speedguide.net/analyzer.php

ではでは。またの機会に。

FortiGate 90D(FortiOS 6.0)からFortiGate 50E(FortiOS 6.2)へのリプレース完了。

ども。こんにちは。

GWを満喫するため、FortiGateをリプレースしました。

DSC_0024

だいぶ前に購入していたFortiGate 50Eにリプレースしました。
2019年の年末にリプレースする予定だったのですが、仮想基盤を吹き飛ばしたりするトラブルがあって先延ばしにしていました・・・。

リプレース前:FortiGate 90D FortiOS v6.0.9 build0335 (GA)
リプレース後:FortiGate 50E FortiOS v6.2.3 build1066 (GA)

今回のポイントを簡単にご紹介します。

■Fortinet OneからFortiCloud(FortiGate Cloud)への変更/アカウント切り替え

購入時の状態は、とある代理店さんのアカウントでFortinet ONEとやらに登録されていました。おそらく多数の台数を展開するには便利なしくみなのでしょうがこのままと自前のFortiCloudのアカウントへログのアップロードなどができません。

アクティベーションの画面で「FortinetONE」ではなく、「FortiGate Cloud Multi-Tenancy」に変更します。

ことのとき「Email」にもともと入っていた代理店さんのメールアドレスが残ったままなので、一見入力できないように見えるのですが上書きすることができます。

これでアカウントの切り替えができます。
ただ、これをやっても、FortiCare Supportのところは代理店さんのメールアドレスのままです。

■NFGWモードをやめた

今回は、やめました。もしかしたら6.2で改善されているかもしれませんがトラウマなのです。Profile-basedにしました。

参考:FortiOS 5.6のNGFWとDNSフィルタの使えなさがやばい

NGFWモードをPolicy-basedからProfile-basedに変更したので、NAT設定の移し替えが多少面倒です。ポリシーベースだと、Central NATを使うことになりますが、Profile-basedにすると従来どおり各ポリシーでNATの有無を設定することになります。

■SD-WANを設定して2本の回線を収容

今回FortiGate 50Eには合計3本の回線が収容されました。

簡単ですがこんな感じです。(draw.ioで描きました。)

固定8IPアドレスが付与されるInterlink回線、通常の動的IPのPPPoE回線、IPoE回線(※)の3回線を2つのVDOMに収容し、Interlink回線とIPoE回線でSD-WAN(旧WANリンクロードバランス/WAN冗長化)を設定しています。
※MAP-Eを利用するため別途ルータを利用。
参考:OCNバーチャルコネクトでIPoE + IPv4 over IPv6接続 – 2 –

今までは、スマートフォンなどの帯域を多く消費する機器は、Poliicy Base Rouringで送信元IPアドレスをもとに、VDOMリンクに渡して出口を変えるということをしていましたが、随分スッキリしました。

VDOMを複数またぐこともなくなったので、パフォーマンスも向上したようです。

なお、今回は回線のバランシングはせず、原則IPoE回線とし、AWSへの接続など固定IPで制限をかけている宛先等について、SD-WAN Rulesで制御しています。

SD-WANの設定はこんな感じ。
IPoE回線のコストを低くして寄せています。

この設定だけでは片寄できないようです。
というのも、デフォルトのSD-WAN Rulesの設定で送信元IPアドレスベースでバランシングされてしまいます。

このため、以下の様なルールを設定しました。

このルールを作ってあげるとImplicitが効かなくなり、コストの低いIPoE側を常に利用するようになります。
もし個別でどちらかの回線だけを使いたい場合は、StrategyでManualを選択します。

たぶん。

■FortiClientが無償で収容できなくなった

FortiOS 6.0までは、10台分のFortiClinentのライセンスが付いていましたが、なくなってしまったようです。残念。

SB C&Sさんの技術ブログに詳細が記載してありました。

FortiClient 6.2 Update

テレメトリー機能も、AVも使えなくなってしまいました。。。

以下、C&Sさんのサイトからの引用です。

■ VPNクライアント機能
Win/MAC/iOS/Android共に無償で利用可能

【ATTENTION!】 FortiClient 6.2移行、VPNクライアントは独立しFortiClient VPNとなります。FortiClient 6.0からアップグレードは出来ないため新しくFortiClient VPNのインストールが必要です。(※FortiOS6.2.1ではFortiClient 6.2でIP-sec/SSL-VPN接続することが可能です)

■ FortiClient向け アンチウイルス/Webフィルター機能
【ATTENTION!】 FortiClient 6.2以降有償利用となります。利用する場合にはFortiClient Security Fabric Agentライセンスが必須です。

■FortiClient Telemetry機能
【ATTENTION!】 無償利用可能な10ライセンスが廃止。FortiClient 6.2以降は全て有償利用となります。FortiClient Telemetry機能にはFortigateとFortiClientとが連携し動作する機能が該当します。OS6.0までFortiClient Telemetryのライセンスを購入していなくても(一応)使えていた「Security Fabricの脆弱性端末の可視化」や「エンドポイントの隔離機能」などは今後FortiClient Security Fabric AgentライセンスをFortiGateに適用した段階で利用することが可能となります。FortiClient 6.0にてFortiClient Telemetryライセンスをお持ちの場合、FortiClient 6.2では別ライセンス(FortiClient Security Fabric Agentライセンス)の再購入が必要になります。

■FortiOS 6.2に関する諸々

FortiOS 6.2 メモ(随時更新したい・・・)に追記したいと思いますが気づいた点はこんなところです。

NGFW ModeはProfile-basedでの確認です。

  • ポリシーごとにInspection ModeでFlow-based/Proxy-basedが選べるようになっており、VDOMごとのInspection Modeがなくなった。
  • アンチウイルス(Anti Virus)のScan ModeがなくなってFull/Quickがなくなったぽい。
    cliではset scan mode legacyが用意されている
    それぞれのモードの違いっぽいのが以下のドキュメントに記載があったけど、これであってるのかな?

    Inspection mode differences for antivirus

  • 5.6あたり?から見当たらんくなってたプロトコルオプション(Protocol Option)が復活。
  • 何故かデフォルトのCertificate-inspectionで、FULL SSL inspectionになる動きがあった。たまたま・・・か?
    しょうがないので自分でプロファイルを作った。
  • Virtual IPでインターネットから公開するNATをした場合の内部発通信について、VIPと同じインターフェースから出すにはSD-WAN Rulesに設定が必要。これをしないと、SD-WANのほうが勝ってしまい、VIPのDNATと自発の通信でグローバルIPアドレスがずれてしまう。

■配線が汚い

毎度毎度思いますが、相変わらず汚いですね。

ではでは。またの機会に。

久々にフレッツネタ – サービス情報サイト(NGN IPv4)にFortiGateで接続する

ども。こんばんは。

別にFortiGateあんまり関係ないのですが・・・。

ちょっと最近混雑する時間帯のOCNの速度が全然出ないのでDS-Liteにでも手を出そうかなと思っていろいろ調べています。

ただ、OCNのIPoE方式は、我が家にはまだ対応していない模様。

OCN IPv6インターネット接続機能(IPoE) 今後の提供予定について

どうやら、「2017年7月24日以前にOCN 光をご利用開始したお客さま、2017年8月31日以前にOCN for ドコモ光をご利用開始したお客さま、2018年6月14日以前にOCN 光 with フレッツをご利用開始したお客さま」はまだ未対応らしい?です。

うーん。InterlinkのZOOT Nativeにでも契約してやろうかな。。。

さて、DS-LiteというかIPoE?を使ってVNEから出ていくためには、フレッツ・v6オプションとやらに申し込む必要があるらしい。

電話で申し込むと¥1,000かかるみたいですが、サービス情報サイト(旧称フレッツスクエア)からの申込みは無料らしい。
※ちなみにIPoEを申し込むときについでにv6オプションも申し込めるらしいです。

で、久々にサービス情報サイトでも覗いてみようかとつないでみます。

フレッツ 光ネクスト、フレッツ 光ライトプラス、フレッツ 光ライトご利用の方はNGNの方のIPv4かIPv6のサービス情報サイトにつなぐみたいですね。

なお、過去記事で引っ越し当時にはつないでいたみたいですが、SRXからFortiGateに変えたタイミングでなんか諦めていたっぽいです。理由は覚えてないですがつながっていないPPPoEインターフェースが残ってました。。

過去記事:NTT東日本フレッツ関連のメモ

とりあえずこれ見ればOKです。

ルーター等をご利用のお客さま

PPPoEを一本追加して、以下のページ記載のアドレス宛のルーティングをPPPoEに流します。
※本記事作成段階では、123.107.190.0/24と220.210.194.0/25。

https://flets.com/customer/next/square/faq/faq_routing.html

*.v4flets-east.jp関係の名前解決を以下のDNSサーバに向けます。
※本記事作成段階では、123.107.190.5と123.107.190.6

https://flets.com/customer/next/square/faq/faq_dns.html

うちの場合は内部のDNSサーバでゾーンを作ってFowardしています。こんな感じ。

        zone "v4flets-east.jp" {
                type forward;
                forward only;
                forwarders {
                        123.107.190.5;123.107.190.6;
                };
        };

ちなみに、これ設定したところ、以下のようなエラーがでて名前解決ができませんでした・・・

error (broken trust chain) resolving ‘www.v4flets-east.jp/A/IN’: 123.107.190.5#53

よくわからんので、DNSSECをまるっと無効にして逃げました。
DNSSEC一回ちゃんと勉強しよう・・・。

んで、まぁ結局アクセスできました。

久々にみたわー。

結果、v6オプションは申込済みでした。
よく覚えてないのですが、引越し前にNTT西日本で申し込んでたので、そのまま東でも申し込んでたのかなぁ。セッションプラスも契約してたみたい。
※セッションプラス申し込まないと同時2セッションなので、うちの場合サービスサイト用のPPPoEは接続できません。(すでにOCNとInterlinkにPPPoEを張っているため)

ではでは。またの機会に。

FortiGate 50E購入

ども。こんばんは。

つい先日、60Dを4台ほど買ったばかりですが、、、やっぱりFortiOS 6.2を使いたいので、FortiGate 50Eを購入しました。

ヤフオクで¥12,000で購入(送料別)。

なんと、ライセンスが2022年11月まで残っている代物です。
これは安い。

とりあえず、FortiOS 5.4が入っていたのでガツンとFortiOS v6.2.2 build1010 (GA)までアップデートして一旦初期化(execute factoryreset)してIPアドレス振って、ハードウェアスイッチを吹き飛ばしてVDOMを設定しました。

50EはVDOM 5つまでなのね・・・。

90Dからどんなふうにリプレースしようかな。
SD-WAN機能とかいろいろ組み込みたいなぁ。

以下FortiGuardの画面。

ちょっと気になったのですが、FortiCareのところっていつも「Confidential」だったと思うんですが、今回は一次代理店さんのメールアドレスが入ってますね。

正直一次代理店で働いたことないのでここの仕組みはよくわかっていません。。。

 

以前購入した90D(というか今まで買ったFortiGateすべて)はこんな感じです。

年末年始リプレース楽しみだー!

ではでは。またの機会に。

 

またFortiGateを買ってしまった

ども。こんばんは。

また買ってしまいました。

FortiGate 60D x3とFortiWifi 60D x1のセットでなんと¥9,000なり。

残念ながら最新のFortiOS 6.2は入らないのですが、FortiWifiだけはライセンスも1年近く残っています。
※その他も2020年5月くらいまでは残っています。

小回りが効くので、ちょっとしたNAT用途とか、VPNの検証とかに使おうと思っています。

そして、自宅のメインであるFortiGate 90Dもライセンスが2020年6月でライセンス切れなのでFortiGate 50Eを入札中です。

業者感ある。

ちなみに今まで買ったFortiGateが何台あるか振り返ってみましたが、そんなに多くなかったです。11台くらいですね。

  • 2010年4月
  • 2014年5月
    • FortiGate 60B ¥6,000
    • これなにに使ってたっけ?記憶がない。記録もない。。。多分前の職場のラボ用に買ったやつかな。
  • 2014年6月
    • FortiGate 110C ¥22,300
    • 前の職場のでやった全顧客バージョンアップ祭りで検証用に買ったものだと思う。
  • 2014年9月
  • 2017年12月
  • 2019年12月
    • FortiGate 60Dx3+FortiWifi 60D ¥9,000

ちなみに、初めて購入したファイアウォールは2008年7月(新卒入社3ヶ月目とかそのくらい)のNetScreen 5GTですね。
当時¥20,500くらいで買ったみたい。
今考えるとめちゃくちゃ高いですけど、当時はそれでも現役の機器だったので安かった気がします。

その後、NetScree 204にリプレースしたり、前職のラボ用にSSG140を買ったり、PaloAlto 2050を買って速攻でラボ行きにしたり、SRX210が結構長く使ったかなぁ。最近はずっとFortiGateですね。

スイッチ、ルータ類だとProcurve 2台、Cisco 1812J、3750G、3750Xとか。

おまけにCisco IP Phoneとか買ってますね。

10年もやってるとそれなりに歴史が出てきた。。。かな。

ではでは、またの機会に。

コアスイッチ逝く

ども。こんばんは。

昨日3連休の最終日に、掃除と新しいNASの物理的な載せ替えのため、全機器停止してメタルラックから取り外しました。

そしたら、

コアのL3(Catalyst 3750G)が起動しなくなりました(`;ω;´)

うぉーーー。これはまずい。ひじょーにまずい。

コンセントを挿しても、LEDが光るどころか、ファンも回らない、まぁ要するに通電しない状態に。

ちょいちょいreloadはしていたけど、電源停止って5年ぶりくらいじゃなかろうか。。。時々コールドスタートしないとだめですねえ。

しかしこれはもう直すとかそんな次元じゃねぇ。

ここまでのNW屋の経験と少ない知識と僅かな知恵を振り絞って全力で最低限の縮退運用まで復旧しました。

幸い、ネットギアのGS108が余っており、こいつは802.1QのタグVLANに対応しているので、急遽引っ張り出して、久々に思い出しながら設定しました。
相変わらずVLANに癖があるもの、自分のブログを読み返しながら比較的さくっと設定できました。

今回コアスイッチなので、全部に影響があるのですが、特に何がまずいかというと、以下3箇所がトランク接続なんですよね。

・無線AP-L3間
・FortiGate-L3間
・リビングのハブ-L3間(リビングのハブの先に更にトランクでArubaのAPがいる)

なんとか、必要最小限のVLANをトランクでそれぞれに渡すことができましたが、IP-SANとして使っているセグメントは物理ポートが足りないため諦めて、仮想サーバとQNAPは一部直結です。
※VMWareでもチーミングしていて、QNAPはBondingですが、2本直結するといまいち動作が不安定だったので、一本だけつないでいます。なとかリンクアップして通信はできているみたい。

また、基本的に我が家のサーバは、LACP等でリンク冗長しています。幸い、対向がLACP等に対応していなくても、一本ずつでなんとかリンクアップしてくれたので、サーバ/NAS側は設定変更なしで乗り切れました。

ただ、どうしてもポートが足りず、一部FortiGateの余りポートをハードウェアスイッチ化して単なるスイッチとして凌いでいます。

よくよく見ると、FortiGateから出たケーブルがFortiGateに戻っていっています。背に腹は代えられず。。ポート余っててよかった。。

以下諦めたこと。

・Bonding/Teamingは諦めた
※設定自体は変えなくても一本だけでリンクアップした。LACPが功を奏したのかな。GS108はそもそもLACPなんて対応してないので、サーバ側が諦めたのかなー。
・ReadyNASはポート数が足りず孤立
・FortiGateをうまく通過できない電話機-PBX間のSIPは諦め(通常L3でルーティングしています。)
・一部セグメントのDHCPサーバはCatalystが兼ねていたのでFortiGateで代用

とりあえず、ヤフオクで後継機器を入札中です。また進展あれば更新したいと思います。

いやぁやばい。ギリギリで稼働しているので、これは本当にやばい。

いろんなものをクラウドに移行しておいて本当に良かった。

ではでは。またの機会に。

FortiOS v6.0.5 build0268 (GA)が出ていた

ども。こんばんは。

出てますねー。

上げました。最近比較的アップデートに失敗しないし、起動後のディスクチェックやれ!っていうのも出なくなりましたね。

 

リリースノート:

https://docs.fortinet.com/document/fortigate/6.0.5/FortiOS%20Release%20Notes/760203/introduction

これまだknown issueなの?さっさとなおしてくだいませー。
もはやバグのレベルなのか?という気がする。

Bug ID Description
435951 Traffic keeps going through the DENY NGFW policy configured with URL category.

 

6.2がもう出てるけど、うちの90Dには入らないし、本気でそろそろ50Eあたりに買い換えないと。

ではでは。またの機会に。