ども。こんばんは。

リプレース終わりました。

FortiOS 5.6.3も出てましたのでそれにしました。

NGFW機能は正直まだ改善の余地がたくさんありますね。

こんな感じの使い方ができるはずですが、実際には関係ない(はず)の通信がバカバカ引っかかります。。。
※意図としてはまんまです。

これPaloAltoならそれなりに意図通りに動くんだよなー。

うーん・・・。
いっときFortiGateは劣化NetScreenっていうイメージだったのが最近すごい盛り返した感があったけど、なんか今度は劣化PaloAltoって気がしてきた・・。でも安価に色々できるのはやっぱりFortiGateだよなー。

で、今回はSRX(Virtual Router 2つ)とFortiGate 40Cを束ねてVDOM 3つの運用になっています。

以下メモ。

・VDOM間のOSPFにはVDOMリンクにIPアドレスが必要。
・CatalystとのOSPFがうまくいかない。Catalyst側から広告されたルーティングが反映されない。逆はOKっぽい。
・Root VDOMからの別のVDOM経由でアップデートする設定にしている。デフォルトゲートウェイをVDOMリンクに向けている。VDOMリンクにIPアドレスが必要。
・IPSecが調子悪い。。。Phase2でセレクタを0.0.0.0/0なトンネルを2本作っているがどっちか片方しかActiveにならない・・・。
・Virtual IPでNATしているホストはCentral SNATよりもちゃんと送信元NATが優先される
・5.6から1つのインターフェースでマルチPPPoEができるが、Global VDOMではPPPoEインターフェースが作成でいない。結局あんまり意味がない。。。
→今VDOMに割り当てた物理インターフェースでアドレッシングをPPPoEにし、さらにそのインタフェースに紐付くPPPoEインターフェースを作っている。
イメージとしてはWAN1の下に複数PPPoEインターフェースを作って、それぞれをVDOMに当てたいが、それが出いない・・・。

・無償のFortiToken Mbileのライセンスをroot VDOMから別のVDOMに移動する方法

How to move the free FortiToken mobile licenses to a new VDOM or firewall

これ40Cのやつも移せるのかな・・・?

・なぜかAVが動作しない!!!!!
・DNSフィルタも!!

解決しました。(2017/12/25追記)

 

あと、何故かFortiCloudに接続できない。。。ID/PW合ってるのに間違ってるって言われちゃう・・・。

まぁこっからポリシーの漏れとかいっぱいあるんだろうけど、とりあえず完了ということで。

まだZabbixとかSyslogの設定とか運用周りが追いついてませんが・・・・。

Juniper SRX 220-PoEFortiGate 40C本当にお疲れ様でした!
※SRXは365日以上のUpTimeになっていました。

ではでは。またの機会に。