[爆卦]Fortigate LAN 設定是什麼?優點缺點精華區懶人包

為什麼這篇Fortigate LAN 設定鄉民發文收入到精華區:因為在Fortigate LAN 設定這個討論話題中,有許多相關的文章在討論,這篇最有參考價值!作者zbug (瞌睡虫) 看板:MIS標題[請益] FortiGate 對監視器的設定時間Mon D...


1. 環境,原架構(前人規劃
中華數據機接兩台防火牆
一台 Fortigate 100D 接辦公室網路
一台 Vigor 2950 接監視器設備
兩台除了Wan IP不同,Wan 的 GW/MA都一樣,因為是接同一台數據機
兩台的Lan IP/MA/GW也一樣

2. 參數設定
設定 Fortigate 虛擬IP和對應Port,完全參照 Vigor 2950的設定
https://i.imgur.com/BNawt6C.jpg
https://i.imgur.com/ssqR5I3.jpg

3. 切換設備
把 Vigor 的 Wan 和 Lan 線都拔掉
監視器設備改接到 Fortigate 後面的 L2 Switch

4. 測試
結果完全連不到,例如 WEB 畫面的 http://IP:81
檢查 Fortigate 的政策,該政策的流量 0KB

其它設備,不同的 Wan IP 的虛擬IP,是正常可以使用
有前輩遇過類似狀況嗎?需要注意哪些部份?





--------欲請板友協助Troubleshooting請重新選擇文章分類「Case」---------


本板於105.10.06增加文章分類「Case」,
其目的是提供板友們以Q&A互動方式發問技術問題,
欲請板友協助Troubleshooting任何問題,請重新選擇文章分類「Case」,
造成不便,敬請見諒。


--------閱讀完畢可按Ctrl + Y逐行移除注意事項--------------------------


--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 59.125.197.131
※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1546245177.A.365.html
h10048628: 先設到DMZ看有沒有正常,在找問題 12/31 17:53
michaelchen1: 完全連不到是連不到監視器嗎 12/31 18:07
Wishmaster: 監視器是uni還是multicast? 12/31 18:24
DMZ也連不到........網路是申請 6固i
Vigor 的 Wan IP 假設是第六組的 6IP/24,拔掉 Wan 和 Lan
把相關設定改到 Fortigate ,VIP和政策使用 6IP,卻是沒流量,透過瀏覽器也開不起來
兩台的 Wan的GW/MA 設定都一樣,差別在 Fortigate 是設定第一組的 1IP/24
VIP 部份也一直都有設定 2IP 到 5IP,都可以正常使用

Fortigate 有設定是可以不用那一組 IP 嗎?
監視器一個port是web、一個port是給app、一個port是流量吧,對監視器不熟...
想說,單純設VIP開port,卻失敗 = =a
※ 編輯: zbug (36.238.105.171), 12/31/2018 19:37:02
dou0228: 直接問 Vigor 客服啊 12/31 20:26
fonzae: 進來有設定,出去呢? 12/31 21:01
fonzae: 有同意監控對外政策是開放? 12/31 21:01
外對內、內對外的服務都 ALL ... 全開的測試,測成功才會鎖 Port
https://i.imgur.com/sJbInuX.jpg
※ 編輯: zbug (36.238.105.171), 12/31/2018 21:13:44
fonzae: L2 SW架構是同一層VLAN? 12/31 21:14
fonzae: 你可以先把居易對於監控的政策先丟出來看 12/31 21:20
沒切vlan,附上居易的設定....超簡單
https://i.imgur.com/ZNAkCal.png

現在的納悶點是...居易已經拔掉wan和lan的線
Fortigate 還是無法用第六組IP,感覺...只能居易這台使用????
而且居易這台...就只接五台監視器,沒接任何設備,真心不懂這是啥架構
※ 編輯: zbug (36.238.105.171), 12/31/2018 21:27:07
fonzae: 你不用去管對外IP,因為都是一樣的路由 12/31 21:50
fonzae: lan ip是同一區塊嗎? 192.168.0.X/24? 12/31 21:52
fonzae: forti的lan group有將port1納入,共用同一個lan setting? 12/31 21:53
居易的Lan IP是192.168.0.1/24
Forti的port1 IP是192.168.0.1/24 後面接 L2 Switch
把監視器從居易改接到Forti之後,Forti後端的電腦是可以ping的到
也可以透過 http://LAN_IP:81 的方式開啟瀏覽,就偏偏外網 http://WAN_IP:81 無法開
也可以透過 4G 網路方式,不用 Forti 的網路去開 http://WAN_IP:81 依舊失敗
但是,接回居易...4G 網路是可以正常開啟,包含Forti後端的電腦也正常開啟
※ 編輯: zbug (36.238.105.171), 12/31/2018 22:12:32
fonzae: 先把WAN TO LAN的CCTV改成ALL,看看外到內有沒有通 12/31 22:18
明天上班再測,如果外到內沒有通,要再檢查哪裡??
這組固i是一定可用,畢竟居易是用那一組固i
當然,測試的過程會把居易都有拔掉Wan/Lan線
※ 編輯: zbug (36.238.105.171), 12/31/2018 22:28:50
starcat: 目的的cctv是群組?包含了4個內部ip? 12/31 22:31
starcat: 你要不要試著先設定目的的群組,改成一個內部ip的3個po 12/31 22:31
starcat: rt為一個群組(ex:cctv1),然後一條規則只設定對應到一個 12/31 22:31
starcat: 內部ip? 12/31 22:31
CCTV 是群組沒錯,五個內部IP各有三個Port,所以有15個VIP,都設在 CCTV
你是建議一個IP一個PORT一個政策?設15個政策???
※ 編輯: zbug (36.238.105.171), 12/31/2018 22:35:55
starcat: 5個內部設5個策略就好 12/31 22:37
starcat: 5個內部IP設5個策略就好,每個策略包含3個port 12/31 22:41
是這樣嗎?先設好...明天直接測
https://i.imgur.com/hHUuqB4.png
Wishmaster: 第六個IP只能居易用,是不是對端的arp沒清掉? 12/31 22:43
Wishmaster: 請ISP清一下ARP看看能不能正常? 12/31 22:44
這條是企業專線20M/20M(不要問我,前人留下的規劃)
打客服電話,直接給線編,然後跟客服說...我要清arp??
※ 編輯: zbug (36.238.105.171), 12/31/2018 22:51:50
starcat: 是的,我說的就是這樣的設定,清arp就是撥中華電信的客 12/31 22:58
starcat: 服,提供公司統編,地址,線路號碼或wan ip,讓客服幫你 12/31 22:58
starcat: 轉技術客服,然後請技術客服清arp 12/31 22:58
starcat: t外,新年快樂,加班辛苦啦 12/31 23:00
找到一篇文章,不知道 Forti 有沒有類似指令,要不然就得找客服了
http://0rz.tw/RWJvQ
晚上才是能專心研究東西的時間,該下班的都下班了,剩下少數單位和客人...
我又跳到飯店業了 Q_Q
※ 編輯: zbug (36.238.105.171), 12/31/2018 23:02:43
slash66: 你監視器lan to wan的policy要設定NAT成監視器的對外ip 01/01 00:48
slash66: 因為沒看到詳細設定,建議你在FG上sniffer一下就知道問題 01/01 00:55
slash66: 看看封包wan跟lan的進出,目前推斷應該是設定有少的問題 01/01 00:56
littlecut: 100d應該可以直接在設備上抓封包,可以看看流量有沒有 01/01 01:49
littlecut: 進來100D,應該是那個IP被咬住成舊設備的MAC,打去給IS 01/01 01:49
littlecut: P清MAC,不然就是要等一段時間MAC AGE時間到重新學到新 01/01 01:49
littlecut: MAC 01/01 01:49
littlecut: 清MAC是ISP的設備要清,不是企業的設備清 01/01 01:52
littlecut: 另外,針對外對內政策,開外對內方向就好,內對外的不 01/01 02:00
littlecut: 用特別去開 01/01 02:00
asdfghjklasd: 上上面先搞清楚 MAC Address 跟 ARP 作用會比較好 01/01 14:17
asdfghjklasd: 話說上週也有人問我為什麼PING 不到但網路都好的 01/01 14:18
asdfghjklasd: 我直接問他知道 MAC Address 跟 Arp 的 MAC Address 01/01 14:18
asdfghjklasd: 有什麼不同...... 01/01 14:18
結案,最後是用 starcat 前輩的建議,五台監視器 五個IP 各三個Port 設成五組政策
沒有打電話給ISP業者清任何快取的方式
原來都設在一起是不會通...這部份就不懂為何,希望有前輩幫回答 OTL(跪
※ 編輯: zbug (59.125.197.131), 01/01/2019 15:32:12
slash66: 我用FG這麼久,還沒有同個policy設好幾個不同ip在一起過 01/01 22:22
slash66: 一來管理不清,二來policy是去比對ip的規格跟順序 01/01 22:24
slash66: 我猜同一條有不同ip可能會造成混亂,理論上應該設不進去 01/01 22:25
deadwood: 不解釋了,你本文中的Forti第二張圖policy設定,跟下面 01/01 22:29
deadwood: 連結step3對一下差在哪 01/01 22:30
deadwood: goo.gl/R5vJjA 01/01 22:31
slash66: 所以我剛用公司的測試一下,不同ip不同服務都設在同一條 01/01 22:37
slash66: policy上,而且ip跟服務都是用群組,測試會通哩 01/01 22:39
slash66: 所以這樣設定是可以的,那你可能是版本或是原設定有誤吧 01/01 22:42
slash66: 後來我測試,原來答案是你服務不能設ALL啦 01/01 22:48
deadwood: 不過也不排除是ISP機房端真的咬住沒清掉,時間過了就好 01/01 22:50
slash66: 不對,後來我設ALL可以,算了不測了,沒詳細設定測不出來 01/01 22:52
感謝以上各位前輩的指點,雖然我還是不懂為何分開設就可以
看了 goo.gl/R5vJjA 也看不出差異,難道服務不能設 ALL ?? 但是 slash66 前輩卻..
總之,新年快樂...1/1 當天也遇到一堆怪事 OTL
※ 編輯: zbug (36.238.105.48), 01/02/2019 06:38:30
dennisxkimo: 設了Virtual IP後 目的是設新設的Virtual IP名稱 01/03 13:18
dennisxkimo: 圖中的 目的CCTV 是Virtual IP的name嗎? 01/03 13:21
dennisxkimo: 還是只是Address清單的name? 01/03 13:22
是 VIP Group ,可以比對第一張圖,我把 15個 VIP 都包在一個 CCTV 的 Group
※ 編輯: zbug (59.125.197.131), 01/03/2019 16:43:26
fonzae: 我不是要你直接先設ALL,不就知道訂的策略了 01/03 18:21
fonzae: 雖然問題解了,不過當下明明可以快速判斷出外對內的問題 01/03 18:21
fonzae: 不應該這種小問題要拖那麼久,設一下ALL,直接telnet看PORT 01/03 18:22
fonzae: 立馬知道答案的東西,arp綁定,我是很少沒碰過這種案例 01/03 18:22
fonzae: 內網比較有可能牽扯到VLB的問題 01/03 18:25
我有測過...全部設在一起 服務開 ALL ....沒通
改成 同樣 IP 三個 Port 放同一個政策 服務開 ALL....通了
然後才把服務改成對應 Port ....也可以通.....才宣告結案 @@
※ 編輯: zbug (36.238.96.42), 01/03/2019 19:22:06
liskenny: 今天玩了硬體視訊 道理跟你差不多 服務設All allow沒用 01/11 14:44
liskenny: 該開開對應的埠 就是要乖乖設上去 內對外外對內都要考慮 01/11 14:44
liskenny: 做完立通 他沒這麼聰明幫你自己對應 你要告訴它規則 01/11 14:45

你可能也想看看

搜尋相關網站