แสดงกระทู้

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.


Messages - yield

1
FG200d  ใช้งานปัจจุบัน​ memory 51% cpu 5% ถ้าจะให้เเจก​ DHCP 11vlan เเละrount​ FW5.0/5.5 เหมาะไหมครับ​ ผมมี​ SW2960ด้วย​

DHCP บน FG200D
ถ้าในหลักความจริง สามารถทำได้ครับ แต่ถ้าตาม Best practice ควรที่จะมี dhcp server แล้วให้ ตัว FG หรือ SW ทำ dhcp relay อีกทีครับ เพราะถ้าทุกอย่างทำที่ตัว Firewall  จะLoad ทางเดียวครับ จึงไม่แนะนำ เรื่องนี้

Routing
แนะนำให้ ทำเรื่อง Layer2 (vlan) บน Sw และ ทำการ routing ไปมาระหว่าง FW และ SW ครับ

2
Fortigate / Re: สอบถามเรื่อง Fortigate 100D
« เมื่อ: 21 ส.ค. 17, 14:18:24น. »
สามารถเพิ่มได้มากกว่า 2 Link ครับ 

3
Fortigate / Re: Fortigate 60 ADSL firmware ล่าสุด
« เมื่อ: 21 ส.ค. 17, 08:41:39น. »
รบกวนสอบถามพวกพี่ๆหน่อยครับ พอดีผมได้ Fortigate 60 ADSL มาตัวหนึ่ง อยากทราบว่า firmware ล่าสุดที่ลงได้เป็น version อะไรครับ (คืออยากฝึกลงใหม่ครับ) คิดว่าเป็น 5.0 ไม่ทราบลงได้มั่ยครับ

รบกวนผู้รู้ด้วยครับ
ขอบคุณครับ
สำหรับ FortiGate 60 ADSL ไม่สามารถ Upgrade firmware ถึง Version 5 ได้ครับ สำหรับ Series นี้ จะ support Firmware version 2-3  ครับ เพราะ Hardware ค่อนข้างเก่ามาก ต้องSeries Bขึ้นไป ครับ ถึงจะ Upgrade version 5 ขึ้นไป ได้

4
Fortigate / Re: สอบถามเรื่อง forticloud
« เมื่อ: 17 ส.ค. 17, 16:06:22น. »
คือ ถ้าเราซื้อ forticloud มา (ตรงรุ่นกับfortigate ที่เราใช้) อยากถามว่า พื้นที่ที่เราจะได้จากการซื้อ forticloud มันมีเท่าไรครับ เก็บได้ตาม พรบ. 90 วันรึป่าวครับ

ถ้าตัว Free จะประมาณ 100 GB ส่วนที่เป็น License แบบเสียเงิน จะประมาณ  8 TB ครับ ซึ่งน่าจะเพียงพอ สำหรับการเก็บตาม พรบ 90 วัน ครับ  ซึ่งรายละเอียด จะตาม ข้อมูลด้านล่างครับ free เก็บย้อนหลังได้สูงสุด 7 วัน แบบเสียเงิน ย้อนหลังได้สูงสุด 1 ปีครับ


5
สร้าง Object Address  ที่ Policy&Object และใส่IP เครื่องที่ Fix  หลังจากนั้น ทำPolicy Incoming Interface > Internal   Outgoing Interface > wan

Source Address > IPเครื่องที่สร้างในObject  Destination Address > all   Service เลือก  Https Http Dns หรือ สร้าง group address เป็นชื่อ web access แล้ว add 3 service ดังกล่าว  แล้วเลือก Deny ก็ได้เหมือนกันครับ

 


หรือ จะ Bind IP นั้น ด้วย Mac-address ผ่าน CLI ตาม KB ได้ครับ
http://kb.fortinet.com/kb/viewContent.do?externalId=FD30158

6
จะซื้อ Fortigate 200E แต่มี Fortianalyzer 400C จะใช้ด้วยกันได้ไหม
มีวิธีเช็คยังไงครับว่ารุ่นไหนใช่ด้วยกันได้ระหว่าง Fortigate กับ Fortianalyzer ครับ

FortiGate 200E โดยdefalut  จะเป็น Firmware 5.4 ขึ้นไป ไม่สามารถdowngrade ลงได้ ซึ่งหมายความว่า 400C ไม่สามารถใช้งานร่วมกับ 200E ได้ ครับ เพราะน่าจะสุดแค่ 5.0ขึ้นไป  ถ้าอยากทราบว่าเช็คยังไงว่าใช้ด้วยกันได้ ดู ที่
http://docs.fortinet.com/uploaded/files/2901/fortianalyzer-compatibility.pdf      จะเป็นการบอก Fortianalyzer support กับ Fortios ไหนบ้างครับ

7
Fortigate / Re: สอบถามครับ VPN ไม่ได้
« เมื่อ: 10 ส.ค. 17, 09:18:20น. »
รบกวนวิธีแก้ครับ VPN ไม่ได้ ใช้ forticlient v.5.6.0.1075
windows 7 pro 64 bit พอกด connect ขึ้นerror ครับ
"Unable to establish the vpn connection. The vpn server may be unreachable (-5)"

แนะนำทีครับ


ไม่ทราบว่าการตั้งค่า ที่ตัว forticlient ถูกต้องหรือไม่ครับ และขอสอบถามว่าปัญหานี้เพิ่งเป็นหรือเปล่าครับ

8
Fortigate / Re: สอบถามการ Block download พวก exe,mp3,mp4 , etc.....
« เมื่อ: 31 ก.ค. 17, 08:31:28น. »
ลองศึกษาจาก cookbook นี้ครับ กับ Dataleak Prevention

http://cookbook.fortinet.com/preventing-data-leaks/


ก็กำหนด Specific File Type > File Name Patterns เป็น *.mp3,etc  หรือ เลือก เป็นประเภทไฟล์ หลังจากนั้น ตรง Acion เลือก Block   เมื่อกำหนด Profile เรียบร้อยแล้ว ก็ ให้นำไปใส่ Policy ได้เลย การทำงานก็ เมื่อมีการ Download ไฟล์ตาม pattern ที่เรากำหนดไว้ที่profile  ก็ block ไม่สามารถdownload ได้ครับ


9
สอบถามสำหรับมือใหม่ Interface ,Source Address ,...หมายถึง อย่างไรบ้างครับ

(คลิกเพื่อแสดงรูปที่ซ่อนอยู่.)

Incoming Interface : คือขาinterfcace ที่ต้องการให้Trafficผ่านเข้ามา ไม่ว่าจะเป็น LAN ภายใน หรือ WAN ภายนอก
Source Address : คือ ต้นทางของ IP Address หรือ FQDN ที่สร้างใน Object ครับ
Source User : คือ ต้นทาง User&Group ที่สร้่างใน Object ครับ ไม่ว่าจะเป็น Local Userหรือ Ldap Radius ครับ
Source Device type คือ ต้นทางของประเภท Device นั้นๆซึ่ง อันนี้จะหาได้จากที่เราต้องไป Enable Device Detection ที่ ขา interface Internal จะเป็นการ Detect ตัว device ต่างๆไม่ว่าจะเป็น Android IOS Mac Window Linux ที่เข้ามา connect ที่ตัว Fortigate ครับ
Outgoing Interface คือ ต้องการให้Traffic ออกไปที่ Interface อะไร
Destnation Address คือ ปลายทางของ Address ที่traffic ไปหา

Incoming Interface : LAN
Source Address : all
Source User : Guest Group
Source Device Type :  Android
Outgoing Interface : wan1
Destnation Address : all
Schedule :always
Service:ALL
Action:Deny



หมายความว่า  Traffic ที่เข้ามาจากinterface LAN ทุกๆAddress เฉพาะกลุ่ม Guest ที่เป็นอุปกรณ์ Androidทั้งหมด ให้traffic ออกไปยังinterface wan1 ที่ปลายทางทุกๆIP Address และให้ Deny ทุกservice  ตลอดเวลา

10
ปัญหา ใช้ VPN Client IPSec แล้วหลุดบ่อย
คือถ้ามีการ Connect มากกว่า 1 เครื่อง จุดหลุด ต้องทำการ Connect เครื่องเดียว
สาเหตุเกิดจากอะไรได้บ้างครับ
สิ่งที่ทำไปแล้ว ลง Windows ใหม่,Reset Rounter
FortiClient V.5.4.3.0807
รบกวนช่วยตอบด้วยครับ

ไม่ทราบว่าหลุดอย่างไรครับ ขอรายละเอียดมากกว่านี้ครับ

11
Fortigate / Re: ปรึกษาครับ set firewall Active ,standby
« เมื่อ: 13 ก.ค. 17, 16:10:36น. »
คือผมมี Firewall ตัว 60E  เป็นตัวหลัก และมี Palo alto PA200 ว่างๆอยู่ จะsetให้ Fortigate 60E เป็น Active  ส่วนตัว palo เป็น standby ได้หรือไม่ครับ 

ถ้าจะทำเชิง HA ผมว่า ควรเป็น box รุ่นเดียวกันและ firmware เหมือนกัน ไม่ว่าทั้งfortigate หรือ palo alto ครับ


12
Fortigate / Re: block เข้าใช้ https
« เมื่อ: 07 ก.ค. 17, 13:28:06น. »
สอบถามครับผมใช้ firmware 5.2.5
user สามารถเข้าใช้งานบาง website ที่ block โดยเข้าผ่าน https ได้
ผมได้ลองใช้งาน ssl/ssh inspection พอลอง config ตาม https://www.youtube.com/watch?v=B8eLSTU3gwo
ก็จะเข้าเว็ปไม่ได้เลยครับ ขึ้นการเชื่อมต่อไม่เป็นส่วนตัว web ที่เป็น https ต้องแก้ยังไงดีครับ

งั้นที่ Profile ของpolicy SSL/SSH Inspection ใช้ certificate inspection ครับ เพราะใช้ deep มันจะ scan แบบ ละเอียดกว่าครับ ถ้าไม่อยากให้บางเว็บเข้าได้ก็ต้องมาcustom ใน profile ของ deep อีกทีครับ

13
ได้ DNS 172.28.254.1 ครับ

อันนี้ใช้ DNS ภายในหรือเปล่า ครับ หรือไม่อย่างงั้น ที่ pc ลอง fix dns เป็น Public dns ของ google ดูครับ ว่า ออก internet ได้ไหม ถ้าได้ แสดงว่าอาจจะเป็นที่ Dns ภายใน หรือไม่ก็เปลี่ยนเป็น dns ของ isp ที่ตัว fortigate สำหรับกรณีที่ให้ fortigate แจก dhcp server ครับ

14
Fortigate / Re: Create new Static Route Error : Duplicate entry found.
« เมื่อ: 27 มิ.ย. 17, 09:52:28น. »
ตอนนี้ผมลอง ชี้ static route ไปที่ Wan1 กับ Wan2 แล้วครับ ในส่วนของ policy routes ผมจะชี้ไปที่ไหนครับ เนื่องจากผมมี 6 wan link ที่ใช้งานอยู่จะบังคับ source address กลุมนี้ยังไงให้วิ่งไปออก wan load balance เพราะในช่อง Outgoing interface ไม่มี wan-load-balance ให้เลือกเลยครับ

 Policy Route จะเป็นกำหนดให้ออกไปยัง wanใดwanนึงครับ ปรกติถูกต้องแล้ว ที่ไม่มี wan-load-balance ให้เลือก เพราะ มันทำงาน แบบ กระจายออก ครับ ถ้าคุณเลือก source ip base เลขคู่ออก wan  นึง เลข คี่ ออก wan นึง  แต่ทั้งนี้ ถ้าคุณต้องการให้ ทุก user กระจายออก เน็ต ก็ต้องทำ policy access internet แต่ละ wan ด้วยนะครับ

ผมต้องทำ policy แบบนี้ นี้เปล่าครับ
policy ที่ 1
Incoming Interface = ขาแลนภายใน
Source Address = ip กลุ่มที่จะให้ออก load balance
Outgoing Interface = Wan1
Desination Address = all

policy ที่ 2
Incoming Interface = ขาแลนภายใน
Source Address = ip กลุ่มที่จะให้ออก load balance
Outgoing Interface = Wan2
Desination Address = all

*** แต่ถ้าทำแบบนี้ user ก็ออก Internet ที่ wan 1 9 ตลอดเลยหรือเปล่าครับ user จะไม่ load balance

อย่างที่ผมบอกครับ ว่าการทำ policy route คือการบังคับออก ไป wanใดwanนึง ถ้าต้องการให้ user ออก แบบ กระจายกันไม่ควรทำpolicy route ครับ เพราะ คุณกำหนด source ip base ไปแล้ว คือกระจายกันออก  ขอแค่คุณทำ policy Rules ทั้ง 2 wan ให้เหมือนกันครับ เช่่น Source Inf Internal address 192.168.x.x >>Destination Inf wan1 address all , Source Inf Internal address 192.168.x.x >>Destination Inf wan2 address all  แบบนี้ ก็ จะกระจายกันออก ครับ แต่ถ้าต้องการ ให้ user ทั้งหมด ออกwanไหนมากสุด กำหนดได้ ที่ weight แทนครับ

ผมสร้าง policy role แต่ว่าช่อง outgoing interface = ไม่มี wan1 หรือ wan 2 ให้เลือกเลยครับมีแต่ wan-load-balance กับ wan อื่นๆ

หรือหากคุณใช้ wan link loadbalance interface อยู่ ให้ทำตาม cookbook นี้ครับ และกำหนด weight  ให้ ออก wan ไหนมากสุด ไม่ต้องกำหนด ใน policy route ครับ

http://cookbook.fortinet.com/redundant-internet-connections/

 




15
มีสาขาเปิดใหม่ ถ้าจะใช้ Mikrotik เชื่อมต่อ FG200D VPN IPSec Site to Site ได้ไหมครับ  :)
1.ถ้าได้ ช่วยแนะนำหน่อยคับ
2.ถ้าไม่ได้ สามารถรองรับกับอุปกรณ์รุ่นไหนบ้างครับ

ถ้าต่างอุปกรณ์ ไม่มั่นใจว่าได้ 100 %หรือไม่ครับ ควรจะเป็น อุปกรณ์เดียวกันดีกว่า แต่ว่าทั้งนี้ สามารถทำได้ ครับ ขอแค่ ให้ propersal  และ pheshared-key  ให้ตรงกัน ทั้ง 2 ฝั่ง ก็พอครับ

หน้า:
  • 1 (current)
  • 2
  • 3
  • 4