เรื่อง: Fortigate 90D สอบถามให้สาขา VPN ผ่านCISCO RV042G
 
 1889

My Name: nplpc ออฟไลน์
  • ดูรายละเอียด
13 มิ.ย. 17, 09:40:31น.
Fortigate 90D สอบถามให้สาขา VPN ผ่านCISCO RV042

ปัจจุบัน มีสาขากับสำนักงานใหญ่ ที่สำนักงานใหญ่มี Fortigate ออกเน็ตปกติ สาขามี CISCO RV042 ออกเน็ตปกติ
1.ต้องการให้สาขา vpn (site to site หรือเปล่า) เพื่อใช้งาน ฐานข้อมูลที่สำนักงานใหญ่ได้
2.ต้องการให้ สาขาใช้งานอินเตอร์เน็ตแล้ว  วิ่งผ่าน VPN มาออกี่ Fortigate ทั้งหมด ออกอินเตอร์เน็ตผ่านสำนักงานใหญ่ทั้งหมดจะสามารถทำได้หรือไม่ครับ
จุดประสงค์คือ เพื่อใช้ fortigate ควบคุมการใช้งานอินเตอร์เน็ตของ client สาขาด้วย

ขอconcept คร่าวๆรบกวนแนะนำด้วยครับ หรือเป็นขั้นตอนเลยก็ดีมากครับ  ขอบคุณครับ

My Name: earth ออฟไลน์
  • ดูรายละเอียด
ตอบกลับ #1 13 มิ.ย. 17, 18:02:54น.
ตอบเป็นข้อๆ นะครับ
1.เข้าใจถูกต้องครับ  เป็นการ VPN Site to Site จะเป็นแบบ IPSecVPN เพื่อเชื่อมต่อ Site กับสำนักงานใหญ่ เพื่อใช้งานข้อมูลที่นั้นได้
2.ถ้าเชื่อมต่อแบบ site to Site อุปกรณ์กับอุปกรณ์ (FGT90D <-> CISCO RV042) เชื่อมต่อกันเอง จะไม่สามารถควบคุมการใช้งานอินเตอร์เน็ตของ client สาขา ได้ครับ
เนื่องจากการทำ Site to Site (IPSec) จะออก internet ฝั่งใครฝั่งมันครับ

ถ้าต้องการ ควบคุมการใช้งานอินเตอร์เน็ตของ client สาขาด้วย ให้ใช้รูปแบบการเชื่อมต่อเป็นแบบ Private Link  ดีกว่าครับ (ให้ติดต่อกับผู้ให้บริการหรือว่า ISP)
ที่สาขาจะเชื่อมต่อกับสำนักงานใหญ่ Routing ทั้งหมดก็จะวิ่งไปหาสำนักงานทั้งหมด ทั้งชุด IP ที่ฝั่งสำนักใหญ่  และการออก Internet จะออกที่สำนักงานใหญ่

ถ้าใช้แบบ Client to site
Diai up VPN จะเครื่อง Users เอง แล้วควบคุม Users ที่ FortGate เองครับ

การ Setting อุปกรณ์ต่างยี้ห้อ FortiGate กับ CISCO RV042  จะเป็นในรูปแบบ VPN แบบ IPSec
การ Config จะต้อง Config  Pre-shared Key , Encryption , Authentication
ทั้ง Phase1 และ Phase2  ให้ตรงกัน 2 อุปกรณ์ให้ตรงกันครับ



ลองดูตัวอย่างการ Config ใน Youtube นะครับ บน FortiGate
https://youtu.be/xVDaRU8iQHY

แก้ไขครั้งสุดท้าย: 13 มิ.ย. 17, 19:11:10น. โดย earth

My Name: nplpc ออฟไลน์
  • ดูรายละเอียด
ตอบกลับ #2 17 มิ.ย. 17, 08:07:41น.
ขอบคุณครับ  ที่บอกว่า private link ราคาค่อนข้างสูง เคยมีเสนอ L2 Ethernet Link  เค้าจะให้สาขามาออกเน็ตที่สำนักงานใหญ่ Point to Multi Point ไม่แน่ใจเรียถูกหรือเปล่าครับ ราคาสูงเพราะขอ b/w สูงเนื่องจากบริษัทผมมีข้อกำหนดพิเศษว่า แต่ละสาขาต้อง ได้ upload ออก Internet ที่ 3Mbps  ราคาเลยสูง  เพราะต้องใช้ link จากสาขามาสำนักงานใหญ่ speed 3/3 Mbps 

แต่ฟังจากคุณ earth ว่าแล้วน่าต้องใช้ จริงๆ  อาจจะขอลดเหลือ 2/2  เพราะมี 7 สาขา ขาที่เข้าสำนักงานใหญ่ก็ จะประมาณ 10/10 หรือ8/8 คงไม่ได้ Peak พร้อมกัน (2 Mbps x 7= 14 Mbps)

พอจะมีหนทางหรือเปล่าครับ ที่ไม่ต้องใช้ Link speed สูงแต่(ไว้ใช้งานฐานข้อมูลสำนักงานใหญ่ 1/1 หรือ 2/2 พอ) โดยควบคุมด้วย fortigateที่สำนักงานใหญ่ตัวเดียว  แต่ว่าให้สาขาออกเน็ต ผ่านสาขาตัวเอง ซึ่งอาจจะได้ความเร็วเหมือนเน็ตบ้าน 20/3 Mbps  แต่สามารถ block และทำ Application control ได้ที่เดียว

My Name: earth ออฟไลน์
  • ดูรายละเอียด
ตอบกลับ #3 19 มิ.ย. 17, 18:01:07น.
แต่ว่าให้สาขาออกเน็ต ผ่านสาขาตัวเอง ซึ่งอาจจะได้ความเร็วเหมือนเน็ตบ้าน 20/3 Mbps  แต่สามารถ block และทำ Application control ได้ที่เดียว
- เข้าใจว่า ออกเน็ตฝั่งใคร ฝั่งมัน (ของสาขาตัวเอง) ในเรื่องของการจัดการ  block และทำ Application control ได้นั้นจำเป็นจะต้องทำที่ฝั่งสาขาที่มีการออกเน็ตนะครับ ถ้าสาขาใช้ Cisco RV042 เปลี่ยนเป็น FortiGate เถอะครับ  จะได้จัดการควบคุมได้การใช้งานอินเตอร์เน็ต   
(ทางที่ดีใช้ FortiGate เหมือนกันทั้งหมดก็ดีเหมือนกันนะครับ)

ถ้าเปลี่ยนเป็น FortiGate ของที่สาขา ก็จำนวน Users ที่ออกเน็ตพร้อมๆ กันก็ได้ครับ  ตามชื่อรุ่นเลยครับ
30 = 30 Users , 60 = 60 Users , 90 = 90 Users 
แก้ไขครั้งสุดท้าย: 20 มิ.ย. 17, 09:45:42น. โดย earth

My Name: nplpc ออฟไลน์
  • ดูรายละเอียด
ตอบกลับ #4 03 ก.ค. 17, 12:48:33น.
ขอบคุณครับ เดี๋ยวจะลองเสนอ หัวหน้ากับเจ้านายดูครับ