แสดงกระทู้

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.


Messages - G@Me

1
สวัสดีครับ ผมอยากสอบถามว่าปัญหานี้ผมควรแก้ยังไง หรือต้อทำ Policy อะไรเพิ่มเติมไหมครับ

ณ ตอนนี้ผมมี Internet 2 เส้นครับ เป็น TOT ทั้งคู่ และไม่ Fix IP ทั้งคู่

เส้นแรกมีความเร็ว 1000MB
เส้นสองมีความเร็ว 30MB

เส้นแรกต่อเข้า WAN 1
เส้นสองต่อเข้า WAN 2

ผมไม่ได้ทำ SD WAN นะครับ ตอนแรกทำแล้วเน็ตวิ่ง 30 MB ทั้งๆที่ควรจะรวมความเร็วกัน T_T

หลังจากเสียบสายเข้า WAN หมดแล้ว ตั้งค่า Distance = 5 ทั้ง 2 WAN
ทำ Vlan 2 วง เรียบร้อย

Policy
1. Incoming inter... = lan
    Outgoing inter... = wan1
    Source = Local IP
    Destination = All
    Service = All
    Enable NAT

2. Incoming inter... = SSID Vlan
    Outgoing inter... = wan2
    Source = IP ของ Vlan
    Destination = All
    Service = All
    Enable NAT

Static Routes
Enable Dynamic Gateway
Destination = Subnet = 0.0.0.0/0.0.0.0
Interface = wan1
Gateway Address = Dynamic

Static Routes
Enable Dynamic Gateway
Destination = Subnet = 0.0.0.0/0.0.0.0
Interface = wan2
Gateway Address = Dynamic

หลังจากทำเสร็จ ปรากฎว่าไม่สามารถออก Internet ได้ครับ แต่ถ้าหากผมเปลี่ยนค่า Distance ของ WAN 2 ให้มากกว่า WAN 1 Internet ถึงจะกลับมาใช้งานได้ครับ

แต่ถ้าหากผมเพิ่ม Policy = Local IP to Wan2 อีกอันด้วย ก็จะสามารถใช้งาน Internet ได้ครับ แต่ทว่า Local IP ก็ออก WAN 2 ด้วย ซึ่งผมอยากให้ออก WAN  1

คำถามคือ ผมควรทำอะไรเพิ่มเติม เพื่อให้ Internet ภายในออก WAN 1 และ SSID Vlan ต่างๆ ให้ออก WAN 2 ครับ เพราะผมเซ็ตตามค่าด้านบนแล้ว Internet ล่มครับ (คิดว่าเพราะมันงงหรือเปล่าว่าควรไป WAN ไหน)

2
แล้วเชื่อม network ฝั่งคุณกับลูกค้ายังไงครับ

ผมทำ SSL VPN โดยทำ DDNS ไปครับ คือ Ping และพิม IP อุปกรณ์ Printer อื่นๆ (เช่น 192.168.1.201) บนหน้าบราวเซอร์ในออฟฟิตของลูกค้าได้ครับ แต่พอเป็น IP .1.200 มันไม่ได้ เพราะ IP มันดันมาซ้ำกับ Printer ของออฟฟิตผมด้วยครับ ผมเลยอยากได้วิธีแก้ตรงจุดนี้ครับ ว่าต้องทำอะไรเพิ่มบ้าง เพื่อให้ VPN ไปแล้วสามารถพิม IP .1.200 แล้วเข้าไปที่ Printer ลูกค้า ไม่ใช่ Printer ออฟฟิตผม

น่าจะต้องใช้ vip ช่วยครับในกรณี Overlab supnet 
ศึกษาตาม นี้ดูครับ https://docs.fortinet.com/document/fortigate/6.0.0/cookbook/657805/site-to-site-ipsec-vpn-with-overlapping-subnets?fbclid=IwAR0F_0x3H4HbTV89e0IoMjWFL7HfLq9OOi040BJdIQhIpV8xAVVWjS-EEXo

SSL VPN with overlapping subnets
(คลิกเพื่อแสดงรูปที่ซ่อนอยู่.)
Requirement: LAN subnet of remote client connecting through SSL VPN and local network behind
FortiGate which needs to be accessed overlap.
Network setup:
Remote hosts LAN IP: 192.168.1.10/24
IP of the Server behind Fortigate: 192.168.1.200/24
Products:
All FortiGate models running FortiOS 5.0
Version Tested:
v5.0 build0228 (GA Patch 4)
Configuration:
1. Configure SSL VPN tunnel for remote users -
(คลิกเพื่อแสดงรูปที่ซ่อนอยู่.)

2. Create users and add them to a group -
To create a user account: Go to User & Device > User > User Definition, and select “Create New”.
(คลิกเพื่อแสดงรูปที่ซ่อนอยู่.)

3. Configure VIP and address object –
To configure address object: Go to Firewall Objects > Address > Addresses
(คลิกเพื่อแสดงรูปที่ซ่อนอยู่.)
Note: As the networks overlap we are assuming a virtual subnet 172.16.31.0/24 which is mapped to
actual subnet 192.168.1.0/24

3. To create an SSL-VPN security policy
Go to Policy > Policy > Policy and select “Create New”, select the Policy Type as VPN and the Policy
Subtype as SSL-VPN, enter the following information:
(คลิกเพื่อแสดงรูปที่ซ่อนอยู่.)

Incoming Interface: Select the name of the FortiGate network interface to that connects to the
Internet.
Remote Address: Select all.
Local Interface: Select the FortiGate network interface that connects to the protected network.
Local Protected Subnet: Select the firewall address you created using virtual network
172.16.31.0/24

4. To configure the tunnel mode security policy –
Go to Policy > Policy> Policy and select Create New, leave the Policy Type as Firewall and leave the
Policy Subtype as Address, enter the following information
(คลิกเพื่อแสดงรูปที่ซ่อนอยู่.)

Incoming Interface: Select the virtual SSL VPN interface, such as ssl.root.
Source Address: Select the firewall address you created that represents the IP address range
assigned to SSL VPN clients, such as SSL_VPN_tunnel_users.
Outgoing Interface: Select the interface that connects to the protected network.
Destination Address: Select the VIP object configured
Action: Select Accept.
Enable NAT: Select Enable.
Once the configuration is complete, remote users connecting to SSLVPN can access the server using
the IP 172.16.31.200 and the traffic will be forwarded to 192.168.1.200.

ขอบพระคุณครับ เดี๋ยวอาทิตย์หน้าผมจะไปลองทำนะครับ

3
แล้วเชื่อม network ฝั่งคุณกับลูกค้ายังไงครับ

ผมทำ SSL VPN โดยทำ DDNS ไปครับ คือ Ping และพิม IP อุปกรณ์ Printer อื่นๆ (เช่น 192.168.1.201) บนหน้าบราวเซอร์ในออฟฟิตของลูกค้าได้ครับ แต่พอเป็น IP .1.200 มันไม่ได้ เพราะ IP มันดันมาซ้ำกับ Printer ของออฟฟิตผมด้วยครับ ผมเลยอยากได้วิธีแก้ตรงจุดนี้ครับ ว่าต้องทำอะไรเพิ่มบ้าง เพื่อให้ VPN ไปแล้วสามารถพิม IP .1.200 แล้วเข้าไปที่ Printer ลูกค้า ไม่ใช่ Printer ออฟฟิตผม

4
สอบถามครับ

ผมเซ็ต VPN เรียบร้อยแล้ว และ IP ภายในผมเป็น 192.168.1.XXX
ซึ่ง IP ของเครื่อง Printer ออฟฟิตผมคือ 192.168.1.200

ผมต้องการ VPN ไปเพื่อที่จะเข้าไปเซ็ตติ้ง Printer ที่ออฟฟิตลูกค้า ที่ IP : 192.168.1.200 (ที่มี IP เดียวกันกับออฟฟิตผม)

ปัญหาคือ หลังจากผมต่อ VPN ไปแล้วและไปพิม IP 192.168.1.200 บนหน้าเว็บ มันกลับกลายเป็นว่ามันมาเข้าเครื่องปริ้นที่ออฟฟิตผม ไม่ได้เข้าไปที่ปริ้นเตอร์ลูกค้าอย่างที่ผมต้องการ

ถ้าผมต้องการแก้ปัญหานี้ โดยที่ไม่ต้องเปลี่ยนวง IP 192.168.1.XXX ทั้งของผมหรือว่าของลูกค้า มันมีความเป็นไปได้ไหมครับ

ข้อมูลเพิ่มเติมครับ
ยี่ห้อ Printer ทั้ง 2 บริษัทเป็นแบรนเดียวกันครับ

ถ้าหากมีวิธีแก้ไข ในอนาคตผมอยากนำไปปรับใช้กับพวก NAS หรือ Server ต่างๆเพิ่มเติมครับ

ขอบคุณครับ

5
จะ Blacklist Whitelist MAC Address หรือ IP ครับ

เป็น Mac ครับ แต่ขอเป็นวิธีทำ Whitelist ก็ได้ครับ
 
ถ้า Blacklist พอจะเข้าใจว่าไปทำ Mac Reserve ใน internal แล้วเลือก Block ได้ครับ หรือถ้ามีวิธีอื่นๆในการทำ Blacklist ก็แนะนำผมได้เลยครับ

ขอบคุณครับ


6
https://help.fortinet.com/fweb/541/Content/FortiWeb/fortiweb-admin/blacklisting.htm

ขอบคุณครับ เว็บนี้ผมดูแล้ว แต่ยังไม่ค่อยเข้าใจครับ

7
ผมอยากทราบวิธีการทำ Blacklist Whitelist ครับ เนื่องจากตอนแรกจะทำ Reserve IP แต่เพิ่งมาคิดได้ตอนหลังว่า ถ้าพนักงานแอบเอาเครื่องมาใช้ภายหลังก็คงจะใช้เน็ตได้สบายๆ เลยอยากทำ Blacklist Whitelist ครับ

ขอบคุณครับ

8
มันมีการ set แบบ High Availability ครับ แต่ควรใช้ firewall รุ่นเดียวกัน

ขอบคุณครับ แล้วถ้าใช้คนละรุ่นแบบนี้มันสามารถเซ็ตได้ไหมครับ

9
เกิ่นนำ

ที่ออฟฟิตผมมี Fortigate 60D 1 ตัว

และตอนนี้ออฟฟิตผมได้ Fortigate 60E มาเพิ่มอีก 1 ตัว

ตอนนี้ทั้ง 2 ตัว ได้ Set Config เหมือนกันแล้วครับ เป็น Brigde Mode ทั้งคู่

คำถามคือ ถ้าหากต้องการเซ็ต Fortigate 60E ให้สามารถสลับขึ้นมาใช้งานแทนกันได้แบบ Auto เลยในกรณีที่ 60D เกิดพังขึ้นมา ไม่ทราบว่าจะเซ็ตยังไงได้บ้างหรอครับ

***แก้ไขเพิ่มเติมครับ ทั้ง 2 รุ่นใช้เฟิร์มแวร์เวอร์ชั่นเดียวกันทั้งคู่ครับ***

ขอบคุณครับ

หน้า:
  • 1 (current)