แสดงกระทู้

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.


Messages - earth

301
อย่างนี้ครับ
1.ตรง Interface อยากให้ระบุ interface ที่ชัดเจน ดีกว่าครับ  ให้ระบุ เป็น interface : lan หรือ internal 

config firewall policy
    edit 1
        set srcintf "internal"   // interface lan ภายในที่ต่อกับ FortiGate
        set dstintf "wan1"     // interface ขา wan ที่ออกเน็ต ที่เชื่อมต่อกับ Router ของ ISP
        set srcaddr "all"
        set dstaddr "all"
        set action accept
        set schedule "always"
        set service "ALL"   // Service ALL ถูกต้องแล้ว  ให้ออกทุก Service
        set logtraffic all
        set nat enable
    next
end

2.ตรวจสอบ DNS บนเครื่องคอมนั้น เปิด cmd
ให้ใช้คำสั่ง nslookup  แล้วตามด้วย Domain เช่น google.co.th  แล้วได้ IP ขึ้นมาไหม  หรือว่า ping Domain นั้น เช่น google.co.th แล้ว IP ขึ้นมาไหม      ถ้ายังไม่ได้ ผลลัพธ์ขึ้นมา
         
แนะนำว่าให้ใช้ DNS ของ Google 8.8.8.8 , 8.8.4.4   

302
Fortigate / Re: สอบถามปัญหา Slow Vpn | Fortigate 100D IPsec TO Aws
« เมื่อ: 29 ส.ค. 17, 23:53:20น. »
การเชื่อมต่อ Cloud AWS นั้นจะช้า จะเร็ว นั้นขึ้นอยู่กับความเร็วของอินเตอร์เน็ต การเชื่อมต่อ ความเสถียร รวมถึง Routing และ Traffic เข้าผู้ให้บริการ ISP นั้นๆ ที่วิ่งเข้าสู่ AWS ครับ  แล้วก็ภูมิภาค IDC ที่คุณได้เลือกด้วย

ณ ตอนนี้มี Solution SD-WAN ที่วิ่งเข้าสู่ AWS โดยตรง แล้วนะครับ

303
Fortigate / Re: กำหนด IP WAN ที่เหลือทำอย่างไร
« เมื่อ: 29 ส.ค. 17, 23:24:15น. »
ถ้า IP เหลือ ที่ได้รับจากผู้ให้บริการ ISP
ใช้ประโยชน์ได้ 2 แบบ คือ

1.NAT ขาออกเน็ต โดยใช้ IP ที่เหลือ ที่ได้รับมา 
(โดยปกติการ NAT หรือว่าการติ๊ก NAT ที่ Policy เวลาออกเน็ตจะออกเป็น IP ที่อยู่ที่ WAN Interface)
สมมติในวง Network มีหลาย VLAN แล้วต้องการระบุว่าให้ VLAN เวลาออกเน็ต ออกเป็น IP ที่ต้องการ
หรือว่ามีชุด Address บางชุด บาง IP ต้องการระบุว่า ถ้าออกเน็ตให้ออกเป็น IP ที่ต้องการ  โดยใช้เมนู IP Pool บน FortiGate

ตัวอย่าง




 










2.นำมาใช้ทำ Virtual IP (VIP.)  เป็นการเข้าระบบภายนอกเข้าสู่ภายใน โดยใช้ IP WAN ที่เหลือ MAP เข้ามาสู่ภายใน
แบบ 1 ต่อ 1 (1:1) หรือว่า 1 IP WAN ต่อ 1 IP Private

ตัวอย่าง




จากนั้นก็นำ Virtual IP ไปใส่ที่ Policy WAN to LAN แล้วกำหนด Service ที่จะให้เข้ามาจากภายนอก

304
Fortigate / Re: FortiGate 100D Upgrade Firmware v5.6.2
« เมื่อ: 23 ส.ค. 17, 11:19:40น. »
ตอนที่พบปัญหานั้น ใช้ Browser อะไรครับ

305
Fortigate / Re: สอบถามเรื่อง Fortigate 100D
« เมื่อ: 21 ส.ค. 17, 13:58:55น. »
โดยให้ Link หลักคือ TRUE , Link สำรองคือ TOT
สามารถทำได้ครับ

306
จาก Error นั้นจะบอกว่า ไม่สามารถ Split tunneling เนื่องจาก Policy ID 10 นั้น Destination Address เป็น all ควรที่จะระบุ Address ที่อยู่ภายในวง Network ครับ เหมือนกับที่ระบุใน เมนู Enable Split Tunneling

307
ถ้าต้องการไม่ให้ออกเน็ตฝั่งสำนักใหญ่ จะให้ออกเน็ตฝั่งใครฝั่งนั้น 
ก็จะต้องติ๊กเมนู Enable Split Tunneling เพื่อที่เวลาที่ VPN เข้าแล้ว  ถ้าต้องการเรียกชุด IP ของวงภายในก็จะวิ่งมาทางท่อของ VPN ก็จะ Routing มาหาวงภายใน  แต่ถ้า IP ไม่ได้ระบุไว้ ก็จะวิ่งออกฝั่งของตัวเอง

Routing Address  // ระบุ Address ที่อยู่ภายในวง Network



Technical Note: FortiGate SSL VPN in tunnel mode with split-tunneling - configuration and verification
http://kb.fortinet.com/kb/viewContent.do?externalId=FD31467

ส่วน idle time นั้น 
idle time จะควบคุมระยะเวลาการเชื่อมต่อของ Routing ของท่อ VPN ให้อยู่ในช่วงของระยะเวลาที่กำหนดไว้ ให้สามารถคงอยู่ระบบ
แต่ถ้าไม่มี traffic วิ่ง เข้าท่อ VPN เมื่อครบเวลาที่กำหนดจึงจะถูกระบบจะบังคับ เพื่อเข้าสู่ระบบอีกครั้ง

308
Fortigate / Re: Fortigate 60E ทำ wifi hotspot ได้ไหมครับ
« เมื่อ: 15 ส.ค. 17, 14:32:58น. »
ถ้าเป็นรุ่น 60E นั้นจะรองรับการใช้งานพร้อมกันได้ 60 Users นะครับ

การทำงานจะเหมือนทำหน้าที่เป็น Hotspot โดยมีการ Generate Users and Password ให้กับลูกค้าที่มาใช้บริการ
สามารถดูใน Youtube และ CookBook เป็นแนวทางมาประยุกต์ใช้ได้นะครับ
 
Guest WiFi accounts (5.4)
http://cookbook.fortinet.com/guest-wifi-accounts-54

Cookbook - Guest WiFi Accounts (5.4)
https://www.youtube.com/watch?v=XLHhw5ND8vU&t=143s

แต่ใน Youtube และ CookBook จะมี FortiAP ไม่จำเป็นต้องใช้ครับ

ประเด็นคือดูแนวทางบริหารจัดการ Guest Management ครับ
สามารถ Generate Password ได้ แบบ AUTO จาก Box FortiGate เอง
สามารถกำหนดว่า User รายนี้ให้ Expire เมื่อไร ตอนไหนได้
และก็สามารถ Print ออกมาในลักษณะคูปองได้เลยครับ

พอทำเสร็จก็นำ Group Guest นี้ไปใส่ใน Policy หลังจากนั้นก็สามารถกำหนดได้ว่าจะ Block อะไร Allow อะไร ขึ้นอยู่กับ Security Profiles ด้วยครับ

ถ้าต้องการใช้งานพร้อมกัน 3 เครื่องให้ใช้คำสั่ง CLI ตามนี้ครับ

config user group
    edit "Guest-group"
        set auth-concurrent-override enable
        set auth-concurrent-value 3
    next
end

ถ้าจะต้องการสร้าง Users หลายๆ  Users ชุดพร้อมกันนั้น
ให้ติ๊ก Enable Batch Guest Account Creation



เมนู Guest Management > Create New > เลือก Multiple Users



ใส่จำนวน Users ที่ต้องการ

จะได้จำนวน User ตามที่ต้องการ



ถ้าจะต้องการ Print ทีล่ะหลายๆ  User ให้คลิกที่ User ที่ต้องการ ตั้งแต่เริ่มต้น จนถึง User ลำดับสุดท้าย
โดยกด Ctrl (ที่ Keyboard) กดค้างไว้ และกด Shift (ที่ Keyboard) จากนั้นคลิก User ลำดับสุดท้าย แล้วกด Print ใส่จำนวน User ที่จะ Print ลงไป



ก็จะได้เป็นรูปแบบนี้ สามารถ Print ตัดแจกให้ User ได้เลย





309
1.สามารถให้เครื่องคอมของ User นั้น รับ IP AUTO จาก FortiGate ได้ครับ โดยเปิด DHCP ที่ FortiGate อยู่ที่เมนู System > Network > Interface  แล้วคลิกขวา Edit interface ที่ใช้งานอยู่ ที่เมนู DHCP Server ติ๊ก Enable ขึ้นมา แล้วหลังจากนั้น Address Range สามารถกำหนดช่วงการแจก IP ได้เลย (Start - End)



2.สามารถกำหนดได้ครับ ขึ้นอยู่กับกับการจัดการ Policy
และ Source Address ว่าเลือกเป็นแบบไหน  เป็น Address ที่เราต้องการ




310
เป็นช่องใส่ Serial Number ของอุปกรณ์ของทาง Fortinet ครับ โดยดูจากใต้ Box ถ้ามี FortiGate , FortiAnalyzer หรือ อื่นๆ ภายใต้แบรนด์ Fortinet มาใส่เพื่อทะเบียนผลิตภัณฑ์ ที่ช่องนี้ครับ

311
Fortigate / Re: ปรึกษา เรื่อง NAT IP
« เมื่อ: 27 ก.ค. 17, 17:53:42น. »
นั้นลองให้  Virtual IP (VIP) ดังนี้ครับ
 
1.เลือก Interface เป็น Any
2.Policy WAN > LAN > Dst.Add : Virtual IP
3.Policy LAN > LAN > Dst.Add : Virtual IP

หรือว่าดูได้จาก KB ตามด้านล่างนี้ครับ

How internal users can access internal resources via an external VIP (public IP address)
http://kb.fortinet.com/kb/microsites/microsite.do?cmd=displayKC&docType=kc&externalId=FD33976

312
Fortigate / Re: ปรึกษา เรื่อง NAT IP
« เมื่อ: 18 ก.ค. 17, 16:15:11น. »
ขอดูหน้า Virtual IP (VIP) หน่อยครับ

313
Fortigate / Re: ปรึกษา เรื่อง NAT IP
« เมื่อ: 18 ก.ค. 17, 13:07:54น. »
เบื้องต้นนะครับ
ให้ลองเอา NAT ออกก่อน  ที่ Policy ที่ทำไว้ขาเข้าจากภายนอก (WAN-LAN)
จากนั้นทดสอบดูครับ

314
เครื่องที่ Connect เข้ามา ที่ใช้ FortiClient นั้น ใช้ Windows อะไรครับ

315
ถ้า Box มี MA ลองสอบถามกับทางผู้ขายที่ได้ซื้อ Box ขอ Training ได้ครับ