แสดงกระทู้

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.


Messages - earth

361
Fortigate / Re: สอบถามเรือง license FortiAnalyser-VM
« เมื่อ: 11 เม.ย. 17, 19:25:04น. »
ขอบคุณครับ
พอจะทราบไหมครับว่าราคาค่าต่อประมาณเท่าไรครับ

ลองสอบถามกับตัวแทนจำหน่ายดูนะครับ

362
FortiGate เองไม่สามารถทำ LoadBalance แบบ รวมเส้นได้ครับ มันจะทำงาน เป็นแบบ Load Sharing Traffic จะใช้แบบ ECMP Load Balancing Method   
 
แบบ Weight
แบ่งตาม bandwidth ว่าให้หนักไป link ใด link หนึ่ง ซึ่งต้องกำหนด Weight ให้หนักไปทาง link นั้น ใช้กรณีที่ความเร็ว link ทั้ง 2 เส้น นั้นแตกต่างกันแต่ไม่มาก

แบบ Spill Over
กำหนด limit ของ link หมายความว่าถ้า traffic ใน link มากเกินกว่าที่กำหนด
ส่วนที่เกินก็จะออกไปอีก link นึงทันที ใช้ในกรณีที่ ความเร็วทั้ง 2 เส้น แตกต่างกันชัดเจน


ที่ระบุมานั้นความเร็วทั้ง 2 WAN  30/5 กับ 8/512  ความเร็วต่างกันมากโดยสิ้นเชิง
แนะนำว่าใช้แบบ Spill Over ดีกว่านะครับ   
ถ้าสมมติว่าใช้แบบ Weight  บ้างเครื่องหรือบ้าง IP ถูก Weight ให้ออกไปที่  WAN ที่ความเร็วที่ช้ากว่า กลายเป็นว่าเครื่องนั้นออกเน็ตช้าเลย  อะไรแบบนี้นะครับ
แต่ถ้าใช้ Spill Over WAN ที่ใช้อยู่ Traffic เต็ม Traffic ก็จะออกไปอีก WAN นึงเลย


ถ้าต้องการแบบรวมความเร็วแบบ 2 เส้น รวมกัน ก็ต้องหาอุปกรณ์ที่ทำ Load Balance เฉพาะทางนะครับ
แล้วถ้ายังใช้ FortiGate อยู่ ก็ให้ WAN ไปต่อกับอุปกรณ์ที่ทำ Load Balance
และให้ FortiGate ชี้ Routing ไปหา




363
Fortigate / Re: สอบถามเรือง license FortiAnalyser-VM
« เมื่อ: 10 เม.ย. 17, 11:32:23น. »
FortiAnalyzer VM มีหมดอายุครับ
ตัวนี้ใช้อยู่จะจำกัด Performance บ้างอย่างครับ  คาดว่าน่าจะเป็นตัว Trial
ตัว Trial จะจำกัด  Performance และระยะเวลาการใช้งานครับ  จะถูกกำหนดวันไว้เลย ที่ใช้งานแรกครั้ง

ดังนั้นถ้าจะใช้งานต่อก็จะจำเป็นต้อง
Upgrade License ก็จะได้ License
ตามที่แจ้งมา  Performance จะเพิ่มเข้ามาครับ

 :D ;)

364
Fortigate / Re: สอบถามคับ Fortigate คับ
« เมื่อ: 10 เม.ย. 17, 10:19:04น. »
คือจะบอกแบบนี้ครับ
ในส่วนข้อมูลของ Hardware ภายใน Box ทางผู้ผลิตคือ Fortinet เขาจะไม่บอกในสเปกและใน DataSheet ครับ
ที่เหมือนกับบางแบรนด์หรือบางยี้ห้อ อื่นๆ

เพราะฉะนั้น ถ้าต้องการอยากทราบข้อมูลให้หา Box FortiGate รุ่นที่ต้องการ แล้วนำมา Run Commard CLI ดังนี้เพื่อตรวจสอบครับ
get system status 
get hardware status
get hardware cpu
get hardware memory

 :) ;)

365
ต้องทำ  Security Profiles 2 ส่วน
1.Webfilter
ใน Profiles ของ WebFilter ในที่นี้จะใช้ Static URL Filter เข้าจัดการ
ตามที่อยู่ในรูปนี้ จะ Allow URL : *teamviewer.* คือ Allow URL ของโปรแกรม teamviewer
และ * ความหมายคือ Block URL ที่ไม่เกี่ยวข้องหมดเลย ก็จะถูก Block ไป


2.Application Control
จัดการ Block Application ทุกอย่าง ที่ไม่เกี่ยวข้อง ที่ไม่ต้องการให้ออกอินเตอร์เน็ต
เพราะจะมี Application ที่อยู่ในคอมออกอินเตอร์เน็ตได้ และมี WebSite บาง Web ที่เป็น Application บน Website ครับ
จากนั้น Allow Application : teamviewer ที่ต้องการให้ใช้งาน

366
ตอนนี้ใช้ IPSec
ลองปรับ lifetime ที่เฟส1,2 ให้เหลือ 10 นาที ก็ไม่ disconnect
แต่ถ้า pptp,sslvpn สามารถทำได้ รบกวนแนะนำด้วยครับ
ขอบคุณครับ

สอบถามครับ
ใช้ FortiGate รุ่นไหน
และ Firmware เวอร์ชั่นไหนครับ

367
คือที่บริษัทต้องการให้ connect vpn ประมาณ 10 นาที แล้วให้เครื่อง user หลุดอัตโนมัติ
ใครพอจะมีวิธีบ้างไหมครับ

ใช้ VPN แบบไหนอยู่ครับ
PPTP , SSLVPN , IPSec

368
สอบถามนิดนึงครับ ผมกะว่าจะเอาไปลองปรับใช้ ออก Ticket ให้ลูกค้าเข้ามาในโรงงานใช้

ผมใช้ AP เป็นยี่ห้อ Aruba

ใน Youtube มันมีขั้นตอนที่ให้ Config ค่า FortiAP

ผมต้องไปตั้งค่าประมาณนี้ที่ AP Aruba แทนใช่ไหมครับ

จริงๆ แล้ว VDO ใน Youtube นั้นใช้ Device : FortiAP ในการกระจายสัญญาณ WiFi ออกมา
แต่ทว่านั้นตัว FortiAP เองก็สามารถควบคุม และจัดการได้บน FortiGate

ดังนั้น สามารถใช้ AccessPoint รุ่นอื่นๆ ยี้ห้ออื่นๆ กระจายสัญญาณ WiFi ออกมาได้ครับ
เพียงแค่ให้ตัว AccessPoint ชี้ Gateway มาหา FortiGate
เพื่อให้ Users ที่เกาะ WiFi จาก AccessPoint รับเงื่อนไข Policy ที่เรากำหนดจาก FortiGate ครับ

369
Fortigate / Re: มีปัญหาเรื่อง Site to Site VPN ครับ
« เมื่อ: 20 ก.พ. 17, 14:34:10น. »
นั้นไง เป็นเรื่องของ Policy Route จริงๆ ด้วย
กำลังจะตอบเลย ฮาๆๆๆ

การกำหนด Policy Route เป็นการบังคับเส้นทางของชุด IP ต้นทาง ไปยัน IP ปลายทางว่า
บังคับให้ออก Interface ไหน ตามที่ต้องการ และการทำงานจะทำจากบนลงล่าง


เพราะฉะนั้นที่ Site B นะครับ ให้เพิ่ม Policy Route ของ IP Site B ไปหา IP ปลายทางของ Site A ด้วยนะครับ
และ Interface Force traffic to: Interface ปลายทางของ VPN ที่ได้สร้างขึ้นมาครับ
 ***ให้ชุดพวกนี้ไปไว้ด้านบน*** เป็นของชุด VPN

แล้วถ้าจะทำ Policy Route บังคับเส้นทางอย่างอื่นก็๋ทำตามสบายเลยครับ ขอให้อยู่ด้านล่างของชุด PolicyRoute ของ VPN ครับ

370
Fortigate / Re: มีปัญหาเรื่อง Site to Site VPN ครับ
« เมื่อ: 20 ก.พ. 17, 11:17:07น. »
ลองดูเรื่อง routing  ของ SiteB ครับ ว่า มีการ ทำ route มายัง SiteA  หรือไม่  ถ้าเป็นไปได้ ผมขอ การ Config ได้ไหมครับ capture รูปมาก็ได้ครับ

Capture ในส่วนของ Static Route และ Policy ของ VPN ครับ
แล้ว VPN ที่ทำเป็นแบบไหนครับ Interface Mode หรือ Tunnel Mode ครับ

(คลิกเพื่อแสดงรูปที่ซ่อนอยู่.)

ภาพบนเป็น Static Route Site A ครับ

(คลิกเพื่อแสดงรูปที่ซ่อนอยู่.)

ภาพบนเป็น Static Route Site B ครับ

(คลิกเพื่อแสดงรูปที่ซ่อนอยู่.)

ภาพบนเป็น Policy Site A ครับ จะสังเกตุเห็นว่าไม่มี Packets วิ่งเข้ามาเลยครับ มีแต่ Packets วิ่งข้ามออกไป

(คลิกเพื่อแสดงรูปที่ซ่อนอยู่.)

ภาพบนเป็น Policy Site B ครับ จะสังเกตุเห็นว่าไม่มี Packets วิ่งออกไปเลยครับ มีแต่ Packets วิ่งเข้ามา

ผมคิดว่าเป็น Interface Mode ครับ

ขอบคุณพี่ๆมากครับ


มีทำ Policy Route ไหมครับ  (ทั้ง 2 ฝั่ง ฝั่ง A และฝั่ง B )
Capture มาหน่อยครับ

และที่เมนู VPN ที่ทำไว้ ขอดูในส่วนของ Local Subnets และ Remote Subnets ทั้ง 2 ฝั่ง ฝั่ง A และฝั่ง B ด้วยครับ


371
จำกัดจำนวนครั้งในการ Login Authenโดยอิงจาก Group
โดยจะจำกัดจำนวน User ในการ Login Authen
ให้ใช้คำสั่งต่อไปนี้

#config user group
#edit "Group1"
#set auth-concurrent-override enable
#set auth-concurrent-value xx   //จำนวนครั้งในการ Login หรือจำนวนอุปกรณ์ในการ Login  ของ Group นี้
#end

372
การทำงานจะเหมือนทำหน้าที่เป็น Hotspot โดยมีการ Generate Users and Password ให้กับลูกค้าหรือ Guest ที่มาข้อใช้อินเตอร์เน็ต
สามารถดูใน Youtube เป็นแนวทางมาประยุกต์ใช้ได้นะครับ

FortiGate Cookbook - Captive Guest Portal (5.0)
https://www.youtube.com/watch?v=Y3DS4kVXtxI

FortiGate Cookbook - Guest WiFi Accounts (5.2)
https://www.youtube.com/watch?v=Kf8X2GXq99Y

แต่ใน Youtube จะมี FortiAP ไม่จำเป็นต้องใช้ครับ

ประเด็นคือดูแนวทางบริหารจัดการ Guest ครับ
สามารถ Generate Password ได้ แบบ AUTO จาก BOX Fortigate เอง
สามารถกำหนดว่า User รายนี้ให้ Expire เมื่อไร ตอนไหนได้
และก็สามารถ Print ออกมาในลักษณะคูปองได้เลยครับ

พอทำเสร็จก็นำ Group Guest นี้ไปใส่ใน Policy หลังจากนั้นก็สามารถกำหนดได้ว่าจะ Block อะไร Allow อะไร ขึ้นอยู่กับ Security Profiles ด้วยครับ

ถ้าต้องการแก้ไขข้อความที่ Print ออกมา
ให้ไปที่เมนู System > Config > Replacement Message
แล้วที่มุมขวาด้านบนให้เลือก Extended View
ให้เลือกด้านล่าง  Authentication > Guest User Print Template

ต้องมีพื้นฐานแก้ไขทางด้านการ web programming เพราะใช้ html ในการแก้ไข

373
Fortigate / ฺBlock WebSite ที่ใช้ https (v.5.0.xx)
« เมื่อ: 18 ก.พ. 17, 00:54:07น. »
ให้ใช้คำสั่ง
#config webfilter profile
#edit ***  <- (Name profile)
#set options https-url scan 

(ใช้ในกรณี Cert Error)
ใช้ในกรณีที่ใช้ Block เว็บที่เข้ารหัส พวกพอร์ต 443
และเปิด SSL Inspection ด้วยที่ Policy นั้น

คำสั่งนี้ให้ใช้กับ Firmware V.5.0.xx
ส่วน Firmware V.5.2.xx ไม่ต้องใช้ ถ้า On Profile ใน Policy SSL Inspection ก็จะ ON ขึ้นมาเอง
V.5.2.xx เพียง ON    SSL Inspection ก็พอ


374
ถ้าต้องการให้อุปกรณ์ FortiGate Restart ตัวเอง เพื่อเป็นการ Refresh ตัวอุปกรณ์
ความสามารถทำได้แค่เพียง Restart เป็นรายวัน  ไม่สามารถตั้ง Schedule ตามความต้องการได้

ให้ใช้คำสั่งต่อไปนี้
#config system global
#set daily-restart enable
#set restart time 01:00    //ตั้งเวลาตามความต้องการ
#end

375
1.Policy
ให้เลือก Log Allowed Traffic ทุกครั้ง ทุก Policy  //เป็นการเก็บ Traffic ทุกอย่างที่ใช้ Policy นี้



2.ที่ Profiles Web filter
ให้ใช้คำสั่ง
#config webfilter profile
#edit ***  <- (Name profile)
#set log-all-url enable
#end 

ทำทุก Profiles ทุก Policy ทุกครั้ง เป็นการเก็บ Log URL ทุกอย่าง
Profiles Web filter  จะดักจับ URL การใช้งานออกเว็บไซค์และจัดเก็บ สามารถเห็นขึ้นมาได้ ที่เมนู Log&Report ->  Security Log -> Web Fiter

ข้อแนะนำ ถ้า Policy บางอันที่ไม่มีการ BlockWeb อะไรเลย ให้สร้าง Profiles เปล่าๆ แล้วใช้คำสั่ง set log-all-url enable ด้านบน เพื่อการเก็บ Log หรือดู Log ของจำพวก URL

3.Monitor Application
ทุก Category ให้เลือกเป็น Monitor เพื่อจะได้  Monitor  เก็บ Log การใช้งาน Application ที่ออก Internet
แต่ถ้าต้องการ Block  Application ที่ไม่ต้องการให้ใช้งานออก Internet ก็ Block ไปตามความต้องการ 
Application ที่เหลือให้เลือกเป็นแบบ Monitor ไป
Log  สามารถเห็นขึ้นมาได้ ที่เมนู Log&Report ->  Security Log -> Application Control

ข้อแนะนำ ถ้า Policy บางอันที่ไม่มีการ BlockApp อะไรเลย ให้สร้าง Profiles เปล่าๆ แล้ว Application ให้เลือก Action เป็น Monitor เพื่อการเก็บ Log หรือดู Log ของจำพวก Application ที่ใช้งานออก Internet

V.5.2.xx


V.5.0.xx