แสดงกระทู้

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.


Messages - earth

331
ลองทำตามลิ้งค์ ด้านล่างดูนะครับ
http://cookbook.fortinet.com/exempting-google-ssl-inspection/

โดยจะต้องเปิด SSL inspection. ด้วยที่ Policy

เลือก Profiles :  deep-inspection


สร้าง Address domain name เลือก (FQDN) Address ชื่อว่า google.ca


จากนั้นแล้วนำไปใส่ใน SSL inspection. Profiles :  deep-inspection  ตรง Exempting from SSL inspection



332
Capture มาดูหน่อยครับ

333
ตอบเป็นข้อๆ นะครับ
1.เข้าใจถูกต้องครับ  เป็นการ VPN Site to Site จะเป็นแบบ IPSecVPN เพื่อเชื่อมต่อ Site กับสำนักงานใหญ่ เพื่อใช้งานข้อมูลที่นั้นได้
2.ถ้าเชื่อมต่อแบบ site to Site อุปกรณ์กับอุปกรณ์ (FGT90D <-> CISCO RV042) เชื่อมต่อกันเอง จะไม่สามารถควบคุมการใช้งานอินเตอร์เน็ตของ client สาขา ได้ครับ
เนื่องจากการทำ Site to Site (IPSec) จะออก internet ฝั่งใครฝั่งมันครับ

ถ้าต้องการ ควบคุมการใช้งานอินเตอร์เน็ตของ client สาขาด้วย ให้ใช้รูปแบบการเชื่อมต่อเป็นแบบ Private Link  ดีกว่าครับ (ให้ติดต่อกับผู้ให้บริการหรือว่า ISP)
ที่สาขาจะเชื่อมต่อกับสำนักงานใหญ่ Routing ทั้งหมดก็จะวิ่งไปหาสำนักงานทั้งหมด ทั้งชุด IP ที่ฝั่งสำนักใหญ่  และการออก Internet จะออกที่สำนักงานใหญ่

ถ้าใช้แบบ Client to site
Diai up VPN จะเครื่อง Users เอง แล้วควบคุม Users ที่ FortGate เองครับ

การ Setting อุปกรณ์ต่างยี้ห้อ FortiGate กับ CISCO RV042  จะเป็นในรูปแบบ VPN แบบ IPSec
การ Config จะต้อง Config  Pre-shared Key , Encryption , Authentication
ทั้ง Phase1 และ Phase2  ให้ตรงกัน 2 อุปกรณ์ให้ตรงกันครับ



ลองดูตัวอย่างการ Config ใน Youtube นะครับ บน FortiGate
https://youtu.be/xVDaRU8iQHY


334
อ่อ แบบนี้ให้เปลี่ยน Port ตรงช่อง Listen on port เป็น Port : 10443 ครับ
ถ้าไม่เปลี่ยนจะซํ้ากับ Port ที่ Access เข้า FortiGate ครับ

335
อย่างนี้ครับ ที่เครื่อง Users ให้ลงโปรแกรม FortiClient เอาไว้ครับ
แล้วการเรียกใช้งานให้ใช้งานบน Web Portal  แนะนำให้ใช้ Firefox ครับ

ปล.แบบจะต้อง Setting VPN เป็นแบบ SSLVPN นะครับ

http://cookbook.fortinet.com/ssl-vpn-for-remote-users/
https://www.youtube.com/watch?v=lqYbNqZSPRA

ตามตัวอย่างด้านล่างนี้ครับ

336
ใช่หน้านี้ไหมครับ
(คลิกเพื่อแสดงรูปที่ซ่อนอยู่.)

ผมลองแล้วทำไมยังเข้าเน็ตได้เหมือนเดิมครับ


ใช่ครับ
นั้นอย่างนี้ครับที่ Policy ตรง Source Address ให้กำหนดเป็น Address ที่ได้ Assign ให้กับ VPNClient ที่เข้ามา เป็นชุด IP Range ที่ได้กำหนดไว้ : 10.77.20.100-10.77.20.110   ดูครับ



หรือลบ Policy นี้ออกเลยก็ได้ครับ

แต่ถ้ายังได้ อยู่ลอง tracert หรือ traceroute ออกเน็ตดูครับว่า มันออก (hop) ที่ไหน ออกที่ FortiGate หรือออกฝั่งที่ Users ใช้งานอยู่

ปล.ถ้าให้ดี ให้ทำการทดสอบ VPN โดยใช้เน็ตบนมือถือ (3G/4G) หรือว่าปล่อย WiFi Hotspot ออกมา    หรือว่าใช้เน็ตภายนอก Office เพื่อทำการทดสอบครับ 

337
โหลดได้จากตามลิ้งค์ด้านล่างนี้ครับ และในลิ้งค์จะแสดงวิธีการ Setting ด้วยครับ

http://vpn.pkru.ac.th/manual/windowsxp/

338
ทำตาม http://cookbook.fortinet.com/video-ipsec-vpn-with-forticlient/ ได้แล้วครับ  :)

สอบถามเพิ่มเติม เมื่อเครื่อง Client ที่ VPN เข้ามาได้แล้ว ถ้าอยากจะ Block ไม่ให้ใช้งานเน็ต ต้องกำหนดตรงไหน

ที่ Policy ขา IPSecVPN -> WAN
ให้เลือก Action เป็น Deny หรือว่าให้ลบ Policy นี้ออกเลย  (ถ้ามีอยู่แล้ว)

ถ้ายังไม่มี Policy (IPSecVPN -> WAN)
ก็ไม่ต้องสร้างขึ้นมา

339
ลองดูตามนี้นะครับ จาก Fortinet
http://cookbook.fortinet.com/preventing-certificate-warnings/

แล้วส่วนมากจะใช้ "Fortinet_CA_SSLProxy" certificate  นะครับ

340
สามารถตรวจสอบได้จาก Dashboard หน้าแรก ในกรอบ System Information ครับ
ตรง Uptime


341
ตอนนี้คุยข้าม vlan ด้วยเลข IP ได้ครับ แต่อยากคุยแบบใช้ชื่อเครื่องแทน เช่น \\computername ใครพอรู้บ้างช่วยอธิบายด้วยครับผม

ขอสอบถามก่อนครับว่า VLAN นี่ ใช้ Switch Layer 2 manage แล้ว TagหรือTrunk หา Fortigate  หรือใช้ Layer 3 แล้ว ทำrouting ครับ



ใช้สวิต Layer 3 แล้ว ทำrouting ครับ


นั้นขอ ทราบ Detail ของ VLan ที่ได้ทำไว้ และ  Routing ของ Vlan แต่ล่ะวงครับ

342
Fortigate / Re: Fortigate กับ Internet 3BB 200MB
« เมื่อ: 30 พ.ค. 17, 10:28:03น. »
Ref : https://forum.fortinet.com/tm.aspx?m=118583&mpage=2    // ในเว็บ forum.fortinet.com  ของทาง fortinet
ระบุว่า

PPPoE is very slow, at least on the < 100 series.
With Gigabit Ethernet and an ActionTec device to handle the PPPoE, I get speedtest.net results of over 900Mbps up and down on both my old FWF-60c as well as my current 90D (all IPS / logging disabled for all tests)
 
When I remove the ActionTec from the path and use PPPoE directly from the 90D, measurements drop down to approximately 280Mbps.  While SSH'd into the 90D and attempting to run diag sys top or diag sys top-summary, the top session doesn't update until the speedtest is complete.
 
I have a demo 300D that I'll test with over the weekend to see if the NP6 does a better job than NPLite, but the short version is: The lower end Fortigate's don't do




343
ถูกต้อง ใช่เลยครับ  จะต้องเป็น Firmware เดี่ยวกันครับ คือต้องเป็น Firmware เวอร์ชั่น 5.2 ให้เหมือนกันเลยครับ  ทั้ง 2 อุปกรณ์  จะได้ Compatible กันทั้งคู่
ได้ลองตรวจสอบ Firmware ของ FortiAnalyzer  ณ ตอนนี้มี V.5.2.10  ก็สามารถใช้งานได้  ต่างกันแค่เลข Patch ด้านหลัง เท่านั้นเอง
แต่อยู่ใน Platform ของ FortiOS 5.2 เหมือนกัน  (สนใจแค่เลข 2 ตัวหน้า)

344
สอบถามครับ ที่ FortiAnalyzer เป็น Firmware เวอร์ชั่นอะไรครับ
แล้วที่ FortiGate หน้าตาเปลี่ยนแปลงนั้น เป็น Firmware เวอร์ชั่นอะไรครับ

345
Fortigate / Re: fortigate 240D Firmware Versionv5.0
« เมื่อ: 05 พ.ค. 17, 14:49:33น. »
ให้ลองปิด SSL Inspection ที่ Policy แล้วทดสอบดูครับ