Fortinetthai.com
Fortinet Products => Fortigate => ข้อความที่เริ่มโดย: nplpc ที่ 13 มิ.ย. 17, 09:40:31น.
-
Fortigate 90D สอบถามให้สาขา VPN ผ่านCISCO RV042
ปัจจุบัน มีสาขากับสำนักงานใหญ่ ที่สำนักงานใหญ่มี Fortigate ออกเน็ตปกติ สาขามี CISCO RV042 ออกเน็ตปกติ
1.ต้องการให้สาขา vpn (site to site หรือเปล่า) เพื่อใช้งาน ฐานข้อมูลที่สำนักงานใหญ่ได้
2.ต้องการให้ สาขาใช้งานอินเตอร์เน็ตแล้ว วิ่งผ่าน VPN มาออกี่ Fortigate ทั้งหมด ออกอินเตอร์เน็ตผ่านสำนักงานใหญ่ทั้งหมดจะสามารถทำได้หรือไม่ครับ
จุดประสงค์คือ เพื่อใช้ fortigate ควบคุมการใช้งานอินเตอร์เน็ตของ client สาขาด้วย
ขอconcept คร่าวๆรบกวนแนะนำด้วยครับ หรือเป็นขั้นตอนเลยก็ดีมากครับ ขอบคุณครับ
-
ตอบเป็นข้อๆ นะครับ
1.เข้าใจถูกต้องครับ เป็นการ VPN Site to Site จะเป็นแบบ IPSecVPN เพื่อเชื่อมต่อ Site กับสำนักงานใหญ่ เพื่อใช้งานข้อมูลที่นั้นได้
2.ถ้าเชื่อมต่อแบบ site to Site อุปกรณ์กับอุปกรณ์ (FGT90D <-> CISCO RV042) เชื่อมต่อกันเอง จะไม่สามารถควบคุมการใช้งานอินเตอร์เน็ตของ client สาขา ได้ครับ
เนื่องจากการทำ Site to Site (IPSec) จะออก internet ฝั่งใครฝั่งมันครับ
ถ้าต้องการ ควบคุมการใช้งานอินเตอร์เน็ตของ client สาขาด้วย ให้ใช้รูปแบบการเชื่อมต่อเป็นแบบ Private Link ดีกว่าครับ (ให้ติดต่อกับผู้ให้บริการหรือว่า ISP)
ที่สาขาจะเชื่อมต่อกับสำนักงานใหญ่ Routing ทั้งหมดก็จะวิ่งไปหาสำนักงานทั้งหมด ทั้งชุด IP ที่ฝั่งสำนักใหญ่ และการออก Internet จะออกที่สำนักงานใหญ่
ถ้าใช้แบบ Client to site
Diai up VPN จะเครื่อง Users เอง แล้วควบคุม Users ที่ FortGate เองครับ
การ Setting อุปกรณ์ต่างยี้ห้อ FortiGate กับ CISCO RV042 จะเป็นในรูปแบบ VPN แบบ IPSec
การ Config จะต้อง Config Pre-shared Key , Encryption , Authentication
ทั้ง Phase1 และ Phase2 ให้ตรงกัน 2 อุปกรณ์ให้ตรงกันครับ
(http://cookbook.fortinet.com/wp-content/uploads/FortiGate/site-to-site-IPsec/diagram-800x337.png)
ลองดูตัวอย่างการ Config ใน Youtube นะครับ บน FortiGate
https://youtu.be/xVDaRU8iQHY (https://youtu.be/xVDaRU8iQHY)
-
ขอบคุณครับ ที่บอกว่า private link ราคาค่อนข้างสูง เคยมีเสนอ L2 Ethernet Link เค้าจะให้สาขามาออกเน็ตที่สำนักงานใหญ่ Point to Multi Point ไม่แน่ใจเรียถูกหรือเปล่าครับ ราคาสูงเพราะขอ b/w สูงเนื่องจากบริษัทผมมีข้อกำหนดพิเศษว่า แต่ละสาขาต้อง ได้ upload ออก Internet ที่ 3Mbps ราคาเลยสูง เพราะต้องใช้ link จากสาขามาสำนักงานใหญ่ speed 3/3 Mbps
แต่ฟังจากคุณ earth ว่าแล้วน่าต้องใช้ จริงๆ อาจจะขอลดเหลือ 2/2 เพราะมี 7 สาขา ขาที่เข้าสำนักงานใหญ่ก็ จะประมาณ 10/10 หรือ8/8 คงไม่ได้ Peak พร้อมกัน (2 Mbps x 7= 14 Mbps)
พอจะมีหนทางหรือเปล่าครับ ที่ไม่ต้องใช้ Link speed สูงแต่(ไว้ใช้งานฐานข้อมูลสำนักงานใหญ่ 1/1 หรือ 2/2 พอ) โดยควบคุมด้วย fortigateที่สำนักงานใหญ่ตัวเดียว แต่ว่าให้สาขาออกเน็ต ผ่านสาขาตัวเอง ซึ่งอาจจะได้ความเร็วเหมือนเน็ตบ้าน 20/3 Mbps แต่สามารถ block และทำ Application control ได้ที่เดียว
-
แต่ว่าให้สาขาออกเน็ต ผ่านสาขาตัวเอง ซึ่งอาจจะได้ความเร็วเหมือนเน็ตบ้าน 20/3 Mbps แต่สามารถ block และทำ Application control ได้ที่เดียว
- เข้าใจว่า ออกเน็ตฝั่งใคร ฝั่งมัน (ของสาขาตัวเอง) ในเรื่องของการจัดการ block และทำ Application control ได้นั้นจำเป็นจะต้องทำที่ฝั่งสาขาที่มีการออกเน็ตนะครับ ถ้าสาขาใช้ Cisco RV042 เปลี่ยนเป็น FortiGate เถอะครับ จะได้จัดการควบคุมได้การใช้งานอินเตอร์เน็ต
(ทางที่ดีใช้ FortiGate เหมือนกันทั้งหมดก็ดีเหมือนกันนะครับ)
ถ้าเปลี่ยนเป็น FortiGate ของที่สาขา ก็จำนวน Users ที่ออกเน็ตพร้อมๆ กันก็ได้ครับ ตามชื่อรุ่นเลยครับ
30 = 30 Users , 60 = 60 Users , 90 = 90 Users
-
ขอบคุณครับ เดี๋ยวจะลองเสนอ หัวหน้ากับเจ้านายดูครับ