แสดงกระทู้

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.


Messages - telthanya

1
Fortigate / Re: สอบถามเรื่องการ Log user AD
« เมื่อ: 24 ก.ย. 19, 14:59:01น. »
กรณีที่ลง agent ที่ AD จะใช้ในการทำ Sigle Sign-On ครับ (Client ต้อง Join Domain)
ถ้าไม่ลง agent จะไม่สามารถใช้งาน Sigle Sign-On ได้ครับ ซึ่งหมายความว่า จะไม่มี log ขึ้นเช่นกัน
เนื่องจาก AD ไม่รู้ว่าจะคุยกับ Firewall ยังไง agent เปรียบเสมือน ภาษา Sign-On

แต่ถ้าใช้ LDAP แล้วดึง User บน AD มาเป็น User LDAP บน Firewall อีกที จะไม่ต้องลง agent
กรณีนี้จะมี User+IP แสดงที่ Traffic Log ครับ

2
Fortigate / Re: สอบถามการ Config Fortigate 110C
« เมื่อ: 24 ก.ย. 19, 12:07:25น. »
ผมลองทำตามแล้ว ก็ยังออก Internet ไม่ได้เลยครับ
ผมมีข้อสงสัยอยากสอบถามครับ
1. ระหว่าง SW L3 กับ Firewall ต้องเชื่อมต่อกันยังไงเหรอครับ เสียบสายต่อตรงระหว่าง Interface ของ SW L3 กับ Firewall
 โดยต้องตั้งค่าอะไรเพิ่มเติมยังไงหรือครับ อันนี้ไม่เข้าใจจริงๆครับ เพราะอุปกรณ์ทั้ง 2 เหมือนยังสื่อสารกันไม่ได้เลยครับ เลยเป็นสาเหตุทำให้ออก Internet ไม่ได้

2. ผมสงสัยว่า Interface ของ Firewall ตั้งแต่ Port1-8 ทำไมไม่สามารถแยก Config ได้ ทุก Port เป็นสมาชิกของ Internal
 ทั้งหมดเลย ต้องแยกออกยังไงหรือครับ

อันนี้ถามเพราะไม่เข้าใจจริง ๆ ครับ มือใหม่อยากลองศึกษาจริงๆ ครับ ซื้ออุปกรณ์มือสองมาลองเล่นเอง หมดเยอะแล้วด้วยครับ กรุณาด้วยครับ ขอบคุณครับ...

ขอตอบทีละส่วนดังนี้ครับ (ยาวหน่อยนะ)

ส่วนที่ 1 Config Firewall
ถ้ามองจากภาพ (ขอใช้ตัวอย่างข้างล่างนี้อธิบายทั้งหมดนะครับ)
ผมขอสมมติว่าคุณต่อสายจาก Core SW Port GE0/1 ไปเสียบที่ Firewall Port 1
และต่อสายจาก Firewall Port 2 ไปยัง Router TOT

Config Firewall สำหรับสร้างเส้นทางจาก Firewall ไปยัง Internet
SRC port : Port 1
DST port : Port 2
SRC Address : (อันนี้แล้วแต่ว่าคุณจะให้ IP ไหนออกได้บ้าง ก็สร้าง Object Address มาใส่ตรงนี้ครับ)
DST Address : เลือก Object Address เป็น ALL (อันนี้แบบง่าย ๆ นะ ไม่กรอง Address ปลายทาง ไปได้ทุกที่)
Service : ALL (แบบง่าย ๆ ไม่กรอง Service ปลายทางที่จะไป)
ACTION : ACCEPT

Config Route เพื่อให้มีเส้นทางระหว่าง Firewall กับ Router TOT
- ที่ Firewall ทำ Default Route โดยไปที่ Router > Static Route
Destination : 0.0.0.0/0.0.0.0 (ตรงนี้หมายถึง ไปปลายทางได้ทุก IP)
Interface : Port 2 (เลือกพอร์ตที่เชื่อมต่อกับ ISP เพื่อเป็นทางออกไป เนท)
Gateway : ใส่ไอพีของ Interface ฝั่งตรงข้าม (ในที่นี้จะหมายถึง Interface Router TOT ที่เชื่อมต่อมายัง Firewall ครับ)


Config Firewall สำหรับสร้างเส้นทางจาก Firewall ไปยัง Core Switch
SRC port : Port 2
DST port : Port 1
SRC Address : ALL (เนื่องจากเราจะให้ Traffic จาก Internet ทั้งหมด มายัง Network ที่ต้องการ)
DST Address : เลือก Object Address เป็น Network ปลายทาง (วงของ Client)
Service : ALL (แบบง่าย ๆ ไม่กรอง Service ปลายทางที่จะไป)
ACTION : ACCEPT

Config Route เพื่อให้มีเส้นทางระหว่าง Firewall กับ Core SW (ถ้ามองจากตรงนี้ เรากำลังจะสร้างเส้นทางจาก Firewall ไปยัง Core Switch)
- ที่ Firewall ไปที่ Router > Static Route
Destination : ใส่ Network IP ที่จะให้ Triffic จากที่ใด ๆ สามารถวิ่งเข้าไปยัง Network ดังกล่าว (ในที่นี้คือการทำให้ Firewall รู้จักเส้นทางที่จะไปยัง Network วงนั้น ๆ)
Interface : Port 1 (เลือกพอร์ตที่เชื่อมต่อกับ Core SW เพื่อบอกให้ Router ทราบว่า หากจะไป Network ข้างต้น จะต้องออกทาง Port นี้)
Gateway : ใส่ไอพีของ Interface VLAN ของ Network นั้น ๆ (Network IP กับ Interface VLAN จะเป็นเลขเดียวกัน)


ส่วนที่ 2 Config Core Switch
โยน Default Route มายัง IP ที่ Interface ของ Firewall Port 1 เลยครับ
(ถ้ามองจากตรงนี้ เรากำลังจะสร้างเส้นทางจาก Core Switch ไปยัง Firewall)


ข้อสงสัยที่ถามมาเพิ่มเติม
1. ระหว่าง SW L3 กับ Firewall ต้องเชื่อมต่อกันยังไงเหรอครับ เสียบสายต่อตรงระหว่าง Interface ของ SW L3 กับ Firewall
 โดยต้องตั้งค่าอะไรเพิ่มเติมยังไงหรือครับ อันนี้ไม่เข้าใจจริงๆครับ เพราะอุปกรณ์ทั้ง 2 เหมือนยังสื่อสารกันไม่ได้เลยครับ เลยเป็นสาเหตุทำให้ออก Internet ไม่ได้
ตอบ : เสียบปกตินั่นแหละครับ เพียงแต่อาจต้องดูในเรื่องของ Dulex และ Speed ให้ตรงกัน

วิธีเช็คบน Firewall
Fortigate # config system interface
Fortigate (interface) # edit port1 <<<<< ใส่เลขพอร์ตที่ต้องการ
Fortigate (port1) # show full-configuration
Fortigate (port1) # set speed auto <<<<<<<<<<< เลื่อนไปดูที่บรรทัดนี้ครับ Default จะเป็น Auto (ไม่แนะนำให้ fix speed ของ interface บน firewall ถ้าอยากจะ fix ให้ไปทำบน SW)
Fortigate (port1) # set speed (แล้วพิม ? จะแสดง cmd ว่าสามารถตั้งค่า Duplex และ Speed ได้อย่างไรบ้าง)

2. ผมสงสัยว่า Interface ของ Firewall ตั้งแต่ Port1-8 ทำไมไม่สามารถแยก Config ได้ ทุก Port เป็นสมาชิกของ Internal
 ทั้งหมดเลย ต้องแยกออกยังไงหรือครับ
ตอบ : INTERNAL ถ้า Firmware เก่า ๆ เป็นเพียงแค่ชื่อครับ แต่เดี๋ยวนี้ เฟิร์มแวร์รุ่นใหม่ ๆ ที่รองรับ Security Fabric นำชื่อนี้ไปแยกแยะด้วยครับ
ถ้าเราไม่ได้ใช้งาน Security Fabric หรือไม่ได้สนใจ คำว่า INTERNAL ก็เป็นเพียงแค่ Port ๆ นึง ที่แยก Zone กันอย่างสิ้นเชิง
(แยก Broadcast Domain เลยอะครับ) Port บน Firewall จะไม่เหมือน Port บน Switch ที่อยู่ใน VLAN เดียวกัน จะมองเห็นกัน

ไหน ๆ ก็ไหน ๆ ละ ผมขอแนะนำบทความของผมด้วยแล้วกัน ผมเขียนขึ้นมาเอง
เรื่อง Broadcast Domain ศึกษาได้จากลิ้งนี้ครับ https://netsocieties.blogspot.com/2019/07/understanding-basic-of-vlans-virtual.html

เรื่องของการสร้าง Policy บน Firewall หากไม่เข้าใจ ศึกษาได้จากลิ้งนี้ครับ https://netsocieties.blogspot.com/2019/09/how-to-creating-security-policy-zoning.html

หากมีอะไรสอบถามเพิ่มเติม ทิ้งคำถามไว้ได้เลยครับ
ขอบคุณครับ

3
Fortigate / Re: Fortigate ไม่ redirect ไปหน้า Captive Portal
« เมื่อ: 15 ก.ค. 19, 19:31:36น. »
ของผมเคสเดียวกันเลย
ผมว่าจริง ๆ แล้ว อาจจะเป็นที่การ Trust Cert ระหว่าง Firewall (ให้มองว่าเป็น Web Server ตัวหนึ่ง) กับ Web Browser นะ
กรณีที่ใช้ Web Browser ที่เคร่ง ๆ เรื่องการ Trust Cert อย่างเช่น Chrome ก็จะไม่สามารถแสดงหน้า Captive Portal ให้ (แม้กระทั่งกด Advance ไปแล้ว)
ซึ่งตอนนี้ผมติดในกรณีนี้เช่นกัน

สิ่งที่ค้นพบเจอว่ามันติดเกี่ยวกับ https (ไม่แน่ใจว่าอาจจะเป้นที่บางเครื่องด้วย) นั่นก้อคือในหัวข้อ User & Device > Authentication Setting > มีการ Tick Checkbox (Redirect HTTP Challenge to a Secure Channel (HTTPS))
ซึ่งหมายความว่า เวลา Client วิ่งเข้ามา Authen ตัว Firewall ด้วย HTTP จะบังคับให้ Redirect to HTTPS ทันที

วิธีแก้ไขแบบที่ใช้งานได้แน่ ๆ คือ เอา Tick Checkbox อันนั้นออกซะ แล้ว Client จะสามารถใช้ HTTP Captive Portal ได้ (กรณ๊นี้ใช้ได้กับทุก Web Browser)

ส่วนวิธีแก่ไข แบบที่ ยังไงก็ยังยืนยันว่าจะต้องใช้ HTTPS ให้ได้กับทุก Browser คือ
1.(คหสต.) ผมคิดว่าอาจจะมีปัญหาเรื่อง Cert ที่ Fortigate Deploy ไปยัง Client  ซื้อ Cert Wildcard อาจจะหาย
2.เคยเปิดเคสไปถามทาง Fortinet ได้คำตอบมาว่า บางเว็บ เช่น Google ใช้ Protocol HSTS กันแล้ว (บนหัวเว็บจะขึ้น https เหมือนเดิม) ซึ่งบาง Browser ยังไม่ Support ทำให้ Fortigate Trust Cert ไม่ได้ จึงไม่แสดงหน้า Captive Portal อันนี้จะติดแค่ตอนก่อนจะ Authen ถ้าสามารถหาวิธี Authen ผ่านไปได้ ก็ใช้เว็บ HSTS ได้ตามปกติ (แต่ถ้าไม่ได้ tick checkbox ข้างต้น ก็จะใช้ได้งาน Captive Protal ได้ปกตินะ ไม่ได้ติดอะไร)
ซึ่งวิธีแก้ HSTS ที่ว่า Fortinet แนะนำมาว่าให้ Clear HSTS ของแต่ละ Browser ซึ่งผมว่าวิธีนี้แม้ง WTF มากกกก
WTF ตรงที่ การ Clear HSTS จะต้องเคลียร์บน Browser ที่จะใช้ Login แล้วในวิธีการเคลียร์ ต้องกรอก เว็บ ที่จะเคลียร์
ซึ่งสมมติว่า Google กับ youtube ใช้ HSTS ผมต้อง Clear ทั้ง 2 เว็บ นั่นหมายความว่า ถ้า User เปิด Browser
ขึ้นมาแล้วกรอกเป็น Google หรือ youtube ก็จะขึ้นหน้า Captive Portal แล้วถ้าเกิด User กรอกเว็บอื่นที่เป็นที่ HSTS ละ ?
แน่นอนว่ามันก็จะติดเหมือนเดิม คิดว่าน่าจะมองภาพออกนะว่ายุ่งยากอย่างไรในการ Clear HSTS สำหรับ User จำนวนมาก ๆ
(เหมือนเล่นกับสัญชาตญาณของคนที่มันไม่เหมือนกัน บางคนชอบพิม google ตอนแรก บางคนชอบ pantip บางคน youtube) ซึ่งวิธี Clear HSTS นี้ไม่เหมาะมากกกกกกกก

หรือหากท่านใดมีคำแนะนำวิธีการแก้ไขให้สามารถใช้ HTTPS Captive Portal กับทุก Web Browser ได้ด้วยวิธีอื่น
ก็เสนอวิธีทางแก้ที่นอกเหนือจากที่ผมทราบด้วยครับ คือตอนนี้ก็ยังหาวิธีแก้ไม่ได้อยู่ ได้ tick checkbox ที่ว่านั่นออก ให้ user เข้าเปน http ไปก่อน 5555
ขอบคุณครับ

4
Port 1 ยังไม่อัพ ครับ

และที่ Mikrotik ต้องชี้ Default Route กลับมาที่ Gateway (IP บน Interface Port 1) ด้วยครับ

5
Fortigate / Re: ต่อ VPN แล้วไม่ได้ IP
« เมื่อ: 19 พ.ค. 19, 10:05:03น. »
ไฟล์นี้เป็น คู่มือการทำ SSL-VPN ที่ FortiOS 6.0.2 ที่ผมทำขึ้นมาเพื่อใช้สำหรับ Training ให้กับลูกค้าของผม
ลองนำไปศึกษาดูครับ ผมคิดว่าผมทำคู่มือไว้ละเอียดพอสมควร
หากสงสัยตรงไหนเพิ่มเติม ลอง Email หลังไมค์มาได้ครับ



ผิดพลาดประการใด ติชม ได้ครับ
ผมหวังว่าจะมีประโยชน์กับหลาย ๆ ท่าน ขอบคุณครับ

6
Fortigate / Re: fortigate สามารถทำ ip helper ได้ไหมครับ
« เมื่อ: 13 พ.ค. 19, 20:58:46น. »
ถ้า Switch L2 ต่อกับ firewall แล้วสร้าง interface vlan บน Firewall นั้น
ก็จะเกิด interface บน  firewall แบบนี้สามารถ on DHCP Server ได้บนที่่ interface นี่้บน Firewall ได้เลยครับ
ปัจจุบันก็ใช้ dhcp บน firewall อยู่ครับ แต่อยากให้มันชี้ไปที่ dhcp บน windows server ครับ มันทำได้ไหมครับ

ที่ Interface VLAN (บน Firewall) จะมีหัวข้อสำหรับทำ DHCP Server อยู่ในนั้น (เข้าใจว่าตอนนี้ใช้ function นี้อยู่เพื่อแจก DHCP ตามที่อ่านจากการตอบกระทู้จากข้างบน)

1.เลือกที่หัวข้อ Advance (ภายใต้หัวข้อ DHCP Server นะครับ)
2.จากนั้นเลือก Mode : Relay
3.ที่ช่อง DHCP Server IP ให้ใส่ IP ของ DHCP Server โดยที่
- Firewall จะต้อง ping หา DHCP Server เจอ
- client ภายใน VLAN ที่จะรับ DHCP จะต้อง ping หา DHCP Server เจอ
- หาก client ภายใน VLAN ที่จะรับ DHCP จะต้อง ping หา DHCP Server ไม่เจอ ให้ตรวจสอบ Policy ระหว่าง VLAN ดังกล่าวไปหา DHCP Server ว่ามีหรือไม่
- หากไม่มีให้ทำการสร้างขึ้นมาครับ
4.หัวข้อ Type เลือกเป็น Regular ครับ

https://www.picz.in.th/image/wlE3QN

ปล.ผมอธิบายที่เวอร์ชั่น 6.0 นะครับ คิดว่าเวอร์ชั่นต่ำกว่านี้ จะทำแนว ๆ นี้ หรือหากเวอร์ชั่นต่ำมาก ๆ อาจจะต้องทำบน CLI

หน้า:
  • 1 (current)