แสดงกระทู้

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.


Messages - earth

241
ทำไมเอารุ่นเล็กเอาไว้ที่ สำนักงานใหญ่ ครับ   น่าจะเอารุ่น FortiGate 100E ซึ่งเป็นรุ่นใหญ่เอาไว้ที่สำนักงานใหญ่ครับ เพื่อรองรับ Traffic ได้จำนวนเยอะๆ ทั้งการออกเน็ตผ่าน FortiGate 100E
และ VPN ขาเข้าไปหาครับ

การดูรุ่น กับการใช้งาน
ถ้า Users ไม่เกิน 80 Users ใช้ FortiGate 80E ได้ครับ
ถ้า Users ไม่เกิน 100 Users ใช้ FortiGate 100E ได้ครับ

ในแต่ล่ะรุ่น มีความแตกต่างกันที่ Hardware ของตัว Box และสเปกในตัวมันเองดูได้จาก Datasheet ครับ
และการ Setting เหมือนกันเลยครับ ทั้งหน้าตา WebGui และคำสั่ง Commard CLI


Fortigate รุ่น 80E-BDL นี้สามารถทำ VPN IPSec Site to Site ได้มั้ยค่ะ
- สามารถทำได้ครับ    , ทำได้ทุกรุ่นเลยครับ


สรุปความเข้าใจของตัวเองน่ะค่ะ
คือ ที่สำนักงานใหญ่มี Fortigate เพียง 1 ตัว ก็สามารถทำการติดต่อกับ สาขาย่อยหลายสาขาได้ ไม่จำเป็นต้องติดตั้งตามจำนวนของสาขาย่อย
 
- ถ้าสำนักงานใหญ่มี FortiGate 1 ตัวแล้วนั้น แล้วจะไม่ติดตามสาขานั้น  ถ้า Users ที่อยู่ตามสาขาจะติดต่อเข้ามาสำนักใหญ่จะต้อง VPN (Remote Access)
แบบ Client to Site (SSLVPN)ครับ  โดยให้ Users ที่อยู่ตามสาขา Dial up VPN ผ่านโปรแกรม FortiClient เข้ามาครับ เพียงแค่ให้ออกเน็ตได้ก็เพียงพอครับ
แต่อีกมุมนึง จะไม่สะดวกกับ Users ทุกครั้ง ที่จะต้อง VPN ผ่านโปรแกรมอยู่บ่อยๆ ครับ
 ที่สำนักงานใหญ่ที่มี FortiGate ก็จะต้อง Setting VPN SSLVPN เอาไว้ครับ  เพื่อรอการเชื่อมต่อ



แต่ที่สาขาย่อยนั้น จะต้องมีการติดตั้ง Fortigate ไว้ด้วยเช่นกัน
- ถ้าสาขานั้นมี FortiGate ด้วย และที่สำนักใหญ่ก็มี FortiGate ด้วย  ทั้ง 2 ฝั่งต่างมีอุปกรณ์เหมือนกัน
ก็ให้ทั้ง 2 อุปกรณ์ Setting VPN IPSec Site to Site ครับ ให้อุปกรณ์ทำ VPN เชื่อมต่อ VPN เข้าหากันเอง
เพียงแค่นี้ Users ภายใน ที่ออกผ่าน Firewall
ถ้าจะออกเน็ต จะออกฝั่งใคร ฝั่งมัน  แต่ถ้าต้องการติดต่อสำนักใหญ่ก็จะวิ่งผ่าน Tunnel VPN ของตัว Firewall ซึ่ง VPN (virtual private network) ก็จะวิ่งผ่านเส้นทาง Internet ครับ


242
Fortigate / Re: ทำ Vlan ยังครับ
« เมื่อ: 09 เม.ย. 18, 09:50:41น. »
VLAN ที่ทำไว้เป็นแบบไหนครับ แล้วทำ VLAN ที่ไหนครับ
ทำที่ Switch L3 หรือทำที่ Switch L2 ครับ

243
ทุกที่ ถ้าจะต้องการที่จะให้ติดต่อสื่อสารกัน ควรจะต้องมี FortiGate ทุกที่ครับ
ทั้ง HQ ก็ต้องอาจจะต้องเป็น FortiGate รุ่นใหญ่หน่อย และตามสาขาทุกที่ ก็ต้องมี FortiGate  เช่นกัน

ถ้าต้องการให้ HQ ติดต่อกับ สาขาทุกที่ ก็จะต้องทำ VPN IPSec Site to Site ทุกสาขามาที่ HQ ครับ

เหมือนกับว่า FortiGate เป็น Gateway ทุกที่ เป็นทั้งการจัดการออกอินเตอร์เน็ต และ VPN
ถ้าในส่วนของ VPN จะให้ Box แต่ล่ะที่เชื่อมต่อกัน คุยกันเอง อยู่หลัง FortiGate ก็สามารถติดต่อได้ทุกที่แล้วครับ

ตามตัวอย่างภาพด้านหลังครับ

244
ก็จะต้องทำ Routing เมนู Static Route บน FortiGate
และก็ทำ Policy Firewall บน FortiGate ด้วยเช่นกัน

ในส่วนของ Mikrotik ก็จะต้องทำ  Routing และ Policy Firewall ด้วยเหมือนกันเลยครับ

245
Fortigate / Re: รบกวนสอบถาม NAT Fortigate ครับ
« เมื่อ: 29 มี.ค. 18, 15:24:35น. »
ที่ Virtual IP ตรง Interface คุณเลือก ANY ไว้
หมายถึง Interface ใดๆ ก็ได้ แต่ก็ต้องสอดคล้อง Ext.IP กับ Interface ที่ Setting Virtual IP


ตอนสร้าง  Policy
Incoming Interface   ให้เลือก Interface ขาเข้ามา  (WAN)
Outgoing Interface   เลือก Interface ภายใน

จริงๆ แล้ว ถ้าเลือก ANY   ตรง Incoming Interface จะมีให้เลือกขึ้นมา ทุก Interface ที่ Policy นะครับ

246
Fortigate / Re: รบกวนสอบถาม NAT Fortigate ครับ
« เมื่อ: 29 มี.ค. 18, 14:45:36น. »
ใช่ครับ  จะต้องทำ Policy อีก


WAN > LAN
Src.Add : All
Dst.Add : Virtual IP (ที่ Setting ไว้)
แบบนี้จะเป็นขาเข้าจากภายนอก

ถ้าให้ออกเน็ต ก็จะต้องทำ LAN > WAN ครับ

247
Fortigate / Re: รบกวนสอบถาม NAT Fortigate ครับ
« เมื่อ: 29 มี.ค. 18, 14:35:47น. »
A duplicate entry already exists. = มีรายการที่ซ้ำกันอยู่แล้ว

เนื่องจากมีซํ้ากันอยู่แล้ว อยู่ด้านบน
ข้อสังเกตคือ Ext.IP  IP เหมือนกัน (122.155.139.212)
แถม Map Port เหมือนกันอีก (25)

แต่แตกต่างที่ Mapped IP Address ภายในครับ ของเดิมเพิ่มไปแล้ว (10.10.100.105)
ถ้าเพิ่มของใหม่ 10.10.100.107   ต้องเลือกเอาครับ จะใช้อันไหนครับ

248
ถ้าบนอุปกรณ์ FortiGate ก็จะต้อง Config เป็นแบบ IPSec  VPN Site to Site ครับ
ตามลิ้งค์ Youtube นี้ครับ

Setup Site-to-Site IPSec VPN (Basic)
https://www.youtube.com/watch?v=xVDaRU8iQHY

การ Setting VPN Site to Site IPSec ต่างอุปกรณ์นั้น
ถ้า 2 อุปกรณ์จำเป็นจะต้องรองรับ IPSec เหมือนกันทั้งคู่

ในส่วนของรายละเอียดการ Setting
Phase1 Proposal , Phase2 Proposal ในส่วนของ Encryption , Authentication , DH Group , Keylife จะต้อง Setting ตรงกันทั้งคู่ครับและ Pre-shared Key ด้วย

ในส่วนของอุปกรณ์ Mikrotik ลองหาๆ ดูครับ "VPN IPSec Site to Site Mikrotik" น่าจะเยอะอยู่ครับ  (Google หรือ Youtube)

249
Fortigate / Re: forti os 5.4 traffic shaper policy เลือก device ไม่ได้
« เมื่อ: 19 มี.ค. 18, 16:07:41น. »
ในส่วนของ Traffic shapper เวอร์ชั่น 5.4 ขึ้นไป ที่เมนู Policy บน GUI  Traffic shapper จะถูกตัดออกไป
ถ้าจะต้องการ Setting แบบ GUI จะถูกย้ายไปที่  traffic shaper policy แทน ที่เมนู Policy & Objects

แต่ถ้าต้องการ Setting ที่ Policy หรือแบบเดิมๆ ที่เคย Setting มาแบบเวอร์ชั่นก่อนๆ
จะต้องใช้ Commard CLI ที่ Policy ตามด้านบนนี้ครับ

250
Fortigate / Re: ทำ Redundant ไม่ได้ครับ
« เมื่อ: 16 มี.ค. 18, 11:27:49น. »
อย่างนี้ครับ 
จะต้องให้ wan1 ที่เป็น Lease Line ให้เป็น Member ของ SD-WAN โดยจะต้องชี้ Gateway ที่เมนู SD-WAN ตรงนี้แทน ครับ   ไม่ใช้เมนู Static Route ที่เคย Setting ครับ

และ wan2 ถ้าเป็น ADSL นำ PPPoE กรอกที่เมนู Interface จะต้องนำมาเป็น Member ของ SD-WAN เช่นกัน  ในส่วนของ Gateway ไม่ต้อง
ใส่ ปล่อยว่างเป็น 0.0.0.0 เลยครับ   เนื่องจากเน็ต ADSL ที่เป็นแบบ PPPoE ถ้าเป็น Dynamic IP   IP เปลี่ยนแปลงได้ตลอดเวลา เราก็ไม่ทราบ IP Gateway ที่ชัดเจนครับ   (ไม่จำเป็นต้องใส่)



***ถ้าอินเตอร์เน็ต Setting Interface แบบ Manual เราทราบ IP Gateway ที่ชัดเจน แล้วจะมาทำ SD-WAN จะต้องมาใส่ IP Gateway ตรงนี้แทน
    ถ้าอินเตอร์เน็ต Setting Interface แบบ PPPoE  ไม่ต้องใส่ IP Gateway ปล่อยว่างไว้  (0.0.0.0)
    ถ้าอินเตอร์เน็ต Setting Interface แบบ DHCP   จะต้องใส่ IP Gateway ด้วย  (ที่รับมาจาก DHCP Server)



และจากนั้น ทำ Static Route ด้วยครับ   (ถ้าต้องการหา Network Address : 0.0.0.0 ให้ไปหา Interface : SD-WAN)

251
Fortigate / Re: สอบถาม vpn
« เมื่อ: 09 มี.ค. 18, 18:01:50น. »

ถ้า Setting VPN แบบ SSLVPN โดยใช้ forticlient ลอง Setting ตามลิ้งค์นี้ครับ
SSL VPN for remote users
http://cookbook.fortinet.com/ssl-vpn-for-remote-users/



252
Fortigate / Re: สอบถาม vpn
« เมื่อ: 09 มี.ค. 18, 16:46:30น. »
ใช้ Firmware เวอร์ชั่นไหนครับ


253
Fortigate / Re: ทำ Redundant ไม่ได้ครับ
« เมื่อ: 09 มี.ค. 18, 10:41:23น. »
ลองดูค่า Distance ครับ ให้ค่า Distance ของ WAN2 ให้เท่ากับ Distance WAN1 ครับ

254
ได้ครับ
แต่ก็ต้องมี  FortiAuthenticator เข้ามาเกี่ยวเนื่องด้วย

ศึกษาจากลิ้งค์นี้ครับ    มี API Google เข้ามาเกี่ยวข้องด้วยครับ
Social WiFi Captive Portal with FortiAuthenticator (Google+)
http://cookbook.fortinet.com/social-wifi-captive-portal-fortiauthenticator-google/






255
Fortigate / Re: policy เบื้องต้น
« เมื่อ: 02 มี.ค. 18, 11:59:21น. »
Incoming Interface
เบื้องต้นนะครับ  ก็จะต้องรู้ก่อนว่า ตัวเรานั้น หรืออุปกรณ์ ที่มี IP Address ของเรา ต่อเข้ากับ Interface ไหนของ FortiGate
เป็น Interface ต้นทาง เป็น Source Interface หรือ Incoming Interface ที่อยู่ใน Policy ที่เข้าหา fortiGate

Souce Address
 ก็คือ ชุด IP Address เป็นได้ทั้ง IP Subnet , IP Range

Outgoing Interface
ให้มองว่า เป็นทิศทาง Interface ที่ต้องการจะออก ถ้าต้องการออกเน็ต router ต่อกับ wan1 ก็ต้องเลือก wan1 ถ้า wan2 ก็เลือก wan2
หรือขึ้นอยู่กับ interface นั้นๆ ที่ต้องการจะออกไป

Destination Address
Address ปลายทางที่ต้องการจะให้ออก โดยสามารถระบุเป็นชุด IP Address ที่ต้องการได้   แต่ถ้าจะออกเน็ต ไป IP ใดๆ หรือ Address ใดๆ จะใช้ All

Service
โดยสามารถระบุ Service ที่ต้องการจะให้ออกได้    ถ้าไม่ต้องการระบุใช้ all ได้เลย
 

**ประเด็นหลักในการทำ Policy ก็จะต้องรู้ก่อนว่า เราอยู่ interface แล้ว ip อะไร  จะออกไป interface ไหน แล้ว address อะไร