แสดงกระทู้

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.


Messages - earth

286
ถ้าทำ Policy : LAN to wan-load-balance    เรียบร้อยแล้วก็ใช้ได้เลยครับ
ความเห็นที่ 2 ของคุณ PMy นั้น เป็นส่วนของ Routing  เป็นการกำหนดกฎเกณฑ์เส้นทางที่ต้องการให้ออก ไปแต่ล่ะ WAN ตามที่ต้องการ (WAN LLB Rules)

แต่ก็ต้องมีกำหนด Policy ด้วยนะครับ

287
เครื่อง Server ที่อยู่หลัง Firewall นั้น ถูกบุกรุกการโจมตี (Attack) จากภายนอก (WAN to LAN)
เบื้องต้นให้ลองปรับเปลี่ยน
1.ให้ใช้ IPS เป็น Profiles : high security
2.ถ้า Server ใช้งานเฉพาะประเทศไทย   ที่ Policy WAN to LAN  Source.Address นั้นก็ให้ระบุเป็น IP ของประเทศไทย

จากในรูปของ Log นั้นที่ Action เป็น Dropped แสดงว่าโดนตรวจพบเจอ แล้วโดน Drop ไม่สามารถเข้ามาถึง Server ได้
ถูกกั้น ป้องกัน หรือ Protect จาก Firewall FortiGate แล้ว

288
จริงๆ แล้วเมนู Captive Portal ใช้ได้กับทุก Interface ของ FortiGate เลย
ไม่ใช่กับ FortiAP อย่างเดียว


เหมือนกับที่เคย อธิบายในกระทู้เลยครับ
http://www.fortinetthai.com/webboard/index.php/topic,13.0.html

แต่ Group User ในPolicy ยังคงไว้ปกตินะครับ
แค่นำ Group ไปใส่ในเมนู Captive Portal เพิ่มเติม

289
ในส่วนของ Static Route
Destination IP/Mask  :     // ให้ใส่ IP Subnet ปลายทางพร้อมทั้งระบุ Subnet Mask ด้วย
Device :    // ให้เลือก Interface ของ VPN Tunnel ที่ได้สร้างไว้

290


ที่สาขา A จะต้องทำ Routing ชี้ไปของฝั่งของสาขา B  โดยทำที่เมนู Static Route
และทำ Policy ระหว่างของสาขา   
สาขา A -> สาขา B
สาขา B -> สาขา A

ลองศึกษาได้จากลิ้งค์ด้านล่างนี้ครับ

http://cookbook.fortinet.com/site-to-site-ipsec-vpn-two-fortigates

FortiGate Cookbook - Site-to-Site IPsec VPN (5.2)
https://www.youtube.com/watch?v=sZC0AldHi34

Setup Site-to-Site IPSec VPN (Basic)
https://www.youtube.com/watch?v=xVDaRU8iQHY

291
ให้ Setting Captive Portal ที่ Interface ขา internal หรือ ขา Lan ที่ใช้งาน
จากนั้นเลือก Group ที่ต้องการทำ Authen


292
จะต้องมากำหนด ที่ Policy บน FortiGate ครับ

293
ถ้าในเรื่องของการ Login
ต้องการให้ Login SSID ของกลุ่มนั้นๆ แต่ยังเกิดปัญหา Login ข้ามวง หรือ ข้าม SSID กันได้
แนะนำว่าควรจะจัดการที่ตัว Access Point ที่ตัว Aruba ดีกว่าครับ  ในเรื่องของการจัดการ Group ของการ Login SSID นั้นๆ

solution เพิ่มเติมก็คือ ควรที่จะมา Authen บน Aruba ในแบบ 802.1x แล้วให้ Aruba setting Authen 802.1x โดย setting Radius server ไปดึง User ที่ AD Server
ในตอนนั้นก็จะระบุได้ว่า SSID ไหน  Group ไหนบ้างที่จะ Login SSID นั้นๆ ได้

FortiGate เป็นแค่การทำ Routing จัดการออก Internet ครับ

295
Fortigate / Re: เข้าไปจัดการ fortigate ไม่ได้
« เมื่อ: 04 ต.ค. 17, 13:39:17น. »
1.ถ้ายังทราบ IP ที่ Port Internal 
Card LAN ก็ต้อง Set IP ให้อยู่ Range IP เดียวกันกับของ FortiGate
โดยให้ IP Gateway ให้ชี้ไปหา IP FortiGate

2.แต่ถ้าไม่ทราบเลยให้ใช้สาย Console เข้าไปจัดการ โดย Run Commard CLI : show system interface internal
 ที่ Card LAN ให้ Set IP ให้อยู่ Range IP เดียวกันกับของ FortiGate
 IP Gateway ให้ชี้ไปหา  IP FortiGate

296
Fortigate / Re: สอบถามเรื่อง Version Fortianalyzer
« เมื่อ: 29 ก.ย. 17, 11:50:48น. »
ถ้าเก็บ Log โดยระบุตัวตน ของบุคคลภายในโรงงานได้นั้น
จำเป็นที่จะต้องจัดซื้ออุปกรณ์เก็บ Log ภายในของตัวเอง

โดยที่ภายในของระบบนั้นที่จะต้องทำ Authentication ที่ FortiGate เพื่อเป็นการระบุตัวตนของ User ที่เข้าใช้งานออกอินเตอร์เน็ต
ใน Log นั้นจะระบุ ชื่อ (ชื่อของ User), Group (Group ที่อยู่ใน FortiGate), วัน เวลา (ที่เข้าใช้งาน) , IP ภายใน , Hostname(ของเว็บที่เข้าชม) ,  URL (ของเว็บที่เข้าชม) , IP ปลายทาง

Log ก็จะประมาณนี้ครับ

297
ที่ Policy หน้านี้
ให้ติ๊ก UTM ขึ้นมา เมนู UTM Profiles ต่างๆ จะขึ้นมาครับ


298
Fortigate / Re: สอบถามครับ WAN LLB+IP Pool
« เมื่อ: 15 ก.ย. 17, 11:19:11น. »
ทั้งอย่างนั้นให้ใช้ "Policy Route" เป็นการบังคับเส้นทางที่เราต้องการ
ในการออกเน็ต WAN ใด WAN นึง  เป็นการ Force เส้นทาง

299
Fortigate / Re: สอบถามเรื่อง Fortigate 100D
« เมื่อ: 06 ก.ย. 17, 16:36:50น. »
ศึกษาได้จากลิ้งค์ด้านล่างนี้ครับ

Cookbook - Redundant Internet with SD-WAN (5.6)
https://www.youtube.com/watch?v=SV9YrpG_li8


Redundant Internet with SD-WAN (5.6)
http://cookbook.fortinet.com/redundant-internet-sd-wan-56/

300
แล้วได้ลองเปลี่ยน DNS มาใช้ของ Google ยังครับ (8.8.8.8 , 8.8.4.4)