แสดงกระทู้

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.


Messages - yield

16
Fortigate / Re: Create new Static Route Error : Duplicate entry found.
« เมื่อ: 23 มิ.ย. 17, 13:20:06น. »
ตอนนี้ผมลอง ชี้ static route ไปที่ Wan1 กับ Wan2 แล้วครับ ในส่วนของ policy routes ผมจะชี้ไปที่ไหนครับ เนื่องจากผมมี 6 wan link ที่ใช้งานอยู่จะบังคับ source address กลุมนี้ยังไงให้วิ่งไปออก wan load balance เพราะในช่อง Outgoing interface ไม่มี wan-load-balance ให้เลือกเลยครับ

 Policy Route จะเป็นกำหนดให้ออกไปยัง wanใดwanนึงครับ ปรกติถูกต้องแล้ว ที่ไม่มี wan-load-balance ให้เลือก เพราะ มันทำงาน แบบ กระจายออก ครับ ถ้าคุณเลือก source ip base เลขคู่ออก wan  นึง เลข คี่ ออก wan นึง  แต่ทั้งนี้ ถ้าคุณต้องการให้ ทุก user กระจายออก เน็ต ก็ต้องทำ policy access internet แต่ละ wan ด้วยนะครับ

ผมต้องทำ policy แบบนี้ นี้เปล่าครับ
policy ที่ 1
Incoming Interface = ขาแลนภายใน
Source Address = ip กลุ่มที่จะให้ออก load balance
Outgoing Interface = Wan1
Desination Address = all

policy ที่ 2
Incoming Interface = ขาแลนภายใน
Source Address = ip กลุ่มที่จะให้ออก load balance
Outgoing Interface = Wan2
Desination Address = all

*** แต่ถ้าทำแบบนี้ user ก็ออก Internet ที่ wan 1 9 ตลอดเลยหรือเปล่าครับ user จะไม่ load balance

อย่างที่ผมบอกครับ ว่าการทำ policy route คือการบังคับออก ไป wanใดwanนึง ถ้าต้องการให้ user ออก แบบ กระจายกันไม่ควรทำpolicy route ครับ เพราะ คุณกำหนด source ip base ไปแล้ว คือกระจายกันออก  ขอแค่คุณทำ policy Rules ทั้ง 2 wan ให้เหมือนกันครับ เช่่น Source Inf Internal address 192.168.x.x >>Destination Inf wan1 address all , Source Inf Internal address 192.168.x.x >>Destination Inf wan2 address all  แบบนี้ ก็ จะกระจายกันออก ครับ แต่ถ้าต้องการ ให้ user ทั้งหมด ออกwanไหนมากสุด กำหนดได้ ที่ weight แทนครับ

17
Fortigate / Re: Create new Static Route Error : Duplicate entry found.
« เมื่อ: 23 มิ.ย. 17, 10:52:32น. »
ตอนนี้ผมลอง ชี้ static route ไปที่ Wan1 กับ Wan2 แล้วครับ ในส่วนของ policy routes ผมจะชี้ไปที่ไหนครับ เนื่องจากผมมี 6 wan link ที่ใช้งานอยู่จะบังคับ source address กลุมนี้ยังไงให้วิ่งไปออก wan load balance เพราะในช่อง Outgoing interface ไม่มี wan-load-balance ให้เลือกเลยครับ

 Policy Route จะเป็นกำหนดให้ออกไปยัง wanใดwanนึงครับ ปรกติถูกต้องแล้ว ที่ไม่มี wan-load-balance ให้เลือก เพราะ มันทำงาน แบบ กระจายออก ครับ ถ้าคุณเลือก source ip base เลขคู่ออก wan  นึง เลข คี่ ออก wan นึง  แต่ทั้งนี้ ถ้าคุณต้องการให้ ทุก user กระจายออก เน็ต ก็ต้องทำ policy access internet แต่ละ wan ด้วยนะครับ

18
Fortigate / Re: Create new Static Route Error : Duplicate entry found.
« เมื่อ: 23 มิ.ย. 17, 10:24:43น. »
ทำแบบ Wan Link Load Balancing Interface ครับ ผมเลือกเป็น Source IP based (มี wan 1 และ wan 2 เป็นสมาชิก)

ตอนสร้าง static route ช่อง Device ก็เลือก wan-load-balnce

ถ้าคุณต้องการที่จะทำ static route แยก interface แนะนำ ให้ลบ defalut route wan-load-balance ออกครับ แล้วแยก static route ออกแต่ละwan จะดีกว่าครับ

19
Fortigate / Re: Create new Static Route Error : Duplicate entry found.
« เมื่อ: 23 มิ.ย. 17, 09:48:44น. »
ขอสอบถามก่อนครับ อันนี้ได้ทำแบบ  WAN Load Balancing interface หรือเปล่าครับ

20
Fortigate / Re: Create new Static Route Error : Duplicate entry found.
« เมื่อ: 23 มิ.ย. 17, 09:28:20น. »
ผมจะทำ load balance แต่พอจะสร้าง static routes ก็ขึ้น error Duplicate entry found. มีวิธีไหนที่จะเพิ่ม route อันนี้ได้บ้างครับช่วยแนะนำด้วยครับ

ใช้ Fortigate รุ่นไหน Firmware ver.ไหนครับ

21
Fortigate / Re: การทำ Routing
« เมื่อ: 23 มิ.ย. 17, 09:13:13น. »
ติ๊ก ครับ แต่ปัญหา คือเป็นที่อุปกรณ์ ระหว่าง Cisco Rv042 กับ Cyberoam ครับ

ฝั่งไหน cisco rv042 ฝั่งไหน cyberroam ครับ

22
Fortigate / Re: การทำ Routing
« เมื่อ: 23 มิ.ย. 17, 09:00:06น. »
K. earth ครับ

คือตอนนี้ผมก็ได้ทำ VPN ระหว่าง C และ A อยู่ครับ แต่ติดปัญหาที่ว่า ทุกๆ เช้าผมต้องมาทำการ Reconnect ที่อุปกรณ์ฝั่ง C ทุกวันครับ เลยอยากหาฟังก์ชั่นใหม่ๆ ครับ

ไม่ทราบตรง  phase2 ได้ทำการ check autokeykeepalive หรือ เปล่าครับ เพื่อเป็นการคงสถาะการเชื่อมต่อ





23
ไฟที่แสดงตรง port :Wan ข้างขวาสีส้ม แต่อีกข้าง สีเขียว เข้าใจว่าปกติมันต้องสีเขียวหมด
ที่ไฟสีส้ม เพราะอะไรครับ
(คลิกเพื่อแสดงรูปที่ซ่อนอยู่.)

ลองตรวจสอบสายLAN ที่เสียบมายังขาwan ดูครับว่าสายเส้นนั้น ชำรุดหรืออะไรหรือไม่หรืออีกกรณีที่ตัวrouter ของต้นทางที่จำกัดได้แค่10/100  เพราะสาเหตุที่ขึ้นสีส้มนั้นเป็นเพราะว่า มันมีการส่งข้อมูลแค่ 100 mbps ครับ

24
สอบถามเพิ่มเติมครับ
กรณี ถ้าจะให้ User connect PPTP ที่สาขาแต่จำกำหนดสิทธิ์ ไม่ให้ออกเน็ตได้
สามารถกำหนดได้จาก Policy ไหมครับ

ถ้าหากไม่ได้กำหนดpolicy เพิ่มเติม เช่น src inf wan to dst inf wan(policy ที่ยกตัวอย่างหมายถึง ต้นทางwan จาก ip pptp มาหา ปลายทางwan all)  โดยปกติ ก็จะไม่สามารถออก internet ได้ครับ

25
Fortigate / Re: สอบถามการทำ virtual IPs ด้วยครับ
« เมื่อ: 21 มิ.ย. 17, 09:03:37น. »
ทั้งสร้าง policy route และสร้างpolicy  จาก Internal => Internal => VIP Object หรือยังครับ ทำทั้ง 2 ทั้ง policy route และ policy ใน rules

26
Fortigate / Re: สอบถามการ Disconnect sesion
« เมื่อ: 20 มิ.ย. 17, 16:01:41น. »
ใช่ลงตัว Agent หรือเปล่าครับที่ลง บน server ad ปรกติ ถ้า configถูกต้องเรียบร้อยแล้ว และส่งlog ไปยัง forticloud ถ้า log fortigate เห็น user  forticloud ก็จะเห็นเช่นกันครับ 

27
Fortigate / Re: สอบถามการทำ virtual IPs ด้วยครับ
« เมื่อ: 20 มิ.ย. 17, 15:34:22น. »
ผมมี wan เดียว ครับ wan1 และ internal เดียวครับ

vip object กำหนดเป็น any แล้วครับ
ตอนนี้  internal สามารถออก wan1  ได้ครับ สามารถใช้งาน อินเตอร์เน็ตได้ปกติ
แต่ เครื่องนในเครือข่าย internal ไม่สามารถ มองเห็น ip ที่ทำ การ virtual ips ได้ครับ

เช่น
 intermal ผมเป็น ip 192.168.1.50 (เครื่องใช้งานทั้วไป)
และใน interal ผมมี ip 192.168.1.2 (ทำเครื่องนี้ให้เป็น server) และทำการ virtual ip ที่ 10.10.1.2 
โดยผมได้ทำ การ static routes 0.0.0.0/0 gw  10.10.1.5  device wan1
และ policy
 wan1 all --> internal1 virtual ip    service  http  No Nat
(แต่จากเครือข่ายอื่นๆ ที่ไม่ได้อยู่ภายใน intermal สามารถเข้าเว็บไซต์ผมได้ปกติครับ  แต่ภายในไม่สามารถใช้งานเว็บไซต์ได้ครับ)

รบกวนด้วยครับ

 ถ้าผม

ลองสร้าง Policy Internal => Internal => VIP Object  หรือยังครับ

28
Fortigate / Re: สอบถามการทำ virtual IPs ด้วยครับ
« เมื่อ: 20 มิ.ย. 17, 09:47:37น. »
สวัสดีครับ
 
สอบถามเกี่ยวกับการทำ  virtual IPs
เนื่องจากติดปัญหา เครื่องภายใน ไม่สามารถมองเห็น IP วงนอกได้

public ip คือ  wan1 10.10.1.1 (ของตัว fortigate)
private ip  internal  192.168.1.1 (ของตัว fortigate)

เครื่อง server private ip 192.168.1.2 แล้วทำ virtual ips กำหนด เป็น public ip 10.10.1.2 แล้ว
ผลที่ได้  ถ้าไม่ใช้เครือข่ายภายในองค์กร สามารถเข้าถึงได้
แต่ ถ้าเป็นเครือข่ายภายในองค์กร จะไม่สามารถเรียก ip 10.10.1.2 ได้เลย

ROUTER internal 0.0.0.0/0 wan1 10.10.1.1
มีวิธีแก้ไขอย่างไรครับ
รบกวนด้วยครับ



สอบถามครับ ว่ามีการทำ Policy Route บังคับ ให่ internal ออกไปยังwan ใด wan นึงหรือเปล่า และ ในการ สร้าง  VIP Objec ให้กำหนด Interface เป็น any ครับ
 และให้ทำ Policy WAN => Internal => VIP Object   Policy Internal => Internal => VIP Object

และถ้าในกรณี ที่ทำ policy route ให้ออก wanใดwanนึง คุณต้องกำหนด policy route อีก เช่น

Protocol : 0
Incoming interface: internal
Source address / mask: 192.168.1.0/24
Destination address / mask: 192.168.1.33/32 (Internal Private IP)
Destination Ports: 80
Outgoing interface: internal
Gateway: 0.0.0.0

คือบังคับ routing ให้ internal ทั้งหมด ไปหา IP ปลายทาง ด้วยport 80 ที่ interface internal เช่นกัน ที่ทำแบบนี้ ก็เพราะ เหตุผล ที่ บังคับเส้นทาง ออกไปยัง ip ใดๆ ( 0.0.0.0) จาก interface wan ทำไม่สามารถ ที่จะหา IP ปลายทางที่กำหนดได้  จึงต้องกำหนด เส้นทางอีกทีครับ

29
Fortigate / Re: สอบถามการ Disconnect sesion
« เมื่อ: 20 มิ.ย. 17, 09:39:08น. »
คือผมกำลังจะติดตั้ง fortigate 60E  แทน Palo alto   คือมีปัญหาดังนี้
ปัจจุบันผมใช้ palo alto อยู่
สมมุติว่าผม block web : facebook  ตั้งแต่ 08.00 - 17.00  ถ้ามีuser เข้าก่อน 8โมง  ก็จะใช้ facebook ได้ ปกติ
แต่ปัญหามีอยู่ว่า ถ้า user เข้า facebook ไว้ ก่อน  8โมง และไม่ได้ปิด browser หรือ Tap นั้น  เมื่อเขามาใช้งานต่อ จะยังใช้งาน facebookได้ต่อหรือไม่ครับ ถ้าเปลี่ยนมาใช้ fortigate (60E)

Fortigate สามารถ clear session ได้ครับ โดยใช้ command cli  #diagnose sys session clear เมื่อใช้คำสั่งนี้ tab นั้นจะถูกตัดการเชื่อมต่อตามpolicy ที่กำหนด เพราะ เป็นการclear session  เก่าออกไป  ครับ 


30
สอบถามหน่อยครับ ผมลองทำตามแล้วทำไม ผม add group ไม่ได้   
(คลิกเพื่อแสดงรูปที่ซ่อนอยู่.)

ลองเพิ่มใหม่ก็ไม่ได้

ไม่ทราบว่าได้สร้าง Group แล้วหรือยังครับ เหมือน error มันฟ้องว่า ไม่มีgroup  ต้องสร้่างก่อนนะครับ ถึงจะเอามา Ref ที่ cli ได้

หน้า:
  • 1
  • 2 (current)
  • 3
  • 4