PTT職涯區 / MIS (IT資訊人員)

[請益] FortiGate 對監視器的設定

看板MIS (IT資訊人員)作者時間5年前 (2018/12/31 16:32), 5年前編輯推噓13(13048)
留言61則, 12人參與, 6年前最新討論串1/1
1. 環境,原架構(前人規劃 中華數據機接兩台防火牆 一台 Fortigate 100D 接辦公室網路 一台 Vigor 2950 接監視器設備 兩台除了Wan IP不同,Wan 的 GW/MA都一樣,因為是接同一台數據機 兩台的Lan IP/MA/GW也一樣 2. 參數設定 設定 Fortigate 虛擬IP和對應Port,完全參照 Vigor 2950的設定 https://i.imgur.com/BNawt6C.jpg
https://i.imgur.com/ssqR5I3.jpg
3. 切換設備 把 Vigor 的 Wan 和 Lan 線都拔掉 監視器設備改接到 Fortigate 後面的 L2 Switch 4. 測試 結果完全連不到,例如 WEB 畫面的 http://IP:81 檢查 Fortigate 的政策,該政策的流量 0KB 其它設備,不同的 Wan IP 的虛擬IP,是正常可以使用 有前輩遇過類似狀況嗎?需要注意哪些部份? --------欲請板友協助Troubleshooting請重新選擇文章分類「Case」--------- 本板於105.10.06增加文章分類「Case」, 其目的是提供板友們以Q&A互動方式發問技術問題, 欲請板友協助Troubleshooting任何問題,請重新選擇文章分類「Case」, 造成不便,敬請見諒。 --------閱讀完畢可按Ctrl + Y逐行移除注意事項-------------------------- -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 59.125.197.131 ※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1546245177.A.365.html
12/31 17:53, 5年前 , 1F
先設到DMZ看有沒有正常,在找問題
12/31 17:53, 1F
12/31 18:07, 5年前 , 2F
完全連不到是連不到監視器嗎
12/31 18:07, 2F
12/31 18:24, 5年前 , 3F
監視器是uni還是multicast?
12/31 18:24, 3F
DMZ也連不到........網路是申請 6固i Vigor 的 Wan IP 假設是第六組的 6IP/24,拔掉 Wan 和 Lan 把相關設定改到 Fortigate ,VIP和政策使用 6IP,卻是沒流量,透過瀏覽器也開不起來 兩台的 Wan的GW/MA 設定都一樣,差別在 Fortigate 是設定第一組的 1IP/24 VIP 部份也一直都有設定 2IP 到 5IP,都可以正常使用 Fortigate 有設定是可以不用那一組 IP 嗎? 監視器一個port是web、一個port是給app、一個port是流量吧,對監視器不熟... 想說,單純設VIP開port,卻失敗 = =a ※ 編輯: zbug (36.238.105.171), 12/31/2018 19:37:02
12/31 20:26, 5年前 , 4F
直接問 Vigor 客服啊
12/31 20:26, 4F
12/31 21:01, 5年前 , 5F
進來有設定,出去呢?
12/31 21:01, 5F
12/31 21:01, 5年前 , 6F
有同意監控對外政策是開放?
12/31 21:01, 6F
外對內、內對外的服務都 ALL ... 全開的測試,測成功才會鎖 Port https://i.imgur.com/sJbInuX.jpg
※ 編輯: zbug (36.238.105.171), 12/31/2018 21:13:44
12/31 21:14, 5年前 , 7F
L2 SW架構是同一層VLAN?
12/31 21:14, 7F
12/31 21:20, 5年前 , 8F
你可以先把居易對於監控的政策先丟出來看
12/31 21:20, 8F
沒切vlan,附上居易的設定....超簡單 https://i.imgur.com/ZNAkCal.png
現在的納悶點是...居易已經拔掉wan和lan的線 Fortigate 還是無法用第六組IP,感覺...只能居易這台使用???? 而且居易這台...就只接五台監視器,沒接任何設備,真心不懂這是啥架構 ※ 編輯: zbug (36.238.105.171), 12/31/2018 21:27:07
12/31 21:50, 5年前 , 9F
你不用去管對外IP,因為都是一樣的路由
12/31 21:50, 9F
12/31 21:52, 5年前 , 10F
lan ip是同一區塊嗎? 192.168.0.X/24?
12/31 21:52, 10F
12/31 21:53, 5年前 , 11F
forti的lan group有將port1納入,共用同一個lan setting?
12/31 21:53, 11F
居易的Lan IP是192.168.0.1/24 Forti的port1 IP是192.168.0.1/24 後面接 L2 Switch 把監視器從居易改接到Forti之後,Forti後端的電腦是可以ping的到 也可以透過 http://LAN_IP:81 的方式開啟瀏覽,就偏偏外網 http://WAN_IP:81 無法開 也可以透過 4G 網路方式,不用 Forti 的網路去開 http://WAN_IP:81 依舊失敗 但是,接回居易...4G 網路是可以正常開啟,包含Forti後端的電腦也正常開啟 ※ 編輯: zbug (36.238.105.171), 12/31/2018 22:12:32
12/31 22:18, 5年前 , 12F
先把WAN TO LAN的CCTV改成ALL,看看外到內有沒有通
12/31 22:18, 12F
明天上班再測,如果外到內沒有通,要再檢查哪裡?? 這組固i是一定可用,畢竟居易是用那一組固i 當然,測試的過程會把居易都有拔掉Wan/Lan線 ※ 編輯: zbug (36.238.105.171), 12/31/2018 22:28:50
12/31 22:31, 5年前 , 13F
目的的cctv是群組?包含了4個內部ip?
12/31 22:31, 13F
12/31 22:31, 5年前 , 14F
你要不要試著先設定目的的群組,改成一個內部ip的3個po
12/31 22:31, 14F
12/31 22:31, 5年前 , 15F
rt為一個群組(ex:cctv1),然後一條規則只設定對應到一個
12/31 22:31, 15F
12/31 22:31, 5年前 , 16F
內部ip?
12/31 22:31, 16F
CCTV 是群組沒錯,五個內部IP各有三個Port,所以有15個VIP,都設在 CCTV 你是建議一個IP一個PORT一個政策?設15個政策??? ※ 編輯: zbug (36.238.105.171), 12/31/2018 22:35:55
12/31 22:37, 5年前 , 17F
5個內部設5個策略就好
12/31 22:37, 17F
12/31 22:41, 5年前 , 18F
5個內部IP設5個策略就好,每個策略包含3個port
12/31 22:41, 18F
是這樣嗎?先設好...明天直接測 https://i.imgur.com/hHUuqB4.png
12/31 22:43, 5年前 , 19F
第六個IP只能居易用,是不是對端的arp沒清掉?
12/31 22:43, 19F
12/31 22:44, 5年前 , 20F
請ISP清一下ARP看看能不能正常?
12/31 22:44, 20F
這條是企業專線20M/20M(不要問我,前人留下的規劃) 打客服電話,直接給線編,然後跟客服說...我要清arp?? ※ 編輯: zbug (36.238.105.171), 12/31/2018 22:51:50
12/31 22:58, 5年前 , 21F
是的,我說的就是這樣的設定,清arp就是撥中華電信的客
12/31 22:58, 21F
12/31 22:58, 5年前 , 22F
服,提供公司統編,地址,線路號碼或wan ip,讓客服幫你
12/31 22:58, 22F
12/31 22:58, 5年前 , 23F
轉技術客服,然後請技術客服清arp
12/31 22:58, 23F
12/31 23:00, 5年前 , 24F
t外,新年快樂,加班辛苦啦
12/31 23:00, 24F
找到一篇文章,不知道 Forti 有沒有類似指令,要不然就得找客服了 http://0rz.tw/RWJvQ 晚上才是能專心研究東西的時間,該下班的都下班了,剩下少數單位和客人... 我又跳到飯店業了 Q_Q ※ 編輯: zbug (36.238.105.171), 12/31/2018 23:02:43
01/01 00:48, 6年前 , 25F
你監視器lan to wan的policy要設定NAT成監視器的對外ip
01/01 00:48, 25F
01/01 00:55, 6年前 , 26F
因為沒看到詳細設定,建議你在FG上sniffer一下就知道問題
01/01 00:55, 26F
01/01 00:56, 6年前 , 27F
看看封包wan跟lan的進出,目前推斷應該是設定有少的問題
01/01 00:56, 27F
01/01 01:49, 6年前 , 28F
100d應該可以直接在設備上抓封包,可以看看流量有沒有
01/01 01:49, 28F
01/01 01:49, 6年前 , 29F
進來100D,應該是那個IP被咬住成舊設備的MAC,打去給IS
01/01 01:49, 29F
01/01 01:49, 6年前 , 30F
P清MAC,不然就是要等一段時間MAC AGE時間到重新學到新
01/01 01:49, 30F
01/01 01:49, 6年前 , 31F
MAC
01/01 01:49, 31F
01/01 01:52, 6年前 , 32F
清MAC是ISP的設備要清,不是企業的設備清
01/01 01:52, 32F
01/01 02:00, 6年前 , 33F
另外,針對外對內政策,開外對內方向就好,內對外的不
01/01 02:00, 33F
01/01 02:00, 6年前 , 34F
用特別去開
01/01 02:00, 34F
01/01 14:17, 6年前 , 35F
上上面先搞清楚 MAC Address 跟 ARP 作用會比較好
01/01 14:17, 35F
01/01 14:18, 6年前 , 36F
話說上週也有人問我為什麼PING 不到但網路都好的
01/01 14:18, 36F
01/01 14:18, 6年前 , 37F
我直接問他知道 MAC Address 跟 Arp 的 MAC Address
01/01 14:18, 37F
01/01 14:18, 6年前 , 38F
有什麼不同......
01/01 14:18, 38F
結案,最後是用 starcat 前輩的建議,五台監視器 五個IP 各三個Port 設成五組政策 沒有打電話給ISP業者清任何快取的方式 原來都設在一起是不會通...這部份就不懂為何,希望有前輩幫回答 OTL(跪 ※ 編輯: zbug (59.125.197.131), 01/01/2019 15:32:12
01/01 22:22, 6年前 , 39F
我用FG這麼久,還沒有同個policy設好幾個不同ip在一起過
01/01 22:22, 39F
01/01 22:24, 6年前 , 40F
一來管理不清,二來policy是去比對ip的規格跟順序
01/01 22:24, 40F
01/01 22:25, 6年前 , 41F
我猜同一條有不同ip可能會造成混亂,理論上應該設不進去
01/01 22:25, 41F
01/01 22:29, 6年前 , 42F
不解釋了,你本文中的Forti第二張圖policy設定,跟下面
01/01 22:29, 42F
01/01 22:30, 6年前 , 43F
連結step3對一下差在哪
01/01 22:30, 43F
01/01 22:31, 6年前 , 44F
goo.gl/R5vJjA
01/01 22:31, 44F
01/01 22:37, 6年前 , 45F
所以我剛用公司的測試一下,不同ip不同服務都設在同一條
01/01 22:37, 45F
01/01 22:39, 6年前 , 46F
policy上,而且ip跟服務都是用群組,測試會通哩
01/01 22:39, 46F
01/01 22:42, 6年前 , 47F
所以這樣設定是可以的,那你可能是版本或是原設定有誤吧
01/01 22:42, 47F
01/01 22:48, 6年前 , 48F
後來我測試,原來答案是你服務不能設ALL啦
01/01 22:48, 48F
01/01 22:50, 6年前 , 49F
不過也不排除是ISP機房端真的咬住沒清掉,時間過了就好
01/01 22:50, 49F
01/01 22:52, 6年前 , 50F
不對,後來我設ALL可以,算了不測了,沒詳細設定測不出來
01/01 22:52, 50F
感謝以上各位前輩的指點,雖然我還是不懂為何分開設就可以 看了 goo.gl/R5vJjA 也看不出差異,難道服務不能設 ALL ?? 但是 slash66 前輩卻.. 總之,新年快樂...1/1 當天也遇到一堆怪事 OTL ※ 編輯: zbug (36.238.105.48), 01/02/2019 06:38:30
01/03 13:18, 6年前 , 51F
設了Virtual IP後 目的是設新設的Virtual IP名稱
01/03 13:18, 51F
01/03 13:21, 6年前 , 52F
圖中的 目的CCTV 是Virtual IP的name嗎?
01/03 13:21, 52F
01/03 13:22, 6年前 , 53F
還是只是Address清單的name?
01/03 13:22, 53F
是 VIP Group ,可以比對第一張圖,我把 15個 VIP 都包在一個 CCTV 的 Group ※ 編輯: zbug (59.125.197.131), 01/03/2019 16:43:26
01/03 18:21, 6年前 , 54F
我不是要你直接先設ALL,不就知道訂的策略了
01/03 18:21, 54F
01/03 18:21, 6年前 , 55F
雖然問題解了,不過當下明明可以快速判斷出外對內的問題
01/03 18:21, 55F
01/03 18:22, 6年前 , 56F
不應該這種小問題要拖那麼久,設一下ALL,直接telnet看PORT
01/03 18:22, 56F
01/03 18:22, 6年前 , 57F
立馬知道答案的東西,arp綁定,我是很少沒碰過這種案例
01/03 18:22, 57F
01/03 18:25, 6年前 , 58F
內網比較有可能牽扯到VLB的問題
01/03 18:25, 58F
我有測過...全部設在一起 服務開 ALL ....沒通 改成 同樣 IP 三個 Port 放同一個政策 服務開 ALL....通了 然後才把服務改成對應 Port ....也可以通.....才宣告結案 @@ ※ 編輯: zbug (36.238.96.42), 01/03/2019 19:22:06
01/11 14:44, 6年前 , 59F
今天玩了硬體視訊 道理跟你差不多 服務設All allow沒用
01/11 14:44, 59F
01/11 14:44, 6年前 , 60F
該開開對應的埠 就是要乖乖設上去 內對外外對內都要考慮
01/11 14:44, 60F
01/11 14:45, 6年前 , 61F
做完立通 他沒這麼聰明幫你自己對應 你要告訴它規則
01/11 14:45, 61F
更多 zbug 的文章
文章代碼(AID): #1SATGvDb (MIS)
MIS 近期熱門文章
更多 近期熱門文章 >>
PTT職涯區 即時熱門文章
更多 即時熱門文章 >>
更多 zbug 的文章
文章代碼(AID): #1SATGvDb (MIS)