Forum
Bildirimler
Hepsini Temizle
Fortinet
10
Yazılar
3
Üyeler
0
Reactions
727
Görüntüleme
Konu başlatıcı
Merhaba,
Fortigate 80C kullanıyorum, Mevcut wifileri fortigate'in dmz portuna bağladım ve yaşamakta olduğum misafirlerin internete çıkarken DC entegrasyonundan kaynaklı kullanıcı adı şifresi isteme sorununu aştım. Ancak şu an şöyle bir sıkıntı yaşıyorum (dmz)wifi'ye bağlanan misafirleri (internal)local networkümde bulunan yazıcıları kullanabilmesini ve internal'den dmz'e erişebilmeyi(wifi şifrelerini değiştirmek için) istiyorum ancak bir türlü bunu yapamadım.
Gönderildi : 11/02/2014 15:20
dmz to internal kural mevcutmu ?
Gönderildi : 11/02/2014 16:05
Konu başlatıcı
hayır internal to dmz mevcut ama çalışmıyor
Gönderildi : 11/02/2014 17:02
ama siz dmz'den internaldaki printerlere erişmek istiyorsunuz ilk notta okudugum kadarı ile
ankaradan konyaya gitmek icin konyadan ankaraya tek yön olan yol sizin işinizi gorurmu ornegin ?
Gönderildi : 11/02/2014 17:10
Konu başlatıcı
Evet doğru diyorsunuz ama hali hazırda internalden de dmz te erişebilmek istiyorum en azından printer'a port yönlendirmesi vs. ile kafamı karıştırmadan önce internalden dmz e erişeyim dedim. olmadı
Gönderildi : 11/02/2014 17:23
port yonlendirmesine gerek yok bu durumda
port yonlendirme nat yapıldıgında gerekli sadece (dışarıdan içeriye ornegin veya dısarıdan dmz ye )
Gönderildi : 11/02/2014 17:25
Konu başlatıcı
Şöyle örneklendireyim;
192.168.16.0/24 rangeinde local networküm var
192.168.100.0/24 rangeine de dmz i tanımladım,
);background-color: transparent;vertical-align: middle;overflow: hidden;background-position: 0px -1664px;background-repeat: no-repeat no-repeat">
);background-attachment: scroll;background-color: transparent;float: right;margin-top: 2px;margin-right: -20px;width: 16px;background-position: 0px -1008px;background-repeat: no-repeat no-repeat">
Enable NAT
Yaptım ve wifiler aktif hale geldi sorunsuz olarak çalışıyor.
Dün periyodik wifi şifre değişikliği için local networke bağlı bilgisayarımdan wifilere ulaşmaya çalıştım ping attığımda da request time out aldım. bunun üzerine internalden dmz e policy olmalı diye düşündüm ve aşağıdaki policyi yazdım.
);background-attachment: scroll;background-color: transparent;float: right;margin-top: 2px;margin-right: -20px;width: 16px;background-position: 0px -1008px;background-repeat: no-repeat no-repeat">
Enable NAT
fakat şu anda policy yapısı bu şekilde olduğu halde hala localden dmz bacağındaki wifilere erişemiyorum bu erişimi sağlayabilseydim sonra da dmz to internal policy yazıp sadece printer portuna erişim vermeye çalışacaktım.
Gönderildi : 11/02/2014 17:34
Merhaba
Bu iş için 2 noktayı kontrol etmelisiniz,
Birincisi; Lokal network'ünüzde 192.168.100.0/24 bloğu için routing yapan bir cihaz var mı ? Gateway olarak Fortigate cihazınızı kullanıyorsanız problem yok ama kullanmıyorsanız network'ünüzde 192.168.100.0/24 bloğu için Fortigate'e route yapmanız gerekiyor.
İkincisi; Fortigate üzerinde Router/Monitor/Routing Monitor üzerinden 192.168.16.0/24 ve 192.168.100.0/24 blokları için route görüyor musunuz ? Görmüyorsanız her biri için route tanımlaması yapmanız gerekebilir.
Gönderildi : 12/02/2014 18:35
Konu başlatıcı
Fatih bey merhaba, Gateway olarak Fortigate kullanıyorum route yapmadım daha önce, mantığı hakkında fikir verebilir misiniz?
Daha önceden de buna benzer bir sorun yaşadım o zaman da internal 2 için endustriyel switchleri bağladım ancak veriye ulaşamadım sonrada local networküme dahil ettim o cihazları da.
Gönderildi : 12/02/2014 20:01
Şöyle anlatayım, bu yazdıklarım kendi deneyimlerim. Aşağıdaki anlattıklarımı uygulamak için daha önce dediğim gibi tüm isteklerin fortigate cihazına geldiğine emin olmalısınız. Bunu fortigate loglarından anlayabilirsiniz.
Anlattığınıza göre cihazınızda aşağıdaki gibi bir yapı mevcut.
192.168.16.0/24 local
192.168.100.0/24 dmz
x.x.x.x wan
Bu durumda cihaz şu şekilde çalışıyordur, localden ve dmz üzerinden gelen tüm istekler wan portuna iletilir, siz local network'ten bir dmz cihazına erişmek için örneğin 192.168.100.11 ip adresine ulaşmaya çalıştığınızda cihaz dmz portuna değil wan portuna yada gider yada tanımlı olmadığı için herhangi bir porta gitmeden hata iletisi alırsınız.
Sizin routing table aşağıdaki gibidir;
Connected 192.168.16.0/24 0.0.0.0 internal
Connected 192.168.100.0/24 0.0.0.0 dmz
Connected 78.78.78.78/32 0.0.0.0 wan1 (ip adresi örnek)
Buraya kadar sorun yok, fakat bu adresler dışında örneğin 192.168.17.0/24 bloğunu kullanmak istediniz, netorkünüzde bu tanımları yaptınız, herhangi bir port üzerinden 192.168.17.10 adresine ulaşmak isterseniz ve bu adres internal portunun arkasında çalışıyorsa "Static Routes" tablosuna 192.168.17.0/24 ip bloğunu tanımlamanız gerekiyor. Bu dediğim bilinmeyen adresler için geçerli.
Gelelim sizin konunuza, sizin yapınızda farklı bir porta erişmek istediğinizde yani internal'dan dmz'e ulaşmak istediğinizde "Policy Route" tablosuna aşağıdaki gibi bir giriş yapmanız gerekli. dmz üzerinden internal'a erişmek istediğinizde ise tam tersi bir policy route yazmalısınız.
[url= http://i.hizliresim.com/xRD2oj.jp g" target="_blank">
http://i.hizliresim.com/xRD2oj.jp g"/> [/img][/url]
Bunlar benim deneyimlerim, hatalarım varsa uzman arkadaşlardan benim hatalarımı düzeltmesini rica ediyorum, en azından bizlerde bu konuda kendi hatalarımızı düzeltebiliriz.
Gönderildi : 13/02/2014 12:40
