Forum

Fortigate 60D Metro...
 
Bildirimler
Hepsini Temizle

Fortigate 60D Metro Ethernet bağlantısı

6 Yazılar
3 Üyeler
0 Reactions
1,364 Görüntüleme
(@SahinSuleymaniyeli)
Gönderiler: 3
Active Member
Konu başlatıcı
 

Arkadaşlar Merhaba,

Şirketimize Super Online Metro Ethernet bağlantısı geldi ve 60D router'ımızın WAN portundan bağlantı sağladık. Şirket içinden dış internete bağlantıda hiç bir sorun yaşamadık. Yalnız dışarıdan içeriye bazı yönlendirme policy'lerimiz var ve dıştan içe yönlendirmeleri bir türlü başaramadık.

İki gündür her türlü olasılığı denedik (sonuçta başaramadık bir şeyleri bilmiyoruz demek ki) olmadı.

Ağ yapımız şu şekilde;

ISP'den gelen switch'in ilk 4 fiziksel port'unu bize tayin ettiler. Bize verilen bilgiler şunlar; (Biz bu switch'in yönetimini yapamıyoruz onlar yönetiyor)

IP Bloğu:                         xx.xx.xx.176/28
Subnet mask                   255.255.255.240
Kullanılabilir ip aralığı       xx.xx.xx.178-xx.xx.xx.190
Gateway                          xx.xx.xx.177
ME Switch üzerindeki VLAN    3008

ISP'nin switch'inin ilk portundan FG60D'nin WAN2 portunu bağladım. FG üzerinden ip ayarlarını girdim (alttaki fotolar).
Dahili ağ'dan dışarıya bağlantı gayet güzel çalışıyor şu an. Herkes ofisten internete yeni hat üzerinden çıkış yapıyor.
ME'i esas alma sebebimiz şirket içinden internete bağlanmak değil, o bağlantıyı zaten WAN1'e takılı Uydunet hattımızdan sağlayacağız, amaç dıştan içeriye gelen çeşitli ip/portlara gelen bağlantıları içeride muhtelif ip/portlara yönlendirmek.

Şirket ağı dışından bir bilgisayardan WAN2'ye tayin ettiğim IP'ye ping attığımda ya da farklı portlardan telnet yaptığımda log'larda WAN2 portuna gelen bir paket göremiyorum. 

Acaba Metro hattından mı kaynaklanıyor diyerek aldım laptop'ı sunucu odasına girip ME 'den kabloyu direk kendi bilgisayarıma taktım ve ip ayarlarını yaptım ve wireshark paket sniffer'ı çalıştırdım, ağ dışındaki bilgisayardan gayet güzel tüm ICMP paketlerini her türlü aktiviteyi görebildim yani ME tarafında bir sorun yoktu.

Superonline'dan bana gelen bilgiler arasında VLAN:3008 bilgisi var ve acaba ME'nin switch'inde tanımlı VLAN'ın, FG'in WAN2 Portuna da mı tanıtılması gerekiyordu diye düşündüm ancak durum böyle olsa WAN2 üzerinden internete çıkış da yapamamam gerekir çünkü VLAN'a bağlanamadıysa hiç bir network trafiği olmamalı diye düşünüyorum.

 

Sonuç olarak Forward Traffic Log'unda WAN1'e gelen tüm paketleri görebiliyor ancak WAN2'ye gelen hiç bir paket göremiyorum. WAN2 üzerinde kurduğum hiç bir Policy de çalışmıyor yani bir yönlendirme yapamıyorum.

Fikir verebilecek olan varsa müteşekkir olurum.

 

Şahin

 

 

 

 

 
Gönderildi : 03/03/2016 20:04

(@vasviuysal)
Gönderiler: 7890
Üye
 

Superonline tarafında içeri port yonlendirmelerde sorunlar yaşamıştım ben de

varsayılan olarak sanırım güvenlik önlemleri sebebi ile buna engel oluyorlar

eğer yaptığınız konfigurasondan emin iseniz superonline musteri himetleri ile gorusebilirsiniz

 
Gönderildi : 03/03/2016 20:21

(@SahinSuleymaniyeli)
Gönderiler: 3
Active Member
Konu başlatıcı
 

Merhaba,

Yanıtınız için teşekkürler, o ihtimali bertaraf etmek için ME Switch'den bağlantıyı direk bilgisayarıma yapıp denedim. Aslında tüm paket Switch'ten porta geliyor sonlandığı yerde yani FG-WAN2 'de göremememin sebebini çözemiyorum. Aynı kabloyu FG'den çıkarıp PC'me bağladığımda görüyorum paketleri (sniffer ile)

 

 
Gönderildi : 03/03/2016 20:24

(@vasviuysal)
Gönderiler: 7890
Üye
 

konu ile alakası yok ama wan2 bacağındaki detect and identify devices seçeneğini seçmemeniz gerekiyor

 
Gönderildi : 04/03/2016 10:32

(@SahinSuleymaniyeli)
Gönderiler: 3
Active Member
Konu başlatıcı
 

Vasvi Bey,

Biraz daha incelediğimde problemi belirledim ancak çözüm yoluna dair bir fikrim yok.  Öncelikle ME tarafında bir sorun yok. Mesele FGT60D router ayarlarında.

Belirttiğim gibi WAN1'de Uydunet WAN2'de ME bağlı. her iki wan adaptörü UP iken sorun oluşuyor. ME UP,  Turksat DOWN iken sorun yok.

CLI'den WAN2 'yi ICMP paketleri için sniff yaptığımda (WAN1-Uydunet down iken)
(xx.xx.xx.178 Metro 'nun WAN2'deki ip'si, nn.nn.nn.217 ağ dışından her hangi bir host );
nn.nn.nn.217 -> xx.xx.xx.178: icmp: echo request
xx.xx.xx.178 -> nn.nn.nn.217: icmp: echo reply
nn.nn.nn.217 -> xx.xx.xx.178: icmp: echo request
xx.xx.xx.178 -> nn.nn.nn.217: icmp: echo reply
nn.nn.nn.217 -> xx.xx.xx.178: icmp: echo request
xx.xx.xx.178 -> nn.nn.nn.217: icmp: echo reply

WAN1'i (Uydunet) UP yaptığım anda dışarıdan gelen request var reply yok oluyor..
nn.nn.nn.217 -> xx.xx.xx.178: icmp: echo request
nn.nn.nn.217 -> xx.xx.xx.178: icmp: echo request
nn.nn.nn.217 -> xx.xx.xx.178: icmp: echo request

yani gelen ICMP paketlerine bir sebeple yanıt dönmüyor ve sanıyorum dönmeye çalışıyor ancak route'tan dolayı ya WAN1'den dönmeye çalışıyor ya da bir şekilde route bulamıyor. Bu ihtimali kesinleştirmek için ayrı bir SSH oturumundan aynı anda ikinci bir CLI ile WAN1 'i de sniff yaptığımda her hangi bir reply göremiyor (belki mantıksız bir ihtimal ama gene de denedim..)

static route kayıtlarında her iki WAN'da da aynı distance/priority var.

0.0.0.0 0.0.0.0 xx.xx.xx.1 wan1   50 50
0.0.0.0 0.0.0.0 xx.xx.xx.177 wan2   50 50

ayrıca policy route'ta da her iki WAN adaptörü için internal->wan route tanımlı 

Seq.#

 
Source

 
Destination

 
Schedule

 
Service

 
Action

 
NAT

 
SSL Inspection

 
Log

 
Count

 

1
  • ACCEPT
  • Enable
  • Disable
19,202,215 Packets / 15.49 GB
2
  • ACCEPT
  • Enable
  • Disable
3,694 Packets / 482.02 KB
 

 

en son Uydunet için olan policy route kaydını sildim denedim olmadı, tekrar ekledim ve diğerini sildim gene olmadı.
 
Yani gelen bir packet'e response veremiyor aynı anda 2 wan portu aktifken.
 
Bir yorumunuz olabilir mi ?
 
Gönderildi : 05/03/2016 13:23

(@alsnyldrm)
Gönderiler: 70
Trusted Member
 

Merhaba,

 

Virtual IP ile bu sorunu çözebilirsin fakat önermiyorum,

Yapında sslvpn varsa bu şeklide bağlatı sağlansın.

Bunu bir araştır yapamazsan sana yardımcı olmaya çalışırım.

 

Teşekkürler.

 
Gönderildi : 22/03/2016 21:08

Paylaş: