Forum
Bildirimler
Hepsini Temizle
Fortinet
6
Yazılar
3
Üyeler
0
Reactions
1,356
Görüntüleme
Konu başlatıcı
Arkadaşlar Merhaba,
Şirketimize Super Online Metro Ethernet bağlantısı geldi ve 60D router'ımızın WAN portundan bağlantı sağladık. Şirket içinden dış internete bağlantıda hiç bir sorun yaşamadık. Yalnız dışarıdan içeriye bazı yönlendirme policy'lerimiz var ve dıştan içe yönlendirmeleri bir türlü başaramadık.
İki gündür her türlü olasılığı denedik (sonuçta başaramadık bir şeyleri bilmiyoruz demek ki) olmadı.
Ağ yapımız şu şekilde;
ISP'den gelen switch'in ilk 4 fiziksel port'unu bize tayin ettiler. Bize verilen bilgiler şunlar; (Biz bu switch'in yönetimini yapamıyoruz onlar yönetiyor)
IP Bloğu: xx.xx.xx.176/28
Subnet mask 255.255.255.240
Kullanılabilir ip aralığı xx.xx.xx.178-xx.xx.xx.190
Gateway xx.xx.xx.177
ME Switch üzerindeki VLAN 3008
ISP'nin switch'inin ilk portundan FG60D'nin WAN2 portunu bağladım. FG üzerinden ip ayarlarını girdim (alttaki fotolar).
Dahili ağ'dan dışarıya bağlantı gayet güzel çalışıyor şu an. Herkes ofisten internete yeni hat üzerinden çıkış yapıyor.
ME'i esas alma sebebimiz şirket içinden internete bağlanmak değil, o bağlantıyı zaten WAN1'e takılı Uydunet hattımızdan sağlayacağız, amaç dıştan içeriye gelen çeşitli ip/portlara gelen bağlantıları içeride muhtelif ip/portlara yönlendirmek.
Şirket ağı dışından bir bilgisayardan WAN2'ye tayin ettiğim IP'ye ping attığımda ya da farklı portlardan telnet yaptığımda log'larda WAN2 portuna gelen bir paket göremiyorum.
Acaba Metro hattından mı kaynaklanıyor diyerek aldım laptop'ı sunucu odasına girip ME 'den kabloyu direk kendi bilgisayarıma taktım ve ip ayarlarını yaptım ve wireshark paket sniffer'ı çalıştırdım, ağ dışındaki bilgisayardan gayet güzel tüm ICMP paketlerini her türlü aktiviteyi görebildim yani ME tarafında bir sorun yoktu.
Superonline'dan bana gelen bilgiler arasında VLAN:3008 bilgisi var ve acaba ME'nin switch'inde tanımlı VLAN'ın, FG'in WAN2 Portuna da mı tanıtılması gerekiyordu diye düşündüm ancak durum böyle olsa WAN2 üzerinden internete çıkış da yapamamam gerekir çünkü VLAN'a bağlanamadıysa hiç bir network trafiği olmamalı diye düşünüyorum.
Sonuç olarak Forward Traffic Log'unda WAN1'e gelen tüm paketleri görebiliyor ancak WAN2'ye gelen hiç bir paket göremiyorum. WAN2 üzerinde kurduğum hiç bir Policy de çalışmıyor yani bir yönlendirme yapamıyorum.
Fikir verebilecek olan varsa müteşekkir olurum.
Şahin
Gönderildi : 03/03/2016 20:04
Superonline tarafında içeri port yonlendirmelerde sorunlar yaşamıştım ben de
varsayılan olarak sanırım güvenlik önlemleri sebebi ile buna engel oluyorlar
eğer yaptığınız konfigurasondan emin iseniz superonline musteri himetleri ile gorusebilirsiniz
Gönderildi : 03/03/2016 20:21
Konu başlatıcı
Merhaba,
Yanıtınız için teşekkürler, o ihtimali bertaraf etmek için ME Switch'den bağlantıyı direk bilgisayarıma yapıp denedim. Aslında tüm paket Switch'ten porta geliyor sonlandığı yerde yani FG-WAN2 'de göremememin sebebini çözemiyorum. Aynı kabloyu FG'den çıkarıp PC'me bağladığımda görüyorum paketleri (sniffer ile)
Gönderildi : 03/03/2016 20:24
konu ile alakası yok ama wan2 bacağındaki detect and identify devices seçeneğini seçmemeniz gerekiyor
Gönderildi : 04/03/2016 10:32
Konu başlatıcı
Vasvi Bey,
Biraz daha incelediğimde problemi belirledim ancak çözüm yoluna dair bir fikrim yok. Öncelikle ME tarafında bir sorun yok. Mesele FGT60D router ayarlarında.
Belirttiğim gibi WAN1'de Uydunet WAN2'de ME bağlı. her iki wan adaptörü UP iken sorun oluşuyor. ME UP, Turksat DOWN iken sorun yok.
CLI'den WAN2 'yi ICMP paketleri için sniff yaptığımda (WAN1-Uydunet down iken)
(xx.xx.xx.178 Metro 'nun WAN2'deki ip'si, nn.nn.nn.217 ağ dışından her hangi bir host );
nn.nn.nn.217 -> xx.xx.xx.178: icmp: echo request
xx.xx.xx.178 -> nn.nn.nn.217: icmp: echo reply
nn.nn.nn.217 -> xx.xx.xx.178: icmp: echo request
xx.xx.xx.178 -> nn.nn.nn.217: icmp: echo reply
nn.nn.nn.217 -> xx.xx.xx.178: icmp: echo request
xx.xx.xx.178 -> nn.nn.nn.217: icmp: echo reply
WAN1'i (Uydunet) UP yaptığım anda dışarıdan gelen request var reply yok oluyor..
nn.nn.nn.217 -> xx.xx.xx.178: icmp: echo request
nn.nn.nn.217 -> xx.xx.xx.178: icmp: echo request
nn.nn.nn.217 -> xx.xx.xx.178: icmp: echo request
yani gelen ICMP paketlerine bir sebeple yanıt dönmüyor ve sanıyorum dönmeye çalışıyor ancak route'tan dolayı ya WAN1'den dönmeye çalışıyor ya da bir şekilde route bulamıyor. Bu ihtimali kesinleştirmek için ayrı bir SSH oturumundan aynı anda ikinci bir CLI ile WAN1 'i de sniff yaptığımda her hangi bir reply göremiyor (belki mantıksız bir ihtimal ama gene de denedim..)
static route kayıtlarında her iki WAN'da da aynı distance/priority var.
| 0.0.0.0 0.0.0.0 | xx.xx.xx.1 | wan1 | 50 | 50 | |
| 0.0.0.0 0.0.0.0 | xx.xx.xx.177 | wan2 | 50 | 50 |
ayrıca policy route'ta da her iki WAN adaptörü için internal->wan route tanımlı
|
|||||||||||||||||||
| 1 |
|
|
|
|
|
|
|
|
19,202,215 Packets / 15.49 GB | ||||||||||
| 2 |
|
|
|
|
|
|
|
|
3,694 Packets / 482.02 KB | ||||||||||
Gönderildi : 05/03/2016 13:23
Merhaba,
Virtual IP ile bu sorunu çözebilirsin fakat önermiyorum,
Yapında sslvpn varsa bu şeklide bağlatı sağlansın.
Bunu bir araştır yapamazsan sana yardımcı olmaya çalışırım.
Teşekkürler.
Gönderildi : 22/03/2016 21:08
