[Çözüldü] Fortigate 100E İç Ağdan Dış IP Adresine erişememe sorunu

Web sunucular ile kullanıcılar aynı LAN'da mı yoksa farklı LAN veya VLAN'da mı?

Siz içerideki kullanıcıların metro internetin IP adresinden mi sunuculara bağlanmasını istiyorsunuz?

Eğer öyleyse Hairpin NAT ayarı yapmanız gerekli.

FortiGate Cookbook - FortiGate Hair-pinning (5.4) - YouTube

Technical Tip: Configuring Hairpin NAT (VIP) - Fortinet Community

Farklı LAN'dalar. örneğin 192.168.10.0/24 ağından fiber internet çıkıyorsa, port 3 den 192.168.11.0/24, port 4 den 192.168.12.0/24 ve port 5 den 192.168.13.0/24 ağından metro ethernet çıkış yapıyor.

Yani yol şöyle;

Metro Tarafı: | Wan (Metro) 212.212.212.212(Örnek Dış Metro IP) > Lan (192.168.11.10)

Kullanıcı (Fiber Tarafı): | Wan2 (Fiber) 95.95.95.95(Örnek Dış Fiber IP) > Lan (192.168.10.10)

192.168.10.10'daki kullanıcının metro ethernet ipsi olan 212.212.212.212'ye gidip oradaki 80 yada 443 portundan web sayfasını görüntüleyebilmesi lazım.

O zaman yukarıda linklerini verdiğim ayarlamaları yapmanız gerekiyor.

Böylelikle kullanıcılar metro ethernet IP'si üzerinden sunuculara bağlanabilirler.

Denemek isterken Fortigate üzerinde bir hataya daha denk geldim. CLI Console ne zaman açmak istesem "Connection lost." mesajını veriyor ve kendini kullandırmıyor. İnternette yaptığım araştırmalar sonucunda versiyon güncelleme önerisi yapmışlar. Sistemi 6.4.8 versiyonuna güncelledim fakat sorun düzelmedi.7 versiyonuna geçme konusunda da şüphelerim var. Bu konu ile ilgili bir bilginiz var mı, daha önce başınıza geldi mi? 

Bu arada videoda 192.168.1.98 deki bir makinenin dış ip ile tekrar 192.168.1.x'li bir makineye dönüşü anlatılıyor. Fakat örneğin 192.168.1.98'li makinenin 192.168.2.x'li bir makineye dönüşü hakkında bilgi göremedim.

Siz orada kuralı oluştururken Lan to Lan değil, kendi yapınıza göre değiştirin.

Diğer linkte farklı IP'lerdekini de anlatmış.

https://community.fortinet.com/t5/FortiGate/Technical-Tip-Configuring-Hairpin-NAT-VIP/ta-p/195448?externalID=FD36202

Sunuculara erişirken kullanılan kurala CLI üzerinden "set match-vip enable" komutunu girmeniz yeterli olacaktır.

Sizi çok yoruyorum ama son bir sorum olacak.

Benim firewall policy kısmında çok fazla sayıda policy'm var. üzerini sağ tıklayıp edit in CLI Console dediğim zaman Connection Lost uyarısı alıyorum.

Putty ile girdiğim zaman ise policy id'yi bilmediğim için edit yapamıyorum. Policy id'yi tespit etmenin bir yolu var mı?

Firewall policy gelin. Orada en soldaki en üstteki sütun açıklamasına mouse'u getirince Configure Table ikonuna tıklayın ID'yi seçip uygula deyince ID sütunu aktif olacaktır.

Aşağıdaki gibi bir hata alıyorum işlem yaparken, Sebebi ne olabilir?

FortiGate-100E # config firewall policy

FortiGate-100E (policy) # edit 24

FortiGate-100E (24) # set match-vip enable

command parse error before 'match-vip'
Command fail. Return code -61

FortiGate-100E (24) # abort

FortiGate-100E #

Sanırım 6.4.3'ten sonra bu komut allow olan kuralda kullanılamıyor.

Enabling match-vip in firewall policies

As of FortiOS 6.4.3, match-vip is not allowed in firewall policies when the action is set to accept.

FortiOS Release Notes | FortiGate / FortiOS 6.4.4 | Fortinet Documentation Library

Belki başka bir kullanımı veya yöntemi olabilir.

Başka bir yöntem bulmam lazım fakat bununla ilgili makale sayısı çok kısıtlı. Acaba firmware downgrade mi yapsam?

Merhaba,

basit bir konu neden bu kadar sıkıntı yarattı size 🙂

1- web sitesini ping'lemeye çalıştığınızda public ME ip adresinizi görüyorsanız, lan to ilgili server lan a doğru yeni policy yazın ve destination 'a ilgili VIP'i seçin , NAT kısmını disable tutun. 

2- 100E için 7.0 major geçişi çok önermem, F serisi bir ürün kullandığınızda 7.0 a geçmeniz daha iyi olur.

kolay gelsin,

yB

Gönderen: @yilmazbarcin

Merhaba,

basit bir konu neden bu kadar sıkıntı yarattı size 🙂

1- web sitesini ping'lemeye çalıştığınızda public ME ip adresinizi görüyorsanız, lan to ilgili server lan a doğru yeni policy yazın ve destination 'a ilgili VIP'i seçin , NAT kısmını disable tutun. 

2- 100E için 7.0 major geçişi çok önermem, F serisi bir ürün kullandığınızda 7.0 a geçmeniz daha iyi olur.

kolay gelsin,

yB

Web sitesini pinglediğimiz zaman dış ip adresini görebiliyoruz ama ping atmıyor. 

Kullanıcının olduğu lan'dan, server'ın olduğu lan'a (örn 192.168.10.0 den 192.168.11.0'a ) policy yazıyorum. VIP'de ise interface; any, External IP address; server'ın bulunduğu dış ip adresi (Örn: 95.92.x.x), mapped ip adress; server'ın ip adresi (Örn: 192.168.11.50) şeklinde yapıyorum.

Bu şekilde bağlantı sağlayamadım. Atladığım yada hatalı yaptığım bir yer mi var sizce?

Merhaba;

https://docs.fortinet.com/document/fortigate/5.4.0/cookbook/856642/configuring-hair-pinning-on-a-fortigate

bu makaleyi uygular iseniz isteğiniz olacaktır. 

Yılmaz beyin dediği gibi networkler arası route yazmak daha kolay. Trafik iç networkten döner ve daha hızlı olur. ben bu gibi durumlar için içerdeki dns sunuca a kayıtları açarak çözüyorum .

ör.

www.xxx.com 192.168.13.5

içerdeki kullanıcılar www.xxx.com için içerdeki dns sunucuya sorum local ip adresini çözümleye bilirler

selamlar

@metehanak 

merhaba,

policy yazarken hedefe adres yazmayacaksınız, Virtal IP'de oluşturmuş olduğunuz nat 'i seçeceksiniz. yine alt tarafta NAT seçeneği de disable olması gerekiyor.

çalışacaktır...

kolay gelsin,

yB