[Çözüldü] Fortinet ipsec (SuperBox )

Bi cevap Yok mu 🙁

Merhaba Yalçın bey;

Sorunuzun aşağıdaki başlığınız ile ilgisi var mı? Aşağıdaki başlıkta konuyu sonuçlandıramamıştık.

https://www.cozumpark.com/community/fortigate-13/fortinet-dc-intra-baglantisi/#post-569890

Ayrıca aşağıdaki post biraz eski ama incelemenizde fayda var. Superbox ürünleri ev kullanıcıları veya küçük lokasyonlar için geliştirilmiş bir çözüm. Ben talebiniz olan senaryoyu tecrübe etmedim ancak aşağıdaki başlıkta kullanan ve durumu değerlendiren arkadaşlar olmuş, bir bakın isterseniz.

https://www.cozumpark.com/community/fortigate-13/fortigate-turkcell-superbox-entegresi/#post-558702

Sorunun yanıt bulamaması nedeni muhtemelen çok genel kalması ve detaylarda yetersizlik olabilir.
Örneğin sizin superbox demeniz uzman kişi için bir şey ifade etmiyor çünkü hizmette teslim edilen bam başka model cihazlar var Serkan hocam buna atfı yapmış. Mesela 30D ile elinizdeki router'ı nasıl bağlayacağınızı soruyorsanız o bambaşka bir şey. Bağladığınız net çıkışında problem yok diyelim fortigate'ler arasında StS ipsec vpn kurmak forumda tekrara düşen bir konu ve ürünün support'unda var. Olmuyor problem yaşıyorsanız yapıyı anlatarak o kısmı sormanız lazım.

Kısaca ben forti uzmanı değilim ama işlem ağacı basit. 60E olan lokasyon muhtemelen aktif çalışıyor. 
Diğer lokasyonu önce LTE modemle 30D düzgünce konuşturup wan'a çıkartacaksınız. Akabinde iki firewall'a ipsec vpn kurup konuşturacaksınız. Bunun detay soruları portal da çok var görmüşsünüzdür.

https://docs.fortinet.com/document/fortigate/6.2.7/cookbook/913287/basic-site-to-site-vpn-with-pre-shared-key

Superbox ların bazılarına statik ip alınıyor bazılarına statik ip alınmıyor. APN ayarları bazı modellerde değiştirilmiyor. süperbox a statik ip alıp DMZ ip belirleyip belirlediğiniz ip yi de 30D nin wan bacağını atamalısınız ki gelen isekler wan bacağına iletilsin ve statik root a da gateway tanımı yapmak. Sonrasında standart ipsec vpn kurulumu ve kurallar sizin kendi politikanıza göre yazmanız. Umarım işinize yarar

@nazmikavalci  superbox cihazım da apn tanımlamadan direk statik ip alabilen bir cihaz turkcell statik bir adresi verdi buraya kadar herşey normal  superbox un bağlı olduğu cihaz 30D  superboxun portundan kabloyu 30d wan portuna taktım internet e çıkabildim 30 d ye 172.16.11.1 (örnek ip ) interface  adresi verdim bu ip den 30 d arayüzünde ulaştım,superbox dmz portuna hangi ip tanımlamam gerekiyor 30d verdiğim interface ip simi yoksa yine o blokta mı olan 172.16.11.2 ( örnek) olan bir ip adresimi olması gerekiyor 60E Tarafında Remote Subnet var , turkcell tarafından herhangi bir subnet ve gateway verilmedi sadece statik ip adresi verildi 30D Tarafına Girebileceğim Statik ip adresim mevcut  195.175.00.00/31 (60E kullanılan bilgiler örnek)  teşekkürler

@yalcinsoft örnek olarak süperbox ın ip adresi 192.168.8.1 siz de süperbox a girip dmz ye 192.168.8.100 diye bir ip adresi atayın. Sonra fortigate 30d nin wan1 interfaceyi manuel seçip 192.168.8.100/255.255.255.0 yazın. Daha sonra static root a girip create new deyip 0.0.0.0/0.0.0.0  gateway a da 192.168.8.1 yazın. Sonra lan dan wan a kural yazıp internete çıkmayı sağlayın. Sonrası ise standart ipsec vpn kuralı. interface mod da yazarsanız daha sağlıklı çalışacaktır.

@nazmikavalci hocam bu şekilde yaparak internete çıkış yaptım ip sec yaparak uzak olan 60E bilgilerinin girdiğimiz zaman 195.175.00.00/31 bu  ip adresine ping atamıyorum 60E den bu tarafa ayar olmadğı için mi ping atamıyor

Site2Site vpn konusunda aşağıdaki makale yardımcı olacaktır.

https://www.cozumpark.com/fortigate-firewall-v5-ipsec-vpn-baglantisi-site-to-site-vpn/

@SerkanAtes Lisansın olup olmaması sorun yaratır mı 

@yalcinsoft S2S VPN için lisansa gerek yok. Bunların birbiri ile konuşması için öncelikle S2S VPN oturması lazım. 

Bunu yaptıktan sonra gerekli kuralları ve routing işlemlerini de doğru yapılandırmanız gerekiyor.

Forum da S2S VPN ile ilgili bir çok makale  ve konu var. Arama yaparak bunların örneklerine bakarak gerekli işlemleri yapabilirsiniz.

Sizin tek kriteriniz mevcutta bulunan Superbox onun içinde IPSEC , Güvenlik Duvarı v.s. kapatıp DMZ ile tüm trafiği 30D üzerine aktarmanız gerekiyor. 30 D üzerinde de gerekli düzenlemeleri yaptıktan sonra sorun ortadan kalkacaktır. (Burada dikkat etmeniz gereken nokta Superbox NAT ip adresinin 192.168.X.X ile kendi iç networkü ve karşı iç networkü aynı olmasın. Örneğin Superbox ip adresini 192.168.40.1 yapın. DMZ ayarlarında da buna göre 30D de yapılandırın ondan sonra S2S VPN yapın.)

Merhaba;

Bence bu noktada daha fazla zaman kaybetmeyin. Birçok bilinmezi bir arada çözmeye çalışıyoruz. Lisansı bitmiş bir ürün ile daha önce sorun yaşanmış bir bağlantı modelini denemeye çalışıyoruz.

Ben sizin yerinizde olsaydım 30D olan cihazı düzgün, standart bir internet bağlantısı olan noktaya alır ve 60E olan cihazla sorunsuz S2S VPN yapılıp yapılmadığını kontrol eder, erişim sağlamış isem 1 hafta teste tabi tutar gözlem yapardım. Eğer sorun çıkmaz ise aynı konfigurasyonu superbox ile denerdim.

Çok fazla bilinmez var, ben konuyu pas geçiyorum.

Herkes Çok Teşekkürler Sadece Address Bölümünden Yerel ip adreslerini girdim çözüldü değerli vaktini ayıran tüm arkadaşlara tek tek teşekkürler iyiki varsınız ? 

Geri bildiriminiz için teşekkürler. Süreçte karşılaştığınız durumları ve uyguladığınız çözümleri toparlayıp bu başlığın altına ilave ederseniz, hem başlığın içerik kalitesini arttırmış hem de başlığa ulaşan diğer arkadaşlara daha fazla katkı sağlamış oluruz.

Dostlukla...

Merhaba Superbox kotalı mı? VPN ile 1-2 tane DVR kamera izleyince kotayı çok harcıyor mu?

Merhaba Sorunun Çözümü şu şekilde yaptım

superboxun dmz adresine  192.168.1. 2 ip adres verdim bu ip adresini fortinet interface ara yüzünden yeni  kural açtım ip adresine manuel olarak seçtim dmz ip adresini yazdım 192.168.1.2/255.255.255.0 olarak kayıt ettim sonra netwok kısmında yeni statik route yazdım sadece gateway kısmına superboxun ip adresini yani 192.168.1.1 yazım kayıt ettim internet artık tamamen fortinet tarafından akmaya başladı superbox artık aradan çıkmış oldu policy >> addresses ksımından ulaşmak istediğim fortinet ip adresini yazdım örnek olarak 60E ip adresi : 179.10.14.1/255.255.255.0 (örnektir) kayıt ettim bu işlemin aynısını 60E cihazım ara yuzunden yaptım policy >> addresses ksımından ulaşmak istediğim fortinet ip adresini yazdım örnek olarak 30D ip adresi : 177.10.14.1/255.255.255.0 (örnektir) yazdım kayıt ettim sonra vpn kısmından ip sec wizard name ksımına dataNet Yazdım remote kısmına dış ip adresini yazdım 78.125.545.00 (örnk) Şifre Deneme123   local interface kısmı lan seçili remote subnet kısmına hangi cihaza bağlanacaksanız onun local ip adresi örn 60E ip adresi : 179.10.14.1/255.255.255.0 ie bunu yazmanız gerekiyor sonra create diyip bitiyoruz ip sec monitöründen portun up olduğunu görebiliriz herkese teşekkürler

Tebrikler, zte modem verdiler beni de baya uğraştırdı, bendeki sıkıntı modem ulu orta yerde router kısmında rc45 yere kablo taksalar relax şekilde kullanırlar.

Uzun uğraşlar sonunda teknik servis aradı statik IP de olsa 80port kapalı dedi, 80 port web gui kullanan yazılımların portu değiştirdim.
Sonra adam bu cihaza özel köprü özelliği var dedi, müş. hiz. arayın APN ayarı sadece superboxs şekilde kalacak şekilde ayarlatın modem arkasındaki WAN porttan firewall giriş yapın kullanın dedi.

CGNAT tan çıkmak içinde uzak ana bilgisayar kısmına 1.1.1.1 - 222.255.255.254 yazdırıyorlar, aslında oraya merkezdeki statik IP yazıyorum başkası bağlanamıyor.

Cihazın yanına gittiğimde köprü mode alıp kullanacağım. DMZ kullanmak benim işime yaramadı.
OpenVPN ve DVR cihazın bulut özellikten kamera izlemeye çalıştım sömürüyor, aklıma geldi müşteri hizmetlerine sordum upload yapınca kota gidiyor mu diye -evet cevabı aldım, kotalı DSL gibi değilmiş, örnek 100GB kota hem download hem upload için.

@omeryilmaz kota sorunu var evet gayet iyi götürüyor 🙂 teknik olarak en güzel çözüm fortinet engelleri kaldırıyor ortan