Forum
Merhabalar. Geçmiş forum sorularını inceledim ancak bir yeri çözemedim.
Superbox IP : 192.168.8.1
DMZ : 192.168.8.100
Fortinet40f: 192.168.1.1
Server: 192.168.1.111
Internet çalışıyor sorun yok. Sorunumuz dışarıdan belirli bir IP adresine giriş izni vermekle alakalı.
Virtual IP oluşturup External 192.168.8.100'den gelen istekleri server adresim olan Map to 192.168.1.111'e yönlendirdim. Port yönlendirmeyi de açıp RDP portunu yazdım.
Firewall Policy'den WAN to LAN kuralında destination kısmına Virtual IP'deki tanımlamayı seçtim.
Bu şekilde dışarıdaki her IP adresinden içeriye giriş mevcut sorun yok. Tek sorun güvenli değil.
Bunu silip;
Yeni bir Virtual IP oluşturup External kısmına dışarıdan bağlanmasını istediğim ip adresini yazıp, Map to kısmına yine server adresimi verdiğimde, policy kısmından da buna kural yazdığımda bağlanamıyorum.
Saatlerdir takıldım kaldım. Yanlış mı yapıyorum, superbox tarafında mı sorun var bilemiyorum. Yardımlarınızı rica ediyorum. (Bu arada uzaktan en fazla 2 pc bağlanacak. O yüzden çok kopma yaşayacağımı düşünmüyorum superbox tarafında)
Merhaba;
Öncelikle bu problemi yaşamanız çok normal. Sorununuz tam olarak şu noktada;
Virtual IP oluşturup External 192.168.8.100'den gelen istekleri server adresim olan Map to 192.168.1.111'e yönlendirdim. Port yönlendirmeyi de açıp RDP portunu yazdım.
External tanımladığınız ağınız aslında iç ağınız (192.168.8.x). Yapmanız gereken cihazı bridge mode olarak tanımlayıp dış ip adresinizi fortigate üzerinde interface olarak tanımlamak ancak geçmişte bu yapılamıyordu, güncel durum hakkında bilgim mevcut değil. Konu ile ilgili https://www.cozumpark.com/community/fortigate-13/fortigate-turkcell-superbox-entegresi/ bağlantısını inceleyebilirsiniz. Eğer daha önce yapmadıysanız Fortigate ve bridge mode makalelerini incelemeniz faydalı olur. Sonrasında servis sağlayıcınız ile görüşüp cihazın ihtiyaçlarınızı destekleyip desteklemediğini sormalısınız.
Alternatif yöntem (yapılabiliyorsa) ihtiyacınız olan kısıtlamaları superbox üstünde yapmak olur. Superbox üzerine firewall kuralı oluşturabiliyorsanız sadece izin vermek istediğiniz ip adresleri ile ilgili kuralları oluşturabilirsiniz.
İyi çalışmalar.
Merhaba MAP kısmına dişardan gelen rdp portunu Örnek: 5589 - 3389 a map etmeniz. Sonrasında adres kısmına dışardan bağlanacak kişilerin şubelerin wan ip adreslerini eklemeniz. sonra bu listeyi de izinli ip gurup diye bir group oluşturup daha sonra wan -lan izinli ip grubundaki kişiler şu saatlerde şu porta gitsin diye kural yazmanız. Eğer dışardan bağlanacakların statik ip si yok ise ssl vpn ile güvenli bir bağlantı oluşturmanız.
Araştırdığım kadarıyla @serkanates hocam Superbox köprü moduna alınamıyor. (Turkcell tarafından teyit etmedim) O yüzden DMZ üzerinden yürümeye çalıştım. Evet alıntıladığınız yerde mantık sorunum var. Sizin de cevabınızla kavradım. O yüzden sanırım tek seçeneğim @nazmikavalci hocamın dediği gibi SSL-VPN Onunla ilgili uğraşıyorum şu an açıkçası. Umarım çözebileceğim. Zira onda da hata alıyorum. Kıymetli cevaplarınız için teşekkür ederim. Henüz bir SSL-VPN çalışmam olmamıştı. Biraz kafa yorup deneyeceğim.
Geçmiş konuları okuduysanız superbox'ın doğru çözüm olmadığını, sorunlar yaşatabileceğini görmüş olmalısınız. Kısaca superbox kurumsal kullanım için bugün uygun değil. Bunu şimdi çözersiniz yarın tekrar birşeyler yaşarsınız genellikle de sorunun yaşanma biçimlerinden firewall kaynaklı olduğuna yönleniyor insanlar doğaldır çünkü paket, nat kaynaklı stabilite sorunlarını çözmek zordur.
Mevcut superbox modemlerinde bridge yapılamıyor ve çoğunluk bölgede mac kilitli. Önermememizin ana sebebi geçmiş dönemlerden farklı daha kötü kalitede cihazlar sunulması. DMZ bu sebeple yeterli bir çözümlemeyi sunmuyor.
Bridge yapılamayan modemlerde basit ifadeyle router arkası router çalıştırmış oluyorsunuz ve nat traverse detaylı yönetimi elinizde yok bu olmaz, değişken sihhat sorunlarının kaynağı bu.
Ben forti den anlamam genel yazıyorum o konu Serkan'ın yönlendirmesiyle aşılmış çözümleme hatası fw'larda ext virtual ip'lerin wan ip olma zorunluluğu. Superbox arkasına bazen vpn tünelleri geçemiyor ipsec de sorun yaşayıp l2tp, ssl yapabilenler geçmişte olmuştu. Bir de genelliğini bilmiyoruz sanırım bölgesel uygulanıyor superbox da artık cgnat'a dahil bu açtırmadan içeri vpn yapılamayacağı anlamına gelir.
Son olarak bugün bunu dengeli belki kurarsınız yarın madem forti aldık inspection, filtering de yapalım derseniz iş patlar, superbox arkasında saçmalamaya başlar.
'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Merhaba,
ilk çalıştırdığınız yönteme şöyle bir güvenlik getire bilirsiniz. Öncelikle policy&objets altındaki address kısmından dış ip ekleyin. Örnek : x.x.x.x/32 sonra bunu yazdığınız kural içinde WAN lan a kurallında WAN dan all yerine bu eklediğiniz adresi seçin ve sadece bu adres gelecektir.
selamlar