Fortigate Policy Route

Merhaba;

Policy route üzerinde Gateway belirtmediğiniz için olabilir. 

Maalesef değil.

static route varsa policy route ne için gerek duydunuz

Çünkü ikiside olmadan olmuyor. Hala çözemedim konuyu, ilginç bir durum.

Çünkü ikiside olmadan olmuyor. Hala çözemedim konuyu, ilginç bir durum.

Routing monitor'u paylaşabilir misiniz 

http://hizliresim.com/7MpQ4r

mpls network için static route görünmüyor. policy route yazarken de source kısmına sadece mpls network e çıkması gereken blogu yazınız.

Aslında static route var o da şöyle tanımlı destination adress: 0.0.0.0 Device: dmz gateway: xx.xx.x.x Priority:0

dmz yonune route yazıyor iseniz destination olarak 0.0.0.0 değil dmz tarafında kullandığınız subneti vermelisiniz

.

Konu şu şekilde çözüldü, Istanbul subnetinin xxx.11.0/24, Ankara subnetininin xxx.21.0/24 olduğunu varsayarsak ve mpls.i Fortigate'nin dmz portuna Istanbul'uda lan portuna taktıysak Static route için;

Destination 192.168.21.0/24

Device:dmz  

Gateeway: xx.xxx.xx.x (Mpls.in ip.si yazılıyor)

Policy route için,

Protocol: any

incoming interface: lan

source address mask: 192.168.11.0/24 (Istanbul'un subneti)

Destination address: 192.168.21.0/24 (Ankara'nın subneti)

Outgoing interface: dmz (Mpls dmz portuna takılı olduğunu varsayıyoruz.)

Gateway adress: 0.0.0.0

Aynı şekilde bu policynin tersi olacak şekilde bir tane daha yazıyoruz.

Daha sonra Policy&Objects altında Adresseste her uzak lokasyon için subnet oluşturuyoruz. Örn.;

Name:Ankara

Type: IP/Mask

192.168.21.0/24

Interface:Any.

(Tabiki Istanbul içinde Adres oluşturuyoruz)

Adressesten sonra IPv4 Policy,

Name: Lan2Mpls

Incoming Interface: Lan

Outgoing Interface:dmz

Source:Istanbul

Destination: Ankara

Schedule: Always

Service: All

Son olarakta bunun tersi olacak şekilde bir policy daha yazıyoruz. Hepsi bu kadar.

ben de aynı seyi demiştim zaten

destination olarak 0.0.0.0 yerine dmz yada nereye erişmek istiyorsanız orasının blogunu tanımlamalısınız

0.0.0.0 verirseniz bu default gw demektir ve tum trafigi buraya gondermeye calısır cihaz

Selam, dmz portuna bağlı mpls, wan portuna bağlı internet var. Aşağıdaki plocy routeda wan olanı yukarı taşırsam internete bağlanıyorum ama mpls çalışmıyor, mplsi yukarı taşıyınca da net gidiyor mpls geliyor. Acaba nerede yanlış yapıyorum? Policy route imajdaki gibi olduğunda internete çıkamıyorum ama internetten remote desktop ile içeriye erişebiliyorum. içeriden dışarı çıkarken bir sıkntı var. Tabi her iki bağlantı için de static route tanımlı.

 

Merhaba,

Yazılı olan routlar yanlış. DMZ networkü için in route yazmanıza gerek yok basitçe paket nereden geldi ise oradan döner orası MPLS den geldiği için routing geliyordur in policysinde NAT kapatın ve static route yazarken default route ( WAN1 yazdığınız yada yazacağınız 0.0.0.0/0 routunun üstüne destination belirterek route yazın. )

route 1

Incoming: LAN / Outgoming : DMZ source : LAN Network/LAN Networks destination : DMZ Supersubneting ( MPLS deki tüm subnetleri kapsanayn network )

route 2

Incoming: LAN / Outgoming : WAN1 source : LAN Network/LAN Networks destination : 0.0.0.0/24

Policy 1

S: DMZ D:LAN  SIP: Any DIP : ANY Services : ANY NAT Disable

Policy 2

S: LAN D:DMZ  SIP: Any DIP : ANY Services : ANY NAT Disable

Policy 3

S: LAN D:WAN1  SIP: Any DIP : ANY Services : ANY NAT Enable

Policyleri kendi ihtiyaçlarınıza göre kısıtlarsınız.

Mpls arada bir router olmadan direkt Fortigate'de sonlanıyordu diğer lokasyonlarla bağlantıyı sağlayabilsem bile bu seferde uzak lokasyonları forti üzerinden internete çıkaramıyordum. Talepte bulundum forti ile mpls arasına bir router konumlandıracaklar. Sanırım ondan sonra daha kolay olacak bu iş, mpls.i direkt lan portuna takacağım ondan sonra bir ayar gerekecek mi henüz bilmiyorum. 

Şu super subnet kavramını biraz açıklayabilir misiniz? Nedir, ne değildir, uygulaması nasıldır gibi? 

Mpls arada bir router olmadan direkt Fortigate'de sonlanıyordu diğer lokasyonlarla bağlantıyı sağlayabilsem bile bu seferde uzak lokasyonları forti üzerinden internete çıkaramıyordum. Talepte bulundum forti ile mpls arasına bir router konumlandıracaklar. Sanırım ondan sonra daha kolay olacak bu iş, mpls.i direkt lan portuna takacağım ondan sonra bir ayar gerekecek mi henüz bilmiyorum. 

Şu super subnet kavramını biraz açıklayabilir misiniz? Nedir, ne değildir, uygulaması nasıldır gibi? 

MPLS tarafı için Forti önünde bir router konumlandırmanıza gerek yok, hali hazırda herhangibir bacağa bağlayıp oradan VLAN based yapabilirsiniz. Tabi karar sizin ama nekadar çok cihaz o kadar sorun demek..

Süper subnet kavramı bir yetersizlikten doğan IP yapılandırmasıdır. Önceleri VPN gibi yapılarda ikinci katmada birden fazla subneti route edemeyen cihazlar olduğu için karşı tarafta 192.168.1.*/24, 192.168.2.*/24 .......... 192.168.255.*/24 subnet ralığı var ise route olarak tek tek yazmak yerine 192.168.0.0/16 gibi hepsini kapsayan bir subnet yazılır cihazlar arası iletişim /32 olduğu yani host based olduğu için subneti büyük tutmak iletişimi etkilemez tabi süper subneti oraya girince başka yerde bu süper subnetin kapsadığı başka route olmamalıdır :).

Neden router konumlandırıyorumun cevabı, açıkçası route konusunda bir türlü başarılı olamadım, Forti supportu da başarılı olamadı, mpls hizmeti veren tarafın supportu da forti'de işin içinden çkamayınca bari araya bir router koyup şu route konusunu mpls providerı tarafında çözeyim de bu işi halledeyim artık dedim. İlginç konular işte, bazen sıkıntı nerede bulmak can sıkıcı olabiliyor.

Neden router konumlandırıyorumun cevabı, açıkçası route konusunda bir türlü başarılı olamadım, Forti supportu da başarılı olamadı, mpls hizmeti veren tarafın supportu da forti'de işin içinden çkamayınca bari araya bir router koyup şu route konusunu mpls providerı tarafında çözeyim de bu işi halledeyim artık dedim. İlginç konular işte, bazen sıkıntı nerede bulmak can sıkıcı olabiliyor.

 🙂

Evt komik cidden. Problem mpls providerin anonslari tanimlamamis olmasindan kaynaklaniyormus Sizin yukarida yazdiklarinizla mpls routelar yaptim ve evet subelerle baglanti saglandi fakat bu seferde subeler forti uzerinden internete cikmadi.