作者zbug (瞌睡虫) 看板:
MIS标题[请益] FortiGate 对监视器的设定
时间Mon Dec 31 16:32:55 2018
1. 环境,原架构(前人规划
中华数据机接两台防火墙
一台 Fortigate 100D 接办公室网路
一台 Vigor 2950 接监视器设备
两台除了Wan IP不同,Wan 的 GW/MA都一样,因为是接同一台数据机
两台的Lan IP/MA/GW也一样
2. 参数设定
设定 Fortigate 虚拟IP和对应Port,完全参照 Vigor 2950的设定
https://i.imgur.com/BNawt6C.jpg
https://i.imgur.com/ssqR5I3.jpg
3. 切换设备
把 Vigor 的 Wan 和 Lan 线都拔掉
监视器设备改接到 Fortigate 後面的 L2 Switch
4. 测试
结果完全连不到,例如 WEB 画面的
http://IP:81
检查 Fortigate 的政策,该政策的流量 0KB
其它设备,不同的 Wan IP 的虚拟IP,是正常可以使用
有前辈遇过类似状况吗?需要注意哪些部份?
--------欲请板友协助Troubleshooting请重新选择文章分类「Case」---------
本板於105.10.06增加文章分类「Case」,
其目的是提供板友们以Q&A互动方式发问技术问题,
欲请板友协助Troubleshooting任何问题,请重新选择文章分类「Case」,
造成不便,敬请见谅。
--------阅读完毕可按Ctrl + Y逐行移除注意事项--------------------------
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 59.125.197.131
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MIS/M.1546245177.A.365.html
1F:→ h10048628: 先设到DMZ看有没有正常,在找问题 12/31 17:53
2F:→ michaelchen1: 完全连不到是连不到监视器吗 12/31 18:07
3F:→ Wishmaster: 监视器是uni还是multicast? 12/31 18:24
DMZ也连不到........网路是申请 6固i
Vigor 的 Wan IP 假设是第六组的 6IP/24,拔掉 Wan 和 Lan
把相关设定改到 Fortigate ,VIP和政策使用 6IP,却是没流量,透过浏览器也开不起来
两台的 Wan的GW/MA 设定都一样,差别在 Fortigate 是设定第一组的 1IP/24
VIP 部份也一直都有设定 2IP 到 5IP,都可以正常使用
Fortigate 有设定是可以不用那一组 IP 吗?
监视器一个port是web、一个port是给app、一个port是流量吧,对监视器不熟...
想说,单纯设VIP开port,却失败 = =a
※ 编辑: zbug (36.238.105.171), 12/31/2018 19:37:02
4F:推 dou0228: 直接问 Vigor 客服啊 12/31 20:26
5F:→ fonzae: 进来有设定,出去呢? 12/31 21:01
6F:→ fonzae: 有同意监控对外政策是开放? 12/31 21:01
外对内、内对外的服务都 ALL ... 全开的测试,测成功才会锁 Port
https://i.imgur.com/sJbInuX.jpg
※ 编辑: zbug (36.238.105.171), 12/31/2018 21:13:44
7F:→ fonzae: L2 SW架构是同一层VLAN? 12/31 21:14
8F:→ fonzae: 你可以先把居易对於监控的政策先丢出来看 12/31 21:20
没切vlan,附上居易的设定....超简单
https://i.imgur.com/ZNAkCal.png
现在的纳闷点是...居易已经拔掉wan和lan的线
Fortigate 还是无法用第六组IP,感觉...只能居易这台使用????
而且居易这台...就只接五台监视器,没接任何设备,真心不懂这是啥架构
※ 编辑: zbug (36.238.105.171), 12/31/2018 21:27:07
9F:→ fonzae: 你不用去管对外IP,因为都是一样的路由 12/31 21:50
10F:→ fonzae: lan ip是同一区块吗? 192.168.0.X/24? 12/31 21:52
11F:→ fonzae: forti的lan group有将port1纳入,共用同一个lan setting? 12/31 21:53
居易的Lan IP是192.168.0.1/24
Forti的port1 IP是192.168.0.1/24 後面接 L2 Switch
把监视器从居易改接到Forti之後,Forti後端的电脑是可以ping的到
也可以透过
http://LAN_IP:81 的方式开启浏览,就偏偏外网
http://WAN_IP:81 无法开
也可以透过 4G 网路方式,不用 Forti 的网路去开
http://WAN_IP:81 依旧失败
但是,接回居易...4G 网路是可以正常开启,包含Forti後端的电脑也正常开启
※ 编辑: zbug (36.238.105.171), 12/31/2018 22:12:32
12F:→ fonzae: 先把WAN TO LAN的CCTV改成ALL,看看外到内有没有通 12/31 22:18
明天上班再测,如果外到内没有通,要再检查哪里??
这组固i是一定可用,毕竟居易是用那一组固i
当然,测试的过程会把居易都有拔掉Wan/Lan线
※ 编辑: zbug (36.238.105.171), 12/31/2018 22:28:50
13F:→ starcat: 目的的cctv是群组?包含了4个内部ip? 12/31 22:31
14F:→ starcat: 你要不要试着先设定目的的群组,改成一个内部ip的3个po 12/31 22:31
15F:→ starcat: rt为一个群组(ex:cctv1),然後一条规则只设定对应到一个 12/31 22:31
16F:→ starcat: 内部ip? 12/31 22:31
CCTV 是群组没错,五个内部IP各有三个Port,所以有15个VIP,都设在 CCTV
你是建议一个IP一个PORT一个政策?设15个政策???
※ 编辑: zbug (36.238.105.171), 12/31/2018 22:35:55
17F:→ starcat: 5个内部设5个策略就好 12/31 22:37
18F:→ starcat: 5个内部IP设5个策略就好,每个策略包含3个port 12/31 22:41
是这样吗?先设好...明天直接测
https://i.imgur.com/hHUuqB4.png
19F:推 Wishmaster: 第六个IP只能居易用,是不是对端的arp没清掉? 12/31 22:43
20F:→ Wishmaster: 请ISP清一下ARP看看能不能正常? 12/31 22:44
这条是企业专线20M/20M(不要问我,前人留下的规划)
打客服电话,直接给线编,然後跟客服说...我要清arp??
※ 编辑: zbug (36.238.105.171), 12/31/2018 22:51:50
21F:→ starcat: 是的,我说的就是这样的设定,清arp就是拨中华电信的客 12/31 22:58
22F:→ starcat: 服,提供公司统编,地址,线路号码或wan ip,让客服帮你 12/31 22:58
23F:→ starcat: 转技术客服,然後请技术客服清arp 12/31 22:58
24F:推 starcat: t外,新年快乐,加班辛苦啦 12/31 23:00
找到一篇文章,不知道 Forti 有没有类似指令,要不然就得找客服了
http://0rz.tw/RWJvQ
晚上才是能专心研究东西的时间,该下班的都下班了,剩下少数单位和客人...
我又跳到饭店业了 Q_Q
※ 编辑: zbug (36.238.105.171), 12/31/2018 23:02:43
25F:推 slash66: 你监视器lan to wan的policy要设定NAT成监视器的对外ip 01/01 00:48
26F:推 slash66: 因为没看到详细设定,建议你在FG上sniffer一下就知道问题 01/01 00:55
27F:→ slash66: 看看封包wan跟lan的进出,目前推断应该是设定有少的问题 01/01 00:56
28F:推 littlecut: 100d应该可以直接在设备上抓封包,可以看看流量有没有 01/01 01:49
29F:→ littlecut: 进来100D,应该是那个IP被咬住成旧设备的MAC,打去给IS 01/01 01:49
30F:→ littlecut: P清MAC,不然就是要等一段时间MAC AGE时间到重新学到新 01/01 01:49
31F:→ littlecut: MAC 01/01 01:49
32F:推 littlecut: 清MAC是ISP的设备要清,不是企业的设备清 01/01 01:52
33F:推 littlecut: 另外,针对外对内政策,开外对内方向就好,内对外的不 01/01 02:00
34F:→ littlecut: 用特别去开 01/01 02:00
35F:→ asdfghjklasd: 上上面先搞清楚 MAC Address 跟 ARP 作用会比较好 01/01 14:17
36F:→ asdfghjklasd: 话说上周也有人问我为什麽PING 不到但网路都好的 01/01 14:18
37F:→ asdfghjklasd: 我直接问他知道 MAC Address 跟 Arp 的 MAC Address 01/01 14:18
38F:→ asdfghjklasd: 有什麽不同...... 01/01 14:18
结案,最後是用 starcat 前辈的建议,五台监视器 五个IP 各三个Port 设成五组政策
没有打电话给ISP业者清任何快取的方式
原来都设在一起是不会通...这部份就不懂为何,希望有前辈帮回答 OTL(跪
※ 编辑: zbug (59.125.197.131), 01/01/2019 15:32:12
39F:推 slash66: 我用FG这麽久,还没有同个policy设好几个不同ip在一起过 01/01 22:22
40F:→ slash66: 一来管理不清,二来policy是去比对ip的规格跟顺序 01/01 22:24
41F:→ slash66: 我猜同一条有不同ip可能会造成混乱,理论上应该设不进去 01/01 22:25
42F:→ deadwood: 不解释了,你本文中的Forti第二张图policy设定,跟下面 01/01 22:29
43F:→ deadwood: 连结step3对一下差在哪 01/01 22:30
44F:→ deadwood: goo.gl/R5vJjA 01/01 22:31
45F:推 slash66: 所以我刚用公司的测试一下,不同ip不同服务都设在同一条 01/01 22:37
46F:推 slash66: policy上,而且ip跟服务都是用群组,测试会通哩 01/01 22:39
47F:→ slash66: 所以这样设定是可以的,那你可能是版本或是原设定有误吧 01/01 22:42
48F:推 slash66: 後来我测试,原来答案是你服务不能设ALL啦 01/01 22:48
49F:→ deadwood: 不过也不排除是ISP机房端真的咬住没清掉,时间过了就好 01/01 22:50
50F:→ slash66: 不对,後来我设ALL可以,算了不测了,没详细设定测不出来 01/01 22:52
感谢以上各位前辈的指点,虽然我还是不懂为何分开设就可以
看了 goo.gl/R5vJjA 也看不出差异,难道服务不能设 ALL ?? 但是 slash66 前辈却..
总之,新年快乐...1/1 当天也遇到一堆怪事 OTL
※ 编辑: zbug (36.238.105.48), 01/02/2019 06:38:30
51F:→ dennisxkimo: 设了Virtual IP後 目的是设新设的Virtual IP名称 01/03 13:18
52F:→ dennisxkimo: 图中的 目的CCTV 是Virtual IP的name吗? 01/03 13:21
53F:→ dennisxkimo: 还是只是Address清单的name? 01/03 13:22
是 VIP Group ,可以比对第一张图,我把 15个 VIP 都包在一个 CCTV 的 Group
※ 编辑: zbug (59.125.197.131), 01/03/2019 16:43:26
54F:→ fonzae: 我不是要你直接先设ALL,不就知道订的策略了 01/03 18:21
55F:→ fonzae: 虽然问题解了,不过当下明明可以快速判断出外对内的问题 01/03 18:21
56F:→ fonzae: 不应该这种小问题要拖那麽久,设一下ALL,直接telnet看PORT 01/03 18:22
57F:→ fonzae: 立马知道答案的东西,arp绑定,我是很少没碰过这种案例 01/03 18:22
58F:→ fonzae: 内网比较有可能牵扯到VLB的问题 01/03 18:25
我有测过...全部设在一起 服务开 ALL ....没通
改成 同样 IP 三个 Port 放同一个政策 服务开 ALL....通了
然後才把服务改成对应 Port ....也可以通.....才宣告结案 @@
※ 编辑: zbug (36.238.96.42), 01/03/2019 19:22:06
59F:推 liskenny: 今天玩了硬体视讯 道理跟你差不多 服务设All allow没用 01/11 14:44
60F:→ liskenny: 该开开对应的埠 就是要乖乖设上去 内对外外对内都要考虑 01/11 14:44
61F:→ liskenny: 做完立通 他没这麽聪明帮你自己对应 你要告诉它规则 01/11 14:45