四月 07 2009

設定Fortigate防火牆的PPPoE連線

分類:硬體好軟 , 有 17,307 次瀏覽過 , 有 7,101 個機器人爬過

Fortigate FG60B
前陣子因為公司的對外線路到期了,經過跟總務部門討論後,依舊繼續跟中華電信續約,並且簽下了資安艦隊方案,因此...嘿嘿嘿,手邊就多了一台Fortigate 60B 可以惡搞啦... /:D/

不過,公司現有的網路環境就已經有防火牆,想要惡搞看效果還是不夠準,於是決定利用假日把FG60B 帶回家測。所以,第一件事情就是要先設定PPPoE網路連線。

1) 進入Fortigate 管理介面,選System -> Network 。由於對中華電信小烏龜的網路線路,我是插在wan1 介面上,故選擇wan1 的設定。
設定Wan1 網路

2) 參考以下圖片,將「Addressing Mode」選擇為「PPPoE」,並填入撥接帳號(Username)及密碼(Password)。注意!務必勾選「Retrieve default gateway from server. 」,否則可能會跟我一樣,花了很久時間還找不到內部電腦繞不出去的原因。
建立PPPoE 連線

檢查路由狀態。
確認路由是否正確

3) 參考下圖,確認是否有設定Internal 轉 Wan1 的Policy。Fortigate 的Policy 設定跟路由概念很類似,所以就算路由設定是正確的,沒有在Policy 上再作設定,網路封包就一定會被擋掉。
確認Policy

如果沒有,可以參考下圖增加該設定。人客啊!務必勾選「NAT」,否則一輩子也上不了Internet。
增加Internal to Wan1 的Policy

其實,Fortigate 防火牆預設值就會有一筆Internal 往Wan1 的Policy,但由於我惡搞過那台機器,把原本的Switch Mode 轉成Interface Mode,也就是讓每個Internal 的網路埠成為獨立的網路設定,所以必須重新設定Policy。
切換內部模式
FG60B背板

以上三個步驟就完成了PPPoE 的連線上網。

只是,明明就很直覺的設定,我那天卻花了很久時間還是連不上網,原因在於:
1. PPPoE 的帳號密碼欄位不能用複製貼上填入資料,請乖乖一個字一個字鍵入,否則Fortigate 根本就不吃進去。這夠詭異吧... /=.=/
2. 第二步驟中有提到「Retrieve default gateway from server」的設定,就是因為沒有勾選到,所以內部網路的電腦怎樣都上不了外網,就算在Fortigate 上手動增加路由也沒用。

果然,台上十分鐘台下十年功啊!

Related Posts Plugin for WordPress, Blogger...

隨選好文章

 ▲ 閱讀較新的文章:
 ▼ 閱讀較舊的文章:

目前有 19 個回應 , 標籤:



有 19 個回應 在「設定Fortigate防火牆的PPPoE連線」的文章

  1. 1 樓 soda在 2009年 04月 16日 13:57:47 說

    目前公司 有使用 Fortigate 60B 來當公司對外的FW
    使用CHT 的兩路 10M/2M FTTB 線路
    只有接在 WAN1並 設定 @ip.hinet.net(固定IP)撥接出去

    使用 韌體版本 Fortigate-60B 3.00-b5101(MR5 Patch 2)
    以及 韌體版本 Fortigate-60B 3.00-b0740(MR7 Patch 4)

    均會有 瞬斷的問題

    同一台小烏龜 有另外接一台pc 直接撥出去
    當 fortigate 60b 瞬斷的時候 那台pc並沒有斷線
    所以初步判斷是 fortigate 60b 的問題

    不知道是否FW裡面有什麼設定 需要修改 導致這問題常發生
    而且網路都是持續在用的 並未有 閒置過久斷線的疑慮

  2. 2 樓 AskaSu在 2009年 04月 16日 20:04:58 說

    你的瞬斷情況是用什麼作為判斷呢?
    如果有把Log功能啟用,
    看是否有相關PPPoE的連線記錄。

    因為目前我手邊這台不是放在實務線上使用,
    無法確認PPPoE是否也有瞬斷的情形,
    不過以我檢查手上的FG60B倒是沒有類似記錄,
    而且我拿回公司轉成Transparent透通模式測試一整天,
    機器也沒有掉封包或傳輸流量突降的狀況發生。

  3. 3 樓 Anderson在 2009年 07月 25日 12:38:26 說

    Hi Sir,

    因最近拿到一台Fortigate 60 的設, 想請教您一個問題, 就是有四個Lan Port, 可Default 變成一個Internal Port, 如何設定成四個獨立的LAN Port Device ??

    Thanks for your support

  4. 4 樓 AskaSu在 2009年 07月 25日 15:43:39 說

    在System -> Network 的「Interface」那頁,
    注意「Create New」隔壁有個「Switch Mode」的按鈕,
    點選那個進去切換就可以了。

    對了,這個功能在FG60是沒有的喔,
    FG60B才有提供,我猜應該是硬體上的限制。

  5. 5 樓 Anderson在 2009年 07月 25日 17:09:33 說

    請問您60B 的韌體版本為何?? 3.0 and 4.0 是否都有切換mode 的功能

  6. 6 樓 AskaSu在 2009年 07月 27日 22:48:57 說

    To Anderson

    FG60B無論3.0或者4.0版的韌體,
    都有提供切換的功能喔!

  7. 7 樓 楊志雄在 2009年 11月 26日 20:50:28 說

    版主您好:
    因個人手上恰好有一台forti 60wifi,較早期的機器了,正苦於要如何才能設定以pppoe的方式連上網,還好參考了您這篇大作,也就解決了我的問題。真的非常謝謝您的經驗分享。
    另外有個問題想請教您一下,我這台forti 60 wifi 也是雙wan的設備,不曉得您是否有測過 ,把pppoe 設定在wan2,wan1就不去做任何設定,這樣能不能正常上網?
    我遇到的情形是,一開始在wan2上完全依照您的文章去設定,但是不能連網。
    後來把wan2的設定 ,抄到wan1上,沒想到相同的設定值 就可以經wan1上網。
    這是否是forti的產品有限制只有一條線路的情形,就一定要設在wan1,若設在wan2就會不通?

    謝謝您

  8. 8 樓 AskaSu在 2009年 11月 30日 11:41:12 說

    To 楊志雄

    我覺得FG應該不會這樣限制,
    因為我在公司的FG60B只設定WAN2就能正常NAT連線,
    但不是用PPPoE就是了,也說不定或許是韌體上需要做更新。

  9. 9 樓 eRay在 2009年 12月 07日 15:29:00 說

    版大您好,
    不好意思想請教一下,
    假設我有三台web server要設定三個固定ip跑80port(假設60.249.241.185~187)
    當我wan1設定185,
    接著wan2則不讓我設定186,
    他會出現"錯誤:IP位址與其它介面在同一子網."
    然後試著將另外一個ip設在wan1的"Secondary IP"
    也是不行..

    不曉得我要怎樣才有辦法將、第二三個IP設定上去使用.....

    目前小弟是Nat模式..

  10. 10 樓 AskaSu在 2009年 12月 08日 00:11:26 說

    Hi,eRay

    以你的需求,我在公司的設定方式如下:
    1. 在Wan1設定給FG設備的IP及正確的子網路遮罩。
    2. 在FG的管理介面->Firewall->Virtual IP,設定WAN1對應埠的外部IP及內部IP。
    3. 設定對應的Policy。

  11. 11 樓 eRay在 2009年 12月 08日 01:03:53 說

    感謝版大的回應,
    不過小弟照您的步驟設定,結果還是不行,不曉得是哪個環節出問題,
    小弟附上設定的圖片,希望能給予小弟一些指導,感恩
    http://event.eray.tw/why2.gif

  12. 12 樓 AskaSu在 2009年 12月 08日 10:32:13 說

    Hi, eRay

    我看了一下你的截圖,
    感覺比較有問題的在[Virtual IP] 的 [80 Port] 設定,
    因為該設定是用了FG設備的IP。

    再來就是,如果主機是有需要對外服務,
    我大都會直接設定成IP Mapping,
    然後再用Policy去限制防護。

    另外,Policy裡Wan1->Internal 不需要勾選NAT,
    這樣會造成你的網站Log,來源IP都是來自於FG。

  13. 13 樓 eRay在 2009年 12月 08日 14:58:24 說

    感謝版大的回應,
    小弟今天中午更新韌體至4.0版以後,
    整個重新設定就可以了,
    小弟覺得問題應該有三個
    一、中華電信機房對我要使用的IP並沒有做MAC Clean動作,造成不正常?
    二、3.0版本有問題(不過似乎不是這裡的問題)?
    三、設定測試次數太過頻繁造成錯亂?

    不過現在都正常了,也感謝版大的指導~感恩~

  14. 14 樓 Chin在 2010年 05月 05日 09:12:22 說

    版大...最近小弟開始使用 FG 60B...
    也看了您的一些文章,目前就是有個問題,不知道怎樣封鎖她的管理介面 http
    目前設了
    wan1 -> internal
    Company -> FG60B always (HTTP HTTPS) ACCEPT
    all -> FG60B always ANY DENY
    本想除了 company 其他都封鎖...
    但是目前還是大家都看的到咧!!
    Firmware 是 4.0多的版本...

  15. 15 樓 AskaSu在 2010年 05月 06日 16:22:12 說

    如果要關閉從HTTP進入管理介面,
    應該是在System -> Network,從Interface 找到你要設定的介面,
    比如是要阻止從Internet 去連,就是在wan1或wan2的欄位,
    在最右邊有個像是小記事本的圖案點擊進入編輯(Edit),
    最後在「Administrative Access」的地方勾選允許的項目。

    如果是想要改掉HTTP或HTTPS管理介面的連接埠,
    則是在System -> Admin -> Settings 頁面去修改。 /:)/

  16. 16 樓 tom在 2010年 05月 28日 11:12:21 說

    您好:
    我想請問您一個問題
    我使用fortinet 60b
    想要檔MSN
    我在policy設定來源 internet 目的 wan1
    sip - msnxXXXXX
    我測試還是可以上MSN>_<~~
    我在保護內容表也有把msn阻擋掉
    請問我還有哪邊沒有設定好嗎?

  17. 17 樓 AskaSu在 2010年 05月 28日 16:29:17 說

    To tom:

    不好意思,因為沒有實際使用這塊,
    加上軔體版本可能不同,
    在設定介面的說明上也會有出入,
    比較建議您先參考官方的文件
    作一些基本的設定測試。

  18. 18 樓 Nat在 2010年 11月 28日 13:42:26 說

    您好:
    小弟最近在設定FG-110C
    一直有一個小問題產生
    小弟的基礎設定如Su大所設定
    Internal 1 可由Wan1上網

    但目前小弟另外設定了Internal2(DMZ)、Internal3(DHCP[192.168.11.1]配發IP)
    所採用的介面為Interface Mode

    目前的問題是
    Int1可連接至Int2
    但新設定的Int3卻無法上網,也Ping不到Int1內的任何一個ip,連自己的DHCP也Ping不到。
    小弟的設定是出現了哪些錯誤呢?

  19. 19 樓 AskaSu在 2010年 11月 30日 22:10:09 說

    Hi, Nat

    如果你已經將 Fortigate 從 Switch Mode 切換成 Interface Mode,
    卻有各埠無法互通的狀況,可能要注意下面事項:
    1. 各埠的 DHCP Server 及設定是獨立的
    2. 檢查路由設定
    3. 檢查是否有建立 Policy

留 言 回 應

CAPTCHA 驗證圖片
( ★ 是真人就填一下吧 )