最近在測試從老舊且 FortiOS 停留在 4.0 MR3 最後一版的 Fortigate 設備,將 Config 設定內容移轉到另一台規格較新的 Fortigate 60 系列;雖然 Fortinet 官方有出一個 FortiConverter 工具,可以協助快速轉換版本,但由於這次不單單僅是設定內容要移轉而已,連相關的 Interface / Hardware Switch 其實都有變動,所以最後還是做了不少手工。
沒想到,移轉設定到 5.x 版後,發現自己之前就有在用的 Policy Routes (策略路由),竟然在 GUI 介面上完全找不到選項可以設定,雖然這功能依舊可以從 CLI 下指令完成,不過這基本功能沒有 GUI 還是令人惱火。
還好,認真查了一下,原來是這個功能介面預設不顯示。(!?)
以我想要開啟的「Policy Routes」來說,想要開啟的話就是到 CLI 中,執行下面指令
config system settings set gui-dynamic-routing enable end
到底這台 Fortigate 60 系列在我目前測試的 5.4.4 版,有哪些 GUI 功能可以做開啟或關閉顯示呢?
請參考下面指令列出以 gui 為啟始名稱的清單
config system settings set ?
直接幫大家整理列出
gui-icap Enable/disable ICAP settings in GUI. gui-implicit-policy Enable/disable implicit firewall policies in GUI. gui-dns-database Enable/disable DNS database in GUI. gui-load-balance Enable/disable load balance in GUI. gui-multicast-policy Enable/disable multicast firewall policies in GUI. gui-dos-policy Enable/disable DoS policy display in GUI. gui-object-colors Enable/disable object colors in GUI. gui-replacement-message-groups Enable/disable replacement message groups in GUI. gui-voip-profile Enable/disable VoIP profiles in GUI. gui-ap-profile Enable/disable AP profiles in GUI. gui-dynamic-profile-display Enable/disable dynamic profiles in GUI. gui-ipsec-manual-key Enable/disable IPsec manual Key configuration in GU. gui-local-in-policy Enable/disable Local-In policies in GUI. gui-explicit-proxy Enable/disable explicit proxy configuration in GUI. gui-dynamic-routing Enable/disable dynamic routing menus in GUI. gui-dlp Enable/disable DLP settings in GUI. gui-sslvpn-personal-bookmarks Enable/disable SSL-VPN personal bookmark management in GUI. gui-sslvpn-realms Enable/disable SSL-VPN custom login pages in GUI. gui-policy-based-ipsec Enable/disable policy-based IPsec VPN. gui-threat-weight Enable/disable threat weight feature in GUI. gui-multiple-utm-profiles Enable/disable multiple UTM profiles in GUI. gui-spamfilter Enable/disable spamfilter profiles in GUI. gui-application-control Enable/disable application control profiles in GUI. gui-casi Enable/disable CASI profiles in GUI. gui-ips Enable/disable IPS sensors in GUI. gui-endpoint-control Enable/disable endpoint control in GUI. gui-endpoint-on-net Enable/disable endpoint on-net/off-net options in GUI. gui-dhcp-advanced Enable/disable advanced DHCP configuration in GUI. gui-vpn Enable/disable VPN tunnels in GUI. gui-wireless-controller Enable/disable wireless controller in GUI. gui-switch-controller Enable/disable switch controller in GUI. gui-fortiap-split-tunneling Enable/disable FortiAP split tunneling in GUI. gui-webfilter-advanced Enable/disable advanced web filter configuration in GUI. gui-traffic-shaping Enable/disable traffic shaping in GUI. gui-wan-load-balancing Enable/disable WAN link load balancing in GUI. gui-antivirus Enable/disable AntiVirus profile display in GUI. gui-webfilter Enable/disable WebFilter profile display in GUI. gui-dnsfilter Enable/disable DNS Filter profile display in GUI. gui-waf-profile Enable/disable Web Application Firewall Profile display in GUI. gui-fortiextender-controller Enable/disable FortiExtender controller in GUI. gui-advanced-policy Enable/disable advanced policy configuration in GUI. gui-allow-unnamed-policy Enable/disable relaxation of requirement for policy to have a name when created in GUI. gui-email-collection Enable/disable email collection feature. gui-multiple-interface-policy Enable/disable the ability to configure multiple interfaces in a policy in the GUI.
呃...好像有點多,看得我的頭都要暈了,突然不知道升級到新版後,哪些功能的 GUI 不見了。
後續有再研究了一下國外的討論,有些功能介面的顯示是控制在 「Feature Select」,也就是功能開啟與否;但有的則是會因為機型被定位在中小企業等級, 所以 Fortinet 似乎在 5.2 版之後,很貼心地 (!?) 幫你把進階功能關起來了。難怪我不曾在之前的 4.x 版本及其他較為高階的 Fortigate 設備上,遇到有相同的問題...
資料參考
Fortinet Online Help: To Enable or Disable Optionally Displayed Features
蘇老您好
你在資訊設備上的經驗分享一直是我解惑的最佳選擇
但是今天我遇到了一個狀況始終找不到解答
所以想請問您是否曾遇過這樣的狀況
我們公司目前買了2台fortigate 60E準備建立vpn使用
為了保險起見
小弟先進行了lab測試
但是在開機後將對外的連線接上wan port時
發現燈號不會亮
status也是down的狀況
我測試過所有的port
只有wan1及wan2是這樣
其他的interal port及dmz都是正常的
而且兩台都是這樣
想請問是否有小弟遺漏的地方呢
p.s兩台都剛取貨,未做任何設定
試著到 Interface 那邊檢查 WAN1 的設定,
確認 Administrative Status 是 up 的狀態
我在cli介面下了get hardware nic wan1
確定了link status
admin:up
netdev status:down
看起來仍無法確認問題原因
我也有請求廠商的協助
不過還在等答覆
如果有後續狀況也會跟蘇老分享
謝謝
Jason Liao
其實你可以把其它interface轉成wan就可以了. 一樣意思.
Hi, 這個找回被隱藏的功能真的好用
有解決我的問題
感謝
看網路上單臂路由的用法,照著設定,
VLAN 1: 192.168.1.254 255.255.255.0
VLAN 2: 192.168.2.254 255.255.255.0
VLAN 3: 192.168.3.254 255.255.255.0
VLAN 4: 192.168.4.254 255.255.255.0
想請教一下,VLAN 間互通,都說不要用 NAT,
可是我這邊卻得 NAT 才能通,會是 FortiOS 版本的關係嗎?
另外介面的「角色」定義(LAN、WAN、DMZ、未定義)有區別嗎?
VLAN 間互通,應該不用開啟 NAT 才是,不確定你的設定為何才導致這樣的狀況
如果設備還在保固維護狀況,可以嘗試跟經銷商或者原廠建立技術案件支援協助你