資訊無涯,回頭已不見岸

設定Fortigate防火牆的PPPoE連線

Fortigate FG60B
前陣子因為公司的對外線路到期了,經過跟總務部門討論後,依舊繼續跟中華電信續約,並且簽下了資安艦隊方案,因此...嘿嘿嘿,手邊就多了一台Fortigate 60B 可以惡搞啦... /:D/

不過,公司現有的網路環境就已經有防火牆,想要惡搞看效果還是不夠準,於是決定利用假日把FG60B 帶回家測。所以,第一件事情就是要先設定PPPoE網路連線。

1) 進入Fortigate 管理介面,選System -> Network 。由於對中華電信小烏龜的網路線路,我是插在wan1 介面上,故選擇wan1 的設定。
設定Wan1 網路

2) 參考以下圖片,將「Addressing Mode」選擇為「PPPoE」,並填入撥接帳號(Username)及密碼(Password)。注意!務必勾選「Retrieve default gateway from server. 」,否則可能會跟我一樣,花了很久時間還找不到內部電腦繞不出去的原因。
建立PPPoE 連線

檢查路由狀態。
確認路由是否正確

3) 參考下圖,確認是否有設定Internal 轉 Wan1 的Policy。Fortigate 的Policy 設定跟路由概念很類似,所以就算路由設定是正確的,沒有在Policy 上再作設定,網路封包就一定會被擋掉。
確認Policy

如果沒有,可以參考下圖增加該設定。人客啊!務必勾選「NAT」,否則一輩子也上不了Internet。
增加Internal to Wan1 的Policy

其實,Fortigate 防火牆預設值就會有一筆Internal 往Wan1 的Policy,但由於我惡搞過那台機器,把原本的Switch Mode 轉成Interface Mode,也就是讓每個Internal 的網路埠成為獨立的網路設定,所以必須重新設定Policy。
切換內部模式
FG60B背板

以上三個步驟就完成了PPPoE 的連線上網。

只是,明明就很直覺的設定,我那天卻花了很久時間還是連不上網,原因在於:
1. PPPoE 的帳號密碼欄位不能用複製貼上填入資料,請乖乖一個字一個字鍵入,否則Fortigate 根本就不吃進去。這夠詭異吧... /=.=/
2. 第二步驟中有提到「Retrieve default gateway from server」的設定,就是因為沒有勾選到,所以內部網路的電腦怎樣都上不了外網,就算在Fortigate 上手動增加路由也沒用。

果然,台上十分鐘台下十年功啊!

29 則留言

  1. soda

    目前公司 有使用 Fortigate 60B 來當公司對外的FW
    使用CHT 的兩路 10M/2M FTTB 線路
    只有接在 WAN1並 設定 @ip.hinet.net(固定IP)撥接出去

    使用 韌體版本 Fortigate-60B 3.00-b5101(MR5 Patch 2)
    以及 韌體版本 Fortigate-60B 3.00-b0740(MR7 Patch 4)

    均會有 瞬斷的問題

    同一台小烏龜 有另外接一台pc 直接撥出去
    當 fortigate 60b 瞬斷的時候 那台pc並沒有斷線
    所以初步判斷是 fortigate 60b 的問題

    不知道是否FW裡面有什麼設定 需要修改 導致這問題常發生
    而且網路都是持續在用的 並未有 閒置過久斷線的疑慮

  2. AskaSu

    你的瞬斷情況是用什麼作為判斷呢?
    如果有把Log功能啟用,
    看是否有相關PPPoE的連線記錄。

    因為目前我手邊這台不是放在實務線上使用,
    無法確認PPPoE是否也有瞬斷的情形,
    不過以我檢查手上的FG60B倒是沒有類似記錄,
    而且我拿回公司轉成Transparent透通模式測試一整天,
    機器也沒有掉封包或傳輸流量突降的狀況發生。

  3. Anderson

    Hi Sir,

    因最近拿到一台Fortigate 60 的設, 想請教您一個問題, 就是有四個Lan Port, 可Default 變成一個Internal Port, 如何設定成四個獨立的LAN Port Device ??

    Thanks for your support

    • AskaSu

      在System -> Network 的「Interface」那頁,
      注意「Create New」隔壁有個「Switch Mode」的按鈕,
      點選那個進去切換就可以了。

      對了,這個功能在FG60是沒有的喔,
      FG60B才有提供,我猜應該是硬體上的限制。

  4. Anderson

    請問您60B 的韌體版本為何?? 3.0 and 4.0 是否都有切換mode 的功能

  5. AskaSu

    To Anderson

    FG60B無論3.0或者4.0版的韌體,
    都有提供切換的功能喔!

  6. 楊志雄

    版主您好:
    因個人手上恰好有一台forti 60wifi,較早期的機器了,正苦於要如何才能設定以pppoe的方式連上網,還好參考了您這篇大作,也就解決了我的問題。真的非常謝謝您的經驗分享。
    另外有個問題想請教您一下,我這台forti 60 wifi 也是雙wan的設備,不曉得您是否有測過 ,把pppoe 設定在wan2,wan1就不去做任何設定,這樣能不能正常上網?
    我遇到的情形是,一開始在wan2上完全依照您的文章去設定,但是不能連網。
    後來把wan2的設定 ,抄到wan1上,沒想到相同的設定值 就可以經wan1上網。
    這是否是forti的產品有限制只有一條線路的情形,就一定要設在wan1,若設在wan2就會不通?

    謝謝您

  7. AskaSu

    To 楊志雄

    我覺得FG應該不會這樣限制,
    因為我在公司的FG60B只設定WAN2就能正常NAT連線,
    但不是用PPPoE就是了,也說不定或許是韌體上需要做更新。

  8. eRay

    版大您好,
    不好意思想請教一下,
    假設我有三台web server要設定三個固定ip跑80port(假設60.249.241.185~187)
    當我wan1設定185,
    接著wan2則不讓我設定186,
    他會出現"錯誤:IP位址與其它介面在同一子網."
    然後試著將另外一個ip設在wan1的"Secondary IP"
    也是不行..

    不曉得我要怎樣才有辦法將、第二三個IP設定上去使用.....

    目前小弟是Nat模式..

  9. AskaSu

    Hi,eRay

    以你的需求,我在公司的設定方式如下:
    1. 在Wan1設定給FG設備的IP及正確的子網路遮罩。
    2. 在FG的管理介面->Firewall->Virtual IP,設定WAN1對應埠的外部IP及內部IP。
    3. 設定對應的Policy。

  10. eRay

    感謝版大的回應,
    不過小弟照您的步驟設定,結果還是不行,不曉得是哪個環節出問題,
    小弟附上設定的圖片,希望能給予小弟一些指導,感恩
    http://event.eray.tw/why2.gif

  11. AskaSu

    Hi, eRay

    我看了一下你的截圖,
    感覺比較有問題的在[Virtual IP] 的 [80 Port] 設定,
    因為該設定是用了FG設備的IP。

    再來就是,如果主機是有需要對外服務,
    我大都會直接設定成IP Mapping,
    然後再用Policy去限制防護。

    另外,Policy裡Wan1->Internal 不需要勾選NAT,
    這樣會造成你的網站Log,來源IP都是來自於FG。

  12. eRay

    感謝版大的回應,
    小弟今天中午更新韌體至4.0版以後,
    整個重新設定就可以了,
    小弟覺得問題應該有三個
    一、中華電信機房對我要使用的IP並沒有做MAC Clean動作,造成不正常?
    二、3.0版本有問題(不過似乎不是這裡的問題)?
    三、設定測試次數太過頻繁造成錯亂?

    不過現在都正常了,也感謝版大的指導~感恩~

  13. Chin

    版大...最近小弟開始使用 FG 60B...
    也看了您的一些文章,目前就是有個問題,不知道怎樣封鎖她的管理介面 http
    目前設了
    wan1 -> internal
    Company -> FG60B always (HTTP HTTPS) ACCEPT
    all -> FG60B always ANY DENY
    本想除了 company 其他都封鎖...
    但是目前還是大家都看的到咧!!
    Firmware 是 4.0多的版本...

    • AskaSu

      如果要關閉從HTTP進入管理介面,
      應該是在System -> Network,從Interface 找到你要設定的介面,
      比如是要阻止從Internet 去連,就是在wan1或wan2的欄位,
      在最右邊有個像是小記事本的圖案點擊進入編輯(Edit),
      最後在「Administrative Access」的地方勾選允許的項目。

      如果是想要改掉HTTP或HTTPS管理介面的連接埠,
      則是在System -> Admin -> Settings 頁面去修改。 /:)/

  14. tom

    您好:
    我想請問您一個問題
    我使用fortinet 60b
    想要檔MSN
    我在policy設定來源 internet 目的 wan1
    sip - msnxXXXXX
    我測試還是可以上MSN>_<~~
    我在保護內容表也有把msn阻擋掉
    請問我還有哪邊沒有設定好嗎?

    • AskaSu

      To tom:

      不好意思,因為沒有實際使用這塊,
      加上軔體版本可能不同,
      在設定介面的說明上也會有出入,
      比較建議您先參考官方的文件
      作一些基本的設定測試。

  15. Nat

    您好:
    小弟最近在設定FG-110C
    一直有一個小問題產生
    小弟的基礎設定如Su大所設定
    Internal 1 可由Wan1上網

    但目前小弟另外設定了Internal2(DMZ)、Internal3(DHCP[192.168.11.1]配發IP)
    所採用的介面為Interface Mode

    目前的問題是
    Int1可連接至Int2
    但新設定的Int3卻無法上網,也Ping不到Int1內的任何一個ip,連自己的DHCP也Ping不到。
    小弟的設定是出現了哪些錯誤呢?

  16. AskaSu

    Hi, Nat

    如果你已經將 Fortigate 從 Switch Mode 切換成 Interface Mode,
    卻有各埠無法互通的狀況,可能要注意下面事項:
    1. 各埠的 DHCP Server 及設定是獨立的
    2. 檢查路由設定
    3. 檢查是否有建立 Policy

  17. Len

    你好請問一下,我有辨法做到和Vigor產品一樣將他LAN Port隔離為VLAN但不需要個別設定Interface,只是要個Port間無法互通,但網設置都一樣!!!

    • AskaSu

      您使用的 FG 產品是?
      以我自己在用的 60B 來說,
      我也沒有找到有 VLAN 功能的,
      但是最近在玩的 FG-100D ( FortiOS 5.x ) 是可以設定的,
      是硬體規格還是 FortiOS 的差異不同,就不是這麼清楚,
      畢竟小弟玩過的機型也不多。

      可以的話,可以問問看經銷商,
      或者到美國 FortiNet 技術論壇發問也是很不錯的。

      • Daniel

        您好。

        我司目前也在評估採購100D or 140D,140D由於lan port數量夠多,如果可以直接在機器上面做Vlan,就可以不用採購L3 Swith,我看您的回文有提到可以做,請問是真的嗎?

        謝謝。

        • AskaSu

          我目前有在用100D,
          從介面上看起來可設定VLan,
          但我沒有玩到這塊。

          整體功能能否做到L3交換器一樣,
          可能就要詢問代理商或原廠了

  18. Alvior

    您好,請問一下
    公司的機器是Forigate 50B,
    Firmware Version:v4.0,build0672,130904 (MR3 Patch 15)

    當我設定pppoe,XXX@hinet.net,此時可以正常上網。
    但是,設定成pppoe 固定ip,XXX@ip.hinet.net,這樣連pppoe都無法練線成功,用另一台分享器則可以連線成功。

    想請您知道可能的原因嗎??
    謝謝!

    • AskaSu

      我自己使用的機型與您不同,
      但同樣有以 @ip.hinet.net 方式撥接,
      是可以正常取得假性固定 IP 及網路連線。

      建議先從 Log 檢查起,
      確認 @ip.hinet.net 方式可以連接成功,
      並且取得假性固定 IP。
      另外,也請確認撥接成功後,
      路由的資訊是正確的。

  19. hank

    您好,請問一下
    我的機器是Forigate 60B,Firmware Version:v4.0

    設定為 192.168.1.1 底下有接一台ap tend FH303 設定取得ip 192.168.1.253 , 網段我設成192.168.6.x , 目前的情況是在ap底下的pc(網段192.168.6.0)可以ping 到 192.168.1.X 的pc , 但是192.168.1.x 的pc 則 ping 不到 192.168.6.x ,如果要互通的話是否是fg60b的防火牆或是靜態路由要設定??

    謝謝~~~

    • AskaSu

      192.168.6.x 的電腦是否都接在 FH303 的 Lan 之內,
      而這些電腦要上網都是要透過 FH303 的 NAT 轉送?
      如果是,那麼 192.168.1.x 的電腦找不到 192.168.6.x 內的電腦是正常的

      把 FH303 想成你的網路環境內,又多了一台防火牆設備,
      那麼在 FH303 之外的電腦(192.168.1.x),理所當然看不到躲在他之內的電腦 (192.168.6.x)

  20. shenjay

    Fortinet 100D
    我目前有兩條實體線路
    Wan1是hinet的固IP (100/100)
    Wan2是hinet的ppoe(300/100)
    Wan2的distance 設100
    policy設某些IP從wan2出去
    可是設定好後
    流量還是從Wan1出去
    wan2依然沒有流量
    請問我該怎麼設定才會有分流
    fortiOS V5.6.7

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

© 2024 蘇老碎碎唸

Theme by Anders NorenUp ↑