Forum
Bildirimler
Hepsini Temizle
Fortinet
9
Yazılar
4
Üyeler
0
Likes
1,006
Görüntüleme
Konu başlatıcı
60 bilgisayarlı yapıda, web kontrol için Fortinet 60B kullanıyorum.
Belirsiz zamanlarda, internet bağlantısı yavaşlıyor ve ya tamamen kesiliyor.
Bağlantı status'ta, 1-3-5 kullanıcı mail sunucusundan (uzak host) mail alıp/vermeye çalıştıklarını görüyorum, expiry süreleri de 3500 olarak gözüküyor. Bağlantılarını sonlandırıyorum ve bekliyorum.
Bir çoğu zaman internet bağlantısı geri gelmiyor, taaki Fortinet'i Reboot edene kadar.
Reboot'tan sonra cihaz sorunsuz çalışmaya devam ediyor.
Mail IN/OUT için yazdığım policy'de, traffic shapping yaptım, 8MB bağlantı için aşağıdaki değerleri girdim, ama bir faydası olmadı.
Guaranteed Bandwidth - 600000
Maximum Bandwidth - 750000
Bu tıkanmanın önüne nasıl geçebilirim bir fikri olan varsa yardmcı olabilir mi bana.
Şimdiden teşekkürler.
Gönderildi : 22/07/2009 03:51
Statusta ki CPU ve Memory kullanımı ne durumdadır ?
Gönderildi : 22/07/2009 12:58
Merhabalar
Öncelikle şöyle bir çözüm üretebilirsiniz servis kısıtlaması yaparsınız örn;http,https,ping,dns,dhcp,ntp,pop3,smtp bu şekilde belli başlı servislere izin verebilirsiniz bu şekilde yapın eğer yine aynı şekilde sorun devam eder ise firmware update yapın bir üst firmware geçin bu arada yavaşlama olduğu zaman CPU ve Memory kaça vuruyor bunuda bildirirseniz sevinirim
selamlar
Gönderildi : 22/07/2009 19:36
Konu başlatıcı
Yanıtlar için teşekkürler. En stabil ve güncel 60B firmware hangisi bu arada ( link verebilirseniz
sevinirim), önümüzdeki hafta güncel fw yükleyip deneyeyim.
Önerdiğiniz şekilde policy ile kısıtlamalar mevcut zaten. http, https, dns vs
İçeriden dışarıya internet erişimi yapılamadığı zaman yani aksamanın olduğu zaman, ben dışarıdan internet üzerinden içerideki her hangi bilgisayara bağlanabiliyorum, yani internet var.
Ayrıca, internetin kesildiği zamanlarda, Alert Message Console'a aşağıdaki hata düşüyor:
2009-07-22 14:57:32 Fortigate has reached system connection limit for 2801
seconds
Bu hatanın yaşandığı saatlerdeki internet bağlantısı kesik olmuyor, Network->Wan1 üzerinde modem bağlı gözüküyor.
Normal zamanlarda, 400-650 arası session oluyor, bu sayı, cihazın kaldırabileceği sayı mı?
Normal zamanlarda cpu-1-15 arası, memory de 30-60 arası oluyor.
Sorunun yaşandığı zamanlarda, cpu 50 cıvarında, memory yine 50-60 cıvarında oluyor.
Gönderildi : 23/07/2009 12:11
Konu başlatıcı
Beyler bu manzarada aksi bir şey görüyormusunuz. İnternet sayfa açmıyor, modem bağlı gözüküyor.....
Ben çözemedim, cihazı reboot edince internet geliyor.
[URL= http://img18.imageshack.us/img18/4358/for1p.jp g" target="_blank">
http://img18.imageshack.us/img18/4358/for1p.jp g"/> [/IMG][/URL]
http://img18.imageshack.us/img18/4358/for1p.th.jp g">
Gönderildi : 27/07/2009 20:50
Merhabalar,
2009-07-22 14:57:32 Fortigate has reached system connection limit for 2801 seconds
Bu hata fortigate in oradaki yapıyı kaldırmadığını gösteriyor. Evet elimizdeki 60B cihazı adet olarak 60 bilgisayarı kaldırabilecek kapasitede ancak fazla kural yazma, her bir kurala IPS, traffic shaipng vs gibi ekstra ilavelerle bu sayı daha alt seviyelere inebiliyor ki kullanıcı traffic shapping yaparak FG yi bayağı bir zorluyor. Bu durumda yapılması gerekenler kabaca;
- traffic shaping kapatılmalı
- antivirus servisinde taranan dosya boyutları düşürülmeli gereksiz protokoller kapatılmalı
- antivirüs servisinde dosya uzantısı kesme kullanılmalı
- policy yazarken servisleri all seçmek yerine sadece gerekli olan servislerden bir liste oluşturulmalı
- DHCP fortigate üzerinde ise kapatılabilir
- gereksiz IPS tanımlamaları kaldırılmalı (dışarıdan içeri yazılan virtual IP yönlendirmelerinde kaldırılabilir)
- memory üzerinde loglama yapılıyorsa kapatılmalı
- fortiguard servislerindeki cache değerleri düşürülmeli
Bunlar ilk aklıma gelenler. Dediğim gibi burada fortigate'in connection limit değerleri açılmış durumda. Ayrıca içerideki bir makinada trojan-virus tarzı birşey olabilir. Bu durumda fortigate makinayı engellemeye çalışcağı için üzerine ilave bir yük biniyor olabilir. Kabaca bunları söyleyebiliriz. Bu iyileştirmelerden sonra tekrar bakmak lazım. Fortigate üzerinde ayarlar tamamlandıktan sonra hala sorun varsa içerideki makinalardan şüphelenebiliriz.
Ancak şunu tekrar belirtmek istiyorum. Trafic shaping makinayı çok yorar ilk onu kapatmaktan başlanabilir.
İyi çalışmalar, kolay gelsin.
Gönderildi : 28/07/2009 13:02
Konu başlatıcı
Merhabalar,
2009-07-22 14:57:32 Fortigate has reached system connection limit for 2801 seconds
Bu hata fortigate in oradaki yapıyı kaldırmadığını gösteriyor. Evet elimizdeki 60B cihazı adet olarak 60 bilgisayarı kaldırabilecek kapasitede ancak fazla kural yazma, her bir kurala IPS, traffic shaipng vs gibi ekstra ilavelerle bu sayı daha alt seviyelere inebiliyor ki kullanıcı traffic shapping yaparak FG yi bayağı bir zorluyor. Bu durumda yapılması gerekenler kabaca;
- traffic shaping kapatılmalı
- antivirus servisinde taranan dosya boyutları düşürülmeli gereksiz protokoller kapatılmalı
- antivirüs servisinde dosya uzantısı kesme kullanılmalı
- policy yazarken servisleri all seçmek yerine sadece gerekli olan servislerden bir liste oluşturulmalı
- DHCP fortigate üzerinde ise kapatılabilir
- gereksiz IPS tanımlamaları kaldırılmalı (dışarıdan içeri yazılan virtual IP yönlendirmelerinde kaldırılabilir)
- memory üzerinde loglama yapılıyorsa kapatılmalı
- fortiguard servislerindeki cache değerleri düşürülmeli
Bunlar ilk aklıma gelenler. Dediğim gibi burada fortigate'in connection limit değerleri açılmış durumda. Ayrıca içerideki bir makinada trojan-virus tarzı birşey olabilir. Bu durumda fortigate makinayı engellemeye çalışcağı için üzerine ilave bir yük biniyor olabilir. Kabaca bunları söyleyebiliriz. Bu iyileştirmelerden sonra tekrar bakmak lazım. Fortigate üzerinde ayarlar tamamlandıktan sonra hala sorun varsa içerideki makinalardan şüphelenebiliriz.
Ancak şunu tekrar belirtmek istiyorum. Trafic shaping makinayı çok yorar ilk onu kapatmaktan başlanabilir.İyi çalışmalar, kolay gelsin.
@zcinar yorumların için sağ ol.
Traffic shaping ayarı sadece bir policy'de var onu da 10 gün önce uyguladım.( mail alıp vermede bir bant daralması yaşandığını düşündüm, mail policy için traffic shaping uyguladım.)
Konudaki sorun 7-8 aydır beni rahatsız ediyor.Bazı haftalarda, 1-2 gün tekrarliyor, bazı zamanlarda da aylarca hiç belirmiyor, sorunsuz çalışıyor.
DHCP ve DNS Forti üzerinde değil, tüm client'lerde manuel IP var.
Dışarıdan içeriye 2-3 Virtual IP var, zaten hep vardı, sorunun burdan olduğunu düşünmüyorum, ama yine de 1 VirtIP'ye düşürürüm.
İşin garip tarafı, sanki bir de DNS sorunu gibi bir sorun var. Bendeki ağ'da DNS server üzerinde.
Konudaki internet kesintileri sorunu yaşandığı dakikalarda, mesela google'a ping atabiliyorum ve çok geç yanıt geliyor, ama web'te açmıyor.
Buna keza, lokaldeki bir bilgisayara manuel telekom dns ve ya open dns girdiğimde de web açılmıyor.Yani DNS sorunu değil.
Clientlerde sürekli güncel Kaspersky var.
Elimde yedek olarak, bir tane daha yeni FG60B vardı, ondaki fw versiyonunu mr7 en son build yükledim, kullandığım eski cihazın configurasyonunu bu yeni cihaza aktardım ve bugun itibariyle onu çalıştırıyorum. Bir süre izleyeceğim bakalım sonuç ne olacak.
Eğer sorun tekrarlarsa, hatayı sistem içinde arayacağım.
Yorum yazan ve yardımcı olmaya çalışan herkeze teşekkür ederim.
Gönderildi : 28/07/2009 15:59
yukarıda koyduğunuz resme göre;
Memory kullanımı yüksek görünüyor ancak anlık değer olabilir. Refresh edip bakmak lazım.
Alert console içerisinde connection limit hatası var . Aynı gün içerisinde 3 kez limit aşımı olmuş (ki cihaz 50 dk.dır açık burada sıkıntı var gibi görünüyor.)
Gönderildi : 28/07/2009 17:00
Konu başlatıcı
yukarıda koyduğunuz resme göre;
Memory kullanımı yüksek görünüyor ancak anlık değer olabilir. Refresh edip bakmak lazım.
Alert console içerisinde connection limit hatası var . Aynı gün içerisinde 3 kez limit aşımı olmuş (ki cihaz 50 dk.dır açık burada sıkıntı var gibi görünüyor.)
Şu anda bağladığım diğer cihazda, memory 50-55'lerde syrediyor. Ama eski cihazda da aynı seviyelerdeydi.
Cihazı, pscreen almadan 50 dak önce reboot etmiştim internet kesilmesinden dolayı, ama manzara ortada. Yine kesilmeler var.
Problemin yaşandığı zamanlarda, mutlaka conn limit aşımı hataları geliyor alert console'a.
Kural ve diğer ayar sayfalarından isterseniz ps gönderebilirim.
Zaman ayırdığınız için teşekkürler.
Gönderildi : 28/07/2009 18:13
