Forum

Fortigate 100E İç A...
 
Bildirimler
Hepsini Temizle

[Çözüldü] Fortigate 100E İç Ağdan Dış IP Adresine erişememe sorunu

Metehan AK
(@metehanak)
Üye

Merhabalar.

Firmamızda Fortigate 100E kullanıyoruz. sunucularımız için bir adet 40 ip adresli metro ethernet bağlantımız mevcut. Fortigate üzerinden sunucuların dış ağa (web sunucuları) açılmasını sağlıyor.

İçerideki kullanıcı bilgisayarlarımızda ise fiber internet var. yine aynı fortigate aracılığı ile iç ağa internet sağlıyoruz.

şimdi sorum şu;

metro ethernetteki bir web sunucumuza iç ağdaki bilgisayarlardan erişemiyoruz. buradaki bununla ilgili açılmış bir çok makaleyi okudum fakat çözüm bulamadım. (Örneğin lan'dan lan'a kural yazdım fakat olmadı)

Konu ile ilgili yardımcı olabilir misiniz?

Şimdiden çok teşekkürler.

Alıntı
Konu başlatıcı Gönderildi : 13/12/2021 14:00
Konu Etiketleri

Taner KINI
(@tanerk)
Üye

Web sunucular ile kullanıcılar aynı LAN'da mı yoksa farklı LAN veya VLAN'da mı?

Siz içerideki kullanıcıların metro internetin IP adresinden mi sunuculara bağlanmasını istiyorsunuz?

Eğer öyleyse Hairpin NAT ayarı yapmanız gerekli.

FortiGate Cookbook - FortiGate Hair-pinning (5.4) - YouTube

Technical Tip: Configuring Hairpin NAT (VIP) - Fortinet Community

Bu ileti 5 ay önce Taner KINI tarafından düzenlendi
CevapAlıntı
Gönderildi : 13/12/2021 17:04

Metehan AK
(@metehanak)
Üye

Farklı LAN'dalar. örneğin 192.168.10.0/24 ağından fiber internet çıkıyorsa, port 3 den 192.168.11.0/24, port 4 den 192.168.12.0/24 ve port 5 den 192.168.13.0/24 ağından metro ethernet çıkış yapıyor.

Yani yol şöyle;

Metro Tarafı: | Wan (Metro) 212.212.212.212(Örnek Dış Metro IP) > Lan (192.168.11.10)

Kullanıcı (Fiber Tarafı): | Wan2 (Fiber) 95.95.95.95(Örnek Dış Fiber IP) > Lan (192.168.10.10)

 

192.168.10.10'daki kullanıcının metro ethernet ipsi olan 212.212.212.212'ye gidip oradaki 80 yada 443 portundan web sayfasını görüntüleyebilmesi lazım.

 

CevapAlıntı
Konu başlatıcı Gönderildi : 13/12/2021 17:30

Taner KINI
(@tanerk)
Üye

O zaman yukarıda linklerini verdiğim ayarlamaları yapmanız gerekiyor.

Böylelikle kullanıcılar metro ethernet IP'si üzerinden sunuculara bağlanabilirler.

CevapAlıntı
Gönderildi : 13/12/2021 17:34

Metehan AK
(@metehanak)
Üye

Denemek isterken Fortigate üzerinde bir hataya daha denk geldim. CLI Console ne zaman açmak istesem "Connection lost." mesajını veriyor ve kendini kullandırmıyor. İnternette yaptığım araştırmalar sonucunda versiyon güncelleme önerisi yapmışlar. Sistemi 6.4.8 versiyonuna güncelledim fakat sorun düzelmedi.7 versiyonuna geçme konusunda da şüphelerim var. Bu konu ile ilgili bir bilginiz var mı, daha önce başınıza geldi mi? 

CevapAlıntı
Konu başlatıcı Gönderildi : 14/12/2021 08:48

Metehan AK
(@metehanak)
Üye

Bu arada videoda 192.168.1.98 deki bir makinenin dış ip ile tekrar 192.168.1.x'li bir makineye dönüşü anlatılıyor. Fakat örneğin 192.168.1.98'li makinenin 192.168.2.x'li bir makineye dönüşü hakkında bilgi göremedim.

CevapAlıntı
Konu başlatıcı Gönderildi : 14/12/2021 10:15

Taner KINI
(@tanerk)
Üye

Siz orada kuralı oluştururken Lan to Lan değil, kendi yapınıza göre değiştirin.

Diğer linkte farklı IP'lerdekini de anlatmış.

https://community.fortinet.com/t5/FortiGate/Technical-Tip-Configuring-Hairpin-NAT-VIP/ta-p/195448?externalID=FD36202

Sunuculara erişirken kullanılan kurala CLI üzerinden "set match-vip enable" komutunu girmeniz yeterli olacaktır.

CevapAlıntı
Gönderildi : 14/12/2021 10:30

Metehan AK
(@metehanak)
Üye

Sizi çok yoruyorum ama son bir sorum olacak.

Benim firewall policy kısmında çok fazla sayıda policy'm var. üzerini sağ tıklayıp edit in CLI Console dediğim zaman Connection Lost uyarısı alıyorum.

Putty ile girdiğim zaman ise policy id'yi bilmediğim için edit yapamıyorum. Policy id'yi tespit etmenin bir yolu var mı?

CevapAlıntı
Konu başlatıcı Gönderildi : 14/12/2021 10:47

Taner KINI
(@tanerk)
Üye

Firewall policy gelin. Orada en soldaki en üstteki sütun açıklamasına mouse'u getirince Configure Table ikonuna tıklayın ID'yi seçip uygula deyince ID sütunu aktif olacaktır.

image
Bu ileti 5 ay önce Taner KINI tarafından düzenlendi
CevapAlıntı
Gönderildi : 14/12/2021 11:18

Metehan AK
(@metehanak)
Üye

 

Aşağıdaki gibi bir hata alıyorum işlem yaparken, Sebebi ne olabilir?

FortiGate-100E # config firewall policy

FortiGate-100E (policy) # edit 24

FortiGate-100E (24) # set match-vip enable

command parse error before 'match-vip'
Command fail. Return code -61

FortiGate-100E (24) # abort

FortiGate-100E #
CevapAlıntı
Konu başlatıcı Gönderildi : 14/12/2021 11:26

Taner KINI
(@tanerk)
Üye

Sanırım 6.4.3'ten sonra bu komut allow olan kuralda kullanılamıyor.

Enabling match-vip in firewall policies

As of FortiOS 6.4.3, match-vip is not allowed in firewall policies when the action is set to accept.

FortiOS Release Notes | FortiGate / FortiOS 6.4.4 | Fortinet Documentation Library

Belki başka bir kullanımı veya yöntemi olabilir.

CevapAlıntı
Gönderildi : 14/12/2021 13:41

Metehan AK
(@metehanak)
Üye

Başka bir yöntem bulmam lazım fakat bununla ilgili makale sayısı çok kısıtlı. Acaba firmware downgrade mi yapsam?

Bu ileti 5 ay önce Metehan AK tarafından düzenlendi
CevapAlıntı
Konu başlatıcı Gönderildi : 14/12/2021 15:57

Yilmaz BARCIN
(@yilmazbarcin)
Saygın Üye

Merhaba,

basit bir konu neden bu kadar sıkıntı yarattı size 🙂

1- web sitesini ping'lemeye çalıştığınızda public ME ip adresinizi görüyorsanız, lan to ilgili server lan a doğru yeni policy yazın ve destination 'a ilgili VIP'i seçin , NAT kısmını disable tutun. 

2- 100E için 7.0 major geçişi çok önermem, F serisi bir ürün kullandığınızda 7.0 a geçmeniz daha iyi olur.

kolay gelsin,

yB

CevapAlıntı
Gönderildi : 14/12/2021 18:18
Hakan Uzuner beğendi

Metehan AK
(@metehanak)
Üye
Gönderen: @yilmazbarcin

Merhaba,

basit bir konu neden bu kadar sıkıntı yarattı size 🙂

1- web sitesini ping'lemeye çalıştığınızda public ME ip adresinizi görüyorsanız, lan to ilgili server lan a doğru yeni policy yazın ve destination 'a ilgili VIP'i seçin , NAT kısmını disable tutun. 

2- 100E için 7.0 major geçişi çok önermem, F serisi bir ürün kullandığınızda 7.0 a geçmeniz daha iyi olur.

kolay gelsin,

yB

Web sitesini pinglediğimiz zaman dış ip adresini görebiliyoruz ama ping atmıyor. 

Kullanıcının olduğu lan'dan, server'ın olduğu lan'a (örn 192.168.10.0 den 192.168.11.0'a ) policy yazıyorum. VIP'de ise interface; any, External IP address; server'ın bulunduğu dış ip adresi (Örn: 95.92.x.x), mapped ip adress; server'ın ip adresi (Örn: 192.168.11.50) şeklinde yapıyorum.

Bu şekilde bağlantı sağlayamadım. Atladığım yada hatalı yaptığım bir yer mi var sizce?

CevapAlıntı
Konu başlatıcı Gönderildi : 15/12/2021 08:57

serkanvargel
(@serkanvargel)
Üye

Merhaba;

 

https://docs.fortinet.com/document/fortigate/5.4.0/cookbook/856642/configuring-hair-pinning-on-a-fortigate

 

bu makaleyi uygular iseniz isteğiniz olacaktır. 

 

Yılmaz beyin dediği gibi networkler arası route yazmak daha kolay. Trafik iç networkten döner ve daha hızlı olur. ben bu gibi durumlar için içerdeki dns sunuca a kayıtları açarak çözüyorum .

ör.

www.xxx.com 192.168.13.5

 

içerdeki kullanıcılar www.xxx.com için içerdeki dns sunucuya sorum local ip adresini çözümleye bilirler

 

selamlar

 

CevapAlıntı
Gönderildi : 19/12/2021 21:24

Yilmaz BARCIN
(@yilmazbarcin)
Saygın Üye

@metehanak 

merhaba,

policy yazarken hedefe adres yazmayacaksınız, Virtal IP'de oluşturmuş olduğunuz nat 'i seçeceksiniz. yine alt tarafta NAT seçeneği de disable olması gerekiyor.

çalışacaktır...

 

kolay gelsin,

yB

CevapAlıntı
Gönderildi : 20/12/2021 00:04

Paylaş: